Informática forense E-Book

Informática forense

Luis Miguel Torres Ortiz

Derechos reservados © Alfaomega Grupo Editor, S.A. de C.V., México

Primera edición: 2023

ISBN: 978-607-576-109-1

Primera edición: MARCOMBO, S.L. 2025

© 2025 MARCOMBO, S.L. www.marcombo.com

Gran Via de les Corts Catalanes 594, 08007 Barcelona

Contacto: [email protected]

Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización de sus titulares, salvo excepción prevista por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra

ISBN del libro en papel: 978-84-267-3959-9

ISBN del libro electrónico: 978-84-267-3995-7

Producción del ePub: booqlab

“El éxito no viene solo. Requiere esfuerzo y sacrificio. La gente extraordinaria es simplemente la que está dispuesta a hacer lo que no está dispuesta a hacer la gente normal”.Robin Sharma.

Dedico esta investigación a los profesionales de la seguridad informática deseando que pueda brindar conocimiento y despertar el hábito invaluable de la investigación y la formación autodidacta.

Acerca del autor

Luis Miguel Torres Ortiz

Ingeniero en Computación (Informática) por la UNAM, Luis Ortiz es un investigador en informática forense que cuenta con diversas certificaciones en el campo de la ciberseguridad. Se desempeña como instructor y consultor en ambos tópicos para organizaciones del ámbito privado, por lo que se ha convertido en un divulgador incansable de técnicas y conocimiento que apoyen a la protección de la información de las organizaciones, así como de sus colaboradores en México y Latinoamérica.

Correo electrónico: [email protected]

Agradecimientos

A mi madre, quien, sin un conocimiento absoluto en este ámbito, me enseñó todo.

A cada persona que me abrió las puertas de su conocimiento para comprender más y permitirme crecer como profesional.

A aquel niño que, con un sueño, impulsó la creación y culminación de esta obra.

Contenido

Prólogo

CAPÍTULO 1Delitos y usuarios informáticos

1.1 ¿Qué es un delito informático?

1.1.1 Propuesta de definición para un delito informático

1.2 Tipos de delitos informáticos

1.3 Tipos de usuarios en los sistemas informáticos

1.4 Peritajes psicológicos y su relación con la informática forense

CAPÍTULO 2Fundamentos de la informática forense

2.1 Fundamentos de los sistemas operativos Windows

2.1.1 Sistemas de archivos NTFS

2.1.2 Sistema de jerarquía de archivos en sistemas NTFS

2.1.3 Procesos en los sistemas operativos Windows

2.1.4 Servicios en los sistemas operativos Windows

2.1.5 Registros en los sistemas operativos Windows

2.1.6 Eventos en los sistemas de archivos NTFS

2.2 Fundamentos de los sistemas operativos GNU/Linux

2.2.1 Sistemas de archivos Ext4

2.2.2 Jerarquía de archivos en sistemas Ext4

2.2.3 Demonios en sistemas de archivos Ext4

2.2.4 Usuarios en los sistemas operativos GNU/Linux

2.2.5 Contraseñas de usuarios en GNU/Linux

2.2.6 Grupos de usuarios en GNU/Linux

2.3 Fundamentos de los sistemas operativos MacOS

2.3.1 Sistema de archivos APFS

2.3.2 Estructura de los sistemas de archivos APFS

2.4 Fundamentos de los sistemas operativos iOS

2.4.1 Estructura de capas del sistema operativo iOS

2.4.2 Cifrado de los sistemas operativos iOS

2.5 Fundamentos de los sistemas operativos Android

2.5.1 Arquitectura de los sistemas Android

2.5.2 Particiones de los sistemas operativos Android

2.5.3 Modelo de permiso

2.6 Particiones en discos duros

2.7 Máquinas virtuales

2.7.1 VMWare Workstation Pro

2.7.1.1 Instalación en entornos Windows

2.7.1.2 Instalación en entornos GNU/Linux

2.7.2 Oracle Virtual Box

2.7.2.1 Instalación en entornos Windows

CAPÍTULO 3Introducción a la informática forense

3.1 Fases de una investigación en la informática forense

3.2 Evidencia digital

3.2.1 Características de las evidencias digitales

3.3 Información volátil y no volátil

3.4 Incidentes de ciberseguridad y su respuesta

3.4.1 Equipos de respuesta a los incidentes

3.4.2 Estándares internacionales

3.5 Equipos de seguridad informática

3.5.1 Blue Team

3.5.2 Red Team

3.5.3 Purple Team

3.6 Funciones hash

3.7 Números mágicos

3.8 Metadatos

3.8.1 Ciclo de vida de los metadatos

3.9 Criptografía y esteganografía

3.9.1 Criptografía simétrica

3.9.2 Criptografía asimétrica

3.10 Análisis de riesgos

3.11 Marco de trabajo OSINT

3.12 Acuerdo de confidencialidad

CAPÍTULO 4Formación de un perito en informática forense

4.1 ¿Qué es un perito en informática forense?

