UNIDAD 2 – IDENTIFICACION Y PRESERVACION DE LA EVIDENCA

DIGITAL

Normalmente un investigador forense informático se esfuerza por tener el objeto de su

estudio disponible, integro y seguro. Esto conlleva la implementación de rigurosas
herramientas, algunas de ellas mantenidas en secreto por parte de unidades de investigación
judicial en países y en empresas que se encargan de ofrecer servicios de este tipo por
demanda.
Un ataque informático tiene un punto de entrada. Una vulnerabilidad de este punto también
puede posibilitar el impacto en el ecosistema digital donde se encuentra el recurso
comprometido, por lo tanto, se ha de identificar plenamente las partes afectadas. Todas
tiene algo que “decir” para avanzar en la investigación.
Por ello, cuando se establece un ataque informático es importante tener la cadena de
custodia, esto es las evidencias físicas donde ocurrió el compromiso. Se logra a través de
imágenes de discos, unidades de estado sólido, sistemas operativos o cualquier otra forma
donde se almacenen datos bien sea de manera volátil o no volátil.
Imágenes de discos duros
“Una imagen de disco es una copia completa, sector por sector, de todo lo que hay en su
ordenador o unidad externa, que retiene por completo todos los archivos de su sistema y
que reproduce fielmente todos sus datos. Con una copia de seguridad de imagen completa
protege todo, incluidos información de arranque, sistema operativo, ajustes y datos.”
Lo anterior es lo que nos dice Acronis, una empresa que se dedica a la protección de datos.

VALORACION DE INTEGRIDAD DE LOS DATOS

Mediante una serie de códigos de comprobación que se comparan después de obtener un
archivo que hace parte de la cadena de custodia se garantiza al investigador que esta
trabajando con una copia fiel. De esta manera no se vera afectada la veracidad de las
conclusiones que se lleguen.
Para esto existen herramientas software que facilitan el análisis de los archivos. Estos
archivos generalmente son imágenes de discos o alguna otra unidad de almacenamiento.