Informática Forense: Las Etapas de un Examen Forense Informático

El estudio forense informático, en ocasiones conocido como informática forense, es llevado a cabo por examinadores capacitados que extraen datos (historiales de búsqueda, registros de compras, registros de tiempo y más) de dispositivos que incluyen, entre otros: pcs, tabletas y smartphones.

Después, tienen la posibilidad de buscar y examinar los datos, anterior a presentarlos de una forma que se logren comprender de forma sencilla a quienes pueden no estar familiarizados con la ciencia forense o la informática.

Nuestro objetivo es brindar a cada lector una perspectiva de elevado grado de la informática forense para ayudarlos a entender más sobre los diferentes procesos y en qué momento tienen que usarse.

Etapas de un examen forense informático

El proceso general de un examen forense informático se divide en seis fases:

Preparación

Para el examinador forense, la preparación incluye la capacitación, las pruebas y la verificación idóneas de su propio programa y equipo.

La preparación forense es una fase fundamental y rara vez pasada por alto en el proceso. En la exploración forense informático-comercial, podría abarcar la educación a los clientes sobre la preparación del sistema. Por ejemplo, los estudios forenses otorgan pruebas más sólidas si las funciones de auditoría de un dispositivo se activan antes de que ocurra un incidente.

Tienen que estar familiarizados con la legislación, saber cómo batallar con problemas inesperados (como qué hacer si se hallan imágenes de abuso infantil en un caso de fraude) y asegurarse de que su computadora de adquisición de datos y los recursos asociados sean adecuados para la labor.

Evaluación

A lo largo de la fase de evaluación, el examinador recibe normas y debería buscar aclaraciones si alguna de ellas no es clara o es ambigua.

Después llevarán a cabo la investigación de peligros y asignarán papeles y recursos. Para la aplicación de la ley, la exploración de peligros puede integrar la evaluación de la posibilidad de una amenaza física al ingresar a la propiedad de un sospechoso y la mejor forma de abordarla.

Las empresas comerciales además tienen que tener en cuenta los inconvenientes de salud y seguridad, los conflictos de intereses y otros probables peligros (como para sus finanzas o su reputación) una vez que permiten un plan en especial.

Recolección

Si la adquisición de datos se realiza en el lugar en vez de en la oficina del examinador forense informático, esta fase incluye detectar y garantizar los dispositivos que tienen la posibilidad de guardar prueba y documentar la escena.

El examinador además haría entrevistas o reuniones con el personal que podría tener información importante para el test, como los usuarios finales del computador, el gerente y el individuo responsable de los servicios informáticos (por ejemplo, un administrador de TI).

La fase de recolección además puede implicar el etiquetado y embolsado de artículos del lugar que tienen la posibilidad de ser usados en la indagación. Estos permanecen sellados en bolsas numeradas a prueba de manipulaciones. Luego, el material debería moverse de manera segura a la oficina o laboratorio del examinador.

Estudio

El estudio incluye el hallazgo y la sustracción de información recopilada en la fase de colección. El tipo de estudio es dependiente de las necesidades de cada caso. Puede comprender desde sustraer un solo correo electrónico hasta rehacer las complejidades de un caso de fraude o terrorismo.

A lo largo de un estudio, el examinador principalmente entrega sus hallazgos a su gerente de línea o cliente. Dichos intercambios tienen la posibilidad de dar sitio a que el estudio tome un camino distinto o se reduzca a zonas concretas. La investigación forense debería ser precisa, completa, imparcial, registrada, repetible y completada en los plazos accesibles y con los recursos indicados.

Hay diversas herramientas accesibles para el estudio forense informático. El examinador debería usar cualquier herramienta con la que se sienta práctico, siempre que logre justificar su elección.

Un instrumento informático forense debería hacer lo que se implica que debería hacer, por lo que los examinadores tienen que probar y calibrar periódicamente sus herramientas antes a hacer cualquier estudio.

Los examinadores además tienen la posibilidad de utilizar la ‘verificación de herramienta dual’ para confirmar la totalidad de sus resultados a lo largo de la exploración. Por ejemplo, si el examinador halla el aparato X en la ubicación Y utilizando la herramienta A, debe poder argumentar dichos resultados con la herramienta B.

Presentación

En este periodo, el examinador crea un informe estructurado sobre sus hallazgos, abordando los puntos de vista de las indicaciones iniciales, junto con cualquier otra instrucción que haya recibido. El informe además debería cubrir cualquier otra información que el examinador considere importante para la indagación.

El informe debería escribirse pensando en el lector final. Siempre debe considerarse que el lector puede no tener un elevado grado de conocimientos técnicos, por lo que se debería usar la terminología correcta. Posiblemente el examinador deba participar en reuniones o conferencias telefónicas para examinar y llevar a cabo su informe.

Revisión

Al igual que la fase de Preparación, la Revisión siempre se pasa por alto o se ignora, debido a que no es un trabajo facturable o ya que el examinador debería seguir con el siguiente caso.

Sin embargo hacer una revisión de cada examen puede hacer que los proyectos futuros sean más eficientes y efectivos en el tiempo, lo que ahorra dinero y optimiza la calidad de las búsquedas a largo plazo.

La revisión de un examen podría ser fácil, instantánea y empezar a lo largo de cualquiera de las etapas anteriores.

Podría incluir un estudio elemental de lo que salió mal y lo que salió bien, junto con comentarios del individuo o compañía que pidió la búsqueda. Cualquier lección aprendida de esta fase debería aplicarse a tests futuros y alimentar la fase de Preparación.

Para quienes estén interesados en hacer informática forense, recomendamos el curso de Informática Forense de Comunidad Reparando.