Informática Forense

Recolección de Evidencia
Digital

1
2.1 Colección de
evidencias I
Ya hemos tocado el tema relacionado a la cadena de custodia en el
módulo anterior, sin embargo, la preservación de un elemento de
prueba digital incumbe tanto el resguardo del medio físico como el
entorno digital.

La adquisición de imágenes forenses tiene como finalidad efectuar

sobre estas operaciones técnicas necesarias en consonancia con los
interrogantes periciales planteados y establecer medidas tendientes a
salvaguardar la integridad de la evidencia y evitar la alteración,
modificación o contaminación de los ejemplares originales.

Del mismo modo, mediante el empleo de imágenes forenses,

garantizamos la disponibilidad de los ejemplares originales, y sus
respectivos duplicados, para futuros análisis por parte de otros
investigadores forenses en diferentes instancias. Lo que permite la
revisión de los resultados obtenidos.

Debido a que el contenido de un disco rígido cambia constantemente

cuando se encuentra en ejecución en un sistema, por lo general las
imágenes de disco se obtienen después de haberse consumado un
hecho delictivo, intrusión o incidente de seguridad.

La imagen forense es similar a una fotografía instantánea, realizada

sobre un dispositivo de almacenamiento, que luego será analizado
para establecer la existencia de posibles indicios y aportarlos como
evidencia en un tribunal. (Prosise y Mandia, 2003).

Asimismo, no se debe pasar por alto que los procedimientos que

serán descriptos se basan en situaciones ideales, donde el
investigador forense cuenta con todos los elementos necesarios para
llevar a cabo la adquisición de una imagen forense, es decir,
elementos de software, hardware y respectivos cables de conexión o
adaptadores.

En tal sentido, se plantea como objetivo brindar una serie de

recomendaciones que permitan realizar la recolección de evidencias
de forma adecuada. Para ello se siguen estrictos procedimientos

2
técnicos en consonancia con las reglas de buena práctica del análisis
forense digital.

2.1.1 Concepto de adquisición de imágenes

forenses, estándares de imágenes forenses,
imágenes de disco físico y disco lógico

Existen diferentes términos que se emplean para referirse a los

archivos de imagen, lo que puede generar confusión a los
investigadores forenses que dan sus primeros pasos en esta
disciplina. Además, se encuentra disponible un variado abanico de
herramientas para adquirir y administrar imágenes forenses, como así
también distintos estándares.
Por tal motivo, será el investigador forense quien deba discernir el
procedimiento adecuado para recolectar las evidencias necesarias en
función de los requerimientos periciales planteados.

Conceptos de adquisición de imágenes forenses

A continuación, se brindan una serie de definiciones básicas
relacionadas con la adquisición de imágenes forenses:

 Copia bit a bit: réplica exacta de los bits de un volumen lógico o

de una unidad física. Cuando la copia se realiza en otro disco,
se la denomina duplicado forense. Cuando la copia se realiza en
uno o varios archivos, se la denomina imagen forense.

 Duplicado forense: conjunto de archivos que se obtiene creando

una copia exacta de un dispositivo de almacenamiento. Dicha
copia replica la estructura y contenidos en un nuevo dispositivo.

 Imagen forense: archivo o conjunto de archivos que se obtiene

al crear una copia completa de un dispositivo de
almacenamiento, replicar su estructura y contenidos e incluir el
espacio libre y el espacio no asignado.

 Imagen forense sin formato (RAW): imagen sin formato que no

contiene metadatos y no está comprimida. Puede adjuntarse por
separado un archivo que contiene metadatos sobre la imagen,
como fecha en que fue adquirida, nombre de la herramienta
utilizada y hash criptográfico.

3
  Imagen forense embebida: imagen de disco que contiene
incrustados metadatos sobre la imagen, tales como nombre de
la herramienta utilizada, fecha de adquisición, datos
relacionados al caso, investigador, evidencia relevada y hash
criptográfico correspondiente.

Estándares de imágenes forenses

Las imágenes forenses generalmente se almacenan en formatos
especializados y propietarios, que en ocasiones incluyen metadatos
sobre la evidencia recolectada.
En tal sentido, se pueden señalar los siguientes formatos de imagen
de disco (Digital Forensic Research Workshop, 2006):

 Advanced Forensic Format (AFF): formato desarrollado por

Simson Garfinkel y Basis Technology. Es de formato abierto y
posee tres variantes: AFF, AFD y AFM. AFF almacena todos los
datos y metadatos en un solo archivo, AFD almacena los datos
y metadatos en múltiples archivos pequeños, y por último, AFM
almacena los datos en un formato sin procesar y los metadatos
se almacenan en un archivo separado.

 Digital Evidence Bag (DEB): Si bien existen dos variantes, la

primera fue desarrollada por Philip Turner y Qinetiq. El formato
está abierto, emplea una serie de archivos para almacenar la
evidencia y los metadatos asociados. Los metadatos se
almacenan en archivos ASCII.

 El segundo formato DEB es de Wetstone Technology. Este

formato usa XML para almacenar evidencia y metadatos. El
formato fue desarrollado como investigación para Laboratorios
de Investigación de la Fuerza Aérea estadounidense.

 Expert Witness (EWF): formato abierto desarrollado por ASR

Data. Las imágenes de disco como EWF incluyen metadatos
integrados, como la fecha de creación, datos proporcionados por
el usuario y otros elementos necesarios para una correcta
cadena de custodia y auditoría.

 EnCase (EF): formato propietario definido por Guidance

Software para su uso por intermedio de la herramienta forense
EnCase. Su formato predecesor es el formato Expert Witness, al
que agregó nuevos metadatos. Podría decirse que es el

4
 estándar de facto para el análisis forense por parte de fuerzas
de seguridad y agentes de la ley (Bunting, 2008).
 Generic Forensic Zip (Gfzip): formato abierto desarrollado por
Rob J. Meijer. Si bien utiliza estructuras similares a AFF, los
metadatos y el enfoque de almacenamiento son diferentes. Un
archivo gfzip puede ser compatible en bruto para que los
metadatos se almacenen después de los datos de evidencia y
también ofrece un modo empaquetado donde los bloques de
datos redundantes no se almacenan.

 iXImager: utilizado por la herramienta iLook, desarrollada por el

Servicio de Rentas Internas (IRS) del gobierno de Estados
Unidos. Dicho formato está restringido a la aplicación de la ley y
uso exclusivo del gobierno.

 ProDiscover: formato abierto definido por Technology Pathways

para su empleo en la familia de herramientas de seguridad
ProDiscover. Incluye metadatos integrados relacionados a la
imagen forense, como la fecha de obtención, datos del caso
proporcionados por el usuario, etc.

 RAW (DD, RAW, IMG): formato sin procesar compuesto

simplemente por un archivo que contiene los datos exactos que
se deben almacenar. El archivo podría contener cualquier tipo
de datos, incluidos sectores de disco duro, archivos y paquetes
de red. Los archivos brutos pueden ser fácilmente creados y
leídos por cualquier herramienta, pero no almacenan ningún
metadato y no se comprimen.

 SMART: existen dos formatos definidos por ASR Data para sus
productos para almacenar datos del disco duro. El formato
predeterminado almacena los metadatos en un archivo de texto
separado donde los contenidos se pueden ver fácilmente. El
segundo formato, denominado formato SMART Expert Witness
Compression, se basa en el formato original de Expert Witness

Sin perjuicio de lo expresado, resulta importante señalar que en la

actualidad los dos formatos que se utilizan con mayor frecuencia son
el formato de archivo de evidencia EnCase y los formatos de archivo
de imagen en bruto.

