Análisis Forense en Red

Vista previa del material en texto

INSTITUTO POLITÉCNICO NACIONAL 
 
 
 
 
 
ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y 
ELÉCTRICA 
 
 
 
 
SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN 
 
 
 
 
RECOMENDACIONES PARA ANÁLISIS FORENSE EN RED. 
 
 
 
Trabajo
que
para
obtener
el
grado
de

Especialista
en
Seguridad
Informática
y

Tecnologías
de
la
Información




P









R









E









S









E









N









T









A

 
ING. ADOLFO JULIÁN PACHECO GUTIÉRREZ 
 
 
 
 
Asesor: 
 
M. EN C. MARCOS A. ROSALES GARCÍA. 
M. EN C. ELEAZAR AGUIRRE ANAYA 
 
 
 
 
 
México, D.F., Octubre 2009 
 
 
II 
 
 
 
III 
 
 
 
IV 
 Í N D I C E G E N E R A L . 
 
 
 
 
 CARTA DE REVISIÓN DE TESINA……………………..……………….. II 
 CARTA DE CESIÓN DE DERECHOS…………………..………………. III 
 ÍNDICE DE FIGURAS Y TABLAS…………………………...…………… VI 
 RESUMEN………………………………………………............................ VII 
 ABSTRACT……………………………………………………….………… VIII 
 
 
 
 
CAPÍTULO I 
MARCO DE REFERENCIA. 
 
 1.1. Antecedentes………………………….…………………………....... 1 
 1.2. Justificación…….……………………………………………….…….. 2 
 1.3. Planteamiento del problema………………………………………… 3 
 1.4. Objetivos…..…………………………………………………………... 3 
 
 
 
 
CAPÍTULO II 
PRINCIPIOS DE LA INFORMÁTICA FORENSE. 
 
2.1. Informática forense………..….……………………………………… 5 
 2.1.1. Evidencia digital…………………………………………....… 6 
 2.1.2. Delito informático..………………………………..………..… 7 
2.2. Metodología de análisis forense informático……………...….….… 10 
 2.2.1. Departamento de Justicia de E.U.A………………………… 10 
 2.2.2. Metodología NIST…..………………………………………… 11 
 2.2.3. Metodología propuesta de análisis forense en Red………. 12 
2.3. Informática forense en redes de computo…………………………. 13 
 2.3.1. Fases de un ataque informático..…..…………………....… 14 
 2.3.2. Herramientas de ataques en redes de computo.……....… 15 
 2.3.3. Recolección de información de la red.………….……....… 15 
 2.3.4. Escaneo de vulnerabilidades…………………..………..… 17 
 
 
 
 
 
 
 
 
 
 
V 
CAPÍTULO III 
INFRAESTRUCTURA DE RED 
 
3.1. Arquitectura general de la red…………….…………..……………. 19 
3.2. Hardware dentro de la red………….……………………………….. 23 
 3.2.1. Firewall…………………………………………………………. 23 
 3.2.2. Router.…………………………………………………………. 24 
 3.2.3. Switches….……………………………………………………. 24 
3.3. Software dentro de la red…………..…..…………………………… 25 
 3.3.1. Sniffers…………………………………………………………. 25 
 3.3.2. Sistema de Detección de Intrusos.…………………………. 26 
 3.4. Software de análisis…..……………………….……..…..………….. 28 
 3.4.1. OSSIM..………………………………………………………… 31 
 3.5. Monitoreo y captura de tráfico.…………………....………………... 32 
 3.6. Escaneo de red…….....…………………………..………………….. 34 
 3.7. Análisis de registros.....………………...……….……….…………... 35 
 
 
 CAPÍTULO IV 
HERRAMIENTAS DE ANÁLISIS FORENSE 
EN REDES DE COMPUTO 
 
4.1. Herramientas de servicios de red……………………………...……. 36 
4.2. Herramientas de reconstrucción de actividad en Internet.............. 45 
4.3. Herramientas para análisis de redes de computo..……..……...…. 52 
 4.3.1. Herramientas de reconocimiento de red……………………. 57 
4.4. Otras Herramientas indispensables..…………………………...….. 58 
 
 
CAPÍTULO V 
RECOMENDACIONES PARA EL ANÁLISIS FORENSE 
EN REDES DE COMPUTO 
 
5.1. Open Source Security Information Management………...……….. 62 
5.2. Servidor syslog….....…………………………………....………..….. 63 
5.3. Recomendaciones en las etapas del análisis forense en redes 
de computo…................................................................................ 65 
 5.3.1. Identificación del incidente.………………..…………………. 67 
 5.3.2. Recolección y preservación de evidencia……………….…. 69 
 5.3.3. Evaluación de los datos………….………..…………………. 72 
 5.3.4. Análisis de la información…………..……..…………………. 73 
 5.3.5. Reporte de resultados……………………..…………………. 76 
 
CONCLUSIONES 
 
 CONCLUSIONES…..…..………………………………………………….. 79 
 REFERENCIAS BIBLIOGRÁFICAS…..…………………………………. 80 
 
 
 
VI 
 ÍNDICE DE TABLAS Y FIGURAS. 
 
 
 
Figura 2.1 Violaciones de seguridad informática……………………….… 8 
Figura 2.2 Frecuencias de ataques informáticos……………………….… 9 
Figura 2.3 Proceso de análisis forense del Dep. de justicia de E.U.A.… 11 
Figura 2.4 Proceso forense del NIST…………………..………………….. 12 
Figura 2.5 Metodología propuesta………………………………………….. 13 
Figura 3.1 Infraestructura de red………………………………………….... 20 
Figura 3.2 Características del Modelo TCP/IP…………………...…..…… 21 
Figura 3.3 Correlación de Eventos…………………………………………. 30 
Figura 4.1 Ejecución de Fport…..…………………………………………... 37 
Figura 4.2 Ejecución de PsFile……….……………………………….…..... 39 
Figura 4.3 Ejecución de PsService……………………………..………….. 40 
Figura 4.4 Ejecución del comando Netstat..……………………………..... 41 
Figura 4.5 Ejecución del comando Nbtstat..……………………………..... 42 
Figura 4.6 Comando ARP………..………………………………………..... 42 
Figura 4.7 Interfaz de TCPView….……………………………………….... 44 
Figura 4.8 Interfaz de ShereEnum..……………………………..……...…. 44 
Figura 4.9 Interfaz de Mail PassView….…………………………..……..... 46 
Figura 4.10 Ejecución de IE Cookies View.…………………………..…….. 47 
Figura 4.11 Ejecución de Mozilla Cookies View….…………………..…..… 48 
Figura 4.12 Interfaz de IE History View…..…………………………………. 49 
Figura 4.13 Ejecución de IE Pass View..……………………………………. 50 
Figura 4.14 Interfaz de My Last Search..……………………………………. 50 
Figura 4.15 Ejecución de MessenPass..…………………………………….. 51 
Figura 4.16 Ejecución de Snot…….…………………………………………. 54 
Figura 4.17 Interfaz de Ethereal…..………………………………………….. 55 
Figura 4.18 Captura con Wireshark.…………………………………………. 57 
Figura 4.19 Resultado de Nslookup………………………………………..... 58 
 
 
 
 
 
 
 
 
 
VII 
 
 
 
 
R E S U M E N. 
 
 
 Existe una amplia variedad de herramientas y técnicas que tienen como 
finalidad la recolección de evidencia digital que esta involucrada en actividad ilícita 
pero, no hay una herramienta disponible en el mercado que realice el estudio de 
estos datos y eventos a fin de encontrar evidencia concreta que determine las 
causas del incidente. Esto se debe a que el análisis de eventos es una situación de 
investigación que implica razonamiento, cualidad única de los seres humanos, por lo 
que no es cercana su incorporación en una aplicación de software. 
 
 En este trabajo de tesina se propone dar una descripción de los elementos que 
integran una red de cómputo, así, como una revisión de las diferentes herramientas 
que son utilizadas en la administración de la red, con la finalidad de identificar y 
presentar recomendaciones para la realización del análisis forense en redes de 
computo. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
VIII 
 
 
 
 
A B S T R A C T. 
 
 
A wide variety of tools and techniques that aim to collect digital data involved in 
any illegal activity related to computer systems, but there is no tool available in the 
market that make the study of these data in order to find concrete evidence to 
determine the causes of the incident. This is because the analysis of events in a 
research situation involves reasoning, unique quality of humans, so there is no 
immediate incorporation into a software application. 
 
In this document intended to give a description of the elements that comprise a 
network, as well as a review of several tools that are used in network management, to 
identify and make recommendations for the conduct Network Forensics Analysis. 
 
 
 
1 
 
 
 
 
CAPÍTULO I. 
MARCO DE REFERENCIA. 
 
 
1.1. ANTECEDENTES. 
 
Actualmente el personal encargado de la administración de las redes de 
cómputo en la mayoría de las organizaciones, no cuentan con una metodología 
o procedimiento establecido para la realización de un análisis forense en red en 
caso de ocurrir un incidente informático y mucho menoscon la capacitación 
especializada que le permita llevar a cabo dichas tareas de una forma 
profesional; es por ello que surge la necesidad de contar con personal y equipo 
especializado en la realización de análisis forense en redes de computo. 
 
En el ámbito internacional no existe un estándar que indique como debe 
efectuarse un análisis forense en redes de computo, el levantamiento de 
evidencia física no es efectuado por un equipo experto, si no por los mismos 
empleados de la empresa, ya que son los que mejor conocen a los sistemas 
que serán analizados. 
 
El análisis forense de un sistema involucra primeramente la recopilación de 
información dispersa en todo el sistema y posteriormente un análisis de la 
misma; mientras más completa y contundente resulte dicha información, mayor 
valor probatorio tendrá el análisis realizado.[4] 
 
 
 
 
2 
1.2. JUSTIFICACIÓN. 
 
Con el crecimiento de las redes de cómputo para proporcionar servicios cada 
vez más indispensables en la vida cotidiana, se ha hecho evidente la necesidad 
de contar con personal capacitado para implementar los mecanismos 
indispensables (procedimientos y técnicas) que garanticen la seguridad de la 
información que se transmite a través de éstas redes y que permitan 
proporcionar información y servicios confiables dentro de cada organización. 
 
