El documento presenta a Abraham Pasamar y su compañía INCIDE, que se dedica a la lucha contra el fraude empresarial. INCIDE ofrece servicios de análisis forense e investigación con más de 800 casos atendidos y 400 investigaciones realizadas. Pasamar da una breve introducción sobre su trayectoria y los servicios que ofrece INCIDE.

1. INCIDE - Seminarios Análisis Forense
¿Quién se ha llevado mi archivo?
29 marzo 2012

2. Breve presentación
2

3. Breve presentación
• Abraham Pasamar
2

4. Breve presentación
• Abraham Pasamar
– Ingeniero Superior y Master Seguridad Informática
2

5. Breve presentación
• Abraham Pasamar
– Ingeniero Superior y Master Seguridad Informática
– Socio Director INCIDE (2005, Grupo Winterman)
2

6. Breve presentación
• Abraham Pasamar
– Ingeniero Superior y Master Seguridad Informática
– Socio Director INCIDE (2005, Grupo Winterman)
• INCIDE
2

7. Breve presentación
• Abraham Pasamar
– Ingeniero Superior y Master Seguridad Informática
– Socio Director INCIDE (2005, Grupo Winterman)
• INCIDE
– Objetivo: Lucha contra Fraude Empresarial
2

8. Breve presentación
• Abraham Pasamar
– Ingeniero Superior y Master Seguridad Informática
– Socio Director INCIDE (2005, Grupo Winterman)
• INCIDE
– Objetivo: Lucha contra Fraude Empresarial
– Analistas de información , consultores legales, ingenieros expertos
en análisis forense y laboratorio forense tecnológicamente puntero
2

9. Breve presentación
• Abraham Pasamar
– Ingeniero Superior y Master Seguridad Informática
– Socio Director INCIDE (2005, Grupo Winterman)
• INCIDE
– Objetivo: Lucha contra Fraude Empresarial
– Analistas de información , consultores legales, ingenieros expertos
en análisis forense y laboratorio forense tecnológicamente puntero
– Ofrecemos una gestión integral de los procesos en los que se
requiere Prueba Electrónica
2

10. Breve presentación
• Abraham Pasamar
– Ingeniero Superior y Master Seguridad Informática
– Socio Director INCIDE (2005, Grupo Winterman)
• INCIDE
– Objetivo: Lucha contra Fraude Empresarial
– Analistas de información , consultores legales, ingenieros expertos
en análisis forense y laboratorio forense tecnológicamente puntero
– Ofrecemos una gestión integral de los procesos en los que se
requiere Prueba Electrónica
– Experiencia acumulada:
2

11. Breve presentación
• Abraham Pasamar
– Ingeniero Superior y Master Seguridad Informática
– Socio Director INCIDE (2005, Grupo Winterman)
• INCIDE
– Objetivo: Lucha contra Fraude Empresarial
– Analistas de información , consultores legales, ingenieros expertos
en análisis forense y laboratorio forense tecnológicamente puntero
– Ofrecemos una gestión integral de los procesos en los que se
requiere Prueba Electrónica
– Experiencia acumulada:
• más de 800 casos atendidos
2

12. Breve presentación
• Abraham Pasamar
– Ingeniero Superior y Master Seguridad Informática
– Socio Director INCIDE (2005, Grupo Winterman)
• INCIDE
– Objetivo: Lucha contra Fraude Empresarial
– Analistas de información , consultores legales, ingenieros expertos
en análisis forense y laboratorio forense tecnológicamente puntero
– Ofrecemos una gestión integral de los procesos en los que se
requiere Prueba Electrónica
– Experiencia acumulada:
• más de 800 casos atendidos
• más de 400 investigaciones realizadas
2

13. Breve presentación
• Abraham Pasamar
– Ingeniero Superior y Master Seguridad Informática
– Socio Director INCIDE (2005, Grupo Winterman)
• INCIDE
– Objetivo: Lucha contra Fraude Empresarial
– Analistas de información , consultores legales, ingenieros expertos
en análisis forense y laboratorio forense tecnológicamente puntero
– Ofrecemos una gestión integral de los procesos en los que se
requiere Prueba Electrónica
– Experiencia acumulada:
• más de 800 casos atendidos
• más de 400 investigaciones realizadas
• más de 300 informes periciales emitidos
2

14. AGENDA
3

15. AGENDA
• Sospechosos habituales
3

16. AGENDA
• Sospechosos habituales
• Motivaciones
3

17. AGENDA
• Sospechosos habituales
• Motivaciones
• Métodos empleados
3

18. AGENDA
• Sospechosos habituales
• Motivaciones
• Métodos empleados
• Contexto legal
3

19. AGENDA
• Sospechosos habituales
• Motivaciones
• Métodos empleados
• Contexto legal
• Casos prácticos
3

20. AGENDA
• Sospechosos habituales
• Motivaciones
• Métodos empleados
• Contexto legal
• Casos prácticos
• Metodología y buenas prácticas forenses
3

21. Sospechosos habituales
4

22. Sospechosos habituales
• Empleados descontentos
4

23. Sospechosos habituales
• Empleados descontentos
• Potenciales ex-empleados y futura competencia
4

24. Sospechosos habituales
• Empleados descontentos
• Potenciales ex-empleados y futura competencia
• Socios (minoritarios, poco implicados)
4

25. Sospechosos habituales
• Empleados descontentos
• Potenciales ex-empleados y futura competencia
• Socios (minoritarios, poco implicados)
• Directivos (poco implicados, poco reconocimiento)
4

26. Sospechosos habituales
• Empleados descontentos
• Potenciales ex-empleados y futura competencia
• Socios (minoritarios, poco implicados)
• Directivos (poco implicados, poco reconocimiento)
• Pluri-Empleados
4

27. Sospechosos habituales
• Empleados descontentos
• Potenciales ex-empleados y futura competencia
• Socios (minoritarios, poco implicados)
• Directivos (poco implicados, poco reconocimiento)
• Pluri-Empleados
• Competencia
4

28. Motivaciones
5

29. Motivaciones
• Interno:
5

30. Motivaciones
• Interno:
– Conflicto laboral (venganza, ira, odio)
5

31. Motivaciones
• Interno:
– Conflicto laboral (venganza, ira, odio)
– Aprovechamiento del trabajo ajeno
5

32. Motivaciones
• Interno:
– Conflicto laboral (venganza, ira, odio)
– Aprovechamiento del trabajo ajeno
– Atribución errónea de la propiedad intelectual
(desconocimiento del delito)
5

33. Motivaciones
• Interno:
– Conflicto laboral (venganza, ira, odio)
– Aprovechamiento del trabajo ajeno
– Atribución errónea de la propiedad intelectual
(desconocimiento del delito)
– Ánimo de lucro
5

34. Motivaciones
• Interno:
– Conflicto laboral (venganza, ira, odio)
– Aprovechamiento del trabajo ajeno
– Atribución errónea de la propiedad intelectual
(desconocimiento del delito)
– Ánimo de lucro
• Externo:
5

35. Motivaciones
• Interno:
– Conflicto laboral (venganza, ira, odio)
– Aprovechamiento del trabajo ajeno
– Atribución errónea de la propiedad intelectual
(desconocimiento del delito)
– Ánimo de lucro
• Externo:
– Ánimo de lucro, inteligencia competitiva y
competencia desleal
5

36. Métodos empleados
6

37. Métodos empleados
• Navaja de Ockham:
6

38. Métodos empleados
• Navaja de Ockham:
– <<Dos teorías en igualdad de condiciones que tienen
las mismas consecuencias, la teoría más simple tiene
más probabilidades de ser correcta que la compleja>>
6

39. Métodos empleados
• Navaja de Ockham:
– <<Dos teorías en igualdad de condiciones que tienen
las mismas consecuencias, la teoría más simple tiene
más probabilidades de ser correcta que la compleja>>
– Es decir, si nos roban la información tendemos a
pensar que alguien muy rico ha contratado a Lisbeth
Salander que con su programa Asphyxia se ha
introducido en nuestros sistemas, pero lo cierto es,
que la experiencia nos dice que somos descuidados
con la seguridad y no solemos desconfiar de los
empleados y compañeros hasta que ocurre algo ...
6