5
Imágenes de disco físico y disco lógico
A modo de ejemplo se tomará el disco físico que se muestra en la
figura 1, el cual contiene un registro de inicio maestro (MBR) y una
partición con dos volúmenes lógicos, cada uno formateado con un
sistema de archivos.
El registro de inicio maestro contiene metadatos sobre el diseño del
disco, incluyendo donde comienzan y terminan las particiones.
Cuando todos los datos de un disco se duplican exactamente desde
el disco de origen y se almacenan en un archivo, la copia de bit por
bit resultante se denomina archivo de imagen forense.
El disco de origen puede ser un disco físico completo, que podría
contener uno o más volúmenes lógicos capturados por la imagen
forense 1, en la figura 1.
Del mismo modo, la fuente de la imagen también podría ser un
volumen lógico dentro de un disco físico, como el Volumen C:\ e
imagen forense 2.
En ambos casos, la imagen forense es un archivo o conjunto de
archivos que contendrá una copia exacta de los datos. Se representa
como una fotografía instantánea de la fuente en el momento en que
fue colectada la evidencia.

6
Figura 1: Volúmenes lógicos con sistemas de archivos dentro de un
disco físico

Fuente: Sans Institute, 2014, recuperado de https://www.sans.org/reading-

room/whitepapers/forensics/paper/35447.

Como se describió anteriormente, cuando un volumen lógico o un

disco físico son copiados bit a bit en un archivo, el archivo resultante
contiene una copia duplicada del disco de origen y se denomina
archivo de imagen forense.
Los términos imagen forense, duplicado forense e imagen cruda se
usan para referirse a este archivo de imagen bit a bit (Prosise y
Mandia, 2003).
Del mismo modo, cabe destacar que, si una imagen forense no está
comprimida, tendrá el mismo tamaño que el disco o volumen de
origen, por tal motivo las imágenes forenses con frecuencia se
comprimen para ahorrar espacio de almacenamiento.
Además, una imagen forense puede ser dividida en varios archivos
llamados split, con la finalidad de permitir su almacenamiento en
unidades ópticas en formato CD-R o DVD-R, según el investigador
forense estime corresponder.

7
Cualquiera sea el caso, cuando una imagen forense está comprimida
o dividida, al momento de su montaje para análisis mediante software
forense la misma se recombina, cuyo resultado será un duplicado
exacto del dispositivo de origen.

2.1.2 Archivos de evidencias lógicas; formas y

métodos de adquisición en Windows y Linux;
bloqueo contra escritura en Windows
A continuación, emplearemos el término archivo de evidencia lógica
para referirnos al acto de realizar cautelosas copias de respaldo de
archivos notables o de interés, desde el sistema de archivos lógico
hacia medios de almacenamiento externos durante el proceso de
recolección.

Archivos de evidencias lógicas

Es probable que las copias de respaldo de evidencias lógicas de datos
a partir de dispositivos de origen "activos" sean una fuente primaria
de datos relevantes. Estos incluirían servidores de archivos,
servidores de correo electrónico, computadoras de escritorio,
computadoras portátiles, máquinas virtuales e incluso teléfonos
inteligentes.
Es probable que al momento de la realización del análisis forense
estos sistemas estén en uso o se hayan retirado recientemente y
probablemente contengan datos que puedan conservarse o
recopilarse durante operaciones regulares.
Ejemplos de datos que podrían ser obtenidos mediante copias de
seguridad de evidencias lógicas incluyen documentos de texto, hojas
de cálculo, imágenes, código fuente o correos electrónicos con años
de antigüedad.
Los registros electrónicos no deben ser pasados por alto como
fuentes de datos relevantes, archivar es el proceso de mover datos de
sistemas, como el correo electrónico, a otro sistema, como a un
servidor de archivos. Un ejemplo común es que los usuarios archivan
el correo electrónico para poder moverlo de un servidor de correo
electrónico a un servidor de archivos. De esa manera, el archivo
permanece disponible para el usuario sin malgastar espacio valioso
en el servidor de correo electrónico.
Del mismo modo, las copias de seguridad de sistemas y datos
generadas como parte de las operaciones regulares de una empresa
u organización, son una fuente de datos para preservación y

8
recolección por parte de los investigadores forenses. Es probable,
además, que existan procesos escritos, registros técnicos asociados
y que se realicen de manera periódica.
Por otro lado, la mayoría de las empresas u organizaciones rotan sus
medios de respaldo a través de un cronograma de almacenamiento,
ya sea dentro o fuera de sus instalaciones. Dependiendo del período
de tiempo en el que se requieran los datos, será necesario que el
investigador forense tenga que recuperar copias de seguridad
externas.

Formas y métodos de adquisición en Windows y Linux

A continuación, se presenta la metodología general, independiente del
sistema operativo empleado, con la finalidad de obtener este tipo de
evidencias lógicas. Se recomienda preservar en todo momento la
integridad y la autenticidad de información recolectada.

 Uso de herramientas forenses: los kits de herramientas forenses

son herramientas especializadas, diseñadas para cumplir con los
criterios de las investigaciones forenses. Permiten acceder y
adquirir datos de manera que los cambios en los medios de origen
son mínimos. Entre las diferentes opciones se encuentran desde
aplicaciones de distribución libre y sistemas operativos de arranque
de LiveCD en medios extraíbles, hasta aplicaciones comerciales de
nivel empresarial.

 No realizar modificaciones: durante el proceso de preservación y

recolección de evidencias lógicas, en la medida de lo posible, no
se debe modificar, eliminar ni agregar datos en los medios de
origen. Como ya se hubiera indicado, el empleo de herramientas
forenses reducirá el impacto de esta actividad, dado que están
diseñadas para acceder a los medios en un estado de solo lectura
y no crearán ni modificarán archivos en los sistemas de origen, a
menos que sea absolutamente necesario. Estas herramientas
suelen publicar una lista que contiene los archivos que se modifican
en caso de ser empleadas en un sistema "en vivo".

 Realizar el hash criptográfico: el uso de hash garantizará la

autenticidad e integridad de las evidencias lógicas recolectadas a
lo largo de la investigación forense. Todas estas deben ser
hasheadas al momento de su recolección, transferencia y montaje
para análisis. Los valores de hash deben registrarse en múltiples
ubicaciones, como el registro del investigador forense y formularios
de cadena de custodia.

9
 Documentar lo actuado: los investigadores forenses deben
mantener registros detallados de las acciones que realizan durante
el proceso de adquisición y recopilación. Si bien los registros se
pueden crear y mantener, ya sea en papel o en formato electrónico
según la preferencia del investigador forense, cada opción tendrá
un impacto en el proceso. Los registros de papel son menos
susceptibles de ser manipulados o alterados, aun cuando es menos
probable que contengan información técnica detallada, ya que
debería ingresarse a mano. Los registros electrónicos pueden
contener información técnica detallada, pero son menos tangibles,
susceptibles de ser alterados, por lo cual resultan menos fiables.
Sin embargo, la integridad de los registros electrónicos debe
garantizarse mediante el cálculo hash correspondiente.

 Registrar y preservar la cadena de custodia: la cadena de custodia,

en combinación con hash, resulta esencial para garantizar la
autenticidad e integridad de la evidencia lógica recolectada. La
cadena de custodia debe comenzar con la recolección de datos y
mantenerse hasta su aceptación como evidencia.

