User Agent en el Análisis Forense


User-Agent (UA) es una cadena de texto que forma parte de las cabeceras HTTP enviadas por un cliente (típicamente un navegador web) al realizar una petición a un servidor. Esta cadena contiene información que permite identificar el sistema operativo, la arquitectura, el motor de renderizado, y el navegador —junto con su versión específica— utilizado por el cliente.

Desde una perspectiva forense, el User-Agent representa una huella digital volátil pero crítica del entorno del usuario en el momento de la conexión. Su análisis permite:

  • Perfilar el sistema cliente (ej. Windows 10 x64, navegador Chrome 135),

  • Correlacionar eventos en múltiples registros y artefactos (proxy logs, access logs, .pcap),

  • Detectar automatización o herramientas sospechosas (como curl, python-requests o malware con UA estáticos),

  • Identificar intentos de evasión o spoofing, donde un atacante modifica el UA para ocultar su entorno real o hacerse pasar por un cliente legítimo.

Aunque fácilmente falsificable, su valor radica en la coherencia contextual: al analizar el UA en conjunto con otros metadatos (IP, Accept-Language, Referer, fingerprint del navegador, etc.), permite detectar anomalías, atribuir actividad a un host determinado, o reconstruir sesiones de navegación sospechosas.


Figura Nº 1 Ejemplo de User Agent

Cada segmento de esta cadena aporta datos clave que, bien interpretados, permiten extraer conclusiones relevantes en un análisis forense:

  1. Mozilla/5.0
    Este fragmento es un token heredado que hoy en día forma parte estándar de la mayoría de los navegadores modernos. Originalmente hacía referencia al navegador Netscape/Mozilla, pero en la actualidad su presencia responde únicamente a razones de compatibilidad con servidores que esperan este prefijo. No implica que el navegador en uso sea Firefox o derivados.

  2. (Windows NT 10.0; Win64; x64)
    Este bloque describe el sistema operativo y la arquitectura del cliente. En este caso, se trata de Windows 10, en una arquitectura de 64 bits. Esta información es sumamente útil en contextos forenses: permite vincular patrones de actividad a un entorno específico, detectar inconsistencias o reforzar hipótesis de atribución a nivel de host.

  3. AppleWebKit/537.36 (KHTML, like Gecko)
    Aquí se identifica el motor de renderizado utilizado por el navegador. AppleWebKit es el motor que impulsa a navegadores como Chrome y Safari, mientras que KHTML, like Gecko se incluye para mantener compatibilidad con sitios que esperan motores del tipo Gecko (usado por Firefox). La presencia de este bloque indica que el navegador es probablemente Chromium-based.

  4. Chrome/135.0.0.0
    Este es el componente más crítico para la evaluación forense: indica el navegador y su versión exacta. Conocer que se utilizó Google Chrome versión 135 permite, por ejemplo, verificar si esa versión tenía vulnerabilidades conocidas (CVE), y evaluar si el cliente pudo haber sido comprometido mediante un exploit activo en el momento de la conexión.

  5. Safari/537.36
    Este identificador es usado por navegadores basados en Chromium para evitar bloqueos o limitaciones en sitios que esperan características de Safari. Aunque el navegador no sea Safari, incluir esta cadena es una técnica común para mejorar la compatibilidad web.

Extracción directa del User-Agent desde la consola del navegador

Una forma rápida y efectiva de obtener el User-Agent de un sistema durante un análisis en vivo (live forensics) es ejecutando el siguiente comando JavaScript desde la consola del navegador:

navigator.userAgent



Como se observa en la imagen, esta instrucción devuelve la cadena completa que representa el entorno de ejecución del navegador al momento de la consulta. Este método es especialmente útil cuando se tiene acceso físico o remoto a la sesión de un sospechoso en tiempo real, ya que:

  • No requiere herramientas externas ni acceso a archivos de log.

  • Permite documentar el entorno del navegador tal como lo ve el propio usuario.

  • Facilita la identificación del sistema operativo, arquitectura y tipo de navegador utilizado.

Sin embargo, es importante tener en cuenta que esta cadena puede haber sido modificada manualmente o por extensiones del navegador, por lo que siempre debe corroborarse con otros indicadores como fingerprints del sistema, logs de servidor o datos de red capturados por herramientas como Zeek o Wireshark.

