Seg. Ciber. Unidad 6

SEGURIDAD Unidad 6
CIBERNÉTICA
JOSE LUIS MARTINEZ MONTESINOS

DICIEMBRE 2023
6. Esteganografía, criptografía y técnica anti forense aplicable en
sistemas informáticos
Informática forense, significa utilizar algún tipo de proceso

científico establecido para la recopilación, análisis y
presentación de una evidencia que se haya recopilado.
Todas las formas de evidencia son importantes, sobre todo
en caso de ataques cibernéticos.
Es una disciplina que combina elementos del derecho y la

informática de cara a recopilar y analizar datos de sistemas
informáticos, redes, comunicaciones inalámbricas y
dispositivos de almacenamiento.
2
De tal modo que todo lo anterior se pueda admitir como

prueba ante un juez. Ante una brecha de ciberseguridad, es
clave la fase de recopilación de pruebas relevantes.
Lo que hay que hacer primero antes de iniciar una pericia

forense, es conocer la red, la infraestructura (anchos de
banda, protocolos, hw, sw, etc). Es importante entrevistar a
las victimas ya que deben tener a algún sospechoso.
Importante tener sincronizado el protocolo NTP (protocolo de

teimpo de red) en mi infraestructura, para identificar horarios
estándares como ayuda a lo forense.
3
Protocolo NTP (network time protocol)
Sincronizar los dispositivos de red y de host mediante este

protocolo.
Sincroniza los dispositivos de red como switches, ruteadores,

firewalls, equipos de cómputo, etc.
La sincronización se refiere a ajustar los tiempos de reloj de

los dispositivos al mismo reloj de referencia.
De no realizarse esta actividad de fácil implementación se

puede entorpecer enormemente la investigación forense
digital.
4
Pasos clave en la investigación forense
1. Obtener ordenes (legales) necesarias (para cateos)

2. Identificar el equipo donde se ejecuto el delito, o localizar
los dispositivos electrónicos para marcarlos como indicio
3. Fijación y ubicación del indicio
4.- Recolectar evidencia preliminar, Cubrir con bolsa de
aluminio para cortar comunicaciones
5.-Transportar evidencia al laboratorio forense o al área de
inteligencia
5
Pasos clave en la investigación forense
6. Generar el hash (claves o llaves para identificar

archivos)de la evidencia original (disco, archivos)
7. Crear copias de la evidencia y obtener su hash
8. Mantener la cadena de custodia
9. Almacenar la evidencia digital en un lugar seguro
10. Analizar la copia (imagen) de la evidencia
11. Realizar el dictamen
6
Imagen: Duplicar o copiar los datos originales.
• Duplicar los datos para preservar los datos originales

• Los datos deben ser duplicados “bit por bit”, para tener una
imagen igual al de los datos originales
• Los datos pueden ser duplicados, ya sea a través de HW o
servicios web
• La imagen o datos duplicados, son los que se envían al
laboratorio forense y al fiscal
• Al laboratorio para que sea analizado por el perito especialista
y al fiscal para otorgar copia a la defensa
Nunca hay que trabajar en la evidencia original
7
Hash: Una función matemática utilizada en criptografía,

convierte uno o varios elementos de entrada a una función
en otro elemento.
MD5: Es una función hash, muy popular y ampliamente

usada, mas rápida que SHA1.
SHA1: Es una función hash (Secure Hash Algorithm), mas

