Actividad Evaluativa Eje 4

informática Forense

Juan Camilo Lara Rojas

Fundación universitaria área andina

ingeniería de sistemas
Bogotá, 2023
 INTRODUCCION
El análisis forense es una rama de la seguridad informática que surge a raíz de la evolución
de estafas, fraudes y eventos de seguridad que comprometen la integridad de las personas o
perdidas incalculables a organizaciones. El objetivo del análisis forense es investigar lo
ocurrido por acciones que afecten a terceros, en busca de identificar los posibles autores,
causas y métodos utilizados. Reconstruye los hechos del como han vulnerado un sistema, la
informática forense es una técnica que se usa en la investigación de crímenes y con la
intervención de un profesional especializado haciendo uso de equipos tecnológicos o
aplicaciones podrá determinar los causales de la vulneración y que ayuda a determinar los
siguientes interrogantes ¿quién realizo el ataque?, ¿cómo se realizó?, ¿desde donde se
realizó?, ¿cuándo se realizó el ataque?, ¿para que se realizó?, por lo tanto en este trabajo se
enfoca en realizar uno escaneo por medio de la herramienta NMAP con el fin de identificar
las vulnerabilidades que presenta en un sistema de información.

Objetivo General

Realizar una prueba de escaneo a un sistema de información con el fin de encontrar

vulnerabilidades en los servicios más utilizados por parte de la agencia inmobiliaria y
generar un informe el cual detalle e identifique las vulnerabilidades con el fin de ser
corregidas en la brevedad de tiempo.

Cronograma de actividades:

• Asignar responsabilidades en cada proceso de ejecución

• Implementación de la herramienta NMAP
• Presentar informe
Se realizarán pruebas de vulnerabilidades a los sistemas de información de una agencia
inmobiliaria la cual tiene oficinas en varias ciudades de Colombia, por lo cual se eligió la
oficina ubicada en la ciudad de Bogotá D.C agencia llamada inmobiliaria mubrick en la cual
se hizo una visita por parte de un profesional en auditoria con el fin de familiarizarse con la
oficina.
Entrevista A La Gerencia

Se realizó una entrevista con el gerente de la oficina por parte del ingeniero en
ciberseguridad con el fin de obtener información en cuanto a que sistemas de información
son más utilizados con más frecuencia y en cuál de ellos es maneja más información de
interés y podría correr más riesgos en caso de un ataque.

Identificación del sistema de información a evaluar de acuerdo a la entrevista realizada por

parte del ingeniero en ciberseguridad se realizó un análisis por parte del analista en
informática forense y se logró identificar el sistema de información con información de más
importancia para la agencia en esa oficina por lo tanto se eligió a un equipo de cómputo en
el cual será hará el escaneo por medio de la herramienta nmap con el fin de
encontrar vulnerabilidades en el sistema de información.

Prueba de escaneo con herramienta Nmap

En esta prueba de escaneo se utilizó la aplicación Kali Linux con el fin de ejecutar la
herramienta nmap para escanear el equipo de cómputo de la oficina al identificar su
dominio el cual es mubrick.com lo que vamos a hacer es ingresar a la aplicación de Kali
Linux colocar el comando sudo nmap s-S –Sv –PN mubrick.com para identificar los
servicios que se están ejecutando.

Identificación de servicios asociados al sistema de información, se evidencia mediante el

escaneo los siguientes servicios:

Puerto estado de servicio:

20/tcp closed ftp-data
21/tcp open ftp Pure-FTPd
25/tcp open smtp?
26/tcp open smtp Exim smtpd 4.94.2
53/tcp open domain (unknown banner:BIND)
80/tcp open http Apache
110/tcp open pop3 Dovecot pop3d
143/tcp open imap Dovecot imapd
443/tcp open ssl/https Apache
465/tcp open ssl/smtp Exim smtpd 4.94.2
587/tcp open smtp Exim smtpd 4.94.2
993/tcp open ssl/imaps?
995/tcp open ssl/pop3s?
Es importante como investigadores informáticos forenses tener en cuenta lo que significa la
cadena de custodia, debemos tener en cuenta que en cualquier tipo de investigación es
necesario asegurar las evidencias obtenidas a través de un proceso.
Nmap en la cual se encontraron algunos puertos de servicios abiertos, esto conllevo a
confirmar con el gerente de la inmobiliaria que las sospechas de que existe un cracker que
se está aprovechando de sus conocimientos y experiencia y aprovechándose que tiene
acceso a recursos computacionales como lo son usuarios contraseñas, violando el sistema
de seguridad informático de la agencia inmobiliaria, accediendo a sus servidores robando
información confidencial de los clientes de la agencia alimentada en una hoja de cálculo
con tablas dinámicas lo cual público en internet se requiere investigar el origen de ese
incidente posibles responsables herramientas informáticas utilizadas, daños ocasionados,
fallas que permitieron el ilícito y correcciones y recomendaciones

