Conozca todo sobre Seguridad Informática GITS

 
Página Principal
Para contactar con Seguridad Gits
Consejos sobre Seguridad con las NTIC
Delitos Tecnológicos y cómo denuncias
Glosario de Términos Tecnológicos y Seguridad
Descarga de documentos varios
Legislación vigente en España
Servicios que le ofrece Seguridad Gits Informática

  Contenidos              
Mapa del Sitio
 
Ciber-Seguridad GITS España Ciber-Seguridad GITS Argentina Ciber-Seguridad GITS Brasil Ciber-Seguridad GITS Uruguay Ciber-Seguridad GITS Colombia Ciber-Seguridad GITS Rep. Dominicana Ciber-Seguridad GITS Ecuador Ciber-Seguridad GITS  México Ciber-Seguridad GITS Venezuela Ciber-Seguridad GITS Perú Ciber-Seguridad GITS Costa Rica Ciber-Seguridad GITS Paraguay Ciber-Seguridad GITS Puerto Rico


 
 

Análisis Forense y Peritaje Informático

Contenidos

- ¿Qué es el Análisis Forense?
- Objetivos
- Procesos técnicos de la informática forense
- Metodologías en la Informática forense
- Procedimientos correctos
- Herramientas Software
- Herramientas para recuperar contraseñas.
- Explorar el disco duro y la memoria
- Recuperar archivos y correos borrados.
- Keyloggers
- Suites
- ¿Qué es el Peritaje Informático?
- ¿Qué es un Perito Informático?
- Perfil del Perito informático
- Peritaje Informático, Dirección IP, la huella digital telemática del criminal

- Los correos electrónicos como medio de prueba judicial
- Fotografia Digital HD (High Dfinition) Forense
- ¿Qué es un malware? Propósitos
- Malware infeccioso: virus y gusanos
- Puertas traseras o backdoors
- Drive-by downloads
- Rootkits, Troyanos
- Spyware, adware y hijacking
- Keyloggers y stealers
- Botnets, Ransomware
- Grayware o greynet
- Vulnerabilidades usadas por el malware
- Eliminando código sobre-privilegiado
- Programas anti-malware
- Métodos de protección

 

Tags: análisis forense, peritaje informático, DLP, Data Loss Prevention, prevención pérdida datos, pyme, cloud computing, malware, botnet, virus, spyware, rootkit, firewall, ciberespionaje, phishing, vishing, smishing, BYOD, keylogger, big data , biometría, virus de la policia

Relacionados: Hacking, Hacking Ético y Hacktivismo, Metadatos, Seguridad lógica y Física, Biometría , Ciberataques , Ciberguerra , Cloud Computing , DLP: Data Loss Prevention, Prevención de la pérdida de datos, Criptografía , Privacidad y Protección de Datos , Rootkit, Spyware, Scam, Hoax, Phishing, Pharming e Ingenieria Social, Robo de identidad y Phishing , Botnets: Redes Zombies

 

 

¿Qué es el Análisis Forense?

El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.

La informática forense es una disciplina relativamente joven que empezó a practicarse en los años 80 con el análisis directo de los medios digitales.


Objetivos

La Informática forense permite la solución de conflictos tecnológicos relacionados con seguridad informática y protección de datos. Gracias a ella, las empresas obtienen una respuesta a problemas de privacidad,competencia desleal, fraude, robo de información confidencial y/o espionaje industrial surgidos a través de uso indebido de las tecnologías de la información.

Mediante sus procedimientos se identifican, aseguran, extraen, analizan y presentan pruebas generadas y guardadas electrónicamente para que puedan ser aceptadas en un proceso legal.

Cuando una empresa contrata servicios de Informática forense puede perseguir objetivos preventivos, anticipándose al posible problema u objetivos correctivos, para una solución favorable una vez que la vulneración y las infracciones ya se han producido.

El objetivo del análisis forense de dispositivos electrónicos (ordenadores personales, servidores, agendas electrónicas, teléfonos móviles, etc.) es la identificación de rastros digitales que evidencien que cierto suceso ha ocurrido en el dispositivo. Estas evidencias pueden ser usadas en un juicio.

El análisis forense informático permite obtener evidencias informáticas de un fraude garantizando que la fuente original de la información, el móvil, el ordenador, el disco, etc... no se altera durante el proceso. Es fundamental que en cuanto se tenga la menor sospecha de la comisión de un delito o de actividades susceptibles de ser investigadas, efectuadas en el dispositivo electrónico, éste deje de utilizarse, ni siquiera debe apagarse, y se contacte con profesionales para evitar la destrucción no intencionada de la prueba.

Una de las primeras acciones del equipo forense será la duplicación exacta de las fuentes de datos (discos, memorias, etc.) con el objetivo de preservar las originales inalteradas y manipular únicamente las copias para el análisis. Para ello, se hace uso de distintas técnicas y dispositivos hardware que bloquean electrónicamente la escritura en el disposito origen evitando cualquier tipo de alteración no prevista del mismo.

Una vez disponemos de copias exactas de los dispositivos origen, se procede al análisis de los rastros en el mismo. Tratará de analizarse cualquier rastro que pueda identificarse, memoria volátil, ficheros existentes, borrados, protegidos con contraseña, ocultos mediante el uso de distintas técnicas (características del sistema de ficheros, criptografía, esteganografía), tráfico de red, registros del sistema, etc.

El equipo forense redactará, después del análisis de las evidencias, un informe técnico y un informe ejecutivo. En el informe técnico se detallará el proceso de análisis con los resultados obtenidos desde el punto de vista técnico mientras que en el informe ejecutivo se mostrará un análisis no técnico que pueda ser empleado por un tribunal.

El análisis forense informático es una prueba clave en numerosas ocasiones, como por ejemplo:

- Revelación de secretos, espionaje industrial y confidencialidad
- Delitos económicos, societarios o contra el mercado o los consumidores
- Delitos contra la propiedad intelectual e industrial
- Vulneración de la intimidad
- Sabotaje
- Uso indebido de equipos
- Amenazas, calumnias e injurias
- Cumplimiento de obligaciones y contratos
- Delitos contra la Propiedad Intelectual, en caso de Software Pirata o documentos con el debido registro de derechos de Autor.
- Robo de Propiedad Intelectual y Espionaje industrial (que aunque no se crea, sí existe en nuestro país).
- Blanqueo de Dinero, vía transferencia de fondos por Internet.
- Acoso Sexual (vía e-mail); Chantaje o amenazas (vía e-mail).
- Acceso no autorizado a propiedad intelectual.
- Corrupción.
- Destrucción de Información Confidencial.
- Fraude (en apuestas, compras, etc. Vía e-mail).
- Pornografía en todas sus formas, inclusive en la más devastadora: Pornografía infantil.

 

Relacionadas:
27/11/13: Detenidos dos trabajadores por instalar un keylogger espía en su empresa. Los agentes logran demostrar su implicación gracias al estudio forense.

 

Procesos técnicos de la informática forense

Para obtener pruebas, los investigadores examinaban la "vida interior" de los ordenadores con ayuda de las herramientas de administración del sistema (Sysadmin). No obstante, esa forma de proceder podía ocasionar la modificación de los datos, lo que a su vez podía dar lugar a alegaciones de falsificación de las pruebas.

Ello condujo a la adopción de otro enfoque, el análisis forense, que se compone de tres pasos:

- Identificación y preservación de los datos con el fin de crear un duplicado forense, es decir, una copia exacta de los datos de un soporte digital, sin modificar los datos originales.

- Análisis de los datos así protegidos por medio de un software especial y de métodos para la recopilación de pruebas. Medidas típicas son, por ejemplo, la búsqueda de contraseñas, la recuperación de archivos borrados, la obtención de información del registro de Windows (base de datos de registro), etc.

