MATERIAL VII:

INFORMATICA FORENSE

Temas a desarrollar:
1- ¿Qué es la Informática Forense?
2- Como evolucionaron los análisis forenses informáticos
3- Como funciona el análisis forense informático
3.1- Identificación del dispositivo
3.2- Conservación de datos
3.3- Análisis forense
3.4- Informes
4- Objetivos de la investigación forense digital tras sufrir una brecha de seguridad
5- Tipos de Informática Forense
5.1- De sistemas operativos
5.2- De redes
5.3- En dispositivos móviles
5.4- En la nube o Cloud
6- Herramientas para el análisis forense digital
6.1- Creación de imágenes
6.2- Cálculo de hashes
6.3- Análisis de memoria volátil
6.4- Análisis de registros
6.5- Programas de análisis
7- Ejemplos de análisis forense informático
8- Informática Forense VS Informática Anti-Forense
9- ¿Por qué el análisis informático forense será tan importante en el futuro?

1- ¿QUE ES LA INFORMATICA FORENSE?

La informática forense es el conjunto de metodologías y técnicas empleadas para identificar, recabar,
interpretar, documentar y preservar evidencias en equipos informáticos o dispositivos digitales y presentarlas
como pruebas válidas en un procedimiento legal o administrativo ante la justicia o una autoridad de control
competente.
La informática forense combina la ciencia forense legal con la informática y está estrechamente
relacionada con la ciberseguridad. Los hallazgos de un análisis informático forense no solo pueden servir como
prueba en un procedimiento legal, sino que también sirven a los equipos de seguridad informática o IT a detectar
y resolver las amenazas y prevenir futuros ciberataques.

2- COMO EVOLUCIONARON LOS ANALISIS FORENSES INFORMATICOS

La informática forense cobró importancia a principios de los años ochenta con la invención del ordenador
personal. A medida que la tecnología se convertía en un elemento básico de la vida cotidiana, los delincuentes
identificaron un hueco y empezaron a cometer delitos en dispositivos electrónicos.
Poco después, Internet conectó a casi todo el mundo de la noche a la mañana, permitiendo el correo
electrónico y el acceso remoto a las redes informáticas de empresas y organizaciones y abriendo las puertas a
programas maliciosos y ciberataques más complejos. En respuesta a esta nueva frontera de la ciberdelincuencia,
las fuerzas de seguridad necesitaban un sistema para investigar y analizar los datos electrónicos, y así nació la
informática forense.
Al principio, la mayoría de la evidencia digital se encontró en sistemas informáticos y dispositivos de TI:
computadoras personales, servidores, teléfonos móviles, tabletas y dispositivos de almacenamiento electrónico.
Pero hoy en día, un número creciente de dispositivos y productos industriales y comerciales, desde Internet de las
cosas (IoT) y dispositivos de tecnología operativa (OT), hasta automóviles y electrodomésticos, timbres y collares
de perro, generan y almacenan datos y metadatos que pueden recopilarse y extraerse para evidencia digital.
Por ejemplo, considere un accidente automovilístico. En el pasado, los funcionarios del orden público
pueden haber investigado la escena del crimen para detectar pruebas físicas, como marcas de cisne o vidrio
desmenuzado; también podrían haber revisado los teléfonos de los conductores para verificar que envíen
mensajes de texto mientras manejan.
Hoy en día, los automóviles más nuevos generan y almacenan todo tipo de datos digitales con marca de
tiempo y metadatos que crean un registro detallado de la ubicación, velocidad y condición de funcionamiento de
cada vehículo en cualquier momento. Estos datos transforman los vehículos modernos en otra poderosa
herramienta forense, que permite a los investigadores reconstruir los acontecimientos previos, durante y después
de un accidente; incluso podría ayudar a determinar quién fue el responsable del accidente, aun en ausencia de
las tradicionales pruebas físicas o de testigos presenciales.

3- COMO FUNCIONA EL ANALISIS FORENSE INFORMATICO

Hay cuatro pasos principales para la informática forense:

3.1- Identificación del dispositivo

El primer paso es identificar los dispositivos o medios de almacenamiento que pueden
contener datos, metadatos u otros artefactos digitales relevantes para la investigación. Estos
dispositivos se recopilan y se colocan en un laboratorio forense u otra instalación segura para
seguir el protocolo y garantizar la recuperación adecuada de los datos.

