Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
UNIVERSIDAD TECNOLÓGICA NACIONAL FACULTAD REGIONAL TUCUMÁN INGENIERÍA EN SISTEMAS DE INFORMACIÓN SEGURIDAD INFORMATICA TRABAJO FINAL INTEGR ADOR Integrantes: *Albarracín, Cintya Yohana - 50487 * Arias, Gimena Rosa - 50494 *Arobio, Matías Alejandro - 50495 * Augier, Alexis Nahuel - 50496 * Juárez, Nahuel Alejandro - 50546 * Villagra, Sebastián Santiago - 50789 Comisión 3K5 En todo el mundo, en general el problema de los delitos informáticos se está volviendo cada vez más relevante. Al mismo tiempo, los delincuentes utilizan cada vez más la tecnología de la información con fines criminales, cometen delitos calificados como «sin contacto», o lo que sería en lenguaje informático, con acceso remoto. En tales situaciones, el número de rastros trasológicos tradicionales se reduce significativamente, pero al mismo tiempo aparece una gran cantidad de rastros digitales del crimen. En este sentido, la sociedad y el estado deben adoptar medidas proactivas para prevenir, reprimir, divulgar e investigar los delitos de información en esta nueva base tecnológica. Desde hace un tiempo que la Ciberseguridad y el Análisis Forense Digital vienen trabajando como equipo. Son fundamentales a la hora de investigar un cibercrimen, aunque de diferentes ángulos. La seguridad cibernética, tiene como función centrarse en la prevención y detección de ataques y el diseño de sistemas seguros. En cambio, el análisis forense digital, se ocupa de las secuelas del incidente en una función de investigación. La ciberseguridad es la práctica de proteger sistemas, redes y programas de ataques digitales. Por lo general, estos ciberataques apuntan a acceder, modificar o destruir la información confidencial; Extorsionar a los usuarios o los usuarios o interrumpir la continuidad del negocio. Hablar de ciberseguridad implica describir un conjunto de políticas, estrategias y acciones orientadas a elevar los niveles de seguridad de las personas frente a incidentes y delitos que tengan como medio o fin un dispositivo informático, es decir, a un aparato capaz de procesar en forma automática datos e información. ¿POR QUÉ ES IMPORTANTE LA CIBERSEGURIDAD? El mundo se apoya más que nunca en la tecnología. Como resultado, la creación de datos digitales ha aumentado. Hoy en día, las empresas y los gobiernos almacenan gran parte de esa información en los ordenadores y la transmiten a través de redes a otros ordenadores. Los dispositivos y sus sistemas subyacentes tienen vulnerabilidades que, cuando se explotan, socavan la salud y los objetivos de las organizaciones. Una violación de datos puede tener una serie de consecuencias devastadoras para cualquier negocio. Puede dañar la reputación de una empresa debido a la pérdida de la confianza del consumidor y los socios. La pérdida de datos críticos, como los archivos de origen o la propiedad intelectual, puede costar a una empresa su ventaja competitiva. Yendo más allá, una violación de datos puede afectar los ingresos corporativos debido al incumplimiento de las regulaciones de protección de datos. Con las violaciones de datos de alto perfil que aparecen en los titulares de los medios, es esencial que las organizaciones adopten e implementen un sólido enfoque de Ciberseguridad. HISTORIA El primer hacker y cracker En primer lugar, es importante diferenciar un hacker de un ciberdelincuente (o cracker) para evitar confusiones. Un hacker es una persona que investiga los sistemas para detectar fallos y mejorarlos, por lo contrario, un cracker busca esos mismos fallos para explotarlos y obtener un beneficio. El primer hacker de la historia fue el mago Nevil Maskelyne, que en 1903 logró interceptar la primera transmisión del telégrafo inalámbrico. El primer ciberdelincuente (o cracker) de la historia fue John Draper, también conocido como “Captain Crunch”, quien recibió ese nombre porque descubrió que modificando un silbato que se regalaba en las cajas de cereales “Cap’n Crunch” emitía un tono a 2600 Hz con el que se podía engañar a la central telefónica y realizar llamadas gratis. El primer antivirus En los mismos inicios de la informática moderna ya aparecieron los primeros ciberdelincuentes y el malware. ¡A principios de los años 70 apareció Creeper, el primer malware, el cual llegaba a las computadoras a través de ARPANET (la antecesora de internet), se auto ejecutaba y comenzaba a mostrar el mensaje “I’m the Creeper, catch me if you can!”. Debido a los estragos causados por ese malware, y para solucionarlo surgió el primer antivirus llamado Reaper, el cual básicamente era otro virus que se propagaba a través de la red en busca de computadoras infectadas con Creeper para eliminarlo. La evolución de las tecnologías hizo que cada vez existieran más aplicaciones, más datos almacenados y por tanto, más riesgos de seguridad debido a que era información muy jugosa para los ciberdelincuentes. En los años 80 se produjo un auge del malware y aunque con el tiempo han ido apareciendo antivirus que protegen de las amenazas que han ido surgiendo (en muchas industrias incluso es obligatorio tener un antivirus), el malware ha evolucionado hasta el nivel de que hoy en día existe malware creado específicamente para evitar la protección antivirus normal, por lo que este se vuelve totalmente ineficaz. CIBERAMENAZAS Se podrían definir como aquellas actividades “malignas” que tienen lugar en el ciberespacio. Su principal objetivo es conseguir captar la información que circula por el mismo y utilizar esta con fines lucrativos y no muy éticos, es decir, utilizan estos datos para manipular y controlar a los usuarios. Con la gran expansión que ha tenido el ciberespacio en los últimos tiempos, y ya no solo hablando del número de usuarios que tienen acceso a él, sino también de las aplicaciones y contenido, todo ello ha generado la creación de nuevas amenazas y problemas para los cuales los especialistas, para contraatacar, no tienen nada diseñado. TIPOS DE CIBERAMENAZAS 1. Malware El término "malware" abarca varios tipos de ataques, incluyendo spyware, virus y gusanos. El malware utiliza una vulnerabilidad para romper una red cuando un usuario hace clic en un enlace o archivo adjunto de correo electrónico peligroso "plantado", que se utiliza para instalar software malintencionado en el sistema. El malware y los archivos maliciosos dentro de un sistema informático pueden hacer: • Denegar el acceso a los componentes críticos de la red • Obtener información recuperando datos del disco duro • Interrumpir el sistema o incluso inutilizarlo El malware es tan común que existe una gran variedad de modus operandi. Los tipos más comunes son: • Virus: infectan aplicaciones que se adjuntan a la secuencia de inicialización. El virus se replica a sí mismo, infectando otro código en el sistema informático. Los virus también pueden adjuntarse al código ejecutable o asociarse a un archivo creando un archivo de virus con el mismo nombre, pero con la extensión.exe, creando así un señuelo que transporta el virus. • Troyanos: un programa que se esconde dentro de un programa útil con fines maliciosos. A diferencia de los virus, un troyano no se replica a sí mismo y se utiliza comúnmente para establecer una puerta trasera para ser explotada por los atacantes. • Gusanos: a diferencia de los virus, no atacan al host, ya que son programas autónomos que se propagan a través de redes y equipos. Los gusanos a menudo se instalan a través de archivos adjuntos de correo electrónico, enviando una copia de sí mismos a cada contacto de la lista de correo electrónico del equipo infectado. Se utilizan comúnmente para sobrecargar un servidor de correo electrónico y lograr un ataque de denegación de servicio. • Ransomware: un tipo de malware que niega el acceso a los datos delas víctimas, amenazando con publicarlos o eliminarlos a menos que se pague un rescate. El software de rescate avanzado utiliza la extorsión criptoviral, cifrando los datos de la víctima para que sea imposible descifrarlos sin la clave de descifrado. • Spyware-un tipo de programa instalado para recopilar información sobre los usuarios, sus sistemas o hábitos de navegación, enviando los datos a un usuario remoto. El atacante puede utilizar