4.2 Tipos de peritos en la informática

4.3 Formación requerida

4.4 Perfil de un perito en informática

4.5 Certificaciones internacionales

CAPÍTULO 5Producción de ambientes controlados para la investigación de delitos informáticos

5.1 USB de arranque

5.2 Herramientas no dependientes del sistema operativo

5.3 Creación de ambientes controlados para el análisis forense en los sistemas Windows

5.3.1 Fase de adquisición de indicios

5.3.1.1 Adquisición de información volátil

5.3.1.2 Adquisición de información no volátil

5.3.2 Fase de análisis de indicios y extracción de evidencias

5.4 Creación de ambientes controlados para el análisis forense en sistemas GNU/Linux

5.4.1 Fase de adquisición de indicios

5.4.1.1 Adquisición de información volátil

5.4.1.2 Adquisición de información No volátil

5.4.2 Fase de análisis de indicios y extracción de evidencias

5.5 Creación de ambientes controlados para el análisis forense en sistemas MacOS e iOS

5.5.1 Fase de adquisición de indicios

5.5.1.1 Adquisición de información volátil

5.5.1.2 Adquisición de información No volátil

5.5.2 Fase de análisis de indicios y extracción de evidencias

5.6 Creación de ambientes controlados para el análisis forense en sistemas Android

5.6.1 Fase de adquisición de indicios

5.6.2 Fase de análisis de indicios y extracción de evidencias

5.6.3 Emuladores

5.6.4 Distribuciones especializadas para el análisis forense en dispositivos móviles

CAPÍTULO 6Marco de trabajo para el análisis forense de delitos informáticos: EDAPREHD

6.1 Generalidades del marco de trabajo EDAPREHD

6.2 Fase 1: estudio del caso

6.3 Fase 2: documentación de la escena del delito

6.4 Fase 3: adquisición de los indicios

6.5 Fase 4: preservación y traslado de los indicios

6.6 Fase 5: análisis de los indicios y extracción de las evidencias

6.6.1 Estándares internacionales

6.6.2 Análisis de entornos Windows

6.6.3 Análisis de entornos GNU/Linux

6.6.4 Análisis de entornos MacOS

6.6.5 Análisis de dispositivos móviles

6.6.5.1 Análisis en sistemas iOS

6.6.5.2 Análisis en sistemas Android

6.7 Fase 6: determinación y documentación de hallazgos

6.8 Fase 7: elaboración del dictamen pericial y juicio experto

6.9 Expectativas

CAPÍTULO 7Implementación del marco de trabajo EDAPREHD

7.1 Implementación del marco de trabajo EDAPREHD en un escenario de ransomware

7.1.1 Contexto del escenario

7.1.2 Estudio del caso

7.1.3 Documentación de la escena del delito

7.1.4 Adquisición de indicios

7.1.5 Preservación y traslado de indicios

7.1.6 Análisis de indicios y extracción de evidencias

7.1.7 Determinación de hallazgos

7.2 Implementación del marco de trabajo EDAPREHD en un escenario de accesos no autorizados

7.2.1 Contexto del escenario

7.2.2 Estudio del caso

7.2.3 Documentación de escena del delito

7.2.4 Adquisición de indicios

7.2.5 Preservación y traslado de indicios

7.2.6 Análisis de indicios y extracción de evidencias

7.2.7 Determinación de hallazgos

7.3 Implementación del marco de trabajo EDAPREHD en un escenario de malware para dispositivos móviles

7.3.1 Contexto del escenario

7.3.2 Estudio del caso

7.3.3 Documentación de escena del delito

7.3.4 Adquisición de indicios

7.3.5 Preservación y traslado de indicios

7.3.6 Análisis de indicios y extracción de evidencias

7.3.7 Determinación de hallazgos

7.4 Efectividad del marco de trabajo EDAPREHD

CAPÍTULO 8Legislación relacionada con la informática forense

8.1 Marco legal en México

8.2 Propuesta a la legislación en México

CAPÍTULO 9Información forense: actualidad y proyección

9.1 Presente de la informática forense

9.2 La informática forense: su evolución y futuro

9.2.1 La inteligencia artificial en la informática forense

9.2.2 El aprendizaje automático en la informática forense

9.2.3 La informática forense en la OT

9.2.4 La informática forense en el IoT

9.2.5 La informática forense en los ambientes de nube

Glosario

Prólogo

El crecimiento del uso de sistemas informáticos para cumplir con las necesidades corporativas ha generado un gran número de vulnerabilidades que pueden ser aprovechadas por usuarios maliciosos en todo el mundo. Estas acciones pueden incurrir en diversos impactos para las organizaciones, que pueden ir desde la interrupción de sus servicios, hasta el secuestro de información crítica para su funcionamiento, lo que genera incógnitas que pueden ser resueltas a través de una investigación en informática forense.

Las investigaciones en informática forense deben realizarse por profesionales de la informática altamente capacitados, y en constante actualización, para analizar cualquier artefacto que pueda contener un indicio o evidencia crucial que responda a algún cuestionamiento relacionado con el ataque.

Al abordar el procedimiento que se lleva a cabo en una investigación en informática forense en la presente obra, se utilizaron los conocimientos obtenidos a lo largo de la trayectoria profesional del autor durante la atención a diversos incidentes, certificaciones en la materia y formaciones que ha brindado en el ámbito privado. El presente libro consta de nueve capítulos; el primero nos habla de los tipos de usuarios en un sistema informático y los delitos que pueden llevar a cabo. El segundo y tercer capítulo nos muestran el conocimiento previo que un investigador en informática forense debe conocer, así como comprender los acontecimientos en un ataque informático. El cuarto capítulo de esta obra detalla los requerimientos en la formación de un perito en informática forense. En el quinto apartado podemos encontrar una guía para la creación de ambientes profesionales y el uso de herramientas para las investigaciones en informática forense separadas por los sistemas operativos más utilizados en el mundo. El sexto capítulo versa sobre un marco de trabajo sólido, robusto y creado con base en los estándares y las buenas prácticas que han sido estipuladas por las organizaciones internacionales más reconocidas en el mundo de la informática forense, el cual se llama EDAPREHD. Siguiendo con la dinámica de una obra tan completa, el séptimo capítulo hace referencia a la implementación de los ambientes creados y del marco de trabajo EDAPREHD en escenarios completamente reales que han sido recreados para la divulgación y aprendizaje del lector. Culminando esta obra, el contenido del octavo capítulo detalla los aspectos necesarios y requeridos para la implementación de un marco legal que pueda permitir una investigación en informática forense y, para culminar, se redacta el presente y futuro de esa ciencia que promete un crecimiento exponencial en los siguientes años.

