La identificación en la informática forense: La importante metodología de análisis forense digital

We empower Anti-Financial Crime and Corporate Risk Management Professionals

  • Home
  • /
  • Blog
  • /
  • La identificación en la informática forense: La importante metodología de análisis forense digital
1 63

Identificación en informática forense. El primer paso es realizar un inventario físico de los elementos que deben someterse a un análisis informático forense. Tras identificar a las personas que pueden estar implicadas en un fraude, se realiza una inspección visual alrededor de su escritorio u oficina en busca de elementos que contengan pistas digitales.

Los cables de sincronización para teléfonos móviles o PDA, las unidades USB, los CD-ROM, los discos duros externos, los cables de alimentación adicionales sin un dispositivo conectado y los reproductores de música digital (que pueden contener grandes cantidades de datos), los dispositivos o adaptadores de infrarrojos y las tarjetas de acceso inalámbrico a Internet son todos tipos de dispositivos que pueden ser identificados.

IdentificacióN En InformáTica Forense

Identificación en informática forense

Los examinadores repiten el proceso de identificación para cada elemento de la lista de datos extraídos. Comienzan por determinar el tipo de artículo. Si no tiene relación con la solicitud forense, simplemente la marcan como procesada y proceden. Si un examinador descubre un elemento incriminatorio pero que está fuera del alcance de la orden de registro original, se recomienda que detenga inmediatamente toda actividad, que lo notifique a las personas adecuadas, incluido el solicitante, y que espere nuevas instrucciones, al igual que en un registro físico.

Por ejemplo, las fuerzas del orden pueden incautar un ordenador en busca de pruebas de fraude fiscal, pero el examinador puede descubrir pornografía infantil. Cuando se descubren pruebas fuera del ámbito de una orden judicial, lo más prudente es detener el registro y tratar de ampliar la autoridad de la orden judicial u obtener una segunda orden.

Los examinadores documentan los elementos que son relevantes para la solicitud forense en una tercera lista, la lista de datos relevantes. Esta lista contiene información pertinente para responder a la solicitud forense original. En un caso de robo de identidad, por ejemplo, los datos relevantes podrían incluir, entre otras cosas, números de la seguridad social, imágenes de identificaciones falsas o correos electrónicos en los que se habla del robo de identidad. También es posible que un artículo genere otra pista de búsqueda. Un correo electrónico podría revelar que un objetivo estaba usando un alias diferente. Esto da lugar a una nueva búsqueda de palabras clave para el nuevo apodo. Los examinadores volverían a añadir esa pista a la lista de pistas de búsqueda para acordarse de investigarla a fondo.

Un elemento también puede apuntar a una fuente de datos potencial completamente nueva. Los examinadores, por ejemplo, pueden descubrir una nueva cuenta de correo electrónico que el objetivo estaba utilizando. Tras este descubrimiento, las fuerzas del orden pueden desear obtener una citación para el contenido de la nueva cuenta de correo electrónico. Los examinadores también pueden descubrir pruebas que indiquen que el objetivo almacenaba archivos en una unidad extraíble de bus serie universal (USB), que las fuerzas del orden no descubrieron durante el registro inicial. En estas circunstancias, las fuerzas del orden pueden considerar la posibilidad de obtener una nueva orden de registro para localizar la unidad USB. Un examen forense puede revelar una amplia gama de nuevas pruebas.

Los examinadores vuelven a las nuevas pistas desarrolladas después de procesar la lista de datos extraída. Los examinadores deben considerar volver al paso de extracción para procesar cualquier nueva pista de búsqueda de datos. Del mismo modo, cuando se enfrentan a una nueva fuente de datos que podría dar lugar a nuevas pruebas, los examinadores se plantean volver al proceso de adquisición y creación de imágenes de esos nuevos datos forenses.

Reflexiones finales

Los examinadores deben informar al solicitante de sus conclusiones preliminares en este punto del proceso. También es un buen momento para que los examinadores y el solicitante hablen sobre cuál creen que será el retorno de la inversión para el seguimiento de las nuevas pistas.

Dependiendo de la fase en la que se encuentre el caso, los datos relevantes extraídos e identificados pueden proporcionar al solicitante información suficiente para hacer avanzar el caso, y los examinadores pueden no necesitar hacer ningún trabajo adicional. En un caso de pornografía infantil, por ejemplo, si un examinador recupera un gran número de imágenes de pornografía infantil organizadas en directorios creados por el usuario, un fiscal puede conseguir una declaración de culpabilidad sin necesidad de más análisis forenses.

Leave a Comment

Your email address will not be published. Required fields are marked

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}