Ampliación de Informes de Análisis Forense Digital

Clase 38 de 49 • Curso de Informática Forense

Contenido del curso

Bienvenida y presentación general.

Etapa I: Identificación

Etapa II: Preservación

Etapa III: Análisis de Evidencia Pt. 1

Etapa III: Análisis de Evidencia Pt. 2

Etapa III: Análisis de Evidencia Pt. 3

Etapa IV: Presentación.

Conclusiones Finales

49
Libros y Recursos Clave para la Investigación Digital
04:56 min

Tomar examen

Hace un par de módulos elaboraste tu informe preliminar. Ahora vamos a ampliar un poco cada una de las secciones para incluir la información que encontraste en tu etapa de análisis. Vamos a ir paso por paso:

Introducción al caso: ¿Qué ha cambiado? ¿Has incluido nueva información? ¿Ha cambiado en algo el contexto del caso? Si no, probablemente el contenido sea muy similar al de tu informe.
Resumen general: Deberías incluir ahora todas las actividades realizadas, pero especialmente enfocándote en las que te dieron resultados más importantes.
Inventario de evidencia identificada: Este inventario probablemente siga siendo el mismo.
Reportes de adquisición de evidencia: En este punto, tal vez tengas algo más de información técnica. Además de los reportes de adquisición, puedes tener informes técnicos de herramientas que hayas usado para el análisis.
Información general de los sistemas preservados: Si no has incluido evidencia nueva, tal vez la información en esta sección no haya cambiado.
Información encontrada en las imágenes forenses: Esta es una de las secciones que probablemente más cambios tuvieron. Prepara la información técnica de los resultados de todos tus análisis.
Hallazgos preliminares, si existen: Aquí ya no vamos a hablar de hallazgos preliminares, sino de todos los hallazgos que encontraste. ¿Qué fue lo más importante o significativo?, ¿Cuál es el dato o la respuesta más relevante?, ¿Vale la pena incluir un análisis de línea de tiempo?
Siguientes pasos: Puede ser que no haya siguientes pasos en la investigación, pero tal vez sí tienes recomendaciones para tu cliente o para quien reciba tus resultados. Tal vez mejorar su sistema de seguridad, instalar algún parche en particular. Este tipo de sugerencias dan mucho valor agregado a tu trabajo. Debes incluirlas cada vez que puedas.

Recuerda que este proceso debes poder hacerlo independientemente de las herramientas que uses o el contexto de la investigación en la que estés. Como reto para este módulo, deberás elaborar un primer borrador de tu informe, actualizando la información que obtuviste como parte del análisis. Más adelante estaremos ordenando esta información en dos informes separados.

Comentarios

Juan Pablo Perez

student•

Nadie por acá.

Roberto Arriaga

student•

Angel Perez

student•

Introducción al caso: El incidente se encuentra asociado a un hecho delictivo tratado desde la teoría del caso de la defensa donde se pretende incorporar como evidencia digital una información específica contenida en un equipo terminal móvil puesto a nuestra disposición.

Resumen general: Ante todo, se tuvo contacto con la persona objeto de investigación a fin de validar las condiciones en que se encuentra el equipo terminal móvil, la calidad de propietario y usuario del mismo, así como la información contenida útil y pertinente para su defensa. Efectivamente se verificó que el equipo terminal móvil se encuentra en buen estado de funcionamiento y contiene información relevante para su defensa.

Inventario de evidencia identificada: Equipo terminal móvil marca OPPO A77, modelo CPH2388, serial número TQMPSAKM7STMBYZ, con capacidad de 128 GB, el cual presenta display averiado, sin sim card, sin micro SD, sin cargador. Este elemento material probatorio es importante para la estrategia de defensa.

Reportes de adquisición de evidencia: Ante todo, se procede a identificar fotográficamente y con testigo métrico el equipo terminal móvil, sus características externas e internas.

Se verifica que el equipo terminal móvil no tenga incorporada la sim card y micro SD, que las opciones de wifi y bluetooth se encuentren deshabilitadas y que esté en modo avión.

Se conecta al equipo forense con el adaptador y los cables recomendados para tal fin.

Se detecta el modelo del equipo terminal móvil, el cual es configurado con las indicaciones dadas por la herramienta forense (UFED) y se selecciona el método de extracción File Full Sistema, que permite la obtención de información de aplicaciones y sistema de archivos.

