ANÁLISIS FORENSE INFORMÁTICO

ACERCA DELAUTOR
CAPÍTULO 1. INTRODUCCIÓN A FORENSE DIGITAL
1.1 CONCEPTOS BÁSICOS
1.1.1 Definición de forense digital
1.1.2 Investigaciones corporativas e investigaciones criminales
1.1.3 Diferencias entre E-Discovery y forense digital
1.1.4 Definición de evidencia digital
1.1.5 Principios internacionales de evidencia digital
1.1.6 Registros generados y registros almacenados por un ordenador
1.1.7 Cadena de custodia
1.1.8 Recopilación de evidencias digitales
1.1.9 El método científico
1.1.10 Mejor evidencia
1.1.11 Antiforense digital
1.2 GESTIÓN DE UN CASO FORENSE DIGITAL
1.2.1 Introducción
1.2.2 Recepción de la petición
1.2.3 Registro de un caso
1.2.4 Registro de la prueba documental
1.2.5 Fotografiar la prueba documental
1.2.6 Análisis de la prueba documental
1.2.7 Devolución de la prueba documental
1.2.8 Cierre del caso
1.3 PROCEDIMIENTO DE INVESTIGACIÓN
1.3.1 Importancia del procedimiento investigador
1.3.2 Pasos previos a la preparación de la investigación
1.3.3 Preparación de la investigación
1.3.4 Recopilación de evidencias digitales
1.3.5 Preservación de las evidencias
1.3.6 Análisis de las evidencias
1.3.7 Presentación de informes de la investigación
1.3.8 Presentación de informes de la investigación ante un tribunal
1.3.9 Cierre del caso
1.4 RAMAS DE LAS INVESTIGACIONES FORENSES DIGITALES
1.4.1 Introducción
1.4.2 Forense de ordenadores
1.4.3 Forense de dispositivos móviles
1.4.4 Forense de red
1.4.5 Análisis de malware
1.5 EL LABORATORIO FORENSE DIGITAL
1.5.1 Generalidades
1.5.2 Emplazamiento del laboratorio
1.5.3 Seguridad física del laboratorio
1.5.4 Tamaño y disposición del laboratorio
1.5.5 Normativa aplicable a un laboratorio forense digital
1.5.6 Departamentos dentro del laboratorio forense digital
1.6 EVIDENCIAS DIGITALES
1.6.1 Introducción
1.6.2 Objeto y campo de aplicación
1.6.3 Términos y definiciones
1.6.4 Preservación de la evidencia
1.7 ADQUISICIÓN DE EVIDENCIAS DIGITALES
1.7.1 Inteligencia digital y recolección de evidencias de un escenario
1.7.2 Retos de la recogida de evidencias digitales
1.7.3 Triaje de evidencias en un escenario
1.7.4 Proceso de adquisición de evidencias digitales
1.7.5 Dispositivos apagados
1.7.6 Dispositivos encendidos
1.7.7 Obtención de evidencias de activos empresariales
1.7.8 Sistemas virtualizados
1.7.9 Extracción de evidencias mediante manipulación hardware
CAPÍTULO 2. SOPORTES DE ALMACENAMIENTO Y SISTEMAS DE
FICHEROS
2.1 INTRODUCCIÓN
2.2 DISCOS DUROS
2.2.1 Interfaz de conexión
2.2.2 Estructura física
2.2.3 Estructura lógica
2.2.4 Volúmenes de disco
2.3 ALMACENAMIENTO FLASH
2.3.1 Tipos de dispositivos
2.3.2 Peculiaridades de los dispositivos de almacenamiento SSD
2.4 ALMACENAMIENTO EN SOPORTE ÓPTICO
2.5 ALMACENAMIENTO EN RED
2.6 ALMACENAMIENTO RAID
2.6.1 Generalidades
2.6.2 RAID 0
2.6.3 RAID 1
2.6.4 RAID 1E
