Portada 1 / 8
navegar Space siguiente
© Kroko | Steven — Análisis F. Digital 2026
01 / 10 Análisis Forense Digital
Grupo 7 — Caso Forense Real
Sony Pictures
Hack — 2014
Atacante
Guardians of Peace
Corea del Norte / Lazarus
Fecha
24 Nov 2014
Robado
+100 TB
Integrantes — Grupo 7
Steven W. Capellán — 10163717
Nombre Apellido — 0000000
Nombre Apellido — 0000000
Sony Pictures logo
02El Incidente
03Cronología
04Investigación
05Evidencias
06Preservación
07Arsenal Técnico
08Lazarus Group
09Impacto
10Conclusión
02 / 10 El Incidente
Pregunta 01
¿Qué ocurrió en el caso?

En noviembre de 2014, el grupo "Guardians of Peace" comprometió la red de Sony Pictures. Robaron más de 100 terabytes y destruyeron miles de computadoras — el primer ataque destructivo de esta escala contra una empresa de EE.UU.

El detonante: la película "The Interview", sátira sobre Kim Jong-un. El FBI lo atribuyó al gobierno norcoreano y su agencia Bureau 121.

100+
Terabytes robados
$15M
Daños inmediatos
47K
Empleados expuestos
5
Películas filtradas
Póster The Interview
03 / 10 Cronología
Línea de tiempo del ataque
Del infiltrado silencioso al colapso total
Oct 2014
Spear phishing inicial. Los atacantes se infiltran y pasan 2+ meses copiando archivos sin ser detectados.
24 Nov 2014
Día cero. Se activa el malware. Los empleados ven el skull rojo de los GOP en sus pantallas.
25 Nov 2014
Sony apaga toda su red. Empleados vuelven a papel y fax. Contactan al FBI y a FireEye/Mandiant.
27 Nov 2014
Los GOP filtran 5 películas en torrents — 4 sin estrenar. Millones de descargas en horas.
1 Dic 2014
El FBI lanza investigación oficial para determinar amenaza de seguridad nacional.
16 Dic 2014
Amenaza terrorista. Los GOP nombran "The Interview" y amenazan ataques físicos en cines.
19 Dic 2014
El FBI anuncia: Corea del Norte es responsable.
25 Dic 2014
Sony estrena "The Interview" en 300+ cines y plataformas digitales.
Pantalla Hacked by GOP
04 / 10 Investigación
Pregunta 02
¿Qué tipo de investigación
se realizó?
Criminal Federal
El FBI lanzó investigación oficial el 1 Dic 2014 para determinar amenaza de seguridad nacional e identificar al actor estatal.
Forense Digital Privada
FireEye/Mandiant realizó análisis forense, copias de evidencia y restauración. El mismo equipo del caso Target 2013.
Inteligencia Nacional
La NSA asistió con acceso previo instalado en redes norcoreanas desde 2010, confirmando el origen desde adentro.
Colaborativa Privada
Novetta + 10 firmas (Kaspersky, Symantec, AlienVault, Trend Micro…) publicaron informe conjunto en Feb 2016.
DOJ Affidavit — USA vs. Park Jin Hyok
179 páginas · Evidencia técnica completa · Click para abrir
05 / 10 Evidencia Digital
Pregunta 03
¿Qué evidencias
pudieron encontrarse?
Malware
Destover, Brambul, SMB Worm Tool — compilados en coreano 48h antes. Hardcoded con credenciales internas de Sony.
Correos
Correos internos ejecutivos filtrados. Spear phishing de entrada (falso Facebook, falsa oferta de empleo).
Red / IPs
IPs hardcodeadas en malware rastreadas hasta infraestructura norcoreana. Conexiones C2 cada 5 min.
Archivos
5 películas completas, guiones, contratos, datos de 47,000 empleados (SSN, salarios, direcciones).
Credenciales
Passwords robados por Brambul vía SMTP al C2. Usados para personalizar el ataque a la infraestructura interna.
Correo spear phishing Facebook
USA vs. Park Jin Hyok — DOJ 2018
Click para abrir el affidavit completo (PDF)
06 / 10 Preservación
Pregunta 04
¿Cómo se preservó
la evidencia?
Buenas Prácticas
Reporte inmediato: Sony notificó al FBI en pocas horas — clave para preservar evidencia.
Aislamiento: Se desconectó toda la red el 25 Nov para detener la destrucción.
Forense profesional: Mandiant realizó copias forenses sin alterar los originales.
Cadena de custodia: FBI + FireEye documentaron cada acción bajo protocolos estrictos.
El gran desafío: MBR Wipe
Destover sobrescribía el Master Boot Record, haciendo la recuperación de datos mediante métodos forenses estándar extremadamente difícil o imposible.
Diagrama MBR Destover
Lección Clave
Actuar rápido es crítico — una vez que el wiper actúa, la evidencia puede perderse permanentemente. La integridad debe protegerse desde el primer segundo.
07 / 10 Arsenal Técnico
Pregunta 05
Herramientas y técnicas
del ataque e investigación
Arsenal de los atacantes
① Spear Phishing
Vector de entrada. Correos disfrazados de ofertas de empleo y alertas de Facebook con malware oculto en los enlaces.
② Brambul Worm
Gusano SMB que robaba credenciales (IP, usuario, contraseña, OS) y las enviaba al C2 vía SMTP. 3 variantes encontradas.
③ Destover / Wipall
Wiper final. Drivers EldoS RawDisk para evadir NTFS y sobrescribir el MBR. Compilado en coreano 48h antes del ataque.
Park Jin Hyok
WANTED by the FBI
Park Jin Hyok · Click para abrir
Herramientas de investigación
Análisis de Malware
AlienVault (idioma coreano). Kaspersky (vínculos Shamoon/DarkSeoul). Symantec y Trend Micro (variantes catalogadas).
Trazabilidad de IPs
IPs hardcodeadas rastreadas a infraestructura norcoreana. Los atacantes expusieron sus IPs reales en un momento clave.
SIGINT — NSA
Acceso a redes norcoreanas desde 2010 confirmó el origen con inteligencia de señales clasificada.
Forense — Mandiant
Copias forenses, reconstrucción de cadena de eventos, restauración progresiva bajo protocolos de evidencia.
08 / 10 El Actor
Contexto del atacante
Lazarus Group —
La mano detrás del ataque