Se logra la adquisición de información del equipo terminal móvil, la cual se consolida en una carpeta y archivo codificado.

Posteriormente con la herramienta forense Physical Analyzer, se verifican las sumas de verificación de la fuente y el destino, obteniendo el hash SHA256, lo que da cuenta de la integridad de la información obtenida:

aaec664a46e9facbc87e98eadd639e0457b9cafdf8189dfc845dafb132ee16ec

Con esta herramienta se procede a la decodificación, análisis, filtro y obtención de la información relevante para el caso, obteniendo un reporte incluido en una carpeta que se constituye en la evidencia digital que se hará valer en juicio.

La citada carpeta es grabada un DVD-R, el cual es embalado, rotulado y se le inicia el registro de continuidad de cadena de custodia. Este DVD-R es guardado en el Almacén de evidencias del Laboratorio Forense de Evidencia Digital.

Información general de los sistemas preservados: La información se encuentra almacenada bajo la estructura de sistema de archivos y presentada en interfaz gráfica de usuario. La zona horaria se encuentra configurada en UTC-5 que corresponde a la hora internacional de Colombia. Se identifican las cuentas de usuario con su nombre, número de teléfono, cuentas de correo electrónico, cuentas de redes sociales, etc.

Se identifican los contactos del usuario y las conversaciones entre ellos y el usuario.

Información encontrada en las imágenes forenses: Se identifican las cuentas de usuario con su nombre, número de teléfono, cuentas de correo electrónico, cuentas de redes sociales, etc. Se identifican los contactos del usuario y las conversaciones entre ellos y el usuario.

Hallazgos: La información encontrada es determinante para la defensa de la persona investigada por cuanto se hallaron conversaciones entre esta persona y la presunta víctima que evidencian la inexistencia del hecho denunciado.

Diana Sisley Reinoso Caicedo

student•

Ejercicio- borrador. INFORME DE ANÁLISIS PRELIMINAR DE UN ENTORNO A PARTIR DE LA EVIDENCIA PRESERVADA Realizado por: Diana Sisley Reinoso Caicedo. Introducción al caso: Se requiere conocer la información existente en la memoria volátil (RAM) de un computador portátil YOGO Lenovo. Con las siguientes características de interés de su sistema: Windows 10 Home, 64 bits, RAM instalada 4 GB (3.8 GB para usar). Inventario de evidencia identificada: Para la adquisición de la información existente en la memoria volátil, se utilizó FTK imager v.4.7.1.2. del desarrollador Access data, versión libre. Se procedió utilizar la opción “capture memory”, y se dieron los parámetros para el proceso técnico, entre éstos, en la unidad donde se almacena. Reportes de adquisición de evidencia: Se generan los hashes MD5 y SHA1 para garantizar la integridad. MD5: 504d986bf63b86ec670d3974afd068c3 SHA1: f1e9779eeb84ae02bc70023756391a5065a64cb5 Información general de los sistemas preservados: La evidencia obtenida se almacena en un disco DVR con su respectivo registro de cadena de custodia y se lleva un locker de seguridad. Información encontrada en las imágenes forenses: Se requiere la interpretación encontrada en formato hexadecimal. (anterior) Para ampliar la información forense y hacer un análisis completo, se personalizó una imagen con las siguientes carpetas: Memoria SAM Software La imagen personalizada se hizo en la herramienta FTK imager. Luego se utiliza Fred (forensic Registry Editor). También se hizo el ejercicio de buscar un archivo de log. Ubicado en Windows/system32/winevtlogs. Una vez ubicado se exportó a Excel por la dificultad de instalar Regyster. Hallazgos preliminares, si existen: La personalización y las otras herramientas aumentan las perspectivas de análisis y respuesta forense que se requiere.

Marcelo Elvio Gracia

student•

¡Excelente iniciativa! Pasar del informe preliminar al informe de análisis (o informe final/técnico) es el paso donde transformamos "datos" en "información útil".

Como yo no puedo ejecutar herramientas forenses (como RegRipper o Autopsy) sobre tus archivos NTUSER.DAT y UsrClass.dat en tiempo real para extraer los datos específicos (nombres de usuario reales, fechas exactas, listas de archivos), he preparado el borrador estructurado para ti.