Con el deseo del autor de generar más y mejores investigadores de la informática forense que puedan dar respuesta, y concienciación, a los riesgos en los sistemas informáticos para generar una cultura proactiva cada vez más robusta y completa.

CAPÍTULO 1

DELITOS Y USUARIOS INFORMÁTICOS

En la actualidad se lleva una vida custodiada por la tecnología en cada tipo de actividad cotidiana, por lo que se genera una demanda social en todo el mundo; ejemplos de ellos son: en la educación con clases a través de internet, en el entretenimiento con diversas plataformas para videojuegos y contenido audiovisual, en el transporte con aplicaciones móviles y portales web que ofrecen el tiempo de llegada y su traslado desde un origen hasta su destino, en el ámbito social con plataformas que ofrecen la capacidad de almacenar y compartir información con otros usuarios. Debido a esta demanda social, como señala el autor Gonzalo Quintero: “Internet no es una simple progresión en la evolución tecnológica, sino un cambio revolucionario en los modelos de las relaciones sociales que sirve a la fluidez de los intercambios comerciales y de todo tipo”1, puede entenderse la necesidad de un medio de comunicación, como lo es internet, para revolucionar la vida cotidiana de las personas. Debido a esto, hoy en día puede visualizarse la cantidad de usuarios que se encuentra navegando y pronosticar la proyección de su aumento a través de la información compartida a empresas dedicadas al análisis del comportamiento de los usuarios, y mostrar estadísticas obtenidas por medio de avisos de privacidad que no son analizados adecuadamente, o que son requeridos para utilizar esa tecnología, portal o servicio que un usuario desea, lo que contribuye a la producción de gráficas e informes anuales con sus actividades, como se muestra a continuación:

Debido al incremento de usuarios que se proyectan, algunos interrogantes surgen de manera casi inmediata entre los analistas de seguridad de la información, como pueden ser:

Estas cuestiones serán su punto de partida para conocer cada vez más a fondo los delitos informáticos, así como las legislaciones existentes en México y Latinoamérica.

1.1 ¿QUÉ ES UN DELITO INFORMÁTICO?

En el mundo actual, el incremento en el uso de las tecnologías en cada ámbito de la vida cotidiana genera un creciente número de usuarios cada día, consecuencia de la globalización digital de la sociedad, lo que genera el interés de un pequeño sector de usuarios en internet, que muestra una manera de delinquir en este ámbito. Apoyándose en el anonimato parcial de un usuario en internet, y a la información personal que es compartida por los usuarios en diversas plataformas, los usuarios maliciosos actúan con mayor facilidad y rapidez, lo que provoca un daño y amenaza la seguridad de la información digital.

Debido a estas acciones ilícitas, surge la necesidad de una definición concretando sus causas y consecuencias, lo que en el ámbito jurídico es conocido como un “delito”; no necesariamente se puede trasladar al ámbito informático, por lo que se deben analizar los componentes de estas acciones ilícitas. Cabe comenzar por conocer el alcance de la palabra “informática”, la cual, en la Real Academia Española es definida como:

Buscando la definición de “delito” se encuentra lo siguiente:

En México debe consultarse el término legal en el Diccionario jurídico mexicano, el cual expresa lo siguiente:

Las definiciones citadas anteriormente no concretan por sí mismas una definición de un delito informático, pero proveen las bases para generar su propia definición sobre dicho acto. Igualmente, se necesita poseer el contexto de estas definiciones, el cual, al tratarse de datos lógicos e información digital en general, proporcionará una guía para orientar una correcta definición.

Dentro del alcance de un sistema informático, se debe considerar su entorno y los perímetros de su existencia, por lo que hoy en día se puede visualizar el alcance y capas de seguridad de dichos sistemas, por lo que deben tenerse en cuenta las telecomunicaciones y el futuro de todo sistema informático.

1.1.1 PROPUESTA DE DEFINICIÓN PARA UN DELITO INFORMÁTICO

La información, como centro de atención, motor de funcionamiento y, por ende, activo más deseado en el marco de la computación (informática), debe ser visualizada como parte fundamental de una definición de la informática forense, ya que la información puede estar protegida para un grupo de personas o para el público en general, lo que nos proporciona la facilidad de generar la siguiente definición:

1.2 TIPOS DE DELITOS INFORMÁTICOS

Acorde con la definición propuesta de delito informático, existe una amplia diversidad de características que dependen del medio que se utilice para materializar el delito, el entorno en el que se encuentra y las técnicas con el objetivo de adquirir o manipular la información de terceros. Al conjunto de características usadas para aprovechar una vulnerabilidad de un sistema informático las llamaremos “vector de ataque”. Los vectores de ataque pueden son catalogados de la siguiente manera:

Malware

El término “malware” deriva de la conjunción de dos términos en inglés: “malicious”, que significa malicioso, y el término “software”, que es un anglicismo que hace alusión a un conjunto de programas, instrucciones o rutinas informáticas que manipulan los procesos que puede llevar a cabo un sistema informático, por lo que se puede proponer la siguiente definición de malware:

El malware y los diferentes escenarios en donde pueden existir genera un gran abanico para adaptarse a la necesidad del atacante; por lo que, en la informática forense, hay que conocerlos para reconocer su estructura y catalogarlos para proceder de manera adecuada ante cada uno de ellos. Debido a esta necesidad, cabe hacer un breve repaso de ellos:

Virus

Son fragmentos de software que se adhieren a la secuencia de inicialización como programas o sistema operativo sin el consentimiento ni permiso del usuario para realizar acciones de beneficio para un usuario malicioso, replicándose a sí mismo para llegar a otras partes del equipo donde se ha introducido. Normalmente se adjuntan en archivos ejecutables, API, en documentos por medio rutinas programadas, u otros recursos que se llaman “contenedores”, los cuales son un medio de transporte del virus, y que al ejecutarse en el equipo desencadenarán la ejecución del software incrustado en él.

