11-Las 4 Fases de la Informática Forense - Guía Práctica

📋 INTRODUCCIÓN

La informática forense se divide en 4 fases críticas que todo perito debe dominar. Vamos a desglosar cada una con ejemplos prácticos y consejos reales.

🔍 FASE 1: EVALUAR - La Base de Toda Investigación

📝 Aspectos Legales y Contractuales

bash
# ✅ CHECKLIST LEGAL INICIAL:
- 📄 Contrato de servicios firmado
- 🏛️ Autorización para revisar equipos de terceros
- 📧 Permiso para acceder a correos electrónicos
- 📜 Revisión de legislación local aplicable

🤔 Preguntas Clave al Cliente

markdown
¿Van a proceder legalmente?
- ✅ SI → Protocolo estricto, múltiples copias, hashes SHA-256
- ❌ NO → Proceso más ágil, menos burocracia

¿Qué tipo de evidencia?
- 🖥️ Sistema de videovigilancia → Clonar completo
- ☁️ Servidor en la nube → Capturar logs y snapshots
- 💻 Equipo físico → Copia forense bit-a-bit

⚠️ Desconfía del Personal de Sistemas

python
# 🎭 Escenario común en hackeos:
sistemas_dice = "Tenemos todo actualizado, no sé cómo pasó"
realidad = "Contraseñas sin cambiar por años, sistemas desactualizados"

# 🔍 Tácticas de investigación:
1. Escuchar al equipo de sistemas
2. VERIFICAR TODO independientemente
3. Buscar contradicciones
4. Documentar discrepancias

🚨 Errores Comunes Post-Incidente

bash
# ❌ LO QUE PASA EN LA REALIDAD:
- Apagan equipos bruscamente
- Reinstalan sistemas operativos
- Restauran backups sin análisis
- ¡Y EL HACKEO VUELVE A SUCEDER!

# ✅ LO QUE DEBERÍA PASAR:
- Aislar sistemas comprometidos
- Preservar evidencia original
- Analizar causa raíz
- Corregir vulnerabilidades

💾 FASE 2: ADQUISICIÓN - Capturar la Evidencia Correctamente

⚖️ Criterios de Admisibilidad Legal

markdown
| Criterio       | Descripción                                  | Ejemplo                                  |
|----------------|----------------------------------------------|------------------------------------------|
| RELEVANTE      | Relación lógica con el caso                  | No mencionar pornografía en caso de fuga |
| COMPETENTE     | Válida y consistente con hechos              | Evidencia obtenida legalmente            |
| SUFICIENTE    | Permite llegar a conclusiones sólidas        | Múltiples líneas de evidencia            |

🔐 Software Legal - ¡Punto CRÍTICO!

python
# ⚠️ ESCENARIO PELIGROSO:
if perito.software_licencia == False:
    investigacion.validez = "NULA"
    consecuencia = "Árbol envenenado - Todo se cae"
    sancion = "Multas del IMPI (México) u organismo local"

# ✅ SOLUCIÓN:
- Usar solo software licenciado
- Tener licencias a la mano
- Preparar documentación de herramientas

🛠️ Técnicas de Adquisición Aceptadas

bash
# 📋 PROTOCOLO DE ADQUISICIÓN:
1. Documentar escena original (fotos, video)
2. Justificar ALTERACIONES necesarias
3. Crear MÍNIMO 2 copias forenses
4. Calcular hashes SHA-256
5. Usar medios de almacenamiento diferentes

📦 Cadena de Custodia

markdown
Ejemplo de trazabilidad:
Juan Pérez → entrega a → Pedro López → entrega a → Ana García
📋 Formulario de responsivo en cada transferencia
🔏 Firma digital en cada paso

🛡️ FASE 3: PRESERVACIÓN - Mantener la Evidencia Intacta

💼 Técnicas de Preservación Física

bash
# 🛡️ PROTECCIÓN DE EVIDENCIA:
- Dispositivos móviles → Bolsas Faraday
- Discos duros → Protección anti-estática
- Equipos encendidos → Volcado RAM prioritario
- Documentación → Fotos y videos del estado original