- Elaboración de un informe por escrito sobre las evidencias descubiertas en el análisis y en el que se incluyan también las conclusiones extraídas del estudio de los datos y de la reconstrucción de los hechos o incidentes.

Para preservar y analizar datos en el contexto de una investigación se requiere un software muy especializado. Los jueces deben poder confiar en que las herramientas de análisis forense empleadas en la investigación son fiables y satisfacen los requisitos.

En EE. UU. se emplea el estándar de Daubert para regular la admisibilidad de las herramientas y procesos forenses. Este estándar exige que la tecnología y las herramientas de software empleadas en una investigación sean sometidas a una prueba empírica y comprobadas por especialistas, y que los resultados obtenidos puedan ser reproducidos por otros expertos.

Los aspectos técnicos de la informática forense están determinados también por el tipo de soportes digitales que se investigue. Por ello, la informática forense se divide en varias ramas que se ocupan del análisis de ordenadores, redes, bases de datos y dispositivos móviles con fines forenses. Ésta última en especial tiene que hacer frente a los desafíos que se derivan de la naturaleza propietaria de los aparatos móviles.


Metodologías en la Informática forense

Las distintas metodologías forenses incluyen la recogida segura de datos de diferentes medios digitales y evidencias digitales, sin alterar los datos de origen.

Cada fuente de información se cataloga preparándola para su posterior análisis y se documenta cada prueba aportada. Las evidencias digitales recabadas permiten elaborar un dictamen claro, conciso, fundamentado y con justificación de las hipótesis que en él se barajan a partir de las pruebas recogidas.


Procedimientos correctos

Todo el procedimiento debe hacerse tenido en cuenta los requerimientos legales para no vulnerar en ningún momento los derechos de terceros que puedan verse afectados. Ello para que, llegado el caso, las evidencias sean aceptadas por los tribunales y puedan constituir un elemento de prueba fundamental, si se plantea un litigio, para alcanzar un resultado favorable.

En resumen, estamos hablando de la utilización de la informática con una finalidad preventiva, en primer término. Como medida preventiva sirve a las empresas para auditar, mediante la práctica de diversas pruebas técnicas, que los mecanismos de protección instalados y las condiciones de seguridad aplicadas a los sistemas de información son suficientes.

Asimismo, permite detectar las vulnerabilidades de seguridad con el fin de corregirlas. Cuestión que pasa por redactar y elaborar las oportunas políticas sobre uso de los sistemas de información facilitados a los empleados para no atentar contra el derecho a la intimidad de esas personas.

Por otro lado, cuando la seguridad de la empresa ya ha sido vulnerada, la informática forense permite recoger rastros probatorios para averiguar, siguiendo las evidencias electrónicas, el origen del ataque (si es una vulneración externa de la seguridad) o las posibles alteraciones, manipulaciones, fugas o destrucciones de datos a nivel interno de la empresa para determinar las actividades realizadas desde uno o varios equipos concretos.


Herramientas Software

Aquí exponemos algunas utilidades prácticas empleando software, para recuperar archivos y correos borrados, rescatar las contraseñas, escarbar en cachés e historiales, buscar documentos y adjuntos de correo, buscar clasificar y recuperar imágenes, explorar disco duro y memoria, y alguna Suite: OSForensics y Windows File Analyzer.

Herramientas para recuperar contraseñas.
La contraseña es un sistema de protección usado por muchos sitios web, programas de mensajería y herramientas ofimáticas. Recolectar las claves existentes permite rescatar mucha información valiosa.

- BrowserPasswordDecryptor recupera todas las contraseñas almacenadas en los navegadores web
- MessenPass hace otro tanto con los usuarios y contraseñas de Messenger, ICQ, Yahoo!…
- Mail PassView rescata las claves de las cuentas de correo locales (en Outlook, Eudora, Thunderbird, etc.)
- BulletsPassView , ShoWin y AsteriskKey desvelan las contraseñas ocultas tras asteriscos
- WirelessKeyDump obtiene las contraseñas de las redes WiFi
- FireMaster intenta recuperar la contraseña maestra de Firefox


Nirsoft y SecurityXploded tienen muchas herramientas dedicadas exclusivamente a la recuperación de contraseñas, casi todas ejecutables desde memorias USB. Conviene recordar que solo obtienen contraseñas almacenadas sin protección y que para romper el cifrado es necesario recurrir a ataques criptográficos (por ejemplo, con Cain & Abel )

Explorar el disco duro y la memoria
Al examinar un ordenador, necesitarás una visión global de carpetas y archivos; SpaceSniffer , Scanner o WinDirStat Portable ofrecen resúmenes rápidos del reparto de espacio en los discos duros. Para crear una base de datos de carpetas, usa getFolder y FileLister.

Por último, puede darse el caso de que el ordenador al que has accedido esté todavía encendido y con programas abiertos. Comprueba qué archivos están en uso con OpenedFilesView y analiza la memoria con la ayuda de un editor hexadecimal (por ejemplo, WinHex o HxD ).

Más avanzados son MoonSols Windows Memory Toolkit y Volatility Framework , que analizan volcados de memoria y ficheros de hibernación de Windows, trozos de memoria “congelados” que pueden contener información valiosa.

Recuperar archivos y correos borrados.
A menos que alguien lleve a cabo limpiezas periódicas del espacio vacío (por ejemplo, con Disk Wipe ) o trabaje en entornos temporales (como Live-CD o máquinas virtuales), recuperar los archivos borrados no solo es posible, sino también muy sencillo.

Algunas de las herramientas más eficaces para este cometido son DiskDigger, Recuva, Pandora Recovery o TestDisk, que rescata incluso particiones perdidas y sectores de arranque.

Si los datos se encuentran en CD y DVD ilegibles, vale la pena intentar una lectura de bajo nivel con ISOBuster. Para correos borrados en Outlook Express, Format Recovery es una buena opción gratuita.

Keyloggers
(Ver también el documento ampliado sobre Keyloggers)

El software keylogger, también conocido como “Software de registro de actividades del Computador” o “keylogger”, es un programa que registra secretamente todas las actividades que tuvo lugar en un equipo, en redes de computadores, de manera individual o corporativa.

Y cuando se dice “todas las actividades”, se refiere a cada golpe de teclado mecanografiados, el uso del internet, los sitios web visitados, las conversaciones de chat, palabras “claves”, documentos impresos, la creación o modificación de archivos, imágenes, correos enviados y recibidos, que dependiendo de la sofisticación del software keylogger que es usado, permiten realizar un análisis de lo que ocurre en un computador de un empleado en particular o en redes de computadoras en empresas de gran volumen.

1) REFOG
2) Super Free Keylogger
3) Revealer Keylogger Free Edition


Suites
OSForensics es una suite de informática forense con una serie de utilidades únicas: buscador de texto, índice de contenidos del disco, analizador de actividad reciente, búsqueda de archivos borrados o discordantes y visor de memoria y disco.

La particularidad de OSForensics, además de concentrar varias herramientas en una sola ventana, es su gestor de casos, útil para organizar los datos de distintas investigaciones.

Más sencillo es Windows File Analyzer, que explora en las bases de datos de miniaturas (los archivos Thumbs.db), archivos de precarga (Prefetch), documentos recientes, historial de Internet Explorer y basura de la Papelera.

WinHex: Software para informática forense y recuperación de archivos, Editor Hexadecimal de Archivos, Discos y RAM. Es un editor hexadecimal universal, y al mismo tiempo posiblemente la más potente utilidad de sistema jamás creada. Apropiado para informática forense, recuperación de archivos, peritaje informático, procesamiento de datos de bajo nivel y seguridad informática.

Autopsy Forensic Browser

OXYGEN FORENSIC SUITE Esta suite es interesante para el análisis forense del iPhone (para Android: MOBILedit!Forensic).

Para finalizar, hay que tener en cuenta que algunas de herramientas se distribuyen libremente, pero la legitimidad de su uso depende exclusivamente del usuario. A menos que se este autorizado para acceder a un equipo informático y extraer información, conviene no emplearlas.

