admin,01 Evidenciaforensedigital

Vista previa del material en texto

U���������� �� ����	�
�� ���
��� �� �������� � ����������
9
Evidencia forense digital en 
equipos de cómputo, redes y 
computación en la nube*1
[Digital forensic evidence in computing, 
networking and cloud computing]
JOSÉ JAVIER TRIANA FUENTES2, JAVIER ANTONIO BALLESTEROS RICAURTE3
RECIBO: 20.02.2014 – APROBACIÓN: 04.11.2015
Resumen
La informática forense se encarga de investigar los antecedentes 
por los cuales se pudo haber realizado un crimen utilizando 
dispositivos electrónicos con el objeto de descubrir y analizar la 
información disponible para que pueda servir como evidencia 
en un asunto legal. Hoy en día, con la posibilidad de almacenar 
y procesar la información a nivel local, remoto y en la nube, 
las empresas necesitan cada día mayor seguridad. Por medio 
de la informática forense y diferentes técnicas que han sido 
desarrolladas, aplicables según la ubicación y manejo de los 
datos, se puede llegar a los procesos y eventos que hicieron 
que se presentará tal situación y así reconstruir los sucesos que 
la originaron. Las distintas metodologías forenses incluyen la 
captura de evidencias digitales, sin alterar la información de origen. 
Gracias a los avances tecnológicos, en el presente artículo se 
* Modelo para la citación de este artículo:
Informática No. 34 (ene-jun). Manizales (Colombia): Facultad de Ciencias e Ingeniería, 
Universidad de Manizales. p. 9-24. ISSN: 0123-9678
Desarrollo de una guía metodológica para la 
realización de un análisis forense en la nube, como referencia en la evaluación de propuestas 
para proyectos de desarrollo tecnológico, ejecutado en el periodo 06/2013-09/2014, e inscrito 
en el grupo de investigación INFELCOM de la Universidad Pedagógica y Tecnológica de 
Colombia.
con dirección del segundo].
Colombia). Correo electrónico: javier.ballesteros@uptc.edu.co
1�
 � �� � ����� � ����� � !"#$
p%&'&()& )*% * +,(,+&% - *(*./0*% +23, 4& %&*./0* .* *)56/4/+/2( )&
las evidencias y herramientas que se utilizan para luego analizarla, 
haciendo énfasis en la captura forense computacional, en redes 
y en computación en la nube.
Palabras claves: Computación en la nube, evidencia digital, 
Análisis Forense en la nube.
Abstract
Computer forensics is responsible for investigating records by 
which a crime may have made using electronic devices, in order 
to discover and analysis available information so it can serve as 
evidence in a legal matter. Today, with the ability to store and 
process information at local, remote and cloud level, companies 
need a greater security level. Through computer forensics and 
different techniques that have been developed, applicable by 
location and data management, you can get to the processes 
and events that led to such a situation and thus reconstruct the 
events that led to it. Various forensic methods include capturing 
digital evidence without altering the source information. Thanks to 
technological advances, this article aims to present and analyze 
how to acquire evidence and the tools used to it, in order to made 
an analysis later on, emphasizing the computational forensic 
capture in networks and cloud computing.
Keywords: Cloud computing, digital evidence, Cloud Forensic.
Introducción
Para el estándar ISO/IEC 27001, la Seguridad de la Información se 
no puede considerarse la seguridad informática en términos absolutos, 
considerar procesos para recolectar evidencia de dicho incidente de ser 
necesario, por lo tanto, es necesario establecer, junto con las buenas 
caso de ser necesario efectuar un análisis forense digital, para lo cual, 
789:;<=9>?> >; @?89A?B;= C?DEBF?> >; G9;8D9?= ; H8I;89;<J?
11
ante los tribunales.
digitales ha tomado mucha relevancia. En los últimos años, el análisis 
están físicamente disponibles para los analistas, como en el caso de 
la computación forense.