En la actualidad, los virus resultan ser un medio efectivo para realizar sabotaje corporativo, espionaje industrial, gubernamental y hasta militar, por lo que su creación dependerá del objetivo del atacante, que puede ir desde la prueba de sus conocimientos hasta la generación de daños materiales y monetarios, entre otros. Debido a esto, independientemente del objetivo del atacante, puede llegar a comprobar las debilidades de un sistema informático y provocar un mayor impacto, por lo que sin importar de qué tipo de virus se trate, debe ser analizado y erradicado inmediatamente.

Troyanos

Comparando en la historia, puntualmente en la Odisea, escrita por Homero, cuando este narra la historia de la guerra de Troya, menciona una estructura enorme de madera que, según este relato, fue usada por los aqueos para introducirse en la ciudad fortificada de los troyanos, que no sospecharon que tal estructura contenía soldados enemigos que ayudarían a abrir las puertas de la gran ciudad para permitir a este pueblo entrar y provocar su caída definitiva:

Así, teniendo como base la mención de Homero en su gran obra, en la informática se conoce como troyano al software incrustado de manera oculta en un programa legítimo que puede ser o no útil para el usuario final, pero que ejecuta acciones con fines maliciosos sin su consentimiento. A diferencia de los virus, un troyano no se replica a sí mismo, pero su concepción ha ido evolucionando desde los inicios discutidos del primer troyano informado por el portal Fourmilab6 en 1975, fue llamado “animal” y fue desarrollado por John Walker, simplemente era un juego que ejecutaba un virus sin el consentimiento del usuario y sin efectos maliciosos. Hoy en día, los troyanos son introducidos en las grandes corporaciones mientras simulan contener imágenes, vídeos, música, documentos o programas, a través de descargas desde internet, una infección por unos dispositivos físicos o un correo electrónico. Algunos de los troyanos más utilizados hoy en día por los atacantes son:

Gusanos informáticos

En otra categoría de los virus se encuentran los gusanos informáticos. Este malware se replica a través de la red con el objetivo de alojarse en diversas ubicaciones lógicas de un equipo y causar daños en él.

Ransomware

El término “ransomware” es una conjunción de dos términos: El primero, “ransom”, que proviene del inglés y tiene un significado en español de “rescate”; el segundo término es “software”, que hace alusión a un conjunto de programas, instrucciones o rutinas que manipulan los procesos que se pueden llevar a cabo en un sistema informático. Siendo así, se puede entender que el ransomware en un tipo de malware que busca obtener acceso a un equipo o sistema informático con la finalidad de cifrar la información con una clave definida por su creador y/o administrador, incluso a través de algoritmos definidos por procesos internos en el malware, lo que le permite exigir un pago (normalmente a través de criptomonedas) para descifrar la información cifrada.

En 2023 se ha registrado una disminución del 23 % del uso del ransomware a nivel mundial, frente al aumento en dos años consecutivos desde el 2020 debido a la pandemia provocada por la COVID-19. Esto debido a cuestiones geopolíticas, precios de criptomonedas volátiles y el aumento de la atención de los gobiernos7. Teniendo en cuenta que el pago se solicita por medio de una vía no monitoreada y regulada, antes de realizarlo la víctima de este ataque debería formularse las siguientes cuestiones:

Spyware

Es un tipo de malware creado para recopilar información de un dispositivo, como lo pueden ser nombres de usuarios, contraseñas, sesiones, historial de navegación, información de software, entre otras más. Esta información es enviada a un usuario malicioso a través de internet sin necesidad de notificar o solicitar su autorización al usuario. Una vez obtenida esta información, puede servir para definir vectores de ataque más elaborados o gestionar los datos para algún beneficio.

Ingeniería social

La ingeniería social es el proceso de manipular a una persona a través de técnicas psicológicas y habilidades sociales para obtener información relativa a ella, un tercero o una compañía, lo que abre la posibilidad de gestionar la información o crear un vector de ataque más elaborado.

La ingeniería social se sustenta en un sencillo principio: “El usuario es el eslabón más débil”, ya que todos los sistemas informáticos existentes en el mundo dependen, al menos, de una mínima intervención del ser humano, lo que se puede considerar como una debilidad independiente de la plataforma tecnológica. Debido al incremento de esta técnica, se han producido variaciones según el medio por el cual se realicen, esto ha ido creando la siguiente clasificación:

•Abandonarlo intencionalmente. Los usuarios malintencionados abandonan los dispositivos en sitios públicos como: recepciones, baños, salas de conferencias, ascensores, aparcamientos, entre otros.

•Obsequio. Una manera especial de propagar el software malicioso es la organización de campañas de mercadotecnia de una organización o marca reconocida para regalar dispositivos en eventos, plazas, parques o lugares públicos que sean muy concurridos.

•Colocación directa. Los lugares con dispositivos y entradas expuestas como oficinas, puntos de venta o salas de conferencias son el blanco perfecto para este tipo de actividades.

Man-In-The-Middle (MiTM)

Este vector de ataque, como su traducción del inglés lo sugiere (hombre en el medio), introduce un intermediario entre un usuario malicioso y la víctima con el objetivo de interceptar la información que se transmite entre los dispositivos. Este ataque puede materializarse en redes corporativas, redes privadas y redes públicas, las más susceptibles a esta técnica, y donde es más común el robo de información asociado a las redes sociales y las aplicaciones bancarias, empresariales y personales de un usuario.

