QUIEN ES EL INTRUSO

Tabla de contenido
Tabla de contenido .......................................................................................................................................................... 2
Objetivo: .............................................................................................................................................................................. 3
Taller: ................................................................................................................................................................................... 3
Desarrollo ...................................................................................................................................................................... 3
Conclusiones ...................................................................................................................................................................... 4
Objetivo:
El objetivo de este trabajo es Aplicar teóricamente las técnicas adquiridas en la materia de
informática Forense en equipo el desarrollo del taller y complementar con los puntos de vista
personales de cada integrante para entender las distintas posiciones frente a un escenario Ficticio
Donde Se propone investigar un Ciberdelito al tener una Perdida De Información y tratar de
investigar y encontrar quien lo hizo.

Taller:

Usted, como responsable de seguridad, ha detectado que se ha producido una intrusión en uno
de los equipos de la organización, La intrusión ha provocado el borrado de varios archivos
importantes y, por ello, tiene previsto realizar un análisis forense para localizar al atacante y
tomar medidas judiciales contra él.
¿Qué tipo de ataque se ha producido y qué información deberá recopilar para reconstruir su
secuencia temporal? ¿Cómo realizar el análisis?

Desarrollo

El tipo de ataque que se usó se denomina ataque activo ya que hubo manipulación de los
documentos o archivos en este caso eliminación. Lo anterior pudo ser posible mediante técnicas
de ingeniería social, y distribución de spyware keyloggers y demás información gathering con el
fin de obtener acceso a los hosts afectados.

para construir una secuencia temporal de lo sucedido en el sistema acorde al procedimiento de

recolección forense el análisis se debe realizar en caliente, sin apagar los equipos afectados ni
desconectarlos de la red. Así mismo se debe tomar la fecha y hora del sistema, las conexiones de
red, los procesos del sistema abiertos, los usuarios abiertos, contenido del SWAP o la RAM

• Identificar la situación para determinar si es necesario un análisis en caliente o post

mortem. Solicitar las aprobaciones correspondientes para la intervención, ponerse en
contexto de la situación haciendo entrevistas a los usuarios de la entidad, evaluar el
impacto del incidente.

• Se debe Recolectar y tomar las evidencias: identificando todos los elementos que fueron
afectados con el incidente y tomando las copias de los medios para no alterar la evidencia
original, Para Lo cual existen herramientas Libres Como Pagas por lo cual se debe verificar
el alcance de las herramientas que están autorizadas /o aprobadas para realizar esta
investigación.

• Asegurar la integridad de la evidencia original generando una firma HASH para garantizar
la inalterabilidad de la información, así como su aseguramiento físico
 • Recolección y revisión y análisis de historial de ejecuciones de archivos y aplicaciones
dll’s Captura de tráfico con sniffers como WiressShark, Cain & Abel, mapeo de unidades
conectadas para verificar si se pudo haber extraído información: rutas estáticas, tablas
arp y demás conexiones de red con el fin de identificar si también se pudo realizar un
ataque por envenenamiento de arp, esta información se puede adquirir fácilmente con el
programa utilizado en el eje 3 FastIR Collector.

• Elaboración del informe técnico con toda la documentación correspondiente para

argumentar la investigación realizada, siguiendo cuidadosamente todo el procedimiento
forense.

Conclusiones

Como se indicó anteriormente, el escenario del ataque fue de tipo activo ya que los ataques
pasivos no eliminan o modifican la información del equipo afectado. Es importante seguir paso a
paso cada una de las fases o pasos declarados para la recuperación y el análisis técnico – forense
del origen restauración y defensa del atacante.
Es sabido que ningún sistema y/o equipo es completamente seguro, pero con las debidas medidas
de seguridad que nosotros como personal encargado del área de sistemas establezcamos,
podemos controlar que la vulnerabilidad a ataques y/o riesgos humanos sean las más mínimas
posibles, ya que por medio de bastantes herramientas que podemos encontrar y/o acceder de
manera gratuita o a bajo costo podemos evitar muchos ataques externos como internos de
personas quienes quieren vulnerar la seguridad de la información de la compañía y bases de datos
confidenciales.

“El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de
cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien
armados.