ESCUELA POLITÉCNICA NACIONAL

FACULTAD DE INGENIERÍA DE SISTEMAS

INVESTIGACIÓN FORENSE DE DISCOS DUROS VIRTUALES

PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN

SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN

OMAR ALEXANDER REINA FLORES

[email protected]

DIRECTOR: PATRICIO XAVIER ZAMBRANO RODRIGUEZ

[email protected]

Quito, Julio 2016

 DECLARACIÓN

Yo, Omar Alexander Reina Flores, declaro bajo juramento que el trabajo aquí
descrito es de mi autoría; que no ha sido previamente presentado para ningún
grado o calificación profesional; y, que he consultado las referencias bibliográficas
que se incluyen en este documento.

A través de la presente declaración cedo mis derechos de propiedad intelectual

correspondientes a este trabajo, a la Escuela Politécnica Nacional, según lo
establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la
normatividad institucional vigente.

Omar Alexander Reina Flores

 CERTIFICACIÓN

Certifico que el presente trabajo fue desarrollado por Omar Alexander Reina Flores,
bajo mi supervisión.

MSc. Patricio Zambrano

DIRECTOR DE PROYECTO
AGRADECIMIENTOS

A mi hermano, el cual me ha
acompañado en tiempos buenos y
malos desde que recuerdo,
compartiéndome su sabiduría y
cariño.

A mi padre, mi compañero diario, a

pesar de las malaventuras vividas no
retiró su confianza y apoyo en mí, sus
consejos y tiempo juntos fueron los
que me ayudaron a cumplir esta meta
y a la vez crecer como persona.
DEDICATORIA

A mi familia, cada uno tenía

expectativas puestas en mí, con esto
pueden saber que nunca los dejé de
lado y fueron el impulso para culminar
esta etapa de mi vida.

A mis padres, uno de sus propósitos

fue que mi hermano y yo lleguemos a
ser profesionales, mi padre
extendiendo el pensamiento de mi
madre puede decir que lo han logrado.

Una dedicatoria especial a mi madre,

a pesar de no poder compartir este
momento de felicidad, en su
compañía iniciamos con este sueño
que ahora se hace realidad.
 INDICE DE CONTENIDO
LISTA DE FIGURAS ....................................................................................................... viii

LISTA DE TABLAS ............................................................................................................ x

RESUMEN ........................................................................................................................ xi

1. CAPÍTULO I - PLANTEAMIENTO DEL PROBLEMA ................................................. 1

1.1. ANÁLISIS DIGITAL FORENSE........................................................................... 1

DEFINICION DEL ANÁLISIS DIGITAL FORENSE ...................................... 1

OBJETIVOS DEL ANÁLISIS DIGITAL FORENSE ....................................... 4

EVIDENCIA DIGITAL .................................................................................. 4

RECOLECCIÓN DE LA EVIDENCIA DIGITAL ............................................ 7

CADENA DE CUSTODIA ............................................................................ 9

METODOLOGÍA DE ANALISIS DIGITAL FORENSE .................................11

1.2. HERRAMIENTAS DE ANÁLISIS DIGITAL FORENSE .......................................12

FUNCIONALIDADES DE LAS HERRAMIENTAS DE ANÁLISIS DIGITAL

FORENSE ................................................................................................................12

CLASIFICACIÓN DE LAS HERRAMIENTAS DE ANÁLISIS DIGITAL

FORENSE ................................................................................................................13

HERRAMIENTAS PARA EL ANÁLISIS DIGITAL FORENSE ......................15

1.3. ANALISIS DIGITAL FORENSE APLICADO A UNIDADES DE

ALMACENAMIENTO VIRTUAL ....................................................................................17

VIRTUALIZACIÓN ......................................................................................17

1.4. INSTRUMENTOS LEGALES EN EL ECUADOR RELACIONADOS A LA

INFORMÁTICA FORENSE. .........................................................................................22

LEYES VIGENTES EN EL ECUADOR SOBRE APLICACIÓN DE LA

INFORMÁTICA FORENSE .......................................................................................22

PROCEDIMIENTO DE UNA INVESTIGACIÓN FORENSE POR PARTE DE

LA POLICIA NACIONAL ...........................................................................................26

PROCESOS LLEVADOS A CABO EN EL ECUADOR EN LOS ÚLTIMOS

AÑOS 27
2. CAPÍTULO II – ANÁLISIS DIGITAL FORENSE EN UNIDADES DE
ALMACENAMIENTO VIRTUAL .......................................................................................30

2.1. METODOLOGÍA DE ANÁLISIS DIGITAL FORENSE EN UNIDADES DE

ALMACENAMIENTO VIRTUAL. ...................................................................................30

2.1.1. ESTADO DEL ARTE DEL ANALISIS DIGITAL FORENSE EN

INFRAESTRUCTURAS VIRTUALIZADAS................................................................30

2.1.2. ESTÁNDARES PARA LA RECOLECCIÓN DE EVIDENCIAS ....................32

2.1.3. PLANTEAMIENTO DE METODOLOGÍA DE ANÁLISIS DIGITAL FORENSE

EN INFRAESTRUCTURAS VIRTUALIZADAS ..........................................................33

2.2. APLICACIÓN DE LA METODOLOGÍA PROPUESTA EN UN ENTORNO

VIRTUALIZADO ...........................................................................................................43

2.2.1. DESCRIPCIÓN DEL ESCENARIO DE PRUEBA ........................................43

2.2.2. APLICACIÓN DE LA METODOLOGÍA PROPUESTA.................................47

CAPITULO III – ANÁLISIS DE RESULTADOS ................................................................68

3.1. VOLATILIDAD DE LA EVIDENCIA DIGITAL EN ENTORNOS VIRTUALIZADOS.

68

3.2. PRESERVACIÓN DE LA EVIDENCIA DIGITAL EN ENTORNOS

VIRTUALIZADOS. ........................................................................................................70

3.3. APLICABILIDAD DE LAS HERRAMIENTAS ACTUALES EN LA

RECUPERACIÓN DE EVIDENCIA DE UN ENTORNO VIRTUAL. ...............................71

3.4. GARANTÍA DE LA CADENA DE CUSTODIA EN ENTORNOS VIRTUALIZADOS.

72

CONCLUSIONES ............................................................................................................75

RECOMENDACIONES ....................................................................................................77

BIBLIOGRAFÍA ................................................................................................................78

ANEXOS..........................................................................................................................83
 viii

LISTA DE FIGURAS

Figura 1: Crecimiento De La Evidencia Digital Vs Expertos En Investigación

Forense [2] ...................................................................................................... 2
Figura 2: Criterios De Admisibilidad De La Evidencia Digital ................................. 6
Figura 3: Metodología De Análisis Digital Forense [13] ........................................ 12
Figura 4: Dibs “Portable Evidence Recovery Unit” [20] ........................................ 14
Figura 5: Tipos De Hipervisores [28] .................................................................... 18
Figura 6: Delitos Informáticos - Fiscalía General Del Estado [32] ........................ 29
Figura 7: Metodología De Análisis Digital Forense Nist ....................................... 34
Figura 8: Metodología De Análisis Digital Forense Chfi V4 .................................. 35
Figura 9: Metodología De Análisis Forense En Entornos Virtuales ...................... 37
Figura 10: Propuesta De Metodología De Análisis Digital Forense ...................... 37
Figura 11: Diagrama De Flujo De La Metodología De Análisis Forense Propuesta
...................................................................................................................... 38
Figura 12: Esquema De Las Máquinas Utilizadas En La Implementación De La
Metodología Propuesta ................................................................................. 43
Figura 13: Esquema De La Aplicación De La Metodología Propuesta ................. 47
Figura 14: Proceso De Recolección De Memoria Ram Con Ftk Imager .............. 48
Figura 15: Propiedades Del Archivo De Memoria Ram Generado Por Ftk Imager
...................................................................................................................... 49
Figura 16: Restricción De Memoria Ram En Linux............................................... 49
Figura 17: Archivo Creado Por La Ejecución De Lime ......................................... 50
Figura 18: Archivos Contenidos En El Directorio De La Máquina Virtual Windows
...................................................................................................................... 51
Figura 19: Ejecución Del Comando Vmss2core Para Un Snapshot ..................... 52
Figura 20: Archivo Generado Por Vmss2core ...................................................... 52
Figura 21: Ejecución Del Comando Dumpvmcore................................................ 53
Figura 22: Estructura Del Archivo Elf64 Generado Por Dumpvmcore .................. 54
Figura 23: Configuración Previa A La Adquisición Del Disco Virtual .................... 55
Figura 24: Proceso De Copia Del Disco Virtual .................................................... 56
Figura 25: Verificación De Los Códigos Hash Del Archivo Original Y La Copia ... 56
 ix

Figura 26: Configuración Para Realizar Una Copia De Un Disco Virtual A Otro .. 57
Figura 27: Bloqueador Contra Escritura De Caine ............................................... 58
Figura 28: Verificación De Los Codigos Hash Del Disco Original Y La Copia
Obtenida Con Caine ...................................................................................... 58
Figura 29: Datos Capturados De La Memoria Ram De La Máquina Virtual
Windows........................................................................................................ 59
Figura 30: Ruta De Un Archivo Almacenda En Memoria Ram ............................. 60
Figura 31: Lista De Procesos De La Máquina Virtual Windows ........................... 61
Figura 32: Lista De Procesos De La Máquina Virtual Mac ................................... 62
Figura 33: Lista De Procesos De La Máquina Virtual Linux ................................. 63
Figura 34: Análisis De La Imagen Del Disco Virtual De Windows Con Ftk Imager
...................................................................................................................... 64
Figura 35: Archivos Borrados Encontrados En La Imagen Del Disco Virtual De
Windows Con Ftk Imager .............................................................................. 65
Figura 36: Análisis De La Imagen De Disco Virtual De Windows Con Autopsy ... 65
Figura 37: Archivos Borrados Encontrados En La Imagen Del Disco Virtual De
Windows Con Autopsy .................................................................................. 66
Figura 38: Línea De Tiempo De Archivos Presentada Por Autopsy ..................... 66
Figura 39: Linea De Tiempo De Archivos Con Mayor Detalle Presentada Por
Autopsy ......................................................................................................... 67
Figura 40: Esquema Del Análisis De Resultados ................................................. 68
Figura 41: Vista Del Administrador De Snapshots ............................................... 71
 x

LISTA DE TABLAS

Tabla 1: Herramientas Utilizadas En El Análisis Digital Forense.......................... 15

Tabla 2: Formatos De Discos Duros Virtuales...................................................... 19
Tabla 3: Tipos De Sistemas De Archivos [30] ...................................................... 21
Tabla 4: Características Del Equipo Anfitrión ....................................................... 44
Tabla 5: Características De La Máquina Virtual Windows .................................... 44
Tabla 6: Características De La Máquina Virtual Linux .......................................... 44
Tabla 7: Características De La Máquina Virtual Mac ........................................... 45
Tabla 8: Volatilidad De La Evidencia En Máquinas Virtuales ............................... 68
Tabla 9: Tamaño De Archivos De Discos Virtuales Generados Por Snapshots ... 70
Tabla 10: Resultados De Archivos Sobrescritos Y Recuperados ......................... 72
Tabla 11: Verificación De Códigos Hash De Discos Virtuales Y Memoria Ram De
Windows........................................................................................................ 74
 xi

RESUMEN

El estudio realizado se desarrolló en el campo de la informática forense en

infraestructuras virtualizadas, específicamente en sus unidades de
almacenamiento.

Inicialmente se realizó el planteamiento del problema en donde se estudió la

definición de la informática forense, su importancia, sus usos y aplicaciones, las
leyes vigentes en el Ecuador relacionadas a delitos informáticos, y cómo los ítems
mencionados son tomados en cuenta al realizar un análisis digital forense en
unidades de almacenamiento virtual.

Posterior al planteamiento del problema se realizó un estudio del estado del arte
del análisis digital forense y las metodologías utilizadas al momento, también de los
estándares referentes a la informática forense. Tras concluir el estudio se desarrolló
una propuesta de metodología de análisis digital forense, en donde a diferencia del
modelo tradicional se tomó en cuenta a las máquinas virtuales y sus unidades de
almacenamiento.

Finalmente se procedió a plantear un entorno de pruebas donde se pudo aplicar la

metodología propuesta y consecuentemente obtener resultados que fueron
analizados por categorías aplicadas a entornos virtuales.
 1

CAPÍTULO I - PLANTEAMIENTO DEL PROBLEMA

1.1. ANÁLISIS DIGITAL FORENSE
DEFINICION DEL ANÁLISIS DIGITAL FORENSE
 Historia del Análisis Digital Forense

El análisis digital forense de una manera general, es definido como un proceso

metodológico para la recolección y análisis de los datos digitales de un sistema de
archivos específico, con fines de argumentación y procesamiento legal. [1]

Los elementos utilizados como evidencia dentro del análisis digital forense, a través
del tiempo han ido tomando una forma más clara acerca de su utilidad y
participación en procesos legales, los datos obtenidos admitidos como evidencia,
deben tener el valor suficiente para ayudar en la toma de decisiones del caso.

El FBI1, a comienzos de los años 90 se dio cuenta de la importancia que llegaría a

tener con el tiempo la evidencia digital, de alguna manera ésta llegaría a obtener
valor para combatir el delito informático, como lo ha hecho la identificación por ADN.
A finales de los años 90 se crea la IOCE2 con el propósito de compartir información
acerca de la evidencia digital, así como el establecimiento de principios y prácticas
relacionadas en el análisis digital forense; En Octubre de 1999 se publica un
documento que contiene todo lo conocido hasta el momento respecto de la
evidencia digital que actualmente se encuentra publicado en la página web del FBI.
[2]

Al tener conocimiento de la importancia de la evidencia digital en los procesos

judiciales, organizaciones relacionadas con delitos informáticos como la IOCE,
SWGDE (Scientific Working Group on Digital Evidence), The High Tech Crime,
ACPO (Association of Chief Police Officers), se aprueban los principios básicos
relacionados con la evidencia digital. [1]

1 FBI: Federal Bureau of Investigation – Oficina Federal de Investigaciones

2 IOCE: International Organization of Computer Evidence
 2

¿Por qué es necesario el análisis digital forense?

Existe un gran número de tecnologías de la información que permiten la

transferencia de conocimiento, almacenamiento, procesamiento de datos, etc. El
análisis de ésta información demanda de un alto conocimiento técnico e
investigación (Figura 1), en la actualidad se tiene mayor cantidad de evidencia
digital por ser analizada y un menor número de profesionales en este campo para
realizar esta tarea, el análisis puede ser llevado con la simple ejecución de
herramientas, pero hace falta una persona capacitada la cual discrimine cantidades
de información y rescate datos de utilidad en una investigación.

Figura 1: Crecimiento de la Evidencia Digital vs Expertos en Investigación Forense [2]

El análisis digital forense, permite responder a varias interrogantes ante un

incidente. ¿Quién? ¿Cuándo? ¿Cómo? ¿Dónde? ¿Para Qué? ¿Por Qué? Razón
por la cual el campo de la informática forense es utilizado como una herramienta
para combatir la ciberdelincuencia, adquiriendo gran importancia dentro del marco
legal, cuyos resultados ayudarán a confirmar o no una hipótesis planteada. [3]

 Definición del Análisis Digital Forense

En el estado del arte el análisis digital forense, es definido desde varios puntos de
vista mismos detallados a continuación:
 3

“Es el uso de métodos científicamente derivados y comprobados para la

identificación, preservación, recolección, validación, análisis, interpretación,
documentación y presentación de evidencia digital derivada de fuentes digitales con
el fin de facilitar o promover la reconstrucción de los hechos encontrados como
criminales, o ayudar en anticipar acciones no autorizadas mostradas como
perjudiciales para las operaciones planificadas.” [4]

El análisis digital forense también es descrito alternativamente como un arte y una

ciencia, debido a que el investigador actúa como un arqueólogo digital, y en
ocasiones como un geólogo digital. [4]

Es necesario mencionar, que el análisis digital forense no solo tiene como objetivos
obtener evidencia digital o aplicar metodologías para análisis, sino que tiene que
ver con todo el proceso que forma parte de un incidente desde el inicio de la
investigación hasta la presentación de resultados.

 Aplicaciones del Análisis Digital Forense

El análisis digital forense, puede ser aplicado en diferentes circunstancias lo más

común es utilizarlo en procesos judiciales, su aplicación se puede ver en otros
casos, tales como: [1]

a. Prosecución Criminal: Evidencia incriminatoria obtenida mediante el análisis

digital forense utilizada para procesar una variedad de crímenes.
b. Litigación Civil: El análisis digital forense también ayuda en casos
relacionados con fraude, discriminación, acoso, divorcio.
c. Investigación de Seguros: La evidencia encontrada en equipos informáticos
puede ayudar a las compañías de seguros a disminuir los costos de los
reclamos por accidentes y compensaciones.
d. Temas Corporativos: Los resultados encontrados al realizar un análisis
pueden ser relacionados con acoso sexual, robo, mal uso o apropiación de
información confidencial e incluso espionaje industrial.
 4

e. Mantenimiento de la Ley: El análisis digital forense puede ser usado en la

búsqueda inicial de órdenes judiciales, y también en la búsqueda de
información una vez se tiene la orden judicial para hacer una búsqueda
exhaustiva.

OBJETIVOS DEL ANÁLISIS DIGITAL FORENSE

a) Compensar daños causados por los criminales o intrusos que irrumpen en

un sistema informático. [1]
b) Perseguir y realizar el procesamiento judicial de los criminales implicados.
[1]
c) Crear y aplicar medidas para prevenir casos similares. [1]

El cumplimiento de estos objetivos se los puede lograr de diferentes maneras, por

ejemplo: mediante la recolección de evidencia digital, la cual aporta con información
para obtener conclusiones dentro de un caso, por tanto el objetivo primordial está
dirigido a demostrar un hecho.

EVIDENCIA DIGITAL

La evidencia digital, es el instrumento principal que un investigador utiliza para

realizar la investigación y tomar decisiones, esta es definida como “cualquier dato
que puede establecer que un crimen se ha ejecutado y puede proporcionar un
vínculo entre un crimen y su víctima o un crimen y su autor”. [5]

 Clasificación de la Evidencia Digital

En el caso de realizar un análisis digital forense, los datos deberán ser obtenidos
del equipo afectado directamente, en éste se podrán evidenciar registros generados
y almacenados por el o los sistemas que formen parte del dispositivo, y estos a su
vez pueden ser utilizados como evidencia en un proceso legal. [6] [7]

Se puede categorizar a la evidencia digital de la siguiente manera: [8]

 5

a) Registros generados por computador: este tipo de registros como su nombre

lo indica son creados como efecto de la programación de un computador,
este tipo de registro es inalterable por una persona. Son también llamados
registros de eventos de seguridad (logs3), su utilidad es la de demostrar el
correcto funcionamiento de un sistema o computador.
b) Registros almacenados por computador (no generados): son registros que
son generados por una persona y posteriormente almacenados en un
computador, por ejemplo documentos generados con un procesador de
palabras, correos electrónicos entre otros. En estos registros lo importante
es demostrar la identidad de la persona que generó los registros, con la
finalidad de probar hechos o afirmaciones contenidas en la evidencia.
c) Registros híbridos, incluyen registros generados como registros
almacenados: este tipo de registros combinan la participación de una
persona y los antes mencionados logs, para que estos registros sean válidos
como pruebas deben ser parte de las categorías enunciadas anteriormente.

 Criterios de Admisibilidad

En la actualidad son cuatro los criterios que se deben tener en cuenta al momento
de decidir sobre la admisibilidad de la evidencia digital, estos criterios son
mencionados en la Figura 2. [8] [9] [10]

3 Los archivos de log son archivos que contienen mensajes sobre el sistema, incluyendo el kernel,
los servicios y las aplicaciones que se ejecutan en dicho sistema
 6

Autenticidad

Confiabilidad

Criterios de Admisibilidad

Suficiencia

Conformidad Con Leyes y

Reglas del Poder Judicial

Figura 2: Criterios de Admisibilidad de la Evidencia Digital

Autenticidad: para que la evidencia digital sea autentica debe cumplir las siguientes
características:

 Demostrar que la evidencia ha sido generada y registrada en el lugar de

los hechos.
 La evidencia digital debe mostrar que los medios originales no han sido
modificados, esto quiere decir que los registros corresponden
efectivamente a la realidad y que son un fiel reflejo o copia de la misma.

En comparación con los medios no digitales, los digitales presentan gran volatilidad
y alta capacidad de manipulación, debido a esto es importante verificar la
autenticidad de las pruebas digitales obtenidas, contrario a lo que se puede ver en
medios no digitales los cuales son aceptados como pruebas sin ser objetados.

Confiabilidad: este criterio establece si las pruebas obtenidas provienen de fuentes

creíbles y verificables. Esto con el objetivo de responder preguntas con respecto a
la forma en que fueron recolectados, identificados y verificados los registros. “La
confiabilidad de la evidencia está en función de la manera en que se sincronice el
 7

registro de las acciones efectuadas por los usuarios y un registro íntegro de los
mismos” [10]

Completitud o Suficiencia: hace referencia a que la evidencia obtenida sea la

necesaria para que esta pueda ser utilizada y no queden espacios por cubrir, es un
factor importante al momento de seguir procesos judiciales.

Conformidad con las leyes y reglas del poder judicial: el último criterio con respecto
a la evidencia digital tiene que ver con los procedimientos internacionalmente
aceptados para recolección, aseguramiento, análisis y reporte de la evidencia
digital, se pueden mencionar varias iniciativas en el campo internacional para
aportar una prueba a un proceso: El documento Digital Evidence: Standards and
Principles publicado por la IOCE4 en conjunto con el SWGDE5, la Convención de
Cybercrimen expuesta por la Comunidad Europea, el Digital Forensic Research
Workshop-DFRWS 2001, entre otros.

RECOLECCIÓN DE LA EVIDENCIA DIGITAL

En cualquier acontecimiento, sea éste un accidente, delito, desastre natural, etc.

Se evidencian vestigios en el lugar de los hechos. En el caso particular de la
informática forense se recaba cualquier dispositivo electrónico que permita
evidenciar información en memoria para a posteriori analizar correctamente los
datos. En el proceso de recolección de evidencia digital se puede encontrar dos
estados de los dispositivos a ser analizados, estos estados son: “vivos” y “muertos”,
nombres que hacen referencia a un sistema informático cuando se encuentra
encendido o apagado respectivamente. Individualmente el análisis de cada estado
tiene sus pros y contras al momento de realizar la recolección de evidencias, esto
tomando en cuenta el cuestionamiento de ¿Qué tan peligroso es mantener el
equipo encendido? [11] [12]

4 International Organization on Computer Evidence

5 Scientific Working Group on Digital Evidence
 8

 Sistemas Vivos

Un sistema vivo: es aquel que se encuentra en estado de ejecución manteniendo

todas sus conexiones y procesos activos. Mientras se pueda mantener “vivo” el
sistema es importante recopilar toda la evidencia posible siguiendo un orden de
volatilidad, como el especificado en el RFC3227 “Directrices para la recolección de
evidencias y su almacenamiento” [13]
De acuerdo al tiempo de disponibilidad de la información con respecto a la
volatilidad se puede mencionar el siguiente orden:

 Registros y contenido de la memoria caché.

 Tabla de enrutamiento, caché ARP, tabla de procesos, estadísticas del
kernel, memoria.
 Información temporal del sistema.
 Disco
 Logs del sistema.
 Configuración física y topología de la red.
 Documentos.

Como se pueden observar los lugares donde se puede obtener información de un

sistema “vivo” son varios, es por esto que en ocasiones no se puede terminar de
recopilar toda la información pero en el caso que sea posible, el RFC3227 menciona
acciones que deben evitarse como son:

 No apagar el computador hasta que se haya recopilado toda la

información necesaria.
 No se debe confiar en información generada por programas que se hayan
visto comprometidos en un incidente, en razón de que estos pueden
haber sido alterados. Para realizar este tipo de recolección se deben
utilizar herramientas externas.
 La fecha y hora de algún suceso es importante para una investigación,
motivo por el cual al momento de realizar la recolección de evidencias no
se deben ejecutar programas que alteren estos parámetros.
 9

 Sistemas Muertos

Un sistema “muerto”: es aquel que ha sido desconectado de su fuente de energía

y de otro tipo de conexión. En ocasiones, al momento de recolectar evidencias es
mejor optar por esta opción, esto es, apagar el equipo, ya que la información que
se encuentra en el equipo informático puede verse comprometida, por ejemplo, en
el caso de que una persona no autorizada esté controlando el sistema
remotamente, esta puede ejecutar acciones evasivas para no ser detectada o en
un peor escenario tomar acciones destructivas eliminando toda la información
contenida en el equipo.
Al ser desconectado el equipo de la fuente de energía, la información volátil ya no
es prioridad, por tanto se debe continuar con los siguientes medios de
almacenamiento, en este caso el disco duro será la fuente de información principal
a ser analizado.

 Información Complementaria

Otra fuente de evidencias es la información complementaria, que específicamente

tiene que ver con los registros almacenados en el equipo informático, los cuales
tienen atributos de interés para el investigador.
Estos registros pueden proceder de diferentes lugares como: aplicaciones,
seguridad, configuración, sistema operativo, entre otros. [14]

CADENA DE CUSTODIA

La evidencia recolectada de un sistema informático que se ha visto comprometido

por un incidente debe ser confiable y así convertirse en ayuda para las personas
que tomarán decisiones sobre el caso. Se puede definir a la cadena de custodia
como una secuencia de actos llevados a cabo por el investigador o su encargado,
mediante los cuales la evidencia u otro instrumento relacionado con la investigación
es asegurado, trasladado, y almacenado para evitar que se destruyan, se alteren o
se pierdan. La cadena de custodia debe ser observada, mantenida y documentada
 10

con el propósito de entregar a la autoridad competente. Ejemplo: en un proceso

judicial al juez encargado. [15] [5]

 Cadena de Custodia en Procesos Judiciales

La cadena de custodia está directamente relacionada con la evidencia que se

encuentra en un hecho delictivo, motivo por el cual es tratada por los encargados
de administrar justicia en busca de asegurar la integridad y esterilidad técnica en la
administración de la misma, evitando alteraciones, sustituciones, contaminaciones
o destrucciones, hasta su disposición definitiva por orden judicial.
En la obtención de evidencia, es necesario mantener un riguroso y detallado
registro, que identifique la evidencia y sus poseedores, la interacción posterior que
tendrá la misma y su depósito (judicial o no). [16]

 Protocolo Para la Cadena de Custodia

Anteriormente se describió a la cadena de custodia, como una secuencia de actos

con los cuales se asegura que la evidencia no sea alterada bajo ningún concepto,
esto puede variar dependiendo del caso que se esté analizando, a continuación se
describen los pasos a seguir en un análisis informático forense propuestos por la
Fiscalía General del Estado.

 Cadena de Custodia y la Fiscalía General del Estado

En la página web de la Fiscalía General del Estado, según la resolución No.073-

FGE-2014, emitida en el año 2014, se presentan manuales, protocolos, instructivos
acerca de medicina legal y ciencias forenses, dentro de esta sección se tiene el
área de Cadena de Custodia y de interés el “Instructivo para el manejo de indicios
y/o evidencia digital”. [17]

Este instructivo se divide en las siguientes secciones:

 11

1. Propósito
En el cual se especifica el objetivo fundamental del documento, el cual
tiene relación con los procedimientos técnicos-científicos que se deben
llevar en la cadena de custodia.

2. Responsabilidad
Determina la responsabilidad que tiene el investigador a cargo de un
caso, en el momento de aplicar los procedimientos correctos para iniciar
con la cadena de custodia.

3. Actividades
Se consideran los siguientes escenarios para dispositivos y equipos
informáticos:
i. Fijación Digital de los dispositivos y equipos informáticos en
funcionamiento:
Tiene que ver con el estado inicial del equipo, plaquetas de
identificación técnicas, adquisición de información al medio externo
para su conservación e inicio de la cadena de custodia.
ii. Fijación Digital de los dispositivos y equipos informáticos que se
encuentren apagados:
Está directamente relacionada con la identificación del equipo
informático, plaquetas de identificación técnicas, fijación del indicio e
inicio de la cadena de custodia.

METODOLOGÍA DE ANALISIS DIGITAL FORENSE

El análisis digital forense, es una composición de pasos a seguir los cuales en su

totalidad generan resultados de valor que pueden ser usados en procedimientos
judiciales, para esto es necesario definir un procedimiento a ser ejecutado y, que
tenga como objetivos principales el manejo y análisis de la evidencia obtenida.
La figura 3, indica los pasos más comunes de la metodología de un análisis digital
forense, se mencionan como los más comunes porque pueden aumentar o
disminuir, según el caso donde se vaya a aplicar.
 12

Preservación Adquisición Análisis Documentación Presentación

Figura 3: Metodología de Análisis Digital Forense [13]

1.2. HERRAMIENTAS DE ANÁLISIS DIGITAL FORENSE

Con el crecimiento de la investigación forense, las herramientas usadas para este

fin también se han desarrollado y perfeccionado pero de forma dispersa, las
herramientas disponibles existentes en el medio cumplen funciones específicas,
que en ocasiones limitan las investigaciones y, que a su vez consumen tiempo y
recursos. Es necesario señalar que se pueden encontrar herramientas que
disponen de gran variedad de funcionalidades pero, que por su complejidad de uso
se vuelven difíciles de manejar por el investigador. [18]

FUNCIONALIDADES DE LAS HERRAMIENTAS DE ANÁLISIS

DIGITAL FORENSE

Las herramientas son variadas, cada una de ellas con un objetivo de

descubrimiento diferente, al momento de realizar una investigación de este tipo es
importante conocer ¿Qué tipo de herramientas se van a usar? Según costos,
objetivos, u otros aspectos relevantes, por tanto la herramienta más importante que
se puede tener es el propio investigador, el cual después de realizar un análisis
previo concluye cuál es su mejor opción al momento de realizar la práctica. [19]

Las herramientas pueden tener diferentes funcionalidades, entre las cuales se

detallan las siguientes: [12]

 Análisis de archivos, permite la navegación por las imágenes obtenidas

desde un medio seguro mostrando sus archivos, atributos y extensiones.
 Búsqueda por palabra clave, devuelve archivos encontrados o cualquier otra
referencia que se pase como argumento.
 13

 Búsqueda de datos ocultos en el sistema operativo, además de flujos de

datos ocultos los cuales no pueden ser encontrados por herramientas
normales ya que su trabajo es el de ocultar software o datos dañinos.
 Mostrar detalles de la imagen, muestra un detalle de la imagen que se quiere
analizar permitiendo saber dónde se encuentran los archivos dentro de la
misma.
 Análisis de metadatos, permite ver elementos del sistema que generalmente
no pueden ser vistos, referencias a directorios o archivos eliminados.
 Recuperación de datos de particiones dañadas.
 Comprobar la existencia de virus o malware desde un entorno confiable.

CLASIFICACIÓN DE LAS HERRAMIENTAS DE ANÁLISIS DIGITAL

FORENSE

Las herramientas usadas no se limitan a una sola categoría que permita analizar
pruebas obtenidas de un equipo informático, pueden haber más hechos en la
escena que conduzcan al investigador hacia un culpable, de esta manera se puede
dividir a las herramientas de investigación forense en: [1]

 Herramientas para la Recolección de Evidencia

Su uso es necesario bajo los siguientes aspectos:

 La gran cantidad de datos que puede tener almacenado un equipo

informático.
 Los tipos de archivos que pueden estar almacenados que pueden variar
inclusive dentro del mismo sistema operativo.
 El requerimiento de recopilar información de una manera precisa y permita
verificar que la copia obtenida es exacta.
 Limitaciones de tiempo para analizar toda la información.
 Facilidad que se tiene para eliminar archivos de los sistemas.
 Mecanismos de encriptación en archivos, o uso de contraseñas.
 14

 Herramientas para el Monitoreo y/o Control de Computadores

Los registros generados o no por computador son un tipo de evidencia, por esto en
ocasiones se puede usar esta información obtenida de herramientas que
monitorean el uso de un equipo. Programas como key loggers o recolectores de
pulsaciones de teclado forman parte de este grupo ya que almacenan información
sobre las teclas usadas, y otros que a más de esto pueden almacenar imágenes de
la pantalla que se encuentra al momento en uso, o casos donde la maquina es
controlada remotamente.

 Herramientas de Hardware

La evidencia obtenida en una investigación debe ser precisa sin ningún tipo de
modificación o alteración, es por esto que se han diseñado también herramientas
propietarias de hardware y software especializado como DIBS® RAID - Rapid
Action Imaging Device mostrado en la Figura 4, este tipo de herramientas muestran
ventajas con respecto a la velocidad de copia de evidencias e incluso tienen
integradas un módulo de bloqueo de escritura para el disco original.

Figura 4: DIBS “Portable Evidence Recovery Unit” [20]

 15

HERRAMIENTAS PARA EL ANÁLISIS DIGITAL FORENSE

Existe una larga lista de herramientas disponibles por lo que a continuación se

muestran algunas y en las siguientes secciones se detallan las más utilizadas por
investigadores forenses.

Sleuth Kit (Forensics Kit) Helix

Py-Flag (Forensics Browser) Snort
Qtparted (GUI Partitioning Tool) Encase
Regviewer (Windows Registry) Faces
NTFS-Tools Net resident
Cryptcat (Command Line) R-Studio RS Agent
Netcat (Command Line) R-Studio Network Edtion
Md5deep (MD5 Hashing Program) R-Studio Emergency (Bootable
Recovery media Maker)
Air (Forensics Imaging GUI) X-Ways Forensics
Foremost (Data Carver command line X-Ways WinHex
tool)
Dcfldd (DD Imaging Tool command line X-Ways WinTrace
tool and also works with AIR)
Autopsy (Forensics Browser for Sleuth Viewer
Kit)
Tabla 1: Herramientas Utilizadas en el Análisis Digital Forense

 Herramientas de Libre Distribución y Open Source

Forensic ToolKit 2.0

Herramientas para ayudar a examinar sistemas de archivos NTFS en busca de

actividades no autorizadas.
Forensic ToolKit contiene varias herramientas de línea de comandos de Win32 que
pueden ayudarle a examinar los archivos en una partición de disco NTFS en busca
de actividades no autorizadas. [21]
 16

The Sleuth Kit y Autopsy

Autopsy® es una plataforma de análisis forense digital e interfaz gráfica de El Sleuth

Kit® y otras herramientas forenses digitales. Es utilizado por las fuerzas del orden,
los militares y los examinadores corporativos para investigar lo que ocurrió en una
computadora. Puede ser utilizado incluso para recuperar imágenes perdidas de la
memoria de una cámara fotográfica. [22]

Helix

Helix dispone de diferentes distribuciones según las necesidades del usuario en

algunas de ellas con un costo, pero en su versión original sigue estando disponible
gratis y puede ser descargada desde su página web Helix3. [23]
Sus distribuciones son:
 Helix3 Enterprise
 Live Response
 Helix3 (Original)
 Helix3 Pro

 Herramientas Comerciales
EnCase

EnCase® Forensic es una plataforma propietaria de investigación forense, está

destinada a profesionales desarrollados en el campo forense que deben realizar
una recolección eficaz de evidencias válidas a efectos legales e investigaciones
mediante el uso de un proceso defendible y repetible. EnCase Forensic ha sido
probada mostrando características de confiabilidad que permite a los examinadores
adquirir datos de una amplia gama de dispositivos, cubriendo el proceso hasta la
presentación de resultados. [24]
 17

1.3. ANALISIS DIGITAL FORENSE APLICADO A UNIDADES

DE ALMACENAMIENTO VIRTUAL

Si un equipo informático (físico) se encuentra comprometido por alguna intrusión,

basta con realizar un análisis forense tradicional sobre el mismo, pero, ¿qué ocurre
en un entorno virtualizado? Si una máquina virtual se encuentra comprometida,
potencialmente también lo están las máquinas que forman parte de la red física o
virtual.
El análisis forense tradicional se realiza analizando la memoria RAM y el disco duro
del equipo para tener una idea de qué fue lo que pasó en el sistema, pasando este
escenario a un entorno virtualizado se puede ver una diferencia, ya que cada
máquina virtual tiene su propia memoria RAM y disco duro, los cuales son
representados como un solo archivo contenido en el sistema anfitrión (físico). Es
por esto que es necesario conocer cómo actuar ante casos como estos, y además,
saber si se pueden utilizar las mismas técnicas de análisis forense tradicional en
entornos virtualizados. [25]

VIRTUALIZACIÓN

La virtualización es una estrategia para desplegar los recursos de un computador

en diferentes capas aisladas, hardware, software, datos, red, almacenamiento.
Dentro de un equipo informático se habla de la capa de virtualización la cual es
creada por software y que se sitúa entre el hardware y los sistemas operativos. Esta
capa permite a múltiples instancias de sistemas operativos correr de manera
concurrente dentro de las máquinas virtuales en un único servidor físico,
garantizando la compartición de los recursos del equipo como son dispositivos de
almacenamiento, entrada/salida, CPU y memoria. [26]

Los conceptos que se deben tener claros con respecto a la virtualización son acerca
del sistema operativo invitado, el cual es el que se instala y se ejecuta en una
máquina virtual, y el sistema operativo anfitrión, el cual corresponde a la máquina
física [27]
 18

 Hipervisor

Para facilitar la virtualización es usado un hipervisor, el cual controla el acceso a

los recursos de la máquina física por el sistema operativo invitado.

Un hipervisor es un software el cual administra múltiples sistemas operativos (o

múltiples instancias del mismo sistema operativo) en un solo sistema de
computación, los hipervisores son diseñados para arquitecturas de procesador
particulares y también son llamados administradores de virtualización. Los
hipervisores son clasificados en 2 arquitecturas principales y su estructura puede
ser observada en la Figura 5: [25]

 Arquitectura Hospedada, este tipo de arquitectura instala la capa de

virtualización como una aplicación más sobre el sistema operativo que
soporta un amplio rango de configuraciones de hardware.
 Arquitectura Nativa (Bare-metal), este tipo de arquitectura es instalada
directamente sobre el hardware, por lo cual tiene acceso directo a los
recursos del equipo, esta es más eficiente que la arquitectura hospedada.

Figura 5: Tipos de Hipervisores [28]

 19

 Discos Duros Virtuales

Un disco duro virtual dentro de un disco duro físico es un archivo más con extensión
de tipo vhd, vmdk, vdi, hdd, dependiendo del programa de virtualización que se esté
utilizando.

Tipos de archivos de discos duros generados por sistemas de virtualización

Según la herramienta de virtualización que se esté utilizando al momento de crear

una máquina virtual, esta le da al usuario la opción de escoger qué tipo de archivo
de disco duro se va a utilizar, es necesario conocer estos tipos de archivos ya que
estarán presentes cuando se realice un análisis digital forense en entornos
virtuales. Los siguientes son los tipos de archivos más utilizados en discos duros
virtuales: [28]

Nombre Herramienta Extensión

VHD (Virtual Hard Disk) Productos Virtual PC de .vhd
Microsoft o XenServer de Citrix
VMDK (Virtual Machine Productos de VMware, .vmdk
Disk)
VDI (Virtual Disk Image) Productos Oracle VM VirtualBox .vdi
HDD (Hard Disk Drive) Productos de Parallels Desktop .hdd
Tabla 2: Formatos de Discos Duros Virtuales

Almacenamiento en la unidad de disco duro físico

Al crear una máquina virtual la herramienta de virtualización utilizada puede dar a

escoger la forma en la que el disco virtual será creado en el disco físico, cada una
con alguna particularidad y debe ser seleccionada de acuerdo al uso que el usuario
le dará a la máquina virtual. Las siguientes son las formas de almacenamiento más
comunes: [28]
 20

 Almacenamiento de tamaño fijo, este tipo de disco es creado en un solo

archivo su rendimiento es mejor en comparación al de tamaño dinámico ya
que se asigna todo el espacio de almacenamiento al crear la máquina
virtual, teniendo como requisito previo el espacio deseado disponible en el
disco duro físico.
 Almacenamiento de tamaño dinámico, es una forma de almacenamiento
más flexible ya que el disco duro creado tiene un tamaño mínimo y va
creciendo según se realicen escrituras en la máquina virtual, hasta alcanzar
el tamaño máximo con el que fue configurado. Es muy útil en casos en los
que no se dispone de espacio de almacenamiento en el disco duro físico.

 Sistemas De Archivos

El sistema de archivos se encuentra ligado al sistema operativo que se está

utilizando, es por esto que es necesario estudiarlos para así conocer si sus
características y forma de trabajo tienen algún tipo de implicación al ser utilizados
en máquinas virtuales, que afecten al análisis digital forense en las mismas.

¿Qué es un sistema de archivos?

“Un sistema de archivos son los métodos y estructuras de datos que un sistema
operativo utiliza para seguir la pista de los archivos de un disco o partición; es decir,
es la manera en la que se organizan los archivos en el disco” [29], con esto
sabemos cuál es el trabajo realizado por el sistema de archivos. En el medio
informático se tiene una gran variedad de sistemas operativos y de igual manera
sistemas de archivos, a continuación se mencionan los más utilizados y que
además serán analizados en la sección práctica.
 21

SISTEMA DE DESCRIPCION SISTEMAS OPERATIVOS

ARCHIVOS
NTFS New Technology File Windows 2000, Windows XP,
System Windows Server 2003, Windows
Vista, Windows Server 2008,
Windows 7, Windows 8, Windows
8.1, Windows 10.
EXT4 Fourth Extended Linux
Filesystem
HFS+ Hierarchical File System Mac OS 8, Mac OS 9, Mac OS X,
Plus Darwin
Tabla 3: Tipos de Sistemas de Archivos [30]

 Beneficios y Costos de la Virtualización

El uso de un entorno virtualizado tiene beneficios que pueden ser apreciados por
los usuarios, a continuación se muestran algunos de estos: [25]

 Con respecto al ámbito económico, reduciendo el número de máquinas

físicas requeridas dentro de un entorno.
 Recuperación eficaz ante desastres, y una mejor administración de recursos.
 Las máquinas virtuales consisten enteramente de software, por lo que su
transporte hacia otro sitio puede ser realizado como si se transmitiera un
archivo de datos.
 Puede ser usado por los investigadores forenses para analizar la evidencia
obtenida de un caso.

Además de beneficios ofrecidos por la virtualización se tienen costos (contras), a

continuación se muestran algunos de estos: [25]

 Con respecto a la seguridad, si una máquina virtual se ve comprometida un

intruso puede obtener control de todos los sistemas operativos invitados.
 22

 Un entorno virtualizado necesita una consideración especial al implementar

aplicaciones financieras en alojamiento compartido virtualizado, y seguridad
en tecnologías de almacenamiento en red.
Las máquinas virtuales creadas de forma no autorizada en una empresa, pueden
ser utilizadas para la ejecución de software malicioso el cual dañe al resto de
equipos conectados a la red física y virtual, además, dichas máquinas virtuales
pueden ser utilizadas como equipos para la realización de fraudes por una persona.

1.4. INSTRUMENTOS LEGALES EN EL ECUADOR

RELACIONADOS A LA INFORMÁTICA FORENSE.
LEYES VIGENTES EN EL ECUADOR SOBRE APLICACIÓN DE LA
INFORMÁTICA FORENSE

La informática forense apoya a la conclusión de un proceso judicial demostrando la

inocencia o culpabilidad de una persona implicada en un delito, donde un equipo
informático u otro dispositivo electrónico es la fuente principal de evidencias. Para
combatir este tipo de delitos entra en vigencia el COIP (Código Orgánico Integral
Penal) el 10 de agosto del 2014 donde se sancionan estos delitos rigurosamente.
El comportamiento acerca delos delitos informáticos se puede apreciar en la Figura
6.

En el COIP existen varios artículos sobre delitos que tienen que ver con el uso de
equipos informáticos y medios electrónicos, en la sección “Delitos contra la
seguridad de los activos de los sistemas de información y comunicación” se
encuentran los artículos sobre delitos informáticos:

Artículo 229.- “Revelación ilegal de base de datos.- La persona que, en provecho

propio o de un tercero, revele información registrada, contenida en ficheros,
archivos, bases de datos o medios semejantes, a través o dirigidas a un sistema
electrónico, informático, telemático o de telecomunicaciones; materializando
voluntaria e intencionalmente la violación del secreto, la intimidad y la privacidad de
las personas, será sancionada con pena privativa de libertad de uno a tres años. Si
esta conducta se comete por una o un servidor público, empleadas o empleados
 23

bancarios internos o de instituciones de la economía popular y solidaria que realicen

intermediación financiera o contratistas, será sancionada con pena privativa de
libertad de tres a cinco años.”

Artículo 230.- “Interceptación ilegal de datos.- Será sancionada con pena privativa
de libertad de tres a cinco años:
1. La persona que sin orden judicial previa, en provecho propio o de un tercero,
intercepte, escuche, desvíe, grabe u observe, en cualquier forma un dato
informático en su origen, destino o en el interior de un sistema informático,
una señal o una transmisión de datos o señales con la finalidad de obtener
información registrada o disponible.
2. La persona que diseñe, desarrolle, venda, ejecute, programe o envíe
mensajes, certificados de seguridad o páginas electrónicas, enlaces o
ventanas emergentes o modifique el sistema de resolución de nombres de
dominio de un servicio financiero o pago electrónico u otro sitio personal o
de confianza, de tal manera que induzca a una persona a ingresar a una
dirección o sitio de internet diferente a la que quiere acceder.
3. La persona que a través de cualquier medio copie, clone o comercialice
información contenida en las bandas magnéticas, chips u otro dispositivo
electrónico que esté soportada en las tarjetas de crédito, débito, pago o
similares.
4. La persona que produzca, fabrique, distribuya, posea o facilite materiales,
dispositivos electrónicos o sistemas informáticos destinados a la comisión
del delito descrito en el inciso anterior.”

Artículo 231.- “Transferencia electrónica de activo patrimonial.- La persona que,

con ánimo de lucro, altere, manipule o modifique el funcionamiento de programa o
sistema informático o telemático o mensaje de datos, para procurarse la
transferencia o apropiación no consentida de un activo patrimonial de otra persona
en perjuicio de esta o de un tercero, será sancionada con pena privativa de libertad
de tres a cinco años. Con igual pena, será sancionada la persona que facilite o
proporcione datos de su cuenta bancaria con la intención de obtener, recibir o captar
de forma ilegítima un activo patrimonial a través de una transferencia electrónica
producto de este delito para sí mismo o para otra persona.”
 24

Artículo 232.- “Ataque a la integridad de sistemas informáticos.- La persona que

destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause mal funcionamiento,
comportamiento no deseado o suprima datos informáticos, mensajes de correo
electrónico, de sistemas de tratamiento de información, telemático o de
telecomunicaciones a todo o partes de sus componentes lógicos que lo rigen, será
sancionada con pena privativa de libertad de tres a cinco años. Con igual pena será
sancionada la persona que:
1. Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute, venda o
distribuya de cualquier manera, dispositivos o programas informáticos
maliciosos o programas destinados a causar los efectos señalados en el
primer inciso de este artículo.
2. Destruya o altere sin la autorización de su titular, la infraestructura
tecnológica necesaria para la transmisión, recepción o procesamiento de
información en general. Si la infracción se comete sobre bienes informáticos
destinados a la prestación de un servicio público o vinculado con la
seguridad ciudadana, la pena será de cinco a siete años de privación de
libertad.”

Artículo 233.- “Delitos contra la información pública reservada legalmente.- La

persona que destruya o inutilice información clasificada de conformidad con la Ley,
será sancionada con pena privativa de libertad de cinco a siete años. La o el servidor
público que, utilizando cualquier medio electrónico o informático, obtenga este tipo
de información, será sancionado con pena privativa de libertad de tres a cinco años.
Cuando se trate de información reservada, cuya revelación pueda comprometer
gravemente la seguridad del Estado, la o el servidor público encargado de la
custodia o utilización legítima de la información que sin la autorización
correspondiente revele dicha información, será sancionado con pena privativa de
libertad de siete a diez años y la inhabilitación para ejercer un cargo o función
pública por seis meses, siempre que no se configure otra infracción de mayor
gravedad.”

Artículo 234.- “Acceso no consentido a un sistema informático, telemático o de

telecomunicaciones.- La persona que sin autorización acceda en todo o en parte a
un sistema informático o sistema telemático o de telecomunicaciones o se
mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo
derecho, para explotar ilegítimamente el acceso logrado, modificar un portal web,
 25

desviar o redireccionar de tráfico de datos o voz u ofrecer servicios que estos

sistemas proveen a terceros, sin pagarlos a los proveedores de servicios legítimos,
será sancionada con la pena privativa de la libertad de tres a cinco años.”

Con respecto a las pruebas que son recogidas de los escenarios cabe resaltar que
existe un artículo pertinente a la cadena de custodia, en donde se toma en cuenta
al contenido digital, el cual es el principal objeto de estudio en este caso.

Artículo 456.- “Cadena de custodia.- Se aplicará cadena de custodia a los

elementos físicos o contenido digital materia de prueba, para garantizar su
autenticidad, acreditando su identidad y estado original; las condiciones, las
personas que intervienen en la recolección, envío, manejo, análisis y conservación
de estos elementos y se incluirán los cambios hechos en ellos por cada custodio.
La cadena inicia en el lugar donde se obtiene, encuentra o recauda el elemento de
prueba y finaliza por orden de la autoridad competente. Son responsables de su
aplicación, el personal del Sistema especializado integral de investigación, de
medicina legal y ciencias forenses, el personal competente en materia de tránsito y
todos los servidores públicos y particulares que tengan relación con estos
elementos, incluyendo el personal de servicios de salud que tengan contacto con
elementos físicos que puedan ser de utilidad en la investigación.”

Por último, en la sección de medios de prueba se tiene el siguiente artículo acerca

del contenido digital y su recolección, importante notar que el método de
recolección del contenido debe realizarse a través de técnicas forense.

Artículo 500.- “Contenido digital.- El contenido digital es todo acto informático que
representa hechos, información o conceptos de la realidad, almacenados,
procesados o transmitidos por cualquier medio tecnológico que se preste a
tratamiento informático, incluidos los programas diseñados para un equipo
tecnológico aislado, interconectado o relacionados entre sí.
1. El análisis, valoración, recuperación y presentación del contenido digital
almacenado en dispositivos o sistemas informáticos se realizará a través de
técnicas digitales forenses.
2. Cuando el contenido digital se encuentre almacenado en sistemas y memorias
volátiles o equipos tecnológicos que formen parte de la infraestructura critica del
 26

sector público o privado, se realizará su recolección, en el lugar y en tiempo real,

con técnicas digitales forenses para preservar su integridad, se aplicará la
cadena de custodia y se facilitará su posterior valoración y análisis de contenido.
3. Cuando el contenido digital se encuentre almacenado en medios no volátiles,
se realizará su recolección, con técnicas digitales forenses para preservar su
integridad, se aplicará la cadena de custodia y se facilitará su posterior
valoración y análisis de contenido.
4. Cuando se recolecte cualquier medio físico que almacene, procese o transmita
contenido digital durante una investigación, registro o allanamiento, se deberá
identificar e inventariar cada objeto individualmente, fijará su ubicación física
con fotografías y un plano del lugar, se protegerá a través de técnicas digitales
forenses y se trasladará mediante cadena de custodia a un centro de acopio
especializado para este efecto.”

PROCEDIMIENTO DE UNA INVESTIGACIÓN FORENSE POR PARTE

DE LA POLICIA NACIONAL

Los reglamentos, manuales, instructivos y guías publicados por la Fiscalía General

del Estado y la Policía Nacional pueden dar una guía de cómo actuar frente a un
delito en donde la informática forense es necesaria para llegar al culpable.
Por parte de la Fiscalía General del Estado se tiene el “Instructivo para el manejo
de indicios y/o evidencia digital” que trabaja en conjunto con el Artículo 500 y 456
referentes a la evidencia digital y la cadena de custodia respectivamente del COIP.

Dentro del reglamento de la Policía Judicial se tiene la Sección de análisis

informático y telecomunicaciones con lo siguiente:

Art. 81.- "A la Sección de Análisis Informático y Telecomunicaciones le corresponde:

 Identificar los procesos y autores de fraude, falsificación, invasión y atentado de
los sistemas informáticos y de telecomunicaciones;
 Recopilar y mantener actualizada la información referente a medidas de
seguridad informática y en telecomunicaciones;
 Mantener la cadena de custodia; y,
 27

 Las demás funciones que se le asignen, creen y/o dispusiere la autoridad legal
tendiente al esclarecimiento de un hecho punible.”

Se puede apreciar que el instructivo antes mencionado el detalle de los

procedimientos a seguir en una investigación de informática forense, sin embargo
toman únicamente en cuenta dispositivos electrónicos tangibles (físicos) y en el
caso de evidenciar la existencia de información virtual no se establecen los
mecanismos a seguir, sin tomar en cuenta el valor que podría tener este tipo de
evidencia. Por ser las máquinas virtuales un sistema de trabajo independiente hace
falta un instructivo acerca de cómo trabajar con estos equipos, sin alterar ni destruir
evidencia. Un instructivo con el mismo nivel de detalle orientado hacia entornos
virtuales hace falta, para de esta manera cubrir con la recolección de toda la
evidencia disponible en un escenario (equipos físicos y virtuales).
De igual manera artículos importantes referentes al contenido digital y la cadena de
custodia, este tipo de contenido es reconocido como evidencia siempre y cuando
su recolección se realice por medio de técnicas forenses, una vez realizado este
proceso se debe aplicar cadena de custodia para garantizar su integridad. La
información de una máquina virtual viene a ser directamente contenido digital.

PROCESOS LLEVADOS A CABO EN EL ECUADOR EN LOS ÚLTIMOS

AÑOS

La Figura 6 muestra las estadísticas concernientes a delitos informáticos que se

denunciaron ante la Fiscalía General del Estado registrados desde el año 2009 al
2015, pudiendo aquí notar el crecimiento y disminución de los mismos en este
período de tiempo.
Como caso de estudio se describe la investigación de pedofilia y pornografía infantil
en el operativo “Tutela”, en el cual se pudo llegar al presunto autor del delito
mediante la identificación de direcciones IP, hacia el lugar donde se había cometido
el crimen el 2 de abril del 2015 [31], en el allanamiento por parte de la Policía
Nacional se encontraron los siguientes dispositivos:

 1 Computador portátil
 28

 1 Disco duro externo

 2 Dispositivos de memoria USB
 1 Cámara Digital, y
 1 Módem Access Point

Haciendo uso de las herramientas de informática forense como la llamada EnCase

que es considerada como herramienta estándar para realizar este tipo de
investigación, se obtuvo la evidencia necesaria para su análisis y presentación de
resultados ante el juez a cargo.

Actualmente uno de los procesos para calificarse como peritos es el llevado a cabo
por parte del Consejo de la Judicatura, en el año 2013 se hizo un llamado a los
profesionales para su acreditación. En el ámbito de la informática 49 son los peritos
dedicados a rastrear cibermafias que han causado pérdidas económicas a
empresas, sin la acreditación del Consejo de la Judicatura los profesionales en
estos procesos no podrían realizar actividades como descubrir claves de una
computadora, obtener información secreta de un celular o localizar direcciones IP,
siendo este último el método utilizado para llegar al implicado en el caso de
pornografía infantil mencionado previamente. [32]
 29

Figura 6: Delitos Informáticos - Fiscalía General del Estado [32]

 30

CAPÍTULO II – ANÁLISIS DIGITAL FORENSE EN UNIDADES DE

ALMACENAMIENTO VIRTUAL
2.1. METODOLOGÍA DE ANÁLISIS DIGITAL FORENSE EN
UNIDADES DE ALMACENAMIENTO VIRTUAL.
2.1.1. ESTADO DEL ARTE DEL ANALISIS DIGITAL FORENSE EN
INFRAESTRUCTURAS VIRTUALIZADAS

La virtualización en los últimos años ha crecido notablemente y sus usos son

variados, por ejemplo: [33]

 Entornos de prueba para muestras de malware.

 Usos con objetivos académicos replicando un entorno real para su estudio.
 Usos empresariales permitiendo la virtualización de equipos personales,
servidores e infraestructuras completas.
 Usos criminales, una máquina virtual puede ser utilizada para cometer un
acto ilícito.

De lo mencionado se puede notar la necesidad de tener una metodología para el

análisis digital forense en entornos virtualizados, los métodos tradicionales no
contemplan el estudio de las máquinas virtuales siendo este un caso particular de
estudio. Aunque se han desarrollado técnicas para la identificación, recolección y
análisis de evidencias, estas técnicas lo han hecho de forma dispersa, creando
vacíos en propuestas de otros autores.

A continuación se citan trabajos relacionados, donde se puede observar cómo la

investigación forense en máquinas virtuales es realizada desde diferentes puntos.

 Digital Forensics on a Virtual Machine [34]

En el trabajo se menciona una metodología que realiza el análisis de una máquina

en estado “muerto”, utilizando herramientas de hardware la copia del disco físico es
realizada para su posterior análisis en busca de máquinas virtuales.

 Forensic Acquisition and Analysis of VMware Virtual Machine Artifacts [33]

 31

Una forma de realizar la adquisición en vivo de los archivos relacionados a una

máquina virtual es esta, siguiendo un algoritmo y analizando registros de una
máquina con sistema operativo Windows, se puede determinar la existencia de
máquinas virtuales, y la ubicación de sus archivos relacionados para copiarlos
directamente a un medio seguro.

 A KVM virtual machine memory forensics method based on VMCS [35]

Basado en una versión del sistema operativo Linux, se realiza un análisis a la

memoria RAM del equipo host después del cual se obtiene la información
relacionada a la máquina virtual, en específico su memoria RAM. Esto se puede
realizar aprovechando las ventajas que presenta Linux para este tipo de análisis.

 Memory Dump and Forensic Analysis Based on Virtual Machine [36]

De manera similar al anterior trabajo mencionado, se realiza un análisis de la

memoria RAM del equipo físico en busca de procesos que muestren la actividad de
una máquina virtual, una vez encontrada siguiendo un algoritmo se realiza una
copia del proceso correspondiente a la máquina virtual. El archivo generado
contiene los datos de la memoria RAM virtual y puede ser analizado mediante
técnicas forenses.

 Virtual Machine Memory Forensics [37]

La importancia de analizar y mantener la confiabilidad de los datos contenidos en

la memoria RAM, son apreciables en este trabajo. Beneficiándose de las ventajas
presentadas por sistemas de virtualización se realiza la recolección de memoria
RAM de una máquina virtual sin realizar ningún cambio sobre la misma. El archivo
obtenido es analizado por herramientas forenses, en este caso se utiliza Volatility
para comprobar la información obtenida.
 32

Se puede notar cómo cada uno de los trabajos mencionados otorgan pautas para
realizar un completo análisis forense de una máquina virtual, dichos trabajos junto
con otras referencias de interés serán de ayuda en la metodología propuesta más
adelante.

2.1.2. ESTÁNDARES PARA LA RECOLECCIÓN DE EVIDENCIAS

 RFC 3227 - Directrices para la recolección de evidencias y su
almacenamiento

Este RFC fue definido en el año 2002 siendo el más utilizado y que ha servido como
estándar para la recolección de evidencias por un largo tiempo. Los puntos más
importantes mencionados en el RFC son los siguientes: [13]

 Principios durante la recolección de evidencias

Cubre con las pautas que se deben seguir al momento de recolectar evidencia
como: capturar las imágenes lo más precisas posibles, minimizar los cambios que
se realizan en la información, seguir el orden de volatilidad de la evidencia al
recolectarla, entre otras.