Denegación de servicio (DoS)

La denegación de servicio es aquel vector de ataque que se materializa con el envío masivo de peticiones hacia un servicio web con el objetivo de sobrepasar sus límites de procesamiento y provocar un impacto en su disponibilidad durante el tiempo que el ataque esté en funcionamiento.

Una variante de los delitos de tipo DoS son los ataques de denegación de servicio distribuidos (Distributed Denial of Service - DDoS), los cuales tienen como función provocar la indisponibilidad de un proveedor de servicios a través de dispositivos infectados por troyanos de tipo bot, que se encuentran a la espera de instrucciones desde un punto centralizado, conocido como “Command and Control - C&C”.

SQL injection

La inyección de comandos SQL es utilizada cuando un usuario malicioso detecta el uso de manejadores (gestores) de bases de datos a través de aplicaciones o sitios web, por lo que inserta instrucciones al gestor de la base de datos (Data Base Management System - DBMS), utilizando el lenguaje de consulta del servidor de la base de datos (Structured Query Language - SQL), con el objetivo de obtener información sensitiva o que pueda ser de valor para realizar vectores de ataque más elaborados.

Algunas contramedidas contra el vector de ataque SQL injection pueden ser:

Formación constante de los desarrolladores. Los implicados en el desarrollo de la aplicación o sitio web deben ser formados constantemente de manera interna y a través de una institución especializada.

Sanitización de entradas de información al servidor. Cualquier entrada de usuario que requiera la comunicación con el gestor de la base de datos representa un riesgo potencial ante una inyección de código SQL malicioso, por lo que, incluso si son usuarios autentificados, deben ser tratadas de la misma manera.

Uso de marcos de trabajo para un desarrollo seguro. Apoyan al desarrollador en la visualización de malas prácticas de seguridad en tiempo real para cada lenguaje, por lo que podrían apoyar a los programadores de cada plataforma a mejorar la seguridad en el código que construyen.

Modularización. Este principio nos dice que se deben generar tres capas amplias: presentación, lógica de dominio (lógica empresarial) y acceso a datos. Así, la comunicación entre la aplicación o sitio web que establece una interacción con la base de datos no es expuesta desde fuera del servidor.

0-day

Este vector de ataque es generado cuando un usuario malicioso aprovecha una vulnerabilidad desconocida para los fabricantes de un software, lo que provoca que los administradores de la infraestructura informática de una organización, donde poseen un dispositivo con el hueco de seguridad, no puedan mitigarla y disponen de cero días para la notificación, preparación y creación de una solución. El ciclo de vida de un ataque de cero días es el siguiente:

Liberación del software. El fabricante de software libera una nueva versión o un nuevo producto para diversas plataformas generando mercadotecnia para la atracción de nuevos solicitantes y la renovación de los que ya lo son.

Atención de un grupo delictivo y/o un usuario malicioso. Los grupos delictivos analizan el software, las aplicaciones y las versiones más utilizadas en el mundo para adquirirlas, analizarlas y realizarles pruebas de seguridad para encontrar las debilidades de las que pueden aprovecharse y tomar el control del producto e incluso del dispositivo que lo contenga.

Generación de exploit. Los grupos delictivos y desarrolladores de software malicioso generan códigos y se centran en el aprovechamiento de los huecos de seguridad a través de rutinas o programas maliciosos, que reciben el nombre de “exploits”. La creación de estos exploits puede estar tan remunerada como el nivel de acceso que permita acceder a un usuario malicioso.

Explotación masiva. El aprovechamiento masivo de la vulnerabilidad puede ser derivado de la venta y/o liberación por parte del exploit hacia el público en general, lo que impacta en todas las organizaciones que poseen el software vulnerable. Este tipo de ataque abre una ventana de tiempo específica para los atacantes que deseen aprovechar esta vulnerabilidad, sin mayores obstáculos, provocando la atracción de otros usuarios maliciosos que deseen obtener información sensitiva para su beneficio.

Creación de parches de seguridad. Debido a las alertas generadas y al alto número de incidentes relacionados con su producto, los fabricantes generan los llamados “parches de seguridad”, los cuales hacen referencia a un cambio en el software que remedia la vulnerabilidad asociada con las versiones que son susceptibles al exploit.

Microsoft y algunas firmas de antivirus, así como desarrolladores de software reconocidos, liberan parches de seguridad de manera periódica generando un tiempo de respuesta amplio, que es aprovechado por los usuarios maliciosos.

Debido a la accesibilidad de cualquier usuario para obtener el exploit que puede afectar a la infraestructura tecnológica de una compañía, la pérdida de información, el impacto negativo en su reputación para con sus clientes y proveedores, deben ser implementadas estrategias como un Plan de recuperación de desastres (DRP) y un Plan de continuidad de negocio (BCP), el cual debe ser analizado y desarrollado por la misma organización para garantizar la prestación de sus servicios y reducir el impacto final de un ataque de 0-day.

Además, un análisis de vulnerabilidades y/o pruebas de penetración realizado por una empresa consultora ajena a la compañía a través de especialistas (consultores de ciberseguridad) que analicen, informen y documenten los posibles fallos de seguridad en la infraestructura tecnológica.

Ataques de contraseña

A lo largo de la historia de los sistemas informáticos, el uso de las contraseñas para autentificar el acceso de sus usuarios ha sido el método más utilizado, por lo que han sido el objetivo más recurrente de los usuarios maliciosos. Dentro de las técnicas más conocidas para intentar encontrar la contraseña de un usuario están:

Ataque de fuerza bruta (Brute Force Attack): es el intento de cada combinación posible de caracteres generados para generar la posible contraseña.

