¿Necesitas mas Informacion?

Análisis informático forense
Quién mejor que un equipo de peritos informáticos para hablar sobre los modelos de análisis informático forense? ¿Conoces qué son o en qué pueden ayudarte? Hoy despejamos todas las dudas y así podremos ver claramente la utilidad y aplicación de este tipo de metodología.

¿En qué consiste el análisis informático forense?

Antes de hablar sobre los modelos de análisis informático forense debemos conocer en qué consiste este proceso. El análisis forense informático es un grupo de técnicas que se basan en la extracción de información de dispositivos electrónicos e Internet. Siempre sin alterar el estado de estos.

También da la posibilidad de localizar datos que se conocen de forma previa. Esto tratando de encontrar un patrón o comportamiento determinado. Y ofrece poder descubrir información y pruebas que estaban ocultos.

El análisis forense digital es un conjunto de técnicas que buscan la extracción de información valiosa de discos. Y, como dijimos anteriormente, sin alterar el estado de estos. Como resultado se pueden obtener datos conocidos con anterioridad. Del mismo modo que se puede identificar un patrón o una serie de comportamientos determinados o descubrir datos que estaban ocultos.

Etapas del análisis informático forense

En primer lugar a tener en cuenta es que dentro del proceso del análisis hay diferentes etapas generales. Estas capaces de definir la metodología en las investigaciones:

  • Identificación.
  • Conservación y adquisición.
  • Análisis.
  • Preservación de los datos y la información.

Al seguir el orden lógico de las etapas, lo primero es identificar aquellas fuentes de datos para analizar. También aquello que se desea encontrar. Después, adquirir todas las imágenes de los discos o fuentes de información.

Una vez dispongamos de todos los datos de interés se procederá al análisis. Aquí se conseguirá la extracción de toda información valiosa para ordenarla y presentarla de forma que sean útiles ante un posible procedimiento judicial.

También es necesario conocer las herramientas y elementos para los peritos informáticos. Las más importantes son las de adquisición de imágenes forenses.

¿Qué son los modelos de análisis informático forense?

¿Qué son los modelos de análisis informático forense?Los modelos de análisis informático forense, o metodóloga, se basan en una serie de etapas que incluyen:

  • Procesos.
  • Herramientas:
    • Software.
    • Hardware.
  • Técnicas.
  • Aspectos legales.

Los aspectos legales que se tratan dentro de los modelos de análisis informático forense sirven para guiar al perito informático forense en su trabajo de investigación y peritación. También es importante tener en cuenta que el análisis forense en procesos judiciales es una de las mejores herramientas hoy en día.

En resumen, su objetivo principal  sobre el análisis informático forense es:

  • Educar.
  • Documentar.
  • Normalizar.

Modelos de análisis informático forense

Quizás lo más importante a tener en cuenta es que no existe un modelo estándar. Sin embargo, si hay unos que son los principales y más reconocidos a nivel internacional. Estos son los que vamos a conocer hoy.

Modelo Digital Forensic Research Workshop (DFRWS)

Este modelo se desarrolló entre el 2001 y el 2003 en el Digital Forensic Research Workshop. El DFRWS ha traído consigo la capacidad de aportar “Clases de Acción dentro de la Investigación Digital”. Tiene técnicas que dan la posibilidad de clasificar en grupos las diferentes actividades que se desarrollan en un proceso de investigación.

Este modelo rige que cada investigación se debe de realizar de forma independiente y muy detallada sobre una matriz. También se debe indicar las actividades que  se realizan y todas las técnicas usadas en la misma.

Las actividades que se realizan en este proceso son:

  • Identificación.
  • Colección.
  • Preservación.
  • Análisis.
  • Examen.
  • Informe.
  • Decisión.

Modelo de Casey (2000)

Dentro de los modelos de análisis informático forense encontramos el desarrollado por Eoghan Casey. En el año 2000 dio a conocer este tipo. Este modelo ha tenido un largo proceso evolutivo desde su versión inicial.

Finalmente, los procesos que se llevan a cabo en este modelo son:

  • Localización e identificación de las evidencias.
  • Adquisición, conservación y documentación de evidencias.
  • Clasificación, individualización y comparación entre las evidencias.
  • Reconstrucción de los hechos sucedidos.

Es importante tener en cuenta que, en los dos últimos procesos, se pueden repetir ciclos. También se pueden presentar nuevas evidencias. Si es así es necesario un nuevo procesamiento. Debido a esto a ambas actividades de las denominas por Casey como Ciclo de Procesamiento de las Pruebas.

Modelo Casey (2004)

Esta es una versión mucho más completa y mejorada del anterior modelo mencionado de la versión 2000. Se compone de diferentes fases:

Preparación y autorización de las pruebas:

En esta fase se abarcan todas las actividades de la recopilación de pruebas. También las que se realizan antes de las autorizaciones legales que se den en el proceso de peritación.

Reconocimiento de las evidencias:

Es el detallamiento y estudio de todas las pruebas y evidencias que se han encontrado.