Por el contrario, el análisis forense en la red (Forensics Network
el análisis forense en la nube (Cloud forensics), todavía necesitan 
forense nace como una disciplina auxiliar de la justicia moderna, para 
aportar en un proceso.
de la evidencia digital para luego analizarla, los conceptos de informática 
1. Una aproximación a la 
Informática Forense
conjunto de conocimientos 
la información por medio de ordenadores». Por otro lado, Universidad 
la 
apasionante campo de estudio, complejo y multidisciplinar. En ellas 
así como de ciencias sociales y jurídicas para la resolución de casos 
legales. Constituyen una disciplina en rápida evolución que adquiere 
».
KL
MN OP Q RSRTV Q WXSYV Z [\]^
s_`abc sds ef_ag_ehi`s cjk`l_mcsn s`oqa rte`u `l hiv wxyyxz{ | rh
compensación de los daños causados por los criminales o intrusos, - La 
Dentro del campo de la informática forense se encuentran varias 
Computación Forense ( , Informática Forense en 
redes (Network forensics Cloud forensic, 
CF
 -
de seguridad importante para un sistema en el cual las políticas de 
seguridad han sido evadidas. En este caso, un incidente genera un 
estar preparado para su control, de lo contrario se compromete la se-
 -
evolucionado en relación directa con el incremento de los incidentes 
1.1 Evidencia Digital (ED)
evidencia en un proceso legal. Uno de los aspectos más importantes 
dentro de una investigación de informática forense, es la recopilación 
Cano (2006, 67), la evidencia digital es anónima, frágil, fácilmente puede 
}~��������� �� ��~������ �������� �� ���~���� � �~��~�����
13
en ciertas ocasiones su ingreso dentro de procesos de investigación. 
transmitir o almacenar datos.
Malware (software malicioso), el deterioro electromagnético o mecánico 
e incluso la presencia de trampas dejadas por los delincuentes con la 
si fueron generados por una persona o por un componente electrónico.
sus características, la colocan en un constante desafío para los 
investigadores.
1.2 Manipulación y Gestión de la evidencia digital
procedimientos a seguir deben ser idóneos, recolectar información 
de forma adecuada con perspectiva forense, procedimientos 
manipulación de registros originales o copias de los mismos. Existen 
reconstrucción de eventos:
 -
-
delos se desarrollaron antes de la llegada de las tecnologías en la 
investigar una actividad en un entorno de computación en la nube.
��
�� �� � ����� � ����� �  ¡¢£
-
-
Electronic Crime 
Scene Investigation (NIJ, 2008, 1-62), enfocada principalmente en 
-
sentación de la evidencia digital, de acuerdo con Mckemmish (1999, 4).
2. Computación forense
Guamán (2008, 66). Otro punto importante es tomar una decisión crítica: 
para determinar las acciones a seguir. Cuando la evidencia está en 
formato digital, el objetivo de la investigación debe ser el contenido del 
la información necesaria.
computación forense se 
The Coroner’s Toolkit 
Macintosh Forensic Software 
Autopsy
EnCase
3. Informática forense en redes
de información a través de una red, sea interna o externa a una 
¤¥¦§¨©ª¦«¬« «¨ ­¬¥¦®¬¯¨ª °¬±²¯³¬« «¨ ´¦¨¥±¦¬ª ¨ µ¥¶¨¥¦¨©·¬
15
intercambio de información ilegal a través de internet o cometidos con 
un esfuerzo explícito para capturarla mediante el uso de sniffers4.
3.1 Captura de evidencia en una red
La capacidad de investigar un delito en la red representa un desafío para 
Intrusos, IDS, en muchas de ellas.
3.1.1 Registros DHCP. 
 para el período de tiempo a examinar.
Wireshark
un concentrador6 hubs routers, un sniffer 
del dispositivo (Figura 1a), pero si el hub falla, todas las conexiones a 
través del hub
equipo servidor para administrar de forma centralizada las direcciones IP y otros detalles de 
el cual se usa para realizar asignaciones de direcciones de multidifusión. Si se asignan 
dinámicamente direcciones IP mediante MADCAP a los clientes registrados, éstos pueden 
 (Microsoft, s.f.).
