ANALISIS FORENSE DIGITAL

PHISHING CORREO ELECTRONICO

ANALISTA FORENSE JOSE RAMIREZ CORTES.

FECHA: 29-05-2023
INDICE
IDENTIFICACIÓN DE LA ESPECIE.........................................................................................................1
CASO. DESCRIPCION GENERAL...........................................................................................................2
CASO: ANALISIS FORENSE DIGITAL PHISHING CORREO ELECTRONICO...............................................2
ANÁLISIS FORENSE DIGITAL............................................................................................................2
MARCO LEGAL................................................................................................................................2
CÓDIGO PROCESAL PENAL (ART. 33, 82, 182)................................................................................2
CÓDIGO DE PROCEDIMIENTO CIVIL (ART. 113, 159, 281)..............................................................2
METODOLOGÍAS USADAS A NIVEL MUNDIAL (EEUU RFC 3227, NIST 3227, NIST 800-61, ISO/IEC
27001; ESPAÑA UNE 71506:2013, UNE 71505:2013 PARTE 1, 2 Y 3; CHILE ISO/IEC 27001)...........3
PHISHING........................................................................................................................................4
EXPLICACION CASO............................................................................................................................5
AMBIENTE SELECCIONADO................................................................................................................6
ANÁLISIS.............................................................................................................................................6
CONCLUSIÓN....................................................................................................................................11
IDENTIFICACIÓN DE LA ESPECIE

Propietario de la especie Alberto Hurtado Paredes

Recepción de la especie La recepción se hace con el equipo encendido.
Y por cómo se indica este equipo no se debe
apagar.
Analista forense José Orlando Ramírez Cortés.

Página | 1
CASO. DESCRIPCION GENERAL.
En este informe realizaremos un análisis forense ante un posible un posible phishing al correo
electrónico de la empresa. Este análisis tiene como finalidad el determinar si los activos de la
empresa fueron comprometidos y del mismo modo si lo fueron determinar el alcance que tuvo el
ataque de phishing.

CASO: ANALISIS FORENSE DIGITAL PHISHING CORREO

ELECTRONICO
En el presente informe daremos a conocer el resultado del análisis forense ante una posible
campaña de phishing a un correo electrónico.

Pero antes daremos a conocer algunas definiciones generales.

ANÁLISIS FORENSE DIGITAL.

El análisis forense tiene como objetivo principal obtener información en ambientes de seguridad
de la información y conseguir evidencia relevante para establecer una verdad jurídica con medios
probatorios robustos, imparciales y que permitan con ello no solamente verificar la existencia de
un hecho, sino también las evidencias que lo demuestran de la manera más imparcial posible (IACC
(2020). Metodología forense Parte I. Semana 1).

MARCO LEGAL.
CÓDIGO PROCESAL PENAL (ART. 33, 82, 182)
En el Código Procesal Penal encontramos las normas que regulan las actuaciones de los testigos,
los peritos o los conocedores de materias en particular para efectos penales, ya que si bien es
cierto que la dirección de la investigación está a cargo, de manera exclusiva, del Fiscal del
Ministerio Público, no es menos cierto que los intervinientes en el proceso penal pueden solicitar
pruebas o evidencias, diligencias, metaperitajes, entre otros, conforme a las mismas reglas
señaladas en el Código Procesal Penal (IACC (2020). Metodología forense Parte I. Semana 1).

CÓDIGO DE PROCEDIMIENTO CIVIL (ART. 113, 159, 281)

En el Código de Procedimiento Civil encontramos las normas que regulan las actuaciones de los
tribunales civiles, dentro de los cuales se encuentran Tribunales Laborales, de Familia, de Letras,

Juzgados de Policía Local, entre otros (IACC (2020). Metodología forense Parte I. Semana 1).

