TFI - Ciberseguridad e Informatica Forense

Vista previa del material en texto

UNIVERSIDAD TECNOLÓGICA NACIONAL 
FACULTAD REGIONAL TUCUMÁN 
 
 
INGENIERÍA EN SISTEMAS DE INFORMACIÓN 
SEGURIDAD INFORMATICA 
 
TRABAJO FINAL INTEGR ADOR 
 
 
 
 
 
 
 
 
Integrantes: 
*Albarracín, Cintya Yohana - 50487 
* Arias, Gimena Rosa - 50494 
*Arobio, Matías Alejandro - 50495 
* Augier, Alexis Nahuel - 50496 
* Juárez, Nahuel Alejandro - 50546 
* Villagra, Sebastián Santiago - 50789 Comisión 3K5 
En todo el mundo, en general el problema de los delitos informáticos se está 
volviendo cada vez más relevante. Al mismo tiempo, los delincuentes utilizan cada 
vez más la tecnología de la información con fines criminales, cometen delitos 
calificados como «sin contacto», o lo que sería en lenguaje informático, con acceso 
remoto. 
En tales situaciones, el número de rastros trasológicos tradicionales se reduce 
significativamente, pero al mismo tiempo aparece una gran cantidad de rastros 
digitales del crimen. En este sentido, la sociedad y el estado deben adoptar medidas 
proactivas para prevenir, reprimir, divulgar e investigar los delitos de información en 
esta nueva base tecnológica. 
Desde hace un tiempo que la Ciberseguridad y el Análisis Forense 
Digital vienen trabajando como equipo. Son fundamentales a la hora de 
investigar un cibercrimen, aunque de diferentes ángulos. 
La seguridad cibernética, tiene como función centrarse en la prevención y 
detección de ataques y el diseño de sistemas seguros. En cambio, el análisis 
forense digital, se ocupa de las secuelas del incidente en una función de 
investigación. 
 
La ciberseguridad es la práctica de proteger sistemas, redes y programas de 
ataques digitales. Por lo general, estos ciberataques apuntan a acceder, 
modificar o destruir la información confidencial; Extorsionar a los usuarios o los 
usuarios o interrumpir la continuidad del negocio. 
Hablar de ciberseguridad implica describir un conjunto de políticas, estrategias 
y acciones orientadas a elevar los niveles de seguridad de las personas frente 
a incidentes y delitos que tengan como medio o fin un dispositivo informático, 
es decir, a un aparato capaz de procesar en forma automática datos e 
información. 
 
¿POR QUÉ ES IMPORTANTE LA CIBERSEGURIDAD? 
El mundo se apoya más que nunca en la tecnología. Como resultado, la 
creación de datos digitales ha aumentado. Hoy en día, las empresas y los 
gobiernos almacenan gran parte de esa información en los ordenadores y la 
transmiten a través de redes a otros ordenadores. Los dispositivos y sus 
sistemas subyacentes tienen vulnerabilidades que, cuando se explotan, 
socavan la salud y los objetivos de las organizaciones. 
Una violación de datos puede tener una serie de consecuencias 
devastadoras para cualquier negocio. Puede dañar la reputación de una 
empresa debido a la pérdida de la confianza del consumidor y los socios. La 
pérdida de datos críticos, como los archivos de origen o la propiedad 
intelectual, puede costar a una empresa su ventaja competitiva. Yendo más 
allá, una violación de datos puede afectar los ingresos 
corporativos debido al incumplimiento de las regulaciones de protección de 
datos. 
Con las violaciones de datos de alto perfil que aparecen en los titulares de los 
medios, es esencial que las organizaciones adopten e implementen un sólido 
enfoque de Ciberseguridad. 
 
HISTORIA 
El primer hacker y cracker 
En primer lugar, es importante diferenciar un hacker de un ciberdelincuente (o 
cracker) para evitar confusiones. Un hacker es una persona que investiga los 
sistemas para detectar fallos y mejorarlos, por lo contrario, un cracker busca 
esos mismos fallos para explotarlos y obtener un beneficio. 
El primer hacker de la historia fue el mago Nevil Maskelyne, que en 1903 logró 
interceptar la primera transmisión del telégrafo inalámbrico. 
El primer ciberdelincuente (o cracker) de la historia fue John Draper, también 
conocido como “Captain Crunch”, quien recibió ese nombre porque descubrió 
que modificando un silbato que se regalaba en las cajas de cereales “Cap’n 
Crunch” emitía un tono a 2600 Hz con el que se podía engañar a la central 
telefónica y realizar llamadas gratis. 
 