 Procedimiento de recolección

Se debe documentar lo más detalladamente posible el procedimiento llevado a

cabo, evitando que este sea ambiguo y reduciendo al mínimo la toma de decisiones.

 Procedimiento de Almacenamiento

Una vez realizada la recolección de evidencias se debe iniciar con la cadena de

custodia la cual da un seguimiento del estado de la evidencia en todo momento.
Además el lugar en donde se almacenará la evidencia debe ser seguro evitando
accesos no autorizados.
 33

 Herramientas Necesarias

Seleccionar y crear un conjunto de herramientas adecuadas para un completo

análisis, estas deben estar almacenadas en dispositivos extraíbles. Se debe evitar
el uso de las herramientas propias del sistema ya que estas pueden haber sido
afectadas por malware u otra aplicación.

 ISO 27037:2012 –Norma Para la Recopilación de Evidencias.

Esta norma tiene que ver con los procedimientos de identificación y recolección de
evidencias renovando las directrices mencionadas en el RFC 3227 y teniendo en
cuenta los dispositivos actuales.

Las tipologías de dispositivos y entornos mencionados en la norma son los

siguientes: [38]

 Equipos y medios de almacenamiento y dispositivos periféricos.

 Sistemas críticos (alta exigencia de disponibilidad).
 Equipos informáticos y dispositivos conectados en red.
 Dispositivos móviles.
 Sistema de circuito cerrado de televisión digital.

Además consta de principios básicos acerca del proceso de recolección y

características que la evidencia debe tener para ser aceptada como válida.

2.1.3. PLANTEAMIENTO DE METODOLOGÍA DE ANÁLISIS DIGITAL

FORENSE EN INFRAESTRUCTURAS VIRTUALIZADAS
 Metodologías de análisis digital forense

Las metodologías de análisis digital forense en su mayoría constan de las mismas

fases, a continuación se describen algunas de estas metodologías que permiten
observar cómo estas cumplen con un conjunto de pasos similares.
 34

Metodología NIST

NIST6 en su publicación “Guide to Integrating Forensic Techniques into Incident

Response”, no intenta ser un procedimiento a seguir rigurosamente, al contrario,
muestra recomendaciones que facilitan y aseguran el trabajo realizado en una
investigación forense. Basado en las leyes que cada país u organización tienen se
lo maneja de esta forma, un investigador puede adaptarla a sus necesidades. [39]

Recolección

Examen

Análisis

Reporte de
Resultados

Figura 7: Metodología de Análisis Digital Forense NIST

Las fases mostradas en la Figura 7 comprenden todo el proceso de una

investigación forense, empezando con la recolección, en donde se realizan tareas
de identificación, marcado y adquisición de las posibles fuentes de evidencia para
la investigación. La fase de examen de la evidencia se la realiza mediante un
procesamiento forense y otras técnicas, con esto se pretende extraer información
de interés para la investigación, siempre manteniendo la integridad de la evidencia.
En la siguiente fase se analizan los resultados obtenidos de la fase de examen, con
esto se intenta encontrar información que responda a las necesidades de la
investigación. Por último el investigador debe reportar todos sus hallazgos junto con

6 NIST: National Institute of Standards and Technology

 35

su respectiva justificación, además de herramientas y procedimientos utilizados. La

formalidad del documento varía de acuerdo a la situación en donde se vaya a
presentar.

Metodología CHFI v47

Esta metodología toma muy en cuenta el campo judicial y las leyes que se manejan
en estos casos, la evidencia es tratada con mayor cuidado dividiendo las fases
principales en pasos intermedios que aseguran su integridad. Además al tratarse
de un curso completo de certificación cuenta con formularios de utilidad para el
investigador en caso de no estar familiarizado con los mismos, por ejemplo
formularios de recogida de evidencias y cadena de custodia. Pueden existir
formularios extras según las necesidades de la investigación, como formularios de
evidencia de computador, dispositivos extraíbles, y evidencia de disco duro. [40]

Obtener una Evaluar y

Recolectar la
orden de asegurar la
evidencia
allanamiento escena

Analizar la Adquirir Asegurar la

información información evidencia

Evaluar la Testificar en la
Preparar reporte
evidencia y el corte como un
final
caso testigo experto.

Figura 8: Metodología de Análisis Digital Forense CHFI v4

7 Certified Hacking Forensic Investigator

 36

En la Figura 8 se puede notar que el número de fases en esta metodología es

mayor, pero en cada una se realiza una acción importante y necesaria empezando
con una orden de allanamiento o búsqueda con lo que se inicia la investigación, las
siguientes fases tienen una correspondencia con la fase de Recolección de NIST
en donde se realizan procesos de identificación, etiquetado y recolección. Las
siguientes fases corresponden a las fases de Examen y Análisis de la evidencia.
Finalmente se realiza el reporte de los resultados obtenidos, al ser una metodología
propuesta para usarse en el campo judicial, el último paso de esta tiene que ver
con el testimonio que el investigador debe dar en la corte para defender su posición
con respecto a las pruebas encontradas.

Se puede observar la similitud de las metodologías mencionadas previamente

hablando de un entorno físico, para complementar el estudio de las metodologías
es necesario analizar una metodología en un entorno virtual, la cual será de utilidad
más adelante en la propuesta de metodología.

Metodología de Análisis Digital Forense en Entornos Virtuales

El trabajo de las máquinas virtuales es realizado independientemente del equipo

anfitrión, es por esto que se puede pensar en una capa de aislamiento de la cual
puede aprovecharse la informática forense. Una máquina virtual al ser un equipo
que tiene sus propios recursos virtuales, puede dar lugar a un análisis digital
forense dirigido solo hacia esta máquina, como se muestra a continuación.

 Metodología por Travis Akiston y Juan Carlos Flores Cruz en el documento

“Digital Forensics on a Virtual Machine” [34]

Una máquina virtual no está conformada por un solo archivo sino por varios, los
cuales contienen información útil en una investigación forense, razón por la cual la
siguiente metodología inicia generando una imagen del disco duro físico con
procedimientos forenses, para posteriormente extraer los archivos de cada
máquina virtual y analizarlos independientemente, la Figura 9 nos presenta las
fases que componen esta metodología.
 37

Creación de imagen forense

Identificación y recuperación
información sensible

Análisis de la máquina virtual

Documentación

Figura 9: Metodología de Análisis Forense en Entornos Virtuales

 Propuesta de metodología de análisis digital forense en infraestructuras

virtualizadas

Las metodologías mencionadas previamente muestran los pasos generales y

consideraciones a tener en cuenta en un análisis forense, teniendo en cuenta a
estas junto con los estándares RFC3227 e ISO27037 se puede pensar en la
siguiente metodología como una propuesta para analizar un equipo que contiene
una o más máquinas virtuales.
Cada una de las fases está conformada por pasos extras que serán detallados en
las siguientes secciones, cabe recalcar que la metodología está estructurada en
sus fases generales y así observar el ciclo creado por la presencia de máquinas
virtuales mostrado en la Figura 10.

RECOLECCIÓN Y PRESENTACIÓN
IDENTIFICACIÓN ANÁLISIS
PRESERVACIÓN DE RESULTADOS

Figura 10: Propuesta de Metodología de Análisis Digital Forense

 38

En la Figura 11 se puede observar un diagrama de flujo que representa una

propuesta de metodología, este camino varía según las limitaciones que presente
el equipo analizado, por ejemplo que el equipo físico se encuentre apagado.

Inicio

Identificar evidencias

Se encuentra
encendida la máquina
física?

SI
Adquirir información Adquirir imágenes del
NO
volátil disco duro físico
NO

Existen máquinas Analizar las evidencias

virtuales ejecutandose

SI
Presentar los
Adquirir información volátil resultados obtenidos
y estática de las unidades
de almacenamiento virtual
Fin
Suspender máquinas
virtuales

Figura 11: Diagrama de Flujo de la Metodología de Análisis Forense Propuesta

 39

Fase de Identificación

Como requisito para una investigación forense es necesario contar con los
permisos pertinentes que aprueben el inicio de la investigación, cosa que no se
toma en cuenta en el presente caso, se da por hecho que todas las normas legales
se han cumplido.

Una vez iniciada la investigación se entra en la fase de Identificación, en donde se

realizan las siguientes tareas:

 Identificar y asegurar todos los equipos implicados en la escena que serán

tomados como evidencia.
 Fotografiar la escena de tal forma que se muestre la distribución y ubicación
de los equipos y dispositivos informáticos.
 Verificar si el equipo se encuentra conectado a un sistema de red o internet,
en caso de estarlo este debe ser desconectado para evitar posibles
comunicaciones externas.

Se debe tener en cuenta que al ser un proceso forense debe tratarse de esta forma,
esto quiere decir realizar cada acción con las debidas precauciones para evitar la
contaminación de la escena, por ejemplo un par de guantes antiestáticos son
primordiales en estos casos ya que evitarán la alteración no intencionada de algún
dispositivo electrónico.

Una vez realizadas las tareas listadas anteriormente se debe iniciar la

documentación del caso, en un principio documentando las características de los
equipos identificados, y las acciones que se realizan sobre los mismos a cada
instante, manteniendo así una línea de tiempo de los eventos relacionados con el
equipo. La documentación no se realizará solo en la primera fase del análisis, esta
se mantendrá durante las siguientes fases a excepción de la fase de Presentación
de Resultados, en donde la manipulación de evidencias ha finalizado. La
importancia de mantener una documentación adecuada es evitar que la evidencia
obtenida y analizada pueda ser rechazada en algún momento.
 40

Fase de Recolección y Preservación de Evidencias

En esta fase el investigador cumple con tareas para recopilar la mayor cantidad de
información posible de los equipos identificados, como se habló en el anterior
capítulo se tienen estados en los que se pueden encontrar una máquina, encendida
o apagada, entorno vivo o muerto respectivamente. Es por estas estas
posibilidades que es necesario detallarlas por separado, como se muestra a
continuación.

ENTORNO VIVO
 Fotografiar la pantalla evidenciando las aplicaciones que se encuentran en
ejecución, también se debe fotografiar la pantalla de las máquinas virtuales
encontradas.
 Recolectar la información volátil del equipo físico y máquinas virtuales en
ejecución, en el caso del equipo físico se necesitará de un software extra
para realizar la recolección, en las máquinas virtuales se puede usar un
método no intrusivo.
 Suspender las máquinas virtuales, realizando esto conservamos su estado
(memoria RAM, aplicaciones en ejecución y otros datos de interés).
 También puede considerarse el uso de Snapshots para preservar el estado
de la máquina virtual, teniendo en cuenta que esto realizará escrituras en el
disco físico.
 Apagar el equipo desconectándolo de la red eléctrica para conservar la
mayor cantidad de información y evitar que se realicen cambios no deseados
en el disco duro. Llegado a este punto pasar al caso de ENTORNO
MUERTO.

Puede darse el caso en el que la ejecución del equipo tanto fisco como virtual sea
una tarea crítica y no pueda ser apagado, de darse este escenario se realizará la
recolección restante en “vivo” utilizando un Live-CD con una distribución forense o
una herramienta software que lo permita, y continuar con los siguientes pasos.
 41

 Realizar las copias necesarias de las unidades de almacenamiento en un

dispositivo externo. Las copias pueden ser realizadas solo de las máquinas
virtuales o de todo el equipo físico según las necesidades de la investigación.
 Obtener el código hash del dispositivo original y las copias realizadas.
 Comparar y verificar la coincidencia del código hash de las copias y el
dispositivo original, con esto se comprueba que no se hayan realizado
cambios.

ENTORNO MUERTO
 Fotografiar los equipos y dispositivos físicos identificados.
 Configurar el equipo para que este inicie desde la unidad de CD/DVD o
dispositivo USB, seguido arrancar la máquina con un Live-CD de una
distribución forense.
 Realizar las copias necesarias de las unidades de almacenamiento en un
dispositivo extraíble.
 Obtener el código hash del dispositivo original y las copias realizadas.
 Comparar y verificar la coincidencia del código hash de las copias y el
dispositivo original, con esto se comprueba que no se hayan realizado
cambios.
 Si es posible secuestrar la evidencia.

Terminado uno de los dos caminos planteados, entorno vivo o muerto, es necesario
empezar con la cadena de custodia la cual es aplicada a cada evidencia,
obteniendo así un seguimiento continuo de estas.

Fase de Análisis de Evidencias

Con la evidencia obtenida se entra en la fase de Análisis, en un caso tradicional se

analizaría la evidencia en busca de pruebas en apoyo al caso investigado, sin
embargo no se puede pasar a este punto directamente en el caso de que existan
máquinas virtuales implicadas, ya que estas pueden contener información
importante, es necesario un proceso extra para obtenerlas y posteriormente
continuar con su análisis.
 42

 Analizar las imágenes de discos físicos obtenidas previamente en busca de

máquinas virtuales.
 Adquirir toda la información relacionada a cada máquina virtual encontrada
utilizando técnicas forenses.
 Examinar las evidencias pertinentes en busca de archivos de interés para la
investigación mediante el uso de herramientas de análisis forense.
Imágenes de memoria RAM (física, virtual)
Imágenes de discos duros (físicos, virtuales)
 Documentar las técnicas utilizadas en la fase de análisis, debido a que estas
pueden ser recreadas por otro investigador y se debe obtener el mismo
resultado.
 Realizar un listado con los archivos de interés encontrados en el análisis de
evidencias.

Fase de Presentación de Resultados

Finalmente, la última fase tiene que ver con los resultados (archivos de interés
obtenidos en la fase anterior) y la generación de un informe.

 Con los resultados obtenidos en la fase de Análisis se debe redactar un

informe que demuestre la inocencia o culpabilidad del sospechoso, se deben
incluir las pruebas encontradas junto con un detalle de por qué estas fueron
tomadas en cuenta.
 Redactar conclusiones finales del caso.
 Presentar el informe de resultados a la autoridad encargada.

Los formularios que pueden ser utilizados durante una investigación forense serán
incluidos en la sección de anexos.
 43

2.2. APLICACIÓN DE LA METODOLOGÍA PROPUESTA EN UN

ENTORNO VIRTUALIZADO
2.2.1. DESCRIPCIÓN DEL ESCENARIO DE PRUEBA

La Figura 12 representa el entorno el cual será utilizado para la implementación de

la metodología, máquinas virtuales de VMware y VirtualBox contenidas en un
equipo anfitrión.

