Preservación de Escenarios en Investigación Forense

Clase 3 de 8 • Curso de Introducción a Informática Forense

Resumen

El dominio de las técnicas y prácticas adecuadas en una investigación digital es crucial para garantizar la validez y legalidad de la evidencia presentada. La preservación minuciosa del escenario inicial y la cadena de custodia son componentes fundamentales de este proceso. En este artículo, profundizaremos en las mejores prácticas para la gestión adecuada de estas etapas, asegurando la integridad y confiabilidad de la información y evidencia recolectada en un contexto forense.

¿Cómo preservar el escenario inicial en una investigación digital?

Al llegar a un sitio de interés para la investigación, es primordial documentar meticulosamente el entorno y los dispositivos involucrados:

Fotografía: Toma imágenes detalladas de los equipos de cómputo o dispositivos implicados.
Registra el momento: Anota la fecha y hora exactas del comienzo de la intervención forense.
Datos clave: Registra los datos de la persona que te ha dado acceso a los equipos.

Las acciones iniciales son decisivas para establecer una base sólida para las etapas posteriores de la investigación.

¿Por qué es fundamental la cadena de custodia?

La cadena de custodia es la huella detallada de las acciones llevadas a cabo por el analista durante la investigación. Para mantener la integridad esencial y la validez legal, debes:

Asegurarte de que cada paso de tu intervención esté meticulosamente documentado.
Mantener una secuencia ininterrumpida de posesión que certifique la autenticidad de la evidencia.

Cada transferencia y manejo del material debe ser registrado para evitar cuestionamientos sobre su veracidad.

¿Qué procedimientos seguir para la recolección de información?

Al recopilar información, es necesario tener un enfoque crítico y metódico:

Consulta al personal de sistemas: Realiza un levantamiento de información, pero mantén un escepticismo saludable sobre su veracidad.
Documentación del hardware: Anota los números de serie de los discos duros involucrados en la copia forense.

La recolección de información es un paso crítico que requiere atención al detalle y un sano escepticismo para evitar sesgos.

¿Cómo gestionar la copia forense de la información?

Para realizar una copia forense fidedigna, deberás:

Utilizar un disco duro o memoria SU-7 específicamente para la acción.
Realizar un borrado seguro del dispositivo de almacenamiento para evitar la contaminación de datos.

El borrado seguro garantiza que cada sector del disco esté limpio, libre de cualquier dato que pueda afectar la investigación.

¿Qué herramientas se necesitan en análisis forense?

Las herramientas portables de análisis forense son esenciales para el procedimiento. Son programas que te permitirán analizar la evidencia de forma detallada y confiable. Las exploraremos más a fondo en la clase de análisis.

¿Cómo se verifica la integridad de la información?

Para asegurar la integridad de la información, se utiliza el valor de integridad hash:

Evita algoritmos con problemas de colisión: Algoritmos como MD5 y SHA1 no son recomendables.
Opta por algoritmos seguros: Prefiere algoritmos como SHA256 y SHA512 para asegurar la fiabilidad.

El hash actúa como una huella digital única de los archivos, crucial para respaldar la autenticidad de la evidencia.

Te invito a ampliar tus conocimientos practicando con un generador de hash online. Puedes experimentar con tu nombre de usuario de Platzi y compartir tus resultados junto con el algoritmo utilizado en los comentarios.

En resumen, la preservación del escenario inicial y la cadena de custodia son aspectos vitales de una investigación forense digital. Una gestión adecuada asegura la validez legal y la legitimidad de la información presentada, elementos sin los cuales el esfuerzo investigativo podría carecer de fundamentos sólidos. Continúa aprendiendo y aplicando estas prácticas fundamentales, y tu habilidad para contribuir a la justicia digital se fortalecerá cada vez más.

Eloy Chávez Dev

student•

Preservación del escenario inicial:

1. Cadena de custodia:

Establecer un responsable: Designar a una persona responsable de la custodia de la evidencia desde su recolección hasta su presentación en un juicio.
Documentar la cadena de custodia: Registrar la información sobre la ubicación, condición y manejo de la evidencia en un formulario o registro.
Utilizar contenedores seguros: Almacenar la evidencia en contenedores sellados y etiquetados para evitar su alteración o contaminación.

2. Fotografiar equipos:

Tomar fotografías generales del escenario: Mostrar el entorno donde se encuentra el equipo informático.
Fotografiar detalles específicos del equipo: Capturar imágenes de las conexiones, puertos, periféricos y cualquier otra característica relevante.
Utilizar una cámara con fecha y hora: Asegurar que las fotografías tengan la fecha y hora impresas para documentar el momento de la captura.

