Las herramientas forenses digitales vienen en muchas categorías, por lo que la elección exacta de la herramienta depende de dónde y cómo desea utilizarla. Aquí hay algunas categorías amplias para darle una idea de la variedad que viene bajo el paraguas de las herramientas forenses digitales:

• Análisis de bases de datos
• Análisis de correo electrónico
• Análisis de audio/vídeo
• Análisis de navegación por Internet
• Análisis de redes
• Análisis de memoria forense de la memoria
• Análisis de archivos
• Captura de discos y datos
• Informática forense
• Imagen digital forense

Si bien esta no es una lista exhaustiva, le da una idea de lo que constituyen las herramientas forenses digitales y lo que puede hacer con ellas. A veces, varias herramientas se agrupan en un único conjunto de herramientas para ayudarle a aprovechar el potencial de las herramientas relacionadas.

Además, es importante tener en cuenta que estas categorías pueden difuminarse en ocasiones dependiendo del conjunto de habilidades del personal, las condiciones del laboratorio, la disponibilidad de equipos, las leyes existentes y las obligaciones contractuales. Por ejemplo, las tabletas sin tarjetas SIM se consideran ordenadores, por lo que necesitarían herramientas forenses para ordenadores y no para móviles.

Pero independientemente de estas variaciones, lo importante es que las herramientas forenses digitales ofrecen una gran cantidad de posibilidades para obtener información durante una investigación. También es importante tener en cuenta que el panorama de la ciencia forense digital es muy dinámico, con nuevas herramientas y características que se lanzan regularmente para mantenerse al día con las constantes actualizaciones de los dispositivos.

Elegir la herramienta adecuada

Dada la gran cantidad de opciones, no es fácil seleccionar la herramienta adecuada que se ajuste a sus necesidades. Aquí hay algunos aspectos a tener en cuenta a la hora de tomar la decisión.

Nivel de conocimientos

El nivel de conocimientos es un factor importante a la hora de seleccionar una herramienta forense digital. Algunas herramientas sólo necesitan un conjunto de habilidades básicas, mientras que otras pueden requerir conocimientos avanzados. Una buena regla general es evaluar las habilidades que tiene frente a lo que la herramienta requiere, para que pueda elegir la herramienta más potente que tenga la competencia para operar.

Salida

Las herramientas no se construyen igual, por lo que incluso dentro de la misma categoría, las salidas variarán. Algunas herramientas devolverán sólo los datos en bruto, mientras que otras emitirán un informe completo que puede ser compartido al instante con el personal no técnico. En algunos casos, los datos en bruto son suficientes, ya que su información puede tener que pasar por más procesamiento, mientras que en otros, tener un informe formateado puede facilitar su trabajo.

Coste

No hace falta decir que el coste es un factor importante, ya que la mayoría de los departamentos tienen limitaciones presupuestarias. Un aspecto a tener en cuenta aquí – las herramientas más baratas pueden no tener todas las características que usted desea ya que así es como los desarrolladores mantienen los costos bajos. En lugar de elegir una herramienta basándose únicamente en el coste, considere la posibilidad de encontrar un equilibrio entre el coste y las características al hacer su elección.

Enfoque

Otro aspecto clave es el área de enfoque de la herramienta, ya que diferentes tareas suelen requerir diferentes herramientas. Por ejemplo, las herramientas para examinar una base de datos son muy diferentes de las necesarias para examinar una red. La mejor práctica es crear una lista completa de requisitos de características antes de comprar. Como se mencionó anteriormente, algunas herramientas pueden cubrir múltiples funcionalidades en un solo kit, lo que podría ser un mejor negocio que encontrar herramientas separadas para cada tarea.

Accesorios adicionales

Algunas herramientas pueden necesitar accesorios adicionales para funcionar y esto es algo que también hay que tener en cuenta. Por ejemplo, algunas herramientas forenses de red pueden requerir hardware específico o medios de arranque por software. Así que asegúrate de comprobar los requisitos de hardware y software antes de comprar.

Aquí tienes 20 de las mejores herramientas gratuitas que te ayudarán a realizar una investigación forense digital. Ya sea para un caso interno de recursos humanos, una investigación sobre el acceso no autorizado a un servidor o si simplemente quiere aprender una nueva habilidad, estas suites y utilidades le ayudarán a realizar análisis forenses de memoria, análisis forenses de disco duro, exploración forense de imágenes, imágenes forenses y análisis forenses de móviles. Como tales, todas ellas ofrecen la posibilidad de aportar información en profundidad sobre lo que hay «bajo el capó» de un sistema.