Click para ampliar




¿Qué es el Peritaje Informático?

El peritaje informático es una disciplina que no es reciente, pero que últimamente ha experimentado un auge exponencial debido, como decimos, al avance de Internet y de la informática en general.

Si usted o su empresa está envuelto en un caso judicial relacionado con la informática es posible que necesite un perito informático de parte que realice una prueba pericial sobre las evidencias del caso. Un equipo de peritos profesionales (Ingenieros Informáticos Superiores y de Telecomunicaciones) pueden ofrecerle un análisis detallado y una explicación clara y concisa de los resultados.

Los peritajes informáticos pueden ser judiciales o de parte. En los peritajes judiciales, el perito informático es nombrado por el juzgado, y en los de parte, el perito va nombrado por una de las partes litigantes.

En los últimos años, el número de casos en juicios relacionados con la informática se ha multiplicado. En ocasiones, ni los abogados ni los jueces son capaces, al no ser su especialidad, de entender los detalles de un caso, detalles que cambian el escenario completamente. En estos casos, un perito profesional, con los conocimientos necesarios en informática y el lenguaje propio de un juicio es capaz de aclarar a las partes la realidad sobre determinadas evidencias.

Casos sobre:

- Revelación de secretos, espionaje industrial y confidencialidad
- Delitos económicos, societarios o contra el mercado o los consumidores
- Delitos contra la propiedad intelectual e industrial
- Vulneración de la intimidad
- Sabotaje
- Uso indebido de equipos
- Amenazas, calumnias e injurias
- Cumplimiento de obligaciones y contratos

El peritaje informático requiere de constante actualización y conocimiento experto, áreas que solo pueden ser cubiertas por un perito profesional.

Un equipo de peritaje informático debería ser experto en recuperación de datos en sistemas dañados:

- Recuperación de ficheros borrados
- Acceso a datos en discos dañados físicamente

Además deberían dar máximas garantías siendo colegiados y a ser posible estando presentes en el Turno de Actuación Profesional. Esto le permitirá que el dictamen pericial vaya además visado por un colegio profesional. Por otro lado sería deseable que estuvieran certificados como Auditores de Sistemas de Información o equivalentes.




¿Qué es un Perito Informático?

Las Nuevas Tecnologías avanzan vertiginosamente y, al mismo tiempo, esos avances se integran cada vez más en nuestra vida cotidiana. Crece la oferta de medios y dispositivos desde los que, de forma sencilla, podemos interactuar con infinidad de personas y aplicaciones en redes informáticas, donde de forma paralela cada día nacen nuevos Ciberdelincuentes: Profesionales de la estafa cibernética, que se amparan en el anonimato de la red y la brecha digital.

Esta situación general requiere estar asesorado por Expertos Tecnológicos y poder actuar con garantías ante los posibles delitos informáticos, cada vez mas variados, que nos puedan afectar tanto a nivel profesional como particular.

Esos expertos son los Peritos Informáticos, especializados en distintos campos de la Ingeniería Informática, que pueden auditar y ayudar a esclarecer las incidencias ocurridas en el ámbito de las ‘TICs'. Como ejemplo podemos citar casos de uso indebido del material informático, demandas por incumplimiento de contrato en la creación de aplicaciones informáticas, fraude a través de las redes de comunicaciones, detección de falsificaciones, protección de datos, seguridad corporativa, tasación y valoración software/hardware, defensa jurídica…

Este nuevo perfil profesional tiene como principal objetivo asesorar al juez, fiscal o abogados respecto a temas relacionados con la informática, tras analizar elementos (dispositivos, ficheros, datos) que puedan constituir una prueba o indicio significativo para la resolución de cualquier pleito para el que el perito se haya requerido, aportando seguridad, conocimientos y demostrando aquellos aspectos tecnológicos que no están obligados a conocer profesionales del derecho o tribunales.

El Perito Informático es un profesional que desarrolla su trabajo dentro del campo de la ingeniería informática. Tiene que haber realizado el curso oficial de peritajes de su Colegio y estar colegiado en el mismo, en pleno ejercicio de su actividad profesional (es decir, no haber sido apartado de la profesión por el Colegio), y además tiene que haber contratado un seguro de responsabilidad civil.

Para ser perito informático es necesario estar en posesión del título de ingeniero o ingeniero técnico en informática, colegiarse en un colegio profesional de ingeniería o ingeniería técnica en informática y realizar el curso de peritajes organizado por el Colegio. A partir de aquí, el perito será incluido en las listas de peritaje propias del Colegio al que esté adscrito, y también en las listas que dicho Colegio enviará a los juzgados de su comunidad autónoma.

El perito informático es un investigador forense capaz de desarrollar actividades diversas: puede decidir si un programa informático ha sido plagiado de otro, si se han revelado secretos de empresa, si material personal no autorizado ha sido publicado y distribuido a través de redes P2P o si ha habido un incumpliento de contrato por parte de una empresa de servicios, entre otras. Para esto cuenta con una excelente formación universitaria en informática que le permite analizar todas las evidencias electrónicas y sacar las pertinentes conclusiones que presentará ante el cliente y/o el juez.

Para poder ejercer se necesita la contratación de un seguro de responsabilidad civil que se haga cargo de las eventuales indemnizaciones civiles a las que sea condenado el perito debido al ejercicio de su actividad.


Perfil del Perito informático

Los delitos informáticos nos conducen a la figura del Perito informático y Tecnológico, en sus diferentes tipologías: Forense Informático, de Gestión (Management), Auditor, Tasador, Mediador; según las distintas actividades que se pueden realizar en función de su formación, especialización y experiencia.

En cualquiera de estas modalidades el trabajo del perito tecnológico consiste en un estudio de cómo ocurre un incidente informático, quién lo ejecuta, por qué y con qué objetivo. El análisis se realiza siempre en base a la recolección de Evidencias Digitales, que podemos definir como cualquier información contrastable encontrada en un sistema informático, con datos relevantes para el proceso en estudio y que puede utilizarse como medio de prueba.

Para ejercer como Perito Judicial Informático es indispensable una certificación homologada por una institución reconocida, Asociación y/o Colegio Profesional, que acredite sus conocimientos y su pericia. Esta certificación, junto con su titulación universitaria, (principalmente ingeniero, licenciado o ingeniero técnico en informática), le acredita como profesional experto con amplios conocimientos en el ámbito informático y de la legalidad, para avalar cualquier prueba o hecho que pueda ser imputable como delito.

Centrándonos en la jurisprudencia, el Perito Informático o Tecnológico es un profesional que nombra la autoridad del proceso, con el fin de que a través de sus conocimientos técnicos pueda dictaminar de forma objetiva y veraz sobre aspectos determinados relacionados con los hechos en estudio.

Como conclusión, el trabajo del perito informático no es distinto al de otros peritos judiciales, y se basa, igualmente, en la recopilación de información, su análisis para obtener y explicar aquello que el juez le ha solicitado y, finalmente, emitir su dictamen, donde deben plasmarse todas las determinaciones de su trabajo de investigación.

Peritaje Informático, Dirección IP, la huella digital telemática del criminal.

En la Sentencia de Tribunal Supremo STS 8316/2012 resultaron absueltos dos acusados por delitos de estafa realizada por medios telemáticos. Lo interesante de esta sentencia desde el punto de vista de peritaje informático es que se pone en clara duda que el hecho de que se pueda relacionar una operación fraudulenta a una dirección IP, por ello el propietario o usuario asignado a la misma deba ser inequívocamente el delincuente y autor de la operación.

Esta relación unívoca aparentemente rotunda entre la dirección IP y el usuario de la misma, puede presentar dudas razonables sobre la veracidad y certeza a la hora de imputar la culpabilidad a un individuo (el propietario del dispositivo). Para establecer esta duda razonable sería necesario actuar en dos frentes en paralelo, por un lado en el aspecto tecnológico, por el otro lado, en el perfil y los aspectos circunstanciales del propio individuo.

