Identificación de

evidencia
W W W.EiiDI.COM

LOGO
 Conceptos Importantes

• Qué es un delito informático,

• Que es la informática Forense?
• La informática forense se utiliza solo en delitos
informáticos?
• Que es la evidencia Digital?
• Cuáles son los tipos de evidencia que hay?
• A qué se refiere la cadena de custodia.
• Cómo comprobamos la integridad de una imagen digital?
• Cuáles son los pasos de la metodología del análisis
forense?
• Cuántos tipos de informes presentamos al final de la
investigación. Descríbalos.
 Identificación de caso o Evidencia

• La investigación maneja muchos parámetros según

el caso, por ejemplo hay que saber que los
procedimientos son diferentes cuando se investiga
un incidente de seguridad y una investigación
judicial.
• Al realizar el primer contacto con el cliente, se
debe realizar algunas preguntas iníciales para
determinar el tipo de incidente de seguridad y
acudir preparados para ello.
•Dentro de los incidentes de seguridad podemos
nombrar en ataque a páginas Web, alteración a
bases de datos, sabotajes, robo de información,
ataque externos a redes, entre otros

•Las preguntas que vamos a plantear a continuación

no son un estándar, pero son se hacen a menudo
para iniciar a recolectar información sobre el
hecho desde la primera conversación que se tiene.
• Tiene su empresa un IDS (sistema de detección de
intrusos)? Cual es su proveedor?
• Quién notificó inicialmente el incidente?
• Tiene algún sospechoso?
• Maneja su empresa políticas de seguridad?
• Puede usted de manera rápida proveernos de una
copia electrónica de su arquitectura de la red y los
medios de seguridad?
• Que tan viejos son sus equipos?
• Que tipo de información es crucial para su empresa?
• Piensa que fue comprometida?
• Maneja copias de seguridad de su sistema?
• Que sistemas operativos esta usando?
• Que sistema de particiones utiliza en sus sistemas?
• Que plataformas de hardware esta utilizando (Intel,
risc, spare, etc.)
• El equipo comprometido tiene unidades de Cd-rom u
otros drives? Cuales son?
• Cual es el tamaño de los disco duros del
sistema comprometido?
• Se tendrá al administrador del sistema disponible al
momento de llegar al sitio, con el compromiso de que
facilite el acceso a todo el sistemas sin restricciones?
Una vez en el sitio del incidente no se debe perder
el tiempo, inmediatamente parte del equipo debe
iniciar la recolección de evidencias mientras que la
otra parte debe realizar un análisis y varias
preguntas sobre el comportamiento del personal y
de la empresa, para poder determinar anomalías,
especialmente si el ataque fue generado desde el
interior de la empresa.
EJEMPLO DE PREGUNTAS:
• Es normal que el personal tenga acceso al sistemas las 24
horas del día o manejen un horario específico?
• Quién utilizó al último el sistema?
• En que horario trabaja normalmente esa persona?
• Cuál es el modelo de horarios de trabajo que utiliza el personal?
• Hay algún empleado que hayan despedido en el ultimo mes?
• Hay empleados nuevos que hayan contratado durante el
ultimo mes?
• Han actualizado recientemente el sistema?
• Hay alguna aplicación recientemente instalada en el sistema?.
• Tiene personal de vacaciones, o que tenga una ausencia
inexplicable, o esté de visita por negocios otras ciudades.
• Se puede obtener el listado de los empleados que en los
últimos 30 días han accedido al sistema?
 TIME LINE

Iniciando una Investigación Judicial

• El 90% de las investigaciones judiciales se realiza en
sistemas muertos es decir con equipos apagados, al
contrario que en una respuesta a incidente de seguridad
que se trabaja con sistemas vivos o sistemas en
caliente.

• Para una investigación Judicial la identificación del caso se

realiza con el fiscal, quien nos deberá poner al tanto de lo
sucedido dando lectura al expediente y será él quien
establece que evidencia buscar, para luego reflejarlo en el
informe.
 TIME LINE

•La definición de la línea de tiempo es fundamental

al momento de iniciar una investigación.

