Identificación de equipos - Platzi

Curso de Introducción a Informática Forense

Curso de Introducción a Informática Forense

Informática forense

Qué es Informática Forense

Identificación de equipos

Preservando la integridad de los datos

Asignando identificadores hash

Hardware para informática forense

Analizando la información obtenida

Realizando una copia forense y un volcado de memoria RAM

Cómo presentar un informe forense

Recursos

Transcripción

¿Qué implica un proceso de investigación forense?

Para emprender una investigación forense efectiva, es esencial establecer un alcance claro de lo que se incluirá y lo que no. Este proceso contempla la recopilación meticulosa de información pertinente que pueda colaborar en el análisis de un incidente o suceso delictivo digital. A continuación, exploraremos los componentes fundamentales de una investigación forense.

¿Qué elementos son cruciales en una investigación forense?

Al abordar una investigación forense es vital considerar una variedad de elementos que pueden aportar información valiosa:

Información en la nube: Repositorios de código, servidores con datos sensibles, entre otros.
Dispositivos físicos: Móviles, computadoras personales o laptops.
Componentes de red: Routers y dispositivos de seguridad perimetral que puedan contener logs o syslogs relevantes.

¿Qué hacer al investigar un incidente de robo de información?

Al investigar un incidente, como un robo de información, es primordial actuar con cuidado:

No apagar el dispositivo: Mantener el dispositivo encendido es crucial para que no se pierdan datos de la memoria RAM, ya que al apagarlo, se borran estos datos volátiles.
Realizar un volcado de memoria RAM: Esto ayudará a descubrir procesos y bibliotecas utilizadas por el usuario.
Preparar un disco duro para la copia forense: Un disco duro debe estar listo para preservar e integridad de la información, permitiéndonos hacer una copia forense del dispositivo en cuestión.

¿Por qué es importante recopilar información de la red?

La infraestructura de red y las acciones del usuario pueden ofrecer pistas significativas:

Hostname, dirección IP y dirección MAC: Datos fundamentales sobre el dispositivo investigado.
Información del sistema operativo: Aporta contexto sobre cómo funciona el dispositivo y qué vulnerabilidades puede tener.
Diagrama de red del usuario: Comprenderlo ayuda a mapear las posibles rutas de extracción de datos a través de la red de la empresa.

Además, los dispositivos de seguridad suelen contener registros valiosos de todas las acciones realizadas en la red, cuya revisión es esencial.

Si bien estos son solo algunos elementos que deben considerarse, en clases futuras se profundizará en técnicas para preservar y analizar este tipo de datos, promoviendo el éxito en investigaciones forenses. La clave reside en actuar de manera metódica y detallada para no perder ningún rastro relevante durante el proceso. ¡Sigue aprendiendo y mejorando tus habilidades!

Aportes 6

Preguntas 2

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Ketty Reyes

El proceso de investigación forense implica la recolección y análisis de diversos elementos para esclarecer casos, como el robo de información. Algunos de los elementos a considerar incluyen:
.

Fuentes de Información: Repositorios de código, servidores, dispositivos móviles, PC/laptops, routers y dispositivos de seguridad perimetral.
Importancia de la Nube: La información en la nube puede contener datos sensibles, y los dispositivos mencionados pueden revelar acciones de un usuario en la red.
Enfoque en Casos de Robo de Información: Al llegar a la escena, es crucial no apagar el dispositivo a analizar para preservar la información en la memoria RAM.
Volcado de Memoria RAM: Permite visualizar procesos y bibliotecas utilizadas por el usuario.
Disco Duro para Copia Forense: Preparar un disco duro para preservar e integridad de la información en la PC/laptop investigada.
Información Relevante a Recopilar: Incluye hostname, IP address, MAC address, y detalles del sistema operativo del usuario.
Diagrama de Red: Analizar el diagrama de red del usuario dentro de la empresa para entender la trazabilidad de acciones.
Registros de Seguridad: Examinar registros de acciones realizadas en la red mediante dispositivos de seguridad perimetral.

Jesus Guillermo Belman Leal

El volcado de la memoria RAM de un dispositivo electrónico, también conocido como adquisición de memoria, implica copiar el contenido de la memoria volátil de un dispositivo a un archivo o conjunto de archivos. La memoria RAM (Random Access Memory) es volátil, lo que significa que su contenido se pierde cuando el dispositivo se apaga o se reinicia. La RAM almacena una amplia gama de datos que están siendo utilizados activamente por el sistema y las aplicaciones, como información del sistema, datos de usuario, contraseñas en texto plano, información sobre la red y conexiones abiertas, y fragmentos de código que se están ejecutando o que han sido ejecutados recientemente. La relevancia del volcado de la memoria RAM para el análisis forense digital incluye: 1. **Recuperación de Datos Volátiles**: El análisis de la RAM puede revelar datos volátiles que no se encuentran en el almacenamiento permanente (como el disco duro) y que pueden ser cruciales para la investigación. Esto incluye información sobre procesos y servicios en ejecución, conexiones de red activas, y contenido del portapapeles. 2. **Identificación de Malware**: La RAM puede contener código malicioso o procesos relacionados con el malware que estaban activos en el sistema antes del volcado. Esto es especialmente útil en casos donde el malware está diseñado para no dejar rastros en el almacenamiento permanente. 3. **Descubrimiento de Evidencia de Cifrado**: La RAM puede contener claves de cifrado y otros datos relacionados con el cifrado que se utilizan en el momento del volcado. Esto puede ser crucial para acceder a datos cifrados relevantes para la investigación. 4. **Análisis de Actividades del Sistema y del Usuario**: La RAM puede ofrecer una instantánea de las actividades del sistema y del usuario en el momento del volcado, incluyendo los programas que se estaban ejecutando, las acciones específicas de los usuarios y el estado del sistema operativo. 5. **Recuperación de Contraseñas y Credenciales**: En algunos casos, las contraseñas y credenciales pueden estar almacenadas en la RAM en texto plano o en formas que pueden ser recuperadas y utilizadas para acceder a sistemas o datos protegidos. La adquisición de la memoria RAM debe realizarse con cuidado para evitar la alteración de los datos. Se utilizan herramientas forenses especializadas que minimizan la interacción con el sistema para preservar la integridad de la evidencia. Dada la naturaleza volátil de la RAM, es crucial que este proceso se realice antes de apagar o reiniciar el dispositivo, ya que esos datos se perderían de otro modo.

Juan Carlos Gutiérrez Ayala

Existen numerosas herramientas forenses disponibles, tanto comerciales como de código abierto, diseñadas para facilitar la recolección, análisis y presentación de evidencia digital. Algunas de estas herramientas incluyen EnCase, FTK (Forensic Toolkit), Autopsy, y Cellebrite para análisis de dispositivos móviles. La informática forense es fundamental en el mundo moderno para resolver delitos y disputas que involucran tecnología. Requiere un alto grado de especialización, conocimiento técnico y habilidades analíticas, así como una comprensión firme de los principios legales que rigen la admisibilidad de la evidencia digital en el ámbito judicial.

Juliana Castillo Araujo

Platzi Team

Que increíbles ejemplos, todos fueron asombrosos 👩‍💻

mlok

buen dato el del volcado de la memoria, no lo sabía!

MARIA TERESA PANIAGUA RIVERA

Gracias