3. Anotaciones:

Anotar la fecha y hora de la intervención: Registrar la fecha y hora en que se inicia la investigación.
Registrar datos de la persona que solicita la revisión: Documentar el nombre, contacto y motivo de la solicitud de la persona que solicita la revisión del equipo.
Anotar el número de serie del disco duro y del disco de destino: Registrar el número de serie del disco duro del equipo a analizar y del disco donde se realizará la copia.

4. Levantamiento de información:

Realizar un análisis preliminar: Buscar información relevante en el equipo sin modificar su contenido.
Realizar una copia de seguridad: Crear una copia bit a bit del disco duro utilizando herramientas forenses.
Utilizar herramientas forenses: Utilizar herramientas específicas para la extracción de datos, como EnCase, FTK Imager, Autopsy, etc.

5. Borrado seguro:

Realizar un borrado seguro del disco duro original: Eliminar la información del disco duro original de forma segura utilizando herramientas específicas.
No utilizar métodos de borrado simples: Evitar la eliminación simple de archivos o el formateo del disco, ya que estos métodos no garantizan la eliminación completa de la información.

6. Integridad hash:

Calcular el hash del disco duro original y de la copia: Utilizar algoritmos hash como SHA256 o SHA512 para verificar la integridad de la copia y evitar su alteración.
Evitar MD5 y SHA1: No utilizar los algoritmos hash MD5 y SHA1 debido a su vulnerabilidad a colisiones.

Javier Ramos

student•

Excelente resumen , Buen trabajo

Brayan Jesus Garavito Uriza

student•

Hola, tengo una observación con respecto al punto 5 "Borrado seguro". Esta acción se realiza al disco y/o usb con el que se va a realizar las copias de la evidencia. El disco duro original se debe dejar intacto para que continúe sirviendo como evidencia

Juan Carlos Gutiérrez Ayala

student•

Perdón pero estoy en desacuerdo con la pregunta sobre lo que incluye todas las acciones realizadas por el perito informático. Desde mi punto de vista debe ser la "trazabilidad", para lo cual fundamento lo siguiente:

La trazabilidad se refiere al registro detallado de todas las acciones, procesos y decisiones tomadas durante el análisis forense o cualquier procedimiento técnico. Esto incluye la documentación de cómo se recopiló, analizó y preservó la evidencia, así como cualquier cambio o análisis realizado sobre ella. La trazabilidad asegura que todo el proceso pueda ser revisado y verificado por otros, manteniendo la integridad de la investigación y permitiendo la reproducibilidad de los resultados.

Por otro lado, la cadena de custodia es un componente importante que documenta el control, transferencia, análisis y disposición de la evidencia, asegurando que se mantenga la integridad y la seguridad esta desde su recolección hasta su presentación en un entorno legal.

El dictamen pericial es el informe final donde el perito informático presenta sus hallazgos, análisis y conclusiones basadas en la evidencia analizada. Este documento es fundamental en el contexto legal para respaldar o refutar argumentos dentro de un caso.

Mientras que la cadena de custodia y el dictamen pericial son partes cruciales del proceso forense, la trazabilidad abarca de manera más amplia todas las acciones y decisiones tomadas por el perito a lo largo de su investigación.

Pongo a consideración de la profesora y del equipo de trabajo la calificación correcta del reactivo en el examen de certificación.

Ketty Reyes

student•

"Preservación e Integridad en Investigación Forense: Pasos Cruciales"

En el fascinante mundo de la investigación forense, la preservación adecuada del escenario inicial es esencial para respaldar cualquier proceso legal. Este proceso no solo respalda la validez legal de la información sino que también asegura la integridad de la investigación.

Cadena de Custodia: Documentando Cada Paso

La cadena de custodia, el rastro de acciones del analista, se erige como un pilar fundamental. Mantener la integridad requiere cautela durante la preservación del escenario inicial y la presentación de la información recolectada.

Pasos Prácticos para la Preservación

Fotografía: Capturar imágenes de los equipos a analizar, anotando fecha y hora para establecer un punto temporal crucial.
Registro Detallado: Anotar los datos de la persona que proporcionó los equipos, un detalle que puede resultar vital en el curso de la investigación.
Interacción con Personal de Sistemas: Realizar un levantamiento de información con el personal de sistemas, aunque siempre cuestionando la veracidad de la información debido a su posible involucramiento en el caso.
Números de Serie: Registrar el número de serie del disco duro, una práctica esencial para la copia forense.

Borrado Seguro: Garantizando la Integridad

Antes de realizar la copia forense, es imperativo realizar un borrado seguro del dispositivo de hardware. Este proceso, similar a un borrado de grado militar, consiste en reemplazar cada sector del disco con un valor cero binario, repetido dos o tres veces para asegurar la eliminación total de información no pertinente al caso.

Valor de Integridad Hash: Herramienta Confiable

La integridad de la información presentada se determina utilizando el valor de integridad hash, un valor único que posee un archivo. Algoritmos como MD5 y CHA1, propensos a problemas de colisión, deben evitarse. En cambio, se recomienda el uso de CHA256 y CHA512, algoritmos confiables.