He rellenado las secciones con la información técnica correcta basada en los artefactos del Registro que discutimos (y corregimos) anteriormente. Tienes que reemplazar los textos entre corchetes [ASÍ] con los datos reales que viste en tu herramienta forense.

Aquí tienes tu borrador:

BORRADOR DE INFORME DE ANÁLISIS FORENSE DIGITAL

Fecha: 05/02/2026

Investigador: Marcelo Gracia

Caso: Platzi01

1. Introducción al Caso

Este informe actualiza y amplía los hallazgos presentados en el informe preliminar de fecha 05/02/2026.Tras la adquisición de las evidencias, se procedió a la etapa de análisis profundo enfocada en la reconstrucción de la actividad del usuario y el uso del sistema. El contexto del caso se mantiene, pero ahora contamos con evidencia técnica que confirma …………….: ej. la exfiltración de datos / la ejecución de software no autorizado].

2. Resumen General

Durante esta fase, se procesaron las imágenes forenses y se extrajeron artefactos específicos del sistema operativo Windows. Las actividades principales incluyeron:

Montaje y análisis de la estructura de archivos.
Extracción y análisis de las colmenas (hives) del Registro de Windows, específicamente NTUSER.DAT y UsrClass.dat.
Correlación de marcas de tiempo (Time-lining) para reconstruir las acciones del usuario.
Identificación de archivos accedidos recientemente y programas ejecutados.

3. Inventario de Evidencia Identificada

Evidencia 001: Imagen Forense del Disco Duro (Formato .E01 / .dd).
Artefacto Extraído A: Archivo NTUSER.DAT (Configuración y actividad del usuario [NombreUsuario]).
Artefacto Extraído B: Archivo UsrClass.dat (Configuración de clases y ShellBags del usuario).

4. Reportes de Adquisición de Evidencia

Se verificó la integridad de la evidencia original mediante comparación de hashes.

Hash MD5 Original: [Insertar Hash]
Hash de Verificación: [Insertar Hash] (Coinciden).
Herramientas utilizadas: [Ej. Autopsy, RegRipper, Registry Explorer, FTK Imager].

5. Información General de los Sistemas Preservados

Sistema Operativo: Windows [Versión, ej. 10/11].
Nombre del Equipo: [Insertar dato sacado de SYSTEM\Control\ComputerName]
Zona Horaria: [Insertar dato sacado de SYSTEM]
Usuario Analizado: [Nombre del usuario dueño del NTUSER.DAT]

6. Información Encontrada en las Imágenes Forenses (Análisis Técnico)

Se realizó un análisis detallado de los artefactos de registro del usuario (HKEY_CURRENT_USER), corrigiendo las rutas de investigación estándar para enfocarse en la actividad de usuario específica en lugar de la configuración de la máquina (HKLM).

6.1. Ejecución de Programas (UserAssist)

Se analizó la clave Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist.

Hallazgo: Se encontraron registros de ejecución de aplicaciones mediante la interfaz gráfica.
Detalle: El usuario ejecutó [NombrePrograma.exe] el día [Fecha] a las [Hora].

6.2. Historial de Comandos (RunMRU)

Se analizó la clave Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU.

Hallazgo: Evidencia de comandos ingresados manualmente en la ventana "Ejecutar" (Win+R).
Comandos recuperados: […………….., ej. "cmd", "powershell", "regedit"]. Esto indica conocimiento técnico por parte del usuario o intención de acceder a zonas restringidas.

6.3. Acceso a Archivos y Documentos (RecentDocs & Office MRU)

Se examinó Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs.

Hallazgo: El usuario accedió recientemente a archivos con extensiones [.jpg, .docx, .pdf].
Archivo destacado: [Nombre de archivo sospechoso] abierto el [Fecha].

6.4. Navegación en Carpetas (ShellBags - UsrClass.dat)

A partir del análisis de UsrClass.dat en la ruta Local Settings\Software\Microsoft\Windows\Shell\Bags.

Hallazgo: Se confirmó que el usuario navegó explícitamente por la carpeta [Ruta de carpeta, ej. D:\Proyectos_Secretos]. Esto demuestra conocimiento de la ubicación de los archivos, descartando un acceso accidental.

7. Hallazgos (Timeline y Reconstrucción)

A partir de la evidencia técnica, se establece la siguiente cronología de eventos relevantes:

Fecha y Hora

Artefacto Fuente

Actividad del Usuario

[Fecha/Hora]

System/Login

Inicio de sesión del usuario [Nombre].

