Análisis

Forense
Informático
A L E X I S C A S T I L LO
¿QUÉ ES LA INFORMÁTICA
FORENSE?
Es la ciencia de adquirir,
preservar, obtener y
presentar datos que han
sido procesados
electrónicamente y
guardados en soportes
informáticos.
Relación con el Hacking Ético
 El Análisis Forense Informático:
Hoy en día…
La informática forense se refiere a un conjunto de procedimientos y técnicas metodológicas que
ayudan a identificar, recopilar, preservar, extraer, interpretar, documentar y presentar evidencia
de equipos informáticos, de manera que cualquier hallazgo sea aceptable en un proceso legal y/o
administrativo.

Objetivos:

• Rastrear y enjuiciar a los perpetradores de un delito cibernético.

• Reunir evidencia de delitos cibernéticos de una manera sólida y forense.

• Estimar el impacto potencial de una actividad maliciosa en la víctima y evaluar la intención del
perpetrador.

• Minimizar las pérdidas tangibles e intangibles para la organización.

• Proteger a la organización de incidentes similares en el futuro.

 Tipos de Cibercrímenes:
El ciberdelito se define como cualquier acto ilegal que involucre un
dispositivo informático, una red, sus sistemas o sus aplicaciones.

Ataques Internos Ataques Externos

• Espionaje • Ataque SQL

• Robo de propiedad intelectual • Fuerza bruta
• Manipulación de registros • Robo de identidad
• Ataque de caballo de Troya • Phishing/Suplantación de
identidad
• Denegación de servicio (DoS)
• Fuga de datos
 Retos de la Informática Forense
•Velocidad: El avance de la tecnología ha aumentado la rapidez con la que se cometen los
ciberdelitos; mientras tanto, los investigadores requieren autorizaciones y órdenes judiciales
antes de iniciar cualquier procedimiento legal.

•Anonimato: Los ciberdelincuentes pueden ocultar fácilmente su identidad haciéndose pasar

por otras entidades o enmascarando sus direcciones IP mediante proxies u otros métodos.

•Naturaleza volátil de la evidencia: Gran parte de la evidencia digital puede perderse con
facilidad, pues suele encontrarse en forma de datos volátiles como registros (logs), bitácoras,
señales de radio u otros medios.

•Tamaño y complejidad de la evidencia: La diversidad y naturaleza distribuida de los

dispositivos digitales dan lugar a una mayor cantidad y complejidad de la evidencia a analizar.
Retos de la Informática Forense
•Contramedidas de Forense Digital (ADF)
Los atacantes emplean cada vez más métodos de cifrado y técnicas de ocultación de
datos para dificultar la localización y preservación de la evidencia digital.

•Origen global y diferencias en las leyes

Los perpetradores pueden llevar a cabo sus ataques desde cualquier parte del mundo,
mientras que las autoridades suelen estar limitadas por leyes y jurisdicciones nacionales.

•Conocimiento legal limitado

Muchas víctimas desconocen la ley que se viola durante el delito cibernético y, en
consecuencia, no denuncian el incidente o lo hacen de forma tardía.
 Investigación del Cibercrimen
•La investigación de cualquier delito implica la meticulosa recolección de pistas y evidencia
forense, prestando gran atención a los detalles.

•Es inevitable que durante la investigación se encuentre al menos un dispositivo electrónico,

ya sea una computadora, un teléfono celular, una impresora o una máquina de fax.

•El dispositivo electrónico hallado puede ser esencial para la investigación, pues podría
contener evidencia valiosa para resolver el caso.

•Por lo tanto, la información contenida en dicho dispositivo debe investigarse de la manera

adecuada para que pueda utilizarse en un tribunal de justicia.

•Tipos de casos de investigación de ciberdelitos: civiles, penales y administrativos.

•Los procesos de recolección de datos, análisis y presentación varían según el tipo de caso.
 Casos Criminales Vs Casos Civiles
Casos Criminales Casos Civiles
• Los investigadores deben seguir • Los investigadores intentan
un conjunto de procesos forenses mostrar cierta información a la
estándar aceptados por la ley en parte contraria para respaldar un
la jurisdicción correspondiente. posible acuerdo.

• Con una orden judicial, los • La búsqueda de dispositivos suele

investigadores pueden incautar basarse en un acuerdo mutuo y el
forzosamente los dispositivos juez puede otorgar un plazo a la
informáticos. parte contraria para ocultar la
evidencia.
• Se requiere un informe formal de
investigación. • El reporte inicial de la evidencia
normalmente lo realizan los
abogados.
 Casos Criminales Vs Casos Civiles
Casos Criminales Casos Civiles
• Las agencias de aplicación de la • El despacho (o bufete) de
ley son responsables de abogados es responsable de la
recolectar y analizar la evidencia. recolección y el análisis de la
evidencia.
• Los castigos son severos e
incluyen multas, penas de cárcel • Las sanciones pueden incluir
o ambas. compensaciones económicas.

• Es difícil recopilar ciertos tipos de • Puede existir una cadena de

evidencia, por ejemplo, la custodia mal documentada o
información proveniente de desconocida.
dispositivos GPS.
• A veces, la evidencia se
encuentra bajo el control de un
Reglas de la Investigación
Forense
•Acceso y examen limitados a la evidencia original.

•Registrar cualquier cambio realizado en los archivos de evidencia.

•Crear un documento de cadena de custodia.

•Establecer estándares para la investigación de la evidencia.

•Cumplir con dichos estándares.

•Contratar profesionales para el análisis de la evidencia.

•La evidencia debe estar estrictamente relacionada con el incidente investigado.

Reglas de la Investigación
Forense
•La evidencia debe cumplir con las normas de la jurisdicción
correspondiente.

•Documentar los procedimientos aplicados a la evidencia.

•Almacenar la evidencia de forma segura.

•Emplear herramientas reconocidas para el análisis.

Herramientas Informáticas
Forenses
ACTIVIDAD
ENTENDIENDO LA EVIDENCIA
DIGITAL
La Evidencia Digital
•La evidencia digital se define como “cualquier información con valor probatorio que se
almacene o se transmita en formato digital”.

•La información digital puede recopilarse al examinar medios de almacenamiento digitales,

monitorear el tráfico de red o crear copias duplicadas de los datos digitales hallados durante la
investigación forense.

•La evidencia digital es circunstancial y frágil por naturaleza, lo que dificulta la labor de los
investigadores forenses para rastrear actividades delictivas.

•De acuerdo con el Principio de Intercambio de Locard, “cualquier persona o cosa que entra en
la escena del crimen se lleva algo de dicha escena y deja algo de sí misma cuando se va”.
Práctica 1
Realizar práctica de manejo de evidencia:
-Editor Hexadecimal:
-Herramienta de Generación de Hashes: HashCalc
Entendiendo la Evidencia Digital
•La evidencia digital se define como “cualquier información con valor probatorio que
se almacene o se transmita en formato digital”.

•La información digital se puede recopilar al examinar medios de almacenamiento

digitales, monitorear el tráfico de red o crear copias duplicadas de datos digitales
encontrados durante la investigación forense.

•La evidencia digital es circunstancial y frágil por naturaleza, lo que dificulta que un
investigador forense rastree las actividades delictivas.

•De acuerdo con el Principio de Intercambio de Locard, “cualquier persona o cosa

que entra en una escena del crimen se lleva algo de ella y deja parte de sí misma
cuando se marcha”.
Ejemplos de casos en los que la evidencia digital puede
ayudar al investigador forense tanto en la acusación
como en la defensa de un sospechoso:

•Robo de identidad
•Ataques maliciosos a los propios sistemas informáticos
•Fuga de información
•Transmisión no autorizada de información
•Robo de secretos comerciales
•Uso/abuso de Internet
•Producción de documentos y cuentas falsos
•Cifrado no autorizado o protección con contraseña de documentos
•Abuso de sistemas
•Comunicaciones por correo electrónico entre sospechosos/conspiradores
 Fuentes de Evidencia Potencial
Archivos creados por el Archivos protegidos por Archivos creados por la
usuario (User-Created el usuario (User- computadora (Computer-
Files) Protected Files) Created Files)
• Libretas de direcciones • Archivos comprimidos • Archivos de respaldo
• Archivos de bases de • Archivos con nombres (backup)
datos falsos • Archivos de registro (logs)
• Archivos de medios • Archivos cifrados • Archivos de configuración
(imágenes, gráficos, • Archivos protegidos con • Archivos de cola de
audio, video, etc.) contraseña impresión (spool)
• Documentos (texto, hojas • Archivos ocultos • Cookies
de cálculo, • Esteganografía • Archivos de intercambio
presentaciones, etc.) (swap)
• Marcadores o favoritos de • Archivos del sistema
Internet • Archivos temporales
Mejor regla sobre el manejo de la
Evidencia
La regla de la mejor evidencia se establece para evitar cualquier alteración de la
evidencia digital, ya sea de manera intencional o no intencional.

De acuerdo con esta regla, el tribunal solo acepta la evidencia original de un

documento, fotografía o grabación durante el juicio en lugar de una copia. No
obstante, se permitirá que el duplicado sea presentado como evidencia en las
siguientes circunstancias:

•Cuando la evidencia original haya sido destruida debido a un incendio o

inundación.
•Cuando la evidencia original haya sido destruida en el curso normal de la
actividad comercial.
•Cuando la evidencia original se encuentre en posesión de un tercero.
Práctica 2
ESCENARIO
• Existe un Mundo Ficticio dónde existen 4 países: Norte, Sur, Este y Oeste.
• Suceden incidentes de ataques informáticos.

¿Qué hacer?
• Crear una línea de tiempo para poder identificar los distintos incidentes y poderlos correlacionar.

• Realizar un análisis forense de los logs brindados.

• Tipo de Incidente: crear una tabulación que contenga las columnas: Tipo de Ataque/Incidente,
descripción, países
implicados, Objetivos comprometidos.

• ¿Cuál país o países eran los atacantes? Incluir IPs y evidencias que respalden su aseveración.

• Elaborar las conclusiones

Línea de Tiempo
1.

2.

3.

4.

5.

6.
 Tabulación
Ataque/Incidente Descripción Países Implicados Objetivos
Comprometidos
¿Cuáles eran los países
atacantes y atacados? Incluir Ips
Atacantes

Atacados
Conclusiones:
 Roles y Responsabilidades de un
Investigador Forense
•Determina la magnitud de los daños causados durante el delito.

•Recupera datos de valor investigativo de los equipos informáticos involucrados en crímenes.

•Reúne evidencia de manera técnicamente adecuada a los principios forenses.

•Garantiza que la evidencia no sufra ningún daño.

•Crea una imagen (copia exacta) de la evidencia original sin alterarla, para mantener la
integridad del original.

•Asesora a las autoridades en la realización de la investigación. En ocasiones, se requiere que

el investigador forense presente la evidencia y describa el procedimiento seguido para
obtenerla.
Roles y Responsabilidades de un
Investigador Forense
•Reconstruye discos dañados u otros dispositivos de almacenamiento y localiza la
información oculta en la computadora.

•Analiza los datos de evidencia encontrados.

•Prepara el informe de análisis.

•Informa a la organización acerca de diversos métodos de ataque y técnicas de

recuperación de datos, además de mantener un registro actualizado (siguiendo una
variante de la metodología de respuesta a incidentes).

•Presenta el caso ante un tribunal de justicia e intenta ganarlo mediante su testimonio en

la corte.
Código de Ética
Lo que un investigador Lo que un investigador
forense informático debe forense informático no
hacer: debe hacer:
Realizar investigaciones Rechazar evidencia, ya que
basadas en procedimientos esto podría ocasionar el
estándar ampliamente fracaso del caso.
reconocidos.
Divulgar información
Llevar a cabo las tareas confidencial sin contar con la
asignadas con gran dedicación debida autorización.
y diligencia.
Asumir tareas que excedan sus
Actuar con los más altos competencias o habilidades.
 Código de Ética
Lo que un investigador forense Lo que un investigador forense
informático debe hacer: informático no debe hacer:
Examinar la evidencia cuidadosamente, Realizar acciones que puedan generar un
dentro del alcance de la investigación conflicto de intereses significativo.
encomendada.
Presentar de manera engañosa su
Asegurar la integridad de la evidencia formación, credenciales o membresía en
durante todo el proceso de investigación. asociaciones.

Actuar de acuerdo con las leyes federales, Emitir opiniones personales o sesgadas.
estatales y locales, así como con las
políticas establecidas. Retener (y no presentar) cualquier
evidencia relevante para el caso.
Testificar con honestidad ante cualquier
consejo, tribunal o durante procedimientos
judiciales.
Equipo de Trabajo
• Mantener equipo pequeño para conservar
la confidencialidad de la investigación.
• Identificar los miembros del equipo y las
responsabilidades de cada uno.
• Asegurarse que cada miembro del equipo
tenga las tareas claras asociadas para su
función.
• Asignar un miembro del equipo para ser
líder técnico de la investigación.
Práctica 3
Realizar práctica de Análisis de Malware
Pasos de la Metodología
Escena del Crímen
Escena del crimen es el lugar donde los hechos sujetos a
investigación fueron cometidos (RAMSONWARE/HACKING...DNS
ENTRE OTROS), existen rastros y restos (INFORMATICOS), que quedan
en la víctima y victimario (QUIEN ORIGINA EL ATAQUE/FALLA).
Principio De Locard
SIEMPRE QUE DOS (Y MUCHOS MÁS) OBJETOS ENTRAN EN CONTACTO
TRANSFIEREN PARTE DEL MATERIAL QUE INCORPORAN AL OTRO OBJETO.

• Indicio: Cosa material, señal o circunstancia que

permite deducir la existencia de algo o la realización
de una acción de la que no se tiene un conocimiento
directo.

• Evidencia: es una muestra verificada y certera

obtenida en una investigación.

• Prueba: es todo motivo o razón aportado al proceso

por los medios y procedimientos aceptados en la ley
para llevarle al juez al convencimiento de la certeza
sobre los hechos discutidos en
un proceso.
Práctica 4
Realizar la práctica de Análisis de Base de Datos
 10 cosas que NO se deben hacer
1. No trate de “echar un vistazo” y manipular los datos del dispositivo.

2. No involucre personal de la unidad de TI a menos que estén familiarizados con los procedimientos en el manejo de pruebas electrónicas
y digitales.

3. No involucre personal de la unidad de TI a menos que estén conscientes de los estándares de admisibilidad legal de evidencias digitales.

4. No te demores: cuantos antes hagas el peritaje, mayor será la posibilidad de conservar las evidencias.

5. No despiertes sospechas: no le digas a nadie que se está investigando o peritando, ya que se retrasará al menos que sea necesario.

6. No se arriesgue a menos que sepa que respeta las leyes y normas jurídicas: se arriesga uno a romper leyes y complicar la situación.

7. No dude en realizar las mejores acciones que se deban de hacer: en caso de no hacerlo se complica la aceptación del peritaje.

8. No ignore la importancia del dictamen pericial informático: realice las revisiones con peritos.

9. No ignore la tentación de destruir la evidencia digital: generalmente se puede rastrear de cualquier manera y agrava el problema.

10. No enrede en la (teoría del fruto del árbol envenenado), recabando prueba de modo indebido y no aceptable legalmente.
 10 cosas que SI se deben hacer
1. Asegure el dispositivo que se encuentra bajo peritación para que ninguna persona no autorizada tenga acceso a este.

2. Si el dispositivo está apagado (Muerto), déjelo apagado; y si está encendido (Vivo), manténgalo encendido.

3. Prevea la utilización del equipo adecuado para el manejo de la evidencia.

4. Si el dispositivo está encendido, desconecte cualquier cable de red y desactive las conexiones Wi-Fi, Bluetooth o cualquier otro tipo de
enlace, si es posible.

5. Si el paso anterior no es posible, (por ejemplo, si no se puede desactivar la conectividad), retire la batería si el equipo lo permite, o en su
defecto documente la imposibilidad y proceda con cautela.

6. Anote y registre absolutamente todo: redes, personas involucradas, lugares, equipos, dispositivos, fechas y horas.

7. Reúna cualquier elemento digital y colóquelo debidamente etiquetado y embalado (por ejemplo, unidades USB, DVD, CD, computadoras
portátiles, cables, etc.).

8. Prepare un informe (dictamen pericial o reporte) con toda la información recopilada.

9. Mantenga la cadena de custodia e informe a la organización sobre hallazgos relevantes, siguiendo los protocolos forenses.

10. Solicite el asesoramiento de un perito o de una empresa especializada debidamente certificada, para coordinar las acciones a realizar en
el proceso de investigación.
Práctica 5
Realizar práctica de Esteganografía
Práctica 6
Análisis de Correo Electrónico