ANÁLISIS DE LAS EVIDENCIAS Y HERRAMIENTAS COMPUTACIONALES PARA

INFORMÁTICA FORENSE

LADY JOHANNA VERA TORRES

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

FACULTAD DE INGENIERIAS
ESPECIALIZACION DE SEGURIDAD INFORMATICA

1
 ARMENIA
2016
CONTENIDO

1. RECOLECCION DE EVIDENCIA DIGITAL ...................................................................... 4

1.1. Estrategia para la recolección de pruebas electrónicas ................................................... 4

1.2. Orientaciones para Recolecciones de Evidencias ........................................................... 6

1.3. Volatilidad de la Evidencia ............................................................................................. 7

1.4. Recomendaciones Generales .......................................................................................... 8

1.5. Análisis de la Evidencia recolectada .............................................................................. 8

2. CONCLUSIONES ................................................................................................................ 16

3. BIBLIOGRAFIA .................................................................................................................. 17

2
 INTRODUCCION

La informática forense es la ciencia forense encargada del uso de los métodos científicos en los
sistemas informáticos. Para ello debe asegurar, identificar, preservar, analizar y presentar la
evidencia digital, garantizando su integridad de manera que sea aceptada como prueba en un
proceso judicial.

Se recurre a la informática forense en casos de delitos en los que parte de las pruebas puedan
hallarse en plataformas informáticas, las cuales pueden marcar la diferencia en el resultado del
proceso judicial. Las evidencias forenses pueden proceder de discos duros de ordenadores
personales, discos duros portátiles, dispositivos USB, dispositivos móviles, etc.

3
 1. RECOLECCION DE EVIDENCIA DIGITAL

El tesorero de la alcaldía de MACONDO tiene dentro de sus funciones realizar los pagos de la
papelería que se utiliza en la alcaldía; el pasado año 2015 desde marzo se empezaron a
incrementar los gastos en ese concepto como por ejemplo se pagaron resmas de papel de 75
gramos a precios aumentados en un 20% o más pasaron de 6 mil pesos a 10 mil pesos lo cual ha
generado sospechas al tesorero ya que las listas de precios solo las maneja el alcalde porque los
precios de sus proveedores son exclusivos para Macondo, además, se perdió del computador del
despacho del Alcalde una lista de proveedores de suma importancia para la alcaldía.

La secretaria del despacho del alcalde Lulú Cadena ha estado atenta a todo lo que el tesorero ha
informado al alcalde y también quiere que se dé con los responsables de la alteración de precios
y perdida de información.

Cerca de la alcaldía de Macondo existe una sede de la UNAD y aunque la secretaria Lulú no
estudia en la universidad se la ha mirado ingresar a las instalaciones de la misma reiteradamente
con el pagador de proveedores de la alcaldía a preguntar sobre los programas ofertados según
reportan los vigilantes de la alcaldía que son de la misma empresa de seguridad de los vigilantes
de la UNAD.

El alcalde de Macondo sospecha de estas actividades de su personal y da a los funcionarios

sospechosos algunos días de receso mientras se esclarecen los hechos. El alcalde y tesorero de
Macondo desean que se realice la investigación y necesitan esclarecer estos hechos, por ello a su
empresa de investigadores forenses informáticos (grupo colaborativo)

1.1.Estrategia para la recolección de pruebas electrónicas

1.1.1. Llevar un orden de recopilación de información

Sospechosa No. 1
La Secretaria de la Alcaldía de Macondo

Sospechosa No. 2
Pagador de la Alcaldía

Para llevar un orden de recopilación de Información tenemos un escenario en donde colocan

a dos funcionarios de la Alcaldía como sospechosos además ingresando siempre
acompañados a la Universidad UNAD (Sede Macondo).

