💻 El proceso informático forense puede ser dividido en tres pasos.

Fuente

✔ 𝙴𝚗 𝚎𝚕 𝚙𝚛𝚒𝚖𝚎𝚛 𝚙𝚊𝚜𝚘, 𝚕𝚊 𝚎𝚟𝚒𝚍𝚎𝚗𝚌𝚒𝚊 𝚜𝚎 𝚊𝚍𝚚𝚞𝚒𝚎𝚛𝚎 𝚢 𝚜𝚎 𝚘𝚋𝚝𝚒𝚎𝚗𝚎𝚗 𝚒𝚖𝚊́𝚐𝚎𝚗𝚎𝚜.

✔ 𝙴𝚗 𝚎𝚕 𝚜𝚎𝚐𝚞𝚗𝚍𝚘 𝚙𝚊𝚜𝚘, 𝚕𝚊 𝚎𝚟𝚒𝚍𝚎𝚗𝚌𝚒𝚊 𝚜𝚎 𝚊𝚗𝚊𝚕𝚒𝚣𝚊.

✔ E𝚗 𝚎𝚕 𝚝𝚎𝚛𝚌𝚎𝚛 𝚙𝚊𝚜𝚘, 𝚜𝚎 𝚑𝚊𝚌𝚎 𝚞𝚗 𝚒𝚗𝚏𝚘𝚛𝚖𝚎, 𝚚𝚞𝚎 𝚍𝚎𝚋𝚎 𝚜𝚎𝚛 𝚌𝚘𝚖𝚙𝚛𝚎𝚗𝚜𝚒𝚋𝚕𝚎 𝚒𝚗𝚌𝚕𝚞𝚜𝚘 𝚙𝚊𝚛𝚊 𝚕𝚊𝚜 𝚙𝚎𝚛𝚜𝚘𝚗𝚊𝚜 𝚜𝚒𝚗 𝚌𝚘𝚗𝚘𝚌𝚒𝚖𝚒𝚎𝚗𝚝𝚘𝚜 𝚝𝚎́𝚌𝚗𝚒𝚌𝚘𝚜.

