Anàlisi Forense Informàtic (Mòdul 5024)
Proposta didàctica
En aquest mòdul treballem el resultat d'aprenentatge principal: Aplica metodologies d'anàlisi forense digital caracteritzant les fases de preservació, adquisició, anàlisi i documentació, realitzant anàlisis en dispositius mòbils, Cloud i IoT, i elaborant informes pericials.
El mòdul professional 5024 - Anàlisi Forense Informàtic té una càrrega lectiva de 99 hores i es divideix en cinc grans blocs temàtics que cobreixen tota la disciplina forense digital: des de la metodologia general fins a l'elaboració d'informes pericials, passant per l'anàlisi en dispositius mòbils, entorns Cloud i dispositius IoT.
La informàtica forense, o computer forensics, és la ciència que s'encarrega de recollir, preservar, analitzar i presentar evidències digitals de manera que siguin admissibles davant d'un tribunal. No es tracta únicament d'una disciplina tècnica: és una disciplina que combina rigor metodològic, coneixement legal i habilitats tècniques avançades. Un error en la recollida d'evidències pot invalida tota una investigació penal.
Criteris d'avaluació
Bloc RA1: Metodologia forense general
-
CA1.1 Identifica dispositius a analitzar per preservar evidències.
-
CA1.2 Utilitza eines d'adquisició i extracció d'evidències.
-
CA1.3 Assegura l'escena i conserva la cadena de custòdia.
-
CA1.4 Documenta el procés metòdicament.
-
CA1.5 Considera la línia temporal de les evidències.
-
CA1.6 Elabora informe de conclusions tècnic i executiu.
-
CA1.7 Presenta i exposa conclusions.
Bloc RA2: Forense en dispositius mòbils
-
CA2.1 Presa d'evidències en dispositiu mòbil.
-
CA2.2 Extracció, descodificació i anàlisi de proves en dispositiu mòbil.
-
CA2.3 Genera informes de dades de dispositiu mòbil.
-
CA2.4 Presenta conclusions del forense mòbil.
Bloc RA3: Forense en Cloud
-
CA3.1 Estableix una estratègia forense en entorns Cloud.
-
CA3.2 Identifica causes, abast i impacte d'incidents en Cloud.
-
CA3.3 Aplica les fases de l'anàlisi forense en Cloud.
-
CA3.4 Comprèn les característiques del núvol (elasticitat, ubiqüitat, volatilitat).
-
CA3.5 Aplica requeriments legals RGPD/NIS en investigacions Cloud.
-
CA3.6 Presenta conclusions de l'anàlisi forense en Cloud.
Bloc RA4: Forense en IoT
-
CA4.1 Identifica dispositius IoT a analitzar.
-
CA4.2 Realitza adquisició d'evidències en dispositius IoT.
-
CA4.3 Garanteix l'autenticitat de les evidències IoT.
-
CA4.4 Realitza anàlisi manual i automàtica d'evidències IoT.
-
CA4.5 Documenta el procés forense en IoT.
-
CA4.6 Considera la línia temporal de les evidències IoT.
-
CA4.7 Garanteix la cadena de custòdia en investigacions IoT.
-
CA4.8 Elabora l'informe forense en IoT.
-
CA4.9 Presenta conclusions de l'anàlisi forense en IoT.
Bloc RA5: Documentació i informes pericials
-
CA5.1 Defineix l'objectiu de l'informe pericial.
-
CA5.2 Defineix l'àmbit d'aplicació de l'informe.
-
CA5.3 Documenta els antecedents del cas.
-
CA5.4 Recopila les normes legals aplicades a la investigació.
-
CA5.5 Recull i documenta els requisits del client.
-
CA5.6 Inclou conclusions tècniques i la seva justificació.
Continguts de referència
-
Metodologia d'anàlisi forense general
- 1.1 Principis forenses: admissibilitat, autenticitat, completesa i fiabilitat
- 1.2 La regla d'or: no alterar mai l'original
- 1.3 Fases del procés forense: Identificació, Preservació, Adquisició, Anàlisi, Presentació
- 1.4 Escenes del crim digital: evidències volàtils i no volàtils
- 1.5 Cadena de custòdia: documentació, transferències i integritat
- 1.6 Verificació de la integritat: MD5, SHA-1, SHA-256
- 1.7 Eines d'adquisició: dd, dc3dd, FTK Imager, Guymager
- 1.8 Anàlisi de sistemes de fitxers: NTFS, Ext4, APFS
- 1.9 Autopsy i The Sleuth Kit
- 1.10 Volatility: anàlisi de memòria RAM
- 1.11 Anàlisi de logs i timeline
-
Forense en dispositius mòbils
- 2.1 Mètodes d'extracció: lògica, física, chip-off, JTAG
- 2.2 Eines: Cellebrite UFED, Magnet AXIOM, Andriller, ADB
- 2.3 Android forensics: ADB, estructura de fitxers, SQLite
- 2.4 iOS forensics: backups iTunes, iCloud, Keychain
- 2.5 Xifrat de dispositius i els seus reptes
- 2.6 Artefactes: registres de trucades, missatges, ubicacions
-
Forense en entorns Cloud
- 3.1 Reptes del Cloud Forensics: volatilitat, multi-jurisdicció, multi-tenancy
- 3.2 Models de servei (IaaS, PaaS, SaaS) i implicacions forenses
- 3.3 AWS Forensics: CloudTrail, S3 logs, VPC Flow Logs
- 3.4 Azure Forensics: Azure Monitor, Activity Logs, Sentinel
- 3.5 Google Cloud: Cloud Audit Logs, Security Command Center
- 3.6 Aspectes legals: RGPD, Directiva NIS, jurisdicció
-
Forense en dispositius IoT
- 4.1 Reptes del IoT Forensics: heterogeneïtat, limitació de recursos
- 4.2 Tipologia de dispositius IoT d'interès forense
- 4.3 Adquisició: captura de tràfic, extracció de firmware
- 4.4 Protocols IoT: MQTT, CoAP, Zigbee, Z-Wave
- 4.5 Anàlisi de firmware: binwalk, firmwalker
- 4.6 Casos reals: botnet Mirai, dispositius exposats a Shodan
-
Documentació i informes pericials
- 5.1 Estructura normativa d'un informe pericial
- 5.2 Diferència entre informe tècnic i informe executiu
- 5.3 Presentació oral i testimoni expert en judici
- 5.4 Marc legal: LOPDGDD, Codi Penal, proves digitals
- 5.5 Plantilles i bones pràctiques en la redacció d'informes
Questionari inicial
- Què és la informàtica forense i en quin context professional s'aplica?
- Quina és la diferència entre una evidència digital i un artefacte forense?
- Per què és tan important no modificar mai l'evidència original en una investigació forense?
- Explica el concepte de "cadena de custòdia" i per qué és clau per a l'admissibilitat judicial de les evidències.
- Quin és l'ordre de volatilitat de les evidències digitals? Posa exemples de cada tipus.
- Quin és el propòsit de generar un hash MD5 o SHA-256 d'una imatge forense?
- Quina diferència hi ha entre una còpia forense i una còpia normal d'un disc dur?
- Quines eines coneixes per a la creació d'imatges forenses de discos durs?
- Explica breument les fases d'un procés d'anàlisi forense digital (metodologia PRES).
- Què és Autopsy i per a qué s'utilitza en la informàtica forense?
- Qué és Volatility i quina mena d'evidències permet analitzar?
- Quins reptes específics presenta el forense en dispositius mòbils respecte al forense tradicional en ordinadors?
- Explica la diferència entre una extracció lògica i una extracció física en el forense mòbil.
- Quins reptes específics presenta la informàtica forense en entorns Cloud?
- Qué és un "write blocker" i per a qué s'utilitza en investigacions forenses?
- Quins tipus de dades es poden trobar en un dispositiu mòbil que siguin rellevants per a una investigació forense?
- Per qué el forense en dispositius IoT presenta reptes tècnics únics respecte a altres tipus de forense?
- Quins elements ha d'incloure obligatòriament un informe pericial per ser admissible en un procediment judicial?
- Quina legislació espanyola regula l'admissibilitat de les proves digitals en procediments judicials?
- En qué consistí l'atac del ransomware WannaCry de 2017 i quins reptes forenses va presentar per als investigadors?
Programació d'aula
El mòdul té una durada de 99 hores lectives distribuïdes en els cinc blocs temàtics al llarg del curs.
| Sessió | Continguts | Activitats | CAs Treballats |
|---|---|---|---|
| 1 | Presentació del mòdul. Introducció a la informàtica forense | ||
| 2 | Principis forenses: admissibilitat, autenticitat, completesa | CA1.1 | |
| 3 | La regla d'or i els write blockers | CA1.2, CA1.3 | |
| 4 | Ordre de volatilitat: RAM, xarxa, disc | CA1.1, CA1.5 | |
| 5 | Cadena de custòdia: concepte i documentació | CA1.3, CA1.4 | |
| 6 | Hash MD5 i SHA-256: verificació d'integritat | CA1.2, CA1.3 | |
| 7 | Eines d'adquisició: dd i dc3dd | Miniactivitat hash | CA1.2 |
| 8 | Eines d'adquisició: FTK Imager i Guymager | CA1.2 | |
| 9 | Sistemes de fitxers NTFS: $MFT, ADS, VSS | CA1.2, CA1.5 | |
| 10 | Sistemes de fitxers Ext4 i APFS | CA1.2 | |
| 11 | Autopsy: introducció i interfície | CA1.2, CA1.4 | |
| 12 | Autopsy: anàlisi de disc i recuperació d'arxius | CA1.2, CA1.5 | |
| 13 | Volatility: introducció i anàlisi de processos | CA1.2 | |
| 14 | Volatility: anàlisi de xarxa i artefactes de malware | CA1.2, CA1.5 | |
| 15 | Anàlisi de logs: Windows Event Log | CA1.5 | |
| 16 | Anàlisi de logs: syslog, auditd, journald | CA1.5 | |
| 17 | Timeline analysis: log2timeline i Plaso | CA1.5 | |
| 18 | Elaboració d'informes: estructura i contingut | CA1.6, CA1.7 | |
| 19-20 | Pràctica forense general: Autopsy | Pràctica PR5041 | CA1.1–CA1.7 |
| 21 | Introducció al forense mòbil | CA2.1 | |
| 22 | Mètodes d'extracció: lògica i física | CA2.1, CA2.2 | |
| 23 | Mètodes avançats: chip-off i JTAG | CA2.2 | |
| 24 | Android: estructura interna i ADB | CA2.2 | |
| 25 | Android: bases de dades SQLite d'aplicacions | Miniactivitat ADB | CA2.2 |
| 26 | iOS: backups d'iTunes i estructura | CA2.2 | |
| 27 | iOS: iCloud forensics i Keychain | CA2.2 | |
| 28 | Eines: Cellebrite UFED i Magnet AXIOM | CA2.2 | |
| 29 | Eines gratuïtes: Andriller, ALEAPP, iLEAPP | CA2.2 | |
| 30 | Xifrat de dispositius mòbils: FDE i FBE | CA2.2 | |
| 31 | Artefactes mòbils: WhatsApp, Telegram, correu | CA2.2, CA2.3 | |
| 32 | Artefactes de localització: GPS logs, geofencing | CA2.2, CA2.3 | |
| 33 | Redacció d'informes de forense mòbil | CA2.3, CA2.4 | |
| 34-36 | Pràctica forense mòbil: Android | Pràctica grupal | CA2.1–CA2.4 |
| 37-40 | Projecte bloc mòbil | Projecte | Tots CA2.x |
| 41 | Introducció al Cloud Forensics | CA3.1 | |
| 42 | Models IaaS, PaaS, SaaS: implicacions forenses | CA3.1, CA3.4 | |
| 43 | Reptes del Cloud: volatilitat i multi-jurisdicció | CA3.4 | |
| 44 | AWS Forensics: arquitectura i serveis | CA3.2, CA3.3 | |
| 45 | AWS CloudTrail: anàlisi de logs | Miniactivitat CloudTrail | CA3.2, CA3.3 |
| 46 | AWS VPC Flow Logs i GuardDuty | CA3.3 | |
| 47 | Azure Forensics: Monitor i Activity Logs | CA3.3 | |
| 48 | Azure Sentinel: investigació d'incidents | CA3.3 | |
| 49 | Google Cloud: Audit Logs i SCC | CA3.3 | |
| 50 | Aspectes legals Cloud: RGPD i NIS | CA3.5 | |
| 51 | Jurisdicció i sol·licituds legals a CSPs | CA3.5 | |
| 52 | Casos reals: breaches en AWS/Azure | CA3.2, CA3.6 | |
| 53-55 | Pràctica Cloud Forensics | Pràctica grupal | CA3.1–CA3.6 |
| 56-60 | Projecte bloc Cloud | Projecte | Tots CA3.x |
| 61 | Introducció al IoT Forensics | CA4.1 | |
| 62 | Tipus de dispositius IoT: routers, càmeres, wearables | CA4.1 | |
| 63 | ICS/SCADA: forense en infraestructures crítiques | CA4.1 | |
| 64 | Captura de tràfic IoT: Wireshark i tcpdump | Miniactivitat Wireshark | CA4.2 |
| 65 | Protocols IoT: MQTT, CoAP, anàlisi amb Wireshark | CA4.2, CA4.4 | |
| 66 | Protocols IoT: Zigbee, Z-Wave | CA4.2, CA4.4 | |
| 67 | Extracció de firmware: binwalk i firmwalker | CA4.2, CA4.4 | |
| 68 | Anàlisi de firmware: buscar credencials i backdoors | CA4.4 | |
| 69 | Artefactes IoT: fitxers de config, logs interns | CA4.4, CA4.5 | |
| 70 | Cas real: botnet Mirai | CA4.4, CA4.6 | |
| 71 | Cadena de custòdia IoT | CA4.3, CA4.7 | |
| 72 | Redacció d'informes IoT | CA4.8, CA4.9 | |
| 73-75 | Pràctica IoT Forensics | Pràctica grupal | CA4.1–CA4.9 |
| 76-80 | Projecte bloc IoT | Projecte | Tots CA4.x |
| 81 | Estructura de l'informe pericial: normativa | CA5.1, CA5.2 | |
| 82 | Full d'identificació i índex de la memòria | CA5.1 | |
| 83 | Objecte i àmbit: redacció professional | CA5.1, CA5.2 | |
| 84 | Antecedents i normes legals aplicables | CA5.3, CA5.4 | |
| 85 | Definicions, abreviatures i requisits del client | CA5.5 | |
| 86 | Anàlisi de solucions i conclusions tècniques | CA5.6 | |
| 87 | Annexos: captures, hash values, cadena de custòdia | CA5.6 | |
| 88 | Informe tècnic vs informe executiu | CA5.6 | |
| 89 | Presentació oral: estructura i tècniques | CA5.6 | |
| 90 | Testimoni expert en judici: aspectes pràctics | CA5.6 | |
| 91-93 | Pràctica elaboració d'informe pericial complet | Pràctica final | Tots CA5.x |
| 94-99 | Projecte final integrador | Projecte final | Tots |
Introducció al mòdul
Qu'és la informàtica forense?
La informàtica forense és la disciplina científica que aplica mètodes d'investigació sistemàtics per identificar, preservar, analitzar i presentar evidències digitals de manera que siguin legalment admissibles. El terme prové de la combinació de forensis (llatí: "del fòrum", és a dir, públic o judicial) i informàtica, i reflecteix el caràcter híbrid d'aquesta especialitat: tècnica en els mètodes i legal en els objectius.
El context d'aplicació és ampli. La informàtica forense s'utilitza en investigacions penals (frau informàtic, distribució de contingut il·legal, atacs a infraestructures), en litigis civils (disputa de propietat intel·lectual, acomiadaments laborals), en investigació corporativa interna (fuites d'informació, espionatge industrial) i en resposta a incidents de ciberseguretat. En tots els casos, el principi rector és el mateix: qualsevol acció que es realitzi sobre les evidències ha de ser defensable, repetible i documentada.
El cas del virus ILOVEYOU de l'any 2000 és un dels primers grans casos que va posar de manifest la necessitat d'una disciplina forense digital estructurada. El cuc es va propagar a través del correu electrònic, va infectar milions d'ordinadors en poques hores i va causar danys estimats en 10.000 milions de dòlars. La investigació posterior, que va permetre identificar els autors a les Filipines, va demostrar que les evidències digitals podien ser tan crucials com les físiques, però que calia saber com recollir-les i preservar-les adequadament.
Dècades més tard, la proliferació de dispositius digitals ha transformat radicalment el panorama forense. Avui, una investigació típica pot involucrar ordinadors portàtils, telèfons intel·ligents, tauletes, rellotges intel·ligents, vehicles connectats, electrodomèstics IoT, servidors en el núvol i xarxes de comunicació. Cada un d'aquests dispositius genera, emmagatzema i transmet dades que, en mans d'un investigador qualificat, poden reconstruir accions passades amb un nivell de detall sorprenent.
El procés forense: una visió general
La metodologia forense digital s'estructura en cinc fases seqüencials i interdependents. Saltar-se qualsevol d'aquestes fases, o realitzar-les en l'ordre incorrecte, pot comprometre la validesa legal de tota la investigació.
flowchart LR
A["1. Identificació\n─────────\nLocalitzar fonts\nd'evidències\npotencials"] --> B["2. Preservació\n─────────\nProtegir les\nevidències de\nalteracions"]
B --> C["3. Adquisició\n─────────\nCopiar les\nevidències de\nforma forense"]
C --> D["4. Anàlisi\n─────────\nExaminar i\nintrepretar les\ndades obtingudes"]
D --> E["5. Presentació\n─────────\nElaborar l'informe\ni exposar les\nconclusions"]
Identificació: En aquesta fase es determina quins dispositius i sistemes poden contenir evidències rellevants per a la investigació. L'investigador ha de tenir una comprensió clara dels fets que s'estan investigant per saber on buscar: un cas de frau financer portarà l'atenció cap als ordinadors de l'acusat i els servidors bancaris, mentre que un cas d'assetjament en línia se centrarà en dispositius mòbils i comptes de xarxes socials. En aquesta fase també es documenta l'estat inicial de l'escena, idealment amb fotografies i vídeos.
Preservació: Un cop identificades les fonts d'evidències, la prioritat absoluta és preservar-les en el seu estat actual. Això implica aïllar els dispositius de xarxes (per evitar l'esborrat remot), no iniciar ni apagar sistemes de manera precipitada (la RAM és volàtil i es perd en apagar), i embolcallar els dispositius en bosses antiestàtiques per al transport. La regla d'or és: no modificar mai les evidències originals.
Adquisició: L'adquisició és el procés de crear una còpia forense exacta de les evidències. A diferència d'una còpia normal, una còpia forense és una rèplica bit a bit de tot el dispositiu, incloent-hi els espais buits, els fitxers eliminats i les metadades del sistema de fitxers. Aquesta còpia s'utilitza per a tota l'anàlisi posterior, mentre que l'original es preserva intacte. La integritat de la còpia es verifica calculant el hash criptogràfic (MD5 o SHA-256) tant de l'original com de la còpia.
Anàlisi: L'anàlisi és la fase intel·lectualment més exigent. L'investigador examina la còpia forense cercant evidències rellevants: fitxers eliminats recuperats, artefactes del sistema operatiu, historial de navegació, registres de xarxa, artefactes d'aplicacions, línies temporals d'activitat, etc. Eines com Autopsy, Volatility o plataformes comercials com FTK o EnCase faciliten aquesta tasca, però la interpretació dels resultats requereix coneixement profund dels sistemes analitzats.
Presentació: Els resultats de l'anàlisi es recullen en un informe pericial que ha de ser comprensible tant per a un perit tècnic com per a un jutge o jurat sense coneixements informàtics. L'informe ha de seguir una estructura formal, documentar tots els passos realitzats de manera que siguin reproduïbles, i presentar les conclusions de manera clara i ben justificada. En alguns casos, l'investigador haurà de defensar l'informe oralment davant d'un tribunal.
Marc legal de la informàtica forense a Espanya
El valor probatori de les evidències digitals
A Espanya, les evidències digitals es regeixen per la Llei d'Enjudiciament Criminal (LECrim), que estableix els requisits generals per a l'admissibilitat de les proves. Tanmateix, la normativa específica per a les proves electròniques és relativament recent i ha anat evolucionant a mesura que la tecnologia avança.
La Llei 59/2003 de Signatura Electrònica i la posterior Llei 6/2020 de Serveis de Confiança estableixen els requisits de validesa dels documents electrònics signats digitalment. Però el gruix de la normativa aplicable es troba en:
- El Codi Penal (LO 10/1995 i les seves modificacions), que tipifica els delictes informàtics (arts. 197 bis i ter, 264 i següents) i regula l'ús de proves digitals.
- La LOPDGDD (LO 3/2018), que transposa el RGPD al dret espanyol i estableix restriccions en el tractament de dades personals durant les investigacions.
- La Llei 34/2002 (LSSI-CE), que regula la conservació de dades per part dels proveïdors de serveis d'internet.
Risc legal: proves obtingudes il·lícitament
Qualsevol prova obtinguda vulnerant drets fonamentals (intimitat, secret de les comunicacions) és nul·la de ple dret i no pot ser admesa en judici. A Espanya, l'article 11.1 de la LOPJ estableix la teoria dels fruits de l'arbre enverinant: si la prova originalment obtinguda és nul·la, totes les proves derivades d'ella també ho són. Això significa que un investigador que accedeixi il·lícitament a un dispositiu no sols invalida les proves d'aquell dispositiu, sinó potencialment tota la investigació.
La cadena de custòdia com a garantia legal
La cadena de custòdia (chain of custody) és el registre cronològic i documentat de totes les persones que han tingut accés a les evidències, des de la seva recollida fins a la seva presentació en judici. No es tracta d'un simple tràmit burocràtic: és la garantia legal que les evidències presentades en judici no han estat alterades, contaminades o substituïdes.
Cadena de custòdia
Un trencament en la cadena de custòdia —per exemple, no documentar el trasllat d'un dispositiu d'un investigador a un laboratori— pot fer inadmissibles totes les proves obtingudes d'aquell dispositiu. En cas de judici, la defensa atacarà qualsevol esquerda en la cadena de custòdia per desacreditar les proves presentades per l'acusació.
Un document de cadena de custòdia ha d'incloure, com a mínim: - Descripció de l'evidència (marca, model, número de sèrie, estat visible) - Data, hora i lloc de recollida - Identitat de qui va recollir l'evidència - Cada transferència: qui lliura, qui rep, data, hora i signatura - Condicions d'emmagatzematge - Qualsevol acció realitzada sobre l'evidència (hash calculat, còpia realitzada, etc.)
Estructura del mòdul i recursos
Continguts teòrics
- Metodologia d'anàlisi forense
- Forense en dispositius mòbils
- Forense en entorns Cloud
- Forense en dispositius IoT
- Documentació i informes pericials
- Anàlisi forense de ransomware: reverse engineering
Pràctiques de laboratori
Rúbriques d'avaluació
Activitats i projectes
Activitats bàsiques
- AC5041. (RA1 // CA1.3, CA1.4) Elaboració d'un document de cadena de custòdia per a un cas hipotètic.
- AC5042. (RA1 // CA1.2, CA1.5) Creació d'una imatge forense amb
ddi verificació de la integritat amb SHA-256. - AC5043. (RA1 // CA1.5) Construcció d'una línia temporal d'un incident a partir de logs de sistema.
- AC5044. (RA2 // CA2.2) Extracció i anàlisi d'un backup d'Android amb eines de codi obert.
- AC5045. (RA2 // CA2.2) Anàlisi d'una base de dades SQLite d'una aplicació de missatgeria.
- AC5046. (RA3 // CA3.2, CA3.3) Anàlisi de logs de CloudTrail per identificar activitat sospitosa.
- AC5047. (RA4 // CA4.2, CA4.4) Captura i anàlisi del tràfic MQTT d'un dispositiu IoT simulat.
- AC5048. (RA5 // CA5.1–CA5.6) Redacció d'un informe pericial complet per a un cas d'estudi.
Pràctiques de laboratori
- PR5041. (RA1 // CA1.1–CA1.7) Anàlisi forense completa amb Autopsy i Sleuth Kit.
- PR5042. (RA1 // CA1.2, CA1.5) Anàlisi de memòria RAM amb Volatility 3 en Docker.
Projecte final integrador
- PF5041. Investigació forense completa d'un incident simulat: des de la preservació de l'escena fins a la presentació de l'informe pericial final, cobriant ordinador, dispositiu mòbil i entorn Cloud.