Elementos de informática forense: Los elementos emergentes de la informática forense

Posted in Investigación forense on enero 31, 2024
1 62

Elementos de informática forense. En comparación con otras ciencias forenses, el campo de la informática forense es relativamente nuevo. Desgraciadamente, muchas personas no entienden lo que significa el término informática forense ni las técnicas que implica. En particular, no está clara la diferencia entre la extracción de datos y el análisis de datos. También hay confusión sobre cómo encajan estas dos operaciones en el proceso forense.

Elementos De Informática Forense

Elementos de informática forense

Por informática forense se entiende el uso de métodos científicamente derivados y probados para la preservación, recopilación, validación, identificación, análisis, interpretación, documentación y presentación de las pruebas digitales derivadas de fuentes digitales para facilitar o avanzar en la reconstrucción de hechos considerados delictivos.

Los tres pasos de la informática forense son la identificación, la conservación y el análisis.

Identificación

Los examinadores repiten el proceso de identificación para cada elemento de la lista de datos extraídos. Comienzan por determinar el tipo de artículo. Si no tiene relación con la solicitud forense, simplemente la marcan como procesada y proceden. Si un examinador descubre un elemento incriminatorio pero que está fuera del alcance de la orden de registro original, se recomienda que detenga inmediatamente toda actividad, que lo notifique a las personas adecuadas, incluido el solicitante, y que espere nuevas instrucciones, al igual que en un registro físico.

Por ejemplo, las fuerzas del orden pueden incautar un ordenador en busca de pruebas de fraude fiscal, pero el examinador puede descubrir pornografía infantil. Cuando se descubren pruebas fuera del ámbito de una orden judicial, lo más prudente es detener el registro y tratar de ampliar la autoridad de la orden judicial u obtener una segunda orden.

Preservación

Los examinadores comienzan por determinar si hay suficiente información para proceder. Se aseguran de que hay una petición clara y de que hay datos suficientes para intentar responder a ella. Si falta algo, trabajan con el solicitante para encontrarlo. En caso contrario, se procederá a la instalación del proceso.

El primer paso en cualquier proceso forense es validar todo el hardware y el software para garantizar su correcto funcionamiento. La comunidad forense sigue dividida en cuanto a la frecuencia con la que deben probarse los programas y equipos. La mayoría de la gente está de acuerdo en que las organizaciones deben validar cada pieza de software y hardware después de comprarla y antes de utilizarla. También deben volver a probar después de cualquier actualización, parche o reconfiguración.

Análisis

Los examinadores conectan los puntos y pintan una imagen completa para el solicitante durante la fase de análisis. Los examinadores responden a preguntas como quién, qué, cuándo, dónde y cómo para cada elemento de la lista de datos correspondiente. Intentan explicar qué usuario o aplicación creó, editó, recibió o envió cada elemento, así como la forma en que se produjo. Los examinadores también describen dónde lo han descubierto. Lo más importante es que expliquen por qué es importante toda esta información y qué significa en el contexto del caso.

Con frecuencia, los examinadores pueden realizar el análisis más valioso si se fijan en el momento en que ocurrieron los hechos y crean una línea de tiempo que cuente una historia coherente. Los examinadores intentan explicar cuándo se creó, se accedió, se modificó, se recibió, se envió, se vio, se borró y se lanzó cada elemento relevante. Observan y explican una serie de acontecimientos, anotando los que se produjeron simultáneamente.

Reflexiones finales

Los examinadores y los solicitantes deben tener en cuenta el rendimiento de la inversión a medida que avanzan en este proceso. Los pasos del proceso pueden repetirse varias veces durante un examen. Todos los implicados en el caso deben decidir cuándo dar por terminado el caso. El valor de la identificación y el análisis adicionales disminuye una vez que las pruebas obtenidas son suficientes para el enjuiciamiento.