𝑨𝒉𝒐𝒓𝒂 𝒃𝒊𝒆𝒏, 𝒑𝒓𝒐𝒇𝒖𝒏𝒅𝒊𝒄𝒆𝒎𝒐𝒔 𝒖𝒏 𝒑𝒐𝒄𝒐 𝒆𝒏 𝒄𝒂𝒅𝒂 𝒖𝒏𝒐 𝒅𝒆 𝒆𝒔𝒕𝒐𝒔 𝒕𝒓𝒆𝒔 𝒑𝒂𝒔𝒐𝒔.​​

𝑈𝑛 𝑖𝑛𝑣𝑒𝑠𝑡𝑖𝑔𝑎𝑑𝑜𝑟 𝑓𝑜𝑟𝑒𝑛𝑠𝑒 𝑡𝑖𝑒𝑛𝑒 𝑞𝑢𝑒 𝑒𝑙𝑒𝑔𝑖𝑟 𝑒𝑙 𝑚𝑜𝑑𝑜 𝑑𝑒 𝑎𝑑𝑞𝑢𝑖𝑟𝑖𝑟 𝑙𝑎 𝑒𝑣𝑖𝑑𝑒𝑛𝑐𝑖𝑎 𝑞𝑢𝑒 𝑟𝑒𝑑𝑢𝑧𝑐𝑎 𝑎𝑙 𝑚𝑖́𝑛𝑖𝑚𝑜 𝑙𝑎 𝑝𝑒́𝑟𝑑𝑖𝑑𝑎 𝑑𝑒 𝑑𝑎𝑡𝑜𝑠. 𝐴𝑠𝑖́ 𝑚𝑖𝑠𝑚𝑜, 𝑑𝑒𝑏𝑒𝑟𝑎́ 𝑟𝑒𝑢𝑛𝑖𝑟 𝑡𝑜𝑑𝑎 𝑙𝑎 𝑒𝑣𝑖𝑑𝑒𝑛𝑐𝑖𝑎 𝑞𝑢𝑒 𝑠𝑒𝑎 𝑣𝑒𝑟𝑑𝑎𝑑𝑒𝑟𝑎𝑚𝑒𝑛𝑡𝑒 𝑝𝑒𝑟𝑡𝑖𝑛𝑒𝑛𝑡𝑒, 𝑦 𝑚𝑎𝑛𝑡𝑒𝑛𝑒𝑟 𝑙𝑎 𝑖𝑛𝑡𝑒𝑔𝑟𝑖𝑑𝑎𝑑 𝑑𝑒 𝑙𝑜𝑠 𝑜𝑟𝑖𝑔𝑖𝑛𝑎𝑙𝑒𝑠, 𝑐𝑟𝑒𝑎𝑛𝑑𝑜 𝑐𝑜𝑝𝑖𝑎𝑠, 𝑦 𝑠𝑖𝑒𝑚𝑝𝑟𝑒 𝑑𝑒𝑏𝑒𝑟𝑎́ 𝑡𝑟𝑎𝑏𝑎𝑗𝑎𝑟 𝑒𝑛 𝑙𝑎𝑠 𝑐𝑜𝑝𝑖𝑎𝑠 𝑛𝑢𝑛𝑐𝑎 𝑒𝑛 𝑙𝑜𝑠 𝑜𝑟𝑖𝑔𝑖𝑛𝑎𝑙𝑒𝑠.

𝑃𝑜𝑟 𝑜𝑡𝑟𝑎 𝑝𝑎𝑟𝑡𝑒, 𝑑𝑒𝑏𝑒𝑟𝑎́ 𝑒𝑣𝑖𝑡𝑎𝑟 𝑙𝑎 𝑑𝑒𝑠𝑡𝑟𝑢𝑐𝑐𝑖𝑜́𝑛 𝑑𝑒 𝑙𝑜𝑠 𝑑𝑎𝑡𝑜𝑠 𝑣𝑜𝑙𝑎́𝑡𝑖𝑙𝑒𝑠, 𝑙𝑜𝑠 𝑑𝑎𝑡𝑜𝑠 𝑞𝑢𝑒 𝑓𝑎𝑙𝑡𝑎𝑛 𝑐𝑟𝑖́𝑡𝑖𝑐𝑜𝑠, 𝑙𝑎 𝑎𝑙𝑡𝑒𝑟𝑎𝑐𝑖𝑜́𝑛 𝑑𝑒 𝑙𝑎𝑠 𝑚𝑎𝑟𝑐𝑎𝑠 𝑑𝑒 𝑡𝑖𝑒𝑚𝑝𝑜, 𝑢𝑡𝑖𝑙𝑖𝑧𝑎𝑛𝑑𝑜 𝑐𝑜𝑚𝑎𝑛𝑑𝑜𝑠 𝑑𝑒 𝑐𝑜𝑛𝑓𝑖𝑎𝑛𝑧𝑎 𝑜 ℎ𝑒𝑟𝑟𝑎𝑚𝑖𝑒𝑛𝑡𝑎𝑠, 𝑦 𝑠𝑖𝑒𝑚𝑝𝑟𝑒 𝑑𝑒𝑏𝑒𝑟𝑎́ 𝑎𝑗𝑢𝑠𝑡𝑎𝑟 𝑒𝑙 𝑠𝑖𝑠𝑡𝑒𝑚𝑎 𝑎𝑛𝑡𝑒𝑠 𝑑𝑒 𝑙𝑎 𝑖𝑛𝑐𝑎𝑢𝑡𝑎𝑐𝑖𝑜́𝑛 𝑑𝑒 𝑙𝑎 𝑒𝑣𝑖𝑑𝑒𝑛𝑐𝑖𝑎 𝑎 𝑡𝑟𝑎𝑣𝑒́𝑠 𝑑𝑒 𝑝𝑎𝑟𝑐ℎ𝑒𝑠 𝑜 𝑎𝑐𝑡𝑢𝑎𝑙𝑖𝑧𝑎𝑐𝑖𝑜𝑛𝑒𝑠.

