¿QUÉ ES LA INFORMÁTICA FORENSE?
La informática forense es una disciplina criminalística cuyas técnicas permiten investigar sistemas informáticos para obtener y procesar información (evidencias digitales) con validez jurídica o para investigación privada. Trata de responder: ¿Qué? ¿Quién? ¿Cómo? ¿Cuándo? ¿Dónde? ¿Por qué? Puede consistir en:
- Extraer información de un sistema
- Recuperar información cifrada/eliminada
- Detectar incumplimientos de leyes/política…
Utilizada por la propia ley, compañías de seguros, particulares…
PRINCIPIO DE INTERCAMBIO DE LOCARD
Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto. Todas las acciones dejan rastro.PRINCIPIO DE INCERTIDUMBRE DE HEISENBERG
El mero hecho de medir el estado de un sistema lo altera. No se puede obtener información de un sistema sin modificarlo. Debemos intentar obtener la mayor cantidad de información con la menor modificación posible.Validez jurídica de las evidencias digitales
La validez jurídica de una evidencia digital la decide el juez. (¿Se ha respetado la ley para obtenerla? La información es como se recogió?, etc.).Estándares y recomendaciones
No hay un estándar para ello, pero sí las recomendaciones RFC 3227.PROCESO
Es imprescindible tomar notas, grabaciones, fotos… de todo lo que se realiza con fechas y horas. La informática forense se divide en cuatro pasos:IDENTIFICACIÓN
Identificar los sistemas (evidencias) necesarios en la investigación, a poder ser, ante un notario. Evitar que estos sistemas se sigan usando y recoger antes la información volátil. Habrá que recoger toda la información de los procesos en marcha. La información de la memoria RAM es muy importante: los procesos en ejecución, archivos abiertos, drivers, etc. Se debe intentar evitar modificarla. Se puede hacer con herramientas como pd Proccess Dumper, FTK Imager, Volatility o EnCase. Una vez recogida la información volátil se apaga el sistema. Los Write Blockers son una buena opción: permiten acceder a la información sin modificarla. Se debe hacer un duplicado forense -> Un duplicado bit a bit de toda la información que se va a analizar, almacenando el resumen criptográfico de ambos y comparándolos para ver si son iguales. Se trabaja con otro duplicado forense. El clonado bit a bit puede hacerse mediante el comando dd (en Linux), Adepto, EnCare…CONSERVACIÓN
*Se deben evitar las pérdidas, el daño físico y la contaminación *Indicar marca, modelo, etc. *Documentar exhaustivamente toda la información recogida.ANÁLISIS
Analizar toda la información obtenida es una tarea muy tediosa. Por ello, es necesario ser muy meticuloso. La intuición del analista es esencial. Sitios típicos de búsqueda: correos electrónicos, herramientas de mensajería, historiales, etc. Es imprescindible respetar la LOPD y el derecho al secreto de las comunicaciones. Solución -> Búsqueda ciega, analizando sólo donde aparezcan las palabras clave.PRESENTACIÓN
Realizar un informe explicando todo el proceso y los resultados obtenidos. Debe ser imparcial y reflejar la información necesaria. Partes: Antecedentes, Evidencias, Análisis y tratamiento, Resultados, Conclusiones 
español con un tamaño de 3,4 KB