INFPRMATICA FORENSE

CREACION DE UN CSIRT

10 DE SEPTIEMBRE DE 2019
ANDI S.A.S
CALLE 159 #96-69
CONTENIDO

1. Memorias de un perito informático forense

2. Qué es la informática forense
3. El caso de Ransomware
4. El caso perdido
5. El empleado traidor

Memorias de un perito informático forense

Desde el año 2005 la Escuela Superior de Ingeniería de Sistemas de la Información ( ETSISI

) organiza de forma anual un ciclo de conferencias sobre temas de actualidad en la
 seguridad informática. La persona responsable de la iniciativa es el Dr. Jorge Ramió Aguirre,
coordinador de la asignatura Temas Avanzados en Seguridad y Sociedad de la Información
(TASSI ); que además es el creador de Criptored, la red temática que se ha consolidado
como lugar de encuentro de profesionales académicos e investigadores en seguridad de la
información en Iberoamérica.

Aunque las conferencias están dirigidas en primer lugar a los alumnos de las ingenierías de
Informática y Telecomunicaciones, la asistencia es libre; y merece la pena asistir ya que se
tratan temas realmente actuales, y los perfiles de los ponentes son profesionales
reconocidos a nivel nacional e internacional. Este año, entre otros exponen Lorenzo
Martinez de Securízame, Antonio Ropero de Hispasec, o Pedro Sánchez de Conexión
Inversa; pero también han pasado en años anteriores referentes de la seguridad informática
como Jose María Alonso, Román Ramírez, David Barroso, o Alejandro Ramos.

Ayer tuve el gusto de asistir a la segunda conferencia del ciclo de 2015 titulada “Memorias
de un perito informático forense”, cuyo ponente fue Lorenzo Martínez de Securizame.

No me costó encontrar el lugar de la conferencia ya que yo estudié en esta escuela. Y

aunque el campus se ha ampliado desde que yo terminé los estudios, la Sala de Grados
donde se celebran las conferencias está en el edificio principal, cuyos pasillos tantas veces
recorrí durante mi época de estudiante universitaria.

La exposición de Lorenzo se ha centrado en la presentación de tres casos reales de análisis

forense de los que por supuesto se ha ocultado la identidad real; a lo largo de los cuales ha
intentado transmitir qué tareas realiza un perito informático en el desarrollo de sus casos.

El peritaje informático forense es una de las salidas profesionales que tiene actualmente los
estudios de Informática y Telecomunicaciones. Es un oficio no muy conocido por su nombre;
aunque sí que sabemos que existe este tipo de expertos puesto que es un perfil empleado
a menudo por las fuerzas del estado para obtener información de los equipos requisados a
los sospechosos de un delito.

Qué es la informática forense

Lorenzo Martínez antes de comenzar con la exposición de los casos introdujo algunos
términos específicos de la materia.
Informática forense: Es la ciencia de adquirir, preservar, investigar y presentar datos que hayan
sido procesados electrónicamente y almacenados en sistemas informáticos
 Delito informático: Es toda acción realizada por medios informáticos y tiene como objetivo
destruir o dañar. Algunos ejemplos son el robo de información, ataques a sistemas,
chantaje, o pornografía infantil
Evidencia digital: Es toda información almacenada que puede llegar a ser utilizada como
prueba en un proceso judicial

El ponente insistió en la importancia de seguir un procedimiento durante las tareas del

peritaje. Los pasos del procedimiento serían :
Recolección de evidencias. Se trata de la obtención minuciosa de información sobre el sistema
objeto del estudio.
Almacenamiento de evidencias: Es importante establecer una “cadena de custodia” y
almacenar la información en dispositivos que no puedan ser alterados.
Análisis de la información y evidencias recolectadas
Redacción de informe: Una vez analizada toda la información se escriben las conclusiones
en lo que se denomina ”informe pericial informático”

El caso de Ransomware

El primer incidente analizado, inicialmente parecía tratarse de un caso de Ransomware, que

es un tipo de malware del que desgraciadamente hemos oído hablar, y mucho en los últimos
meses debido al aumento del número de denuncias de este tipo de fraude. Para los que no
conozcáis de qué se trata, diré que es una forma extorsión mediante la cual el
ciberdelincuente se introduce en el sistema informático y tras cifrar ficheros o el disco
completo del sistema, se pide un rescate para entregar la clave que descifre la información.

En este caso el cliente se puso en contacto con el perito para que le recuperase la
información de un equipo informático que había dejado de funcionar, y en el que el atacante
había dejado un mensaje en el escritorio, avisando de que los datos sensibles del disco duro
del ordenador habían sido cifrados en un contenedor Truecrypt y borrados posteriormente.
Para recuperarlos, el delincuente solicitaba un rescate. En principio el cliente sospechaba
de un empleado de la compañía como autor del incidente; aunque más tarde el análisis
forense demostró otra cosa.

b2ap3_thumbnail_Cryptolocker.png

El perito tras un meticulosa recolección de evidencias, identificó tres posibles atacantes que
fue estudiando uno a uno. El primero se trató del virus Jetswap Safesurf que atacaba desde
Rusia y ejecutaba navegaciones web desde el ordenador atacado. El segundo era una bot
(liulangbao) que provocaba la navegación de sus víctimas hacia una web para aumentar su
seo (posicionamiento web). Y el tercero, también procedente de Rusia, fue el que dio la cara
por cifrar y eliminar los ficheros, a cambio de una recompensa.

