Etapas de un análisis forense ⚖️✍

por

Sin lugar a dudas, el análisis forense es una especie de investigación que tiene como fin determinar ciertas causas. Propiamente, esto es llevado a cabo por un profesional en el área ya que es quien conoce todas las etapas que tienen que ver con el mismo. Vale acotar que muchas veces esto es fuente de investigación y por ello es tan delicado.

El análisis forense se lleva a cabo mediante varias etapas que ayudan al investigador forense a trabajar con los datos que ha tomado y que definen la metodología a seguir en una investigación. Estas Etapas de un Análisis Forense serían las cuatro siguientes:

  • Estudio Preliminar
  • Adquisición de Datos
  • Análisis e Investigación
  • Realización y Presentación del Informe Pericial

A continuación vamos a ver, de forma breve, cada una de las mismas en que consiste:

Es el estudio inicial mediante la realización de entrevistas y la documentación entregada por el cliente. El objetivo es tener una idea inicial del problema que nos vamos a encontrar. En esta etapa es importante obtener toda la información necesaria sobre:

  • Persona que tiene a cargo el equipo que ha sido objeto del delito: nombre, apellidos, cargo, horas de trabajo, horario, tiempo que ha trabajado en la empresa, usuario del sistema, …
  • Equipo afectado: modelo, serie, sistema operativo, descripción del sistema, características del equipo, coste, años de funcionamiento, …
  • Localización de los dispositivos de almacenamiento utilizados por el sistema: memorias (USB, ,SD, MSD, RAM,…), discos duros, … y de estos dispositivos obtener los siguientes datos: marca, modelo, número de serie, tipos de conexión de los disco duros del sistema,…

En resumen, en esta primera etapa tiene lugar la obtención inicial de los datos y además debe realizarse un registro fotográfico de todo el sistema y de los dispositivos objeto del estudio.

Mediante la adquisición se obtienen los datos en medios digitales que fueron sometidos al procedimiento de clonación: recordemos que como investigador forense nunca se debe trabajar con los datos originales sino con copias bit a bit de los mismos, que no consiste en un solo copiado de archivos (backup) sino en una imagen completa del disco duro de la víctima.

  Peritaje Informático de un ERP

Para tener una imagen clonada de bajo nivel es necesario que el disco duro a investigar tenga sólo el acceso de modo lectura habilitado, para evitar cualquier operación de escritura en el disco. Para realizar estos procedimientos se utilizan herramientas tipo hardware y/o software que soportan todo tipo de dispositivos de almacenamiento.

La verificación de estos datos se realiza por medio de las funciones hash, aplicando algoritmos como MD5 o SHA (estas funciones de cifrado permiten generar un código hexadecimal que se compara con el del disco original y se verifica así que es una copia exacta y que no se ha cambiado su contenido).

Esta es una de las etapas más críticas del Análisis Forense, debido a que si realiza mal, la investigación y todo el análisis llevado a cabo no será válido.

Las clonaciones se deben realizar sobre dispositivos preferentemente nuevos y formateados previamente a bajo nivel para eliminar las impurezas. Lo recomendable es utilizar clonadoras hardware o si no es posible alguna distribucion linux Live CD adecuada para ello como puede ser: Helix, CAINE, ForLEX, EnCase, DEFT Linux, …

Una vez detectado el problema de seguridad y lo que ha sido afectado, es importante que el investigador encargado de realizar el análisis forense decida apagar el equipo o no. Se trata de una decisión difícil debido a que si el equipo es apagado, pueden existir evidencias que todavía estén en la memoria volátil, usuarios conectados, procesos en ejecución, conexiones existentes, logs del sistema, etc que se perderían con el apagado. Por lo tanto, y a modo preventivo es interesante y muy útil hacer un volcado de todo ello con las herramientas apropiadas en cada caso antes de apagar el equipo.

  Perito Informático Colegiado - jdg Peritajes Informáticos

Una vez obtenidos todos estos datos se deben transportar al centro donde se realizarán las investigaciones.

En esta etapa se lleva a cabo el análisis de las evidencias digitales, que es un proceso que requiere un gran conocimiento de los sistemas a estudiar.

La información que se debe recolectar en esta fase, principalmente es:

  • Registros de los sistemas analizados.
  • Registros de los detectores de intrusión.
  • Registros de los cortafuegos.
  • Ficheros del sistema analizado (en este caso hay que tener en cuidado con las carpetas personales de los usuarios. Hay que tener en cuenta que no se consideran personales aquellas carpetas que han sido creadas por defecto en la instalación del sistema operativo, como por ejemplo las de la cuenta del administrador…)

Cuando se accede a la información podemos definir dos tipos de análisis:

  • Físico. Es la información que no es interpretada por el sistema operativo.
  • Lógico. Es la información que si es interpretada por el sistema operativo, como sería: estructura de directorios, ficheros que se siguen almacenando así como los que han sido eliminados, horas y fechas de la creación o modificación de los ficheros, tamaño de los mismos, contenidos de los sectores libres, …

En futuros artículos detallaremos mucho más los procesos realizados en esta fase de análisis e investigación que, como es obvio, es la más larga, tediosa, complicada y valorada del todo el análisis forense.

  • Realización y Presentación del Informe Pericial

La redacción del Informe Pericial es una tarea compleja, porque no sólo hay que recoger todas las evidencias, indicios y pruebas recabados sino que, además hay que explicarlos de una manera clara y sencilla.

En la elaboración del Informe Pericial el investigador forense deberá tener en cuenta que no todo el mundo domina conceptos básicos de informática, por lo que es importante durante la elaboración del mismo facilitar su comprensión.

  Sitio Web OFICIAL Del Concurso SEO en 2022

Además, de cara al juicio, si el Informe Pericial no es entendible pierde casi todo su valor, pues el propio abogado tendrá complicada su intervención en el proceso judicial si no es capaz de conocer y comprender la información esencial contenida en él.

Relacionados

El papel crucial de los informáticos forenses en la era digital: descubre cómo proteger tus datos y ...
Qué es un Perito Informático
Descubre los sueldos informáticos más destacados y cómo alcanzarlos en el mundo digital
El sueldo de un perito judicial: consejos y recomendaciones para negociar y establecer una remunerac...
EMPRESA / las Estrategias De Marketing Empleadas por Fluyezcambios - Murcia.com
Metodología - jdg Peritajes Informáticos
Perito Judicial en Valencia: la clave para resolver disputas legales con éxito
La importancia de la informática en Murcia: Impulsa tu negocio con las últimas tendencias tecnológic...
¿Cuánto cobra un informático? Descubre los honorarios de un profesional en tecnología
Análisis Forense Informático: Descubre cómo investigar y resolver delitos cibernéticos
Análisis forense informático: Descubriendo la verdad tras las huellas digitales
Servicio de Informáticos a Domicilio en Madrid: Soluciones tecnológicas sin salir de casa
Sueldo de informático: claves para negociar y aumentar tu salario en el ámbito digital
Qué es un informe pericial y cómo puede ayudarte en tus procesos legales
Aviso Legal - jdg Peritajes Informáticos
Cómo aprovechar el prefetching para mejorar la velocidad de carga de tu sitio web
Placas temporales en Estados Unidos: Todo lo que necesitas saber
Perito Informático Colegiado Alicante - jdg Peritajes Informáticos
El sueldo de un informático: factores que lo determinan y consejos para negociar
La importancia de contar con un perito en informática forense en casos legales
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Más información
Privacidad