Windows Forense
Conjunto de técnicas y metodologías para el análisis forense de sistemas operativos Windows, incluyendo registro, eventos, artefactos de usuario, y recuperación de evidencia en entornos Microsoft.
¿Qué es Windows Forense?
Windows Forense es la disciplina de análisis forense digital enfocada en sistemas operativos Microsoft Windows. Incluye el análisis de NTFS, registro, logs de eventos, artefactos de usuario, y la recuperación de evidencia específica de este ecosistema.
El Sistema Más Analizado
Windows es el sistema operativo más analizado en forense digital por su dominancia en empresas y hogares. Afortunadamente, también es el que más artefactos forenses genera, facilitando las investigaciones.
Artefactos Principales
Sistema de Archivos (NTFS)
| Artefacto | Ubicación | Información |
|---|---|---|
| $MFT | Raíz del volumen | Metadatos de todos los archivos |
| $UsnJrnl | $Extend | Journal de cambios de archivos |
| $LogFile | Raíz | Transacciones NTFS |
| Prefetch | C:\Windows\Prefetch | Ejecución de programas |
| Amcache | C:\Windows\appcompat | Historial de aplicaciones |
Registro de Windows
| Hive | Ubicación | Contenido |
|---|---|---|
| SAM | C:\Windows\System32\config | Cuentas de usuario |
| SYSTEM | C:\Windows\System32\config | Configuración del sistema, USB |
| SOFTWARE | C:\Windows\System32\config | Programas instalados |
| SECURITY | C:\Windows\System32\config | Políticas de seguridad |
| NTUSER.DAT | C:\Users{user} | Actividad del usuario |
| UsrClass.dat | C:\Users{user}\AppData | Shellbags |
Event Logs
| Log | Eventos Clave |
|---|---|
| Security | Logons (4624), accesos, auditoría |
| System | Servicios, drivers, arranque |
| Application | Errores de aplicaciones |
| PowerShell | Comandos ejecutados |
| TaskScheduler | Tareas programadas |
Artefactos de Usuario
Actividad Reciente
| Artefacto | Ubicación | Revela |
|---|---|---|
| LNK files | Recent, Desktop | Archivos abiertos |
| Jump Lists | AutomaticDestinations | Documentos por app |
| Shellbags | UsrClass.dat | Carpetas navegadas |
| MRU Lists | NTUSER.DAT | Items usados recientemente |
| TypedURLs | NTUSER.DAT | URLs escritas en Explorer |
Navegadores
| Navegador | Ubicación | Datos |
|---|---|---|
| Chrome | AppData\Local\Google\Chrome | History, Cookies, Cache |
| Edge | AppData\Local\Microsoft\Edge | History, Cookies, Cache |
| Firefox | AppData\Roaming\Mozilla | places.sqlite |
Riqueza de Artefactos
Un usuario típico de Windows genera miles de artefactos diarios sin saberlo. Para un perito, esto es una mina de oro de evidencia sobre qué hizo el usuario, cuándo y cómo.
Herramientas de Eric Zimmerman
Eric Zimmerman ha desarrollado un conjunto de herramientas forenses gratuitas que son estándar en la industria:
| Herramienta | Función |
|---|---|
| MFTECmd | Parseo de $MFT a CSV |
| Registry Explorer | Exploración de hives de registro |
| ShellBags Explorer | Análisis de shellbags |
| PECmd | Análisis de Prefetch |
| LECmd | Análisis de archivos LNK |
| JLECmd | Análisis de Jump Lists |
| AmcacheParser | Parseo de Amcache |
| Timeline Explorer | Visualización de timelines |
| KAPE | Recolección automatizada |
KAPE (Kroll Artifact Parser and Extractor)
# Recolectar artefactos comunes
kape.exe --tsource C: --tdest D:\Output --target KapeTriage
# Procesar con módulos
kape.exe --msource D:\Output --mdest D:\Processed --module !EZParserProceso de Análisis
Adquisición: Imagen forense del sistema (E01, raw).
Montaje: Montar imagen de forma read-only.
Triaje rápido: KAPE para recolección de artefactos clave.
Análisis de registro: MRUs, USB, software instalado.
Análisis de eventos: Logons, ejecución, errores.
Análisis de sistema de archivos: $MFT, Prefetch, Amcache.
Artefactos de usuario: LNK, Jump Lists, Shellbags, navegadores.
Timeline: Correlacionar todos los artefactos temporalmente.
