1
00:00:00,110 --> 00:00:07,530
Buenos días Beatriz, hoy día 8 de mayo a las 10 de la mañana estamos convocados a través de

2
00:00:07,530 --> 00:00:12,789
Jefatura de Departamento para la defensa del módulo profesional de proyecto del ciclo formativo

3
00:00:12,789 --> 00:00:18,370
de grado superior de administración de sistemas informáticos en red. Te informo que esta grabación

4
00:00:18,370 --> 00:00:24,370
se va a usar en entorno cerrado de Ocamadrid con fines educativos y sólo estará a disposición

5
00:00:24,370 --> 00:00:30,589
de los profesores evaluadores en el aula virtual para llevar a cabo la evaluación y calificación

6
00:00:30,589 --> 00:00:36,689
de la defensa de proyecto. En el aula virtual de proyecto habéis sido informados de los

7
00:00:36,689 --> 00:00:42,450
criterios y rúbrica de calificación y el orden de la presentación del proyecto es

8
00:00:42,450 --> 00:00:51,270
el siguiente. 15 minutos máximo para defender el proyecto, 5 minutos para preguntas por

9
00:00:51,270 --> 00:00:58,530
parte del tribunal. Y dicho esto, tu tiempo de exposición comienza a partir de este momento.

10
00:00:59,030 --> 00:01:04,849
Cuando queden cinco minutos yo te voy a avisar para que esa forma te sea más sencillo. Adelante

11
00:01:04,849 --> 00:01:12,349
y mucha suerte, Beatriz. De acuerdo, muchas gracias. Lo primero que voy a hacer es hacer

12
00:01:12,349 --> 00:01:18,209
la presentación de PowerPoint. Te la voy a enseñar. Te voy a explicar un poco por encima

13
00:01:18,209 --> 00:01:23,209
de qué trata el proyecto, en qué me he basado y demás.

14
00:01:23,609 --> 00:01:25,010
Venga, pues cuando quieras, de artículo.

15
00:01:26,750 --> 00:01:34,790
Principalmente el proyecto lo quería basar en todo lo que es análisis forense orientado al entorno informático.

16
00:01:35,349 --> 00:01:42,650
Es algo muy general y lo que me he centrado más ha sido en un área que he considerado que es bastante interesante

17
00:01:42,650 --> 00:01:51,590
y además es aplicable a muchísimos ámbitos, que es, por un lado, la recuperación de información, la recuperación de datos,

18
00:01:51,590 --> 00:02:01,590
que para ello será necesario hacer copias forenses de los dispositivos que queramos analizar y luego en sí lo que es en el análisis.

19
00:02:03,469 --> 00:02:10,810
Bueno, esto es una pequeña introducción de la motivación, pues eso, que el análisis forense se ha convertido en una herramienta crucial

20
00:02:10,810 --> 00:02:18,430
para la investigación de delitos regulares, normales, delitos informáticos e incluso la recuperación de datos.

21
00:02:18,870 --> 00:02:23,330
Aquí buscamos explorar las metodologías, herramientas y prácticas actuales de este campo,

22
00:02:23,830 --> 00:02:28,949
destacando por su importancia la detección y recuperación de datos perdidos o robados.

23
00:02:29,449 --> 00:02:33,669
A través del uso de herramientas forenses, este proyecto aborda la creación de imágenes forenses,

24
00:02:33,810 --> 00:02:37,849
recuperación de datos y el análisis de los dispositivos digitales en un entorno controlado.

25
00:02:40,810 --> 00:02:48,050
En este caso, lo que hemos utilizado finalmente para realizar el proyecto y hacer estas prácticas

26
00:02:48,050 --> 00:02:54,909
ha sido un pendrive que estaba corrupto, que inicialmente tenía una imagen de recuperación de Windows que no funcionaba

27
00:02:54,909 --> 00:03:01,169
y luego además hemos creado un entorno controlado con una máquina virtual y con Windows 10

28
00:03:01,169 --> 00:03:08,009
en el que hemos introducido imágenes, hemos añadido archivos de texto plano con el Quijote,

29
00:03:08,009 --> 00:03:24,270
Entonces hemos metido algunas modificaciones, otro documento lo hemos eliminado y otro simplemente lo hemos dejado en el escritorio, porque así sabíamos qué era lo que habíamos introducido en este sistema para luego poder reconocer qué es lo que detectaba la herramienta de análisis.

30
00:03:24,270 --> 00:03:28,710
Por un lado hemos hecho creación de imágenes forenses

31
00:03:28,710 --> 00:03:34,030
que para este caso lo que hemos utilizado ha sido FTK y MAFER

32
00:03:34,030 --> 00:03:36,430
manipulación y recuperación de datos

33
00:03:36,430 --> 00:03:38,969
que es un poco lo que os he comentado

34
00:03:38,969 --> 00:03:43,229
sobre la descarga de imágenes y modificación de documentos

35
00:03:43,229 --> 00:03:46,669
un análisis de los datos recuperados y la documentación

36
00:03:46,669 --> 00:03:51,770
que realmente la documentación sería lo que es el proyecto en sí, el FTC

37
00:03:51,770 --> 00:04:02,110
Para el análisis de investigación, pues eso, hemos utilizado FTK Imager, que es una herramienta muy potente y con la ventaja es que es muy sencilla de utilizar.

38
00:04:02,530 --> 00:04:09,990
Facilita la creación de imágenes forenses exactas a las originales sin alterar la información original, porque hace copias bit a bit.

39
00:04:10,990 --> 00:04:18,529
Luego hemos utilizado también Recuba, que es una herramienta relativamente sencilla y útil para la recuperación de archivos borrados o perdidos.

40
00:04:18,529 --> 00:04:41,550
Hay una versión de pago, pero nosotros nos hemos orientado a la versión gratuita. Y Autopsy, que es una herramienta súper potente, que tiene una interfaz gráfica muy intuitiva, es una herramienta muy completa y realmente lo que nos hemos dado cuenta es que para poder sacarle todo el partido que tiene esta herramienta, habría que dedicar prácticamente una investigación a ella.

41
00:04:41,550 --> 00:05:01,149
Porque tiene muchísimas posibilidades. Además de que tiene la opción de agregar módulos dependiendo un poco qué es lo que queramos encontrar. Esta es una pequeña descripción de cada una de las herramientas. Nos hemos basado un poco en los usos más sencillos o más directos.

42
00:05:01,149 --> 00:05:05,930
Luego esto sería una pequeña imagen de lo que es Recuba

43
00:05:05,930 --> 00:05:13,870
Que ahora lo veremos igualmente porque tengo un vídeo preparado con el desarrollo de estas herramientas para el proyecto

44
00:05:13,870 --> 00:05:18,310
Y luego aquí tenemos Autopsy, que es lo que decía, que es que esto es una barbaridad

45
00:05:18,310 --> 00:05:22,910
Tiene un montón de posibilidades, opciones y muchísimos detalles

46
00:05:22,910 --> 00:05:29,170
Además que también tiene la opción de tener varios reportes

47
00:05:29,170 --> 00:05:56,589
que en este caso el que está a la izquierda es para que te descubra o que te encuentre todas las imágenes y que las puedas ver y que las puedas catalogar por tamaño y por otras opciones y luego lo de la derecha es que te crea un histograma que sería súper útil en el caso de tener que hacer un reporte, a lo mejor más orientado a una investigación policial o una investigación con usos más serios.

48
00:05:56,589 --> 00:06:12,949
Porque aquí podemos ver el uso del dispositivo a lo largo del tiempo y esto nos ayudaría a crear una historia en base del tiempo de lo que ha ocurrido con ese dispositivo.

49
00:06:12,949 --> 00:06:20,769
Uno de los puntos principales que hemos descubierto es que el uso de las buenas prácticas es fundamental

50
00:06:20,769 --> 00:06:30,930
Porque si no, mucha de la investigación o mucho de lo que podamos descubrir no valdría de nada porque se anularía

51
00:06:30,930 --> 00:06:36,009
En un primer punto sería el uso de imágenes forenses

52
00:06:36,009 --> 00:06:43,610
porque hemos descubierto, y ahora lo veremos en el vídeo, que hay muy poca variación respecto a investigar el dispositivo original.

53
00:06:44,329 --> 00:06:50,810
Hacer un uso de una imagen y nunca de los dispositivos, que serían en este caso pruebas, es obligatorio

54
00:06:50,810 --> 00:06:58,170
porque así nos aseguramos de no comprometer ninguna de estas pruebas, ya que simplemente accediendo a un dispositivo podemos estar modificándolo.

55
00:06:58,170 --> 00:07:12,209
Los bloqueadores de escritura, precisamente porque es muy sencillo manipular estos dispositivos, es necesario poder bloquearlo, porque además así mantendremos la cadena de custodia de cualquiera de las pruebas.

56
00:07:12,209 --> 00:07:36,149
Es decir, podemos asegurar que desde el momento que recibimos ese dispositivo hasta su uso final no ha tenido ninguna modificación. La documentación también es algo fundamental, ya que debemos hacer un registro detallado de todos los procesos y procedimientos utilizados durante la investigación para luego poder rehacer o reconstruir esa historia que queramos demostrar.

57
00:07:36,149 --> 00:07:52,670
Así además daremos transparencia y credibilidad a la investigación. Revisión y validación de herramientas. Esto es porque no vale cualquier herramienta. Tenemos que asegurarnos que las herramientas que utilizamos sean verídicas, que nos enseñen lo que realmente hay ahí.

58
00:07:52,670 --> 00:08:08,509
Y además esto no es algo que nos valga una vez. A lo mejor las herramientas que hemos utilizado hoy, de aquí a seis meses, no son las mejores o ha sucedido algo que hace ver que no son las indicadas. Entonces, esto es un trabajo continuo de investigación.

59
00:08:08,509 --> 00:08:11,550
pruebas de integridad de los datos

60
00:08:11,550 --> 00:08:15,209
esto es porque debemos asegurar que estos datos son reales

61
00:08:15,209 --> 00:08:17,490
y esto se hace a través de la suma de verificación

62
00:08:17,490 --> 00:08:19,930
y los cambios criptográficos

63
00:08:19,930 --> 00:08:25,459
y luego los desafíos y el aprendizaje de este proyecto

64
00:08:25,459 --> 00:08:29,500
las conclusiones a las que hemos llegado

65
00:08:29,500 --> 00:08:30,639
es que es muy

66
00:08:30,639 --> 00:08:33,340
la fragilidad de la veracidad de las pruebas

67
00:08:33,340 --> 00:08:36,720
todo lo que hemos comentado de lo sencillo que es manipularlas

68
00:08:36,720 --> 00:08:48,279
De forma, sea queriendo o sin querer. El uso de herramientas, es necesario hacer una investigación de estas herramientas y de su uso.

69
00:08:48,820 --> 00:08:55,659
Y hay configuraciones que no son para nada sencillas y hay que dedicar mucho tiempo y estudio para poder utilizarlas.

70
00:08:55,659 --> 00:09:07,799
Y luego también algo fundamental es confirmar que la información que hemos recibido o que hemos adquirido sea real y que sea la misma que estaba en el dispositivo original.

71
00:09:07,799 --> 00:09:14,220
Luego también lo que comentaba un poco al principio

72
00:09:14,220 --> 00:09:15,639
sobre la máquina virtual

73
00:09:15,639 --> 00:09:18,919
hemos estado pensando bastante

74
00:09:18,919 --> 00:09:21,340
la forma en la que podemos detectar

75
00:09:21,340 --> 00:09:22,740
que los datos que queremos

76
00:09:22,740 --> 00:09:29,720
reconocer los archivos que hemos copiado

77
00:09:29,720 --> 00:09:33,179
para poder entender la manipulación que pueda haber detrás

78
00:09:33,179 --> 00:09:34,960
sean realmente los nuestros

79
00:09:34,960 --> 00:10:03,519
Por eso hemos utilizado imágenes que son muy fáciles de identificar o el texto del pijote. Luego, utilizar distintos escenarios, la recreación de la máquina virtual y conseguir que fuera compatible con Autopsy, esto también ha sido un reto, ya que Autopsy inicialmente no era compatible con el formato en el que teníamos la máquina virtual y ahí tuvimos que hacer una modificación de la extensión para poder hacerlo compatible con Autopsy.