Ataque basado en reglas (Rule-basedattack): este ataque se basa en la focalización del objetivo y la determinación de patrones existentes en la contraseña objetivo, como lo pueden ser el alfabeto, el idioma, los caracteres especiales, la longitud o el orden de las palabras entre otros.

Ataque por sílabas (Syllable attack): es un ataque que se basa en fragmentos de palabras que probablemente forman parte de la contraseña, y que han sido investigadas previamente para así generar combinaciones, permutaciones y obtener una diversidad de posibilidades que serán probadas hasta encontrar la contraseña correcta.

Ataque híbrido (Hybrid attack): esta técnica se basa en una combinación de algunos ataques previos, en donde se pueden sustituir, permutar y combinar símbolos, letras, idiomas y palabras para aumentar las posibilidades de éxito.

Un conflicto de ideas muy común que se encuentra relacionado con las contraseñas es la distinción entre los términos “autentificación” y “autorización”. Una autentificación es un proceso para comprobar la identidad de un usuario que pretende acceder a un sistema informático para consumir un recurso, a diferencia de un proceso de autorización, en el cual se valida la identidad de un usuario a través de procesos específicos.

Secuencia de comandos entre sitios

Este vector de ataque utiliza el envío de comandos maliciosos en secuencia hacia un recurso específico, para incrustarse en sus componentes dinámicos, que interactúan con un usuario, y enviar una respuesta distinta a su diseño original. Debido a su naturaleza, la tecnología utilizada para realizar estas acciones maliciosas son HTML (Hyper Text Markup Language), Javascript, CSS (Cascading Style Sheets), CMS (Content Management System), herramientas de comunicación y algunos otros lenguajes de programación específicos.

La secuencia de comandos entre los sitios tiene una variante conocida como XSS (Cross Site Scripting), que tiene su significado en español como “ejecución de comandos en sitios cruzados”, la cual es aprovechada de dos maneras; persistente y reflejada:

Persistente. Se genera cuando un usuario malicioso solicita recursos a un servidor añadiendo instrucciones válidas que, al procesarse, generan modificaciones permanentes en su estructura, lo que permite que sean visualizadas por cualquier otro usuario que introduzca información en el servidor.

Reflejada. También conocida como “no reflejada”, este vector de ataque es utilizado cuando existe una modificación en la estructura de un servidor de forma temporal y exclusiva para el usuario que interactúa con sus componentes.

Otra variante de los ataques por secuencia de comandos es conocida como CSRF (Cross-Site Request Forgery), el cual tiene su significado en español como “falsificación de petición en sitios cruzados”. Una manera de comprender este vector de ataque es la creación de dos servidores, aplicaciones o portales web, y el establecimiento de mecanismos que generan confianza entre ellos, como pueden ser contraseñas, cookies, certificados, tokens, entre otros. Una vez establecida esta confianza, un usuario malicioso puede aprovecharla para enviar instrucciones no autorizadas a un dispositivo o usuario normal y obtener información adicional del servidor.

Debido a la naturaleza de los vectores de ataque de los XSS y los CSRF, los controles de seguridad, políticas o listas blancas deben ser fortalecidos y apoyados de manera gradual en cada sistema informático.

Rootkits

Este vector de ataque establece su origen en los sistemas de tipo UNIX, debido a la existencia de una cuenta de usuario con mayores privilegios en sus sistemas, y gestiona los recursos sin restricción, llamada “root”. La conjunción del nombre de esta cuenta con el término “kit”, en el contexto de la informática, puede entenderse como un conjunto de herramientas.

Un rootkit es tipo de software malicioso que posee la tarea de obtener el control total del sistema comprometido a través de una cuenta con los mayores privilegios en el sistema, lo que complica su detección por un usuario legítimo. La variante más peligrosa de este vector de ataque es conocida como “rootkit persistente”, debido a que el software malicioso se activa una vez iniciado el sistema operativo junto con los procesos más esenciales, como el BIOS (Basic Input-Output System), UEFI (Unified Extensible Firmware Interface) y en equipos antecesores, el MBR (Master BootRecord).

La manera de detección más común para un rootkit es el constante análisis y monitoreo de los dispositivos corporativos y/o personales con soluciones conocidas como “Anti-Stealth”, que han sido desarrollados por marcas especializadas y que, en algunos casos, permiten realizar acciones reactivas ante este tipo de malware.

1.3 TIPOS DE USUARIOS EN LOS SISTEMAS INFORMÁTICOS

Dentro del contexto de la informática, un usuario se entiende como un identificador que puede ser asignado a un software, dispositivo o persona para hacer uso de los recursos y servicios digitales. Además de los usuarios comunes, que utilizan los servicios digitales con normalidad, puede encontrar usuarios “maliciosos” que poseen habilidades específicas y una finalidad que pueda dañar la integridad, confidencialidad y disponibilidad de la información que se maneja en los sistemas informáticos.

El estudio y relación de un usuario malicioso con las actividades que realiza dentro de un sistema informático pueden derivar en un perfil criminal del individuo y proyectarse a un grupo de usuarios que actúan de la misma manera, y se encuentran involucrados en delitos informáticos, lo que permite obtener mayor información sobre sus intenciones, objetivos e incluso anticipar algunas de sus acciones. Debido a la relevancia de una posible categorización de los usuarios maliciosos dentro de un sistema informático, se proponen las siguientes:

Script Kiddie / Lammer

El nombre de este tipo de usuarios es otro anglicismo para referirse a un usuario digital que no posee las habilidades técnicas para realizar un ataque a los sistemas informáticos utilizando programas, aplicaciones o portales web sin comprobar su contenido o comprender su funcionamiento. A este tipo de usuarios se los considera fanáticos de la seguridad informática y son miembros de grupos y foros relacionados con el tema para obtener reconocimiento ante usuarios no técnicos.