Esta no es en absoluto una lista exhaustiva y puede que no cubra todo lo que necesita para su investigación. También puede necesitar utilidades adicionales como visores de archivos, generadores de hash y editores de texto – consulte 101 herramientas gratuitas para administradores para ver algunas de ellas.

Mis artículos sobre las 10 mejores herramientas gratuitas de solución de problemas para administradores de sistemas, las 20 mejores herramientas gratuitas de análisis y monitorización de redes para administradores de sistemas y las 20 mejores herramientas gratuitas de gestión de archivos para administradores de sistemas también pueden ser útiles, ya que contienen un montón de herramientas que se pueden utilizar para las investigaciones forenses digitales (por ejemplo, BackTrack y el SAS).Por ejemplo, BackTrack y la Suite de SysInternals o la Suite de herramientas de NirSoft).

Incluso si usted puede haber oído hablar de algunas de estas herramientas antes, estoy seguro de que usted encontrará una joya o dos entre esta lista.

01 SANS SIFT

El SANS Investigative Forensic Toolkit (SIFT) es un Live CD basado en Ubuntu que incluye todas las herramientas necesarias para llevar a cabo una investigación forense en profundidad o de respuesta a incidentes. Soporta el análisis de los formatos de evidencia Expert Witness Format (E01), Advanced Forensic Format (AFF) y RAW (dd). SIFT incluye herramientas como log2timeline para generar una línea de tiempo a partir de los registros del sistema, Scalpel para el tallado de archivos de datos, Rifiuti para examinar la papelera de reciclaje, y mucho más.



Cuando inicie por primera vez el entorno SIFT, le sugiero que explore la documentación en el escritorio para ayudarle a acostumbrarse a qué herramientas están disponibles y cómo utilizarlas. También hay una buena explicación de dónde encontrar pruebas en un sistema. Utiliza la barra de menú superior para abrir una herramienta, o lánzala manualmente desde una ventana de terminal.

Características principales

• Sistema base de 64 bits
• Actualización automática de paquetes DFIR y personalizaciones
• Compatibilidad cruzada con Linux y Windows.
• Compatibilidad ampliada con el sistema de archivos
• Opción de instalar el sistema independiente

02 CrowdStrike CrowdResponse

CrowdResponse es una aplicación de consola ligera que puede utilizarse como parte de un escenario de respuesta a incidentes para recopilar información contextual como una lista de procesos, tareas programadas o Shim Cache. Utilizando firmas YARA incrustadas, también puede escanear su host en busca de malware e informar si hay algún indicador de compromiso.



Para ejecutar CrowdsResponse, extraiga el archivo ZIP e inicie un símbolo del sistema con privilegios administrativos. Navegue a la carpeta donde reside el proceso CrowdResponse*.exe e introduzca sus parámetros de comando. Como mínimo, debe incluir la ruta de salida y la «herramienta» que desea utilizar para recoger los datos. Para obtener una lista completa de ‘herramientas’, introduzca CrowdResponse64.exe en el símbolo del sistema y aparecerá una lista de nombres de herramientas compatibles y parámetros de ejemplo.

Una vez que haya exportado los datos que necesita, puede utilizar CRconvert.exe para convertir los datos de XML a otro formato de archivo como CSV o HTML.

Características principales

• Viene con tres módulos – lista de directorios, módulo de ejecución activa y módulo de procesamiento YARA.
• Muestra la información de los recursos de la aplicación
• Verifica la firma digital del ejecutable del proceso.
• Escanea la memoria, los archivos del módulo cargado y los archivos en el disco de todos los procesos que se están ejecutando actualmente

03 Volatility

Volatility es un marco forense de memoria para la respuesta a incidentes y el análisis de malware que le permite extraer artefactos digitales de volcados de memoria volátil (RAM). Usando Volatility puedes extraer información sobre procesos en ejecución, sockets de red abiertos y conexiones de red, DLLs cargadas para cada proceso, hives de registro en caché, IDs de procesos, y más.