40. Métodos empleados
7

41. Métodos empleados
• Errores habituales:
7

42. Métodos empleados
• Errores habituales:
– Acceso compartido en red y local
7

43. Métodos empleados
• Errores habituales:
– Acceso compartido en red y local
– Facilitamos los passwords a terceros
7

44. Métodos empleados
• Errores habituales:
– Acceso compartido en red y local
– Facilitamos los passwords a terceros
– Usamos los mismos passwords para diferentes
servicios y niveles de seguridad
7

45. Métodos empleados
• Errores habituales:
– Acceso compartido en red y local
– Facilitamos los passwords a terceros
– Usamos los mismos passwords para diferentes
servicios y niveles de seguridad
– Permitimos el acceso local a nuestros equipos
7

46. Métodos empleados
• Errores habituales:
– Acceso compartido en red y local
– Facilitamos los passwords a terceros
– Usamos los mismos passwords para diferentes
servicios y niveles de seguridad
– Permitimos el acceso local a nuestros equipos
– AV no actualizados
7

47. Métodos empleados
• Errores habituales:
– Acceso compartido en red y local
– Facilitamos los passwords a terceros
– Usamos los mismos passwords para diferentes
servicios y niveles de seguridad
– Permitimos el acceso local a nuestros equipos
– AV no actualizados
– No pensamos antes de hacer click (ing. social)
7

48. Métodos empleados
8

49. Métodos empleados
• Errores habituales:
8

50. Métodos empleados
• Errores habituales:
– Falta de conciencia sobre el poder de los
administradores de sistemas
8

51. Métodos empleados
• Errores habituales:
– Falta de conciencia sobre el poder de los
administradores de sistemas
– Falta de conciencia sobre el poder de los
administradores de sistemas
8

52. Métodos empleados
• Errores habituales:
– Falta de conciencia sobre el poder de los
administradores de sistemas
– Falta de conciencia sobre el poder de los
administradores de sistemas
– Uso de ordenadores no seguros (familiares, cybercafé)
8

53. Métodos empleados
• Errores habituales:
– Falta de conciencia sobre el poder de los
administradores de sistemas
– Falta de conciencia sobre el poder de los
administradores de sistemas
– Uso de ordenadores no seguros (familiares, cybercafé)
– Malas practicas (recordar passwords, passwords
fáciles, vacíos, descarga programas raros, etc.)
8

54. Métodos empleados
• Errores habituales:
– Falta de conciencia sobre el poder de los
administradores de sistemas
– Falta de conciencia sobre el poder de los
administradores de sistemas
– Uso de ordenadores no seguros (familiares, cybercafé)
– Malas practicas (recordar passwords, passwords
fáciles, vacíos, descarga programas raros, etc.)
– Mala protección/clasificación de información (seg.
logica/sistemas)
8

55. Métodos empleados
9

56. Métodos empleados
– USB (discos memorias teléfonos)
9

57. Métodos empleados
– USB (discos memorias teléfonos)
– CD/DVD
9

58. Métodos empleados
– USB (discos memorias teléfonos)
– CD/DVD
– Fotos
9

59. Métodos empleados
– USB (discos memorias teléfonos)
– CD/DVD
– Fotos
– Impresora/Papel
9

60. Métodos empleados
– USB (discos memorias teléfonos)
– CD/DVD
– Fotos
– Impresora/Papel
– Bluetooth/WiFi (vía móvil, agenda, ipad)
9

61. Métodos empleados
– USB (discos memorias teléfonos)
– CD/DVD
– Fotos
– Impresora/Papel
– Bluetooth/WiFi (vía móvil, agenda, ipad)
– Internet (Gmail, hotmail, dropbox,.......)
9

62. Métodos empleados
– USB (discos memorias teléfonos)
– CD/DVD
– Fotos
– Impresora/Papel
– Bluetooth/WiFi (vía móvil, agenda, ipad)
– Internet (Gmail, hotmail, dropbox,.......)
• Eludir filtros: zips con contraseña, cambio extensiones,
etc
9

63. Métodos empleados
– USB (discos memorias teléfonos)
– CD/DVD
– Fotos
– Impresora/Papel
– Bluetooth/WiFi (vía móvil, agenda, ipad)
– Internet (Gmail, hotmail, dropbox,.......)
• Eludir filtros: zips con contraseña, cambio extensiones,
etc
– Software espía convencional (comercial),
Troyanos,...
9

64. Marco Legal
10

65. Marco Legal
• Art. 197.1 CP: descubrimiento y revelación de
secretos (1 a 4 años y multa 12 a 24 meses)
10

66. Marco Legal
• Art. 197.1 CP: descubrimiento y revelación de
secretos (1 a 4 años y multa 12 a 24 meses)
– Apoderamiento mails, papeles, cartas u otros
documentos
10

67. Marco Legal
• Art. 197.1 CP: descubrimiento y revelación de
secretos (1 a 4 años y multa 12 a 24 meses)
– Apoderamiento mails, papeles, cartas u otros
documentos
– Interceptar telecomunicaciones
10

68. Marco Legal
• Art. 197.1 CP: descubrimiento y revelación de
secretos (1 a 4 años y multa 12 a 24 meses)
– Apoderamiento mails, papeles, cartas u otros
documentos
– Interceptar telecomunicaciones
– Utilizar artificios técnicos de escucha, transmisión,
grabación o reproducción del sonido, imagen o
cualquier otra señal de comunicación
10

69. Marco Legal
• Art. 197.1 CP: descubrimiento y revelación de
secretos (1 a 4 años y multa 12 a 24 meses)
– Apoderamiento mails, papeles, cartas u otros
documentos
– Interceptar telecomunicaciones
– Utilizar artificios técnicos de escucha, transmisión,
grabación o reproducción del sonido, imagen o
cualquier otra señal de comunicación
• Art. 197.6 CP(tipos agravados. 3 a 5 años):
realización de hechos con fines lucrativos
10

70. Marco Legal
11

71. Marco Legal
• Sentencia 534/10
11

72. Acciones preventivas
12

73. Acciones preventivas
– Reforzar seguridad en general
12

74. Acciones preventivas
– Reforzar seguridad en general
• políticas internas
12

75. Acciones preventivas
– Reforzar seguridad en general
• políticas internas
• políticas dominio
12

76. Acciones preventivas
– Reforzar seguridad en general
• políticas internas
• políticas dominio
• firewall
12

77. Acciones preventivas
– Reforzar seguridad en general
• políticas internas
• políticas dominio
• firewall
• antivirus, antimalware
12

78. Acciones preventivas
– Reforzar seguridad en general
• políticas internas
• políticas dominio
• firewall
• antivirus, antimalware
• formación (cultura de seguridad)
12

79. Acciones preventivas
– Reforzar seguridad en general
• políticas internas
• políticas dominio
• firewall
• antivirus, antimalware
• formación (cultura de seguridad)
• etc
12

80. Acciones preventivas
– Reforzar seguridad en general
• políticas internas
• políticas dominio
• firewall
• antivirus, antimalware
• formación (cultura de seguridad)
• etc
– Forensics Readiness
12

81. Acciones preventivas
– Reforzar seguridad en general
• políticas internas
• políticas dominio
• firewall
• antivirus, antimalware
• formación (cultura de seguridad)
• etc
– Forensics Readiness
– DLP (Data Loss Prevention)
12

82. Acciones reactivas
13

83. Acciones reactivas
– Análisis forense informático
13

84. Caso 1
14

85. Caso 1
• Antecedentes
14

86. Caso 1
• Antecedentes
– Recientemente dos trabajadores de una empresa del
sector de alimentación han comunicado su dimisión
14

87. Caso 1
• Antecedentes
– Recientemente dos trabajadores de una empresa del
sector de alimentación han comunicado su dimisión
– Uno de ellos es el Responsable de Ventas y
gestiona personalmente una parte esencial del
know-how de la empresa, las fórmulas de los
productos
14

