Upload
lamnhu
View
232
Download
0
Embed Size (px)
Citation preview
Ce
ntr
o d
e E
stu
dio
s d
e P
ostg
rado
M
áste
r U
niv
ers
itario
en P
rofe
sora
do
de
Ed
uca
ció
n S
ecu
nda
ria
Oblig
ato
ria
y B
ach
ille
rato
, F
orm
ació
n P
rofe
sio
na
l y
En
señ
anza d
e Id
iom
as
UNIVERSIDAD DE JAÉN Centro de Estudios de Postgrado
Trabajo Fin de Máster
MODELOS DE ANÁLISIS Y
RECOGIDA DE DATOS
Alumno: Contreras García, David Tutor: Prof. D. Rafael Segura Sánchez Tutor: Prof. D. Francisco Ramón Feito Figueruela Dpto: Informática
Junio, 2015
2
Índice
PARTE 1: EPISTEMOLOGÍA
1. INTRODUCCIÓN .......................................................................................................................... 5
2. HISTORIA DE LA INFORMÁTICA FORENSE .................................................................................. 7
2.1. 1971-1980. ......................................................................................................................... 7
2.2. 1981-1990 .......................................................................................................................... 8
2.3. 1991-2000 ........................................................................................................................ 11
2.4. 2000s ................................................................................................................................ 13
3. SEGURIDAD INFORMÁTICA E INFORMÁTICA FORENSE ........................................................... 15
3.1. Conceptos generales ........................................................................................................ 15
3.2. Vulnerabilidades ............................................................................................................... 15
3.3. Algunos sistemas de seguridad informática..................................................................... 16
4. MODELOS DE ANÁLISIS Y RECOGIDA DE DATOS ...................................................................... 17
4.1. Modelo de Lee .................................................................................................................. 17
4.2. Modelo extendido de Séamus Ó Ciardhuáin ................................................................... 18
4.3. Modelo de Casey .............................................................................................................. 20
4.4. Modelo del U.S. Dep. of Justice de EEUU ......................................................................... 20
4.5. Otros modelos .................................................................................................................. 21
5. HERRAMIENTAS DE ANÁLISIS FORENSE ................................................................................... 22
5.1. EnCase .............................................................................................................................. 23
5.2. Snort ................................................................................................................................. 24
5.3. VMWare Workstation ...................................................................................................... 25
5.4. WireShark ......................................................................................................................... 27
5.5. CheckPoint........................................................................................................................ 28
6. FUTURO Y CONCLUSIONES ....................................................................................................... 30
PARTE 2: UNIDAD DIDÁCTICA
1. DESCRIPCIÓN DEL CONTEXTO DEL CENTRO ............................................................................. 31
2. CONTEXTUALIZACIÓN DEL TÍTULO ........................................................................................... 32
3
3. CONTEXTUALIZACIÓN DE LA UNIDAD DIDÁCTICA ................................................................... 34
3.1. Resultados de aprendizaje ............................................................................................... 34
3.2. Contenidos básicos ........................................................................................................... 34
3.3. Indicadores ....................................................................................................................... 35
3.4. Orientaciones pedagógicas .............................................................................................. 36
3.5. Objetivos generales .......................................................................................................... 36
3.6. Competencias profesionales ............................................................................................ 37
4. CONTENIDOS ............................................................................................................................ 37
4.1. Contenidos actitudinales .................................................................................................. 37
4.2. Contenidos conceptuales ................................................................................................. 37
5. METODOLOGÍA ......................................................................................................................... 38
6. EVALUACIÓN ............................................................................................................................ 51
6.1. Criterios de evaluación ..................................................................................................... 51
6.2. Procedimientos e instrumentos ....................................................................................... 52
6.3. Criterios de calificación .................................................................................................... 53
6.4. Criterios de recuperación ................................................................................................. 54
7. TEMAS TRANSVERSALES ........................................................................................................... 54
8. ATENCIÓN A LA DIVERSIDAD .................................................................................................... 55
ANEXOS ............................................................................................................................................ 56
LISTA DE FIGURAS............................................................................................................................. 59
BIBLIOGRAFÍA ................................................................................................................................... 60
4
Resumen
Este Trabajo Fin de Master detalla la historia del análisis forense en informática,
así como algunos modelos y herramientas forenses utilizadas para tal fin. Además, este
trabajo expone un enfoque para la transmisión de conocimientos sobre informática
forense, en la asignatura Seguridad y Alta Disponibilidad, del Título de Técnico Superior
en Administración de Sistemas Informáticos en Red.
El objetivo es que los alumnos aprendan cómo se realiza un análisis forense,
completando todas las fases de las que dispone, y el uso de herramientas que les ayuden
durante todo el proceso.
Palabras clave: informática forense, investigación, seguridad informática, modelos de
análisis, análisis forense, firewall, IDS, NIDS, HIDS, análisis de tráfico.
Abstract
This final project describes in detail the history of forensic analysis in the field of
computer science, together with some models and forensic tools used for this purpose.
Besides, this paper presents an approach for the transmission of forensic computer
science knowledge through Seguridad y Alta disponibilidad, a subject within Técnico
Superior en Administración de Sistemas Informáticos de Red title.
The objective underlying the project is that students learn how to carry out a
forensic analysis, completing every stage, and the use of the tools that will help them in
the execution of the task.
Main words: computer forensic, research, computer security, IT security, analysis models,
forensic analysis, firewall, IDS, NIDS, HIDS, traffic analysis.
5
PARTE 1. EPISTEMOLOGÍA
1. INTRODUCCIÓN
¿Qué es el análisis forense? En la actualidad no existe un consenso absoluto en la
definición de esta disciplina, existen numerosas formas de explicar en qué consiste el
análisis forense dependiendo del punto de vista desde el que se enfoque la definición.
Una de las definiciones más sencillas pero que nos puede hacer comprender bien
de qué trata esta disciplina la encontramos en [1], que nos lo define como “la aplicación
de métodos científicos en investigaciones criminales”. En esta definición, la inclusión de la
expresión “métodos científicos” hablando de forma general y no de alguna disciplina en
concreto, toma especial relevancia para hacer hincapié en que estamos ante un campo
que abarca y va a utilizar todas las áreas de la ciencia a la hora de resolver un problema.
Otra definición que puede resultar muy interesante la encontramos en [2]. En este
caso se dice que “el análisis forense de computadoras es el proceso de examinar
dispositivos metódicamente (discos duros, disquetes, etc.) en busca de evidencias”. Esta
definición, a diferencia de la anterior, nos muestra de una forma más clara la finalidad de
un análisis forense, que no es otra que la de buscar evidencias de delitos o de
determinadas situaciones en las computadoras que se están analizando.
Esta disciplina, que nace en los años 70, no es hasta unos años más tarde,
coincidiendo con el comienzo del uso de los ordenadores en el hogar, ya en la década de
los 80, cuando tiene su ‘boom’, llegando a convertirse hoy en día en un negocio en el que
cada vez más empresas participan. La gran expansión de la informática y la tecnología en
casi todo el mundo ha hecho que hoy en día la mayoría de la gente viva rodeada de
ordenadores. Su uso es constante tanto para el trabajo como para el ocio, e incluso los
teléfonos han evolucionado en lo que conocemos como smartphones, teléfonos
inteligentes que guardan potentes computadores en su interior y que cada vez en mayor
medida son también objetivo de los análisis de la informática forense.
El caso de los teléfonos móviles en particular es especialmente interesante, puesto
que ha supuesto una nueva fuente de análisis para el sector. En la actualidad, la mayoría
de dispositivos móviles están conectados constantemente a internet y los utilizamos
como medio de comunicación con otras personas, bien sea a través de whatsapps,
correos electrónicos u otros servicios de mensajería. Además, estos dispositivos suelen
tener sistemas de posicionamiento (GPS) y otro tipo de sensores que también pueden ser
6
interesantes en el momento de un análisis forense. Y si hablamos de nuevas fuentes de
análisis para el sector, no podemos olvidarnos de lo que se está comenzando a conocer
como el internet de las cosas, que conectará todos nuestros electrodomésticos a la red
convirtiéndolos también en objetivos potenciales para los atacantes. Por lo tanto, con la
expansión a nivel mundial de todos estos dispositivos que actualmente utiliza la mayoría
de la gente, la informática forense ha visto cómo su target se está multiplicando, pasando
de analizar solamente los ordenadores, a tener en cuenta todo tipo de dispositivos.
Y al mismo tiempo que aumentaba el impacto del análisis forense como disciplina
en la informática, también ha crecido paulatinamente el número de herramientas y
aplicaciones de todo tipo para poder realizarlos. En este aspecto, hemos pasado de las
pruebas que se aceptaban en juicios en los años 70, que consistían en los documentos
almacenados en un ordenador, o de la primera aplicación de informática forense en los
80, que permitía recuperar de forma muy arcaica archivos que alguien previamente había
borrado, a la multitud de software que se utiliza en la actualidad para, de forma casi
automática, realizar el análisis de un disco duro.
Pero pese a que hoy en día existen numerosas herramientas y software que
ayudan a los cuerpos de seguridad en otros países y de la misma forma a las empresas
privadas, el análisis forense de los ordenadores sigue siendo un proceso que no está
normalizado, estandarizado ni automatizado, pudiendo comprobar que incluso dentro de
la misma Guardia Civil, distintas personas llevan a cabo los análisis de distinta forma y
utilizando distintas herramientas. Y es que este descontrol, propio de una disciplina que
está comenzando (apenas lleva desarrollándose tres décadas y en un principio de forma
precaria como veremos a continuación), no solo afecta a la hora del momento concreto
del análisis de los datos, sino que es un problema que se extiende a lo largo de todo el
proceso, desde que se comienza la preparación de un análisis hasta que se finaliza
mediante la publicación de los resultados o su defensa ante un tribunal.
De esta forma, podemos comprobar que a lo largo de los últimos años,
especialmente durante la década de los dos mil, surgieron numerosos modelos que
pretendían erigirse como estandartes del análisis forense, intentando normalizar el
proceso de forma que todo resultase más sencillo. Desde distintas Universidades,
comunidades científicas e incluso desde el departamento especializado del FBI, se han
desarrollado numerosos modelos que finalmente no han conseguido imponerse.
A lo largo de este trabajo expondré los hitos más importantes en la historia del
análisis forense. Posteriormente, comentaré brevemente algunos conceptos básicos
relacionados con la seguridad informática y analizaré algunos de los modelos más
importantes conocidos hasta la fecha. Finalmente, este trabajo concluirá con un repaso a
algunas de las herramientas más importantes del análisis forense y un breve enfoque
hacia el futuro del análisis forense.
7
2. HISTORIA DE LA INFORMÁTICA FORENSE
El análisis forense de computadoras, como ya se ha comentado en la introducción,
es una disciplina relativamente moderna, remontándose sus orígenes a la misma época
en la que los ordenadores comienzan a hacerse populares entre gran parte de la
población: la década de los 80.
Pese a que ya en los años 70 se aceptaban en los juicios pruebas obtenidas
mediante la informática forense, en ese momento no eran más que documentos que se
habían almacenado en los ordenadores, sin llegar a producirse un análisis real de los
datos que una computadora podía llegar a tener en su interior. No es hasta unos años
más tarde, a mediados de los 80, cuando en EEUU se comienza a desarrollar software
dedicado exclusivamente a este propósito, naciendo así la informática forense.
2.1. 1971-1980.
Aunque durante la década de los 70 la presencia de la informática forense fue
meramente testimonial, la presencia de cada vez más ordenadores en empresas y casas
hizo que en 1978 tuviera lugar un hito muy importante en la historia de la informática
forense. Por primera vez se creó una ley en la que se hablaba de delitos informáticos. Esto
ocurrió en el Estado de Florida, en Estados Unidos, donde vio la luz la Fla. Stat. 815.02,
también conocida como la “Florida Computer Crimes Act” (Ley de Florida de Delitos
Informáticos) [3]. En esta ley se legislaba contra la modificación o eliminación de datos en
un sistema informático así como contra los daños que se pudieran realizar sobre equipos
o redes informáticas, siendo por lo tanto la primera ley que hablaba de forma específica
sobre delitos informáticos. Las penas para estos delitos se recogían de la siguiente forma:
“Up to 5 years of imprisonment and a fine of up to $5,000 or any higher amount equal to
double the pecuniary gain derived from the offense by the offender or double the
pecuniary loss suffered by the victim.”
