Antes de realizar cualquier paso el investigador debe asegurar el sistema informático para mantener el equipo y los datos a salvo, esto es, asegurar que individuos no autorizados no puedan acceder al ordenador, o a los dispositivos de almacenamiento dentro de la investigación.
 |
| Las cuatro fases de la informática forense. |
Identificación de la evidencia:
En esta fase se debe localizar los dispositivos donde se puede encontrar algún tipo de evidencia.
La evidencia digital que puede encontrarse es:
- Constante: evidencia almacenada en un medio informático y que se mantiene preservada después de que la computadora sea apagada.
- Volátil: evidencia que se encuentra almacenada temporalmente, en la memoria RAM, o en el caché, y al interrumpir la alimentación eléctrica la evidencia se pierde. Este tipo de evidencia deber ser recuperada casi de inmediato, guardarlas a ficheros de ésta forma se convertirá en evidencias no volátiles.
Además la evidencia digital puede ser física o logística. Es física si se encuentra en CD, CPU, teléfonos celulares o Routers y logístico si cualquier dato es almacenado o generado en un medio magnético.
Ahora para identificar la evidencia se debe:
- Anticipar qué procedimientos serán empleados en la práctica forense al momento de recopilar la evidencia.
- Identificar el tipo de información almacenada en un dispositivo y el formato en que se guarda, con la finalidad de usar la tecnología apropiada para extraer la información que se mantienen en el mismo.
- Los investigadores forenses deben estar en capacidad de reconocer qué formato tiene determinada información, cómo extraerla y qué medio requieren para almacenar y preservar la misma.
Segunda fase:
Preservación de la evidencia:
En esta fase el objetivo es resguardar los objetos que tengan algún tipo de evidencia, de manera que estos permanezcan de forma completa, clara y verificable, es importante que cualquier examen o análisis que se lleve a cabo no genere cambios. Por tal razón es importante el uso de técnicas criptográficas como códigos de seguridad.
Es importante aclarar que esta fase interviene a lo largo de todo el proceso de investigación forense.
Tercera fase:
Análisis de la evidencia:
El análisis se dará por concluido cuando se conozca cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque, qué daños causaron, etc. Así los pasos para lograrlo son:
1. Preparación para el análisis: El entrono de trabajo.
1. Preparación para el análisis: El entrono de trabajo.
Es importante establecer estaciones de trabajo para realizar las distintas pruebas y estudios al surgir un caso, dependiendo del ataque o crimen cometido.
2. Reconstrucción de la secuencia temporal del ataque.
Crear una línea temporal de sucesos o timeline, para ello se deberá recopilar la información importante sobre los ficheros. Esta información es la que más tiempo lleva recopilar pero es el punto de partida para el análisis. Es importante preparar un script con la finalidad de automatizar el proceso de creación del timeline.
3. Determinación de cómo se realizó el ataque.
Se deberá determinar cuál fue la vía de entrada al sistema, averiguando qué vulnerabilidad o fallo de administración causó el agujero de seguridad y que herramientas utilizó el atacante para aprovecharse de tal brecha.
4. Identificación del autor o autores del incidente.
Es hora de identificar quien o quienes se infiltraron, para ello se deberá consultar nuevamente algunas evidencias volátiles que fueron recopiladas en la primera fase y para identificarlos se debe realizar algunas averiguaciones como parte del proceso de identificación, es decir, averiguar la dirección IP del atacante.
5. Evaluación del impacto causado al sistema.
Este paso permitirá evaluar el ataque cometido a los equipos y realizar una estimación del impacto causado, por lo general los tipos de ataques pueden ser:
- Ataques pasivos: ataque donde no se altera la información ni la operación normal de los sistemas, es decir, la persona que se infiltro solo busca fisgonear.
- Ataques activos: ataques donde se altera la información.
Cuarta fase:
Presentación de evidencia digital:
Esta es la fase final de la investigación forense ya que se presentan los resultados y hallazgos que se encontraron en las demás fases. Tan pronto como el incidente haya sido detectado es importante tomar nota sobre las actividades que se llevan a cabo, cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta finalizar la presentación, la misma debe ser entendible, creíble, confiable y convincente.
No hay comentarios.:
Publicar un comentario