88. Caso 1
• Antecedentes
– Recientemente dos trabajadores de una empresa del
sector de alimentación han comunicado su dimisión
– Uno de ellos es el Responsable de Ventas y
gestiona personalmente una parte esencial del
know-how de la empresa, las fórmulas de los
productos
– Al parecer, van a seguir en el sector y están tratando
de llevarse a personal de la compañía
14

89. Caso 1
• Antecedentes
– Recientemente dos trabajadores de una empresa del
sector de alimentación han comunicado su dimisión
– Uno de ellos es el Responsable de Ventas y
gestiona personalmente una parte esencial del
know-how de la empresa, las fórmulas de los
productos
– Al parecer, van a seguir en el sector y están tratando
de llevarse a personal de la compañía
– Se sospecha que han borrado información de las
fórmulas de su ordenador. No están en el servidor
14

90. Objetivo
15

91. Objetivo
• localizar patrones de fuga y borrado de
información
15

92. Fuentes de información
16

93. Fuentes de información
• Ordenador portátil y fijo del responsable de
ventas y ordenador fijo de su compañero
16

94. Nociones análisis forense
17

95. Nociones análisis forense
• Los ordenadores no disponen de un sistema de
almacenamiento de todas las acciones realizadas
17

96. Nociones análisis forense
• Los ordenadores no disponen de un sistema de
almacenamiento de todas las acciones realizadas
• Es preciso conocer como funcionan para buscar
posibles rastros que ayuden a reconstruir los
hechos ocurridos
17

97. Nociones análisis forense
• Los ordenadores no disponen de un sistema de
almacenamiento de todas las acciones realizadas
• Es preciso conocer como funcionan para buscar
posibles rastros que ayuden a reconstruir los
hechos ocurridos
• Los análisis forenses se basan en el estudio de:
17

98. Nociones análisis forense
• Los ordenadores no disponen de un sistema de
almacenamiento de todas las acciones realizadas
• Es preciso conocer como funcionan para buscar
posibles rastros que ayuden a reconstruir los
hechos ocurridos
• Los análisis forenses se basan en el estudio de:
– líneas temporales
17

99. Nociones análisis forense
• Los ordenadores no disponen de un sistema de
almacenamiento de todas las acciones realizadas
• Es preciso conocer como funcionan para buscar
posibles rastros que ayuden a reconstruir los
hechos ocurridos
• Los análisis forenses se basan en el estudio de:
– líneas temporales
– archivos recientes
17

100. Nociones análisis forense
• Los ordenadores no disponen de un sistema de
almacenamiento de todas las acciones realizadas
• Es preciso conocer como funcionan para buscar
posibles rastros que ayuden a reconstruir los
hechos ocurridos
• Los análisis forenses se basan en el estudio de:
– líneas temporales
– archivos recientes
– registro sistema
17

101. Nociones análisis forense
• Los ordenadores no disponen de un sistema de
almacenamiento de todas las acciones realizadas
• Es preciso conocer como funcionan para buscar
posibles rastros que ayuden a reconstruir los
hechos ocurridos
• Los análisis forenses se basan en el estudio de:
– líneas temporales
– archivos recientes
– registro sistema
– búsquedas por palabras clave (keywords), etc
17

102. Análisis
18

103. Análisis
• acceso masivo (domingo)
18

104. Análisis
• acceso masivo (domingo)
18

105. Análisis
19

106. Análisis
• utilización de un compresor (winzip)
19

107. Análisis
• utilización de un compresor (winzip)
19

108. Análisis
• utilización de un compresor (winzip)
• Inserción dispositivo USB a las 9:53:
– C:/WINDOWS/Media/Inserción de
hardware de Windows XP.wav
19

109. Conclusiones
20

110. Conclusiones
• El domingo 4 de mayo a las 8:43: se creó
un fichero comprimido, conteniendo al
menos trescientos (300) ficheros y
doscientas (200) carpetas
20

111. Conclusiones
• El domingo 4 de mayo a las 8:43: se creó
un fichero comprimido, conteniendo al
menos trescientos (300) ficheros y
doscientas (200) carpetas
• a continuación se conectó un dispositivo
usb
20

112. Conclusiones
• El domingo 4 de mayo a las 8:43: se creó
un fichero comprimido, conteniendo al
menos trescientos (300) ficheros y
doscientas (200) carpetas
• a continuación se conectó un dispositivo
usb
• poco después se eliminaron los ficheros del
ordenador
20

113. Caso 2
21

114. Caso 2
• Antecedentes
21

115. Caso 2
• Antecedentes
– Un trabajador comienza a trabajar en el
departamento antifraude de una gran compañía
de venta por internet el día 2 de Noviembre
21

116. Caso 2
• Antecedentes
– Un trabajador comienza a trabajar en el
departamento antifraude de una gran compañía
de venta por internet el día 2 de Noviembre
– El día 8 de noviembre no se presenta en su
puesto de trabajo y envía un correo electrónico
alegando que por motivos personales renuncia a
su posición actual y regresa a su país
21

117. Caso 2
• Antecedentes
– Un trabajador comienza a trabajar en el
departamento antifraude de una gran compañía
de venta por internet el día 2 de Noviembre
– El día 8 de noviembre no se presenta en su
puesto de trabajo y envía un correo electrónico
alegando que por motivos personales renuncia a
su posición actual y regresa a su país
– Se sospecha que pueda haber sustraído
información confidencial
21

118. Objetivo
22

119. Objetivo
• localizar patrones de fuga de información
22

120. Fuentes de información
23

121. Fuentes de información
• Ordenador portátil asignado al trabajador
durante esos 6 días
23

122. Análisis
24

123. Análisis
• No se observa utilización de dispositivos
externos USB
24

124. Análisis
• No se observa utilización de dispositivos
externos USB
• No se observa grabación de CD/DVD’s
24

125. Análisis
• No se observa utilización de dispositivos
externos USB
• No se observa grabación de CD/DVD’s
• No accesos servicios externos: FTP,
dropbox, etc
24

126. Análisis
• No se observa utilización de dispositivos
externos USB
• No se observa grabación de CD/DVD’s
• No accesos servicios externos: FTP,
dropbox, etc
• Se detecta uso de cuenta de gmail:
24

127. Análisis
• No se observa utilización de dispositivos
externos USB
• No se observa grabación de CD/DVD’s
• No accesos servicios externos: FTP,
dropbox, etc
• Se detecta uso de cuenta de gmail:
– actividad de GMail y navegador Firefox:
ausencia de rastros locales
24

128. Análisis
25

129. Análisis
• Se estudia el histórico de la actividad de
internet y se concatena con la actividad de
disco (correlación de eventos)
25

130. Análisis
• Se estudia el histórico de la actividad de
internet y se concatena con la actividad de
disco (correlación de eventos)
25

131. Análisis
26

132. Análisis
• Se recuperan archivos borrados de la
papelera
26

133. Análisis
• Se recuperan archivos borrados de la
papelera
• Se trata de capturas de pantalla de la
aplicación anti-fraude
26

134. Análisis
• Se recuperan archivos borrados de la
papelera
• Se trata de capturas de pantalla de la
aplicación anti-fraude
26

135. Análisis
• Se recuperan archivos borrados de la
papelera
• Se trata de capturas de pantalla de la
aplicación anti-fraude
26

136. Conclusiones
27

137. Conclusiones
• Se han encontrado rastros del uso de una cuenta de GMail los
días 4 y 5 de noviembre. El día 5 de noviembre, entre las
18:20 y las 18:36, se envían diversos correos electrónicos o se
generan los borradores de los mismos
27

138. Conclusiones
• Se han encontrado rastros del uso de una cuenta de GMail los
días 4 y 5 de noviembre. El día 5 de noviembre, entre las
18:20 y las 18:36, se envían diversos correos electrónicos o se
generan los borradores de los mismos
• Al mismo tiempo, entre las 18:21 y las 18:36, se crean un
total de 6 documentos en formato Excel
27

139. Conclusiones
• Se han encontrado rastros del uso de una cuenta de GMail los
días 4 y 5 de noviembre. El día 5 de noviembre, entre las
18:20 y las 18:36, se envían diversos correos electrónicos o se
generan los borradores de los mismos
• Al mismo tiempo, entre las 18:21 y las 18:36, se crean un
total de 6 documentos en formato Excel
• A las 18:32, desde el navegador utilizado para la consulta de
la dirección de Gmail, se utiliza el cuadro de diálogo Abrir para
uno o varios ficheros desde la carpeta Mis Documentos
...Fraud and Payments del usuario
27

140. Conclusiones
• Se han encontrado rastros del uso de una cuenta de GMail los
días 4 y 5 de noviembre. El día 5 de noviembre, entre las
18:20 y las 18:36, se envían diversos correos electrónicos o se
generan los borradores de los mismos
• Al mismo tiempo, entre las 18:21 y las 18:36, se crean un
total de 6 documentos en formato Excel
• A las 18:32, desde el navegador utilizado para la consulta de
la dirección de Gmail, se utiliza el cuadro de diálogo Abrir para
uno o varios ficheros desde la carpeta Mis Documentos
...Fraud and Payments del usuario
• Entre las 18:35 y las 18:36, se eliminan los referidos
documentos de forma secuencial
27

141. Caso 3
28

142. Caso 3
• Antecedentes
28

143. Caso 3
• Antecedentes
– Empresa en situación complicada y un ERE en
negociación
28

144. Caso 3
• Antecedentes
– Empresa en situación complicada y un ERE en
negociación
– Al comenzar las negociaciones el director de RRHH se
percata de que todos los empleados están negociando
muy bien y solicitan cifras cercanas al máximo
previsto por la empresa
28

145. Caso 3
• Antecedentes
– Empresa en situación complicada y un ERE en
negociación
– Al comenzar las negociaciones el director de RRHH se
percata de que todos los empleados están negociando
muy bien y solicitan cifras cercanas al máximo
previsto por la empresa
– Se sospecha de filtraciones
28

146. Caso 3
• Antecedentes
– Empresa en situación complicada y un ERE en
negociación
– Al comenzar las negociaciones el director de RRHH se
percata de que todos los empleados están negociando
muy bien y solicitan cifras cercanas al máximo
previsto por la empresa
– Se sospecha de filtraciones
– El Director de RRHH, el CEO y los abogados externos
son los únicos que han intercambiado esta
información vía correo electrónico
28

147. Objetivo
29

148. Objetivo
• localizar patrones de fuga de información
sin un sospechoso específico
29

149. Fuentes de información
30

150. Fuentes de información
• logs de los servidores de la empresa
30

151. Análisis
31

152. Análisis
• Primer paso:
31

153. Análisis
• Primer paso:
– Verificar si los correos electrónicos pueden
estar siendo intervenidos
31

154. Análisis
• Primer paso:
– Verificar si los correos electrónicos pueden
estar siendo intervenidos
– Envío de correos electrónicos de trazabilidad
31

155. Análisis
• Primer paso:
– Verificar si los correos electrónicos pueden
estar siendo intervenidos
– Envío de correos electrónicos de trazabilidad
– El abogado de la empresa envía a ambos
directores un email con asunto: “actualización
listado ERE” y un archivo excel adjunto.
31

156. Análisis
32

157. Análisis
33

158. Análisis
• Verificada la apertura de correos
electrónicos por terceros ajenos a la
comunicación original, una de las aperturas
es interna, desde dentro de la empresa, la
otra es externa, una IP dinámica que no
aporta por el momento más información.
33

159. Análisis
• Verificada la apertura de correos
electrónicos por terceros ajenos a la
comunicación original, una de las aperturas
es interna, desde dentro de la empresa, la
otra es externa, una IP dinámica que no
aporta por el momento más información.
• Para la lectura se utiliza el OWA (outlook
web app)
33

160. Análisis
34

161. Análisis
• ¿Cómo acceden sin las contraseñas a los
buzones de los usuarios? No ha habido
reset de contraseñas y están sincronizadas
con el AD (Active Directory)
34

162. Análisis
• ¿Cómo acceden sin las contraseñas a los
buzones de los usuarios? No ha habido
reset de contraseñas y están sincronizadas
con el AD (Active Directory)
• Análisis logs OWA
34

163. Análisis
• ¿Cómo acceden sin las contraseñas a los
buzones de los usuarios? No ha habido
reset de contraseñas y están sincronizadas
con el AD (Active Directory)
• Análisis logs OWA
– Logins usuario Adminbes del servidor de
Blackberry en el OWA !!!
34

164. Análisis
35

165. Análisis
36

166. Análisis
37

167. Análisis
38

168. Análisis
39

169. Análisis
40

170. Conclusiones
41

171. Conclusiones
• Los correos de trazabilidad demostraron accesos a los
buzones de CEO y Dir. RRHH por parte de terceros
41

172. Conclusiones
• Los correos de trazabilidad demostraron accesos a los
buzones de CEO y Dir. RRHH por parte de terceros
• El análisis de logs ha demostrado accesos mediante un
procedimiento poco convencional a los buzones de muchos
más usuarios
41

173. Conclusiones
• Los correos de trazabilidad demostraron accesos a los
buzones de CEO y Dir. RRHH por parte de terceros
• El análisis de logs ha demostrado accesos mediante un
procedimiento poco convencional a los buzones de muchos
más usuarios
• Es necesario solicitar requerimientos a los Proveedores de
Servicio para identificar a los posibles autores (direcciones IP)
41

174. Conclusiones
• Los correos de trazabilidad demostraron accesos a los
buzones de CEO y Dir. RRHH por parte de terceros
• El análisis de logs ha demostrado accesos mediante un
procedimiento poco convencional a los buzones de muchos
más usuarios
• Es necesario solicitar requerimientos a los Proveedores de
Servicio para identificar a los posibles autores (direcciones IP)
• Otras pruebas adicionales:
41

175. Conclusiones
• Los correos de trazabilidad demostraron accesos a los
buzones de CEO y Dir. RRHH por parte de terceros
• El análisis de logs ha demostrado accesos mediante un
procedimiento poco convencional a los buzones de muchos
más usuarios
• Es necesario solicitar requerimientos a los Proveedores de
Servicio para identificar a los posibles autores (direcciones IP)
• Otras pruebas adicionales:
– Análisis vulneración intimidad (¿qué se ha accedido exactamente?)
41

176. Conclusiones
• Los correos de trazabilidad demostraron accesos a los
buzones de CEO y Dir. RRHH por parte de terceros
• El análisis de logs ha demostrado accesos mediante un
procedimiento poco convencional a los buzones de muchos
más usuarios
• Es necesario solicitar requerimientos a los Proveedores de
Servicio para identificar a los posibles autores (direcciones IP)
• Otras pruebas adicionales:
– Análisis vulneración intimidad (¿qué se ha accedido exactamente?)
– Forense PC’s
41

177. Conclusiones
• Los correos de trazabilidad demostraron accesos a los
buzones de CEO y Dir. RRHH por parte de terceros
• El análisis de logs ha demostrado accesos mediante un
procedimiento poco convencional a los buzones de muchos
más usuarios
• Es necesario solicitar requerimientos a los Proveedores de
Servicio para identificar a los posibles autores (direcciones IP)
• Otras pruebas adicionales:
– Análisis vulneración intimidad (¿qué se ha accedido exactamente?)
– Forense PC’s
– Empresa: metodología trabajo IT, incidencias
41

178. Conclusiones
• Los correos de trazabilidad demostraron accesos a los
buzones de CEO y Dir. RRHH por parte de terceros
41

179. Conclusiones
• Los correos de trazabilidad demostraron accesos a los
buzones de CEO y Dir. RRHH por parte de terceros
• El análisis de logs ha demostrado accesos mediante un
procedimiento poco convencional a los buzones de muchos
más usuarios
41

180. Conclusiones
• Los correos de trazabilidad demostraron accesos a los
buzones de CEO y Dir. RRHH por parte de terceros
• El análisis de logs ha demostrado accesos mediante un
procedimiento poco convencional a los buzones de muchos
más usuarios
• Es necesario solicitar requerimientos a los Proveedores de
Servicio para identificar a los posibles autores (direcciones IP)
41

181. Conclusiones
• Los correos de trazabilidad demostraron accesos a los
buzones de CEO y Dir. RRHH por parte de terceros
• El análisis de logs ha demostrado accesos mediante un
procedimiento poco convencional a los buzones de muchos
más usuarios
• Es necesario solicitar requerimientos a los Proveedores de
Servicio para identificar a los posibles autores (direcciones IP)
• Otras pruebas adicionales:
41

182. Conclusiones
• Los correos de trazabilidad demostraron accesos a los
buzones de CEO y Dir. RRHH por parte de terceros
• El análisis de logs ha demostrado accesos mediante un
procedimiento poco convencional a los buzones de muchos
más usuarios
• Es necesario solicitar requerimientos a los Proveedores de
Servicio para identificar a los posibles autores (direcciones IP)
• Otras pruebas adicionales:
– Análisis vulneración intimidad (¿qué se ha accedido exactamente?)
41

183. Conclusiones
• Los correos de trazabilidad demostraron accesos a los
buzones de CEO y Dir. RRHH por parte de terceros
• El análisis de logs ha demostrado accesos mediante un
procedimiento poco convencional a los buzones de muchos
más usuarios
• Es necesario solicitar requerimientos a los Proveedores de
Servicio para identificar a los posibles autores (direcciones IP)
• Otras pruebas adicionales:
– Análisis vulneración intimidad (¿qué se ha accedido exactamente?)
– Forense PC’s
41

184. Conclusiones
• Los correos de trazabilidad demostraron accesos a los
buzones de CEO y Dir. RRHH por parte de terceros
• El análisis de logs ha demostrado accesos mediante un
procedimiento poco convencional a los buzones de muchos
más usuarios
• Es necesario solicitar requerimientos a los Proveedores de
Servicio para identificar a los posibles autores (direcciones IP)
• Otras pruebas adicionales:
– Análisis vulneración intimidad (¿qué se ha accedido exactamente?)
– Forense PC’s
– Empresa: metodología trabajo IT, incidencias
41

185. Metodología y
buenas prácticas forenses
42

186. Metodología y
buenas prácticas forenses
• Reglas de los NO:
42

187. Metodología y
buenas prácticas forenses
• Reglas de los NO:
– NO encender el ordenador (de nuevo) ya que
puede sobrescribir sus datos y perder indicios
42

188. Metodología y
buenas prácticas forenses
• Reglas de los NO:
– NO encender el ordenador (de nuevo) ya que
puede sobrescribir sus datos y perder indicios
– NO acceder al ordenador del empleado aunque
el informático le diga que no se puede detectar
(SE DETECTA)
42

189. Metodología y
buenas prácticas forenses
• Reglas de los NO:
– NO encender el ordenador (de nuevo) ya que
puede sobrescribir sus datos y perder indicios
– NO acceder al ordenador del empleado aunque
el informático le diga que no se puede detectar
(SE DETECTA)
– NO hacer búsquedas
42

190. Metodología y
buenas prácticas forenses
• Reglas de los NO:
– NO encender el ordenador (de nuevo) ya que
puede sobrescribir sus datos y perder indicios
– NO acceder al ordenador del empleado aunque
el informático le diga que no se puede detectar
(SE DETECTA)
– NO hacer búsquedas
– NO intentar recuperar archivos
42

191. Metodología y
buenas prácticas forenses
43

192. Metodología y
buenas prácticas forenses
• Pasos a seguir tras un incidente:
43

193. Metodología y
buenas prácticas forenses
• Pasos a seguir tras un incidente:
– Por parte de la empresa:
43

194. Metodología y
buenas prácticas forenses
• Pasos a seguir tras un incidente:
– Por parte de la empresa:
• Política de uso de sistemas que incluya auditoria
(firmada por el trabajador)
43

195. Metodología y
buenas prácticas forenses
• Pasos a seguir tras un incidente:
– Por parte de la empresa:
• Política de uso de sistemas que incluya auditoria
(firmada por el trabajador)
• Indagar solo en los sistemas comunes (SAP, Proxy,
logs (con cuidado), etc.)
43

196. Metodología y
buenas prácticas forenses
• Pasos a seguir tras un incidente:
– Por parte de la empresa:
• Política de uso de sistemas que incluya auditoria
(firmada por el trabajador)
• Indagar solo en los sistemas comunes (SAP, Proxy,
logs (con cuidado), etc.)
• Anotar todo el histórico de sospechas, fechas y
detalles
43

197. Metodología y
buenas prácticas forenses
• Pasos a seguir tras un incidente:
– Por parte de la empresa:
• Política de uso de sistemas que incluya auditoria
(firmada por el trabajador)
• Indagar solo en los sistemas comunes (SAP, Proxy,
logs (con cuidado), etc.)
• Anotar todo el histórico de sospechas, fechas y
detalles
• Ser prudente (minimizar el número de informados)
43

198. Metodología y
buenas prácticas forenses
• Pasos a seguir tras un incidente:
– Por parte de la empresa:
• Política de uso de sistemas que incluya auditoria
(firmada por el trabajador)
• Indagar solo en los sistemas comunes (SAP, Proxy,
logs (con cuidado), etc.)
• Anotar todo el histórico de sospechas, fechas y
detalles
• Ser prudente (minimizar el número de informados)
• Llamar a su abogado
43

199. Metodología y
buenas prácticas forenses
44

200. Metodología y
buenas prácticas forenses
• Pasos a seguir tras un incidente:
44

201. Metodología y
buenas prácticas forenses
• Pasos a seguir tras un incidente:
– Por parte del abogado:
44

202. Metodología y
buenas prácticas forenses
• Pasos a seguir tras un incidente:
– Por parte del abogado:
• Consultar lo antes posible a expertos en prueba
electrónica para:
44

203. Metodología y
buenas prácticas forenses
• Pasos a seguir tras un incidente:
– Por parte del abogado:
• Consultar lo antes posible a expertos en prueba
electrónica para:
– Aseguramiento/Evitar pérdida y/o conseguir más indicios
44

204. Metodología y
buenas prácticas forenses
• Pasos a seguir tras un incidente:
– Por parte del abogado:
• Consultar lo antes posible a expertos en prueba
electrónica para:
– Aseguramiento/Evitar pérdida y/o conseguir más indicios
– Estrategia correcta (experiencia acumulada)
44

205. Metodología y
buenas prácticas forenses
• Pasos a seguir tras un incidente:
– Por parte del abogado:
• Consultar lo antes posible a expertos en prueba
electrónica para:
– Aseguramiento/Evitar pérdida y/o conseguir más indicios
– Estrategia correcta (experiencia acumulada)
– Valor probatorio
44

206. Metodología y
buenas prácticas forenses
• Pasos a seguir tras un incidente:
– Por parte del abogado:
• Consultar lo antes posible a expertos en prueba
electrónica para:
– Aseguramiento/Evitar pérdida y/o conseguir más indicios
– Estrategia correcta (experiencia acumulada)
– Valor probatorio
• No solo en casos en los que se evidencia un
incidente informático, en todos en los que haya
involucrados correos electrónicos, necesidad de
acceso a equipos informáticos, etc
44

207. Metodología y
buenas prácticas forenses
45

208. Metodología y
buenas prácticas forenses
• ¿Que haremos nosotros?
45

209. Metodología y
buenas prácticas forenses
• ¿Que haremos nosotros?
– Reunión/Comité crisis --> estrategia
45

210. Metodología y
buenas prácticas forenses
• ¿Que haremos nosotros?
– Reunión/Comité crisis --> estrategia
– Información de contexto
45

211. Metodología y
buenas prácticas forenses
• ¿Que haremos nosotros?
– Reunión/Comité crisis --> estrategia
– Información de contexto
– Identificación fuentes de información
45

212. Metodología y
buenas prácticas forenses
• ¿Que haremos nosotros?
– Reunión/Comité crisis --> estrategia
– Información de contexto
– Identificación fuentes de información
• ordenadores
45

213. Metodología y
buenas prácticas forenses
• ¿Que haremos nosotros?
– Reunión/Comité crisis --> estrategia
– Información de contexto
– Identificación fuentes de información
• ordenadores
• servidores
45

214. Metodología y
buenas prácticas forenses
• ¿Que haremos nosotros?
– Reunión/Comité crisis --> estrategia
– Información de contexto
– Identificación fuentes de información
• ordenadores
• servidores
• dispositivos usb
45

215. Metodología y
buenas prácticas forenses
• ¿Que haremos nosotros?
– Reunión/Comité crisis --> estrategia
– Información de contexto
– Identificación fuentes de información
• ordenadores
• servidores
• dispositivos usb
• teléfonos móviles
45

216. Metodología y
buenas prácticas forenses
• ¿Que haremos nosotros?
– Reunión/Comité crisis --> estrategia
– Información de contexto
– Identificación fuentes de información
• ordenadores
• servidores
• dispositivos usb
• teléfonos móviles
– Preservación de la información
45

217. Metodología y
buenas prácticas forenses
• ¿Que haremos nosotros?
– Reunión/Comité crisis --> estrategia
– Información de contexto
– Identificación fuentes de información
• ordenadores
• servidores
• dispositivos usb
• teléfonos móviles
– Preservación de la información
• cadena de custodia: copia espejo
45

218. Metodología y
buenas prácticas forenses
46

219. Metodología y
buenas prácticas forenses
47

220. Metodología y
buenas prácticas forenses
• Actuaciones in-situ:
47

221. Metodología y
buenas prácticas forenses
• Actuaciones in-situ:
– Solo para casos muy concretos:
47

222. Metodología y
buenas prácticas forenses
• Actuaciones in-situ:
– Solo para casos muy concretos:
• Tiempo muy limitado / exceso de información
47

223. Metodología y
buenas prácticas forenses
• Actuaciones in-situ:
– Solo para casos muy concretos:
• Tiempo muy limitado / exceso de información
• Procesos forenses son largos y complejos
47

224. Metodología y
buenas prácticas forenses
• Actuaciones in-situ:
– Solo para casos muy concretos:
• Tiempo muy limitado / exceso de información
• Procesos forenses son largos y complejos
• Presión
47

225. Metodología y
buenas prácticas forenses
• Actuaciones in-situ:
– Solo para casos muy concretos:
• Tiempo muy limitado / exceso de información
• Procesos forenses son largos y complejos
• Presión
• Imprecisión
47

226. Metodología y
buenas prácticas forenses
• Actuaciones in-situ:
– Solo para casos muy concretos:
• Tiempo muy limitado / exceso de información
• Procesos forenses son largos y complejos
• Presión
• Imprecisión
• Sesgo
47

227. Metodología y
buenas prácticas forenses
• Actuaciones in-situ:
– Solo para casos muy concretos:
• Tiempo muy limitado / exceso de información
• Procesos forenses son largos y complejos
• Presión
• Imprecisión
• Sesgo
• Falta objetividad
47

228. Metodología y
buenas prácticas forenses
• Actuaciones in-situ:
– Solo para casos muy concretos:
• Tiempo muy limitado / exceso de información
• Procesos forenses son largos y complejos
• Presión
• Imprecisión
• Sesgo
• Falta objetividad
• Falta herramientas
47

229. Metodología y
buenas prácticas forenses
• Actuaciones in-situ:
– Solo para casos muy concretos:
• Tiempo muy limitado / exceso de información
• Procesos forenses son largos y complejos
• Presión
• Imprecisión
• Sesgo
• Falta objetividad
• Falta herramientas
47

230. Metodología y
buenas prácticas forenses
48

231. Metodología y
buenas prácticas forenses
• Cadena de custodia:
48

232. Metodología y
buenas prácticas forenses
• Cadena de custodia:
– copia espejo/copia forense, aunque exista
protocolo interno y la Tribunal Supremo 26
Septiembre 2007, se recomienda:
48

233. Metodología y
buenas prácticas forenses
• Cadena de custodia:
– copia espejo/copia forense, aunque exista
protocolo interno y la Tribunal Supremo 26
Septiembre 2007, se recomienda:
• Ante notario (presencia y depósito)
48

234. Metodología y
buenas prácticas forenses
• Cadena de custodia:
– copia espejo/copia forense, aunque exista
protocolo interno y la Tribunal Supremo 26
Septiembre 2007, se recomienda:
• Ante notario (presencia y depósito)
• Presencia trabajador/Notificación al trabajador
48

235. Metodología y
buenas prácticas forenses
• Cadena de custodia:
– copia espejo/copia forense, aunque exista
protocolo interno y la Tribunal Supremo 26
Septiembre 2007, se recomienda:
• Ante notario (presencia y depósito)
• Presencia trabajador/Notificación al trabajador
• Representante de los trabajadores
48

236. Metodología y
buenas prácticas forenses
• Cadena de custodia:
– copia espejo/copia forense, aunque exista
protocolo interno y la Tribunal Supremo 26
Septiembre 2007, se recomienda:
• Ante notario (presencia y depósito)
• Presencia trabajador/Notificación al trabajador
• Representante de los trabajadores
• En horario laboral
48

237. Metodología y
buenas prácticas forenses
• Cadena de custodia:
– copia espejo/copia forense, aunque exista
protocolo interno y la Tribunal Supremo 26
Septiembre 2007, se recomienda:
• Ante notario (presencia y depósito)
• Presencia trabajador/Notificación al trabajador
• Representante de los trabajadores
• En horario laboral
• Actas de testigos
48

238. Metodología y
buenas prácticas forenses
• Cadena de custodia:
– copia espejo/copia forense, aunque exista
protocolo interno y la Tribunal Supremo 26
Septiembre 2007, se recomienda:
• Ante notario (presencia y depósito)
• Presencia trabajador/Notificación al trabajador
• Representante de los trabajadores
• En horario laboral
• Actas de testigos
• Hash criptográfico
48

239. Metodología y
buenas prácticas forenses
49

240. Metodología y
buenas prácticas forenses
• Cadena de custodia:
49

241. Metodología y
buenas prácticas forenses
• Cadena de custodia:
– copia espejo/copia forense
49

242. Metodología y
buenas prácticas forenses
• Cadena de custodia:
– copia espejo/copia forense
• Cerrar un sobre con disco duro
49

243. Metodología y
buenas prácticas forenses
• Cadena de custodia:
– copia espejo/copia forense
• Cerrar un sobre con disco duro
• Etiqueta de seguridad
49

244. Metodología y
buenas prácticas forenses
• Cadena de custodia:
– copia espejo/copia forense
• Cerrar un sobre con disco duro
• Etiqueta de seguridad
• Reflejar información cadena de
custodia
49

245. Metodología y
buenas prácticas forenses
• Cadena de custodia:
– copia espejo/copia forense
• Cerrar un sobre con disco duro
• Etiqueta de seguridad
• Reflejar información cadena de
custodia
• Entregar a notario o meter en
caja fuerte
49

246. Metodología y
buenas prácticas forenses
• Cadena de custodia:
– copia espejo/copia forense
• Cerrar un sobre con disco duro
• Etiqueta de seguridad
• Reflejar información cadena de
custodia
• Entregar a notario o meter en
caja fuerte
49

247. Metodología y
buenas prácticas forenses
50

248. Metodología y
buenas prácticas forenses
• Copia espejo/copia forense/copia
ciega/copia bit a bit:
50

249. Metodología y
buenas prácticas forenses
• Copia espejo/copia forense/copia
ciega/copia bit a bit:
– Es una copia BIT a BIT de TODA la información
contenida en un medio de almacenamiento de
información (generalmente un disco duro)
50