[Fecha/Hora]

RunMRU

Usuario ejecuta el comando [cmd.exe].

[Fecha/Hora]

ShellBags

Usuario navega a la carpeta [Confidencial].

[Fecha/Hora]

RecentDocs

Se abre el archivo [Reporte_Financiero.xlsx].

[Fecha/Hora]

UserAssist

Ejecución del programa [TorBrowser.exe / CCleaner.exe].

Conclusión del análisis: La evidencia sugiere que el usuario no solo accedió al sistema, sino que buscó activamente información en carpetas específicas y ejecutó herramientas para [exfiltrar datos / borrar huellas], tal como lo demuestran los registros de UserAssist y ShellBags.

8. Siguientes Pasos y Recomendaciones

Basado en los hallazgos, se sugieren las siguientes acciones al cliente:

Medidas Inmediatas: Restringir los permisos de administrador local para usuarios que no lo requieran, bloqueando el acceso a cmd.exe y powershell.
Políticas de Grupo (GPO): Deshabilitar el historial de documentos recientes si se maneja información sensible, o bien, configurar el borrado seguro de temporales al cerrar sesión.
Monitoreo: Implementar un sistema de auditoría de archivos (File System Auditing) en las carpetas críticas detectadas en este informe ([Carpeta Crítica]) para alertar sobre accesos futuros.
Preservación: Mantener la cadena de custodia de las imágenes forenses por el tiempo que estipule la ley local ante posibles litigios legales.

MARIA TERESA PANIAGUA RIVERA

student•

Gracias

Yerson Steven Rojas Barragan

student•

excelente lectura!

Oscar Jaramillo

student•

Vamos a ello

Ampliación de Informes de Análisis Forense Digital

Bienvenida y presentación general.

Análisis Forense en Sistemas Windows, Unix y Mac

Etapas del Proceso de Cómputo Forense

Identificación y Preservación en Computo Forense

Análisis y Presentación en Cómputo Forense

Etapa I: Identificación

Elementos Esenciales para la Investigación Forense Digital

Procedimiento de Cadena de Custodia en Investigaciones Forenses

Primer Respondiente en Informática Forense: Roles y Capacitación

Análisis de Imágenes Forenses y Cadena de Custodia

Etapa II: Preservación

Dispositivos de Bloqueo Contra Escritura: Uso y Función

Adquisición de Evidencia con FTK Imager en Informática Forense

Creación de Imágenes Forenses: Proceso y Verificación

Adquisición de Imágenes Forenses con Gaitán Software

Adquisición en Vivo de Memoria RAM para Análisis Forense

Creación de Imágenes Forenses en Linux con Paladín

Creación de Imágenes Forenses con DD y DC3DD en Linux

Adquisición de Imágenes Forenses en Linux con FTK Imager

Creación de Imágenes Forenses con Paladín en Dispositivos Apple

Creación de Imágenes Forenses en Mac con FTK Imager y Modo Target

Algoritmos de Funciones Hash y su Uso en Computación Forense

Adquisición de Imágenes Forenses: Herramientas y Técnicas

Verificación de Imágenes Forenses con Algoritmos Hash

Etapa III: Análisis de Evidencia Pt. 1

"Sistemas de Archivos en Windows: FAT, exFAT y NTFS"

Sistemas de Archivos en Linux y Mac: Funcionamiento y Características

Análisis y Exportación de Imágenes Forenses con FTK Imager

Creación y Gestión de Imágenes Forenses Personalizadas

Análisis Forense de Archivos de Registro en Windows

Análisis Forense de Imágenes de Sistema Operativo Linux

Elaboración de Informes Preliminares en Incidentes Informáticos

Creación de Imágenes Forenses Personalizadas

Elaboración de Informes Preliminares de Investigación

Etapa III: Análisis de Evidencia Pt. 2

Análisis de Archivos SAM con Regripper en Windows

Análisis de Archivos de Registro en Windows con Regripper

Análisis de Logs y Bitácoras en Windows para Monitoreo y Trazabilidad

Análisis Forense del Registro de Windows: Archivos NTUSER.DAT y ShellBags

Ubicaciones clave en el Registro de Windows para la investigación forense

Análisis de Archivos Prefetch en Windows para Investigación Forense

Funcionamiento y Recuperación de Archivos en la Papelera de Reciclaje Windows