En una investigación forense de carácter digital, se pueden seguir los patrones de una investigación forense de carácter estándar, sin embrago, dado lo sensible de la evidencia en este rama de investigación, se hace necesaria la aplicación de procedimientos más cuidadosos, desde el momento en que se recolecta la evidencia, hasta que se obtienen resultados posteriores a la investigación.
Un procedimiento estándar en una investigación forense digital debe procurar fortalecer la admisibilidad y validez de las evidencias digitales encontradas en el contexto del incidente, con el fin de que puedan ser presentadas y aceptadas como elementos materiales probatorios en el proceso jurídico.
El procedimiento a seguir para hacer las cosas de forma adecuada deberá seguir los siguientes pasos:
- Estudio
- Adquisición
- Análisis
- Presentación
Estudio
Se trata de una primera fase de toma de contacto con el entorno objetivo del estudio para plantear la situación. En esta fase hay que realizar una evaluación de los recursos, alcance y objetivos de la investigación.
En el estudio preliminar habrá que realizar investigaciones que permitan determinar la situación actual del sistema, qué partes están afectadas, la gravedad de los hechos, la sensibilidad de la información, y de esta forma tener una compresión absoluta de la situación actual del incidente que permita fijar el curso de acciones a seguir de la forma más adecuadas.
También corresponde a este primer estudio identificar la topología de la red y equipos afectados (servidores, estaciones, sistemas operativos, routers, switches, etc.), así como identificar los dispositivos de almacenamiento (como pueden ser discos duros, memorias, tarjetas flash, Cds, Dvd, etc.) que puedan estar comprometidos y sean determinados como evidencia.
De esta primera fase debe de salir todo detalle necesario que permita definir el punto de inicio para la siguiente fase adquisición de datos.
Adquisición
Esta segunda fase es clave para evitar una posible contaminación de la evidencia. Se trata de obtener una copia de la misma sin alterarla ni dañarla, asegurándonos que es exactamente igual a la original.
En este paso se hará una copia de imagen exactamente igual que el original, teniendo en cuenta datos volátiles como:
- Cache del sistema
- Archivos temporales
- Registros de sucesos
- Registros de internos y externos que los dispositivos de red, como firewalls, routers, servidores proxy, etc.
- Logs del sistema y de aplicaciones.
- Tablas de enrutamiento.
- Registros remotos e información de monitoreo relevante.
Análisis
En esta fase se lleva a cabo el estudio y manipulación de datos. Para ello se procede con los siguientes análisis:
- Análisis de datos de la red, centrándose en el estudio de los dispositivos de comunicaciones y seguridad perimetral (servidores web, firewall, proxy, etc.) situados en la red, con el fin de obtener los ficheros de log y registros que hayan generados los mismo.
- Análisis de datos de la máquina, obteniendo información de los sistemas vivos, mediante la lectura de la información de las aplicaciones y los sistemas operativos. Se realizarán las búsquedas de aquella información que pueda ser útil y se fijaran criterios de búsqueda dependiendo de nuestros objetivos para poder filtrar la información que realmente no sea útil de la misma.
- Análisis de los medios de almacenamiento, definiendo al igual que en el caso anterior criterios concretos de búsquedas para no perdernos en información inútil y alejarnos de la evidencia.
Presentación
En este último punto de la metodología se presentan los resultados obtenidos tras el intensivo análisis realizado. Esta fase se convierte en un punto realmente crítico cuando se trata de una investigación judicial que vaya a ser empleada en un juicio. En este caso deberá realizar un documento fiable y que sustente la evidencia y que adjunte toda la información recabada en los pasos anteriores de la metodología, se identifiquen los puntos clave y se presenten de forma más clara las conclusiones.