INFORME FINAL

LABORATORIO DE ANÁLISIS FORENSE

LUZ MARY BUITRAGO GOMEZ - COD. 084950442017

LINA ROCÍO MOSQUERA GARCIA - COD. 084950092017

UNIVERSIDAD DEL TOLIMA

INSTITUTO DE EDUCACIÓN A DISTANCIA IDEAD
PROGRAMA DE INGENIERÍA DE SISTEMAS
INFORMÁTICA FORENSE
IBAGUÉ, TOLIMA
AÑO 2019
Tabla de contenido

INTRODUCCIÓN .............................................................................................................................. 4
OBJETIVOS ...................................................................................................................................... 5
OBJETIVO GENERAL: ................................................................................................................ 5
OBJETIVOS ESPECIFICOS: ..................................................................................................... 5
FASES PARA LA REALIZACIÓN DEL ANÁLISIS FORENSE .................................................. 6
EVALUACIÓN: .............................................................................................................................. 6
ADQUISICIÓN: ............................................................................................................................. 6
ANÁLISIS:...................................................................................................................................... 6
INFORMES:................................................................................................................................... 6
ANTECEDENTES ............................................................................................................................ 7
FASE 1 EVALUACIÓN: ................................................................................................................... 7
Asignación de Roles a los miembros del equipo forense: ..................................................... 8
Evaluación Preliminar: ................................................................................................................. 8
FASE 2 ADQUISICIÓN: .................................................................................................................. 9
Recopilación de Datos: ................................................................................................................ 9
OS FORENSICS: ......................................................................................................................... 9
Características .......................................................................................................................... 9
Inicio de la Recopilación de Datos........................................................................................... 11
FASE 3 ANÁLISIS .......................................................................................................................... 12
FASE 4 INFORMES ....................................................................................................................... 17
Informe Forense ......................................................................................................................... 17
Propósito: ................................................................................................................................. 17
Pruebas: ................................................................................................................................... 17
Conclusión: .............................................................................................................................. 17
Legislación: .............................................................................................................................. 18
Reporte Realizado desde Herramienta Forense: .............................................................. 18
Autores: .................................................................................................................................... 19
Tabla de Ilustraciones

Imagen 1 Interfaz Inicial OsForensics ............................................................................ 11

Imagen 2 Creación de la Imagen del Disco................................................................... 11
Imagen 3 Creación del Nuevo Caso ............................................................................... 12
Imagen 4 Caso Creado ..................................................................................................... 12
Imagen 5 Módulo Actividad Reciente ............................................................................. 13
Imagen 6 Búsqueda de Actividad Reciente Terminada .............................................. 13
Imagen 7 Hallazgo Correo Sospechoso ........................................................................ 13
Imagen 8 Hallazgo Ingreso Indebido al Sistema .......................................................... 14
Imagen 9 Email Sospechoso ........................................................................................... 14
Imagen 10 Información Adjunta en el email .................................................................. 14
Imagen 11 Ausencia de Archivos PDF........................................................................... 15
Imagen 12 Búsqueda de Informes .................................................................................. 15
Imagen 13 Información Contenida en los Informes .................................................... 15
Imagen 14 Ubicación de los informes Encontrados ..................................................... 16
Imagen 15 Verificación de Entradas a Puertos USB ................................................... 16
Imagen 16 Reporte del Caso ........................................................................................... 18
 INTRODUCCIÓN

En el entorno que habitamos actualmente es muy común escuchar noticias

relacionadas con toda clase de delitos. Nos centraremos en abarcar una modalidad
reciente pero de mucha importancia ya que ha cobrado millones de víctimas al
emplear la ayuda de la tecnología. Estamos hablando del delito informático.

La informática forense ha surgido como herramienta para contrarrestar estos delitos,

implementada para recolectar evidencias probatorias que se hallen en la escena del
crimen y así poder encontrar un culpable para que este sea judicializado mediante
las normas y leyes que a lo largo de esta modalidad también se han instaurado.
A continuación se procederá a realizar un ejemplo de análisis forense cuyo fin es
mostrar las herramientas y funciones que se emplean para la adquisición de
evidencia probatoria a la hora de investigar un delito informático.
 OBJETIVOS

OBJETIVO GENERAL: Realizar una práctica de laboratorio para mostrar un

ejemplo de análisis forense orientado a un caso de la vida real.

OBJETIVOS ESPECIFICOS:

 Dar a conocer los pasos que se emplean para realizar un análisis forense.