Si está utilizando la versión ejecutable independiente de Windows de Volatility, simplemente coloque volatility-2.x.standalone.exe en una carpeta y abra una ventana de símbolo del sistema. Desde el símbolo del sistema, navegue hasta la ubicación del archivo ejecutable y escriba «volatility-2.x.standalone.exe -f <FILENAME> -profile=<PROFILENAME><PLUGINNAME>» sin comillas – FILENAME sería el nombre del archivo de volcado de memoria que se desea analizar, PROFILENAME sería la máquina en la que se tomó el volcado de memoria y PLUGINNAME sería el nombre del plugin que se desea utilizar para extraer la información.

Nota: En el ejemplo anterior estoy utilizando el plugin ‘connscan’ para buscar en el volcado de memoria física información sobre la conexión TCP.

Características principales

• Soporta una amplia variedad de formatos de archivos de muestra.
• Se ejecuta en Windows, Linux y Mac
• Viene con algoritmos rápidos y eficientes para analizar volcados de memoria RAM de sistemas grandes.
• Su API extensible y con capacidad de scripting abre nuevas posibilidades de extensión e innovación.

04 The Sleuth Kit (+Autopsy)

El Sleuth Kit es un kit de herramientas forenses digitales de código abierto que puede utilizarse para realizar análisis en profundidad de varios sistemas de archivos. La autopsia es esencialmente una interfaz gráfica de usuario que se encuentra en la parte superior de The Sleuth Kit. Viene con características como el análisis de la línea de tiempo, el filtrado Hash, el análisis del sistema de archivos y la búsqueda de palabras clave fuera de la caja, con la capacidad de añadir otros módulos para la funcionalidad extendida.

Nota: Puedes usar The Sleuth Kit si tienes una máquina Linux y Autopsy si tienes una máquina Windows.



Cuando inicias Autopsy, puedes elegir crear un nuevo caso o cargar uno existente. Si elige crear un nuevo caso, tendrá que cargar una imagen forense o un disco local para comenzar su análisis. Una vez completado el proceso de análisis, utilice los nodos del panel de la izquierda para elegir los resultados que desea ver.

Características principales

• Muestra los eventos del sistema a través de una interfaz gráfica.
• Ofrece análisis de registro, archivos LNK y correo electrónico.
• Soporta los formatos de archivo más comunes
• Extrae datos de SMS, registros de llamadas, contactos, Tango y Words with Friends, y los analiza.

05 FTK Imager

FTK Imager es una herramienta de previsualización de datos y creación de imágenes que permite examinar archivos y carpetas en discos duros locales, unidades de red, CD/DVD, y revisar el contenido de imágenes forenses o volcados de memoria. Con FTK Imager también puede crear hashes SHA1 o MD5 de los archivos, exportar archivos y carpetas de las imágenes forenses al disco, revisar y recuperar archivos que fueron eliminados de la papelera de reciclaje (siempre que sus bloques de datos no hayan sido sobrescritos), y montar una imagen forense para ver su contenido en el Explorador de Windows.

Nota: existe una versión portátil de FTK Imager que le permitirá ejecutarlo desde un disco USB.



Cuando inicie FTK Imager, vaya a ‘File > Add Evidence Item…’ para cargar una pieza de evidencia para su revisión. Para crear una imagen forense, vaya a ‘Archivo > Crear imagen de disco…’ y elija la fuente de la que desea obtener una imagen forense.

Características principales

• Viene con capacidad de vista previa de datos para previsualizar los archivos/carpetas así como el contenido de los mismos.
• Soporta el montaje de imágenes
• Utiliza CPUs multinúcleo para paralelizar las acciones.
• Accede a una base de datos de casos compartida, por lo que una sola base de datos central es suficiente para un solo caso.

06 Linux ‘dd’

dd viene por defecto en la mayoría de las distribuciones de Linux disponibles hoy en día (por ejemplo, Ubuntu, Fedora). Esta herramienta se puede utilizar para varias tareas forenses digitales, tales como el borrado forense de una unidad (poner a cero una unidad) y la creación de una imagen en bruto de una unidad.

Nota: dd es una herramienta muy potente que puede tener efectos devastadores si no se utiliza con cuidado. Se recomienda experimentar en un entorno seguro antes de utilizar esta herramienta en el mundo real.

Consejo: Una versión modificada de dd está disponible en http://sourceforge.net/projects/dc3dd/ – dc3dd incluye características adicionales que fueron añadidas específicamente para tareas de adquisición forense digital.