¸¹
º» ¼½ ¾ ¿À¿Á ¾ ÃÄÀÅÂ Æ ÇÈÉÊ
ËÌ ÍÎÌÏÐÑÒÏÓÔ ÕÑÒ ÍÎÌÓÖ×ÎÌÓÒ ÍÎÌØÙÏÑÚÑÒ ÚÓ ÐÓÚ ÒÎÌ ÛÙÌÏÎ Ñ ÛÙÌÏÎ
(Figura 1b). Un sniffer adjunto en una red conmutada solo verá el 
sniffer 
Spano un grifo 
de la red, solo si el sniffer se encuentra en el host de interés, todo 
comprometidos.
a extremo de las conexiones en lugar de dejar todos los sistemas 
puerto Span
sniffer es capaz de ver el 
ÜÝÞßàá âã äåæåç èéê ëßìí çîÝïèð ñ òóáê
3.2 Herramientas para la Informática Forense en redes
3.2.1 Fiddler. Desarrollado por Microsoft, permite recolectar formatos 
malware
de la sesión.
3.2.2 Firewalls. Los registros de cortafuegos son una fuente primaria 
recogen información acerca de las comunicaciones. Los 
empresariales suelen proporcionar información sobre dirección IP de 
ôõö÷øùúöûüû ûø ýüõöþüÿøú Uü��ÿ�üû ûø �öøõ�öüú ø �õ�øõöøù�ü
17
Otras herramientas son: Colocación de sensores, NetFlow
Net Witness Investigator.
4. Análisis forense en la nube
control de un investigador al operar a través de diferentes jurisdicciones. 
pueden ser borrados antes de lograr su disponibilidad. La posibilidad de 
la evidencia digital potencial, por lo cual es conveniente crear un 
proveedores de servicios de nube (Cloud Service Provider, CSP). Ruan, 
manejo de incidentes.
cuentas. Lo anterior, va en contradicción con la capacidad clave del 
de un análisis forense en la nube.
4.1 Antecedentes técnicos
Cloud Computing (CC) es un 
modelo para permitir convenientemente la red por demanda, el acceso 
de gestión o servicio interacción con el proveedor, con características 
los sistemas de nubes son implementados en sistemas de archivos 
mejores características frente a sistemas no distribuidos, respecto a la 
1�
 � 	
 � �
��� � ��
�� � ����
���� �� ������! "#$�%��& '(�#�# ) "�$���! *+,-+.& /! �$�(��� 0� �� ��
demandas de los clientes mediante el uso especial de un software, 
llamado middleware
 -
virtual proporcionada por el CSP para instalar su propio sistema, 
físico con algunas limitaciones.
 - Plataforma como servicio (PaaS): Proporcionan la capacidad de im-
de desarrollo virtual admitida por el CSP.
 - Software como Servicio (SaaS): El cliente hace uso de un servicio 
gestionado por la CSP en una infraestructura de cloud -
cliente ligero como un navegador web.
4.2 Recolección de Evidencia en la Nube
complejo, debido a la naturaleza de la operación de los sistemas de 
cuanto a los aspectos técnicos de las investigaciones forenses, la 
cantidad de evidencia disponible depende de los modelos de servicios 
4.2.1 Instancia Virtual en la Nube 7 (MV) dentro 
acceder a través del hipervisor, el Proveedor de Servicios en la nube 
proporcionan una técnica para el cliente congelando los estados 
la posibilidad de acceder a la instancia virtual para la recopilación de 
información probatoria está altamente limitada.
procesos.
234567849:9 96 ;:34<:=68 >:?@=A:9 96 B463?4:8 6 C3D63467E:
19
4.2.2 Capa de red. Según lo establecen Lillard et al. (2010, 282–288), 
las diferentes capas del modelo OSI proporcionan información sobre 
como con instancias fuera de la nube. Desafortunadamente, una CSP 
actualmente no proporciona ningún dato de registro de los componentes 
malware de un VM IaaS, será 
PaaS o SaaS.
4.2.3 Sistema Cliente.
evidencia potencial podría ser extraído, el navegador en el sistema 
nube, especialmente en las aplicaciones SaaS. Por lo tanto, en una 
investigación forense, los datos de las pruebas reunidas en el entorno 
del navegador no deben ser omitidos.
