Está en la página 1de 4

5 fases fundamentales del anlisis

forense digital
Por Lucas Paus publicado 15 abr 2015 - 04:03PM

El anlisis forense digital se define como un conjunto de tcnicas de recopilacin y exhaustivo peritaje de
datos, la cual sin modificacin alguna podra ser utilizada para responder en algn tipo de incidente en un
marco legal. Un incidente es un evento en donde la polticas de seguridad de un sistema se ven corrompidas,
siendo entonces el objetivo entender la naturaleza del ataque.

Este tipo de tcnica est creciendo mucho en los ltimos aos y normalmente se encuentra relacionada a
casos de estudio en donde ocurri un delito financiero, evasin de impuestos, investigacin sobre seguros,
acoso o pedofilia, robo de propiedad intelectual, fuga de informacin y ciberterrorismo o ciberdefensa, entre
muchos otros campos.

Usualmente es divido en cinco fases que nos ayudan a mantener un estudio estructurado, facilitando la
verificabilidad, la reproducibilidad del anlisis. Profundizaremos estas etapas del anlisis forense:

1. Adquisicin
En esta fase se obtienen copias de la informacin que se sospecha que puede estar vinculada con algn
incidente. De este modo, hay que evitar modificar cualquier tipo de dato utilizando siempre copias bite a bite
con las herramientas y dispositivos adecuados. Cabe aclarar este tipo de copia es imprescindible, debido a
que nos dejara recuperar archivos borrados o particiones ocultas, arrojando como resultado una imagen de
igual tamao al disco estudiado.

Rotulando con fecha y hora acompaado del uso horario, las muestras debern ser aisladas en recipientes
que no permitan el deterioro ni el contacto con el medio. En muchos casos, esta etapa es complementada
con el uso de fotografas con el objetivo de plasmar el estado de los equipos y sus componentes electrnicos.

Recomendamos la utilizacin de guantes, bolsas antiestticas y jaulas de Faraday para depositar dispositivos
que puedan interaccionar con ondas electromagnticas como son los celulares.

La adquisicin de muestras debe respetar una regla fundamental que est ligada a la volatilidad de las
muestras, por lo que se debern recolectar en el orden de la ms voltil en primera instancia a la menos,
sobre el final. A modo de ejemplo, podramos indicar que primero deberamos recolectar datos relevantes a la
memoria, contenidos del cach y como ltimo paso recolectar el contenido de documentos o informacin que
est disponible en el soporte de almacenamiento.

Como ya sabemos las RFC son un conjunto de documentos que sirven de referencia para estandarizaciones,
normalizaciones en comunicaciones y tecnologa. De esta forma consultando la RFC 3227, podremos relevar
con mayor profundidad todo lo que compete a esta etapa.
2. Preservacin
En esta etapa se debe garantizar la informacin recopilada con el fin de que no se destruya o sea
transformada. Es decir que nunca debe realizarse un anlisis sobre la muestra incautada, sino que deber ser
copiada y sobre la copia se deber realizar la pericia.

De este modo, aparece el concepto de cadena de custodia, la cual es un acta en donde se registra el lugar,
fecha, analista y dems actores que manipularon la muestra.
En muchos casos deberemos utilizar las tcnicas de Hashes para identificar de forma unvoca determinados
archivos que podran ser de gran utilidad para la investigacin.

3. Anlisis
Finalmente, una vez obtenida la informacin y preservada, se pasa a la parte ms compleja. Sin duda, es la
fase ms tcnica, donde se utilizan tanto hardware como software especficamente diseados para el anlisis
forense. Si bien existen mtricas y metodologas que ayudan a estructurar el trabajo de campo, se podrn
obtener grandes diferencias dependiendo de las herramientas que se utilicen, las capacidades y experiencia
del analista.

Adems, es muy importante tener en claro qu es lo que estamos buscando, debido a que esto dar un
enfoque ms preciso a la hora de ir a buscar pruebas. Sin embargo, el estudio de la lnea de tiempo (timeline),
logs de accesos y una descarga de la memora RAM ser muy til para la mayora de las pericias.

Es muy importante en esta instancia la evaluacin de criticidad del incidente encontrado y los actores
involucrados en l.

4. Documentacin
Si bien esta es una etapa final, recomendamos ir documentando todas las acciones, en lo posible, a medida
que vayan ocurriendo. Aqu ya debemos tener claro por nuestro anlisis qu fue lo sucedido, e intentar poner
nfasis en cuestiones crticas y relevantes a la causa. Debemos citar y adjuntar toda la informacin
obtenida, estableciendo una relacin lgica entre las pruebas obtenidas y las tareas realizadas, asegurando la
repetibilidad de la investigacin.

5. Presentacin
Normalmente se suelen usar varios modelos para la presentacin de esta documentacin. Por un lado, se
entrega un informe ejecutivo mostrando los rasgos ms importantes de forma resumida y ponderando por
criticidad en la investigacin sin entrar en detalles tcnicos. Este informe debe ser muy claro, certero y
conciso, dejando afuera cualquier cuestin que genere algn tipo de duda.

Un segundo informe llamado Informe Tcnico es una exposicin que nos detalla en mayor grado y precisin
todo el anlisis realizado, resaltando tcnicas y resultados encontrados, poniendo nfasis en modo de
observacin y dejando de lado las opiniones personales.

Conclusiones
A la hora de auditar un incidente de seguridad, hay que tener muy en claro su naturaleza, ser meticulosos,
estructurados, muy claros en las observaciones y detallar con la mayor precisin posible.

Asegurando preservar la muestra en estado original y siempre trabajando sobre copias realizadas bit a bit,
lograremos ir alineados a las metodologas estandarizadas internacionales, las cuales nos darn pie a
presentar nuestros resultados con un soporte legal ante alguna Institucin que lo requiera.

Crditos imagen: West Midlands Police/Flickr