STICC - Informatica y Comunicaciones para PYMES Home > Artículos > Ver Artículo
21 de Enero de 2019
 
 
 
      - ¿Quienes somos?
      - ¿Cómo localizarnos?
      - Filosofía de trabajo
      - Productos
      - Servicios
      - Solicitar Presupuesto
      - Contactar con nosotros
      - Descargas
      - Foros
      - Encuestas
      - Artículos
      - Noticias
      - Enlaces de Interés
902 93 24 07

Página de Inicio
Añadir a Favoritos

STICC en su e-mail
  Suscribirse
 
Informática Forense: Recogida de evidencias
Fase de vital importancia para un buen dictamen pericial

La tecnología informática se está convirtiendo rápidamente en un instrumento universal, y como tal está siendo utilizado tanto para vulnerar las normas como para perseguir a quien las vulnera. Incluso en delitos para cuya comisión no se ha utilizado ninguna herramienta informática, en ocasiones pueden encontrarse evidencias informáticas que pueden resultar vitales en su resolución.

Es labor del Perito Informático la valoración de dichas evidencias, que dará como resultado el informe o dictamen pericial, que a su vez se constituye en prueba llegado el momento del juicio. Sin embargo, esa labor no suele comenzar con las evidencias en la mano listas para ser estudiadas. Si todas las fases del trabajo del Perito son importantes, no menos importante y si mucho más delicada es la fase de obtención de evidencias.

En el mundo informático todo lo que se hace deja algún tipo de huella, cumpliendo a rajatabla el principio de intercambio de Locard que se puede resumir en que “cada contacto deja un rastro”. Este hecho, que por un lado es una gran ventaja para el investigador, también implica una gran dificultad y requiere la máxima profesionalidad y cuidado. Cualquier mal paso en la identificación y recogida de evidencias puede corromper la información obtenida, y con ello invalidar todo el trabajo.

Identificación

El primer paso del proceso forense es la identificación. Generalmente se da por supuesto que el objeto de estudio de la informática forense son únicamente los ordenadores, y en concreto los datos contenidos en ellos. En realidad puede encontrarse información muy útil en muchos dispositivos: CDs, memorias de todo tipo, MP3, teléfonos móviles, PDAs, tarjetas SIM, routers y otros elementos de red, impresoras, fotocopiadoras, faxes, bandas magnéticas, cintas de audio/video, etc.

El mayor aliado de un Perito Informático son los logs o registros de eventos. Tenemos los logs del Sistema Operativo, los de muchos programas, los Spools de las impresoras, los ficheros de paginación, los ficheros temporales, las cookies del navegador, los volcados de errores (memory dumps), incluso la papelera de reciclaje… y eso sólo en un ordenador. Pero muchos otros dispositivos tienen un sistema operativo más o menos complejo, con su propios logs, etc.

En general, cualquier dispositivo que tenga una memoria podría contener rastros de información que haya pasado por él. No se debe descartar nada, especialmente si suponemos que alguien haya intentado borrar sus huellas.

Por otro lado, la cantidad de información a recolectar puede ser enorme. Hay que establecer lo que puede ser relevante y admisible. Ante la duda, siempre es recomendable recoger en exceso que quedarse cortos.

Recogida de Evidencias

Una vez que sabemos los dispositivos en los que podríamos encontrar información útil, el tipo de información, y el formato en el que podría estar almacenada, es fundamental hacernos con las herramientas adecuadas para recuperarla.

Debemos decidir también el orden en el que vamos a recoger las evidencias, según el orden de volatilidad de las mismas. Primero tenemos que asegurar las que puedan ser más volátiles, como puede ser todo aquello que esté en la memoria del equipo, caché, estadísticas, etc. Si el equipo está encendido hay mucha información que se perderá en cuanto se apague. Pero también habrá mucha información que se irá corrompiendo con el tiempo que el equipo permanezca encendido. Esta es la primera de muchas decisiones difíciles que se pueden presentar en el proceso.

A continuación nos encontramos con otro problema fundamental en esta parte del trabajo. Idealmente no deberíamos estudiar la información directamente en su ubicación original. Aunque no siempre es posible o rentable, debemos trabajar sobre copias forenses de la información. Entendemos por copia forense aquella en cuya realización se cumplen dos objetivos fundamentales para la validez del estudio:

  1. El origen de la información no ha sido alterado en el proceso de copia o clonación.
  2. El resultado es, en los términos que interesan en cada caso, una copia exacta de la evidencia.

Cuanto más sutil sea el rastro a seguir, o mayores hayan sido los esfuerzos por encubrirlo, más esmero será necesario dedicar en este momento, pues cualquier corrupción de los datos puede dar lugar a que la evidencia se pierda o aparezcan “falsos positivos”.

Evidentemente, el destino de la copia debe estar previamente vacío. Y todos sabemos que un formateo no es suficiente. En el caso del clonado de una memoria o un disco, la mejor forma de asegurarse es que el destino sea una memoria o un disco nuevos. Y si se trata de un tema delicado, lo mejor es sacarlo de su paquete ante testigos. También puede ser útil en este momento realizar más de una copia, pues más adelante podríamos no tener esa oportunidad.

Las herramientas utilizadas para el clonado también son importantes. Debemos buscar siempre herramientas que impidan la escritura en los medios originales (lectores de tarjetas con la escritura deshabilitada, bloqueadores de buses, etc). También debemos seleccionar herramientas que hagan una copia completa bit a bit, es decir, al más bajo nivel posible.

Registro de actuaciones

Durante todo el proceso pericial, no solamente en la fase de recogida de evidencias, hay que llevar un registro completo de todos los pasos que damos. Si además podemos tener testigos, grabaciones, fotos, videos… mejor. No hay nada peor que llegar a la vista y no poder explicar alguna de nuestras conclusiones porque alguno de los pasos que nos llevaron a ella no está documentado. Es importante tomar nota de todo: fechas y horas, personas presentes, cómo nos encontramos todo, lo que hacemos, por qué lo hacemos, cómo y con qué lo hacemos.

 



Este artículo ha sido escrito por: Modesto Álvarez

(no hay comentarios)
Añadir Comentario
Puedes publicar comentarios sin registrarte. Pero si ya eres usuario registrado y no has iniciado sesión, incluye con tu comentario tus datos de inicio de sesión para que aparezca tu alias:
Usuario:
Contraseña:
Si no eres usuario registrado, por razones de seguridad es necesario que introduzcas aquí los caracteres que ves en la imagen:
e-Mail Alias
Fecha:08/02/2008
Tema:Seguridad
(2 votos)
Comentarios: 0
Puntuar Artículo
 
 
 
Aviso Legal  |  Política de Privacidad ® 2004 STICC soluciones