 Mostrar el funcionamiento de herramientas forenses para la búsqueda de

evidencia incrimatoria o acusatoria.

 Explicar el uso y función de la informática forense por medio de un ejemplo

práctico.
 FASES PARA LA REALIZACIÓN DEL ANÁLISIS FORENSE

EVALUACIÓN: En esta etapa se busca valorar todos los recursos con los que
disponemos o a los cuales podemos acceder, de igual forma se establecen los
objetivos de la investigación o análisis, en conclusión en esta fase se determinan
las herramientas con las que se cuenta y se conoce la esencia del análisis que se
va a realizar.

ADQUISICIÓN: En esta etapa se inicia como tal la investigación para lo cual se

deben establecer las herramientas que se van a emplear durante el desarrollo de la
misma, es decir cuáles serán los equipos o el software que nos permita recoger
evidencia mediante la recopilación y almacenamiento de información.

ANÁLISIS: En esta fase se procede a analizar como tal la información recopilada o

adquirida en el punto anterior para obtener el hallazgo de evidencia que sirva de
prueba fiel de que se ha cometido un delito.

INFORMES: Esta es la etapa o fase final, aquí se recopila toda la información

adquirida en los pasos anteriores y se plasma en un documento el cual respaldará
las pruebas en un proceso legal.
 ANTECEDENTES

El día 25 de mayo del año 2019 la empresa AVL de la ciudad de Medellín, dedicada
a la exportación de productos agrícolas, establece una denuncia por sospecha de
robo de información confidencial y venta de la misma al sector competitivo.

Una vez realizada la denuncia, la fiscalía encargada designa un grupo de

investigadores forenses especializados en el área informática para que realicen un
análisis con el fin de encontrar evidencia que constate lo denunciado por la
empresa.

El Equipo Pericial se dirige inmediatamente a las instalaciones de la empresa con

el fin de encontrar información relevante que permita constatar la denuncia y dar
con algún sospechoso, proceden a recolectar información de los equipos de la
empresa para posteriormente analizarla. Una vez hecho esto se encontró actividad
sospechosa en el equipo de presupuesto y contratación de la empresa cuyas
características son las siguientes:

Fabricante: HP
Modelo: RTI-8723DER
Número de serie: 54322FG5353DS432
Memoria: 4 GB
Disco Duro: 500 GB
Procesador: AMD E2-9000e RADEON R2, 4 COMPUTE CORES 2C+2G 1.50GHz
Sistema Operativo: Windows 8.1
Nombre del equipo: Contratación y Presupuesto
IP: 192.158.62.13
Antivirus: Windows Defender
Cortafuegos: No

FASE 1 EVALUACIÓN:

Una vez hecho el hallazgo del equipo sospechoso se procede a informar al gerente
de la empresa con el fin de solicitar su autorización escrita para dar inicio con el
análisis forense y del mismo modo solicitar la firma de los acuerdos de
confidencialidad para que el análisis tenga validez legal.

Después de tener todos los documentos legales consolidados y firmados se procede

a revisar la legislación vigente para el análisis forense y manejo de evidencias en lo
que se constató que se encuentra dichas actuaciones se encuentran resguardadas
bajo la ley 1273 del 5 de enero de 2009.

Asignación de Roles a los miembros del equipo forense:

Para este análisis se designaron 2 peritos forense cuyo rol es el de investigadores

los cuales son:

Nombre Rol

Luz Mary Buitrago Gómez Investigadora

Lina Rocio Mosquera García Investigadora

Evaluación Preliminar:

El equipo en el cual se encontró actividad sospechosa perteneciente al

departamento de contratación y presupuesto se encuentra en buen estado, pero se
pudo constatar que se ha accedido a él en horarios no autorizados para laborar,
además de esto el personal del departamento manifiesta no haber hecho uso de
este y que una vez cumplidos sus horarios laborales se marchan y la oficina queda
completamente cerrada además que no han habido retrasos que les ocasione
trabajar horas extras lo que no amerita que el equipo se use en tiempos no
autorizados.

Se parte de allí para el inició de la investigación estableciendo como sospechosos

a los miembros del departamento de contratación y presupuesto, y se entabla una
situación crítica ya que la información allí administrada es sumamente importante y
confidencial. Se procede a realizar entrevistas a todo el personal de la empresa para
poder seleccionar algún otro sospechoso.
 FASE 2 ADQUISICIÓN:

Recopilación de Datos:

Para realizar la recopilación de los datos del equipo afectado se procede a usar la
herramienta Os Forensics con la que se busca generar una imagen del disco
perteneciente al equipo afectado con el fin de conservar intacta la evidencia.

OS FORENSICS: Es una aplicación que permite conducir un escaneo a fondo del

ordenador en busca de cualquier pieza de evidencia que pueda ofrecer una pista,
verificando todo, desde los archivos de email, archivos borrados, incluso el historial
del navegador. Además, te permite organizar la evidencia creando casos
separados, lo que permitirá mantener todos los datos separados.

Características

 Permite buscar archivos varias veces más rápido que la búsqueda de Windows.

 Permite buscar dentro de los documentos con gran rapidez.

 Puede abrir y revisar los formatos más comunes de email.
  Puede restaurar ficheros borrados, incluso eliminados de la papelera de
reciclaje.
 Descubre las últimas actividades realizadas por un usuario, como, los últimos
documentos abiertos, la historia de navegación en la web, dispositivos USB
que hayan sido conectados, elementos compartidos a través de la red.
 Indica toda la información relacionada con el hardware del ordenador, tipo de
CPU, cantidad de memoria, discos instalados, etc.
 Revisa la información almacenada en la memoria e intenta descubrir
contraseñas y cualquier otra información que de otra manera es inaccesible.
 Recupera los nombres de usuario y contraseñas de los sitios web
recientemente visitados.
 Descubre áreas ocultas en el disco duro tratando de mostrar su contenido.

 Por otro lado, identificará archivos y actividades sospechosas:

 Usando avanzados algoritmos HASH puede crear identificadores digitales

que podrán ser usados para identificar un fichero o saber si ha sido
manipulado.
 Encuentra archivos cuyo contenido no es el indicado para su extensión.
 Permite crear firmas de los discos para poder comparar al paso del tiempo la
información que ha sido modificada en el mismo.
 Incorpora un visor de potente visor de documentos para visionar los ficheros
detectados.
 Extrae cadenas de texto de código binario.
 Puede abrir la mayoría de los formatos de email actuales.
 Revisa el registro de Windows a través de su propia herramienta.
 Puede revisar los datos del disco duro sector a sector en busca de datos
ocultos.

 En cuanto a la gestión de la información encontrada, puede:

 Crear casos separados.

 Generar reportes.
 Gestiona los dispositivos de almacenamiento.
 Puede crear y restaurar imágenes de discos.
 Restaura arreglos de disco.
 Puede ser ejecutado desde un pendrive.
 Puede crear imágenes de sistemas en funcionamiento.
Inicio de la Recopilación de Datos

Lo primero que se hace es abrir el software Osforensics para proceder a crear la

imagen del disco la cual se almacena en un disco externo de propiedad y uso
exclusivo de los investigadores.

Imagen 1 Interfaz Inicial OsForensics

Imagen 2 Creación de la Imagen del Disco

Una vez creada la imagen del disco se termina la fase de adquisición y se procede
con el análisis de la información.
 FASE 3 ANÁLISIS

Antes de iniciar el análisis se pudo evidenciar que todos los equipos tenían una
configuración IMAP/POP para correos electrónicos lo que genera que todos los
emails que se envíen desde los equipos se guarden automáticamente en el pc.
Sabiendo esto se procedió a iniciar con el análisis de la imagen de disco creada en
la fase anterior. Para esto también se utilizó la herramienta OsForensics y lo primero
que se hizo fue crear el caso.

Imagen 3 Creación del Nuevo Caso

Imagen 4 Caso Creado

Una vez creado el caso se procedió a analizar la actividad reciente para poder
evidenciar las actividades que se habían realizado en el equipo últimamente y en
horarios no autorizados.
 Imagen 5 Módulo Actividad Reciente

Imagen 6 Búsqueda de Actividad Reciente Terminada

Se revisó cada apartado y en archivos de correo se encontró un email sospechoso

al igual que en el historial de búsqueda web en el que se encontró un acceso al
sistema local indebido. Por lo cual se procedió a investigar más a fondo.

Imagen 7 Hallazgo Correo Sospechoso

 Imagen 8 Hallazgo Ingreso Indebido al Sistema

En el módulo actividad reciente historial de navegación web se evidenció un acceso

al sistema para el descargue de informes en un horario no laboral lo que resulta muy
sospechoso, por lo cual se procede a investigar el email enviado y se logra constatar
que por medio de este correo se enviaron informes confidenciales de la empresa y
como fue un correo personal también se evidencia la persona que lo realizó.

Imagen 9 Email Sospechoso

Imagen 10 Información Adjunta en el email

Se pudo observar que fueron enviados 4 archivos en pdf con informes de la empresa
desde el correo electrónico de una de sus empleadas no perteneciente al
departamento de contratación y presupuesto, además también se observó que los
informes descargados fueron borrados posteriormente ya que no aparecieron en la
actividad reciente.

Imagen 11 Ausencia de Archivos PDF

Visto esto se procede a investigar la ubicación de estos informes y a revisar los

puertos USB para constatar que la información no haya sido copiada en un medio
extraíble.

Imagen 12 Búsqueda de Informes

Imagen 13 Información Contenida en los Informes

 Imagen 14 Ubicación de los informes Encontrados

Imagen 15 Verificación de Entradas a Puertos USB

Con esta recopilación de información se finaliza la etapa de análisis y se procede a

realizar la fase de informes.
 FASE 4 INFORMES

Informe Forense

Propósito:

El presente informe tiene como objetivo dar a conocer la evidencia encontrada en

el análisis forense realizado a la empresa AVL con el fin de generar pruebas que
sirvan de apoyo a la denuncia realizada por sospecha de robo y venta de
información confidencial.

Pruebas:

Historial Web: Se evidenció el ingreso al sistema de información para el descargue

de varios informes en horario no laboral, con lo anterior se constató que la persona
tenía acceso al sistema y dicho usuario que poseía tenía los privilegios necesarios
para acceder a esta información.

E-mail: Se encontró un correo electrónico que contenía información confidencial y

valiosa para la empresa (4 archivos adjuntos de informes de presupuesto,
contratación y clientes potenciales de la empresa) el cual fue enviado por una
persona no autorizada ni miembro del departamento y en horas no laborales, dicho
correo fue enviado a un receptor que no pertenece a la empresa y contenía el
siguiente mensaje “Hola Luz te envío la información que habíamos acordado por
favor apenas la descargues elimina este correo acuérdate que es algo muy
confidencial – Estoy atenta para recibir lo que acordamos que estés bien”.

Puertos USB: Con el análisis realizado a los puertos USB se pudo ver que no se
había ingresado ningún dispositivo externo en horario no autorizado por tanto no se
produjo copia magnética de la información desde el equipo afectado.

Archivos Eliminados: se logró comprobar que los archivos hurtados una vez
enviados por correo fueron eliminados, al restaurarlos se pudo conocer toda la
información que estos contenían y que claramente era confidencial y privada.

Conclusión:

En conclusión se pudo extraer evidencia necesaria para comprobar que en realidad

hubo acto delictivo denominado Hurto por Medios Informáticos y Semejantes, y
Transferencia No Consentida de Activos, lo anterior por que el actor del crimen no
tenía facultades ni autorización para realizar ninguna de las acciones descritas.
Legislación:

Ley 1273 de 2009

Artículo 269I: HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES: El que,

superando medidas de seguridad informáticas, realice la conducta señalada en el
artículo 239[3] manipulando un sistema informático, una red de sistema electrónico,
telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de
autenticación y de autorización establecidos, incurrirá en las penas señaladas en el
artículo 240 del Código Pena, es decir, penas de prisión de tres (3) a ocho (8) años.

Artículo 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS: El que, con

ánimo de lucro y valiéndose de alguna manipulación informática o artificio
semejante, consiga la transferencia no consentida de cualquier activo en perjuicio
de un tercero, siempre que la conducta no constituya delito sancionado con pena
más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120)
meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes.

Reporte Realizado desde Herramienta Forense:

Para realizar el reporte se utilizó la misma herramienta OsForensics y una vez

terminado el análisis se generó el reporte del caso:

Imagen 16 Reporte del Caso

Autores:

Los autores del análisis fueron los mismos descritos en la fase de evaluación, a
continuación se relacionan con las actividades realizadas durante la investigación:

Nombre Rol Funciones

 Generar la imagen del disco para
Luz Mary Buitrago el análisis.
Investigadora
Gómez  Documentación de las fases.
 Generación de Reporte Final
 Análisis de Imagen con evidencia
Lina Rocio Mosquera
Investigadora  Extracción de pruebas relevantes
García
 Generación de documentación