Imagen abstracta de una mujer sentada en libros y estudiando en una computadora portátil

Incidentes en Seguridad de la Información por Francisco Villegas Landin

Asociación, profile picture
Asociación

El documento presenta un análisis de incidentes de seguridad de la información, destacando casos reales como ataques de Anonymous y robo de identidad. Se enfatizan lecciones aprendidas sobre la importancia de la preparación, el liderazgo y el monitoreo continuo en la gestión de incidentes. También se abordan casos de acceso no autorizado y robo de efectivo, subrayando la necesidad de investigar en el ecosistema completo para obtener evidencia concluyente.

Educación
1 de 22
Descargado 19 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
Incidentes en Seguridad de la Información por Francisco Villegas Landin
Incidentes en Seguridad de la Información ¿Qué hemos aprendido? Lic. Francisco Villegas Landin, Jefe de Oficina de Seguridad de la Información (CSO) Director Servicios de Seguridad, redIT (Metro Net) CISSP, ISSAP, CISA, CISM, CRISC, BS7799-LA, ITIL, IAM, IEM, enCE
Agenda • Casos basados en hechos reales • Por confidencialidad los hechos y datos han sido alterados • Se asumen conocimientos técnicos de la audiencia
INCIDENTES
Ataque de Anonymous • Dia 3, notificación en el Underground #Operacion del ataque • A marchas forzadas, el día 5 del mes se arranca una operación de contención y erradicación con el cliente • Un fenómeno natural detiene el ataque • Anonymous ataco en 4 ocasiones • El incidente DDoS a las 12:00 por 3 horas, el segundo por 2 horas y los otros dos siguientes por una hora • Se declaro por terminado el incidente el tercer día a las 12:00 horas
Estrategia de la Operación Obtener la mayor cantidad de información posible sobre la naturaleza del incidente. En la medida de lo posible, contener o prevenir la propagación del daño causado por el incidente. Reparar o coordinar la reparación del daño causado por el incidente. Restaurar los servicios tan pronto sea posible. Preservar la evidencia del incidente. Asegurar que el incidente fuera apropiadamente reportado y escalado. Tomar las medidas proactivas necesarias para mitigar incidentes futuros.
Oportunidades en la preparación… • No conocíamos a todos los involucrados (no había directorio) • No contamos con el inventario de infraestructura de TI • No contamos con el análisis de vulnerabilidades de toda la infraestructura de Internet • No pudimos hacer un cruce de infraestructura contra vulnerabilidades – estuvimos prácticamente a “ciegas” • En prácticamente 12 horas se estableció un “war room”
Factores Críticos de Exito… • Establecimos un pequeño laboratorio y probamos los vectores de ataque • Nuestro equipo de especialistas mediante “spoof” en el “underground” encontramos los patrones de los principales vectores de ataque • Tomamos la decisión de pedir al carrier que bloquearan las redes de países con los que el cliente no tiene negocio y que eran posibles fuentes de ataque • Bajamos el umbral de peticiones aceptadas por el firewall. • En línea estuvimos bloqueando fuentes de ataque con el IPS
¿que aprendimos? Liderazgo / Coordinación / Colaboración y Trabajo en equipo Involucrar y que participen de todas las áreas de la Organización Conocer la infraestructura de IT (Inventario Actualizado) No responder, ni lanzar ataques Establecer un equipo y proceso de respuesta a incidentes Establecer un proceso de administración de la seguridad (vulnerabilidades) Monitoreo Continuo de la operación 7x24
Caso – Robo de Identidad • Origen: Crimen Organizado y personal interno • Destino: Javier, empresario • Incidente: Robo de 200 mil pesos por clonación de tarjeta de crédito • Impacto: Banco X determino que el incidente fue en la empresa de Javier, el perdió su dinero, no denuncio a las autoridades, despidió a las personas relacionadas. • El Banco lanzo una investigación interna sobre el proceso de impresión de tarjetas de crédito
Caso – Robo de Identidad (2) • • • • Marzo 2012 - Denuncia del Banco y solicitud de apoyo Análisis en computadoras del usuario (3 Laptops) GSI Encase Forensics (Imagen Forense) Búsqueda – – – – – – Análisis de Bitácoras de Windows Código Malicioso Archivos Ocultos Usuarios, Correo, Navegación Web, Chat Revisión de los sistemas perimetrales (Firewall, Router) Revisión del servicio de correo electrónico «hosteado»