 Realizar copias: una vez que la evidencia lógica es recolectada, la

misma debe duplicarse y almacenarse en medios limpios,
preferiblemente inalterables, como soportes ópticos en formato
CD-R o DVD-R. A tal efecto, cada archivo de evidencia lógica debe
ser hasheado de forma individual, para garantizar que dichas
copias sean idénticas al original y se reflejen en la cadena de
custodia. Se debe contar con al menos dos copias de la evidencia
lógica recolectada, una para resguardo y otra para el análisis.

Bloqueo contra escritura en Windows

Para crear una imagen forense, las mejores prácticas dictan que el
proceso de obtención no debe alterar ningún dato en el disco de
origen y que, además, se incluirán todos los datos, metadatos y
espacio no asignado del mismo.
Por lo general, los investigadores forenses logran esto al apagar el
sistema y quitar el disco o discos rígidos, para posteriormente
conectarlos a una estación de trabajo forense o bloqueador de
escritura de hardware o software.
Como bien lo indica su nombre, un bloqueador de escritura evitará
que se escriban datos en el disco de origen. Permite solo el acceso
de lectura. (Brown, 2010).

10
Remover el disco de un sistema evitará cualquier cambio que pudiera
ocasionarse debido a las operaciones normales del sistema o las
interacciones entre el proceso y el usuario.
Del mismo modo, el uso de un bloqueador de escritura durante la
adquisición de evidencias conservará la integridad de los metadatos
existentes, como por ejemplo las marcas de tiempo que puede tener
un papel preponderante en toda investigación digital.

2.1.3 Integridad de la evidencia. Concepto de

hash. Hashes de una imagen forense
Un constante desafío para el investigador forense consiste en
garantizar la integridad de la evidencia recolectada durante todo su
ciclo de vida. No resulta difícil que transcurran varios años entre la
recolección de evidencias y remisión de las pruebas ante los estrados
de la justicia.

Integridad de la evidencia
La integridad de la evidencia puede ser definida como aquella
condición aplicable a la información para que sus modificaciones sean
realizadas de manera específica y autorizada. La alteración no
autorizada de los datos pueden ocurrir intencionalmente o no,
cualquiera de las variantes puede afectar el peso de la evidencia
digital en el tribunal.

Concepto de hash
Se define al hash como el proceso de tomar una cantidad de datos
determinada (como un archivo o el flujo de bits de un disco duro) y
aplicar un algoritmo matemático complejo para generar un
identificador numérico relativamente compacto (el valor hash)
exclusivo de esos datos (Salgado, 2005).
Como ejemplo, un valor hash generado respecto de un documento
será único; si se modificara, alterara o destruyere parcialmente dicho
documento, el valor hash resultante será diferente.
Existen varios puntos relevantes sobre los algoritmos hash.

 Son irreversibles: los algoritmos (funciones hash iterativas y

unidireccionales) que se utilizan para generar el valor de hash no
se pueden revertir para reconstruir los datos originales de entrada
(National Institute of Standards and Technology, 2001).

11
 Baja probabilidad de colisiones: las probabilidades de que dos
datos no idénticos generen el mismo algoritmo es ínfima y se
encuentra limitada por formato del algoritmo empleado. A modo de
ejemplo, se pueden citar el formato MD5 (acrónimo de Message-
Digest Algorithm 5) el cuál se trata de un algoritmo de reducción
criptográfico de 128 bits cuya longitud es de 32 caracteres, o el
formato SHA-1 (acrónimo de Secure Hash Algorithm 1), el cuál se
trata de un algoritmo de reducción criptográfico de 256 bits cuya
longitud es de 40 caracteres.

Hashes de una imagen forense

El uso de hash para garantizar la integridad de la evidencia
recolectada no es un requisito legal. Sin embargo, se considera como
una mejor práctica que se utiliza en casi todos los procedimientos
llevados a cabo en laboratorios de análisis forense digital.
En tal sentido, el cálculo de firmas digitales hash debe ser visto como
un elemento que garantizará la admisibilidad de la evidencia digital,
en combinación con la cadena de custodia.
En la actualidad, los algoritmos de seguridad hash se han convertido
en un elemento requisito imprescindible en todo aquel procedimiento
relacionado con el análisis forense digital.
La integridad de la evidencia digital reposa en el hashing, lo que
permite demostrar, mediante su respectiva comprobación, que la
evidencia no ha sido alterada y/o modificada de manera inexplicable.
Muchas herramientas forenses que adquieren evidencia digital tienen
la capacidad de calcular valores hash en diferentes formatos al
momento de la recolección. Dicho valor hash inicial debe registrarse
en la cadena de custodia y verificarse en cada etapa de acceso o
transferencia.
Esta actividad tiene cierta relevancia dado que resulta poco probable
que las imágenes forenses originales se presenten en la corte. En
realidad, se presentarán como pruebas aquellos resultados obtenidos
mediante archivos de evidencia relacionados a los hechos
investigados, sobre los cuáles también se generará un valor hash.
A costa de ser repetitivos, cabe destacar que el valor hash debe
verificarse en cada paso de la cadena de custodia, para garantizar
que los datos no se contaminen o identifiquen erróneamente.

12
2.1.4 Utilización de software freeware y open
source, para adquirir y analizar
En el mercado existen gran variedad de herramientas para análisis
forense digital, sin embargo, debido al costo elevado de las
aplicaciones comerciales, resulta de vital importancia posar la mirada
en soluciones bajo licencia freeware o distribuciones de código
abierto.
En tal sentido, a continuación, se nombrarán algunas opciones a tener
en cuenta:

Autopsy
Plataforma forense digital con interfaz gráfica de la firma The Sleuth
Kit. Es utilizado por los encargados de hacer cumplir la ley, militares
e investigadores forenses corporativos. A continuación, se listan sus
principales características:

 Múltiples sistemas operativos: posee versiones tanto para

Windows como para Linux.
 Casos multiusuario: posibilidad de colaborar con otros
investigadores forenses en casos con gran volumen de
información.
 Análisis de línea de tiempo: muestra los eventos del sistema
mediante una interfaz gráfica que facilita la identificación de
actividad en disco.
 Búsqueda de palabras clave: permite la búsqueda mediante
términos específicos, indexación e incluso patrones de expresiones
regulares.
 Artefactos web: recolecta actividad web de los navegadores y
permite identificar la actividad de cada usuario.
 Análisis del registro: utiliza RegRipper para identificar los
documentos y dispositivos USB a los que se accedió
recientemente.
 Análisis de archivos LNK: identifica accesos directos y documentos
accedidos recientemente.
 Análisis de correo electrónico: soporta el formato MBOX, como por
ejemplo Thunderbird.
 EXIF: permite extraer la ubicación geográfica e información de la
cámara mediante archivos JPEG.
 Clasificación de tipo de archivo: permite agrupar los archivos por
tipo para separar rápidamente imágenes o documentos.
 Reproducción de medios: videos e imágenes se reproducen en la
aplicación sin la necesidad de un visor externo.