•Constituye el marco que permite a un investigador

indagar en base a un criterio de tiempo
determinando que ficheros pueden o no ser
importantes para el caso.
 Time Line

•La línea de tiempo se define en 2 momentos dentro

de una investigación:

1. La línea previa, que surge con la

entrevista inicial y muestra la pauta para
iniciar los análisis.
Hace falta Desaparece mas Inician el envió de
información información mensajes insultantes

6 Marzo 2010 16 Marzo 2010 21 Marzo 2010 / 10:30 am

 2. la línea de investigación, que se inicia con
la fase del análisis. Las conclusiones
previas permitirán establecer un inicio, pero
la línea de tiempo más exacta de la verá
durante la fase del análisis.
Ingreso de un Es eliminado el Se ingresa una usb
usuario júa archivo del sistema al equipo

6 Marzo 2010 6 Marzo 2010 6 Marzo 2010

9:45 am 10:02 am / 10:05 am
Entre los elementos que deben delimitar la línea de
tiempo tenemos los siguientes:
• Ficheros creados, modificados o eliminados
dentro de una ventana de tiempo cercana a las
fechas identificadas en la línea previa.
• Posibles ficheros modificados posteriormente
pero que pudieran haber sido objeto de la acción
en la ventana temporal fijada para la
investigación.
• En base a las investigaciones preliminares,
fijar posibles ventanas temporales posteriores
a los hechos identificados previamente.
 TIME LINE

• Determinar ficheros anteriores a la línea temporal de acción.

Aunque nunca debe despreciarse de forma inicial ningún tipo
de ficheros, deberán ser analizados con menor rigurosidad,
que aquellos enmarcados en los tiempos mas críticos.

• Detectar posibles ficheros discordantes con las fechas

existentes. Estas discordancias podrían proporcionar
datos significativos.
Entre estos ficheros deberán tenerse en cuenta:
• Ficheros existentes con fechas posteriores a la
investigación.
• Ficheros de documentos con fechas previas a la
. instalación de la máquina
 TIME LINE

• Si la respuesta ante una incidencia ha sido rápida, podrán

evaluarse ficheros logs alterados e identificar horarios
significativamente incoherentes para la organización, como
ficheros abiertos o modificados en horario nocturno cuando
no hay actividad normal.

• Determinar las horas de actividad de una maquina en

función del análisis de los ficheros de logs y la modificación
de los ficheros del sistema.
 Time Line

Aspecto importante: Al iniciar una investigación sobre

un equipo debemos capturar la hora y fecha del sistema
y comparar con la hora y fecha actual.

Técnica antiforense:
•Utilizando el comando timestomp
•Nos permite manipular las fechas de creación
modificación y ultimo acceso de los acceso de los
archivos
• Time Line
• T i m e Line
 Los Metadatos

•Los metadatos, son conjuntos de registro de

información que ayudan al sistema, a los programas
que los editan y a los propios usuarios de los
documentos a tener mas información sobre los
mismos a la hora de manejar grandes volúmenes de
ficheros.

•Los estándares para metadatos son el Exif y el

Xmp utilizado también para documentos pdf.
•Casi todos los formatos de fichero guardan algún tipo de
información que puede ser utilizada en análisis forense. En
ficheros gráficos que sean fotografías digitales puede
encontrarse, por ejemplo, información sobre la marca y el
modelo de la cámara con que fue tomada, la fecha y la hora
exacta a la que se tomo.

•No son solo los archives gráficos los que contienen

información. Es posible encontrar metadatos o
metainformacion en casi todos los tipos de ficheros
multimedia y documentos ofimáticos. Una grabación en mp3,
un video grabado con un teléfono móvil o un archive de texto
editado con Microsoft Office son algunos de los formatos de
ficheros que pueden contener metadatos que ayuden a
esclarecer una investigación.
La información EXIF
EXIF (Exchangeable image file format) es un formato de
almacenamiento de metadatos que puede encontrarse en
múltiples ficheros gráficos, es muy utilizado sobre todo en
formatos JPEG, TIFF, RIFF o WAV.

Por defecto, todas las cámaras del mercado guardan

información EXIF con cada una de las fotografías que se
generan. Para poder acceder a este tipo de información
existen muchas herramientas
En este caso se esta utilizando ExifReader para acceder a
ella.
Metadatos en documentos ofimáticos

En el ejemplo anterior se ha podido ver el impacto de los

metadatos en los documentos en los ficheros PDF pero
esto se va a repetir en casi todos los formatos de ficheros
ofimáticos, desde los mas comunes, ficheros de Microsoft
Office, pasando por los formatos ODF de los documentos
de OpenOffice, hasta algunos menos usados hoy en día
como Lotus o Wordperfect.
Extraer datos de ficheros ofimáticos puede ayudar a
detectar relaciones personales o manipulaciones de
información.
 Software FOCA

•Los
M etadatos
www.eiidi.com

LOGO