Por séptimo año consecutivo vamos a impartir otra vez el Curso de Informática Forense y Peritajes Informáticos.

Como en las últimas convocatorias, el curso seguirá una mecánica semipresencial. Utilizaremos una mecánica tarde viernes/mañana sábado dos veces. Así, además de compatible con la actividad profesional, es más razonable para la gente que viene de fuera de Málaga. También es posible sustituir los días de presencialidad por actividades sustitutivas, realizándolo así en teleformación.

Como novedad de este año, los alumnos del curso podrán adquirir de forma presencial mi libro en formato de tapa blanda «Pentesting con Kali» con un 30% de descuento: 20 euros, frente a los 29.90 euros de precio de cubierta. Además, los que adquieran el libro también pueden inscribirse en mi «servicio de suscripción perpetua» del libro: cualquier edición futura de este libro, cualquier actualización, o cualquier aplicación que haga del libro se la mandaré en PDF al correo que me faciliten. Kali es una herramienta clave para la informática forense, y además explico en el libro cómo calcular el precio de los servicios profesionales, lo que es algo que siempre me preguntan en los cursos.

Volviendo al curso.

Las clases serán el viernes 24 de Noviembre de 17:30 a 21:30, Sábado 25 de Noviembre 10:00 a 13:00, Viernes 1 de Diciembre de 17:30 a 21:30 y Sábado 2 de Diciembre 10:00 a 13:00. El resto del tiempo, hasta completar las 25 horas, será no presencial. Eso no quita que si alguien no puede acudir algún día, es posible sustituir la presencialidad de ese día por una tarea sustitutiva para obtener el certificado de aprovechamiento. (Aunque es importante recordar que el curso es semipresencial, y que personalmente creo que aprenderás más yendo todos los días al curso)

En el curso también se hablará de la norma UNE de peritajes informáticos, publicada el 9 de septiembre del 2015; por lo que es de los primeros cursos que imparte la norma UNE 197010:2015 «Criterios generales para la elaboración de informes y dictámenes periciales sobre Tecnologías de la Información y las Comunicaciones (TIC)» como parte de temario. No repartiré la norma -es ilegal-, pero sí la explicaré hasta el grado de detalle suficiente como para poder realizar solo con lo aprendido en el curso una pericia según norma.

Diploma emitido por la Universidad de Málaga

Esto es interesante para los colegiados en el Colegio Profesional de Ingeniería en Informática de Andalucía: permite acceder al turno de actuación profesional, y en las pericias que visemos en el colegio y que cumplan la norma lo especificaremos en el visado -las que no cumplan norma, no pondrá nada al respecto-; y puede ser útil por lo tanto conocer la norma.

Descripción

El objetivo de este curso es formar a una persona con conocimientos suficientes de informática en la mecánica propia de la informática forense; cómo poner mecanismos de detección temprana en intrusos de sistemas informáticos, cómo poner señuelos para distraerles y que ataquen a falsas vulnerabilidades mientras se recoge información, cómo manipular un sistema informático comprometido para no destruir las evidencias, y en cómo redactar un informe pericial. Nos centraremos en un enfoque de realización de las pericias según la norma UNE 197010:2015.

Programa:

• La pericia informática.

• El marco legal de las pericias informáticas.
• El perito informático. Deberes y responsabilidades.
• Redacción de informes periciales informáticos.
• El reglamento de listas de peritos del Colegio Profesional de Ingenieros en Informática de Andalucía.
• La norma UNE 197010:2015 de peritajes TIC.

• La informática forense.

• Preservación de la prueba digital.
• Cómo actuar ante intrusiones y conservar las evidencias.
• Señuelos: honeypots y honeynets.

Las clases presenciales irán sobre temas concretos, que serán:

Viernes 24 de Noviembre: El perito informático.

Este día hablaré de la figura del perito informático. También de cómo funcionan los procesos penales, de los órdenes del derecho, y del perito de parte y perito de tribunal. Comentaré el reglamento de peritajes del CPIIA. Este es el día más importante de todos; por lo que recomiendo encarecidamente la asistencia este día.

La asistencia a este día la veo tan importante, que si planeas no asistir, te ruego contactes conmigo antes de matricularte en el curso, ya que la actividad que reemplaza la asistencia a este día será específica, y dependerá de tu perfil formativo y experiencia profesional: no es lo mismo un abogado en ejercicio, que un estudiante de primer año de grado, de cara a enfocar con la seriedad y la formalidad mínima defender una pericia en un juicio. Hacer el tonto en un tribunal te puede llevar a la cárcel varios años, y este es el día que te diré qué es «hacer el tonto en un tribunal», y cómo no hacerlo.

Sábado 25 de Noviembre: Redacción de informes periciales informáticos según norma UNE 197010:2015

Este día comentaré cómo se hace una buena pericia, y los defectos que tienen las malas pericias. También comentaré las pericias que nos encontraremos con más frecuencia en la vida profesional, y cómo resolverlas. Nos centraremos en la norma UNE 197010:2015 «Criterios generales para la elaboración de informes y dictámenes periciales sobre Tecnologías de la Información y las Comunicaciones (TIC)»

La asistencia a este día se puede sustituir por obtener al menos una nota de 5 en una de las pericias propuestas como ejercicio en esta sección. En caso de asistencia la realización de las pericias de esta sección no es obligatoria, pero sí recomendable.

Viernes 1 de Diciembre: Las pericias informáticas

Este día comentaré las pericias que nos encontraremos con más frecuencia en la vida profesional, y cómo resolverlas que no dio tiempo de impartir el día anterior. Hablaremos de cómo facturar las pericias, y de tasación de equipos informáticos.

La asistencia a este día se puede sustituir por obtener al menos una nota de 5 en una de las pericias propuestas como ejercicio en esta sección. En caso de asistencia la realización de las pericias de esta sección no es obligatoria, pero sí recomendable.

Sábado 2 de Diciembre: Informática forense

Este día analizaremos la problemática específica de la informática forense, desde un punto de vista profesional. Porqué es complicada. Aquello que es transferible del principio de Locard a la informática forense, y qué no lo es. Cómo actuar ante una intrusión. Hablaremos de los honeypots, las honeynets, y de la privacidad en la red. Hablaremos también de Kali, que es mi herramienta preferida -y una de las más utilizadas- para informática forense.

La asistencia a este día se puede sustituir por obtener al menos una nota de 5 en la pericia propuesta como ejercicio en esta sección. En caso de asistencia la realización de las pericias de esta sección no es obligatoria, pero sí recomendable.

En teleformación se realizará una pericia de prueba.

Algunas cosas más que son importantes:

Lugar: E.T.S.I. Informática, aula por determinar
Fecha y horario: Viernes 24 de Noviembre, Sábado 25 de Noviembre, Viernes 1 de Diciembre, Sábado 2 de Diciembre. Los Viernes de 17:30 a 21:30, los Sábados de 10:00 a 13:00.
Matriculación: https://www.uma.es/vrue/formacion_fguma.html

Si formas parte de la comunidad universitaria de la Universidad de Málaga, el precio es de 50€. Si eres colegiado en el Colegio Profesional de Ingenieros en Informática, el precio será de 50€. En otro caso, es de 70€.

El curso es de 25 horas; si eres de la Universidad de Málaga, puedes solicitar hasta dos créditos de libre configuración para los títulos antiguos en extinción, o un crédito ECTS en los nuevos grados. Pregunta en la secretaría de tu centro por el criterio de créditos de libre configuración.

Las últimas 24 horas han sido incesantes las noticias sobre el problema de seguridad que ha padecido Telefónica. Para variar, los medios de comunicación cuentan historias rarísimas -por ser diplomático-, por lo que vamos a contestar algunas de las preguntas que más se escuchan.

¿Qué es el Ransomware? Un programa que cuando se instala en tu ordenador, dice que te cifra los datos, y dice que si pagas alguna cantidad -actualmente, mediante bitcoins-, te dice cómo descifrar los datos.

¿El Ransomware cifra realmente los datos? Depende. Hay ransomware que dice que cifra los datos, pero no hace nada, apenas pone la pantalla para asustarte. Hay ransomware que dice que cifra los datos, pero solo renombra los archivos. Hay ransomware que dice que cifra los datos, pero realmente los sobreescribe con valores al azar, por lo que los datos no son recuperables. Y, por supuesto, hay ransomware que realmente cifra los datos.

Si pago, ¿Recuperaré mis datos? Depende. A veces los datos realmente se han reescrito, y no son recuperables. A veces no te dan la clave.

Si no pago, ¿Recuperaré mis datos? Depende. Algunos ransomware, una persona que realmente sabe puede encontrar la clave. En otros, los datos no son recuperables, o la clave no puede ser encontrada en tiempo razonable. La forma de evitar el problema, en cualquier caso, no es llegar a este punto, sino emplear las medidas de prevención. Siempre es mejor prevenir caerte desde un décimo piso que intentar recuperarte desde una caída desde un décimo piso.

¿Que es eso del bitcoin? Es una moneda -al menos, así lo ha dicho la Unión Europea, principalmente para aplicar a los que cambian bitcoins a título particular el «tratamiento legal» de los particulares que cambian monedas fuera del control del estado-. Para Hacienda, para unas cosas es una moneda, y para otras, no es una moneda. Por regla general, para el estado es moneda si así le beneficia o te perjudica, y no es moneda si así le beneficia o te perjudica. Antiguamente las monedas estaban respaldadas por un bien tangible -patrón oro o patrón plata-. Después el estado pasó a ser el respaldo de las monedas. Después se creó el sistema de reserva fraccionaria, por el que los bancos «generan dinero» -la explicación es complicada, y da para post-. El bitcoin no soporta reserva fraccionaria, y en lugar de estar respaldado por un estado, está respaldado por un algoritmo matemático. De cualquier forma, moneda entre dos personas es lo que acepten de común acuerdo, sean euros, bitcoins, o latas de atún.

¿El bitcoin es una moneda exclusiva de criminales? No. El bitcoin intenta crear una economía paralela, que los estados y los bancos no puedan manipular. Está más relacionada con los movimientos liberales y libertarios que con el cibercrimen. Personalmente yo pago a algunos proveedores con bitcoins -aunque eso me da dolores de cabeza de cara a Hacienda-, y la única razón por la que no ofrezco el que se me abonen mis honorarios en Bitcoins es que la hacienda española ya se ha encargado de que la experiencia sea lo suficientemente dolorosa como para desincentivarlo. Hay mercados paralelos dónde se puede comprar de todo; como puedan ser BitcoinLuxury -cosas de lujo- o artesanía, segunda mano y electrónica de consumo -Bazaar Hound-. Evidentemente que hay mercados para comprar droga y armas con bitcoins. Pero te voy a contar un secreto: es más fácil e inmediato comprar droga y armas con euros que con bitcoins.

El bitcoin es secreto y no trazable. No. De hecho, el bitcoin tiene una trazabilidad superior al de las monedas restantes; dado que la blockchain almacena un histórico de todas las transacciones realizadas desde que nació el bitcoin. De hecho, puedes comprobar en vivo cuantos han pagado por el ransomware que ha afectado a Telefónica, de dónde viene el dinero y a dónde va, aquí:

https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

Aquí:

https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Y aquí:

https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

En las fechas en la que se escribe esto, la primera dirección recibió algo más de 8000 pavos, la segunda algo más de 3000, y la tercera algo más de 7000 pavos.

El bitcoin es más trazable que una transferencia bancaria. El anonimato se rompe en el momento que los estados controlan el cambio de bitcoin a moneda estatal, y viceversa -y te aseguro que lo controlan, solo intenta comprar legalmente bitcoins y verás que todo el proceso de verificación de identidad; la compra de bitcoins a particulares es ilegal en Europa-. La ventaja del bitcoin es que para mover dinero de forma anónima vía sistema bancario tienes que tener mucha pasta; aunque entonces sí se puede hacer de forma completamente anónima. El bitcoin permite mover dinero de forma discreta, e incluso anónima, para cantidades muy pequeñas. Da una pseudoanonimicidad que permite realizar compras y ventas con un control estatal análogo al del dinero en efectivo, pero a distancia.

Quiero pagar el rescate. ¿Cómo compro bitcoins? Personalmente cuando quiero comprar Bitcoins utilizo Bitpanda. Es una casa de cambio alemana que veo bastante seria. No estoy afiliado a Bitpanda ni tengo más relación con ellos que utilizarlos para comprar legalmente bitcoins, y si mañana se quedan con todo tu dinero, no me vengas a llorar. Haz los deberes, y busca tu proveedor si no te inspira confianza.

¿Me recomiendas pagar el rescate? A priori, no. La verdad. Incluso pagando puedes no recuperar tus datos. De cualquier forma, es tu dinero. Si ya has metido la pata no haciendo «los deberes» -más sobre eso más tarde-, ya en el barrizal vas a tener mala solución si una persona capacitada no puede recuperar tus datos.

El ataque a Telefónica, ¿En qué ha consistido? A ordenadores internos con Windows les ha entrado el ransomware WannaCry. O pagan, o pierden esos datos. Dado que según se cuenta el total asciende a más de 600000 euros, en las fechas en las que escribo esto no ha sido pagado el rescate, como muestran las transacciones en bitcoins.

He escuchado que había un hacker famoso, con gorro de lana, que estaba de vacaciones durante el ataque, y que es responsable del fallo de seguridad. ¿Qué hay de cierto en eso? Creerse las noticias de los medios de comunicación no suele llevar a buen puerto. El hacker con gorro de lana se llama Chema Alonso. No lo conozco personalmente de nada, no he tenido contacto con él. De hecho, me lo «contraprogramaron» los de la FGUMA a mi último curso de Auditoría Informática. Con esto quiero dejar claro que no estoy «protegiendo a un amigo/colega». Telefónica tampoco es precisamente santo de mi devoción. Pero la verdad es la que es, la diga Agamenón o su porquero.

Chema Alonso es una persona extremadamente capacitada, que ha hecho aportes indudables a la seguridad informática, tales como Foca o su sistema de Latches. El hecho de que esta movida le haya pillado de vacaciones, currando en su mesa de trabajo, o tomándose un bocata de panceta es intrascendente; porque su trabajo no es definir las políticas de seguridad internas de Telefónica. No se le puede pedir a una persona, por mucho que sepa, que su mera presencia permee de su conocimiento a toda una multinacional, especialmente a una multinacional tan «peculiar» como Telefónica. Su cargo en teoría es «CDO». Pero viendo que está de «sarao» en «sarao», tengo serias sospechas de que le compraron la empresa y le pusieron en ese cargo porque formó parte de la negociación, pero realmente es, por decirlo diplomáticamente «embajador de Telefónica». Dudo que estando (casi) todos los días en saraos públicos «representado» a Telefónica realmente tenga mucho mando en plaza. Esta, de cualquier forma, es mi opinión personal.

Por otro lado, si realmente Chema Alonso tiene mando en plaza y su función es definir las políticas de seguridad internas de Telefónica, entonces sí es responsable de una metedura de pata. Haya estado en ese momento en la oficina, o de vacaciones.

¿Podía haber evitado Telefónica el problema? Si. Con la política de seguridad adecuada. Que no ha sido el caso.

Soy usuario de Linux. ¿Me puede entrar el WannaCry? No.

Soy usuario de MacOS X. ¿Me puede entrar el WannaCry? No.

Soy usuario de Windows y tengo el sistema operativo actualizado. ¿Me puede entrar el WannaCry? No.

Soy usuario de OpenBSD. ¿Me puede entrar ransomware? Eres un cachondo con ganas de guasa. Deja de restregarnos que cuando OpenBSD tiene un constipado en seguridad, el resto de los sistemas operativos padecen pulmonía. ;)

Soy usuario de Linux/FreeBSD. ¿Me puede entrar ransomware? Depende. Hay muy, muy poco ransomware para Linux. El poco que hay, corresponde a ataques dirigidos a servidores, habitualmente CMS y ERPs. Si utilizas solo un escritorio Linux, es probable que jamás tengas problemas con el ransomware, y teniendo actualizado el sistema y una política de backups adecuada, puedes estar tranquilo. Si tienes un servidor Linux, puedes ser blanco de un ataque dirigido, que cifre la base de datos. Para evitarlo, debes reforzar la seguridad de tu servidor, aplicar las actualizaciones, especialmente las del CMS o del ERP, y por supuesto, tener backups diarios de la base de datos.

Soy usuario de MacOS X. ¿Me puede entrar ransomware? Hay mas ransomware para MacOS X que para Linux, pero lo hay. Incluso para escritorio. Tanto del direccional, como del no direccional, que se transmite a través de spam o programas descargados de Internet. Mantén actualizado el sistema, no utilices MacOS X como servidor CMS, y asegúrate de tener una buena política de backups y de seguridad.

Soy usuario de Windows. ¿Me puede entrar el ransomware? La mayor parte del ransomware no direccional es para Windows. Tenemos ransomware direccional, ransomware que se transmite por spam, por programas descargados de Internet, por USB pinchados, como un virus… ponle un nombre a la idea, y es un vector de ransomware. La política de seguridad aquí es vital: mantén actualizado el sistema, instala un buen antivirus, limita la exposición de máquinas Windows como servidores en Internet, y ten una muy buena política de seguridad. Es una buena idea si manejas datos críticos utilizar entornos híbridos para controlar las infecciones. Por ejemplo, utiliza FreeBSD o Linux como servidor de ficheros. Utiliza en el servidor de ficheros sistemas como ZFS, que permiten sacar snapshots con un mínimo de espacio y poca pérdida de rendimiento. La arquitectura de tu sistema es fundamental.

¿Cual es la mejor medida contra el ransomware? El backup. Sin duda, y con diferencia. Una buena política de backup es clave para la supervivencia a un incidente de esta naturaleza. Y mejor prevenir que curar: ten siempre actualizado todo el software que utilices, y ten cuidado con las descargas que ejecutas y con los adjuntos de correo electrónico que abres. Si utilizas Windows, deberías tener un antivirus razonable.

¿Unas palabras finales? La seguridad es un tema muy complicado. Aquí no vale el «nephew art», aquí ya es sabiendo y te la pueden colar, si no sabes lo que estás haciendo estás vendido. Es muy importante buscar asesoramiento de personas con formación y experiencia. Que te asesoren buenos profesionales -haberlos, haylos-. Es muy importante tener en cuenta que la seguridad es una propiedad de los procesos de los sistemas de información, no apenas comprar un firewall caro o reforzar la seguridad de un servidor. Vas a perder más dinero por ignorar el problema que por afrontarlo. La clave es un análisis previo de riesgos, desarrollar planes de contingencia, y comenzar a solucionar aquellos problemas cuya esperanza matemática -es decir, el coste de la desgracia por la probabilidad que ocurra- sea superior al precio del arreglo, ordenado de más esperanza matemática a menos esperanza matemática. La seguridad es un proceso formal, serio, que debe ser afrontado como se afronta la calidad de producto o la seguridad física de los trabajadores. Esto no te lo va a arreglar ni la gran consultora, ni un juaquer con camisa de Iron Maiden, te lo va a arreglar tu compromiso como particular o como empresa, aunque luego utilices asesores o auditores para aquello que desconozcas. Seguridad informática es plantearte los procesos informáticos, desde compra y subcontratación a contratación de personal, pasando por la gestión de la información y muchas decisiones teniendo en cuenta que la información es un activo valioso, y que te la pueden robar o dañar con facilidad si no tienes el cuidado adecuado.

El año pasado impartí por primera vez un curso que me habían estado solicitando desde hace años: un curso más técnico, de herramientas de informática forense y tests de penetración. El curso fue un éxito, se llenó enseguida y muchas personas se quedaron fuera aunque manifestaron su interés en matricularse. Dada su naturaleza de semipresencial, sin embargo, la capacidad de impartirlo a más de 40 personas por año era limitada; por lo que lo replanteé como un curso de teleformación pura.

La idea detrás de este curso es continuar dónde me quedo en el curso de informática forense y peritajes informáticos; y centrarnos de entrada en las herramientas en sí. Es, por lo tanto, un curso completamente práctico dónde aprenderemos el uso de las herramientas más comunes para realizar análisis forense de equipos informáticos y tests de penetración.

Los tests de penetración corresponden con auditorías de seguridad proactivas, en las que el auditor analiza la seguridad de un sistema verificando in situ si el sistema es vulnerable. Para ello, después de la firma de los respectivos contratos y autorizaciones, el auditor ataca la infraestructura de red y los servidores con objeto de validar si son vulnerables a ataques concretos conocidos por la comunidad de seguridad.

Este curso, por lo tanto, es sinérgico tanto con el curso de informática forense y peritajes informáticos -en el que nos centramos en cómo obtener, escribir y presentar la evidencia digital ante un tribunal- y el curso de auditoría informática -dónde nos centramos en validar la conformidad de un sistema informático respecto a una norma-. Aunque estará planteado para que se pueda cursar por separado respecto a los otros cursos que imparto, es el complemento ideal para los que ya han estudiado alguno de los otros cursos que imparto.

A diferencia de los otros cursos que imparto, que pueden ser seguidos por personas que no son necesariamente de la informática, este va a ser un curso técnico, que tiene requisitos básicos de conocimientos. Para poder seguir este curso es fundamental tener conocimientos instrumentales de Linux. Con conocimientos básicos de cualquier otro sabor de Unix y ganas de aprender también es posible aprovechar el curso.

El temario completo del curso será:

Fases de una instrusión.
La distribución de Linux Kali.
Recogida de información inicial con Kali.
Análisis básico de vulnerabilidades.
Ataques a contraseñas.
Auditorías a redes Wifi, ataques a redes Wifi.
Auditorías a aplicaciones web, ataques a aplicaciones web.
Exploits.
Metasploit: conceptos y comandos.
Análisis forense con Kali.

La Universidad de Málaga convalida dos créditos de libre configuración por curso para los alumnos de titulaciones de plan antiguo, y un crédito ETCS para los de plan nuevo (grados) . El curso costará 50€ a alumnos de la Universidad de Málaga, y 70€ a alumnos del curso que no pertenezcan a la UMA. La matriculación, por lo tanto, está abierta a gente de todo el mundo, y quizás os interese el curso.

Con el curso te llevas su documentación: un manual propio, en formato PDF, práctico, con más de doscientas páginas en A4 de documentación original sobre Kali y sus herramientas.

Si tienes interés en saber como es el material, mándame tu nombre, tus apellidos, y tu correo electrónico, y te mandaré un par de capítulos y unas hojas del curso de ejemplo, para que veas la calidad del material y decidas si te interesa o no el curso. El correo es irbis arroba orcero.org, cambia el «arroba» por el signo @ para obtener el correo.

La matriculación puedes hacerla aquí: Curso de informática forense y tests de penetración. Si estás con dudas, te recomiendo que preguntes a otros alumnos sobre los otros cursos que han realizado conmigo (este mismo en formato semipresencial, el de LaTeX, el de C, el de informática forense, o el de Perl) y que te cuenten cómo les ha ido.

Además de este curso, también oferto otro curso de teleformación sobre LaTeX: curso de LaTeX.