Sin duda, dentro de las organizaciones, a medida en que el uso de las redes de 
cómputo se fue generalizando, también se fue multiplicando el número de 
personas que ingresan ilegalmente a ellas; muchas de las violaciones a la 
seguridad de la información provienen del interior de las organizaciones. La 
inseguridad en la transmisión de datos por la red, se debe a la falta de cultura 
en seguridad informática de las organizaciones y de las personas que la 
administran.[11] 
 
Actualmente, las redes de cómputo se han convertido en el medio para cometer 
diferentes delitos incluyendo fraude, extorsión, robo de información, venganza o 
simplemente el desafío de penetrar un sistema. Esto puede ser realizado por 
empleados que abusan de sus permisos de acceso, o por atacantes que 
acceden remotamente o interceptan el tráfico de la red. 
 
Los administradores de las redes de cómputo, cuentan con herramientas para 
monitorear los procesos normales o si hay movimientos no habituales. Todos 
los movimientos de la red generan registros que pueden ser almacenados. 
 
Con ayuda de la informática forense aplicada a redes de computo, se puede 
mejorar, no solo la detección, sino también prevenir las intrusiones a la red. La 
informática forense es la aplicación legal de protocolos y técnicas para obtener 
y preservar evidencia digital relevante en torno a los ataques que pueden sufrir 
 
 
3 
los sistemas de cómputo, arrojando resultados de cómo mejorar la seguridad 
del sistema, encontrando los posibles errores y ayudando a encontrar posibles 
atacantes. 
 
El trabajo de un investigador forense en redes de computo es ofrecer un punto 
de partida para obtener el origen de los ataques, así, como en el mejor de los 
casos aportar pruebas para un juicio legal en contra del o los posibles culpables 
de cometer un delito informático. 
 
 
1.3. PLANTEAMIENTO DEL PROBLEMA. 
 
Actualmente las organizaciones no cuentan con personal especializado en el 
análisis forense en redes de computo. Por lo cual surge el siguiente 
planteamiento: 
 
 ¿Es posible contar en una organización, con una metodología de análisis 
Forense en Redes de computo y con tecnología que permita investigar y 
detectar el origen de un incidente informático, así, como su prevención? 
 
 
1.4. OBJETIVOS. 
 
Objetivo General. 
 
Generar recomendaciones para realizar un análisis forense en redes de 
computo. 
 
 
 
 
 
 
4 
Objetivos Particulares. 
 
• Describir la infraestructura genérica de hardware y software de una red 
de computo, dentro de una organización que sirva para identificar 
posibles fuentes de evidencia. 
 
• Revisión de las diferentes herramientas que son utilizadas en el análisis 
forense en redes de computo. 
 
• Identificar y presentar las recomendaciones propuestas para hacer un 
análisis forense en redes de computo. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
5 
 
 
 
 
CAPÍTULO II. 
PRINCIPIOS DE LA INFORMÁTICA FORENSE. 
 
 
2.1 . INFORMÁTICA FORENSE. 
 
El objetivo de un análisis forense informático es realizar un proceso de 
búsquedas detalladas que permitan reconstruir eventos a través del análisis de 
los medios, para determinar los acontecimientos que tuvieron lugar desde el 
momento en el que el sistema estuvo en su estado íntegro hasta el momento de 
detección de alguna intrusión. 
 
Según el FBI (Federal Bureau of Investigation), la informática forense es la 
ciencia de adquirir, preservar, obtener y presentar datos que han sido 
procesados electrónicamente y guardados en un medio computacional. En este 
sentido, la inseguridad se puede materializar en: eliminación de información, 
alteraciones de los datos, inadecuadas prácticas de disposición de medios, 
entre otras. La informática forense permite a las organizaciones comprender las 
revisiones requeridas en medios tecnológicos para valorar lo que sucedió, y de 
manera científica, explicar lo que pudo ocurrir, siempre basado en hechos y 
evidencia verificable.[8] 
 
Hoy en día, es difícil comprobar el origen de los ataques y aún más llegar a 
juzgar al atacante ya que, las pruebas obtenidas son poco confiables o no 
implican a una persona como autora del crimen. 
 
 
 
6 
La informática forense tiene 3 objetivos a saber: 
 
1. La compensación de los daños causados por los criminales o intrusos. 
2. La persecución y procesamiento judicial de los criminales. 
3. La creación y aplicación de medidas para prevenir casos similares. 
 
Estos objetivos son logrados de varias formas, pero la principal es la 
recolección y análisis de la evidencia digital. 
 
2.1.1. EVIDENCIA DIGITAL. 
Una evidencia digital es toda aquella información que podría ser 
capturada en medios de almacenamiento digital y posteriormente 
analizada para interpretar de la forma más exacta posible el incidente de 
seguridad: en qué ha consistido, qué daños ha provocado, cuáles son 
sus consecuencias y quién pudo ser el responsable. 
 
Una evidencia digital es un tipo de evidencia física, aunque es menos 
tangible, esta “construida por campos magnéticos y pulsos electrónicos 
que pueden ser recolectados y analizados con herramientas y técnicas 
especiales” por ejemplo claves públicas, registros de eventos (logs) y 
otros.[3] 
 
Hay que tener en cuenta que las evidencias digitales son fáciles de 
manipular ya que poseen la característica fundamental de ser volátil y 
además se pueden copiar fácilmente, lo cual permite el robo de 
información. Por ello es de vital importancia buscar un mecanismo que 
brinde la confianza y proporcione la autenticidad necesaria para que 
dichas evidencias puedan ser llevadas a un tribunal y puedan cumplir 
con un papel importante dentro de la investigación y el proceso judicial 
de los cibercriminales. 
 
 
 
7 
El diseño y producción de los registros electrónicos es de vital 
importancia en el manejo de evidencia digital, de estos pasos depende 
que la evidencia digital exista de forma coherente y luego pueda ser 
recolectada y utilizada como prueba incriminatoria de un delito 
informático. 
 
2.1.2. DELITO INFORMÁTICO. 
Los delitos informáticos, en general, son todos aquellos actos delictivos 
que son realizados con el uso de computadoras o medios electrónicos y 
que en estos delitos se dañe a los equipos, redes de computo o la 
información contenida en ellas, vulnerando, así, bienes jurídicos 
protegidos.[2] 
 
Con el término delito informático se conjuntan los hechos que, 
basándose en técnicas o mecanismos informáticos, pudieren ser 
tipificados como delito en el CódigoPenal Federal, tales como: delito de 
estafa, delito contra la propiedad intelectual e industrial. Debido a los 
avances tecnológicos y a los nuevos mecanismos para delinquir se ha 
hecho necesario introducir y modificar determinados artículos que 
permitan incluir éstos. 
 
En México los delitos de revelación de secretos y acceso ilícito a 
sistemas y equipos de computo ya sea que estén protegidos por algún 
mecanismo de seguridad, que se consideren propiedad del Estado o de 
las instituciones que integran el sistema financiero, son hechos 
sancionables por el Código Penal Federal en el titulo noveno capítulo I y 
II. El artículo 167 fracc. VI, sanciona con prisión y multa al que 
dolosamente o con fines de lucro, interrumpa o interfiera comunicaciones 
alámbricas, inalámbricas o de fibra óptica, sean telegráficas, telefónicas o 
satelitales, por medio de las cuales se transmitan señales de audio, video 
o datos.[12] 
 
 
8 
La reproducción no autorizada de programas informáticos o piratería está 
regulada en la Ley Federal de Derecho de Autor en el artículo 11. 
También existen leyes locales en el Código Penal del Distrito Federal y el 
Código Penal del estado de Sinaloa. 
 
En los Estados Unidos de América, el CSI (Instituto de Seguridad en 
Cómputo), realiza un estudio anual sobre la seguridad informática y los 
crímenes cometidos a través de los equipos de computo. El 13/o estudio 
fue denominado "Estudio de Seguridad y Delitos Informáticos" y se 
realizó a un total de 522 instituciones, principalmente grandes 
corporaciones y agencias del gobierno. 
 
En este estudio de seguridad y delitos informáticos participo el FBI de 
San Francisco, división de delitos informáticos, el objetivo de este 
esfuerzo es elevar el nivel de conocimiento de seguridad, así, como 
ayudar a determinar el alcance de los delitos informáticos en los Estados 
Unidos de Norteamérica. 
 
Entre lo más destacable del estudio de seguridad y delitos informáticos 
en el año 2008 se muestra que el 90% de los encuestados reportaron 
violaciones de seguridad. Esto se muestra en la figura 2.1. 
 
 
Figura 2.1. Violaciones de seguridad informática. 
 
 
9 
Por tercer año consecutivo, la mayoría de los encuestados (59%) 
mencionó que su conexión de Internet es un punto frecuente de ataque, 
el 38% reporto que esos ataques provenían de sus redes internas. En la 
figura 2.2, se muestra una grafica donde el 3% de los encuestados 
descubrieron accesos no-autorizados por personas dentro de la 
empresa. 
 
 
 
Figura 2.2. Frecuencias de ataques informáticos. 
 
Las tendencias que el estudio de CSI/FBI ha resaltado por años son 
alarmantes. Los "Cyber crímenes" y otros delitos de seguridad de 
información se han extendido y diversificado. El 90% de los encuestados 
reportaron ataques. Además, tales incidentes pueden producir serios 
daños. Las 273 organizaciones que pudieron cuantificar sus pérdidas, 
informaron un total de 265,589,940 dólares, claramente, la mayoría de 
estas detecciones fueron en condiciones que se apegan a prácticas 
legítimas, con un despliegue de tecnologías sofisticadas, y lo más 
importante, por personal adecuado y entrenado, tanto en el sector 
privado, como en el gobierno.[19] 
 
 
 
 
10 
2.2. METODOLOGÍA DE ANÁLISIS FORENSE INFORMÁTICO. 
 
