Forense Digital y Cadena de Custodia
Adquisición de evidencias, cadena de custodia, análisis de memoria y artefactos Windows
Principios del Forense Digital
El objetivo del forense digital es responder a: ¿Qué ocurrió? ¿Cuándo? ¿Quién? ¿Cómo? — de forma que las conclusiones sean reproducibles, verificables y admisibles como evidencia legal si es necesario.
No contaminar la evidencia
Toda acción sobre el sistema original altera potencialmente la evidencia. Por eso se trabaja siempre sobre copias.
Orden de volatilidad
Recoger primero los datos más volátiles: RAM > conexiones de red > procesos activos > disco. La RAM desaparece al apagar.
Integridad (hash)
Verificar que la copia es bit-a-bit idéntica al original mediante hashes MD5+SHA-256.
Cadena de custodia
Documentar quién ha tenido acceso a cada evidencia, cuándo y por qué. Sin cadena, la evidencia puede ser impugnable.
Adquisición de Evidencias
Imagen de Disco (Bit-a-bit)
Copia exacta de todos los sectores del disco, incluyendo espacio no asignado y ficheros borrados (recuperables).
# dd — clonar disco y verificar integridad
dd if=/dev/sda of=/evidence/disk.img bs=512 status=progress
md5sum /dev/sda /evidence/disk.img
sha256sum /evidence/disk.img > disk.img.sha256
# FTK Imager — interfaz gráfica, más recomendado
# Autopsy, Sleuth Kit — análisis de imagen
Captura de Memoria RAM
La RAM contiene procesos en ejecución, claves de cifrado, conexiones de red activas, credenciales en texto claro (en algunos casos). Dato volátil: desaparece al apagar.
# Windows: WinPmem (open source)
winpmem_mini_x64.exe memory.raw
# Linux: LiME (Loadable Kernel Module)
insmod lime.ko "path=/tmp/memory.lime format=lime"
# Análisis con Volatility 3
vol -f memory.raw windows.pslist
vol -f memory.raw windows.netscan
vol -f memory.raw windows.malfind # inyecciones
Artefactos Forenses Windows Clave
Windows Registry (Run keys)
HKCU/HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Persistencia de malware. Clave Run ejecuta binarios al inicio de sesión. Analizar con RegRipper o Regipy.
Prefetch Files
C:\Windows\Prefetch\*.pf
Windows guarda info de los últimos 128 ejecutables. Permite saber qué programas se ejecutaron y cuándo, incluso si fueron borrados.
Windows Event Logs
C:\Windows\System32\winevt\Logs\*.evtx
Security.evtx (logons 4624/4625), System.evtx, Application.evtx. Herramientas: Chainsaw, Hayabusa para análisis rápido.
NTFS $MFT (Master File Table)
Raíz del volumen NTFS
Metadatos de todos los ficheros: timestamps (created, modified, accessed, MFT changed), inode, permisos. Detectar timestomping.
Browser Artifacts
AppData\Local\{Browser}
Historial de navegación, cookies, caché de descarga. Útil para investigar descarga de malware o exfiltración via web.
Shellbags
NTUSER.DAT (registry)
Ventanas de explorador que el usuario abrió. Persiste incluso tras borrar ficheros. Prueba de que el usuario accedió a ciertos directorios.
Cadena de Custodia
Documentación formal que registra cada persona que ha tenido acceso a la evidencia, el propósito y el tiempo. Sin ella, la evidencia puede ser impugnable ante un tribunal.
# Campos mínimos de un formulario de cadena de custodia
Evidencia ID: EV-2024-001
Descripción: Disco duro Seagate 1TB, SN: ST1000DM003
Hash MD5: a3f5e8c2d1b4...
Hash SHA-256: 7d4a9b1c2e3f...
Caso: INC-2024-042
Transferencias:
2024-01-15 14:30 Juan García → María López [Análisis forense]
2024-01-16 09:00 María López → Almacén [Custodia]
Buenas Prácticas
Nunca trabajar directamente sobre la evidencia original — siempre sobre copias verificadas.
Documentar cada acción realizada durante el análisis (notas de investigación).
Calcular y verificar hashes antes y después de la adquisición.
Aislar el sistema comprometido de la red antes de adquirir evidencias (sin apagarlo si hay datos en RAM).
Seguir el orden de volatilidad: RAM → procesos → red → disco → logs.
Para casos con implicaciones legales, involucrar al equipo legal y RRHH desde el inicio.
Siguiente Paso
Aprende sobre ingeniería social: phishing, vishing y técnicas de engaño
Ingeniería Social: Phishing y Vishing →