Tipos de Reportes en Análisis Forense Informático

Clase 8 de 8 • Curso de Introducción a Informática Forense

Contenido del curso

Informática forense

Resumen

Saber recolectar y analizar evidencia digital es fundamental, pero de poco sirve si no se comunica correctamente. La presentación de la información es la etapa final del análisis forense y determina si los hallazgos serán comprendidos por directivos, equipos técnicos o incluso un juez. Conocer los tres tipos de reportes que existen permite adaptar el mensaje al público correcto y garantizar que la investigación tenga el impacto esperado.

¿Qué es el reporte ejecutivo y a quién va dirigido?

El reporte ejecutivo está pensado para los altos directivos de una organización [0:24]. Su característica principal es que utiliza un lenguaje de alto nivel, lo que significa que evita detalles técnicos como las herramientas empleadas o los valores de integridad hash.

Presenta resultados y conclusiones, no el proceso para llegar a ellas.
Debe ser amigable para personas sin conocimientos técnicos.
Su objetivo es que cualquier tomador de decisiones comprenda qué sucedió y cuál es el alcance del incidente.

En el ejemplo práctico que se trabaja a lo largo del módulo —un empleado descontento que filtró información sensible mediante escalación de privilegios y persistencia con software malicioso— el reporte ejecutivo explicaría el hecho y sus consecuencias, sin entrar en comandos ni registros.

¿Qué información incluye el reporte técnico?

El reporte técnico funciona como complemento del ejecutivo, pero aquí sí es posible detallar cada paso de la investigación [1:08]. Va dirigido a profesionales con conocimiento en la materia, por lo que se espera un nivel de profundidad mucho mayor.

Herramientas utilizadas durante el análisis.
Algoritmo de integridad hash aplicado para verificar la autenticidad de las pruebas.
Comandos ejecutados, por ejemplo, el análisis con Volatility sobre el volcado de memoria RAM [1:22].
Dirección IP del usuario investigado.
Registros de memoria consultados.
Actividad en la red y logs del usuario.

La clave de un buen reporte técnico es ser descriptivo: documentar con precisión cómo se llegó a cada conclusión y qué pasos se siguieron durante el análisis informático. No hay que preocuparse por simplificar, ya que quienes lo revisan poseen el contexto necesario para interpretarlo.

¿Cuándo se necesita un dictamen pericial?

Cuando la investigación forense forma parte de un proceso judicial o legal, entra en juego el dictamen pericial [2:06]. Este documento combina elementos del reporte ejecutivo con detalles técnicos, pero incorpora componentes adicionales indispensables para el ámbito jurídico.

¿Qué elementos distinguen al dictamen pericial?

Anexos donde se exploran a profundidad los detalles técnicos que excedan el área de dominio del juez [2:24].
Un glosario de términos que permita al juez comprender elementos de carácter técnico que no le resulten familiares [2:36].
Descripción de las etapas del análisis informático y las herramientas empleadas.

El dictamen pericial tiene un peso legal directo, por lo que su redacción debe ser rigurosa, clara y respaldada con evidencia sólida.

¿Cómo elegir el tipo de reporte adecuado?

La elección depende del público objetivo y del contexto de la investigación:

Directivos sin perfil técnico: reporte ejecutivo.
Equipos de seguridad o TI: reporte técnico.
Procesos legales ante un juez: dictamen pericial.

En muchas investigaciones reales se generan los tres documentos de forma simultánea, ya que cada uno cumple una función distinta dentro del mismo caso.

Dominar la presentación de hallazgos forenses es tan importante como dominar las técnicas de recolección y análisis. Si ya exploraste las fases anteriores, compartir en los comentarios qué tipo de reporte consideras más desafiante de elaborar puede ser un gran ejercicio de reflexión.

Comentarios

Eloy Chávez Dev

student•

Reporte ejecutivo:

Objetivo: Informar a los altos directivos sobre los hallazgos y conclusiones de la investigación de forma clara y concisa.
Contenido:
- Resumen ejecutivo del caso.
- Hallazgos clave de la investigación.
- Conclusiones y recomendaciones.
- No se incluyen detalles técnicos.
Lenguaje: Sencillo y directo, evitando tecnicismos.