Lazarus Group no es una banda de hackers independientes — es una unidad militar del régimen de Kim Jong-un, conocida formalmente como la Oficina de Enlace 414 del Buró General de Reconocimiento (RGB). Activa desde al menos 2009, combina espionaje, sabotaje y robo financiero en una sola operación.

Lo que los hace únicos frente a otros actores estatales: están motivados financieramente. Roban dinero para financiar el programa nuclear norcoreano y evadir sanciones internacionales.

Sus ataques más importantes
2014
Sony Pictures Hack — primer wiper attack destructivo de Estado contra empresa privada.
2016
Bangladesh Bank Heist — intentaron robar $951M via SWIFT. Lograron $81M.
2017
WannaCry — ransomware global que paralizó hospitales, bancos y empresas en 150 países.
2021–2025
+$5B en criptomonedas robados — incluyendo $1.5B de Bybit en 2025, el mayor robo cripto de la historia.
También conocidos como
APT38 / Hidden Cobra
Guardians of Peace (Sony)
Labyrinth Chollima
Diamond Sleet (Microsoft)
¿Por qué importa para este caso?
El Sony Hack no fue un ataque aislado de hackers molestos por una película. Fue la primera gran operación pública del Lazarus Group — el momento en que el mundo descubrió que Corea del Norte tenía un ejército cibernético capaz de destruir infraestructura corporativa.
Chart 1 DOJ
09 / 10 Impacto
Consecuencias del caso
¿Qué cambió después
del Sony Hack?
Impacto Financiero
$35M+ en costos de recuperación directos
$8M en demanda colectiva de empleados
• Pérdida de ingresos por distribución limitada de "The Interview"
• Amy Pascal (co-presidenta) renunció por los correos filtrados
Impacto Legal y Político
• EE.UU. impuso sanciones a Corea del Norte (Ene 2015)
• Obama llamó el ataque "cibervandalism"; McCain lo llamó "nueva forma de guerra"
• El Secretario de Seguridad Nacional recomendó adoptar el Framework NIST
• WikiLeaks publicó 30,000 documentos robados en 2015
Impacto en Ciberseguridad
• Primera atribución pública de un ciberataque mayor a un actor estatal
• Industria del entretenimiento reevaluó protocolos de seguridad
• Auge del cyber liability insurance corporativo
• Debate global: ¿cuándo un ciberataque es un acto de guerra?
El debate que abrió este caso
• ¿Cuándo un ciberataque es un acto de guerra?
• ¿Debe el gobierno defender al sector privado de ataques estatales?
• ¿Puede un Estado usar ciberataques para censurar contenido extranjero?
• ¿Cómo se atribuye un ataque con suficiente certeza legal?
Chart 2 DOJ
10 / 10 Conclusión
Relación con la asignatura
Lecciones del caso
Primer ataque destructivo
El primer wiper attack de esta escala en EE.UU. Demostró que el malware puede diseñarse para destruir evidencia permanentemente.
Reporte inmediato
Sony notificó al FBI en horas — determinante para la investigación. En forense digital, cada minuto sin actuar destruye evidencia.
Convergencia necesaria
Se necesitaron FBI + Mandiant + NSA + 10 firmas privadas. La forense moderna es multidisciplinaria e internacional.
Tipos de evidencia — vistos en clase
Computadoras: malware, archivos, logs del sistema
Redes: IPs, tráfico C2, registros de conexión
Correos: spear phishing, comunicaciones internas
Archivos: películas, documentos, credenciales
Chart 3 DOJ
"Este caso redefinió lo que significa un ciberataque de Estado: no solo robar datos, sino destruir infraestructura, intimidar y silenciar."
Grupo 7 — PUCMM 2025