DESCRIBA LA ESCENA DEL CRIMEN

PRESENTADO
PRESENTADO POR:
JOSÉ EDUARDO HERNÁNDEZ POLANCO

PRESENTADO A:
ING. CAMILO AUGUSTO CARDONA PATIÑO
PA TIÑO

FUNDACIÓN UNIVERSITARIA
UNIVERSITARIA Á
ÁREA
REA A
ANDIN
NDINA
A
ENFASIS: INFOR
INFORMATICA
MATICA FORENS
FORENSE
EI
INGENIERÍA DE SISTEMAS

2020
 

INTRODUCCION

La informática forense está relacionada con las actividades propias asociadas con
la recolección de información de los medios informáticos la cual es utilizada como
evidencia en un caso objeto de investigación. Para esto, utiliza procedimientos y
herramientas para adquirir, preservar, examinar, analizar las pruebas obtenidas de
los medios informáticos y a través de un proceso científico generar conclusiones
propias del caso. Por último, se presenta los respectivos informes donde de manera
detallada se describen todos los procesos y herramientas utilizadas en la
investigación.

Dentro de la lectura de diferentes artículos y referentes de investigación,

identificaron las guías relacionadas el análisis forense, el manejo de la evidencia y
la cadena de custodia. Se tuvo en cuenta para la resolución del caso problema
presentado partiendo desde las bases iniciales generando buenas prácticas
establecidas por las instituciones y fuerzas del orden autoras de dichas guías.
 

Situación
Situación propuesta
La empresa Pepito Pérez, el 18 de noviembre 2018, fue objeto de un ataque de
Denegación de servicios, ocasionando, que su servidor principal quedará fuera de
línea, al llegar el gerente y sus empleados encontraron todo aparentemente normal,

solo vieronque
recordaba algo
lo curioso, el computador
había apagado, ademásdel gerente
habían unosestá encendido,
papeles letr y
con letra el gerente
a que no era
de él en su escritorio, cuando fueron a revisar el servidor, este estaba
completamente inaccesible, preocupados por lo ocurrido deciden llamar a un
investigador forense.

Tipo de análisis
De manera inicial y partiendo del análisis del caso problema, se toma como primera
medida usar el método de recolección de análisis directo o en caliente, teniendo en
cuenta que, aunque el ataque ya ha terminado y logro su objetivo, según la
información dada se tiene que el equipo usado como medio de ataque el cual es el
computador del gerente está encendido. Este a su vez alega haberlo apagado,
permitiendo de esta forma recoger pruebas del sistema afectado, toda vez que el
intruso pudo dejar evidencia o rastro importante para la investigación en dicho
equipo, posterior a esto se procederá a realizar el análisis post-mortem de la
escena.
Para este tipo de análisis se utilizan herramientas de respuesta ante incidentes y
análisis forense compiladas de forma que no se realicen modificaciones en el
sistema. También cabe mencionar algunos datos para tener en cuenta para la
recolección de las evidencias en el equipo afectado:
✓  Dado que el dispositivo que se va a analizar está encendido, o en producción,

hay que tener presente el tema de lo volátil de la evidencia.

✓  Si se apaga el equipo de forma no planeada, se pierde evidencia en la
memoria RAM, se pueden aplicar secuencias de comandos al Sistema en el
proceso de apagado o reinicio, servicios de red temporales etc.
✓  El daño, o denegación de servicios a terceras partes que usen el servidor.
✓  Utilizar herramientas específicas, que sean lo menos invasivas posibles.
Evitar uso de herramientas que requieran de instalación, y de paquetes y/o
servicios de red adicionales. Usar herramientas ejecutables, en lo posible
desde la línea de comandos y no gráficas (desde una USB o similar)
✓  Reportar de forma minuciosa toda operación o actividad en el sistema.  

Como herramienta validad para recolectar información del equipo se puede realizar
un dump o volcado de la memoria. (Random Access Memory (RAM)), que consiste
 

 
en obtener una copia de los procesos y los datos que residen actualmente-de forma
temporal en la memoria RAM del sistema. Algunas recomendaciones para obtener
un volcado de memoria son:
✓  Utilizar una herramienta adecuada, reconocida y aceptada (Línea de
comandos).
✓  Ejecutar la herramienta en un dispositivo externo o interno.
✓  Documentar bien el proceso
proceso de volcado de memoria.
memoria .

Como resultados de el analisis directo se pueden obtener datos relevantes dentro

de la investigación forense, entre los cuales podemos mencionar:
✓  Los procesos en ejecución en
en un instante en el tiempo.
✓  Archivos abiertos, direcciones IP, puertos abiertos y usados, conexiones de
red.
✓  Unidades de red compartidas, permisos
✓  Usuarios activos
✓  Shell remotas
✓  Conexiones remotas tipo VNC, RDP, entre otros
✓  Archivos que tienen aplicado algún tipo de procesos de cifrado. En ciertas
ocasiones, si el sistema esta apagado, se dificulta el proceso de descifrado.
En la escena
escena del delito
delito::
1. Asegurar la escena: se retiran a todas las personas extrañas de la escena
del delito mientras se procede con la investigación, previniendo el acceso
no autorizado de personal, evitando así la contaminación de la evidencia
o su posible alteración.
2. Recolección de evidencias: se toma registro fotográfico de toda la escena
del crimen, los computadores, servidor y los documentos.
3. El primer objeto de evidencia son los medios digitales, videos de
seguridad, servidores, empezando por el computador del administrador
garantizo la no manipulación de la prueba electrónica original se realizará
una “imagen de datos” forense de datos informáticos mediante una clave
HASH. En todo momento se trabajará sobre la “imagen de datos” forense
obtenida. La prueba original queda en depósito de la empresa.
4. Se procede a realizar el análisis post-morten de la evidencia, se extraen
los archivos de losgs, Documentos digitales, imágenes, cookies,
temporales, procesos en ejecución, etc.
 

 
5. Como segundo aspecto aseguramos y etiquetaremos los documentos
físicos dejados en la escena del crimen, y registro de ingreso y salida del
personal.
6. Se asegura las evidencias con el fin de mantener y garantizar la cadena
de custodia de toda la información recolectada en la escena.
7. Se realiza la entrega de la escena y se deja disposición de la
administración de la empresa.
8. Se documenta cada una de las etapas en una bitácora de los hechos
sucedidos durante la explotación de la escena del crimen, las evidencias
encontradas y posible relación de sospechosos.
 

BIBLIOGRAFIA

  http://repositorio.ufpso.edu.co:8080/dspaceufpso/bitstream/123456789
•

/933/1/28012.pdf  
•
  https://slideplayer.es/slide/13217724/  
  Re
• Referente
ferente de pens
pensamiento
amiento Eje 1