UNIDAD 2 – IDENTIFICACION Y PRESERVACION DE LA EVIDENCA
DIGITAL
Normalmente un investigador forense informático se esfuerza por tener el objeto de su
estudio disponible, integro y seguro. Esto conlleva la implementación de rigurosas herramientas, algunas de ellas mantenidas en secreto por parte de unidades de investigación judicial en países y en empresas que se encargan de ofrecer servicios de este tipo por demanda. Un ataque informático tiene un punto de entrada. Una vulnerabilidad de este punto también puede posibilitar el impacto en el ecosistema digital donde se encuentra el recurso comprometido, por lo tanto, se ha de identificar plenamente las partes afectadas. Todas tiene algo que “decir” para avanzar en la investigación. Por ello, cuando se establece un ataque informático es importante tener la cadena de custodia, esto es las evidencias físicas donde ocurrió el compromiso. Se logra a través de imágenes de discos, unidades de estado sólido, sistemas operativos o cualquier otra forma donde se almacenen datos bien sea de manera volátil o no volátil. Imágenes de discos duros “Una imagen de disco es una copia completa, sector por sector, de todo lo que hay en su ordenador o unidad externa, que retiene por completo todos los archivos de su sistema y que reproduce fielmente todos sus datos. Con una copia de seguridad de imagen completa protege todo, incluidos información de arranque, sistema operativo, ajustes y datos.” Lo anterior es lo que nos dice Acronis, una empresa que se dedica a la protección de datos.
VALORACION DE INTEGRIDAD DE LOS DATOS
Mediante una serie de códigos de comprobación que se comparan después de obtener un archivo que hace parte de la cadena de custodia se garantiza al investigador que esta trabajando con una copia fiel. De esta manera no se vera afectada la veracidad de las conclusiones que se lleguen. Para esto existen herramientas software que facilitan el análisis de los archivos. Estos archivos generalmente son imágenes de discos o alguna otra unidad de almacenamiento.