Máquina Virtual Máquina Virtual Máquina Virtual

Windows 2008 Linux Ubuntu Mac OS X
Server R2 Server 15.10 Mountain Lion

Máquina Virtual Máquina Virtual Máquina Virtual

Windows 2008 Linux Ubuntu Mac OS X
Server R2 Server 15.10 Mountain Lion

Figura 12: Esquema de las Máquinas Utilizadas en la Implementación de la Metodología

Propuesta

 Máquina Física

El equipo anfitrión utilizado cumple con los requerimientos necesarios para el uso
de máquinas virtuales, además este servirá para realizar el análisis de evidencias
posteriormente. Las especificaciones técnicas son detalladas en la Tabla 4.
 44

Equipo Host
Sistema Operativo Windows 8.1 Enterprise de 64 bits
Memoria RAM 8,00 GB
Disco Duro 1 TB
Procesador Intel(R) Core(TM) i7-4770 CPU @ 3.40 GHz
Tabla 4: Características del Equipo Anfitrión

 Máquinas Virtuales
Para realizar un estudio con una amplia cantidad de combinaciones se han
escogido dos herramientas de virtualización VirtualBox y VmWare, en donde se han
instalado sistemas operativos con especificaciones técnicas similares, detalladas
en las Tablas 5, 6 y 7.

Máquina Virtual Windows

Máquina Virtual Windows

Sistema Operativo Windows Server 2008 R2 de 64 bits
Memoria RAM 1 GB
Disco Duro 10 GB
Número de Procesadores 1
Núcleos por Procesador 2
Tabla 5: Características de la Máquina Virtual Windows

Máquina Virtual Linux

Máquina Virtual Linux

Sistema Operativo Ubuntu Server 15.10
Memoria RAM 1 GB
Disco Duro 10 GB
Número de Procesadores 1
Núcleos por Procesador 2
Tabla 6: Características de la Máquina Virtual Linux
 45

Máquina Virtual Mac

Máquina Virtual Mac OS

Sistema Operativo OS X Mountain Lion (versión 10.8)
Memoria RAM 4 GB
Disco Duro 10 GB
Número de Procesadores 2
Núcleos por Procesador 2
Tabla 7: Características de la Máquina Virtual Mac

 Herramientas Utilizadas

Herramientas Para la Recolección de Evidencias

Para la recolección de evidencias las herramientas no muestran una alta

compatibilidad con los sistemas operativos estudiados, es por esto que algunas de
ellas se utilizarán en máquinas específicas como se detalla a continuación.

 FTK Imager Version 3.4.2.6

Utilizado en la recolección de memoria RAM de la máquina virtual de Windows y en

la recolección de discos virtuales de tipo .vmdk contenidos en la máquina anfitrión.

 Utilitarios de VMware y VirtualBox

Aplicados en las máquinas virtuales de Windows, Linux y Mac para la recolección

de memoria RAM con el nombre vmss2core en VMware y dumpvmcore en
VirtualBox.

 Caine Live CD

Utilizado en la recolección de discos virtuales en las máquinas de Windows, Linux

y Mac tanto en VMware como en VirtualBox.
 46

Herramientas Para el Análisis de Evidencias

Para el análisis de evidencias se instalaron las siguientes herramientas en la

máquina anfitrión, y de esta manera analizar las evidencias obtenidas de las
máquinas virtuales de Windows, Linux y Mac.

 FTK Imager 3.4.2.6

 Volatility
 Autopsy Version 4.0.0
 ProDiscover Basic Version 7.0.0.3

Cabe notar que existen herramientas capaces de realizar procesos de recolección

y análisis como lo es FTK Imager.

 Características del Escenario Analizado

 La máquina física no será apagada, el realizar la recolección de evidencias

en vivo es uno de los escenarios presentados en la metodología, con esto
se garantiza el uso de las máquinas virtuales para estudiar sus beneficios y
limitaciones en una investigación forense.
 Al ser un escenario predefinido no se cubrirán las fases de identificación y
presentación de resultados mencionados en la metodología, ya que la
primera tiene que ver con la identificación de equipos los cuales han sido
preparados previamente. No se presentarán resultados debido a que los
archivos encontrados de igual manera fueron situados previamente en cada
máquina virtual.
 La recolección y análisis de evidencias se realizará de los dispositivos de
almacenamiento de cada máquina virtual, para esto se hará uso de una
máquina física en donde se tendrán instaladas y configuradas las
herramientas necesarias.
 47

2.2.2. APLICACIÓN DE LA METODOLOGÍA PROPUESTA

En la Figura 13 se puede observar los elementos obtenidos de las fases de

recolección y análisis de evidencias, después de ser aplicada la metodología en el
entorno de pruebas.

ENTORNO DE
PRUEBAS

APLICACIÓN DE LA
METODOLOGÍA

RESULTADOS PARA LA
IMÁGENES DE MEMORIA
REDACCIÓN DEL INFORME
RAM Y DISCOS VIRTUALES
FINAL

Figura 13: Esquema de la Aplicación de la Metodología Propuesta

 Fase De Recolección De Evidencias

Adquisición De La Memoria Ram De Las Máquinas Virtuales

Una de las dificultades para el investigador forense se presenta al realizar la

recolección de evidencias de memoria RAM sin generar cambios sobre el
equipo analizado, el usar una herramienta de software supondría ya una
alteración en el sistema por pequeña que esta fuera. Las herramientas de
virtualización presentan una utilidad frente a este problema, misma que
puede ser aprovechada y así mantener la integridad de la información
contenida en memoria RAM.
 48

- Método Tradicional de Adquisición de Memoria RAM

A manera de prueba y observar la diferencia que se tiene en un entorno virtual al

momento de obtener la información volátil, a continuación se presenta el proceso
tradicional de recolección de memoria RAM, el cual puede ser aplicado tanto en un
equipo físico como virtual.

La Figura 14 presenta la herramienta FTK Imager ejecutada en la máquina virtual

de Windows, una de las opciones que presenta es el volcado de memoria RAM,
con esto se puede realizar su recolección en vivo.

Figura 14: Proceso de Recolección de Memoria RAM con FTK Imager

En la Figura 15 se puede observar el archivo creado, este debe ser almacenado en

un dispositivo externo. El tamaño del archivo generado es el mismo que fue
asignado a la memoria RAM de la máquina virtual.
 49

Figura 15: Propiedades del Archivo de memoria RAM Generado por FTK Imager

En las máquinas con sistema operativo Linux y Mac este proceso es un poco más
complejo, debido a los controles de seguridad presentes. Para realizar este
procedimiento es necesario instalar una herramienta, no basta con su ejecución.
En la Figura 16 se puede notar las restricciones que presenta el sistema operativo
Linux al intentar acceder al archivo de memoria RAM.

Figura 16: Restricción de Memoria RAM en Linux

Una de las opciones para la adquisición de memoria RAM en Linux es la

herramienta “LiMe”, la cual después de ser instalada presenta la opción de realizar
el volcado de memoria, ya sea hacia la red u otro dispositivo de almacenamiento.
La Figura 17 muestra los detalles del archivo generado con LiMe. [41]
 50

Figura 17: Archivo Creado por la Ejecución de LiMe

Es importante notar que las herramientas mencionadas realizan cambios en la

memoria RAM, por ser métodos intrusivos lo cual no es recomendable, pero
necesario en algunos casos para la recolección de evidencias. A continuación se
muestra cómo realizar este proceso utilizando los administradores de virtualización
y sus utilidades.

- Método no Tradicional de Adquisición de Memoria RAM

Máquina Virtual VMware

Las máquinas virtuales al momento de su generación crean varios archivos en el

directorio en donde se encuentran contenidas, para el caso de VMware se tienen
registros acerca de la máquina virtual, archivos del disco virtual, archivos de
configuración de la máquina y archivos duplicados de disco y memoria para sus
snapshots. El archivo “maquina-virtual”.mem es de interés en este punto, el cual
contiene los datos de la memoria RAM de la máquina virtual, este archivo se crea
cuando la maquina es encendida y se mantiene cuando la maquina entra en estado
de suspensión, también se genera un archivo de tipo .mem extra por cada snapshot
creado. La figura 18 presenta el listado de archivos de la máquina virtual de
Windows 2008 Server R2.
 51

Figura 18: Archivos Contenidos en el Directorio de la Máquina Virtual Windows

Existen herramientas que permiten el análisis directo del archivo de memoria con
extensión .mem, por lo que bastaría con obtener una copia del mismo, esto es
permitido ya que se puede realizar una verificación del código hash antes y después
de realizar la copia.

También se tiene herramienta “vmss2core” proporcionada por VmWare, la cual

permite realizar la adquisición de la memoria RAM a un formato diferente mediante
el uso del siguiente comando: “vmss2core -W virtual_machine_name.vmss
virtual_machine_name.vmem”, ejecutado en una consola de Windows de la
máquina física.

Los snapshots en una máquina virtual pueden ser fuentes de evidencias, su utilidad
es de preservar el estado de la máquina, tales como aplicaciones en ejecución,
memoria RAM, y otros, por esto un snapshot en una investigación forense tiene su
importancia, y se debe considerar el analizarlos.

El requisito para hacer uso de “vmss2core” es que la maquina se encuentre

suspendida, obteniendo un archivo .dmp reconocido como tipo de archivos de
volcados de memoria. También puede ser utilizado en los archivos de snapshots
sin tener que regresar a este estado como se aprecia en la Figura 19.
 52

Figura 19: Ejecución del Comando vmss2core Para un Snapshot

El tamaño del archivo generado corresponde al de la memora RAM que se asignó

a la máquina virtual en su creación, lo cual es evidenciado en la Figura 20. Este
archivo puede formar parte de la evidencia y ser analizado con uno de los métodos
mostrados en la Fase de Análisis de Evidencias.

Figura 20: Archivo Generado por vmss2core

 53

Máquina Virtual VirtualBox

De igual manera VirtualBox, tiene herramientas para el análisis de sus máquinas

virtuales, en este caso “dumpvmcore” realiza un volcado de memoria junto con
información extra de la máquina, es necesario para esto que la maquina se
encuentre en ejecución, a diferencia de VmWare. Para su aplicación se debe usar
el siguiente comando: “vboxmanage debugvm “vmname” dumpvmcore --
filename=dump.elf”, en una consola de Windows de la máquina física. La aplicación
de dicho comando es evidenciado en la Figura 21.

Figura 21: Ejecución del Comando dumpvmcore

El archivo generado por “dumpvmcore” es de tipo elf64, que puede ser leído por
herramientas como readelf si se tiene instalada, o puede ser trasladado a un
formato diferente para su análisis si es necesario, en la Figura 22 se muestra la
información referente al archivo generado con dumpvmcore.
 54

Figura 22: Estructura del Archivo ELF64 Generado por Dumpvmcore

El procedimiento mostrado para la recolección de memoria RAM puede ser

replicado en los tres sistemas operativos propuestos, la diferencia entre estos se
da notar en la fase de análisis de evidencias, donde cada uno tiene una estructura
diferente.
 55

Recolección De Imágenes De Discos Virtuales

Al tener control sobre la máquina anfitrión se tienen dos formas de realizar la copia
de los discos virtuales, y que son detallados a continuación.

- Ejecución de una herramienta software en la máquina anfitrión

FTK Imager permite la copia de varios tipos de archivos, entre estos los utilizados
por herramientas de virtualización en sus discos duros, de tipo .vmdk y .vhd.

Figura 23: Configuración Previa a la Adquisición del Disco Virtual

En la Figura 23 se muestra la configuración de la recolección a realizar, la copia

generada puede ser llevada a un formato diferente el cual sea aceptado por la
mayoría de herramientas de análisis digital forense.

Al realizar las copias de esta manera no se interrumpen las funcionalidades del

equipo físico, es preferible suspender la máquina virtual para que la imagen no se
vea afectada por cambios no deseados, La Figura 25 presenta el proceso de
copiado de evidencias, la cual tomará más tiempo dependiendo del tamaño del
disco.
 56

Figura 24: Proceso de Copia del Disco Virtual

Una vez realizada la copia es necesario verificar que esta se realizó sin cambios,
una de las características principales que deben tener este tipo de herramientas es
la generación y verificación de códigos hash, con esto se puede comprobar que el
archivo obtenido no ha sufrido ninguna alteración, como se evidencia en la Figura
25.

Figura 25: Verificación de los Códigos Hash del Archivo Original y la Copia
 57

- Uso de un Live CD Para la Recolección de Evidencias

La otra opción para realizar la recolección del disco virtual es mediante el uso de
un Live CD, el requerimiento para que se de este procedimiento es apagar la
máquina virtual, ya que esta será arrancada con una de estas distribuciones, el Live
CD de Caine. La copia puede ser realizada en un medio extraíble seguro o en un
disco virtual extra, el cual debe ser configurado como se muestra en la Figura 26,
con esto se puede realizar la copia de un disco .vdi a un .vmdk.

Figura 26: Configuración para Realizar una Copia de un Disco Virtual a Otro

La ventaja de realizar una copia de este tipo es que sea aceptado por otras
herramientas como en el anterior caso, para ser usada por FTK Imager, también
esta es una técnica que los investigadores pueden usar para facilitar el montaje de
imágenes en otros sistemas de virtualización.

Una de las características presentadas por la distribución de Caine al momento de

arrancar es la de bloquear los dispositivos contra escritura, de esta manera se
previene que la información contenida en el disco virtual sea alterada y es mostrada
en la Figura 27.
 58

Figura 27: Bloqueador Contra Escritura de Caine

La copia se realiza utilizando una terminal con el comando dd, el cual crea una
imagen bit a bit igual a la original, mostrado en la Figura 28. Ya que se está
realizando la copia de un disco virtual a otro es necesario definir el tamaño del disco
destino igual al del disco original.

Figura 28: Verificación de los Codigos Hash del Disco Original y la Copia Obtenida con Caine
 59

Una vez realizada la copia la verificación de códigos hash se tiene que realizar por
medio de otra herramienta, se puede usar el comando md5sum para esto, utilizado
en la Figura 28. Hay que notar que la verificación de los códigos hash se realiza de
los volúmenes reconocidos por el sistema operativo, si la comprobación se realizara
desde la máquina física sobre los archivos de discos virtuales no se podría verificar,
ya que no son iguales, esto debido a que los discos virtuales de diferentes formatos
pueden contener información extra como cabeceras que alterarían el código hash.

 Fase De Análisis De Evidencias

Analisis De Memoria Ram
Para el análisis de memoria RAM se tienen dos tipos de herramientas, unas
permiten la interpretación de los valores hexadecimales capturados en el archivo
directamente, mientras que otras muestran de manera organizada la información
solicitada después de ser procesada.

- FTK Imager

FTK Imager permite la visualización de todo lo contenido en la imagen de la

memoria RAM, a tal punto que puede obtenerse el texto tecleado por el usuario
previo a la recolección. Al momento de realizar la recolección de la imagen de la
memoria RAM se realizó una búsqueda en Google, la cual se puede verificar en la
Figura 29.

Figura 29: Datos Capturados de la Memoria RAM de la Máquina Virtual Windows

 60

La memoria RAM contiene una gran cantidad de información, en la Figura 30 se

puede observar la ruta de un archivo que fue abierto previo a la recolección de
evidencias.

Figura 30: Ruta de un Archivo Almacenda en Memoria RAM

- Volatitlity

Debido a la cantidad de datos almacenados en memoria RAM se puede hacer uso

de herramientas para su interpretación, Volatility en este caso cumple con esta
función, admite diferentes formatos de volcados de memoria, y mediante consola
presenta de manera ordenada la información.

Para que esta herramienta funcione adecuadamente es necesario especificar el

perfil que se está utilizando, el cual es el sistema operativo junto con su versión, al
momento con soporte para Windows, Linux y Mac. En la Figura 31 se puede
apreciar la lista de procesos encontrados en el archivo .mem del sistema operativo
Windows 2008 Server.
 61

Figura 31: Lista de Procesos de la Máquina Virtual Windows

La Figura 32 presenta la lista de procesos encontrados en un archivo .elf obtenido

de la máquina virtual Mac de VirtualBox.
 62

Figura 32: Lista de Procesos de la Máquina Virtual Mac

De igual manera ocurre con las distribuciones de Linux en la Figura 33 se muestra

la lista de procesos encontrados en la imagen de la memoria RAM.
 63

Figura 33: Lista de Procesos de la Máquina Virtual Linux

Los comandos disponibles para Volatility dependen del sistema operativo que se
esté investigando, por lo general al investigador le interesa procesos que se
encontraban en ejecución al momento de realizar la recolección de evidencias,
archivos abiertos y usuarios ingresados.
 64

Análisis De Imágenes De Discos Virtuales

El análisis de imágenes de discos virtuales consiste en la búsqueda y organización
de evidencia contenida en las mismas, para así ayudar al investigador a encontrar
pruebas para el caso.

- FTK Imager

Independientemente del sistema de archivos utilizado en las máquinas virtuales,

las herramientas de análisis pueden presentarle al investigador la estructura de los
archivos de forma ordenada, se pueden observar vistas previas de archivos,
realizar exportación de archivos, entre otras funcionalidades. La Figura 34 muestra
el contenido de uno de los directorios encontrados en la Imagen de la máquina
virtual de Windows. La Figura 35 muestra el directorio de archivos eliminados que
pueden ser recuperados.

Figura 34: Análisis de la Imagen del Disco Virtual de Windows con FTK Imager
 65

Figura 35: Archivos Borrados Encontrados en la Imagen del Disco Virtual de Windows con FTK
Imager

- Autopsy

Autopsy es una de las herramientas libres más utilizadas debido a sus capacidades
de análisis y presentación de reportes de los resultados obtenidos [42],
dependiendo de las características del equipo donde se utiliza, puede tomar tiempo
en recopilar y organizar toda la información contenida en la imagen del disco. Las
Figura 36 y 37 muestra los directorios contenidos en la imagen de la máquina virtual
de Windows, y la vista previa de archivos de manera similar a FTK Imager.

Figura 36: Análisis de la Imagen de Disco Virtual de Windows con Autopsy

 66

Figura 37: Archivos Borrados Encontrados en la Imagen del Disco Virtual de Windows con Autopsy

Entre algunas de las características presentadas por Autopsy se tiene la generación

de una línea de tiempo, la cual es creada basándose en el uso de los archivos del
equipo como se muestra en las Figura 38 y 39.

Figura 38: Línea de Tiempo de Archivos Presentada por Autopsy

 67

Figura 39: Linea de Tiempo de Archivos con Mayor Detalle Presentada por Autopsy

Al ser máquinas de prueba no se observa una cantidad grande de información como

se tendría en un equipo real, pero es la suficiente para poder observar las
características principales de las herramientas.
 68

CAPITULO III – ANÁLISIS DE RESULTADOS

 Escenario de pruebas para el análisis de resultados

Para obtener datos y analizarlos se definió un escenario utilizando las máquinas

virtuales configuradas previamente, los puntos a analizar son mostrados en la
Figura 40.

Equipos Virtuales

Análisis de Volatilidad Preservación de la Aplicación de Cadena de Custodia

Evidencia Herramientas

Procesos en Ejecución Aplicación de Verificación de

Rutas de Archivos Discos Virtuales
Herramientas Para la Códigos Hash de
Contraseñas Generados por
Recuperación de Discos Duros
Snapshots
Archivos Eliminados Verificación de
Códigos Hash de
Memoria RAM
(Vmware)

Figura 40: Esquema del Análisis de Resultados

3.1. VOLATILIDAD DE LA EVIDENCIA DIGITAL EN

ENTORNOS VIRTUALIZADOS.

Volatilidad de la Evidencia Máquina Virtual Windows

S.O. Windows
Encendido Suspendido Reiniciado
Número de Procesos 40 42 33
Passwords de Usuarios 3 3 3
Rutas de Archivos 2881 2873 1608
S.O. Linux
Número de Procesos 203 202 195
S.O. Mac
Número de Procesos 91 91 82
Tabla 8: Volatilidad de la Evidencia en Máquinas virtuales
 69

Las máquinas virtuales de VMware, como se observó en la aplicación de la

metodología, cuentan con un archivo el cual contiene los datos de la memoria RAM
virtual, dicho archivo fue analizado para las máquinas de Windows, Linux y Mac.

La Tabla 8 presenta la cantidad de datos obtenidos, existe una similitud de valores

en los estados de ejecución y suspensión con respecto al número de procesos
encontrados, en la metodología planteada se mencionó como uno de los pasos el
suspender las máquinas virtuales para mantener la mayor cantidad de información,
con esto se evita el hacer cambios sobre el archivo de memoria RAM.

Siguiendo con las características de volatilidad se puede notar que cuando la

máquina es reiniciada se pierde una cantidad de información de memoria, el
número de procesos y rutas de archivos abiertos es menor en comparación con los
otros estados para la máquina Windows.

Para el caso de las contraseñas encontradas, los 3 resultados mostrados

corresponden a sesiones activas del sistema operativo, al ser volatility la
herramienta que se utilizó no es posible ver estas contraseñas en texto plano, pero
en caso de ser necesario se puede hacer uso de una herramienta extra que
presente el texto contenido en la memoria RAM, entre todos los datos almacenados
se pueden encontrar contraseñas y otra información de interés. En los casos de
Linux y Mac no se pueden obtener los mismos datos como rutas o sesiones ya que
por su forma de manejo de memoria RAM se tienen diferentes funciones
disponibles en Volatility.

La información volátil en entornos virtualizados es almacenada mientras la máquina

virtual se encuentre en estado encendido o suspendido, también es almacenada en
un archivo extra al momento de crear un snapshot, es una de las razones por la
que la información volátil en una máquina virtual tiene mayor disponibilidad que en
una máquina física.
 70

3.2. PRESERVACIÓN DE LA EVIDENCIA DIGITAL EN

ENTORNOS VIRTUALIZADOS.

Archivos de Discos Virtuales Utilizando Snapshots

Mac OS X
Snapshot 1 Snapshot 2 Snapshot 3
Disco 1 (MB) 8.201,3 8.201,3 8.201,3
Disco 2 (MB) 859,1 859,1
Disco 3 (MB) 30,6
Windows
Snapshot 1 Snapshot 2 Snapshot 3
Disco 1 (MB) 8.356,2 8.356,2 8.356,2
Disco 2 (MB) 935,2 935,2
Disco 3 (MB) 4,4
Linux
Snapshot 1 Snapshot 2 Snapshot 3
Disco 1 (MB) 4.549,6 4.549,6 4.549,6
Disco 2 (MB) 880,9 880,9
Disco 3 (MB) 2,8
Tabla 9: Tamaño de Archivos de Discos Virtuales Generados por Snapshots

Para ayudar con la preservación de la evidencia una de las técnicas utilizadas y

propuestas es el uso de snapshots, con esto se guarda el estado de la máquina
virtual al momento de generarlo. Entre los archivos creados por el uso de snapshots
se tienen archivos de configuración, archivos de memoria RAM y archivos de discos
virtuales; este conjunto de archivos puede servir para ser analizados dentro de una
investigación forense.

Los discos virtuales generados por snapshots son referenciados hacia el disco
original el cual es guardado y no vuelve a sufrir ningún cambio después de
generado el primer snapshot, esta acción se repite con cada generación de
instantánea que se haga de la máquina virtual.

La Tabla 9 permite comprobar lo antes mencionado, después de realizados 3

snapshots, el tamaño de los discos virtuales previos se mantiene, mientras que el
último archivo de disco virtual es en donde se almacenarán los futuros cambios.
 71

En el snapshot 2, se copiaron datos nuevos por lo que su tamaño es mayor que el

snapshot 3 en donde al contrario se eliminaron archivos, esto no quiere decir que
se borren del disco original, se guardan las referencias a los archivos borrados en
su lugar.

La Figura 41 permite observar la estructura de las instancias generadas, al

momento de regresar a uno de los estados anteriores como al original, se crea un
nuevo estado con una línea diferente, preservando de esta manera todos puntos
de restauración de la máquina virtual.

Figura 41: Vista del Administrador de Snapshots

3.3. APLICABILIDAD DE LAS HERRAMIENTAS ACTUALES EN

LA RECUPERACIÓN DE EVIDENCIA DE UN ENTORNO
VIRTUAL.

Una de las mayores dificultades observadas tiene que ver con la admisibilidad de
los tipos de archivos de evidencias por las herramientas forenses, a pesar de tener
este problema las herramientas utilizadas fueron compatibles en todos los casos,
los procedimientos de adquisición y análisis de evidencias son similares a los
utilizados en máquinas físicas.

La recuperación de archivos es una de las características que ofrecen las

herramientas de análisis forense, por lo que para verificar que esta funcionalidad
se pueda aplicar en entornos virtuales se copiaron y eliminaron archivos en los
discos virtuales, y también en un equipo físico determinando así su efectividad.
 72

Archivos Archivos
Copiados y Recuperados
Sobrescritos
Windows 2008 Virtual 150 70
Linux Virtual 150 107
Mac Virtual 150 0
Windows 8.1 Físico 150 17
Tabla 10: Resultados de Archivos Sobrescritos y Recuperados

Ya que los archivos son sobrescritos varios de estos son eliminados

permanentemente, como prueba de su existencia las herramientas de análisis
forense muestran datos relacionados a los archivos borrados, aunque no puedan
ser recuperados completamente. En la Tabla 10 se puede observar como en la
recuperación de archivos influye el sistema operativo y su forma de eliminar
archivos, Linux recuperando la mayor cantidad de archivos borrados, mientras que
en Mac no se pudo obtener ningún archivo eliminado, lo cual pudo ser causado por
la opción de borrado seguro de archivos que presenta este sistema operativo. A
pesar de haber utilizado una máquina física y una virtual para las pruebas, no causa
una gran diferencia.

Algunas de las herramientas forenses actuales reconocen los tipos de archivo de

discos virtuales, en el análisis de un entorno virtual esto viene a ser una gran
ventaja, reduciendo el tiempo invertido en recolección de evidencias. Una
observación que se debe hacer en este punto es que las evidencias deberían estar
en un formato estándar reconocido por la mayoría de softwares, con esto se
reducirían problemas de compatibilidad de las herramientas forenses.

3.4. GARANTÍA DE LA CADENA DE CUSTODIA EN ENTORNOS

VIRTUALIZADOS.

La cadena de custodia de la evidencia digital inicia desde el momento de

recolección de dicha evidencia, se mantiene durante las etapas de transporte,
almacenamiento y eliminación si es necesario. En un entorno virtual toda la
 73

evidencia disponible es de tipo digital, por tanto la cadena de custodia será aplicada
en cada archivo recolectado como evidencia.

Al estar los archivos de las máquinas virtuales contenidos en un disco físico es

necesario tener en cuenta todas precauciones pertinentes para evitar que dichos
archivos sean alterados, una de estas como se pudo observar son los bloqueadores
de escritura, tanto para el disco virtual como para el físico.

Los resultados mostrados en las Tablas 11 y 12 corresponden a la generación y

comparación de códigos hash de discos duros virtuales, para el caso de VMware
los discos se encuentran divididos en 4 archivos cada uno, razón por la cual es
necesario comparar cada una de sus partes, en el caso de VirtualBox los discos
corresponden a un solo archivo.

La copia de los discos fue realizada hacia otra máquina calculando los códigos
Hash antes y después de su traslado, con esto se comprueba que para realizar la
copia de un disco virtual no hace falta que esta sea bit a bit, basta con transportar
el archivo de disco necesario. El archivo de memoria RAM generado por VMware
también cumple con esta característica, por lo tanto no es necesario una
herramienta extra para su extracción, basta con verificar que no se altere su código
hash.
 74

VERIFICACIÓN DE CODIGOS HASH

Disco Virtual Suspendido VMware

S.O. Original Copia Verificación
Windows C7AF07D7B9838AD71806C97E4F56B08DA1D99799 C7AF07D7B9838AD71806C97E4F56B08DA1D99799 Los Códigos
4C9FEE24FF60099FB0F25E6F1C6E97232F72528A 4C9FEE24FF60099FB0F25E6F1C6E97232F72528A Coinciden
64E082CBCC15F2650B1325FD8312C0DD46DA0279 64E082CBCC15F2650B1325FD8312C0DD46DA0279
A5B56B99690E365F2A53913541282E2E3C0ACED8 A5B56B99690E365F2A53913541282E2E3C0ACED8

Disco Virtual Apagado VMware

Original Copia Verificación
Windows 9BD23C84701E7671D15CDF62538E3BD544F7F9F9 9BD23C84701E7671D15CDF62538E3BD544F7F9F9 Los Códigos
E70D4F60CB079D1C995002798FEB773EBA85BB09 E70D4F60CB079D1C995002798FEB773EBA85BB09 Coinciden
330173C0F6B60595F8B573DDBA9659EE84D184D2 330173C0F6B60595F8B573DDBA9659EE84D184D2
A5B56B99690E365F2A53913541282E2E3C0ACED8 A5B56B99690E365F2A53913541282E2E3C0ACED8
Memoria RAM Equipo Suspendido VMware
Original Copia Verificación
Windows AD0CC497DA3E2B04A5FEF44E263EF1DE50DD1BAA AD0CC497DA3E2B04A5FEF44E263EF1DE50DD1BAA Los Códigos
Coinciden
Tabla 11: Verificación de Códigos Hash de Discos Virtuales y Memoria RAM de Windows
 75

CONCLUSIONES

 La información volátil en un entorno virtual es preservada de mejor manera

ya que son creados archivos donde esta es almacenada, sin la necesidad
de encender el equipo virtual o realizar cambios sobre este archivo su
análisis puede ser realizado, de la misma manera ocurre con la información
volátil almacenada de estados anteriores creados por snapshots. Se debe
destacar también que la información que es posible recolectar en estado
encendido y suspendido es casi igual, una vez reiniciado el equipo se pierde
dicha información.

 El uso de snapshots es una de las medidas utilizadas para la preservación

de la evidencia, los cuales guardan toda la información de la máquina virtual
en un momento determinado de tiempo, las instancias de discos duros y
memoria RAM creados no son alterados aunque se haga uso del equipo, la
imagen del disco virtual original es preservada desde un inicio, por lo que en
cualquier momento se puede retornar a un estado guardado y realizar un
análisis sin alterar la evidencia.

 El uso de herramientas para la recuperación de archivos borrados puede ser

aplicado a entornos virtuales sin problemas, sin embargo no en todos los
casos estos archivos pueden ser recuperados en su totalidad basado en las
operaciones realizadas como el caso de sobrescribir datos. El número de
archivos recuperados de un disco físico y virtual no muestra una gran
variación, pero por pequeña que sea es mayor la cantidad recuperada de
discos virtuales.

