UMG

JUTIAPA
Maestría en Segurida Informática
 Grupo 1
KENNET ANDERSÓN CASTILLO BARRIOS 1993-15-10513
MARIO RENÉ GONZALEZ CORADO 1993-15-4807
DARY BERNAN CASTILLO Y CASTILLO 1993-14-13061
MOISÉS ISMAEL SANTOS GÓMEZ 1993-15-12199
KERVINS ISAAC PINEDA CERMEÑO 1993-15-23624
 Introducción
Todas las empresas pueden estar expuestas a los ataques informáticos, al robo de información, el
concepto de análisis forense digital hace referencia a un conjunto de procedimientos de
recopilación y análisis de evidencias que se realizan con el fin de responder a un incidente
relacionado con la seguridad informática y que, en ocasiones, deben de servir como pruebas ante
un tribunal o ante alguna entidad de justicia.

Es por eso que se tomó a la organización DIRK, S.A., como punto de estudio para el análisis
forense ya que mediante este procedimiento se pretende responder a las siguientes preguntas:
¿qué?, ¿dónde?, ¿cuándo?, ¿por qué?, ¿quién? y ¿cómo?
Análisis Forense
El Análisis Forense Informático es la agrupación de técnicas científicas y técnicas de análisis
especializadas en las infraestructuras tecnológicas. Esas técnicas nos posibilitan realizar una
identificación, preservación, análisis y presentación de datos y documentación, que pueden ser
válidamente aceptados en un proceso legal. El Análisis Forense Informático es, por tanto un
análisis que se realiza una vez se ha detectado la amenaza y ésta se ha materializado.
Principio de Locard
A la hora de realizar un análisis forense digital es fundamental tener presente el
principio de intercambio de Locard, el cuál sentó las bases de la ciencia forense, y
que dice lo siguiente: “siempre que dos objetos entran en contacto transfieren parte
del material que incorporan al otro objeto”. Esto significa que cualquier tipo de
delito, incluidos los relacionados con la informática que son los que nos atañen,
dejan un rastro por lo que mediante el proceso de análisis forense se pueden obtener
evidencias.
Tipologías de un incidente
Robo de información
Fraude
Malware
Accesos no autorizados
Denegación de servicios
Defacement
Daños físicos
Piratería
Suplantación de identidad
Cadena de custodia
La cadena de custodia es el procedimiento de control que se
emplea para los indicios materiales afines al delito, desde su
ubicación, hasta que son valorados por los diferentes
funcionarios encargados de administrar justicia, y que tiene
como finalidad no viciar el manejo que de ellos se haga, y así
evitar la contaminación, alteración, daños, reemplazos,
contaminación o destrucción.
Análisis de la evidencia
• Identificación de la evidencia
• Recopilación de la evidencia
• Adquisición de la evidencia
• Preservación de la evidencia
• Documentación del incidente
• Informe ejecutivo
• Informe técnico
 Metodología de Informática Forense
• RFC 3227 - Directrices para la recopilación de evidencias y su
almacenamiento (Brezinski, 2002)

Proporciona las directrices para la recopilación y almacenamiento de evidencia,

dentro de las fases y actividades más importantes se destacan: (Arevalo, 2018).

• ISO 27037:2012 Guidelines for identification, collection, acquisition, and

preservation of digital evidence (ISO, 2012).

Proporciona pautas para actividades específicas en el manejo de evidencia

digital, que son la identificación, recopilación, adquisición y preservación de
evidencia digital potencial que puede tener valor probatorio
Herramientas Forenses
• Autopsy
• WinHex
• Wireshark
• OpenStego
• Disk Explorer for NTFS
• FTK Imager
• Osforensic
• Email TrackerPro
• Sqlite Browser
• Passware Kit Forensic
Resumen Análisis
Se ha invertido cerca de 72 horas de trabajo en la realización del presente estudio. Hemos hecho
especial hincapié en el esbozo detallado de una posible cronología de los hechos y en tratar de
encasillar cada una de las pruebas y evidencias que se han ido obteniendo paulatinamente.
Mostrando así la serie de resultados arrojados en el análisis realizado con las distintas herramientas en
la busque de archivos como son:

• Imágenes
• Videos
• Contactos
• Ubicaciones
• Emails
• Contraseña
• Recuperación de archivos
• Visualización de archivos ocultos, etc.
 Reglas de la Investigación Forense
➢ Acceso limitado y examen de las pruebas originales.
➢ Registrar los cambios realizados en los archivos de pruebas.
➢ Crear un documento de cadena de custodia.
➢ Establecer estándares para investigar la evidencia
➢ Cumplir con los estándares
➢ Contratar profesionales para el análisis de evidencias
➢ La evidencia debe estar estrictamente relacionada con el incidente.
➢ La evidencia debe cumplir con los estándares de la jurisdicción
➢ Documentar los procedimientos aplicados sobre la prueba
➢ Almacenar de forma segura la evidencia
➢ Utilizar herramientas reconocidas para el análisis.
Principios éticos
• Contribuir a la sociedad y bienestar humano.
• Evitar el daño.
• Ser honesto y confiable.
• Ser justo.
• Respetar el trabajo.
• Respetar la privacidad.
• Respetar la confidencialidad.
 Los diez mandamientos de la ética informática.

a) No usarás una computadora para dañar a otros.

b) No interferirás con el trabajo ajeno.
c) No indagarás en los archivos ajenos.
d) No utilizarás una computadora para robar.
e) No utilizarás la informática para realizar fraudes.
f) No copiarás o utilizarás software que no hayas comprado.
g) No utilizarás los recursos informáticos ajenos sin la debida autorización.
h) No te apropiarás de los derechos intelectuales de otros.
i) Deberás evaluar las consecuencias sociales de cualquier código que desarrolles.
j) Siempre utilizarás las computadoras de manera de respetar los derechos de los demás.
 Conclusiones

Se ha intentado destacar la necesidad de aplicar metodologías y

procedimientos específicos con el fin de asegurar la garantía de calidad de las
evidencias durante todo el proceso forense, haciendo hincapié en la
recopilación y custodia de las evidencias digitales, trabajando de una manera
ética y profesional en todo momento para lograr un trabajo de calidad y que se
obtengan los resultados deseados al momento de realizar el análisis en
cualquier circunstancia.
 Tabulación de la evidencia.
Datos digitales
No. Acción Herramienta utilizada Resultados del análisis Responsable Fecha y hora:
informáticos:
1 Recuperación de Recuperación de archivos de Kennet Andersón Castillo 02/08/2021 - 10:37
Winhex Imagen de HDD
información imágenes .JPG .GIF. PNG Barrios P.M.
2
Análisis del Recuperación de archivos de
Dary Bernán Castillo y 02/08/2021 - 11:09
sistema de Autopsy Imagen de HDD imágenes .JPG .GIF. PNG
Castillo P.M
archivos .MP4 .MP3
3
Disk explore for
Obtener cadenas Recuperación de archivos de Moisés Ismael Santos 02/08/2021 - 11:20
NTFS- Access Data Imagen de HDD
ocultas .JPG .GIF. PNG .MP4 .MP3 Gómez P.M
FTK Imager
4 Recuperación de archivos de Mario René González 03/08/2021 -12:15
Copias Forenses Osforensic Imagen de HDD
.JPG .GIF. PNG .MP4 .MP3 Corado A.M.
5 XpoLog Center Bitácora de acceso de datos e Kervins Isaac Pineda 03/08/2021 - 02:59
Bitácora de Datos Logs
Setup historial Cermeño P.M
6
FTP_attack -
Tráfico de Red, Protocolos de Kennet Andersón Castillo 03/08/2021 - 03:47
Ataques de red Wireshark Packet
Red, Credenciales de Login Barrios P.M
Capture.pcapng
 Tabulación de la evidencia.
Datos digitales
No. Acción Herramienta utilizada Resultados del análisis Responsable Fecha y hora:
informáticos:
7 Base de datos;
accounts, Cuentas de correo electrónico,
Análisis forense browser2, contactos de WhatsApp, grupos Dary Bernán Castillo y 03/08/2021 - 05:07
sqlitebrowser-3.8.0
de base de datos contacts2, de WhatsApp, historial de Castillo P.M
mgstore, wa, navegación
locksettings
8 Virustotal.com, Peid, Uknown.exe, Serie de archivos infectados con Moisés Ismael Santos 03/08/2021 - 06:39
Malware
PEView infected.pdf virus informáticos Gómez P.M
9 Ubicación de donde se envían los
Email Mario René González 03/08/2021 - 08:35
Correo electrónico Email TrackerPro correos ficticios, direcciones IP,
Headers.docx Corado P.M
Saltos de correo
10 Recuperación de archivos de
Investigando LG Device Kervins Isaac Pineda 03/08/2021 - 09:24
Autopsy imagen, audio, video, correos,
teléfono Image.E01 Cermeño P.M
contactos
11 Investigando
Passware Kit Documentos .docx Recuperación de contraseña para Kennet Andersón Castillo 03/08/2021 - 09:33
documentos con
forensic, apdfpr setup , .pdf acceso de documentos Barrios P.M
clave
12 Investigando
StegSpy, OpenStego, Archivos de Contenido oculto en imágenes, Dary Bernán Castillo y 03/08/2021 - 09:49
archivos tipo
DeepSoundSetup. imágenes y video esteganografía en imágenes Castillo P.M
imagen
 Thank You
CREDITS: This presentation template was created by Slidesgo,
including icons by Flaticon, infographics & images by Freepik