Bienvenida y presentaci贸n general.

1

Todo lo que aprender谩s sobre inform谩tica forense

2

C贸mputo forense: qu茅 es

3

Etapas I y II: Identificaci贸n y Preservaci贸n de Evidencia Digital

4

Etapas III y IV: An谩lisis y Presentaci贸n de Resultados

Etapa I: Identificaci贸n

5

Preparaci贸n de un kit para adquisici贸n

6

Procedimientos de Cadena de Custodia

7

Identificaci贸n de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservaci贸n

9

Sistemas de protecci贸n contra escritura por hardware y software

10

Introducci贸n a FTK Imager

11

Adquisici贸n de im谩genes forenses con FTK Imager

12

Adquisici贸n de im谩genes forenses con EnCase

13

Adquisici贸n de im谩genes l贸gicas, memoria vol谩til y sistemas operativos en vivo

14

Introducci贸n a Paladin Forensics

15

Adquisici贸n de im谩genes forenses con DD

16

FTK Imager para Linux

17

Adquisici贸n de im谩genes forenses de Mac. (Paladin)

18

Adquisici贸n de im谩genes forenses de Mac. (Target Disk Mode)

19

Verificaci贸n de im谩genes forenses. Explicaci贸n de algoritmos Hash

20

Adquirir im谩genes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificaci贸n con algoritmos HASH de las diferentes im谩genes forenses generadas

Etapa III: An谩lisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de im谩genes forenses

25

Creaci贸n de im谩genes parciales con FTK Imager

26

An谩lisis preliminar de sistemas Windows

27

An谩lisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboraci贸n de informe preliminar

29

Crear una imagen de contenido personalizado para an谩lisis

30

Elaborar un informe de an谩lisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: An谩lisis de Evidencia Pt. 2

31

An谩lisis de Registro de Windows: SAM

32

An谩lisis de Registro de Windows: Software

33

An谩lisis de logs de un Sistema Windows

34

An谩lisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

An谩lisis de procesos ejecutados

37

An谩lisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de an谩lisis

Etapa III: An谩lisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecuci贸n de procesos en Linux

41

An谩lisis de archivos de autenticaci贸n

42

An谩lisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de an谩lisis

Etapa IV: Presentaci贸n.

45

Elaboraci贸n de un informe ejecutivo

46

Elaboraci贸n de un informe t茅cnico completo

47

Presentaci贸n ante autoridades judiciales

48

Consolidar los resultados en dos informes: t茅cnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

Elaboraci贸n de informe preliminar

28/49

Lectura

Cuando ocurre un incidente inform谩tico, las personas afectadas siempre necesitan tener respuesta r谩pidamente. Esta es una constante con la que te vas a encontrar en tus investigaciones, y tu capacidad, no solo para responder r谩pidamente al incidente, sino para manejar las expectativas de quienes esperan tu an谩lisis, va a ser muy importante en tu carrera como investigador.

Precisamente por esta expectativa y necesidad de respuesta que siempre se encuentran en las investigaciones, en muchas ocasiones es 煤til realizar un an谩lisis preliminar e incluso presentar un informe con los resultados que obtengas, con el fin de dar un primer avance en el desarrollo de la investigaci贸n. Regularmente, un informe de an谩lisis preliminar incluye:

  1. Introducci贸n al caso: Una presentaci贸n general del incidente y el contexto de la investigaci贸n. Debe mostrarle al lector claramente por qu茅 se inici贸 una investigaci贸n, y qui茅n est谩 a cargo de la misma.

  2. Resumen general: Una descripci贸n breve del proceso de investigaci贸n que se est谩 ejecutando, y las actividades que se han desarrollado hasta este punto. Si hay resultados importantes que se hayan obtenido, es muy importante incluirlos ac谩 para mostrar avances en la investigaci贸n.

  3. Inventario de evidencia identificada: Una relaci贸n general de la evidencia que se ha preservado y sobre la que se est谩 realizando el an谩lisis. Es importante mencionar los criterios usados durante la etapa de identificaci贸n para escoger los dispositivos en particular, as铆 como explicar las decisiones que se han tomado durante el proceso de investigaci贸n (驴Por qu茅 se decidi贸 analizar un dispositivo en particular?, 驴Por qu茅 se utiliz贸 cierta estrategia o herramienta?).

  4. Reportes de adquisici贸n de evidencia: Los informes t茅cnicos de adquisici贸n. Es importante asegurar desde las primeras etapas que la informaci贸n con la que estamos trabajando es 铆ntegra, sobre todo en contextos o escenarios donde pueda haber dudas sobre la calidad de la informaci贸n obtenida. Recuerda documentar todos los pasos y decisiones que hayas tomado durante la preservaci贸n de cada elemento.