la información con fines de chantaje o descargar e instalar otros programas maliciosos desde la Web. 2. Suplantación de identidad (phishing) Los ataques de phishing son extremadamente comunes e implican el envío masivo de correos electrónicos fraudulentos a usuarios desprevenidos, disfrazados de proceder de una fuente fiable. Los correos electrónicos fraudulentos a menudo tienen la apariencia de ser legítimos, pero vinculan al destinatario a un archivo o script malicioso diseñado para permitir a los atacantes el acceso a su dispositivo para controlarlo o recopilar información, instalar archivos o scripts maliciosos, o extraer datos como información de usuario, información financiera y más. Los ataques de phishing también pueden tener lugar a través de redes sociales y otras comunidades en línea, a través de mensajes directos de otros usuarios con una intención oculta. Los phishers a menudo aprovechan la ingeniería social y otras fuentes de información pública para recopilar información sobre su trabajo, intereses y actividades, lo que les da a los atacantes una ventaja para convencerle de que no son quienes dicen ser. Hay varios tipos diferentes de ataques de phishing, incluyendo: • Spear Phishing - ataques dirigidos a empresas y/o individuos específicos. • Ataques de ballenas dirigidos a altos ejecutivos y grupos de interés dentro de una organización. • Pharming-lleva a cabo el envenenamiento de la caché del DNS para capturar las credenciales de usuario a través de una página de inicio de sesión falsa. Los ataques de phishing también pueden tener lugar a través de llamadas telefónicas (phishing de voz) y a través de mensajes de texto (phishing de SMS). 3. Ataques del Hombre en el Medio (MitM) Ocurre cuando un atacante intercepta una transacción entre dos partes, insertándose en el medio. A partir de ahí, los ciberataques pueden robar y manipular datos interrumpiendo el tráfico. Este tipo de ataque suele explotar las vulnerabilidades de seguridad de una red, como una red Wifi pública no segura, para insertarse entre el dispositivo de un visitante y la red. El problema con este tipo de ataque es que es muy difícil de detectar, ya que la víctima piensa que la información va a un destino legítimo. Los ataques de phishing o malware a menudo se aprovechan para llevar a cabo este tipo de ataques (MitM). 4. Ataque de Denegación de Servicio (DOS) Los ataques DOS funcionan inundando sistemas, servidores y/o redes con tráfico para sobrecargar recursos y ancho de banda. Este resultado hace que el sistema sea incapaz de procesar y satisfacer las solicitudes legítimas. Además de los ataques de denegación de servicio (DoS), también hay ataques de denegación de servicio distribuidos (DDoS). Los ataques DoS saturan los recursos del sistema con el objetivo de impedir la respuesta a las solicitudes de servicio. Por otro lado, se lanza un ataque DDoS desde varios equipos host infectados con el objetivo de lograr la denegación de servicio y desconectar un sistema, allanando así el camino para que otro ataque entre en la red o en el entorno. Los tipos más comunes de ataques DoS y DDoS son el ataque de inundación TCP SYN, el ataque de lágrimas, el ataque de pitufo, el ataque de ping-of- death y las botnets. 5. Inyecciones SQL Esto ocurre cuando un atacante inserta código malicioso en un servidor utilizando el lenguaje de consulta del servidor (SQL), forzando al servidor a entregar información protegida. Este tipo de ataque suele consistir en enviar código malicioso a un comentario o cuadro de búsqueda del sitio web no protegido. Las prácticas de codificación segura, como el uso de sentencias preparadas con consultas parametrizadas, son una forma eficaz de evitar las inyecciones de SQL. Cuando un comando SQL utiliza un parámetro en lugar de insertar los valores directamente, puede permitir que el módulo de servicio ejecute consultas maliciosas. Además, el intérprete SQL utiliza el parámetro sólo como datos, sin ejecutarlo como código. 