Reporte técnico:

Objetivo: Documentar en detalle los métodos, herramientas y resultados de la investigación.
Contenido:
- Descripción detallada de la metodología utilizada.
- Listado de herramientas y software empleados.
- Presentación de los resultados de la investigación con análisis y gráficos.
- Se incluyen detalles técnicos y algoritmos.
Lenguaje: Técnico y preciso, para un público con conocimientos en informática forense.

Dictamen pericial:

Objetivo: Presentar un informe con valor legal que pueda ser utilizado en un tribunal.
Contenido:
- Similar al reporte ejecutivo, pero con mayor detalle técnico.
- Incluye anexos con los detalles técnicos de la investigación.
- Glosario de términos técnicos para facilitar la comprensión.
Lenguaje: Claro y preciso, con tecnicismos y referencias legales.

Anexos:

Se pueden incluir en cualquiera de los reportes para proporcionar información adicional.
Ejemplos: capturas de pantalla, imágenes, archivos de audio o video, informes de herramientas, etc.

Glosario de términos:

Se puede incluir en el dictamen pericial para facilitar la comprensión del informe a personas sin conocimientos técnicos.

Patricio Sánchez Fernández

student•

Eloy, muchas gracias por todos tus apuntes...

Diego Fernando Ramos Aguirre

student•

Muchas gracias por ese gran aporte.

Ketty Reyes

student•

En el cierre de nuestra investigación forense, la presentación de la información es clave. Estos son los tres tipos de informes para garantizar una comunicación clara y precisa.

1. Reporte Ejecutivo: Resumen para Altos Directivos

Enfoque: Dirigido a altos directivos.
Lenguaje: Alto nivel, evitando detalles técnicos.
Contenido: Resultados y conclusiones, presentados de manera amigable y comprensible para no expertos.

2. Reporte Técnico: Detalles Específicos para Expertos

Complemento del Ejecutivo: Detalles técnicos de la investigación.
Puntos Incluidos: Herramientas utilizadas, algoritmos, comandos, registros, resultados y conclusiones.
Audiencia: Personas con conocimiento técnico en la materia.

3. Dictamen Pericial: Detalles Legales y Técnicos

Contexto: Para procesos judiciales o legales.
Contenido: Reporte ejecutivo detallado, con herramientas y etapas del análisis.
Anexos: Detalles técnicos adicionales fuera del dominio del juez.
Inclusión: Glosario de términos para claridad ante posibles desconocimientos técnicos del juez.

Con esta estructura, aseguramos una presentación completa y efectiva de los resultados de nuestra investigación forense, abordando tanto las necesidades de altos directivos como las demandas de expertos y contextos legales.

Patricio Sánchez Fernández

student•

Ketty, muchas gracias por compartir tus apuntes.

Alexis Andre Marquez Rojas

student•

ketty vs Eloy , una competencia reñida en los resumenes, gracias a los dos

Juan Carlos Gutiérrez Ayala

student•

Perdón pero estoy en desacuerdo con la pregunta sobre lo que incluye todas las acciones realizadas por el perito informático. Desde mi punto de vista debe ser la "trazabilidad", para lo cual fundamento lo siguiente:

La trazabilidad se refiere al registro detallado de todas las acciones, procesos y decisiones tomadas durante el análisis forense o cualquier procedimiento técnico. Esto incluye la documentación de cómo se recopiló, analizó y preservó la evidencia, así como cualquier cambio o análisis realizado sobre ella. La trazabilidad asegura que todo el proceso pueda ser revisado y verificado por otros, manteniendo la integridad de la investigación y permitiendo la reproducibilidad de los resultados.

Por otro lado, la cadena de custodia es un componente importante que documenta el control, transferencia, análisis y disposición de la evidencia, asegurando que se mantenga la integridad y la seguridad esta desde su recolección hasta su presentación en un entorno legal.

El dictamen pericial es el informe final donde el perito informático presenta sus hallazgos, análisis y conclusiones basadas en la evidencia analizada. Este documento es fundamental en el contexto legal para respaldar o refutar argumentos dentro de un caso.

Mientras que la cadena de custodia y el dictamen pericial son partes cruciales del proceso forense, la trazabilidad abarca de manera más amplia todas las acciones y decisiones tomadas por el perito a lo largo de su investigación.

Pongo a consideración de la profesora y del equipo de trabajo la calificación correcta del reactivo en el examen de certificación.