Informática Forense

Trabajo I

Julio César Torres & Sadid Monsalve Valencia.

Mayo 2020.

Universidad Católica del Norte.

Ingeniería de sistemas de información.
Informática Forense
 ii

ESTA PAGINA ES OPCIONAL”

Copyright © 2020 por Julio César Torres & Sadid Monsalve Valencia Todos los
derechos reservados.
 iii

Dedicatoria

Después de una ardua investigación de los diferentes temas involucrados en este trabajo

escribo este apartado de agradecimientos el cual ha sido vital para el aprendizaje tanto para mi

compañero de trabajo como para mí; Me gustaría agradecer al equipo que han ayudado y

apoyado durante el desarrollo de esta actividad.

También me gustaría agradecer a mis padres por sus sabios consejos y su comprensión.
 iv

Abstract

El siguiente trabajo nos aporta grandes conocimientos y afianzar algunos que ya han sido

adquiridos en cursos anteriores donde podremos aplicar un problema de la vida diaria y a este

agregar los diferentes métodos que contiene el ámbito de forense informático como lo son las

técnicas o protocolos que se conlleva en algún tipo de investigación.

 v

Tabla de Contenidos

Introducción ........................................................................................................................ 6
1. Desarrollo................................................................................................................. 7
2. Conclusión…...........................................................................................................12
3. Referencias ..............................................................................................................13
 6

Introducción

En un mundo tan globalizado como en la actualidad la cantidad de información que se

almacena y se transfiere en medios informáticos es abundante, esta información va desde
archivos académicos hasta transacciones de grandes sumas de dinero.
Es desde el punto de vista de las interacciones de material educativo donde se desarrollará el
siguiente trabajo de incidentes de seguridad informáticos. Para ello debemos tener en cuenta que
al crear e ingeniar una plataforma de este tipo, ella debe cumplir las siguientes características:
• Disponibilidad: Se puede acceder a los datos en cualquier momento

• Integridad: Solo personal autorizado puede realizar cambios y acceder a la plataforma.

• Confidencialidad: La información almacenada debe ser estrictamente para el acceso de

clientes y consumidores.

Debido a que mucha de las acciones del día a día necesitan de la seguridad informática a lo
largo del itinerario que llevan los datos, esto hace que se haga necesario tener protocolos para
llevar a cabo una investigación frente a estos casos; esta debe comprender que se debe hacer con
material probatorio y qué pasos se deben seguir para culpar a quien realizó el acceso restringido.
Para llevar a cabo el trabajo se utilizará como ejemplo el PHISHING a través de un supuesto
correo electrónico de la Universidad Católica del Norte.
 7

Desarrollo

El pasado miércoles 05 de febrero de 2020 a las 4:52 pm, se identificó un presunto ataque con
PHISHING a través de un correo electrónico. Dicho correo llegó al buzón de entrada del Correo
Institucional de uno de los participantes de este informe (Sadid) y como nombre del contacto, se
muestra “FUNDACIÓN UNIVERSITARIA CATÓLICA DEL NORTE” bajo el correo
electrónico noreply@kivuto.com.

Se sospecha que este correo es de carácter fraudulento ya que utiliza el nombre de la

Universidad bajo un dominio que, según lo consultado, no pertenece a ninguno de los dominios
de correos reconocidos por la Universidad: “UCN”, “SOYUCN”, “FUCN”.
Para efectos de este informe, se relacionan algunas imágenes:
 8

Como se observa en las evidencias, en el cuerpo de correo se relaciona un link que direcciona
a una página web cuyo dominio no es reconocido por la Universidad.
Por tal razón, para este caso, se podría iniciar un análisis especializado de Informática Forense
para determinar los autores de este presunto PHISHING.
 9

¿Qué tipo de análisis hacer ante la situación delictiva?