Caso – Robo de Identidad (3) • Hallazgos del Caso - Evidencia – Correos Electrónicos de personal interno con comunicación relacionada hacia cuentas de correo externo – Cache del Explorador con URL’s de Google y Hotmail con direcciones de correo – Conversaciones de MSN relacionadas – Direcciones IP de Origen y Destino – Imágenes de Credencial de Elector de la victima – Archivos PDF con comprobantes de domicilio
Caso – Robo de Identidad (4) • Lección aprendida – En un proceso de cómputo forense debe buscarse por evidencia electrónica contundente e irrefutable que indique al menos que y como sucedió, cuando sucedió y quién lo hizo
Caso – Acceso no autorizado • Origen: Personal Interno • Destino: Miguel, Director General de área • Incidente: Acceso no autorizado a 5 equipos de colaboradores e inclusive a su máquina y extracción de documento crítico • Impacto: Acceso a documentos confidenciales y a información personal para toma de decisiones sobre compra de empresas • La organización despidió a la persona involucrada que ejecuto el incidente, y también a los autores intelectuales (otro Director)
Caso – Acceso no autorizado (2) • • • • Agosto 2012 - Denuncia del Cliente y solicitud de apoyo Análisis en computadoras del usuario (5 Laptops) GSI Encase Forensics (Imagen Forense) Búsqueda – – – – – – – Análisis de Bitácoras de Windows Código Malicioso Archivos Ocultos Usuarios, Correo, Navegación Web, Chat Revisión de los sistemas perimetrales (Firewall, Router) Revisión del servicio de correo electrónico «hosteado» Revisión del Filtrado Web
Caso – Acceso no autorizado (2) • Hallazgos del Caso - Evidencia – Windows no deja evidencia de copias – Evidencia de logons Exitosos «Anonymous Logon» – Dirección IP de Origen y «Hostname» que realizo los accesos – No se encontró nada más en la computadora • No había forma de relacionar los «anonymous logon» con la evidencia en el equipo ni con la copia del archivo. • Pensé en buscar por evidencia en el sistema de Filtrado URL – Se encontró evidencia de navegación del «Hostname» en el filtrado con direcciones IP y se – Se relaciono los horarios de acceso con el log del Sistema de filtrado, donde el proxy requería autenticación. – La persona que lo ejecuto dio su user y su password para salir a internet.
Caso – Acceso no autorizado (3) • Lección aprendida – No necesariamente la evidencia hallada en un sistema de computo nos llevará a la resolución de un caso, habrá que buscar en el «Ecosistema» en su totalidad
Caso – Robo de Efectivo • • • • • Origen: Personal Interno y Hacker Destino: Banco Y, Sucursal Z Incidente: Robo de dinero Impacto: Pérdida de 500,000 mil pesos La organización despidió a la persona involucrada y demando penalmente a los involucrados (el hacker y el ex empleado), a la fecha el proceso sigue, uno esta en la cárcel sin sentencia y el otro esta en proceso pero en su casa, no se logro identificar al tercero.
Caso – Robo de Efectivo (2) • Oct 2010 – Llamada del Cliente y solicitud de apoyo • Alerta del Sistema Antifraudes del Banco por extracción de efectivo • Se asistió al sitio • Revisión en vivo (GSI Encase Portable) • Búsqueda – – – – Análisis de Bitácoras de Windows Código Malicioso Ejecución de Procesos Revisión de Memoria
Caso – Robo de Efectivo (3) • Hallazgos del Caso - Evidencia – Archivos Abiertos y ejecutados – Montaje de USB y Lectura de DVD – Horarios Ejecución de Programas • Observe el «ambiente» había una cámara de videograbación • Solicite revisar videos (de las 14:00 a las 14:30) – En el video aparecía el Gerente de la Sucursal, hablando por teléfono celular, fumando y montando el CD-ROM en el dispensador – Con la evidencia electrónica y el video se «presiono» al ex-empleado – Se observa como saca el dinero y lo guarda – Se observa a un tercero que recoge el dinero (no se logra identificar)
Caso – Robo de Efectivo (4) • Lección aprendida – Hay que relacionar hechos del entorno «físico» con los del entorno «digital» como son horarios y controles de seguridad física, ejemplo, controles de acceso «tarjetas, registros bitácoras manuales, cámaras de vídeo» – En este caso la evidencia contundente fue la videograbación y el sustento fue la actividad de la persona en la computadora.
¿PREGUNTAS? Lic. Francisco Villegas Landin, Jefe de Oficina de Seguridad de la Información (CSO) Director Servicios de Seguridad, redIT (Metro Net) CISSP, ISSAP, CISA, CISM, CRISC, BS7799-LA, ITIL, IAM, IEM, enCE

Más contenido relacionado

PDF
Summer boot camp sciende umh
Alejandro Quesada
 
PDF
Curso Virtual Forense de Redes 2019
Alonso Eduardo Caballero Quezada
 
PDF
Tema 2. Evidencia digital
Francisco Medina
 
PPT
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Reuniones Networking TIC
 
PDF
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Daniel Sasia
 
PPTX
Examen parcial
Alexander Velasque Rimac
 
PDF
Conexioninversa simposium-toluca
BIT Technologies
 
PDF
Caso 001
camila-gomez12
 
Summer boot camp sciende umh
Alejandro Quesada
 
Curso Virtual Forense de Redes 2019
Alonso Eduardo Caballero Quezada
 
Tema 2. Evidencia digital
Francisco Medina
 
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Reuniones Networking TIC
 
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Daniel Sasia
 
Examen parcial
Alexander Velasque Rimac
 
Conexioninversa simposium-toluca
BIT Technologies
 
Caso 001
camila-gomez12
 

Similar a Incidentes en Seguridad de la Información por Francisco Villegas Landin (20)

PPT
Flisol2010
hendrykfer2
 
PDF
Que se esconde detrás de un ciberataque
Enrique de Nicolás Marín
 
PDF
2SCSFP-SIEM-HE.pdf
CloeCornejo
 
ODP
Curso Avanzado Seguridad Logs
Antonio Durán
 
ODP
Curso Avanzado Seguridad Logs
Antonio Durán
 
PPTX
Vulneraciones_Seguridad_Informática.pptx-vulneravilidades a las cuales estamo...
EUGENIAAMOEDO1
 
PPT
Metodologia para detectar vulnerabilidades de los activos
Alexander Velasque Rimac
 
PDF
Fished investigation
kebvin26
 
PPTX
Riesgos amenaza-vulnerabilidades-impacto-probabilidad de ocurrencia final
Alexander Velasque Rimac
 
PPTX
Trabajo Final MINTIC
Cduarte75
 
PPTX
Trabajo Final MINTIC
Cduarte75
 
PPTX
Análisis Forense
Chema Alonso
 
PDF
Guia de Seguridad en Informatica para PYMES
Digetech.net
 
PDF
"Señoría, no sé qué ha pasado en mi sistema" - Joseba Enjuto
Nextel S.A.
 
DOCX
Seguros cualita
kebvin26
 
PDF
Zen y el arte de pescar APT
Antonio Sanz Alcober
 
PDF
IBM_Gestion_de_Incidentes_Analisis_Foren.pdf
EduOliver2
 
PPTX
Informatica forense 3
kirian urueta
 
PDF
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Manuel Santander
 
PPTX
Luiz Dos Santos
superbancosec
 
Flisol2010
hendrykfer2
 
Que se esconde detrás de un ciberataque
Enrique de Nicolás Marín
 
2SCSFP-SIEM-HE.pdf
CloeCornejo
 
Curso Avanzado Seguridad Logs
Antonio Durán
 
Curso Avanzado Seguridad Logs
Antonio Durán
 
Vulneraciones_Seguridad_Informática.pptx-vulneravilidades a las cuales estamo...
EUGENIAAMOEDO1
 
Metodologia para detectar vulnerabilidades de los activos
Alexander Velasque Rimac
 
Fished investigation
kebvin26
 
Riesgos amenaza-vulnerabilidades-impacto-probabilidad de ocurrencia final
Alexander Velasque Rimac
 
Trabajo Final MINTIC
Cduarte75
 
Trabajo Final MINTIC
Cduarte75
 
Análisis Forense
Chema Alonso
 
Guia de Seguridad en Informatica para PYMES
Digetech.net
 
"Señoría, no sé qué ha pasado en mi sistema" - Joseba Enjuto
Nextel S.A.
 