Según este artículo, este delito sería castigado con “hasta cinco años de prisión y una
multa de 5.000 dólares o cualquier cantidad superior que fuese igual al doble de la ganancia
derivada del delito o el doble de la pérdida sufrida por la víctima.”
Pese a que esta fue la primera ley en la que se hablaba de delitos informáticos, no
sería hasta la próxima década cuando los países se preocuparían de legislar, de forma ya
mucho más concreta, contra los delitos informáticos.
8
2.2. 1981-1990
Durante esta década la informática tuvo un gran crecimiento. La llegada de los
ordenadores a los hogares de forma casi masiva catapultó a esta disciplina hasta una
situación en la que muchas personas utilizaban sus computadoras para almacenar datos y
ficheros tanto personales como de empresas. En este nuevo escenario que se abría por
primera vez al mundo, cada ordenador suponía un nuevo objetivo potencial para ataques
maliciosos, haciendo que la importancia de la informática forense creciera de forma
exponencial durante estos años.
De esta forma nace en 1982 la primera herramienta importante y de sobrenombre
dentro de la informática forense: UnErase: Norton Utilities 1.0. Esta suite de aplicaciones
permitía, por ejemplo, recuperar archivos que habían sido borrados accidentalmente
gracias a la aplicación UnErase. También se incluían otras aplicaciones como Beep, que
permitía hacer que el altavoz interno de la CPU sonara, y utilidades para mover archivos
entre otras.
Esta suite lanzada por Peter Norton llegó hasta su versión 8.0, ya compatible con
Windows 3.1, y llegó a ver la luz su versión 1.0 para equipos MAC. Finalmente, el
producto sería comprado en 1990 por Symantec, que, ya bajo su nombre, seguiría dando
soporte a algunas de estas utilidades.
Figura 1. Captura de pantalla del Norton Utilities 8.0
Ya en 1984 tendría lugar uno de los mayores hitos de la informática forense. Ante
el crecimiento de los ataques a ordenadores que muchas veces quedaban impunes,
durante ese año el FBI pone en marcha el Magnetic Media Program, que posteriormente
se convertiría en el Computer Analysis and Response Team (CART), nombre bajo el que
9
siguen trabajando. Esta unidad, la primera en todo el mundo dedicada a la informática
forense, sigue proporcionando asistencia al FBI en la búsqueda de evidencias de delitos
en ordenadores así como peritajes forenses y asistencia técnica en las investigaciones. En
la actualidad cuentan con más de 50 oficinas y realizan miles de pruebas informáticas [4].
Para muchos especialistas en esta disciplina, la informática forense nace de forma
oficial con la creación de este departamento del FBI.
Figura 2. Insignia del CART
Ya en 1986 nos encontramos ante uno de los primeros grandes casos de espionaje
informático y el hacking, donde tanto el FBI como la CIA y otras grandes agencias
europeas tuvieron que trabajar conjuntamente para poder resolverlo.
Fue Clifford Stoll, un físico estadounidense, quien ayudó a dar caza a Markus Hess,
un hacker que había conseguido, mediante un ataque que le dio privilegios de
administrador, crear cuentas en el banco de forma fraudulenta.
Este caso fue pionero en cuanto a la colaboración de distintas agencias de
inteligencia de varios países contra un delito informático utilizando herramientas
forenses. La historia la contó el propio Clifford en un paper publicado en ACM [5].
Posteriormente, también publicaría un libro titulado El huevo del Cuco, una novela donde
narra en primera persona cómo ocurrió todo.
10
Figura 3. Clifford Stoll
En los siguientes años se seguiría profesionalizando el mundo de la informática
forense. En 1987 nacía la High Tech Crime Investigation Association o HTCIA, una
asociación que se encargaba de reunir a trabajadores de compañías privadas con gente
que desempeñaba su labor en agencias gubernamentales con el objetivo de compartir
conocimientos. En 1990, tal como cuenta John C. Smith [6], primer presidente de HTCIA
en Silicon Valley (posteriormente se abrirían sucursales de la asociación en otros lugares)
se llegaron a impartir cursos de un día que posteriormente evolucionarían en seminarios
y cursos de mayor duración. Hoy día, esta asociación sigue impartiendo cursos
relacionados con la seguridad informática.
Figura 4. Rótulo con el logotipo de HTCIA
También en 1987 nacía Access Data [7], una empresa que se convertiría en
referente en cuanto a lo que herramientas forenses se refiere. En su haber cuenta con
aplicaciones que hoy en día se siguen utilizando, como FTK, un conjunto de herramientas
que es reconocido en muchos lugares como el estándar para realizar investigaciones
11
forenses. FTK es usada hoy día para analizar ordenadores, por ejemplo, por la Guardia
Civil.
En octubre de 1989 el mundo de la informática forense seguía creciendo con la
creación de la International Association of Computer Investigative Specialists (IASCIS), una
de las empresas certificadoras más importantes a nivel mundial. Hoy día, la asociación
sigue manteniendo el prestigio y siendo considerada por mucha gente como la asociación
más importante dentro del ámbito de las certificaciones forenses. La IASCIS sigue
aceptando miembros e impartiendo cursos acreditados de gran importancia.
Figura 5. Logo IACIS
2.3. 1991-2000
En la década de los 90 la informática forense siguió creciendo de forma notoria.
Comenzaban a sucederse los congresos, investigaciones y todo tipo de herramientas para
transmitir los conocimientos. Además, con la expansión de internet, que comenzaba a
llegar a muchos hogares, cualquier persona podía sufrir un ataque en su propio
ordenador, por lo que el número de objetivos potenciales creció exponencialmente. En
esta época comenzaban a hacerse famosos muchos virus, troyanos y todo tipo de
malware.
En cuanto a la transmisión de conocimiento, un hecho muy importante se produce
en 1993, cuando tiene lugar en EEUU la First International Conference on Computer
Evidence (Primera Conferencia Internacional sobre Evidencias de Computadoras). Para
muchas personas [8], este es el origen de lo que hoy conocemos como IOCE (International
Organization on Computer Evidence), cuya creación coincidió con la segunda edición, en
1995. Ese mismo año, el G-8 decía:
12
“Law enforcement personnel must be trained and equipped to address high-tech crimes.”
La cita nos dice que las fuerzas de seguridad deben estar entrenadas y equipadas
para hacer frente a los delitos producidos con alta tecnología, hecho que supuso un
fuerte empujón a la informática forense, puesto que significó que las principales
potencias mundiales habían comprendido la importancia que esta disciplina estaba
tomando y lo vital que resultaba estar bien preparados para lo que iba a producirse en los
años posteriores.
Ese mismo año, en 1995, se crea en España la Brigada de Investigación Tecnológica
(BIT), primer departamento de la Policía Nacional que se dedica a la investigación y
análisis de computadoras. Esta Brigada, que aún sigue vigente, forma parte de la Unidad
de Delincuencia Económica y Fiscal (UDEF) de la Policía Nacional. Son los encargados de la
investigación y persecución de actividades delictivas como pornografía infantil, estafas o
fraudes producidos en internet.
Figura 6. Logo BIT
Los siguientes años seguirían siendo importantes en la creación de unidades
especializadas y en la transmisión de conocimiento. De esta forma, en 1996 la Interpol
crea un foro donde debatir todos los avances que se van consiguiendo sobre el análisis
forense, intentando que los países compartan sus conocimientos para un mayor y más
rápido avance. Este foro se conocería como los International Forensic Science
Symposium.
También en 1996 se creaba lo que hoy en día conocemos como Grupo de Delitos
Telemáticos (GDT [9]. Este grupo fue creado “para investigar, dentro de la Unidad Central
Operativa de la Guardia Civil, todos aquellos actos delictivos que se cometen a través de
sistemas de telecomunicaciones y mediante tecnologías de la información.” *10]
13
En 1999 este grupo pasaría a llamarse Departamento de Delitos de Alta Tecnología
(DDAT), ampliando sus investigaciones también al campo de los fraudes en las
telecomunicaciones. Pero sería en el año 2003 cuando esta unidad pasaría a llamarse
Grupo de Delitos Telemáticos.
Actualmente participa en los Grupos de Trabajo de Interpol de Europa y
Latinoamérica, en el Foro Internacional del G-8 para el cibercrimen y en el Grupo de
Europol.
Figura 7. Logo GDT
En 1997 se empieza a reconocer la importancia del análisis forense en las
investigaciones a nivel internacional durante una reunión del G-8 en Moscú. A partir de
esa reunión, este grupo designaría al IOCE la labor de sentar unas bases que todos los
países puedan seguir en cuanto a todo lo relacionado con el análisis forense y las
evidencias digitales.
Dos años más tarde, en 1999, se presenta el borrador que el G-8 había encargado
al IOCE. Además, en este mismo año, el FBI CART, departamento encargado del análisis
forense en el FBI, supera los 2.000 casos y 17 TB de información examinada en ese
momento, cifras que aumentarían exponencialmente durante los siguientes años.
2.4. 2000s
A lo largo de estos últimos años, el principal avance de la informática forense se ha
producido en los modelos de análisis, naciendo los que actualmente están en uso en los
departamentos de análisis forense de casi todo el mundo. Por este motivo, se va a
dedicar posteriormente un apartado para analizar en mayor profundidad estos modelos.
14
Aunque este haya sido el ámbito en el que más ha evolucionado la informática forense
durante esos años, también se han producido importantes hitos que se detallan a
continuación.
En 2001, se consigue por primera vez reunir a expertos tanto del sector público
como privado en el Digital Forensics Research WorkShop. Durante esta reunión en la que
se tratan temas punteros de investigación y análisis forense, surge la creación del
International Journal of Digital Evidence (Publicación Internacional de Evidencias
Digitales).
Figura 8. Logo International Journal of Digital Evidence
En 2002, por primera vez la Guardia Civil organiza el Foto Iberoamericano de
Encuentro de Ciberpolicías (FIEC), que se convertiría en un encuentro anual desde
entonces, donde diferentes unidades policiales colaboran intercambiando conocimientos.
Además, un año más tarde, en 2003, el Grupo de Delitos Telemáticos pasaría a
llamarse así de forma definitiva, siendo el nombre que actualmente mantiene. También
se crean ese mismo año los Equipos de Investigación Tecnológica (EDITE).
Ese mismo año, Rediris lanza el primer reto de análisis forense, donde se ofrecía
un premio que consistía en distintas licencias y software a quien pudiera resolverlo. En
este reto se mostraba una imagen de un disco duro que había sufrido un ataque y los
participantes debían dar respuestas a tres preguntas: quién había realizado el ataque,
cómo y qué hizo. 14 personas consiguieron superar este reto. En años posteriores se
siguieron lanzando distintos retos tanto en España como en Iberoamérica.
Un año más tarde, en 2004, se lanza una revista muy importante en el ámbito del
análisis forense, Digital Investigation: The International Journal of Digital Forensics and
Incident Response, que actualmente está en su volumen 12 (marzo de 2015).
15
3. SEGURIDAD INFORMÁTICA E INFORMÁTICA FORENSE
En este apartado explicaré algunos conceptos básicos sobre seguridad informática
e informática forense que a lo largo de este trabajo aparecerán en numerosas ocasiones.
Estos conceptos, sobre los que se fundamenta la unidad didáctica que se expondrá
posteriormente, serán importantes para comprender y tener una visión global sobre la
actividad que se propondrá.
3.1. Conceptos generales
En primer lugar debemos explicar en tres conceptos muy importantes en la
seguridad informática, porque son características que se deben cumplir, pero
especialmente en el análisis forense, ya que deben ser garantizadas durante todo el
proceso [11]. Estos conceptos son:
- Confidencialidad: solo deben tener acceso a la información las personas que estén
autorizadas para ello.
- Integridad: la información no debe sufrir alteraciones durante todo el proceso en
el que se almacena, se recupera o se transmite.
- Disponibilidad: La información debe poder ser usada siempre que se necesite.
También es importante saber que la seguridad total no existe y que se debe
conseguir un compromiso equilibrado entre la inversión que se realiza y la seguridad que
se consigue.
3.2. Vulnerabilidades
A continuación voy a enumerar algunas de las vulnerabilidades más comunes que
podemos encontrar en el software [12] y que pueden permitir a los atacantes tomar el
control de nuestras máquinas.
- Desbordamiento de buffer: se escribe en un array una cadena de longitud mayor a
la reservada inicialmente, pudiendo utilizar esto para ejecutar código que
comprometa el sistema.
