Preservación de Escenarios en Investigación Forense

Clase 3 de 8 • Curso de Introducción a Informática Forense

Clase anteriorSiguiente clase

Eloy Chávez Dev

student•

Preservación del escenario inicial:

1. Cadena de custodia:

Establecer un responsable: Designar a una persona responsable de la custodia de la evidencia desde su recolección hasta su presentación en un juicio.
Documentar la cadena de custodia: Registrar la información sobre la ubicación, condición y manejo de la evidencia en un formulario o registro.
Utilizar contenedores seguros: Almacenar la evidencia en contenedores sellados y etiquetados para evitar su alteración o contaminación.

2. Fotografiar equipos:

Tomar fotografías generales del escenario: Mostrar el entorno donde se encuentra el equipo informático.
Fotografiar detalles específicos del equipo: Capturar imágenes de las conexiones, puertos, periféricos y cualquier otra característica relevante.
Utilizar una cámara con fecha y hora: Asegurar que las fotografías tengan la fecha y hora impresas para documentar el momento de la captura.

3. Anotaciones:

Anotar la fecha y hora de la intervención: Registrar la fecha y hora en que se inicia la investigación.
Registrar datos de la persona que solicita la revisión: Documentar el nombre, contacto y motivo de la solicitud de la persona que solicita la revisión del equipo.
Anotar el número de serie del disco duro y del disco de destino: Registrar el número de serie del disco duro del equipo a analizar y del disco donde se realizará la copia.

4. Levantamiento de información:

Realizar un análisis preliminar: Buscar información relevante en el equipo sin modificar su contenido.
Realizar una copia de seguridad: Crear una copia bit a bit del disco duro utilizando herramientas forenses.
Utilizar herramientas forenses: Utilizar herramientas específicas para la extracción de datos, como EnCase, FTK Imager, Autopsy, etc.

5. Borrado seguro:

Realizar un borrado seguro del disco duro original: Eliminar la información del disco duro original de forma segura utilizando herramientas específicas.
No utilizar métodos de borrado simples: Evitar la eliminación simple de archivos o el formateo del disco, ya que estos métodos no garantizan la eliminación completa de la información.

6. Integridad hash:

Calcular el hash del disco duro original y de la copia: Utilizar algoritmos hash como SHA256 o SHA512 para verificar la integridad de la copia y evitar su alteración.
Evitar MD5 y SHA1: No utilizar los algoritmos hash MD5 y SHA1 debido a su vulnerabilidad a colisiones.

Javier Ramos

student•

Excelente resumen , Buen trabajo

Brayan Jesus Garavito Uriza

student•

Hola, tengo una observación con respecto al punto 5 "Borrado seguro". Esta acción se realiza al disco y/o usb con el que se va a realizar las copias de la evidencia. El disco duro original se debe dejar intacto para que continúe sirviendo como evidencia

Juan Carlos Gutiérrez Ayala

student•

Perdón pero estoy en desacuerdo con la pregunta sobre lo que incluye todas las acciones realizadas por el perito informático. Desde mi punto de vista debe ser la "trazabilidad", para lo cual fundamento lo siguiente:

La trazabilidad se refiere al registro detallado de todas las acciones, procesos y decisiones tomadas durante el análisis forense o cualquier procedimiento técnico. Esto incluye la documentación de cómo se recopiló, analizó y preservó la evidencia, así como cualquier cambio o análisis realizado sobre ella. La trazabilidad asegura que todo el proceso pueda ser revisado y verificado por otros, manteniendo la integridad de la investigación y permitiendo la reproducibilidad de los resultados.

Por otro lado, la cadena de custodia es un componente importante que documenta el control, transferencia, análisis y disposición de la evidencia, asegurando que se mantenga la integridad y la seguridad esta desde su recolección hasta su presentación en un entorno legal.

El dictamen pericial es el informe final donde el perito informático presenta sus hallazgos, análisis y conclusiones basadas en la evidencia analizada. Este documento es fundamental en el contexto legal para respaldar o refutar argumentos dentro de un caso.

Mientras que la cadena de custodia y el dictamen pericial son partes cruciales del proceso forense, la trazabilidad abarca de manera más amplia todas las acciones y decisiones tomadas por el perito a lo largo de su investigación.

Pongo a consideración de la profesora y del equipo de trabajo la calificación correcta del reactivo en el examen de certificación.

Ketty Reyes

student•

"Preservación e Integridad en Investigación Forense: Pasos Cruciales"

En el fascinante mundo de la investigación forense, la preservación adecuada del escenario inicial es esencial para respaldar cualquier proceso legal. Este proceso no solo respalda la validez legal de la información sino que también asegura la integridad de la investigación.

Cadena de Custodia: Documentando Cada Paso

La cadena de custodia, el rastro de acciones del analista, se erige como un pilar fundamental. Mantener la integridad requiere cautela durante la preservación del escenario inicial y la presentación de la información recolectada.

Pasos Prácticos para la Preservación

Fotografía: Capturar imágenes de los equipos a analizar, anotando fecha y hora para establecer un punto temporal crucial.
Registro Detallado: Anotar los datos de la persona que proporcionó los equipos, un detalle que puede resultar vital en el curso de la investigación.
Interacción con Personal de Sistemas: Realizar un levantamiento de información con el personal de sistemas, aunque siempre cuestionando la veracidad de la información debido a su posible involucramiento en el caso.
Números de Serie: Registrar el número de serie del disco duro, una práctica esencial para la copia forense.

Borrado Seguro: Garantizando la Integridad

Antes de realizar la copia forense, es imperativo realizar un borrado seguro del dispositivo de hardware. Este proceso, similar a un borrado de grado militar, consiste en reemplazar cada sector del disco con un valor cero binario, repetido dos o tres veces para asegurar la eliminación total de información no pertinente al caso.

Valor de Integridad Hash: Herramienta Confiable

La integridad de la información presentada se determina utilizando el valor de integridad hash, un valor único que posee un archivo. Algoritmos como MD5 y CHA1, propensos a problemas de colisión, deben evitarse. En cambio, se recomienda el uso de CHA256 y CHA512, algoritmos confiables.

MARIANGEL UZCATEGUI GARCIA

student•

Gracias por el resumen, muy bueno.

Diego Fernando Ramos Aguirre

student•

Excelente resumen, lo único es que en lugar de "CHA1 256 o 512" es SHA, muchas gracias por compartir.

Juan Carlos Gutiérrez Ayala

student•

La preservación de la integridad de los datos es un principio fundamental en la seguridad informática, la informática forense, y la gestión de la información en general. Garantizar que los datos permanezcan completos, precisos y sin alteraciones desde su creación hasta su eliminación es vital para la confianza en los sistemas de información, la validez de las investigaciones forenses, y la toma de decisiones basada en datos

Juliana Castillo Araujo

Team Platzi•

✅ Nota interesante

El valor de Integridad hash : Es un valor único que posee un archivo

Juan Carlos Gutiérrez Ayala

student•

La preservación de la integridad de los datos es un esfuerzo continuo que requiere una combinación de tecnología, políticas y educación. Al implementar estas prácticas recomendadas, las organizaciones pueden proteger sus datos contra alteraciones no autorizadas, asegurando la confiabilidad y la confianza en sus sistemas de información.

Javier Ramos

student•

Como se puede determinar la integridad de la información presentada?

Valor de integridad hash : Es un valor unico que posee un archivo ,

tener cuidadao de usar algoritmos que presentan colisiones (MD5, SHA1 ) usar SHA256 y SHA512

Patricio Sánchez Fernández

student•

Es interesante como el modus operandi se replica en la ciberseguridad, desde el punto de vista forense. En las películas o series policiales, cuando existe un crimen de por medio, lo primero que hacen es acordonar el área y prohibir el acceso hasta que llegue el equipo forense a tomar huellas, siempre quedan pistas del culpable, pero si el espacio es transitado por otras personas, se contamina las escenas del crimen. Estuvo bueno haber visto CSI.

IRIS ESTRADA NAVA

student•

min 3:28 *SHA266... es SHA256

Omar Aguayo

student•

Y a la computadora en cuestión ya está apagada, cómo procedemos?

Gerardo Nuñez

student•

El perito se encarga de hacer una copia lógica de la información del disco duro (abriendo la computadora para extraer el disco y) utilizando un dispositivo electrónico que permite copia de sectores de disco el método modo de protección de escritura en disco al cual se hará copia de los datos