Análisis Forense Digital: Metodología, Legislación y Herramientas

ANÁLISIS FORENSE DIGITAL

Hugo Núñez Campos

Administración de Sistemas Informáticos en Red

ÍNDICE

IDEA DEL PROYECTO

1. INTRODUCCIÓN
2. METODOLOGÍA Y FASES
1. Identificación del incidente
2. Preservación de la evidencia digital
3. Recopilación y análisis de datos
4. Documentación y reporte de hallazgos
3. LEGISLACIÓN Y NORMATIVA
1. Regulación en España
2. Regulación internacional.
4. HERRAMIENTAS
1. Autopsy
2. SilentEye
3. FTK Imager
4. RedLine
5. CASO PRÁCTICO DE SIMULACIÓN
1. Investigación a docente de centro educativo
2. Adquisición de la evidencia digital
1. Imagen del disco duro
2. Imagen de la memoria RAM y procedimientos
3. Análisis de las evidencias obtenidas
6. INFORME PERICIAL FORENSE Y CADENA DE CUSTODIA
7. CONCLUSIONES Y FUTURAS LÍNEAS DE INVESTIGACIÓN
1. Principales hallazgos del trabajo
2. Desafíos actuales
3. Tecnologías emergentes

BIBLIOGRAFÍA ANEXOS

Hugo Núñez Campos

2Administración de Sistemas Informáticos en Red

IDEA DEL PROYECTO

En este proyecto voy a encargarme de lo relacionado con el Análisis Forense Digital. Este tema engloba gran cantidad de temas variados, pero voy a centrarme en los siguientes:

1. Introducción al Análisis Forense en Ciberseguridad
   • Definición y objetivos del análisis forense digital.
   • Importancia en la administración de sistemas informáticos en red.
   • Relación con la ciberseguridad y la respuesta a incidentes.
   • Tipos de análisis forense (de redes, de sistemas, de dispositivos móviles,etc.).
2. Metodología y fases
   • Identificación del incidente.
   • Preservación de la evidencia digital (técnicas de adquisición de imágenes).
   • Recopilación y análisis de datos (logs, registros de red, sistemas de archivos, memoria RAM).
   • Documentación y reporte de hallazgos.
3. Legislación y normativas
   • Normativas de protección de datos (GDPR, LOPD, ISO 27001).
   • Aspectos legales en la recolección y uso de evidencia digital.
4. Herramientas
   • Autopsy (análisis de discos y sistemas de archivos).
   • RedLine (adquisición de memoria RAM).
   • FTK Imager (adquisición de imágenes).
   • SilentEye (esteganografía
5. Caso práctico de simulación.
   • Simulación de un ataque y recopilación de evidencias.
   • Análisis detallado con herramientas.
6. Informe pericial forense.
   • Documentación del proceso y conclusiones.
   • Realizar un informe forense oficial del caso práctico.
7. Conclusiones y futuras líneas de investigación
   • Principales hallazgos del trabajo.
   • Retos actuales en el análisis forense digital.
   • Tecnologías emergentes (inteligencia artificial, blockchain, etc.).

Hugo Núñez Campos

3Administración de Sistemas Informáticos en Red

Tras mencionar brevemente los temas a tratar en el proyecto, mi objetivo con el mismo es adentrarme más en el campo de la ciberseguridad y poder hacer un análisis de un apartado que un principio no resuena tanto como otros, sin embargo tiene una importancia y complejidad detrás digna de estudio. Trataré de forma teórica en un principio dichos apartados, y, posteriormente, realizaré un caso de estudio práctico donde implementaré aquellos contenidos que habré mostrado teóricamente.

Espero obtener de este proyecto un mayor conocimiento sobre la ciberseguridad, ya que mi curiosidad fue aumentando a medida que veía más temario de la asignatura de Seguridad y Alta Disponibilidad. Mi idea también es obtener más preparación para el curso de ciberseguridad que es muy importante hoy en día y con este proyecto veré bastantes campos dentro de la misma. La ciberseguridad en sí, tiene un amplio temario, pero creo que este proyecto es una buena introducción a dicho campo y comprender la metodología y fases del análisis forense digital.