6. Explotación de día cero Una vulnerabilidad de día cero se refiere a la explotación de una vulnerabilidad de red cuando es nueva y recientemente anunciada, antes de que un parche sea liberado y/o implementado. Los atacantes de día cero saltan a la vulnerabilidad revelada en la pequeña ventana de tiempo en la que no existe ninguna solución o medida preventiva. Por lo tanto, la prevención de los ataques de día cero requiere una supervisión constante, detección proactiva y prácticas ágiles de gestión de amenazas. 7. Ataque de contraseña Las contraseñas son el método más extendido para autentificar el acceso a un sistema de información seguro, lo que las convierte en un objetivo atractivo para los ciberataques. Al acceder a la contraseña de una persona, un atacante puede acceder a datos y sistemas confidenciales o críticos, incluida la capacidad de actualizar y controlar dichos datos y sistemas. Los atacantes de contraseñas utilizan una miríada de métodos para identificar una contraseña individual, incluyendo el uso de ingeniería social, obtener acceso a una base de datos de contraseñas, probar la conexión de red para obtener contraseñas no cifradas, o simplemente adivinando. El último método mencionado se ejecuta de una manera sistemática conocida como "ataque de fuerza bruta". Un ataque por fuerza bruta emplea un programa para probar todas las variantes y combinaciones posibles de información para adivinar la contraseña. Otro método común es el ataque con diccionario, cuando el atacante utiliza una lista de contraseñas comunes para intentar acceder al equipo y la red de un usuario. Las mejores prácticas de bloqueo de cuentas y la autenticación de dos factores son muy útiles para evitar un ataque de contraseña. Las funciones de bloqueo de cuentas pueden congelar la cuenta después de varios intentos de contraseñas no válidas y la autenticación de dos factores añade una capa adicional de seguridad, lo que requiere que el usuario inicie sesión para introducir un código secundario sólo disponible en su(s) dispositivo(s) 2FA. 8. Secuencias de comandos entre sitios Un ataque de secuencias de comandos entre sitios envía secuencias de comandos maliciosas al contenido de sitios web fiables. El código malicioso se une al contenido dinámico que se envía al navegador de la víctima. Normalmente, este código malicioso consiste en código JavaScript ejecutado por el navegador de la víctima, pero puede incluir Flash, HTML y XSS. 9. Rootkits Los rootkits se instalan dentro de un software legítimo, donde pueden obtener control remoto y acceso a nivel de administración a través de un sistema. El atacante utiliza el rootkit para robar contraseñas, claves, credenciales y recuperar datos críticos. Dado que los rootkits se esconden en software legítimo, una vez que permite que el programa realice cambios en su sistema operativo, el rootkit se instala en el sistema (host, ordenador, servidor, etc.) y permanece inactivo hasta que el atacante lo activa o se activa a través de un mecanismo de persistencia. Los rootkits se propagan normalmente a través de archivos adjuntos de correo electrónico y descargas de sitios web inseguros. 10. Internet de los objetos (IO) Ataques Mientras que la conectividad a Internet a través de casi todos los dispositivos imaginables crea comodidad y facilidad para los individuos, también presentaun número creciente -casi ilimitado- de puntos de acceso para que los atacantes los exploten y causen estragos. La interconexión de las cosas hace posible que los atacantes rompan un punto de entrada y lo utilicen como puerta para explotar otros dispositivos de la red. Los ataques de IO son cada vez más populares debido al rápido crecimiento de los dispositivos de IO y (en general) a la baja prioridad que se da a la seguridad integrada en estos dispositivos y en sus sistemas operativos. En un caso de ataque a la IO, un casino de Las Vegas fue atacado y el hacker logró entrar a través de un termómetro conectado a Internet dentro de uno de los bancos de peces del casino. Las mejores prácticas para ayudar a prevenir un ataque IoT incluyen la actualización del sistema operativo y el mantenimiento de una contraseña segura para todos los dispositivos IoT de la red, así como el cambio