Fases de la Informática Forense

Considerando la fragilidad del insumo con el cual trabajan los especialistas en informática forense, es preciso extremar las medidas de seguridad y control que éstos deben tener a la hora de adelantar sus labores, pues cualquier imprecisión en las mismas puede llevar a comprometer el proceso bien sea legal u organizacional [wilson 2003, taylor, r., caeti, t., kall loper, d., fritsch, e y liederbach, j. 2006]. En este sentido, se detalla de manera básica algunos elementos que deben ser considerados para mantener la idoneidad del procedimiento forense adelantado:

Los procedimientos llevados a cabo se dividen en las siguientes etapas:

Identificación
Estando en el lugar de la escena donde se realizó el ataque informático se debe rotular con sus respectivas características físicas el elemento que va ser objeto del análisis forense, para preservar el elemento que puede ser desde un disquette o un disco rígido de un computador hasta un conjunto de discos de un servidor, un juego de cintas, o varias computadoras de una organización.

Validación y preservación de los datos adquiridos

Con el elemento identificado se procede a realizar una imagen exacta del contenido de la evidencia asignando un código único correspondiente a una combinación única de bytes que constituye la totalidad del medio en observación.
Este código de validación ha de ser lo suficientemente complejo como para evitar vulneraciones en la información rescatada e impedir que cualquier auditor pueda por su cuenta verificar la autenticidad de la imagen tomada, es decir, crear un código que solamente personal calificado y legalmente autorizado pueda manipular para proteger el elemento a ser analizado; esto con el fin de establecer
una cadena de custodia consistente. Desde este momento ya se pueden efectuar copias exactamente iguales de la imagen a los efectos de que diferentes actores puedan conservar una copia de seguridad.

Análisis y descubrimiento de evidencia
Se procede a realizar una colección de pruebas en el laboratorio sobre la copia validada. Es posible analizar y buscar información a muchos niveles.

El punto de partida del análisis comienza al detectar una tipo de ataque informático o la sospecha de manipulación no autorizada de información. Una actividad ilícita reportada puede ser el borrado la información que puede comprometer a una persona o información que pudo haber sido ocultada o
almacenada en medios no convencionales como disquetes, cd rom, dvd rom, flash drive. El análisis forense está orientado por un caso en particular y aquí es necesaria la información que provee quien solicita la investigación forense.
En el análisis forense se pueden buscar: archivos borrados, archivos creados, accedidos o modificados dentro de determinado rango de fechas, tipos de archivos con un formato particular que hayan sido alterados, por ejemplo archivos de un sistema de contabilidad renombrados como archivos de un procesador de texto, imágenes, mensajes de correo electrónico, actividad desarrollada en internet, a diferentes niveles palabras claves tales como un número telefónico, el nombre de una ciudad o una empresa, etc.  En base a este análisis se determina un patrón de comportamiento del usuario en cuanto a la creación, modificación y borrado de mensajes, actividad de correo
electrónico, etc.

Informe
Se presenta un informe escrito en un lenguaje a la vez técnico y claro y un Cd donde se hace accesible al usuario no especializado de una forma ordenada la evidencia recuperada y su  interpretación. Aunque a menudo se subestima la importancia de los pasos 1 y 2 y se considera
el paso 3 el específico de la informática forense, hay que tener en cuenta que la evidencia informática es por definición frágil y puede ser alterada haciendo que la misma pierda su validez frente a un tribunal.