- Inyección SQL: en programas que construyen consultas SQL, si la entrada no se
verifica correctamente puede dar lugar a entradas maliciosas.
- Código malicioso: hay multitud de tipos de código malicioso. Podemos destacar
algunos como virus, gusanos, troyanos o las puertas traseras.
16
- Rootkits: conjunto de herramientas que permite ganar fraudulentamente
privilegios de administrador (root). Una vez que conseguimos dichos privilegios,
podemos ocultar procesos y ficheros o, por ejemplo, esconder software malicioso
en el ordenador.
3.3. Algunos sistemas de seguridad informática
En este apartado voy a enumerar algunos de los muchos sistemas de seguridad
que podemos utilizar para evitar que comprometan nuestros equipos.
- Sistemas de Detección de Intrusos (IDS). Son mecanismos que escuchan el tráfico
de la red con el objetivo de detectar actividades sospechosas para reducir el riesgo
de posibles intrusiones en nuestro sistema. Podemos hacer una clasificación de
estos sistemas tanto por su ámbito de actuación como por las tecnologías de
detección.
o Ámbito de actuación:
HIDS: Sistemas de Detección de Intrusos que actúan a nivel de Host.
Monitorizan localmente a nivel de sistema operativo o aplicación.
La principal ventaja es que dan resultados incluso si el atacante ha
conseguido llegar a nuestro equipo.
NIDS: Sistemas de Detección de Intrusos a nivel de Red. Inspecciona
el tráfico de red en busca de anomalías que puedan ser indicadores
de actividades sospechosas.
Híbridos: combinan Detección de Intrusos a nivel de Host y a nivel
de Red.
o Tecnologías de detección. Las más comunes son:
Patrones: buscan determinadas cadenas de caracteres que
pertenecen a ataques que ya se conocen, por lo que al encontrarlas
existe la posibilidad de que el sistema esté siendo atacado.
Anomalías: buscan comportamientos extraños en el sistema, como
introducir una contraseña errónea muchas veces, el aumento muy
considerable del tráfico de forma repentina o el acceso al sistema a
horas que no se suele producir por parte de un usuario.
- Firewall (Cortafuegos). Es un software o hardware que se encarga de comprobar la
información que recibimos desde internet o desde una red, permitiendo o
denegando que este tráfico pase hasta nuestro equipo. Un firewall se puede
configurar mediante reglas, que serán las encargadas de dictar qué tipo de tráfico
y a qué puertos nos va a poder llegar la información. Esta tecnología es
17
complementaria a los IDS o antivirus, ya que se encarga de monitorizar el
perímetro antes de llegar a la red.
- Honeypots (Sistemas trampa). Son máquinas que simulan ser un equipo más de
nuestra red y cuya función es la de hacer de señuelo para el atacante. Estas
máquinas están puestas en la red para que sean atacadas, por lo que no dispone
de información crítica ni tiene acceso a otros equipos y, además, tiene las
herramientas necesarias para obtener información sobre el atacante. El principal
problema de las honeypots es que pueden ser detectadas si no simulan a la
perfección ser una máquina más de la red, lo que no suele ser sencillo y puede
provocar no solo la detección de la honeypot sino que el atacante la utilice en su
propio beneficio. Dentro de esta categoría podríamos incluir también las
Honeynets, que son sistemas trampa que constituyen una red completa.
4. MODELOS DE ANÁLISIS Y RECOGIDA DE DATOS
Antes de comenzar a enumerar algunos de los principales modelos de análisis
forense que se están siguiendo actualmente en el mundo, hay que dejar claro que esta
disciplina no está normalizada ni automatizada. Es decir, dependiendo del país,
dependiendo de la agencia del país e incluso dependiendo de la persona que vaya a
hacerlo, el proceso que se va a seguir durante todo el análisis puede ser diferente, no hay
ningún procedimiento estandarizado, lo que supone una de las mayores debilidades de la
disciplina sin ningún lugar a dudas.
En cualquier caso, a comienzos del Siglo XXI afloraron numerosos modelos que se
intentarían aplicar a las investigaciones forenses relacionadas con la informática. Algunos
de estos modelos han conseguido extenderse y tener cierto peso, por lo que voy a hacer
un pequeño repaso, comentando las principales fases de cada uno y analizando un poco
más en profundidad alguno de ellos.
4.1. Modelo de Lee
Fue uno de los primeros modelos que se crearon para el análisis forense en 2001
[13]. En este modelo se distinguen, al igual que en el modelo del U.S. Dep. of Justice que
18
veremos más adelante, cuatro fases, si bien a diferencia del estadounidense el modelo de
Lee solo describe el proceso de análisis de la escena del delito y no de todo el proceso.
Además, este modelo tiene un enfoque metodológico clásico en cuanto a investigación
forense, trasladándolo a la informática forense desde la perspectiva de las pruebas
digitales. Las diferentes fases que se describen son:
- Reconocimiento: durante esta fase el investigador debe saber qué buscar, por
lo que se puede dividir en dos subfases: la de documentación y la
adquisición/preservación de pruebas.
- Identificación: se clasifican las pruebas recogidas en la fase anterior según los
estándares.
- Individualización: cada ítem o archivo es evaluado e interpretado de forma
individual, comprobando si de alguna forma se pueden conectar con los
hechos investigados.
- Reconstrucción: con todos los datos obtenidos en la fase anterior, se intenta
reconstruir el hecho investigado, del que posteriormente se realizará una
presentación.
4.2. Modelo extendido de Séamus Ó Ciardhuáin
La mayoría de modelos que existen se basan en el procesamiento de pruebas
digitales, y es por ello que en el año 2004, en el International Journal of Digital Evidence
(IJCE) [14], se formula este modelo, que intenta cubrir todas las fases y aspectos de una
investigación de ciberdelito.
Se trata de una metodología que consta de 13 fases y donde la cadena de custodia
está formada por la lista de aquellos que han manipulado cada prueba digital, debiendo
agregar los nombres a la lista cada vez que se pasa una fase. Debido al alto número de
fases, es la que mejor establece los flujos de información y los puntos de control durante
todo el proceso de la investigación. Además, la principal ventaja de este modelo es que
describe todo el proceso desde el momento en el que se hace necesario realizar una
investigación hasta que ha sido finalizada y presentada.
A continuación se detallan y comentan brevemente las 13 fases que describen el
funcionamiento de este modelo:
1. Conciencia: según Séamus Ó Ciardhuáin, el primer paso en cualquier
investigación es el de crear una conciencia de que esta investigación es
necesaria.
19
2. Autorización: antes de comenzar la investigación, el paso previo es el
de obtener una autorización para poder realizarla.
3. Planificación: en esta fase se planifica cómo será la investigación, que
estará influenciada desde por las leyes que rigen el país hasta por las
políticas internas del cuerpo que esté investigando. Puede ocurrir que
esta fase suponga una vuelta al punto dos, requiriendo de otro tipo de
autorizaciones para poder continuar.
4. Notificación: aunque la conveniencia de esta fase depende de cada
investigación, en este punto puede ser necesario notificar al objetivo de
la investigación que se está llevando a cabo.
5. Búsqueda e Identificación de Evidencias: en esta fase solamente nos
encargamos de buscar los objetivos que vamos a investigar y
comprobar que efectivamente son esas las que nos interesan. Por
ejemplo, cuando se va a hacer una redada, buscar los PCs y todo el
material de los sospechosos que nos pueda interesar, identificando que
son de las personas que vamos a investigar.
6. Adquisición: se recogen las pruebas físicas. Por ejemplo, después de
buscar e identificar el PC anterior de un sospechoso, se hace un
clonado de su disco duro para su posterior análisis.
7. Transporte: tras obtener las pruebas, estas deben ser transportadas al
lugar de su posterior análisis.
8. Almacenamiento: ya que normalmente el análisis de las evidencias
adquiridas y transportadas no pueden ser analizadas de forma
totalmente inmediata, el siguiente paso será guardarlas en un lugar
adecuado.
9. Examen: esta es la parte seguramente más importante de todo el
proceso, donde se produce el análisis de las evidencias y se obtendrán
los datos que posteriormente se utilizarán para el informe.
10. Hipótesis: con los datos obtenidos en el examen, el investigador deberá
formular una hipótesis de lo ocurrido.
11. Presentación: la hipótesis se presenta al jurado, la empresa o quien
corresponda según el caso.
12. Prueba/defensa: en este punto, y dado que el investigador está
defendiendo una hipótesis, este tendrá que defenderla delante de la
persona que corresponda, ya que la hipótesis puede ser tumbada.
13. Difusión: dependiendo de la investigación (esto es más complicado si
estamos en el ámbito de las investigaciones privadas), la información y
el resultado pueden ser difundidos.
20
4.3. Modelo de Casey
Este modelo es el más extendido en la actualidad. Es algo más abstracto y
complejo que los anteriores y fue lanzado en 2002, aunque sufrió una revisión en el año
2004 [15], que es la que se utiliza actualmente y la que se expone en este trabajo. En
2011 se volvió a revisar, reduciendo el número de fases ya que alguna de ellas pasaron a
convertirse en tareas dentro de otras fases. A continuación paso a enumerar y describir
brevemente las seis fases de las que consta este modelo en la versión publicada en 2004.
1. Autorización y preparación: el primer paso es el de obtener los
permisos necesarios y preparar el material que vayamos a utilizar
durante la investigación.
2. Identificación: hay que identificar todo el hardware y el software que
posteriormente vamos a analizar.
3. Documentación, adquisición y conservación: aunque todo esté incluido
en la misma etapa, la parte de documentación debemos tener en
cuenta que se debe realizar a lo largo de todas las fases, especialmente
en caso de estar trabajando para un juicio. Durante la adquisición,
extraeremos el hardware que vayamos a analizar (por ejemplo el disco
duro del ordenador) y durante la fase de conservación se haría el
clonado de los discos duros que hayamos extraído, ya que no se puede
manipular el dispositivo original que se obtiene.
4. Análisis: se realiza el análisis de todos los dispositivos que se hayan
obtenido en la fase anterior. Es la fase más importante del modelo de
Casey. Hay distintas formas de realizar el análisis, existiendo extensa
documentación al respecto.
5. Reconstrucción: una vez analizados todos los datos en la fase anterior,
debemos ser capaces de realizar una reconstrucción de los hechos y
responder a las siguientes preguntas: ¿Qué? ¿Quién? ¿Dónde?
¿Cuándo? Y ¿Por qué?
6. Publicación de conclusiones: una vez realizada la reconstrucción y
resueltas las preguntas, se realiza un informe que se publicará o enviará
a la persona que lo haya solicitado.
4.4. Modelo del U.S. Dep. of Justice de EEUU
Este es uno de los primeros modelos y más sencillos. Se creó en 2001, aunque su
última revisión es de 2007 [16]. En este libro se detallan procedimientos para examinar
todo tipo de dispositivos, desde los electrónicos hasta las armas de destrucción masiva.
21
También se detallan todos los procedimientos y cómo se debe tratar la escena del crimen.
Se pueden distinguir cuatro fases durante el proceso de análisis de un ordenador:
- Identificación
- Conservación
- Análisis
- Presentación
Según este manual de más de 200 páginas, que está publicado de forma gratuita
en su página web:
The Handbook of Forensic Services provides guidance and procedures for safe and
efficient methods of collecting, preserving, packaging, and shipping evidence and
describes the forensic examinations performed by the FBI’s Laboratory Division and
Operational Technology Division.
La traducción de esta descripción publicada en el manual podría ser la siguiente:
“El Manual de Servicios Forenses proporciona orientación y procedimientos de métodos
seguros y eficaces de recogida, conservación, embalaje y envío de pruebas y se describen
los exámenes forenses realizados por el FBI’s Laboratory Division and Operational
Technology Division (División de Laboratorio y División de Tecnología Operacional del
FBI).”
4.5. Otros modelos
Modelo de Palmer
Publicada en 2001 [17], no es considerada como una metodología definitiva. Es un
modelo lineal pero en un futuro podría cambiarse incorporando ciclos como muchos de
los actuales.
