u j centro de estudios de postgrado - tauja.ujaen.estauja.ujaen.es/bitstream/10953.1/2608/1/david...

Ce

ntr

o d

e E

stu

dio

s d

e P

ostg

rado

M

áste

r U

niv

ers

itario

en P

rofe

sora

do

de

Ed

uca

ció

n S

ecu

nda

ria

Oblig

ato

ria

y B

ach

ille

rato

, F

orm

ació

n P

rofe

sio

na

l y

En

señ

anza d

e Id

iom

as

UNIVERSIDAD DE JAÉN Centro de Estudios de Postgrado

Trabajo Fin de Máster

MODELOS DE ANÁLISIS Y

RECOGIDA DE DATOS

Alumno: Contreras García, David Tutor: Prof. D. Rafael Segura Sánchez Tutor: Prof. D. Francisco Ramón Feito Figueruela Dpto: Informática

Junio, 2015

2

Índice

PARTE 1: EPISTEMOLOGÍA

1. INTRODUCCIÓN .......................................................................................................................... 5

2. HISTORIA DE LA INFORMÁTICA FORENSE .................................................................................. 7

2.1. 1971-1980. ......................................................................................................................... 7

2.2. 1981-1990 .......................................................................................................................... 8

2.3. 1991-2000 ........................................................................................................................ 11

2.4. 2000s ................................................................................................................................ 13

3. SEGURIDAD INFORMÁTICA E INFORMÁTICA FORENSE ........................................................... 15

3.1. Conceptos generales ........................................................................................................ 15

3.2. Vulnerabilidades ............................................................................................................... 15

3.3. Algunos sistemas de seguridad informática..................................................................... 16

4. MODELOS DE ANÁLISIS Y RECOGIDA DE DATOS ...................................................................... 17

4.1. Modelo de Lee .................................................................................................................. 17

4.2. Modelo extendido de Séamus Ó Ciardhuáin ................................................................... 18

4.3. Modelo de Casey .............................................................................................................. 20

4.4. Modelo del U.S. Dep. of Justice de EEUU ......................................................................... 20

4.5. Otros modelos .................................................................................................................. 21

5. HERRAMIENTAS DE ANÁLISIS FORENSE ................................................................................... 22

5.1. EnCase .............................................................................................................................. 23

5.2. Snort ................................................................................................................................. 24

5.3. VMWare Workstation ...................................................................................................... 25

5.4. WireShark ......................................................................................................................... 27

5.5. CheckPoint........................................................................................................................ 28

6. FUTURO Y CONCLUSIONES ....................................................................................................... 30

PARTE 2: UNIDAD DIDÁCTICA

1. DESCRIPCIÓN DEL CONTEXTO DEL CENTRO ............................................................................. 31

2. CONTEXTUALIZACIÓN DEL TÍTULO ........................................................................................... 32

3

3. CONTEXTUALIZACIÓN DE LA UNIDAD DIDÁCTICA ................................................................... 34

3.1. Resultados de aprendizaje ............................................................................................... 34

3.2. Contenidos básicos ........................................................................................................... 34

3.3. Indicadores ....................................................................................................................... 35

3.4. Orientaciones pedagógicas .............................................................................................. 36

3.5. Objetivos generales .......................................................................................................... 36

3.6. Competencias profesionales ............................................................................................ 37

4. CONTENIDOS ............................................................................................................................ 37

4.1. Contenidos actitudinales .................................................................................................. 37

4.2. Contenidos conceptuales ................................................................................................. 37

5. METODOLOGÍA ......................................................................................................................... 38

6. EVALUACIÓN ............................................................................................................................ 51

6.1. Criterios de evaluación ..................................................................................................... 51

6.2. Procedimientos e instrumentos ....................................................................................... 52

6.3. Criterios de calificación .................................................................................................... 53

6.4. Criterios de recuperación ................................................................................................. 54

7. TEMAS TRANSVERSALES ........................................................................................................... 54

8. ATENCIÓN A LA DIVERSIDAD .................................................................................................... 55

ANEXOS ............................................................................................................................................ 56

LISTA DE FIGURAS............................................................................................................................. 59

BIBLIOGRAFÍA ................................................................................................................................... 60

4

Resumen

Este Trabajo Fin de Master detalla la historia del análisis forense en informática,

así como algunos modelos y herramientas forenses utilizadas para tal fin. Además, este

trabajo expone un enfoque para la transmisión de conocimientos sobre informática

forense, en la asignatura Seguridad y Alta Disponibilidad, del Título de Técnico Superior

en Administración de Sistemas Informáticos en Red.

El objetivo es que los alumnos aprendan cómo se realiza un análisis forense,

completando todas las fases de las que dispone, y el uso de herramientas que les ayuden

durante todo el proceso.

Palabras clave: informática forense, investigación, seguridad informática, modelos de

análisis, análisis forense, firewall, IDS, NIDS, HIDS, análisis de tráfico.

Abstract

This final project describes in detail the history of forensic analysis in the field of

computer science, together with some models and forensic tools used for this purpose.

Besides, this paper presents an approach for the transmission of forensic computer

science knowledge through Seguridad y Alta disponibilidad, a subject within Técnico

Superior en Administración de Sistemas Informáticos de Red title.

The objective underlying the project is that students learn how to carry out a

forensic analysis, completing every stage, and the use of the tools that will help them in

the execution of the task.

Main words: computer forensic, research, computer security, IT security, analysis models,

forensic analysis, firewall, IDS, NIDS, HIDS, traffic analysis.

5

PARTE 1. EPISTEMOLOGÍA

1. INTRODUCCIÓN

¿Qué es el análisis forense? En la actualidad no existe un consenso absoluto en la

definición de esta disciplina, existen numerosas formas de explicar en qué consiste el

análisis forense dependiendo del punto de vista desde el que se enfoque la definición.

Una de las definiciones más sencillas pero que nos puede hacer comprender bien

de qué trata esta disciplina la encontramos en [1], que nos lo define como “la aplicación

de métodos científicos en investigaciones criminales”. En esta definición, la inclusión de la

expresión “métodos científicos” hablando de forma general y no de alguna disciplina en

concreto, toma especial relevancia para hacer hincapié en que estamos ante un campo

que abarca y va a utilizar todas las áreas de la ciencia a la hora de resolver un problema.

Otra definición que puede resultar muy interesante la encontramos en [2]. En este

caso se dice que “el análisis forense de computadoras es el proceso de examinar

dispositivos metódicamente (discos duros, disquetes, etc.) en busca de evidencias”. Esta

definición, a diferencia de la anterior, nos muestra de una forma más clara la finalidad de

un análisis forense, que no es otra que la de buscar evidencias de delitos o de

determinadas situaciones en las computadoras que se están analizando.

Esta disciplina, que nace en los años 70, no es hasta unos años más tarde,

coincidiendo con el comienzo del uso de los ordenadores en el hogar, ya en la década de

los 80, cuando tiene su ‘boom’, llegando a convertirse hoy en día en un negocio en el que

cada vez más empresas participan. La gran expansión de la informática y la tecnología en

casi todo el mundo ha hecho que hoy en día la mayoría de la gente viva rodeada de

ordenadores. Su uso es constante tanto para el trabajo como para el ocio, e incluso los

teléfonos han evolucionado en lo que conocemos como smartphones, teléfonos

inteligentes que guardan potentes computadores en su interior y que cada vez en mayor

medida son también objetivo de los análisis de la informática forense.

El caso de los teléfonos móviles en particular es especialmente interesante, puesto

que ha supuesto una nueva fuente de análisis para el sector. En la actualidad, la mayoría

de dispositivos móviles están conectados constantemente a internet y los utilizamos

como medio de comunicación con otras personas, bien sea a través de whatsapps,

correos electrónicos u otros servicios de mensajería. Además, estos dispositivos suelen

tener sistemas de posicionamiento (GPS) y otro tipo de sensores que también pueden ser

6

interesantes en el momento de un análisis forense. Y si hablamos de nuevas fuentes de

análisis para el sector, no podemos olvidarnos de lo que se está comenzando a conocer

como el internet de las cosas, que conectará todos nuestros electrodomésticos a la red

convirtiéndolos también en objetivos potenciales para los atacantes. Por lo tanto, con la

expansión a nivel mundial de todos estos dispositivos que actualmente utiliza la mayoría

de la gente, la informática forense ha visto cómo su target se está multiplicando, pasando

de analizar solamente los ordenadores, a tener en cuenta todo tipo de dispositivos.

Y al mismo tiempo que aumentaba el impacto del análisis forense como disciplina

en la informática, también ha crecido paulatinamente el número de herramientas y

aplicaciones de todo tipo para poder realizarlos. En este aspecto, hemos pasado de las

pruebas que se aceptaban en juicios en los años 70, que consistían en los documentos

almacenados en un ordenador, o de la primera aplicación de informática forense en los

80, que permitía recuperar de forma muy arcaica archivos que alguien previamente había

borrado, a la multitud de software que se utiliza en la actualidad para, de forma casi

automática, realizar el análisis de un disco duro.

Pero pese a que hoy en día existen numerosas herramientas y software que

ayudan a los cuerpos de seguridad en otros países y de la misma forma a las empresas

privadas, el análisis forense de los ordenadores sigue siendo un proceso que no está

normalizado, estandarizado ni automatizado, pudiendo comprobar que incluso dentro de

la misma Guardia Civil, distintas personas llevan a cabo los análisis de distinta forma y

utilizando distintas herramientas. Y es que este descontrol, propio de una disciplina que

está comenzando (apenas lleva desarrollándose tres décadas y en un principio de forma

precaria como veremos a continuación), no solo afecta a la hora del momento concreto

del análisis de los datos, sino que es un problema que se extiende a lo largo de todo el

proceso, desde que se comienza la preparación de un análisis hasta que se finaliza

mediante la publicación de los resultados o su defensa ante un tribunal.

De esta forma, podemos comprobar que a lo largo de los últimos años,

especialmente durante la década de los dos mil, surgieron numerosos modelos que

pretendían erigirse como estandartes del análisis forense, intentando normalizar el

proceso de forma que todo resultase más sencillo. Desde distintas Universidades,

comunidades científicas e incluso desde el departamento especializado del FBI, se han

desarrollado numerosos modelos que finalmente no han conseguido imponerse.

A lo largo de este trabajo expondré los hitos más importantes en la historia del

análisis forense. Posteriormente, comentaré brevemente algunos conceptos básicos

relacionados con la seguridad informática y analizaré algunos de los modelos más

importantes conocidos hasta la fecha. Finalmente, este trabajo concluirá con un repaso a

algunas de las herramientas más importantes del análisis forense y un breve enfoque

hacia el futuro del análisis forense.

7

2. HISTORIA DE LA INFORMÁTICA FORENSE

El análisis forense de computadoras, como ya se ha comentado en la introducción,

es una disciplina relativamente moderna, remontándose sus orígenes a la misma época

en la que los ordenadores comienzan a hacerse populares entre gran parte de la

población: la década de los 80.

Pese a que ya en los años 70 se aceptaban en los juicios pruebas obtenidas

mediante la informática forense, en ese momento no eran más que documentos que se

habían almacenado en los ordenadores, sin llegar a producirse un análisis real de los

datos que una computadora podía llegar a tener en su interior. No es hasta unos años

más tarde, a mediados de los 80, cuando en EEUU se comienza a desarrollar software

dedicado exclusivamente a este propósito, naciendo así la informática forense.

2.1. 1971-1980.

Aunque durante la década de los 70 la presencia de la informática forense fue

meramente testimonial, la presencia de cada vez más ordenadores en empresas y casas

hizo que en 1978 tuviera lugar un hito muy importante en la historia de la informática

forense. Por primera vez se creó una ley en la que se hablaba de delitos informáticos. Esto

ocurrió en el Estado de Florida, en Estados Unidos, donde vio la luz la Fla. Stat. 815.02,

también conocida como la “Florida Computer Crimes Act” (Ley de Florida de Delitos

Informáticos) [3]. En esta ley se legislaba contra la modificación o eliminación de datos en

un sistema informático así como contra los daños que se pudieran realizar sobre equipos

o redes informáticas, siendo por lo tanto la primera ley que hablaba de forma específica

sobre delitos informáticos. Las penas para estos delitos se recogían de la siguiente forma:

“Up to 5 years of imprisonment and a fine of up to $5,000 or any higher amount equal to

double the pecuniary gain derived from the offense by the offender or double the

pecuniary loss suffered by the victim.”

Según este artículo, este delito sería castigado con “hasta cinco años de prisión y una

multa de 5.000 dólares o cualquier cantidad superior que fuese igual al doble de la ganancia

derivada del delito o el doble de la pérdida sufrida por la víctima.”

Pese a que esta fue la primera ley en la que se hablaba de delitos informáticos, no

sería hasta la próxima década cuando los países se preocuparían de legislar, de forma ya

mucho más concreta, contra los delitos informáticos.

8

2.2. 1981-1990

Durante esta década la informática tuvo un gran crecimiento. La llegada de los

ordenadores a los hogares de forma casi masiva catapultó a esta disciplina hasta una

situación en la que muchas personas utilizaban sus computadoras para almacenar datos y

ficheros tanto personales como de empresas. En este nuevo escenario que se abría por

primera vez al mundo, cada ordenador suponía un nuevo objetivo potencial para ataques

maliciosos, haciendo que la importancia de la informática forense creciera de forma

exponencial durante estos años.

De esta forma nace en 1982 la primera herramienta importante y de sobrenombre

dentro de la informática forense: UnErase: Norton Utilities 1.0. Esta suite de aplicaciones

permitía, por ejemplo, recuperar archivos que habían sido borrados accidentalmente

gracias a la aplicación UnErase. También se incluían otras aplicaciones como Beep, que

permitía hacer que el altavoz interno de la CPU sonara, y utilidades para mover archivos

entre otras.

Esta suite lanzada por Peter Norton llegó hasta su versión 8.0, ya compatible con

Windows 3.1, y llegó a ver la luz su versión 1.0 para equipos MAC. Finalmente, el

producto sería comprado en 1990 por Symantec, que, ya bajo su nombre, seguiría dando

soporte a algunas de estas utilidades.

Figura 1. Captura de pantalla del Norton Utilities 8.0

Ya en 1984 tendría lugar uno de los mayores hitos de la informática forense. Ante

el crecimiento de los ataques a ordenadores que muchas veces quedaban impunes,

durante ese año el FBI pone en marcha el Magnetic Media Program, que posteriormente

se convertiría en el Computer Analysis and Response Team (CART), nombre bajo el que

9

siguen trabajando. Esta unidad, la primera en todo el mundo dedicada a la informática

forense, sigue proporcionando asistencia al FBI en la búsqueda de evidencias de delitos

en ordenadores así como peritajes forenses y asistencia técnica en las investigaciones. En

la actualidad cuentan con más de 50 oficinas y realizan miles de pruebas informáticas [4].

Para muchos especialistas en esta disciplina, la informática forense nace de forma

oficial con la creación de este departamento del FBI.

Figura 2. Insignia del CART

Ya en 1986 nos encontramos ante uno de los primeros grandes casos de espionaje

informático y el hacking, donde tanto el FBI como la CIA y otras grandes agencias

europeas tuvieron que trabajar conjuntamente para poder resolverlo.

Fue Clifford Stoll, un físico estadounidense, quien ayudó a dar caza a Markus Hess,

un hacker que había conseguido, mediante un ataque que le dio privilegios de

administrador, crear cuentas en el banco de forma fraudulenta.

Este caso fue pionero en cuanto a la colaboración de distintas agencias de

inteligencia de varios países contra un delito informático utilizando herramientas

forenses. La historia la contó el propio Clifford en un paper publicado en ACM [5].

Posteriormente, también publicaría un libro titulado El huevo del Cuco, una novela donde

narra en primera persona cómo ocurrió todo.

10

Figura 3. Clifford Stoll

En los siguientes años se seguiría profesionalizando el mundo de la informática

forense. En 1987 nacía la High Tech Crime Investigation Association o HTCIA, una

asociación que se encargaba de reunir a trabajadores de compañías privadas con gente

que desempeñaba su labor en agencias gubernamentales con el objetivo de compartir

conocimientos. En 1990, tal como cuenta John C. Smith [6], primer presidente de HTCIA

en Silicon Valley (posteriormente se abrirían sucursales de la asociación en otros lugares)

se llegaron a impartir cursos de un día que posteriormente evolucionarían en seminarios

y cursos de mayor duración. Hoy día, esta asociación sigue impartiendo cursos

relacionados con la seguridad informática.

Figura 4. Rótulo con el logotipo de HTCIA

También en 1987 nacía Access Data [7], una empresa que se convertiría en

referente en cuanto a lo que herramientas forenses se refiere. En su haber cuenta con

aplicaciones que hoy en día se siguen utilizando, como FTK, un conjunto de herramientas

que es reconocido en muchos lugares como el estándar para realizar investigaciones

11

forenses. FTK es usada hoy día para analizar ordenadores, por ejemplo, por la Guardia

Civil.

En octubre de 1989 el mundo de la informática forense seguía creciendo con la

creación de la International Association of Computer Investigative Specialists (IASCIS), una

de las empresas certificadoras más importantes a nivel mundial. Hoy día, la asociación

sigue manteniendo el prestigio y siendo considerada por mucha gente como la asociación

más importante dentro del ámbito de las certificaciones forenses. La IASCIS sigue

aceptando miembros e impartiendo cursos acreditados de gran importancia.

Figura 5. Logo IACIS

2.3. 1991-2000

En la década de los 90 la informática forense siguió creciendo de forma notoria.

Comenzaban a sucederse los congresos, investigaciones y todo tipo de herramientas para

transmitir los conocimientos. Además, con la expansión de internet, que comenzaba a

llegar a muchos hogares, cualquier persona podía sufrir un ataque en su propio

ordenador, por lo que el número de objetivos potenciales creció exponencialmente. En

esta época comenzaban a hacerse famosos muchos virus, troyanos y todo tipo de

malware.

En cuanto a la transmisión de conocimiento, un hecho muy importante se produce

en 1993, cuando tiene lugar en EEUU la First International Conference on Computer

Evidence (Primera Conferencia Internacional sobre Evidencias de Computadoras). Para

muchas personas [8], este es el origen de lo que hoy conocemos como IOCE (International

Organization on Computer Evidence), cuya creación coincidió con la segunda edición, en

1995. Ese mismo año, el G-8 decía:

12

“Law enforcement personnel must be trained and equipped to address high-tech crimes.”

La cita nos dice que las fuerzas de seguridad deben estar entrenadas y equipadas

para hacer frente a los delitos producidos con alta tecnología, hecho que supuso un

fuerte empujón a la informática forense, puesto que significó que las principales

potencias mundiales habían comprendido la importancia que esta disciplina estaba

tomando y lo vital que resultaba estar bien preparados para lo que iba a producirse en los

años posteriores.

Ese mismo año, en 1995, se crea en España la Brigada de Investigación Tecnológica

(BIT), primer departamento de la Policía Nacional que se dedica a la investigación y

análisis de computadoras. Esta Brigada, que aún sigue vigente, forma parte de la Unidad

de Delincuencia Económica y Fiscal (UDEF) de la Policía Nacional. Son los encargados de la

investigación y persecución de actividades delictivas como pornografía infantil, estafas o

fraudes producidos en internet.

Figura 6. Logo BIT

Los siguientes años seguirían siendo importantes en la creación de unidades

especializadas y en la transmisión de conocimiento. De esta forma, en 1996 la Interpol

crea un foro donde debatir todos los avances que se van consiguiendo sobre el análisis

forense, intentando que los países compartan sus conocimientos para un mayor y más

rápido avance. Este foro se conocería como los International Forensic Science

Symposium.

También en 1996 se creaba lo que hoy en día conocemos como Grupo de Delitos

Telemáticos (GDT [9]. Este grupo fue creado “para investigar, dentro de la Unidad Central

Operativa de la Guardia Civil, todos aquellos actos delictivos que se cometen a través de

sistemas de telecomunicaciones y mediante tecnologías de la información.” *10]

13

En 1999 este grupo pasaría a llamarse Departamento de Delitos de Alta Tecnología

(DDAT), ampliando sus investigaciones también al campo de los fraudes en las

telecomunicaciones. Pero sería en el año 2003 cuando esta unidad pasaría a llamarse

Grupo de Delitos Telemáticos.

Actualmente participa en los Grupos de Trabajo de Interpol de Europa y

Latinoamérica, en el Foro Internacional del G-8 para el cibercrimen y en el Grupo de

Europol.

Figura 7. Logo GDT

En 1997 se empieza a reconocer la importancia del análisis forense en las

investigaciones a nivel internacional durante una reunión del G-8 en Moscú. A partir de

esa reunión, este grupo designaría al IOCE la labor de sentar unas bases que todos los

países puedan seguir en cuanto a todo lo relacionado con el análisis forense y las

evidencias digitales.

Dos años más tarde, en 1999, se presenta el borrador que el G-8 había encargado

al IOCE. Además, en este mismo año, el FBI CART, departamento encargado del análisis

forense en el FBI, supera los 2.000 casos y 17 TB de información examinada en ese

momento, cifras que aumentarían exponencialmente durante los siguientes años.

2.4. 2000s

A lo largo de estos últimos años, el principal avance de la informática forense se ha

producido en los modelos de análisis, naciendo los que actualmente están en uso en los

departamentos de análisis forense de casi todo el mundo. Por este motivo, se va a

dedicar posteriormente un apartado para analizar en mayor profundidad estos modelos.

14

Aunque este haya sido el ámbito en el que más ha evolucionado la informática forense

durante esos años, también se han producido importantes hitos que se detallan a

continuación.

En 2001, se consigue por primera vez reunir a expertos tanto del sector público

como privado en el Digital Forensics Research WorkShop. Durante esta reunión en la que

se tratan temas punteros de investigación y análisis forense, surge la creación del

International Journal of Digital Evidence (Publicación Internacional de Evidencias

Digitales).

Figura 8. Logo International Journal of Digital Evidence

En 2002, por primera vez la Guardia Civil organiza el Foto Iberoamericano de

Encuentro de Ciberpolicías (FIEC), que se convertiría en un encuentro anual desde

entonces, donde diferentes unidades policiales colaboran intercambiando conocimientos.

Además, un año más tarde, en 2003, el Grupo de Delitos Telemáticos pasaría a

llamarse así de forma definitiva, siendo el nombre que actualmente mantiene. También

se crean ese mismo año los Equipos de Investigación Tecnológica (EDITE).

