6. Las 4 fases del cómputo forense

  Reproducir las 4 Fases del Cómputo Forense

¿Te has preguntado cómo se lleva a cabo una investigación de informática forense de manera estructurada y efectiva? En este post, desglosamos las cuatro fases clave que todo profesional debe seguir: evaluar, adquirir, preservar y presentar. Vamos a profundizar en cada una.



🔍 1. Evaluar

Antes de cualquier acción, es crucial la evaluación. Esta fase incluye:

  • Autorización legal: Contar con un contrato o permiso que avale la captura de paquetes de red, revisión de equipos o acceso a correos electrónicos.

  • Marco legal: Verificar las legislaciones locales o nacionales que rigen las acciones forenses, ya que estas varían según el país o estado.



  • Identificación de evidencia: Determinar qué evidencia se recopilará y cómo. Por ejemplo, si es un sistema de videovigilancia, ¿se clonarán los discos duros? Si es un servidor en la nube, ¿cómo se accederá a los datos?

  • Entrevistas iniciales: Hablar con el personal de sistemas para entender el contexto del incidente, pero desconfiando de la información recibida. Muchas veces, el personal podría ocultar malas prácticas que facilitaron el ataque.



Consejo clave: Siempre documenta todo y justifica tus acciones, ya que cualquier alteración de la evidencia debe estar debidamente fundamentada.

💾 2. Adquirir

En esta fase, se recopila la evidencia digital. Para que sea admisible en un juicio, debe ser:



  • Relevante: Relacionada directamente con el caso.

  • Competente: Válida y consistente con los hechos.

  • Suficiente: Capaz de sustentar las conclusiones.

Aspectos críticos:

  • Uso de software licenciado: Trabajar con herramientas sin licencia invalida toda la investigación bajo el principio del "fruto del árbol envenenado".

  • Minimizar alteraciones: Aunque conectar un dispositivo USB altera la evidencia, esto puede justificarse si es necesario para obtener datos volátiles, como el volcado de la memoria RAM.

  • Copias forenses: Realiza al menos dos copias en medios diferentes para garantizar la integridad de los datos.





🛡️ 3. Preservar

La evidencia debe mantenerse inalterada hasta su presentación. Aquí entran en juego:

  • Cadena de custodia: Documenta cada persona que maneja la evidencia, junto con fechas y firmas.



  • Almacenamiento seguro: Usa bolsas Faraday para dispositivos electrónicos, evitando que reciban señales externas (como en el caso de celulares) o descargas eléctricas.

  • Protección contra alteraciones: Asegura que la evidencia no sea modificada intencional o accidentalmente.

📋 4. Presentar

La última fase consiste en comunicar los hallazgos de manera clara y accesible:



  • Lenguaje sencillo: Evita tecnicismos innecesarios. Explica conceptos como "puerto" o "VLAN" con analogías o glosarios.

  • Dictamen pericial: Incluye gráficos y ejemplos para facilitar la comprensión del juez o del cliente.

  • Colaboración con abogados: Coordina plazos y recursos para asegurar que el dictamen se entregue a tiempo y cumpla con los requisitos legales.

Tip adicional: En investigaciones privadas, entrega un reporte ejecutivo para no técnicos y un reporte técnico detallado para los especialistas.

✅ Conclusión

Seguir estas cuatro fases no solo garantiza una investigación rigurosa, sino también la admisibilidad de la evidencia en un proceso legal. ¿Has implementado estas etapas en tus propias investigaciones? ¡Comparte tus experiencias en los comentarios!

¿Te gustó este contenido? Déjame tus comentarios y comparte si crees que puede ser útil para otros profesionales.

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más