2. Definición
Conjunto de principios y técnicas que conforman los procesos
de adquisición, conservación, documentación, análisis y
presentación de evidencias digitales.
3. Fases del análisis forense digital
1. Identificación del incidente
2. Recopilación de evidencias
3. Preservación de la evidencia
4. Análisis de la evidencia
5. Documentación y presentación de resultados
4. Identificación del incidente
Consiste en la búsqueda y recopilación de evidencias, donde
inicialmente deberá utilizar herramientas que no modifiquen o borren
la información objeto de estudio.
Como opciones de búsqueda se tienen:
• Verificación de integridad de los ficheros
• Verificación del equipo (procesos en ejecución, validando si
corresponden a procesos inusuales).
5. Recopilación de evidencias
En esta fase se obtienen copias de la información que se sospecha
pueda estar vinculada con algún incidente. Se recomienda utilizar
copias bite a bite (imagen del disco) de manera que se puedan
preservar los datos en su estado original sin que se pierda información
oculta.
Para la recopilación de evidencia se debe tener en cuenta un orden de
volatilidad, por lo que se deberán recolectar en el orden de la más
volátil en primera instancia a la menos, sobre el final.
6. Algunos ejemplos son: datos relevantes de la memorias, contenidos del
caché, estado de contenidos de red y contenidos almacenados en
discos duros u otros dispositivos de almacenamiento.
7. Preservación de la evidencia
Con el fin de garantizar la información recopilada, se deben realizar
copias de respaldo, de manera que sobre estas muestras se realicen los
análisis a los que haya lugar, sin interferir directamente con la evidencia
inicialmente recolectada.
Adicionalmente, se debe preparar un acta denominada (Cadena de
custodia) en donde se diligencien datos como: Lugar, fecha, analista
responsable y demás responsables en el proceso de manipulación de
las copias.
8. Análisis de la evidencia
En esta fase se analizan todas las evidencias disponibles con el fin de
reconstruir la secuencia temporal del ataque, determinando la cadena
de acontecimientos que tuvieron lugar desde el momento previo al
inicio del ataque hasta el momento de su descubrimiento, así como la
identificación del autor y la evaluación del impacto que generó el
ataque al sistema.