Please enable JavaScript.
Coggle requires JavaScript to display documents.
PROCESO DE INFORMÁTICA FORENSE PARA LOS DELITOS CIBERNÉTICOS
image,…
PROCESO DE INFORMÁTICA FORENSE PARA LOS DELITOS CIBERNÉTICOS
1. Adquisición
En esta fase se obtienen copias de la información que se sospecha que puede estar vinculada con algún incidente.
Se debe evitar modificar cualquier tipo de dato utilizando siempre copias bite a bite con las herramientas y dispositivos adecuados.
Este tipo de copia es imprescindible, debido a que dejará recuperar archivos borrados o particiones ocultas, arrojando como resultado una imagen de igual tamaño al disco estudiado.
La adquisición de muestras debe respetar una regla fundamental que está ligada a la volatilidad de las muestras, por lo que se deberán recolectar en el orden de la más volátil en primera instancia a la menos, sobre el final.
2. Preservación
En esta etapa se debe garantizar la información recopilada con el fin de que no se destruya o sea transformada. Es decir que nunca debe realizarse un análisis sobre la muestra incautada, sino que deberá ser copiada y sobre la copia se deberá realizar la pericia.
De este modo, aparece el concepto de cadena de custodia, la cual es un acta en donde se registra el lugar, fecha, analista y demás actores que manipularon la muestra.
En muchos casos deberemos utilizar las técnicas de Hashes para identificar de forma unívoca determinados archivos que podrían ser de gran utilidad para la investigación.
3. Análisis
Es la fase más técnica, donde se utilizan tanto hardware como software específicamente diseñados para el análisis forense. Si bien existen métricas y metodologías que ayudan a estructurar el trabajo de campo, se podrán obtener grandes diferencias dependiendo de las herramientas que se utilicen, las capacidades y experiencia del analista.
Es muy importante tener en claro qué es lo que estamos buscando, debido a que esto dará un enfoque más preciso a la hora de ir a buscar pruebas. Sin embargo, el estudio de la línea de tiempo (timeline), logs de accesos y una descarga de la memora RAM será muy útil para la mayoría de las pericias.
Es muy importante en esta instancia la evaluación de criticidad del incidente encontrado y los actores involucrados en él.
4. Documentación
Es necesario ir documentando todas las acciones, en lo posible, a medida que vayan ocurriendo.
Debemos tener claro por nuestro análisis qué fue lo sucedido, e intentar poner énfasis en cuestiones críticas y relevantes a la causa.
Debemos citar y adjuntar toda la información obtenida, estableciendo una relación lógica entre las pruebas obtenidas y las tareas realizadas, asegurando la repetibilidad de la investigación.
5. Presentación
-
-