0

etapas del análisis forense

etapas del análisis forense

etapas del análisis forense Primero, vamos a explicar en qué consiste el análisis forense de un dispositivo o soporte informático. Por análisis forense digital se entiende el conjunto de técnicas utilizadas por un experto para encontrar información que estaba oculta, dañada o eliminada. Es muy importante mantener la integridad del soporte porque, en procesos judiciales, las pistas que se saquen de éste análisis pueden llegar a ser decisivas.

El análisis forense cuenta con varias , las cuales deben ser respetadas para que el resultado final sea valioso.

1. Identificación

Esta primera fase consiste en realizar un análisis previo del dispositivo afectado para saber qué metodología usar posteriormente en las fases siguientes. Es muy importante conocer el estado del dispositivo para saber de antemano qué partes estarán más dañadas o si simplemente estamos ante un caso de borrado de datos.

2. Adquisición

Los datos deben copiarse en una base espejada, es decir, deben reproducirse exactamente como están en el disco de origen pero sin dañarlo ni modificarlo. Una de las partes más complicadas del análisis forense es la de manipular el soporte sabiendo que ha de dejarse exactamente en el mismo estado en el que se encontraba al inicio del proceso. Lo que el analista hace es copiar, bite a bite, toda la información que se encuentra en un disco y traspasarla a otro/otros para desde ahí, proceder a su análisis.

3. Preservación

No diré que ésta acción es muy importante porque todas lo son. Una fase sin la otra no tendrá sentido y romperá la cadena de efectividad del análisis forense.

La fase de preservación es la fase en la que se toman las medidas necesarias de conservación para que los datos extraídos se mantengan en buen estado y en grado 0 de modificación. Estos datos podrán ser utilizados rápidamente o podrán permanecer almacenados durante mucho tiempo, por lo que es de vital importancia que el soporte en el que estén almacenados esté preparado y en condiciones para mantener la información el tiempo que sea necesario.

4. Análisis

Lo primero que hay que tener claro es qué se está buscando. De ahí, se pasara a analizar tanto el software como el hardware desde su soporte original, por lo que estamos ante la fase más técnica. De aquí se extraerá toda la información y se filtrará la valiosa de la que no lo es, pero siempre sin eliminar ninguna parte.

Aquí se analizarán los archivos existentes, la lista de usuarios del dispositivo, posibles encriptaciones, documentos trasladados a la nube o eliminados y cuando se eliminaron… es decir, correos electrónicos, historiales de conversaciones e incluso las últimas conexiones de los usuarios y si el dispositivo estuvo conectado a otros dispositivos.

5. Documentación/exposición

Una vez analizado exhaustivamente el dispositivo, se procederá a cumplimentar un informe en el que aparezca, de forma objetiva y ordenada, toda la información conseguida del dispositivo, tanto en formato digital como en papel. Se incluirá también el dispositivo original y las copias realizadas.

En cualquier fase de recuperación de datos se debe ser meticuloso pero, probablemente, el análisis forense sea en el que más se deba poner énfasis ya que puede ayudar en muchos procesos judiciales. Más adelante veremos casos reales en los que el análisis forense ha resultado muy importante o decisivo.news

facturacionweb

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *