Introducción

Hoy en día, la tecnología de la información es un elemento esencial de las

operaciones de diversas organizaciones y empresas. La popularidad de los medios
informáticos, sumado al crecimiento imparable de Internet y las redes en los últimos
años, ha brindado oportunidades para actos ilegales como fraude, espionaje
corporativo, sabotaje, robo de datos, intrusión no autorizada en redes y sistemas,
etc. Comprender la tecnología que utilizan y, al mismo tiempo, encontrar las
herramientas para exponer esos delitos contra los que luchar son fundamentales.

Como bien se sabe, la informática forense es la disciplina encargada de adquirir,

analizar y evaluar elementos de evidencia digital que se encuentran en
computadoras, bases de datos, infraestructura de redes, etc. Lo cual viene siendo
muy importante para aportar luz en el esclarecimiento de actividades ilegales.

Por lo tanto en el presente informe técnico se muestran los resultados del incidente
que ocurrió en la empresa ElectricSV, empresa enfocada a la Instalación de
Sistemas Eléctricos y dedicada a la baja y alta potencia.
En situaciones como esta, aunque la empresa tenga sospechas del responsable del
incidente de igual manera necesita de evidencias si quiere demostrar esa fuga de
información: En ese aspecto es fundamental contar con personal capacitado que
revele dichas evidencias mediante el análisis de informática forense.
Por ello se describen las evidencias encontradas mediante el análisis forense las
cuales podrían esclarecer el incidente y mostrar la manera en que la persona
involucrada manipuló el equipo informático filtrando información confidencial de la
empresa, detallando cada una de las fases que conlleva la investigación y de igual
forma la manera en la que se obtuvieron cada una de las evidencias aquí
plasmadas.
 Antecedentes del incidente

Presentación
La empresa ElectricSV enfocada a la Instalación de Sistemas Eléctricos y dedicada
a la baja y alta potencia, decide contratar nuestros servicios por la experiencia en
informática forense, para investigar a una empleada, la cual se encargaba entre
otras tareas, de la realización de presupuestos. La empresa sospechaba que estos
presupuestos los estaba enviando a un ex-comercial de la empresa para así tener
una ventaja competitiva.

Objetivo de la investigación.
Identificar y recolectar las pruebas necesarias para esclarecer los hechos ocurridos
o que indiquen una fuga de información desde la empresa.

Personas involucradas
Se determinó que la empleada encargada de la elaboración del presupuesto es la
principal sospechosa ya que es la única persona con acceso al único equipo
informático donde se realizaba el trabajo, por lo tanto se delimita la investigación al
equipo informático donde se realizaban estas actividades.

Identificación del incidente

Se llegó a la empresa el día 22 de abril del 2022 a las 16:16 PM junto a la gerente
encargada María Quintanilla, a la cual se le hicieron algunas preguntas entre las
cuales fueron.
● ¿Desde cuándo ocurrió el hecho?

● ¿Dónde han ocurrido?

● ¿Cuáles son las reglas de la empresa?

● ¿Qué indicios han tenido?

● ¿De quién sospecha la empresa?

A lo cual el gerente respondió que los hechos vienen ocurriendo desde hace 2
semanas notan a la empleada encargada de realizar los presupuestos como
sospechosa y se cree que está filtrando información a una ex comercial, sólo existe
un equipo donde se realiza este trabajo y es la única persona que puede acceder a
ellos, las sospechas vienen debido a que en las reglas de la empresa se les entrega
a los empleados una memoria USB y ya tienen sus números de serie registrados,
pero otra empleada reportó hace días que se le había visto usando una memoria
diferente a la que provee la empresa, por lo cual quieren recabar evidencias si ella
estaba copiando archivos sin autorización del equipo y enviándolos a otra empresa.
Además se tomó en cuenta las políticas de trabajo que tiene la empresa donde los
empleados deben trabajar con un gestor de correo el cual es Thunderbird, utilizar
dispositivos externos como USB que estén aprobados y registrados por la empresa
además de estar estrictamente prohibido extraer información y desarrollarla en el
hogar del empleado.
Recolección de los datos y descripción de la evidencia
Adquisición.
Se aseguró el perímetro y se identificó el equipo el cual tiene las siguientes
especificaciones:

Laptop Dell

Sistema Operativo Windows 7 Profesional 64 bits

Placa madre Dell D530

CPU Intel Dual Core

Memoria RAM 1 GB

Disco Duro 15GB HDD

Conexión de red Cable Ethernet

En la escena se encontró que el equipo estaba encendido, por lo cual se procedió a

ejecutar la adquisición con la debida aprobación de las autoridades y del gerente de
la empresa, se creó la cadena de custodia del equipo, debido a que el equipo podría
tener información útil en la memoria, se procedió a seguir con el plan de adquisición.
En primera instancia, se procedió a fotografiar la pantalla del equipo enfocando
aquellos puntos de importancia como la hora y la fecha, el área de trabajo en
general de la sospechosa.

La adquisición se realizó siguiendo el siguiente plan de acción.

Adquisición de evidencias volátiles.

● Conexiones de Red. ● Histórico de usuarios
● Procesos. logueados.
● Puertos Abiertos. ● Portapapeles.
● Aplicaciones con puertos ● Unidades mapeadas.
abiertos. ● Carpetas compartidas.
● Estado de la red. ● Adquisición de memoria RAM.
● Conexiones NetBIOS. ● Memoria caché del navegador.
● Sesiones remotas establecidas. ● Archivos temporales del
● Cache DNS. sistema.
● Usuarios actualmente
logueados.
La obtención de los elementos volátiles se obtuvieron con el uso de un script
personalizado, para la adquisición de la RAM y el archivo pagefile.sys se utilizó la
herramienta FTK Imager ejecutándola desde una USB con lo cual nos dio los
siguientes resultados.
Adquisición de memoria RAM

Nombre Evidencia_01

Formato .mem

Hora de inicio Apr-22-2022 16:25:15

Hora de Finalización Apr-22-2022 16:26:20

MD5 bfdcdb4ce8b35a256b9ad135c6e075f9

SHA1 7dade3271dd3239516129d47d9f56adc03e200aa

Adquisición de archivo pagefile.sys

Nombre Evidencia_pagefile

Formato .sys

Hora de inicio Apr-22-2022 16:25:15

Hora de Finalización Apr-22-2022 16:26:20

MD5 986804c163b8a46c1593ba1bf8161f4c

SHA1 9dc4bc98f81aa6fa3dda9a98bcae94d2b2b220b7

Posterior a la toma de toda la evidencia de carácter volátil se procedió a la

adquisición de toda la evidencia de carácter no volátil, generando su función hash a
la evidencia obtenida.
● Se realizó una copia bit a bit de todo el disco en el cual se utilizó la
herramienta de Paladín Forensics Tools que se detalla a continuación:
Adquisición de disco

Nombre Evidencia_02

Formato .dd

Hora de inicio Apr-22-2022 16:30:40

Hora de Finalización Apr-22-2022 16:35:30

MD5 7d295f97375c592ab35949d996b98468
SHA1 f54a446dde50533d0e4374c0f9618319bdfdf0f5

Observaciones No se presentó ningún error en el momento de la adquisición

del disco.

Entorno del análisis

Antes de comenzar a analizar evidencias, es necesario establecer un entorno de

trabajo productivo y adecuado para realizar investigaciones, como optar por no tocar
la copia original, lo cual es muy recomendable, y solo trabajar con las copias de la
original para no alterar sus datos.

El entorno de análisis debe estar adaptado y preparado para que al manipular la

evidencia está no sea alterada y debe tener ciertas características como:
● Bloqueo contra escritura.
● Sin antivirus por si se necesita analizar un malware.
● Preparación de variedad de herramientas.
● Suficiente capacidad para manejar las imágenes.

Para realizar el respectivo análisis a la evidencia recolectada se utilizó una

computadora de escritorio con las siguientes especificaciones

Equipo

Sistema Operativo Windows 10

Placa madre ASUS ROG CROSSHAIR VIII EXTREME

CPU AMD Ryzen™ 9 5950X

Memoria RAM 64 GB 4500MHZ

Disco Duro 10TB HDD

Conexión de red Aislada

Preservación.
Para la preservación de la evidencia se procede a generar copias de seguridad
generando también su función hash, para generar las funciones hash se utilizó la
herramienta HashCalc realizando la comparación de hash que se obtuvieron de las
evidencias que fueron trasladadas desde el lugar de los hechos, hasta el centro de
control, identificando que no han sido alteradas de ninguna manera.

Nombre Evidencia_01 Evidencia_01_copia Evidencia_01_copia_co

pia

MD5 bfdcdb4ce8b35a256b9 bfdcdb4ce8b35a256 bfdcdb4ce8b35a256b9ad

ad135c6e075f9 b9ad135c6e075f9 135c6e075f9

SHA1 7dade3271dd3239516 7dade3271dd323951 7dade3271dd3239516129

129d47d9f56adc03e20 6129d47d9f56adc03 d47d9f56adc03e200aa
0aa e200aa

Nombre Evidencia_pagefile Evidencia_pagefile_ Evidencia_pagefile_cop

copia ia_copia

MD5 986804c163b8a46c15 986804c163b8a46c1 986804c163b8a46c1593b

93ba1bf8161f4c 593ba1bf8161f4c a1bf8161f4c

SHA1 9dc4bc98f81aa6fa3dd 9dc4bc98f81aa6fa3d 9dc4bc98f81aa6fa3dda9a

a9a98bcae94d2b2b22 da9a98bcae94d2b2b 98bcae94d2b2b220b7
0b7 220b7

Nombre Evidencia_02 Evidencia_02_copia Evidencia_02_copia_co

pia

MD5 7d295f97375c592ab35 7d295f97375c592ab3 7d295f97375c592ab359

949d996b98468 5949d996b98468 49d996b98468

SHA1 f54a446dde50533d0e f54a446dde50533d0e f54a446dde50533d0e43

4374c0f9618319bdfdf0 4374c0f9618319bdfdf 74c0f9618319bdfdf0f5
f5 0f5
Descripción de las herramientas

Nombre Descripción Versión Tipo De Licencia

FTK IMAGER Herramienta para realizar réplicas y 4.5 Gratuita

visualización previa de datos, la
cual permite una evaluación rápida
de evidencia electrónica

AUTOPSY Esta herramienta se utiliza en una 4.19.3 GPL

variedad de casos que requieren
análisis forense digital, como
fraude, robo y usurpación de
identidad, despido de empleados o
robo de datos corporativos.

PALADÍN PALADIN es una distribución Live 8.01 Gratuita/Paga

EDGE basada en Ubuntu que simplifica el
proceso de creación de imágenes
forenses.

NirLauncher Paquete de 200 herramientas 1.23.59 Freeware

portátiles para tareas que van
desde recuperar contraseñas,
hasta medir el tráfico de red.
 Análisis de la evidencia
En esta etapa se busca información útil relacionada a las evidencias que se posee,
por lo cual en este punto se estudian los ficheros, archivos donde puede estar la
información eliminada, registros, logs del sistema, ficheros, etc. Esta etapa toma
más tiempo ya que se intenta crear una línea de tiempo utilizando la información de
la evidencia recopilada, las fechas en que los archivos fueron manipulados o
eliminados. Para ello, profundizamos en el análisis, buscando información como el
tamaño del archivo, la marca de tiempo, la ruta, los permisos, etc, de cada archivo.

● Información del sistema analizado

○ Características del sistema operativo

El equipo cuenta con el sistema operativo Windows 7 profesional
64bits.
Especificaciones Generales
 Edición Windows 7 Profesional
 Versión 6.1
 Se instaló el 13/06/2019
 Compilación del SO 7601
 Experiencia Windows Feature Experience Service Pack 1

○ Aplicaciones
Se encuentran instaladas las siguientes aplicaciones:
 Mozilla Firefox 70.0.1 64 bits.
 Thunderbird 91.8.1 64 bits.
 Microsoft Office 2019 Profesional 64 bits.
 Cannon G3110 version 1.01.
 Cannon IJ ScanUtility
 Microsoft Visual C++ 2008 Redistributable - x64 Version 9.0.3
 Microsoft Visual C++ 2010 Redistributable - x64 Version 10.0.4
 Microsoft Visual C++ 2012 Redistributable - x64 Version 12.0.3
 Microsoft Visual C++ 2015 - 2019 Redistributable - x64 Version
14.28.2

o Vulnerabilidades
 El sistema no cuenta con las actualizaciones de seguridad más
recientes.
 No cuenta con una solución de antivirus instalado.
 El servicio de firewall se encuentra mal configurado
 No cuenta con contraseñas de inicio de sesión.
  La infraestructura no cuenta con seguridad para denegar el
acceso a terceros.

○ Servicios
A continuación se muestran algunos de los servicios que se encontraban
ejecutándose en el equipo de la sospechosa
Descripción de los hallazgos
La razón de obtener estas evidencias, primeramente significa poner al descubierto
el hecho, las circunstancias y por ende, llevarlo a una instancia judicial. Siendo esto
una característica que se centra en la búsqueda de pruebas, seguir pistas y
descubrir las evidencias necesarias para lograr con éxito el objetivo propuesto.

Las evidencias encontradas de este caso son las siguientes:

EV-01: Se encontró que el equipo contaba únicamente con un usuario llamado

Elena el cual se creó la fecha 2020-06-13 08:35:45.

EV-02: Se encontró actividad de un dispositivo externo que no se encuentra

registrado dentro del sistema de dispositivos aprobados por la empresa denominado
“Kingston DataTraveler 2.0 USB Device” registrando actividad de inicio 20-04-
2022, hora de actividad 14:26:44

EV-03: En los documentos recientes se encontró que se obtuvo acceso al archivo:

Nombre Fecha de Último MD5 SHA1 Ubicación

creación acceso

presupuest 2022-04- 2022-04- 7f019b6d7 9a9b66641a4 C:\Users\Elena\

o_pizza.xls 15 20 140bbc61b fa51105a28a Documents\
x 14:28:04 14:28:04 0ecd7f044 28738321966 presupuesto_pizza.xlsx
b5c89 11269c0

EV-04: En los documentos recientes se encontró que se obtuvo acceso al archivo:

 Nombre Fecha de Último MD5 SHA1 Ubicación
creación acceso

presupuest 2022-04- 2022-04- ae9371878 62866e36aa7 C:\Users\Elena\

o_wendy.xl 15 20 327853b3e e9131fd3940 Documents\
sx 14:29:25 14:29:25 bef54b132 3f692587bcc presupuesto_wendy.xls
71673 6b714ab x

EV-05: Dentro de la información que proporciona el gestor de correos que utiliza la

empresa el cual está configurado para que guarde una copia de forma local desde la
ruta C:\Users\elena\AppData\Roaming\Thunderbird\Profiles\a3h6bdv3.default-
release\Mail\Local Folders\backups_electricsv.sbd\Enviados, se investigó la
actividad en el área de correos Enviados donde se encontró registro de correos que
fueron enviados desde la cuenta [email protected] así el destinatario
[email protected] entre los cuales se encontraron archivos tipo Excel con
nombre presupuesto_pizza.xlsx y presupuesto_wendy.xlsx con registro de fecha de
envío 18/04/2022 hora 09:35:12 am.

Registro de carpeta de correos enviados .

Nombre Fecha de MD5 SHA1 Ubicación
creación

Enviados 2021-01-26 96170034f0e 2e391b264b2083 C:\Users\elena\AppData\

09:25:10 6db0b38381 45edb99ae29a2d Roaming\Thunderbird\
ec808c4fbbe f03bb1aea407 Profiles\a3h6bdv3.default-
release\Mail\Local Folders\
backups_electricsv.sbd\
Enviados

Correo enviado
remitente Destin Título Fecha de MD5 SHA1 Ubicación
atario Envío

elena.ele carlos. Sin 2022-04-18 85632734f0 893h52d64b20 C:\Users\elena\

ctricsv@g ortez@ título 09:35:12 e6db0b38jg 8345edb587m AppData\Roaming\
mail.com gmail.c 1ec808c4fb 63a2df03bb1a Thunderbird\Profiles\
om be ea407 a3h6bdv3.default-
release\Mail\Local
Folders\
backups_electricsv.s
bd\Enviados

Detalle del correo:

Conclusiones
Comprendemos que la informática forense en la actualidad ha tomado gran
importancia, ya que nos permite encontrar las evidencias necesarias y suficientes
como fue en este caso de ElectricSV, en muchos casos puede simplemente ser una
sola y única evidencia disponible.

El entorno de trabajo fue ampliamente adaptado y preparado con anticipación,

haciendo un énfasis en no dañar la evidencia, procurando que no sea alterada o
usada irresponsablemente. Además, otra de las prioridades que tomamos fue
familiarizarnos con las herramientas antes que la investigación lo haya requerido,
con esto logramos ganar tiempo valioso para el caso.

Con fundamentos en el análisis concluimos que desde el equipo informático

analizado se envió un correo electrónico del remitente [email protected]
así el destinatario [email protected] el cual luego de ser enviado fue
eliminado de la bandeja de correos enviados, este se logró recuperar a través de las
copias de seguridad del gestor de correos con el que cuenta la empresa
Thunderbird, dentro de este correo se muestran dos documentos de tipo excel con
nombres presupuesto_wendy.xlsx y presupuesto_pizza.xlsx con el mismo nombres
de los documentos internos que le pertenecen a la empresa ElectricSV los cuales
contienen información confidencial.

En el equipo analizado se encontró acceso del dispositivo externo con nombre

“Kingston DataTraveler 2.0 USB Device” el cual no está registrado dentro de la
serie dispositivos aprobados por la empresa, por lo tanto viola una de las reglas de
privacidad con la que esta cuenta.

Con estos hallazgos pudimos crear una línea de tiempo en la cual describimos los
sucesos que ocurrieron, con precisión de fecha y hora y lo cual nos permitió
esclarecer la escena.

Recomendaciones
● Utilizar software de tipo forense para monitorear las actividaddesque realicen
los trabajadores evitando inconvenientes en el futuro.

● Los cambios tecnológicos y procesos globalizados demandan mayor rapidez,

eficacia, efectividad y un mayor control, por lo tanto, mantener el equipo
actualizado tanto en hardware y software suponen una mejora ante los delitos
informáticos que puedan surgir.

● Realizar un análisis de riesgos y un estudio de valuación de activos para

poder determinar un plan de acción adecuado que permita evitar posibles
filtraciones.

● Diseñar una estrategia de concienciación que incluya la responsabilidad en el

manejo de la información, que funcione tanto para capacitar a las personas
que podrían filtrar información por error u omisión, como para persuadir a las
que deliberadamente intenten hacerlo, mostrando las potenciales
consecuencias.

● Seguir procesos de eliminación segura de datos. Es fundamental que los

datos que se desean eliminar sean efectivamente eliminados y los medios de
almacenamiento adecuadamente tratados antes de ser reutilizados.

● Contar con personal capacitado y responsable para la gestión y

administración de información sensible.
 Anexos
● Cadena de custodia.
Se lleva a cabo la cadena custodia como la siguiente ilustración (Se adjunta
imagen de la plantilla del documento de cadena de custodia)
 Referencias

Accessdata. (s.f.). Obtenido de https://accessdata.com/product-download/ftk-

imager-version-4-5

Autopsy. (s.f.). Obtenido de https://www.autopsy.com/

INCIBE. (s.f.). Incibe-cert. Obtenido de https://www.incibe-cert.es/blog/guia-

de-toma-de-evidencias-en-entornos-windows

Launcher. (s.f.). Obtenido de https://launcher.nirsoft.net/

Sumuri. (s.f.). Obtenido de https://sumuri.com/product/paladin-edge-64-bit/