Registrar como se adquiere la evidencia:

• Registrar La adquisición de la información
• Registrar cómo se custodia la evidencia.
• Detallar cómo se controla la evidencia.
• Registrar cómo se transfiere la evidencia
• Detallar el procedimiento que realiza para analizar la evidencia.

Proceso De Investigación

El día 28 de mayo de 2021 un funcionario informa a sus superiores de la agencia

inmobiliaria mubrick Bogotá-Colombia que el equipo destinado para mantener las bases
de datos de los clientes de los últimos años, soportada en una hoja de cálculo con tablas
dinámicas, presenta registros borrados. El señor juan Carlos Gómez administrador descubre
esa incidencia porque al consultar el archivo la información estaba incompleta.

Como primer paso para el desarrollo de la investigación reunimos los permisos y/o
autorizaciones necesarias, así como los acuerdos de confidencialidad para desarrollar la
investigación.

Identificamos el equipo afectado el cual se encuentra en la oficina de secretaria este equipo

tiene como función guardar las bases de datos de los clientes de la inmobiliaria

Identificación del equipo:

Equipo: lenovo V530S

Procesador Intel core i5-8400 2.80 GHz

RAM 8 GB de DDR4

Sistema operativo Windows 10 pro-licenciado

Disco mecánico de 1 tera wester

Formulario de cadena de custodia

Entrevista al administrador

En entrevista con el administrador se identifica el personal que trabaja en las oficinas

cercanas a la ubicación donde se encuentra el equipo afectado, y cuales funcionarios tienen
acceso al equipo

Funcionarios

Adquisición De La Evidencia

Una vez identificado el equipo que fue víctima e identificar también los posibles
responsables y
haber efectuado el registro en la cadena de custodia vamos a aplicar la etapa de la
adquisición
de la información, Es una etapa de resaltar ya que hace parte del inicio de la investigación
tiene
mucho que ver en la obtención de resultados.

Tipo De Adquisición

Al momento de utilizar esta fase de investigación se debe tener en cuenta que tipo de
adquisición para este caso se hará uso de la copia en frio en el sistema que permanece
apagado, la ventaja de ese tipo de copiado es la no perdida de la información a utilizar la
copia en caliente es decir con el sistema encendido se corre el riesgo de alteración de la
información recolectada.

Dado a que la información puede ser dañada muy fácilmente vamos a utilizar ese tipo de
copiado.
Copia bitstream o bit-stream; también conocido como binary sequence o secuencia de
binarios,
es una copia que va bit a bit tomando el contenido, es una copia fidedigna y exacta.

Fuentes De Adquisición
Son los orígenes desde donde se tomará la información que se desea analizar, estas fuentes
generalmente son físicas pero cada una con mecanismos diferentes de trabajo que marcan la
diferencia en cómo se debe obtener o sacar dicha información de estos.

Existen varios tipos de fuentes de adquisición como lo son Adquisición de memoria,

Adquisición
física, Adquisición lógica, pero en ese caso se hará uso de la adquisición física.

Adquisición Física

Para este caso se hará copia entera del disco físico, en modo de lectura preservando la
información original y sin riesgo de alteración de igual forma garantizando la integridad de
la información y generalmente la fuente original estará apagada. La herramienta que vamos
a utilizar es una que es desarrollada exclusivamente para preservar la información original
durante el copiado de información en ese caso será el aplicativo DD. En ese caso se
realizarán dos copias de la información original para el análisis de la información teniendo
en cuenta el procedimiento a realizar tendremos en cuenta al momento de realizar una
copia, se debe asegurar la fuente original, esta debe ser conectada en modo solo lectura. Por
ninguna razón se debe alterar la información origen.

Por lo tanto, se realiza la copia a través de la herramienta clonador de discos, el cual es un

dispositivo físico diseñado exclusivamente para obtener información de un disco origen y
depositarla en un disco destino, bit a bit.
Creación de dos copias del disco duro mediante el software FTK imager. Una vez obtenida
la información ahora lo que vamos a hacer es aplicar las otras fases de la
investigación forense como lo son custodia, control, transferencia y análisis del
procedimiento efectuado

Custodia Y Control

Este paso busca asegurar que el archivo original que tomó como evidencia conserva su
integridad desde el momento de la adquisición y no ha sido objeto de manipulación durante
el tiempo transcurrido entre la adquisición de la evidencia y la presentación como prueba
por lo tanto, se mantendrá los discos o unidades de almacenamiento en un lugar adecuado,
que no permita la manipulación por terceros, lo que se busca es proteger la integridad de la
información sin que sea alterada o destruida.

Luego de analizar el problema recolectar evidencias y preservar las mismas continuamos

con el
proceso de investigación

Transferencia
FTP o FILE protocolos de transferencias de datos estándar de Internet para transferir
ficheros entre ordenadores. La mayoría de las transferencias FTP requieren que usted se
meta en el sistema proveyendo la información mediante un nombre autorizado de uso y una
contraseña. Sin embargo, una variación conocida como "FTP anónimo" le permite meterse
como anónimo: no necesita contraseña o nombre.

Es la observación en sí, determinado sé que la información es efectivamente la que se desea

indagar. Siendo los casos más normales, como para ejemplificar, el chequeo de historial de
navegación, recuperación de archivos de texto o imágenes borrados de forma poco segura,
entre otros procedimientos de acuerdo a esto se ejecuto el software WINHEX buscando
encontrar la navegación en horarios los cuales no puede hacerlo el administrador de la base
de daos es decir en horarios nocturnos

El Procedimiento Utilizado

Se seleccionó un equipo de la agencia el cual tiene las mismas características del servidor y
clonamos una de las copias al disco duro luego hacemos una validación hash para
comprobar la integridad del clonado y arrancamos el sistema. Nos logueamos con el
usuario root credenciales facilitados por el usuario del equipo atacado de
la agencia y su password es admin2, lo que nos da a entender el nivel de seguridad aplicada
a él.

Validamos que software se ha instalado recientemente con el comando “rmp -qa -last”

Resultado

Xchat- 2.8.8-0 vier 19 nov 2021 22:10:15

Cot sudo-2.8.8-0 vier 19 nov 2021 22:10:15

Stunnel-3.13-3 sab 20 nov de 2021 17:00:59

Strace-4.2.20010119-3 sab 20 nov de 2021 17:00:59

Se puede ver la instalación del 19 de noviembre de 2021 de un software de mensajería

instantánea llamado xchat. Analizando podemos determinar que no existe otro usuario en
el servidor además del root. Lo cual significa que la persona que ha instalado el software de
IRC lo hizo con ese usuario, lo más probables es que se ha conectado a canales de chat
desde este perfil

Miramos los logs fallidos en /var/log//failog, y podemos observar el que el dia del incidente
se dieron muchas conexiones infructuosas al servidor con el usuario root antes de ser
acusado
Se observa que existen horas comunes de logins correctos entre las 6:00 y 6:57 y entre las
22:56 y 23:51, es normal el acceso en la mañana y durante el día, pero en el de la noche,
además el usuario de la base de datos trabaja solo en el día

Se examina el archivo volcado de la memoria RAM del archivo atacado, se analiza con el
software WINHEX y vemos que en horas de la noche existe navegación a páginas para
adulos y chat encontramos un pendrive USB conectado al servidor se analiza y se ubica un
archivo con el nombre de listadochat.doc, lo llevamos a un equipo con sistema de Windows
se intenta abrir con aplicación Microsoft Word y no es posible ya que tiene contraseña,
entonces se ejecuta el software Passware, el cual tiene como función descubrir las
contraseñas en archivos protegidos se ubica el documento protegido con contraseña, el
software descubre la contraseña la cual es el numero 13 lo cual facilito su fácil acceso,
abrimos el archivo y encontramos un documento con nombres y correos electrónicos,
Investigamos con el jefe del personal y nos manifiesta que en la noche solo queda el
vigilante que no queda más nadie en la agencia en horas nocturnas, de igual forma le
preguntamos al administrador encargado de la base de datos y responsable, si de pronto el
vigilante sabe la clave del usuario root del equipo afectado y acepta que sí, que se la dio un
día para consultar una información en internet, ya que los demás equipos estaban ocupados.

Dado a esto se ejecuta el software Wireshark y se deja activo toda la noche para que
capture todo el tráfico de la red en las horas de la noche Al otro día analizamos el tráfico y
se encuentran trazas con los nombres de los contactos registrados en el archivo de Word,
concluimos que el vigilante volvió a ingresar en esa noche a la plataforma chat XCHAT,
confirmando que él es la persona que por su actuación antiética o indebida ingreso desde el
servidor portales web peligrosos, por lo tanto propicio el incidente de
seguridad al servidor, todo por la falta de gestión en la seguridad del servidor por parte de
la persona responsable de la base de datos y este equipo.

Concluimos que a través del programa chat alguien logro detectar la dirección ip y penetrar
el sistema por tener un usuario root y una contraseña tan fácil de identificar, podemos decir
que utilizaron un software de ataque de fuerza bruta a que el día del incidente se dieron más
de 16 intento de conexión fallidos, antes de la conexión en la cual pudieron ingresar
utilizando el protocolo ssh

Hallazgos encontrados

Equipo lento debido a las características se hace necesario cambio del equipo y su tiempo
uso sin copias de seguridad pueden tener perdida de información se recomienda realizar
esta acción periódicamente.

Antivirus no actualizado se presenta el inconveniente de virus o robo de información por la

desactualización del antivirus.
Tener actualizado el sistema operativo, al tenerlo desactualizado genera falta de parches de
seguridad del actualización sistema operativo.

Usuario root y contraseña se puede evidenciar las contraseñas débilmente tipadas, se

recomienda contraseñas con un nivel de complejidad mayor que sean por ejemplo de 8
caracteres y que contenga 1 carácter especial.
Políticas de seguridad vigilante ingresa en horas seguridad en cuanto a la
nocturnas las cuales las seguridad de los equipos oficinas deben de estar de la agencia y
cerradas y además el prohibición de ingreso de equipo de cómputo solo personal no
autorizado debe tener acceso el responsable.

Limpiar cache del navegador mucha información de capacitación al personal

relevancia de las oficinas sobre el uso de navegadores que no dejen registro de la
actividad en la web.

Acceso no autorizado, se pudo evidenciar como limitar el acceso de las oficinas de la

agencia personas ajenas a la oficina usuarios a los equipos de ingresan a los equipos de la
agencia

Conclusiones

A través de la informática forense la cual se considera una ciencia, es posible Realizar

diferentes investigaciones relacionadas con cualquier delito o ilegalidad, obteniendo las
pruebas necesarias y efectivas antes Tribunales, para facilitar el enjuiciamiento de sujetos
delictivos o involucrados.

La informática forense puede ayudar a realizar recomendaciones porque permite tomar

medidas de control para organizaciones y/o en el hogar.

Antes de ejecutar cualquier herramienta que brinda la informática forense es importante que
quien la ejecute este familiarizado o conozca dicha herramienta.

Todo administrador de un sistema de información debe estar preparado para cualquier tipo
de incidente y pueda actuar de manera que no altere o comprometa la información a
investigar.
Bibliografía

Arellano, L.E (2012). La cadena de custodia informático-forense. Revista ACTIVA,

NUMERO 3(ISSN 2027–8101), 67–81. https://n9.cl/jwf0l

C. (2018, 30 diciembre). ¡Que es la cadena de custodia? Informático forense.

https://www.informatico-forense.es/que-es-la-cadena-de-custodia/

Informática forense: el camino de la Evidencia digital. (s. f.). Ciencia y Técnica

Administrativa.
Recuperado 7 de junio de 2021, de
http://www.cyta.com.ar/biblioteca/bddoc/bdlibros/informatica_forence.htm

Peritaje informático.
https://peritoinformatico.es/cadena-de-custodia-peritaje-informatico/