Hola, soy José Delgado ¿ Necesitas un Peritaje Informático o Investigación Informática Forense ? Consúltame tu caso sin compromiso. Móvil 690 680 670¡ Contacta Ahora !

Etapas de un Análisis Forense

El análisis forense se lleva a cabo mediante varias etapas que ayudan al investigador forense a trabajar con los datos que ha tomado y que definen la metodología a seguir en una investigación. Estas Etapas de un Análisis Forense serían las cuatro siguientes:

  • Estudio Preliminar
  • Adquisición de Datos
  • Análisis e Investigación
  • Presentación y Realización del Informe Pericial

A continuación vamos a ver, de forma breve, cada una de las mismas en que consiste:

  • Estudio Preliminar

Es el estudio inicial mediante la realización de entrevistas y la documentación entregada por el cliente. El objetivo es tener una idea inicial del problema que nos vamos a encontrar. En esta etapa es importante obtener toda la información necesaria sobre:

  • Persona que tiene a cargo el equipo que ha sido objeto del delito: nombre, apellidos, cargo, horas de trabajo, horario, tiempo que ha trabajado en la empresa, usuario del sistema, …
  • Equipo afectado: modelo, serie, sistema operativo, descripción del sistema, características del equipo, coste, años de funcionamiento, …
  • Localización de los dispositivos de almacenamiento utilizados por el sistema: memorias (USB, ,SD, MSD, RAM,…), discos duros, … y de estos dispositivos obtener los siguientes datos: marca, modelo, número de serie, tipos de conexión de los disco duros del sistema,…

En resumen, en esta primera etapa tiene lugar la obtención inicial de los datos y además debe realizarse un registro fotográfico de todo el sistema y de los dispositivos objeto del estudio.

  • Adquisición de Datos

Mediante la adquisición se obtienen los datos en medios digitales que fueron sometidos al procedimiento de clonación: recordemos que como investigador forense nunca se debe trabajar con los datos originales sino con copias bit a bit de los mismos, que no consiste en un solo copiado de archivos (backup) sino en una imagen completa del disco duro de la víctima.

Para tener una imagen clonada de bajo nivel es necesario que el disco duro a investigar tenga sólo el acceso de modo lectura habilitado, para evitar cualquier operación de escritura en el disco. Para realizar estos procedimientos se utilizan herramientas tipo hardware y/o software que soportan todo tipo de dispositivos de almacenamiento.

La verificación de estos datos se realiza por medio de las funciones hash, aplicando algoritmos como MD5 o SHA (estas funciones de cifrado permiten generar un código hexadecimal que se compara con el del disco original y se verifica así que es una copia exacta y que no se ha cambiado su contenido).

Esta es una de las etapas más críticas del Análisis Forense, debido a que si realiza mal, la investigación y todo el análisis llevado a cabo no será válido.

Las clonaciones se deben realizar sobre dispositivos preferentemente nuevos y formateados previamente a bajo nivel para eliminar las impurezas. Lo recomendable es utilizar clonadoras hardware o si no es posible alguna distribucion linux Live CD adecuada para ello como puede ser: Helix, CAINE, ForLEX, EnCase, DEFT Linux, …

Una vez detectado el problema de seguridad y lo que ha sido afectado, es importante que el investigador encargado de realizar el análisis forense decida apagar el equipo o no. Se trata de una decisión difícil debido a que si el equipo es apagado, pueden existir evidencias que todavía estén en la memoria volátil, usuarios conectados, procesos en ejecución, conexiones existentes, logs del sistema, etc que se perderían con el apagado. Por lo tanto, y a modo preventivo es interesante y muy útil hacer un volcado de todo ello con las herramientas apropiadas en cada caso antes de apagar el equipo.

Una vez obtenidos todos estos datos se deben transportar al centro donde se realizarán las investigaciones.

  • Análisis e Investigación

En esta etapa se lleva a cabo el análisis de las evidencias digitales, que es un proceso que requiere un gran conocimiento de los sistemas a estudiar.

La información que se debe recolectar en esta fase, principalmente es:

  • Registros de los sistemas analizados.
  • Registros de los detectores de intrusión.
  • Registros de los cortafuegos.
  • Ficheros del sistema analizado (en este caso hay que tener en cuidado con las carpetas personales de los usuarios. Hay que tener en cuenta que no se consideran personales aquellas carpetas que han sido creadas por defecto en la instalación del sistema operativo, como por ejemplo las de la cuenta del administrador…)

Cuando se accede a la información podemos definir dos tipos de análisis:

  • Físico. Es la información que no es interpretada por el sistema operativo.
  • Lógico. Es la información que si es interpretada por el sistema operativo, como sería: estructura de directorios, ficheros que se siguen almacenando así como los que han sido eliminados, horas y fechas de la creación o modificación de los ficheros, tamaño de los mismos, contenidos de los sectores libres, …

En futuros artículos detallaremos mucho más los procesos realizados en esta fase de análisis e investigación que, como es obvio, es la más larga, tediosa, complicada y valorada del todo el análisis forense.

  • Presentación y Realización del Informe Pericial

La redacción del Informe Pericial es una tarea compleja, porque no sólo hay que recoger todas las evidencias, indicios y pruebas recabados sino que, además hay que explicarlos de una manera clara y sencilla.

En la elaboración del Informe Pericial el investigador forense deberá tener en cuenta que no todo el mundo domina conceptos básicos de informática, por lo que es importante durante la elaboración del mismo facilitar su comprensión.

Además, de cara al juicio, si el Informe Pericial no es entendible pierde casi todo su valor, pues el propio abogado tendrá complicada su intervención en el proceso judicial si no es capaz de conocer y comprender la información esencial contenida en él.

Para mayor información sobre esta etapa leer el artículo del blog ¿Qué es el Informe Pericial?.

Con esto habríamos expuesto, muy forma breve, las etapas básicas de las que consta un Análisis Forense clásico o tradicional.

Ingeniero Superior en Informática UPV
Perito Informático Colegiado COIICV 1060
Máster en Peritaje Informático e Informática Forense

4 Comments

  1. Dani Moltó

    Hola José,
    Un post para mi gusto muy sencillo. Falta profundizar más, pero bien.
    Indicarte que lo más importante para mi es que el Informe Pericial tenga unas conclusiones concisas y muy claras, sin entrar en tecnicismos profundos que solo con una formación informática se pueden conocer.
    Gracias por el post.

    • Gracias Dani por tu comentario.
      Efectivamente quizás el artículo es un poco sencillo, pero no quería entrar en tecnicismos ni extenderme mucho en él. Mas bien quería dar una visión sencilla sobre las etapas del análisis forense, sin entrar en las variantes que pueden existir.
      Por otro lado, estoy de acuerdo contigo completamente que el resumen o conclusiones del Informe deben ser muy “entendibles” por un Juez y los Abogados sin conocimientos técnicos de informática… para eso estamos los Peritos Informáticos, para arrojar un poco de luz sobre la parte tecnológica e informática en el proceso judicial… 🙂

  2. Faviano

    Gracias Jose, por explicar de manera sincilla ya que no todos somos profecionales en este mundo Informatico, me sirvio de mucho las explicaciones. Gracias

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Social media & sharing icons powered by UltimatelySocial
Twitter
LinkedIn
RSS