Preservación en la informática forense. El siguiente paso es preservar las pruebas asumiendo que pueden incluir información o documentos que se utilizarán en un juicio penal o civil. Las primeras medidas que se tomen en el lugar de los hechos deben ser las mismas que se toman en cualquier escenario potencial de un crimen. El investigador debe planear que el caso termine en un juicio. Por lo tanto, las decisiones que se tomen en el primer momento en que el investigador se dé cuenta de que el caso puede estar relacionado con el fraude deben consistir en preservar las pruebas para un juicio penal o civil.
Preservación en la informática forense
El mal manejo de las pruebas puede hacer que éstas sean descartadas en un juicio. Por lo tanto, encender, buscar o apagar correctamente un ordenador sospechoso debe ser una prioridad y lo mejor es consultar primero con un profesional de la informática forense. El simple hecho de encender un ordenador puede cambiar los metadatos, como las marcas de fecha y hora de muchos archivos. Los metadatos pueden incluir datos del sistema operativo, datos sobre el usuario o la última hora de impresión, o información administrativa similar. Estos datos pueden ser muy importantes.
Los profesionales de la informática forense determinan quĂ© mĂ©todos de manipulaciĂłn deben utilizarse para preservar y analizar los datos en una situaciĂłn especĂfica de manera rentable. Puede haber opciones para analizar sĂłlo una parte de un disco duro o para revisar archivos de red en busca de informaciĂłn durante una investigaciĂłn.
Ejemplo:
Se sospecha que un gerente de negocios ha cometido un desfalco. La primera reacción del empresario fue encender el ordenador del gerente y buscar los archivos. Sin embargo, al hacerlo, se cambiaron las marcas de fecha y hora de varios cientos de archivos. Una vez asegurados y conservados los datos informáticos, el investigador puede realizar búsquedas en el ordenador sin preocuparse de alterar los datos.
Los departamentos de auditorĂa interna deben tener al menos un auditor que estĂ© familiarizado con las funciones de bĂşsqueda de un programa forense informático importante. Estos programas suelen tener funciones de bĂşsqueda de alta calidad y pueden utilizarse para buscar en los datos informáticos de forma exhaustiva para obtener más informaciĂłn sobre el fraude.
Los investigadores que no tengan conocimientos informáticos forenses podrán copiar el disco duro de un ordenador sospechoso a otro disco duro o a un archivo de red.
PreparaciĂłn o extracciĂłn
Los examinadores comienzan por determinar si hay suficiente información para proceder. Se aseguran de que hay una petición clara y de que hay datos suficientes para intentar responder a ella. Si falta algo, trabajan con el solicitante para encontrarlo. En caso contrario, se procederá a la instalación del proceso.
El primer paso en cualquier proceso forense es validar todo el hardware y el software para garantizar su correcto funcionamiento. La comunidad forense sigue dividida en cuanto a la frecuencia con la que deben probarse los programas y equipos. La mayorĂa de la gente está de acuerdo en que las organizaciones deben validar cada pieza de software y hardware despuĂ©s de comprarla y antes de utilizarla. TambiĂ©n deben volver a probar despuĂ©s de cualquier actualizaciĂłn, parche o reconfiguraciĂłn.
Reflexiones finales
Después de que los examinadores verifiquen la integridad de los datos que se van a analizar, se elabora un plan de extracción de datos. Organizan y dan forma a la solicitud forense en preguntas que pueden responder. Seleccionan las herramientas forenses que les permitirán responder a estas preguntas. Los examinadores suelen tener una idea aproximada de lo que deben buscar en función de la solicitud.
Los añaden a una «lista de bĂşsqueda de clientes potenciales», que es una lista continua de artĂculos que se han solicitado. Por ejemplo, la solicitud podrĂa incluir el encabezamiento «bĂşsqueda de pornografĂa infantil». Los examinadores enumeran explĂcitamente las pistas para ayudar a centrar el examen. Añaden nuevos prospectos a la lista a medida que los desarrollan, y a medida que agotan los prospectos, los marcan como «procesados» o «hechos».
