fbpx

La Preservación en la Informática Forense: La importante metodología de análisis forense digital

Posted in Investigación forense on mayo 20, 2024
1 64

Preservación en la informática forense. El siguiente paso es preservar las pruebas asumiendo que pueden incluir información o documentos que se utilizarán en un juicio penal o civil. Las primeras medidas que se tomen en el lugar de los hechos deben ser las mismas que se toman en cualquier escenario potencial de un crimen. El investigador debe planear que el caso termine en un juicio. Por lo tanto, las decisiones que se tomen en el primer momento en que el investigador se dé cuenta de que el caso puede estar relacionado con el fraude deben consistir en preservar las pruebas para un juicio penal o civil.

Preservación En La Informática Forense

Preservación en la informática forense

El mal manejo de las pruebas puede hacer que éstas sean descartadas en un juicio. Por lo tanto, encender, buscar o apagar correctamente un ordenador sospechoso debe ser una prioridad y lo mejor es consultar primero con un profesional de la informática forense. El simple hecho de encender un ordenador puede cambiar los metadatos, como las marcas de fecha y hora de muchos archivos. Los metadatos pueden incluir datos del sistema operativo, datos sobre el usuario o la última hora de impresión, o información administrativa similar. Estos datos pueden ser muy importantes.

Los profesionales de la informática forense determinan qué métodos de manipulación deben utilizarse para preservar y analizar los datos en una situación específica de manera rentable. Puede haber opciones para analizar sólo una parte de un disco duro o para revisar archivos de red en busca de información durante una investigación.

Ejemplo:

Se sospecha que un gerente de negocios ha cometido un desfalco. La primera reacción del empresario fue encender el ordenador del gerente y buscar los archivos. Sin embargo, al hacerlo, se cambiaron las marcas de fecha y hora de varios cientos de archivos. Una vez asegurados y conservados los datos informáticos, el investigador puede realizar búsquedas en el ordenador sin preocuparse de alterar los datos.

Los departamentos de auditoría interna deben tener al menos un auditor que esté familiarizado con las funciones de búsqueda de un programa forense informático importante. Estos programas suelen tener funciones de búsqueda de alta calidad y pueden utilizarse para buscar en los datos informáticos de forma exhaustiva para obtener más información sobre el fraude.

Los investigadores que no tengan conocimientos informáticos forenses podrán copiar el disco duro de un ordenador sospechoso a otro disco duro o a un archivo de red.

Preparación o extracción

Los examinadores comienzan por determinar si hay suficiente información para proceder. Se aseguran de que hay una petición clara y de que hay datos suficientes para intentar responder a ella. Si falta algo, trabajan con el solicitante para encontrarlo. En caso contrario, se procederá a la instalación del proceso.

El primer paso en cualquier proceso forense es validar todo el hardware y el software para garantizar su correcto funcionamiento. La comunidad forense sigue dividida en cuanto a la frecuencia con la que deben probarse los programas y equipos. La mayoría de la gente está de acuerdo en que las organizaciones deben validar cada pieza de software y hardware después de comprarla y antes de utilizarla. También deben volver a probar después de cualquier actualización, parche o reconfiguración.

Reflexiones finales

Después de que los examinadores verifiquen la integridad de los datos que se van a analizar, se elabora un plan de extracción de datos. Organizan y dan forma a la solicitud forense en preguntas que pueden responder. Seleccionan las herramientas forenses que les permitirán responder a estas preguntas. Los examinadores suelen tener una idea aproximada de lo que deben buscar en función de la solicitud.

Los añaden a una «lista de búsqueda de clientes potenciales», que es una lista continua de artículos que se han solicitado. Por ejemplo, la solicitud podría incluir el encabezamiento «búsqueda de pornografía infantil». Los examinadores enumeran explícitamente las pistas para ayudar a centrar el examen. Añaden nuevos prospectos a la lista a medida que los desarrollan, y a medida que agotan los prospectos, los marcan como «procesados» o «hechos».