80
00:10:03,519 --> 00:10:28,600
Luego los tiempos de carga de recursos son muy largos y necesitan dispositivos, ordenadores con muchos recursos. La localización de información fiable, esto es porque a la hora de buscar información en distintas fuentes hemos tenido que ser muy selectivos porque muchas de estas fuentes lo que realmente querían hacer era promocionar sus propios productos.

81
00:10:28,600 --> 00:10:35,799
Ahora voy a proceder a exponer el vídeo y voy a explicar un poco por encima

82
00:10:35,799 --> 00:10:43,139
a ver cuáles han sido los procesos que hemos llevado a cabo

83
00:10:43,139 --> 00:10:52,600
Vale, aquí inicialmente estamos analizando el pendrive en sí

84
00:10:52,600 --> 00:10:57,179
¿Por qué? Porque queríamos ver la diferencia de un análisis

85
00:10:57,179 --> 00:11:01,820
de intentar recuperar los archivos directamente desde el dispositivo

86
00:11:01,820 --> 00:11:09,019
y luego más adelante lo vamos a hacer con una copia digital para ver lo veraz que son las copias digitales.

87
00:11:09,500 --> 00:11:11,299
En este caso estamos utilizando Recuba.

88
00:11:11,860 --> 00:11:17,299
Hemos seleccionado la opción de análisis profundo, porque si no hay muchos archivos que se quedan fuera.

89
00:11:17,740 --> 00:11:24,600
Y aquí vemos el resultado. Este análisis ha tardado más de una hora, una hora y 42 minutos, para un pendrive de 8 GB.

90
00:11:25,259 --> 00:11:30,460
Tenemos archivos que están con el puntito rojo, que son irrecuperables, y con puntito verde.

91
00:11:30,460 --> 00:11:39,639
En esta ocasión vamos a intentar recuperar todos los archivos que ha detectado que se han eliminado o que alguna vez han existido en este dispositivo.

92
00:11:42,490 --> 00:11:48,169
Entonces aquí necesitamos seleccionar la ruta de destino de estos dispositivos recuperados.

93
00:12:07,879 --> 00:12:17,940
Aquí tenemos el resultado. Como vemos hay muchos errores de datos porque son todos los que tenían el puntito rojo que ya el programa en sí los detectaba como irrecuperables.

94
00:12:17,940 --> 00:12:33,159
Pero aquí podemos ver que aparte de los 1.227 archivos detectados, ha recuperado de forma total 209 y de forma parcial 1.018. Los que son de forma parcial ahora veremos que no son accesibles.

95
00:12:33,159 --> 00:12:35,399
Cinco minutos, Beatriz

96
00:12:35,399 --> 00:12:41,500
Vale, pues vamos a pasar

97
00:12:41,500 --> 00:12:43,059
Voy a adelantar un poquito más

98
00:12:43,059 --> 00:12:45,179
Luego hacemos otra recuperación

99
00:12:45,179 --> 00:12:47,539
Solamente con los archivos que sean recuperables

100
00:12:47,539 --> 00:12:48,720
Con los que tiene el puntito verde

101
00:12:48,720 --> 00:12:50,919
Y recupera otros

102
00:12:50,919 --> 00:12:53,179
221

103
00:12:53,179 --> 00:12:54,919
En total, acaba recuperando

104
00:12:54,919 --> 00:12:56,659
430 archivos

105
00:12:56,659 --> 00:13:02,580
Vale, estos son los archivos que ha recuperado

106
00:13:02,580 --> 00:13:04,440
He de decir que este pendrive lo compré

107
00:13:04,440 --> 00:13:06,419
De segunda mano y yo no conozco a ninguna

108
00:13:06,419 --> 00:13:07,320
De estas personas

109
00:13:07,320 --> 00:13:35,779
Así que es algo que ha pasado por muchas manos, la tienda que lo vendió no hizo una eliminación correcta de la información y tenemos información de gente que no conocemos y de hecho si vemos los detalles de los archivos son de 2012 y te aparece incluso la cámara que es una Nikon que lo ha realizado y vemos aquí que este es lo que realmente tiene actualmente el dispositivo, que es eso, un intento de imagen de recuperación de Windows.

