Evidencia digital y examinación forense

Actualizado: oct 2

Ambas, la evidencia digital y la informática forense poseen una gran importancia en el campo tecnológico, jurídico y legal.




La importancia de la informática forense radica en la importancia del acompañamiento a la justicia, mientras que la evidencia digital está inmersa en una investigación y resulta ser una pieza fundamental dentro de la misma para su demostración de veracidad.


En este tipo de escenarios se busca apoyar en la sustentación, investigación, comprobación de un hecho o conducta punible, criminal o fraude, es primordial la creación de procedimientos que permitan tratar la evidencia digital para fortalecer la labor del profesional en seguridad informática, auditor forense, perito o especialista en informática forense.


Se le conoce como evidencia digital a aquellos datos aislados o relacionados entre sí que poseen características esenciales de recuperabilidad, preservación y demostración de sus existencia, frente a un escenario de Cibercrimen, Ciberdelincuencia o factores que afectaron los principios fundamentales de la Seguridad en la información, integridad, disponibilidad y confidencialidad.

Para comprender estos dos escenarios es importante entender además el papel que desempeña la Información Electrónicamente Almacenada (IEA) como evidencia digital y su tratamiento.


Ante la importancia de los datos y cada uno de sus tipos de almacenamiento, la Asociación Internacional de Informática Forense señala dos grandes fuentes:


A) Origen Interno: Todos aquellos dispositivos electrónicos o de almacenamiento Digital que poseen información relacionados con el origen interno de su producción y creación.


B) Origen Externo: Todos aquellos dispositivos electrónicos o de almacenamiento digital que poseen información intangible o lógica, cuya producción se realiza fuera del ecosistema interno y se redirecciona a fuentes externas.


Es necesario determinar ciertos aspectos que involucran la responsabilidad del profesional o especialista en el tratamiento de la evidencia digital, desde la importancia de su integridad e inalterabilidad digital hasta permitirse entender los muchos escenarios en los que se ponga en marcha los procedimientos o guías estándares en el tratamiento de la evidencia digital.


En la actualidad la metodología aplicada para examinar ciertas técnicas, tácticas procedimentales para minimizar la probabilidad de afectación en su integridad, confidencialidad y disponibilidad, y para su mejor ejecución en escenarios de un incidente Informático, son paramétrizadas en el procedimiento para la recolección de dispositivos de almacenamiento y/o electrónico, estandarizadas bajo la orientación del Instituto Nacional de Estándares de Tecnología (por sus siglas en inglés NIST).


La importancia que rodea el tratamiento de la evidencia digital se considera por medio de un estándar universal y, para ello, se consolidan unos aspectos que son incorporables en el tratamiento de la información electrónicamente almacenada de la siguiente manera:


- Determinar los tiempos de retención de documentos electrónicos, la transformación de éstos (cambios de formato) y la disposición final de los mismos.


- Diseñar los registros de auditoría de las aplicaciones, como parte fundamental de la fase de diseño de la aplicación. Este diseño debe considerar la completitud y el nivel de detalle (granularidad) de los registros.


- Utilización de medidas tecnológicas de seguridad informática para validar la autenticidad e integridad de los registros electrónicos. Tecnologías como certificados digitales, token criptográficos, entre otras podrían ser candidatas en esta práctica.


- La infraestructura tecnológica debe asegurar la sincronización de las máquinas o dispositivos que generen la información, de tal manera que se pueda identificar con claridad la fecha y hora de los registros electrónicos.


Para el Instituto SANS existe un orden específico para la toma de muestras o recolección de los datos volátiles en aplicaciones teniendo en cuenta un orden de prioridad o volatilidad primaria, así:


- CPU, memoria caché y registro de contenido

- Tabla de enrutamiento, caché ARP8 , tabla de procesos , las estadísticas del kernel y memoria RAM.

- Sistema de archivos temporales / espacio de intercambio SWAP, o hiberfil.sys y Pagefile.sys.

- Los datos contenidos en el disco duro

- Datos remotos que estén registrados

- Los datos contenidos en los medios de archivo o unidades externas.


Revisa el documento 'Evidencia Digital: Fundamentos aplicables para el abordaje de la Examinación Forense', encuentra allí además un apartado sobre aseguramiento de la evidencia digital, las principales guías para recolección y tratamiento de la evidencia digital y la metodología aplicada a la examinación forense en Colombia.


Descarga el documento realizado por Emanuel Ortiz, presidente del Equipo de Investigadores de la Asociación Internacional de Informática Forense y la Red de Investigación Académica en Ciberseguridad y Cibercriminología.

EVIDENCIA_DIGITAL_FUNDAMENTOS_APLICABLES
Download • 629KB



#evidenciadigital #ciberseguridad #cibercriminologia #investigacionforense #informáticaforense #cibercrimen #auditoríaforense #pruebaforense #seguridadinformática


38 vistas

© 2019 by RedCiber