3.2- Conservación de datos

Los expertos forenses crean una imagen, o copia bit a bit, de los datos que se van a conservar.
Luego, almacenan de forma segura tanto la imagen como el original para evitar que se
modifiquen o destruyan. Los expertos recopilan dos tipos de datos: datos persistentes,
almacenados en el disco duro local de un dispositivo y datos volátiles, ubicados en memoria o
en tránsito (por ejemplo, registros, caché y memoria de acceso aleatorio (RAM). Los datos
volátiles deben manejarse con especial cuidado, ya que son efímeros y pueden perderse si el
dispositivo se apaga o pierde energía.

3.3- Análisis forense

A continuación, los investigadores forenses analizan la imagen para identificar evidencia digital
relevante. Esto puede incluir archivos eliminados intencionalmente o de forma involuntaria,
historial de navegación por Internet, correos electrónicos y más. Para descubrir " datos "
ocultos o metadatos que otros podrían perder, los investigadores utilizan técnicas
especializadas que incluyen el análisis en vivo, que evalúa los sistemas aún en funcionamiento
para datos volátiles, y la esteganografía inversa, que expone datos ocultos usando
esteganografía, una técnica para ocultar información sensible dentro de mensajes de parecer
ordinario.

3.4- Informes
Como paso final, los expertos forenses crean un informe formal que describe su análisis y
comparten los hallazgos de la investigación y cualquier conclusión o recomendación. Aunque
los informes varían según el caso, a menudo se utilizan para presentar evidencia digital ante un
tribunal legal.

4- OBJETIVOS DE LA INVESTIGACION FORENSE DIGITAL TRAS SUFRIR UNA BRECHA DE SEGURIDAD:

• Ayuda a recuperar, analizar y preservar el ordenador y los materiales relacionados de tal manera que
ayuda a la agencia de investigación a presentarlos como evidencia en un tribunal de justicia.
• Ayuda a postular el motivo detrás del crimen y la identidad del principal culpable.
• Diseñar procedimientos en una presunta escena del crimen que ayudan a garantizar que la evidencia
 digital obtenida no esté corrupta.
• Adquisición y duplicación de datos: recuperación de archivos eliminados y particiones eliminadas de
medios digitales para extraer la evidencia y validarlos.
• Ayuda a identificar la evidencia rápidamente y también permite estimar el impacto potencial de la
actividad maliciosa en la víctima
• Producir un informe forense informático que ofrece un informe completo sobre el proceso de
investigación.
• Preservar la evidencia siguiendo la cadena de custodia.

Para alcanzar estos objetivos, el investigador busca, sobre todo, una evidencia informática forense muy
concreta: los denominados «datos latentes». Estos datos no son visibles ni fácilmente accesibles y requieren de un
nivel mucho más profundo de investigación por parte del informático forense para desenterrarlos. Algunos
ejemplos de datos latentes son:
• Información que se encuentra en el almacenamiento del ordenador, pero que no se menciona fácilmente
en las tablas de asignación de archivos.
• Información que el sistema operativo o las aplicaciones de software de uso común no pueden ver
fácilmente.
• Datos que se han eliminado deliberadamente y ahora se encuentran en:
- Espacios no asignados en el disco duro
- Intercambiar archivos
- Imprimir archivos de cola de impresión
- Volcados de memoria
- El espacio entre los archivos existentes y el caché temporal

5- TIPOS DE INFORMATICA FORENSE

Podemos distinguir cuatro tipos de informática forense, en función de dónde se haya producido el
incidente informático y en qué dispositivos sea necesario llevar a cabo una auditoría forense informática.

5.1- De sistemas operativos

Es el proceso de recuperación de información útil del sistema operativo (SO) del ordenador o dispositivo
móvil en cuestión. El objetivo de recopilar esta información es adquirir evidencia empírica contra el autor.
La comprensión de un sistema operativo y su sistema de archivos es necesaria para recuperar datos para
investigaciones informáticas. El sistema de archivos proporciona un sistema operativo con una hoja de ruta para
los datos en el disco duro. El sistema de archivos también identifica cómo el disco duro almacena los datos.
5.2- De redes
El análisis forense de la red se refiere a la recopilación, monitorización y análisis de las actividades de la
red para descubrir la fuente de ataques, virus, intrusiones o violaciones de seguridad que ocurren en una red o en
el tráfico de la red.
Como tal, el análisis forense de la red se considera, junto con el análisis forense móvil o el análisis forense
de imágenes digitales, como parte del análisis forense digital.
Por lo general, se usa cuando se trata de ataques a la red. En muchos casos, se usa para monitorizar una
red para identificar proactivamente el tráfico sospechoso o un ataque inminente. Por otro lado, se utiliza para
recopilar pruebas mediante el análisis de datos de tráfico de red para identificar la fuente de un ataque.
5.3- En dispositivos móviles
Los crímenes no ocurren aislados de las tendencias tecnológicas; por lo tanto, el análisis forense de
dispositivos móviles se ha convertido en una parte importante del análisis forense digital.
El proceso forense móvil tiene como objetivo recuperar evidencia digital o datos relevantes de un
dispositivo móvil de una manera que conserve la evidencia en una condición forense sólida. Para lograr eso, el
proceso forense móvil necesita establecer reglas precisas que incauten, aíslen, transporten, almacenen para el
análisis y prueben pruebas digitales que se originen de manera segura desde dispositivos móviles.
 5.4- En la nube o Cloud
Hoy en día, con la mayoría de los datos críticos de nuestra empresa transferidos a los proveedores de
servicios en la nube, una de nuestras principales preocupaciones es tratar los asuntos de seguridad. Eso incluye ser
capaz de responder rápidamente y reportar eventos que pueden conducir a problemas legales.
Esta no es una tarea fácil y las cosas se complican aún más por el hecho de que tenemos que confiar en la
capacidad de nuestro proveedor de la nube para entregar datos forenses digitales en caso de cualquier disputa
legal (ya sea civil o criminal) durante los ataques cibernéticos o incluso si los datos se produce una violación.
El análisis forense de la nube combina la computación en la nube y el análisis forense digital, que se centra
principalmente en la recopilación de información forense digital de una infraestructura de la nube. Esto significa
trabajar con una colección de recursos informáticos, como activos de red, servidores (tanto físicos como virtuales),
almacenes, aplicaciones y cualquier servicio que se brinde.
Para la mayoría de las situaciones, este entorno permanecerá (al menos parcialmente) en vivo, y puede
reconfigurarse rápidamente con un mínimo esfuerzo. Al final, cualquier tipo de evidencia recopilada debe ser
adecuada para su presentación en un tribunal de justicia.

6- HERRAMIENTAS PARA EL ANALISIS FORENSE DIGITAL

Las herramientas forenses digitales vienen en muchas categorías, por lo que la elección exacta de la
herramienta depende de dónde y cómo deseas usarla.
Pero independientemente de estas variaciones, lo importante es que las herramientas de análisis forense
informático ofrecen una gran cantidad de posibilidades para obtener información durante una investigación.
También es importante tener en cuenta que el panorama de la investigación forense digital es muy dinámico, con
nuevas herramientas y características que se lanzan regularmente para mantenerse al día con las actualizaciones
constantes de los dispositivos.

6.1- Creación de imágenes

FTK Imager es una herramienta de vista previa de datos e imágenes que te permite examinar archivos y
carpetas en discos duros locales, unidades de red, CD / DVD y revisar el contenido de imágenes forenses o
volcados de memoria.
Con FTK Imager también puedes crear hash de archivos SHA1 o MD5, exportar archivos y carpetas de
imágenes forenses al disco, revisar y recuperar archivos que se eliminaron de la Papelera de reciclaje (siempre que
sus bloques de datos no se hayan sobrescrito) y montar una imagen forense para ver su contenido en el
Explorador de Windows.
6.2- Cálculo de hashes
HashCalc es un programa de calculadora desarrollado por SlavaSoft. Se utiliza para calcular HMAC,
resúmenes de mensajes y sumas de comprobación para archivos. También se puede usar para calcular cadenas
hexadecimales y cadenas de texto. El programa proporciona 13 de los algoritmos de suma de comprobación y
hash más comunes.
 La interfaz del programa es sencilla. Ofrece una ventana estándar que proporciona todas las opciones
directamente desde la interfaz principal. Para usarlo, el usuario solo tiene que elegir el archivo a calcular y las
funciones hash criptográficas deseadas.
6.3- Análisis de memoria volátil
Para el análisis de memoria volátil existen varias herramientas como:
• Volatility: Se utiliza para la respuesta a incidentes y el análisis de malware. Con esta herramienta, puedes
extraer información de procesos en ejecución, tomas de red, conexión de red, archivos DLL y colmenas de
registro. También tiene soporte para extraer información de archivos de volcado por caída de Windows y
archivos de hibernación. Esta herramienta está disponible de forma gratuita bajo licencia GPL.
• Belkasoft Live RAM capturer: es una pequeña herramienta forense gratuita para extraer de forma
confiable todo el contenido de la memoria volátil del ordenador, incluso si está protegido por un sistema
activo de antidepurado o antidumping. Se encuentran disponibles versiones separadas de 32 y 64 bits
para minimizar la huella de la herramienta tanto como sea posible. Los volcados de memoria capturados
con Belkasoft Live RAM Capturer se pueden analizar con cualquier herramienta forense.
6.4- Análisis de registros
El análisis informático forense incluye el descubrimiento y la extracción de información recopilada en la
etapa de recopilación. El tipo de análisis depende de las necesidades de cada caso. Puede ir desde extraer un solo
correo electrónico hasta unir las complejidades de un caso de fraude o terrorismo.
Durante el análisis, el perito informático forense generalmente retroalimenta a su gerente de línea o
cliente. Estos intercambios pueden hacer que el análisis tome un camino diferente o se reduzca a áreas
específicas. El análisis forense debe ser preciso, exhaustivo, imparcial, registrado, repetible y completado dentro
de los plazos disponibles y los recursos asignados.
Existen múltiples herramientas disponibles para el análisis forense informático, una de las más completas
es AccessData Registry Viewer.
6.5- Programas de análisis
También se pueden emplear programas de análisis forense, como:
• Sleuthkit: Se trata de una colección de herramientas de línea de comandos y una biblioteca C que permite
analizar imágenes de disco y recuperar archivos de ellas. Se utiliza en muchas otras herramientas forenses
comerciales y de código abierto.
• Encase Forensics: Permite buscar, identificar y priorizar rápidamente evidencia potencial, en ordenadores
y dispositivos móviles, para determinar si se justifica una investigación adicional. Esto dará como resultado
una disminución de la cartera de pedidos para que los investigadores puedan concentrarse en cerrar el
caso.
• SIFT Workstation 3: Es un grupo de herramientas forenses y de respuesta libre a incidentes de código
abierto diseñadas para realizar exámenes forenses digitales detallados en una variedad de entornos.
Puede coincidir con cualquier respuesta actual a incidentes y conjunto de herramientas forenses.
• OsForensics: Proporciona una de las formas más rápidas y potentes de localizar archivos en un ordenador
con Windows. Puede buscar por nombre de archivo, tamaño, fechas de creación y modificación, y otros
criterios. Los resultados se devuelven y están disponibles en varias vistas útiles diferentes. Esto incluye la
Vista de línea de tiempo que le permite examinar las coincidencias en una línea de tiempo, lo que
evidencia el patrón de actividad del usuario en la máquina. También puede buscar el contenido de los
archivos y devolver resultados casi instantáneamente después de la indexación. Es capaz de buscar dentro
de los formatos de archivo más comunes y funciona con el motor de búsqueda Zoom de gran precisión de
Wrensoft.

7- EJEMPLOS DE ANALISIS FORENSE INFORMATICO

Actualmente, se pueden encontrar ejemplos de análisis forense informático en diferentes tipos de
ciberdelitos y ciberataques, especialmente cuando estos afectan a grandes empresas, que requieren no solo saber
cómo ha ocurrido un ataque, sino también determinar quién es el responsable y reunir evidencias para un posible
procedimiento legal, así como para atenuar o eximir su responsabilidad de cara a otros afectados.
 Así, por ejemplo, se efectúan análisis forenses informáticos ante:
• Ataques DDoS.
• Ataques de ransomware.
• En casos de ciberacoso.
• En casos de robos de información confidencial.
• En la investigación de casos de pornografía infantil.
• En el robo de la propiedad intelectual.