Spoofing del User-Agent: demostración práctica

Una de las limitaciones clave del análisis forense del User-Agent es su facilidad de manipulación. En esta demostración, se ha lanzado manualmente Google Chrome desde la línea de comandos con un User-Agent falsificado utilizando el siguiente argumento:

chrome.exe --user-agent="FakeAgent/1.0"


Figura Nº 3 Spoofing del User-Agent

Como se aprecia en la primera imagen, esta instrucción se ejecuta desde una máquina Windows 10, específicamente en un entorno de laboratorio (FLARE-VM).



Figura Nº 4 Fake User-Agent


Este resultado confirma que el navegador ha sobrescrito completamente la cadena original del User-Agent, ocultando detalles reales como el sistema operativo, arquitectura, motor de renderizado y versión del navegador.


En una investigación forense digital, el User-Agent se utiliza para identificar el tipo de dispositivo, sistema operativo y navegador que usó un cliente al conectarse a un servidor. 


Esta información permite reconstruir el contexto de una conexión web, detectar accesos sospechosos, y diferenciar usuarios reales de bots o herramientas automatizadas. Además, si se repiten ciertos User-Agents en los logs, pueden servir para correlacionar actividades entre distintos eventos. 


Repito que aunque es fácil de falsificar, su análisis combinado con otros datos como la IP, la hora de conexión y los patrones de navegación puede ayudar a confirmar o descartar hipótesis durante un análisis forense.

Popular posts from this blog

El estado de la Criptografía Cuántica en 2025 - Parte I

Image
En 2025, la criptografía cuántica se encuentra en un momento clave. Por un lado, ya vemos que la Distribución Cuántica de Claves (QKD) empieza a consolidarse comercialmente en entornos muy específicos, donde la seguridad es crítica. Pero al mismo tiempo, persisten desafíos técnicos y estratégicos que siguen limitando su adopción a gran escala. En este artículo quiero repasar el estado actual de esta tecnología, poniendo especial atención al despliegue de redes QKD terrestres por parte de operadores, y al avance de la QKD satelital —particularmente impulsada por China— como una vía para asegurar comunicaciones a nivel global. Nature: Satellite-based entanglement distribution over 1200 kilometers Uno de los ejes centrales del análisis es la relación entre QKD y la Criptografía Post-Cuántica (PQC). Desde que el NIST publicó los primeros estándares de PQC en 2024, la industria ya cuenta con una hoja de ruta concreta, basada en soluciones de software, para proteger la mayoría de los sistema...
Read more

Desarrollo de Malware creando tu primer Ransomware Parte 1

Image
  La mayoría de las veces, cuando uno quiere enseñar cómo actúa un ransomware moderno en un entorno corporativo, se enfrenta a dos problemas: o usás un malware real y te arriesgás a contaminar el entorno (o peor, romper cosas por accidente), o usás algo tan simplificado que no sirve para aprender nada serio. Este proyecto nació justamente de esa tensión. Necesitábamos mostrar a un equipo de operadores EDR cómo se comporta un ransomware como LockBit 3.0 en el mundo real, pero sin correr riesgos. Sin usar muestras reales, sin sandbox en la nube, y sin depender de entornos con Windows vulnerables. Solo una VM Ubuntu, código abierto, y algo de ingeniería. Esto es lo que hicimos. Por qué crear un ransomware falso LockBit 3.0 es uno de los ransomware más sofisticados de los últimos años. Cifra archivos con AES y RSA, mata procesos, detecta VMs, exfiltra información, y presiona con doble extorsión. Todo eso está documentado en análisis como los de Zscaler o Kaspersky, pero ver ese compo...
Read more

Desarrollo de Exploits - Buffer Overflow

Image
  El desbordamiento de búfer ( buffer overflow ) es una de las vulnerabilidades más conocidas en la programación en C. A pesar de su antigüedad, sigue siendo relevante y en este artículo vamos a ver un ejemplo concreto y simple de cómo esta vulnerabilidad puede modificar el comportamiento de un programa. También veremos cómo evitar este tipo de errores. El código vulnerable A continuación, les dejo un programita en C que contiene una vulnerabilidad por desbordamiento de búfer. Con un poco de humor, claro esta, porque nadie dijo que escribir en C tenía que ser aburrido. En este código, la variable  nombre  tiene espacio para 8 caracteres, y  control   es una variable entera que debería mantener su valor inicial (cero). El problema ocurre porque se usa la función  gets() , que no verifica el tamaño del input que se ingresa por teclado. Esto permite que un usuario escriba más caracteres de los que caben en  nombre , sobrescribiendo la memoria adyacente, ...
Read more