Análisis forense informático

Forense Digital es una disciplina que combina elementos legales, informáticos y de telecomunicaciones orientados a la identificación, recolección y análisis de evidencias digitales, preservando la cadena de custodia, garantizando así que sean admisibles ante un tribunal. Los artefactos forenses presentados como evidencias podrán proceder de archivos generados automáticamente por el sistema operativo como registro de su actividad, archivos generados por el usuario, archivos almacenados en soportes externos de almacenamiento, registros de bases de datos, archivos almacenados en cuentas en la nube, volcados de tráfico de red asociado a navegación maliciosa, mensajería y contenido multimedia de smartphones, registros de rutas de vehículos terrestres y drones, datos de wearables, etc.

Este libro dotará al lector de los conocimientos necesarios para:

• Identificar, recolectar, preservar y analizar evidencias digitales, redactando informes que recojan las conclusiones de la investigación.
• Identificar los diferentes soportes de almacenamiento, y comprender las diferencias existentes entre los diferentes sistemas de ficheros.
• Recopilar y analizar artefactos forenses procedentes de sistemas operativos Microsoft Windows.
• Recopilar y analizar artefactos forenses procedentes de dispositivos móviles e IoT .
• Recopilar y analizar artefactos forenses procedentes de tráfico de red.
• Recopilar y analizar artefactos forenses procedentes de bases de datos.
• Recopilar y analizar artefactos forenses procedentes de entornos virtualizados.
• Recopilar y analizar artefactos forenses procedentes de entornos en la nube.

Los contenidos de este libro están adaptados al Módulo 5024 “Análisis forense informático”, que se engloba dentro del “Curso de Especialización de Ciberseguridad en Entornos de las Tecnologías de la Información”.

ACERCA DELAUTOR
CAPÍTULO 1. INTRODUCCIÓN A FORENSE DIGITAL

• 1.1 CONCEPTOS BÁSICOS
• 1.1.1 Definición de forense digital
• 1.1.2 Investigaciones corporativas e investigaciones criminales
• 1.1.3 Diferencias entre E-Discovery y forense digital
• 1.1.4 Definición de evidencia digital
• 1.1.5 Principios internacionales de evidencia digital
• 1.1.6 Registros generados y registros almacenados por un ordenador
• 1.1.7 Cadena de custodia
• 1.1.8 Recopilación de evidencias digitales
• 1.1.9 El método científico
• 1.1.10 Mejor evidencia
• 1.1.11 Antiforense digital

1.2 GESTIÓN DE UN CASO FORENSE DIGITAL
 

• 1.2.1 Introducción
• 1.2.2 Recepción de la petición
• 1.2.3 Registro de un caso
• 1.2.4 Registro de la prueba documental
• 1.2.5 Fotografiar la prueba documental
• 1.2.6 Análisis de la prueba documental
• 1.2.7 Devolución de la prueba documental
• 1.2.8 Cierre del caso
• 1.3 PROCEDIMIENTO DE INVESTIGACIÓN
• 1.3.1 Importancia del procedimiento investigador
• 1.3.2 Pasos previos a la preparación de la investigación
• 1.3.3 Preparación de la investigación
• 1.3.4 Recopilación de evidencias digitales
• 1.3.5 Preservación de las evidencias
• 1.3.6 Análisis de las evidencias
• 1.3.7 Presentación de informes de la investigación
• 1.3.8 Presentación de informes de la investigación ante un tribunal
• 1.3.9 Cierre del caso

1.4 RAMAS DE LAS INVESTIGACIONES FORENSES DIGITALES

• 1.4.1 Introducción
• 1.4.2 Forense de ordenadores
• 1.4.3 Forense de dispositivos móviles
• 1.4.4 Forense de red
• 1.4.5 Análisis de malware

1.5 EL LABORATORIO FORENSE DIGITAL

• 1.5.1 Generalidades
• 1.5.2 Emplazamiento del laboratorio
• 1.5.3 Seguridad física del laboratorio
• 1.5.4 Tamaño y disposición del laboratorio
• 1.5.5 Normativa aplicable a un laboratorio forense digital
• 1.5.6 Departamentos dentro del laboratorio forense digital

1.6 EVIDENCIAS DIGITALES

• 1.6.1 Introducción
• 1.6.2 Objeto y campo de aplicación
• 1.6.3 Términos y definiciones
• 1.6.4 Preservación de la evidencia

1.7 ADQUISICIÓN DE EVIDENCIAS DIGITALES

• 1.7.1 Inteligencia digital y recolección de evidencias de un escenario
• 1.7.2 Retos de la recogida de evidencias digitales
• 1.7.3 Triaje de evidencias en un escenario
• 1.7.4 Proceso de adquisición de evidencias digitales
• 1.7.5 Dispositivos apagados
• 1.7.6 Dispositivos encendidos
• 1.7.7 Obtención de evidencias de activos empresariales
• 1.7.8 Sistemas virtualizados

1.7.9 Extracción de evidencias mediante manipulación hardware

CAPÍTULO 2. SOPORTES DE ALMACENAMIENTO Y SISTEMAS DE FICHEROS

2.1 INTRODUCCIÓN

2.2 DISCOS DUROS

• 2.2.1 Interfaz de conexión
• 2.2.2 Estructura física
• 2.2.3 Estructura lógica
• 2.2.4 Volúmenes de disco

2.3 ALMACENAMIENTO FLASH

• 2.3.1 Tipos de dispositivos
• 2.3.2 Peculiaridades de los dispositivos de almacenamiento SSD

2.4 ALMACENAMIENTO EN SOPORTE ÓPTICO

2.5 ALMACENAMIENTO EN RED

2.6 ALMACENAMIENTO RAID

• 2.6.1 Generalidades
• 2.6.2 RAID 0
• 2.6.3 RAID 1
• 2.6.4 RAID 1E
• 2.6.5 RAID 2
• 2.6.6 RAID 3
• 2.6.7 RAID 4
• 2.6.8 RAID 5
• 2.6.9 RAID 6
• 2.6.10 RAID 01
• 2.6.11 RAID 10
• 2.6.12 RAID 30
• 2.6.13 RAID 100
• 2.6.14 RAID 50
• 2.6.15 Comparativa entre diferentes niveles de RAID
• 2.6.16 Otras configuraciones posibles

2.7 ARQUITECTURAS DE ALMACENAMIENTO NON-RAID

2.8 OBTENCIÓN DE EVIDENCIAS DE UN NAS

2.9 SISTEMAS DE FICHEROS

• 2.9.1 Introducción
• 2.9.2 Sistemas de ficheros en Microsoft Windows
• 2.9.3 Sistemas de ficheros en macOS
• 2.9.4 Sistemas de ficheros en Linux

2.10 PROCESO DE INICIO DE UN ORDENADOR

• 2.10.1 Arranque de un sistema operativo Microsoft Windows
• 2.10.2 Arranque de un sistema operativo Linux
• 2.10.3 Arranque de un sistema operativo macOS

CAPÍTULO 3. VIRTUALIZACIÓN Y SANDBOXING

3.1 VIRTUALIZACIÓN

• 3.1.1 Generalidades
• 3.1.2 Tipos de VM
• 3.1.3 Tipos de hipervisor
• 3.1.4 Contenedores
• 3.1.5 FUSE
• 3.1.6 Discos y unidades virtuales

3.2 FORENSE DE VM

• 3.2.1 Forense de hipervisores Tipo 2
• 3.2.2 Forense de hipervisores Tipo 1
• 3.3 SANDBOXING

CAPÍTULO 4. INTRODUCCIÓN A FORENSE DE MICROSOFT WINDOWS

4.1 INTRODUCCIÓN

• 4.1.1 Programa, proceso e hilo de control
• 4.1.2 Volatilidad de los artefactos forenses
• 4.1.3 Empleo de la consola del sistema y de PowerShell como herramientas
• de recopilación de artefactos forenses
• 4.1.4 Empleo de herramientas de terceros para la recopilación y análisis de
• artefactos forenses

4.2 ADQUISICIÓN DE SOPORTES DE ALMACENAMIENTO MASIVO

• 4.2.1 Obtención de imágenes de volúmenes de disco con AccessData FTK
• Imager
• 4.2.2 Obtención de imágenes de volúmenes de disco desde una distribución
• Live