8- INFORMATICA FORENSE VS INFORMATICA ANTI-FORENSE

La informática anti-forense puede ser la peor pesadilla de un investigador informático. Los programadores
diseñan herramientas anti forenses para que sea difícil o imposible recuperar información durante una
investigación.
Esencialmente, la informática anti-forense se refiere a cualquier técnica, dispositivo o software diseñado
para obstaculizar una investigación informática.
Hay docenas de formas en que las personas pueden ocultar información. Algunos programas pueden
engañar a los ordenadores cambiando la información en los encabezados de los archivos.
Un encabezado de archivo normalmente es invisible para los humanos, pero es extremadamente
importante: le dice al ordenador a qué tipo de archivo se adjunta el encabezado. Si tuviera que cambiar el nombre
de un archivo MP3 para que tuviera una extensión .gif, el ordenador sabría que el archivo era realmente un MP3
debido a la información en el encabezado. Algunos programas permiten cambiar la información en el encabezado
para que el ordenador piense que es un tipo diferente de archivo.
Otros programas pueden dividir los archivos en pequeñas secciones y ocultar cada sección al final de otros
archivos. Los archivos a menudo tienen un espacio no utilizado llamado espacio flojo. Con el programa correcto,
puede ocultar archivos aprovechando este espacio flojo. Es muy difícil recuperar y volver a ensamblar la
información oculta.
También es posible ocultar un archivo dentro de otro. Los archivos ejecutables son particularmente
problemáticos. Los programas llamados empacadores pueden insertar archivos ejecutables en otros tipos de
archivos, mientras que las herramientas llamadas enlazadoras pueden unir varios archivos ejecutables.
El cifrado es otra forma de ocultar datos. Cuando encriptas datos, utilizas un conjunto complejo de reglas
llamado algoritmo para hacer que los datos sean ilegibles. Una persona que quiera leer los datos necesitaría la
clave de cifrado. Sin la clave, los detectives tienen que usar programas de ordenador diseñados para descifrar el
algoritmo de cifrado. Cuanto más sofisticado sea el algoritmo, más tiempo llevará descifrarlo sin una clave.
Otras herramientas anti forenses pueden cambiar los metadatos adjuntos a los archivos. Si los metadatos
se ven comprometidos, es más difícil presentar la evidencia como confiable.
Algunas personas usan informática anti-forense para demostrar cuán vulnerables y poco confiables
pueden ser los datos del ordenador. Si no puedes estar seguro de cuándo se creó un archivo, cuándo se accedió
por última vez o si alguna vez existió, ¿cómo puedes justificar el uso de pruebas informáticas en un tribunal de
justicia?

9- ¿POR QUE EL ANALISIS INFORMATICO FORENSE SERA TAN IMPORTANTE EN EL FUTURO?

Con el constante aumento de los dispositivos digitales y las actuaciones en línea, la mayoría de los delitos
en el futuro serán cometidos en la red.
La importancia de la informática forense para un negocio o una corporación es enorme. Por ejemplo, a
menudo se piensa que simplemente fortalecer las líneas de defensa con cortafuegos, enrutadores, etc. será
suficiente para frustrar cualquier ataque cibernético.
Pero el profesional de seguridad sabe que esto no es cierto, dada la naturaleza extremadamente
sofisticada del hacker cibernético actual.
Esta premisa tampoco es cierta desde el punto de vista de la informática forense. Si bien estas piezas
especializadas de hardware proporcionan información en cierto grado sobre lo que generalmente ocurrió durante
un ataque cibernético, a menudo no poseen esa capa más profunda de datos para proporcionar esas pistas sobre
lo que sucedió exactamente.
 Esto subraya la necesidad de que la organización también implemente esos mecanismos de seguridad
(junto con el hardware anterior) que pueden proporcionar estos datos específicos (ejemplos de esto incluyen los
dispositivos de seguridad que utilizan inteligencia artificial, aprendizaje automático, análisis de negocios, etc.).
Por lo tanto, la implementación de este tipo de modelo de seguridad, en el que también se adoptan los
principios de la informática forense, también se conoce como «Defensa en profundidad».
Al tener estos datos específicos, hay una probabilidad mucho mayor de que las pruebas presentadas se
consideren admisibles en un tribunal de justicia, lo que lleva a los responsables que lanzaron el ataque cibernético
ante la justicia.
Además, al incorporar los principios de una «Defensa en profundidad», la empresa o corporación puede
cumplir fácilmente con las leyes y mandatos gubernamentales en materia de protección de datos y seguridad de la
información.