250. Metodología y
buenas prácticas forenses
51

251. Metodología y
buenas prácticas forenses
• Copia espejo
51

252. Metodología y
buenas prácticas forenses
• Copia espejo
Disco Duro Original
101000101010100011010011010
….. Copia bit a bit …….
101000101010100011010011010
Disco Duro Destino
Archivo de
copia -No es una copia a nivel de Archivos ni de
sistema operativo
51

253. Metodología y
buenas prácticas forenses
52

254. Metodología y
buenas prácticas forenses
• Métodos de copia
52

255. Metodología y
buenas prácticas forenses
• Métodos de copia
– Hardware de copiado:
52

256. Metodología y
buenas prácticas forenses
• Métodos de copia
– Hardware de copiado:
• Sencillo de entender por los
profanos
52

257. Metodología y
buenas prácticas forenses
• Métodos de copia
– Hardware de copiado:
• Sencillo de entender por los
profanos
• Método muy visual
52

258. Metodología y
buenas prácticas forenses
• Métodos de copia
– Hardware de copiado:
• Sencillo de entender por los
profanos
• Método muy visual
• Fácil de utilizar
52

259. Metodología y
buenas prácticas forenses
• Métodos de copia
– Hardware de copiado:
• Sencillo de entender por los
profanos
• Método muy visual
• Fácil de utilizar
• Problema: No siempre es posible
extraer el disco duro de un
dispositivo
52

260. Metodología y
buenas prácticas forenses
53

261. Metodología y
buenas prácticas forenses
• Métodos de copia
53

262. Metodología y
buenas prácticas forenses
• Métodos de copia
– Copiado disco a disco desde PC
Alternativo
53

263. Metodología y
buenas prácticas forenses
• Métodos de copia
– Copiado disco a disco desde PC
Alternativo
• Posible entender por los profanos
53

264. Metodología y
buenas prácticas forenses
• Métodos de copia
– Copiado disco a disco desde PC
Alternativo
• Posible entender por los profanos
• Método visual
53

265. Metodología y
buenas prácticas forenses
• Métodos de copia
– Copiado disco a disco desde PC
Alternativo
• Posible entender por los profanos
• Método visual
• Garantía del software de copiado
53

266. Metodología y
buenas prácticas forenses
• Métodos de copia
– Copiado disco a disco desde PC
Alternativo
• Posible entender por los profanos
• Método visual
• Garantía del software de copiado
• (Puede entregarse el CD-ROM)
53

267. Metodología y
buenas prácticas forenses
• Métodos de copia
– Copiado disco a disco desde PC
Alternativo
• Posible entender por los profanos
• Método visual
• Garantía del software de copiado
• (Puede entregarse el CD-ROM)
• Difícil de realizar (expertos)
53

268. Metodología y
buenas prácticas forenses
• Métodos de copia
– Copiado disco a disco desde PC
Alternativo
• Posible entender por los profanos
• Método visual
• Garantía del software de copiado
• (Puede entregarse el CD-ROM)
• Difícil de realizar (expertos)
• Problema: No siempre es posible
extraer el disco duro de un dispositivo
53

269. Metodología y
buenas prácticas forenses
54

270. Metodología y
buenas prácticas forenses
• Métodos de copia
54

271. Metodología y
buenas prácticas forenses
• Métodos de copia
• Copia del disco desde el mismo PC
Objetivo
54

272. Metodología y
buenas prácticas forenses
• Métodos de copia
• Copia del disco desde el mismo PC
Objetivo
– No es necesario abrir y extraer disco
54

273. Metodología y
buenas prácticas forenses
• Métodos de copia
• Copia del disco desde el mismo PC
Objetivo
– No es necesario abrir y extraer disco
– Garantía del software de copiado.
54

274. Metodología y
buenas prácticas forenses
• Métodos de copia
• Copia del disco desde el mismo PC
Objetivo
– No es necesario abrir y extraer disco
– Garantía del software de copiado.
– Puede entregarse el CD-ROM
54

275. Metodología y
buenas prácticas forenses
• Métodos de copia
• Copia del disco desde el mismo PC
Objetivo
– No es necesario abrir y extraer disco
– Garantía del software de copiado.
– Puede entregarse el CD-ROM
– Muy poco visual
54

276. Metodología y
buenas prácticas forenses
• Métodos de copia
• Copia del disco desde el mismo PC
Objetivo
– No es necesario abrir y extraer disco
– Garantía del software de copiado.
– Puede entregarse el CD-ROM
– Muy poco visual
– Difícil de realizar (expertos)
54

277. Metodología y
buenas prácticas forenses
55

278. Metodología y
buenas prácticas forenses
• HASH criptográfico
55

279. Metodología y
buenas prácticas forenses
• HASH criptográfico
– Integridad de la información adquirida
55

280. Metodología y
buenas prácticas forenses
• HASH criptográfico
– Integridad de la información adquirida
10100010101010001101 SHA-1 b7642ba8a766b0d6b197b6d00883bea94b578dec
10100010101010001101 SHA-1 b7642ba8a766b0d6b197b6d00883bea94b578dec
55

281. Metodología y
buenas prácticas forenses
56

282. Metodología y
buenas prácticas forenses
• Análisis
56

283. Metodología y
buenas prácticas forenses
• Análisis
– Alcance --> ¿PODEMOS
ANALIZARLO TODO?
56

284. Metodología y
buenas prácticas forenses
• Análisis
– Alcance --> ¿PODEMOS
ANALIZARLO TODO?
• Ejemplo:Disco Duro 100 GB
56

285. Metodología y
buenas prácticas forenses
• Análisis
– Alcance --> ¿PODEMOS
ANALIZARLO TODO?
• Ejemplo:Disco Duro 100 GB
• 1 Página WORD aprox. 400
palabras, 3000 caracteres, 3Kb
56

286. Metodología y
buenas prácticas forenses
• Análisis
– Alcance --> ¿PODEMOS
ANALIZARLO TODO?
• Ejemplo:Disco Duro 100 GB
• 1 Página WORD aprox. 400
palabras, 3000 caracteres, 3Kb
• lectura media: 0,3 páginas/
minuto100.000.000.000 / 3000 =
33MM Páginas
56

287. Metodología y
buenas prácticas forenses
• Análisis
– Alcance --> ¿PODEMOS
ANALIZARLO TODO?
• Ejemplo:Disco Duro 100 GB
• 1 Página WORD aprox. 400
palabras, 3000 caracteres, 3Kb
• lectura media: 0,3 páginas/
minuto100.000.000.000 / 3000 =
33MM Páginas
• 634 años para una persona a
razón de 8 horas al día
56

288. Metodología y
buenas prácticas forenses
57

289. Metodología y
buenas prácticas forenses
• Como debe ser la prueba:
57

290. Metodología y
buenas prácticas forenses
• Como debe ser la prueba:
– Lícita
57

291. Metodología y
buenas prácticas forenses
• Como debe ser la prueba:
– Lícita
– Necesaria
57

292. Metodología y
buenas prácticas forenses
• Como debe ser la prueba:
– Lícita
– Necesaria
– Idónea
57

293. Metodología y
buenas prácticas forenses
• Como debe ser la prueba:
– Lícita
– Necesaria
– Idónea
– Proporcional
57

294. Metodología y
buenas prácticas forenses
58

295. Metodología y
buenas prácticas forenses
• Procedimientos técnicos forenses
58

296. Metodología y
buenas prácticas forenses
• Procedimientos técnicos forenses
– Timeline. Actividad del ordenador
58

297. Metodología y
buenas prácticas forenses
• Procedimientos técnicos forenses
– Timeline. Actividad del ordenador
– Timeline hechos (línea temporal de sucesos)
58

298. Metodología y
buenas prácticas forenses
• Procedimientos técnicos forenses
– Timeline. Actividad del ordenador
– Timeline hechos (línea temporal de sucesos)
– Logs (registros del sistema)
58

