Informática Forense – Análisis del Registro de Windows

La respuesta directa es: El Análisis Forense del Registro de Windows es el proceso de examinar las bases de datos jerárquicas del sistema operativo (Hives) para reconstruir la actividad del usuario y del sistema. A través de archivos como SAM, SYSTEM, SOFTWARE y NTUSER.DAT, un investigador puede recuperar historiales de navegación, dispositivos USB conectados, programas ejecutados y configuraciones de red, incluso si los archivos originales fueron borrados.

A partir de este momento comienza la parte operativa de la investigación, la cual exige un alto grado de concentración y precisión. El Registro de Windows no es solo una configuración; es la «caja negra» del sistema operativo. Para entender qué ocurrió en un incidente, es obligatorio saber interrogar a esta base de datos.

¿Qué es el Registro de Windows desde la Óptica Forense?

Técnicamente, el Registro es una base de datos jerárquica que almacena configuraciones de bajo nivel para el sistema operativo y las aplicaciones. Sin embargo, para un analista forense, es una bitácora de comportamiento.

Cada vez que un usuario conecta un pendrive, abre un documento reciente o cambia su zona horaria, el registro lo anota. Estas anotaciones persisten incluso después de apagar el equipo, convirtiéndose en evidencia digital crítica.

Ubicación Física de los Archivos (Hives)

El registro no es un solo archivo gigante; está fragmentado en varios archivos binarios llamados «Hives» (colmenas). Dependiendo de si buscamos información del sistema o de un usuario específico, debemos ir a rutas diferentes.

1. Hives del Sistema (Máquina Local)

Se encuentran en la ruta: %SystemRoot%\System32\Config\ (Usualmente C:\Windows\System32\Config\).

Archivo (Hive) Clave de Registro Asociada Información Forense Clave
SAM HKEY_LOCAL_MACHINE\SAM Usuarios locales, grupos, y hashes de contraseñas.
SECURITY HKEY_LOCAL_MACHINE\SECURITY Políticas de seguridad y derechos de usuarios.
SOFTWARE HKEY_LOCAL_MACHINE\SOFTWARE Programas instalados, versiones y configuraciones globales.
SYSTEM HKEY_LOCAL_MACHINE\SYSTEM Montaje de dispositivos USB (USBStor), Timezone, nombre del equipo.

2. Hives del Usuario (Actividad Humana)

Esta es la parte más valiosa para perfilar al sospechoso. Cada usuario tiene su propio archivo de registro.

  • NTUSER.DAT: Ubicado en C:\Users\%Usuario%\. Contiene el historial de búsquedas, documentos recientes, y configuraciones personales.
  • UsrClass.dat: Ubicado en C:\Users\%Usuario%\AppData\Local\Microsoft\Windows\. Contiene los Shellbags (historial de carpetas visitadas).

Artefactos Forenses: ¿Qué evidencia buscamos?

Una vez extraídos los archivos (usando herramientas como FTK Imager o Mount Image Pro), debemos buscar claves específicas que demuestren actividad. Aquí los «Top 3» artefactos:

A. Dispositivos USB Conectados

Al analizar la hive SYSTEM, podemos determinar qué dispositivos de almacenamiento externo se conectaron, cuándo fue la primera y última vez, y su número de serie único.

Ruta: HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR

B. Ejecución de Programas (UserAssist)

Dentro de NTUSER.DAT, la clave UserAssist utiliza cifrado ROT-13 para almacenar una lista de programas ejecutados, el número de veces y la fecha de última ejecución. Es vital para probar si un usuario utilizó una herramienta de hacking o borrado seguro.

Ruta: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

C. Archivos y Carpetas Recientes (Shellbags)

Los Shellbags registran la visualización de carpetas (tamaño de ventana, posición). Lo interesante es que esta información persiste incluso si la carpeta o el dispositivo USB ya no existen, probando que el usuario tuvo acceso a esos datos en el pasado.

Herramientas de Análisis Recomendadas (2025)

Olvídate de usar el regedit.exe nativo de Windows para forense; es peligroso y modifica la evidencia. Los profesionales utilizan herramientas que permiten la visualización de solo lectura y el análisis offline:

  1. Registry Explorer (Eric Zimmerman): El estándar de oro actual. Gratuito, permite cargar múltiples hives, descifrar datos automáticamente y tiene plugins para encontrar evidencia rápido.
  2. RegRipper: Herramienta potente para automatizar la extracción de datos mediante scripts (plugins) predefinidos.
  3. AccessData Registry Viewer: Una solución clásica comercial, muy robusta para visualizar la estructura hexadecimal.

Metodología de Extracción

Como ya tenemos montada nuestra imagen forense del sistema objetivo (con herramientas como Mount Image Pro o FTK Imager), el procedimiento es:

1. Navegar al directorio Windows\System32\Config.
2. Exportar los archivos SAM, SYSTEM, SOFTWARE y SECURITY (sin alterar sus metadatos).
3. Navegar a la carpeta de usuarios y exportar los NTUSER.DAT de interés.
4. Cargar estos archivos en tu herramienta de análisis (ej. Registry Explorer) en tu estación forense.

Conclusión

El análisis del registro de Windows es una competencia obligatoria. Mientras que el usuario promedio ve una configuración oscura, el analista forense ve una línea de tiempo detallada de la actividad humana y técnica en el equipo.

En las próximas entregas profundizaremos en la extracción de zonas horarias, redes WiFi conocidas y el análisis de «TimeStomp» (manipulación de fechas) dentro del registro.

Referencias y Recursos:

Laboratorio: Informática Forense – Identificación en el registro sobre la disponibilidad del Terminal Services

Congreso de Hackers

Entradas Recientes

Regístrate GRATIS en Nuestra Comunidad de Hacking en Español en Discord

Hecho en Colombia