INTRODUCCIÓN .............................................................................................................................. 4
OBJETIVOS ...................................................................................................................................... 5
OBJETIVO GENERAL: ................................................................................................................ 5
OBJETIVOS ESPECIFICOS: ..................................................................................................... 5
FASES PARA LA REALIZACIÓN DEL ANÁLISIS FORENSE .................................................. 6
EVALUACIÓN: .............................................................................................................................. 6
ADQUISICIÓN: ............................................................................................................................. 6
ANÁLISIS:...................................................................................................................................... 6
INFORMES:................................................................................................................................... 6
ANTECEDENTES ............................................................................................................................ 7
FASE 1 EVALUACIÓN: ................................................................................................................... 7
Asignación de Roles a los miembros del equipo forense: ..................................................... 8
Evaluación Preliminar: ................................................................................................................. 8
FASE 2 ADQUISICIÓN: .................................................................................................................. 9
Recopilación de Datos: ................................................................................................................ 9
OS FORENSICS: ......................................................................................................................... 9
Características .......................................................................................................................... 9
Inicio de la Recopilación de Datos........................................................................................... 11
FASE 3 ANÁLISIS .......................................................................................................................... 12
FASE 4 INFORMES ....................................................................................................................... 17
Informe Forense ......................................................................................................................... 17
Propósito: ................................................................................................................................. 17
Pruebas: ................................................................................................................................... 17
Conclusión: .............................................................................................................................. 17
Legislación: .............................................................................................................................. 18
Reporte Realizado desde Herramienta Forense: .............................................................. 18
Autores: .................................................................................................................................... 19
Tabla de Ilustraciones
OBJETIVOS ESPECIFICOS:
Dar a conocer los pasos que se emplean para realizar un análisis forense.
EVALUACIÓN: En esta etapa se busca valorar todos los recursos con los que
disponemos o a los cuales podemos acceder, de igual forma se establecen los
objetivos de la investigación o análisis, en conclusión en esta fase se determinan
las herramientas con las que se cuenta y se conoce la esencia del análisis que se
va a realizar.
El día 25 de mayo del año 2019 la empresa AVL de la ciudad de Medellín, dedicada
a la exportación de productos agrícolas, establece una denuncia por sospecha de
robo de información confidencial y venta de la misma al sector competitivo.
Fabricante: HP
Modelo: RTI-8723DER
Número de serie: 54322FG5353DS432
Memoria: 4 GB
Disco Duro: 500 GB
Procesador: AMD E2-9000e RADEON R2, 4 COMPUTE CORES 2C+2G 1.50GHz
Sistema Operativo: Windows 8.1
Nombre del equipo: Contratación y Presupuesto
IP: 192.158.62.13
Antivirus: Windows Defender
Cortafuegos: No
FASE 1 EVALUACIÓN:
Una vez hecho el hallazgo del equipo sospechoso se procede a informar al gerente
de la empresa con el fin de solicitar su autorización escrita para dar inicio con el
análisis forense y del mismo modo solicitar la firma de los acuerdos de
confidencialidad para que el análisis tenga validez legal.
Nombre Rol
Evaluación Preliminar:
Recopilación de Datos:
Para realizar la recopilación de los datos del equipo afectado se procede a usar la
herramienta Os Forensics con la que se busca generar una imagen del disco
perteneciente al equipo afectado con el fin de conservar intacta la evidencia.
Características
Permite buscar archivos varias veces más rápido que la búsqueda de Windows.
Una vez creada la imagen del disco se termina la fase de adquisición y se procede
con el análisis de la información.
FASE 3 ANÁLISIS
Antes de iniciar el análisis se pudo evidenciar que todos los equipos tenían una
configuración IMAP/POP para correos electrónicos lo que genera que todos los
emails que se envíen desde los equipos se guarden automáticamente en el pc.
Sabiendo esto se procedió a iniciar con el análisis de la imagen de disco creada en
la fase anterior. Para esto también se utilizó la herramienta OsForensics y lo primero
que se hizo fue crear el caso.
Una vez creado el caso se procedió a analizar la actividad reciente para poder
evidenciar las actividades que se habían realizado en el equipo últimamente y en
horarios no autorizados.
Imagen 5 Módulo Actividad Reciente
Informe Forense
Propósito:
Pruebas:
Puertos USB: Con el análisis realizado a los puertos USB se pudo ver que no se
había ingresado ningún dispositivo externo en horario no autorizado por tanto no se
produjo copia magnética de la información desde el equipo afectado.
Archivos Eliminados: se logró comprobar que los archivos hurtados una vez
enviados por correo fueron eliminados, al restaurarlos se pudo conocer toda la
información que estos contenían y que claramente era confidencial y privada.
Conclusión:
Los autores del análisis fueron los mismos descritos en la fase de evaluación, a
continuación se relacionan con las actividades realizadas durante la investigación: