Elaboración de Informes Preliminares en Incidentes Informáticos

Clase 28 de 49 • Curso de Informática Forense

Cuando ocurre un incidente informático, las personas afectadas siempre necesitan tener respuesta rápidamente. Esta es una constante con la que te vas a encontrar en tus investigaciones, y tu capacidad, no solo para responder rápidamente al incidente, sino para manejar las expectativas de quienes esperan tu análisis, va a ser muy importante en tu carrera como investigador.

Precisamente por esta expectativa y necesidad de respuesta que siempre se encuentran en las investigaciones, en muchas ocasiones es útil realizar un análisis preliminar e incluso presentar un informe con los resultados que obtengas, con el fin de dar un primer avance en el desarrollo de la investigación. Regularmente, un informe de análisis preliminar incluye:

Introducción al caso: Una presentación general del incidente y el contexto de la investigación. Debe mostrarle al lector claramente por qué se inició una investigación, y quién está a cargo de la misma.
Resumen general: Una descripción breve del proceso de investigación que se está ejecutando, y las actividades que se han desarrollado hasta este punto. Si hay resultados importantes que se hayan obtenido, es muy importante incluirlos acá para mostrar avances en la investigación.
Inventario de evidencia identificada: Una relación general de la evidencia que se ha preservado y sobre la que se está realizando el análisis. Es importante mencionar los criterios usados durante la etapa de identificación para escoger los dispositivos en particular, así como explicar las decisiones que se han tomado durante el proceso de investigación (¿Por qué se decidió analizar un dispositivo en particular?, ¿Por qué se utilizó cierta estrategia o herramienta?).
Reportes de adquisición de evidencia: Los informes técnicos de adquisición. Es importante asegurar desde las primeras etapas que la información con la que estamos trabajando es íntegra, sobre todo en contextos o escenarios donde pueda haber dudas sobre la calidad de la información obtenida. Recuerda documentar todos los pasos y decisiones que hayas tomado durante la preservación de cada elemento.
Información general de los sistemas preservados: La primera etapa del análisis consiste en identificar qué información hay disponible y cómo está almacenada. Regularmente esto implica analizar los sistemas operativos e identificar datos sobre ellos como la zona horaria, la fecha de instalación, los usuarios configurados, entre otros.
Información encontrada en las imágenes forenses: Para tomar decisiones sobre cómo avanzar en la investigación, es necesario tener claro qué información se encontró. Datos como cuentas de correo electrónico, carpetas de usuario, documentos y similares, son importantes en esta etapa y es necesario documentarlos.
Hallazgos preliminares, si existen: Es importante describir detalladamente cualquier hallazgo o resultado importante que se haya encontrado. En muchas ocasiones los resultados más importantes se identifican en la primera etapa de la investigación, y es importante documentarlos rápidamente para mostrar avances.
Siguientes pasos: Finalmente, un buen indicador de una investigación estructurada y que está avanzando es un plan de trabajo sobre los resultados identificados. En un informe preliminar idealmente debería explicarse el plan de trabajo que se está siguiendo, el avance actual sobre este y los pasos a seguir para concluir satisfactoriamente la investigación.

Como siempre, ten en cuenta que esto no es un absoluto, y siempre encontrarás escenarios, investigaciones o casos que tengan requerimientos diferentes o muy específicos. Una de las características más valiosas en un investigador es su capacidad de adaptarse a situaciones diversas. No pierdas de vista el objetivo principal de la investigación y recuerda, para tu plan de acción, las 6 preguntas básicas del método de investigación.

Javier Ramos

student•

Hasta ahora por lo visto la informática Forense requiere de Dedicación y trabajar de manera muy ordenada, ser previsivo pero a la vez recursivo, constante y en permanente capacitación y siempre preguntar Quien? Cuando? Como ? Donde? Por que? Para que?

Valeria Calcina Cisneros

student•

(Resumen, no tan resumen porque todo era importante :v) . ++Elaboración de informe preliminar++ . Cuando ocurre un incidente informático, las personas afectadas siempre necesitan tener respuesta rápidamente. Precisamente por esta expectativa en muchas ocasiones es útil realizar un análisis preliminar e incluso presentar un informe con los resultados que obtengas. . • ++Introducción al caso++: Se debe mostrar por qué se inició la investigación. • ++Resumen general:++ Una descripción breve del proceso de investigación que esta en marcha junto con los resultados obtenidos. • ++Inventario de evidencia identificada:++ Todo lo relacionado al proceso de investigación, evidencia, usuarios involucrados y el todo el criterio. • ++Reportes de adquisición de evidencia:++ Asegurar que nuestra información es integra y de calidad. Recuerda documentar todos lo realizado durante la preservación de cada elemento. • ++Información general de los sistemas preservados:++ Consiste en identificar qué información hay disponible y cómo está almacenada. Y realizar análisis de los sistemas operativos. • ++Información encontrada en las imágenes forenses:++ Para tomar decisiones en la investigación, es necesario tomar en cuenta los datos sobre ellos. • ++Hallazgos preliminares, si existen:++ Describir detalladamente cualquier hallazgo que se encuentren, es importante documentarlos para mostrar avances. • ++Siguientes pasos:++ En un informe preliminar idealmente debería explicarse el plan de trabajo que se está siguiendo, el avance actual sobre este y los pasos a seguir para concluir satisfactoriamente la investigación.

Rodrigo Melara

student•

Se necesitan respuestas a las preguntas que nos ayudaran a visualizar el problema, necesitamos encontrar nuestras areas claves y luego enfocarnos en investigar a fondo sobre esos sectores.

Oscar Jaramillo

student•

Buena lectura

Oldemar Campos

student•

Excelente punto, del informe preliminar

Helios Barrera Hernández

student•

Creo que estas preguntas son necesarias para responder a la pregunta

¿Y AHORA QUÉ PROCEDE?

Jose Luis Quintero Sanchez

student•

Excelente Estructura de Trabajo, no solo para un análisis preliminar forenses, si no para cualquier proyecto en el que estes trabajando. Este informe, brinda tranquilidad y confianza ante los ojos de tus jefes, demuestra que eres organizado y profesional con lo que estas haciendo.

MARIA TERESA PANIAGUA RIVERA

student•

gracias

Elaboración de Informes Preliminares en Incidentes Informáticos

Bienvenida y presentación general.

Análisis Forense en Sistemas Windows, Unix y Mac

Etapas del Proceso de Cómputo Forense

Identificación y Preservación en Computo Forense

Análisis y Presentación en Cómputo Forense

Etapa I: Identificación

Elementos Esenciales para la Investigación Forense Digital

Procedimiento de Cadena de Custodia en Investigaciones Forenses

Primer Respondiente en Informática Forense: Roles y Capacitación

Análisis de Imágenes Forenses y Cadena de Custodia

Etapa II: Preservación

Dispositivos de Bloqueo Contra Escritura: Uso y Función

Adquisición de Evidencia con FTK Imager en Informática Forense

Creación de Imágenes Forenses: Proceso y Verificación

Adquisición de Imágenes Forenses con Gaitán Software

Adquisición en Vivo de Memoria RAM para Análisis Forense

Creación de Imágenes Forenses en Linux con Paladín

Creación de Imágenes Forenses con DD y DC3DD en Linux

Adquisición de Imágenes Forenses en Linux con FTK Imager

Creación de Imágenes Forenses con Paladín en Dispositivos Apple

Creación de Imágenes Forenses en Mac con FTK Imager y Modo Target

Algoritmos de Funciones Hash y su Uso en Computación Forense

Adquisición de Imágenes Forenses: Herramientas y Técnicas

Verificación de Imágenes Forenses con Algoritmos Hash

Etapa III: Análisis de Evidencia Pt. 1

"Sistemas de Archivos en Windows: FAT, exFAT y NTFS"

Sistemas de Archivos en Linux y Mac: Funcionamiento y Características

Análisis y Exportación de Imágenes Forenses con FTK Imager

Creación y Gestión de Imágenes Forenses Personalizadas

Análisis Forense de Archivos de Registro en Windows

Análisis Forense de Imágenes de Sistema Operativo Linux

Elaboración de Informes Preliminares en Incidentes Informáticos

Creación de Imágenes Forenses Personalizadas

Elaboración de Informes Preliminares de Investigación

Etapa III: Análisis de Evidencia Pt. 2

Análisis de Archivos SAM con Regripper en Windows

Análisis de Archivos de Registro en Windows con Regripper

Análisis de Logs y Bitácoras en Windows para Monitoreo y Trazabilidad

Análisis Forense del Registro de Windows: Archivos NTUSER.DAT y ShellBags

Ubicaciones clave en el Registro de Windows para la investigación forense

Análisis de Archivos Prefetch en Windows para Investigación Forense

Funcionamiento y Recuperación de Archivos en la Papelera de Reciclaje Windows

Ampliación de Informes de Análisis Forense Digital

Etapa III: Análisis de Evidencia Pt. 3

Diferencias de Configuración y Uso entre Linux y Windows

Proceso de Inicio de Linux: BIOS, GRUB, Kernel e Init

Configuración de Usuarios y Archivos Clave en Linux

Análisis de Archivos de Registro en Sistemas Operativos Linux

Uso de Autopsy para Análisis Forense Automatizado

Ordenar información para informes efectivos

Etapa IV: Presentación.

Estructuración de Informes Ejecutivos en Investigaciones Forenses

Elaboración de Informes Técnicos en Computación Forense

Consejos para Presentar Informes en Procesos Legales

Cómo redactar informes efectivos y profesionales

Conclusiones Finales

Libros y Recursos Clave para la Investigación Digital