El análisis forense informático constantemente a experimentando avances 
desde sus inicios hasta nuestros días, todo va dependiendo de la 
modernización de las herramientas que son utilizadas para llevar el análisis 
forense de una forma integra para dar los resultados esperados. Una 
investigación forense se conforma por diversas etapas en las cuales se 
describen procedimientos a seguir, aspectos tecnológicos y legales, por lo que 
es de vital importancia la existencia de una Metodología de Análisis Forense 
Integral que cubra las necesidades de cada organización. 
 
2.2.1. DEPARTAMENTO DE JUSTICIA DE E.U.A. 
El Laboratorio de Cibercrimen en la Sección de Propiedad Intelectual y 
Crimen Computacional (Computer Crime and Intellectually Property 
Section) desarrolló un diagrama de flujo en el cual se describe la 
Metodología de Análisis Forense Digital que cubre sus necesidades de 
operación, después de consultar con numerosos analistas forenses de 
varias agencias federales, el departamento de justicia identifica 6 fases 
que se muestran a continuación: 
• El empleo de métodos científicos. 
• Recolección y Preservación. 
• Validación. 
• Identificación. 
• Análisis e Interpretación. 
• Documentación y Presentación. 
 
En la Figura 2.3 se ilustra una vista general del proceso, las tres etapas, 
Preparación/Extracción, Identificación y Análisis están resaltadas en 
verde debido a que conforman el núcleo del análisis forense. 
 
 
 
 
11 
 
Figura 2.3. Proceso de Análisis Forense DOJ. 
 
El núcleo de la metodología forense, se explican partiendo de que los 
analistas ya han obtenido previamente la imagen de los datos, así, como 
los recursos necesarios para el análisis y concluye antes de la 
elaboración del reporte y el análisis del nivel del caso.[18] 
 
2.2.2. METODOLOGÍA NIST. 
Esta metodología es enfocada al análisis forense de evidencia digital, la 
meta principal del análisis forense es el obtener una mejor comprensión 
del caso a investigar, encontrando y analizando los hechos relacionados 
a este caso. El análisis forense puede ser necesario en diferentes 
situaciones, tales como la recopilación de evidencia para los 
procedimientos judiciales y medidas disciplinarias internas, ayudando en 
el manejo de incidentes relacionados con código malicioso (malware) y 
problemas operativos. Independientemente de las necesidades, el 
proceso de análisis forense de acuerdo al NIST debe realizarse en cuatro 
etapas, los detalles precisos de estas etapas, pueden variar en relación 
al requerimiento del análisis forense; las políticas organizacionales, 
directivas y procedimientos, indicando así, las variaciones de cada etapa. 
 
 
 
 
 
 
12 
 
 
 
Figura 2.4. Proceso Forense del NIST. 
 
 
Como se observa en la Figura 2.4, el proceso forense transforma los 
medios en evidencia, donde la evidencia es necesaria para las 
autoridades o para uso interno de las organizaciones. La primera 
transformación ocurre cuando se examinan los datos recolectados y se 
convierten a un formato que es compatible con las herramientas 
forenses, después los datos se transforman en información a través del 
análisis y finalmente la transformación de la información en evidencia se 
da en forma análoga a la acción de transferir el conocimiento, usando la 
información producida por el análisis en una o más formas durante la 
etapa de reporte.[6] 
 
2.2.3. METODOLOGÍA PROPUESTA DE ANÁLISIS FORENSE EN RED. 
En una publicación especial del NIST, SP 800-86 (Guide to integrating 
forensic techniques into incident response) se describen las fases 
principales de una metodología en análisis forense en equipos de 
cómputo, estas fases principales se retoman para su aplicación dentro 
del análisis forense en redes de computo, en esta publicación describen 
las fases de: 
 
• Recolección del tráfico de la red. 
• Examinar y analizar del tráfico de la red. 
• Recomendaciones. 
 
Evidencia Datos Información Resultados 
 
 
13 
Dentro de distintas bibliografías consultadas referentes a la aportación de 
información en el análisis forense digital se han encontrado puntos en 
común que se toman como base para plantear las fases de una 
metodología de análisis forense en redes de computo. Tales fases se 
muestran en la figura 2.5 y son las siguientes: 
 
• Identificación del incidente. 
• Recolección y Preservación de la evidencia. 
• Evaluación de los datos. 
• Análisis de la información. 
• Reporte de resultados. 
 
 
Figura 2.5. Metodología Propuesta. 
 
 
2.3. INFORMÁTICA FORENSE EN REDES DE COMPUTO. 
 
La forensia en redes decomputo es la captura, grabación y el análisis de los 
acontecimientos en la red para descubrir la fuente de ataques o cualquier otro 
incidente. 
 
La Forensia en Red o Network Forensics es un escenario complejo, pues es 
necesario comprender la manera de como los equipos, protocolos, 
configuraciones e infraestructuras de comunicaciones se conjugan para dar 
como resultado un momento específico en el tiempo y un comportamiento en 
 
 
14 
particular. Entendiendo el funcionamiento de las redes de cómputo, se puede 
establecer los rastros, los movimientos y acciones que un intruso ha 
desarrollado para concluir su acción, siguiendo los protocolos y formación 
criminalística. A diferencia de la definición de cómputo forense, el contexto de 
forense en redes de computo exige capacidad de correlación de eventos, 
muchas veces separados y aleatorios, que en equipos particulares se presenta 
con poca frecuencia.[1] 
 
2.3.1. FASES DE UN ATAQUE INFORMÁTICO. 
Los ataques contra redes y sistemas informáticos tiene distintas fases o 
etapas, algunas de ellas se presentan continuación: 
 
• Descubrimiento y explotación del sistema informático. 
 
• Búsqueda e identificación de vulnerabilidades en el sistema. 
 
• Explotación de las vulnerabilidades detectadas (para ello, se utilizan 
herramientas específicamente construidas para tal fin, por ejemplo 
exploits). 
 
• Compromiso del sistema: Es la modificación de programas y archivos 
del sistema para dejar instaladas determinadas puertas traseras o 
troyanos; creación de nuevas cuentas con privilegios administrativos 
que faciliten el posterior acceso del ataque al sistema afectado. 
 
• Eliminación de las pruebas que pueden revelar el ataque y el nivel de 
compromiso del sistema: Se basa en la eliminación o modificación de 
los registros de actividad del equipo “logs”; modificación de los 
programas que se encargan del monitoreo de la actividad del 
sistema. 
 
 
 
15 
2.3.2. HERRAMIENTAS DE ATAQUES EN REDES DE COMPUTO. 
En cuanto a los medios y herramientas disponibles en la actualidad para 
realizar ataques en redes de cómputo existen las siguientes: 
 
• Scaneo de puertos: que permiten detectar los servicios instalados 
y puertos abiertos en un determinado sistema informático. 
• Sniffers: dispositivos que capturan los paquetes de datos que 
circulan por una red. 
• Exploits: herramienta que busca y explota vulnerabilidades 
conocidas. 
• Backdoors kits: programas que permiten explorar y abrir puertas 
traseras en los sistemas. 
• Rootkits: programa utilizado para ocultar puertas traseras en los 
propios archivos ejecutables y servicios del sistema, que son 
modificados para facilitar el acceso y posteriormente controlar el 
sistema. 
• Auto-rooters: herramientas capaces de automatizar totalmente un 
ataque, escanear sus posibles vulnerabilidades, explotarlas y 
obtener acceso al sistema comprometido. 
• Password crackers: aplicaciones que permiten averiguar las 
contraseñas de los usuarios de sistemas comprometidos. 
• Analizador de vulnerabilidades: herramienta que analiza al 
equipo en búsqueda de fallos de seguridad. 
• Técnicas de spoofing: Facilitan la ocultación y la suplantación de 
direcciones IP, dificultando en este modo la identificación del 
atacante. 
 
2.3.3. RECOLECCIÓN DE INFORMACIÓN DE LA RED. 
Generalmente el primer paso es saber de qué forma se debe recolectar 
la información y qué tipo de información será necesaria. La meta es 
recolectar la información acerca de los servidores residentes y construir 
 
 
16 
una base de datos que contenga la estructura de red de la organización. 
 
De los protocolos y herramientas para la recolección de información de la 
red se pueden mencionar las siguientes: 
 
• El programa TraceRoute puede revelar el número de redes 
intermedias y los ruteadores en torno a un servidor específico. 
 
• El comando Whois se basa en el uso del Protocolo TCP (Protocolo 
de Control de Transmisión) basado en petición/repuesta que se 
utiliza para efectuar consultas en una base de datos que permite 
determinar el propietario de un nombre de dominio o una dirección IP 
en Internet. 
 
• El Programa Nslookup realiza consultas al DNS (Servidor de 
Nombres de Dominio) para obtener una lista de las direcciones IP y 
sus correspondientes nombres. 
 
• El protocolo Finger puede revelar información detallada acerca de los 
usuarios (nombres de Login, números telefónicos, fecha y hora de 
última sesión, etc.) de un equipo en específico. 
 
• El protocolo SNMP (Protocolo Simple de Administración de Red) se 
utiliza para examinar la tabla de ruteo de un dispositivo, esto es útil 
para conocer los detalles de la topología de red perteneciente a una 
organización. 
 
• El protocolo ICMP (Protocolo de Control de Mensajes de Internet) se 
emplea para localizar un equipo en particular y determinar si se 
puede alcanzar desde un segmento de red. Este protocolo es usado 
por el comando ping que realiza un escaneo por medio de llamadas a 
 
 
17 
la dirección de un servidor haciendo posible construir una lista de los 
servidores que actualmente pertenecen a la red. 
 
2.3.4. ESCANEO DEL VULNERABILIDADES. 
Un escaneo de vulnerabilidades se utiliza para probar el nivel de 
seguridad en un equipo determinado dentro de una red; un administrador 
de redes hábil puede usar estas herramientas en su red privada para 
descubrir los puntos potenciales donde es vulnerable su seguridad y así, 
determina que equipos necesitan ser actualizados, pero los atacantes 
utilizan los resultados obtenidos para intentar un acceso no autorizado. 
 
A continuación se presentan algunos usos de las herramientas que 
funcionan de manera automática y que son utilizadas con mayor 
frecuencia por los atacantes para explorar individualmente los servicios 
proporcionados por una red de computo: 
 
 Varias herramientas son de dominio público, tal es el caso de ISS 
(Internet Security Scanner) o la herramienta de Análisis de 
Seguridad para Auditoria de Redes (SATAN), la cual puede rastrear 
una subred o un dominio y ver las posibles fugas de seguridad. 
Estos programas determinan la debilidad de cada uno de los 
sistemas 
 
 Una vez obtenida una lista de las vulnerabilidades de los servicios 
en la red, se puede escribir un pequeño programa que intente 
conectarse a un puerto especificando el tipo de servicio que esta 
asignado al servidor en cuestión. La aplicación del programa 
presenta una lista de los servidores que soportan servicio de 
Internet y están expuestos al ataque. 
 
 
18 
Después de lograr el acceso a un sistema protegido, se presentan una 
infinidad de opciones con las cuales el atacante podrá causa daño, estas 
opciones pueden ser las siguientes: 
 
• Se puede atentar destruyendo toda evidencia del ataque y además 
seguir teniendo acceso sin que el ataque original sea descubierto. 
 
• Pueden instalar paquetes que incluyan códigos binarios conocidos 
como "caballos de Troya" protegiendo su actividad haciéndola 
transparente. Los paquetes recolectan las cuentas y contraseñas 
para los servicios de Telnet y FTP (Protocolo de transferencia de 
archivos) permitiendo expandir su ataque a otras máquinas. 
 
• Se puede obtener acceso privilegiado a un sistema compartido. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
19 
 
 
 
 
CAPÍTULO III. 
INFRAESTRUCTURA DE RED. 
 
 
3.1. ARQUITECTURA GENERAL DE LA RED. 
 
Dentro de una red de cómputo existen varios tipos de elementos que la 
integran, estos elementos ya sea finales o intermedios, sirven de fuente de 
información útil para la realización de un análisis forense. Antes de utilizar 
cualquier herramienta de monitoreo o análisis de red, se debe entender la 
arquitectura general de una red de cómputo. El primer punto para los 
administradores de la red es saber dónde está el tráfico de interés. A 
continuación se describenlos elementos que integran una red de cómputo 
como lo son firewalls, routers, IDS´s (Sistemas de Detección de Intrusos), etc. 
que se muestran en la figura 3.1, con la finalidad de saber qué tipo de 
información y en que dispositivos de red se pueden encontrar elementos 
necesarios que ayuden a realizar un análisis forense en redes de computo. 
 
 
 
20 
 
Figura 3.1. Infraestructura de red. 
 
El modelo TCP/IP se encuentra dividido en cuatro capas que están 
jerarquizadas como se indican en la figura 3.2, en cada una de ellas, sus 
servicios y funciones son variables para cada tipo de red. Sin embargo, en 
cualquier red, la misión de cada capa es proveer servicios a las capas 
superiores haciendo transparente el modo en que los servicios se llevan a cabo. 
De esta manera, cada capa debe ocuparse exclusivamente de su nivel 
inmediatamente inferior, a quien solicita servicios, y del nivel inmediatamente 
superior, a quien devuelve resultados. Cada una de las cuatro capas del 
protocolo TCP/IP contiene información importante. La capa de acceso al medio 
proporciona información acerca de componentes físicos, mientras que otras 
 
 
21 
capas describen los aspectos lógicos. Para identificar los eventos dentro de una 
red, un analista puede relacionar una dirección IP con la dirección MAC; la 
combinación del protocolo IP y los números de puertos pueden decirle a un 
analista qué aplicación se esta utilizando; esto puede ser verificado mediante el 
análisis de los datos de la capa de aplicación.[10] 
 
Capas. Descripción. Protocolos. Dispositivo de red. 
Aplicación. 
• Posibilita las distintas 
aplicaciones de 
usuario. 
• Aplicaciones y 
procesos que usa la 
red. 
HTTP, FTP, 
DNS, TELNET, 
SMTP/POP, 
DHCP. 
Firewall 
(Filtrado de 
tráfico HTTP) 
Transporte. 
• Intercambio de datos 
de forma segura. 
• Los datos llegan al 
destino en el mismo 
orden en que fueron 
enviados. 
• Servicio de entrega de 
datos entre nodos. 
TCP, UDP 
Firewall 
(Filtrado de 
puertos) 
 
Internet. 
• Encaminamiento a 
través de varias redes. 
• Define el datagrama y 
determina el 
enrutamiento. 
Ethernet, 
Token Ring, 
PPP, Frame 
Relay, ATM, 
IEEE 802.11. 
Firewall 
(Filtrado de 
paquetes IP) 
Router 
(direcciones IP) 
Acceso al 
medio. 
• Interfaz física entre el 
dispositivo de 
transmisión de datos y 
el medio de 
transmisión o red. 
• Especificación de las 
características del 
medio de transmisión. 
• La naturaleza de las 
señales. 
• La velocidad de los 
datos. 
• Intercambio de datos 
entre el sistema final y 
la red. 
Medio físico y 
técnicas de 
codificación. 
Switch 
(Direcciones 
MAC) 
 
Firewall 
(Filtrado de 
direcciones 
MAC) 
Figura 3.2. Características del Modelo TCP/IP. 
 
 
22 
 
Cuando los analistas comienzan a examinar los datos, es típico que inicien por 
la dirección IP de interés y tal vez el protocolo y la información del puerto. Esta 
información es suficiente para apoyar la búsqueda de fuentes de datos para 
obtener más información. En la mayoría de los casos, la capa de aplicación 
contiene la actividad de interés, muchos de los atacantes encuentran las 
vulnerabilidades en las aplicaciones (incluidos los servicios). Los analistas 
tienen la necesidad de examinar las direcciones IP a fin de identificar a los 
usuarios que puedan haber participado en la actividad. 
 
En la actualidad los administradores de redes se basan en los registros del IDS 
(Sistema de Detección de Intrusos) y del firewall para realizar un análisis 
forense. Pero por ejemplo en un IDS no se puede utilizar para encontrar las 
víctimas de una rápida propagación de un virus. Esto se debe a que la 
propagación del virus es más rápida de lo que se podrían actualizar las firmas 
del IDS. 
 
Los atacantes de las redes de cómputo a menudo ocultan su identidad y lugar, 
pero forman una cadena de conexión, acceden a un conjunto de sistemas o 
comprometen su identidad antes de atacar un objetivo. Un método para 
detectar atacantes consiste en analizar huellas de los paquetes contenidos en 
las conexiones que se utilizan, pudiendo ser comparadas para determinar si dos 
conexiones contienen el mismo texto y, por tanto, puede ser parte de la misma 
cadena de conexión. El método, sin embargo, falla cuando las conexiones están 
codificadas. Existen herramientas de captura de paquetes que se centran en 
capturar el tráfico de la red en bruto de una LAN (Red de Área Local) y 
almacenarla durante días. 
 
 
 
 
 
 
23 
3.2. HARDWARE DENTRO DE LA RED. 
 
3.2.1. FIREWALL. 
Un Firewall como se describe en el RFC 2979, “Es un agente que vigila 
el tráfico de una red y que basado en reglas bloquea el tráfico que se 
considera inadecuado, peligroso o ambos”. Un Firewall simplemente es 
un filtro que controla todas las comunicaciones que pasan de una red a 
otra y está en función de permitir o negar todo a su paso basado en un 
conjunto de normas dictadas por el administrador de la red. Funciona a 
nivel de enlace de datos como filtro con la dirección MAC, a nivel de red 
permite filtrados de paquetes IP (dirección origen, dirección destino), o a 
nivel de transporte con los puertos origen y destino. Un firewall 
básicamente es utilizado para realizar las siguientes funciones 
generales[9]: 
 
• Filtrado de paquetes y protocolos. 
• Inspección del estado de las conexiones. 
• Realizar la función de Proxy sobre aplicaciones seleccionadas. 
• Realizar NAT (Traducción de Direcciones de Red). 
• Registrar el tráfico denegado. 
 
El firewall es capaz de realizar el filtrado de paquetes basándose en las 
siguientes características: 
 
• Protocolos (IP, ICMP, etc.). 
• Direcciones IP (origen y destino). 
• Puertos origen y destino (identificando la aplicación en uso). 
• Definir las políticas internas del firewall para el paquete entrante. 
 
 
 
 
 
24 
3.2.2. ROUTER. 
Un router es un dispositivo de hardware que se utiliza para la 
interconexión de redes de cómputo, opera en la capa tres (nivel de red). 
Este dispositivo permite asegurar el tráfico de paquetes entre redes, es 
capaz de asignar diferentes preferencias a los mensajes que fluyen por la 
red y seleccionar los caminos más cortos que otros, así como, de buscar 
soluciones alternativas cuando un camino está saturado. 
 
3.2.3. SWITCHES. 
Un switch es un dispositivo de interconexión de redes de cómputo que 
opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Su función 
es interconectar dos o más segmentos de red, de manera similar a los 
puentes (bridges), pasando datos de un segmento a otro de acuerdo con 
la dirección MAC de destino de las tramas en la red, se utilizan cuando 
se desea conectar múltiples redes, fusionándolas en una sola. 
 
Los switches poseen la capacidad de aprender y almacenar las 
direcciones de red de nivel 2 (direcciones MAC) de los dispositivos 
alcanzables a través de cada uno de sus puertos. Por ejemplo, un equipo 
conectado directamente a un puerto de un switch provoca que se 
almacene su dirección MAC, esto permite que la información dirigida a un 
dispositivo vaya desde el puerto de origen al puerto de destino, por lo 
tanto en el puerto de interconexión se almacenan las MAC de los 
dispositivos. 
 
Proxy es un programa o dispositivo que sirve para permitir el acceso a 
Internet a todos los equipos de una organización cuando sólo se puede 
disponer de un único equipo conectado, esto es, una única dirección IP. 
 