El primer antivirus 
En los mismos inicios de la informática moderna ya aparecieron los primeros 
ciberdelincuentes y el malware. ¡A principios de los años 70 apareció 
Creeper, el primer malware, el cual llegaba a las computadoras a través de 
ARPANET (la antecesora de internet), se auto ejecutaba y comenzaba a 
mostrar el mensaje “I’m the Creeper, catch me if you can!”. 
Debido a los estragos causados por ese malware, y para solucionarlo surgió el 
primer antivirus llamado Reaper, el cual básicamente era otro virus que se 
propagaba a través de la red en busca de computadoras infectadas con 
Creeper para eliminarlo. 
La evolución de las tecnologías hizo que cada vez existieran más aplicaciones, 
más datos almacenados y por tanto, más riesgos de seguridad debido a que 
era información muy jugosa para los ciberdelincuentes. 
En los años 80 se produjo un auge del malware y aunque con el tiempo han ido 
apareciendo antivirus que protegen de las amenazas que han ido surgiendo (en 
muchas industrias incluso es obligatorio tener un antivirus), el malware ha 
evolucionado hasta el nivel de que hoy en día existe malware creado 
específicamente para evitar la protección antivirus normal, por lo que este se 
vuelve totalmente ineficaz. 
 
CIBERAMENAZAS 
Se podrían definir como aquellas actividades “malignas” que tienen lugar en 
el ciberespacio. Su principal objetivo es conseguir captar la información que 
circula por el mismo y utilizar esta con fines lucrativos y no muy éticos, es decir, 
utilizan estos datos para manipular y controlar a los usuarios. 
Con la gran expansión que ha tenido el ciberespacio en los últimos tiempos, y 
ya no solo hablando del número de usuarios que tienen acceso a él, sino 
también de las aplicaciones y contenido, todo ello ha generado la creación de 
nuevas amenazas y problemas para los cuales los especialistas, para 
contraatacar, no tienen nada diseñado. 
 
 
TIPOS DE CIBERAMENAZAS 
1. Malware 
El término "malware" abarca varios tipos de ataques, incluyendo spyware, virus 
y gusanos. El malware utiliza una vulnerabilidad para romper una red cuando 
un usuario hace clic en un enlace o archivo adjunto de correo electrónico 
peligroso "plantado", que se utiliza para instalar software malintencionado en el 
sistema. 
El malware y los archivos maliciosos dentro de un sistema informático pueden 
hacer: 
• Denegar el acceso a los componentes críticos de la red 
• Obtener información recuperando datos del disco duro 
• Interrumpir el sistema o incluso inutilizarlo 
El malware es tan común que existe una gran variedad de modus operandi. Los 
tipos más comunes son: 
• Virus: infectan aplicaciones que se adjuntan a la secuencia de 
inicialización. El virus se replica a sí mismo, infectando otro código en el 
sistema informático. Los virus también pueden adjuntarse al código 
ejecutable o asociarse a un archivo creando un archivo de virus con el 
mismo nombre, pero con la extensión.exe, creando así un señuelo que 
transporta el virus. 
• Troyanos: un programa que se esconde dentro de un programa útil con 
fines maliciosos. A diferencia de los virus, un troyano no se replica a sí 
mismo y se utiliza comúnmente para establecer una puerta trasera para 
ser explotada por los atacantes. 
• Gusanos: a diferencia de los virus, no atacan al host, ya que son 
programas autónomos que se propagan a través de redes y equipos. 
Los gusanos a menudo se instalan a través de archivos adjuntos de 
correo electrónico, enviando una copia de sí mismos a cada contacto de 
la lista de correo electrónico del equipo infectado. Se utilizan 
comúnmente para sobrecargar un servidor de correo electrónico y lograr 
un ataque de denegación de servicio. 
• Ransomware: un tipo de malware que niega el acceso a los datos delas víctimas, amenazando con publicarlos o eliminarlos a menos que se 
pague un rescate. El software de rescate avanzado utiliza la extorsión 
criptoviral, cifrando los datos de la víctima para que sea imposible 
descifrarlos sin la clave de descifrado. 
• Spyware-un tipo de programa instalado para recopilar información sobre 
los usuarios, sus sistemas o hábitos de navegación, enviando los datos 
a un usuario remoto. El atacante puede utilizar la información con fines 
de chantaje o descargar e instalar otros programas maliciosos desde la 
Web. 
2. Suplantación de identidad (phishing) 
Los ataques de phishing son extremadamente comunes e implican el envío 
masivo de correos electrónicos fraudulentos a usuarios desprevenidos, 
disfrazados de proceder de una fuente fiable. Los correos electrónicos 
fraudulentos a menudo tienen la apariencia de ser legítimos, pero vinculan al 
destinatario a un archivo o script malicioso diseñado para permitir a los 
atacantes el acceso a su dispositivo para controlarlo o recopilar información, 
instalar archivos o scripts maliciosos, o extraer datos como información de 
usuario, información financiera y más. 
Los ataques de phishing también pueden tener lugar a través de redes sociales 
y otras comunidades en línea, a través de mensajes directos de otros usuarios 
con una intención oculta. Los phishers a menudo aprovechan la ingeniería 
social y otras fuentes de información pública para recopilar información sobre 
su trabajo, intereses y actividades, lo que les da a los atacantes una ventaja 
para convencerle de que no son quienes dicen ser. 
Hay varios tipos diferentes de ataques de phishing, incluyendo: 
• Spear Phishing - ataques dirigidos a empresas y/o individuos 
específicos. 
• Ataques de ballenas dirigidos a altos ejecutivos y grupos de interés 
dentro de una organización. 
• Pharming-lleva a cabo el envenenamiento de la caché del DNS para 
capturar las credenciales de usuario a través de una página de inicio de 
sesión falsa. 
Los ataques de phishing también pueden tener lugar a través de llamadas 
telefónicas (phishing de voz) y a través de mensajes de texto (phishing de 
SMS). 
3. Ataques del Hombre en el Medio (MitM) 
Ocurre cuando un atacante intercepta una transacción entre dos partes, 
insertándose en el medio. A partir de ahí, los ciberataques pueden robar y 
manipular datos interrumpiendo el tráfico. 
 
Este tipo de ataque suele explotar las 
vulnerabilidades de seguridad de una 
red, como una red Wifi pública no segura, 
para insertarse entre el dispositivo de un 
visitante y la red. El problema con este 
tipo de ataque es que es muy difícil de 
detectar, ya que la víctima piensa que la información va a un destino legítimo. 
Los ataques de phishing o malware a menudo se aprovechan para llevar a 
cabo este tipo de ataques (MitM). 
4. Ataque de Denegación de Servicio (DOS) 
Los ataques DOS funcionan inundando sistemas, servidores y/o redes con 
tráfico para sobrecargar recursos y ancho de banda. Este resultado hace que el 
sistema sea incapaz de procesar y satisfacer las solicitudes legítimas. Además 
de los ataques de denegación de servicio (DoS), también hay ataques de 
denegación de servicio distribuidos (DDoS). 
Los ataques DoS saturan los recursos del sistema con el objetivo de impedir la 
respuesta a las solicitudes de servicio. Por otro lado, se lanza un ataque DDoS 
desde varios equipos host infectados con el objetivo de lograr la denegación de 
servicio y desconectar un sistema, allanando así el camino para que otro 
ataque entre en la red o en el entorno. 
Los tipos más comunes de ataques DoS y DDoS son el ataque de inundación 
TCP SYN, el ataque de lágrimas, el ataque de pitufo, el ataque de ping-of-
death y las botnets. 
5. Inyecciones SQL 
Esto ocurre cuando un atacante inserta código malicioso en un servidor 
utilizando el lenguaje de consulta del servidor (SQL), forzando al servidor a 
entregar información protegida. Este tipo de ataque suele consistir en enviar 
código malicioso a un comentario o cuadro de búsqueda del sitio web no 
protegido. Las prácticas de codificación segura, como el uso de sentencias 
preparadas con consultas parametrizadas, son una forma eficaz de evitar las 
inyecciones de SQL. 
Cuando un comando SQL utiliza un parámetro en lugar de insertar los valores 
directamente, puede permitir que el módulo de servicio ejecute consultas 
maliciosas. Además, el intérprete SQL utiliza el parámetro sólo como datos, sin 
ejecutarlo como código. 
6. Explotación de día cero 
Una vulnerabilidad de día cero se refiere a la explotación de una vulnerabilidad 
de red cuando es nueva y recientemente anunciada, antes de que un parche 
sea liberado y/o implementado. Los atacantes de día cero saltan a la 
vulnerabilidad revelada en la pequeña ventana de tiempo en la que no existe 
ninguna solución o medida preventiva. Por lo tanto, la prevención de los 
ataques de día cero requiere una supervisión constante, detección proactiva y 
prácticas ágiles de gestión de amenazas. 
 