 Al ser el disco virtual y la memoria RAM archivos contenidos en un disco

físico no es necesario realizar una copia bit a bit de los mismos, esto se pudo
demostrar realizando la copia de dichos archivos a un dispositivo externo y
 76

verificando su integridad mediante la comprobación de códigos hash. De

esta manera se garantiza la cadena de custodia que será aplicada en
evidencia de este tipo.

 La metodología propuesta, junto con las pruebas realizadas para la

recolección y análisis de evidencias, conforman un grupo de mejores
prácticas las cuales pueden ser aplicadas en casos similares en donde el
objetivo sea el estudiar equipos virtuales, reduciendo el tiempo invertido y
asegurando que los procesos utilizados son los adecuados.
 77

RECOMENDACIONES

 Instructivos con respecto a la aplicación de la informática forense han sido

propuestos por entidades como la Policía Nacional y la Fiscalía General del
Estado, dichos instructivos trabajan por separado, por lo que es
recomendable la realización de un instructivo en conjunto por parte de estas
entidades a cargo de llevar procesos de informática forense.

 Las herramientas evaluadas trabajan en óptimas condiciones bajo una

extensión de archivo estándar, por lo que se recomienda para la industria
desde un inicio definir qué tipo de archivo se utilizará (.e01, .s01, .aff, .001,
.AD1, .dd, .raw), una opción es utilizar archivos con extensión .raw para la
recolección de evidencias, el cual es admitido por la mayoría de
herramientas.

 Los snapshots ayudan tanto a empresas como a investigadores forenses

preservando el estado de la máquina en un punto determinado de tiempo,
por lo que es recomendable hacer uso de estos como una medida de
seguridad realizándolos periódicamente, siendo un punto de restauración del
estado de la máquina y su información.

 Una de las tareas realizadas con frecuencia por un investigador forense es

la de recuperar información eliminada de un equipo, razón por la cual se
recomienda utilizar herramientas que para esta tarea tengan un alto
porcentaje de éxito en la recuperación de archivos borrados.
 78

BIBLIOGRAFÍA

[1] O. López, H. Amaya, R. León y B. Acosta, «INFORMÁTICA FORENSE:

GENERALIDADES, ASPECTOS TÉCNICOS Y HERRAMIENTAS,» 2002.

[2] IOCE, «Federal Bureau of Investigation,» [En línea]. Available:

https://www.fbi.gov/about-us/lab/forensic-science-
communications/fsc/april2000/swgde.htm/. [Último acceso: 30 03 2016].

[3] L. Á. Gómez, «La informática forense, una herramienta para combatir la

ciberdelincuencia,» pp. 133-150.

[4] C. Altheide y H. Carvey, «Digital Forensics With Open Source Tools,» de

Digital Forensics With Open Source Tools, New York, Elsevier, 2011, pp. 1-
8.

[5] D. Donoso y D. Quiñónez, «Investigación Forense: Estudio para determinar

los métodos usados en la Intrusión del caso del Banco JBR,» Guayaquil,
2013.

[6] F. Castañeda, V. Rojas y N. Villanueva, Evaluación de herramientas para

análisis forense orientado a discos duros, Mexico, 2009.

[7] G. Ajoy, «Guidelines for the Management of IT Evidence,» de Incident

Response and Forensics Workshop, Hong Kong, 2004.

[8] G. Zuccardi y J. D. Gutiérrez, Informática Forense, 2006.

[9] EcuRed, «EcuRed,» 2015. [En línea]. Available:

http://www.ecured.cu/Inform%C3%A1tica_Forense. [Último acceso: 2
Diciembre 2015].

[10] W. Moura, «Portal de gobierno electrónico, inclusión digital y sociedad del

conocimiento,» 22 Noviembre 2012. [En línea]. Available:
http://www.egov.ufsc.br/portal/conteudo/evidencia-digital-en-colombia-una-
 79

reflexi%C3%B3n-en-la-pr%C3%A1ctica. [Último acceso: 15 Diciembre

152015].

[11] J. L. Rivas, Análisis Forense de Sistemas Informáticos, Barcelona: Eureca

Media, SL, 2009.

[12] M. López, «Análisis Forense Digital,» Hackers & Seguridad, pp. 1-32, 2007.

[13] A. Martínez, «Instituto Nacional De Ciberseguridad De España,» 18 06

2014. [En línea]. Available:
https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_com
entarios/rfc3227. [Último acceso: 21 11 2015].

[14] Microsoft, «Microsoft,» [En línea]. Available:

http://windows.microsoft.com/es-xl/windows/what-information-event-logs-
event-viewer#1TC=windows-7. [Último acceso: 5 Diciembre 2015].

[15] I. García, «Normas que lo Rigen y los derechos humanos,» de

Procedimiento pericial médico-forense, Mèxico, Porrùa, 2009, pp. 242-243.

[16] L. E. Arellano y C. M. Castañeda, «La cadena de custodia informático-

forense,» ACTIVA, nº 3, pp. 67-81, 2012.

[17] FGE, «Fiscalìa Genelar del Estado,» 8 Agosto 2014. [En línea]. Available:
http://www.fiscalia.gob.ec/index.php/sala-de-prensa/2415. [Último acceso:
5 Diciembre 2015].

[18] Tracksinspector, «Tracksinspector,» 2015. [En línea]. Available:

https://tracksinspector.com/product. [Último acceso: 8 Diciembre 2015].

[19] J. L. Rivas y C. Fragoso, «Análisis Forense,» de Seminarios Técnicos

Avanzados Microsoft Technet, Madrid, 2006.

[20] DibsForensics, «Dibs Forensics,» 2011. [En línea]. Available:

http://www.dibsforensics.com/raid%20_rapid.html. [Último acceso: 20 Mayo
2016].
 80

[21] McAfee, «IntelSecurity,» 2015. [En línea]. Available:

http://www.mcafee.com/us/downloads/free-tools/forensic-toolkit.aspx.
[Último acceso: 30 Noviembre 2015].

[22] B. Carrier, «The Sleuth Kit,» 2015. [En línea]. Available:

http://www.sleuthkit.org/autopsy/. [Último acceso: 29 Noviembre 2015].

[23] e-fense, «e-fense Carpe Datum,» 2014. [En línea]. Available: http://www.e-
fense.com/products.php. [Último acceso: 8 Diciembre 2015].

[24] S. Guidance, «Guidance Software,» 2015. [En línea]. Available:

https://www2.guidancesoftware.com/Lang/Pages/es/Productos-
EnCase.aspx. [Último acceso: 1 Diciembre 2015].

[25] D. Barret y G. Kipper, «Benefits of Virtualization,» de Virtualization and

Forensics, New York, Elsevier, 2010, pp. 20-23.

[26] Y. Fernández y K. García, «Virtualización,» Revista digital de las tecnologías

de la información y las comunicaciones, vol. 10, nº 3, pp. 61-73, 2011.

[27] «Microsoft,» 2015. [En línea]. Available: https://technet.microsoft.com/es-

es/library/cc742460.aspx. [Último acceso: 30 Noviembre 2015].

[28] O. Corporation, «Virtualbox,» 2016. [En línea]. Available:

https://www.virtualbox.org/manual/ch05.html#vdidetails. [Último acceso: 08
03 2016].

[29] S. Stafford y A. Weeks, «Ibiblio,» 2003. [En línea]. Available:

https://www.ibiblio.org/pub/linux/docs/LDP/system-admin-
guide/translations/es/html/ch06s08.html. [Último acceso: 18 Abril 2016].

[30] M. Pérez, «Geekytheory,» 30 Octubre 2013. [En línea]. Available:

https://geekytheory.com/sistemas-de-archivos-fat32-ntfs-ext3-y-ext4/.
[Último acceso: 20 Mayo 2016].
 81

[31] V. Heredia, «El Comercio,» 2 Abril 2015. [En línea]. Available:

http://www.elcomercio.com/actualidad/policia-ninas-pornografia-infantil-
quito.html. [Último acceso: 18 Diciembre 2015].

[32] S. Ortiz, «El Comercio,» 15 Abril 2015. [En línea]. Available:

http://www.elcomercio.com/actualidad/peritosinformaticos-cibermafias-
delitos-ecuador.html. [Último acceso: 18 Diciembre 2015].

[33] V. Meera, M. Meera y C. Balan, Forensic Acquisition and Analysis of

VMware Virtual Machine Artifacts, 2013.

[34] J. Flores y T. Atkison, Digital Forensics on a Virtual Machine, 2011.

[35] Z. Shuhui, W. Lianhai y H. Xiaohui, A KVM virtual machine memory forensics

method based on VMCS, 2014.

[36] G. Liu, L. Wang, S. Zhang, S. Xu y L. Zhang, Memory Dump and Forensic

Analysis Based on Virtual Machine, Tianjin, 2014.

[37] A. Huseinović y S. Ribić, Virtual Machine Memory Forensics, Belgrado,

2013.

[38] Peritoit, «Perito Informático y Tecnológico,» 23 Octubre 2012. [En línea].

Available: https://peritoit.com/2012/10/23/isoiec-270372012-nueva-norma-
para-la-recopilacion-de-evidencias/. [Último acceso: 2016 Febrero 20].

[39] K. Kent, S. Chevalier, T. Grance y H. Dang, Guide to Integrating Forensic

Techniques into Incident Response - NIST, 2006.

[40] NIJ, Forensic Examination of Digital Evidence: A Guide for Law

Enforcement, United States, 2004.

[41] J. Sylve, «GitHub,» 17 Julio 2015. [En línea]. Available:

https://github.com/504ensicsLabs/LiME/tree/master/doc. [Último acceso: 21
Febrero 2016].
 82

[42] J. Calles, «Flu-Project,» 17 Septiembre 2013. [En línea]. Available:

http://www.flu-project.com/2013/09/herramientas-forense-para-ser-un-
buen_7505.html. [Último acceso: 11 Julio 2016].

[43] S. Roming, «Forensic Computer Investigations,» 2010.

[44] J. Ardita, «Metodología de Análisis Forense Informático,» Argentina, 2007.

[45] National Instruments, «National Instruments (NI),» 10 Diciembre 2014. [En

línea]. Available: http://www.ni.com/white-paper/9629/en/. [Último acceso:
10 Diciembre 2015].

[46] «PCWorld Mexico,» 26 Septiembre 2011. [En línea]. Available:

http://www.pcworld.com.mx/Articulos/18470.htm. [Último acceso: 15
Diciembre 2015].

[47] «Noticias de Seguridad Informática,» 24 Noviembre 2015. [En línea].

Available: http://noticiasseguridad.com/seguridad-informatica/diferentes-
tipos-de-formatos-de-la-imagen-de-un-disco-duro-virtual/. [Último acceso:
10 Diciembre 2015 ].

[48] Armando, «Sistemas Operativos,» Enero 2014. [En línea]. Available:

http://cetemso.blogspot.com/2014/01/montar-un-disco-duro-virtual-en-
virtual.html. [Último acceso: 15 Diciembre 2015].

[49] FGE, «Fiscalía General del Estado,» 13 Junio 2015. [En línea]. Available:
http://www.fiscalia.gob.ec/index.php/sala-de-prensa/3630-los-delitos-
inform%C3%A1ticos-van-desde-el-fraude-hasta-el-espionaje.html. [Último
acceso: 8 Diciembre 2015].

[50] C. Gervilla, «UOC,» Diciembre 2014. [En línea]. Available:

http://openaccess.uoc.edu/webapps/o2/bitstream/10609/39681/6/cgervillar
TFM1214memoria.pdf. [Último acceso: 20 02 2016].
 83

ANEXOS

ANEXO A – FORMULARIO PARA RECOLECCIÓN DE EVIDENCIAS

EVIDENCIA

Caso No:
Ítem No:
Fecha de Recogida:
Tiempo de Recogida:
Recogido por:
Distintivo No:
Descripción de la Evidencia Adquirida:

Lugar de recogida:

Tipo de Delito:
Nombre de la Victima:
Nombre del Sospechoso:
 84

ANEXO B - FORMULARIO DE CADENA DE CUSTODIA

Caso #:

Ítem No: Descripción:

Fabricante: Modelo: No de Serie: Otros Identificadores:

Ítem No: Descripción:

Fabricante: Modelo: No de Otros Identificadores:
Serie:

Ítem No: Descripción:

Fabricante: Modelo: No de Serie: Otros
Identificadores:

CADENA DE CUSTODIA

Ítem No: Fecha/Tiempo Emitido Por Recibido Razón/Motivo

Por

Identificador Hora y Fecha Nombre Nombre Número de

encargado investigador caso
 85

NEXO C - FORMULARIO EVIDENCIA DE COMPUTADOR

Número de Caso: Número de Objeto:

Número de Laboratorio: Número de Control:

Información del Computador:

Fabricante: Modelo:
Número de serie:
Marcas del examinador:
Tipo de Computador:
Condición del computador:
Número de Discos Duros:
Otros Dispositivos:

Elementos Extras

Número Tipo Donde se Encontró

Observaciones
 86

ANEXO D - FORMULARIO DISPOSITIVOS EXTRAIBLES

Número de Caso: Número de Objeto:

Número de Laboratorio: Número de Control:

Tipo de Dispositivo:

Examen

Número de Almacenado Duplicado Examinado Búsqueda por

Objeto Palabras
Clave
---- X X X X

Investigador :

Fecha :

Revisión de Supervisor :

Fecha :
 87

ANEXO E - FORMULARIO DE EVIDENCIA DE DISCO DURO

Número de Caso: Número de Objeto:

Número de Laboratorio: Número de Control:

Etiqueta de Información de Disco Duro #

Fabricante:
Modelo:
Número de Serie:
Capacidad: Cilindros:
Cabeceras: Sectores:
Versión de Controlador:
IDE: 50Pin SCSI: 68Pin SCSI: 80Pin SCSI:
80Pin SCSI: Otros:
Jumper: Maestro: Esclavo: Indeterminado:

INFORMACIÓN DE PLATAFORMA DE ANÁLISIS

Sistema Operativo Usado: DOS:_____ Windows:_____ Mac:_____

*Unix:_____ Otro:_____
Versión:
________________________________________________________________
_______
Software Base de Análisis: I-Look:____ Encase:_____ Utilitarios
DOS:_____ Utilitarios *Unix:_____
Otros:
Versión:
________________________________________________________________
_______
 88

Lista de Utilitarios Extras

Nombre Versión Propósito

Hitos de Análisis

Hito Observaciones Iniciales

Análisis Antivirus
Lista de Archivos con Meta
Datos
Identificar
Usuarios/Ingresos/ cuentas
ISP, etc.
Examinar Sistema de
archivos
Búsqueda por palabras
clave
Recuperación de
cabeceras Web/E-mail
Recuperar y Examinar
Espacio Libre
Examinar SWAP
Recuperar Archivos
Borrados
Examinar/Recuperar
Mail/Chat
Recuperar Contraseñas