Considerando los aspectos meramente tecnológicos, se ha de ser consciente que los delincuentes cibernéticos poseen un repertorio de herramientas y métodos para hacerse con la identificación y el uso de direcciones IP de terceros y operar a través de ellas, tales como:

- Sistemas Desactualizados o no protegidos.
- Puertos accesibles, vulnerabilidades del Sistema.
- Redes Wifis abiertas o protecciones WAP o WEP poco seguras.
- Malwares, Troyanos, backdoors, botnets, etc.

Por lo tanto para poder establecer una duda razonable sobre el propietario de la IP como presunto delincuente, se ha de analizar el PC y los dispositivos en búsqueda de estas vulnerabilidades que permitirían al ciberdelincuente la usurpación y utilización ilegítima de la dirección IP para cometer el delito.

Considerando el perfil y los aspectos circunstanciales del individuo acusado y para ello se ha de focalizar en encontrar evidencias de:

- Ausencia de lucro personal en la operación, por lo tanto ausencia de dolo respecto al acusado. Normalmente de hecho ni tan siquiera sospecha que se han realizado transacciones económicas desde su equipo.
- La no posesión de conocimientos técnicos necesarios e imprescindibles para obtener claves bancarias y con ello la posibilidad de ejecución de la estafa.
- El no hallazgo de indicios de realización de la operación en el examen del equipo personal del individuo.

Ninguno de estos elementos (ni técnicos ni circunstanciales) por sí mismos son determinantes para el establecimiento de la duda razonable sobre la culpabilidad del individuo, pero trabajando todas estas posibilidades desde un punto global de conjunto se puede evidenciar más allá de la duda razonable si el presunto culpable propietario de la dirección IP involucrada, es realmente un delincuente, o lo que cabría esperar, una víctima más de la estafa.

Así pues desde el punto de vista del informe pericial y de la defensa del individuo se ha de considerar las posibles vías expuestas.

Los correos electrónicos como medio de prueba judicial

En los tiempos que corren está generalizado como canal de comunicación habitual el uso del e-mail así como de otras formas de comunicación electrónica y, más concretamente en el ámbito empresarial y profesional, como forma incluso de negociación y cierre de muchas transacciones.

A tenor del artículo 3.5 de la Ley 59/2003 de Firma Electrónica, ”se considera documento electrónico la información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado y susceptible de identificación y tratamiento diferenciado”. Por su parte, nuestra Ley de Enjuiciamiento Civil en el artículo 299 admite aportar como medio de prueba “los medios de reproducción de la palabra, el sonido y la imagen, así como los instrumentos que permiten archivar y conocer o reproducir palabras, datos, cifras”.

Los medios de prueba son aquellos con los que las partes pueden demostrar al órgano judicial la verdad de un hecho alegado. Por tanto, la primera conclusión a la que podemos llegar es que los correos electrónicos pueden ser aportados como prueba a juicio, si bien al no estar regulados legalmente este tipo de medio probatorio, son de aquellos que el Juez valora conforme a su convicción o sana crítica y fija libremente su fuerza probatoria.

Es por ello que será pues necesario aportar al Juez la mayor cantidad de evidencias que acrediten que el e-mail ha sido enviado, a qué destinatario y quien ha sido el emisor, su autenticidad, integridad y literalidad. A tales efectos, en la actualidad ya existen sistemas de firma digital y empresas que se dedican a prestar tales servicios.

En el supuesto de que el e-mail aportado no sea impugnado por la parte contraria, como cualquier otro documento privado que es, legalmente tendrá el mismo valor probatorio que un documento público. Ahora bien, en caso de que sea impugnado tendremos que recurrir a la prueba pericial oportuna la que normalmente se centra en acreditar lo siguiente:

- El emisor del correo y la identidad de la dirección de correo.
- La identidad del quipo desde el que se emite el correo (Mac address).
- La identidad del servidor del correo saliente.
- La identidad del servidor del correo entrante.
- La fecha y hora de envío y recepción.
- La cadena de custodia de las fuentes de información a analizar (la cabecera del correo y metadatos de los correos adjuntados).
- Los servidores de correo.

En definitiva, si bien los correos electrónicos son un medio de prueba que se puede perfectamente aportar en un proceso judicial, en caso de que sea impugnado por la parte contraria, no tendremos más remedio que acudir a una prueba pericial siendo fundamental para que sean considerados por el Órgano Juzgador la conclusión del informe que emita el perito sobre si el e-mail aportado ha sido manipulado o si por el contrario verifica que mantiene su integridad respecto a su versión original.



Fotografia Digital HD (High Dfinition) Forense

Julio Verne, en la novela Los hermanos Kip, libra a sus dos protagonistas de una acusación de asesinato con uno de esos trucos en los que genialmente mezclaba ciencia con ficción: una fotografía del rostro del asesinado mostraba la imagen de los verdaderos culpables fijada en la retina del muerto. Los optogramas, como así bautizaron a este supuesto fenómeno, estuvieron tan de moda a finales del siglo XIX que hasta Scotland Yard los hizo para intentar capturar a Jack el Destripador.

Aunque todo era superchería propia de la pseudociencia de esa época, la fotografía digital puede darle una segunda oportunidad a los optogramas. Dos investigadores británicos han demostrado que se puede identificar lo que ve una persona fotografiada haciendo zoom en la fotografía y, por fortuna, sin necesidad de que esté muerto.

Con una cámara digital de las buenas, con una resolución de 39 megapíxeles (Mpx), Rob Jenkins, de la Universidad de York, y Christie Kerr, de la de Glasgow, realizaron una serie de fotografías a dos grupos de voluntarios para dos experimentos. En el primero, situaron en el campo de visión del fotografiado a varias personas, unas conocidas y otras desconocidas para él y, claro al fotógrafo, que era uno de los investigadores.

Las fotos, de tamaño carné, tenían una muy buena resolución, unos 12 Mpx de media. Las fueron ampliando hasta llegar a la córnea de uno de los ojos del fotografiado. Tras pasarlas por el PhotoShop, consiguieron localizar los rostros de los presentes en la escena. Eran apenas tres centenares de píxeles por rostro pero suficientes para que, al ponerlas junto a una imagen de mejor calidad, los voluntarios pudieran reconocer a los conocidos en el 84% de los casos e identificar a la mitad de los desconocidos.

En un segundo experimento con nuevos voluntarios de la facultad donde Jenkins da clases, los sujetos tenían que identificarle en una serie de seis imágenes donde las cinco restantes eran de personas ajenas a la universidad. Pero esta vez no había una foto buena con la que comparar. En el 90% de los casos, los participantes reconocieron al profesor y sólo un 10% dio un falso positivo, es decir reconoció a alguno de los desconocidos.

“La pupila es como un espejo negro. Para mejorar la imagen tienes que ampliarla y ajustar el contraste. La imagen del rostro recuperada del reflejo en el ojo del sujeto es unas 30.000 veces más pequeña que su cara”, recuerda Jenkins. Esto supone el 0,003% de la imagen. Aún así, “nuestros resultados destacan la gran capacidad que tenemos para reconocer rostros humanos y destapa el potencial de la fotografía de alta resolución”, añade en una nota.

Aún a pesar de la escasez de píxeles y una resolución pésima, los humanos podemos reconocer otros rostros y esa capacidad aumenta dramáticamente si no es la primera vez que lo vemos. Por eso, Jenkins y Kerr creen que este trabajo, publicado en PloS ONE puede ser muy útil para los forenses. En muchos delitos, como el secuestro o la grabación de pornografía infantil, las imágenes podrían llevar a hasta los autores.