13
 Visor de miniaturas: muestra miniaturas de las imágenes para una
visualización rápida.
 Análisis del sistema de archivos robusto: soporte para sistemas de
archivo comunes, incluyendo NTFS, FAT12 / FAT16 / FAT32 /
ExFAT, HFS +, ISO9660 (CD-ROM), Ext2 / Ext3 / Ext4, yaffs2 y
UFS del kit de detective.
 Filtro de conjunto de hash: permite eliminar los archivos buenos
conocidos. Utiliza NSRL y marca archivos maliciosos conocidos.
Para ello usa hashsets personalizados en los formatos
HashKeeper, md5sum y EnCase.
 Etiquetas: facilita el etiquetado de archivos con nombres arbitrarios,
como 'favoritos' o 'sospechosos', y agregar comentarios.
 Extracción de cadenas Unicode: permite extraer cadenas de
espacios no asignados y tipos de archivos desconocidos en
diferentes idiomas (árabe, chino, japonés, etc.).
 Soporta la detección de tipos de archivo mediante firmas digitales
y detección de desajuste de extensión.
 Compatibilidad con Android: extrae datos de SMS, registros de
llamadas, contactos, diccionario y más.

14
Figura 2: Autopsy

Fuente: Carter, s.f., recuperado de https://www.sleuthkit.org/autopsy/.

Digital Forensics Framework (DFF)

Framework forense empleado por investigadores forenses
corporativos, examinadores encargados de hacer cumplir la ley,
estudiantes forenses digitales y profesionales de la seguridad en todo
el mundo. Escrito en Python y C ++. DFF combina una interfaz de
usuario intuitiva con un diseño modular y multiplataforma. A
continuación, se listan sus principales características:

 Interfaz de usuario: explorador de archivos, marcadores,

ventanas acoplables, entorno de desarrollo integrado e
intérprete (Python), línea de comando, multilenguaje,
administrador de tareas.

15
 Visores: imágenes, videos, texto, web, estadísticas de sistemas
de archivos.
 Análisis de línea de tiempo: vista gráfica, extracción virtual y
reducción, filtros de metadatos.
 Visor hexadecimal: compatibilidad con archivos grandes,
navegación de página, navegación y visualización de píxeles,
búsqueda, etc.
 Volúmenes: particiones, VMDK (VMware).
 Manipulación de ficheros: corte, fusión, extracción, reducción de
repuestos.
 Metadatos: EXIF, día y fecha, estructuras de datos, etc.
 Memoria volátil: Windows XP (Volatility).
 Sistemas de archivos: FAT 12/16/32, NTFS, EXTFS 2/3/4.
 Recuperación de datos: algoritmos de sistemas de archivos,
tallado de archivos.
 Registro de Windows: reconstrucción y análisis.
 Otro: dispositivos locales, hash (md5, sha *), zip, unxor.

16
Figura 3: Digital Forensics Framework (DFF)

Fuente: Open Source DFF (Digital Forensics Framework), s.f., recuperado de

http://digitalforensicsframework.blogspot.com/2012/01/dff-installation-in-windows.html.

Bulk Extractor
Software forense que extrae funciones tales como direcciones de
correo electrónico, números de tarjetas de crédito, URL y otros tipos
de información de archivos de pruebas digitales. A continuación, se
listan sus principales características:

 Permite el análisis de direcciones de correo electrónico, URL y

números de tarjetas de crédito.
 Puede manejar datos comprimidos (como archivos ZIP, PDF y
GZIP), así como datos incompletos o parcialmente corruptos,
relevar archivos JPEG, documentos de ofimática y otros tipos de
archivos a partir de fragmentos de datos comprimidos. Puede
detectar y extraer automáticamente archivos RAR encriptados.
 Soporta la creación de listas de palabras basadas en todas las
palabras encontradas en los datos, incluso archivos
comprimidos que no tienen espacio asignado. Estas listas de
palabras se pueden usar para descifrar contraseñas.
 Permite multiproceso para optimizar el tiempo de análisis.

17
  Después del análisis, crea un histograma con la información
relevada.
 Soporta el análisis de imágenes de disco, archivos o directorios
de archivos y recolección de información sin analizar el sistema
de archivos o la estructura del sistema de archivos.
 Posee un visualizador con funciones de exploración e interfaz
gráfica.
 Contiene una suite de programas en Python para análisis
adicional.

DEFT
Acrónimo de Digital Evidence and Forensics Toolkit, es una
distribución Linux basada en Ubuntu. Desarrollada para el análisis
forense digital, con el propósito de analizar sistemas en vivo sin alterar
o contaminar los dispositivos de almacenamiento conectados a la PC
donde se lleva a cabo el proceso de arranque. Actualmente es
utilizado por personal militar, oficiales del gobierno, fuerzas del orden,
investigadores forenses corporativos, auditores de TI, universidades,
entre otros. A continuación se listan sus principales características:

 Multiplataforma: puede ejecutarse en vivo (mediante DVD-R o

pendrive USB), instalarse o ejecutarse como un dispositivo
virtual en VMware o Virtualbox.
 Soporta herramientas de análisis de ficheros de diferentes tipos.
 Contiene antimalware para búsqueda de rootkits, virus, malware.
 Posee software para la recuperación de ficheros.
 Permite la realización de cálculo de hashes de diferentes
formatos: SHA1, SHA256, MD5.
 Contiene aplicaciones para realizar clonados y adquisición de
imágenes de discos duros u otros orígenes.
 Permite el análisis forense de dispositivos móviles.

18
Figura 4: Digital Evidence and Forensics Toolkit (DEFT)

Fuente: Deft Linux, 2017, recuperado de http://www.deftlinux.net/.

CAINE
Acrónimo de Computer Aided Investigative Environment, es una
distribución Linux basada en Ubuntu, desarrollada para el análisis
forense digital con el propósito de ofrecer un entorno forense completo
y organizado para integrar herramientas y módulos de software.
Proporciona una interfaz gráfica amigable. Actualmente es utilizado
por personal militar, fuerzas del orden, investigadores forenses
corporativos, auditores de TI, entre otros. A continuación se listan sus
principales características:

 Multiplataforma: puede ejecutarse en vivo (mediante DVD-R o

pendrive USB), instalarse o ejecutarse como un dispositivo
virtual en VMware o Virtualbox, tanto en Linux como Windows.
 Permite el apoyo a las investigaciones mediante un entorno que
ayuda al investigador en las cuatro fases del cómputo forense.
 Se encuentra provista de una interfaz gráfica amigable.
 Posee un kit de herramientas forenses cuyo empleo no resulta
dificultoso.
 Entre tales herramientas se encuentran: Nirsoft suite, WinAudit,
MWSnap, Arsenal Image Mounter, FTK Imager, Hex Editor,
JpegView, herramientas de red, NTFS Journal viewer, Photorec
y TestDisk, QuickHash, NBTempoW, USB Write Protector, VLC,
Windows File Analyzer, entre otras.

19
Figura 5: Computer Aided Investigative Environment (CAINE)

Fuente: Caine Live, s.f., recuperado de https://www.caine-live.net/

FTK Imager
Acrónimo de Forensic Toolkit Imager, es un software informático
forense desarrollado por AccessData. A continuación, se listan sus
principales características:

 Multiplataforma: puede ejecutarse en vivo (mediante DVD-R o

pendrive USB), instalarse o ejecutarse en el equipo del
investigador, tanto en Linux como Windows.
 Permite la adquisición de imágenes forenses de discos físicos,
lógicos, archivos de imagen, contenidos de carpetas e incluso
unidades ópticas, en diferentes formatos (RAW, SMART, E01,
AFF).
 Posee herramientas para volcado de memoria RAM.

20
 Permite la visualización y navegación por la estructura de
directorios.
 Posee herramientas para la visualización en formato
hexadecimal, vistas previas de documentos y ANSI latino.
 Permite la búsqueda mediante palabras clave.

21
2.2 Colección de
evidencias II
Luego de realizar la introducción respecto de las herramientas
disponibles para los investigadores forenses, resulta imprescindible
familiarizarse con el empleo de las mismas.
Conocer las capacidades y limitaciones de las herramientas forenses
empleadas, constituye uno de los principales puntos a tener en cuenta
para su correcta elección, en función de las tareas periciales
encomendadas o incidente de seguridad detectado.
Sin duda el éxito de la investigación forense dependerá en gran parte
de las habilidades y conocimientos del perito interviniente, sin
embargo, desconocer los alcances de las herramientas empleadas
puede ocasionar errores de interpretación.
Del mismo modo, vale la pena recordar, que la integridad de las
evidencias recolectadas debe encontrarse sustentada mediante el
cálculo de algoritmos digitales hash correspondientes. Además,
garantizar en todo momento la posibilidad de verificar su integridad
mediante su correspondiente comprobación.

2.2.1 Uso de Lives CD/DVD/USB, CAINE, DEFT.

Adquisición bajo Linux y bajo Windows. Uso del
comando DD. Procedimientos
Todo investigador forense debe tener cierto dominio sobre las
diferentes herramientas forenses disponibles, tanto aquellas
comerciales como las de licencia freeware o distribuciones basadas
en software libre, independientemente del sistema operativo utilizado.
En tal sentido, antes de iniciar la actividad pericial, resulta más que
recomendable realizar una planificación previa, dado que existen
múltiples escenarios posibles, situaciones que limitarán el empleo de
determinadas herramientas forenses.
Tal es el caso del proceso de obtención de imágenes forenses, que
constituye el primer paso del análisis forense digital.

22
Lives CD/DVD/USB, CAINE, DEFT
Como ya se hubiera señalado, CAINE y DEFT se tratan de
distribuciones Linux basadas en Ubuntu y desarrolladas netamente
para el análisis forense digital.
A fin de identificar posibles entornos de trabajo, resulta factible dividir
los procedimientos para adquisición de imágenes forenses de la
siguiente manera:

 Imágenes muertas: se realizan a partir de la extracción del disco de

un equipo de computación. Se conecta el mismo mediante un
bloqueador de escritura a otro sistema para adquirir el contenido
del disco de origen. Recibe esta denominación debido a que, aun
cuando se aplica energía al disco de origen, el bloqueador de
escritura evitará que se modifiquen los datos del mismo. Además,
el software de adquisición de imágenes forenses puede acceder a
todo el espacio de la unidad, incluido el espacio no asignado.

 Imágenes en vivo: se obtienen cuando un disco rígido no puede ser

extraído de un equipo de computación o bien no se cuenta con los
cables o adaptadores de conexión necesarios. En este caso,
resulta posible adquirir su contenido mediante el uso del mismo
equipo donde se encuentra alojado el dispositivo. A tal efecto, el
disco de origen se monta como solo de lectura. Asimismo, se deben
tener presente determinados recaudos, tales como verificar la
configuración de BIOS, para iniciar el sistema operativo mediante
la herramienta forense y no desde el disco rígido considerado como
evidencia.

Adquisición bajo Linux y bajo Windows.

Como ya se hubiera indicado, la plataforma de trabajo se encontrará
ligada a cada escenario posible, al igual que la experiencia del
investigador forense, quien al final de cuentas definirá el entorno de
trabajo de acuerdo a las necesidades imperantes, familiaridad con la
herramienta forense empleada e incluso factores tales como la
optimización de tiempo de trabajo.

Entorno Windows y uso de FTK Imager

FTK Imager es una herramienta forense desarrollada por AccessData
empleada, entre otras actividades, para la adquisición imágenes
forenses.

23
Posee una interfaz gráfica amigable. Se pueden obtener imágenes
forenses en formato (DD, SMART, E01 y AFF).
Para realizar una imagen forense a partir de FTK Imager se deben
seguir los siguientes pasos:
1) Iniciar la aplicación, seleccionar la opción Archivo y luego,
Crear Imagen de Disco.
2) Seleccionar la unidad de origen (Disco físico/Disco
lógico/Archivo de imagen/Contenido de una carpeta/Unidades
ópticas tipo CD/DVD).
3) Escoger el formato de la imagen forense
(DD/SMART/E01/AFF).
4) Completar datos relacionados al caso, evidencia e
investigador.
5) Acto seguido, se debe escoger la ruta de destino de la imagen
forense, nombre de la misma, si se obtendrá un archivo único
o la misma será spliteada en segmentos de determinado
tamaño.
6) A continuación, se debe chequear el origen y destino de la
imagen forense, como así también seleccionar la verificación
de la misma, para luego iniciar su obtención.
7) Finalizado el proceso de obtención y comprobación, se aprecia
un reporte con los algoritmos de seguridad hash (MD5/SHA1).
8) Como resultado, en la ruta de destino se aprecian los archivos
correspondientes a la imagen forense obtenida y su respectivo
reporte.

24
Figura 6: FTK Imager - Creación de imagen de disco

Fuente: Captura de pantalla del software FTK Imager (AccessData, 2018)

Figura 7: FTK Imager - Selección de tipo de origen

Fuente: Captura de pantalla del software FTK Imager (AccessData, 2018)

25
Figura 8: FTK Imager - Selección de disco de origen

Fuente: Captura de pantalla del software FTK Imager (AccessData, 2018)

Figura 9: FTK Imager - Selección de formato de imagen

Fuente: Captura de pantalla del software FTK Imager (AccessData, 2018)

26
Figura 10: FTK Imager - Información de la evidencia

Fuente: Captura de pantalla del software FTK Imager (AccessData, 2018)

Figura 11: FTK Imager - Selección de ruta de destino

Fuente: Captura de pantalla del software FTK Imager (AccessData, 2018)

27
Figura 12: FTK Imager - Chequeo de parámetros y selección de
verificación de la imagen

Fuente: Captura de pantalla del software FTK Imager (AccessData, 2018)

Figura 13: FTK Imager – Obtención de la imagen

Fuente: Captura de pantalla del software FTK Imager (AccessData, 2018)

28
Figura 14: FTK Imager – Verificación de la imagen

Fuente: Captura de pantalla del software FTK Imager (AccessData, 2018)

Figura 15: FTK Imager – Finalización del proceso

Fuente: Captura de pantalla del software FTK Imager (AccessData, 2018)

29
Figura 16: FTK Imager – Reporte correspondiente

Fuente: Captura de pantalla del software FTK Imager (AccessData, 2018)

Entorno Linux - Uso de Guymager.

Guymager es una herramienta forense de fuente abierta para
adquisición de imágenes forenses. Posee una intuitiva interfaz gráfica
y una gran velocidad de copiado debido a su diseño y eficaz uso de
tecnología multiprocesador. Se pueden obtener imágenes forenses en
formato DD y EWF (E01), además cuenta con la opción de duplicar
discos.
Para realizar una imagen forense a partir de Guymager se deben
realizar los siguientes pasos:

1) Iniciar la aplicación, seleccionar la unidad de origen y a partir

del menú desplegable indicar la opción deseada (adquirir
imagen o duplicar disco).
2) Definir parámetros tales como formato de la imagen (DD/EWF),
datos relacionados a la evidencia y caso de análisis, ruta de
destino de la imagen forense, nombre de la misma, si se
obtendrá un archivo único o la misma será spliteada en
segmentos de determinado tamaño. Asimismo, se puede
seleccionar la habilitación para comprobación y cálculo de
algoritmos de seguridad hash (MD5/SHA1/SHA256).
Realizada esta configuración previa, se inicia el proceso de

30
 obtención de la imagen y se muestra en pantalla que se
encuentra en ejecución.
3) Finalizado el proceso, dicha actividad se visualiza en pantalla.
4) Como resultado, en la ruta de destino se aprecian los archivos
correspondientes a la imagen forense obtenida y su respectivo
reporte.