Seguros cualita
kebvin26
 
Zen y el arte de pescar APT
Antonio Sanz Alcober
 
IBM_Gestion_de_Incidentes_Analisis_Foren.pdf
EduOliver2
 
Informatica forense 3
kirian urueta
 
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Manuel Santander
 
Luiz Dos Santos
superbancosec
 
Publicidad

Más de Asociación (15)

PDF
Ciberdefensa y Monitoreo de Infraestructura por Juan Diaz
Asociación
 
PDF
Comunidades de Seguridad y su Responsabilidad Social por Jorge Hagg
Asociación
 
PDF
Comunidades de Seguridad y su Responsabilidad Social por Armando Zuñiga
Asociación
 
PDF
Metamétricas por Gabriel ÁlvarezSolis
Asociación
 
PDF
Seguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
Asociación
 
PDF
Estado de Ciberseguridad por Juan Isaias Calderón
Asociación
 
PDF
Seguridad en Infraestructuras Críticas por Manuel Ballester
Asociación
 
PDF
Prevención de Fraudes por Carlos Ramírez
Asociación
 
PDF
Privacidad de datos por Jorge Delgado José Manuel Cano
Asociación
 
PDF
Comunidades de Seguridad y su Responsabilidad Social por Gonzalo Espinosa
Asociación
 
PDF
PyMEs Su reputación está en riezgo por Cedric Laurant
Asociación
 
PDF
Conferencia Ciber defensa protegiendo la informacion Juan Díaz
Asociación
 
PDF
Conferencia war room por cristo leon
Asociación
 
PDF
Social media council por cristo leon
Asociación
 
PDF
Programa tríptico ds8 alapsiac
Asociación
 
Ciberdefensa y Monitoreo de Infraestructura por Juan Diaz
Asociación
 
Comunidades de Seguridad y su Responsabilidad Social por Jorge Hagg
Asociación
 
Comunidades de Seguridad y su Responsabilidad Social por Armando Zuñiga
Asociación
 
Metamétricas por Gabriel ÁlvarezSolis
Asociación
 
Seguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
Asociación
 
Estado de Ciberseguridad por Juan Isaias Calderón
Asociación
 
Seguridad en Infraestructuras Críticas por Manuel Ballester
Asociación
 
Prevención de Fraudes por Carlos Ramírez
Asociación
 
Privacidad de datos por Jorge Delgado José Manuel Cano
Asociación
 
Comunidades de Seguridad y su Responsabilidad Social por Gonzalo Espinosa
Asociación
 
PyMEs Su reputación está en riezgo por Cedric Laurant
Asociación
 
Conferencia Ciber defensa protegiendo la informacion Juan Díaz
Asociación
 
Conferencia war room por cristo leon
Asociación
 
Social media council por cristo leon
Asociación
 
Programa tríptico ds8 alapsiac
Asociación
 
Publicidad

Último (20)

PDF
1er Grado - Dosificación Anual con Contenidos y PDA (2025-2026).pdf
contrerasperezanel
 
DOCX
Fisiopatologia bdjdbd resumen de cierta parte
blancaheredia7
 
PPTX
BT Introducción a las Ciencias 2025 - 2026.pptx
Química Preparatoria 7 (2025 - 2026)
 
PDF
El Genero y Nuestros Cerebros - Gina Ripon Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
EP2_CONTACTO_GRUPO INICIACIÓN_2024 (1).pdf
NataliaLopez626124
 
PDF
CURRICULAR DE PRIMARIA santa ursula..pdf
ivelezz30
 
PDF
KOF-2022-espanol-mar-27-11-36 coke.pdf jsja
JessicaBlanco42
 
PDF
Diversos-Rostros-de-la-EPJA-una-vision-desde-universidades-publicas-latinoame...
Diego Escobar Riffo
 