Cracker

El origen del término cracker también proviene del inglés “to crack”, cuyo significado es quebrar o romper. Los usuarios crackers poseen un nivel técnico alto sobre el funcionamiento y composición de un sistema o software, lo que les permite aprovechar sus vulnerabilidades para obtener un acceso no autorizado a sus recursos. Los accesos obtenidos pueden ser utilizados con fines de lucro, reconocimiento de sus capacidades o por razones asociadas a sus ideologías.

Hacktivistas

Con el acceso de cualquier persona a internet, la manera de protestar, organizar movimientos de protesta y difundir información ha evolucionado gracias a los medios digitales disponibles permitiendo la creación del concepto de “hacktivismo”. Este término está conformado por la palabra “hacker”, el cual refiere a una persona que tiene conocimientos avanzados debido al estudio, análisis y práctica de alguna actividad, así como del término “activismo”, el cual posee un significado de “ejercicio de proselitismo y acción social de carácter público, frecuentemente contra una autoridad legítimamente constituida”, según la RAE (Real Academia Española). Con el contexto anterior, puede entender el hacktivismo como el “uso de capacidades técnicas en la tecnología para una causa social específica a través de medios digitales”.

Debido a que el hacktivismo se realiza a través de medios digitales para realizar interrupciones en los sistemas de información, accesos no autorizados, difusión de información sensitiva de instituciones gubernamentales, compañías reconocidas internacionalmente y de algunas figuras públicas, las acciones de un usuario o grupo de hacktivistas se consideran delitos informáticos. Estos usuarios de internet poseen una diferencia significativa respecto de los demás usuarios maliciosos de este listado, ya que los distingue una motivación relacionada a su ideología personal y/o grupal. Algunas de las características de estos grupos son:

Con posterioridad a un ataque utilizan medios públicos para publicitar y promover sus éxitos, incluso en los principales canales de medios y sitios web8. Algunas de las técnicas de los hacktivistas son la ingeniería social y los ataques de denegación de servicio, pero también hacen uso del:

Defacement. De su significado del inglés, “desfiguración”, se refiere a la vulneración de un sitio web para cambiar su estructura y contenido hacia el público con el fin de hacerse con la autoría del ataque e imponer leyendas que lo avalen.

Doxing. Este término (también suele escribirse como doxxing) nació en la década de los noventa, donde el anonimato era una característica muy relevante entre los grupos delictivos en el mundo informático, y entre los cuales existían competiciones para obtener mayor exposición o reconocimiento en el mundo por medio de un alias o nombre de usuario que identificaba a sus integrantes. Esta práctica generó actos desleales para eliminar la competencia entre los grupos, donde exponían documentos conocidos como “docs”, los cuales contenían información confidencial de algunos de ellos. Este término sufrió algunos cambios a través del vulgarismo de los cambios literarios, transformándolo en el término “dox”, a lo que se añadió su conjugación en gerundio en inglés (terminación ing). Hoy en día, el doxing se refiere a la actividad de exponer información sensitiva de un usuario o persona, como nombres completos, direcciones, números telefónicos, direcciones de posesiones mobiliarias, información financiera, redes sociales, contraseñas, y mucha más información, en sitios web, foros, portales o redes sociales.

Secuestro de información. Esta técnica es la más compleja debido a la organización que debe llevar una acción de esta naturaleza: cuidado de los detalles, obtención de la información, acceso a los sistemas, escaneo constante, producción de programas maliciosos a medida para las versiones específicas, producción de un acceso persistente, aprovechamiento de las vulnerabilidades y evasión de las soluciones de seguridad.

• Uso de un software antivirus en equipos corporativos.

• Uso de soluciones para análisis de redes corporativas.

• Uso de soluciones anti-spam.

• Creación y apoyo de un plan de recuperación de desastres (DRP).

• Administración constante de recursos públicos de Internet, como lo son: la infraestructura, los correos electrónicos, los sitios web, las redes sociales, entre otros.

• Actualización constante de su infraestructura tecnológica.

Phreakers

Phreaking es un término que se compone de la palabra del inglés “phone”, que significa “teléfono”, y la palabra “freak”, que significa “entusiasta”; se relaciona con grupos de personas que analizan, estudian, modifican o experimentan con dispositivos y sistemas de telecomunicaciones, y manipulan las frecuencias de ondas de radio para acciones no autorizadas, o que en un principio no fueron pensadas para una función específica.

Corporativos

Este tipo de usuarios maliciosos poseen interés en la información corporativa que pueda convertirse en una ganancia monetaria para ellos. Aunque la información sensitiva proveniente de las grandes compañías posee un valor más elevado, la complejidad para obtenerla también lo es; por lo que estos usuarios han modificado ligeramente su estrategia para incluir a pequeñas y medianas empresas que manejan información digital. Una variante de estos usuarios son aquellos que solo tienen como objetivo a algún corporativo debido a malas relaciones o experiencias, exponiendo información relevante de la infraestructura, las tecnologías, los mecanismos de seguridad, el personal o los horarios, entre otros aspectos que pueden ser aprovechados por los crackers o hacktivistas.

Gubernamentales

Estos usuarios se especializan en el análisis de toda la infraestructura tecnológica de un país buscando vulnerabilidades que les permitan acceder a información confidencial, realizar ciberespionaje, interferir en temas electorales, posicionamiento de servicios, búsqueda de delincuentes o grupos delictivos, incluso con fines militares que les permitan obtener ventajas estratégicas, por lo que algunos países poseen grupos gubernamentales especializados para el análisis e investigación del ámbito tecnológico.

