Hoy vamos a dar inicio a una
serie de artículos de relacionados la informática forense, seguro que para
muchos será ya algo conocido, pero sin duda alguna para otros será el inicio en
este rama de la informática.
Si bien existe toda una teoría
que definitivamente no debe ser “saltada” vamos a tratar de resumir un poco
sobre las fases de un análisis forense digital. Primero lo primero la
definición:
Análisis
forense digital
"Se
considera como la aplicación de la ciencia en la identificación, recolección,
examinación y análisis de los datos preservando la integridad de la información
y mantener una estricta cadena de custodia para los datos."
Preservación
Etapa fundamental donde se
debe garantizar que no se pierda las evidencias (datos, información) que van a
ser adquiridas o recopiladas para su análisis. En esta etapa aparecen aspectos críticos
como el de apagar o encender un equipo o dispositivo, la correcta rotulación de
los elementos que posteriormente serán analizados, la preservación de la
memoria volátil.
Esta etapa da inicio a lo que
se conoce como la “cadena de custodia” un documento donde se mantiene un
registro continuo donde se debe detallar todos los movimientos realizados con
los dispositivos a fin de preservar una validez jurídica.
En el caso de que los
elementos o dispositivos deberían ser transportados, esto debe ser realizado
con sumo cuidado y evitar en el transcurso la información o los datos
contenidos sean alterados.
Adquisición
Etapa en la cual se recopilan
las evidencias, una evidencia puede ser definida como cualquier prueba que en
caso de ser necesario puede ser presentada en un proceso legal y la misma
tendría valor legal. La evidencia debe tener
estrictamente las siguientes características: admisible, autentica, completa, creíble,
confiable.
Podemos inferir que existen
dos tipos de evidencias las físicas y digitales. En el tipo de evidencia física
podemos encontrar: discos duros, dispositivos de almacenamiento móviles, cualquier
dispositivo que almacene información.
En el caso de la evidencia
digital podríamos definir algunas como: archivos, procesos, conexiones,
Archivos temporales, entrada de registros, bitácoras (logs, eventos).
Análisis
Como el nombre lo indica,
etapa importante donde se debe analizar toda la evidencia adquirida o
recolectada en las anteriores etapas. Punto importante a tomar en cuenta; ya
entrando en lo técnico se debe considerar el tipo de incidente, la arquitectura
del sistema operativo, el sistema de archivo esto determinara las herramientas,
técnicas y artefactos a analizar.
Documentación
Algo fundamental en el proceso
del análisis forense digital es la documentación detallada y metódica de todo
lo realizado, en este caso debemos concluir desde dos puntos de vista técnico y
ejecutivo. Fotografías, cadena de
custodia, línea de tiempo de lo sucedido.
Presentación
Aquí se define todo tu trabajo
realizado, no importa la cantidad de hojas, las técnicas de samurái utilizadas
para el análisis digital de las evidencias sino se presentan conclusiones
claras, precisas y entendibles, en caso de un dictamen pericial no podemos
presentar algo tan técnico ya que las personas no tendrán las habilidades para
entender (no es su obligación).
Espero que sirva de ayuda esta introducción, las siguientes entradas ya no serán "teóricas", si tienes consultas no dudes de hacerlas, deja tu comentario que responderemos todas tus inquietudes.
I.A

Te falto la etapa de la identificación de la evidencia.
ResponderEliminar