4
1.1.2. Buscar la evidencia

La evidencia se busca en la Alcaldía de Macondo ya que la sospechosa No. 1 labora allí y

tiene acceso a toda la información que maneja la Organización Municipal como la de los
proveedores, hay un computador Acer Aspire Z1 con un registro Hash

SHA-1: 551bb28deb960af92fd0bf08258b9d8d6fbde091

1.1.3. Determinar la relevancia de los datos

Se determina la relevancia de la imagen de disco duro por medio del software AUTOPSY
una herramienta libre que existe para realizar el análisis de diferentes tipos de evidencia
mediante una captura de imagen de disco, esta herramienta puede ser ejecutada en varios
sistemas operativos como Windows, Linux, Unix; generando reportes sobre archivos
eliminados, modificados y conocer su fecha de creación.

Genera reportes en diferentes formatos que permiten respaldar y realizar un análisis más
profundo, permitiendo encontrar y recuperar archivos que han sido borrados.

1.1.4. Determinar la volatilidad de la información

Hay un grado de volatilidad de los datos almacenados en la imagen de disco duro puesto que
es un archivo que contiene la estructura y contenidos completos de un medio de
almacenamiento ya que contiene una copia exacta de una unidad, se puede definir también
como una copia de seguridad.

Como una imagen de disco es una copia de la información contenida en el disco, es decir se
crea una copia perfecta.

1.1.5. Eliminar la interferencia exterior

La importancia de la integridad de la imagen es de gran utilidad en un análisis forense,

porque demuestra que el investigador forense no ha manipulado la evidencia. Autopsy
proporciona este modo para calcular en MD5 la integridad de la imagen.

1.1.6. Recoger la evidencia

Los reportes permiten llevar una bitácora de todas las pistas encontradas para su posterior
análisis. Este reporte documenta los archivos según la línea de tiempo, los archivos
eliminados, además de evidenciar los datos que han sido borrados. Dichos reportes indican
los cálculos en md5 entre otros.

5
1.1.7. Documentar todas las acciones realizadas

Para llegar a una solución en el análisis forense, autopsy cuenta con los siguientes
parámetros para documentar las acciones realizadas como:

 Files. Analizar todos los archivos eliminados por equivocación o intencionalmente

por el usuario.

 Metadata. Permite realizar un análisis de metadatos sobre las estructuras del disco
que contienen detalles de los diferentes archivos,

 Keyword Search. Permite la recuperación de datos borrados, por lo que disminuye el

tiempo de búsquedas.

 Image Details. Permite efectuar datos generales de la imagen forense por cada
diferente sistema de archivo utilizado en la imagen.

 File Activity Timelines. Permite la creación de líneas de tiempo que nos van a ayudar
a identificar los lugares sospechosos que debemos analizar, además reconoce los
archivos que fueron modificados o accedidos por última vez.

 File type Categories. Permite ordenar archivos que contengan sus hashes validos e
inválidos, así como también aquellos archivos que contengan una extensión
desconocida para el tipo de archivo.

1.2.Orientaciones para Recolecciones de Evidencias

1.2.1. Cantidad de la información recolectada

La información que se reoleta es una imagen de disco además de un computador Acer Aspire
Z1 con un registro Has SHA-1: 551bb28deb960af92fd0bf08258b9d8d6fbde091

1.2.2. Cuidados al Hardware

El hardware es uno de los elementos importantes para llevar a cabo un proceso de

recolección de datos ya que de allí podemos recopilar información como fecha y hora,
procesos en ejecución puertos abiertos, entre otros.

Esta imagen disco es muy importante para la investigación ya que almacena toda la copia de
seguridad y como tal se debe cuidar puesto que es un medio volátil y para realizar el análisis
es un poco más difícil ya que se corre en riesgo su integridad.

6
1.3.Volatilidad de la Evidencia

1.3.1. La evidencia desaparece con el tiempo

Como se había mencionado con anterioridad hay diferentes niveles de volatilidad, como los
registros del procesador, estructuras de datos en la memoria RAM o memoria de tipo caché,
conexiones de red activas, usuarios y procesos actuales, sistema de archivos, etc.

Es difícil reunir toda esta información a la vez y gran parte de esta se perderá si decide
apagar el equipo de la forma habitual.

1.3.2. Cada paso podrá destruir la información

A continuación se define el orden de mayor a menor volatilidad en la recopilación de

evidencias:

 Registros y contenidos de la caché.

 Contenidos de la memoria.
 Estado de las conexiones de red, tablas de rutas.
 Estado de los procesos en ejecución.
 Contenido del sistema de archivos y de los discos duros.
 Contenido de otros dispositivos de almacenamiento.

Los cuatro primeros puntos representan un tipo de datos, volátil, que se perderán o
modificarán si apaga o reinicia el sistema, es por tanto muy fácil eliminar evidencias de
forma inadvertida.

1.3.3. Es importante que no se busque información en áreas que normalmente tiene razón
alguna para ser accedida.

Cuando se ha obtenido toda la información volátil del sistema se debe que recopilar la
información contenida en los discos duros, teniendo en cuenta que estos dispositivos no sólo
contienen las particiones, los archivos, directorios, etc. Sino que también contienen otro tipo
de datos que hacen referencia a los propios archivos y a flujos de información, son los
metadatos que serán de gran importancia en el análisis forense.

7
1.4.Recomendaciones Generales

 NUNCA almacenar la información volátil en el equipo comprometido con la idea de

recuperarla más tarde para su análisis. ¡Puede que ya no esté ahí cuando vuelva a
buscarla!

 Activar al máximo de detalle la información que contendrán los archivos de registro, lo

que permitirá facilitar el proceso de reconstrucción de lo sucedido.

 Utilizar una bitácora de registros y establecer una política de mantenimiento y retención

de esos registros que permitan su estudio pasado el tiempo.

1.5.Análisis de la Evidencia recolectada

1.5.1. Recolección

8
Los archivos que se encontraron en la imagen de disco fueron los siguientes:

File Type
Images 129
Audios 0
Videos 0
Archives 0
Documents
Html 0
Office 29
PDF 9
Plain Text 8
Rich Text 0
Executable
.exe 3
.dll 0
.bat 0
.cmd 0
.com 0

9
Adicional a estas carpetas encontramos:

$Extend 5
$OrphanFiles 0
$Unalloc 1
Desktop 9
Documents 8
Downloads 30
RECYCLER 3
System Volume Information 3
$CarvedFiles 88
.com 0

1.5.2. Análisis

 Accesos que tienen los archivos:

 Análisis de los Tipos de archivos que se encuentran en la imagen de disco.

10
 Análisis de Documentos que se encuentran en la imagen de disco.

 Análisis de los Executables que se encuentran en la imagen de disco.

 Análisis de los archivos borrados

 Análisis de todos los archivos borrados

11
En el análisis realizado se encuentra un archivo con el nombre de lulu, la secretaria de la
Alcaldía de Macondo (Sospechosa No.1)

Contiene los siguientes archivos:

En el archivo lulu.gif contiene información muy comprometedora ya que se puede observar

un listado de empresas

12
Hay otro archivo lulu.pdf que contiene información de la alcaldía, la secretaria incurre en un
delito muy grave que es utilizar su cargo para apropiarse de la información de la organización y
peor aún para su beneficio

13
1.5.3. Preparación de Análisis

 Se encuentra un archivo con extensión .xls

 Encontramos varios nombre de estudiantes de la Universidad Nacional Abierta y a

Distancia que podrían vincularse con el caso

14
15
2. CONCLUSIONES

 Con este trabajo se pretende realizar una primera incursión en el apasionante y novedoso
mundo del Análisis Forense Digital, exponiendo aquellas características y
particularidades propias de esta disciplina de la seguridad informática. Se ha enfocado el
tema desde el punto de vista de una herramienta indispensable que toda organización
debe contemplar dentro de su política de seguridad y enmarcada dentro del proceso de
respuesta a incidentes en los sistemas informáticos.

 Los cambios tecnológicos y procesos globalizados demandan mayor rapidez, eficacia,

efectividad y un mayor control, por lo cual los profesores y estudiantes vinculados a la
investigación, así como los directivos de las instituciones educativas deben profundizar
en estos temas de actualidad.

16
 3. BIBLIOGRAFIA

[1] Lopez Delgado Miguel. (2007) Análisis Forense, disponible en:

http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf

17