Fase Identificación

La fase de identificación se refiere a la recopilación de información necesaria para trabajar sobre la fuente de datos presentada por el administrador de los servidores (solicitud forense). Aquí se pregunta:

• ¿Qué información se necesita?
• ¿Cómo aprovechar la información presentada?
• ¿En qué orden ubico la información?
• ¿Acciones necesarias a seguir para el análisis forense

La identificación debe prever los desafíos que se pasaran durante los procesos de

las fases de preservación y extracción. Esta fase culmina con un Plan a seguir.

Etapa 1: Levantamiento de información inicial para el Análisis Forense

La solicitud forense es un documento donde el administrador del equipo afectado

notifica de la ejecución de un incidente y para ello solicita al equipo de seguridad

la revisión del mismo, donde incluye toda la información necesaria para dar inicio

al proceso de análisis. La información incluida en el documento debe ser la

siguiente:

• Descripción Del Delito Informático
• Fecha del incidente
• Duración del incidente
• Detalles del incidente
• Información General
• Área
• Nombre de la dependencia
• Responsable del sistema afectado
• Nombres y Apellidos
• Cargo
• E-mail
• Teléfono
• Extensión
• Celular
• Fax

Información Sobre El Equipo Afectado

• Dirección IP
• Nombre del equipo
• Marca y modelo
• Capacidad de la RAM
• Capacidad del disco duro
• Modelo del procesador
• Sistema operativo (nombre y versión)
• Función del equipo
• Tipo de información procesada por el equipo
• Toda la información del incidente, la evidencia digital, copias o imágenes de la escena del crimen.

Reconocer un incidente mediante indicadores y determinar su tipo. Esto no esta

incluido dentro del análisis forense, pero es significativo en los siguientes pasos.

Esta fase esta dividida en dos procesos iníciales que son:

Etapa 2: Asegurar la escena

Para asegurar que tanto los procesos como las herramientas a utilizar sean las más idóneas se debe contar con un personal idóneo a quien se le pueda asignar la conducción del proceso forense, para ello el equipo de seguridad debe estar capacitado y entender a fondo la metodología. 

Identificar las evidencias

El siguiente paso y muy importante es la identificación de la evidencia presentada en nuestra escena del “crimen”, la misma que estará sujeta a todos los procesos necesarios para la presentación de resultados finales, la evidencia se clasificara según:Tipo de dispositivo

A las evidencias también se las puede clasificar según el tipo de dispositivo donde

se encuentran:

- Sistemas informáticos

- Redes

- Redes Inalámbricas

- Dispositivos móviles

- Sistemas embebidos

- Otros dispositivos

• Modo de almacenamiento

A las evidencias también se las clasifica según el medio de almacenamiento.

- Volátiles: Aquellas que se perderán al apagar el equipo como la hora del sistema y desfase de horario, contenido de la memoria, procesos en ejecución, programas en ejecución, usuarios conectados, configuración de red, conexiones activas, puertos abiertos, etc.

- No volátiles: medios físicos de almacenamiento como memorias flash, CD, discos duros. El primer proceso del análisis forense comprende la identificación, búsqueda y recopilación de evidencias, se debe identificar qué cosas pueden ser evidencias, dónde y cómo están almacenadas, qué sistema operativo se está utilizando. A

Más Info

Fases de la Informática Forense

Considerando la fragilidad del insumo con el cual trabajan los especialistas en informática forense, es preciso extremar las medidas de seguridad y control que éstos deben tener a la hora de adelantar sus labores, pues cualquier imprecisión en las mismas puede llevar a comprometer el proceso bien sea legal u organizacional [wilson 2003, taylor, r., caeti, t., kall loper, d., fritsch, e y liederbach, j. 2006]. En este sentido, se detalla de manera básica algunos elementos que deben ser considerados para mantener la idoneidad del procedimiento forense adelantado:

Los procedimientos llevados a cabo se dividen en las siguientes etapas:

Identificación
Estando en el lugar de la escena donde se realizó el ataque informático se debe rotular con sus respectivas características físicas el elemento que va ser objeto del análisis forense, para preservar el elemento que puede ser desde un disquette o un disco rígido de un computador hasta un conjunto de discos de un servidor, un juego de cintas, o varias computadoras de una organización.

Validación y preservación de los datos adquiridos

Con el elemento identificado se procede a realizar una imagen exacta del contenido de la evidencia asignando un código único correspondiente a una combinación única de bytes que constituye la totalidad del medio en observación.
Este código de validación ha de ser lo suficientemente complejo como para evitar vulneraciones en la información rescatada e impedir que cualquier auditor pueda por su cuenta verificar la autenticidad de la imagen tomada, es decir, crear un código que solamente personal calificado y legalmente autorizado pueda manipular para proteger el elemento a ser analizado; esto con el fin de establecer
una cadena de custodia consistente. Desde este momento ya se pueden efectuar copias exactamente iguales de la imagen a los efectos de que diferentes actores puedan conservar una copia de seguridad.

Análisis y descubrimiento de evidencia
Se procede a realizar una colección de pruebas en el laboratorio sobre la copia validada. Es posible analizar y buscar información a muchos niveles.

El punto de partida del análisis comienza al detectar una tipo de ataque informático o la sospecha de manipulación no autorizada de información. Una actividad ilícita reportada puede ser el borrado la información que puede comprometer a una persona o información que pudo haber sido ocultada o
almacenada en medios no convencionales como disquetes, cd rom, dvd rom, flash drive. El análisis forense está orientado por un caso en particular y aquí es necesaria la información que provee quien solicita la investigación forense.
En el análisis forense se pueden buscar: archivos borrados, archivos creados, accedidos o modificados dentro de determinado rango de fechas, tipos de archivos con un formato particular que hayan sido alterados, por ejemplo archivos de un sistema de contabilidad renombrados como archivos de un procesador de texto, imágenes, mensajes de correo electrónico, actividad desarrollada en internet, a diferentes niveles palabras claves tales como un número telefónico, el nombre de una ciudad o una empresa, etc.  En base a este análisis se determina un patrón de comportamiento del usuario en cuanto a la creación, modificación y borrado de mensajes, actividad de correo
electrónico, etc.

Informe
Se presenta un informe escrito en un lenguaje a la vez técnico y claro y un Cd donde se hace accesible al usuario no especializado de una forma ordenada la evidencia recuperada y su  interpretación. Aunque a menudo se subestima la importancia de los pasos 1 y 2 y se considera
el paso 3 el específico de la informática forense, hay que tener en cuenta que la evidencia informática es por definición frágil y puede ser alterada haciendo que la misma pierda su validez frente a un tribunal.

Más Info

Ley 1273 de 2009 Protección de la Información y de los Datos en Colombia

En Colombia existe la ley 1273 con la cual se modifico el código penal y se incluyo en lo relacionado al delito informático, para tener un mejor conocimiento de la ley esta se muestra exacta tal y como se rige:

Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado -  denominado “de la protección de la información y de los datos” - y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras  disposiciones.

Más Info