Modelo de Helena Rifà Pous, Jordi Sierra Ruiz y José Luis Rivas López
En septiembre de 2009, Helena Rifà Pous, Jordi Sierra Ruiz y José Luis Rivas López
publicaron Análisis forense de sistemas informáticos a través de la Fundación para la
22
Universitat Oberta de Catalunya (FUOC) [18], donde plantean una metodología de tres
fases:
1. Recogida de datos.
2. Análisis e investigación.
3. Redacción del informe.
Este modelo se pensó porque la mayoría de casos que se suelen analizar tienden a
ser sencillos y no existe una gran complejidad, tanto en personas implicadas como en el
volumen de datos que hay que analizar, por lo que un modelo sencillo que simplificara
todo el proceso se adaptaba bien a las investigaciones que se suelen realizar. Esta
metodología, que resulta recomendable para los casos sencillos, coincide en buena parte
con muchos casos investigados por la Brigada Investigación Tecnológica del Cuerpo
Nacional de Policía.
Pese a no ser un modelo utilizado internacionalmente, es importante mostrar que
en España también han nacido modelos de informática forense que pueden ser válidos
para las investigaciones.
Aunque existen muchos más modelos de análisis forense que no se han plasmado
en este trabajo, los más importantes y utilizados por los cuerpos de seguridad, tanto
nacionales como internacionales, han quedado enumerados aquí. Pese a ello, hay que
tener en cuenta que el proceso de análisis forense, como ya se ha comentado
anteriormente, no está estandarizado ni normalizado al menos en nuestro país, por lo
que no es difícil comprobar cómo, incluso dentro del mismo cuerpo de seguridad, el
análisis forense se puede realizar de distintas formas.
5. HERRAMIENTAS DE ANÁLISIS FORENSE
A lo largo de este apartado se van a comentar diversas herramientas que se
utilizan en la seguridad informática para proteger los equipos y que, por lo tanto, son
revisados durante un análisis forense. Con la idea de hablar de diversas tecnologías,
comentaré herramientas de firewall, esnifadores de tráfico, suites forenses o analizadores
del tráfico.
23
5.1. EnCase
Encase es una suite de herramientas relacionadas con la seguridad informática y el
análisis forense desarrollada por Guidance Software, empresa que fue fundada en 1997 y
que desde entonces ha aportado numerosas soluciones a la informática forense. Esta
suite, utilizada por numerosos cuerpos policiales en todo el mundo, como por ejemplo en
la Guardia Civil, es considerada líder mundial en herramientas de esta disciplina y es una
de las más utilizadas.
En este apartado vamos a hablar de una de sus herramientas, EnCase Forensic v7,
que actualmente está en su versión 7.10 y que está dedicada a automatizar muchos de los
procesos que se realizan durante un análisis forense. Algunas de sus principales
características son:
- Permite la integración con teléfonos y tabletas digitales. Se pueden adquirir los
datos de estos dispositivos e integrar los resultados en los casos.
- Se pueden utilizar scripts personalizados para automatizar procesos comunes,
haciendo que la eficiencia del análisis aumente. Mediante un lenguaje de
programación propio similar a C++ o Java, se pueden crear scripts que ayuden en
la búsqueda de pruebas y en el análisis forense que se esté realizando.
- Se pueden conseguir los datos de la memoria RAM, correos electrónicos, historial
web, páginas HTML, sesiones web, archivos comprimidos, archivos cifrados y
muchos más lugares. Además, también se pueden realizar todos estos análisis en
los teléfonos inteligentes y tabletas digitales.
- Con EnCase podemos crear plantillas para que las investigaciones nos devuelvan,
de forma automática, informes con el formato que queramos. En estos informes
se podrán detallar todos los archivos analizados, direcciones URL con fechas y
horas de visita, etc.
- Comprueba la integridad de todos los ficheros mediante los hashes generados con
MD5.
- Incluye la utilidad Passware Kit Forensic para automatizar la detección de archivos
cifrados.
24
Figura 9. Funcionamiento de EnCase Forensic
5.2. Snort
Snort es una de las herramientas de detección de intrusiones más conocidas y
utilizadas. Esta herramienta fue desarrollada en 1998 y llegó a ocupar el primer lugar en
2006 en un ranking sobre los sistemas de detección de intrusos preferidos por los
profesionales de todo el mundo y el tercer lugar en cuanto a herramientas de seguridad
informática en general. Es una herramienta gratuita y que actualmente es desarrollada
principalmente por SourceFire, aunque al ser opensource y de libre distribución, la
comunidad contribuye de forma notoria en el mantenimiento e inclusión de nuevas
técnicas
Sobre las características de Snort, debemos decir que cuenta con tres modos de
funcionamiento:
- Analizador de tráfico: en este modo, Snort se encarga de leer los paquetes que
llegan a la interfaz de red y mostrarlos en la consola de una forma sencilla para su
interpretación.
- Registro de paquetes: este modo complementa al anterior, ya que no solo se
encarga de leer los paquetes y mostrarlos sino que también los guarda en un
fichero para su posterior análisis.
- Sistema de Detección de Intrusos por Red (NIDS): quizá este modo sea el más
interesante, ya que no solamente se encarga de leer el tráfico que se recibe sino
que también lo analiza para detectar posibles anomalías y avisarnos de ello.
25
El tráfico entrante llega a Snort mediante la librería PCAP para su posterior
procesado. El funcionamiento de esta herramienta es el siguiente:
1. Decodificación de paquetes: se procesan los paquetes para ver a que protocolo
de nivel de enlace de datos, red o transporte pertenecen. Algunos de estos
protocolos pueden ser TCP, UDP o ICMP. Ya en esta primera etapa se pueden
identificar anomalías como que las cabeceras de los protocolos sean distintas
de cómo deberían ser o que un paquete sea excesivamente grande. Los
paquetes que son correctos pasan a la siguiente etapa.
2. Preprocesadores: son módulos que realizan un preprocesado del tráfico
mediante el escaneo de puertos, reensamblado de flujos TCP, etc. Estos
preprocesadores pueden generar información que proporcionen alertas al
usuario.
3. Motor de detección: es el componente más importante de Snort. Recoge el
tráfico que le llega de los preprocesadores, lo clasifica por protocolos y
características como los puertos y finalmente, mediante un juego de reglas
que está definido en su configuración, realiza la detección de intrusiones.
4. Generación de alertas: es el componente encargado de generar la información
de eventos asociada a las anomalías o desviaciones de política detectadas. Se
puede hacer mediante ficheros locales, registros en BBDD SQL, etc.
Figura 10. Funcionamiento de Snort
5.3. VMWare Workstation
VMWare Workstation es una herramienta de virtualización que nos permite tener
múltiples sistemas operativos dentro de nuestro ordenador, y todo ello sin necesidad de
realizar ningún tipo de formateo ni particionado de nuestro disco duro. Además de ser
26
compatible con casi la totalidad de sistemas operativos y ser capaz de tener ejecutados
varios de ellos a la vez, la gestión dentro de la aplicación es muy sencilla e intuitiva,
pudiendo cambiar de un sistema operativo a otro con solo un click. También es
importante destacar que todos nuestros dispositivos (unidad de CD-ROM, WiFi, etc.)
estarán disponibles en las máquinas virtuales, por lo que es exactamente igual que si
tuviéramos solamente ese sistema operativo instalado en nuestro disco duro. Algunas de
sus principales características son:
- Se pueden asignar procesadores de varios núcleos, la memoria RAM que
deseemos así como el espacio en disco que más nos interese para cada uno de los
sistemas operativos. De esta forma, por ejemplo podemos instalar un Ubuntu con
1GB de RAM, 10GB de disco duro y asignarle solo un núcleo del procesador, o
dentro del mismo VMWare instalar un Windows 8 con 6GB de RAM, 200GB de
disco duro y asignarle cuatro núcleos.
- Se pueden instalar sistemas operativos que estén conectados entre sí mediante
redes virtuales privadas, pudiendo crear hasta 20 redes y editándolas de forma
sencilla mediante su editor.
- Snapshots: podemos guardar el estado de la máquina virtual en cualquier
momento, como si de un backup se tratara, para volver en cualquier momento a
ese estado. Esta opción es especialmente importante cuando vamos a realizar
cambios en la máquina virtual, ya que en caso de tener algún problema, con un
solo clic recuperamos el estado que habíamos guardado.
- Las máquinas virtuales se pueden compartir. De esta forma, si tenemos en un
ordenador distintos sistemas operativos dentro de VMWare Workstation,
fácilmente podremos pasar todas máquinas virtuales a otro ordenador.
Esta herramienta es muy útil para la informática forense principalmente por dos
motivos:
1. Nos permite utilizar el disco duro que queremos analizar dentro de una
máquina virtual para cargar su sistema operativo o sus ficheros.
2. Si necesitamos utilizar distintas herramientas en diferentes sistemas
operativos durante un análisis forense, de esta forma podemos hacerlo con un
solo ordenador.
27
Figura 11. Windows XP sobre VMWare
5.4. WireShark
WireShark es la versión con interfaz gráfica de Tshark, anteriormente conocida
como Ethreal. Es una herramienta utilizada para ver y analizar el tráfico de una red que
también permite examinar datos a través de archivos donde esté almacenado el tráfico
de una red. Sus principales características son:
- Se basa en las librerías Pcap. Es capaz de analizar el tráfico almacenado en estos
archivos.
- Funciona con modulos, gracias a lo que, mediante plugins que se pueden instalar,
podamos incluso reconstruir una llamada telefónica a partir del tráfico analizado.
- Soporta más de 1100 protocolos como HTTP, DNS, TCP, UDP o ICMP.
- Funciona tanto en Windows como Linux y Unix.
28
Figura 12. Tráfico de WhatssApp en Wireshark
5.5. CheckPoint
El fabricante CheckPoint ofrece software para la gestión de sus firewalls. Mediante
esta herramienta, el usuario será capaz de simular su red y su política de seguridad,
configurando las reglas para permitir o denegar el tráfico que considere oportuno.
En la interfaz de esta herramienta, el usuario podrá definir nodos (equipos),
grupos (varios nodos), redes, servidores y todos los elementos que pueda encontrar en su
red, construyéndose automáticamente la topología a la vez que el usuario va
introduciendo los datos.
Además, a la hora de crear las reglas el usuario podrá modificar, entre otros, los
siguientes campos: direcciones o equipos de origen, direcciones o equipos de destino,
servicios (tipo de protocolo: tcp, udp, http…), si se quiere aceptar, rechazar y si quiere que
produzca alertas, logs o incluso que se realice mediante la autenticación de un usuario.
Una vez incluidas todas las reglas, el propio software nos avisará si hay alguna que esté
impidiendo (por el orden de ejecución) que otra se ejecute o incluso si hay alguna
contradictoria.
También hay que destacar que Checkpoint incluye otras herramientas con las que,
por ejemplo, se puede revisar el tráfico que llega al firewall, comprobando el
funcionamiento de la política que hayamos creado.
29
Aunque cada fabricante tiene su propio software, se ha propuesto CheckPoint por
lo sencillo que resulta su uso.
Figura 13. Reglas de tráfico en CheckPoint
30
6. FUTURO Y CONCLUSIONES
El futuro del análisis forense, al igual que el de la seguridad informática en general,
parece prometedor. Hace poco se podía leer en diversos medios que se esperaba la
creación de un millón de puestos de trabajo en todo el mundo relacionados con la
seguridad informática. La gran expansión que ha surgido especialmente gracias a
smartphones y tablets, cuyo uso hoy en día puede ser similar al de un ordenador, y el
internet de las cosas que cada vez forma más parte de nuestro presente, hace que una
gran cantidad de investigaciones policiales vayan a requerir el análisis de computadores.
Avanzamos en esta disciplina hacia momentos en los que deberían surgir constantemente
nuevas herramientas y, quizás, nuevos modelos que ayuden a la hora de realizar estos
análisis de los que hemos tratado.
Sin embargo, y como conclusión a este trabajo, debemos volver a mencionar la
falta de eficiencia que hay a lo largo de todo el proceso. El hecho de que no existan
herramientas estándar para realizar los análisis de los ordenadores o que ni siquiera
exista un procedimiento normalizado dentro del mismo cuerpo policial, donde cada
persona utiliza las herramientas que cree más convenientes o se adaptan a sus gustos
para cada análisis, es una gran debilidad.
De igual forma, sería conveniente, aunque desde mi punto de vista no tan
importante, el hecho de normalizar todo el proceso de análisis forense. Podría ser
interesante que, a nivel internacional, se creara un estándar con unas normas de calidad
que identificaran todas las fases del proceso, garantizando la calidad en las mismas.
31
PARTE 2. UNIDAD DIDÁCTICA
1. DESCRIPCIÓN DEL CONTEXTO DEL CENTRO
El Instituto María Zambrano, para alumnos y alumnas de altas capacidades, se
encuentra ubicado en una zona céntrica de la ciudad de Málaga. Las viviendas que
podemos encontrar en el barrio en el que está el instituto pisos que generalmente
habitan gente de nivel económico alto.
Al estar situado en pleno centro de Málaga, podemos encontrar todo tipo de
servicios junto al instituto. Entre otros, podemos encontrar distintos restaurantes, un
hospital, tiendas de todo tipo, centros comerciales o diferentes atracciones para los
turistas.
La gente que suele trabajar en esa zona suelen ser empresarios que tienen allí sus
negocios, empleados de las tiendas que hay alrededor o directivos que trabajan en los
edificios cercanos al instituto.
Centrándonos ya en el alumnado, las familias tienen un nivel socio-económico
alto, y el hecho de que los estudiantes sean alumnos y alumnas con altas capacidades, y
que pese a ello hayan decidido elegir esta formación ante la gran variedad de oferta que
hay en la zona, significa que es algo vocacional y que la Administración de Sistemas
Informáticos en Red es lo que realmente querían estudiar, por lo que no nos
encontraremos con alumnos y alumnos que estén a disgusto en clase, la predisposición
siempre va a ser máxima para aprender.
El centro del que estamos hablando es un instituto público, para personas de altas
capacidades y que imparte los siguientes cursos:
- Técnico Superior en Administración de Sistemas Informáticos en Red
- Técnico Superior en Desarrollo de Aplicaciones Multiplataforma
- Técnico Superior en Desarrollo de Aplicaciones Web
El instituto es un centro bilingüe, impartiendo algunas de las asignaturas
completamente en inglés, por lo que el alumnado no debe tener ningún problema en
utilizar aplicaciones en este idioma.
A continuación detallo los servicios de los que dispone el Instituto María
Zambrano:
32
- Laboratorios de informática
- Biblioteca
- Comedor
- Servicio médico
- Seguro escolar
- Orientación psicopedagógica
El instituto María Zambrano, dispone de dos tipos de laboratorios de informática
diferentes.
En el primer tipo nos encontramos ante un aula de informática al uso, donde
encontraremos 20 puestos (uno por alumno en clase) dispuestos en cinco filas de cuatro
cada una. Cada puesto dispondrá de un ordenador completo (torre, monitor, ratón y
teclado) en una mesa y una silla de oficina. Frente al alumnado, al lado izquierdo, se
encontrará el puesto del profesor, de las mismas características que los puestos del
alumnado y cuyo ordenador estará conectado a un proyector. A la derecha del alumnado
nos encontraremos con una pizarra electrónica.
En el segundo tipo, que será el que utilicemos en la unidad didáctica, los
ordenadores estarán dispuestos para que el alumnado trabaje en grupos de cuatro. La
clase estará dividida en cinco espacios o “laboratorios”: dos junto a la pared de la
izquierda, dos junto a la pared de la derecha y uno en la pared del fondo, en el centro. Los
puestos (de formato similar a los descritos en el tipo de aula anterior) formarán un
cuadrado, habiendo justo detrás de ellos un pequeño espacio con una pizarra electrónica
conectada a uno de los ordenadores, de esta forma los alumnos y alumnas tendrán su
pequeño espacio para reuniones dentro del aula. Al igual que en el tipo anterior, con la
misma disposición podremos encontrar el puesto del profesor con el proyector y su
pizarra electrónica.
2. CONTEXTUALIZACIÓN DEL TÍTULO
La normativa aplicada será la siguiente:
- Real Decreto 1629/2009, de 30 de octubre, por el que se establece el título de
Técnico Superior en Administración de Sistemas Informáticos en Red y se fijan sus
enseñanzas mínimas.
33
- ORDEN de 19 de julio de 2010, por la que se desarrolla el currículo
correspondiente al título de Técnico Superior en Administración de Sistemas
Informáticos en Red.
La unidad didáctica que expondré en este trabajo está englobada en el siguiente
título:
Título: Técnico Superior en Administración de Sistemas Informáticos en Red.
Nombre del módulo: Seguridad y alta disponibilidad.
Curso: Segundo.
Trimestre: Segundo.
Duración: 84 horas.
Los objetivos del módulo son los siguientes [19]:
j. Seleccionar sistemas de protección y recuperación, analizando sus
características funcionales, para implementar soluciones de alta disponibilidad.
k. Identificar condiciones de equipos e instalaciones, interpretando planes de
seguridad y especificaciones del fabricante, para supervisar la seguridad física.
l. Aplicar técnicas de protección contra amenazas externas, tipificándolas y
evaluándolas para asegurar el sistema.
m. Aplicar técnicas de protección contra pérdidas de información, analizando
planes de seguridad y necesidades de uso para asegurar los datos.
o. Establecer la planificación de tareas, analizando actividades y cargas de trabajo
del sistema para gestionar el mantenimiento.
p. Identificar los cambios tecnológicos, organizativos, económicos y laborales en
su actividad, analizando sus implicaciones en el ámbito de trabajo, para
mantener el espíritu de innovación.
El desarrollo de la materia durante el curso escolar constará de clases teóricas, en
las que se les explicará a los alumnos los conceptos básicos de la asignatura, y clases
prácticas en las que el alumno desarrollará sus capacidades mediante actividades que
estén relacionadas con el temario.
La evaluación de la materia se realizará mediante exámenes teóricos que se
realizarán durante el desarrollo de las unidades didácticas. Además, los alumnos tendrán
que realizar un ejercicio práctico cada unidad, donde deberán demostrar que tienen esos
34
conocimientos. Deberán tener como mínimo un cinco en todas las unidades para poder
aprobar la materia.
Se realizará un examen final al acabar la asignatura donde los alumnos deberán
demostrar que tienen los conocimientos mínimos de todas las unidades didácticas.
La competencia general de este título consiste en configurar, administrar y
mantener sistemas informáticos, garantizando la funcionalidad, la integridad de los
recursos y servicios del sistema, con la calidad exigida y cumpliendo la reglamentación
vigente.
3. CONTEXTUALIZACIÓN DE LA UNIDAD DIDÁCTICA
Aunque toda la contextualización se haya hecho a través de diferentes apartados,
en el Anexo 2 se incluye una tabla donde se relacionan los resultados de aprendizaje,
criterios de evaluación, contenidos básicos e indicadores.
3.1. Resultados de aprendizaje
1. Adopta pautas y prácticas de tratamiento seguro de la información, reconociendo
las vulnerabilidades de un sistema informático y la necesidad de asegurarlo.
2. Implanta mecanismos de seguridad activa, seleccionando y ejecutando
contramedidas ante amenazas o ataques al sistema.
3. Implanta técnicas seguras de acceso remoto a un sistema informático,
interpretando y aplicando el plan de seguridad.
4. Implanta cortafuegos para asegurar un sistema informático, analizando sus
prestaciones y controlando el tráfico hacia la red interna.
3.2. Contenidos básicos
1.1. Fiabilidad, confidencialidad, integridad y disponibilidad. (Criterio de evaluación 1.a).
1.2. Amenazas. Tipos. Amenazas físicas y lógicas. (Criterio de evaluación 1.b).
1.3. Análisis de las principales vulnerabilidades de un sistema informático. (Criterio de
evaluación 1.c).
35
1.4. Elementos básicos de la seguridad perimetral. (Criterio de evaluación 1.h).
1.5. Perímetros de red. Zonas desmilitarizadas. (Criterio de evaluación 1.h).
1.6. Análisis forense en sistemas informáticos. (Criterio de evaluación 1.i).
1.7. Ataques y contramedidas en sistemas personales. (Criterio de evaluación 2.c).
1.8. Elementos vulnerables en el sistema informático. Hardware, software y datos.
(Criterio de evaluación 2.d)
1.9. Ataques y contramedidas en sistemas personales. (Criterio de evaluación 2.e).
1.10. Intentos de penetración. (Criterio de evaluación 2.i).
1.11. Seguridad en la red corporativa. (Criterio de evaluación 3.c).
1.12. Tipos de cortafuegos. Ubicación. (Criterio de evaluación 4.a).
1.13. Filtrado de paquetes de datos. (Criterio de evaluación 4.b).
1.14. Instalación de cortafuegos. Ubicación. (Criterio de evaluación 4.c).
1.15. Reglas de filtrado de cortafuegos. (Criterio de evaluación 4.d).
1.16. Pruebas de funcionamiento. Sondeo. (Criterio de evaluación 4.d).
1.17. Registros de sucesos de cortafuegos. (Criterio de evaluación 4.e).
3.3. Indicadores
1.1. Valora la importancia de asegurar la privacidad, coherencia y disponibilidad de la
información en los sistemas informáticos.
1.2. Describe las diferencias entre seguridad física y lógica.
1.3. Clasifica las principales vulnerabilidades de un sistema informático, según su tipología
y origen.
1.4. Reconoce la necesidad de establecer un plan integral de protección perimetral,
especialmente en sistemas conectados a redes públicas.
1.5. Identifica las fases del análisis forense ante ataques a un sistema.
1.6. Identifica la anatomía de los ataques más habituales, así como las medidas
preventivas y paliativas disponibles.
1.7. Analiza diversos tipos de amenazas, ataques y software malicioso, en entornos de
ejecución controlados.
36
1.8. Implementa aplicaciones específicas para la detección de amenazas y la eliminación
de software malicioso.
1.9. Describe los tipos y características de los sistemas de detección de intrusiones.
1.10. Identifica los protocolos seguros de comunicación y sus ámbitos de utilización.
1.11. Describe las características, tipos y funciones de los cortafuegos.
1.12. Clasifica los niveles en los que se realiza el filtrado de tráfico.
1.13. Planifica la instalación de cortafuegos para limitar los accesos a determinadas zonas
de la red.
1.14. Configura filtros en un cortafuegos a partir de un listado de reglas de filtrado.
1.15. Revisa los registros de sucesos de cortafuegos, para verificar que las reglas se
aplican correctamente.
3.4. Orientaciones pedagógicas
Este módulo profesional contiene la formación necesaria para seleccionar y utilizar
técnicas y herramientas específicas de seguridad informática en el ámbito de la
administración de sistemas. Además, servirá para conocer arquitecturas de alta
disponibilidad y utilizar herramientas de virtualización en la implantación de servicios de
alta disponibilidad.
Las funciones de la administración segura de sistemas incluyen aspectos como:
- El conocimiento y correcta manipulación de todos los elementos que forman el
componente físico y lógico de los equipos.
- La selección y aplicación de técnicas y herramientas de seguridad activa que
actúen como medidas preventivas y/o paliativas ante ataques a al sistema.
- La instalación y configuración de herramientas de protección perimetral,
cortafuegos y servidores proxy.
3.5. Objetivos generales
Esta unidad didáctica contribuye a alcanzar los objetivos generales de este ciclo
formativo que se relacionan a continuación:
j) Seleccionar sistemas de protección y recuperación, analizando sus características
funcionales, para implementar soluciones de alta disponibilidad.
37
k) Identificar condiciones de equipos e instalaciones, interpretando planes de seguridad y
especificaciones de fabricante, para supervisar la seguridad física.
l) Aplicar técnicas de protección contra amenazas externas, tipificándolas y evaluándolas
para asegurar el sistema.
3.6. Competencias profesionales
Esta unidad didáctica contribuye a alcanzar las competencias profesionales,
personales y sociales de este título que se relacionan a continuación:
i) Implementar soluciones de alta disponibilidad, analizando las distintas opciones del
mercado, para proteger y recuperar el sistema ante situaciones imprevistas.
j) Supervisar la seguridad física según especificaciones del fabricante y el plan de
seguridad para evitar interrupciones en la prestación de servicios del sistema.
k) Asegurar el sistema y los datos según las necesidades de uso y las condiciones de
seguridad establecidas para prevenir fallos y ataques externos.
s) Resolver problemas y tomar decisiones individuales, siguiendo las normas y
procedimientos establecidos, definidos dentro del ámbito de su competencia.
4. CONTENIDOS
4.1. Contenidos actitudinales
- Acude a clase con el material necesario.
- Está atento a las explicaciones del profesorado y de los compañeros.
- Toma apuntes de las explicaciones de la manera más limpia y organizada posible.
- Se ofrece voluntario para resolver dudas.
- Participa activamente cuando el profesorado hace preguntas sobre la marcha.
- Pregunta dudas que han surgido.
4.2. Contenidos conceptuales
- Identifica las etapas del análisis forense
38
- Conoce las características de los firewall
- Conoce las características de los IDS
- Conoce las características de algunas herramientas de análisis de tráfico
- Distingue distintos tipos de malware
- Comprende las principales características sobre seguridad que debe tener el
software
5. METODOLOGÍA
Para el desarrollo de la actividad utilizaremos 20 sesiones de dos horas, que se
desgranarán a continuación.
Nota: Cada sesión tendrá una duración de 2h.
Sesión 1.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividad de introducción. La clase comenzará con
un pequeño debate sobre lo que los alumnos piensan que es la seguridad informática y
enumerando distintos tipo de malware que conocen, viendo el profesor el nivel que
tienen los alumnos sobre este tema.
Tiempo estimado en horas: 15 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: -
Espacio: Laboratorio para trabajo individual.
Nº de actividad: 2
Actividad de Enseñanza/Aprendizaje: Actividad expositiva. En la parte teórica, el profesor
hablará sobre la seguridad informática y la informática forense, se explicará la historia y
conceptos básicos del análisis forense, conceptos de integridad, disponibilidad,
confidencialidad, seguridad física y lógica y diferentes tipos de malware.
39
Tiempo estimado en horas: 90 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Pizarra electrónica, proyector, ordenadores, folios.
Espacio: Laboratorio para trabajo individual.
Nº de actividad: 3
Actividad de Enseñanza/Aprendizaje: Actividad de evaluación. En la última parte de la
clase, para comprobar que los alumnos han atendido en clase, el profesor pasará un
cuestionario que los alumnos deben resolver en 15 minutos.
Tiempo estimado en horas: 15 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Folios.
Espacio: Laboratorio para trabajo individual.
Sesión 2.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividad de introducción. La clase comenzará con
un pequeño repaso sobre la clase anterior, donde los alumnos podrán preguntar dudas.
Tiempo estimado en horas: 15 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Pizarra electrónica.
Espacio: Laboratorio para trabajo individual.
Nº de actividad: 2
Actividad de Enseñanza/Aprendizaje: Actividad expositiva. En la parte teórica, el profesor
hablará sobre la metodología en el análisis forense y explicara el modelo de Casey.
Tiempo estimado en horas: 90 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Pizarra electrónica, proyector, ordenadores, folios.
Espacio: Laboratorio para trabajo individual.
40
Nº de actividad: 3
Actividad de Enseñanza/Aprendizaje: Actividad de evaluación. En la última parte de la
clase, para comprobar que los alumnos han atendido en clase, el profesor pasará un
cuestionario que los alumnos deben resolver en 15 minutos.
Tiempo estimado en horas: 15 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Folios.
Espacio: Laboratorio para trabajo individual.
Sesión 3.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividad de introducción. La clase comenzará con
un pequeño repaso sobre la clase anterior, donde los alumnos podrán preguntar dudas.
Tiempo estimado en horas: 15 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Pizarra electrónica.
Espacio: Laboratorio para trabajo individual.
Nº de actividad: 2
Actividad de Enseñanza/Aprendizaje: Actividad expositiva. En la parte teórica, el profesor
hablará firewall, explicando los conceptos básicos, el funcionamiento y comentando
algunos fabricantes.
Tiempo estimado en horas: 90 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Pizarra electrónica, proyector, ordenadores, folios.
Espacio: Laboratorio para trabajo individual.
Nº de actividad: 3
Actividad de Enseñanza/Aprendizaje: Actividad de evaluación. En la última parte de la
clase, para comprobar que los alumnos han atendido en clase, el profesor pasará un
cuestionario que los alumnos deben resolver en 15 minutos.
41
Tiempo estimado en horas: 15 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Folios.
Espacio: Laboratorio para trabajo individual.
Sesión 4.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividad de introducción. La clase comenzará con
un pequeño repaso sobre la clase anterior, donde los alumnos podrán preguntar dudas.
Tiempo estimado en horas: 15 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Pizarra electrónica.
Espacio: Laboratorio para trabajo individual.
Nº de actividad: 2
Actividad de Enseñanza/Aprendizaje: Actividad de desarrollo de destrezas. El profesor
realizará una instalación del software del firewall checkpoint, guiando a los alumnos
mediante la proyección del proceso. Una vez instalado, se realizará una configuración
básica. Los alumnos podrán preguntar dudas en cualquier momento de la sesión.
Tiempo estimado en horas: 105 minutos
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Ordenadores y proyector.
Espacio: Laboratorio para trabajo individual.
Sesión 5.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividad de introducción. La clase comenzará con
un pequeño repaso sobre la clase anterior, donde los alumnos podrán preguntar dudas.
Tiempo estimado en horas: 15 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Pizarra electrónica.
42
Espacio: Laboratorio para trabajo individual.
Nº de actividad: 2
Actividad de Enseñanza/Aprendizaje: Actividad de desarrollo de destrezas. El profesor
instalará una política en checkpoint mediante el uso de reglas que permitirán aceptar o
denegar el tráfico, guiando a los alumnos a través de la proyección del proceso. Los
alumnos podrán preguntar dudas en cualquier momento de la sesión.
Tiempo estimado en horas: 105 minutos
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Ordenadores y proyector.
Espacio: Laboratorio para trabajo individual.
Sesión 6.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividad de introducción. La clase comenzará con
un pequeño repaso sobre la clase anterior, donde los alumnos podrán preguntar dudas.
Tiempo estimado en horas: 15 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Pizarra electrónica.
Espacio: Laboratorio para trabajo individual.
Nº de actividad: 2
Actividad de Enseñanza/Aprendizaje: Actividad expositiva. En la parte teórica, el profesor
hablará Sistemas de Detección de Intrusos (IDS), explicando los conceptos básicos y
nombrando los distintos tipos.
Tiempo estimado en horas: 90 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Pizarra electrónica, proyector, ordenadores, folios.
Espacio: Laboratorio para trabajo individual.
Nº de actividad: 3
43
Actividad de Enseñanza/Aprendizaje: Actividad de evaluación. En la última parte de la
clase, para comprobar que los alumnos han atendido en clase, el profesor pasará un
cuestionario que los alumnos deben resolver en 15 minutos.
Tiempo estimado en horas: 15 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Folios.
Espacio: Laboratorio para trabajo individual.
Sesión 7.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividad de introducción. La clase comenzará con
un pequeño repaso sobre la clase anterior, donde los alumnos podrán preguntar dudas.
Tiempo estimado en horas: 15 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Pizarra electrónica.
Espacio: Laboratorio para trabajo individual.
Nº de actividad: 2
Actividad de Enseñanza/Aprendizaje: Actividad expositiva. En la parte teórica, el profesor
hablará sobre las características, diferencias y similitudes de las NIDS y las HIDS.
Tiempo estimado en horas: 90 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Pizarra electrónica, proyector, ordenadores, folios.
Espacio: Laboratorio para trabajo individual.
Nº de actividad: 3
Actividad de Enseñanza/Aprendizaje: Actividad de evaluación. En la última parte de la
clase, para comprobar que los alumnos han atendido en clase, el profesor pasará un
cuestionario que los alumnos deben resolver en 15 minutos.
Tiempo estimado en horas: 15 minutos.
Tipo de agrupamiento: Individual.
44
Recursos materiales y humanos: Folios.
Espacio: Laboratorio para trabajo individual.
Sesión 8.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividad de introducción. La clase comenzará con
un pequeño repaso sobre la clase anterior, donde los alumnos podrán preguntar dudas.
Tiempo estimado en horas: 15 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Pizarra electrónica.
Espacio: Laboratorio para trabajo individual.
Nº de actividad: 2
Actividad de Enseñanza/Aprendizaje: Actividad expositiva. En la parte teórica, el profesor
hablará sobre las características y funcionamiento de la herramienta de análisis de tráfico
Snort.
Tiempo estimado en horas: 45 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Pizarra electrónica, proyector, ordenadores, folios.
Espacio: Laboratorio para trabajo individual.
Nº de actividad: 3
Actividad de Enseñanza/Aprendizaje: Actividad de desarrollo de destrezas. El profesor
realizará algunos análisis de tráfico con la herramienta snort, guiando a los alumnos a
través de la proyección del proceso. Los alumnos podrán preguntar dudas en cualquier
momento de la sesión.
Tiempo estimado en horas: 60 minutos
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Ordenadores y proyector.
Espacio: Laboratorio para trabajo individual.
45
Sesión 9.
Descripción: Herramientas de IDS y análisis de tráfico: Snort y Wireshark.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividad de introducción. La clase comenzará con
un pequeño repaso sobre la clase anterior, donde los alumnos podrán preguntar dudas.
Tiempo estimado en horas: 15 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Pizarra electrónica.
Espacio: Laboratorio para trabajo individual.
Nº de actividad: 2
Actividad de Enseñanza/Aprendizaje: Actividad de desarrollo de destrezas. El profesor
realizará algunos análisis de tráfico con la herramienta snort, guiando a los alumnos a
través de la proyección del proceso. Los alumnos podrán preguntar dudas en cualquier
momento de la sesión.
Tiempo estimado en horas: 60 minutos
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Ordenadores y proyector.
Espacio: Laboratorio para trabajo individual.
Nº de actividad: 3
Actividad de Enseñanza/Aprendizaje: Actividad expositiva. En la parte teórica, el profesor
hablará sobre las características y funcionamiento de la herramienta de análisis de tráfico
Wireshark.
Tiempo estimado en horas: 45 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Pizarra electrónica, proyector, ordenadores, folios.
Espacio: Laboratorio para trabajo individual.
Sesión 10.
46
Descripción: Herramientas de IDS y análisis de tráfico: Wireshark.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividad de introducción. La clase comenzará con
un pequeño repaso sobre la clase anterior, donde los alumnos podrán preguntar dudas.
Tiempo estimado en horas: 15 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Pizarra electrónica.
Espacio: Laboratorio para trabajo individual.
Nº de actividad: 2
Actividad de Enseñanza/Aprendizaje: Actividad expositiva. En la parte teórica, el profesor
hablará sobre las características y funcionamiento de la herramienta de análisis de tráfico
Wireshark.
Tiempo estimado en horas: 105 minutos.
Tipo de agrupamiento: Individual.
Recursos materiales y humanos: Pizarra electrónica, proyector, ordenadores, folios.
Espacio: Laboratorio para trabajo individual.
Sesión 11.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividad de desarrollo de destrezas. La actividad
consistirá en la preparación de la clase para realizar la práctica. En primer lugar, el
profesor comentará que se va a realizar una actividad por grupos, por lo que se pedirá
que formen cinco grupos de cuatro personas, donde obligatoriamente debe haber una
chica en cada grupo, siendo ella además la líder. En segundo lugar, el profesor explicará el
enunciado de la práctica, resolviendo las dudas que puedan surgir y mostrando el lugar de
la clase que simula ser la empresa que nos ha llamado, con su ordenador y todos los
dispositivos. El resto del tiempo se utilizará para que los alumnos instalen en sus equipos
el software que consideren adecuado y dejen todo listo para el próximo día.
Tiempo estimado en horas: 120 minutos.
Tipo de agrupamiento: Grupal (cuatro personas).
47
Recursos materiales y humanos: Ordenadores y proyector.
Espacio: Laboratorio para trabajo grupal.
Sesión 12.
Descripción: Trabajo práctico del alumnado. Al llegar a la clase, los alumnos se
distribuirán en grupos y comenzarán el trabajo autónomo, realizando la actividad de
análisis forense. El profesor irá pasando por los distintos grupos para tomar notas del
trabajo que están realizando y para resolver las dudas que pueda tener el alumnado.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividades de desarrollo de habilidades cognitivas.
Tiempo estimado en horas: 120 minutos.
Tipo de agrupamiento: Grupal (cuatro personas).
Recursos materiales y humanos: Ordenadores, pizarras electrónicas, internet y folios.
Espacio: Laboratorio para trabajo en grupos.
Sesión 13.
Descripción: Trabajo práctico del alumnado. Al llegar a la clase, los alumnos se
distribuirán en grupos y comenzarán el trabajo autónomo, realizando la actividad de
análisis forense. El profesor irá pasando por los distintos grupos para tomar notas del
trabajo que están realizando y para resolver las dudas que pueda tener el alumnado.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividades de desarrollo de habilidades cognitivas.
Tiempo estimado en horas: 120 minutos.
Tipo de agrupamiento: Grupal (cuatro personas).
Recursos materiales y humanos: Ordenadores, pizarras electrónicas, internet y folios.
Espacio: Laboratorio para trabajo en grupos.
Sesión 14.
