Antiforense
¿Qué es Antiforense?
AntiforenseTécnicas empleadas por atacantes o actores preocupados por la privacidad para obstaculizar, retrasar o frustrar las investigaciones forenses digitales.
El antiforense abarca cualquier esfuerzo deliberado por ocultar, destruir o fabricar evidencias digitales para impedir la reconstrucción de los hechos. Métodos habituales son el borrado seguro y el wipe de discos, el cifrado completo, la limpieza de registros (wevtutil cl, rotación de journalctl), el timestomping (manipular tiempos MACB del $MFT), la ofuscación (process hollowing, ejecución en memoria), los ataques sin archivo, la esteganografía, la inyección de logs y el uso de máquinas virtuales desechables. Los binarios LOLBins reducen aún más los artefactos. Los respondedores contrarrestan con forense de memoria, captura de datos volátiles, envío redundante a SIEM, almacenamiento WORM y corroboración cruzada según NIST SP 800-86.
● Ejemplos
- 01
Un intruso borrando los logs de Windows con wevtutil para eliminar trazas de inicio de sesión.
- 02
Timestomping de una herramienta dejada para que sus marcas $MFT coincidan con archivos legítimos.
● Preguntas frecuentes
¿Qué es Antiforense?
Técnicas empleadas por atacantes o actores preocupados por la privacidad para obstaculizar, retrasar o frustrar las investigaciones forenses digitales. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Antiforense?
Técnicas empleadas por atacantes o actores preocupados por la privacidad para obstaculizar, retrasar o frustrar las investigaciones forenses digitales.
¿Cómo defenderse de Antiforense?
Las defensas contra Antiforense combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Antiforense?
Nombres alternativos comunes: Contraforense, Destrucción de evidencias.