frecuente de contraseñas. PROTECCIÓN DEL USUARIO FINAL Después de todo, a menudo es un individuo (el usuario final) el que accidentalmente carga malware u otra forma de ciberamenaza en su equipo de escritorio, laptop o dispositivo móvil. Por tanto, ¿de qué manera protegen las medidas de ciberseguridad a los usuarios finales y los sistemas? En primer lugar, la ciberseguridad depende de los protocolos criptográficos para cifrar los correos electrónicos, archivos y otros datos críticos. La ciberseguridad no solo protege la información en tránsito, también ofrece protección contra las pérdidas o el robo. Además, el software de seguridad del usuario final analiza las computadoras para detectar código malicioso, pone en cuarentena este código y lo elimina del equipo. Los programas de seguridad pueden incluso detectar y eliminar el código malicioso oculto en el registro de arranque maestro (MBR) y están diseñados para cifrar o borrar datos del disco duro de la computadora. Los protocolos de seguridad electrónica también se enfocan en la detección de malware en tiempo real. Muchos utilizan el análisis heurístico y de comportamiento para monitorear el comportamiento de un programa y su código para defenderse de virus o troyanos que pueden cambiar de forma con cada ejecución (malware polimórfico y metamórfico). Los programas de seguridad pueden restringir los programas que puedan ser maliciosos en una burbuja virtual separada de la red del usuario para analizar su comportamiento y aprender a detectar mejor las nuevas infecciones. Los programas de seguridad continúan desarrollando nuevas defensas mientras los profesionales de la ciberseguridad identifican nuevas amenazas y formas de combatirlas. Para aprovechar al máximo el software de seguridad del usuario final, los empleados deben aprender a utilizarlo. Lo fundamental es mantenerlo en funcionamiento y actualizarlo con frecuencia para que pueda proteger a los usuarios de las ciberamenazas más recientes. CONSEJOS DE CIBERSEGURIDAD: PROTÉJASE DE LOS CIBERATAQUES 1. Actualizar el software y el sistema operativo: esto significa que aprovechará las últimas revisiones de seguridad. 2. Utilizar software antivirus: las soluciones de seguridad, , detectarán y eliminarán las amenazas. Mantenga su software actualizado para obtener el mejor nivel de protección. 3. Utilizar contraseñas seguras: asegúrese de que sus contraseñas no sean fáciles de adivinar. 4. No abrir archivos adjuntos de correos electrónicos de remitentes desconocidos: podrían estar infectados con malware. 5. No hacer clic en los vínculos de los correos electrónicos de remitentes o sitios web desconocidos: es una forma común de propagación de malware. 6. Evitar el uso de redes Wi-Fi no seguras en lugares públicos: las redes no seguras lo dejan vulnerable a ataques del tipo “Man-in-the- middle”. La informatica forence es la disciplina que combina los elementos del derecho y la informática para recopilar y analizar datos de sistemas informáticos, redes, comunicaciones inalámbricas y dispositivos de almacenamiento de una manera que sea admisible como prueba en un tribunal de justicia. Esta es un conjunto de técnicas científicas y técnicas que permiten analizar qué ha ocurrido, cómo se ha llevado a cabo y quién ha sido el autor. Específicamente la informatica forense efectúa análisis o pruebas periciales para corroborar o descartar hipótesis, y verificar científicamente la existencia del delito o hecho a dilucidar. Su objeto de análisis son las muestras diminutas, los rastros casi invisibles para sacarlos a la luz y contribuir a resolver casos. ¿PARA QUÉ SIRVE LA INFORMATICA FORENSE Y DONDE SE APLICA? El análisis forense informático recaba pruebas que más tarde pueden ser presentadas ante un tribunal y faciliten la condena del responsable del delito. Se aplica en todos los casos de trabajo con pruebas presentadas en forma digital o electrónica, tanto en el almacenamiento como en la transmisión de datos electrónicos. En un momento, la informática forense se separó del análisis de red y el análisis de código, pero ahora todo esto se aborda en la prueba digital. IMPORTANCIA QUE TIENE LA INFORMÁTICA FORENSE La informática forense es una ciencia indispensable para todas las empresas, pues garantiza que la información confidencial y los datos de todas las personas que interaccionan con la compañía estén debidamente protegidos y fuera del alcance de los delincuentes de la red FASES DE LA INFORMATICA FORENSE Fase de Identificación El primer paso que debe realizar el analista es identificar todos aquellos elementos que harán parte de la investigación. A la vez que se identifican deberán ser marcados o rotulados claramente para poder darles adecuado tratamiento a través de todo el proceso. Un disco duro, memorias, portátil, todos podrán ser parte de la evidencia y así mismo serán marcados con un identificador único. Etapa 1: Levantamiento de información Inicial En esta etapa de la identificación es en la que el administrador del sistema solicita el análisis forense de la evidencia. Para esto debe suministrar al equipo de análisis información como fecha del incidente, duración y detalles del mismo. También información sobre datos de contacto del responsable del sistema afectado como teléfonos, correos, direcciones, etc. Es importante también suministrar información sobre el dispositivo o equipo afectado con el mayor detalle posible, como su dirección IP, marca, modelo, seriales, sistema operativo, etc. Etapa 2: Asegurar la escena Los dispositivos que se toman como evidencia en el caso deberán ser correctamente identificados según el tipo de dispositivo, si es un sistema informático, dispositivo móvil, sistemas embebidos, etc., así como también según el medio de almacenamiento. En este punto la evidencia podrá ser volátil si se puede perder al apagar el sistema, por ejemplo se encuentra en ejecución en memoria, y no volátil como en el caso de información almacenada en un disco duro. Fase de Validación y Preservación Es muy importante preservar correctamente las evidencias recolectadas en la fase anterior. De poco o nada vale recopilar las evidencias si no se lleva un registro exacto de quienes han tenido acceso a ella, pues es el sustento ante un caso judicial de que las mismas no han sido alteradas durante el proceso. Etapa 1: Copias de la Evidencia El primer paso es sacar dos copias de las evidencias obtenidas. De esta manera nos aseguramos que mantenemos el original intacto y se trabajará solo con las copias y en todo momento habrá manera de comprobar que la evidencia no ha sido alterada. Se marcará cada copia con un identificador único, y esta información quedará consignada junto con la hora y fecha en la cual se sacó la copia, la suma de comprobación y los datos de la persona que realizó la misma. Etapa 2: Cadena de Custodia En todo momento se debe conocer quien ha tenido acceso a las evidencias recolectadas.Para esto existe la cadena de custodia. En cada etapa se preparará un documento donde se registran los datos de las personas que han accedido a la evidencia y en que fechas exactas. Toda la información que se pueda registrar será de apoyo en el proceso, como por ejemplo como se ha transportado la evidencia, a que sitios, etc. Es poder seguirle el rastro a la evidencia y garantizar su integridad. Fase de Análisis Existen herramientas que se utilizan para analizar las evidencias digitales. En esta fase se debe identificar cuáles de ellas son las más pertinentes para el análisis, y de esta manera conseguir elaborar la línea de tiempo donde se ubique cuando sucedieron los hechos del ataque. Etapa 1: Preparación para el análisis En esta etapa lo que se busca es montar todo lo necesario para el análisis de las evidencias. Se necesitará en algunos casos equipos donde se montarán las imágenes de las evidencias para su análisis, sistemas operativos, en fin, lo necesario para este análisis. Etapa 2: Reconstrucción del ataque Esta es la etapa que puede tomar mucho más tiempo. Lo que se busca es crear la línea de tiempo con la información recolectada sobre la evidencia, fechas en las que fueron manipulados archivos o borrados. Para esto el analista debe profundizar en el análisis mirando para cada archivo información sobre tamaños de archivo, marcas de tiempo MACD, rutas, permisos. Habrá que ser muy metódicos y recurrir a herramientas que nos faciliten esta tarea. Se debe establecer que archivos son de mayor interés en el análisis, y una posible guía serán aquellos archivos que fueron accedidos, modificados o borrados más recientemente, tomando como referencia la fecha de instalación del sistema operativo. Los logs también juegan un papel muy importante en esta etapa pues de ahí el analista puede comparar fechas de registros de eventos del sistema contra las fechas de manipulaciones de los archivos y empezar a armar el rompecabezas para ir acercándose a un veredicto. Etapa 3: Determinación del ataque Una vez se haya determinado la línea de sucesos del ataque se pasará a determinar el punto por el cual el atacante ingresó al sistema. Esto pudo ocurrir por accesos no controlados al tener puertos abiertos en la red, sistemas operativos desactualizados, ataques de fuerza bruta, etc. Etapa 4: Identificación del atacante Habrá casos en lo que se solicite al analista la identificación del atacante. En este caso el analista hará uso de herramientas para detectar de donde pudo venir el ataque, desde que dirección IP y rastrear esta a quien pertenece. Etapa 5: Perfil del atacante Hay distintos tipos de atacantes los cuales podrán ser identificado según el tipo de ataque que han realizado. Entre estos tenemos los hackers, SciptKiddies y profesionales de informática que usan sus conocimientos para realizar el ataque. Etapa 6: Evaluación del impacto causado en el sistema No todos los ataques a un sistema tienen el mismo impacto. Algunas veces el atacante sólo ingresa al sistema pero no modifica o altera los archivos. En otras ocasiones si alcanzan a realizar cambios que afectan levemente o gravemente un sistema. En analista deberá medir el impacto causado, pues se podrán tomar medidas para corregir y mitigar el riesgo. Fase de Documentación Y Presentación de las Pruebas Consiste en documentar todos los pasos realizados sobre la evidencia, para posteriormente realizar los informes técnicos. Etapa 1: Utilización de formularios de registro del incidente Entre otros se deberán llenar los siguientes formularios - Documento de custodia de la evidencia - Formulario de identificación de equipos y componentes - Formulario de incidencias tipificadas - Formulario de publicación del incidente - Formulario de recogida de evidencias - Formulario de discos duros. Etapa 2: Informe técnico Es la elaboración de un reporte con todos aquellos aspectos técnicos del análisis efectuado. Tendrá un perfil para ser entregado como soporte técnico, dirigido a personal que conozca de los sistemas y pueda manejar este tipo de lenguaje. Etapa 3: Informe Ejecutivo Este informe deberá ser mucho más sencillo en su presentación, empleando palabras mucho más entendibles, no dirigidas a personal técnico. En este documento se exponen los hechos ocurridos en el sistema atacado. TIPOS DE INFORMÁTICA FORENSE De sistemas operativos Es el proceso de recuperación de información útil del sistema operativo (SO) del ordenador o dispositivo móvil en cuestión. El objetivo de recopilar esta información es adquirir evidencia empírica contra el autor. La comprensión de un sistema operativo y su sistema de archivos es necesaria para recuperar datos para investigaciones informáticas. El sistema de archivos proporciona un sistema operativo con una hoja de ruta para los datos en el disco duro. El sistema de archivos también identifica cómo el disco duro almacena los datos. De redes El análisis forense de la red se refiere a la recopilación, monitorización y análisis de las actividades de la red para descubrir la fuente de ataques, virus, intrusiones o violaciones de seguridad que ocurren en una red o en el tráfico de la red. Como tal, el análisis forense de la red se considera junto con el análisis forense móvil o el análisis forense de imágenes digitales, como parte del análisis forense digital. Por lo general, se usa cuando se trata de ataques a la red. En muchos casos, se usa para monitorizar una red para identificar