2.6.5 RAID 2
2.6.6 RAID 3
2.6.7 RAID 4
2.6.8 RAID 5
2.6.9 RAID 6
2.6.10 RAID 01
2.6.11 RAID 10
2.6.12 RAID 30
2.6.13 RAID 100
2.6.14 RAID 50
2.6.15 Comparativa entre diferentes niveles de RAID
2.6.16 Otras configuraciones posibles
2.7 ARQUITECTURAS DE ALMACENAMIENTO NON-RAID
2.8 OBTENCIÓN DE EVIDENCIAS DE UN NAS
2.9 SISTEMAS DE FICHEROS
2.9.1 Introducción
2.9.2 Sistemas de ficheros en Microsoft Windows
2.9.3 Sistemas de ficheros en macOS
2.9.4 Sistemas de ficheros en Linux
2.10 PROCESO DE INICIO DE UN ORDENADOR
2.10.1 Arranque de un sistema operativo Microsoft Windows
2.10.2 Arranque de un sistema operativo Linux
2.10.3 Arranque de un sistema operativo macOS
CAPÍTULO 3. VIRTUALIZACIÓN Y SANDBOXING
3.1 VIRTUALIZACIÓN
3.1.1 Generalidades
3.1.2 Tipos de VM
3.1.3 Tipos de hipervisor
3.1.4 Contenedores
3.1.5 FUSE
3.1.6 Discos y unidades virtuales
3.2 FORENSE DE VM
3.2.1 Forense de hipervisores Tipo 2
3.2.2 Forense de hipervisores Tipo 1
3.3 SANDBOXING
CAPÍTULO 4. INTRODUCCIÓN A FORENSE DE MICROSOFT WINDOWS
4.1 INTRODUCCIÓN
4.1.1 Programa, proceso e hilo de control
4.1.2 Volatilidad de los artefactos forenses
4.1.3 Empleo de la consola del sistema y de PowerShell como herramientas
de recopilación de artefactos forenses
4.1.4 Empleo de herramientas de terceros para la recopilación y análisis de
artefactos forenses
4.2 ADQUISICIÓN DE SOPORTES DE ALMACENAMIENTO MASIVO
4.2.1 Obtención de imágenes de volúmenes de disco con AccessData FTK
Imager
4.2.2 Obtención de imágenes de volúmenes de disco desde una distribución
Live
4.3 ADQUISICIÓN DE EVIDENCIAS VOLÁTILES EN ENTORNOS WINDOWS.
199
4.3.1 Variables de entorno del sistema
4.3.2 Fecha y hora del sistema
4.3.3 Información relativa al sistema
4.3.4 Histórico de comandos de la consola del sistema
4.3.5 Usuarios registrados en el sistema local
4.3.6 Información del dominio
4.3.7 Archivos abiertos
4.3.8 Programas, procesos y servicios
4.3.9 Conexiones de red
4.3.10 Tabla de enrutamiento interna
4.4 ANÁLISIS POST MORTEM DE EVIDENCIAS DIGITALES
4.4.1 Análisis “en muerto” y “en vivo
4.4.2 Análisis de evidencias con OpenText EnCase Forensic
4.4.3 Análisis de evidencias con AccessData FTK
4.4.4 Nuix Workstation
4.4.5 Otras suites de análisis forense digital
CAPÍTULO 5. FORENSE DE LA MEMORIA RAM EN SISTEMAS WINDOWS
5.1 INTRODUCCIÓN
5.1.1 Generalidades
5.1.2 Forense de memoria
5.1.3 Artefactos forenses presentes en la memoria RAM
5.1.4 Memoria física y memoria virtual
5.1.5 Archivos de volcado de memoria RAM
5.1.6 Archivos de hibernación
5.2 ADQUISICIÓN DE MEMORIA RAM
5.2.1 Introducción
5.2.2 Volcado del contenido completo de la RAM
5.2.3 Volcado de memoria utilizando pmem
5.2.4 Archivos de paginación e hibernación
5.2.5 Volcado de la memoria RAM tras un fallo del sistema operativo
5.2.6 Adquisición de memoria de máquinas virtuales
5.2.7 Adquisición de memoria de contenedores
