Metodologia Forense

Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Está en la página 1de 14

METODOLOGIA FORENSE

La metodología forense es la mecánica de adquisición de evidencias que


puedan ser reproducibles y analizables mediante una cadena de custodia que
garantice su integridad
Normativas para la metodología forense:
 RFC 3375 Guidelines for evidence and archiving
o Directrices para recopilar y almacenar evidencia
 NIST 800-86 Guide to integrating forensic techniques into incident
response
o Guia para la recolección de evidencias y técnicas ante una
respuesta ante incidentes
 NIST 800-61 Computer Security Incident Handling Guide
o Parecida a la norma anterior, incluye la metodología a emplear
ante una gestión de incidentes
 ISO/IEC 27035:2016. Information technology. Security techniques.
Information security incident management.
o Cubre los procesos de gestión de eventos, incidentes y
vulnerabilidades de seguridad de la información
 ISO/IEC 27037: 2012. Guidelines for identification, collection,
acquisition and preservation of digital evidence.
o Proporciona pautas y actividades para el manejo de la evidencia
digital
 UNE 71506:2013. Metodología para el análisis forense de las
evidencias electrónicas.
o Establece los requisitos para la gestión de las evidencias
electrónicas a lo largo de su ciclo de vida
 UNE 71505:2013. Gestión de evidencias electrónicas. Parte 1.
o Recoge un glosario de conceptos que se encuentran en el
análisis forense
 UNE 71505:2013. Sistema de Gestión de Evidencias Electrónicas
(SGEE). Parte 2
o Establece buenas practicas y permite profundizar en la recogida
de evidencias y sus procedimientos
 UNE 71505:2013. Sistema de Gestión de Evidencias Electrónicas
(SGEE). Parte 3: Buenas prácticas en la gestión de las evidencias
electrónicas.
o Define los formatos y mecanismos más técnicos a la hora de
gestionar evidencias electrónicas
PERITO FORENSE Y ANALISTA FORENSE
 Un perito es una persona con grandes conocimientos el cual ofrece
una opinión fundamentada. Estos analizan y aplican técnicas para
recoger evidencia, preservar su integridad y mantener una cadena de
custodia
 Un perito a diferencia de un analista forense normalmente apoya en
procesos judiciales en donde tiene las siguientes funciones
o Ayudar al juez aclarando puntos necesarios
o Utilizar el peritaje como método de prueba para acreditar o
solucionar alegaciones formuladas por las partes
 Estos personajes realizan estudios y análisis técnicos en donde buscan
obtener evidencia en dispositivos digitales y físicos. También en
dispositivos donde se pueda dejar un rastro informático
 El resumen de la adquisición, preservación y análisis da como resultado
un informe final en donde se resume la evidencia informática
encontrada en los dispositivos

LABORATORIO FORENSE
Sitio en donde hay dispositivos que permiten el análisis de distintos
dispositivos que sirvan para adquirir evidencia informática
Funciones:
 Proponer medidas de prevención y gestión relativas a los riesgos
corporativos en el ámbito informático-forense.
 Llevar a cabo la investigación en caso de fraude en entornos
digitales.
 Colaborar en la respuesta y análisis de incidentes.
 Analizar, almacenar y gestionar grandes volúmenes de datos
utilizados en negociaciones o litigios.
 Redactar, elaborar y, en caso de ser necesario, defender informes y
pruebas periciales como técnico independiente.
COMPOSICION DE UN LABORATORIO FORENSE
 Espacio físico seguro
 Especialistas
 Herramientas para extraer artefactos
 Dispositivos para explotar artefactos
 Terminales para asegurar la cadena de custodia
 Políticas de actuación
 Cuerpo normativo para regular la actividad forense
ESPECIALISTAS DENTRO DE UN LABORATORIO FORENSE
 Director técnico forense y de laboratorio
 Técnicos especializados (2-5 personas)
 En casos especiales, un notario especializado en delitos digitales
 Soporte legal para garantizar la capacidad probatoria de las evidencias
SEGURIDAD DENTRO DEL LABORATORIO
 Circuito cerrado de videovigilancia
 Vigilante físico
 Entrada de personal autorizado
 Volumetricos
 Regulación de temperatura
 Gas S3
FASES DE UN ANALISIS FORENSE

FASES
1. Adquirir información (evidencia)
2. Analizar la evidencia aplicando métodos forenses
3. Presentar informes de los resultados del análisis

Preservación de evidencia
Se busca garantizar que las evidencias permanezcan inalteradas, busca
mantener la integridad de los dispositivos e información adquirida como .
Es importante poseer procedimientos detallados que aseguren la integridad
de las evidencias, de tal forma que se evite su manipulación por los efectos
de conexiones accidentales a redes inalámbricas, descargas eléctricas o
subidas de tensión.
 Los técnicos forenses responsables del primer análisis deben ser
cautelosos y elegir el mejor almacenamiento para garantizar la
integridad de las evidencias
 El personal no debe llevar ningún dispositivo que pueda crear señales
de radiofrecuencia ya que pueden alterar la evidencia
 Para garantizar la preservación de la evidencia es importante sellar el
almacenamiento. Es importante tenerlos identificados con etiquetas
donde se muestre la información general del dispositivo
o ID
o Nombre del responsable
o Descripcion
 Importante el uso de firma hash para identificar las evidencias que
formaran parte de una investigación
 Es importante garantizar que las evidencias no sufren ninguna
alteración, por lo que su almacenamiento debe ser seguro, en un lugar
que cumpla con las características antes mencionadas. En el caso de no
contar con esos medios, al menos se deberá intentar almacenar las
pruebas extraídas en una caja fuerte que garantice su seguridad.

ASEGURAR LA ESCENA
Cuando se realiza un análisis forense cuyos informes formaran parte de un
caso criminal es muy importante que la escena no se haya visto alterada. Se
recomienda anotar todo lo adquirido en el incidente hasta su análisis y
conclusiones.
FORMULARIO PARA REGISTRO DE EVIDENCIA
 Datos sociales del solicitante del análisis forense
 Fecha y hora de la solicitud
 Dispositivos afectados
 Descripcion del problema
 Impacto
 Valoración
 Proceso judicializado
 Solicitud de una autorización de acceso a los dispositivos tanto física
como lógica
 Preparación de las herramientas
Se recomienda tomar fotografías para sustentar el estado de los dispositivos
Una vez completado el formulario, se contacta con el responsable de los
dispositivos para solicitar que no manipulen los mismos con el objetivo de
que la integridad de la evidencia no se vea afectada
Para ello se indicará

La desconexión de red evitaría un posible borrado de datos remoto o una


descarga no autorizada. Importante no conectar-desconectar
frecuentemente los dispositivos ya que estos pueden afectar la evidencia
Si la evidencia se judicializara es importante la presencia de un notario para
que este de fe del proceso de adquisición de pruebas.
ADQUISICION
Es la fase en donde se obtienen copias de las evidencias que posiblemente
hayan sido comprometidas. Esto debe hacerse sobre un soporte limpio que
evite las posibles contaminaciones en un futuro
 Esta es la fase en donde se accede al dispositivo y se extraen los datos
para aportar información necesaria al posterior análisis
 Es importante identificar las evidencias que son volátiles, es decir, las
que pueden verse afectadas fácilmente por ejemplo la memoria RAM y
las que tienen carácter permanente por ejemplo los datos en los discos
duros
 Se entiende como adquisición la recopilación de evidencias que
pueden probar o verificar la existencia de unos incidentes y sus
consecuencias
 La presencia de terceros independientes siempre es recomendable ya
que pueden dar se del proceso seguido
 El personal encargado de la adquisición debe llevar un proceso
debidamente documentado. Ha de utilizar hardware, software o
herramientas reconocidas en el ámbito forense y asegurar la cadena
de custodia mediante la recogida del correspondiente historial
temporal, además de dejar documentadas todas las acciones
implementadas y la especificación de los pasos y las metodologías
seguidas para la extracción de la evidencia.

NOTARIO
El notario es un funcionario público del Estado que proporciona a los
ciudadanos seguridad jurídica. Es un profesional del derecho que ejerce en
régimen de competencia. Esta doble cualidad garantiza su independencia y,
de esta forma, al ser imparcial, asegura que el trabajo de adquisición de
evidencias esté ajustado a la más estricta legalidad. En ningún momento el
notario viene a sustituir a la figura del perito, no puede realizar sus funciones,
entre otras cosas porque legalmente la actuación del notario está prohibida
en aquellas intervenciones en las que sean necesarios los conocimientos de
un perito.
ANALISIS
Esta es la fase que busca determinar que ha ocurrido, quien causo el
incidente, de qué manera se ejecutó, cuales fueron sus consecuencias, para
así resolver el incidente
Se usará software de alto nivel que pueda ser reproducible por otros peritos
para validar su contenido
Es importante manejar la cadena de custodia con cada paso que dio la
evidencia dentro del proceso
Aspectos claves del análisis
PRESENTACION
Cada una de las acciones que uno haga con la evidencia adquirida se debe
haber documentado para plasmarlo en un informe
Se deben adjuntar en el informe todas las evidencias obtenidas,
estableciendo un orden lógico
Los resultados del análisis se materializan en un informe que debe
compaginar términos técnicos fáciles de comprender

Informe ejecutivo: Resume los aspectos mas importantes de manera concisa


y clara
Informe técnico: Explica detalladamente cada proceso del análisis para que el
lector final (que posee conocimientos técnicos) pueda reproducir las pruebas
El contenido del informe debe ser el siguiente:
CADENA DE CUSTODIA
Importante que cada elemento implicado pueda rastrearse desde el origen
hasta la presentación, esto se conoce como mantener la cadena de custodia.
Se debe tener evidencia del recorrido del dispositivo desde que se encontró
hasta que se analizo

1. ¿El perito está obligado de alguna manera a no cometer un delito de


perjurio y realizar el análisis de una forma clara y objetiva?
2. ¿Ha sido trasladado el motivo del análisis al perito? Indicar cómo y por
quién o qué entidad.
3. ¿Existe algún marco temporal en el análisis?
4.  ¿Es importante tener en cuenta el tipo de hardware a analizar? ¿Por
qué?
5. ¿Cómo fueron adquiridas las evidencias?
6. ¿Hubo algún mecanismo para que no se alterase la cadena de custodia
y se mantuviera la integridad de las evidencias?
7. ¿Qué algoritmo de hash se utilizó y por qué?
8. ¿Cómo se encontraron los resguardos de las transferencias bancarias?
9. Enumerar los softwares forenses utilizados y para qué fin.
10.¿Por qué el perito encontró un archivo Excel con la contabilidad B?
11.¿Cómo se relaciona dónde se ha gastado el dinero?

GLOSARIO
Adquisición de evidencias
Es el procedimiento mediante el cual se extraen los artefactos que aportan
las pruebas necesarias para el análisis forense y permiten determinar lo
ocurrido en un incidente.
Análisis
En esta etapa se intentan resolver la mayoría de las preguntas que surgen
una vez ocurrido un incidente (cómo, cuándo, quién, etcétera) mediante la
ejecución de una serie de pruebas.
Analista forense
Persona con grandes conocimientos que ofrece una opinión veraz y fundada
ante los tribunales de justicia.
Cadena de custodia
Procedimiento que se aplica de manera controlada y sistemática sobre las
pruebas obtenidas, desde su adquisición en la escena donde ocurrió el
incidente hasta su traslado y análisis en el pertinente laboratorio forense. Su
finalidad es mantener la integridad inalterada de las evidencias para poder
utilizar estas como prueba en un proceso judicial.
Laboratorio forense
Se compone de dispositivos que permiten la automatización y la generación
de resultados de un análisis.
Metodología forense
Procedimientos, protocolos y normas que permiten la adquisición de
evidencias para que estas sean reproducibles y permitan su análisis. También
mantienen la cadena de custodia para garantizar su integridad y lograr llegar
a conclusiones tras analizar dichas evidencias.
Notario
Funcionario público del Estado que proporciona a los ciudadanos seguridad
jurídica. Es un profesional del derecho que ejerce un régimen de
competencia.
Perito Forense
Persona con grandes conocimientos que ofrece una opinión veraz y fundada
ante los tribunales de justicia. El perito forense suele dar apoyo a un proceso
judicial, bien por parte del juzgado o bien por una de las partes afectadas
(fiscal o juez).
Presentacion
Los resultados obtenidos del análisis se materializarán en un informe que
debe compaginar los términos técnicos con un lenguaje de fácil comprensión.

Preservación
Es el procedimiento mediante el cual se mantiene la integridad de los
artefactos extraídos como evidencia de un incidente para garantizar su
inalterabilidad.  

LA FASE MAS TECNICA ES LA FASE DE IMPLANTACION

También podría gustarte