  5. Informaci贸n general de los sistemas preservados: La primera etapa del an谩lisis consiste en identificar qu茅 informaci贸n hay disponible y c贸mo est谩 almacenada. Regularmente esto implica analizar los sistemas operativos e identificar datos sobre ellos como la zona horaria, la fecha de instalaci贸n, los usuarios configurados, entre otros.

  6. Informaci贸n encontrada en las im谩genes forenses: Para tomar decisiones sobre c贸mo avanzar en la investigaci贸n, es necesario tener claro qu茅 informaci贸n se encontr贸. Datos como cuentas de correo electr贸nico, carpetas de usuario, documentos y similares, son importantes en esta etapa y es necesario documentarlos.

  7. Hallazgos preliminares, si existen: Es importante describir detalladamente cualquier hallazgo o resultado importante que se haya encontrado. En muchas ocasiones los resultados m谩s importantes se identifican en la primera etapa de la investigaci贸n, y es importante documentarlos r谩pidamente para mostrar avances.

  8. Siguientes pasos: Finalmente, un buen indicador de una investigaci贸n estructurada y que est谩 avanzando es un plan de trabajo sobre los resultados identificados. En un informe preliminar idealmente deber铆a explicarse el plan de trabajo que se est谩 siguiendo, el avance actual sobre este y los pasos a seguir para concluir satisfactoriamente la investigaci贸n.

Como siempre, ten en cuenta que esto no es un absoluto, y siempre encontrar谩s escenarios, investigaciones o casos que tengan requerimientos diferentes o muy espec铆ficos. Una de las caracter铆sticas m谩s valiosas en un investigador es su capacidad de adaptarse a situaciones diversas. No pierdas de vista el objetivo principal de la investigaci贸n y recuerda, para tu plan de acci贸n, las 6 preguntas b谩sicas del m茅todo de investigaci贸n.

Aportes 8

Preguntas 0

Ordenar por:

Los aportes, preguntas y respuestas son vitales para aprender en comunidad. Reg铆strate o inicia sesi贸n para participar.

En Criminal铆stica a estas preguntas se les refiere como 鈥淟as preguntas de Oro鈥, que son de hecho las que el profesor al inicio del curso nos coment贸 y precisamente las que permiten que la Criminal铆stica cumpla con sus objetivos y as铆 obtener respuestas respecto a un hecho que se investiga.

Comparto un extracto de un libro sobre Criminal铆stica:

Hasta ahora por lo visto la inform谩tica Forense requiere de Dedicaci贸n y trabajar de manera muy ordenada, ser previsivo pero a la vez recursivo, constante y en permanente capacitaci贸n y siempre preguntar
Quien?
Cuando?
Como ?
Donde?
Por que?
Para que?

(Resumen, no tan resumen porque todo era importante :v)
.
Elaboraci贸n de informe preliminar
.
Cuando ocurre un incidente inform谩tico, las personas afectadas siempre necesitan tener respuesta r谩pidamente. Precisamente por esta expectativa en muchas ocasiones es 煤til realizar un an谩lisis preliminar e incluso presentar un informe con los resultados que obtengas.
.
Introducci贸n al caso: Se debe mostrar por qu茅 se inici贸 la investigaci贸n.
Resumen general: Una descripci贸n breve del proceso de investigaci贸n que esta en marcha junto con los resultados obtenidos.
Inventario de evidencia identificada: Todo lo relacionado al proceso de investigaci贸n, evidencia, usuarios involucrados y el todo el criterio.
Reportes de adquisici贸n de evidencia: Asegurar que nuestra informaci贸n es integra y de calidad. Recuerda documentar todos lo realizado durante la preservaci贸n de cada elemento.
Informaci贸n general de los sistemas preservados: Consiste en identificar qu茅 informaci贸n hay disponible y c贸mo est谩 almacenada. Y realizar an谩lisis de los sistemas operativos.
Informaci贸n encontrada en las im谩genes forenses: Para tomar decisiones en la investigaci贸n, es necesario tomar en cuenta los datos sobre ellos.
Hallazgos preliminares, si existen: Describir detalladamente cualquier hallazgo que se encuentren, es importante documentarlos para mostrar avances.
Siguientes pasos: En un informe preliminar idealmente deber铆a explicarse el plan de trabajo que se est谩 siguiendo, el avance actual sobre este y los pasos a seguir para concluir satisfactoriamente la investigaci贸n.

Creo que estas preguntas son necesarias para responder a la pregunta

驴Y AHORA QU脡 PROCEDE?

Excelente Estructura de Trabajo, no solo para un an谩lisis preliminar forenses, si no para cualquier proyecto en el que estes trabajando. Este informe, brinda tranquilidad y confianza ante los ojos de tus jefes, demuestra que eres organizado y profesional con lo que estas haciendo.

Buena lectura

Excelente punto, del informe preliminar

Se necesitan respuestas a las preguntas que nos ayudaran a visualizar el problema, necesitamos encontrar nuestras areas claves y luego enfocarnos en investigar a fondo sobre esos sectores.