5.2.8 Recolección de memoria de sistemas remotos
CAPÍTULO 6. ANÁLISIS DE LÍNEAS TEMPORALES
6.1 INTRODUCCIÓN
6.1.1 Importancia de la elaboración de una línea temporal
6.1.2 Dificultades en la generación de líneas temporales
6.1.3 Punto de partida de una investigación
6.1.4 Proceso de análisis de una línea temporal
6.1.5 Predicción en el análisis de líneas temporales
6.1.6 Herramientas para la confección de líneas temporales
6.2 ANÁLISIS DE ARTEFACTOS FORENSES EN WINDOWS
6.2.1 Evidencias de descarga de archivos
6.2.2 Evidencias de ejecución de programas
6.2.3 Evidencias de archivo eliminado o conocimiento de archivo
6.2.4 Evidencias de actividad de red y de ubicación física
6.2.5 Evidencia de apertura de archivos/carpetas
6.2.6 Evidencias de utilización de cuentas de usuario
6.2.7 Evidencias de conexión de dispositivos USB
6.2.8 Evidencias de utilización del navegador
6.3 CREACIÓN Y ANÁLISIS DE LÍNEAS TEMPORALES
6.3.1 Triaje de la línea temporal del sistema de ficheros
6.3.2 Creación y análisis de una línea temporal del sistema de ficheros
6.3.3 Creación y análisis de una línea temporal a partir de un volcado de
memoria RAM
6.3.4 Creación de una Super Timeline
6.3.5 Creación de una Super Timeline dedicada
6.3.6 Triaje rápido de artefactos forenses
6.3.7 Filtrado de una Super Timeline
6.3.8 Análisis de una Super Timeline
CAPÍTULO 7. ARCHIVOS DE LOG
7.1 INTRODUCCIÓN
7.1.1 Archivo de log de eventos
7.1.2 Agregación de logs
7.1.3 Monitorización de archivos de log
7.1.4 Importancia de los archivos de log de eventos de seguridad
7.2 GESTIÓN DE ARCHIVOS DE LOG
7.2.1 Gestión de archivos de log de seguridad
7.2.2 Sistema centralizado de archivos de log
7.3 ESTIMACIÓN DE GENERACIÓN DE ARCHIVOS DE LOG
7.3.1 Eventos por segundo
7.3.2 Generación normal y picos de EPS
7.3.3 Volumen de los archivos de log
7.4 TIPOS DE ARCHIVOS DE LOG
7.5 ARCHIVOS DE LOG GENERADOS EN ENDPOINTS EN
CIBERSEGURIDAD
7.5.1 Archivos de log de Eventos de Windows
7.5.2 Archivos de log de Linux
7.5.3 Archivos de eventos de dispositivos iOS
7.5.4 Archivos de eventos de dispositivos Android
7.5.5 Archivos de log de interés para incorporar al SIEM
7.6 GESTIÓN DE ARCHIVOS DE LOG DE EDR
7.7 GESTIÓN DE ARCHIVOS DE LOG DE FIREWALLS
7.8 RECOLECCIÓN DE ARCHIVOS DE LOG CON SYSLOG
7.9 TÉCNICAS DE ANÁLISIS DE ARCHIVOS DE LOG
7.10 PROCESADO DE ARCHIVOS DE LOG
7.10.1 Flujo de procesado de los archivos de log
7.11 ANÁLISIS DE ARCHIVOS DE LOG EMPLEANDO UN SIEM
7.12 SINCRONIZACIÓN HORARIA ENTRE DISPOSITIVOS
7.13 LOS ARCHIVOS DE LOG DESDE UN PUNTO DE VISTA LEGAL
7.13.1 Procesado de archivos de log conforme a la legislación estadounidense7.13.2 Archivos de log conforme a la legislación española
CAPÍTULO 8. FORENSE DE RED
8.1 DEFINICIÓN DE FORENSE DE RED
8.2 HERRAMIENTAS DE MONITORIZACIÓN DE RED
8.2.1 Capturador de paquetes
8.2.2 Analizador de paquetes
8.2.3 Monitorización del flujo de paquetes
8.2.4 Monitor de interfaz
8.2.5 Monitor de rendimiento
8.2.6 Registros de eventos del sistema y su gestión
8.3 ANÁLISIS DE TRÁFICO DE RED
8.3.1 Cabecera del paquete
8.3.2 Payload
8.3.3 Trailer
8.4 INVESTIGANDO EL TRÁFICO DE RED
8.4.1 Ventajas de investigar el tráfico de red
8.4.2 Acceso ilícito a la red objetivo
8.4.3 Fuentes de evidencias para forense de red
8.4.4 Origen del ataque
8.4.5 Atribución a partir de evidencias forenses de red
8.4.6 Forense en redes inalámbricas
8.5 HERRAMIENTAS FORENSES DE RED
8.5.1 Herramientas más habituales en forense de red
8.5.2 Recopilación y análisis de artefactos forenses empleando la consola del sistema
8.6 FORENSE DE PÁGINAS WEB Y URL
8.6.1 Copia forense de sitios web
8.6.2 Servicios recortadores de URL
8.6.3 Resolución estática de servidores C2
8.6.4 Domain Generation Algorithm
8.6.5 Fast-Flux Service Networks
8.7 CORREO ELECTRÓNICO
8.7.1 Protocolos y servicios de correo electrónico
8.7.2 Cabecera de un correo electrónico
8.7.3 Cuerpo de un correo electrónico
8.7.4 Importancia de la gestión de registros electrónicos
8.7.5 Delitos cometidos empleando el correo electrónico
8.7.6 Delitos cometidos en salas de chat
8.7.7 Procedimiento para investigar delitos cometidos utilizando el correo electrónico y las salas de chat
8.7.8 Análisis de correos electrónicos
CAPÍTULO 9. FORENSE DE BASE DE DATOS
9.1 INTRODUCCIÓN
9.2 BREVES NOCIONES DE BASES DE DATOS Y SQL
9.3 IMPORTANCIA DEL FORENSE DE BASES DE DATOS
CAPÍTULO 10. FORENSE EN LA NUBE
10.1 INTRODUCCIÓN A LA COMPUTACIÓN EN LA NUBE
10.2 TIPOS DE SERVICIOS DE COMPUTACIÓN EN LA NUBE
10.2.1 IaaS
10.2.2 PaaS
10.2.3 SaaS
10.2.4 Separación de responsabilidades en la nube
10.3 MODELOS DE DESPLIEGUE EN LA NUBE
10.3.1 Nube privada
10.3.2 Nube híbrida
10.3.3 Nube comunitaria
10.3.4 Nube pública
10.4 INTRODUCCIÓN AL FORENSE EN LA NUBE
10.4.1 Definición
10.4.2 Ámbito de aplicación
10.4.3 Delitos en la nube
10.4.4 Agentes implicados en una investigación de forense en la nube
10.4.5 Procedimiento forense en la nube
10.5 RETOS QUE SE PRESENTAN EN LAS INVESTIGACIONES DE FORENSE
EN LA NUBE
10.5.1 Arquitectura e identificación
10.5.2 Recolección de datos
10.5.3 Archivos de log
10.5.4 Legales
10.5.5 Análisis
10.5.6 Gestión de roles
10.5.7 Estándares
10.5.8 Adiestramiento
10.5.9 Empleo de técnicas antiforenses
10.5.10 Respuesta a incidentes
10.6 INVESTIGACIÓN FORENSE DE SERVICIOS DE ALMACENAMIENTO EN
LA NUBE
10.6.1 Introducción
10.6.2 Dropbox
10.6.3 Google Drive
CAPÍTULO 11. FORENSE DE DISPOSITIVOS
MÓVILES E IOT
11.1 INTRODUCCIÓN
11.1.1 Forense de dispositivos móviles
11.1.2 Forense de teléfonos móviles
11.1.3 Cibercrimen y ciberamenazas en dispositivos móviles
11.1.4 Actividades delictivas que pueden realizarse desde un dispositivo móvil11.2 TIPOS DE DISPOSITIVOS MÓVILES
11.2.1 Generalidades