Análisis a Sistemas Muertos: ya que la información que tenemos del incidente ha

ocurrido en un lapso de tiempo anterior al momento del secuestro del equipo.
Analizamos fechas de acceso, modificación, eliminación, conexión, creación; analizamos
contenido de archivos, metadatos, direcciones, encabezados, etc, esto a fin de obtener
información y datos valiosos que se aportan dentro de la investigación.

¿Qué tipos de evidencia encuentra?

Se identifica un correo con dominio @kivuto.com y con full name “Fundación Universitaria
Católica del Norte” diferente al institucional que envió los correos informativos de la
universidad @ucn.edu.co.

Adicional en el link que solicita el registro se puede observar una URL que tampoco lleva
a ningún portal de la universidad.
https://e5.onthehub.com/d.ashx?s=jafyuagnoz
 10

Este tipo de ataque es identificado como PHISHING, te llevan a una máquina donde solicitan
autenticación y se roban tus credenciales para acceder a tu equipo.
Se genera un análisis en una máquina controlada desde una copia del correo para uno
modificar el principal.
Se ejecuta el link en un ambiente controlado donde podemos observar que la página nos lleva
a un sitio fraudulento.

¿Qué se hace necesario secuestrar para tener en cuenta en la investigación?

 No ejecutar ningún link desde el correo original.

 Se debe guardar y apartar el correo de la máquina para no tener ningún tipo de

vulnerabilidad ni modificación.

 Se debe notificar al área de seguridad y en cargado del endpoint y anti-spam del

correo para tomar medidas y ejecutar un plan de trabaja en el bloque del dominio y
validación de url por medio de machine learning.
 11

¿Qué protocolo de cadena de custodia se debe seguir para mantener la integridad de la

evidencia?

La cadena de custodia es un procedimiento que debe tenerse en cuenta desde el mismo

instante que se decida realizar el proceso de evidencia forense, ya que este procedimiento, basado
en el principio de la “mismidad”, tiene como fin garantizar la autenticidad e integridad de las
evidencias encontradas en alguna situación determinada, es decir, que lo mismo que se encontró
en la escena, es lo mismo que se está presentando al tribunal penal o comité disciplinario según
sea el caso.

 Una hoja de ruta, en donde se apuntan los datos principales sobre descripción de la

evidencia, fechas, horas, custodios, identificaciones, cargos y firmas de quién recibe y

quién entrega.

 Recibos personales que guarda cada custodio y donde están datos similares a los de la

hoja de ruta.

 Rótulos o etiquetas que van pegados a los empaques de las evidencias, por ejemplo, a las

bolsas plásticas, sobres de papel, sobres de Manila, frascos, cajas de cartón, etc.

 Libros de registro de entradas y salidas, o cualquier otro sistema informático que se deben

llevar en los laboratorios de análisis y en los despachos de los fiscales e investigadores.

 Esta trazabilidad, brindará la confianza suficiente a quienes reciban las evidencias para
certificar que toda la información ha conservado su integridad, que no ha sido alterada o
modificada.
 12

Conclusión

La Informática Forense en la actualidad ha tomado gran importancia porque permite

encontrar las evidencias necesarias y suficientes de algún incidente; evidencias que pueden ser de
gran valor en el momento de resolver un caso, en muchos de estos casos puede ser la única
evidencia disponible.

La informática forense se ha convertido en una pieza fundamental en el tratamiento de la

información informática y está ubicada como uno de los pilares en el ámbito judicial en nuestra
actualidad, por lo cual se requiere fortalecer en la identificación, preservación, análisis y
presentación de esta, para así tomar mejores medidas que aclaren hechos malintencionados y
además evitar que en el futuro se originen situaciones similares.
 13

Referencias

Análisis Forense Digital. (2019). Criptored.upm.es. Retrieved 15 February 2019, from

http://www.criptored.upm.es/guiateoria/gt_
Baca, U. G. (2016). Introducción a la seguridad informática. Retrieved from

https://ebookcentral.proquest.com

Márquez, A. R. H. (2018). Auditoría forense. Retrieved from https://ebookcentral.proquest.com