VOLVER

De los metadatos al tribunal: reconstrucción forense de una exfiltración de datos por USB

Reconstrucción forense de exfiltración USB

Un empleado conecta una memoria USB a su ordenador corporativo. Copia cientos de archivos. Desconecta el dispositivo y se lo lleva.

Días después denuncia baja voluntaria. La empresa sospecha que ha podido llevarse información sensible. Pero el disco externo ya no está disponible. No se puede analizar. ¿Cómo se demuestra qué se copió, cuándo y por quién?

La respuesta está en los artefactos que Windows genera de forma silenciosa y automática: Jump Lists, archivos LNK, claves del registro y tablas NTFS. Huellas digitales que el sistema operativo deja sin saberlo y que, correctamente correlacionadas, permiten reconstruir una exfiltración con resolución de microsegundos.

La amenaza silenciosa: el empleado que roba datos desde dentro

El robo de información por parte de empleados —especialmente en los periodos de cambio laboral— representa una de las amenazas internas más silenciosas y económicamente devastadoras para las organizaciones. A diferencia de los ataques externos, no deja rastros en firewalls ni en sistemas de detección de intrusos. El vector más habitual sigue siendo el más simple: un dispositivo USB de almacenamiento masivo conectado durante un turno de trabajo ordinario.

El reto forense es doble. Primero, demostrar qué se copió cuando el dispositivo de destino no está disponible para análisis. Segundo, hacerlo con la solidez técnica y documental que exige un procedimiento judicial: reproducibilidad, cadena de custodia, referencia normativa y ausencia de contaminación de la evidencia.

El caso: cronología de una exfiltración

El análisis se realizó sobre la imagen forense de un ordenador portátil corporativo, adquirida en formato E01 mediante hardware write-blocker certificado y verificada mediante hash SHA-1. El dispositivo de destino —un disco externo USB— no fue entregado al perito. Nunca estuvo disponible.

Mediante el análisis de los timestamps FILETIME embebidos en los archivos LNK generados automáticamente por el Explorador de Windows, se determinó el instante exacto de inicio de la operación de copia con precisión de microsegundos. La correlación con la clave USBSTOR del registro y la tabla MountedDevices permitió identificar de forma unívoca el modelo, el número de serie y la letra de unidad asignada al dispositivo USB —sin disponer de éste—.

Los Jump Lists automáticos del Explorador de Windows y de la suite ofimática conservaron las rutas completas de once carpetas y decenas de archivos copiados al dispositivo externo, incluyendo:

  • Documentación de licitaciones con precios y costes internos
  • Tarifas de proveedores con márgenes comerciales
  • Registros de actividad comercial con clientes
  • Copia íntegra del buzón de correo corporativo en formato PST
  • Accesos directos a recursos del servidor corporativo

La atribución: ¿quién lo hizo?

La correlación entre el perfil de usuario en la MFT de NTFS, las rutas en los artefactos y los metadatos del perfil de Windows permitió atribuir inequívocamente la actividad a una cuenta de usuario concreta, vinculada a una persona física identificada.

No hubo suposiciones. No hubo conjeturas. Cada conclusión estaba soportada por al menos dos fuentes de artefactos independientes que converge en la misma cronología.

Metodología: cuatro fuentes, una cronología

El análisis siguió un proceso estructurado y reproducible en cuatro fases:

1. Adquisición y verificación. Comprobación de integridad mediante hash SHA-1 (formato E01 / EnCase 6). Sin alteración del original.

2. Extracción de artefactos. Navegación del sistema de archivos NTFS mediante fls/icat (The Sleuth Kit). Extracción de Jump Lists, LNK files y colmenas del registro sin montar la imagen.

3. Análisis y correlación. Decodificación de timestamps FILETIME con script Python auditado; análisis de registro con regipy; búsqueda de rutas USB mediante strings.

4. Documentación judicial. Informe pericial con referencia a ISO/IEC 27037, UNE 71506, UNE 197010 e ISO/IEC 27042. Todos los comandos documentados y reproducibles por peritos de parte.

Sin el disco: se puede demostrar sin el dispositivo de destino

Este es quizá el punto más relevante del caso. El disco externo nunca estuvo disponible para el análisis. Toda la reconstrucción se hizo exclusivamente a partir de los artefactos dejados en el equipo de origen.

La combinación de Jump Lists (que registran qué archivos se accedieron), LNK files (que codifican timestamps con precisión de microsegundos), la clave USBSTOR (que identifica modelo y número de serie del dispositivo) y MountedDevices (que asocia el dispositivo a una letra de unidad) forman un entramado de evidencias cruzadas que, correlacionadas, pintan una imagen completa e incontrovertible de lo que ocurrió.

Cada fuente, por separado, es parcial. Juntas, se refuerzan mutuamente y cierran cualquier hueco razonable de interpretación.

Herramientas open source, resultados de máxima exigencia

El caso demuestra que un peritaje de máxima exigencia judicial es posible sin licencias comerciales. Todo el análisis se realizó con herramientas de código abierto: The Sleuth Kit, ewflib y Python. Con implicaciones directas para la accesibilidad de la pericia forense: si la metodología es sólida y los comandos son reproducibles, el coste de las herramientas no debería ser una barrera para la justicia.

Lecciones para la defensa: cómo haberlo impedido

El análisis forense es reactivo por naturaleza. Pero el caso también ofrece lecciones preventivas claras:

  • Auditoría de dispositivos USB: restringir o monitorizar las conexiones de almacenamiento masivo USB mediante GPO o soluciones DLP.
  • Logging de accesos a carpetas compartidas: activar la auditoría de accesos a archivos en servidores de archivos sensibles.
  • Política de baja voluntaria: incluir revocación inmediata de accesos y preservación de la imagen forense del equipo asignado.
  • DLP (Data Loss Prevention): implementar soluciones que detecten y bloqueen la copia masiva de datos a dispositivos extraíbles.

Del laboratorio al tribunal

Quizá lo más importante de este caso no es solo lo que se encontró, sino cómo se documentó. Cada paso del análisis quedó reflejado en el informe pericial con referencia a las normas ISO/IEC 27037, UNE 71506, UNE 197010 e ISO/IEC 27042. Todos los comandos utilizados son reproducibles por cualquier perito de parte que quisiera verificar los resultados.

La correlación de cuatro fuentes independientes no dejó espacio para la duda razonable. El tribunal tuvo ante sí una cronología precisa, una atribución inequívoca y un método transparente y validado.

De los metadatos al tribunal. Sin el disco. Sin conjeturas. Solo artefactos, correlación y método.

© Seguridad Forense