Figura 17: Guymager - Ventana de inicio

Fuente: Captura de pantalla del software Guymager (Voncken, 2018)

31
Figura 18: Guymager - Configuración de la Imagen

Fuente: Captura de pantalla del software Guymager (Voncken, 2018)

Figura 19: Guymager - Inicio de la adquisición

Fuente: Captura de pantalla del software Guymager (Voncken, 2018)

32
Figura 20: Guymager - Finalización de la adquisición

Fuente: Captura de pantalla del software Guymager (Voncken, 2018)

Figura 21: Guymager - Reporte de la imagen forense

Fuente: Captura de pantalla del software Guymager (Voncken, 2018)

33
Entorno Linux - Comando DD.
El comando DD, acrónimo de (Dataset Definition) es una herramienta
provista por distribuciones Linux que, entre otras actividades, puede
ser empleada para la adquisición imágenes forenses. Para ello, se
ingresa código mediante consola. Se pueden obtener imágenes
forenses en formato ISO, RAW (DD).
Para realizar una imagen forense a partir del comando DD se deben
realizar los siguientes pasos:
1) Abrir una consola de comando.
2) Identificar el dispositivo de origen y sus respectivas tablas de
partición mediante el comando “fdisk-l”.
3) Calcular el algoritmo de seguridad hash del medio de origen
(sdX) mediante el comando “sudo sha1sum /dev/sdc >
/tmp/hash_sdc.sha1” y chequearlo mediante el comando “cat
/hash_sdc.sha1”.
4) Abrir una nueva consola y obtener la imagen del medio de
origen mediante la herramienta “dd”, utilizar el comando “sudo
dd if=/dev/sdX of=/tmp/sdZ.dd conv=noerror,sync”. Donde “if”
indica la unidad de origen (sdX) y “of” la de destino (sdZ).
Asimismo, el parámetro “conv” convierte el archivo de acuerdo
a la lista de símbolos delimitados por comas, el parámetro
“noerror” garantiza la continuidad de la operación aun cuando
existan errores de lectura y por último “sync” se emplea para
rellenar bloques con ceros en caso de error.
5) Finalizado el proceso se aprecia un resumen con información
de la actividad, como por ejemplo registros de ingreso y salida,
bytes copiados, tiempo transcurrido para la obtención y
promedio de la velocidad de copiado.
6) A fin de realizar la comprobación de la imagen forense
obtenida, se procede a calcular su algoritmo de seguridad hash
mediante el comando “sha1sum /dev/sdZ.dd”.

34
Figura 22: Comando DD - Identificación del medio de origen

Fuente: Captura de pantalla del software SIFT Workstation (Lee, 2018)

Figura 23: Comando DD - Hash SHA1 del medio de origen

Fuente: Captura de pantalla del software SIFT Workstation (Lee, 2018)

35
Figura 24: Comando DD - Obtención de la imagen forense y resumen

Fuente: Captura de pantalla del software SIFT Workstation (Lee, 2018)

Figura 25: Comando DD – Hash de la imagen forense

Fuente: Captura de pantalla del software SIFT Workstation (Lee, 2018)

36
Figura 26: Comando DD – Comprobación de la imagen forense

Fuente: Captura de pantalla del software SIFT Workstation (Lee, 2018)

2.2.2 Ejemplos de Hashing. Procedimiento de

bloqueo contra escritura en unidades de disco.
Utilización de software para bloquear puertos
USB
La integridad es el andamiaje sobre el cuál reposa la validez de la
evidencia digital. A tal efecto, se deben tomar una serie de recaudos
que garanticen tal condición. Por tal motivo, el empleo de
bloqueadores de escritura impedirá su alteración y/o modificación.
Además, una vez que fueran obtenidas las imágenes forenses, estas
deben ser acompañadas de sus respectivos algoritmos de seguridad
hash.

Ejemplos de hashing
Como ya se adelantó, el cálculo de firmas digitales garantiza la
integridad de las evidencias forenses, aunque a lo largo del tiempo
han existido diferentes formatos que quedaron en desuso ya que los
algoritmos empleados para sus cálculos fueron quebrados, como lo
es el caso del formato MD5 y sus predecesores.
Sin embargo, en la actualidad muchas herramientas forenses lo
emplean en combinación con otro tipo de formatos, como por ejemplo

37
 SHA1, en virtud que ambos algoritmos incrementan la dificultad
computacional para vulnerar dicho conjunto criptográfico.
Cabe destacar que, el cálculo de firmas digitales no contempla los
metadatos externos de los archivos, tales como nombre, fecha de
creación o programas utilizados. Toma únicamente como datos de
entrada el contenido binario de los mismos.
A fin de brindar ejemplos prácticos, se procederá a calcular firmas
digitales hash en diferentes formatos sobre los vocablos “hola” y
“Hola”, para posteriormente realizar una comparación de los
resultados obtenidos.

Tabla 1: Ejemplos de hashing - Formato MD5

Texto Valores
hola 4d186321c1a7f0f354b297e8914ab240
Hola f688ae26e9cfa3ba6235477831d5122e

Fuente: Elaboración propia

Tabla 2: Ejemplos de hashing - Formato SHA1

Texto Valores
hola 99800b85d3383e3a2fb45eb7d0066a4879a9dad0
Hola 4e46dc0969e6621f2d61d2228e3cd91b75cd9edc

Fuente: Elaboración propia

Tabla 3: Ejemplos de Hashing - Formato SHA256

Texto Valores
b221d9dbb083a7f33428d7c2a3c3198ae925614d70210e2
hola
8716ccaa7cd4ddb79
e633f4fc79badea1dc5db970cf397c8248bac47cc3acf9915
Hola
ba60b5d76b0e88f

Fuente: Elaboración propia

38
Nótese que aun cuando los vocablos empleados en los ejemplos son
muy similares, la diferencia de un carácter ocasiona una discrepancia
entre los valores hash respectivos.

Tipos de bloqueadores de escritura

El empleo de bloqueadores de escritura tiene como finalidad
garantizar y demostrar que como investigador forense se mantuvo la
integridad de los medios originales, se aseguró el acceso de forma
unidireccional (read only) y se impidió toda modificación, borrado o
escritura (write).
Existen una serie de requisitos generales que deben cumplir estos
dispositivos, por ejemplo, la herramienta no debe permitir cambios en
la unidad protegida, tampoco impedirá obtener información de o sobre
cualquier unidad, ni ejecutar operaciones en las unidades que no
estén protegidas (National Institute of Standards and Technology,
2006).
En tal sentido, se pueden señalar dos variantes:

 Bloqueadores por hardware

Se tratan de dispositivos que permiten conectar una unidad de disco
a un sistema informático mediante diferentes puertos (USB/E-
SATA/FIREWARE), para obtener imágenes forenses del disco y
garantizar que todas las operaciones de escritura en el disco se
encuentren bloqueadas.