299. Metodología y
buenas prácticas forenses
• Procedimientos técnicos forenses
– Timeline. Actividad del ordenador
– Timeline hechos (línea temporal de sucesos)
– Logs (registros del sistema)
– Recuperación datos
58

300. Metodología y
buenas prácticas forenses
• Procedimientos técnicos forenses
– Timeline. Actividad del ordenador
– Timeline hechos (línea temporal de sucesos)
– Logs (registros del sistema)
– Recuperación datos
– Dispositivos HW conectados
58

301. Metodología y
buenas prácticas forenses
• Procedimientos técnicos forenses
– Timeline. Actividad del ordenador
– Timeline hechos (línea temporal de sucesos)
– Logs (registros del sistema)
– Recuperación datos
– Dispositivos HW conectados
– Navegación
58

302. Metodología y
buenas prácticas forenses
• Procedimientos técnicos forenses
– Timeline. Actividad del ordenador
– Timeline hechos (línea temporal de sucesos)
– Logs (registros del sistema)
– Recuperación datos
– Dispositivos HW conectados
– Navegación
– Historial
58

303. Metodología y
buenas prácticas forenses
• Procedimientos técnicos forenses
– Timeline. Actividad del ordenador
– Timeline hechos (línea temporal de sucesos)
– Logs (registros del sistema)
– Recuperación datos
– Dispositivos HW conectados
– Navegación
– Historial
– Temporales
58

304. Metodología y
buenas prácticas forenses
• Procedimientos técnicos forenses
– Timeline. Actividad del ordenador
– Timeline hechos (línea temporal de sucesos)
– Logs (registros del sistema)
– Recuperación datos
– Dispositivos HW conectados
– Navegación
– Historial
– Temporales
– …
58

305. Metodología y
buenas prácticas forenses
59

306. Metodología y
buenas prácticas forenses
• Procedimientos búsqueda y revisión de
información
59

307. Metodología y
buenas prácticas forenses
• Procedimientos búsqueda y revisión de
información
– Búsquedas ciegas
59

308. Metodología y
buenas prácticas forenses
• Procedimientos búsqueda y revisión de
información
– Búsquedas ciegas
– Heurística
59

309. Metodología y
buenas prácticas forenses
Software especializado
60

310. Metodología y
buenas prácticas forenses
• Búsquedas ciegas por palabras clave:
Software especializado
60

311. Metodología y
buenas prácticas forenses
• Búsquedas ciegas por palabras clave:
ENTORNO FORENSE INDICIO 1
PALABRAS
información
Software especializado INDICIO 2
INDICIO 3
60

312. Metodología y
buenas prácticas forenses
61

313. Metodología y
buenas prácticas forenses
• Búsquedas ciegas por palabras clave:
61

314. Metodología y
buenas prácticas forenses
• Búsquedas ciegas por palabras clave:
En un lugar de la Manc01011010101010101010101111111111010101ha [2], de cuyosdfhldfkghkldhjwrgirtky3p
45kyqt69876pyhethjrt01011010101010101010101111111111010101muw5thlla de algo más vaca que carnero, salpi có n las más noches [5], duelos y
1 queb01011010101010101010101111111111010101rantos los sábados [6], lantejas los viernes [7], algún palomino
2 d01011010101010101010101111111111010101e añadidura los domingos [8], consumían las tres partes de su hsdfgawemñ ropghaeropvthkkwrterghtrjdetgjdor
3 y amigo de la caza. Quieren decir que tenía el sobrenombre de «Quijada», o «Quesada», que en esdgsdfhdfjyghjsto hay alguna diferencia en los autores que
4 deste caso escriben, aunque por conjeturas verisímiles [*] se 01011010101010101010101111111111010101deja entender que se llamaba «Quijana» [*][16].
5 Pero esto importa poco a nuestro cuento: basta que en la narración dél no se salga un punto de la verdad.asgsdh sghhstrbvqyw45yc4w 576457878k9mnbu
v65we 45yxc34qt6w45yub57jws45 pepe@hotmail.com 834058234058230458erwerwerwer oc01010101010010101001 010101010
10101000000000000000000000101011010 10101010101010111111 11110101010110asdñfjjqcgmex
El software forense nos indica si la
palabra clave localizada
corresponde a un fichero, si está
borrado o es un rastro que queda
Palabras por el disco
Clave
61

315. Metodología y
buenas prácticas forenses
Forensics
62

316. Metodología y
buenas prácticas forenses
• Búsqueda forense: (Búsqueda extendida)
Forensics
62

317. Metodología y
buenas prácticas forenses
• Búsqueda forense: (Búsqueda extendida)
– Ficheros Ofimáticos
Forensics
62

318. Metodología y
buenas prácticas forenses
• Búsqueda forense: (Búsqueda extendida)
– Ficheros Ofimáticos
– Ficheros PDF
Forensics
62

319. Metodología y
buenas prácticas forenses
• Búsqueda forense: (Búsqueda extendida)
– Ficheros Ofimáticos
– Ficheros PDF
– Correo corporativo
Forensics
62

320. Metodología y
buenas prácticas forenses
• Búsqueda forense: (Búsqueda extendida)
– Ficheros Ofimáticos
– Ficheros PDF
– Correo corporativo
– Ficheros comprimidos
Forensics
62

321. Metodología y
buenas prácticas forenses
• Búsqueda forense: (Búsqueda extendida)
– Ficheros Ofimáticos
– Ficheros PDF
– Correo corporativo
– Ficheros comprimidos
Forensics
– Registro sistema
62

322. Metodología y
buenas prácticas forenses
• Búsqueda forense: (Búsqueda extendida)
– Ficheros Ofimáticos
– Ficheros PDF
– Correo corporativo
– Ficheros comprimidos
Forensics
– Registro sistema
–…
62

323. Metodología y
buenas prácticas forenses
63

324. Metodología y
buenas prácticas forenses
• Sentencia 164/08 Audiencia Provincial de Barcelona
63

325. Metodología y
buenas prácticas forenses
• Sentencia 164/08 Audiencia Provincial de Barcelona
– “Y a la vista de ello argumentábamos que en este caso no era posible
apreciar una vulneración de este derecho constitucional porque el perito
informá́tico no había interferido ningún proceso de comunicación ajeno. El
perito lo que hizo fue una búsqueda ciega a través de una herramienta in-
formática (...),que no conlleva la lectura de toda la información para
detectar lo relevante para la empresa, sino la utilización de palabras clave
que solo permiten rescatar lo que interesa, si es que no hubiera sido
borrado en la reinstalación. El borrado usual (pues existen otros de bajo
nivel que sí eliminan la información), no hace desaparecer los datos, sino
que elimina las entradas de los mismos y hace imposible acceder a ellos: al
romperse el código de entrada en sistema binario, los datos permanecen,
pero confundidos e indistinguibles en una enorme cantidad de ceros y unos,
de modo que el programa empleado pretende detectar los patrones binarios
de ciertas palabras, y una vez detectados, reinterpretar por encima y por
debajo hasta reconstruir un texto.
63

326. Metodología y
buenas prácticas forenses
64

327. Metodología y
buenas prácticas forenses
• Heurística
64

328. Metodología y
buenas prácticas forenses
65

329. Contacto
INCIDE – Investigación Digital
Passeig Sant Gervasi, 10 ent. 3ª
08021 Barcelona
info@incide.es
http://www.incide.es
http://www.twitter.com/1NC1D3
http://www.atrapadosporlosbits.com
http://www.youtube.com/incidetube
Companies > INCIDE - Investigación Digital
Tel./Fax. +34 932 546 277 / +34 932 546 314
66

330. Contacto
INCIDE – Investigación Digital
• ¿Preguntas? Passeig Sant Gervasi, 10 ent. 3ª
08021 Barcelona
info@incide.es
http://www.incide.es
http://www.twitter.com/1NC1D3
http://www.atrapadosporlosbits.com
http://www.youtube.com/incidetube
Companies > INCIDE - Investigación Digital
Tel./Fax. +34 932 546 277 / +34 932 546 314
66