48
Descripción: Trabajo práctico del alumnado. Al llegar a la clase, los alumnos se
distribuirán en grupos y comenzarán el trabajo autónomo, realizando la actividad de
análisis forense. El profesor irá pasando por los distintos grupos para tomar notas del
trabajo que están realizando y para resolver las dudas que pueda tener el alumnado.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividades de desarrollo de habilidades cognitivas.
Tiempo estimado en horas: 120 minutos.
Tipo de agrupamiento: Grupal (cuatro personas).
Recursos materiales y humanos: Ordenadores, pizarras electrónicas, internet y folios.
Espacio: Laboratorio para trabajo en grupos.
Sesión 15.
Descripción: Trabajo práctico del alumnado. Al llegar a la clase, los alumnos se
distribuirán en grupos y comenzarán el trabajo autónomo, realizando la actividad de
análisis forense. El profesor irá pasando por los distintos grupos para tomar notas del
trabajo que están realizando y para resolver las dudas que pueda tener el alumnado.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividades de desarrollo de habilidades cognitivas.
Tiempo estimado en horas: 120 minutos.
Tipo de agrupamiento: Grupal (cuatro personas).
Recursos materiales y humanos: Ordenadores, pizarras electrónicas, internet y folios.
Espacio: Laboratorio para trabajo en grupos.
Sesión 16.
Descripción: Trabajo práctico del alumnado. Al llegar a la clase, los alumnos se
distribuirán en grupos y comenzarán el trabajo autónomo, realizando la actividad de
análisis forense. El profesor irá pasando por los distintos grupos para tomar notas del
trabajo que están realizando y para resolver las dudas que pueda tener el alumnado.
Nº de actividad: 1
49
Actividad de Enseñanza/Aprendizaje: Actividades de desarrollo de habilidades cognitivas.
Tiempo estimado en horas: 120 minutos.
Tipo de agrupamiento: Grupal (cuatro personas).
Recursos materiales y humanos: Ordenadores, pizarras electrónicas, internet y folios.
Espacio: Laboratorio para trabajo en grupos.
Sesión 17.
Descripción: Trabajo práctico del alumnado. Al llegar a la clase, los alumnos se
distribuirán en grupos y comenzarán el trabajo autónomo, realizando la actividad de
análisis forense. El profesor irá pasando por los distintos grupos para tomar notas del
trabajo que están realizando y para resolver las dudas que pueda tener el alumnado.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividades de desarrollo de habilidades cognitivas.
Tiempo estimado en horas: 120 minutos.
Tipo de agrupamiento: Grupal (cuatro personas).
Recursos materiales y humanos: Ordenadores, pizarras electrónicas, internet y folios.
Espacio: Laboratorio para trabajo en grupos.
Sesión 18.
Descripción: Trabajo práctico del alumnado. Al llegar a la clase, los alumnos se
distribuirán en grupos y comenzarán el trabajo autónomo, realizando la actividad de
análisis forense. El profesor irá pasando por los distintos grupos para tomar notas del
trabajo que están realizando y para resolver las dudas que pueda tener el alumnado.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividades de desarrollo de habilidades cognitivas.
Tiempo estimado en horas: 120 minutos.
Tipo de agrupamiento: Grupal (cuatro personas).
Recursos materiales y humanos: Ordenadores, pizarras electrónicas, internet y folios.
Espacio: Laboratorio para trabajo en grupos.
50
Sesión 19.
Descripción: Trabajo práctico del alumnado. Al llegar a la clase, los alumnos se
distribuirán en grupos y comenzarán el trabajo autónomo, realizando la actividad de
análisis forense. El profesor irá pasando por los distintos grupos para tomar notas del
trabajo que están realizando y para resolver las dudas que pueda tener el alumnado.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividades de desarrollo de habilidades cognitivas.
Tiempo estimado en horas: 120 minutos.
Tipo de agrupamiento: Grupal (cuatro personas).
Recursos materiales y humanos: Ordenadores, pizarras electrónicas, internet y folios.
Espacio: Laboratorio para trabajo en grupos.
Sesión 20.
Descripción: Defensa del informe ante el profesor por parte de todos los grupos. La
defensa consistirá en una exposición de máximo 20 minutos por grupo, donde se incluyen
cinco minutos para preguntas por parte de los compañeros o del profesor. Para la
exposición, que será realizada por el líder del grupo, se podrá utilizar el proyector y el
ordenador del profesor, así como el material que la persona que considere oportuno la
persona que realice la presentación.
Nº de actividad: 1
Actividad de Enseñanza/Aprendizaje: Actividad de evaluación.
Tiempo estimado en horas: 120 minutos.
Tipo de agrupamiento: Grupal (cuatro personas).
Recursos materiales y humanos: Pizarra electrónica, proyector, ordenador del profesor.
Espacio: Laboratorio para trabajo en grupos.
Actividad práctica
La actividad práctica que se desarrollará entre las sesiones 11 y 20 y con la que
evaluaremos el contenido consistirá en realizar un análisis forense donde se deberá
51
detectar los ataques sufridos por una empresa que nos contrate, realizar el informe
pertinente y proponer una solución (sin implementarla) para evitar este tipo de
incidentes. El informe deberá ser defendido, completando así todas las fases del análisis
forense, ante el profesor. En el Anexo 1 se muestra un ejemplo de enunciado para esta
actividad.
Características de la actividad
- Nombre: Análisis forense en el aula.
- Tipo: Grupal (cuatro personas).
- La persona líder del grupo será la encargada de defender el informe final ante el
profesor y la que le podrá preguntar las dudas, simulando un entorno real de
empresa. El grupo será el encargado de decidir si el reparto de tareas se acuerda
entre todos o lo dicta el líder.
- En un área de la clase, habilitada para ello, se simulará una oficina del banco con
el ordenador atacado y todos los dispositivos que ese ordenador suela utilizar.
- Los equipos se turnarán el primer día para la recogida de pruebas en las oficinas
del banco.
- Posteriormente, cada día un equipo podrá ir a las oficinas del banco para realizar
el análisis del tráfico en tiempo real si lo consideran necesario.
- Cada grupo tendrá su propio laboratorio en la clase, consistente en cuatro
ordenadores (uno por persona), donde podrán instalar sus herramientas para el
análisis.
- Cada grupo podrá utilizar las herramientas que considere más adecuadas para la
realización del análisis forense.
- El análisis se realizará conforme al modelo de Casey, debiendo estar todas las
etapas documentadas en el informe que se defenderá al finalizar el trabajo.
- Se podrán crear las máquinas virtuales que el grupo considere necesarias para
simular distintos equipos.
6. EVALUACIÓN
6.1. Criterios de evaluación
1.a) Se ha valorado la importancia de asegurar la privacidad, coherencia y disponibilidad
de la información en los sistemas informáticos.
52
1.b) Se han descrito las diferencias entre seguridad física y lógica.
1.c) Se han clasificado las principales vulnerabilidades de un sistema informático, según
su tipología y origen.
1.h) Se ha reconocido la necesidad de establecer un plan integral de protección
perimetral, especialmente en sistemas conectados a redes públicas.
1.i) Se han identificado las fases del análisis forense ante ataques a un sistema.
2.c) Se han identificado la anatomía de los ataques más habituales, así como las medidas
preventivas y paliativas disponibles.
2.d) Se han analizado diversos tipos de amenazas, ataques y software malicioso, en
entornos de ejecución controlados.
2.e) Se han implantado aplicaciones específicas para la detección de amenazas y la
eliminación de software malicioso.
2.i) Se han descrito los tipos y características de los sistemas de detección de intrusiones.
3.c) Se han identificado los protocolos seguros de comunicación y sus ámbitos de
utilización.
4.a) Se han descrito las características, tipos y funciones de los cortafuegos.
4.b) Se han clasificado los niveles en los que se realiza el filtrado de tráfico.
4.c) Se ha planificado la instalación de cortafuegos para limitar los accesos a
determinadas zonas de la red.
4.d) Se han configurado filtros en un cortafuegos a partir de un listado de reglas de
filtrado.
4.e) Se han revisado los registros de sucesos de cortafuegos, para verificar que las reglas
se aplican correctamente.
6.2. Procedimientos e instrumentos
1. Pruebas escritas
2. Ejercicio práctico
3. Participación en clase
53
6.3. Criterios de calificación
Los alumnos deben obtener, al menos, un tres sobre seis en el ejercicio práctico
para optar a aprobar la asignatura.
En caso de llegar a ese cinco, se sumarán las notas obtenidas en las pruebas
escritas y la participación en clase.
1. Pruebas escritas (30%): a lo largo de la unidad, se harán cinco pruebas escritas tipo
test al final de la clase. Cada test constará de 10 preguntas con cuatro respuestas y
una correcta. Las preguntas acertadas sumarán un punto, las falladas restarán 0,3
y las no contestadas no suman ni restan. La nota final en este apartado será la
media aritmética de los cinco exámenes. En caso de que el profesor pille a un
alumno copiando, tendrá una calificación de 0 en ese examen. La nota máxima en
este apartado es de tres puntos (corresponde a una media aritmética de 10).
2. Ejercicio práctico (60%): la evaluación de la práctica se desglosa de la siguiente
forma. Presentación del proyecto (10%). En este apartado se tendrá en cuenta la
claridad en la exposición y la calidad de las diapositivas, siendo la nota máxima un
uno. Trabajo en clase (10%). En este apartado se tendrá en cuenta que hayan
cumplido con los temas transversales que se proponen, para cada uno de ellos se
sumará 0,2 si el profesor considera que lo ha cumplido o se restará 0,1 en caso
contrario, llegando a sumar un punto como máximo. Informe entregado (10%). El
profesor valorará que la estructura del informe sea coherente, el contenido esté
claro y que todos los resultados estén en el informe, la nota máxima es de un
punto y se puntuará con un cero este apartado si se encuentra alguna falta de
ortografía. Resultados obtenidos (30%). En los resultados obtenidos se valorará
que el alumno haya sido capaz de encontrar las causas de los problemas del
equipo (los ataques que ha sufrido) y que haya sido capaz de dar una solución. La
nota máxima en este apartado es de seis puntos. Si el profesor pilla a un grupo
copiando, tendrán la evaluación suspensa.
3. Participación en clase (10%): el profesor tomará nota de los alumnos que
participan en los primeros quince minutos de cada clase. Cada participación
resolviendo alguna duda de un compañero de forma correcta sumará 0,1. Cada
participación respondiendo a una pregunta del profesor de forma correcta sumará
0,2. La nota máxima en este apartado es de un punto.
54
6.4. Criterios de recuperación
En caso de que el alumno suspenda, tendrá la oportunidad de aprobar al final del
trimestre mediante recuperación, aunque la nota máxima que podrá obtener es de un 9.
Para ello deberá seguir dos requisitos:
1. Al alumno se le facilitará una imagen en formato .iso para que la instale en una
máquina virtual y poder realizar un análisis forense similar al que se realiza en el
ejercicio práctico. Deberá presentar y defender el informe ante el profesor en la
fecha acordada para ello. Nota máxima: 6 puntos. Si el alumno copia, tendrá la
evaluación suspensa.
2. El alumno deberá superar una prueba escrita de los conocimientos teóricos
adquiridos en clase. El examen será un tipo test de 50 preguntas, 10 por tema, con
cuatro respuestas y una correcta. Cada pregunta correcta suma 0,06, cada
pregunta incorrecta resta 0,02 y las no contestadas no suman ni restan. Nota
máxima: 3 puntos. Si el alumno es pillado copiando, tendrá la evaluación completa
suspensa.
7. TEMAS TRANSVERSALES
Los temas transversales que se van a tratar en esta unidad didáctica son los
siguientes:
- Trabajo en equipo: los alumnos trabajarán en grupos de cuatro, simulando un
entorno de trabajo real en el mundo de la informática, donde en raras ocasiones
se trabaja de manera individual.
- Orden en los puestos de trabajo: puesto que los alumnos simularán su propio
laboratorio con cuatro ordenadores en un reducido espacio, será imprescindible
que los puestos de trabajo estén ordenados.
- Respeto entre compañeros y a un superior: no solo será imprescindible que el
respeto entre compañeros sea el máximo trabajando sino que, al haber un líder,
será también importante que sepan acatar las órdenes de ese líder en caso de
haberlas.
55
- Educación moral: el tema de seguridad informática es muy propicio para este
tema y a lo largo del debate inicial en la primera clase se introducirá el concepto
de “hacking ético”.