Scotland Yard nunca pudo capturar a Jack el Destripador con los optogramas. Pero ahora no se trata de recuperar su imagen de la pupila de las asesinadas sino de descubrir al criminal en los ojos de la víctima fotografiada.

Relacionadas:
Fotografía forense: manipulación digital y Error Level Analysis

¿Qué es un Malware?
(Ver documento ampliado sobre Malware)

Malware (del inglés malicious software), también llamado badware, código maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o Sistema de información sin el consentimiento de su propietario.

El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto.

El término virus informático suele aplicarse de forma incorrecta para referirse a todos los tipos de malware, incluidos los virus verdaderos.

El software se considera malware en función de los efectos que, pensados por el creador, provoque en un computador. El término malware incluye virus, gusanos, troyanos, la mayor parte de los rootkits, scareware, spyware, adware intrusivo, crimeware y otros softwares maliciosos e indeseables.

Malware no es lo mismo que software defectuoso; este último contiene bugs peligrosos, pero no de forma intencionada.

Los resultados publicados por diversas compañías antivirus internacionales sugieren que «el ritmo al que se ponen en circulación códigos maliciosos y otros programas no deseados podría haber superado al de las aplicaciones legítimas». Según un reporte de F-Secure, «Se produjo tanto malware en un año como en los 20 años anteriores juntos».

Según Panda Security, durante 12 meses se pueden crear hasta 73.000 nuevos ejemplares de amenazas informáticas por día, 10.000 más como media de crecimiento anual. De éstas, el 73 por ciento son troyanos y crecen de forma exponencial los del subtipo downloaders.



PROPÓSITO

Haciendo un poco de historia, algunos de los primeros programas infecciosos, incluido el primer gusano de Internet y algunos virus del antiguo MS-DOS, fueron elaborados como experimentos, como bromas o simplemente como algo molesto, no para causar graves daños en las computadoras. En algunos casos el programador no se daba cuenta de cuánto daño podía hacer su creación.

Algunos jóvenes que estaban aprendiendo sobre los virus los crearon con el único propósito de demostrar que podían hacerlo o simplemente para ver con qué velocidad se propagaban. Incluso en 1999 un virus tan extendido como Melissa parecía haber sido elaborado tan sólo como una travesura.

El software diseñado para causar daños o pérdida de datos suele estar relacionado con actos de vandalismo. Muchos virus son diseñados para destruir archivos en discos duros o para corromper el sistema de archivos escribiendo datos inválidos.

Algunos gusanos son diseñados para vandalizar páginas web dejando escrito el alias del autor o del grupo por todos los sitios por donde pasan. Estos gusanos pueden parecer el equivalente informático del graffiti.

Sin embargo, debido al aumento de usuarios de Internet, el software malicioso ha llegado a ser diseñado para sacar beneficio de él, ya sea legal o ilegalmente. Desde hace ya más de una década, la mayor parte de los virus y gusanos han sido diseñados para tomar control de computadoras para su explotación en el mercado negro y para el robo de datos y perfiles personales. Estas computadoras infectadas ("computadoras zombie") son usadas para el envío masivo de spam por email, para alojar datos ilegales como pornografía infantil, o para unirse en ataques DDoS como forma de extorsión entre otras cosas.

Hay muchos más tipos de malware producido con ánimo de lucro, por ejemplo el spyware, el adware intrusivo y los hijacker tratan de mostrar publicidad no deseada o redireccionar visitas hacia publicidad para beneficio del creador. Estos tipos de malware no se propagan como los virus, generalmente son instalados aprovechándose de vulnerabilidades o junto con software legítimo como aplicaciones P2P.



MALWARE INFECCIOSO: VIRUS Y GUSANOS

Los tipos más conocidos de malware, virus, gusanos y troyanos, se distinguen por la manera en que se propagan, más que por otro comportamiento particular.

El término virus informático se usa para designar un programa que, al ejecutarse, se propaga infectando otros softwares ejecutables dentro de la misma computadora. Los virus también pueden tener un payload que realice otras acciones a menudo maliciosas, por ejemplo, borrar archivos.

Por otra parte, un gusano es un programa que se transmite a sí mismo, explotando vulnerabilidades en una red de computadoras para infectar otros equipos. El principal objetivo es infectar a la mayor cantidad posible de usuarios, y también puede contener instrucciones dañinas al igual que los virus.

Nótese que un virus necesita de la intervención del usuario para propagarse mientras que un gusano se propaga automáticamente. Teniendo en cuenta esta distinción, las infecciones transmitidas por e-mail o documentos de Microsoft Word, que dependen de su apertura por parte del destinatario para infectar su sistema, deberían ser clasificadas más como virus que como gusanos.



Malware oculto: Backdoor O Puerta trasera, Drive-BY Downloads, Rootkits y Troyanos

Para que un software malicioso pueda completar sus objetivos, es esencial que permanezca oculto al usuario. Por ejemplo, si un usuario experimentado detecta un programa malicioso, terminaría el proceso y borraría el malware antes de que este pudiera completar sus objetivos. El ocultamiento también puede ayudar a que el malware se instale por primera vez en la computadora.

PUERTAS TRASERAS O BACKDOORS

Un backdoor o puerta trasera es un método para eludir los procedimientos habituales de autenticación al conectarse a una computadora. Una vez que el sistema ha sido comprometido (por uno de los anteriores métodos o de alguna otra forma), puede instalarse una puerta trasera para permitir un acceso remoto más fácil en el futuro. Las puertas traseras también pueden instalarse previamente al software malicioso para permitir la entrada de los atacantes.

Los crackers suelen usar puertas traseras para asegurar el acceso remoto a una computadora, intentando permanecer ocultos ante una posible inspección. Para instalar puertas traseras los crackers pueden usar troyanos, gusanos u otros métodos.

Se ha afirmado, cada vez con mayor frecuencia, que los fabricantes de ordenadores preinstalan puertas traseras en sus sistemas para facilitar soporte técnico a los clientes, pero no ha podido comprobarse con seguridad.

DRIVE-BY DOWNLOADS
Google descubrió hace años que una de cada 10 páginas web analizadas en profundidad pueden contener los llamados drive by downloads, que son sitios que instalan spyware o códigos que dan información de los equipos sin que el usuario se percate.

El término puede referirse a las descargas de algún tipo de malware que se efectúa sin consentimiento del usuario, lo cual ocurre al visitar un sitio web, al revisar un mensaje de correo electrónico o al entrar a una ventana pop-up, la cual puede mostrar un mensaje de error.

Sin ser su verdadera intención, el usuario consiente la descarga de software indeseable o de malware, y estas vulnerabilidades se aprovechan.

El proceso de ataque Drive-by Downloads se realiza de manera automatica mediante herramientas que buscan en el sitio web alguna vulnerabilidad. Una vez encontrada, insertan un script malicioso dentro del código HTML del sitio violado.

Cuando un usuario visita el sitio infectado, éste descargará dicho script en el sistema del usuario, y a continuación realizará una petición a un servidor (Hop Point), donde se solicitarán nuevos scripts con exploits encargados de comprobar si el equipo tiene alguna vulnerabilidad que pueda ser explotada, intentando con ellas hasta que tienen éxito, en cuyo caso se descargará un script que descarga el archivo ejecutable (malware) desde el servidor.

En la mayor parte de los navegadores se están agregando bloqueadores antiphishing y antimalware que contienen alertas que se muestran cuando se accede a una página web dañada, aunque no siempre dan una total protección.

ROOTKITS
(Ver documento ampliado sobre Rootkits)

Las técnicas conocidas como rootkits modifican el sistema operativo de una computadora para permitir que el malware permanezca oculto al usuario. Por ejemplo, los rootkits evitan que un proceso malicioso sea visible en la lista de procesos del sistema o que sus ficheros sean visibles en el explorador de archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que el ordenador esta infectado por un malware.

Originalmente, un rootkit era un conjunto de herramientas instaladas por un atacante en un sistema Unix donde el atacante había obtenido acceso de administrador (acceso root). Actualmente, el término es usado mas generalmente para referirse a la ocultación de rutinas en un programa malicioso.

Algunos programas maliciosos también contienen rutinas para evitar ser borrados, no sólo para ocultarse. Un ejemplo de este comportamiento puede ser:

"Existen dos procesos-fantasmas corriendo al mismo tiempo. Cada proceso-fantasma debe detectar que el otro ha sido terminado y debe iniciar una nueva instancia de este en cuestión de milisegundos. La única manera de eliminar ambos procesos-fantasma es eliminarlos simultáneamente, cosa muy difícil de realizar, o provocar un error el sistema deliberadamente."

Uno de los rootkits más famosos fue el que la empresa Sony BMG Music Entertainment, secretamente incluyó, dentro de la protección anticopia de algunos CD de música, el software “Extended Copy Protection (XCP) y MediaMax CD-3”, los cuales modificaban a Windows para que no lo pudiera detectar y también resultar indetectable por los programas anti-virus y anti-spyware, actuaba enviando información sobre el cliente, además abrió la puerta a otros tipos de malware que pudieron infiltrarse en las computadoras, ademas de que sí se detectaba no podía ser eliminado pues se dañaba el sistema operativo.

Mikko Hypponen, jefe de investigación de la empresa de seguridad, F-Secure con sede en Finlandia, considero a este rootkit como uno de los momentos fundamentales de la historia de los malware.


TROYANOS

Usado para designar a un malware que permite la administración remota de una computadora, de forma oculta y sin el consentimiento de su propietario, por parte de un usuario no autorizado. Este tipo de malware es un híbrido entre un troyano y una puerta trasera, no un troyano atendiendo a la definición.

A grandes rasgos, los troyanos son programas maliciosos que están disfrazados como algo inocuo o atractivo que invitan al usuario a ejecutarlo ocultando un software malicioso. Ese software, puede tener un efecto inmediato y puede llevar muchas consecuencias indeseables, por ejemplo, borrar los archivos del usuario o instalar más programas indeseables o maliciosos.

Los troyanos conocidos como droppers son usados para empezar la propagación de un gusano inyectándolo dentro de la red local de un usuario.

Una de las formas más comunes para distribuir spyware es mediante troyanos unidos a software deseable descargado de Internet. Cuando el usuario instala el software esperado, el spyware es puesto también. Los autores de spyware que intentan actuar de manera legal pueden incluir unos términos de uso, en los que se explica de manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o sin entender.


MALWARE PARA OBTENER BENEFICIOS

Durante los años 80 y 90, se solía dar por hecho que los programas maliciosos eran creados como una forma de vandalismo o travesura. Sin embargo, en los últimos años la mayor parte del malware ha sido creado con un fin económico o para obtener beneficios en algún sentido.

Esto es debido a la decisión de los autores de malware de sacar partido monetario a los sistemas infectados, es decir, transformar el control sobre los sistemas en una fuente de ingresos.


MOSTRAR PUBLICIDAD: SPYWARE, ADWARE Y HIJACKING

Los programas spyware son creados para recopilar información sobre las actividades realizadas por un usuario y distribuirla a agencias de publicidad u otras organizaciones interesadas. Algunos de los datos que recogen son las páginas web que visita el usuario y direcciones de e mail, a las que después se envía spam.

La mayoría de los programas spyware son instalados como troyanos junto a software deseable bajado de Internet.

Otros programas spyware recogen la información mediante cookies de terceros o barras de herramientas instaladas en navegadores web. Los autores de spyware que intentan actuar de manera legal se presentan abiertamente como empresas de publicidad e incluyen unos términos de uso, en los que se explica de manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o sin entender.

Por otra parte los programas adware muestran publicidad al usuario de forma intrusiva en forma de ventanas emergentes (pop-up) o de cualquier otra forma. Esta publicidad aparece inesperadamente en el equipo y resulta muy molesta.

Algunos programas shareware permiten usar el programa de forma gratuita a cambio de mostrar publicidad, en este caso el usuario consiente la publicidad al instalar el programa. Este tipo de adware no debería ser considerado malware, pero muchas veces los términos de uso no son completamente transparentes y ocultan lo que el programa realmente hace.

Los hijackers son programas que realizan cambios en la configuración del navegador web. Por ejemplo, algunos cambian la página de inicio del navegador por páginas web de publicidad o pornográficas, otros redireccionan los resultados de los buscadores hacia anuncios de pago o páginas de phishing bancario.

Especial atención al typosquatting, técnica que los cibercriminales utilizan para infectar ordenadores de usuarios mediante páginas web falsas y luego utilizarlas para difundir su malware.

El pharming es una técnica que suplanta al DNS, modificando el archivo hosts, para redirigir el dominio de una o varias páginas web a otra página web, muchas veces una web falsa que imita a la verdadera. Esta es una de las técnicas usadas por los hijackers o secuestradores del navegador de Internet. Esta técnica también puede ser usada con el objetivo de obtener credenciales y datos personales mediante el secuestro de una sesión.


ROBO DE INFORMACIÓN PERSONAL: KEYLOGGERS Y STEALERS
(Ver también el documento ampliado sobre Keyloggers)

Cuando un software produce pérdidas económicas para el usuario de un equipo, también se clasifica como crimeware o software criminal, término dado por Peter Cassidy para diferenciarlo de los otros tipos de software malicioso. Estos programas están encaminados al aspecto financiero, la suplantación de personalidad y el espionaje.

Los keyloggers y los stealers son programas maliciosos creados para robar información sensible. El creador puede obtener beneficios económicos o de otro tipo a través de su uso o distribución en comunidades underground. La principal diferencia entre ellos es la forma en la que recogen la información.

Los keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para un posterior envío al creador. Por ejemplo al introducir un número de tarjeta de crédito el keylogger guarda el número, posteriormente lo envía al autor del programa y este puede hacer pagos fraudulentos con esa tarjeta.

Si las contraseñas se encuentran recordadas en el equipo, de forma que el usuario no tiene que escribirlas, el keylogger no las recoge, eso lo hacen los stealers. La mayoría los keyloggers son usados para recopilar contraseñas de acceso pero también pueden ser usados para espiar conversaciones de chat u otros fines.

Los stealers también roban información privada pero solo la que se encuentra guardada en el equipo. Al ejecutarse comprueban los programas instalados en el equipo y si tienen contraseñas recordadas, por ejemplo en los navegadores web o en clientes de mensajería instantánea, descifran esa información y la envían al creador.

REALIZAR LLAMADAS TELEFÓNICAS: DIALERS
Los dialers son programas maliciosos que toman el control del módem dial-up, realizan una llamada a un número de teléfono de tarificación especial, muchas veces internacional, y dejan la línea abierta cargando el coste de dicha llamada al usuario infectado.

La forma más habitual de infección suele ser en páginas web que ofrecen contenidos gratuitos pero que solo permiten el acceso mediante conexión telefónica. Suelen utilizar como señuelos videojuegos, salva pantallas, pornografía u otro tipo de material.

Actualmente la mayoría de las conexiones a Internet son mediante ADSL y no mediante módem, lo cual hace que los dialers ya no sean tan populares como en el pasado, aunque aún hay países en vías de desarrollo que los utilizan.


ATAQUES DISTRIBUIDOS: BOTNETS
(Ver también documento ampliado sobre Botnets)

Las botnets son redes de computadoras infectadas, también llamadas "zombies", que pueden ser controladas a la vez por un individuo y realizan distintas tareas.

Este tipo de redes son usadas para el envío masivo de spam o para lanzar ataques DDoS contra organizaciones como forma de extorsión o para impedir su correcto funcionamiento.

La ventaja que ofrece a los spammers el uso de ordenadores infectados es el anonimato, que les protege de la persecución policial.