segura que MD5.
8
Esteganografía, criptografía y técnica anti forense aplicable en
MD5: protocolo criptográfico que se usa para autenticar
mensajes y verificar el contenido y las firmas digitales.
Como funciona:Ejecuta archivos enteros a través de un
algoritmo de hashing matemático para generar una firma
que pueda compararse con un archivo original. Así se puede
verificar que un archivo recibido coincida con el archivo
original que se envió
convierte los datos en una cadena de 32 caracteres. Por
ejemplo, la palabra «frog» siempre genera este hash:
938c2cc0dcc05f2b68c4287040cfcf71. Del mismo modo, un
archivo de 1,2 GB también genera un hash con el mismo
número de caracteres
9
Como funciona sha 1:
Se incorporan bits de relleno al mensaje de entrada. Esta operación
consiste en la adición de un "1" seguido de los "0" que sean necesarios
hasta completar el bloque de 512 bits. Este relleno sirve para ocultar la
estructura y longitud del contenido, dificultando al ciberdelincuente un
posible ataque.
Se le añade un bloque de 64 bits que represente la longitud del mensaje
original antes de ser rellenado.
Se inicializa la memoria temporal, que consta de 160 bits y cuya finalidad
es almacenar los resultados intermedios y finales de la función de
dispersión. Consta de 5 registros (A, B, C, D, E) de 32 bits cada uno.
Se procesa el mensaje por bloques de 512 bits. Cada uno pasa por un
módulo que consta de 4 rondas de procesamiento de 20 pasos cada una.
Las rondas tienen una estructura similar, con la excepción de que cada una
ocupa una función lógica primitiva diferente.
Una vez que se procesan todos los bloques de 512 bits, el resumen del
mensaje son los 160 bits de salida del último bloque.
10
Verificar la integridad de la imagen
MD5 hash: Calcular y verificar el hash MD5, para la

evidencia original y para la imagen.
Evidencia: Los mismos valores de hash, deben verse en la

imagen, como en la evidencia original.
Herramientas para calcular el valor hash: HashCalc, MD5

calculator, hash my files y MD5sum.
11
Software para recuperar datos perdidos o borrados.
• Recover my files
• Digital rescue
• EASEUS data recovery
• PC inspector file recovery
• Advanced disk recovery
12
Las técnicas anti-forenses buscan frustrar a los peritos,

pericias y herramientas forenses. Por ejemplo, las técnicas
de ocultamiento de datos esconden la evidencia digital.
En particular, la criptografía asegura la protección de datos

y brinda un canal de comunicación seguro ante un potencial
análisis forense.
La esteganografía oculta la información de tal modo que el

perito forense no advierte el envío de los datos secretos en
archivos o protocolos de red.
Wiping, eliminación segura de datos.

13
Criptografía
Del griego kryptos (secreto) y graphein (escritura), es un

conjunto de técnicas para proteger datos y tener una
comunicación segura en presencia de terceros, llamados
adversarios.
Paradójicamente, el adversario en este caso sería el perito

forense informático, de quien se desea proteger la
comunicación. La criptografía esta basada en matemática
avanzada, complejidad computacional, probabilidad y
estadística.
Se convierte en una herramienta potente y peligrosa en

manos de delincuentes informáticos.
14
Criptografía
Cifrado: Es el proceso de codificar un mensaje de tal

manera que su significado no es obvio.
Descifrado: Es el proceso inverso, transformando un

mensaje cifrado a su forma original.
Criptosistema: Un sistema que permite cifrado y decifrado
Texto plano: La forma original del mensaje
Texto cifrado: La forma cifrada del mensaje
15
Esteganografía
Del griego steganos (cubierto u oculto) y graphos

(escritura), evita que alguien no autorizado
detecte la presencia de datos. Hoy en día la estenografía es
uno de los métodos mas populares para ocultar la
información, dado que la trasmisión de datos en sistemas
de comunicación publica no es segura.
Los medios digitales usualmente incluyen datos

redundantes o innecesarios que pueden ser manipulados
para ocultar datos. Los datos o archivos secretos pueden
ser ocultados dentro de otros archivos de texto, imagen,
audio, video o incluso protocolos de red.
16
Esteganografía
El mensaje secreto se embebe en el archivo portador,

generando un archivo estego que oculta
la información secreta y esta expuesto en un canal
inseguro. Luego el extractor aplica un
proceso inverso y recupera idealmente el mensaje secreto
original
17
Esteganografía
Herramientas estenografía en imágenes

