Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La informática forense está relacionada con las actividades propias asociadas con la
recolección de información de los medios informáticos la cual es utilizada como evidencia en un
caso objeto de investigación. Para esto, utiliza procedimientos y herramientas para adquirir,
preservar, examinar, analizar las pruebas obtenidas de los medios informáticos y a través de un
proceso científico generar conclusiones propias del caso. Por último, se presenta los
respectivos informes donde de manera detallada se describen todos los procesos y
herramientas utilizadas en la investigación.
TIPO DE ANALISIS
De manera inicial y partiendo del análisis del caso problema, se toma como primera medida
usar el método de recolección de análisis directo o en caliente, teniendo en cuenta que, aunque
el ataque ya ha terminado y logro su objetivo, según la información dada se tiene que el equipo
usado como medio de ataque el cual es el computador del gerente está encendido. Este a su
vez alega haberlo apagado, permitiendo de esta forma recoger pruebas del sistema afectado,
toda vez que el intruso pudo dejar evidencia o rastro importante para la investigación en dicho
equipo, posterior a esto se procederá a realizar el análisis post-mortem de la escena.
Para este tipo de análisis se utilizan herramientas de respuesta ante incidentes y análisis
forense compiladas de forma que no se realicen modificaciones en el sistema. También cabe
mencionar algunos datos para tener en cuenta para la recolección de las evidencias en el
equipo afectado:
✓ Dado que el dispositivo que se va a analizar está encendido, o en producción, hay que
tener presente el tema de lo volátil de la evidencia.
✓ Unidades de red compartidas, permisos
✓ Usuarios activos
✓ Shell remotas
1. Asegurar la escena: se retiran a todas las personas extrañas de la escenadel delito
mientras se procede con la investigación, previniendo el acceso no autorizado de personal,
evitando así la contaminación de la evidencia su posible alteración.
3. El primer objeto de evidencia son los medios digitales, videos deseguridad, servidores,
empezando por el computador del administrador garantizo la no manipulación de la prueba
electrónica original se realizará una “imagen de datos” forense de datos informáticos
mediante una clave HASH. En todo momento se trabajará sobre la “imagen de
datos” forense obtenida. La prueba original queda en depósito de la empresa.
4. Se procede a realizar el análisis post-morten de la evidencia, se extraerlos archivos de
logs, Documentos digitales, imágenes, cookies, temporales, procesos en ejecución, etc.
5. Como segundo aspecto aseguramos y etiquetaremos los documentosfísicos dejados en
la escena del crimen, y registro de ingreso y salida del personal.
6. Se asegura las evidencias con el fin de mantener y garantizar la cadenade custodia de
toda la información recolectada en la escena.
7. Se realiza la entrega de la escena y se deja disposición de la administración de la
empresa.
8. Se documenta cada una de las etapas en una bitácora de los hechossucedidos durante
la explotación de la escena del crimen, las evidencias encontradas y posible relación de
sospechosos.
BIBLIOGRAFIA.
•h t t p : / / r e p o s i t o r i o . u f p s o . e d u . c o : 8 0 8 0 / d s p a c e u f p s o /
b i t s t r e a m / 1 2 3 4 5 6 7 8 9 /933/1/28012.pdf
•h t t p s : / / s l i d e p l a y e r . e s / s l i d e / 1 3 2 1 7 7 2 4 /
•R e f e r e n t e d e p e n s a m i e n t o E j e 1