Ese mismo año, Rediris lanza el primer reto de análisis forense, donde se ofrecía

un premio que consistía en distintas licencias y software a quien pudiera resolverlo. En

este reto se mostraba una imagen de un disco duro que había sufrido un ataque y los

participantes debían dar respuestas a tres preguntas: quién había realizado el ataque,

cómo y qué hizo. 14 personas consiguieron superar este reto. En años posteriores se

siguieron lanzando distintos retos tanto en España como en Iberoamérica.

Un año más tarde, en 2004, se lanza una revista muy importante en el ámbito del

análisis forense, Digital Investigation: The International Journal of Digital Forensics and

Incident Response, que actualmente está en su volumen 12 (marzo de 2015).

15

3. SEGURIDAD INFORMÁTICA E INFORMÁTICA FORENSE

En este apartado explicaré algunos conceptos básicos sobre seguridad informática

e informática forense que a lo largo de este trabajo aparecerán en numerosas ocasiones.

Estos conceptos, sobre los que se fundamenta la unidad didáctica que se expondrá

posteriormente, serán importantes para comprender y tener una visión global sobre la

actividad que se propondrá.

3.1. Conceptos generales

En primer lugar debemos explicar en tres conceptos muy importantes en la

seguridad informática, porque son características que se deben cumplir, pero

especialmente en el análisis forense, ya que deben ser garantizadas durante todo el

proceso [11]. Estos conceptos son:

- Confidencialidad: solo deben tener acceso a la información las personas que estén

autorizadas para ello.

- Integridad: la información no debe sufrir alteraciones durante todo el proceso en

el que se almacena, se recupera o se transmite.

- Disponibilidad: La información debe poder ser usada siempre que se necesite.

También es importante saber que la seguridad total no existe y que se debe

conseguir un compromiso equilibrado entre la inversión que se realiza y la seguridad que

se consigue.

3.2. Vulnerabilidades

A continuación voy a enumerar algunas de las vulnerabilidades más comunes que

podemos encontrar en el software [12] y que pueden permitir a los atacantes tomar el

control de nuestras máquinas.

- Desbordamiento de buffer: se escribe en un array una cadena de longitud mayor a

la reservada inicialmente, pudiendo utilizar esto para ejecutar código que

comprometa el sistema.

- Inyección SQL: en programas que construyen consultas SQL, si la entrada no se

verifica correctamente puede dar lugar a entradas maliciosas.

- Código malicioso: hay multitud de tipos de código malicioso. Podemos destacar

algunos como virus, gusanos, troyanos o las puertas traseras.

16

- Rootkits: conjunto de herramientas que permite ganar fraudulentamente

privilegios de administrador (root). Una vez que conseguimos dichos privilegios,

podemos ocultar procesos y ficheros o, por ejemplo, esconder software malicioso

en el ordenador.

3.3. Algunos sistemas de seguridad informática

En este apartado voy a enumerar algunos de los muchos sistemas de seguridad

que podemos utilizar para evitar que comprometan nuestros equipos.

- Sistemas de Detección de Intrusos (IDS). Son mecanismos que escuchan el tráfico

de la red con el objetivo de detectar actividades sospechosas para reducir el riesgo

de posibles intrusiones en nuestro sistema. Podemos hacer una clasificación de

estos sistemas tanto por su ámbito de actuación como por las tecnologías de

detección.

o Ámbito de actuación:

HIDS: Sistemas de Detección de Intrusos que actúan a nivel de Host.

Monitorizan localmente a nivel de sistema operativo o aplicación.

La principal ventaja es que dan resultados incluso si el atacante ha

conseguido llegar a nuestro equipo.

NIDS: Sistemas de Detección de Intrusos a nivel de Red. Inspecciona

el tráfico de red en busca de anomalías que puedan ser indicadores

de actividades sospechosas.

Híbridos: combinan Detección de Intrusos a nivel de Host y a nivel

de Red.

o Tecnologías de detección. Las más comunes son:

Patrones: buscan determinadas cadenas de caracteres que

pertenecen a ataques que ya se conocen, por lo que al encontrarlas

existe la posibilidad de que el sistema esté siendo atacado.

Anomalías: buscan comportamientos extraños en el sistema, como

introducir una contraseña errónea muchas veces, el aumento muy

considerable del tráfico de forma repentina o el acceso al sistema a

horas que no se suele producir por parte de un usuario.

- Firewall (Cortafuegos). Es un software o hardware que se encarga de comprobar la

información que recibimos desde internet o desde una red, permitiendo o

denegando que este tráfico pase hasta nuestro equipo. Un firewall se puede

configurar mediante reglas, que serán las encargadas de dictar qué tipo de tráfico

y a qué puertos nos va a poder llegar la información. Esta tecnología es

17

complementaria a los IDS o antivirus, ya que se encarga de monitorizar el

perímetro antes de llegar a la red.

- Honeypots (Sistemas trampa). Son máquinas que simulan ser un equipo más de

nuestra red y cuya función es la de hacer de señuelo para el atacante. Estas

máquinas están puestas en la red para que sean atacadas, por lo que no dispone

de información crítica ni tiene acceso a otros equipos y, además, tiene las

herramientas necesarias para obtener información sobre el atacante. El principal

problema de las honeypots es que pueden ser detectadas si no simulan a la

perfección ser una máquina más de la red, lo que no suele ser sencillo y puede

provocar no solo la detección de la honeypot sino que el atacante la utilice en su

propio beneficio. Dentro de esta categoría podríamos incluir también las

Honeynets, que son sistemas trampa que constituyen una red completa.

4. MODELOS DE ANÁLISIS Y RECOGIDA DE DATOS

Antes de comenzar a enumerar algunos de los principales modelos de análisis

forense que se están siguiendo actualmente en el mundo, hay que dejar claro que esta

disciplina no está normalizada ni automatizada. Es decir, dependiendo del país,

dependiendo de la agencia del país e incluso dependiendo de la persona que vaya a

hacerlo, el proceso que se va a seguir durante todo el análisis puede ser diferente, no hay

ningún procedimiento estandarizado, lo que supone una de las mayores debilidades de la

disciplina sin ningún lugar a dudas.

En cualquier caso, a comienzos del Siglo XXI afloraron numerosos modelos que se

intentarían aplicar a las investigaciones forenses relacionadas con la informática. Algunos

de estos modelos han conseguido extenderse y tener cierto peso, por lo que voy a hacer

un pequeño repaso, comentando las principales fases de cada uno y analizando un poco

más en profundidad alguno de ellos.

4.1. Modelo de Lee

Fue uno de los primeros modelos que se crearon para el análisis forense en 2001

[13]. En este modelo se distinguen, al igual que en el modelo del U.S. Dep. of Justice que

18

veremos más adelante, cuatro fases, si bien a diferencia del estadounidense el modelo de

Lee solo describe el proceso de análisis de la escena del delito y no de todo el proceso.

Además, este modelo tiene un enfoque metodológico clásico en cuanto a investigación

forense, trasladándolo a la informática forense desde la perspectiva de las pruebas

digitales. Las diferentes fases que se describen son:

- Reconocimiento: durante esta fase el investigador debe saber qué buscar, por

lo que se puede dividir en dos subfases: la de documentación y la

adquisición/preservación de pruebas.

- Identificación: se clasifican las pruebas recogidas en la fase anterior según los

estándares.

- Individualización: cada ítem o archivo es evaluado e interpretado de forma

individual, comprobando si de alguna forma se pueden conectar con los

hechos investigados.

- Reconstrucción: con todos los datos obtenidos en la fase anterior, se intenta

reconstruir el hecho investigado, del que posteriormente se realizará una

presentación.

4.2. Modelo extendido de Séamus Ó Ciardhuáin

La mayoría de modelos que existen se basan en el procesamiento de pruebas

digitales, y es por ello que en el año 2004, en el International Journal of Digital Evidence

(IJCE) [14], se formula este modelo, que intenta cubrir todas las fases y aspectos de una

investigación de ciberdelito.

Se trata de una metodología que consta de 13 fases y donde la cadena de custodia

está formada por la lista de aquellos que han manipulado cada prueba digital, debiendo

agregar los nombres a la lista cada vez que se pasa una fase. Debido al alto número de

fases, es la que mejor establece los flujos de información y los puntos de control durante

todo el proceso de la investigación. Además, la principal ventaja de este modelo es que

describe todo el proceso desde el momento en el que se hace necesario realizar una

investigación hasta que ha sido finalizada y presentada.

A continuación se detallan y comentan brevemente las 13 fases que describen el

funcionamiento de este modelo:

1. Conciencia: según Séamus Ó Ciardhuáin, el primer paso en cualquier

investigación es el de crear una conciencia de que esta investigación es

necesaria.

19

2. Autorización: antes de comenzar la investigación, el paso previo es el

de obtener una autorización para poder realizarla.

3. Planificación: en esta fase se planifica cómo será la investigación, que

estará influenciada desde por las leyes que rigen el país hasta por las

políticas internas del cuerpo que esté investigando. Puede ocurrir que

esta fase suponga una vuelta al punto dos, requiriendo de otro tipo de

autorizaciones para poder continuar.

4. Notificación: aunque la conveniencia de esta fase depende de cada

investigación, en este punto puede ser necesario notificar al objetivo de

la investigación que se está llevando a cabo.

5. Búsqueda e Identificación de Evidencias: en esta fase solamente nos

encargamos de buscar los objetivos que vamos a investigar y

comprobar que efectivamente son esas las que nos interesan. Por

ejemplo, cuando se va a hacer una redada, buscar los PCs y todo el

material de los sospechosos que nos pueda interesar, identificando que

son de las personas que vamos a investigar.

6. Adquisición: se recogen las pruebas físicas. Por ejemplo, después de

buscar e identificar el PC anterior de un sospechoso, se hace un

clonado de su disco duro para su posterior análisis.

7. Transporte: tras obtener las pruebas, estas deben ser transportadas al

lugar de su posterior análisis.

8. Almacenamiento: ya que normalmente el análisis de las evidencias

adquiridas y transportadas no pueden ser analizadas de forma

totalmente inmediata, el siguiente paso será guardarlas en un lugar

adecuado.

9. Examen: esta es la parte seguramente más importante de todo el

proceso, donde se produce el análisis de las evidencias y se obtendrán

los datos que posteriormente se utilizarán para el informe.

10. Hipótesis: con los datos obtenidos en el examen, el investigador deberá

formular una hipótesis de lo ocurrido.

11. Presentación: la hipótesis se presenta al jurado, la empresa o quien

corresponda según el caso.

12. Prueba/defensa: en este punto, y dado que el investigador está

defendiendo una hipótesis, este tendrá que defenderla delante de la

persona que corresponda, ya que la hipótesis puede ser tumbada.

13. Difusión: dependiendo de la investigación (esto es más complicado si

estamos en el ámbito de las investigaciones privadas), la información y

el resultado pueden ser difundidos.

20

4.3. Modelo de Casey

Este modelo es el más extendido en la actualidad. Es algo más abstracto y

complejo que los anteriores y fue lanzado en 2002, aunque sufrió una revisión en el año

2004 [15], que es la que se utiliza actualmente y la que se expone en este trabajo. En

2011 se volvió a revisar, reduciendo el número de fases ya que alguna de ellas pasaron a

convertirse en tareas dentro de otras fases. A continuación paso a enumerar y describir

brevemente las seis fases de las que consta este modelo en la versión publicada en 2004.

1. Autorización y preparación: el primer paso es el de obtener los

permisos necesarios y preparar el material que vayamos a utilizar

durante la investigación.

2. Identificación: hay que identificar todo el hardware y el software que

posteriormente vamos a analizar.

3. Documentación, adquisición y conservación: aunque todo esté incluido

en la misma etapa, la parte de documentación debemos tener en

cuenta que se debe realizar a lo largo de todas las fases, especialmente

en caso de estar trabajando para un juicio. Durante la adquisición,

extraeremos el hardware que vayamos a analizar (por ejemplo el disco

duro del ordenador) y durante la fase de conservación se haría el

clonado de los discos duros que hayamos extraído, ya que no se puede

manipular el dispositivo original que se obtiene.

4. Análisis: se realiza el análisis de todos los dispositivos que se hayan

obtenido en la fase anterior. Es la fase más importante del modelo de

Casey. Hay distintas formas de realizar el análisis, existiendo extensa

documentación al respecto.

5. Reconstrucción: una vez analizados todos los datos en la fase anterior,

debemos ser capaces de realizar una reconstrucción de los hechos y

responder a las siguientes preguntas: ¿Qué? ¿Quién? ¿Dónde?

¿Cuándo? Y ¿Por qué?

6. Publicación de conclusiones: una vez realizada la reconstrucción y

resueltas las preguntas, se realiza un informe que se publicará o enviará

a la persona que lo haya solicitado.

4.4. Modelo del U.S. Dep. of Justice de EEUU

Este es uno de los primeros modelos y más sencillos. Se creó en 2001, aunque su

última revisión es de 2007 [16]. En este libro se detallan procedimientos para examinar

todo tipo de dispositivos, desde los electrónicos hasta las armas de destrucción masiva.

21

También se detallan todos los procedimientos y cómo se debe tratar la escena del crimen.

Se pueden distinguir cuatro fases durante el proceso de análisis de un ordenador:

- Identificación

- Conservación

- Análisis

- Presentación

Según este manual de más de 200 páginas, que está publicado de forma gratuita

en su página web:

The Handbook of Forensic Services provides guidance and procedures for safe and

efficient methods of collecting, preserving, packaging, and shipping evidence and

describes the forensic examinations performed by the FBI’s Laboratory Division and

Operational Technology Division.

La traducción de esta descripción publicada en el manual podría ser la siguiente:

“El Manual de Servicios Forenses proporciona orientación y procedimientos de métodos

seguros y eficaces de recogida, conservación, embalaje y envío de pruebas y se describen

los exámenes forenses realizados por el FBI’s Laboratory Division and Operational

Technology Division (División de Laboratorio y División de Tecnología Operacional del

FBI).”

4.5. Otros modelos

Modelo de Palmer

Publicada en 2001 [17], no es considerada como una metodología definitiva. Es un

modelo lineal pero en un futuro podría cambiarse incorporando ciclos como muchos de

los actuales.

Modelo de Helena Rifà Pous, Jordi Sierra Ruiz y José Luis Rivas López

En septiembre de 2009, Helena Rifà Pous, Jordi Sierra Ruiz y José Luis Rivas López

publicaron Análisis forense de sistemas informáticos a través de la Fundación para la

22

Universitat Oberta de Catalunya (FUOC) [18], donde plantean una metodología de tres

fases:

1. Recogida de datos.

2. Análisis e investigación.

3. Redacción del informe.

Este modelo se pensó porque la mayoría de casos que se suelen analizar tienden a

ser sencillos y no existe una gran complejidad, tanto en personas implicadas como en el

volumen de datos que hay que analizar, por lo que un modelo sencillo que simplificara

todo el proceso se adaptaba bien a las investigaciones que se suelen realizar. Esta

metodología, que resulta recomendable para los casos sencillos, coincide en buena parte

con muchos casos investigados por la Brigada Investigación Tecnológica del Cuerpo

Nacional de Policía.

Pese a no ser un modelo utilizado internacionalmente, es importante mostrar que

en España también han nacido modelos de informática forense que pueden ser válidos

para las investigaciones.

Aunque existen muchos más modelos de análisis forense que no se han plasmado

en este trabajo, los más importantes y utilizados por los cuerpos de seguridad, tanto

nacionales como internacionales, han quedado enumerados aquí. Pese a ello, hay que

tener en cuenta que el proceso de análisis forense, como ya se ha comentado

anteriormente, no está estandarizado ni normalizado al menos en nuestro país, por lo

que no es difícil comprobar cómo, incluso dentro del mismo cuerpo de seguridad, el

análisis forense se puede realizar de distintas formas.

5. HERRAMIENTAS DE ANÁLISIS FORENSE

A lo largo de este apartado se van a comentar diversas herramientas que se

utilizan en la seguridad informática para proteger los equipos y que, por lo tanto, son

revisados durante un análisis forense. Con la idea de hablar de diversas tecnologías,

comentaré herramientas de firewall, esnifadores de tráfico, suites forenses o analizadores

del tráfico.

23

5.1. EnCase

Encase es una suite de herramientas relacionadas con la seguridad informática y el

análisis forense desarrollada por Guidance Software, empresa que fue fundada en 1997 y

que desde entonces ha aportado numerosas soluciones a la informática forense. Esta

suite, utilizada por numerosos cuerpos policiales en todo el mundo, como por ejemplo en

la Guardia Civil, es considerada líder mundial en herramientas de esta disciplina y es una

de las más utilizadas.

En este apartado vamos a hablar de una de sus herramientas, EnCase Forensic v7,

que actualmente está en su versión 7.10 y que está dedicada a automatizar muchos de los

procesos que se realizan durante un análisis forense. Algunas de sus principales

características son:

- Permite la integración con teléfonos y tabletas digitales. Se pueden adquirir los

datos de estos dispositivos e integrar los resultados en los casos.

- Se pueden utilizar scripts personalizados para automatizar procesos comunes,

haciendo que la eficiencia del análisis aumente. Mediante un lenguaje de

programación propio similar a C++ o Java, se pueden crear scripts que ayuden en

la búsqueda de pruebas y en el análisis forense que se esté realizando.

- Se pueden conseguir los datos de la memoria RAM, correos electrónicos, historial

web, páginas HTML, sesiones web, archivos comprimidos, archivos cifrados y

muchos más lugares. Además, también se pueden realizar todos estos análisis en

los teléfonos inteligentes y tabletas digitales.

- Con EnCase podemos crear plantillas para que las investigaciones nos devuelvan,

de forma automática, informes con el formato que queramos. En estos informes

se podrán detallar todos los archivos analizados, direcciones URL con fechas y

horas de visita, etc.

- Comprueba la integridad de todos los ficheros mediante los hashes generados con

MD5.

- Incluye la utilidad Passware Kit Forensic para automatizar la detección de archivos

cifrados.

24

Figura 9. Funcionamiento de EnCase Forensic

5.2. Snort

Snort es una de las herramientas de detección de intrusiones más conocidas y

utilizadas. Esta herramienta fue desarrollada en 1998 y llegó a ocupar el primer lugar en

2006 en un ranking sobre los sistemas de detección de intrusos preferidos por los

profesionales de todo el mundo y el tercer lugar en cuanto a herramientas de seguridad

informática en general. Es una herramienta gratuita y que actualmente es desarrollada

principalmente por SourceFire, aunque al ser opensource y de libre distribución, la

comunidad contribuye de forma notoria en el mantenimiento e inclusión de nuevas

técnicas

Sobre las características de Snort, debemos decir que cuenta con tres modos de

funcionamiento:

- Analizador de tráfico: en este modo, Snort se encarga de leer los paquetes que

llegan a la interfaz de red y mostrarlos en la consola de una forma sencilla para su

interpretación.

- Registro de paquetes: este modo complementa al anterior, ya que no solo se

encarga de leer los paquetes y mostrarlos sino que también los guarda en un

fichero para su posterior análisis.

- Sistema de Detección de Intrusos por Red (NIDS): quizá este modo sea el más

interesante, ya que no solamente se encarga de leer el tráfico que se recibe sino

que también lo analiza para detectar posibles anomalías y avisarnos de ello.

25

El tráfico entrante llega a Snort mediante la librería PCAP para su posterior

procesado. El funcionamiento de esta herramienta es el siguiente:

1. Decodificación de paquetes: se procesan los paquetes para ver a que protocolo

de nivel de enlace de datos, red o transporte pertenecen. Algunos de estos

protocolos pueden ser TCP, UDP o ICMP. Ya en esta primera etapa se pueden

identificar anomalías como que las cabeceras de los protocolos sean distintas

de cómo deberían ser o que un paquete sea excesivamente grande. Los

paquetes que son correctos pasan a la siguiente etapa.

2. Preprocesadores: son módulos que realizan un preprocesado del tráfico

mediante el escaneo de puertos, reensamblado de flujos TCP, etc. Estos

preprocesadores pueden generar información que proporcionen alertas al

usuario.

3. Motor de detección: es el componente más importante de Snort. Recoge el

tráfico que le llega de los preprocesadores, lo clasifica por protocolos y

características como los puertos y finalmente, mediante un juego de reglas

que está definido en su configuración, realiza la detección de intrusiones.

4. Generación de alertas: es el componente encargado de generar la información

de eventos asociada a las anomalías o desviaciones de política detectadas. Se

puede hacer mediante ficheros locales, registros en BBDD SQL, etc.

Figura 10. Funcionamiento de Snort

5.3. VMWare Workstation

VMWare Workstation es una herramienta de virtualización que nos permite tener

múltiples sistemas operativos dentro de nuestro ordenador, y todo ello sin necesidad de

realizar ningún tipo de formateo ni particionado de nuestro disco duro. Además de ser

26

compatible con casi la totalidad de sistemas operativos y ser capaz de tener ejecutados

varios de ellos a la vez, la gestión dentro de la aplicación es muy sencilla e intuitiva,

pudiendo cambiar de un sistema operativo a otro con solo un click. También es

importante destacar que todos nuestros dispositivos (unidad de CD-ROM, WiFi, etc.)

estarán disponibles en las máquinas virtuales, por lo que es exactamente igual que si

tuviéramos solamente ese sistema operativo instalado en nuestro disco duro. Algunas de

sus principales características son:

- Se pueden asignar procesadores de varios núcleos, la memoria RAM que

deseemos así como el espacio en disco que más nos interese para cada uno de los

sistemas operativos. De esta forma, por ejemplo podemos instalar un Ubuntu con

1GB de RAM, 10GB de disco duro y asignarle solo un núcleo del procesador, o

dentro del mismo VMWare instalar un Windows 8 con 6GB de RAM, 200GB de

disco duro y asignarle cuatro núcleos.

- Se pueden instalar sistemas operativos que estén conectados entre sí mediante

redes virtuales privadas, pudiendo crear hasta 20 redes y editándolas de forma

sencilla mediante su editor.

- Snapshots: podemos guardar el estado de la máquina virtual en cualquier

momento, como si de un backup se tratara, para volver en cualquier momento a

ese estado. Esta opción es especialmente importante cuando vamos a realizar

cambios en la máquina virtual, ya que en caso de tener algún problema, con un

solo clic recuperamos el estado que habíamos guardado.

- Las máquinas virtuales se pueden compartir. De esta forma, si tenemos en un

ordenador distintos sistemas operativos dentro de VMWare Workstation,

fácilmente podremos pasar todas máquinas virtuales a otro ordenador.

Esta herramienta es muy útil para la informática forense principalmente por dos

motivos:

1. Nos permite utilizar el disco duro que queremos analizar dentro de una

máquina virtual para cargar su sistema operativo o sus ficheros.

2. Si necesitamos utilizar distintas herramientas en diferentes sistemas

operativos durante un análisis forense, de esta forma podemos hacerlo con un

solo ordenador.

27

Figura 11. Windows XP sobre VMWare

5.4. WireShark

WireShark es la versión con interfaz gráfica de Tshark, anteriormente conocida

como Ethreal. Es una herramienta utilizada para ver y analizar el tráfico de una red que

también permite examinar datos a través de archivos donde esté almacenado el tráfico

de una red. Sus principales características son:

- Se basa en las librerías Pcap. Es capaz de analizar el tráfico almacenado en estos

archivos.

- Funciona con modulos, gracias a lo que, mediante plugins que se pueden instalar,

podamos incluso reconstruir una llamada telefónica a partir del tráfico analizado.

- Soporta más de 1100 protocolos como HTTP, DNS, TCP, UDP o ICMP.

- Funciona tanto en Windows como Linux y Unix.

28

Figura 12. Tráfico de WhatssApp en Wireshark

5.5. CheckPoint

El fabricante CheckPoint ofrece software para la gestión de sus firewalls. Mediante

esta herramienta, el usuario será capaz de simular su red y su política de seguridad,

configurando las reglas para permitir o denegar el tráfico que considere oportuno.

En la interfaz de esta herramienta, el usuario podrá definir nodos (equipos),

grupos (varios nodos), redes, servidores y todos los elementos que pueda encontrar en su

red, construyéndose automáticamente la topología a la vez que el usuario va

introduciendo los datos.

Además, a la hora de crear las reglas el usuario podrá modificar, entre otros, los

siguientes campos: direcciones o equipos de origen, direcciones o equipos de destino,

servicios (tipo de protocolo: tcp, udp, http…), si se quiere aceptar, rechazar y si quiere que

produzca alertas, logs o incluso que se realice mediante la autenticación de un usuario.

Una vez incluidas todas las reglas, el propio software nos avisará si hay alguna que esté

impidiendo (por el orden de ejecución) que otra se ejecute o incluso si hay alguna

contradictoria.

También hay que destacar que Checkpoint incluye otras herramientas con las que,

por ejemplo, se puede revisar el tráfico que llega al firewall, comprobando el

funcionamiento de la política que hayamos creado.

29

Aunque cada fabricante tiene su propio software, se ha propuesto CheckPoint por

lo sencillo que resulta su uso.

Figura 13. Reglas de tráfico en CheckPoint

30

6. FUTURO Y CONCLUSIONES

El futuro del análisis forense, al igual que el de la seguridad informática en general,

parece prometedor. Hace poco se podía leer en diversos medios que se esperaba la

creación de un millón de puestos de trabajo en todo el mundo relacionados con la

seguridad informática. La gran expansión que ha surgido especialmente gracias a

smartphones y tablets, cuyo uso hoy en día puede ser similar al de un ordenador, y el

internet de las cosas que cada vez forma más parte de nuestro presente, hace que una

gran cantidad de investigaciones policiales vayan a requerir el análisis de computadores.

Avanzamos en esta disciplina hacia momentos en los que deberían surgir constantemente

nuevas herramientas y, quizás, nuevos modelos que ayuden a la hora de realizar estos

análisis de los que hemos tratado.

Sin embargo, y como conclusión a este trabajo, debemos volver a mencionar la

falta de eficiencia que hay a lo largo de todo el proceso. El hecho de que no existan

herramientas estándar para realizar los análisis de los ordenadores o que ni siquiera

exista un procedimiento normalizado dentro del mismo cuerpo policial, donde cada

persona utiliza las herramientas que cree más convenientes o se adaptan a sus gustos

para cada análisis, es una gran debilidad.

De igual forma, sería conveniente, aunque desde mi punto de vista no tan

importante, el hecho de normalizar todo el proceso de análisis forense. Podría ser

interesante que, a nivel internacional, se creara un estándar con unas normas de calidad

que identificaran todas las fases del proceso, garantizando la calidad en las mismas.

31

PARTE 2. UNIDAD DIDÁCTICA

1. DESCRIPCIÓN DEL CONTEXTO DEL CENTRO

El Instituto María Zambrano, para alumnos y alumnas de altas capacidades, se

encuentra ubicado en una zona céntrica de la ciudad de Málaga. Las viviendas que

podemos encontrar en el barrio en el que está el instituto pisos que generalmente

habitan gente de nivel económico alto.

Al estar situado en pleno centro de Málaga, podemos encontrar todo tipo de

servicios junto al instituto. Entre otros, podemos encontrar distintos restaurantes, un

hospital, tiendas de todo tipo, centros comerciales o diferentes atracciones para los

turistas.

La gente que suele trabajar en esa zona suelen ser empresarios que tienen allí sus

negocios, empleados de las tiendas que hay alrededor o directivos que trabajan en los

edificios cercanos al instituto.

Centrándonos ya en el alumnado, las familias tienen un nivel socio-económico

alto, y el hecho de que los estudiantes sean alumnos y alumnas con altas capacidades, y

que pese a ello hayan decidido elegir esta formación ante la gran variedad de oferta que

hay en la zona, significa que es algo vocacional y que la Administración de Sistemas

Informáticos en Red es lo que realmente querían estudiar, por lo que no nos

encontraremos con alumnos y alumnos que estén a disgusto en clase, la predisposición

siempre va a ser máxima para aprender.

El centro del que estamos hablando es un instituto público, para personas de altas

capacidades y que imparte los siguientes cursos:

- Técnico Superior en Administración de Sistemas Informáticos en Red

- Técnico Superior en Desarrollo de Aplicaciones Multiplataforma

- Técnico Superior en Desarrollo de Aplicaciones Web

El instituto es un centro bilingüe, impartiendo algunas de las asignaturas

completamente en inglés, por lo que el alumnado no debe tener ningún problema en

utilizar aplicaciones en este idioma.

A continuación detallo los servicios de los que dispone el Instituto María

Zambrano:

32

- Laboratorios de informática

- Biblioteca

- Comedor

- Servicio médico

- Seguro escolar

- Orientación psicopedagógica

El instituto María Zambrano, dispone de dos tipos de laboratorios de informática

diferentes.

En el primer tipo nos encontramos ante un aula de informática al uso, donde

encontraremos 20 puestos (uno por alumno en clase) dispuestos en cinco filas de cuatro

cada una. Cada puesto dispondrá de un ordenador completo (torre, monitor, ratón y

teclado) en una mesa y una silla de oficina. Frente al alumnado, al lado izquierdo, se

encontrará el puesto del profesor, de las mismas características que los puestos del

alumnado y cuyo ordenador estará conectado a un proyector. A la derecha del alumnado

nos encontraremos con una pizarra electrónica.

En el segundo tipo, que será el que utilicemos en la unidad didáctica, los

ordenadores estarán dispuestos para que el alumnado trabaje en grupos de cuatro. La

clase estará dividida en cinco espacios o “laboratorios”: dos junto a la pared de la

izquierda, dos junto a la pared de la derecha y uno en la pared del fondo, en el centro. Los

puestos (de formato similar a los descritos en el tipo de aula anterior) formarán un

cuadrado, habiendo justo detrás de ellos un pequeño espacio con una pizarra electrónica

conectada a uno de los ordenadores, de esta forma los alumnos y alumnas tendrán su

pequeño espacio para reuniones dentro del aula. Al igual que en el tipo anterior, con la

misma disposición podremos encontrar el puesto del profesor con el proyector y su

pizarra electrónica.

2. CONTEXTUALIZACIÓN DEL TÍTULO

La normativa aplicada será la siguiente:

- Real Decreto 1629/2009, de 30 de octubre, por el que se establece el título de

Técnico Superior en Administración de Sistemas Informáticos en Red y se fijan sus

enseñanzas mínimas.

33

- ORDEN de 19 de julio de 2010, por la que se desarrolla el currículo

correspondiente al título de Técnico Superior en Administración de Sistemas

Informáticos en Red.

La unidad didáctica que expondré en este trabajo está englobada en el siguiente

título:

Título: Técnico Superior en Administración de Sistemas Informáticos en Red.

Nombre del módulo: Seguridad y alta disponibilidad.

Curso: Segundo.

Trimestre: Segundo.

Duración: 84 horas.

Los objetivos del módulo son los siguientes [19]:

j. Seleccionar sistemas de protección y recuperación, analizando sus

características funcionales, para implementar soluciones de alta disponibilidad.

k. Identificar condiciones de equipos e instalaciones, interpretando planes de

seguridad y especificaciones del fabricante, para supervisar la seguridad física.

l. Aplicar técnicas de protección contra amenazas externas, tipificándolas y

evaluándolas para asegurar el sistema.

m. Aplicar técnicas de protección contra pérdidas de información, analizando

planes de seguridad y necesidades de uso para asegurar los datos.

o. Establecer la planificación de tareas, analizando actividades y cargas de trabajo

del sistema para gestionar el mantenimiento.

p. Identificar los cambios tecnológicos, organizativos, económicos y laborales en

su actividad, analizando sus implicaciones en el ámbito de trabajo, para

mantener el espíritu de innovación.

El desarrollo de la materia durante el curso escolar constará de clases teóricas, en

las que se les explicará a los alumnos los conceptos básicos de la asignatura, y clases

prácticas en las que el alumno desarrollará sus capacidades mediante actividades que

estén relacionadas con el temario.

La evaluación de la materia se realizará mediante exámenes teóricos que se

realizarán durante el desarrollo de las unidades didácticas. Además, los alumnos tendrán

que realizar un ejercicio práctico cada unidad, donde deberán demostrar que tienen esos

34

conocimientos. Deberán tener como mínimo un cinco en todas las unidades para poder

aprobar la materia.

Se realizará un examen final al acabar la asignatura donde los alumnos deberán

demostrar que tienen los conocimientos mínimos de todas las unidades didácticas.

La competencia general de este título consiste en configurar, administrar y

mantener sistemas informáticos, garantizando la funcionalidad, la integridad de los

recursos y servicios del sistema, con la calidad exigida y cumpliendo la reglamentación

vigente.

3. CONTEXTUALIZACIÓN DE LA UNIDAD DIDÁCTICA

Aunque toda la contextualización se haya hecho a través de diferentes apartados,

en el Anexo 2 se incluye una tabla donde se relacionan los resultados de aprendizaje,

criterios de evaluación, contenidos básicos e indicadores.

3.1. Resultados de aprendizaje

1. Adopta pautas y prácticas de tratamiento seguro de la información, reconociendo

las vulnerabilidades de un sistema informático y la necesidad de asegurarlo.

2. Implanta mecanismos de seguridad activa, seleccionando y ejecutando

contramedidas ante amenazas o ataques al sistema.

3. Implanta técnicas seguras de acceso remoto a un sistema informático,

interpretando y aplicando el plan de seguridad.

4. Implanta cortafuegos para asegurar un sistema informático, analizando sus

prestaciones y controlando el tráfico hacia la red interna.

3.2. Contenidos básicos

1.1. Fiabilidad, confidencialidad, integridad y disponibilidad. (Criterio de evaluación 1.a).

1.2. Amenazas. Tipos. Amenazas físicas y lógicas. (Criterio de evaluación 1.b).

1.3. Análisis de las principales vulnerabilidades de un sistema informático. (Criterio de

evaluación 1.c).

35

1.4. Elementos básicos de la seguridad perimetral. (Criterio de evaluación 1.h).

1.5. Perímetros de red. Zonas desmilitarizadas. (Criterio de evaluación 1.h).

1.6. Análisis forense en sistemas informáticos. (Criterio de evaluación 1.i).

1.7. Ataques y contramedidas en sistemas personales. (Criterio de evaluación 2.c).

1.8. Elementos vulnerables en el sistema informático. Hardware, software y datos.

(Criterio de evaluación 2.d)

1.9. Ataques y contramedidas en sistemas personales. (Criterio de evaluación 2.e).

1.10. Intentos de penetración. (Criterio de evaluación 2.i).

1.11. Seguridad en la red corporativa. (Criterio de evaluación 3.c).

1.12. Tipos de cortafuegos. Ubicación. (Criterio de evaluación 4.a).

1.13. Filtrado de paquetes de datos. (Criterio de evaluación 4.b).

1.14. Instalación de cortafuegos. Ubicación. (Criterio de evaluación 4.c).

1.15. Reglas de filtrado de cortafuegos. (Criterio de evaluación 4.d).

1.16. Pruebas de funcionamiento. Sondeo. (Criterio de evaluación 4.d).

1.17. Registros de sucesos de cortafuegos. (Criterio de evaluación 4.e).

3.3. Indicadores

1.1. Valora la importancia de asegurar la privacidad, coherencia y disponibilidad de la

información en los sistemas informáticos.

1.2. Describe las diferencias entre seguridad física y lógica.

1.3. Clasifica las principales vulnerabilidades de un sistema informático, según su tipología

y origen.

1.4. Reconoce la necesidad de establecer un plan integral de protección perimetral,

especialmente en sistemas conectados a redes públicas.

1.5. Identifica las fases del análisis forense ante ataques a un sistema.

1.6. Identifica la anatomía de los ataques más habituales, así como las medidas

preventivas y paliativas disponibles.

1.7. Analiza diversos tipos de amenazas, ataques y software malicioso, en entornos de

ejecución controlados.

36

1.8. Implementa aplicaciones específicas para la detección de amenazas y la eliminación

de software malicioso.

1.9. Describe los tipos y características de los sistemas de detección de intrusiones.

1.10. Identifica los protocolos seguros de comunicación y sus ámbitos de utilización.

1.11. Describe las características, tipos y funciones de los cortafuegos.

1.12. Clasifica los niveles en los que se realiza el filtrado de tráfico.

1.13. Planifica la instalación de cortafuegos para limitar los accesos a determinadas zonas

de la red.

1.14. Configura filtros en un cortafuegos a partir de un listado de reglas de filtrado.

1.15. Revisa los registros de sucesos de cortafuegos, para verificar que las reglas se

aplican correctamente.

3.4. Orientaciones pedagógicas

Este módulo profesional contiene la formación necesaria para seleccionar y utilizar

técnicas y herramientas específicas de seguridad informática en el ámbito de la

administración de sistemas. Además, servirá para conocer arquitecturas de alta

disponibilidad y utilizar herramientas de virtualización en la implantación de servicios de

alta disponibilidad.

Las funciones de la administración segura de sistemas incluyen aspectos como:

- El conocimiento y correcta manipulación de todos los elementos que forman el

componente físico y lógico de los equipos.

- La selección y aplicación de técnicas y herramientas de seguridad activa que

actúen como medidas preventivas y/o paliativas ante ataques a al sistema.

- La instalación y configuración de herramientas de protección perimetral,

cortafuegos y servidores proxy.

3.5. Objetivos generales

Esta unidad didáctica contribuye a alcanzar los objetivos generales de este ciclo

formativo que se relacionan a continuación:

j) Seleccionar sistemas de protección y recuperación, analizando sus características

funcionales, para implementar soluciones de alta disponibilidad.

37

k) Identificar condiciones de equipos e instalaciones, interpretando planes de seguridad y

especificaciones de fabricante, para supervisar la seguridad física.

l) Aplicar técnicas de protección contra amenazas externas, tipificándolas y evaluándolas

para asegurar el sistema.

3.6. Competencias profesionales

Esta unidad didáctica contribuye a alcanzar las competencias profesionales,

personales y sociales de este título que se relacionan a continuación:

i) Implementar soluciones de alta disponibilidad, analizando las distintas opciones del

mercado, para proteger y recuperar el sistema ante situaciones imprevistas.

j) Supervisar la seguridad física según especificaciones del fabricante y el plan de

seguridad para evitar interrupciones en la prestación de servicios del sistema.

k) Asegurar el sistema y los datos según las necesidades de uso y las condiciones de

seguridad establecidas para prevenir fallos y ataques externos.

s) Resolver problemas y tomar decisiones individuales, siguiendo las normas y

procedimientos establecidos, definidos dentro del ámbito de su competencia.

4. CONTENIDOS

4.1. Contenidos actitudinales

- Acude a clase con el material necesario.

- Está atento a las explicaciones del profesorado y de los compañeros.

- Toma apuntes de las explicaciones de la manera más limpia y organizada posible.

- Se ofrece voluntario para resolver dudas.

- Participa activamente cuando el profesorado hace preguntas sobre la marcha.

- Pregunta dudas que han surgido.

4.2. Contenidos conceptuales

- Identifica las etapas del análisis forense

38

- Conoce las características de los firewall

- Conoce las características de los IDS

- Conoce las características de algunas herramientas de análisis de tráfico

- Distingue distintos tipos de malware

- Comprende las principales características sobre seguridad que debe tener el

software

5. METODOLOGÍA

Para el desarrollo de la actividad utilizaremos 20 sesiones de dos horas, que se

desgranarán a continuación.

Nota: Cada sesión tendrá una duración de 2h.

Sesión 1.

Nº de actividad: 1

Actividad de Enseñanza/Aprendizaje: Actividad de introducción. La clase comenzará con

un pequeño debate sobre lo que los alumnos piensan que es la seguridad informática y

enumerando distintos tipo de malware que conocen, viendo el profesor el nivel que

tienen los alumnos sobre este tema.

Tiempo estimado en horas: 15 minutos.

Tipo de agrupamiento: Individual.

Recursos materiales y humanos: -

Espacio: Laboratorio para trabajo individual.

Nº de actividad: 2

Actividad de Enseñanza/Aprendizaje: Actividad expositiva. En la parte teórica, el profesor

hablará sobre la seguridad informática y la informática forense, se explicará la historia y

conceptos básicos del análisis forense, conceptos de integridad, disponibilidad,

confidencialidad, seguridad física y lógica y diferentes tipos de malware.

39



Recursos materiales y humanos: Pizarra electrónica, proyector, ordenadores, folios.


Nº de actividad: 3

Actividad de Enseñanza/Aprendizaje: Actividad de evaluación. En la última parte de la

clase, para comprobar que los alumnos han atendido en clase, el profesor pasará un

cuestionario que los alumnos deben resolver en 15 minutos.



Recursos materiales y humanos: Folios.


Sesión 2.

Nº de actividad: 1


un pequeño repaso sobre la clase anterior, donde los alumnos podrán preguntar dudas.



Recursos materiales y humanos: Pizarra electrónica.


Nº de actividad: 2


hablará sobre la metodología en el análisis forense y explicara el modelo de Casey.





40

Nº de actividad: 3








Sesión 3.

Nº de actividad: 1







Nº de actividad: 2


hablará firewall, explicando los conceptos básicos, el funcionamiento y comentando

algunos fabricantes.





Nº de actividad: 3




41





Sesión 4.

Nº de actividad: 1







Nº de actividad: 2

Actividad de Enseñanza/Aprendizaje: Actividad de desarrollo de destrezas. El profesor

realizará una instalación del software del firewall checkpoint, guiando a los alumnos

mediante la proyección del proceso. Una vez instalado, se realizará una configuración

básica. Los alumnos podrán preguntar dudas en cualquier momento de la sesión.

Tiempo estimado en horas: 105 minutos


Recursos materiales y humanos: Ordenadores y proyector.


Sesión 5.

Nº de actividad: 1






42


Nº de actividad: 2


instalará una política en checkpoint mediante el uso de reglas que permitirán aceptar o

denegar el tráfico, guiando a los alumnos a través de la proyección del proceso. Los

alumnos podrán preguntar dudas en cualquier momento de la sesión.





Sesión 6.

Nº de actividad: 1







Nº de actividad: 2


hablará Sistemas de Detección de Intrusos (IDS), explicando los conceptos básicos y

nombrando los distintos tipos.





Nº de actividad: 3

43








Sesión 7.

Nº de actividad: 1







Nº de actividad: 2


hablará sobre las características, diferencias y similitudes de las NIDS y las HIDS.





Nº de actividad: 3






44



Sesión 8.

Nº de actividad: 1







Nº de actividad: 2


hablará sobre las características y funcionamiento de la herramienta de análisis de tráfico

Snort.





Nº de actividad: 3


realizará algunos análisis de tráfico con la herramienta snort, guiando a los alumnos a

través de la proyección del proceso. Los alumnos podrán preguntar dudas en cualquier

momento de la sesión.





45

Sesión 9.

Descripción: Herramientas de IDS y análisis de tráfico: Snort y Wireshark.

Nº de actividad: 1







Nº de actividad: 2


realizará algunos análisis de tráfico con la herramienta snort, guiando a los alumnos a

través de la proyección del proceso. Los alumnos podrán preguntar dudas en cualquier

momento de la sesión.





Nº de actividad: 3



Wireshark.





Sesión 10.

46

Descripción: Herramientas de IDS y análisis de tráfico: Wireshark.

Nº de actividad: 1







Nº de actividad: 2



Wireshark.





Sesión 11.

Nº de actividad: 1

Actividad de Enseñanza/Aprendizaje: Actividad de desarrollo de destrezas. La actividad

consistirá en la preparación de la clase para realizar la práctica. En primer lugar, el

profesor comentará que se va a realizar una actividad por grupos, por lo que se pedirá

que formen cinco grupos de cuatro personas, donde obligatoriamente debe haber una

chica en cada grupo, siendo ella además la líder. En segundo lugar, el profesor explicará el

enunciado de la práctica, resolviendo las dudas que puedan surgir y mostrando el lugar de

la clase que simula ser la empresa que nos ha llamado, con su ordenador y todos los

dispositivos. El resto del tiempo se utilizará para que los alumnos instalen en sus equipos

el software que consideren adecuado y dejen todo listo para el próximo día.


Tipo de agrupamiento: Grupal (cuatro personas).

47


Espacio: Laboratorio para trabajo grupal.

Sesión 12.

Descripción: Trabajo práctico del alumnado. Al llegar a la clase, los alumnos se

distribuirán en grupos y comenzarán el trabajo autónomo, realizando la actividad de

análisis forense. El profesor irá pasando por los distintos grupos para tomar notas del

trabajo que están realizando y para resolver las dudas que pueda tener el alumnado.

Nº de actividad: 1

Actividad de Enseñanza/Aprendizaje: Actividades de desarrollo de habilidades cognitivas.



Recursos materiales y humanos: Ordenadores, pizarras electrónicas, internet y folios.

Espacio: Laboratorio para trabajo en grupos.

Sesión 13.





Nº de actividad: 1






Sesión 14.

48





Nº de actividad: 1






Sesión 15.





Nº de actividad: 1






Sesión 16.





Nº de actividad: 1

49






Sesión 17.





Nº de actividad: 1






Sesión 18.





Nº de actividad: 1






50

Sesión 19.





Nº de actividad: 1






Sesión 20.

Descripción: Defensa del informe ante el profesor por parte de todos los grupos. La

defensa consistirá en una exposición de máximo 20 minutos por grupo, donde se incluyen

cinco minutos para preguntas por parte de los compañeros o del profesor. Para la

exposición, que será realizada por el líder del grupo, se podrá utilizar el proyector y el

ordenador del profesor, así como el material que la persona que considere oportuno la

persona que realice la presentación.

Nº de actividad: 1

Actividad de Enseñanza/Aprendizaje: Actividad de evaluación.



Recursos materiales y humanos: Pizarra electrónica, proyector, ordenador del profesor.


Actividad práctica

La actividad práctica que se desarrollará entre las sesiones 11 y 20 y con la que

evaluaremos el contenido consistirá en realizar un análisis forense donde se deberá

51

detectar los ataques sufridos por una empresa que nos contrate, realizar el informe

pertinente y proponer una solución (sin implementarla) para evitar este tipo de

incidentes. El informe deberá ser defendido, completando así todas las fases del análisis

forense, ante el profesor. En el Anexo 1 se muestra un ejemplo de enunciado para esta

actividad.

Características de la actividad

- Nombre: Análisis forense en el aula.

- Tipo: Grupal (cuatro personas).

- La persona líder del grupo será la encargada de defender el informe final ante el

profesor y la que le podrá preguntar las dudas, simulando un entorno real de

empresa. El grupo será el encargado de decidir si el reparto de tareas se acuerda

entre todos o lo dicta el líder.

- En un área de la clase, habilitada para ello, se simulará una oficina del banco con

el ordenador atacado y todos los dispositivos que ese ordenador suela utilizar.

- Los equipos se turnarán el primer día para la recogida de pruebas en las oficinas

del banco.

- Posteriormente, cada día un equipo podrá ir a las oficinas del banco para realizar

el análisis del tráfico en tiempo real si lo consideran necesario.

- Cada grupo tendrá su propio laboratorio en la clase, consistente en cuatro

ordenadores (uno por persona), donde podrán instalar sus herramientas para el

análisis.

- Cada grupo podrá utilizar las herramientas que considere más adecuadas para la

realización del análisis forense.

- El análisis se realizará conforme al modelo de Casey, debiendo estar todas las

etapas documentadas en el informe que se defenderá al finalizar el trabajo.

- Se podrán crear las máquinas virtuales que el grupo considere necesarias para

simular distintos equipos.

6. EVALUACIÓN

6.1. Criterios de evaluación

1.a) Se ha valorado la importancia de asegurar la privacidad, coherencia y disponibilidad

de la información en los sistemas informáticos.

52

1.b) Se han descrito las diferencias entre seguridad física y lógica.

1.c) Se han clasificado las principales vulnerabilidades de un sistema informático, según

su tipología y origen.

1.h) Se ha reconocido la necesidad de establecer un plan integral de protección

perimetral, especialmente en sistemas conectados a redes públicas.

1.i) Se han identificado las fases del análisis forense ante ataques a un sistema.

2.c) Se han identificado la anatomía de los ataques más habituales, así como las medidas

preventivas y paliativas disponibles.

2.d) Se han analizado diversos tipos de amenazas, ataques y software malicioso, en

entornos de ejecución controlados.

2.e) Se han implantado aplicaciones específicas para la detección de amenazas y la

eliminación de software malicioso.

2.i) Se han descrito los tipos y características de los sistemas de detección de intrusiones.

3.c) Se han identificado los protocolos seguros de comunicación y sus ámbitos de

utilización.

4.a) Se han descrito las características, tipos y funciones de los cortafuegos.

4.b) Se han clasificado los niveles en los que se realiza el filtrado de tráfico.

4.c) Se ha planificado la instalación de cortafuegos para limitar los accesos a

determinadas zonas de la red.

4.d) Se han configurado filtros en un cortafuegos a partir de un listado de reglas de

filtrado.

4.e) Se han revisado los registros de sucesos de cortafuegos, para verificar que las reglas

se aplican correctamente.

6.2. Procedimientos e instrumentos

1. Pruebas escritas

2. Ejercicio práctico

3. Participación en clase

53

6.3. Criterios de calificación

Los alumnos deben obtener, al menos, un tres sobre seis en el ejercicio práctico

para optar a aprobar la asignatura.

En caso de llegar a ese cinco, se sumarán las notas obtenidas en las pruebas

escritas y la participación en clase.

1. Pruebas escritas (30%): a lo largo de la unidad, se harán cinco pruebas escritas tipo

test al final de la clase. Cada test constará de 10 preguntas con cuatro respuestas y

una correcta. Las preguntas acertadas sumarán un punto, las falladas restarán 0,3

y las no contestadas no suman ni restan. La nota final en este apartado será la

media aritmética de los cinco exámenes. En caso de que el profesor pille a un

alumno copiando, tendrá una calificación de 0 en ese examen. La nota máxima en

este apartado es de tres puntos (corresponde a una media aritmética de 10).

2. Ejercicio práctico (60%): la evaluación de la práctica se desglosa de la siguiente

forma. Presentación del proyecto (10%). En este apartado se tendrá en cuenta la

claridad en la exposición y la calidad de las diapositivas, siendo la nota máxima un

uno. Trabajo en clase (10%). En este apartado se tendrá en cuenta que hayan

cumplido con los temas transversales que se proponen, para cada uno de ellos se

sumará 0,2 si el profesor considera que lo ha cumplido o se restará 0,1 en caso

contrario, llegando a sumar un punto como máximo. Informe entregado (10%). El

profesor valorará que la estructura del informe sea coherente, el contenido esté

claro y que todos los resultados estén en el informe, la nota máxima es de un

punto y se puntuará con un cero este apartado si se encuentra alguna falta de

ortografía. Resultados obtenidos (30%). En los resultados obtenidos se valorará

que el alumno haya sido capaz de encontrar las causas de los problemas del

equipo (los ataques que ha sufrido) y que haya sido capaz de dar una solución. La

nota máxima en este apartado es de seis puntos. Si el profesor pilla a un grupo

copiando, tendrán la evaluación suspensa.

3. Participación en clase (10%): el profesor tomará nota de los alumnos que

participan en los primeros quince minutos de cada clase. Cada participación

resolviendo alguna duda de un compañero de forma correcta sumará 0,1. Cada

participación respondiendo a una pregunta del profesor de forma correcta sumará

0,2. La nota máxima en este apartado es de un punto.

54

6.4. Criterios de recuperación

En caso de que el alumno suspenda, tendrá la oportunidad de aprobar al final del

trimestre mediante recuperación, aunque la nota máxima que podrá obtener es de un 9.

Para ello deberá seguir dos requisitos:

1. Al alumno se le facilitará una imagen en formato .iso para que la instale en una

máquina virtual y poder realizar un análisis forense similar al que se realiza en el

ejercicio práctico. Deberá presentar y defender el informe ante el profesor en la

fecha acordada para ello. Nota máxima: 6 puntos. Si el alumno copia, tendrá la

evaluación suspensa.

2. El alumno deberá superar una prueba escrita de los conocimientos teóricos

adquiridos en clase. El examen será un tipo test de 50 preguntas, 10 por tema, con

cuatro respuestas y una correcta. Cada pregunta correcta suma 0,06, cada

pregunta incorrecta resta 0,02 y las no contestadas no suman ni restan. Nota

máxima: 3 puntos. Si el alumno es pillado copiando, tendrá la evaluación completa

suspensa.

7. TEMAS TRANSVERSALES

Los temas transversales que se van a tratar en esta unidad didáctica son los

siguientes:

- Trabajo en equipo: los alumnos trabajarán en grupos de cuatro, simulando un

entorno de trabajo real en el mundo de la informática, donde en raras ocasiones

se trabaja de manera individual.

- Orden en los puestos de trabajo: puesto que los alumnos simularán su propio

laboratorio con cuatro ordenadores en un reducido espacio, será imprescindible

que los puestos de trabajo estén ordenados.

- Respeto entre compañeros y a un superior: no solo será imprescindible que el

respeto entre compañeros sea el máximo trabajando sino que, al haber un líder,

será también importante que sepan acatar las órdenes de ese líder en caso de

haberlas.

55

- Educación moral: el tema de seguridad informática es muy propicio para este

tema y a lo largo del debate inicial en la primera clase se introducirá el concepto

de “hacking ético”.

- Discriminación positiva: en nuestra clase de 20 personas, hay 15 chicos y cinco

chicas, por lo que cada chica será la líder de un grupo durante el trabajo práctico.

Será positivo para los chicos tanto por tener a un referente femenino en su grupo

con el que trabajarán mano a mano, algo poco común en informática, como para

las chicas, que podrán sentirse las jefas de una empresa, algo que en la realidad no

está extendido en el mundo de la informática y que es necesario.

8. ATENCIÓN A LA DIVERSIDAD

Pese a ser una clase con alumnos de altas capacidades, al igual que ocurre en

cualquier instituto nos encontraremos con gente de un nivel muy alto y que destacan

sobre el resto, así como con alumnos que tendrán más dificultades para llevar al día todo

el trabajo.

Para el primer caso, alumnos que destacan por encima del resto, en esta actividad

se les ofrecerá la oportunidad de que sigan realizando pruebas y todo tipo de análisis

sobre el supuesto dado, aunque ya tengan claros los resultados. Esta actividad, en la que

el alumno puede elegir qué análisis hacer y cómo hacerlos, se presta a poder obtener los

resultados esperados de varias formas y con distintas herramientas, por lo que a los

alumnos que resuelvan los supuestos antes de que acaben las sesiones se les animará a

que lo hagan de otra forma distinta, consiguiendo así el manejo de un número mayor de

herramientas.

Para el segundo caso, el de alumnos que tienen dificultades para llevar al día todo

el trabajo, se realizará un día a la semana, durante dos horas por la tarde, actividades de

refuerzo. Cuando las clases de este módulo estén siendo sesiones teóricas, en estas

actividades se volverán a explicar los conceptos más importantes y se permitirá al alumno

resolver todas las dudas que pueda tener. Cuando las clases estén siendo prácticas, se

utilizarán nuevos ejemplos prácticos de refuerzo para que consigan una mayor

comprensión de las herramientas que se explican y un mejor manejo.

56

ANEXOS

Anexo 1: Enunciado de ejemplo para la actividad propuesta

El banco Swiss Bank, donde muchos políticos suelen guardar su dinero, se ha dado

cuenta de que, desde hace tres días, se ha visto comprometida su seguridad gracias a un

ataque dirigido por un grupo de hackers que quieren sacar a la luz todos los datos

bancarios de los clientes. Ante la gravedad de los hechos, y en un intento por esclarecer

lo ocurrido, solucionarlo y mejorar la seguridad de sus redes, este banco se ha puesto en

contacto con vuestra empresa para que, a la mayor brevedad posible, corrijáis los

problemas que están teniendo.

