INSTITUTO TECNOLÓGICO UNIVERSITARIO ARGOS

CARRERA DE CRIMINALÍSTICA

NOMBRE:

JOSSELYN MIKAELA MEJIA MANOTOA

DOCENTE:

ENRIQUE EFRAIN ARGUELLO ARELLANO

ASIGNATURA:

INFORMATICA FORENSE

TEMA:

REVISAR EL VIDEO DENOMINADO: "CASO TECHSECURE: ¡DESCUBRE AL

CULPABLE!"

PERIODO ACADÉMICO:

2024-2025
Revisar el video denominado: "Caso TechSecure: ¡Descubre al culpable!", y a continuación
como investigador forense, debes analizar los dispositivos sospechosos y responder las
siguientes preguntas:

a. Smartphone Android:

 ¿Qué tipos de datos buscarías para determinar si este dispositivo participó en el robo?

Fotos, videos y mensajes de aplicaciones

 ¿Qué herramientas usarías para analizar este dispositivo?

Avanzadas como Cellebrite, UFED, Oxygen forensic

 ¿Cómo manejarías el acceso si el dispositivo está bloqueado?

El acceso a esta información se la realiza mediante las herramientas forenses, ya que, a

través de ellas, se puede gestionar la recuperación de información de manera rápida y
segura, manteniendo la cadena de custodia de la información.

Lo primero que se realiza es identificar el tipo de bloqueo del celular, la manera mas
fácil que se puede realizar, es forzando un logueo del celular de una manera recurrente,
o a su posterior realizar el desbloqueo con un software como UFED, Cellebrite, para
acceder mediante patrones que se indican en cada sistema.

En el caso de uso de UFED, se busca combinaciones sin parar, de tal manera, que entre
mas compleja sea la clave el sistema de UFED, se tardara mas minutos, entre mas
compleja sea la clave. Cada combinación se realizará cada 15 minutos. Y esta es la
forma más útil, ya que si se lo realiza de manera manual se corre el riesgo de que en el
caso de celulares Apple, se bloquen y a su vez, borre toda la información como medida
de seguridad. (Alvarez, 2023)

El sistema de UFED, permite generar códigos de seis cifras que una vez que descifrada
la contraseña, se conecte de manera manual a una computadora y se realiza la
extracción de toda la información necesaria

b. Laptop con Windows 10:

 ¿Qué áreas del sistema operativo investigarías para buscar rastros del delito?

El disco duro de la laptop

 ¿Qué herramientas específicas emplearías para analizar los datos del sistema?

FTK Imager y X-Ways

 ¿Cómo lidiarías con posibles archivos eliminados o cifrados?

Usando herramientas de desencriptación para el desbloqueo y acceso a los datos

eliminados.

La forma correcta de hacerlo es usando programas de recuperación como los Recoverit

Data, 4DDiG Data Recovery, entre otros, con lo cual se puede realizar un análisis
profundo del almacenamiento. Se puede de igual usar Recuva, ya que tiene opciones de
recuperación de datos avanzados

Para archivos cifrados se utiliza los siguientes pasos:

1. Vaya a Esta PC > haga clic derecho en el disco duro, en el que está intentando
acceder al archivo de video AMV > haga clic en Propiedades.

2. Vaya a la pestaña Seguridad y haga clic en Editar > una nueva ventana emergente
cuando haga clic en Editar > haga clic en el botón Agregar en Nombres de grupo
o usuario > Escriba Todos en el cuadro debajo de Ingrese los nombres de objeto
para seleccionar y haga clic en Aceptar.

3. Una vez que regrese a la ventana Permisos, seleccione el grupo Todos y coloque
todas las marcas de verificación en la casilla Permitir en la sección Permisos para
todos.

4. Haga clic en Aplicar y Aceptar para guardar los cambios.

5. Ahora, vuelva a abrir la pestaña Seguridad y haga clic en el botón Avanzado junto
a Para permisos especiales o configuración avanzada.

6. En la ventana Configuración de seguridad avanzada, vaya a la pestaña Permisos

y haga clic en cambiar > desde, Seleccionar usuario o grupo ,
escriba Todos en Ingrese el nombre del objeto para seleccionar y
el botón Aceptar .

7. A continuación, asegúrese de marcar la casilla asociada con Reemplazar

propietario en subcontenedores y objetos y haga clic en Aplicar.

8. Con el propietario como Todos, vaya a la pestaña Auditoría y haga clic

en Agregar.

9. En la entrada de auditoría del volumen afectado,

seleccione Todos como principales y, a continuación, vaya a
la sección Permisos básicos y marque la casilla asociada a Control total.
 10. Haga clic en Aceptar > Aplicar > Aceptar para guardar todos los cambios
> reinicie la computadora una vez y verifique el problema. (May, 2022)

c. Disco duro externo cifrado:

 ¿Qué estrategias aplicarías para acceder al contenido cifrado?

Intentar recuperar las contraseñas o usar herramientas de desencriptación especializados

en el desbloqueo de datos. La estrategia que yo personalmente usaría es usar Verracrypt,
ya que este sistema formatea y cifra el disco duro externo, lo único es instalar el
software y conectar el disco duro a la computadora, el modo de usar este sistema es dar
clic en el botón de volumen y asi iniciar con la asistencia que permitirá borrar y cifrar el
contenido en el disco duro externo. (Torres, 2021)

 ¿Qué tipos de datos priorizarías analizar?

Datos de acceso inmediato como datos de los usuarios o aplicaciones de carácter

críticas. A la vez, que también se priorizaría el registro de transacciones y la
información de seguridad.

d. Servidor Linux:

Para analizar registros del sistema, trafico de red y otros datos críticos para la
investigación

 ¿Qué registros del sistema revisarías para identificar accesos no autorizados o

actividades sospechosas?

Se revisaría los Logs (registros o bitácoras), con lo cual se podrá detectar los intentos de
intrusión, actividades maliciones o accesos no autorizados.

 ¿Qué herramientas forenses son más efectivas para este sistema operativo?

o DEFT linux
o SIFT
o CAINE
o The Sleuth Kit TSK
o Autopsy

e. Conclusión:

 Basado en el análisis de los dispositivos, ¿Cuál es el dispositivo más probable que haya
sido utilizado en el robo? Justifica tu respuesta fundamentada en el contenido de la
Unidad N° 3 y describe la metodología aplicada al dispositivo.
Se dice en el video que a la empresa sufrió un ataque y accedieron a todos sus datos, por lo cual
se deduce mediante análisis hipotético deductivo, que fue atacado mediante el sistema operativo
de la empresa que fue atacada, mediante un malware que llego a la red y pudo extraer los datos
internos, ya sean de discos duros o a su vez de Windows o el servidor Linux.

Se llega a esta conclusión ya que mediante el uso de TSK, que es una herramienta forense, se
puede analizar e identificar que el malware ingreso al servidor y fue la fuente de extracción de
la información.

Adicional a esto, se puede analizar el caso de que los delincuentes aprovecharon el trafico en la
red para poder invadir el sistema operativo, mediante el malware, por lo cual se uso Wireshark,
para poder identificar las actividades inusuales en la red, detectando que cuando existió trafico
en la red se genero actividad inusual.

De esta forma se estable que se realizaron actividades delictivas en la empresa, al insertar

malware en el sistema aprovechando el trafico en la red, por que se usó dos herramientas
forenses para determinar las causas del mismo, lo último seria identificar desde donde proviene
este ataque cibernético, esto lo podemos realizar analizando los Logs, es decir el historial o
bitácora, para ver cuántos intentos no autorizados existieron antes de que se perpetrará el ciber
ataque.

Para la localización de la ubicación desde donde provienen los ciber ataques, de implementa un
fireware al computador y con lo cual nos entregara una lista de las direcciones desde donde
estén los ciber ataques, en caso de estar encriptadas, se debe seguir el procedimiento, ingresando
estos datos a softwares, que permitan la desencriptación de los mismos.

Bibliografía
Alvarez, R. (12 de 12 de 2023). Tecno. Obtenido de
[Link]
conseguir-informacion-que-sirva-como-prueba-en-una-investigacion-judicial/

May, M. (2022). Microsoft. Obtenido de

[Link]
con-windows-10/db255db0-9994-4bb1-8a12-abfa51e7a90f

Torres, J. (2021). [Link]. Obtenido de [Link]

para-un-disco-duro-externo/