Ciberterroristas

Según la RAE, el término terrorismo significa: “Actuación criminal de bandas organizadas, que, reiteradamente y por lo común de modo indiscriminado, pretende crear alarma social con fines políticos”9.

El terrorismo convencional, generado por los usuarios que comparten ideologías de grupos terroristas, hoy en día utiliza los recursos de internet para coaccionar a gobiernos u organismos internacionales con el fin de demostrar sus capacidades y generar un impacto negativo en las infraestructuras tecnológicas (energético, telecomunicaciones, hospitalario, militar, entre otros). Aunque en la RAE no se tiene definido un significado para la palabra ciberterrorismo, se propone:

Los grupos terroristas han encontrado diferencias entre las pérdidas económicas y humanas utilizadas para los ataques presenciales y la necesidad de inversión en infraestructura tecnológica para llevar a cabo un ataque a través de internet, por lo que obtienen mayor disposición de sus simpatizantes. Debido al anonimato, complejidad y la escasa regulación internacional generan recursos legales que suelen ser aprovechados por la defensa de los pocos incriminados en este tipo de delitos.

Proveer y garantizar la seguridad en internet se ha convertido en un objetivo primordial de los gobiernos y los organismos internacionales; sin embargo, no es una tarea sencilla debido a los cambios significativos que se deben crear en sus infraestructuras, las regularizaciones que deben especificar cada escenario posible, así como la colaboración entre los gobiernos y organismos especializados para identificar usuarios que realizan delitos informáticos que traspasan sus fronteras. Un tema muy relevante es la tipificación de delitos informáticos para crear un proceso bien definido para tratar a los autores de las actividades maliciosas.

Además de estas acciones, la producción de estudios del comportamiento, antecedentes, motivaciones, finalidad y técnicas que puedan brindar información sobre su estado psicológico con el objetivo de contener y reducir los delitos debido a ciertos perfiles, e incluso anticipar incidentes que pudiesen realizar grupos o individuos, actualmente, en las mismas condiciones.

1.4 PERITAJES PSICOLÓGICOS Y SU RELACIÓN CON LA INFORMÁTICA FORENSE

Las ciencias forenses pueden brindarnos diversas investigaciones y análisis que nos pueden ayudar a determinar el ¿cómo?, ¿por qué?, y el ¿para qué?, detrás de la gestación de delitos informáticos realizados por un usuario malicioso. Este proceso puede ayudar a las instancias legales a determinar la naturaleza de la acción de un usuario malicioso y determinar su situación jurídica. Para determinar la funcionalidad, el objetivo y el contenido de un peritaje psicológico, el maestro en psicología social de grupos e instituciones, y en educación por la Universidad Autónoma Metropolitana (UAM), Juan Federico Zúñiga Ramírez nos detalla lo siguiente a través de un fragmento de sus conocimientos:

¿Qué es un peritaje psicológico?

“Es un conjunto de técnicas especializadas realizadas por especialistas (peritos) que facilita la apreciación, valoración y elementos probatorios, con el fin de coadyuvar a que los procesos para la toma de decisiones sean idóneos y justos, que contengan los elementos necesarios para el sustento de un hecho o acontecimiento basado en un análisis predefinido, y que posea un valor legal, científico, centrado principalmente en el sujeto (peritado)”.

Objetivo de una evaluación psicológica

“Las entidades públicas y privadas los utilizan para dirimir cuestiones psicológicas, aportar información necesaria para eliminar controversias judiciales como el tiempo, modo, lugar y/o espacio de las partes involucradas en un delito. Distinguir entre verdad, mentira u omisión ofreciendo un sentido y sustento para la determinación de existencia de daño psicológico u afectaciones a nivel psicológico que el peritado pudiese tener”.

¿Cómo se realiza una evaluación psicológica?

“Para realizar una evaluación adecuada en el ámbito de la psicología forense, primeramente, debe incluirse información relativa a la persona analizada, tales como informes clínicos, denuncias, demandas, antecedentes del caso, evolución y cualquier otro dato que pueda aportar información relevante hasta llegar a su situación actual. Adicionalmente, las entrevistas pueden brindar orientación y sentido a la evaluación, debido a que poseen el objetivo de obtener información a través de cuestionamientos premeditados que esclarezcan las capacidades cognitivas, además del enfoque y la percepción de la persona analizada.

Las capacidades cognitivas e intelectuales deberán incluir procesos como atención, memoria, percepción, motivación, análisis de pensamientos, lenguajes y emociones, además de la capacidad de aprendizaje y la personalidad de la persona evaluada. En caso de que estas capacidades muestren alteraciones de la realidad o estándares establecidos, seguramente la veracidad de los acontecimientos estará trastocada y se podrán generar realidades alternativas que solo existan para el peritado, e incluso, podrá trastocar la veracidad de algunas pruebas proyectivas, requiriendo analizar si puede transmitir información que pueda ser de utilidad en el esclarecimiento de los hechos. Una vez que se tiene claro que cognitivamente los procesos darán veracidad, y que no existe una alteración de la realidad, se procede a diagnosticar traumatismos a partir de los eventos que llevan a la demanda o exigencia, y se entra en el universo de la controversia, de si cognitivamente el proceso es correcto y existe evidencia de algún proceso traumático.

Este universo da posibilidades de exploración profunda en la entrevista, que consta desde el proceso de “rapport”, o lo que se conoce como generar empatía para poder conocer qué llevó a la acción al peritado, según Paul Ricœur, denomina el objetivo hermenéutico, que es recuperar y restaurar el significado, el sentido real del acontecimiento cuestionando la idea desde la conciencia del sujeto en el marco de no caer en una falsa conciencia a través del concepto del inconsciente, romper con la sospecha dando paso a las técnicas y herramientas a partir de la estructura, porque se realiza el peritaje como un fundamento de la verdad”.