ℑ𝔪𝔭𝔬𝔯𝔱𝔞𝔫𝔱𝔢: 𝔩𝔞 𝔢𝔳𝔦𝔡𝔢𝔫𝔠𝔦𝔞 𝔡𝔦𝔤𝔦𝔱𝔞𝔩 𝔡𝔢𝔟𝔢 𝔰𝔢𝔯 𝔭𝔯𝔢𝔰𝔢𝔯𝔳𝔞𝔡𝔞 𝔢𝔫 𝔰𝔲 𝔢𝔰𝔱𝔞𝔡𝔬 𝔬𝔯𝔦𝔤𝔦𝔫𝔞𝔩.

𝘓𝘢 𝘭𝘦𝘺 𝘳𝘦𝘲𝘶𝘪𝘦𝘳𝘦 𝘲𝘶𝘦 𝘭𝘢 𝘦𝘷𝘪𝘥𝘦𝘯𝘤𝘪𝘢 𝘴𝘦𝘢 𝘢𝘶𝘵𝘦́𝘯𝘵𝘪𝘤𝘢 𝘺 𝘴𝘪𝘯 𝘢𝘭𝘵𝘦𝘳𝘢𝘤𝘪𝘰𝘯𝘦𝘴 𝘱𝘢𝘳𝘢 𝘲𝘶𝘦 𝘴𝘦𝘢 𝘢𝘥𝘮𝘪𝘴𝘪𝘣𝘭𝘦 𝘢𝘯𝘵𝘦 𝘶𝘯 𝘵𝘳𝘪𝘣𝘶𝘯𝘢𝘭 𝘥𝘦 𝘫𝘶𝘴𝘵𝘪𝘤𝘪𝘢.

Ⓛⓐⓢ ⓕⓤⓝⓒⓘⓞⓝⓔⓢ ⓗⓐⓢⓗ

Estas son utilizadas por los investigadores forenses de dos maneras.

👉 En primer lugar, para verificar positivamente que una unidad de archivo o todo el disco no ha sido alterado, comparando el mensaje de una copia con el mensaje del original.

👉 En segundo lugar, para verificar que los archivos, discos duros, y sus copias están intactos, y no han cambiado durante la investigación.

➬ Para ello deberá hacer una copia de flujo de bits: una imagen de bits, bit a disco duro de todos los sectores. Esta se realiza en el nivel del disco duro, no a nivel de sistema de archivos.

➬ Luego se copian los metadatos y los bloques de datos en su totalidad, independientemente de si están asignados a un archivo activo o no y también copia el espacio de holgura.

➬ Recuerde que los discos duros almacenan los archivos en grupos de un cierto tamaño, y el espacio de inactividad representa la ubicación del final de un archivo en un disco.

➬ En este espacio de holgura, un investigador forense puede encontrar archivos borrados, o al menos los fragmentos de archivos borrados y los datos ocultos.

➬ Dado que los archivos de registro a menudo se eliminan por los cyber delincuentes, éstos pueden aparecer en el espacio de holgura o en el espacio no asignado.

➬ Cuando se elimina un archivo, el sistema operativo marca la ubicación como disponible, pero el archivo que se elimina del sistema está todavía allí en el espacio no asignado hasta que el sistema operativo decide utilizar ese lugar para un nuevo archivo.

➬ También los datos podrían estar ocultos a través de códigos, dando a los archivos un aspecto inocente o un significado alternativo.

⇥ Una forma de hacer esto es a través de un proceso conocido como 𝚎𝚜𝚝𝚎𝚐𝚊𝚗𝚘𝚐𝚛𝚊𝚏𝚒́𝚊, que oculta los archivos y los datos dentro de otros archivos.