4.3 ADQUISICIÓN DE EVIDENCIAS VOLÁTILES EN ENTORNOS WINDOWS.

• 199
• 4.3.1 Variables de entorno del sistema
• 4.3.2 Fecha y hora del sistema
• 4.3.3 Información relativa al sistema
• 4.3.4 Histórico de comandos de la consola del sistema
• 4.3.5 Usuarios registrados en el sistema local
• 4.3.6 Información del dominio
• 4.3.7 Archivos abiertos
• 4.3.8 Programas, procesos y servicios
• 4.3.9 Conexiones de red
• 4.3.10 Tabla de enrutamiento interna

4.4 ANÁLISIS POST MORTEM DE EVIDENCIAS DIGITALES

• 4.4.1 Análisis “en muerto” y “en vivo
• 4.4.2 Análisis de evidencias con OpenText EnCase Forensic
• 4.4.3 Análisis de evidencias con AccessData FTK
• 4.4.4 Nuix Workstation
• 4.4.5 Otras suites de análisis forense digital

CAPÍTULO 5. FORENSE DE LA MEMORIA RAM EN SISTEMAS WINDOWS

5.1 INTRODUCCIÓN

• 5.1.1 Generalidades
• 5.1.2 Forense de memoria
• 5.1.3 Artefactos forenses presentes en la memoria RAM
• 5.1.4 Memoria física y memoria virtual
• 5.1.5 Archivos de volcado de memoria RAM
• 5.1.6 Archivos de hibernación

5.2 ADQUISICIÓN DE MEMORIA RAM

• 5.2.1 Introducción
• 5.2.2 Volcado del contenido completo de la RAM
• 5.2.3 Volcado de memoria utilizando pmem
• 5.2.4 Archivos de paginación e hibernación
• 5.2.5 Volcado de la memoria RAM tras un fallo del sistema operativo
• 5.2.6 Adquisición de memoria de máquinas virtuales
• 5.2.7 Adquisición de memoria de contenedores
• 5.2.8 Recolección de memoria de sistemas remotos

CAPÍTULO 6. ANÁLISIS DE LÍNEAS TEMPORALES

6.1 INTRODUCCIÓN

• 6.1.1 Importancia de la elaboración de una línea temporal
• 6.1.2 Dificultades en la generación de líneas temporales
• 6.1.3 Punto de partida de una investigación
• 6.1.4 Proceso de análisis de una línea temporal
• 6.1.5 Predicción en el análisis de líneas temporales
• 6.1.6 Herramientas para la confección de líneas temporales

6.2 ANÁLISIS DE ARTEFACTOS FORENSES EN WINDOWS

• 6.2.1 Evidencias de descarga de archivos
• 6.2.2 Evidencias de ejecución de programas
• 6.2.3 Evidencias de archivo eliminado o conocimiento de archivo
• 6.2.4 Evidencias de actividad de red y de ubicación física
• 6.2.5 Evidencia de apertura de archivos/carpetas
• 6.2.6 Evidencias de utilización de cuentas de usuario
• 6.2.7 Evidencias de conexión de dispositivos USB
• 6.2.8 Evidencias de utilización del navegador

6.3 CREACIÓN Y ANÁLISIS DE LÍNEAS TEMPORALES

• 6.3.1 Triaje de la línea temporal del sistema de ficheros
• 6.3.2 Creación y análisis de una línea temporal del sistema de ficheros
• 6.3.3 Creación y análisis de una línea temporal a partir de un volcado de
• memoria RAM
• 6.3.4 Creación de una Super Timeline
• 6.3.5 Creación de una Super Timeline dedicada
• 6.3.6 Triaje rápido de artefactos forenses
• 6.3.7 Filtrado de una Super Timeline
• 6.3.8 Análisis de una Super Timeline

CAPÍTULO 7. ARCHIVOS DE LOG

7.1 INTRODUCCIÓN

• 7.1.1 Archivo de log de eventos
• 7.1.2 Agregación de logs
• 7.1.3 Monitorización de archivos de log
• 7.1.4 Importancia de los archivos de log de eventos de seguridad