En una botnet cada computadora infectada por el malware se loguea en un canal de IRC u otro sistema de chat desde donde el atacante puede dar instrucciones a todos los sistemas infectados simultáneamente.

Las botnets también pueden ser usadas para actualizar el malware en los sistemas infectados manteniéndolos así resistentes ante antivirus u otras medidas de seguridad.

OTROS TIPOS: ROGUE SOFTWARE Y RANSOMWARE
(Ver también documento sobre Rogue y Ransomware)

Los rogue software hacen creer al usuario que la computadora está infectada por algún tipo de virus u otro tipo de software malicioso, esto induce al usuario a pagar por un software inútil o a instalar un software malicioso que supuestamente elimina las infecciones, pero el usuario no necesita ese software puesto que no está infectado.

LOS RANSOMWARE
También llamados criptovirus o secuestradores, son programas que cifran los archivos importantes para el usuario, haciéndolos inaccesibles, y piden que se pague un "rescate" para poder recibir la contraseña que permite recuperar los archivos.

InfoSpyware reporta en su blog que a partir de mayo del 2012, han existido 2 nuevas variantes del llamado "virus de la policía" ó "Virus Ukash", que es producido por el troyano Ransom.ab, que con el pretexto de que se entró a páginas de pornografía infantil, se les hace pagar una supuesta multa para poder desbloquear sus equipos , actualmente también utilizando la propia cámara Web del equipo hacen unas supuestas tomas de vídeo que anexan en su banner de advertencia, para asustarlos más al hacerlos pensar que están siendo observado y filmado por la policía, siendo Rusia, Alemania, España y Brasil los países más afectados ó la versión falsa del antivirus gratuito "Microsoft Security Essentials" que dice bloquear el equipo por seguridad y que para poder funcionar adecuadamente se ofrece un módulo especial que se tiene que pagar.

La Brigada de Investigación Tecnológica de la Policía Nacional de España, junto con Europol e Interpol, desmantelaron en febrero del 2013, a la banda de piratas informáticos creadores del "Virus de la Policía", responsables de estafar alrededor de 1 millón de euros al año.

GRAYWARE O GREYNET
Los términos grayware (o greyware) y graynet (o greynet) (del inglés gray o grey, "gris") suelen usarse para clasificar aplicaciones o programas de cómputo que se instalan sin la autorización del departamento de sistemas de una compañía; se comportan de modo tal que resultan molestos o indeseables para el usuario, pero son menos peligrosos que los malware.

Se incluyen: adware, dialers, herramientas de acceso remoto, programas de bromas (joke programs), programas para conferencias, programa de mensajería instantánea, spyware y cualesquiera otros archivos y programas no bienvenidos que no sean virus y que puedan llegar a dañar el funcionamiento de una computadora o de una red.

El término grayware comenzó a utilizarse en septiembre del 2004.

VULNERABILIDADES USADAS POR EL MALWARE
Existen varios factores que hacen a un sistema más vulnerable al malware: homogeneidad, errores de software, código sin confirmar, sobre-privilegios de usuario y sobre-privilegios de código.

Una causa de la vulnerabilidad de redes, es la homogeneidad del software multiusuario. Por ejemplo, cuando todos los ordenadores de una red funcionan con el mismo sistema operativo, si se puede comprometer ese sistema, se podría afectar a cualquier ordenador que lo use. En particular, Microsoft Windows tiene la mayoría del mercado de los sistemas operativos, esto permite a los creadores de malware infectar una gran cantidad de computadoras sin tener que adaptar el software malicioso a diferentes sistemas operativos.

La mayoría del software y de los sistemas operativos contienen bugs que pueden ser aprovechados por el malware. Los ejemplos típicos son los desbordamiento de búfer (buffer overflow), en los cuales la estructura diseñada para almacenar datos en un área determinada de la memoria permite que sea ocupada por más datos de los que le caben, sobre escribiendo otras partes de la memoria.

Esto puede ser utilizado por el malware para forzar al sistema a ejecutar su código malicioso.

Las memorias USB infectadas pueden dañar la computadora durante el arranque.
Originalmente las computadoras tenían que ser booteadas con un diskette, y hasta hace poco tiempo era común que fuera el dispositivo de arranque por defecto. Esto significaba que un diskette contaminado podía dañar la computadora durante el arranque, e igual se aplica a CD y memorias USB.

Aunque eso es menos común ahora, sigue siendo posible olvidarse de que el equipo se inicia por defecto en un medio removible, y por seguridad normalmente no debería haber ningún diskette, CD, etc, al encender la computadora. Para solucionar este problema de seguridad basta con entrar en la BIOS del ordenador y cambiar el modo de arranque del ordenador.

En algunos sistemas, los usuarios no administradores tienen sobre-privilegios por diseño, en el sentido que se les permite modificar las estructuras internas del sistema, porque se les han concedido privilegios inadecuados de administrador o equivalente.

Esta es una decisión de la configuración por defecto, en los sistemas de Microsoft Windows la configuración por defecto es sobre-privilegiar al usuario. Esta situación es debida a decisiones tomadas por Microsoft para priorizar la compatibilidad con viejos sistemas sobre la seguridad y porque las aplicaciones típicas fueron desarrollados sin tener en cuenta a los usuarios no privilegiados.

Como los exploits para escalar privilegios han aumentado, esta prioridad cambió con Windows Vista. Como resultado, muchas aplicaciones existentes que requieren excesos de privilegios pueden tener problemas de compatibilidad con esta versión. Sin embargo, el propio Control de cuentas de usuario (UAC en inglés) intenta solucionar los problemas que tienen las aplicaciones no diseñadas para usuarios no privilegiados a través de la virtualización, actuando como apoyo para resolver el problema del acceso privilegiado inherente en las aplicaciones heredadas.

El malware, funcionando como código sobre-privilegiado, puede utilizar estos privilegios para modificar el funcionamiento del sistema. Casi todos los sistemas operativos populares, y también muchas aplicaciones scripting permiten códigos con muchos privilegios, generalmente en el sentido que cuando un usuario ejecuta el código, el sistema no limita ese código a los derechos del usuario.

Esto hace a los usuarios vulnerables al malware contenido en archivos adjuntos de e-mails, que pueden o no estar disfrazados. Dada esta situación, se advierte a los usuarios de que abran solamente archivos solicitados, y ser cuidadosos con archivos recibidos de fuentes desconocidas. Es también común que los sistemas operativos sean diseñados de modo que reconozcan dispositivos de diversos fabricantes y cuenten con drivers para estos hardwares, algunos de estos drivers pueden no ser muy confiables.


ELIMINANDO CÓDIGO SOBRE-PRIVILEGIADO

El código sobre-privilegiado se remonta a la época en la que la mayoría de programas eran entregados con la computadora. El sistema debería mantener perfiles de privilegios y saber cuál aplicar según el usuario o programa. Al instalar un nuevo software el administrador necesitaría establecer el perfil predeterminado para el nuevo código.

Eliminar las vulnerabilidades en los drivers de dispositivos es probablemente más difícil que en los software ejecutables. Una técnica, usada en VMS, que puede ayudar es solo mapear en la memoria los registros de ese dispositivo.

Otras propuestas son:

• Varias formas de virtualización, permitiendo al código acceso ilimitado pero solo a recursos virtuales.
• Varias formas de Aislamiento de procesos también conocido como sandbox.
• La virtualizacion a nivel de sistema operativo que es un método de abstracción del servidor en donde el kernel del sistema operativo permite múltiples instancias de espacio de usuario llamadas contenedores, VEs, SPV o jails, que pueden ser parecidas a un servidor real.
• Las funciones de seguridad de Java.

Tales propuestas, sin embargo, si no son completamente integradas con el sistema operativo, duplicarían el esfuerzo y no serían universalmente aplicadas, esto sería perjudicial para la seguridad.

PROGRAMAS ANTI-MALWARE
Como los ataques con malware son cada vez mas frecuentes, el interés ha empezado a cambiar de protección frente a virus y spyware, a protección frente al malware, y los programas han sido específicamente desarrollados para combatirlos.

Los programas anti-malware pueden combatir el malware de dos formas:

1. Proporcionando protección en tiempo real (real-time protection) contra la instalación de malware en una computadora. El software anti-malware escanea todos los datos procedentes de la red en busca de malware y bloquea todo lo que suponga una amenaza.

2. Detectando y eliminando malware que ya ha sido instalado en una computadora. Este tipo de protección frente al malware es normalmente mucho más fácil de usar y más popular. Este tipo de programas anti-malware escanean el contenido del registro de Windows, los archivos del sistema operativo, la memoria y los programas instalados en la computadora. Al terminar el escaneo muestran al usuario una lista con todas las amenazas encontradas y permiten escoger cuales eliminar.

La protección en tiempo real funciona idénticamente a la protección de los antivirus: el software escanea los archivos al ser descargados de Internet y bloquea la actividad de los componentes identificados como malware. En algunos casos, también pueden interceptar intentos de ejecutarse automáticamente al arrancar el sistema o modificaciones en el navegador web.

Debido a que muchas veces el malware es instalado como resultado de exploits para un navegador web o errores del usuario, usar un software de seguridad para proteger el navegador web puede ser una ayuda efectiva para restringir los daños que el malware puede causar.


MÉTODOS DE PROTECCIÓN

Siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad de una computadora, algunos son:

• Protección a través del número de cliente y la del generador de claves dinámicas

• Tener el sistema operativo y el navegador web actualizados.

• Tener instalado un antivirus y un firewall y configurarlos para que se actualicen automáticamente de forma regular ya que cada día aparecen nuevas amenazas.

• Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador solo debe utilizarse cuándo sea necesario cambiar la configuración o instalar un nuevo software.

• Tener precaución al ejecutar software procedente de Internet o de medios extraíbles como CD o memorias USB. Es importante asegurarse de que proceden de algún sitio de confianza.

• Una recomendación en tablet, celulares y otros dispositivos móviles es instalar aplicaciones de tiendas reconocidas como App Store, Google Play o Nokia Store, pues esto garantiza que no tendrán malware.

• Evitar descargar software de redes P2P, ya que realmente no se sabe su contenido ni su procedencia.

• Desactivar la interpretación de Visual Basic Script y permitir JavaScript, ActiveX y cookies sólo en páginas web de confianza.

• Utilizar contraseñas de alta seguridad para evitar ataques de diccionario.

• Es muy recomendable hacer copias de respaldo regularmente de los documentos importantes a medios extraíbles como CD o DVD para poderlos recuperar en caso de infección por parte de algún malware.




(Ver también documento ampliado sobre Metadatos y Análisis Forense)




Relacionadas:

http://blog-es.seh-technology.com/es-archive/2012.html
http://www.elladodelmal.com/2012/04/analisis-forense-de-metadatos-15.html
Más del 60% de casos de peritaje informático se deben a sabotaje en las empresas, según Recovery Labs
Un forense llevado a juicio (I de X)
Cultura Informática: Análisis Forense
Informática Forense en Madrid - España
Informática Forense en Venezuela
Biblioteca Análisis Forense

Documentos Relacionados:
Analisis forense de sistemas informaticos - Helena Rifà Pous (UPC), Jordi Serra Ruiz (UAB) y José Luis Rivas López (UOC)
Informatica Forense - Conferencia Javier Pages TASSI2013 - (EUITT - UPM)

(Via: www.formaciononlinegratis.net)


(Click para ver el video)

 

Informática Forense Memorable: El asesino en serie B.T.K

La historia del asesino en serie Dennis Rader, más conocido como B.T.K. (Bind, Torture, Kill), es memorable y digna de un pequeño hueco en esta web debido a la importancia de la ciencia forense informática en su captura.

El primero de los asesinatos de BTK de los que se tiene constancia, fue en 1974, cuando mató a una pareja y a dos de sus hijos: entró en su casa, les cortó el teléfono, los ató a las sillas, y los fue asfixiando uno a uno con bolsas de plástico en la cabeza.

Ese mismo año asesino a otra joven e intento lo mismo con su hermano.

Durante ese año, tres personas confesaron los crímenes asegurando que eran B.T.K., lo que provocó que el Dennis Rader llamase a un periódico local para contarles que había colocado una carta en un libro de la biblioteca pública en la que desacreditaba a los falsos asesinos, y daba más datos para demostrar que el asesino era él.

No sólo reconocía los crímenes sino que aseguraba que volvería a matar:
“The code word for me will be....Bind them, toture them, kill them, B.T.K., you see he at it again. They will be on the next victim.”

Y efectivamente, así lo hizo: mató a 5 personas más entre el 77 y el 91.

En 1977 asesina a una chica y lo intenta con sus dos hijos, pero el sonido del teléfono lo asusta y huye del lugar del asesinato. También en el 77 asfixia a otra chica de 25 años.

Sus actos cesan hasta el año 85, donde estrangula a otra mujer. Un año después otra joven es asesinada siguiendo el mismo patrón. Finalmente en el año 91, comete su décimo y último crimen al secuestrar y estrangular a otra mujer.


Firma de BTK



A Dennis Rader le gustaba comunicarse con la policía mediante cartas y pretendía llamar la atención de los medios de comunicación.

Era 2004, habían pasado décadas y el asesino seguía libre, además enviaba sobres y notas con su firma a cadenas de televisión locales, también solía incluir documentos personales de sus víctimas, puzzles y acertijos.

Pero el 16 de Febrero de 2005 algo cambió. Un disquete que contenía un archivo con el nombre: "Test A.RTF" y algunos objetos más se entregaba en KSAS TV.

El fichero contenía el texto: This is a test. See 3 x 5 Card for details on Communication with me in the newspaper


Disquete con Test A.RTF



El disquete fue entregado a los forenses que no tardaron en observar en las propiedades del archivo el texto: "Dennis" y "Christ Lutheran Church". Lo que llevó al especialista a lanzar una consulta a Google. Allí encontró la página web de la iglesia, en la que figuraba un tal "Dennis Rader" como presidente de la Congregación. ¡Bingo!

El grupo encargado de su búsqueda rápidamente lo localizó y distintas pruebas de ADN hicieron el resto.

Debido a que Kansas re-instauró la pena de muerte en 1994 (3 años después de su último asesinato) fue condenado a 10 cadenas perpetuas consecutivas. Lo que garantiza que morirá en prisión.

Lo cierto es que la historia da para una buena telenovela, y así ha sido ya que hay unas cuantas películas sobre este asesino (ninguna demasiado buena, todo hay que decirlo): Feast of the Assumption: The Otero Family Murders, The Hunt for the BTK Killer, B.T.K. Killer y B.T.K. También documentales y libros de todo tipo.

 



 


Noticias Contenidos Tecnología Control Parental Nanotecnología Inteligencia Artificial Aviso Legal
 


Ciber-Seguridad GITS Argentina Ciber-Seguridad GITS Brasil Ciber-Seguridad GITS Uruguay Ciber-Seguridad GITS Colombia Ciber-Seguridad GITS Rep. Dominicana Ciber-Seguridad GITS Ecuador Ciber-Seguridad GITS  México Ciber-Seguridad GITS Venezuela Ciber-Seguridad GITS Perú Ciber-Seguridad GITS Costa Rica Ciber-Seguridad GITS Paraguay Ciber-Seguridad GITS Puerto Rico

Gits mira por tus derechos. Gits es Pro-Vida.

Recomendamos la visualización de este documental:
http://www.youtube.com/watch?v=SWRHxh6XepM .


Free counter and web stats




  Seguridad Informatica GITS 

Copyright (c) 2003. Gits Informática. All rights reserved.