7. Ataque de contraseña 
Las contraseñas son el método más extendido para autentificar el acceso a un 
sistema de información seguro, lo que las convierte en un objetivo atractivo 
para los ciberataques. Al acceder a la contraseña de una persona, un atacante 
puede acceder a datos y sistemas confidenciales o críticos, incluida la 
capacidad de actualizar y controlar dichos datos y sistemas. 
Los atacantes de contraseñas utilizan una miríada de métodos para identificar 
una contraseña individual, incluyendo el uso de ingeniería social, obtener 
acceso a una base de datos de contraseñas, probar la conexión de red para 
obtener contraseñas no cifradas, o simplemente adivinando. 
El último método mencionado se ejecuta de una manera sistemática conocida 
como "ataque de fuerza bruta". Un ataque por fuerza bruta emplea un 
programa para probar todas las variantes y combinaciones posibles de 
información para adivinar la contraseña. 
Otro método común es el ataque con diccionario, cuando el atacante utiliza una 
lista de contraseñas comunes para intentar acceder al equipo y la red de un 
usuario. Las mejores prácticas de bloqueo de cuentas y la autenticación de dos 
factores son muy útiles para evitar un ataque de contraseña. Las funciones de 
bloqueo de cuentas pueden congelar la cuenta después de varios intentos de 
contraseñas no válidas y la autenticación de dos factores añade una capa 
adicional de seguridad, lo que requiere que el usuario inicie sesión para 
introducir un código secundario sólo disponible en su(s) dispositivo(s) 2FA. 
 
8. Secuencias de comandos entre sitios 
Un ataque de secuencias de comandos entre sitios envía secuencias de 
comandos maliciosas al contenido de sitios web fiables. El código malicioso se 
une al contenido dinámico que se envía al navegador de la víctima. 
Normalmente, este código malicioso consiste en código JavaScript ejecutado 
por el navegador de la víctima, pero puede incluir Flash, HTML y XSS. 
 
9. Rootkits 
Los rootkits se instalan dentro de un software legítimo, donde pueden obtener 
control remoto y acceso a nivel de administración a través de un sistema. El 
atacante utiliza el rootkit para robar contraseñas, claves, credenciales y 
recuperar datos críticos. 
Dado que los rootkits se esconden en software legítimo, una vez que permite 
que el programa realice cambios en su sistema operativo, el rootkit se instala 
en el sistema (host, ordenador, servidor, etc.) y permanece inactivo hasta que 
el atacante lo activa o se activa a través de un mecanismo de persistencia. Los 
rootkits se propagan normalmente a través de archivos adjuntos de correo 
electrónico y descargas de sitios web inseguros. 
10. Internet de los objetos (IO) Ataques 
Mientras que la conectividad a Internet a través de casi todos los dispositivos 
imaginables crea comodidad y facilidad para los individuos, también presentaun número creciente -casi ilimitado- de puntos de acceso para que los 
atacantes los exploten y causen estragos. La interconexión de las cosas hace 
posible que los atacantes rompan un punto de entrada y lo utilicen como puerta 
para explotar otros dispositivos de la red. 
Los ataques de IO son cada vez más populares debido al rápido crecimiento de 
los dispositivos de IO y (en general) a la baja prioridad que se da a la seguridad 
integrada en estos dispositivos y en sus sistemas operativos. En un caso de 
ataque a la IO, un casino de Las Vegas fue atacado y el hacker logró entrar a 
través de un termómetro conectado a Internet dentro de uno de los bancos de 
peces del casino. 
Las mejores prácticas para ayudar a prevenir un ataque IoT incluyen la 
actualización del sistema operativo y el mantenimiento de una contraseña 
segura para todos los dispositivos IoT de la red, así como el cambio frecuente 
de contraseñas. 
 