39
Figura 29: Bloqueador de escritura Tableau T35u (SATA/IDE)

Fuente: Opentext Corp, s.f., recuperado de

https://www.guidancesoftware.com./tableau/hardware//t35u

 Bloqueadores por software

Básicamente, los bloqueadores por software permiten conectar una
unidad de disco a un sistema informático mediante un puerto USB
configurado en modo “solo lectura”, para obtener de esta manera
imágenes forenses del disco y garantizar que las operaciones de
escritura en el disco se encuentren bloqueadas. Si bien los puertos
USB pueden configurarse de forma manual, por ejemplo mediante la
herramienta Regedit, existen diferentes soluciones que realizan esta
maniobra de forma automática.

40
 Figura 27: Bloqueador de escritura Phrozen Safe USB v1.0

Fuente: Captura de pantalla del software Phrozen Safe USB (PhrozenSAS, 2018)

Cabe destacar que los bloqueadores de escritura de software y

hardware realizan el mismo trabajo. Evitan escrituras en dispositivos
de almacenamiento. La principal diferencia entre ambos es que los
bloqueadores de escritura de software se instalan en una estación de
trabajo informática forense, mientras que los bloqueadores de
escritura de hardware tienen un software de bloqueo de escritura
instalado en un chip controlador dentro de un dispositivo físico portátil.
A continuación, se detallan ventajas y desventajas de las dos
variantes planteadas.
Tabla 4: Bloqueadores de escritura por hardware

Ventajas Desventajas
No depende del sistema operativo Constituye un dispositivo adicional
subyacente. para transportar.

Resulta más fácil de explicar a Requiere cierto mantenimiento.

personas que no son técnicas.
Se encuentra limitado a las
Posee indicaciones visuales de la interfaces integradas en el
función a través de luces e dispositivo.
interruptores físicos.

41
Por lo general proporciona
interfaces para diferentes
dispositivos de almacenamiento
(IDE, SATA, etc.).

Parece ser más aceptado en la

comunidad forense general.
Fuente: Elaboración propia

Tabla 5: Bloqueadores de escritura por software

Ventajas Desventajas
Se instala directamente en su Podría necesitar adaptadores
estación de trabajo del externos para interfaces nuevas.
investigador. Puede ser más difícil de explicar a
personas no técnicas.

Utiliza las interfaces disponibles en Siempre se debe comprobar su

la estación de trabajo del funcionalidad antes de conectar un
investigador, lo que evita gastos dispositivo para análisis.
adicionales.
Fuente: Elaboración propia

2.2.3 Ejemplo de análisis de la información.

Ejemplo de búsqueda y extracción de mails.
Búsqueda de palabras. Búsqueda de los
artefactos de Internet. Software para análisis de
las evidencias en Windows y Linux Open Source
Una vez efectuada la obtención de imágenes forenses, con sus
respectivos algoritmos de seguridad hash, se da paso al análisis de la
información contenida en las evidencias recolectadas.
En tal sentido, el análisis forense digital debe cumplimentar los
requisitos periciales objeto de la investigación e identificar aquellos
artefactos forenses de interés, para su posterior presentación
mediante los informes correspondientes.
A tal efecto, se brindará una reseña mediante el empleo de la
herramienta forense Autopsy, con versiones tanto para Windows
como para Linux, a fin de ilustrar gráficamente su utilización.

42
Cabe destacar que esta herramienta forense emplea diferentes
módulos para realizar la búsqueda de distintos artefactos forenses,
cuyos resultados deben ser ponderados por el investigador forense
basado en los principios de relevancia, confiabilidad y suficiencia.
Figura 28: Módulos de la herramienta forense Autopsy - Versión 4.9.1

Fuente: Captura de pantalla del software Autopsy (The Sleuth Kit, 2018)

Módulo Email Parser

El módulo para análisis de correo electrónico posibilita al investigador
forense identificar las comunicaciones basadas en correo electrónico
del sistema analizado. También permite la identificación de archivos
contenedores formato Thunderbird MBOX y PST mediante las firmas
de los archivos (signaturas de encabezados).

Los resultados se pueden revisar por medio de la exploración del

árbol de resultados, al seleccionar la opción mensajes de correo
electrónico.

43
Figura 29: Resultados del módulo Email Parser

Fuente: Captura de pantalla del software Autopsy (The Sleuth Kit, 2018)

Módulo Keyword Search

El módulo de búsqueda de palabras clave facilita tanto la búsqueda
automatizada como la búsqueda de texto manual, una vez que se ha
completado el procesamiento mediante indexación.

La indexación se realiza al extraer texto de formatos de archivos

admitidos, como texto puro, documentos de MS Office, archivos PDF,
correo electrónico, entre otros. Si el archivo no es compatible, se
aplica un algoritmo de extracción de cadena, que excluye registros
cifrados.

44
También se encuentran predefinidas expresiones regulares que
permiten buscar números de teléfono, direcciones IP, URL y
direcciones de correo electrónico. Sin embargo, la búsqueda
mediante estas expresiones regulares incrementa sustancialmente el
tiempo de procesamiento.

La configuración de búsqueda de palabras clave tiene tres pestañas,

cada una con su propio propósito:

 Listas: se utiliza para agregar, eliminar y modificar listas de

búsqueda de palabras clave.
 Extracción de cadena: se utiliza para habilitar las secuencias de
comandos de idioma y el tipo de extracción.
 General: se utiliza para configurar los tiempos para actualizar la
información relevada durante el procesamiento.
Los resultados se aprecian mediante un visor separado para cada
búsqueda ejecutada, también pueden explorar mediante el árbol de
resultados y seleccionar la opción aciertos de palabras clave.

45
Figura 30: Pestaña Listas

Fuente: Captura de pantalla del software Autopsy (The Sleuth Kit, 2018)

46
Figura 31: Pestaña Extracción en cadena

Fuente: Captura de pantalla del software Autopsy (The Sleuth Kit, 2018)

47
Figura 32: Pestaña General

Fuente: Captura de pantalla del software Autopsy (The Sleuth Kit, 2018)

48
Figura 33: Resultados del módulo Keyword Search

Fuente: Captura de pantalla del software Autopsy (The Sleuth Kit, 2018)

Módulo actividad reciente

El módulo para análisis de actividad reciente permite al investigador
recolectar información relacionada a la actividad del usuario guardada
por los navegadores web (incluso búsquedas web), los programas
instalados, configuración del sistema operativo y registro.

Los resultados se pueden consultar al explorar el árbol de resultados

y seleccionar la opción contenido extraído.

49
Figura 34: Resultados del módulo Recent Activity

Fuente: Captura de pantalla del software Autopsy (The Sleuth Kit, 2018)

2.2.4 Creación de un Live USB con Caine o con

DEFT. Análisis con Autopsy. Comparación con
software licenciados
A continuación, se plasmarán recomendaciones a tener en cuenta por
los investigadores forenses a la hora de crear dispositivos USB
booteables con distribuciones forenses como Caine o Deft.
Luego, tras efectuar una aproximación al análisis forense con
Autopsy, se realizará una breve comparación con la herramienta
propiertaria Encase.

