¿Necesitas mas Informacion?

Análisis informático forense¿Cuántas veces hemos mencionado en nuestros artículos el análisis informático forense? Sin embargo nunca nos hemos parado a conocer este proceso en profundidad. Parte esencial del trabajo de los peritos informáticos. Conoce todo lo que necesitas saber sobre este tema y las ventajas que puede ofrecernos.

Análisis informático forense

Lo primero que debemos hacer es conocer la definición más exacta de qué es el análisis informático forense: Este se basa en una serie de técnicas científicas y de análisis especializadas en el ámbito tecnológico.

Dentro de las características del análisis informático forense encontremos muchas ventajas: trabajar con documentación, información y datos. Estos pueden utilizarse en un procedimiento legal.

  • Las técnicas que se desarrollan dentro de este ámbito nos ofrecen trabajar con documentación, información y datos. Estos pueden utilizarse en un procedimiento legal:
    • Identificación.
    • Análisis.
    • Preservación.
    • Presentación.
  • Este proceso se lleva a cabo siempre que se ha identificado una posible amenaza. Para poder confrontarla, evitarla y tomar las medidas de seguridad correspondientes.
  • Da la posibilidad de identificar y analizar con precisión las consecuencias de las amenazas ya mencionadas. Que afectan a los sistemas informáticos personales o de una empresa. También nos da la posibilidad de identificar al autor. Sabremos del mismo modo las causas y la metodología que este utilizó.
  • Podemos identificar y localizar las debilidades de los sistemas informáticos que han dado cabida al ataque.

Objetivos principales del análisis informático forense

Estos son los objetivos principales de este procedimiento:

  • Localización e identificación de los posibles fraudes.
  • Prevenir, controlar y reducir los problemas de fraudes. En el caso de las empresas esto se lleva a cabo implementando el control interno de la organización.
  • Creación y desarrollo de planes y programas destinados a la prevención de fraudes y estafas.
  • Peritaje informático de los sistemas de control internos.
  • Análisis y estudio de las pruebas y evidencias conseguidas en el análisis. Esto se realiza principalmente dirigido a las posibles auditorías judiciales posteriores.

El análisis lo hacen los peritos informáticos forenses

Peritos informáticos forensesLos expertos que llevan a cabo este proceso son los peritos informáticos forenses.

El perito informático forense nace con el objetivo de hacer frente y solucionar los ataques informáticos.

Aparte de esto, encontramos una serie de funciones esenciales en estos profesionales.

  • Realizan investigaciones informáticas y análisis digitales. El objetivo es poder recopilar todos los datos que puedan usarse como pruebas ante un procedimiento judicial. Sobretodo en el caso de las empresas. Es para que se pueda perseguir la comisión de los ciberataques a los que estamos expuestos.
  • Tienen la capacidad de  extraer información de los discos. Estos profesionales lo hacen sin alterar el estado de estos. De esta forma se puede descubrir si hay algún patrón o algún tipo de comportamiento determinado. También da la posibilidad de averiguar si hay información que esté oculta y que se pueda analizar.

En resumen, un perito informático forense tiene conocimientos sobre las técnicas de recopilación de pruebas en medios tecnológicos. Además deben de tener los conocimientos actualizados según la legislación vigente. De esta manera se respeta y se protegen los derechos de los ciudadanos.

Fases del análisis informático forense

Hablaremos sobre las fases según las trabaja nuestro equipo de peritos informáticos forenses. Siempre buscamos tener los mejores resultados y de forma más rápida y precisa posible.

  1. Estudio del análisis informático forense: En esta fase se estudia el escenario sobre el cual se va a realizar la investigación. Se debe de realizar una copia de las fuentes de donde se van a extraer los datos. Del mismo modo que se realizará un plan de acción para trabajar y estudiar las pruebas.
  2. Análisis de la información: Cualquier rastro que pueda detectarse se debe analizar. Dentro de esto se estudia la memoria volátil, los ficheros, incluyendo también aquellos protegidos por contraseña, los que están ocultos, se realizarán registros sobre el sistema, etcétera.
  3. Valoración del estudio: Es aquí donde se valoran los resultados de las pruebas que se han llevado a cabo. A partir de aquí,  el perito informático responsable redactará un informe. En este se especificarán qué equipos han sido afectados, quién ha sido el autor, las debilidades detectadas, el autor del ataque, etcétera. También se especificará cómo se pueden solucionar o se han solucionado los problemas, las vulnerabilidades que han de corregirse.
  4. Corrección de vulnerabilidades: Esto se realiza fundamentalmente para poder mejorar las medidas de seguridad de los sistemas.