Documentación de las pruebas:

Esta fase realmente se trata de una repetición. Se realiza durante todo el tiempo que dure la investigación. Se trata de documentar por escrito todos los procesos que se llevan a cabo para poder localizar las pruebas que dan la posibilidad de esclarecer los hechos que se dan en el incidente de seguridad informática.

Obtención de las pruebas:

Dentro de los modelos de análisis informático forense, este punto se repite en numerosas ocasiones. Aquí se produce una imagen de los datos o contenido digital del dispositivo de almacenamiento que se esté analizando. Todo esto se podrá utilizar en el futuro como prueba en un procedimiento judicial.

Es necesario realizar diferentes copias de todos los elementos. Esto se hace así para garantizar una mayor seguridad a la hora de preservar la integridad de las pruebas originales. Estas nunca se deben de tocar, manipular o borrar.

Análisis informático forenseConservación de las pruebas:

Aquí es donde se aseguran todas las pruebas. También, en este paso deben de ser capaces de garantizar de forma plena la integridad de los datos originales.

Análisis de las evidencias:

Usando las herramientas de software indicadas se analizan las copias de las evidencias. También se realizará una hipótesis. Igualmente se comenzará con el proceso investigación. Lo que arroja información relevante que permita la validación y el acaloramiento de los hechos.

Reconstrucción de los hechos:

Cuando se llega esta fase deben haber podido responder las siguientes preguntas:

  1. ¿Desde dónde?
  2. ¿De qué forma?
  3. ¿Cuál es la víctima del ataque?
  4. ¿Quién o quiénes atacaron?
  5. ¿Cuándo?

Informe de la pericial:

Esta es la fase final en la que se elaborará un informe detallado de todos los procesos que se han llevado a cabo. Así como todos los resultados.

Modelo Forense del Departamento de Justicia de EEUU

En el Departamento de Justicia de los EEUU poseen una división especializada llamada “Sección de Crimen Computacional y Propiedad Intelectual”.

Esta sección posee uno de los modelos de análisis informático forense que se basa en aportaciones intelectuales de una gran cantidad de funcionarios. Estos trabajan en agencias federales. Que están especializadas y dedicadas principalmente en la informática forense.

Realizaron una investigación que dio como resultado las tres fases principales que este organismo establece. También hace hincapié en cómo han de realizarse dichas fases. Y la forma previa, sus copias de seguridad y la clonación de los dispositivos afectados por la investigación. Las fases son:

  • Preparativos y extracción.
  • Identificación de las pruebas.
  • Análisis.

Aparte, también se estableció las especificaciones básicas dentro de la investigación informática forense:

  • Uso de métodos científicos.
  • Recopilación y preservación.
  • Validación.
  • Identificación.
  • Interpretación y análisis.
  • Registro, documentación y preservación.

Copias y recuperación de archivos

Realizar copias exactas de los discos y pruebas que se deben analizar dan la posibilidad a los peritos informáticos forenses una serie de ventajas:

  • Acceso a los sistemas de archivos.
  • Inspeccionar las cuentas de usuarios.
  • Revisar los documentos asociados a los usuarios.
  • Controlar los programas instalados.

Aparte de estas, que son las fundamentales, hay muchas otras que se pueden llevar a cabo gracias a las copias.

Por eso, a través del uso de herramientas forenses se pueden localizar enormes cantidades de información. Sin embargo, esto se logra solo al inspeccionar las copias, sino sería muy complicado encontrarlas.

Una de las cosas más importantes de la informática forense es la capacidad de recuperar de archivos borrados. También de conseguir datos en partes ocultas del disco, como por ejemplo, en espacios no asignados.

Asimismo pueden recuperarse correos electrónicos almacenados y/o eliminados. Además, ver historiales de chats y navegación por Internet.

Por último, no menos importante, es importante conocer que se puede recuperar información sobre el último usuario que inicio sesión. Así como de dispositivos USB que hayan sido introducidos en el equipo y otros datos de sesión.

Análisis informático forense

En definitiva, es necesario mencionar que el análisis informático forense se aplica en investigaciones profesionales. Se intenta localizar la evidencia que mantenga una hipótesis.

Gracias a las herramientas y modelos avanzados que están disponibles se hacen más accesibles para los usuarios y profesionales. Los usos más frecuentes son la recuperación de datos, visores de correos electrónicos y de imágenes, documentos perdidos, etcétera.

De la misma manera dependiendo del modelo de análisis que se emplee podemos encontrar herramientas específicas para diferentes funciones. Estas pueden ser de pago o gratuitas.

Al conocer los modelos de análisis informático forense las personas que no trabajen en este ámbito pueden ubicarse mejor. En el caso de tener alguna duda o querer conocer nuestros servicios, no dude en ponerse en contacto con nosotros. Ofrecemos asesoría gratis y personalizada.

Sin Comentarios

Puedes publicar el comentario de la primera respuesta.

Deja un Comentario

Please enter your name. Please enter an valid email address. Por favor ingrese un mensaje.