• Imagehide
• QuickStego
Herramientas estenografía en audio

• Mp3Stego
• Steghide
Herramientas estenografía en video

• Max File Encryption
• BDV dataHider
18
Wiping
Borrado de dispositivos de almacenamiento de forma

segura.
El más común consiste en 3 iteraciones. En la primera

escriben unos (1), en la segunda ceros (0) y en la tercera el
código designado por el algoritmo.
Hay diferentes versiones comerciales del algoritmo,

diferenciándose entre ellas el número de iteraciones y los
datos escritos.
A mayor número de rondas, en una implementación

correcta, debería lograrse.
19
Wiping
Los medios de almacenamiento basados en memoria flash,

como las unidades de estado sólido o las unidades flash
USB, y algunos discos mecánicos nuevos, pueden hacer
que las técnicas de borrado de datos fallen, permitiendo que
los datos remanentes sean recuperables.
Consiste en una aplicación de software que escribe de

manera forzosa una secuencia de ceros, unos o datos
pseudoaleatorios sin sentido, en todos los sectores de una
unidad de disco, asegurando el cumplimiento normativo de
estándares de seguridad informática.
20

Seg. Ciber. Unidad 6

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seg. Ciber. Unidad 6

Cargado por

Copyright:

Formatos disponibles

SEGURIDAD Unidad 6

JOSE LUIS MARTINEZ MONTESINOS

Informática forense, significa utilizar algún tipo de proceso

Es una disciplina que combina elementos del derecho y la

De tal modo que todo lo anterior se pueda admitir como

Lo que hay que hacer primero antes de iniciar una pericia

Importante tener sincronizado el protocolo NTP (protocolo de

Sincronizar los dispositivos de red y de host mediante este

Sincroniza los dispositivos de red como switches, ruteadores,

La sincronización se refiere a ajustar los tiempos de reloj de

De no realizarse esta actividad de fácil implementación se

1. Obtener ordenes (legales) necesarias (para cateos)

6. Generar el hash (claves o llaves para identificar

Imagen: Duplicar o copiar los datos originales.

• Duplicar los datos para preservar los datos originales

Hash: Una función matemática utilizada en criptografía,

MD5: Es una función hash, muy popular y ampliamente

SHA1: Es una función hash (Secure Hash Algorithm), mas

Verificar la integridad de la imagen

MD5 hash: Calcular y verificar el hash MD5, para la

Evidencia: Los mismos valores de hash, deben verse en la

Herramientas para calcular el valor hash: HashCalc, MD5

Software para recuperar datos perdidos o borrados.

Las técnicas anti-forenses buscan frustrar a los peritos,

En particular, la criptografía asegura la protección de datos

La esteganografía oculta la información de tal modo que el

Wiping, eliminación segura de datos.

Del griego kryptos (secreto) y graphein (escritura), es un

Paradójicamente, el adversario en este caso sería el perito

Se convierte en una herramienta potente y peligrosa en

Cifrado: Es el proceso de codificar un mensaje de tal

Descifrado: Es el proceso inverso, transformando un

Criptosistema: Un sistema que permite cifrado y decifrado

Texto plano: La forma original del mensaje

Texto cifrado: La forma cifrada del mensaje

Del griego steganos (cubierto u oculto) y graphos

Los medios digitales usualmente incluyen datos

El mensaje secreto se embebe en el archivo portador,

Herramientas estenografía en imágenes

Herramientas estenografía en audio

Herramientas estenografía en video

Borrado de dispositivos de almacenamiento de forma

El más común consiste en 3 iteraciones. En la primera

Hay diferentes versiones comerciales del algoritmo,

A mayor número de rondas, en una implementación

Los medios de almacenamiento basados en memoria flash,

Consiste en una aplicación de software que escribe de

También podría gustarte