50
Creación de un Live USB
En primera instancia se deben descargar los archivos de imágenes
ISO de la última distribución de Caine (https://www.caine-live.net/) o
Deft (www.deftlinux.net/), según corresponda. Cabe destacar que la
misma debe realizarse desde los sitios web oficiales, a fin de evitar
posibles incidentes relacionados con archivos maliciosos.
Luego se deben comprobar los archivos descargados mediante el
cálculo de firmas de seguridad hash, las cuales deberán coincidir con
las publicadas en las páginas web.
A continuación, se detallarán una serie de pasos necesarios para la
creación de dispositivos USB booteables mediante la herramienta
open source YUMI (Your Universal Multiboot Integrator).

1) Seleccionar el medio de destino que usaremos para crear el

USB booteable.
2) Elegir el tipo de distribución que será instalada.
3) Seleccionar la carpeta donde se encuentra almacenada la
imagen ISO de la distribución que deseamos instalar.
4) A continuación, antes de proseguir, la herramienta nos
consultará si deseamos continuar con el procedimiento dado
que la información de la unidad USB seleccionada será
sobrescrita.

51
Figura 35: Herramienta YUMI - Selección del USB destino

Fuente: Captura de pantalla del software YUMI (Pendrivelinux, 2016)

52
Figura 36: Herramienta YUMI - Selección de la distribución a instalar

Fuente: Captura de pantalla del software YUMI (Pendrivelinux, 2016)

53
Figura 37: Herramienta YUMI - Selección de la imagen ISO

Fuente: Captura de pantalla del software “YUMI” (Pendrivelinux, 2016)

Figura 38: Herramienta YUMI - Mensaje de advertencia

Fuente: Captura de pantalla del software YUMI (Pendrivelinux, 2016)

54
Figura 39: Herramienta YUMI - Creación del USB booteable

Fuente: Captura de pantalla del software YUMI (Pendrivelinux, 2016)

Análisis con Autopsy. Comparación con software

licenciados
Como se expuso anteriormente, la versatilidad y robustez de la
herramienta forense Autopsy la convirtió en una excelente alternativa
para el análisis forense digital, más aún para aquellos investigadores
forenses que no cuentan con recursos para adquirir software
propietario, como lo es el caso de Encase.
Respecto de Encase, resulta oportuno destacar que se trata de uno
de los productos líderes en el mercado, en gran parte gracias a las
diferentes herramientas que provee y a un poderoso motor de
búsqueda (Bunting, 2012).
En primera instancia, vale destacar que la Versión 7 de Encase utiliza
para el procesamiento de evidencias una interfaz gráfica muy
amigable, que permite al investigador forense realizar de forma
acabada las tareas de recolección y presentación evidencia digital,
mediante vistas de árbol de directorios, tablas y previsualizaciones de
archivos.

55
A tal efecto, cuenta con un procesador central configurable, que
permite seleccionar diferentes opciones, entre ellas la búsqueda de
correo electrónico, artefactos de Internet, búsqueda por medio de
palabras clave, módulos para análisis de información y eventos del
sistema.
Por otro lado, los resultados procesados se aprecian en la vista de
registros para el caso de elementos procesados y buscar cuando se
realizó el indexado de la evidencia o se efectuó una búsqueda
mediante palabras clave.
Asimismo, los resultados obtenidos se presentan mediante un
reporte que puede ser exportado en diferentes formatos (TXT,
RTF, HTML, XML, PDF).
Figura 40: Encase - Vistas de árbol de directorios, tablas y
previsualizaciones de archivos

Fuente: Captura de pantalla del software Encase (Guidance Software, 2014)

56
Figura 41: Encase - Opciones de procesamiento

Fuente: Captura de pantalla del software Encase (Guidance Software, 2014)

57
Figura 42: Encase - Vista de registros

Fuente: Captura de pantalla del software Encase (Guidance Software, 2014)

58
Figura 43: Encase - Vista de búsquedas

Fuente: Captura de pantalla del software Encase (Guidance Software, 2014)

59
 Figura 44: Encase - Plantillas de informe

Fuente: Captura de pantalla del software Encase (Guidance Software, 2014)

Conforme lo expresado, a modo de comparación objetiva se brinda

una breve reseña de ventajas y desventajas respecto de Encase y
Autopsy.

Tabla 6: Autopsy

Ventajas Desventajas
Gratis para uso comercial. Función limitada.

Herramienta muy rápida y fácil para No posee soporte para archivos

analizar correo electrónico, historial cifrados.
de navegación del usuario y No soporta trabajo colaborativo.
actividades de Internet.

Fuente: Elaboración propia

60
 Tabla 7: Encase

Ventajas Desventajas
Interfaz de usuario fácil de usar. Alto costo.

Herramienta de renombre y El procesamiento de evidencias

ampliamente aceptada. puede ser lento, especialmente al
procesar archivos PST grandes.
Presentación de reportes claros y
concisos. No es portátil por defecto.

Posee una herramienta de

adquisición gratuita (Encase
Imager).

Soporte integrado para Bitlocker.

Permite trabajo colaborativo.

Fuente: Elaboración propia

61
Referencias

Brown, C. (2010). Computer evidence: collection and preservation.

Estados Unidos: Charles River Media/Cengage Learning.
Bunting, S. (2008). EnCE: The official EnCase certified examiner
study guide. [2nd ed.]. Estados Unidos: Wiley Publishing, Inc.
Bunting, S. (2012). EnCase computer forensics: the official EnCE:
EnCase certified examiner study guide [3rd ed.]. Estados Unidos:
Wiley Publishing, Inc.
Digital Forensic Research Workshop. (2006). Survey of Disk Image
Storage Formats. Recuperado de
http://www.dfrws.org/sites/default/files/survey-dfrws-cdesf-diskimg-
01.pdf
National Institute of Standards and Technology. (2001). Secure
hash standard (SHS). Federal information processing standards
publication [180-2]. Recuperado de
https://csrc.nist.gov/csrc/media/publications/fips/180/2/archive/2002-
08-01/documents/fips180-2.pdf
National Institute of Standards and Technology. (2002). Hard Disk
Write Block Tool Specification. Recuperado de
https://www.nist.gov/sites/default/files/documents/2017/05/09/wb-
spec-jan-07-1.pdf
Prosise, C. y Mandia. K. (2003). Incident Response and Forensic
Computer. Estados Unidos: McGraw-Hill Companies.
Prosise, C. y Mandia. K. (2003). Incident Response and Forensic
Computer. Estados Unidos: McGraw-Hill Companies.
Salgado, R. (2005). Fourth amendment search and the power of the
hash. Recuperado de
https://federalevidence.com/pdf/2013/02Feb/EE-4thAmSearch-
Power%20of%20Hash.pdf
AccessData (2017). FTK Imager (Versión 4.2.0) [Software para
análisis forense]. Lindon, UT: AccessData.
Guy Voncken (2018). Guymager (Versión 0.8.8) [Software para
análisis forense]. Luxembrugro: Guy Voncken.

62
Rob Lee (2018). SIFT Workstation (Versión 3.0) [Software para
análisis forense]. Boston, MA: Sans Institute.
PhrozenSAS (2018). Phrozen Safe USB (Versión 1.0) [Software para
análisis forense]. Maisons Laffitte, FR: PhrozenSAS.
The Sleuth (2018). Autopsy (Versión 4.9.1) [Software para análisis
forense]. Cambridge, MA: The Sleuth.
Pendrivelinux (2016). “YUMI” (Versión 2.0.2.9) [Software para
generar pendrives booteables]. Cambridge, MA: Pendrivelinux.
Guidance Software (2014). Encase (Versión 7.09) [Software para
análisis forense]. Waterloo, CA: The Sleuth.

63