Hugo Núñez Campos

4Administración de Sistemas Informáticos en Red

INTRODUCCIÓN

Hoy en día donde todo se encuentra digitalizado, la seguridad digital y la capacidad de respuesta ante incidentes informáticos se han convertido en aspectos fundamentales para las organizaciones y empresas. La administración de sistemas informáticos en red no solo implica la gestión eficiente de infraestructuras tecnológicas, sino también la preparación y defensa frente a amenazas que pueden comprometer la integridad, confidencialidad y disponibilidad de los datos. En este contexto, el análisis digital forense emerge como una disciplina clave, cuyo objetivo es identificar, preservar, analizar y presentar evidencias digitales de manera rigurosa y legalmente válida.

La Ciencia Forense, ha ido desarrollándose exponencialmente a lo largo de estos últimos años, lo que en un principio parecía un caso imposible de resolver, dificultado por no poder analizar huellas, sangre o cualquier pista de ADN (por ejemplo), ha pasado a ser mucho menos complicado con el desarrollo de la tecnología y un paso crucial a la hora de poder resolver cualquier tipo de crimen. En el ámbito tecnológico o de la informática, se ha abierto un amplio campo de posibilidades relacionadas con el análisis forense. En mi caso, me voy a centrar en la obtención de pruebas y peritaje de ellas haciendo uso de softwares avanzados y que nos ayudan en gran medida a combatir la pérdida o borrado de información que podría darse en cualquier caso. Como dijo el francés Edmond Locard (1910) en el famoso Principio de Locard "Todo contacto deja una huella", lo que quiere decir que en cualquiera de los casos, el autor de los hechos siempre va a dejar una evidencia por muy minúscula que sea, y esto, traducido a la informática, se traduce en un mundo de posibilidades.

A partir de esta base, es importante distinguir los distintos contextos en los que se aplica el análisis forense digital. Principalmente, este se desarrolla en dos grandes ámbitos: el corporativo y el criminal.

Investigaciones criminales. Este tipo de investigaciones se llevan a cabo cuando existe la sospecha de que se ha cometido un delito, ya sea de carácter civil o penal. Su finalidad es recopilar evidencias digitales que puedan ser utilizadas en un proceso judicial. Las consecuencias para los implicados pueden ir desde sanciones económicas hasta penas de prisión, dependiendo de la gravedad y naturaleza del delito.

Investigaciones corporativas. Estas investigaciones se centran en detectar y analizar infracciones internas a las normas o políticas de una organización. Un ejemplo típico sería el uso indebido de los recursos informáticos de la empresa, como acceder a las páginas de apuestas o contenidos inapropiados desde dispositivos corporativos. Aunque su origen es interno, algunas de estas investigaciones contienen material ilegal o robo de información confidencial. Las posibles repercusiones legales incluyen el despido del trabajador y/o la obligación de compensar económicamente a la empresa afectada.

Hugo Núñez Campos

5Administración de Sistemas Informáticos en Red

METODOLOGÍA Y FASES

Identificación del incidente

La identificación del incidente es la primera y una de las fases más críticas dentro del proceso de análisis forense digital. Consiste en detectar que ha ocurrido un evento anómalo o sospechoso en un sistema informático que podría indicar una posible intrusión, violación de políticas, pérdida de datos o actividad maliciosa. Esta fase busca confirmar la existencia del incidente y determinar su naturaleza, alcance y posibles consecuencias.

Durante esta etapa, los analistas forenses trabajan estrechamente con los equipos de seguridad y administración de sistemas para recopilar indicios preliminares a través de registros de eventos (logs), alertas de sistemas de detección de intrusos (IDS/IPS), informes del antivirus, análisis del comportamiento de usuarios y actividad inusual en la red o en los dispositivos. Una detección temprana y precisa permite actuar con rapidez para contener el incidente y minimizar el impacto sobre los sistemas afectados.