PROTECCIÓN DEL USUARIO FINAL 
Después de todo, a menudo es un individuo (el usuario final) el que 
accidentalmente carga malware u otra forma de ciberamenaza en su equipo de 
escritorio, laptop o dispositivo móvil. 
Por tanto, ¿de qué manera protegen las medidas de ciberseguridad a los 
usuarios finales y los sistemas? En primer lugar, la ciberseguridad depende de 
los protocolos criptográficos para cifrar los correos electrónicos, archivos y 
otros datos críticos. La ciberseguridad no solo protege la información en 
tránsito, también ofrece protección contra las pérdidas o el robo. 
Además, el software de seguridad del usuario final analiza las computadoras 
para detectar código malicioso, pone en cuarentena este código y lo elimina del 
equipo. Los programas de seguridad pueden incluso detectar y eliminar 
el código malicioso oculto en el registro de arranque maestro (MBR) y están 
diseñados para cifrar o borrar datos del disco duro de la computadora. 
Los protocolos de seguridad electrónica también se enfocan en la detección de 
malware en tiempo real. Muchos utilizan el análisis heurístico y de 
comportamiento para monitorear el comportamiento de un programa y su 
código para defenderse de virus o troyanos que pueden cambiar de forma con 
cada ejecución (malware polimórfico y metamórfico). Los programas de 
seguridad pueden restringir los programas que puedan ser maliciosos en una 
burbuja virtual separada de la red del usuario para analizar su comportamiento 
y aprender a detectar mejor las nuevas infecciones. 
Los programas de seguridad continúan desarrollando nuevas defensas 
mientras los profesionales de la ciberseguridad identifican nuevas amenazas y 
formas de combatirlas. Para aprovechar al máximo el software de seguridad del 
usuario final, los empleados deben aprender a utilizarlo. Lo fundamental es 
mantenerlo en funcionamiento y actualizarlo con frecuencia para que pueda 
proteger a los usuarios de las ciberamenazas más recientes. 
 
CONSEJOS DE CIBERSEGURIDAD: PROTÉJASE DE LOS 
CIBERATAQUES 
1. Actualizar el software y el sistema operativo: esto significa que 
aprovechará las últimas revisiones de seguridad. 
2. Utilizar software antivirus: las soluciones de seguridad, , detectarán y 
eliminarán las amenazas. Mantenga su software actualizado para 
obtener el mejor nivel de protección. 
3. Utilizar contraseñas seguras: asegúrese de que sus contraseñas no 
sean fáciles de adivinar. 
4. No abrir archivos adjuntos de correos electrónicos de remitentes 
desconocidos: podrían estar infectados con malware. 
5. No hacer clic en los vínculos de los correos electrónicos de 
remitentes o sitios web desconocidos: es una forma común de 
propagación de malware. 
6. Evitar el uso de redes Wi-Fi no seguras en lugares públicos: las 
redes no seguras lo dejan vulnerable a ataques del tipo “Man-in-the-
middle”. 
 
 
La informatica forence es la disciplina que combina los elementos del derecho y 
la informática para recopilar y analizar datos de sistemas informáticos, redes, 
comunicaciones inalámbricas y dispositivos de almacenamiento de una manera 
que sea admisible como prueba en un tribunal de justicia. 
Esta es un conjunto de técnicas científicas y técnicas que permiten analizar qué 
ha ocurrido, cómo se ha llevado a cabo y quién ha sido el autor. 
Específicamente la informatica forense efectúa análisis o pruebas periciales 
para corroborar o descartar hipótesis, y verificar científicamente la existencia 
del delito o hecho a dilucidar. Su objeto de análisis son las muestras diminutas, 
los rastros casi invisibles para sacarlos a la luz y contribuir a resolver casos. 
 
¿PARA QUÉ SIRVE LA INFORMATICA FORENSE Y DONDE SE APLICA? 
El análisis forense informático recaba pruebas que más tarde pueden ser 
presentadas ante un tribunal y faciliten la condena del responsable del delito. 
Se aplica en todos los casos de trabajo con pruebas presentadas en forma 
digital o electrónica, tanto en el almacenamiento como en la transmisión de 
datos electrónicos. En un momento, la informática forense se separó del 
análisis de red y el análisis de código, pero ahora todo esto se aborda en la 
prueba digital. 
 
IMPORTANCIA QUE TIENE LA INFORMÁTICA FORENSE 
La informática forense es una ciencia indispensable para todas las empresas, 
pues garantiza que la información confidencial y los datos de todas las 
personas que interaccionan con la compañía estén debidamente protegidos y 
fuera del alcance de los delincuentes de la red 
 
FASES DE LA INFORMATICA FORENSE 
 
Fase de Identificación 
El primer paso que debe realizar el analista es identificar todos aquellos 
elementos que harán parte de la investigación. A la vez que se identifican 
deberán ser marcados o rotulados claramente para poder darles adecuado 
tratamiento a través de todo el proceso. 
 
Un disco duro, memorias, portátil, todos podrán ser parte de la evidencia y así 
mismo serán marcados con un identificador único. 
 
Etapa 1: Levantamiento de información Inicial 
En esta etapa de la identificación es en la que el administrador del sistema 
solicita el análisis forense de la evidencia. Para esto debe suministrar al equipo 
de análisis información como fecha del incidente, duración y detalles del 
mismo. También información sobre datos de contacto del responsable del 
sistema afectado como teléfonos, correos, direcciones, etc. Es importante 
también suministrar información sobre el dispositivo o equipo afectado con el 
mayor detalle posible, como su dirección IP, marca, modelo, seriales, sistema 
operativo, etc. 
 
Etapa 2: Asegurar la escena 
Los dispositivos que se toman como evidencia en el caso deberán ser 
correctamente identificados según el tipo de dispositivo, si es un sistema 
informático, dispositivo móvil, sistemas embebidos, etc., así como también 
según el medio de almacenamiento. En este punto la evidencia podrá ser volátil 
si se puede perder al apagar el sistema, por ejemplo se encuentra en ejecución 
en memoria, y no volátil como en el caso de información almacenada en un 
disco duro. 
 
Fase de Validación y Preservación 
 
Es muy importante preservar correctamente las evidencias recolectadas en la 
fase anterior. De poco o nada vale recopilar las evidencias si no se lleva un 
registro exacto de quienes han tenido acceso a ella, pues es el sustento ante 
un caso judicial de que las mismas no han sido alteradas durante el proceso. 
 
 
 
Etapa 1: Copias de la Evidencia 
El primer paso es sacar dos copias de las evidencias obtenidas. De esta 
manera nos aseguramos que mantenemos el original intacto y se trabajará solo 
con las copias y en todo momento habrá manera de comprobar que la 
evidencia no ha sido alterada. 
 
Se marcará cada copia con un identificador único, y esta información quedará 
consignada junto con la hora y fecha en la cual se sacó la copia, la suma de 
comprobación y los datos de la persona que realizó la misma. 
 
Etapa 2: Cadena de Custodia 
En todo momento se debe conocer quien ha tenido acceso a las evidencias 
recolectadas.Para esto existe la cadena de custodia. En cada etapa se 
preparará un documento donde se registran los datos de las personas que han 
accedido a la evidencia y en que fechas exactas. Toda la información que se 
pueda registrar será de apoyo en el proceso, como por ejemplo como se ha 
transportado la evidencia, a que sitios, etc. Es poder seguirle el rastro a la 
evidencia y garantizar su integridad. 
 
 
Fase de Análisis 
 
Existen herramientas que se utilizan para analizar las evidencias digitales. En 
esta fase se debe identificar cuáles de ellas son las más pertinentes para el 
análisis, y de esta manera conseguir elaborar la línea de tiempo donde se 
ubique cuando sucedieron los hechos del ataque. 
 
 
Etapa 1: Preparación para el análisis 
En esta etapa lo que se busca es montar todo lo necesario para el análisis de 
las evidencias. Se necesitará en algunos casos equipos donde se montarán las 
imágenes de las evidencias para su análisis, sistemas operativos, en fin, lo 
necesario para este análisis. 
 
 
Etapa 2: Reconstrucción del ataque 
Esta es la etapa que puede tomar mucho más tiempo. Lo que se busca es 
crear la línea de tiempo con la información recolectada sobre la evidencia, 
fechas en las que fueron manipulados archivos o borrados. Para esto el 
analista debe profundizar en el análisis mirando para cada archivo información 
sobre tamaños de archivo, marcas de tiempo MACD, rutas, permisos. 
 
 
Habrá que ser muy metódicos y recurrir a herramientas que nos faciliten esta 
tarea. Se debe establecer que archivos son de mayor interés en el análisis, y 
una posible guía serán aquellos archivos que fueron accedidos, modificados o 
borrados más recientemente, tomando como referencia la fecha de instalación 
del sistema operativo. 
 
 
Los logs también juegan un papel muy importante en esta etapa pues de ahí el 
analista puede comparar fechas de registros de eventos del sistema contra las 
fechas de manipulaciones de los archivos y empezar a armar el rompecabezas 
para ir acercándose a un veredicto. 
 
 
Etapa 3: Determinación del ataque 
Una vez se haya determinado la línea de sucesos del ataque se pasará a 
determinar el punto por el cual el atacante ingresó al sistema. Esto pudo ocurrir 
por accesos no controlados al tener puertos abiertos en la red, sistemas 
operativos desactualizados, ataques de fuerza bruta, etc. 
 
 
Etapa 4: Identificación del atacante 
Habrá casos en lo que se solicite al analista la identificación del atacante. En 
este caso el analista hará uso de herramientas para detectar de donde pudo 
venir el ataque, desde que dirección IP y rastrear esta a quien pertenece. 
 
 
Etapa 5: Perfil del atacante 
Hay distintos tipos de atacantes los cuales podrán ser identificado según el tipo 
de ataque que han realizado. Entre estos tenemos los hackers, SciptKiddies y 
profesionales de informática que usan sus conocimientos para realizar el 
ataque. 
 
 
Etapa 6: Evaluación del impacto causado en el sistema 
No todos los ataques a un sistema tienen el mismo impacto. Algunas veces el 
atacante sólo ingresa al sistema pero no modifica o altera los archivos. En otras 
ocasiones si alcanzan a realizar cambios que afectan levemente o gravemente 
un sistema. En analista deberá medir el impacto causado, pues se podrán 
tomar medidas para corregir y mitigar el riesgo. 
 
 
Fase de Documentación Y Presentación de las Pruebas 
 
 
Consiste en documentar todos los pasos realizados sobre la evidencia, para 
posteriormente realizar los informes técnicos. 
Etapa 1: Utilización de formularios de registro del incidente 
Entre otros se deberán llenar los siguientes formularios 
 
- Documento de custodia de la evidencia 
- Formulario de identificación de equipos y componentes 
- Formulario de incidencias tipificadas 
- Formulario de publicación del incidente 
- Formulario de recogida de evidencias 
- Formulario de discos duros. 
 
 
Etapa 2: Informe técnico 
Es la elaboración de un reporte con todos aquellos aspectos técnicos del 
análisis efectuado. Tendrá un perfil para ser entregado como soporte técnico, 
dirigido a personal que conozca de los sistemas y pueda manejar este tipo de 
lenguaje. 
 
 
Etapa 3: Informe Ejecutivo 
Este informe deberá ser mucho más sencillo en su presentación, empleando 
palabras mucho más entendibles, no dirigidas a personal técnico. En este 
documento se exponen los hechos ocurridos en el sistema atacado. 
 
 
TIPOS DE INFORMÁTICA FORENSE 
 
De sistemas operativos 
Es el proceso de recuperación de información útil del sistema operativo (SO) 
del ordenador o dispositivo móvil en cuestión. El objetivo de recopilar esta 
información es adquirir evidencia empírica contra el autor. 
La comprensión de un sistema operativo y su sistema de archivos es necesaria 
para recuperar datos para investigaciones informáticas. El sistema de archivos 
proporciona un sistema operativo con una hoja de ruta para los datos en el 
disco duro. El sistema de archivos también identifica cómo el disco duro 
almacena los datos. 
 
