Curso gratuito de Análisis Forense Basico

Este artículo es un curso intensivo de Análisis Forense Digital (DFIR) diseñado para ser ejecutado de inmediato. Aquí encontrarás los procedimientos técnicos para identificar, preservar y analizar evidencias digitales utilizando herramientas Open Source, con scripts listos para copiar y pegar en tu consola.

Bienvenido a tu primera investigación. La informática forense no es magia; es metodología. A diferencia del hacking ético que busca romper, aquí buscamos reconstruir. A continuación, tienes el manual paso a paso que utilizan los analistas junior para procesar una escena del crimen digital.

MÓDULO 1: La Escena y la Cadena de Custodia

Antes de tocar un teclado, debes asegurar la legalidad de tu trabajo. Si la evidencia no se documenta, no existe en un juicio.

1.1 El Principio de Intercambio de Locard

«Cualquier persona o proceso que entra en una escena del crimen se lleva algo de ella y deja algo atrás». En digital, esto significa que cada vez que tocas un archivo, cambias su «fecha de último acceso». Por eso, la regla de oro es: Nunca trabajes sobre la evidencia original, siempre sobre una copia (imagen forense).

1.2 Herramienta: Plantilla de Cadena de Custodia

Copia y guarda el siguiente formato en un archivo de texto (`cadena_custodia.txt`). Debes rellenarlo cada vez que recolectes un dispositivo.

================================================================
ACTA DE CADENA DE CUSTODIA DE EVIDENCIA DIGITAL
================================================================

1. INFORMACIÓN DEL CASO
   ID del Caso: _________________
   Fecha de Recolección: ____/____/______  Hora: ____:____
   Ubicación: _____________________________________________
   Recolector: ____________________________________________

2. DESCRIPCIÓN DEL DISPOSITIVO
   Tipo (Laptop/USB/Server): ______________________________
   Marca y Modelo: ________________________________________
   Número de Serie (S/N): _________________________________
   Estado (Encendido/Apagado/Dañado): _____________________

3. INTEGRIDAD (HASH)
   Algoritmo usado (MD5/SHA1): ____________________________
   Valor Hash Original: ___________________________________

4. REGISTRO DE TRANSFERENCIA
   [Firma quien entrega]      [Firma quien recibe]
   Fecha: ________________    Propósito: __________________
================================================================

MÓDULO 2: Adquisición de Evidencia (Live Response)

Si llegas y el equipo está encendido: ¡NO LO APAGUES! Perderás la memoria RAM, que contiene contraseñas, procesos ocultos y conexiones de red. Sigue el «Orden de Volatilidad» (RFC 3227).

2.1 Recolección de Datos Volátiles (Scripts)

Inserta tu USB de herramientas (previamente formateado y limpio) y ejecuta los siguientes comandos desde la consola (CMD o Terminal) con privilegios de administrador para volcar la información del sistema a tu USB.

A. Para Sistemas Windows:

:: Crear carpeta para el caso
mkdir F:\Evidencia_Caso01

:: 1. Fecha y Hora del sistema (Vital para correlación)
date /t > F:\Evidencia_Caso01\01_fecha.txt
time /t > F:\Evidencia_Caso01\01_fecha.txt

:: 2. Conexiones de Red (Detectar intrusos activos)
netstat -anob > F:\Evidencia_Caso01\02_conexiones.txt

:: 3. Procesos en ejecución (Buscar malware)
tasklist /v > F:\Evidencia_Caso01\03_procesos.txt

:: 4. Información del Sistema y Usuarios
systeminfo > F:\Evidencia_Caso01\04_sistema.txt
net user > F:\Evidencia_Caso01\05_usuarios.txt

:: 5. Tablas de enrutamiento y Caché DNS
route print > F:\Evidencia_Caso01\06_rutas.txt
ipconfig /displaydns > F:\Evidencia_Caso01\07_dns_cache.txt