- Discriminación positiva: en nuestra clase de 20 personas, hay 15 chicos y cinco
chicas, por lo que cada chica será la líder de un grupo durante el trabajo práctico.
Será positivo para los chicos tanto por tener a un referente femenino en su grupo
con el que trabajarán mano a mano, algo poco común en informática, como para
las chicas, que podrán sentirse las jefas de una empresa, algo que en la realidad no
está extendido en el mundo de la informática y que es necesario.
8. ATENCIÓN A LA DIVERSIDAD
Pese a ser una clase con alumnos de altas capacidades, al igual que ocurre en
cualquier instituto nos encontraremos con gente de un nivel muy alto y que destacan
sobre el resto, así como con alumnos que tendrán más dificultades para llevar al día todo
el trabajo.
Para el primer caso, alumnos que destacan por encima del resto, en esta actividad
se les ofrecerá la oportunidad de que sigan realizando pruebas y todo tipo de análisis
sobre el supuesto dado, aunque ya tengan claros los resultados. Esta actividad, en la que
el alumno puede elegir qué análisis hacer y cómo hacerlos, se presta a poder obtener los
resultados esperados de varias formas y con distintas herramientas, por lo que a los
alumnos que resuelvan los supuestos antes de que acaben las sesiones se les animará a
que lo hagan de otra forma distinta, consiguiendo así el manejo de un número mayor de
herramientas.
Para el segundo caso, el de alumnos que tienen dificultades para llevar al día todo
el trabajo, se realizará un día a la semana, durante dos horas por la tarde, actividades de
refuerzo. Cuando las clases de este módulo estén siendo sesiones teóricas, en estas
actividades se volverán a explicar los conceptos más importantes y se permitirá al alumno
resolver todas las dudas que pueda tener. Cuando las clases estén siendo prácticas, se
utilizarán nuevos ejemplos prácticos de refuerzo para que consigan una mayor
comprensión de las herramientas que se explican y un mejor manejo.
56
ANEXOS
Anexo 1: Enunciado de ejemplo para la actividad propuesta
El banco Swiss Bank, donde muchos políticos suelen guardar su dinero, se ha dado
cuenta de que, desde hace tres días, se ha visto comprometida su seguridad gracias a un
ataque dirigido por un grupo de hackers que quieren sacar a la luz todos los datos
bancarios de los clientes. Ante la gravedad de los hechos, y en un intento por esclarecer
lo ocurrido, solucionarlo y mejorar la seguridad de sus redes, este banco se ha puesto en
contacto con vuestra empresa para que, a la mayor brevedad posible, corrijáis los
problemas que están teniendo.
El cliente, el Swiss Bank, tras aceptar el presupuesto que le habéis ofertado por un
análisis forense y un posterior informe en el que explicaréis qué ataques han sufrido y
qué solución proponéis para que no vuelvan a ocurrir, os ha citado en sus oficinas
centrales para daros las explicaciones oportunas y comenzar el proceso de investigación.
Al llegar a las oficinas del cliente, el jefe de ciberseguridad del Swiss Bank se
encarga de explicar la situación que se está viviendo a las personas encargadas de vuestra
empresa:
- El ataque se produjo hace tres días.
- Tienen guardadas copias de seguridad del tráfico monitorizado en la última
semana en formato .pcap.
- El ataque se ha producido en un equipo de la red interna en el que se almacenan
datos que pueden ser críticos, por lo que es imprescindible solucionar el problema
a la mayor brevedad posible.
- El equipo comprometido utiliza Windows XP (cambiar windows y adaptarlo al
ataque) y no tiene instaladas todas las actualizaciones de seguridad que se han
producido.
- El equipo de análisis forense se podrá desplazar un día a las instalaciones del
banco para monitorizar el tráfico de la red en tiempo real si lo considera
necesario.
- El/los cortafuegos utilizados son de Checkpoint. El conjunto de reglas aplicadas en
el cortafuegos estará disponible para el (se mostrará al alumno a continuación del
enunciado y en otra distinta).
- La estructura de las redes del Swiss Bank se entrega en una hoja aparte (se
mostrará al alumno a continuación del enunciado y en otra distinta) para que el
equipo pueda analizarla en su laboratorio.
57
Anexo 2: Tabla que relaciona resultados de aprendizaje, criterios de
evaluación, contenidos básicos e indicadores.
Resultados de
Aprendizaje
1. Adopta pautas y prácticas de tratamiento seguro de la información, reconociendo las
vulnerabilidades de un sistema informático y la necesidad de asegurarlo.
2. Implanta mecanismos de seguridad activa, seleccionando y ejecutando contramedidas
ante amenazas o ataques al sistema.
3. Implanta técnicas seguras de acceso remoto a un sistema informático, interpretando
y aplicando el plan de seguridad.
4. Implanta cortafuegos para asegurar un sistema informático, analizando sus
prestaciones y controlando el tráfico hacia la red interna.
Contenidos Criterios de evaluación Indicadores
Fiabilidad, confidencialidad, integridad y disponibilidad.
1.a) Se ha valorado la importancia de
asegurar la privacidad, coherencia y
disponibilidad de la información en los
sistemas informáticos.
Valora la importancia de asegurar
la privacidad, coherencia y
disponibilidad de la información en
los sistemas informáticos.
Amenazas. Tipos. Amenazas
físicas y lógicas. 1.b) Se han descrito las diferencias entre
seguridad física y lógica.
Describe las diferencias entre
seguridad física y lógica.
Análisis de las principales
vulnerabilidades de un
sistema informático.
1.c) Se han clasificado las principales vulnerabilidades de un sistema
informático, según su tipología y origen.
Clasifica las principales vulnerabilidades de un sistema
informático, según su tipología y origen.
Elementos básicos de la
seguridad perimetral.
Perímetros de red. Zonas
desmilitarizadas.
1.h) Se ha reconocido la necesidad de establecer un plan integral de protección
perimetral, especialmente en sistemas conectados a redes públicas.
Reconoce la necesidad de
establecer un plan integral de
protección perimetral,
especialmente en sistemas
conectados a redes públicas.
Análisis forense en sistemas
informáticos.
1.i) Se han identificado las fases del análisis forense ante ataques a un
sistema.
Identifica las fases del análisis
forense ante ataques a un sistema.
Ataques y contramedidas en
sistemas personales.
2.c) Se han identificado la anatomía de los ataques más habituales, así como las
medidas preventivas y paliativas disponibles.
Identifica la anatomía de los ataques más habituales, así como
las medidas preventivas y paliativas disponibles.
Elementos vulnerables en el
sistema informático.
Hardware, software y datos.
2.d) Se han analizado diversos tipos de amenazas, ataques y software malicioso,
en entornos de ejecución controlados.
Analiza diversos tipos de amenazas, ataques y software
malicioso, en entornos de ejecución controlados.
Ataques y contramedidas en
sistemas personales.
2.e) Se han implantado aplicaciones específicas para la detección de
amenazas y la eliminación de software malicioso.
Implementa aplicaciones específicas para la detección de
amenazas y la eliminación de software malicioso.
58
Intentos de penetración. 2.i) Se han descrito los tipos y
características de los sistemas de detección de intrusiones.
Describe los tipos y características de los sistemas de detección de
intrusiones.
Seguridad en la red
corporativa.
3.c) Se han identificado los protocolos seguros de comunicación y sus ámbitos
de utilización.
Identifica los protocolos seguros de comunicación y sus ámbitos de
utilización.
Tipos de cortafuegos.
Ubicación. 4.a) Se han descrito las características, tipos y funciones de los cortafuegos.
Describe las características, tipos y funciones de los cortafuegos.
Filtrado de paquetes de datos. 4.b) Se han clasificado los niveles en los que se realiza el filtrado de tráfico.
Clasifica los niveles en los que se realiza el filtrado de tráfico.
Instalación de cortafuegos.
Ubicación.
4.c) Se ha planificado la instalación de cortafuegos para limitar los accesos a
determinadas zonas de la red.
Planifica la instalación de cortafuegos para limitar los
accesos a determinadas zonas de la red.
Reglas de filtrado de
cortafuegos.
Pruebas de funcionamiento.
Sondeo.
4.d) Se han configurado filtros en un cortafuegos a partir de un listado de
reglas de filtrado.
Configura filtros en un cortafuegos a partir de un listado de reglas de
filtrado.
Registros de sucesos de
cortafuegos.
4.e) Se han revisado los registros de sucesos de cortafuegos, para verificar
que las reglas se aplican correctamente.
Revisa los registros de sucesos de cortafuegos, para verificar que las reglas se aplican correctamente.
59
LISTA DE FIGURAS
Figura 1: Captura de pantalla del Norton Utilities 8.0.
Figura 2: Insignia del CART
Figura 3: Clifford Stoll
Figura 4: Rótulo con el logotipo de HTCIA
Figura 5: Logo IACIS
Figura 6: Logo BIT
Figura 7: Logo GDT
Figura 8: Logo International Journal of Digital Evidence
Figura 9: Funcionamiento de EnCase Forensic.
Figura 10: Diagrama de uso de Snort.
Figura 11. Windows XP sobre VMWare Workstation
Figura 12. Tráfico de WhatsApp en Wireshark
Figura 13. Reglas de tráfico en CheckPoint
60
BIBLIOGRAFÍA
[1] Arquillo Cruz, José. (2007). Herramientas de apoyo para el análisis forense de
computadoras. PFC Ingeniería en Informática. Universidad de Jaén.
[2] John R. Vacca; Charles River Media. (2002). Computer Forensics: Computer Crime
Scene Investigation. (731 páginas). ISBN: 1584500182.
[3] Florida Computers Act. (1978). Visto en:
<http://www.clas.ufl.edu/docs/flcrimes/subsubsection2_1_1_2_2.html> [19/06/2015].
[4] Computer Analysis and Response Team. Visto en:
<http://www2.fbi.gov/hq/lab/org/cart.htm> [19/06/2015].
[5] Stoll, Clifford, (1988). Stalking the wily hacker. Communications of the ACM. Volumen
31, número 5, página 484. Artículo visto en
<https://w2.eff.org/Net_culture/Hackers/stalking_the_wily_hacker.article> [19/06/2015].
[6] Smith, John C. (2001). History of HTCIA. Artículo visto en
<http://www.jcsmithinv.com/HTCIAhistory.htm> [19/06/2015].
[7] Access Data. <http://accessdata.com/> [19/06/2015].
[8] Mohay, George M. (2003). Computer and intrusion forensics. Artech House, INC. ISBN:
1580533698.
[9] Grupo de Delitos Telemáticos de la Guardia Civil. Visto en
<https://www.gdt.guardiacivil.es/webgdt/home_alerta.php> [19/06/2015].
[10] Guardia Civil de España. Visto en
<https://www.guardiacivil.es/es/institucional/especialidades/gdt/index.html>
[19/06/2015]
[11] Observatorio tecnológico de España. Visto en
<http://recursostic.educacion.es/observatorio/web/en/software/software-general/1040-
introduccion-a-la-seguridad-informatica?showall=1> [19/06/2015]
[12] Observatorio tecnológico de España. Visto en
<http://recursostic.educacion.es/observatorio/web/gl/software/software-general/1040-
introduccion-a-la-seguridad-informatica?start=3> [19/06/2015]
[13] Lee, H.C.; T.M. Palmbach; M.T. Miller. (2001). Henry Lee’s Crime Scene Handbook.
Academic Press.
[14] Ó Ciardhuáin, Séamus. (2004). An Extended Model of Cybercrime Investigations.
International Journal of Digital Evidence Summer 2004. Volumen 3, número 1.
61
[15] Casey, E. (2004). Digital Evidence and Computer Crime: Forensic Science, Computers
and the Internet. Academic Press.
[16] U.S. Department of Justice. (2007). Handbook of Forensic Services. 202 páginas. ISBN:
9780160793769.
[17] Palmer, G. (2001). A Road Map for Digital Forensic Research. Technical Report DTR-
T001-01, DFRWS. First Digital Forensic Research Workshop.
[18] Rifà, H.; Serra, J.; Rivas, J.L. (2009). Análisis forenses de sistemas informáticos. Eureca
Media S.L. 60 páginas. ISBN: 9788469233436-
[19] Junta de Andalucía. (2010). BOJA Número 168. Página 35. Visto en <
http://www.adideandalucia.es/fp/andalucia/loe/O_19_7_2010_TS_Administracion_siste
mas_informaticos_red.pdf> [19/06/2015].