Caso Práctico: Uso No Autorizado
Escenario
Un empleado niega haber accedido a archivos confidenciales fuera de horario.
Análisis Windows
1. Event Logs - Security
Event 4624: Logon Success
Date: 2026-01-15 23:45
User: empleado
Type: 2 (Interactive)
Workstation: DESKTOP-WORK2. Prefetch
NOTEPAD.EXE-XXXX.pf
Last Run: 2026-01-15 23:47
Run Count: 153. LNK Files
confidencial.docx.lnk
Target: \\servidor\compartido\rrhh\confidencial.docx
Created: 2026-01-15 23:484. Jump Lists (Word)
Recent documents:
confidencial.docx - 2026-01-15 23:48
informe_salarios.xlsx - 2026-01-15 23:525. Shellbags
Carpetas navegadas:
\\servidor\compartido\ - 23:46
\\servidor\compartido\rrhh\ - 23:47
\\servidor\compartido\rrhh\confidencial\ - 23:48Timeline Reconstruido
| Hora | Evento | Fuente |
|---|---|---|
| 23:45 | Login interactivo | Event Log |
| 23:46 | Navegación a servidor | Shellbags |
| 23:47 | Acceso a carpeta RRHH | Shellbags |
| 23:48 | Abre confidencial.docx | LNK, Jump List |
| 23:52 | Abre salarios.xlsx | Jump List |
| 00:05 | Logout | Event Log |
Evidencia Irrefutable
El empleado mintió. Múltiples artefactos independientes (eventos, LNK, Jump Lists, Shellbags) corroboran el acceso fuera de horario a documentos confidenciales.
Artefactos Anti-Forense
Indicadores de Limpieza
| Herramienta | Artefactos que Deja |
|---|---|
| CCleaner | Registro de ejecución, Prefetch |
| BleachBit | Prefetch, posibles logs |
| Manual deletion | USN Journal muestra borrados |
Detección
- Prefetch de herramientas de limpieza
- Gaps en Event Logs (Event 1102 si se borraron)
- USN Journal muestra archivos eliminados
- Timestamps de $MFT inconsistentes
Versiones de Windows
| Versión | Particularidades Forenses |
|---|---|
| Windows 10/11 | Más telemetría, Timeline Activity |
| Windows Server | Más logs, menos artefactos de usuario |
| Windows 7 | Menos artefactos que versiones modernas |
Artefactos Específicos de Windows 10/11
- Windows Timeline: Actividad del usuario sincronizada
- BAM/DAM: Ejecutables iniciados por usuario
- SRUM: Uso de recursos por aplicación
- Notifications: Historial de notificaciones
Conclusión
Windows Forense es fundamental para cualquier perito informático. La abundancia de artefactos que Windows genera permite reconstruir con precisión la actividad del sistema y usuarios. Las herramientas de Eric Zimmerman han democratizado el análisis, haciendo accesibles técnicas antes reservadas a software comercial costoso.
Última actualización: 18 de enero de 2026 Categoría: Forense Digital Código: WIN-001
Preguntas Frecuentes
¿Por qué Windows es el sistema más analizado en forense?
Windows domina el mercado empresarial y doméstico. Además, genera abundantes artefactos forenses (registro, eventos, prefetch, etc.) que registran la actividad del sistema de forma detallada.
¿Qué son las herramientas de Eric Zimmerman?
Son un conjunto de herramientas forenses gratuitas y de alta calidad para Windows: MFTECmd, Registry Explorer, Timeline Explorer, PECmd, y muchas más. Son el estándar de facto en la industria.
¿Qué información guarda el registro de Windows?
Prácticamente todo: programas instalados, dispositivos USB, configuración de red, aplicaciones ejecutadas, archivos abiertos, preferencias de usuario, y cientos de otros artefactos.
Términos Relacionados
NTFS Forense
Técnicas de análisis forense aplicadas al sistema de archivos NTFS (New Technology File System) de Windows, incluyendo recuperación de archivos borrados, análisis de metadatos, y extracción de artefactos ocultos.
Logs de Sistema
Archivos que registran automáticamente eventos del sistema operativo, aplicaciones y servicios. Son fuente primaria de evidencia forense para reconstruir actividades, detectar intrusiones y establecer timelines de incidentes.
Timeline Forense
Representación ordenada cronológicamente de todos los eventos relevantes extraídos de sistemas digitales, permitiendo reconstruir qué ocurrió, cuándo y en qué secuencia.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita