TRABAJO COLABORATIVO 1 - GRUPO: 233012_12

SHIRLEY TATIANA PITTA PICON

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESPECIALIZACION EN SEGURIDAD INFORMATICA
INFORMATICA FORENSE
2015

DESARROLLO DEL CASO

1. PROBLEMA
El Sr. Pepito Prez de la empresa CUATRO RUEDAS dedicada a la distribucin al
por mayor de repuestos para vehculos, detecto el da 30 de Septiembre de 2015
que un archivo de Excel que se encontraba alojado en el computador PC
microtorre G1 200 HP que sirve como host de almacenamiento central de su
oficina ya no existe. Este archivo contena informacin muy delicada de
proveedores y clientes de la empresa.
Comenta el Sr. Prez, que el da 25 de ese mes despidi a un empleado que
laboro normalmente hasta su salida acordada que fue el 29 de Septiembre del
2015 y al da siguiente de su salida ya no estaba la informacin.
Nos comenta que sospecha de esta persona ya que ha visto trabajando al ex
empleado en una empresa similar que ha puesto su hermano.
El Sr Prez levant una denuncia de robo de informacin, llevando el caso a la
justicia
2. REALIZAR LA LINEA DE INVESTIGACION DEL CASO ANTES DE COMENZAR
LA INVESTIGACION
Existencia del
archivo de Excel
en el servidor

29 de septiembre 2015

Ingreso de usuario
no Autorizado

29 de septiembre 2015

Eliminado el
archivo de Excel
del servidor

29 de septiembre 2015

Nota: se asume que los das comprendidos entre el 25 al

trabajo con normalidad, y asumiendo que todos los das se
Excel, se puede suponer que la informacin exista
almacenamiento hasta el 29 de Septiembre y que por tal
percatado de la eliminacin del mismo.

Intento de acceso
al archivo de Excel
y ya no existe

30 de septiembre 2015

29 de septiembre se
acceda al archivo de
en el servidor de
motivo no se haban

3. CONTEXTUALIZAR DE MANERA SISTEMTICA LAS FASES 1 Y 2 DE LA

INFORMTICA FORENSE Y UTILIZAR SOLO LAS ETAPAS DE CADA FASE
QUE SE PUEDEN APLICAR EN EL CASO PRESENTADO
Para abordar el caso se realizar en cuatro fases, y en cada fase se llevar a cabo
unas etapas que permitir identificar con certeza y pruebas quien realiz este
ataque a la informacin de la empresa CUATRO RUEDAS. Como investigadores
se ser imparcial en la bsqueda de las pruebas y se podr determinar quien
ataco el servidor de almacenamiento, en qu forma se accedi y evidenciar que
otros archivos fueron afectados. A continuacin se describen cada fase y cada
etapa que se realizar:

I.

Fase de identificacin

Etapa 1 Levantamiento de informacin

Descripcin del Delito Informtico:
Fecha del incidente: 29 de Septiembre de 2015
Duracin del incidente: 24 horas entre el 29 de Septiembre y 30 de Septiembre
Detalles del incidente: Eliminacin de un archivo de Excel el cual contiene
informacin de clientes y proveedores de la empresa Cuatro Ruedas, el cual se
detecto el 30 de septiembre de 2015

Informacin Sobre El Equipo Afectado

Marca y modelo: Micro torre G1 200 HP
Funcin del equipo: Host de almacenamiento
Tipo de informacin procesada por el equipo: informacin
Etapa 2 Asegurar la Escena
Identificacin de Evidencias: asegurar los discos duros del PC Micro Torre G1
200 HP
II.

Fase de Validacin y preservacin

Etapa 1 Copias de la evidencia:

Los discos duros sern etiquetados como evidencia original, se generaran dos
copias de los mismos, etiquetadas como Copia 1 Caso Cuatro Ruedas y
Copia 2 Caso Cuatro Ruedas y se generarn una suma de comprobacin de
la integridad de cada copia mediante el empleo de funciones hash tales como
MD5 o SHA1. Por ltimo, se almacenaran en una caja fuerte.
Etapa 2 Cadena de custodia:
Se elaborar un documento en el que se lleve un registro de los datos
personales de todos los implicados en el proceso de manipulacin de las
copias, desde que se tomaron hasta su almacenamiento. Esto con la finalidad
de establecer responsabilidades y controles de cada una de las personas que
manipulen la evidencia.
III.