110
00:13:35,779 --> 00:13:43,480
entonces ahora lo que vamos a hacer aquí es una copia forense de este dispositivo para trabajar

111
00:13:43,480 --> 00:13:48,100
sobre ella que es la forma correcta de hacerlo porque como he comentado antes nunca se debe

112
00:13:48,100 --> 00:13:54,200
trabajar sobre el dispositivo original inicialmente hace un análisis busca un poco por los sectores

113
00:13:54,200 --> 00:14:02,960
aquí le ponemos nombre al caso y seleccionamos el pendrive que en este caso es la letra del disco

114
00:14:02,960 --> 00:14:18,700
Ahora lo que procedemos es a montar la copia que nos ha hecho como si fuera otro disco, que en este caso lo que nos da como letra disponible va a ser la F.

115
00:14:20,399 --> 00:14:28,379
Hemos sacado el pendrive y vamos a iniciar el escaneo, la recuperación de archivos directamente de la imagen.

116
00:14:28,379 --> 00:14:52,220
Y vemos que ha detectado, vale, espera, un poquito más adelante nos lo dice. Bueno, aquí seleccionamos la ruta en la que queremos que nos saque los archivos recuperados y aquí vemos que ha podido recuperar 430, que es exactamente los mismos archivos que hemos recuperado de la copia del pendrive original.

117
00:14:52,220 --> 00:15:17,370
Y vemos aquí que solo vemos archivos de estas personas que no conocemos. Ahora vamos a trabajar un poquito con Autopsy. Vamos a crear el caso, vamos a seleccionar la ruta y le vamos a dar como primera fuente de pruebas la imagen que hemos creado del pendrive.

118
00:15:17,370 --> 00:15:41,539
Si vemos aquí es el disco local F y aquí seleccionamos dentro de los módulos, perdón, los que queremos que revisen y de forma anterior mientras hacía el proyecto ya le pude meter el módulo de los hash que es bastante importante introducirlo y aquí además vamos a seleccionar también las imágenes que hemos podido recuperar del pendrive.

119
00:15:41,539 --> 00:16:02,740
Y aquí vemos todo lo que ha conseguido encontrar. Tenemos imágenes, tenemos vídeos, tenemos archivos que han podido ser eliminados de alguna forma, tenemos la opción de ver también todos los metadatos, también utiliza las palabras clave.

120
00:16:02,740 --> 00:16:16,580
Hay también, si encuentra dentro de algún archivo, correos electrónicos. También, como vemos aquí, que esto no tiene mucho sentido, pero luego veremos que en la máquina virtual sí que tiene un poquito más de sentido.

121
00:16:17,220 --> 00:16:28,279
Tenemos toda la información que está disponible, tenemos objetos que son sospechosos y ahora lo que vamos a hacer es el análisis con autopsia de la máquina virtual.

122
00:16:28,279 --> 00:16:37,970
Seguimos el mismo proceso y aquí ya incluso mientras está trabajando podemos empezar a ver

123
00:16:37,970 --> 00:16:44,409
Estas son las imágenes que yo había descargado, que son todas imágenes relacionadas con naturaleza

124
00:16:44,409 --> 00:16:52,250
Luego además tenemos todos los iconos o todo lo que haya podido descargar aunque sea de forma temporal

125
00:16:52,250 --> 00:16:54,769
mientras hemos estado navegando por internet

126
00:16:55,509 --> 00:17:03,789
Aquí tenemos el texto del Quijote, que como podemos ver, aparece copia modificada desde el bloc de notas porque era una modificación que hicimos.

127
00:17:04,289 --> 00:17:09,890
También tenemos la versión original, que es lo que aparece en dos archivos más abajo, que es el Quijote.txt.

128
00:17:09,990 --> 00:17:17,890
Y más arriba vemos que está con una X porque ha sido eliminado y además nombré el archivo para poder detectarlo como eliminado.

129
00:17:18,910 --> 00:17:22,349
Y no estaba la papelera de reciclaje, había sido eliminado del todo.

