Digital Forensics
¿Qué es la investigación forense digital?
Es la rama especializada de la ciencia forense enfocada en recolectar, preservar, analizar y presentar evidencia digital con validez legal.
Objetivos principales:
Asegurar autenticidad e integridad de las pruebas.
Permitir su admisibilidad ante un tribunal.
Resolver delitos como:
Cibercrimen.
Robo de propiedad intelectual.
Fraude.
Amenazas internas.
Aplicación en ciberseguridad:
Se vincula a:
Monitoreo de empleados.
Respuesta a incidentes.
Investigación de ataques (DFIR: Digital Forensics and Incident Response).
Tipos de análisis forense digital
Informática forense
Pruebas extraídas de computadoras, discos y medios.
Forense de redes
Análisis de tráfico, conexiones, IPs, sitios web.
Forense de memoria (RAM)
Recupera datos de la memoria viva.
Forense de dispositivos móviles
Pruebas desde celulares, tablets, tarjetas SIM, etc.
Beneficios clave
Soporte a la respuesta ante incidentes
Preserva evidencia crítica.
Ayuda a detectar malware, intrusiones y amenazas internas.
Validez legal y cadena de custodia
Pruebas deben estar seguras, sin alteraciones.
Base para el procesamiento judicial.
Monitoreo de empleados sospechosos
Identificación de navegación indebida, descarga de archivos prohibidos o fuga de datos.
Pruebas útiles para Recursos Humanos o autoridades.
Roles asociados en un SOC
Analista SOC Nivel 1 (T1)
Investigación inicial, recopila IPs, dominios, emails como evidencia.
Analista SOC Nivel 2/3 (T2/T3)
Casos críticos. Requiere manejo riguroso de evidencia.
Analista de malware
Analiza muestras para entender su funcionamiento e IOCs.
Analista forense digital
Casos escalados, monitoreo de empleados, colaboración con SIRT.
Analista de amenazas internas
Enfocado en detectar y documentar conductas sospechosas dentro de la empresa.
Cazador de amenazas (Threat Hunter)
Busca indicadores de ataques avanzados; requiere conocimientos forenses.
Respondedor de incidentes
Amplio rango de habilidades; trabaja con examinadores forenses para análisis profundo.
Herramientas del oficio — Forense Digital
Recopilación de pruebas (Imágenes, artefactos, datos crudos)
KAPE
Automatiza la recolección de artefactos (navegador, logs, programas ejecutados, etc.). Muy usada en entornos Windows.
kape.exe --target TargetList --module ModuleList --vhdx MyImage.vhdx (requiere configuración previa de targets y módulos)
FTK Imager
Crea imágenes forenses de discos o RAM. Permite navegar por imágenes como si fueran reales.
Solo GUI: abre la herramienta y selecciona "Create Disk Image". También puede exportar evidencia.
EnCase
Suite avanzada comercial. Captura imágenes forenses de PCs, móviles e IoT.
GUI propietaria. Inicia desde "New Case" > "Acquire Evidence".
Cellebrite
Herramienta líder en adquisición de datos de móviles. Extrae mensajes, apps, ubicaciones.
GUI. Comienza con UFED Physical Analyzer > conecta el dispositivo móvil > "Extract Data".
Análisis de evidencia (Datos procesados e indexados)
Autopsy
Herramienta gráfica open source. Extrae programas usados, archivos eliminados, navegación web, etc.
GUI. Comienza nuevo caso desde "Create New Case" > añade imagen > "Ingest Modules".
Volatility
Analiza volcados de memoria RAM. Extrae procesos, conexiones, DLLs, etc.
Ejemplo básico:
vol.py -f memory.dmp --profile=Win10x64_19041 pslist
(Requiere definir perfil del SO y tipo de análisis: pslist, dlllist, netscan...)
Tips útiles para SOC o DFIR:
KAPE: útil en la primera fase de respuesta rápida, mientras se realiza el volcado completo.
FTK Imager o EnCase: ideales para mantener la cadena de custodia, ya que permiten hashes y logs confiables.
Autopsy: excelente para analistas de SOC que necesitan revisar múltiples evidencias rápidamente sin línea de comandos.
Volatility: esencial si estás investigando malware en ejecución o rootkits.
Última actualización