PDF
Las Matematicas y el Pensamiento Cientifico SE3 Ccesa007.pdf
Demetrio Ccesa Rayme
 
PPTX
RCP avanzado_Luis Minaya_ Septiembre 25.pptx
Hermilio Valdizan Regional Hospital
 
PDF
Aprendizaje Emocionante - Begoña Ibarrola SM2 Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
Texto Digital Los Miserables - Victor Hugo Ccesa007.pdf
Demetrio Ccesa Rayme
 
DOCX
PCI LARAOS 2025. 2024 documento de gestión
WillyFlores25
 
DOCX
TEXTO DE TRABAJO DE EDUCACION RELIGIOSA - SEGUNDO GRADO.docx
huayllanipalominoroc
 
DOCX
Programa Analítico- Lenguajes-Ingles 3º (1).docx
SamanthaHdz4
 
PDF
MODULO I ENFERMERIA BASICA.pdf HIstoria en enfermeria
DIAZVERABRAJHANSTALY
 
PDF
Estadística Aplicada a la Psicología y Ciencias de la Salud Ccesa.pdf
Demetrio Ccesa Rayme
 
PDF
Jodorowsky, Alejandro - Manual de Psicomagia.pdf
ssuser48cd15
 
PDF
50000 mil words en inglés más usados.pdf
LucianoHernndez11
 
PDF
Lo que hacen los Mejores Profesores de la Universidad - Ken Bain Ccesa007.pdf
Demetrio Ccesa Rayme
 
1er Grado - Dosificación Anual con Contenidos y PDA (2025-2026).pdf
contrerasperezanel
 
Fisiopatologia bdjdbd resumen de cierta parte
blancaheredia7
 
BT Introducción a las Ciencias 2025 - 2026.pptx
Química Preparatoria 7 (2025 - 2026)
 
El Genero y Nuestros Cerebros - Gina Ripon Ccesa007.pdf
Demetrio Ccesa Rayme
 
EP2_CONTACTO_GRUPO INICIACIÓN_2024 (1).pdf
NataliaLopez626124
 
CURRICULAR DE PRIMARIA santa ursula..pdf
ivelezz30
 
KOF-2022-espanol-mar-27-11-36 coke.pdf jsja
JessicaBlanco42
 
Diversos-Rostros-de-la-EPJA-una-vision-desde-universidades-publicas-latinoame...
Diego Escobar Riffo
 
Las Matematicas y el Pensamiento Cientifico SE3 Ccesa007.pdf
Demetrio Ccesa Rayme
 
RCP avanzado_Luis Minaya_ Septiembre 25.pptx
Hermilio Valdizan Regional Hospital
 
Aprendizaje Emocionante - Begoña Ibarrola SM2 Ccesa007.pdf
Demetrio Ccesa Rayme
 
Texto Digital Los Miserables - Victor Hugo Ccesa007.pdf
Demetrio Ccesa Rayme
 
PCI LARAOS 2025. 2024 documento de gestión
WillyFlores25
 
TEXTO DE TRABAJO DE EDUCACION RELIGIOSA - SEGUNDO GRADO.docx
huayllanipalominoroc
 
Programa Analítico- Lenguajes-Ingles 3º (1).docx
SamanthaHdz4
 
MODULO I ENFERMERIA BASICA.pdf HIstoria en enfermeria
DIAZVERABRAJHANSTALY
 
Estadística Aplicada a la Psicología y Ciencias de la Salud Ccesa.pdf
Demetrio Ccesa Rayme
 
Jodorowsky, Alejandro - Manual de Psicomagia.pdf
ssuser48cd15
 
50000 mil words en inglés más usados.pdf
LucianoHernndez11
 
Lo que hacen los Mejores Profesores de la Universidad - Ken Bain Ccesa007.pdf
Demetrio Ccesa Rayme
 

Incidentes en Seguridad de la Información por Francisco Villegas Landin

  • 2. Incidentes en Seguridad de la Información ¿Qué hemos aprendido? Lic. Francisco Villegas Landin, Jefe de Oficina de Seguridad de la Información (CSO) Director Servicios de Seguridad, redIT (Metro Net) CISSP, ISSAP, CISA, CISM, CRISC, BS7799-LA, ITIL, IAM, IEM, enCE
  • 3. Agenda • Casos basados en hechos reales • Por confidencialidad los hechos y datos han sido alterados • Se asumen conocimientos técnicos de la audiencia
  • 5. Ataque de Anonymous • Dia 3, notificación en el Underground #Operacion del ataque • A marchas forzadas, el día 5 del mes se arranca una operación de contención y erradicación con el cliente • Un fenómeno natural detiene el ataque • Anonymous ataco en 4 ocasiones • El incidente DDoS a las 12:00 por 3 horas, el segundo por 2 horas y los otros dos siguientes por una hora • Se declaro por terminado el incidente el tercer día a las 12:00 horas
  • 6. Estrategia de la Operación Obtener la mayor cantidad de información posible sobre la naturaleza del incidente. En la medida de lo posible, contener o prevenir la propagación del daño causado por el incidente. Reparar o coordinar la reparación del daño causado por el incidente. Restaurar los servicios tan pronto sea posible. Preservar la evidencia del incidente. Asegurar que el incidente fuera apropiadamente reportado y escalado. Tomar las medidas proactivas necesarias para mitigar incidentes futuros.
  • 7. Oportunidades en la preparación… • No conocíamos a todos los involucrados (no había directorio) • No contamos con el inventario de infraestructura de TI • No contamos con el análisis de vulnerabilidades de toda la infraestructura de Internet • No pudimos hacer un cruce de infraestructura contra vulnerabilidades – estuvimos prácticamente a “ciegas” • En prácticamente 12 horas se estableció un “war room”
  • 8. Factores Críticos de Exito… • Establecimos un pequeño laboratorio y probamos los vectores de ataque • Nuestro equipo de especialistas mediante “spoof” en el “underground” encontramos los patrones de los principales vectores de ataque • Tomamos la decisión de pedir al carrier que bloquearan las redes de países con los que el cliente no tiene negocio y que eran posibles fuentes de ataque • Bajamos el umbral de peticiones aceptadas por el firewall. • En línea estuvimos bloqueando fuentes de ataque con el IPS
  • 9. ¿que aprendimos? Liderazgo / Coordinación / Colaboración y Trabajo en equipo Involucrar y que participen de todas las áreas de la Organización Conocer la infraestructura de IT (Inventario Actualizado) No responder, ni lanzar ataques Establecer un equipo y proceso de respuesta a incidentes Establecer un proceso de administración de la seguridad (vulnerabilidades) Monitoreo Continuo de la operación 7x24
  • 10. Caso – Robo de Identidad • Origen: Crimen Organizado y personal interno • Destino: Javier, empresario • Incidente: Robo de 200 mil pesos por clonación de tarjeta de crédito • Impacto: Banco X determino que el incidente fue en la empresa de Javier, el perdió su dinero, no denuncio a las autoridades, despidió a las personas relacionadas. • El Banco lanzo una investigación interna sobre el proceso de impresión de tarjetas de crédito
  • 11. Caso – Robo de Identidad (2) • • • • Marzo 2012 - Denuncia del Banco y solicitud de apoyo Análisis en computadoras del usuario (3 Laptops) GSI Encase Forensics (Imagen Forense) Búsqueda – – – – – – Análisis de Bitácoras de Windows Código Malicioso Archivos Ocultos Usuarios, Correo, Navegación Web, Chat Revisión de los sistemas perimetrales (Firewall, Router) Revisión del servicio de correo electrónico «hosteado»
  • 12. Caso – Robo de Identidad (3) • Hallazgos del Caso - Evidencia – Correos Electrónicos de personal interno con comunicación relacionada hacia cuentas de correo externo – Cache del Explorador con URL’s de Google y Hotmail con direcciones de correo – Conversaciones de MSN relacionadas – Direcciones IP de Origen y Destino – Imágenes de Credencial de Elector de la victima – Archivos PDF con comprobantes de domicilio
