Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tema 6.
La cadena de custodia.
Contenido
Contenido .......................................................................................................... 2
1.La informática forense .................................................................................... 3
2.La cadena de custodia ..................................................................................... 4
3.Evidencias ....................................................................................................... 5
3.1 Tipos de evidencias ...................................................................................... 5
3.2 Adquisición de evidencias ............................................................................ 6
Adquisición de evidencias volátiles ................................................................. 6
Adquisición de evidencias no volátiles ............................................................ 6
Normativa para la adquisición de evidencias: ISO/IEC 27037......................... 8
Bibliografía ......................................................................................................... 9
1. La informática forense
• ¿Qué se ha alterado?
• ¿Cómo se ha alterado?
Primera fase del Parte fundamental Fase más técnica en El modelo habitual
proceso, en la que se del proceso: las la que los expertos, de presentación de
extraen todas las evidencias utilizando hardware un análisis forense
evidencias posibles recolectadas no y software es un informe
que se van a utilizar deben ser destruidas específicos, analizan ejecutivo en el que
a lo largo del ni alteradas. todas las evidencias se recoge toda la
análisis. para sacar la mayor información extraída
información posible de forma concisa
de todas ellas. para que permita
llegar a
conclusiones.
2. La cadena de custodia
3. Evidencias
▪ Evidencias volátiles: Son aquellas que cambian con facilidad como pueden ser
las memorias caché, tablas de enrutamiento, los procesos que están en
ejecución o la memoria RAM, entre otros. Son las primeras en ser recogidas
dado que pueden modificar su valor original y desaparecen al apagar el
equipo.
▪ Evidencias no volátiles: No cambian con tanta facilidad. Algunos ejemplos
son: un disco duro, un pendrive,
un CD, etc.
Las evidencias volátiles, como la memoria RAM, son aquellas evidencias que tienen
que ser adquiridas en caliente: con el equipo a examinar encendido, ya que si no
estas estas evidencias desaparecen al apagar el equipo. El principal problema de
este tipo de evidencias es que se degradan, pudiendo incluso llegar a perderse.
Dentro de las evidencias en caliente, la primera evidencia destacable es la memoria
RAM. En ella, el ordenador guarda los datos que se han usado en un momento de-
terminado: todos los programas que se ejecutan en un equipo pasan primero por la
memoria RAM.
Para adquirir la memoria RAM, se deben utilizar programas preparados para ello
(por ejemplo, en Windows, DumpIt). Al utilizar un programa para adquirir la eviden-
cia de la memoria ésta se verá alterada, pero es una alteración inevitable.
Del análisis de la memoria RAM se puede obtener: Contraseñas de acceso, docu-
mentos abiertos por el usuario aunque no se hubieran guardado, imágenes que se
estuvieran visualizando, programas en ejecución, etc.
Otras evidencias volátiles son: la lista de procesos en ejecución (utilizando el pro-
grama, la lista de usuarios que han iniciado sesión en el equipo, etc.
Otros programas como Process Monitor para la obtención de la lista de procesos y
subprocesos en ejecución o FileMon que muestra la actividad del sistema de archi-
vos en tiempo real son claves en el proceso de adquisición de evidencias de este
tipo. Todos los programas que utilicen deben ser instalados en el momento de la
extracción, dado que si el dispositivo está comprometido la herramienta ya insta-
lada podría estar alterada.
aunque no sean volátiles. Lo mismo ocurre con los dispositivos cifrados: aunque las
evidencias sean no volátiles, hay que extraerlas en caliente para poder acceder a la
información.
En cambio, si un equipo puede ser atacado al estar encendido y con conexión al
exterior, programas de extracción y análisis de evidencias, como AccessData FTK
Imager, pueden ser víctimas de alteraciones y por eso es recomendable recoger es-
tas evidencias en frío y además proteger contra la escritura el dispositivo.
Las funciones hash son algoritmos criptográficos que, en el proceso de análisis fo-
rense, se utilizan para garantizar que lo analizado es una copia exacta de la evidencia
original, y que la integridad de la copia se mantiene a lo largo de todo el proceso de
análisis.
Para cada entrada «E», la función generará siempre una salida «S» única. Lo que
implica que cualquiera alteración en la entrada, por mínima que sea, alterará la sa-
lida. A partir de la salida «S» de la función, es imposible obtener la entrada original
«E».
Hay herramientas de forense como EnCase o Forensic ToolKit, que hacen compro-
baciones de forma transparente para el analista y advierten cuando un hash no
coincide para que se puedan tomar medidas.
En la adquisición de evidencias en frío, para garantizar que la evidencia original y la
copia realizada son exactas, se calcula un hash a la evidencia original (HA1) y tiene
que ser igual al segundo hash a la evidencia original (HA2) e igual al hash de la copia
(HB).
Adquisición
Adquisición de la
evidencia
Hash a la copia de
la evidencia
No te pierdas en YouTube…
Bibliografía