Además, una correcta identificación implica no solo detectar que algo ha ocurrido, sino también clasificar el tipo de incidente y priorizar su tratamiento en función de su criticidad. Toda la información recolectada en esta fase se documenta cuidadosamente para garantizar la trazabilidad y para que pueda ser utilizada como evidencia en una posible investigación legal posterior. Para poder identificar correctamente el incidente, tenemos cinco reglas de evidencia digital enunciadas por Sheetz (2013):

1. Admisibilidad: la información debe poder presentarse como prueba legal en un juicio.
2. Autenticidad: la evidencia debe ser legítima y estar directamente relacionada con el hecho investigado.
3. Integridad: la prueba debe proporcionar una visión completa del incidente, permitiendo demostrar tanto la culpabilidad como la posible inocencia del acusado.
4. Confiabilidad: no debe generar dudas sobre su origen o exactitud; debe poder contar una historia coherente y verificable.
5. Credibilidad: debe presentarse de manera clara, comprensible y persuasiva para que un jurado o juez pueda interpretarla sin ambigüedades.

Para cumplir con estos principios, diversas organizaciones han establecido estándares internacionales que orientan la correcta recolección y preservación de evidencia digital. Aunque existen variaciones entre ellos, la mayoría coincide en aspectos fundamentales como:

• Mantener el estado original del dispositivo o medio lo más intacto posible desde su descubrimiento.
• Asegurarse de que el personal que realiza la recolección esté capacitado técnicamente y sepa aplicar los procedimientos adecuados.
• Realizar una copia forense exacta (imagen bit a bit) del soporte original, la cual se utilizará en el análisis para no alterar la fuente primaria.

Hugo Núñez Campos

6Administración de Sistemas Informáticos en Red

• Las copias deben almacenarse en dispositivos completamente vacíos y libres de información previa.
• Toda evidencia debe ser correctamente etiquetada, registrada y documentada, manteniendo de forma rigurosa la cadena de custodia. Este concepto es esencial, ya que permite trazar quién ha tenido acceso a la evidencia en cada momento, incluyendo registros detallados sobre su recogida, transporte, analisis y almacenamiento.

Preservación de la evidencia digital

Una vez identificado el incidente, el siguiente paso esencial en el análisis forense digital es la preservación adecuada de la evidencia. Esta etapa tiene como objetivo garantizar que los datos potencialmente relevantes no se alteren, dañen ni pierdan durante el proceso de investigación. La correcta preservación es fundamental para mantener la integridad y validez legal de la evidencia digital.

En cualquier proceso de investigación, es fundamental que el analista sea capaz de justificar en todo momento el origen, el manejo y el estado de los datos y dispositivos que han sido recopilados. Para garantizar esta trazabilidad, se utiliza un mecanismo conocido como cadena de custodia. Este procedimiento consiste en un registro (que puede ser en formato físico o digital) en el que se documenta, de forma cronológica, cada acción realizada sobre la evidencia desde el momento exacto en que fue obtenida.

La función principal de la cadena de custodia es asegurar que cualquier elemento probatorio digital se mantenga íntegro, y que cualquier persona que haya tenido contacto con él pueda ser identificada. Esto incluye detalles sobre quién accedió a la evidencia, en qué lugar, en qué fecha y con qué propósito. Gracias a este registro detallado, se puede demostrar que la evidencia no ha sido manipulada o comprometida durante el proceso de análisis.

Como requisito mínimo, debe contener la información necesaria para identificar claramente la evidencia, las personas responsables de su manejo en cada etapa, los lugares por los que ha transitado y los momentos en los que se realizaron accesos o intervenciones. Este nivel de control es esencial para que la evidencia digital mantenga su validez y sea aceptada como prueba en procedimientos legales o disciplinarios.

Figura 1

Representación del proceso de cadena de custodia digital. Fuente: Fases y metodología del análisis forense. Autores: Josep Maria Arques Soldevila, Miquel colobran Huguet & Erik de Luis Gargallo. Editorial: Universitat Oberta de Catalunya.

Hugo Núñez Campos

7