Actividades que se realizan dentro del análisis informático forense

Las actividades que se llevan a cabo en este proceso se personalizan dependiendo de las necesidades de cada caso. Aquí hablaremos de una serie de puntos que suelen presentarse en la mayoría de casos:

  • Estudio del entorno de datos.
  • Estudio y análisis de las vulnerabilidades de los sistemas.
  • Auditorías informáticas de las webs.
  • Peritaje informático forense.
  • Análisis y estudio de los dispositivos electrónicos.
  • Recuperación y preservación de la información.
  • Protección y posible infracción de la marca.
  • Análisis de falsificación.

Adquisición de datos en el análisis informático forense

Adquisición de datos en el análisis informático forenseEstamos hablando de una de las etapas más importantes de este proceso. A través de los medios de adquisición se consiguen los datos dentro de medios digitales. Estos son los que en su momento fueron sometidos al proceso que ya mencionamos de clonación.

Es necesario recordar que el perito informático forense, bajo ningún concepto, trabajará con la información y los datos originales. El trabajo de análisis se llevará a cabo siempre en copias realizadas bit a bit. Estas se tratan de imágenes exactas al disco duro afectado.

Para poder llevar a cabo una imagen clonada de bajo nivel debemos de contar con ciertas características del disco duro. Este debe tener solo el acceso de modo de lectura activado. De esta forma evitaremos cualquier operación que pudiera sobrescribir el disco.

Para poder llevar a cabo este tipo de procesos se necesitan herramientas especializadas. Estas pueden ser por ejemplo hardware y/o software. Poseen la capacidad de soportar cualquier tipo de dispositivo tecnológico de almacenamiento.

Poder verificar estos datos  se hace a través de unas funciones conocidas como “hash”. Se utilizan también algoritmos como por ejemplos SHAy MD5. Para clonarlos: estas son funciones de cifrado que dan la posibilidad de crear un código hexadecimal. Este puede compararse con el disco original. Es de esta manera como se realiza una copia idéntica sin modificar o dañar el contenido original.

La adquisición de datos es una fase crítica del análisis informático forense

Cuando el perito está realizando este proceso, se encuentra en una de las fases mas criticas del análisis informático forense. Porque si en algún momento se comete algún fallo, la investigación completa junto a todo el análisis dejarán de ser validos.

Cuando se lleva a cabo una clonación es recomendable realizarla sobre dispositivos que estén nuevos o formateados de forma precia. Es importante que no tengan ninguna impureza. Lo más recomendable es usar clonadoras hardware. En el caso de no ser posible también se puede usar algún bocio de Linux Live CD. Esta debe de ser adecuada para este proceso. Como por ejemplo: EnCase, DEFT Linux, CAINE, Helix, ForLEX, etcétera.

Una vez se ha podido identificar el problema de seguridad, así como lo que fue dañado por este es necesario que el investigador decida si apagar el dispositivo o no. Esta decisión es realmente difícil. Se debe a que si se apaga el equipo es posible perder pruebas que se encuentren en la memoria volátil.  Como procesos de ejecución, usuarios conectados, log del sistema, conexiones y un largo etcétera. Por ello y de forma preventiva es necesario y útil realizar un volcado. Este se realza a través de las herramientas adecuadas y antes de desconectar el equipo.

Una vez se tengan ya todas las pruebas y datos, en las copias, puede dar comienzo la investigación.

Informe pericial sobre el análisis informático forense

Redactar un informe pericial es una tarea compleja y esencial. Es importante tener en cuenta que esto no solo requiere recopilar todas las pruebas. También debe constar todos los indicios, explicar y detallar toda la investigación de una forma comprensible, exacta y sencilla de entender.

Cuando se comienza a elaborar el informe el perito informático responsable de hacerlo debe tener en cuenta que no todo el mundo que accede a este tiene conocimientos de informática. Por este motivo es muy importante que el documento facilite en la medida de lo posible una comprensión sencilla.

Aparte de esto, teniendo en cuenta que puede ser usado en un procedimiento judicial, si el informe no es comprensible puede perder validez. Incluso puede que el propio abogado se vea con dificultades si no es capaz de entender y conocer adecuadamente la información que hay en el informe pericial.

Aunque hemos hablado de las bases principales, si tiene dudas sobre el análisis informático forense, póngase en contacto con nuestro equipo. Ofrecemos asesoramiento personalizado y gratuito de mano directa de nuestro equipo de peritos informáticos.

Sin Comentarios

Puedes publicar el comentario de la primera respuesta.

Deja un Comentario

Please enter your name. Please enter an valid email address. Por favor ingrese un mensaje.