proactivamente el tráfico sospechoso o un ataque inminente. Por otro lado, se utiliza para recopilar pruebas mediante el análisis de datos de tráfico de red para identificar la fuente de un ataque. En dispositivos móviles Los crímenes no ocurren aislados de las tendencias tecnológicas; por lo tanto, el análisis forense de dispositivos móviles se ha convertido en una parte importante del análisis forense digital. El proceso forense móvil tiene como objetivo recuperar evidencia digital o datos relevantes de un dispositivo móvil de una manera que conserve la evidencia en una condición forense sólida. Para lograr eso, el proceso forense móvil necesita establecer reglas precisas que incauten, aíslen, transporten, almacenen para el análisis y prueben pruebas digitales que se originen de manera segura desde dispositivos móviles. En la nube o Cloud Hoy en día, con la mayoría de los datos críticos de nuestra empresa transferidos a los proveedores de servicios en la nube, una de nuestras principales preocupaciones es tratar los asuntos de seguridad. Eso incluye ser capaz de responder rápidamente y reportar eventos que pueden conducir a problemas legales. ¿QUÉ HACE UN ESPECIALISTA EN INFORMÁTICA FORENSE? Un especialista en informática forense es un especialista en tecnología de la información que recopila y analiza datos de computadoras y medios electrónicos para ser utilizados como evidencia legítima en investigaciones criminales. Este especialista es un experto en la recuperación de datos como correos electrónicos, correspondencia comercial y otros archivos, incluso los que hayan sido eliminados, mientras se asegura de que nada en el sistema informático se modifique o destruya. También pueden investigar piratería informática, distribución de software malicioso o incluso terrorismo. Frecuentemente son llamados a declarar en juicios donde se presentan pruebas informáticas. Los especialistas en informática forense a menudo trabajan en la aplicación de la ley. Pueden colaborar con departamentos de policía locales o agencias de policía regionales más grandes. Algunos trabajan en el ejército o la inteligencia. Los bufetes de abogados y las grandes corporaciones a veces también contratan expertos en informática. También pueden trabajar con compañías privadas que brindan servicios forenses digitalespor contrato. Un especialista independiente en informática forense además puede trabajar como freelancer. CASOS DE INFORMÁTICA FORENSE Hay pocas áreas de crimen o disputa donde no se puede aplicar la informática forense. Las agencias de aplicación de la ley se encontraban entre los primeros y más pesados usuarios de informática forense; como resultado, a menudo han estado a la vanguardia de los desarrollos en el campo. Los ordenadores pueden considerarse una escena de un crimen, por ejemplo, con ataques de piratería o denegación de servicio. Pueden tener evidencia de delitos que ocurrieron en otros lugares, en forma de correos electrónicos, historial de Internet, documentos u otros archivos relevantes para delitos como asesinato, secuestro, fraude o tráfico de drogas. Un examen forense digital de ordenador puede revelar más de lo esperado. Los investigadores no solo están interesados en el contenido de correos electrónicos, documentos y otros archivos, sino también en los metadatos asociados con esos archivos. Los registros de las acciones de un usuario también pueden almacenarse en archivos de registro y otras aplicaciones en un ordenador, como los navegadores de Internet. Por lo tanto, un examen forense informático podría revelar cuándo apareció por primera vez un documento en un ordenador, cuándo se editó por última vez, cuándo se guardó o imprimió por última vez y qué usuario realizó estas acciones. Las organizaciones comerciales han utilizado informática forense para ayudar con todo tipo de casos, incluidos: • Robo de propiedad intelectual • Disputas laborales • Fraude de facturas, a menudo habilitado por correos electrónicos de phishing • Falsificaciones • Uso inapropiado de correo electrónico e Internet en el lugar de trabajo • Cumplimiento normativo
Compartir