Los dos primeros atacantes trabajaban silenciosos usando el ancho de banda de la víctima,
el tercero imposibilitó la actividad del servidor mediante el cifrado del disco con la
herramienta freeware TrueCrypt.

Según pudo confirmar el perito, la causa de que el equipo estuviera tan infectado es que el
cliente tenía una política de seguridad muy mala. Estaban empleando malas prácticas como
por ejemplo contraseñas débiles, usuario administrador sin clave, o tener abierto el puerto
de acceso remoto al servidor, en el Router. Por otro lado, si el incidente ocurrió en 2013, yo
añadiría también que es posible que tuvieran el antivirus desactualizado porque el virus
Jetswap Safesurf es conocido desde 2012.

Este caso corrobora la importancia de las políticas de seguridad, y de la necesidad de un

responsable de seguridad en cualquier empresa por muy pequeña que sea. Hoy en día no
es necesario disponer de un especialista de seguridad informática en plantilla, sino que
existen empresas que ofrecen este tipo de servicios mediante monitorización de los
sistemas y auditorias de seguridad periódicas.

El caso perdido

Al segundo caso, Lorenzo lo denominó el caso perdido porque desde el inicio tenía la
sensación de que sería muy difícil ganarlo. El cliente era un chico acusado de acosar a su
ex-novia mediante amenazas por correo electrónico. Y la misión del perito era aportar
pruebas para demostrar la inocencia de su cliente. El remitente de los mensajes era una
cuenta de correo sin relación con ninguna de las partes. La Policía, tras investigar el origen
(dirección IP) de envío dictaminó que coincidía con la del ADSL de la casa donde vivía. Por
tanto el estudio consistía en demostrar que podía haber habido suplantación de identidad
en los correos, que alguien podría haber usado su ordenador sin permiso, y que su red
inalámbrica pudiera ser vulnerable a un acceso ilegítimo.

Cuando el perito preguntó a su cliente por el Router y el ordenador, éste dijo que los había
tirado. Por lo que se había deshecho de las pruebas. Las conclusiones del informe forense
fueron que no se podía asegurar que el remitente del mensaje era el acusado porque podría
haber sido suplantado por un atacante que hubiese comprometido un ordenador del
domicilio de su cliente con alguna herramienta de hacking, que le permitiese hacer acciones,
como enviar correos electrónicos desde dentro de la casa. Además, el perito indicó que el
modelo de Router que decía haber usado tenía vulnerabilidades como para que un
delincuente, a una distancia cercana a la casa, hubiera tenido acceso. Finalmente, el juez
declaró inocente al acusado por falta de pruebas que lo acusaran directamente; ya que el
contrato del ADSL no estaba a su nombre, sino al de otra persona con la que compartía la
vivienda.

Como veis, el trabajo del perito informático le puede llevar incluso a defender a un presunto
culpable. Al fin y al cabo, lo que se le pide es que estudie los soportes informáticos de la
información para saber qué ha sucedido, y en este caso que hubiera podido suceder.

El empleado traidor

El último caso aborda el tema del empleado desleal que intenta llevarse los clientes cuando
abandona la empresa. El dueño de la empresa contrata los servicios del perito alertado por
la llamada de algunos clientes que le informan de que dos de sus empleados se han puesto
en contacto con ellos para seguir atendiéndolos una vez abandonen la empresa; es decir,
le estaban intentando quitar clientes. Aunque los empleados avisan de su baja voluntaria
correctamente 15 días antes, y devuelven el portátil el día que se van, el correo que habían
usado para ponerse en contacto con los clientes era el corporativo.

En este caso la misión del perito es analizar la actividad de los empleados en los sistemas
informáticos de la empresa las semanas previas a su marcha. En concreto se estudia el
servidor de ficheros, y los ordenadores portátiles en búsqueda de actividad maliciosa como
ficheros borrados, robo de información, o navegación sospechosa. Tras el estudio se
observa que hubo en un portátil acciones que abortaron el backup del fichero local de correo
en las fechas objeto del estudio, y que desde entonces no había habido más salvaguardas.
Por lo que se entiende que el empleado no quiso dejar rastro de sus actividades. A pesar
de los intentos de ocultación, se consiguió el acceso a los correos enviados a los clientes
porque los empleados desconocían que el webmail corporativo mantenía copias de todos
los correos enviados

Como resultado de la investigación se observa que los empleados actuaron de mala fe; pero
la empresa no disponía de ninguna normativa interna sobre el uso del correo electrónico.
Además sus actividades no corresponden a un delito tipificado en el código penal por lo que
no fueron denunciados.

La enseñanza que podemos obtener de este caso es que aunque la empresa disponía de
un procedimiento automático de salvaguardas programado, éste podía ser modificado por
los usuarios; lo cual puede favorecer la ocultación de información.

Si en alguna ocasión sois víctimas de algún tipo de extorsión por medio de sistemas
informáticos como los que hemos visto, no lo dudéis, vuestra persona es el perito informático
forense. Él será quien os pueda ayudar con la investigación del incidente. En España, a
parte de distintas empresas de seguridad informática, existen dos asociaciones de peritos
informáticos forenses donde se ofrecen este tipo de servicios: ANCITE y ANTPJI ; aunque
no olvidéis que es conveniente hacer la denuncia en alguna de las dependencias específicas
de las fuerzas del estado como el Grupo de Delitos Telemáticos de la Guardia Civil, o en la
Brigada de Investigación Tecnológica de la Policía Nacional

BIBLIOGRAFIA
https://www.baquia.com/ciberseguridad/memorias-de-un-perito-
informatico-forense}