Caso 3 – Monitoreo de integridad de archivos

Escenario

Una fundación educativa que maneja:

  • Base de datos de 1,200 beneficiarios con información sensible (menores de edad, condiciones médicas, situación socioeconómica)
  • Documentos legales y contratos con donantes corporativos
  • Registros contables y financieros auditables
  • Certificados y diplomas digitales
  • Archivos de configuración de sistemas críticos

Personal: Director ejecutivo, coordinadora administrativa y 3 trabajadores sociales. Ninguno con formación en seguridad informática.

Problema que Resuelve

Las fundaciones manejan información altamente sensible y confidencial que debe mantenerse íntegra. Los riesgos incluyen:

  • Fraude interno: Modificación de registros contables o beneficiarios sin autorización
  • Compromiso externo: Atacantes modificando bases de datos para extorsión o daño reputacional
  • Cumplimiento legal: Incapacidad de demostrar que los datos no han sido alterados
  • Pérdida de confianza: Donantes y beneficiarios descubren que su información fue manipulada
  • Consecuencias legales: Multas por incumplimiento de protección de datos de menores

Blue Sentinel detecta cualquier modificación no autorizada en tiempo real y genera evidencia forense completa.

Demostración Técnica

Configuración:

  • Servidor de archivos (Linux/Windows)
  • Agente Wazuh con módulo FIM (File Integrity Monitoring) activado
  • Directorios monitoreados:
    • /home/fundacion/bases_datos/ (beneficiarios.db, donantes.xlsx)
    • /var/www/html/ (aplicación web de gestión)
    • /home/fundacion/documentos_legales/ (contratos, convenios)
    • /etc/ (configuraciones del sistema)
    • /home/fundacion/contabilidad/ (registros financieros)

Tecnología Base:

  • Baseline de integridad con hashes criptográficos SHA-256
  • Monitoreo en tiempo real de cambios en archivos
  • Detección de modificaciones, creaciones, eliminaciones
  • Registro de quién, cuándo y qué cambió exactamente

Lo que se ve en el dashboard:

1. Vista General de Integridad:

MONITOREO DE INTEGRIDAD - Fundación Esperanza Educativa

Archivos monitoreados: 1,847
Directorios vigilados: 12
Último escaneo: Hace 5 segundos
Baseline actualizado: Hoy 00:00

Estado General: 🟢 ÍNTEGRO

ACTIVIDAD ÚLTIMAS 24H:
- Archivos modificados: 23 (autorizados)
- Archivos creados: 8 (normales)
- Archivos eliminados: 2 (backup automático)
- Alertas de integridad: 0

2. Alerta de Modificación Crítica:

🔴 INTEGRIDAD COMPROMETIDA

Archivo: /home/fundacion/bases_datos/beneficiarios.db
Acción: MODIFICADO
Timestamp: 2025-10-06 23:47:12
Usuario: admin_temporal
Desde: IP 192.168.1.89 (Red interna)

DETALLES DEL CAMBIO:
- Tamaño: 2.4 MB → 2.1 MB (-300 KB)
- Hash SHA-256: 
  Antes:  a3f8c9d2b1e7f4a6...
  Después: b7e2f1a8c3d9e5f2...
- Última modificación legítima: Hace 15 días
- Modificaciones hoy: 1 (ANÓMALO)

⚠️ ANÁLISIS SOSPECHOSO:
1. Modificación fuera de horario (23:47 - oficina cerrada)
2. Usuario "admin_temporal" sin historial previo
3. Reducción de tamaño (posible eliminación de registros)
4. Coincide con horario de backup deshabilitado

🔍 COMPARACIÓN REGISTRO A REGISTRO:
Registros antes: 1,247
Registros después: 1,189
Diferencia: -58 registros eliminados

⚠️ REGISTROS ELIMINADOS INCLUYEN:
- 58 beneficiarios del programa "Becas Excelencia 2024"
- Monto total asociado: $127,000,000 COP

🚨 ALTA PROBABILIDAD DE FRAUDE
Requiere investigación inmediata

3. Alerta de Archivo Nuevo Sospechoso:

🟠 ARCHIVO NUEVO CREADO

Archivo: /var/www/html/admin/upload.php
Timestamp: 2025-10-06 02:34:18
Usuario: www-data
Tamaño: 4.7 KB
Permisos: 777 (⚠️ Demasiado permisivo)

⚠️ ANÁLISIS:
Archivo PHP creado en directorio de administración
Horario: 02:34 AM (fuera de operación)
No existe en baseline de archivos legítimos

🔍 INSPECCIÓN DE CONTENIDO:
<?php
if(isset($_FILES['file'])){
    move_uploaded_file($_FILES['file']['tmp_name'], 
    './uploads/'.$_FILES['file']['name']);
}
?>

🚨 WEBSHELL BÁSICO DETECTADO
Permite subir archivos arbitrarios sin validación
Riesgo: Compromiso total del servidor

4. Alerta de Cambio en Documento Legal:

🟡 DOCUMENTO LEGAL MODIFICADO

Archivo: /home/fundacion/documentos_legales/convenio_empresa_XYZ.pdf
Acción: MODIFICADO
Timestamp: 2025-10-06 16:23:41
Usuario: coordinadora_admin

DETALLES:
- Hash cambió (contenido modificado)
- Tamaño: 847 KB → 851 KB (+4 KB)
- Páginas: 12 → 13 (página añadida)
- Última modificación previa: Hace 3 meses

ℹ️ REQUIERE VERIFICACIÓN:
Cambio legítimo en horario laboral
Usuario autorizado
Incremento de contenido (no eliminación)

✓ Versión anterior respaldada automáticamente
Ubicación: /backup/convenio_empresa_XYZ_20251006.pdf

5. Detección de Eliminación Masiva:

🔴 ELIMINACIÓN MASIVA DETECTADA

Directorio: /home/fundacion/contabilidad/2024/
Acción: 47 archivos ELIMINADOS
Timestamp: 2025-10-06 22:15:03
Usuario: contador_junior
Desde: Laptop CONT-02

ARCHIVOS ELIMINADOS:
- comprobantes_enero_2024.xlsx
- nomina_febrero_2024.xlsx
- facturas_marzo_2024.pdf
[... 44 archivos más]

Tamaño total: 127 MB de datos contables

⚠️ ANÁLISIS CRÍTICO:
- Eliminación fuera de horario laboral
- Usuario sin autorización para eliminar archivos contables
- Patrón: Todo el año fiscal 2024
- Auditoría interna programada para mañana

🚨 POSIBLE OCULTAMIENTO DE EVIDENCIA

✓ ARCHIVOS RECUPERABLES
Backup automático: Hace 6 horas
Ubicación: /backup_diario/contabilidad/

Escenarios Demostrados:

  1. Fraude Interno Detectado:
    • 58 beneficiarios eliminados de base de datos
    • Usuario sospechoso, horario anómalo
    • Detección en < 10 segundos
    • Evidencia forense completa
    • Recuperación desde backup disponible
  2. Webshell Implantado:
    • Archivo PHP malicioso creado en servidor
    • Detectado al instante de su creación
    • Análisis automático identifica función peligrosa
    • Alerta con recomendación de eliminación inmediata
  3. Modificación de Documento Legal:
    • Cambio en convenio corporativo
    • Sistema detecta página añadida
    • Backup automático de versión anterior
    • Permite auditoría de qué cambió exactamente
  4. Eliminación Masiva Pre-Auditoría:
    • 47 archivos contables eliminados
    • Patrón sospechoso (todo un año fiscal)
    • Usuario sin autorización
    • Archivos recuperables desde backup
  5. Comparación Antes/Después:
    • Vista lado a lado del contenido original vs modificado
    • Registro exacto de qué líneas cambiaron
    • Timeline completo de todas las modificaciones
    • Cadena de custodia digital para evidencia legal

Panel de Historial Forense:

HISTORIAL DE INTEGRIDAD - beneficiarios.db

📅 2025-10-06 23:47:12 [MODIFICADO] - admin_temporal
   Cambios: -58 registros | Tamaño: -300KB
   Hash: a3f8c9d → b7e2f1a
   
📅 2025-09-21 14:23:05 [MODIFICADO] - coord_admin
   Cambios: +12 registros nuevos | Tamaño: +50KB
   Hash: f2e9a7c → a3f8c9d
   
📅 2025-09-15 10:15:33 [MODIFICADO] - director_ejecutivo
   Cambios: Actualización datos 3 beneficiarios
   Hash: d8c3f1a → f2e9a7c
   
📅 2025-09-01 09:00:00 [BASELINE] - Sistema
   Estado inicial del mes
   Hash: d8c3f1a

✓ Todas las versiones disponibles para restauración

Valor para ESAL

Económico:

  • Prevención de fraude: Detecta manipulación de registros que podría costar millones en desvío de recursos
  • Evita multas: Cumplimiento de normativa de protección de datos de menores (hasta $150 millones COP)
  • Ahorro en auditorías: Evidencia digital reduce tiempo y costo de auditorías en 60%
  • Protección de donaciones: Donantes corporativos exigen controles de integridad antes de aportar

Operacional:

  • Detección inmediata: Cambios detectados en < 10 segundos vs descubrimiento en semanas/meses
  • Recuperación rápida: Restauración desde backup en minutos vs reconstrucción manual en días
  • Sin carga administrativa: Sistema automático, no requiere revisión manual constante
  • Evidencia forense: Timeline completo de quién hizo qué y cuándo

Legal/Cumplimiento:

  • ✓ Cadena de custodia digital para procesos judiciales
  • ✓ Evidencia irrefutable en casos de fraude interno
  • ✓ Cumplimiento ICBF (protección de datos de menores)
  • ✓ Auditorías más rápidas y económicas
  • ✓ Demostración de controles para donantes corporativos

Confianza Institucional:

  • Donantes: Confianza en que sus aportes están protegidos y auditables
  • Beneficiarios: Seguridad de que su información sensible no será alterada
  • Entes reguladores: Transparencia y trazabilidad completa
  • Junta directiva: Visibilidad en tiempo real de integridad de información crítica

Transparencia y Gobernanza:

  • Reportes automáticos mensuales sobre integridad de datos
  • Alertas inmediatas a directivos ante cambios sospechosos
  • Histórico completo de todas las modificaciones legítimas
  • Capacidad de responder “¿Quién cambió esto y cuándo?” en segundos