Página | 2
METODOLOGÍAS USADAS A NIVEL MUNDIAL (EEUU RFC 3227, NIST
3227, NIST 800-61, ISO/IEC 27001; ESPAÑA UNE 71506:2013, UNE 71505:2013
PARTE 1, 2 Y 3; CHILE ISO/IEC 27001)
EE. UU
RFC 3227 - Guidelines for Evidence Collection Consiste en una metodología para la
and Archiving recolección de evidencias y almacenamiento.
Aunque ha sido una de las más utilizadas, en la
actualidad no es muy considerada
NIST 3227 - Guidelines for Evidence Collection Guía que desarrolla la recolección de
and Archiving evidencias y técnicas de análisis ante una
respuesta ante incidentes. Guía muy empleada
en EE. UU. y países de Europa. En especial está
dirigida a las evidencias en ambientes de
incidentes, un excelente apoyo para un CSIRT
NIST 800-61 - Computer Security Incident Guía que incluye la metodología que hay que
Handling Guide emplear ante una gestión de incidentes. Esta
norma es usada inclusive en la SIO/IEC
27035:2016 para el manejo de incidentes.
ISO/IEC 27037:2012 - Information technology Se conoce como la norma base de la evidencia
—Security techniques— Guidelines for digital, es la base para la colección de las
identification, collection, acquisition, and normas ISO27k eForensics.
preservation of digital evidence

En el caso de Chile no se tienen normas de creación propia, ya que las normas NCh son
traducciones de la ISO/IEC, por lo que no nos referiremos de manera particular; no obstante, a ello,
daremos una tabla como orientación con las normas que dicen relación con el análisis forense

Normativa ISO/EC Resumen

27037:2012 Guía para la identificación, recolección, adquisición y

preservación de la evidencia digital.

27038:2014 Especificaciones para la redacción

27040:2015 Seguridad en el guardado de la evidencia.

Página | 3
 27042:2015 Análisis e interpretación de la evidencia digital

27050:2016 (1 al 3) Descubrimientos electrónicos.

Fuente iacc 2020

PHISHING.
IBM en su artículo ¿Qué es el phishing? Nos explica que el phishing por correo electrónico masivo
es el tipo más común de ataque de phishing. El estafador crea un mensaje de correo electrónico
que parece que proviene de una empresa u organización legítima grande y conocida (un banco
nacional o global, una gran tienda en línea, los creadores de una popular app o aplicación de
software) y lo envía a millones de destinatarios.

El phishing por correo electrónico es un juego de números: cuanto más grande o popular sea el
remitente suplantado, más destinatarios serán los posibles clientes, suscriptores o miembros. El
correo electrónico de phishing trata sobre un tema que el remitente suplantado podría enviar de
manera creíble y apela a emociones fuertes (miedo, codicia, curiosidad, sentido de urgencia o
premura) para obtener la atención del destinatario. Las líneas de asunto típicas incluyen 'Actualice
su perfil de usuario', 'Problema con su pedido', 'Sus documentos de cierre están listos para la
firma', 'Se adjunta su factura' (¿Qué es el phishing? | IBM. (s. f.).
https://www.ibm.com/es-es/topics/phishing).

Página | 4
EXPLICACION CASO
Para el análisis del caso se contrato los servicios del analista forense José Ramírez Cortés, el cual
está acreditado para poder realizar el análisis forense para poder determinar si realmente fue
comprometido el o los activos de la empresa y determinar cuál es el alcance si es que realmente
fue vulnerado.

Con fecha de 25 de mayo de 2023 el personal identificado como Alberto Hurtado Pérez, recibe un
email al correo corporativo en el cual este mensaje indicaba el cobro de una apuesta gratuita de
una página de apuestas después de un depósito previo, se adjunta título del mensaje

“¡Deposita y gana una apuesta gratuita de $10.000! Te damos la bienvenida con un regalo especial
para ti. Créate una cuenta, haz tu primer depósito y canjea tu apuesta gratuita de $10.000.”

En este mensaje viene adjunto una imagen y en ella adjunto de igual manera un link que
redirecciona a una página principal de “IBET”.

Se adjunta imagen del correo:

Figura 1: fuente Gmail

El personal antes mencionado hace clic en la imagen, mencionando que con anterioridad ya ha
realizado depósitos en esa página de apuestas, pero desde su cuenta personal y desde su equipo
personal indicando que no ha tenido problemas de ningún tipo.

Este evento fue descubierto por el equipo del departamento de TI de la empresa al realizar un
control rutinario de los activos.

Página | 5
Estos al revisar fechas de acceso y credenciales logran saber cual es el equipo y su usuario a la vez
que ven cierta anormalidad dentro del sistema posterior a la fecha de llegada del correo.

AMBIENTE SELECCIONADO.
El ambiente para trabajar seleccionado para realizar el análisis forense es ambiente encendido.

En el cual realizamos los siguientes pasos:

Figura 2: fuente: (2020). Metodología forense Parte I. Semana 1).

NOTA: PARA EL EFECTO DEL PRESENTE INFORME DAREMOS POR ECHO QUE SE REALIZARON ESTOS PASOS.

ANÁLISIS.
Paso 1: Como primer paso hacemos un chequeo del enlace alojado en el correo buscando alguna
información de virus maliciosos por medio de la página www.virustotal.com y esta página nos
indica que “Ningún proveedor de seguridad marcó esta URL como maliciosa”.

Figura 3: fuente www.virustotal.com

De la misma forma comprobamos en la página www.urlscan.io, este buscador nos da información

más especifica e igualmente no nos indica que sea una URL maliciosa.

Página | 6
 Figura 4: fuente www.urlscan.io

Tecnologías detectadas.

Figura 5: fuente www.urlscan.io

Página | 7
Información de dominio e IP

Figura 6: fuente www.urlscan.io

En esta página podemos ver las certificaciones que esta página posee.

Figura 7: fuente www.urlscan.io

Paso 2: Como segundo paso realizamos el análisis del equipo en el cual chequeamos que no haya
sido infectado. Esto lo realizamos, aunque en el paso anterior nos indica que el correo no tiene
ningún efecto malicioso. Ya que, aunque el escaneo no encontrase nada es posible que el o los
atacantes(s) hayan podido vulnerar el antivirus.

Escaneo de usuarios que han iniciado sesión, usando la aplicación de PSTools. Específicamente el
comando “PSLoggedOn” a través de la línea de comandos de Windows. El cual nos arroja que
“Nadie ha iniciado sesión”

Página | 8
 Figura 8: fuente propia

Comprobamos las conexiones activas esto lo realizamos a través del comando “NETSTAT”. Esto se
realiza para saber si hay alguna actividad oculta dentro de la red.

Figura 9: fuente propia

Realizamos un escaneo a la red del equipo con el comando “IPCONFIG” para poder detectar alguna
comunicación fuera de lugar dentro de la red.

Figura 10: fuente propia

Página | 9
Buscamos las conexiones establecidas a través del comando “Nbtstat -S” como en las veces
anteriores para saber si hay conexiones fuera de lo común. No encontrando ninguna conexión.

Figura 11: fuente propia

Comprobamos los puertos que pueden estar abiertos

Figura 12: fuente propia

Comprobamos el funcionamiento del CPU, no encontrando ningún funcionamiento anormal.

Figura 13: fuente propia

Página | 10
CONCLUSIÓN.
La conclusión que se llaga al terminar el análisis forense es que no se llego a comprometer los
activos de la empresa. Pero cabe destacar que el personal si puso en riesgo los activos de la
empresa al realizar una acción imprudente al acceder al sitio web de apuestas por medio del
correo de la empresa.

Aunque estas acciones están reguladas por las políticas de la empresa el personal deberá a asistir a
Re-instrucción de uso de activos y de la aplicación de SGSI.

Al realizar el análisis forense indagamos en los sistemas más importantes en los cuales no se logró
encontrar ningún archivo o programa malicioso que pudiese ser la puerta para la vulneración del
sistema.

Página | 11