De redes 
El análisis forense de la red se refiere a la recopilación, monitorización y 
análisis de las actividades de la red para descubrir la fuente de ataques, virus, 
intrusiones o violaciones de seguridad que ocurren en una red o en el tráfico de 
la red. 
Como tal, el análisis forense de la red se considera junto con el análisis forense 
móvil o el análisis forense de imágenes digitales, como parte del análisis 
forense digital. 
Por lo general, se usa cuando se trata de ataques a la red. En muchos casos, 
se usa para monitorizar una red para identificar proactivamente el tráfico 
sospechoso o un ataque inminente. Por otro lado, se utiliza para recopilar 
pruebas mediante el análisis de datos de tráfico de red para identificar la fuente 
de un ataque. 
En dispositivos móviles 
Los crímenes no ocurren aislados de las tendencias tecnológicas; por lo tanto, 
el análisis forense de dispositivos móviles se ha convertido en una parte 
importante del análisis forense digital. 
El proceso forense móvil tiene como objetivo recuperar evidencia digital o datos 
relevantes de un dispositivo móvil de una manera que conserve la evidencia en 
una condición forense sólida. Para lograr eso, el proceso forense móvil 
necesita establecer reglas precisas que incauten, aíslen, transporten, 
almacenen para el análisis y prueben pruebas digitales que se originen de 
manera segura desde dispositivos móviles. 
 
En la nube o Cloud 
Hoy en día, con la mayoría de los datos críticos de nuestra empresa 
transferidos a los proveedores de servicios en la nube, una de nuestras 
principales preocupaciones es tratar los asuntos de seguridad. Eso incluye ser 
capaz de responder rápidamente y reportar eventos que pueden conducir a 
problemas legales. 
 
¿QUÉ HACE UN ESPECIALISTA EN INFORMÁTICA FORENSE? 
Un especialista en informática forense es un especialista en tecnología de la 
información que recopila y analiza datos de computadoras y medios 
electrónicos para ser utilizados como evidencia legítima en investigaciones 
criminales. Este especialista es un experto en la recuperación de datos como 
correos electrónicos, correspondencia comercial y otros archivos, incluso los 
que hayan sido eliminados, mientras se asegura de que nada en el sistema 
informático se modifique o destruya. 
También pueden investigar piratería informática, distribución de software 
malicioso o incluso terrorismo. Frecuentemente son llamados a declarar en 
juicios donde se presentan pruebas informáticas. Los especialistas en 
informática forense a menudo trabajan en la aplicación de la ley. 
Pueden colaborar con departamentos de policía locales o agencias de policía 
regionales más grandes. Algunos trabajan en el ejército o la inteligencia. Los 
bufetes de abogados y las grandes corporaciones a veces también contratan 
expertos en informática. También pueden trabajar con compañías privadas que 
brindan servicios forenses digitalespor contrato. Un especialista independiente 
en informática forense además puede trabajar como freelancer. 
CASOS DE INFORMÁTICA FORENSE 
Hay pocas áreas de crimen o disputa donde no se puede aplicar la informática 
forense. Las agencias de aplicación de la ley se encontraban entre los primeros 
y más pesados usuarios de informática forense; como resultado, a menudo han 
estado a la vanguardia de los desarrollos en el campo. 
Los ordenadores pueden considerarse una escena de un crimen, por ejemplo, 
con ataques de piratería o denegación de servicio. Pueden tener evidencia de 
delitos que ocurrieron en otros lugares, en forma de correos electrónicos, 
historial de Internet, documentos u otros archivos relevantes para delitos como 
asesinato, secuestro, fraude o tráfico de drogas. 
Un examen forense digital de ordenador puede revelar más de lo esperado. 
Los investigadores no solo están interesados en el contenido de correos 
electrónicos, documentos y otros archivos, sino también en los metadatos 
asociados con esos archivos. Los registros de las acciones de un usuario 
también pueden almacenarse en archivos de registro y otras aplicaciones en un 
ordenador, como los navegadores de Internet. 
Por lo tanto, un examen forense informático podría revelar cuándo apareció por 
primera vez un documento en un ordenador, cuándo se editó por última vez, 
cuándo se guardó o imprimió por última vez y qué usuario realizó estas 
acciones. 
Las organizaciones comerciales han utilizado informática forense para ayudar 
con todo tipo de casos, incluidos: 
• Robo de propiedad intelectual 
• Disputas laborales 
• Fraude de facturas, a menudo habilitado por correos electrónicos de 
phishing 
• Falsificaciones 
• Uso inapropiado de correo electrónico e Internet en el lugar de trabajo 
• Cumplimiento normativo