Tipos de evidencias y orden de volatilidad

Jhon Alexander Ruiz Bautista

Fundación universitaria Los Libertadores.

Ingeniería de Sistemas.
Análisis Forense Digital.
Bogotá
25 de abril del 2022

1
Tipos de evidencias y orden de volatilidad

Jhon Alexander Ruiz Bautista

Docente:
Héctor Manuel Herrera Herrera

Fundación universitaria Los Libertadores.

Ingeniería de Sistemas.
Análisis Forense Digital.
Bogotá
25 de abril del 2022

2
Contenido

Resumen .............................................................................................................................................. 5
Introducción ........................................................................................................................................ 6
Tipos de evidencia............................................................................................................................... 7
Evidencia de hardware: ................................................................................................................... 7
Evidencia de software ..................................................................................................................... 7
Evidencia en sistemas de computación abiertos: ........................................................................... 7
Medio de telecomunicaciones: ....................................................................................................... 7
Sistemas de computación convergentes:........................................................................................ 7
Orden de Volatilidad ........................................................................................................................... 8
Bibliografía ......................................................................................................................................... 9

3
No se encuentran elementos de tabla de ilustraciones.

4
 Resumen

Para un perito informático es muy importante tener a su disposición una serie de

conocimientos y herramientas para la realización correcta del trabajo de peritaje y análisis
forense digital.
Tanto el software como el hardware es sumamente importante, pero también lo es el orden
de las pruebas recolectadas, ya que para llevar un proceso pericial completo, seguro y tener
todos los aspectos en cuenta, se deben reconocer algunos tipos de evidencia y su orden de
volatilidad que serán explicados en el siguiente escrito.

5
 Introducción

El peritaje informático es una disciplina que crece año tras año debido a los avances
tecnológicos y a los posibles riesgos que estos conllevan; estos riesgos se traducen en
posibles delitos y en una mala utilización de las nuevas tecnologías y las ya existentes.
Para un perito informático es supremamente importante llevar un buen control de su caso
usando una metodología definida y bien estructurada, contando con toda la infraestructura
tecnológica y de investigación, y aprovechando los recursos y conocimientos propios del
perito.

Además de lo anteriormente mencionado, un perito debe cerciorarse que la evidencia

recolectada sea correctamente clasificada y entendida, es decir que se debe tener en cuenta
los diferentes tipos de evidencia y así mismo el orden por el cual debe ser recolectada para
no dejar nada por fuera de ecuación y tener las suficientes pruebas para finalmente, resolver
un caso.

Los dispositivos digitales están en todas partes en el mundo de hoy, ayudando a las
personas a comunicarse local y globalmente con facilidad. La mayoría de la gente piensa de
inmediato en los ordenadores, los teléfonos móviles e Internet como las únicas fuentes de
evidencia digital, pero cualquier pieza de tecnología que procese información puede usarse
de manera criminal.

Por ejemplo, los juegos portátiles pueden llevar mensajes codificados entre delincuentes e
incluso los electrodomésticos más nuevos, como un refrigerador con un televisor
incorporado, podrían usarse para almacenar, ver y compartir imágenes ilegales. Lo
importante es saber que debemos ser capaces de reconocer y aprovechar adecuadamente la
evidencia digital potencial.

6
 Tipos de evidencia

Para clasificar la evidencia se debe comenzar por dividir esta en dos sectores o elementos:
el hardware y el software.

Evidencia de hardware:
Esta hace referencia a casos de uso de cualquier dispositivo electrónico como por ejemplo
un decodificador de señal cuya posesión sea ilícita, o un sniffer para escuchar la red que se
utilice con fines delictivos o cualquier instrumento que sirva como prueba de que se ha
cometido un delito.

Evidencia de software
Esta hace referencia a los datos, programas, e información usada para cometer actos ilícitos
o prohibidos.

Adicionalmente a los tipos de evidencia anterior se pueden clasificar dos sectores más:
Evidencias según el sistema o según la fuente.

Evidencia en sistemas de computación abiertos:

Aquí se encuentran los ordenadores o cualquier periférico de cuyos discos duros se puede
extraer grandes cantidades de información.

Medio de telecomunicaciones:
Conjunto de redes de comunicación y hardware relacionado como routers, switch,
servidores, etc.

Sistemas de computación convergentes:

Todo instrumento electrónico que dispongan de convergencia digital, como teléfonos
móviles o tarjetas inteligentes.

Estos tipos de evidencia son los más relevantes, aunque, faltaría incluir la evidencia digital,
la cual se trataría de todo elemento de software ya sea datos, información etc., que sirva
como material probatorio para determinados casos.

7
 Orden de Volatilidad

Cuando se realice la adquisición de evidencia se debe considerar listar los sistemas

involucrados en el incidente de manera que se cuente con una perspectiva de cuál es la
evidencia que debe ser recolectada. Así mismo, considerar elementos como: generar una
imagen del sistema lo más precisa posible, documentar cada acción que se ejecute,
considerar el orden de volatilidad en la adquisición, iniciar desde lo más volátil (registros y
contendidos del cache) al menos volátil (documentos). (Ochoa, 2018)

El orden de volatilidad es definido como el periodo de tiempo en el que esta accesible

alguna información, además de cual puede ser cambiada o borrada antes. Es por eso que en
primer lugar se debe recolectar aquellos datos o información que estará disponible durante
un menor periodo de tiempo, es decir, una mayor volatilidad.

De acuerdo a esta escala se puede crear la siguiente lista en orden de mayor a menor
volatilidad:
• Registros y contenido de la caché.
• Tabla de enrutamiento, caché ARP, tabla de procesos, estadísticas del kernel,
memoria.
• Información temporal del sistema.
• Disco
• Logs del sistema.
• Configuración física y topología de la red.
• Documentos.

Mientras mayor volatilidad de los datos es mayor la dificultad de capturarlos, y menor el

tiempo que tenemos para realizar un análisis. Por ejemplo, en el caso del procesador es
improbable que se pueda utilizar el contenido de los registros, el simple acto de buscar en
ellos puede modificarlos, así es que, buscando sobre el contenido de la memoria del sistema
y el estado de la red podemos obtener claves valiosas, el tipo y la fuente de un ataque de
entrada, etc. Examinar este tipo de estructuras requiere de cierta experiencia para analizar y
capturar los datos en forma segura. (TORRES GARCÍA , 2006)

8
 Bibliografía
Ochoa, P. A. (2018). EL TRATAMIENTO DE LA EVIDENCIA DIGITAL, UNA GUÍA PARA SU
ADQUISICIÓN . Cuenca, Ecuador: Universidad de Cuenca.
TORRES GARCÍA , R. A. (2006). METODOLOGÍA PARA LA RECOLECCIÓN DE DATOS.
Atazipan, Mexico: INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE
MONTERREY.