📱 Caso Especial: Dispositivos Móviles

python
# ☎️ PROTOCOLO CELULARES:
def preservar_celular(celular):
    celular.bolsa_faraday = True  # Inhibe señales
    celular.modo_avion = True     # Backup manual
    celular.documentar_estado()   # Fotos, apps abiertas
    return "Evidencia preservada"

🔢 Verificación de Integridad

bash
# 🔍 VERIFICACIÓN CONTINUA:
sha256sum evidencia_original.img
# Resultado: a1b2c3d4e5f6...

sha256sum copia_trabajo.img
# Resultado: a1b2c3d4e5f6... ✅ INTACTA

📊 FASE 4: PRESENTACIÓN - Comunicar Hallazgos Efectivamente

🎯 Adaptar el Lenguaje al Público

markdown
# ❌ TÉRMINOS TÉCNICOS (EVITAR):
"Detectamos tráfico malicioso en el puerto 445"
"El firmware del router tenía vulnerabilidades zero-day"

# ✅ LENGUAJE SENCILLO (USAR):
"Encontramos que la computadora se comunicaba de forma sospechosa"
"El equipo de internet tenía fallas de seguridad conocidas"

📑 Estructura del Dictamen Pericial

bash
# 📋 ESTRUCTURA GANADORA:
1. RESUMEN EJECUTIVO → Para directivos/jueces
2. METODOLOGÍA → Herramientas y procesos
3. HALLAZGOS → Evidencia encontrada
4. CONCLUSIONES → Respuestas claras
5. GLOSARIO → Términos técnicos explicados
6. ANEXOS → Datos técnicos completos

⚖️ Trabajo en Equipo con Abogados

python
# 🤝 COLABORACIÓN EFECTIVA:
def gestion_tiempos(abogado, perito):
    plazo = abogado.obtener_plazo_juicio()
    if plazo < tiempo_necesario:
        abogado.solicitar_extension()
        perito.proporcionar_justificacion_tecnica()
    return "Plazo adecuado obtenido"

📈 Tipos de Reportes Según el Caso

markdown
| Tipo Cliente      | Reporte Ejecutivo | Reporte Técnico |
|-------------------|-------------------|-----------------|
| 🏢 Corporativo    | ✅ Obligatorio    | ✅ Opcional     |
| ⚖️ Juicio        | ✅ Para el juez   | ✅ Para peritos |
| 🕵️ Investigación | ✅ Directivos     | ✅ Ingenieros   |

🎯 CONSEJOS PRÁCTICOS FINALES

💡 Para Success en Peritajes:

bash
1. 🗣️ COMUNICACIÓN CLARA → Lenguaje para no técnicos
2. ⚖️ RIGOR LEGAL → Software licenciado, procedimientos válidos
3. 📝 DOCUMENTACIÓN → Cadena de custodia impecable
4. 🤝 COLABORACIÓN → Trabajo en equipo con abogados
5. ⏱️ GESTIÓN DE TIEMPOS → Plazos realistas y negociados

🚫 Errores que Arruinan Casos:

python
errores_fatales = [
    "Software pirata",
    "Cadena de custodia rota", 
    "Lenguaje demasiado técnico",
    "Plazos incumplidos",
    "Alterar evidencia sin justificar"
]

✅ Checklist Final por Fase:

markdown
- [ ] FASE 1: Autorizaciones legales ✓
- [ ] FASE 1: Entrevista técnica ✓  
- [ ] FASE 2: Software licenciado ✓
- [ ] FASE 2: Múltiples copias ✓
- [ ] FASE 3: Hashes verificados ✓
- [ ] FASE 3: Preservación física ✓
- [ ] FASE 4: Lenguaje adecuado ✓
- [ ] FASE 4: Plazos cumplidos ✓

📚 Recursos Adicionales Incluidos

  • 📄 Formatos de cadena de custodia

  • 📋 Plantillas de dictámenes periciales

  • 🔍 Checklist de herramientas validadas

  • ⚖️ Guía de legislación por país

🎓 Recuerda: Un buen perito no solo encuentra la verdad técnica, sino que la comunica efectivamente para que sea entendida y aceptada legalmente

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más