Documentos de Académico
Documentos de Profesional
Documentos de Cultura
87 Eje1 t3
87 Eje1 t3
un analisis forense
Metodología para realizar un analisis forense . . . . . . . . . . . . . . . . . . . . . . . . . 1
Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
ÍNDICE
1. Identificar y/o evaluar la situación: este - Evaluar el impacto del incidente
momento es llamado en el ámbito de sobre las diversas líneas de acción de
la investigación forense, el momento la empresa o del dueño del sistema,
cero (0), es aquí donde se toman deci- de ser posible tasar en dinero cada
siones tan importantes como: ¿en qué una de las situaciones derivadas del
momento tomó la evidencia?, ¿lo hago incidente, por ejemplo, tiempo de
a través de un análisis en caliente (en inactividad, costos de la investiga-
vivo)? Y muchas otras decisiones que ción, baja en la productividad, costo
pueden afectar el desarrollo y los resul- de las acciones, por ejemplo.
tados de la investigación; en esta fase
como informático forense: - Registrar y señalar los equipos afec-
tados, su ubicación, su función (host
- Evalúe los recursos, fije los objetivos y servidor, estación de trabajo, switch,
estime el alcance de la investigación. router).
- eje 1 conceptualicemos 3
2. Recolectar y adquirir las evidencias: Para el caso de un sistema apagado
una vez se han cumplido los pasos del (post-mortem) es necesario que la adqui-
numeral anterior y se efectúe el regis- sición de la información se haga en un
tro detallado de la documentación de espacio seguro, exclusivo para este trabajo
la cadena de custodia (primera parte), y su posterior análisis, siempre observando
como informático forense debe pro- con detalle diligenciar la documentación
ceder a efectuar la adquisición de la relacionada con la cadena de custodia. No
evidencia, no olvide que existe una olvide registrar como mínimo los siguien-
gran diferencia entre recolectar y tes datos relacionados con los dispositivos
adquirir; el proceso de recolección es recolectados como evidencia:
simple e implica identificar cada uno
de los elementos que fueron víctimas - Fabricante y modelo del dispositivo.
del ataque o se pudieron usar para
cometer el delito y acceder a ellos. La - Tamaño, particiones (disco duro).
adquisición es un proceso técnico en
el cual mediante herramientas váli- - Tipo de dispositivo (EIDE, SATA),
das para la investigación se obtienen maestro o esclavo.
copias idénticas de los elementos u
objetos que desea usar como eviden- - Puerto o puertos a los que está
cia, así le recomiendo que en primera conectado.
instancia busque obtener información
relacionada con los datos que pueden - Descripción del equipo al que se
desaparecer con un apagado o reinicio encuentra conectado.
del sistema (volátil):
No efectúe ninguna prueba de inte-
- Memoria caché del sistema. gridad o aplique ninguna herramienta de
verificación sobre los discos o unidades de
- Archivos temporales. almacenamiento originales, cualquier pro-
cedimiento que pueda alterar la integridad
- Procesos en ejecución. de la evidencia solo puede ser realizado
sobre la copia adquirida. nunca trabaje
- Registro de eventos sobre el original.
- eje 1 conceptualicemos 4
3. Asegurar y manejar las evidencias:
generar una firma o resumen con los
algoritmos de cálculo de integridad o ¡Recordemos que !
HASH. Este paso busca asegurar que
el archivo original que tomó como evi- En el documento de cadena de custodia
dencia conserva su integridad desde debe quedar registrada la información de
la o las personas que acceden a la evi-
el momento de la adquisición y no ha dencia, la hora en la que acceden a ella,
sido objeto de manipulación durante la hora en la que se retiran entre otras.
el tiempo transcurrido entre la adqui-
sición de la evidencia y la presentación
como prueba, es indispensable obser- 4. Analizar las evidencias: en esta etapa
var algunas precauciones básicas para se hace la validación relacionada, con
proteger y asegurar las evidencias y las las preguntas clave de la investigación
copias: forense: cómo, quién, dónde, cuándo.
Aquí se accede a elementos clave para
- Mantener los discos o unidades de la investigación como los metadatos
almacenamiento en un lugar ade- de los archivos, estos pueden suminis-
cuado, que no permita su manipu- trar información valiosa para el inves-
lación por terceros. tigador no solo para hallar un respon-
sable, también por ejemplo a través
- Evitar que equipos como discos de los metadatos de archivos como
duros o medios de almacenamiento fotografías podemos ubicar la latitud,
puedan encontrase cerca de fuentes longitud y dar con su paradero. Tam-
de interferencia electromagnética bién como análisis de evidencia pode-
o estática, esto puede alterar su mos tomar el ejemplo de la copia de
integridad. la memoria RAM de un servidor objeto
de un ataque por una persona con
- De ser posible obtenga una nueva amplios conocimientos en seguridad
copia del original y trabajar sobre la informática, en un delito relacionado
segunda copia, para evitar posibles con Sarlaft en el tema de prevención
pérdidas de evidencia. de lavado de activos. El análisis de los
datos se divide en tres grandes etapas
- Asegurar por medios físicos y digita- que se indican a continuación.
les la evidencia, cajas fuertes, claves
para acceder al dispositivo.
- eje 1 conceptualicemos 5
- Análisis de los datos de la red: es necesario reconocer cuales son los dispositivos
que hacen parte de la red de datos en la cual se encuentra el equipo víctima
o atacante, encontrar routers, switch, firewall, proxys, y examinar sus registros
de eventos a través de software destinado para tal fin, allí podremos encontrar
información vital para la investigación.
- Análisis de los datos del host: este análisis se hace de forma preferente en sis-
temas vivos, se recomienda obtener datos relevantes del sistema que ayuden a
la investigación puesto que el volumen de la información que se obtenga puede
entorpecer la labor del investigador, así por ejemplo se recomienda hacer un vol-
cado de memoria física, registro de eventos, registro de puertos y conversaciones
(TCP) abiertas entre otros.
5. Diseñar y presentar los informes: algunos autores consideran esta etapa como la
más importante del proceso, pues la solidez de los argumentos expuestos y el cum-
plimiento cabal de cada una de las etapas descritas en los pasos anteriores dará
soporte a la información suministrada en el informe.
¡Recordemos que !
Una de las razones más frecuentes por las que no se acepta la evi-
dencia presentada en un proceso legal es la manipulación inade-
cuada de las pruebas, es decir no se cumplió de forma adecuada
con la cadena de custodia. Por ello no hay que olvidar cumplir de
forma estricta con diligenciar de forma cuidadosa de todas y cada
una de las acciones que se desarrollan a partir del punto uno.
- eje 1 conceptualicemos 6
El informe que se presente como resultado de la investigación puede tener dos tipos
de destinatarios, así de acuerdo al público destino se puede realizar dos tipos de informe:
• Informe ejecutivo.
- eje 1 conceptualicemos 7
Bibliografía
Bbrezinski, D. y Killalea, T. (2002). RFC 3227: Guidelines for Evidence Collection and
Archiving. Network Working Group. Recuperado de http://www.rfceditor.org/
rfc/rfc3227.txt
Casey, E. (2004). Digital Evidence and Computer Crime: Forensic Science, Compu-
ters, and the Internet. Baltimore, EE. UU.: Eoghan Casey.
Insa, M. F., y Lázaro, H. C. (2008). Pruebas electrónicas ante los tribunales en la lu-
cha contra la cibercriminalidad: un proyecto europeo. Caracas, Venezuela: Red
Enlace.