B. Para Sistemas Linux:

# 1. Información básica
uname -a > /mnt/usb/01_info.txt
date > /mnt/usb/01_info.txt

# 2. Conexiones y Puertos abiertos
netstat -tulpn > /mnt/usb/02_conexiones.txt

# 3. Procesos y Archivos abiertos
ps aux > /mnt/usb/03_procesos.txt
lsof > /mnt/usb/04_archivos_abiertos.txt

# 4. Historial de comandos (Bash History)
cat ~/.bash_history > /mnt/usb/05_historial.txt

MÓDULO 3: Análisis Post-Mortem con Autopsy

Una vez asegurada la RAM y los datos volátiles, o si el equipo estaba apagado, procedemos a clonar el disco (Imaging) y analizarlo. Usaremos Autopsy, la herramienta Open Source líder.

3.1 Flujo de Trabajo en Autopsy (Paso a Paso)

Sigue esta guía textual para procesar tu primera imagen forense:

  1. Crear Caso: Abre Autopsy > «New Case». Asigna un nombre (ej. Caso_Fuga_Datos) y selecciona un directorio base en TU disco de análisis.
  2. Añadir Fuente de Datos: Selecciona «Disk Image or VM File». Navega hasta el archivo .E01 o .dd que creaste del disco sospechoso (usando herramientas como FTK Imager).
  3. Módulos de Ingesta (Ingest Modules): Aquí ocurre la magia. Asegúrate de marcar:
    • Hash Lookup: Para identificar archivos de sistema conocidos (y no perder tiempo en ellos).
    • Keyword Search: Para indexar todo el texto.
    • Recent Activity: Para extraer historial web y documentos recientes.
  4. Ejecutar: Haz clic en «Finish». Autopsy comenzará a procesar (puede tardar horas según el tamaño).

3.2 ¿Qué buscar? (La Cacería)

Mientras la barra de progreso avanza, ve al «Árbol de Resultados» a la izquierda y busca estos artefactos críticos:

  • Web Accounts / Web History: ¿Qué buscó el usuario? ¿Accedió a webmail personal?
  • Installed Programs: ¿Hay herramientas de hacking, borradores seguros (CCleaner) o VPNs instaladas?
  • USB Device Attached: En el registro, busca qué memorias USB se conectaron. Esto es vital en casos de robo de información.
  • Deleted Files: Navega a la pestaña «File Views» > «Deleted Files». Autopsy recuperará automáticamente lo que no haya sido sobrescrito.

MÓDULO 4: El Informe Técnico

Tu trabajo termina cuando entregas el informe. Debe ser claro, conciso y sin tecnicismos innecesarios, ya que lo leerán abogados o gerentes.

Estructura recomendada del Informe Final:

  1. Resumen Ejecutivo: En 5 líneas, ¿qué encontraste? (Ej: «Se confirmó que el usuario X copió 50 archivos confidenciales a un USB marca Kingston el día 12 de Octubre»).
  2. Metodología: Lista las herramientas usadas (Autopsy v4.19, FTK Imager) y los Hashes de la evidencia para probar integridad.
  3. Línea de Tiempo (Timeline): Una lista cronológica de los hechos relevantes.
  4. Conclusiones: Respuesta directa a las preguntas del incidente.
  5. Anexos: Lista de archivos recuperados y logs técnicos.

Examen de Certificación (Autoevaluación)

¿Estás listo? Intenta responder estas preguntas sin mirar arriba:

  1. ¿Por qué se debe capturar la RAM antes que desconectar el disco duro?
  2. ¿Qué comando de Windows usarías para ver las conexiones de red activas y el proceso que las genera?
  3. ¿Para qué sirve calcular el HASH de una evidencia?

Si respondiste: 1. Por el orden de volatilidad, 2. netstat -anob, 3. Para garantizar la integridad y que no ha sido alterada… ¡Felicidades! Has aprobado el curso introductorio.

Resultado del Primer Reto Forense de La Comunidad DragonJAR

Congreso de Hackers

Entradas Recientes

Regístrate GRATIS en Nuestra Comunidad de Hacking en Español en Discord

Hecho en Colombia

¡No te pierdas el CONGRESO DE HACKERS - En una ISLA ¡Regístrate ahora!