130
00:17:22,349 --> 00:17:38,849
Y luego la caché de la web, es decir, todo el histórico de lo que hemos ido buscando, porque utilicé esta misma máquina virtual para buscar las imágenes, para buscar el Quijote, y aquí tenemos todo el histórico que podíamos tener dentro de esta máquina virtual.

131
00:17:41,619 --> 00:17:44,079
Tienes que ir concluyendo, Beatriz, nos queda un minuto.

132
00:17:45,980 --> 00:17:53,400
Vale. Nada, aquí exportamos un poco lo que es el resumen y ya estaría, lo he ido acortando.

133
00:17:53,400 --> 00:17:56,220
Perfecto, ¿has finalizado?

134
00:17:57,720 --> 00:17:57,980
Sí

135
00:17:57,980 --> 00:18:07,799
Muchas gracias, muy bien, muy interesante el uso de las herramientas que has expuesto, Autosys yo no la conocía antes de que empezaras a usarla

136
00:18:07,799 --> 00:18:13,960
Y hay una cuestión, entre las muchas que has planteado, que me parece sumamente importante

137
00:18:14,660 --> 00:18:25,220
Como hemos visto en la demostración que has hecho en el vídeo, uno de los problemas por los cuales se puede recuperar precisamente la información es por el mal borrado de esos archivos.

138
00:18:25,700 --> 00:18:35,660
En la era actual, donde es muy frecuente utilizar dispositivos de todo tipo que vamos llevando de un lado a otro con información, como por ejemplo el teléfono,

139
00:18:35,660 --> 00:18:44,779
¿Cuál sería el consejo que daría desde el punto de vista de la seguridad para evitar recuperar archivos no deseados, por ejemplo, en un terminal móvil?

140
00:18:45,920 --> 00:18:48,039
Es decir, ¿cómo hacemos una eliminación buena?

141
00:18:50,220 --> 00:18:57,279
Es que generalmente cuando hacemos un formateo de prácticamente cualquier dispositivo

142
00:18:57,279 --> 00:19:04,099
Tenemos dos opciones, hacer un formateo superficial o hacer un formateo profundo

143
00:19:04,099 --> 00:19:06,740
Entonces siempre tiene que ser esa opción

144
00:19:06,740 --> 00:19:28,700
Una cosa es que vayamos a seguir utilizando nosotros mismos ese dispositivo por lo que no es necesario hacer un formateo profundo porque esto implica tiempo y recursos y si en algún momento, como puede ser el caso del pendrive que hemos utilizado para todas las pruebas, si vamos a deshacerse de ese dispositivo siempre tiene que ser un formateo profundo.

145
00:19:28,700 --> 00:19:40,319
Ahora, si lo que no queremos es que este dispositivo vuelva a ser utilizado, aquí podríamos incluso utilizar opciones que son físicas para poder destruir realmente esos datos.

146
00:19:41,579 --> 00:19:44,519
Muy bien, y de esas opciones físicas, ¿a cuál te refieres exactamente?

147
00:19:44,519 --> 00:19:59,980
Por ejemplo, un disco duro que no es sólido, sino de los anteriores, directamente lo que es el disco no deja de ser un dispositivo magnético.

148
00:20:00,480 --> 00:20:08,000
Podemos utilizar imanes o incluso un destornillador y arañarlo de forma profunda.

149
00:20:08,000 --> 00:20:19,940
Por ejemplo, totalmente inutilizado, una tarjeta de memoria, la metes en el microondas y eso no va a haber forma de volver a utilizarlo.

150
00:20:22,259 --> 00:20:37,740
De acuerdo, muchísimas gracias Beatriz. Pues nada, en unos días estará cuando hagamos la junta, las notas de tu proyecto junto con la rúbrica aplicada y nada, desearte mucha suerte, que seguimos en contacto y ya sabes que estamos aquí para lo que necesites. Un saludo.

151
00:20:37,740 --> 00:20:40,420
De acuerdo, muchas gracias por todo

152
00:20:40,420 --> 00:20:43,299
Gracias a ti Bea, hasta luego, adiós

153
00:20:43,299 --> 00:20:43,759
Adiós