7.2 GESTIÓN DE ARCHIVOS DE LOG

• 7.2.1 Gestión de archivos de log de seguridad
• 7.2.2 Sistema centralizado de archivos de log

7.3 ESTIMACIÓN DE GENERACIÓN DE ARCHIVOS DE LOG

• 7.3.1 Eventos por segundo
• 7.3.2 Generación normal y picos de EPS
• 7.3.3 Volumen de los archivos de log

7.4 TIPOS DE ARCHIVOS DE LOG

7.5 ARCHIVOS DE LOG GENERADOS EN ENDPOINTS EN CIBERSEGURIDAD

• 7.5.1 Archivos de log de Eventos de Windows
• 7.5.2 Archivos de log de Linux
• 7.5.3 Archivos de eventos de dispositivos iOS
• 7.5.4 Archivos de eventos de dispositivos Android
• 7.5.5 Archivos de log de interés para incorporar al SIEM

7.6 GESTIÓN DE ARCHIVOS DE LOG DE EDR

7.7 GESTIÓN DE ARCHIVOS DE LOG DE FIREWALLS

7.8 RECOLECCIÓN DE ARCHIVOS DE LOG CON SYSLOG

7.9 TÉCNICAS DE ANÁLISIS DE ARCHIVOS DE LOG

7.10 PROCESADO DE ARCHIVOS DE LOG

7.10.1 Flujo de procesado de los archivos de log

7.11 ANÁLISIS DE ARCHIVOS DE LOG EMPLEANDO UN SIEM

7.12 SINCRONIZACIÓN HORARIA ENTRE DISPOSITIVOS

7.13 LOS ARCHIVOS DE LOG DESDE UN PUNTO DE VISTA LEGAL

• 7.13.1 Procesado de archivos de log conforme a la legislación estadounidense7.13.2 Archivos de log conforme a la legislación española

CAPÍTULO 8. FORENSE DE RED

8.1 DEFINICIÓN DE FORENSE DE RED

8.2 HERRAMIENTAS DE MONITORIZACIÓN DE RED

• 8.2.1 Capturador de paquetes
• 8.2.2 Analizador de paquetes
• 8.2.3 Monitorización del flujo de paquetes
• 8.2.4 Monitor de interfaz
• 8.2.5 Monitor de rendimiento
• 8.2.6 Registros de eventos del sistema y su gestión

8.3 ANÁLISIS DE TRÁFICO DE RED

• 8.3.1 Cabecera del paquete
• 8.3.2 Payload
• 8.3.3 Trailer

8.4 INVESTIGANDO EL TRÁFICO DE RED

• 8.4.1 Ventajas de investigar el tráfico de red
• 8.4.2 Acceso ilícito a la red objetivo
• 8.4.3 Fuentes de evidencias para forense de red
• 8.4.4 Origen del ataque
• 8.4.5 Atribución a partir de evidencias forenses de red
• 8.4.6 Forense en redes inalámbricas

8.5 HERRAMIENTAS FORENSES DE RED

• 8.5.1 Herramientas más habituales en forense de red
• 8.5.2 Recopilación y análisis de artefactos forenses empleando la consola del sistema

8.6 FORENSE DE PÁGINAS WEB Y URL

• 8.6.1 Copia forense de sitios web
• 8.6.2 Servicios recortadores de URL
• 8.6.3 Resolución estática de servidores C2
• 8.6.4 Domain Generation Algorithm
• 8.6.5 Fast-Flux Service Networks

8.7 CORREO ELECTRÓNICO

• 8.7.1 Protocolos y servicios de correo electrónico
• 8.7.2 Cabecera de un correo electrónico
• 8.7.3 Cuerpo de un correo electrónico
• 8.7.4 Importancia de la gestión de registros electrónicos
• 8.7.5 Delitos cometidos empleando el correo electrónico
• 8.7.6 Delitos cometidos en salas de chat
• 8.7.7 Procedimiento para investigar delitos cometidos utilizando el correo electrónico y las salas de chat
• 8.7.8 Análisis de correos electrónicos

CAPÍTULO 9. FORENSE DE BASE DE DATOS

9.1 INTRODUCCIÓN

9.2 BREVES NOCIONES DE BASES DE DATOS Y SQL

9.3 IMPORTANCIA DEL FORENSE DE BASES DE DATOS

CAPÍTULO 10. FORENSE EN LA NUBE

10.1 INTRODUCCIÓN A LA COMPUTACIÓN EN LA NUBE

10.2 TIPOS DE SERVICIOS DE COMPUTACIÓN EN LA NUBE

• 10.2.1 IaaS
• 10.2.2 PaaS
• 10.2.3 SaaS
• 10.2.4 Separación de responsabilidades en la nube

10.3 MODELOS DE DESPLIEGUE EN LA NUBE

• 10.3.1 Nube privada
• 10.3.2 Nube híbrida
• 10.3.3 Nube comunitaria
• 10.3.4 Nube pública

10.4 INTRODUCCIÓN AL FORENSE EN LA NUBE

• 10.4.1 Definición
• 10.4.2 Ámbito de aplicación
• 10.4.3 Delitos en la nube
• 10.4.4 Agentes implicados en una investigación de forense en la nube
• 10.4.5 Procedimiento forense en la nube

10.5 RETOS QUE SE PRESENTAN EN LAS INVESTIGACIONES DE FORENSE EN LA NUBE

• 10.5.1 Arquitectura e identificación
• 10.5.2 Recolección de datos
• 10.5.3 Archivos de log
• 10.5.4 Legales
• 10.5.5 Análisis
• 10.5.6 Gestión de roles
• 10.5.7 Estándares
• 10.5.8 Adiestramiento
• 10.5.9 Empleo de técnicas antiforenses
• 10.5.10 Respuesta a incidentes

10.6 INVESTIGACIÓN FORENSE DE SERVICIOS DE ALMACENAMIENTO EN LA NUBE

• 10.6.1 Introducción
• 10.6.2 Dropbox
• 10.6.3 Google Drive

CAPÍTULO 11. FORENSE DE DISPOSITIVOS MÓVILES E IOT

11.1 INTRODUCCIÓN

• 11.1.1 Forense de dispositivos móviles
• 11.1.2 Forense de teléfonos móviles
• 11.1.3 Cibercrimen y ciberamenazas en dispositivos móviles
• 11.1.4 Actividades delictivas que pueden realizarse desde un dispositivo móvil11.2 TIPOS DE DISPOSITIVOS MÓVILES
• 11.2.1 Generalidades
• 11.2.2 Teléfonos móviles estándar
• 11.2.3 PDA
• 11.2.4 Reproductores multimedia
• 11.2.5 Smartphones
• 11.2.6 Tabletas y phablets
• 11.3 IOT
• 11.3.1 Introducción
• 11.3.2 Forense de dispositivos IoT

11.4 REDES DE ACCESO CELULAR

• 11.4.1 Elementos de una red celular
• 11.4.2 Redes celulares de datos
• 11.4.3 Telefonía 2G
• 11.4.4 Telefonía 3G
• 11.4.5 Telefonía 4G
• 11.4.6 Telefonía 5G

11.5 EL DISPOSITIVO MÓVIL

• 11.5.1 Hardware, sistema operativo y aplicaciones de un dispositivo móvil
• 11.5.2 ME
• 11.5.3 UICC
• 11.5.4 Medidas de seguridad en la UICC
• 11.5.5 Codificación de la UICC
• 11.5.6 Autenticación Ki
• 11.5.7 Estructura de ficheros de la UICC

11.6 INTERVENCIÓN DE UN DISPOSITIVO MÓVIL

• 11.6.1 Aislamiento de redes
• 11.6.2 Anulación de códigos de protección
• 11.6.3 Cables de alimentación y datos
• 11.6.4 Dispositivos desconectados

11.7 ARTEFACTOS FORENSES DE INTERÉS EN UN TELÉFONO MÓVIL

• 11.7.1 Información proporcionada por la UICC
• 11.7.2 Información almacenada en el smartphone
• 11.7.3 Información almacenada por el operador de telefonía