Para utilizar dd, basta con abrir una ventana de terminal y escribir dd seguido de una serie de parámetros de comando (qué parámetros de comando dependerán obviamente de lo que se quiera hacer). La sintaxis básica de dd para limpiar forzosamente una unidad es:

dd if=/dev/zero of=/dev/sdb1 bs=1024
donde if = archivo de entrada, of = archivo de salida, bs = tamaño de bytes

Nota: Reemplace /dev/sdb1 con el nombre de la unidad que desea limpiar forzosamente y 1024 con el tamaño de los bloques de bytes que desea escribir.

La sintaxis básica de dd para crear una imagen forense de una unidad es:

dd if=/dev/sdb1 of=/home/andrew/newimage.dd bs=512 conv=noerror,sync

donde if = archivo de entrada (o en este caso unidad), of = archivo de salida, bs = tamaño de bytes, conv = opciones de conversión

Consejo: Para obtener información de uso adicional, desde una ventana de terminal, escriba «man dd» sin comillas para que aparezca el manual de ayuda del comando dd.

Características principales

• Duplica los datos entre archivos, dispositivos, particiones y volúmenes.
• Asiste a la copia de seguridad y restauración del registro de arranque maestro.
• Puede modificar los datos fácilmente
• Debe utilizarse con precaución ya que puede borrar un disco por completo.

07 CAINE

CAINE (Computer Aided INvestigative Environment) es un Live CD de Linux que contiene una gran cantidad de herramientas forenses digitales. Sus características incluyen una interfaz gráfica de usuario fácil de usar, creación de informes semiautomatizados y herramientas para el análisis forense de móviles, análisis forense de redes, recuperación de datos y mucho más.



Cuando se arranca en el entorno Linux de CAINE, se pueden iniciar las herramientas forenses digitales desde la interfaz de CAINE (acceso directo en el escritorio) o desde el acceso directo de cada herramienta en la carpeta ‘Herramientas forenses’ de la barra de menú de aplicaciones.

Características principales

• Viene con una interfaz fácil de usar que reúne muchas herramientas forenses de código abierto.
• Se adhiere al procedimiento de investigación establecido por las leyes italianas.
• Su entorno está optimizado para el análisis forense en profundidad
• Genera informes que son fácilmente editables y exportables.

08 ExifTool

ExifTool es una aplicación de línea de comandos utilizada para leer, escribir o editar información de metadatos de archivos. Es rápido, potente y soporta una gran variedad de formatos de archivo (aunque los tipos de archivo de imagen son su especialidad). ExifTool se puede utilizar para analizar las propiedades estáticas de los archivos sospechosos en una investigación forense basada en el host, por ejemplo.



Para utilizar ExifTool, basta con arrastrar y soltar el archivo del que desea extraer los metadatos en la aplicación exiftool(-k).exe y se abrirá una ventana de símbolo del sistema con la información mostrada. Alternativamente, cambie el nombre de exiftool(-k).exe a exiftool.exe y ejecútelo desde el símbolo del sistema.

Características principales

• Soporta diferentes formatos de archivo, verbose, y salidas de volcado hexadecimal basadas en HTML.
• Copia información de metadatos entre archivos
• Hace copias de seguridad automáticas de la imagen original
• Convierte la salida en muchos idiomas.

09 Free Hex Editor Neo

Free Hex Editor Neo es un editor hexadecimal básico que fue diseñado para manejar archivos muy grandes. Aunque muchas de las características adicionales se encuentran en las versiones comerciales de Hex Editor Neo, encuentro esta herramienta útil para cargar archivos grandes (por ejemplo, archivos de bases de datos o imágenes forenses) y realizar acciones como el tallado manual de datos, la edición de archivos de bajo nivel, la recopilación de información o la búsqueda de datos ocultos.



Usa ‘Archivo > Abrir’ para cargar un archivo en Hex Editor Neo. Los datos aparecerán en la ventana central donde puede empezar a navegar por el hexágono manualmente o pulsar CTRL + F para ejecutar una búsqueda.

Características principales

• Facilita la búsqueda de patrones de datos a través de archivos de gran tamaño
• Soporta el procesamiento de múltiples núcleos
• Maneja búsquedas de expresiones regulares a través de archivos
• Le permite hacer rápidamente parches de archivos o ajustar cualquier aspecto de la interfaz de usuario.

10 Bulk Extractor

bulk_extractor es una herramienta informática forense que escanea una imagen de disco, un archivo o un directorio de archivos y extrae información como números de tarjetas de crédito, dominios, direcciones de correo electrónico, URLs y archivos ZIP. La información extraída se envía a una serie de archivos de texto (que pueden ser revisados manualmente o analizados utilizando otras herramientas forenses o scripts).

Consejo: Dentro de los archivos de texto de salida encontrará entradas de datos que se asemejan a un número de tarjeta de crédito, dirección de correo electrónico, nombre de dominio, etc. También verá un valor decimal en la primera columna del archivo de texto que, cuando se convierte a hexadecimal, puede utilizarse como el puntero en el disco donde se encontró la entrada (es decir si estuviera analizando el disco manualmente usando un editor hexadecimal, por ejemplo, saltaría a este valor hexadecimal para ver los datos).



Bulk_extractor viene como una herramienta de línea de comandos o una herramienta GUI. En el ejemplo anterior, configuré la herramienta bulk_extractor para que extrajera la información de una imagen forense que tomé anteriormente y enviara los resultados a una carpeta llamada «BE_Output». Los resultados se pueden ver en el Visor del Extractor Masivo y en los archivos de texto de salida mencionados anteriormente.

Características principales

• Procesa diferentes partes del disco en paralelo.
• Detecta, descomprime y reprocesa automáticamente los datos comprimidos.
• Extrae información crítica como detalles de tarjetas de crédito y direcciones de correo electrónico de los datos digitales
• Puede ser utilizado para procesar información a través de la mayoría de los medios digitales.

11 DEFT

DEFT es otro Live CD de Linux que agrupa algunas de las herramientas forenses informáticas gratuitas y de código abierto más populares disponibles. Su objetivo es ayudar con la respuesta a incidentes, la ciberinteligencia y los escenarios de informática forense. Entre otras, contiene herramientas para el análisis forense de móviles, análisis forense de redes, recuperación de datos y hashing.



Cuando arranca con DEFT, se le pregunta si desea cargar el entorno en vivo o instalar DEFT en el disco. Si cargas el entorno en vivo puedes utilizar los accesos directos de la barra de menú de la aplicación para lanzar las herramientas necesarias.

Características principales

• Incluye un gestor de archivos que viene con el estado de un montaje en disco.
• Ofrece soporte completo para Android e iOS.
• Viene con unas cuantas aplicaciones de código abierto y cerrado de Windows que actualmente no tienen alternativa en el mundo Unix.
• Se ejecuta una comprobación de integridad antes de iniciar cualquier programa en modo seguro.

12 Xplico

Xplico es una herramienta de análisis forense de red (NFAT) de código abierto que tiene como objetivo extraer datos de aplicaciones del tráfico de Internet (por ejemplo, Xplico puede extraer un mensaje de correo electrónico del tráfico POP, IMAP o SMTP). Sus características incluyen soporte para una multitud de protocolos (por ejemplo, HTTP, SIP, IMAP, TCP, UDP), reensamblaje TCP, y la capacidad de extraer datos a una base de datos MySQL o SQLite, entre otros.



Una vez que hayas instalado Xplico, accede a la interfaz web navegando a http://<IPADDRESS>:9876 e inicia sesión con una cuenta de usuario normal. Lo primero que tienes que hacer es crear un caso y añadir una nueva sesión. Cuando creas una nueva sesión puedes cargar un archivo PCAP (adquirido desde Wireshark, por ejemplo) o iniciar una captura en vivo. Una vez que la sesión ha terminado de decodificar, utilice el menú de navegación en el lado izquierdo para ver los resultados.

Características principales

• Viene con tres módulos – un módulo de entrada para la entrada de datos, módulo de salida para decodificar los datos y presentarlos al usuario final, y módulos de decodificación para decodificar el protocolo de red individual.
• Soporta diferentes interfaces de usuario
• Todos los módulos pueden ser cargados o descargados a través del archivo de configuración.
• Puede decodificar llamadas VoIP.

13 LastActivityView

Toqué brevemente LastActivityView al señalar la suite de herramientas de NirSoft en mi artículo Top 10 Free System Troubleshooting Tools for SysAdmins. LastActivityView le permite ver qué acciones fueron tomadas por un usuario y qué eventos ocurrieron en la máquina. Cualquier actividad como la ejecución de un archivo ejecutable, la apertura de un archivo/carpeta desde el Explorador, un fallo de la aplicación o del sistema o un usuario que realice una instalación de software se registrará. La información se puede exportar a un archivo CSV / XML / HTML. Esta herramienta es útil cuando se necesita demostrar que un usuario (o cuenta) realizó una acción que dijo que no había hecho.



Cuando se lanza LastActivityView, inmediatamente comenzará a mostrar una lista de acciones realizadas en la máquina en la que se está ejecutando. Ordene por tiempo de acción o utilice el botón de búsqueda para comenzar a investigar qué acciones se realizaron en la máquina.

Características principales

• Registra muchas acciones del usuario, como la apertura y el cierre de archivos, la instalación de software y mucho más.
• Recoge información del registro de eventos y de otras fuentes.
• No tiene que instalarlo ni ejecutarlo como proceso en segundo plano en todo momento. Cuando lo inicie una vez, creará una línea de tiempo de eventos para usted.
• Sólo se ejecuta en Windows 200 y versiones posteriores.

14 DSi USB Write Blocker

DSi USB Write Blocker es un bloqueador de escritura basado en software que impide el acceso de escritura a los dispositivos USB. Esto es importante en una investigación para evitar que se modifiquen los metadatos o las marcas de tiempo y se invaliden las pruebas.



Cuando se ejecuta DSi USB Write Blocker, aparece una ventana que permite activar o desactivar el USB Write Blocker. Una vez que realices los cambios y salgas de la aplicación, puedes vigilar el estado desde el icono del candado en la barra de tareas. Al realizar un análisis de una unidad USB, habilite primero el Bloqueador de Escritura USB y luego conecte la unidad USB.

Si busca una alternativa de línea de comandos, eche un vistazo a ‘USB Write Blocker for ALL Windows’. Esta herramienta funciona actualizando una entrada del registro para evitar que se escriba en las unidades USB. Para ejecutar la herramienta, sólo tienes que ejecutar el archivo por lotes y seleccionar la opción 1 para poner los puertos USB en modo de sólo lectura.

Características principales

• Convierte una memoria USB en modo de lectura para evitar cualquier borrado/modificación de datos.
• Se ejecuta principalmente en Windows, aunque puedes hacer algunos cambios para ejecutarlo en la última versión de iOS.
• Le da la opción de ver el estado de esta aplicación en su barra de tareas.



15 FireEye RedLine

RedLine ofrece la posibilidad de realizar análisis de memoria y archivos de un host específico. Recoge información sobre los procesos y controladores en ejecución de la memoria, y reúne metadatos del sistema de archivos, datos del registro, registros de eventos, información de red, servicios, tareas e historial de Internet para ayudar a construir un perfil general de evaluación de amenazas.



Cuando inicie RedLine, se le dará la opción de Recoger datos o Analizar datos. A menos que ya tenga un archivo de volcado de memoria disponible, tendrá que crear un colector para recopilar datos de la máquina y dejar que ese proceso se ejecute hasta su finalización. Una vez que tenga un archivo de volcado de memoria a mano, puede comenzar su análisis.

Características principales

• Ayuda a identificar cuándo se introdujo un archivo comprometido y cómo persiste en el sistema/red.
• Utiliza indicadores de lista blanca para filtrar datos conocidos.
• Recoge información de procesos ejecutados, archivos, imágenes y datos del registro.

16 PlainSight

PlainSight es un Live CD basado en Knoppix (una distribución de Linux) que permite realizar tareas forenses digitales como ver historiales de Internet, tallar datos, recopilar información de uso de dispositivos USB, examinar volcados de memoria física, extraer hashes de contraseñas, etc.



Cuando arranca en PlainSight, aparece una ventana que le pide que seleccione si desea realizar un análisis, cargar un archivo o ejecutar el asistente. Introduzca una selección para comenzar el proceso de extracción y análisis de datos.

Características principales

• Recupera muchos tipos de archivos como jpg, png, pdf, mov, wav, zip, rar, exe, y más.
• Utiliza una araña para escanear sistemas que contienen datos sensibles.
• Guarda los resultados en formatos HTML o de texto plano.
• Se ejecuta desde un CD o USB.