  • 13. Caso – Robo de Identidad (4) • Lección aprendida – En un proceso de cómputo forense debe buscarse por evidencia electrónica contundente e irrefutable que indique al menos que y como sucedió, cuando sucedió y quién lo hizo
  • 14. Caso – Acceso no autorizado • Origen: Personal Interno • Destino: Miguel, Director General de área • Incidente: Acceso no autorizado a 5 equipos de colaboradores e inclusive a su máquina y extracción de documento crítico • Impacto: Acceso a documentos confidenciales y a información personal para toma de decisiones sobre compra de empresas • La organización despidió a la persona involucrada que ejecuto el incidente, y también a los autores intelectuales (otro Director)
  • 15. Caso – Acceso no autorizado (2) • • • • Agosto 2012 - Denuncia del Cliente y solicitud de apoyo Análisis en computadoras del usuario (5 Laptops) GSI Encase Forensics (Imagen Forense) Búsqueda – – – – – – – Análisis de Bitácoras de Windows Código Malicioso Archivos Ocultos Usuarios, Correo, Navegación Web, Chat Revisión de los sistemas perimetrales (Firewall, Router) Revisión del servicio de correo electrónico «hosteado» Revisión del Filtrado Web
  • 16. Caso – Acceso no autorizado (2) • Hallazgos del Caso - Evidencia – Windows no deja evidencia de copias – Evidencia de logons Exitosos «Anonymous Logon» – Dirección IP de Origen y «Hostname» que realizo los accesos – No se encontró nada más en la computadora • No había forma de relacionar los «anonymous logon» con la evidencia en el equipo ni con la copia del archivo. • Pensé en buscar por evidencia en el sistema de Filtrado URL – Se encontró evidencia de navegación del «Hostname» en el filtrado con direcciones IP y se – Se relaciono los horarios de acceso con el log del Sistema de filtrado, donde el proxy requería autenticación. – La persona que lo ejecuto dio su user y su password para salir a internet.
  • 17. Caso – Acceso no autorizado (3) • Lección aprendida – No necesariamente la evidencia hallada en un sistema de computo nos llevará a la resolución de un caso, habrá que buscar en el «Ecosistema» en su totalidad
  • 18. Caso – Robo de Efectivo • • • • • Origen: Personal Interno y Hacker Destino: Banco Y, Sucursal Z Incidente: Robo de dinero Impacto: Pérdida de 500,000 mil pesos La organización despidió a la persona involucrada y demando penalmente a los involucrados (el hacker y el ex empleado), a la fecha el proceso sigue, uno esta en la cárcel sin sentencia y el otro esta en proceso pero en su casa, no se logro identificar al tercero.
  • 19. Caso – Robo de Efectivo (2) • Oct 2010 – Llamada del Cliente y solicitud de apoyo • Alerta del Sistema Antifraudes del Banco por extracción de efectivo • Se asistió al sitio • Revisión en vivo (GSI Encase Portable) • Búsqueda – – – – Análisis de Bitácoras de Windows Código Malicioso Ejecución de Procesos Revisión de Memoria
  • 20. Caso – Robo de Efectivo (3) • Hallazgos del Caso - Evidencia – Archivos Abiertos y ejecutados – Montaje de USB y Lectura de DVD – Horarios Ejecución de Programas • Observe el «ambiente» había una cámara de videograbación • Solicite revisar videos (de las 14:00 a las 14:30) – En el video aparecía el Gerente de la Sucursal, hablando por teléfono celular, fumando y montando el CD-ROM en el dispensador – Con la evidencia electrónica y el video se «presiono» al ex-empleado – Se observa como saca el dinero y lo guarda – Se observa a un tercero que recoge el dinero (no se logra identificar)
  • 21. Caso – Robo de Efectivo (4) • Lección aprendida – Hay que relacionar hechos del entorno «físico» con los del entorno «digital» como son horarios y controles de seguridad física, ejemplo, controles de acceso «tarjetas, registros bitácoras manuales, cámaras de vídeo» – En este caso la evidencia contundente fue la videograbación y el sustento fue la actividad de la persona en la computadora.
  • 22. ¿PREGUNTAS? Lic. Francisco Villegas Landin, Jefe de Oficina de Seguridad de la Información (CSO) Director Servicios de Seguridad, redIT (Metro Net) CISSP, ISSAP, CISA, CISM, CRISC, BS7799-LA, ITIL, IAM, IEM, enCE