⇥ Los archivos también podrían estar ocultos con nombres de archivo o extensiones engañosas, pero esto no va a engañar a las herramientas forenses.

⇥ Las herramientas miran los primeros bytes de un archivo, y en base a estas firmas conocidas, se identifica qué tipo de archivo es, independientemente de la extensión.

𝑭𝒂𝒔𝒆 𝒅𝒆 𝒂𝒏𝒂́𝒍𝒊𝒔𝒊𝒔

𝙴𝚜 𝚕𝚊 𝚚𝚞𝚎 𝚙𝚎𝚛𝚖𝚒𝚝𝚎 𝚌𝚘𝚗𝚏𝚒𝚛𝚖𝚊𝚛 𝚘 𝚍𝚒𝚜𝚒𝚙𝚊𝚛 𝚕𝚊 𝚎𝚡𝚒𝚜𝚝𝚎𝚗𝚌𝚒𝚊 𝚍𝚎 𝚞𝚗 𝚒𝚗𝚌𝚒𝚍𝚎𝚗𝚝𝚎. 𝙴𝚗 𝚎𝚕𝚕𝚊 𝚜𝚎 𝚋𝚛𝚒𝚗𝚍𝚊 𝚛𝚎𝚜𝚙𝚞𝚎𝚜𝚝𝚊 𝚊 𝚕𝚊𝚜 𝚜𝚒𝚐𝚞𝚒𝚎𝚗𝚝𝚎𝚜 𝚙𝚛𝚎𝚐𝚞𝚗𝚝𝚊𝚜:

¿𝚀𝚞𝚎́ 𝚜𝚎 𝚜𝚊𝚋𝚎 𝚎𝚗 𝚎𝚜𝚝𝚎 𝚖𝚘𝚖𝚎𝚗𝚝𝚘?
¿𝚀𝚞𝚎́ 𝚝𝚒𝚙𝚘 𝚍𝚎 𝚒𝚗𝚌𝚒𝚍𝚎𝚗𝚝𝚎 𝚎𝚜?
¿𝚀𝚞𝚎́ 𝚜𝚒𝚜𝚝𝚎𝚖𝚊𝚜 𝚏𝚞𝚎𝚛𝚘𝚗 𝚊𝚏𝚎𝚌𝚝𝚊𝚍𝚘𝚜 𝚍𝚒𝚛𝚎𝚌𝚝𝚊 𝚘 𝚒𝚗𝚍𝚒𝚛𝚎𝚌𝚝𝚊𝚖𝚎𝚗𝚝𝚎?
¿𝙿𝚊𝚛𝚊 𝚚𝚞𝚎́ 𝚜𝚎 𝚞𝚜𝚊𝚛𝚘𝚗?
¿𝙴𝚡𝚒𝚜𝚝𝚎𝚗 𝚜𝚒𝚜𝚝𝚎𝚖𝚊𝚜 𝚘 𝚍𝚊𝚝𝚘𝚜 𝚛𝚎𝚕𝚊𝚌𝚒𝚘𝚗𝚊𝚍𝚘𝚜 𝚌𝚛𝚒́𝚝𝚒𝚌𝚘𝚜 𝚘 𝚜𝚎𝚗𝚜𝚒𝚋𝚕𝚎𝚜?
¿𝙲𝚞𝚊́𝚕 𝚎𝚜 𝚎𝚕 𝚍𝚊𝚗̃𝚘?
¿𝙲𝚞𝚊́𝚕 𝚎𝚜 𝚎𝚕 𝚒𝚖𝚙𝚊𝚌𝚝𝚘 𝚙𝚘𝚝𝚎𝚗𝚌𝚒𝚊𝚕?

𝐃𝐞𝐬𝐩𝐮𝐞́𝐬 𝐝𝐞 𝐥𝐚 𝐢𝐧𝐯𝐞𝐬𝐭𝐢𝐠𝐚𝐜𝐢𝐨́𝐧, 𝐬𝐞 𝐞𝐬𝐜𝐫𝐢𝐛𝐢𝐫𝐚́ 𝐮𝐧 𝐢𝐧𝐟𝐨𝐫𝐦𝐞.

Los procedimientos paso a paso de la formación de imágenes, los detalles de cada ensayo, las herramientas utilizadas, y los hechos descubiertos deben ser escritos en una forma no técnica para que los abogados, el juez, y el jurado puedan entender todo lo que el investigador está presentando como pruebas.

ℑ𝔪𝔭𝔬𝔯𝔱𝔞𝔫𝔱𝔢: 𝔠𝔲𝔞𝔩𝔮𝔲𝔦𝔢𝔯 𝔢𝔯𝔯𝔬𝔯, 𝔦𝔫𝔠𝔩𝔲𝔰𝔬 𝔢𝔫 𝔱𝔢́𝔯𝔪𝔦𝔫𝔬𝔰 𝔡𝔢 𝔩𝔞 𝔬𝔯𝔱𝔬𝔤𝔯𝔞𝔣𝔦́𝔞 𝔬 𝔩𝔞 𝔤𝔯𝔞𝔪𝔞́𝔱𝔦𝔠𝔞, 𝔭𝔬𝔡𝔯𝔦́𝔞 𝔭𝔬𝔫𝔢𝔯 𝔢𝔫 𝔡𝔲𝔡𝔞 𝔱𝔬𝔡𝔬 𝔢𝔩 𝔦𝔫𝔣𝔬𝔯𝔪𝔢 𝔶 𝔞𝔯𝔯𝔲𝔦𝔫𝔞𝔯 𝔢𝔫 𝔰𝔲 𝔱𝔬𝔱𝔞𝔩𝔦𝔡𝔞𝔡 𝔱𝔬𝔡𝔬 𝔢𝔩 𝔱𝔯𝔞𝔟𝔞𝔧𝔬 𝔯𝔢𝔞𝔩𝔦𝔷𝔞𝔡𝔬 𝔢𝔫 𝔩𝔞 𝔣𝔞𝔰𝔢 𝔡𝔢 𝔞𝔫𝔞́𝔩𝔦𝔰𝔦𝔰.

Todo lo que se escriba o necesite ser documentado en ese informe, deberá incluir el fabricante, el modelo, y el número de serie de los discos duros y componentes del sistema, los dispositivos periféricos conectados al sistema, una descripción de las pruebas, el número de caso, el número de etiqueta de elemento de prueba, así como los algoritmos hash y resúmenes de mensajes de la evidencia digital.

Entre los elementos que deben estar claramente documentados y probados son:

📅 La fecha y la hora ⌚ cuando se recogió la evidencia, el nombre completo y firma de todas las personas que poseen la evidencia, la ubicación de las pruebas, y toda la recepción y la transferencia de la evidencia. 📤

Este proceso de conservación, conocido como la cadena de custodia, ocurre a lo largo de toda una investigación, desde la adquisición de la evidencia a través del tiempo, hasta que el investigador brinda el testimonio como testigo experto en un tribunal de justicia.

La cadena de custodia se utiliza para mantener un registro de cómo se ha manejado la evidencia desde el momento en que se recogió hasta el momento en que se presentó en la corte.

¿Quién estuvo en posesión de la evidencia, cómo y cuándo?
¿Quién tenía las llaves de las habitaciones donde se almacenó?
¿Fue almacenada a prueba de falsificaciones?

Si existe alguna discrepancia en las respuestas a estas preguntas o deficiencias en esta cadena de custodia podrían causar que la evidencia sea inadmisible.

😁𝔾ʀᴀᴄɪᴀs ᴘᴏʀ ᴠɪsɪᴛᴀʀᴍᴇ😁👍