Procedimientos De Recoleccion Evidencia
Procedimientos y estándares
En una investigación forense de carácter digital, se pueden seguir los patrones de una investigación forense de carácter estándar; sin embargo, dado lo sensible de la evidencia en esta rama de investigación, se hace necesaria la aplicación de procedimientos más cuidadosos, desde el momento en que se recolecta la evidencia, hasta que se obtienen resultados posteriores a la investigación .
A continuación se expone un procedimiento estándar que permite efectuar una investigación forense digital procurando fortalecer la admisibilidad y validez de las evidencias digitales encontradas en el contexto del incidente, con el fin de presentarlas como elementos materiales probatorios en un proceso jurídico. El procedimiento consiste en:
USB (Universal Serial Bus): Solución de interconexión instantánea estándar, la cual permite la interacción entre una amplia gama de dispositivos y computadoras, permitiendo total funcionalidad sin necesidad del uso de controladores especializados en la mayoría de los casos.
Memoria Flash: Memoria de tipo EEPROM, que funciona a través de la escritura de celdas de manera secuencial a través de impulsos eléctricos controlados.
Recolección de evidencia
En esta fase del procedimiento, lo primero que se debe realizar es un análisis del sistema o periférico que posiblemente se encuentre involucrado en el incidente. Para ello, se deben tener en cuenta algunos pasos que pueden llevar a determinar si existió algún tipo de acción sobre el elemento implicado. Entre los más destacados y eficientes están [20]:
• Revisión de logs del sistema.
• Revisión de listados de usuarios conectados al sistema.
• Búsqueda de archivos faltantes o modificados.
• Revisión de las políticas de seguridad del sistema.
• Búsqueda de puertas abiertas del sistema y vulnerabilidades del mismo.
Una vez se haya llevado a cabo un análisis detallado a través de estos pasos para determinar si ocurrió un incidente o no sobre los elementos de sospecha, el siguiente paso a seguir en caso de que si haya ocurrido el incidente, es empezar con la recolección de evidencia directamente del elemento implicado.
En una investigación, sin restarle importancia a los demás pasos, ésta fase particularmente puede incidir en los resultados que se obtengan en el final de la investigación forense debido a que es en esta parte del proceso en donde el investigador debe enfocarse en identificar cuáles elementos en la escena del incidente son importantes y cuáles no . Entre los elementos importantes se encuentran todo tipo de medio de almacenamiento de datos, como memorias USB8, memorias flash9, discos duros, etc., así como dispositivos de procesamiento de datos, como PDA’s, teléfonos móviles, laptops, entre otros.
Una vez el investigador haya identificado que elementos le son útiles y que no, los cuales fueron seleccionados, identificando cuáles posiblemente tienen información relevante para el caso, debe iniciar un proceso de recolección de la evidencia digital, con el fin de identificar lo sucedido durante el ataque, cómo se produjo, e incluso tratar de identificar plenamente al atacante [20]. Aunque se advierte sencillez en lo presentado anteriormente, se deben tener en cuenta una serie de características claves, al momento de recolectar