11.2.2 Teléfonos móviles estándar
11.2.3 PDA
11.2.4 Reproductores multimedia
11.2.5 Smartphones
11.2.6 Tabletas y phablets
11.3 IOT
11.3.1 Introducción
11.3.2 Forense de dispositivos IoT
11.4 REDES DE ACCESO CELULAR
11.4.1 Elementos de una red celular
11.4.2 Redes celulares de datos
11.4.3 Telefonía 2G
11.4.4 Telefonía 3G
11.4.5 Telefonía 4G
11.4.6 Telefonía 5G
11.5 EL DISPOSITIVO MÓVIL
11.5.1 Hardware, sistema operativo y aplicaciones de un dispositivo móvil
11.5.2 ME
11.5.3 UICC
11.5.4 Medidas de seguridad en la UICC
11.5.5 Codificación de la UICC
11.5.6 Autenticación Ki
11.5.7 Estructura de ficheros de la UICC
11.6 INTERVENCIÓN DE UN DISPOSITIVO MÓVIL
11.6.1 Aislamiento de redes
11.6.2 Anulación de códigos de protección
11.6.3 Cables de alimentación y datos
11.6.4 Dispositivos desconectados
11.7 ARTEFACTOS FORENSES DE INTERÉS EN UN TELÉFONO MÓVIL
11.7.1 Información proporcionada por la UICC
11.7.2 Información almacenada en el smartphone
11.7.3 Información almacenada por el operador de telefonía

Forense Digital es una disciplina que combina elementos legales, informáticos y de telecomunicaciones orientados a la identificación, recolección y análisis de evidencias digitales, preservando la cadena de custodia, garantizando así que sean admisibles ante un tribunal. Los artefactos forenses presentados como evidencias podrán proceder de archivos generados automáticamente por el sistema operativo como registro de su actividad, archivos generados por el usuario, archivos almacenados en soportes externos de almacenamiento, registros de bases de datos, archivos almacenados en cuentas en la nube, volcados de tráfico de red asociado a navegación maliciosa, mensajería y contenido multimedia de smartphones, registros de rutas de vehículos terrestres y drones, datos de wearables, etc.

Este libro dotará al lector de los conocimientos necesarios para:

Identificar, recolectar, preservar y analizar evidencias digitales, redactando informes que recojan las conclusiones de la investigación.
Identificar los diferentes soportes de almacenamiento, y comprender las diferencias existentes entre los diferentes sistemas de ficheros.
Recopilar y analizar artefactos forenses procedentes de sistemas operativos Microsoft Windows.
Recopilar y analizar artefactos forenses procedentes de dispositivos móviles e IoT .
Recopilar y analizar artefactos forenses procedentes de tráfico de red.
Recopilar y analizar artefactos forenses procedentes de bases de datos.
Recopilar y analizar artefactos forenses procedentes de entornos virtualizados.
Recopilar y analizar artefactos forenses procedentes de entornos en la nube.
Los contenidos de este libro están adaptados al Módulo 5024 “Análisis forense informático”, que se engloba dentro del “Curso de Especialización de Ciberseguridad en Entornos de las Tecnologías de la Información”.