Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INFORMÁTICO
Presentación:
En este cuarto módulo del curso se explicará el significado de Forensia Informática,
observaremos sus características principales y se detallará la metodología recomendada
para llevarla adelante de manera eficaz.
Objetivos:
Que los participantes:
Conozcan el significado de Forensia Digital y la metodología sugerida para llevarla
adelante de manera eficaz durante una pericia/investigación.
Bloques temáticos:
1. Forensia Digital: Conceptos básicos
2. Metodología
En esta Unidad los participantes se encontrarán con diferentes tipos de actividades que,
en el marco de los fundamentos del MEC*, los referenciarán a tres comunidades de
aprendizaje, que pondremos en funcionamiento en esta instancia de formación, a los
efectos de aprovecharlas pedagógicamente:
Es importante que todos los participantes realicen algunas de las actividades sugeridas y
compartan en los foros los resultados obtenidos.
El carácter constructivista y colaborativo del MEC nos exige que todas las actividades
realizadas por los participantes sean compartidas en los foros.
Tomen nota:
Las actividades son opcionales y pueden realizarse en forma individual, pero siempre es
deseable que se las realice en equipo, con la finalidad de estimular y favorecer el trabajo
colaborativo y el aprendizaje entre pares. Tenga en cuenta que, si bien las actividades
son opcionales, su realización es de vital importancia para el logro de los objetivos de
aprendizaje de esta instancia de formación. Si su tiempo no le permite realizar todas las
actividades, por lo menos realice alguna, es fundamental que lo haga. Si cada uno de los
participantes realiza alguna, el foro, que es una instancia clave en este tipo de cursos,
tendrá una actividad muy enriquecedora.
Asimismo, también tengan en cuenta cuando trabajen en la Web, que en ella hay de todo,
cosas excelentes, muy buenas, buenas, regulares, malas y muy malas. Por eso, es
necesario aplicar filtros críticos para que las investigaciones y búsquedas se encaminen a
la excelencia. Si tienen dudas con alguno de los datos recolectados, no dejen de consultar
al profesor-tutor. También aprovechen en el foro proactivo las opiniones de sus
compañeros de curso y colegas.
ISO/IEC 27.037/2012
Modelo EDRM
2. Metodología
La unidad se centrará en el Modelo EDRM, mencionado anteriormente, que plantea
básicamente una metodología recomendada para llevar adelante las tareas relacionadas
con la Forensia Informáticas. Resumidamente y de manera gráfica, el modelo (que puede
encontrarse de manera gratuita en el sitio www.edrm.net) es el siguiente:
A continuación, se detallan las fases del siguiente modelo, mencionando las herramientas,
técnicas y elementos a tener en cuenta para llevar adelante cada una de ellas.
2.1. Identificación
Implica el desarrollo y la ejecución de estrategias para la identificación y validación de
potenciales fuentes de información almacenada electrónicamente relevantes para el caso.
Incluye tanto personas como sistemas.
Requerimientos previos:
o Desktops
o Laptops
o Discos magnéticos
o Pendrives
o Celulares
2.2. Preservación
Etapa en la que se activa la preservación de los dispositivos, y en consecuencia los datos
contenidos en ellos, potencialmente relevantes identificados en la fase anterior. Se los
debe aislar inmediatamente, protegiéndolos de forma que sean luego legalmente
defendibles, razonables, amplios, pero a medida, auditables y repetibles.
Manejo de la evidencia:
Cadena de Custodia
2.3. Recolección
Etapa en la que se realiza la recolección de la información potencialmente relevante. La
misma debe ser recogida teniendo en cuenta los preceptos de la fase de preservación.
Previo a comenzar con las tareas de recolección, el perito deberá realizar las siguientes
tareas:
• Validar que las herramientas utilizadas, tanto Hardware como Software, realizan
efectivamente lo que el fabricante dice que hacen.
• Verificar que se posea una licencia válida en caso de que la herramienta no sea de
código abierto.
Realización de la recolección:
El perito deberá decidir en el momento, cuál de las dos modalidades elegir, teniendo en
cuenta la naturaleza de la investigación y el tipo de información que resulte más relevante
para ésta. Cada una de éstas modalidades tiene sus ventajas y desventajas, a saber:
• Dead Collection
Ventajas:
- Permite efectuar una imagen física del medio (más completa, incluye toda la información
de los medios de almacenamiento que posea)
Desventajas:
• Live Collection
Ventajas:
Desventajas:
Verificación de la imagen:
2.4. Procesamiento
Acciones necesarias a realizar sobre la información recolectada en la etapa anterior para
permitir la visualización de los metadatos, el filtrado, indexación, la normalización del
formato y la reducción de la cantidad de archivos para la posterior revisión de los mismos.
• Skin detection, para la detección de imágenes que podrían contener piel humana
(herramienta utilizada principalmente para casos de pornografía infantil)
2.5. Revisión/Análisis
Etapas desarrolladas para obtener una adecuada comprensión del contenido de la
información recolectada, a través de la organización de los mismos en sub-conjuntos
lógicos de una manera eficiente. Identificar y desarrollar los hechos, aprovechando la
tecnología y los diversos métodos, facilitado la colaboración y la comunicación.
• El equipo legal puede obtener una mayor comprensión de los hechos acaecidos, y
comenzar a desarrollar estrategias legales.
• Análisis de copia recolectada: Autopsy, Encase, FTK, Nuix, Caine, Deft, Huemul
2.6. Producción
Etapa destinada a preparar y producir de manera eficiente y en un formato útil los
resultados de la investigación, a fin de reducir tiempos, costos y errores, cumpliendo
de esa manera en tiempo y forma con los plazos comprometidos.
2.7. Presentación
Etapa en la que se muestran los resultados de la investigación, utilizando
presentaciones con muestras relevantes y contundentes extraídas de la información
recolectada inicialmente en las primeras etapas, con el fin de eventualmente obtener
más información y/o validar los hechos.
¿Qué pasos seguiría si, como perito en una causa relacionada con pornografía infantil, se
encuentra en una escena con discos externos y una computadora encendida?
Bibliografía
ISO/IEC 27.037/2012
Modelo EDRM
Lo que vimos:
En la unidad desarrollada hemos conocido el concepto de forensia digital y la metodología
recomendada para llevarla a cabo.