Los Firewalls y routers suelen ser configurados para registrar la mayor 
información, dicha información registrada normalmente incluye la fecha y 
 
 
25 
la hora en que fue procesado el paquete, el origen y el destino de las 
direcciones IP, el protocolo de capa de transporte (por ejemplo, TCP, 
UDP, ICMP), y la información básica de protocolo (TCP o UDP, números 
de puerto, tipo y código ICMP). El contenido de los paquetes por lo 
general no se registran.[14]Basados en la traducción de direcciones de red (NAT) que realizan los 
firewall y routers se pueden encontrar valiosos datos adicionales en 
relación con el tráfico de la red. NAT es el proceso de ligar una dirección 
de red con otra o con otras, normalmente se relacionan una o más 
direcciones privadas de una red interna con una direcciones públicas en 
una red que está conectada a Internet. 
 
Algunos firewalls también actúan como proxys. Cuando un servidor proxy 
se encuentra en función, realiza dos conexiones: una entre el cliente y el 
servidor proxy, y otro entre el servidor proxy y el verdadero destino. Los 
servidores proxy pueden registrar la información básica acerca de cada 
conexión. Además de proporcionar NAT y servicios. 
 
 
3.3. SOFTWARE DENTRO DE LA RED. 
 
3.3.1 SNIFFERS. 
Un sniffer está diseñado para monitoreo y captura de paquetes del tráfico 
de la red ya sea por cable o en redes inalámbricas. Normalmente, una 
tarjeta acepta sólo paquetes que están destinados específicamente a 
ella, pero cuando una tarjeta se coloca en modo promiscuo, acepta todos 
los paquetes independientemente de su destino. El usuario configura el 
sniffer para capturar sólo aquellos paquetes con características 
particulares (ejem: determinados puertos TCP, direcciones IP de origen o 
de destino). Los sniffer son comúnmente utilizados para capturar un tipo 
 
 
26 
especifico de tráfico. Por ejemplo, si las alertas de un IDS indican una 
inusual actividad de la red entre dos hosts, un sniffer puede grabar todos 
los paquetes que viajan entre ellos para poder proporcionar información 
adicional para los analistas. 
 
La mayoría de los sniffer son también analizadores de protocolos. Un 
analizador de protocolos es una herramienta que sirve para depurar 
protocolos y aplicaciones de red. Permite capturar diversas tramas de red 
para analizarlas, ya sea en tiempo real o después de haberlas capturado. 
Por analizar se entiende que el programa puede reconocer que la trama 
capturada pertenece a un protocolo concreto (TCP, ICMP) y muestra al 
usuario la información decodificada. Los analizadores de protocolos son 
muy valiosos ya que pueden mostrar los paquetes de datos en un 
formato comprensible. 
 
3.3.2. SISTEMA DE DETECCIÓN DE INTRUSOS (IDS). 
La detección de intrusos es el proceso de dar seguimiento y análisis a los 
acontecimientos que ocurren en un sistema o en una red en busca de 
signos de posibles incidentes, amenazas o violación de las políticas de 
seguridad. Un IDS es un software que automatiza el proceso de 
detección de intrusos. Un IDPS (Sistema de Detección y Prevención de 
Intrusos) es un software que tiene todas las capacidades de un sistema 
de detección de intrusos y también puede emitir acciones en el momento 
de un incidente.[6] 
 
Para cada evento sospechoso, un IDS registra en general la fecha y la 
hora, las direcciones IP de origen y de destino, las características 
básicas de los protocolos utilizados, así, como las aplicaciones 
específicas de información como lo son: el nombre de usuario y el 
nombre del archivo. Algunos IDSs pueden ser configurados para capturar 
los paquetes relacionados con la actividad sospechosa, esto puede ir 
 
 
27 
desde la grabación de sólo el paquete que provocó la actividad inusual, a 
la grabación del resto de sesiones durante un breve período de tiempo, 
de modo que si algo sospechoso se detecta en la actividad anterior, el 
período puede ser almacenado en el IDS logs. 
 
Los componentes típicos de los IDS´s son los siguientes: 
 
Sensor o Agente: Los Sensores se encargan de vigilar y analizar la 
actividad dentro de una red, el término sensor se suele utilizar en los 
IDPSs basados en red y en las conexiones inalámbricas, y el término 
agente se suele utilizar para IDPSs basados en hosts. 
 
Management Server: Es un servidor que se centra en la administración 
de la información, realiza la identificación y análisis de los eventos que 
envían los sensores o agentes. Relaciona la información de los eventos, 
tales como la búsqueda de acontecimientos generados por alguna 
dirección IP. En algunos casos, hay dos niveles de servidores de 
administración: 
 
• Servidor de base de datos. Un servidor de base de datos es un 
repositorio de información de eventos registrados por los 
sensores, los agentes, y / o de gestión de servidores. 
 
• Consola. Una consola es un programa que proporciona una 
interfaz para los administradores de los IDPSs, algunas consolas 
se utilizan sólo para realizar la configuración de los sensores o 
agentes, así, como la aplicación de las actualizaciones del 
software, mientras que otras consolas se utilizan estrictamente 
para el seguimiento y análisis. 
 
 
 
 
28 
3.4. SOFTWARE DE ANÁLISIS. 
 
Las herramientas de análisis forense en redes de computo suelen ofrecer la 
misma funcionalidad, con relación a la captura de información que el software y 
hardware descrito en los puntos anteriores como un sniffer, un analizador de 
protocolos, etc. pero todo en un mismo producto. Una herramienta forense en 
redes de computo se centra principalmente en la búsqueda, recolección y 
análisis del tráfico de la red. A continuación se describen las características con 
las que deben de ofrecen las herramientas forense, tales como las siguientes[9]: 
 
• La reconstrucción de eventos, que van desde una sesión individual (por 
ejemplo, la mensajería instantánea entre dos usuarios) hasta todos los 
períodos de sesiones durante un tiempo determinado. 
 
• Visualización del flujo de tráfico y las relaciones entre los hosts. Algunas 
herramientas pueden incluso relacionar direcciones IP, nombres de 
dominio u otro tipo de datos a ubicaciones físicas. 
 
• Creación de perfiles para la actividad típica y la identificación de posibles 
desviaciones significativas. 
 
• Aplicación de búsqueda de contenidos por palabras clave (por ejemplo, 
confidencial, urgente, etc.). 
 
El éxito de las herramientas aplicables al análisis de redes de computo es que 
debe ser capaz de capturar y almacenar el tráfico de una red totalmente 
saturada para su posterior análisis. La mayoría de las organizaciones utilizan 
servicios que se pueden utilizar como fuentes de captura de información de 
tráfico de la red, que pueden ser de utilidad para el análisis forense, entre los 
servicios están los siguientes: 
 
 
 
29 
• Servidores DHCP (Dynamic Host Configuration Protocol): El 
servicio DHCP asigna direcciones IP a las máquinas de una red, 
según sea necesario. Algunos hosts puede tener direcciones IP 
estáticas, lo que significa que siempre reciben la misma asignación 
de dirección IP, sin embargo, la mayoría de hosts dinámicos suelen 
recibir asignaciones de dirección, esto significa que los hosts 
dinámicos están obligados a renovar su dirección IP 
frecuentemente. Los servidores DHCP puede contener registros de 
la sesión que incluyen la dirección IP asignada a la dirección MAC, 
y el momento en que la sesión se produjo.[17] 
 
• Software de monitoreo de Red: Este Software está diseñado para 
observar el tráfico de la red y recopilar estadísticas. Por ejemplo, 
puede grabar la información acerca de los flujos de tráfico para un 
determinado segmento de red, tales como la cantidad de ancho de 
banda normalmente consumidos por diversos protocolos, también 
recoge información más detallada sobre la actividad de la red, tales 
como el tamaño y la carga útil de las direcciones IP del origen y 
destino y puertos para cada paquete. 
 
• ISP (Proveedor de servicios de Internet): Los ISPs como parte 
normal de sus operaciones podrán recolectar los datos del tráfico 
de la red e investigar la actividad inusual, como lo son los altos 
volúmenes de tráfico o de una actividad inusual. Los registros en un 
ISP habitualmente son almacenados sólo por unos días u horas. En 
la actualidad se discute las consideracionesjurídicas que participan 
en la recolección y almacenamiento de datos, ya que no existe un 
tiempo de almacenamiento obligatorio.[13] 
 
• Aplicaciones cliente/servidor: La utilización de algunas de estas 
aplicaciones pueden registrar información sobre el éxito y no de los 
 
 
30 
intentos de conexión, que podría incluir datos relacionados con los 
clientes, dirección IP y el puerto. Los datos registrados varían 
ampliamente según la aplicación utilizada. 
 
• Software de correlación de eventos: Este software es capaz de 
recopilar la información de sucesos de seguridad de diversas 
fuentes de datos (por ejemplo, registros IDS, registros del firewall, 
switches, routers, antivuris, etc.) y de correlacionarlos entre sí. De 
manera general, efectúa la normalización de los registros en un 
formato estándar e identifica eventos relacionados con las 
direcciones IP, timestamps, y otras características (ver figura 3.3). 
Estos productos no suelen generar datos del evento original, sino 
que generan metadatos basados en la información importada de 
otros elementos. Los correlacionadores no sólo pueden identificar 
actividad maliciosa, tal como los ataques y virus, también puede 
detectar el uso indebido e inadecuado de los sistemas y redes. 
Hace la información accesible a través de una única interfaz. 
 
 
Figura 3.3. Correlación de Eventos. 
 
 
31 
Dentro del software para la correlación de eventos se encuentra el 
siguiente: 
 
3.4.1 OSSIM (Open Source Security Information Management). 
Es una solución de SIEM (Security Information & Event Management) 
basada en código abierto con clientes en todo el mundo que proporciona 
todos los niveles tecnológicos necesarios para cubrir el ciclo completo de 
la gestión de seguridad y crear centros remotos de supervisión de 
seguridad (SOC). Esta característica lo hace un sistema complejo pero 
muy potente ya que añade las características de programas de seguridad 
y monitores de red muy consolidados. 
 
Conjuntamente estas herramientas hacen posible un mejor control sobre 
grandes redes, distribuyendo sensores de bajo costo y controlando la 
información desde un punto central. 
 
El propósito de OSSIM no es solo recolectar la información detallada que 
ofrecen los IDS y monitores pasivos, sino también implementar un 
proceso sencillo en el cual millones de eventos se convierten en unas 
docenas de alarmas de alto nivel mucho mas entendibles, una parte 
principal de la abstracción está sobre todo producida por el motor de 
correlación, que permite al administrador crear directivas de correlación o 
patrones para relacionar diferentes eventos, generando conclusiones de 
mas alto nivel. 
 
El riesgo se calcula y se almacena para cada uno de los eventos 
recolectados, en el proceso de gestión de seguridad se utiliza esta 
valoración; se desencadenan respuestas automáticas, se generan 
informes de alarmas y se toman medidas de la situación de riesgo de las 
redes. La administración, el ajuste y los procedimientos forenses deben 
ser guiados por estas medidas.[24] 
 
 
32 
El proceso de correlación se realiza en tres formas: 
• Correlación de diferentes eventos (correlación lógica). 
• Correlación de eventos y vulnerabilidades (correlación cruzada). 
• Correlación de eventos, sistemas operativos y servicios 
(correlación de inventario). 
 
Al realizar la correlación, se disminuye el número de eventos que pueden 
ser reportados de millones al día a solo docenas de eventos, esto se 
logra mediante la comprobación de cada uno de ellos antes de ser 
reportados. La finalidad del motor de correlación lógica de OSSIM es 
realizar la comprobación de cada evento, buscando evidencias o 
síntomas que prueben la veracidad de un ataque o descartar la alarma si 
se trata de un falso positivo.[23] 
 
 
3.5. MONITOREO Y CAPTURA DE TRÁFICO. 
 
Un monitor de red es una herramienta de diagnóstico que supervisa las redes 
de área local y proporciona una representación gráfica de las estadísticas de la 
red. Los administradores de red pueden utilizar estas estadísticas para realizar 
tareas rutinarias de solución de problemas, como lo es encontrar un servidor 
que no funciona o que está recibiendo un número exagerado de solicitudes de 
trabajo. Mientras se recopila la información de la secuencia de los datos de la 
red, el monitor de red muestra los tipos siguientes de información: 
 
• La dirección IP origen del equipo que envía una trama a la red. 
• La dirección IP destino del equipo que recibió la trama. 
• Los protocolos utilizados para enviar la trama. 
• Los datos o una parte del mensaje que se envía. 
 
 
 
 
33 
El proceso que realiza un monitor de red para recopilar información se 
denomina captura. De forma predeterminada, el monitor de red recopila en un 
búfer de captura las estadísticas de todas las tramas que circulan en la red, 
este búfer es un área de almacenamiento reservado en la memoria. Para 
capturar estadísticas sólo de un subconjunto concreto de tramas, se puede 
realizar un filtro de captura, cuando haya terminado de capturar información, se 
puede diseñar un filtro de presentación para especificar qué cantidad de la 
información que ha capturado se mostrará en la ventana del visor de tramas del 
monitor de red. 
 
Para poder utilizar un monitor de red, el equipo debe tener una tarjeta de red 
que admita el modo promiscuo. Si está utilizando el monitor de red en un equipo 
remoto la estación de trabajo local no necesita una tarjeta de red promiscua, 
pero el equipo remoto sí la necesita. 
 
Para realizar capturar entre redes, o para conservar los recursos locales, se 
utiliza un agente de monitor de red para capturar información mediante un 
equipo remoto. Cuando realiza capturas de forma remota, el agente monitor de 
red recopila estadísticas de un equipo remoto y las envía a su equipo local, 
donde se muestran en una ventana local de monitor de red. 
 
Una vez capturados los datos de manera local o remota, se pueden guardar en 
un archivo de texto o de captura, y se pueden abrir y examinar más 
adelante.[25] 
 
El software más populares para la recolección de paquetes actualmente es 
tcpdump (www.tcpdump.org/tcpdump_man.html); ésta es un herramienta en 
línea de comandos cuya función es analizar el tráfico que circula por la red. 
Permite al usuario capturar y mostrar en tiempo real los paquetes transmitidos y 
recibidos en la red; tcpdump puede presentar en pantalla la información de los 
paquetes o almacenarlos en archivos sin ningún de análisis.[7] 
 
 
34 
3.6. ESCANEO DE RED. 
 
Un escaneo de la red implica realizar una búsqueda de los puertos para 
identificar las máquinas conectadas a esa red, el servicio de red que opera en 
cada máquina, como FTP (Protocolo de Transferencia de Archivos) y HTTP 
(Protocolo de Transferencia de Hipertexto) y la aplicación especifica que 
ejecuta cada servicio identificado, como IIS (Internet Information Server) y 
Apache para el servidor http. El resultado del escaneo es una lista comprensible 
de todos los hosts activos, sus servicios, impresoras, switches, y routers que 
operan en el rango de direccionamiento escaneado, es decir, cualquier 
dispositivo que tenga una dirección de red o que es accesible a cualquier otro 
dispositivo.[5] 
 
La información recopilada de dichos escaneos puede identificar el sistema 
operativo, por ejemplo si un host tiene el puerto TCP 135 y 139 abiertos, lo mas 
probable es que se trate de un equipo con Windows NT o 2000. Si un escaneo 
identifica que en una máquina a menudo tiene el puerto 80 abierto lo más 
seguro es que se trate de un servidor web. Lo anterior no es totalmente 
confiable, ya que un administrador de seguridad consciente puede modificar las 
banderas de transmisión. 
 
El escaneo de puertos identifica hosts activos, servicios, aplicaciones y 
sistemas operativos, pero no identifica vulnerabilidades, lasvulnerabilidades las 
debe de identificar el administrador interpretando el resultado del escaneo. 
Algunas organizaciones realizan el escaneo de red para: 
 
• Checar que host está conectado sin autorización a la red de la 
organización. 
• Identificar vulnerabilidades en los servicios. 
• Ayuda para la configuración de IDS. 
• Recolección de evidencia para el análisis forense. 
 
 
35 
3.7. ANÁLISIS DE REGISTROS. 
 
Varios sistemas de logs se usan para identificar desviaciones de seguridad 
dentro de una organización, Esencialmente, los registros de auditoría puede 
utilizarse para validar que el sistema está operando de acuerdo a las políticas. 
 
Por ejemplo, si un sensor IDS se encuentra detrás del firewall, sus registros 
pueden ser usados para examinar las solicitudes de servicio y las 
comunicaciones que sean aceptadas en la red por el firewall. Si este sensor 
registra actividad no autorizada y que el firewall no la detectó, indica que el 
firewall no cuenta con una buena configuración de seguridad y tiene una puerta 
trasera en la red. 
 
La revisión de Registro se debe realizarse con frecuencia en los grandes 
servidores y firewalls; si un sistema está configurado de acuerdo a las políticas 
se pueden tomar las siguientes acciones: 
 
• Se reducen las vulnerabilidades si se eliminan los servicios que no son 
necesarios. 
• Reconfigurar el sistema cuando sea necesario para reducir las 
posibilidades de compromiso. 
• Cambio de política de seguridad del firewall para limitar los accesos de la 
subred que es la fuente de compromiso. 
 
 
 
 
 
 
 
 
 
 
36 
 
 
 
 
CAPÍTULO IV. 
HERRAMIENTAS DE ANÁLISIS FORENSE EN REDES 
DE COMPUTO. 
 
 
4.1. HERRAMIENTAS DE SERVICIOS DE RED. 
 
Cuando se emite una alarma de que un sistema ha sufrido un incidente de 
seguridad, el analista forense debe estar preparado para responder con la 
mayor velocidad posible. El sistema afectado puede estar tan dañado que no 
podrá arrancar y en otros casos el sistemas seguirá funcionando, pero por 
políticas internas algunas organizaciones no permitirán que el equipo se 
desconecte de la red para realizar el análisis del incidente, se exigirá que el 
equipo permanezca conectado. En estos casos, el analista forense tiene que 
estar preparado para ocuparse de ello. 
 
Como ejemplo práctico, se tiene que un servidor Web ha sufrido un incidente y 
el sistema no arranca, el servidor debe de estar listo lo más pronto posible, una 
opción sería utilizar un CD de respuesta de Windows pero en el proceso, se 
borraría cualquier rastro de evidencia que haya causado el incidente. Lo 
principal es hacer una copia del disco duro y de la memoria, para poder usar 
herramientas de análisis forense y examinar el estado actual del equipo. 
 
Existe un pequeño conjunto de herramientas de análisis forense que arrancan 
desde un CD y se ejecutan completamente en memoria para evitar modificar la 
información del equipo. 
 
 
37 
A continuación se hará mención de un conjunto de herramientas dedicadas al 
análisis forense en redes de computo. 
 
Fport. 
Es una herramienta gratuita, distribuida por Foundstone, Inc. Esta herramienta 
relaciona a cada puerto abierto ya sea TCP y UDP a un proceso del sistema, es 
útil para localizar diferentes tipos de puertas traseras, que podrían permitir a un 
atacante entrar fácilmente al sistema. Fport se utiliza para identificar 
rápidamente los puertos abiertos desconocidos y sus aplicaciones.[20] 
 
Como se muestra en la pantalla de la figura 4.1, el uso de fport en línea de 
comandos es: 
 
C:/> fport 
Fport devuelve información similar a la siguiente: 
 
 
Figura 4.1. Ejecución de Fport. 
 
Examinando los datos arrojados por fport, se observa una lista con notación de 
Pid (identificador del proceso), el proceso, así como, el puerto, protocolo y path 
de los procesos en ejecución. 
 
 
 
38 
Pstools. 
Son un conjunto de herramientas que simplifican la administración de equipos 
remotos. Está formado por varias utilidades de línea de comando que ayudan a 
la administración de grandes redes, así, como a la recolección de registros y a 
la visualización de usuarios activos. 
 
Las herramientas incluidas en la Suite PsTools, se pueden descargar como un 
sólo paquete en el cual se incluyen las siguientes herramientas[22]: 
 
• PsExec.- Ejecuta procesos de forma remota. 
• PsFile.- Muestra los archivos usados a distancia. 
• PsInfo.- Lista información acerca de un sistema. 
• PsKill.- Termina los procesos por nombre o ID de proceso. 
• PsList.- Lista información detallada sobre los procesos. 
• PsLoggedOn.- Ve quién tiene una sesión abierta. 
• PsLogList.- Muestra contenido del registro de eventos. 
• PsPasswd.- Cambios de contraseñas en cuentas. 
• PsService.- Ver y controlar los servicios. 
• PsShutdown.- Se apaga y se reinicia un equipo de manera opcional. 
• PsSuspend.- Se suspenden los procesos. 
 
El paquete de PsTools incluye un archivo de ayuda en HTML (Lenguaje de 
Marcas de Hipertexto) con toda la información del uso de las herramientas. A 
continuación se describirán algunas de ellas. 
 
PsFile. 
Muestra los archivos que están siendo usados vía remota. Es útil para depurar 
el uso de archivos compartidos y para la localización de accesos no autorizados 
al sistema. También permite cerrar los archivos abiertos, ya sea utilizando el 
nombre o por un identificador de archivo.[21] 
 
 
39 
 
Figura 4.2. Ejecución de PsFile. 
 
Como se muestra en la figura 4.2, la ejecución de PsFile proporciona los 
archivos que están en uso vía remota, la ruta de acceso, el usuario y el tipo de 
acceso al archivo. 
 
PsService. 
Ésta sólida herramienta permite ver y manipular servicios de forma remota, 
PsService devuelve una lista de cada servicio instalado en el sistema. 
 
La información que muestra esta herramienta básicamente es la información del 
servicio, independientemente de si el servicio se está ejecutando, indica los 
programas de seguridad instalados y posiblemente, su importancia relativa a 
una red. 
Los comandos para manipular un servicio con PsService son los siguientes: 
 
Opción Descripción 
query Consulta el estado de un servicio. 
config Consulta la configuración. 
setconfig Establece la configuración. 
Start Inicia un servicio. 
Stop Detiene un servicio. 
restart Detiene un servicio y luego lo reinicia. 
pause Pone un servicio en pause. 
cont Reinicia un servicio pausado. 
depend Muestra los servicios que depende del 
especificado. 
find Busca una ejecución de un servicio en la red. 
 
 
 
40 
En al figura 4.3, la ejecución de PsService muestra el nombre y la funcionalidad 
de servicio, así como, el grupo, tipo y estado en el que se encuentra dicho 
servicio. 
 
 
Figura 4.3. Ejecución de PsService. 
 
Netstat. 
Muestra información de todas las conexiones en un host, dicha información 
ayuda a identificar actividades sospechosas y puertas traseras en un equipo. 
 
En la Figura 4.4, se muestra la ejecución del comando, se obtiene las 
direcciones IP conectadas y la información de todos los puertos abiertos en el 
sistema comprometido. 
 
D:/> netstat –an 
 
El modificador –a muestra toda la información de red y –n ejecuta la búsqueda 
inversa en el DNS (Sistema de Nombres de Dominio) de las direcciones IP 
externas. 
 
 
 
41 
 
Figura 4.4. Ejecución del Comando Netstat. 
 
Con esta información, se puede saber el estado en que se encuentran los 
puertos TCP, UDP y las dirección IP que está conectada en ese momento al 
puerto determinado. 
 
A diferencia de fport, netstat indica que puertos hay abiertos y no los procesos 
que los están usando. En algunas ocasiones solo se necesita información de 
los puertos, en cuyo caso netstat es una solución rápida y sencilla, ya que esta 
instalado por defecto en todos los sistemas Windows. Sin embargo, si netstat 
muestra un puerto abierto del que nose tiene conocimiento, se puede usar fport 
para asociar ese puerto a un proceso en ejecución. 
 
Nbtstat. 
Es una herramienta NetBIOS que esta instalada en el sistema operativo 
Windows. Entre las funciones que realiza es mostrar la caché de nombres de 
NetBIOS en el equipo, esta caché proporcionará una lista de equipos que han 
estado conectados mediante el protocolo NetBIOS (mediante impresoras y 
archivos de Microsoft Windows), en un espacio de tiempo inferior a 10 minutos. 
 
Como se puede ver en la figura 4.5, Nbstat se puede ejecuta con distintas 
opciones para mostrar todos los nombres de NetBIOS que se encuentran en 
ese momento en la caché de la víctima. 
 
 
42 
 
 
Figura 4.5. Ejecución de nbtstat. 
 
 
ARP. 
La tabla de ARP (Protocolo de Resolución de Direcciones) relaciona las 
direcciones del equipo físico (dirección MAC) de las tarjetas Ethernet con las 
direcciones IP asociadas en la subred. Usando el comando ARP ayuda a la 
búsqueda de un usuario. Esta herramienta se encuentra instalada en los 
sistemas operativos Windows. 
 
En la siguiente Figura 4.6, se muestran los resultados de este comando 
 
 
Figura 4.6. Comando ARP. 
 
Si se trata de buscar una dirección IP en una red interna, se puede rastrear el 
equipo cuya dirección MAC sea la buscada. 
 
 
 
43 
Arpwatch. 
En realidad, arpwatch NG es un paquete formado por arpwatch y arpsnmp, dos 
utilidades de gran ayuda para el monitoreo del tráfico de red y para generar una 
base de datos de direcciones Ethernet/IP, reportando de esta forma los cambios 
ocurridos en todo momento. Permite monitorizar direcciones MAC en una red, y 
escribirlas en tablas que guarda en un archivo, incluye el registro timestamp y 
un sistema de notificación de cambios. 
 
Es ideal para comprobar las correspondencias entre pares IP/Mac de una red, 
ya que en caso de que se produzca un cambio en un par, se recibirá una 
notificación por correo electrónico del suceso a la cuenta de administrador del 
sistema. De la misma forma, sirve también para monitorizar nuevas direcciones 
MAC en la red. 
 
TCPview. 
Distribuida por Sysinternals, TCPView es un programa que muestra información 
detallada de los protocolos TCP y UDP del sistema, incluyendo las direcciones 
locales y remotas y el estado de las conexiones TCP. 
 
En Windows NT, 2000 y XP TCPView muestra el nombre del proceso que 
realiza la conexión, TCPView muestra más información que Netstat, que viene 
incluido en Windows, cuando se ejecuta TCPView muestra una lista con todas 
las conexiones TCP y UDP activas, resolviendo todas las direcciones IP y 
mostrando el nombre de dominio, por defecto TCPView se actualiza cada 
segundo pero se puede cambiar la frecuencia de actualización. También cuenta 
con una opción para cerrar conexiones TCP/IP establecidas (las que están 
etiquetadas con ESTABLISHED). Además de guardar la salida resultante en un 
archivo de texto. Es una excelente herramienta de monitoreo de conexiones de 
red. 
 
 
 
44 
 
Figura 4.7. Interfaz de TCPView. 
 
Como se muestra en la figura 4.7, en la interfaz de TCPView se especifica por 
columnas el nombre del proceso, protocolo, dirección local, dirección remota y 
el estado de la conexión. 
 
ShareEnum. 
Permite bloquear los archivos compartidos en la red, se utiliza para escanear 
todos los equipos en los dominios de acceso en que se encuentra, ShareEnum 
es más efectivo cuando se ejecuta desde una cuenta como administrador. 
 
La interfaz de ShereEnum que se muestra en la figura 4.8, se visualiza el path 
tanto de red como local de la ubicación del documento. 
 
 
Figura 4.8. Interfaz de ShereEnum. 
 
 
45 
4.2. HERRAMIENTAS DE RECONSTRUCCIÓN DE ACTIVIDAD EN 
INTERNET. 
 
Con frecuencia se pide a los investigadores forenses que reconstruyan las 
actividades en Internet de un sospechoso que esta siendo investigado. Las 
actividades en Internet se pueden resumir en dos categorías: correo electrónico 
y hábitos de navegación por Internet. 
 
Ambas son utilizadas en un alarmante número de casos para realizar u 
organizar actividades ilegales. El correo electrónico es uno de los métodos de 
comunicación cada vez mas utilizado entre personas, empresas y bandas 
internacionales. De la misma forma, cada vez el Internet es mas accesible lo 
que significa que mas personas están utilizando la red para organizar sus 
asuntos, legales o no. A continuación se mencionan un conjunto de 
herramientas que son de utilidad para el analista forense en redes de computo 
para la reconstrucción de actividad sospechosa en Internet. 
 
 
Mail PassView. 
Permite visualizar información detallada sobre cada una de las cuentas de 
correo electrónico que estén configuradas en el sistema. 
 
Esta información incluye detalles como nombre de cuenta, nombre y tipo de 
servidor de e-mail, aplicación que usa, nombre de usuario y contraseña. La 
información se puede guardar en un archivo de texto o copiarla al portapapeles. 
 
El programa soporta los clientes de correo electrónico más populares, como 
Outlook Express, Microsoft Outlook 2000 y 2002, IncrediMail, Eudora y Group 
Mail Free. 
 
La interfaz de Mail Pass View se muestra en la figura 4.9, donde se puede ver 
 
 
46 
el nombre del usuario, la aplicación y la dirección de correo, así como, el 
servidor, tipo de protocolo utilizado y el password. 
 
 
Figura 4.9. Interfaz Mail PassView. 
 
 
IE Cookies View. 
Es un administrador de Cookies para el navegador Web Internet Explorer. El 
programa es muy completo y permite realizar muchas funciones para 
administrarlas, entre las opciones se encuentran : 
• Visualizar los hits de cada Cookie. 
• Datos de la fecha: último acceso, modificación y creación. 
• El nombre de usuario al que pertenece. 
• El estado: Si se encuentra activa o ha expirado. 
• Opción AD: permite ver si es de publicidad. 
• El dominio al que pertenece. 
• Abrir el sitio web al que pertenece la Cookie. 
• Guardarlas en un archivo de texto. 
• Buscar y filtrar por dominio. 
• Hacer sonar una alarma cuando se modifiquen. 
• Permite bloquearlas y eliminarlas. 
 
Es una utilidad portátil y no requiere de instalación y archivos dependientes 
para poder funcionar. 
 
 
 
47 
 
Figura 4.10. Ejecución de IE Cookies View. 
 
En al figura 4.10, se muestra la información proporcionada por esta 
herramienta, se pueden observar la fechas y hora en que se creo cada Cookies. 
 
Mozilla Cookies View. 
Es una alternativa mucho más avanzada y un potente administrador de cookies 
convencional (´Cookie Manager´) exclusiva para los navegadores Mozilla 
Firefox. 
 
Se trata de una herramienta que muestra todos los detalles y datos valiosos de 
las cookies del navegador, que se encuentran almacenadas en el archivo de 
texto ´cookies.txt´. El programa también permite guardar la lista de cookies en 
formato de texto, HTML o XML (Leguaje de Marcas Extensible), y llevar a cabo 
operaciones como borrar cookies no deseadas, hacer copias de seguridad o 
restaurar el archivo de cookies. 
 
Mozilla Cookies View funciona en todas las versiones de Windows, y es capaz 
de leer los archivos de cookies creados por cualquier versión de cualquier 
navegador Mozilla o Netscape. Mozilla Cookies View es una aplicación 
totalmente gratuita y que no ocupa una cantidad de espacio en disco 
significativa. En la figura 4.11, se muestra la interfaz de Mozilla Cookies View. 
 
 
48 
 
 
Figura 4.11. Ejecución de Mozilla Cookies View. 
 
 
IE History View. 
Comúnmente en cada acceso a Internet Explorer y al escribir una dirección URL 
en la barra de direcciones, ésta se añade automáticamente en un historial, 
cuando se accede a este navegador, al escribir de nuevo la secuencia de 
caracteres, Internet Explorer sugiere a modo de lista, todas las URL's visitadas 
que comienzan igual, pero no permite verlas y editar toda la lista que almacena 
dentro de su historial.Para este caso, esta diseñado IE History View. Esta 
aplicación, lee toda la información del historial del navegador y la muestra para 
ver todos los sitios Web visitados en los últimos días. A parte de esta función 
principal, se puede seleccionar las direcciones que se quieran eliminar de forma 
definitiva o comprobar las páginas Web a las que han accedido los demás 
usuarios de la máquina, o bien desde otra, siempre que se tenga acceso remoto 
a la carpeta historial de IE. 
 
IE History View presenta una interfaz muy sencilla como se muestra en la figura 
4.12, en ella se observa la URL visitada, el título de esa página Web, el número 
de veces que se ha accedido y la fecha de la última visita. Además, da la opción 
de crear varios perfiles para poder almacenar la información en distintas 
carpetas dependiendo de quién sea el usuario que accede a Internet en cada 
momento. 
 
 
 
49 
 
Figura 4.12. Interfaz de IE History View. 
 
 
IE Pass View. 
IE PassView es una pequeña aplicación capaz de mostrar contraseñas 
almacenadas en el navegador Web de Internet Explorer. El programa soporta 
tanto las últimas versiones de Internet Explorer, como las versiones anteriores 
de 4.0 a 7.0. Esta herramienta, IE PassView, se ejecuta de forma 
independiente, no requiere proceso de instalación ni depende de librerías 
adicionales. Para utilizarla, se debe copiar el archivo ejecutable (iepv.exe) en 
cualquier carpeta y ejecutarlo. Entonces IE PassView comenzará a escanear y 
analizar de forma exhaustiva todas las contraseñas de Internet Explorer 
almacenadas en el sistema y mostrarlas en la ventana principal de la interfaz 
del programa. El uso de IE PassView está recomendado solamente para 
recordar contraseñas importantes que se hayan perdido. 
 
En la figura 4.13, en la interfaz de IE PassView entre otras cosas se muestra las 
contraseñas almacenadas en navegador Web de Internet Explorer. 
 
 
 
50 
 
Figura 4.13. Ejecución de IE PassView. 
 
My Last Search. 
Esta herramienta sirve para dar un vistazo a todas las búsquedas Web 
recientes. Para ello, My Last Search es capaz de rastrear los historiales de 
navegación, tanto de Mozilla Firefox como de Internet Explorer, devolviéndole al 
usuario un informe presentable con todas las búsquedas y consultas Web que 
se han realizado en los sitios Google, Yahoo y MSN. Como se puede ver en la 
figura 4.14, el informe es bastante detallado e incluye datos como la hora de la 
búsqueda, el término consultado, el navegador utilizado y más. También es 
posible exportarlo a HTML. 
 
 
Figura 4.14. Interfaz de My Last Search. 
 
 
 
51 
Como se muestra en la figura 4.14, la interfaz de esta herramienta se compone 
por una columna con el texto, motor de búsqueda, el tipo, fecha y hora de la 
búsqueda realizada, así mismo, el tipo de Web Browser y la URL consultada. 
 
MessenPass. 
MessenPass es un programa ligero, en español y gratuito, con el cual se puede 
recuperar contraseñas perdidas de las principales aplicaciones de 
mensajería: MSN Messenger, Windows Messenger, Yahoo Messenger, 
 Google Talk, etc. Su funcionamiento es simple y una vez instalado en el 
sistema, detectará todos los clientes instalados y mostrará el nombre del 
usuario y la contraseña, pudiendo exportar los resultados en HTML. 
 
Como se muestra en la figura 4.15, el programa detecta automáticamente el 
nombre de usuario de la sesión iniciada asociada al cliente de mensajería en 
cuestión, y devuelve su contraseña. Solamente funciona para recuperar 
contraseñas de usuario actualmente en uso en el equipo. 
 
 
Figura 4.15. Ejecución de MessenPass. 
 
 
 
 
 
 
 
 
52 
4.3. HERRAMIENTAS PARA ANÁLISIS DE REDES DE COMPUTO. 
 
Los sniffer son herramientas que pueden escuchar y registrar cualquier dato 
que pase a través de una interfaz de red física (hardware). Funcionan a un nivel 
muy bajo, para que puedan comunicarse directamente con la interfaz de red en 
un idioma que entienda. 
 
Los sniffer normalmente funciona en la capa de enlace del modelo OSI, de 
modo que no tiene que seguir las reglas de los protocolos de nivel superior. 
Libra los mecanismos de filtrado y toma todo el trafico que puede y almacena 
las tramas Ethernet para analizarlas. A continuación se presentan varias 
herramientas sniffer. 
 
NMAP. 
Nmap (Analizador de Red) es de utilidad para la exploración de la red o de 
auditoría de seguridad, es útil para tareas como inventario de la red, gestión de 
horarios de servicio de actualización, monitoreo y tiempo de actividad. Nmap 
usa los paquetes IP para determinar qué hosts están disponibles en la red, qué 
servicios (nombre de la aplicación y versión), ofrecen los hosts, qué tipo y 
versiones del sistema operativo se están ejecutando, qué tipo de filtros de 
paquetes están en uso, entre otras características, Nmap se ejecuta en todos 
los principales sistemas operativos y cuenta con modo consola y modo gráfico. 
 
El escaneo de puertos como nmap en primer lugar identifica las máquinas 
activas en el rango de direccionamiento seleccionado por el usuario usando el 
protocolo TCP/IP, ICMP y los paquetes ICMP ECHO, ECHO_REPLY. Una vez 
identificados las máquinas activas, mediante los puertos TCP y UDP abiertos se 
identifican los servicios de red que operan en cada máquina.[15] 
 
 
 
 
 
53 
SNORT. 
Se trata de un sistema de detección de intrusos, capaz de ejecutar en tiempo 
real el análisis del tráfico de paquetes en las redes; Snort puede realizar análisis 
de protocolos, la búsqueda de contenido y puede ser utilizado para detectar una 
variedad de ataques y problemas, tales como desbordamientos de búfer, 
escaneo no autorizado de puertos. Snort tiene la capacidad de emitir una alerta 
en tiempo real, cuenta con mecanismos de alerta para syslog; Snort tiene tres 
usos primarios. 
 
1. Se puede utilizar directamente como un sniffer de paquetes como lo hace 
tcpdump. 
2. Como un registro de paquetes (útil para depurar el tráfico de la red). 
3. Como un completo sistema de detección de intrusos de red. 
 
Snort es un sniffer de paquetes y un detector de intrusos basado en red. Es un 
software muy flexible que ofrece capacidades de almacenamiento tanto en 
archivos de texto como en bases de datos abiertas como lo es MySQL. 
Implementa un motor de detección de ataques y barrido de puertos que permite 
registrar, alertar y responder ante cualquier anomalía previamente definida. Así 
mismo, existen herramientas para mostrar informes en tiempo real (ACID) o 
para convertirlo en un IDPS. 
 
Este IDS implementa un lenguaje de creación de reglas flexible, potente y 
sencillo. Durante su instalación ya provee de cientos de filtros o reglas para 
backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap. Puede funcionar como 
sniffer (se puede ver en consola y en tiempo real qué ocurre en la red), registro 
de paquetes (permite guardar en un archivo los logs para su posterior análisis, 
un análisis offline) o como un IDS normal (en este caso NIDS). Cuando un 
paquete coincide con algún patrón establecido en las reglas de configuración, 
se logea, así, se sabe cuándo, de dónde y cómo se produjo el ataque.[16] 
 
 
 
54 
 
Figura 4.16. Ejecución de Snot. 
 
En la figura 4.16, se observa la ejecución de Snort en la cual muestra el flujo de 
datos transmitidos por la red, así como, un resumen de los paquetes 
analizados, haciendo un desglose por tipo de protocolo. 
 
Dsniff. 
Dsniff es una colección de herramientas de auditoria y pruebas de penetración 
en redes. Dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, y webspy son 
herramientas pasivas que monitorean los datos importantes en las red 
(contraseñas, correo electrónico, archivos, etc.). ARPSpoof, dnsspoof, y macof 
facilitar la interceptación del tráfico de la red. Dsniff es de costo libre y trabaja 
sobre sistemas Linux/Unix. 
 
 
Ethereal. 
Ethereal es un analizador