Fase de Anlisis

Etapa 1 Preparacin para el anlisis:

Se trabajar con las copias de la evidencia, montando estas pruebas en maquinas
virtuales para tener una imagen del sistema comprometido y se plantearan las
hiptesis del ataque y se realizarn las respectivas pruebas.
Etapa 2 Reconstruccin del ataque:
Se organizar los archivos de acuerdo a una marcas de tiempo denominada
MACD (fecha y hora de modificacin, acceso, creacin y borrado), ruta completa,
tamao en bytes y tipo de fichero, usuarios y grupos a quien pertenece, permisos
de acceso, si fue borrado o no. Con esta informacin se podr determinar los
archivos accedidos, programas instalados y acceso por parte de los usuarios a los
mismos. Se podr determinar si ese es el nico archivo que ha sufrido de ataque.

Etapa 3 Determinacin del ataque:

Durante esta etapa se podr determinar como el atacante accedi al sistema: si
desde un equipo externo o desde un equipo interno a travs de la red o si se
accedi directamente en el servidor. Se determinar la vulnerabilidad o el fallo de
seguridad existente y las herramientas utilizadas por el atacante, de esta manera
la administracin podrn tomar medidas para que el suceso no se vuelva a
presentar.

Etapa 4 Identificacin del atacante:

Se realizar proceso para identificar la IP del equipo que accedi al sistema si este
fue accedido de manera externa o interna a travs de la red.
Etapa 5 Perfil del atacante:
Se realizara un perfil del atacante de acuerdo a las evidencias encontradas, dando
una descripcin de los conocimientos que posee el atacante
IV.

Fase de Documentacin y Presentacin de las pruebas

Se entregara un informe tcnico el cual contendr toda la informacin detallada del

anlisis realizado, las tcnicas utilizadas por el equipo forense, metodologa y
hallazgos encontrados durante la investigacin, recomendaciones. Adems se
entregar a la gerencia un informe ejecutivo de los hallazgos, conclusiones,
solucin al incidente y recomendaciones finales.
4. CLASIFICAR DE MANERA CONCRETA EL TIPO DE DELITO COMETIDO
SEGN LA LEY 1273 DE 2009, EXPLIQUE SU DECISIN
Se cometi el delito de dao informtico y posiblemente el delito de violacin de
datos personales.
Explicacin:
Dao Informtico: la empresa Cuatro Ruedas sufri de este delito debido a que el
archivo de Excel donde se almacena informacin de sus proveedores y clientes
fue borrado de su sistema de archivo y de acuerdo a ley en su artculo 269D
contempla como delito de dao informtico a quien destruya, dae, borre,
deteriore, altere o suprima datos informticos.
Violacin de datos personales: En caso de comprobarse que la persona que borr
el archivo, tambin lo sustrajo y haya sacado provecho del mismo. Estara
enfrentndose al cargo de delito por violacin de datos personales, que de
acuerdo a la ley en su artculo 269F establece el que, sin estar facultado para ello,
con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda,
intercambie, enve, compre, intercepte, divulgue, modifique o emplee cdigos
personales, datos personales contenidos en ficheros, archivos, bases de datos o
medios semejantes.

CONCLUSIONES

Una vez analizado el caso de estudio de la

concluir que:

empresa CUATRO RUEDAS, se puede

La informacin suministrada es insuficiente para datos esenciales en la fase de

levantamiento de la informacin, se deben realizar otra entrevista para determinar
el responsable del rea donde est el servidor de almacenamiento, caractersticas
del equipo, sistema operativo utilizado, si tiene un sistema de red, entre otras.
Se identificaron las fases y etapas que se deben llevar a cabo para resolver el
caso.
En Colombia existen normas para la proteccin de la informacin y de los datos,
adems regula las sanciones que se aplican a las personas que comenta delitos
informticos. Y de acuerdo al caso planteado se logr identificar que delitos se
puede imputar al atacante.
Aunque existan sospechas de una persona especifica dentro del caso de estudio,
los investigadores deben ser imparciales y no dejarse llevar por apreciaciones y
recopilar todas las pruebas que indiquen el perfil de la persona que realiz el
ataque y determinar cmo, cuando, donde y quien realiz el ataque.
La recoleccin de la evidencia de un incidente informtico, implica la participacin
de un equipo interdisciplinario de profesionales capacitados en identificar,
recolectar, documentar y proteger las evidencias del incidente.