MARIANGEL UZCATEGUI GARCIA

student•

Gracias por el resumen, muy bueno.

Diego Fernando Ramos Aguirre

student•

Excelente resumen, lo único es que en lugar de "CHA1 256 o 512" es SHA, muchas gracias por compartir.

Juan Carlos Gutiérrez Ayala

student•

La preservación de la integridad de los datos es un principio fundamental en la seguridad informática, la informática forense, y la gestión de la información en general. Garantizar que los datos permanezcan completos, precisos y sin alteraciones desde su creación hasta su eliminación es vital para la confianza en los sistemas de información, la validez de las investigaciones forenses, y la toma de decisiones basada en datos

Juliana Castillo Araujo

Team Platzi•

✅ Nota interesante

El valor de Integridad hash : Es un valor único que posee un archivo

Juan Carlos Gutiérrez Ayala

student•

La preservación de la integridad de los datos es un esfuerzo continuo que requiere una combinación de tecnología, políticas y educación. Al implementar estas prácticas recomendadas, las organizaciones pueden proteger sus datos contra alteraciones no autorizadas, asegurando la confiabilidad y la confianza en sus sistemas de información.

Javier Ramos

student•

Como se puede determinar la integridad de la información presentada?

Valor de integridad hash : Es un valor unico que posee un archivo ,

tener cuidadao de usar algoritmos que presentan colisiones (MD5, SHA1 ) usar SHA256 y SHA512

Patricio Sánchez Fernández

student•

Es interesante como el modus operandi se replica en la ciberseguridad, desde el punto de vista forense. En las películas o series policiales, cuando existe un crimen de por medio, lo primero que hacen es acordonar el área y prohibir el acceso hasta que llegue el equipo forense a tomar huellas, siempre quedan pistas del culpable, pero si el espacio es transitado por otras personas, se contamina las escenas del crimen. Estuvo bueno haber visto CSI.

IRIS ESTRADA NAVA

student•

min 3:28 *SHA266... es SHA256

Omar Aguayo

student•

Y a la computadora en cuestión ya está apagada, cómo procedemos?

Gerardo Nuñez

student•

El perito se encarga de hacer una copia lógica de la información del disco duro (abriendo la computadora para extraer el disco y) utilizando un dispositivo electrónico que permite copia de sectores de disco el método modo de protección de escritura en disco al cual se hará copia de los datos

Marcelo Elvio Gracia

student•

2d2290d7d06fa91331440f026b20b1a83feaee6339841c6edea1b3375edfd4f8

LUIS STALIN RAMIREZ CONTRERAS

student•

mi nombre de usuario SHA256 es: 4f2f77ad702de84c984193c853f0b5ea068930579f936d31bea04e2f421e3c5b

Juan Sebastian Bermeo Gacha

student•

Mi Valor de Hashs: 00b64702a25cf2164eddd50114b6586b0c273d57d26386a92e019f2ced9a649b

Maria de los Angeles Tabares

student•

Mi valor hashs:

349bc9d3b735d0e7e9096905bfa616f73fbcb1ad26d089bcbf90a936d07dd734

Daniel Alexander Rentería Pino

student•

Mi valor hashs : 2b17e37a2a9182ae2a7a388329e16faa85d5497991a2353c3bf07ab1c61fbd9d

ALEXANDER MARTÍNEZ TORRES

student•

¿Cómo realizar un borrado seguro del disco duro?

Procedimiento. Herramientas.

Luis Fernando López Cuevas

student•

¿que es una colisión hash?

Diego Fernando Ramos Aguirre

student•

Es cuando a pesar de tener dos entradas distintas para la función hash se produce un valor hash igual.

Juliana Castillo Araujo

Team Platzi•

¿Por qué la preservación es necesaria en el escenario inicial?

Platzi

student•

La preservación del escenario inicial ayuda a dar validez legal a la información presentada en un proceso con la justicia.

Agustin Demarchi

student•

d7e088f0ede65e2342a1ba0fd35fa3c3d4d84f9005284b491a91f89487e39b76

Antonio Marin Pavia

student•

Cierto muy importante el firmar con sha-256 para evitar que los datos no han sido modificados desde que se guardaron.

Preservación de Escenarios en Investigación Forense

Informática forense

Análisis Forense en Ciberseguridad Empresarial

Elementos Clave en Investigación Forense Digital

Preservación de Escenarios en Investigación Forense

Cálculo de Hash SHA-256 y SHA-512 en Archivos Sensibles

Hardware esencial para informática forense: duplicadores y bloqueadores

Análisis de Copias Forenses en Investigaciones Digitales

Análisis Forense en Windows: Uso de RegReaper y Volatility

Tipos de Reportes en Análisis Forense Informático