El cliente, el Swiss Bank, tras aceptar el presupuesto que le habéis ofertado por un

análisis forense y un posterior informe en el que explicaréis qué ataques han sufrido y

qué solución proponéis para que no vuelvan a ocurrir, os ha citado en sus oficinas

centrales para daros las explicaciones oportunas y comenzar el proceso de investigación.

Al llegar a las oficinas del cliente, el jefe de ciberseguridad del Swiss Bank se

encarga de explicar la situación que se está viviendo a las personas encargadas de vuestra

empresa:

- El ataque se produjo hace tres días.

- Tienen guardadas copias de seguridad del tráfico monitorizado en la última

semana en formato .pcap.

- El ataque se ha producido en un equipo de la red interna en el que se almacenan

datos que pueden ser críticos, por lo que es imprescindible solucionar el problema

a la mayor brevedad posible.

- El equipo comprometido utiliza Windows XP (cambiar windows y adaptarlo al

ataque) y no tiene instaladas todas las actualizaciones de seguridad que se han

producido.

- El equipo de análisis forense se podrá desplazar un día a las instalaciones del

banco para monitorizar el tráfico de la red en tiempo real si lo considera

necesario.

- El/los cortafuegos utilizados son de Checkpoint. El conjunto de reglas aplicadas en

el cortafuegos estará disponible para el (se mostrará al alumno a continuación del

enunciado y en otra distinta).

- La estructura de las redes del Swiss Bank se entrega en una hoja aparte (se

mostrará al alumno a continuación del enunciado y en otra distinta) para que el

equipo pueda analizarla en su laboratorio.

57

Anexo 2: Tabla que relaciona resultados de aprendizaje, criterios de

evaluación, contenidos básicos e indicadores.

Resultados de

Aprendizaje

1. Adopta pautas y prácticas de tratamiento seguro de la información, reconociendo las

vulnerabilidades de un sistema informático y la necesidad de asegurarlo.

2. Implanta mecanismos de seguridad activa, seleccionando y ejecutando contramedidas

ante amenazas o ataques al sistema.

3. Implanta técnicas seguras de acceso remoto a un sistema informático, interpretando

y aplicando el plan de seguridad.

4. Implanta cortafuegos para asegurar un sistema informático, analizando sus

prestaciones y controlando el tráfico hacia la red interna.

Contenidos Criterios de evaluación Indicadores

Fiabilidad, confidencialidad, integridad y disponibilidad.

1.a) Se ha valorado la importancia de

asegurar la privacidad, coherencia y

disponibilidad de la información en los

sistemas informáticos.

Valora la importancia de asegurar

la privacidad, coherencia y

disponibilidad de la información en

los sistemas informáticos.

Amenazas. Tipos. Amenazas

físicas y lógicas. 1.b) Se han descrito las diferencias entre

seguridad física y lógica.

Describe las diferencias entre

seguridad física y lógica.

Análisis de las principales

vulnerabilidades de un

sistema informático.

1.c) Se han clasificado las principales vulnerabilidades de un sistema

informático, según su tipología y origen.

Clasifica las principales vulnerabilidades de un sistema

informático, según su tipología y origen.

Elementos básicos de la

seguridad perimetral.

Perímetros de red. Zonas

desmilitarizadas.

1.h) Se ha reconocido la necesidad de establecer un plan integral de protección

perimetral, especialmente en sistemas conectados a redes públicas.

Reconoce la necesidad de

establecer un plan integral de

protección perimetral,

especialmente en sistemas

conectados a redes públicas.

Análisis forense en sistemas

informáticos.

1.i) Se han identificado las fases del análisis forense ante ataques a un

sistema.

Identifica las fases del análisis

forense ante ataques a un sistema.

Ataques y contramedidas en

sistemas personales.

2.c) Se han identificado la anatomía de los ataques más habituales, así como las

medidas preventivas y paliativas disponibles.

Identifica la anatomía de los ataques más habituales, así como

las medidas preventivas y paliativas disponibles.

Elementos vulnerables en el

sistema informático.

Hardware, software y datos.

2.d) Se han analizado diversos tipos de amenazas, ataques y software malicioso,

en entornos de ejecución controlados.

Analiza diversos tipos de amenazas, ataques y software

malicioso, en entornos de ejecución controlados.

Ataques y contramedidas en

sistemas personales.

2.e) Se han implantado aplicaciones específicas para la detección de

amenazas y la eliminación de software malicioso.

Implementa aplicaciones específicas para la detección de

amenazas y la eliminación de software malicioso.

58

Intentos de penetración. 2.i) Se han descrito los tipos y

características de los sistemas de detección de intrusiones.

Describe los tipos y características de los sistemas de detección de

intrusiones.

Seguridad en la red

corporativa.

3.c) Se han identificado los protocolos seguros de comunicación y sus ámbitos

de utilización.

Identifica los protocolos seguros de comunicación y sus ámbitos de

utilización.

Tipos de cortafuegos.

Ubicación. 4.a) Se han descrito las características, tipos y funciones de los cortafuegos.

Describe las características, tipos y funciones de los cortafuegos.

Filtrado de paquetes de datos. 4.b) Se han clasificado los niveles en los que se realiza el filtrado de tráfico.

Clasifica los niveles en los que se realiza el filtrado de tráfico.

Instalación de cortafuegos.

Ubicación.

4.c) Se ha planificado la instalación de cortafuegos para limitar los accesos a

determinadas zonas de la red.

Planifica la instalación de cortafuegos para limitar los

accesos a determinadas zonas de la red.

Reglas de filtrado de

cortafuegos.

Pruebas de funcionamiento.

Sondeo.

4.d) Se han configurado filtros en un cortafuegos a partir de un listado de

reglas de filtrado.

Configura filtros en un cortafuegos a partir de un listado de reglas de

filtrado.

Registros de sucesos de

cortafuegos.

4.e) Se han revisado los registros de sucesos de cortafuegos, para verificar

que las reglas se aplican correctamente.

Revisa los registros de sucesos de cortafuegos, para verificar que las reglas se aplican correctamente.

59

LISTA DE FIGURAS

Figura 1: Captura de pantalla del Norton Utilities 8.0.

Figura 2: Insignia del CART

Figura 3: Clifford Stoll

Figura 4: Rótulo con el logotipo de HTCIA

Figura 5: Logo IACIS

Figura 6: Logo BIT

Figura 7: Logo GDT

Figura 8: Logo International Journal of Digital Evidence

Figura 9: Funcionamiento de EnCase Forensic.

Figura 10: Diagrama de uso de Snort.

Figura 11. Windows XP sobre VMWare Workstation

Figura 12. Tráfico de WhatsApp en Wireshark

Figura 13. Reglas de tráfico en CheckPoint

60

BIBLIOGRAFÍA

[1] Arquillo Cruz, José. (2007). Herramientas de apoyo para el análisis forense de

computadoras. PFC Ingeniería en Informática. Universidad de Jaén.

[2] John R. Vacca; Charles River Media. (2002). Computer Forensics: Computer Crime

Scene Investigation. (731 páginas). ISBN: 1584500182.

[3] Florida Computers Act. (1978). Visto en:

<http://www.clas.ufl.edu/docs/flcrimes/subsubsection2_1_1_2_2.html> [19/06/2015].

[4] Computer Analysis and Response Team. Visto en:

<http://www2.fbi.gov/hq/lab/org/cart.htm> [19/06/2015].

[5] Stoll, Clifford, (1988). Stalking the wily hacker. Communications of the ACM. Volumen

31, número 5, página 484. Artículo visto en

<https://w2.eff.org/Net_culture/Hackers/stalking_the_wily_hacker.article> [19/06/2015].

[6] Smith, John C. (2001). History of HTCIA. Artículo visto en

<http://www.jcsmithinv.com/HTCIAhistory.htm> [19/06/2015].

[7] Access Data. <http://accessdata.com/> [19/06/2015].

[8] Mohay, George M. (2003). Computer and intrusion forensics. Artech House, INC. ISBN:

1580533698.

[9] Grupo de Delitos Telemáticos de la Guardia Civil. Visto en

<https://www.gdt.guardiacivil.es/webgdt/home_alerta.php> [19/06/2015].

[10] Guardia Civil de España. Visto en

<https://www.guardiacivil.es/es/institucional/especialidades/gdt/index.html>

[19/06/2015]

[11] Observatorio tecnológico de España. Visto en

<http://recursostic.educacion.es/observatorio/web/en/software/software-general/1040-

introduccion-a-la-seguridad-informatica?showall=1> [19/06/2015]

[12] Observatorio tecnológico de España. Visto en

<http://recursostic.educacion.es/observatorio/web/gl/software/software-general/1040-

introduccion-a-la-seguridad-informatica?start=3> [19/06/2015]

[13] Lee, H.C.; T.M. Palmbach; M.T. Miller. (2001). Henry Lee’s Crime Scene Handbook.

Academic Press.

[14] Ó Ciardhuáin, Séamus. (2004). An Extended Model of Cybercrime Investigations.

International Journal of Digital Evidence Summer 2004. Volumen 3, número 1.

http://www.clas.ufl.edu/docs/flcrimes/subsubsection2_1_1_2_2.html

http://www2.fbi.gov/hq/lab/org/cart.htm

https://w2.eff.org/Net_culture/Hackers/stalking_the_wily_hacker.article

http://www.jcsmithinv.com/HTCIAhistory.htm

http://accessdata.com/

https://www.gdt.guardiacivil.es/webgdt/home_alerta.php

https://www.guardiacivil.es/es/institucional/especialidades/gdt/index.html

http://recursostic.educacion.es/observatorio/web/en/software/software-general/1040-introduccion-a-la-seguridad-informatica?showall=1

http://recursostic.educacion.es/observatorio/web/en/software/software-general/1040-introduccion-a-la-seguridad-informatica?showall=1

http://recursostic.educacion.es/observatorio/web/gl/software/software-general/1040-introduccion-a-la-seguridad-informatica?start=3

http://recursostic.educacion.es/observatorio/web/gl/software/software-general/1040-introduccion-a-la-seguridad-informatica?start=3

61

[15] Casey, E. (2004). Digital Evidence and Computer Crime: Forensic Science, Computers

and the Internet. Academic Press.

[16] U.S. Department of Justice. (2007). Handbook of Forensic Services. 202 páginas. ISBN:

9780160793769.

[17] Palmer, G. (2001). A Road Map for Digital Forensic Research. Technical Report DTR-

T001-01, DFRWS. First Digital Forensic Research Workshop.

[18] Rifà, H.; Serra, J.; Rivas, J.L. (2009). Análisis forenses de sistemas informáticos. Eureca

Media S.L. 60 páginas. ISBN: 9788469233436-

[19] Junta de Andalucía. (2010). BOJA Número 168. Página 35. Visto en <

http://www.adideandalucia.es/fp/andalucia/loe/O_19_7_2010_TS_Administracion_siste

mas_informaticos_red.pdf> [19/06/2015].

http://www.adideandalucia.es/fp/andalucia/loe/O_19_7_2010_TS_Administracion_sistemas_informaticos_red.pdf

http://www.adideandalucia.es/fp/andalucia/loe/O_19_7_2010_TS_Administracion_sistemas_informaticos_red.pdf

u j centro de estudios de postgrado - tauja.ujaen.estauja.ujaen.es/bitstream/10953.1/2608/1/david...

Documents