4.2.4. Entornos SaaS. En el modelo SaaS, el cliente no obtiene ningún 
tipo de control de la infraestructura operativa entregada, como redes, 
de modelos SaaS tengan oportunidad de analizar las incidencias 
potenciales.
4.2.5 Entornos PaaS. Una de las principales ventajas de este modelo es 
dictar cómo la interactúa con otras dependencias (bases de datos, 
las entidades de almacenamiento, etc.), así como, dependiendo del 
tiempo de ejecución del medio ambiente, implementar mecanismos de 
parte de almacenamiento. Un ejemplo es la Plataforma de Microsoft 
Diagnósticos de Windows Azure, permite a los 
4.2.6 Entornos IaaS.
mucha más información utilizable como pruebas forenses en el caso 
de un incidente, dependiendo de la capacidad del cliente para instalar 
registro e información de pruebas podrían ser transferidos a otras 
una investigación si fuese necesario.
FG
HI JK L MNMOP L QRNSP T VWXY
Z[ \]^_`abc]^db
tradicionales, debido a la complejidad de esta tecnología, por lo 
a las tradicionales.
Los investigadores comúnmente tienen la posibilidad de reconstruir 
por lo tanto, los resultados preliminares de la comunidad informática 
cloud computing.
volátil, falta de servicios en la nube para almacenar pruebas, normas 
región, o un determinado centro de datos, así como de asignación de 
adicional de recursos en relación con la capacidad de almacenamiento, 
.
ef ghijklmnlo pqo rmf ohikofmf sofmkkjrron tqonmf ikuvlgvmf on
de un investigador forense.
wxyz{|}y~�~ ~{ ��xy���{} �������~ ~{ �y{x�y�} { �x�{xy{|��
21
herramientas de la informática forense aplicables para la Dirección Nacional de Comunicación 
ietf.org/rfc/rfc3227.txt> [consult: 16/09/2013].
09/04/2014]
��
�� �� � ����� � ����� � ����
��� ¡¢£ ¤¥ ¦§¨¨©ª¥ ¡« ¬­®¯°±²³¬´« ®¯°µ­¶µ · µ¸ ´¹µ¶³¬¯­«±¬µ­³¯ ºµ ¸«¶ µ»¬ºµ­´¬«¶ º¬¼¬³«¸µ¶ ½µ­
13/09/2013].
En: Revista Democracia Digital e Governo Eletrônico, No. 8 
th 
23/11/2013]
computing in digital forensics [online]. In: International Journal of Digital Crime and Forensics, 
21/07/2014]
ISO27000.ES (2012). Serie 27000 [en línea]. Madrid (España): ISO27000.ES: El portal de ISO 
appleexaminer.com/Downloads/MacForensics.pdf> [consult: 18/07/2014]
docs/user-guide-us.pdf> [consult: 20/01/2014].
network, Internet, and cloud computing: a forensic evidence guide for moving targets and data. 
¾¿ÀÁÂÃÄÀÅÆÅ Å ÇÆ¿ÀÈÆÉÂÄ ÊÆËÌÉÍÆÅ Å ÎÀ¿ËÀÆÄ Â Ï¿Ð¿ÀÂÃÑÆ
23
pdf> [consulta: 8/01/2014].
pdf> [consult: 18/10/2013].
aspx> [consulta: 23/02/2016]
Digital: contexto, situación e implicaciones nacionales [en línea]. En: Revista de Derecho, 
forensic-science communications/fsc/oct2000/computer.htm> [consult: 23/10/2014].
13/10/2013].
[consulta: 10/03/2014].
agreements to support cloud forensics [online]. In: 8th IFIP WG 11.9 International Conference 
Revistas Profesionales, S.L. p. 72-73. ISSN 1134-4792.
ÒÓ
ÔÕ Ö× Ø ÙÚÙÛÜ Ø ÝÞÚßÜ à áâãä
åæçèéêëæ ìíêéêçîïæðñ òëïóôõöï÷æ÷ ÷ô åæçèéêëæø ùæúûéüæ÷ ÷ô ýëþôëïôõÿæö � �õ�ûïüôúüûõæ� è�
23/06/2013].