Asignatura Datos del alumno Fecha

Informática Forense y Apellidos:

Respuesta Ante
Incidentes Nombre:

Caso grupal:

Fuga de información

Objetivos

El objetivo de esta actividad es conocer distintos tipos de fuga de información que

se pueden dar y practicar las técnicas necesarias para su investigación.

Pautas de elaboración

Mr. Informant, trabajador de una gran empresa de desarrollo tecnológico, recibió

una oferta de Mr. Conspirator por la cual, a cambio de una gran cantidad de dinero,
Mr. Informant le facilitaría información confidencial sobre los últimos desarrollos.

Mr. Informant, que se acababa de comprar una nueva casa e iba algo justo de
dinero, decidió aceptar la oferta, y estableció un detallado plan para filtrar la
información.

Mr. Informant hizo un gran esfuerzo por ocultar las fugas de información, y estuvo
discutiendo su plan con Mr. Conspirator a través del correo electrónico, ocultando
dichos correos como si de una relación normal de negocios se tratase. Mr.
Informant
© Universidad Internacional de La Riojatambién
(UNIR) envió algunas muestras de la información a Mr. Conspirator
utilizando un servicio de almacenamiento en la nube.

Actividades 1
 Asignatura Datos del alumno Fecha
Informática Forense y Apellidos:
Respuesta Ante
Incidentes Nombre:

Tras recibir estos datos de muestra y confirmar que era lo que Mr. Conspirator
buscaba, este último le pidió que el resto de la información se la entregase en mano
en varios dispositivos de almacenamiento.
En el momento en que Mr. Informant intentaba salir de la empresa con la
información, el guardia de seguridad apreció un comportamiento sospechoso y, tras
un breve registro, encontró los dispositivos.

Su misión, como equipo de forense de la empresa, consiste en el análisis del

ordenador personal del trabajador, de los dos pendrives USB y del CD incautados al
trabajador en el control de seguridad.

Para ello, debe responder a las siguientes preguntas:

1. ¿Cuál es el hash (SHA1) de los dispositivos analizados?

PC: afe5c9ab487bd47a8a9856b1371c2384d44fd785 extraído desde la aplicación
Autopsy en la ruta Data source -> cfreds_2015_data_leakage_pc.E01.

2. ¿Qué sistema operativo tenía el equipo instalado? ¿En qué fecha y en qué hora se
instaló? ¿Quién es el propietario del sistema?
Windows 7 Ultimate Service Pack 1 y el Owner es informant. Información extraída
desde la aplicación Autopsy en la ruta Operating System Information.
Domingo, 22 de marzo de 2015 [Link] GMT+01:00. Información extraída desde la
aplicación Autopsy en la ruta del registro SOFTWARE\Microsoft\Windows NT\CurrentVersion\

0x550ed2f2.

3. ¿Cuál es el ajuste horario del equipo?

Eastern Standard Time. Información extraída desde la aplicación Autopsy en la ruta
© Universidad Internacional de La Rioja (UNIR)
del registro SYSTEM\ControlSet001\Control\TimeZoneInformation\TimeZoneKeyName\Eastern Standard Time
4. Enumere todas las cuentas de usuario del sistema (excepto las propias del
Sistema Operativo como: Administrator, Guest, etc.)

Actividades 2
 Asignatura Datos del alumno Fecha
Informática Forense y Apellidos:
Respuesta Ante
Incidentes Nombre:

admin11, informat, temporary, ITTechTeam. Información extraída desde la

aplicación Autopsy en la ruta OS Accounts.
5. ¿Quién fue el último usuario en iniciar sesión en el equipo?
El usuario informant a fecha 2015-03-25 [Link] CET. Información extraída desde
la aplicación Autopsy en la ruta OS Accounts.
6. ¿Cuándo fue la última fecha y hora de apagado del equipo?
Se exporta el fichero [Link] y se importa en el visor de eventos de nuestra
propia máquina.
Nombre de registro:System
Origen: USER32
Fecha: 25/03/2015 [Link]
Id. del evento:1074
Categoría de la tarea:Ninguno
Nivel: Información
Palabras clave:Clásico
Usuario: S-1-5-21-2425377081-3129163575-2985601102-1000
Equipo: informant-PC
Descripción:
El proceso C:\Windows\system32\[Link] (INFORMANT-PC) inició el power off del equipo INFORMANT-PC en nombre
del usuario informant-PC\informant por el siguiente motivo: No title for this reason could be found
Código de motivo: 0x500ff
Tipo de apagado: power off

7. ¿Cuál fue la última dirección IP asignada al equipo? ¿Se asignó por DHCP?
La IP [Link] se asignó por DHCP. Información extraída desde la aplicación
Autopsy en la ruta del registro SYSTEM\ControlSet001\services\Tcpip\Parameters\Interfaces\{E2B9AEEC-
B1F7-4778-A049-50D7F2DAB2DE}\DhcpIPAddress\[Link]

8. ¿Qué aplicaciones instaladas tenía el equipo?

Información extraída desde la aplicación Autopsy en la sección Data Artifacs\
Installed Programs y también la carpeta de ProgramFiles del disco duro.
En total son 61 aplicaciones quitando nombres duplicados en la ruta Installed
Programs
© Universidad Internacional y 25
de La Rioja en ProgramFiles,
(UNIR) donde algunas de ellas son aplicaciones embebidas.
Destacamos entre ellas:
DVD Maker, Ccleaner, iCloud, Eraser, Google Drive, Paquete Office y diferentes
navegadores.

Actividades 3
 Asignatura Datos del alumno Fecha
Informática Forense y Apellidos:
Respuesta Ante
Incidentes Nombre:

9. ¿Qué navegadores de Internet se utilizaban?

Google Chrome, Internet Explorer Analyzer y Microsoft Edge Analyzer. Información
extraída desde la aplicación Autopsy en la ruta Web Search.
10. ¿A qué sitios web se accedió y en qué hora?
En la ruta Web History del Atopsy se visualizan 1611 registros a sitios web. Entre los
más destacados:
[Link] -> abierto con Microsoft Edge Analyzer.
[Link] -> abierto con Microsoft Edge Analyzer.
[Link]
%[Link]/download -> abierto con Microsoft Edge Analyzer.
[Link]
%[Link] -> abierto con Microsoft Edge Analyzer.
11. ¿Qué búsquedas se realizaron a través de los buscadores de Internet?
En la ruta Web Search del Atopsy se visualizan 63 registros a sitios web. Entre los
más destacados:
data leakage methods -> abierto con el buscador [Link].
leaking confidential information -> abierto con el buscador [Link].
apple icloud -> abierto con el buscador [Link].
google drive -> abierto con el buscador [Link].
file sharing and tethering -> abierto con el buscador [Link].
external device and forensics -> abierto con el buscador [Link].
anti-forensic tools -> abierto con el buscador [Link].
eraser -> abierto con el buscador [Link].
ccleaner -> abierto con el buscador [Link].
cd burning method -> abierto con el buscador [Link].
© Universidad Internacional de La Rioja (UNIR)
12. ¿Qué búsquedas realizó el usuario a través de la barra de búsqueda del
explorador de Windows?
s.e.c.r.e.t... en la ruta Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery\0 -> s.e.c.r.e.t...

Actividades 4
 Asignatura Datos del alumno Fecha
Informática Forense y Apellidos:
Respuesta Ante
Incidentes Nombre:

13. ¿Qué aplicación utilizaba para el envío y la recepción de correos electrónicos?

Cliente de correo Microsoft Outlook 2013. Información extraída desde la aplicación
Autopsy en la ruta Installed Programs.
14. ¿Qué cuentas de correo se encontraban configuradas?
La cuenta de correo configurada en el cliente Microsoft Outlook 2013 es:
[Link]@[Link]. Información extraída desde la aplicación Autopsy en la
ruta Comunicators Accounts -> Email.
También hemos detectado la cuenta de correo [Link]@[Link].
Información extraída desde la aplicación Autopsy en la ruta Web History.
15. ¿Qué dispositivos de almacenamiento externo se conectaron al equipo?
Se detectan dos dispositivos Pendrive SanDisk, modelo Cruzer Fit. Información
extraída desde la aplicación Autopsy en la ruta USB Device Attached.
16. ¿Cuál es la dirección IP de la unidad de red compartida de la empresa?
La dirección IP es la [Link]. Información extraída desde la aplicación Autopsy
en la ruta Shell Bags.
17. Enumere todos los archivos que se abrieron en la unidad de red de la empresa.
\\[Link]\SECURED_DRIVE\Secret Project Data\pricing decision\(secret_project)_pricing_decision.xlsx
\\[Link]\secured_drive\Secret Project Data\final\[secret_project]_final_meeting.pptx

Información extraída desde la aplicación Autopsy en la ruta Recent Documents.

18. Encuentre en el PC rastros relacionados con los servicios en la nube (nombre del
servicio, archivos de registro...).
[Link]. Información extraída desde la aplicación Autopsy en la ruta
Interesting Items -> Cloud Storage.
Google Drive v.1.20.8672.3137 y iCloud v.[Link]. Información extraída desde la
aplicación Autopsy en la ruta Installed Programs.
19. ¿Qué
© Universidad Internacional archivos
de La Rioja (UNIR) se eliminaron de Google Drive? (Sugerencia: busca un archivo de
registro de transacciones de Google Drive).
20. Identificar la información de la cuenta utilizada para sincronizar Google Drive.
Email: [Link]@[Link]
Sync root: \\?\C:\Users\informant\Google Drive

Actividades 5
 Asignatura Datos del alumno Fecha
Informática Forense y Apellidos:
Respuesta Ante
Incidentes Nombre:

Información extraída desde la aplicación Autopsy en la ruta:

/img_cfreds_2015_data_leakage_pc.E01/vol_vol3/Users/informant/AppData/Local/Google/Drive/user_default/sync_log.log

21. ¿Qué software se utilizó para grabar el CD?

22. ¿Cuándo grabó el sospechoso el CD?
23. Identifique todas las marcas de tiempo relacionadas con un archivo de renuncia
(en formato DOCX) en el escritorio de Windows.
Modified: 2015-03-24 [Link] CET
Accessed: 2015-03-24 [Link] CET
Created: 2015-03-24 [Link] CET
Changed: 2015-03-24 [Link] CET
Información extraída desde la aplicación Autopsy en la ruta:
/img_cfreds_2015_data_leakage_pc.E01/vol_vol3/Users/informant/Desktop/Resignation_Letter_(Iaman_Informant).docx

24. ¿Cómo y cuándo imprimió el sospechoso un archivo de renuncia?

El PC del usuario no dispone de impresora instalada en el equipo. Información
extraída desde la aplicación Autopsy en la ruta:
/img_cfreds_2015_data_leakage_pc.E01/vol_vol3/Windows/System32/config/SOFTWARE

25. ¿Dónde se encuentran los archivos de la aplicación Sticky Note (notas)?

Identifique las notas almacenadas.
26. ¿Qué acciones se llevaron a cabo para complicar el análisis forense del equipo el
día 25 de marzo de 2015?
27. Recupere los archivos borrados de los USB. ¿Hay algún archivo de interés?
28. ¿Qué archivos se copiaron del PC a los USB?
29. Recupere los archivos ocultos del CD. ¿Hay algún archivo de interés?
30. Examine la papelera de reciclaje del PC ¿Hay algún archivo de interés?

Evidencias
© Universidad Internacional de La Rioja (UNIR)

Las evidencias para analizar se pueden descargar de la siguiente dirección:

[Link]
Egbv5XTYi3RDoa6OTEjS6VABdfCRrmrHStZ3iP7Ti2dajg?e=7S7zc0

Actividades 6
 Asignatura Datos del alumno Fecha
Informática Forense y Apellidos:
Respuesta Ante
Incidentes Nombre:

© Universidad Internacional de La Rioja (UNIR)

Actividades 7
 Asignatura Datos del alumno Fecha
Informática Forense y Apellidos:
Respuesta Ante
Incidentes Nombre:

Extensión y formato

Para responder a la actividad, deben contestarse las treinta preguntas que la

componen de la manera más clara y concisa posible, y evitar incluir capturas de
pantalla salvo que sea estrictamente necesario.

La extensión total (sin incluir portada, contraportada e índice) no debería superar

las diez páginas.

Organización y gestión de equipos

En el foro «Pregúntale al profesor» de la asignatura, encontrarás un nuevo tema

específico para la organización de equipos en el que el profesor explicará todos los
detalles.

Una vez cerrado el equipo de trabajo, os podéis poner en contacto a través de

vuestras cuentas @[Link], y comenzar a trabajar. Puedes ampliar la
información sobre el trabajo en equipo, consultando los Tutoriales de trabajo en
grupo.

Importante: aquellos estudiantes que no comiencen su trabajo dentro de los siete

primeros días, contados a partir del día del inicio de la actividad, quedarán excluidos
de la esta, y no podrán tomar parte en ella. Se trata de una actividad colaborativa, por
lo que unos estudiantes no pueden beneficiarse del trabajo que hayan realizado sus
compañeros.
© Universidad Internacional de La Rioja (UNIR)

Actividades 8
 Asignatura Datos del alumno Fecha
Informática Forense y Apellidos:
Respuesta Ante
Incidentes Nombre:

Entrega de la actividad grupal

Al finalizar la actividad grupal, todos los miembros del equipo entregarán la misma
actividad a través del apartado «Envío de actividades» del aula virtual. El
documento a entregar debe ir nombrado así:

APELLIDO1_APELLIDO2_NOMBRE_Titulo_actividad (sin tildes ni apóstrofes ni

ningún otro carácter que pudiera resultar conflictivo).

Todos los miembros del equipo deben hacer la entrega en el aula virtual y
deben adjuntar el mismo documento.

Indica en la actividad el nombre de todos los componentes del equipo, y

cumplimenta la siguiente tabla de valoración individual:

Sí No A veces
Todos los miembros se han integrado al trabajo del grupo.

Todos los miembros participan activamente.

Todos los miembros respetan otras ideas aportadas.

Todos los miembros participan en la elaboración del informe.

Me he preocupado por realizar un trabajo cooperativo con mis

compañeros.

Señala si consideras que algún aspecto del trabajo en grupo no ha

sido adecuado.

© Universidad Internacional de La Rioja (UNIR)

Rúbrica

Todas las preguntas tienen el mismo peso en la actividad, y la puntuación máxima

de cada una de ellas será 0,33 puntos.

Actividades 9
 Asignatura Datos del alumno Fecha
Informática Forense y Apellidos:
Respuesta Ante
Incidentes Nombre:

Puntuación
Título de la Peso
Descripción máxima
actividad %
(puntos)
Todas las
respuestas
0,33 3,33 % 10 %
tienen el mismo
peso
10 100 %

© Universidad Internacional de La Rioja (UNIR)

Actividades 10