17 HxD

HxD es uno de mis favoritos. Es un editor hexadecimal de fácil uso que permite realizar ediciones y modificaciones de bajo nivel de un disco o memoria principal (RAM) sin procesar. HxD fue diseñado con la facilidad de uso y el rendimiento en mente y puede manejar grandes archivos sin problemas. Las características incluyen la búsqueda y el reemplazo, la exportación, las sumas de comprobación/digestos, una trituradora de archivos incorporada, la concatenación o la división de archivos, la generación de estadísticas y mucho más.



Desde la interfaz de HxD inicie su análisis abriendo un archivo desde ‘Archivo > Abrir’, cargando un disco desde ‘Extras > Abrir disco…’ o cargando un proceso de RAM desde ‘Extras > Abrir RAM…’

18 HELIX3 Free

HELIX3 es un Live CD basado en Linux que fue construido para ser utilizado en escenarios de Respuesta a Incidentes, Informática Forense y E-Discovery. Está repleto de un montón de herramientas de código abierto que van desde editores hexadecimales a software de tallado de datos a utilidades de cracking de contraseñas, y más.

Nota: La versión de HELIX3 que necesitas es la 2009R1. Esta versión fue la última versión gratuita disponible antes de que HELIX fuera adquirido por un proveedor comercial. HELIX3 2009R1 sigue siendo válida hoy en día y es una adición útil a su kit de herramientas forenses digitales.



Cuando arranca usando HELIX3, se le pregunta si quiere cargar el entorno GUI o instalar HELIX3 en el disco. Si elige cargar el entorno GUI directamente (recomendado), aparecerá una pantalla basada en Linux que le dará la opción de ejecutar la versión gráfica de las herramientas incluidas.

Características principales

• Los pliegues de datos se utilizan para etiquetar diferentes secciones de memoria.
• Viene con un editor de RAM.
• Exporta datos a muchos formatos
• Facilita la división o concatenación de archivos.

19 Paladin Forensic Suite

Paladin Forensic Suite es un Live CD basado en Ubuntu que está repleto de riqueza de herramientas forenses de código abierto. Las más de 80 herramientas que se encuentran en este Live CD están organizadas en más de 25 categorías, entre las que se incluyen herramientas de imagen, análisis de malware, análisis de redes sociales, herramientas de hashing, etc.



Después de arrancar Paladin Forensic Suite, navegue hasta el menú de aplicaciones o haga clic en uno de los iconos de la barra de tareas para empezar.

Nota: Una práctica Guía de Inicio Rápido para Paladin Forensic Suite está disponible para ver o descargar en el sitio web de Paladin, así como en la barra de tareas dentro del propio Paladin.

Características principales

• Proporciona una visibilidad completa de su red.
• Adquiere datos temporales como el historial de Internet y la memoria y los almacena en una unidad USB.
• Funciona bien en Mac, Windows y Linux.
• Soporta muchas aplicaciones forenses de código abierto.

20 USB Historian

USB Historian analiza la información del USB, principalmente del registro de Windows, para ofrecerte una lista de todas las unidades USB que se conectaron a la máquina. Muestra información como el nombre de la unidad USB, el número de serie, cuándo fue montada y por qué cuenta de usuario. Esta información puede ser muy útil cuando se trata de una investigación en la que se necesita entender si los datos fueron robados, movidos o accedidos.



Cuando inicie USB Historian, haga clic en el icono ‘+’ del menú superior para iniciar el asistente de análisis de datos. Seleccione el método desde el que desea analizar los datos (letra de unidad, carpeta de Windows y usuarios, o archivos individuales) y, a continuación, seleccione los datos que desea analizar. Una vez completado, verás una información similar a la que se muestra en la imagen anterior.

Características principales

• Ideal para aquellos que se ocupan de los datos y el robo de identidad.
• Paraliza el nombre del ordenador para localizar dispositivos USB
• Ofrece un análisis guiado por un asistente.

Así pues, estas son algunas de las principales herramientas gratuitas que puedes utilizar para el análisis forense. Esperamos que hayas disfrutado de la lectura de la lista y nos hagas saber tu favorita en la sección de comentarios

Obtén tu prueba gratuita de 30 días
Obtén resultados inmediatos. Identifique dónde es vulnerable con su primer análisis en su primer día de prueba de 30 días. Tome las medidas necesarias para solucionar todos los problemas.
Obtenga su prueba gratuita de 30 días
Obtenga resultados inmediatos. Identifique dónde es vulnerable con su primer análisis en su primer día de prueba de 30 días. Tome las medidas necesarias para solucionar todos los problemas.