El análisis forense de ordenadores se realiza después que el dispositivo haya sufrido algún ataque informático o bien si se tienen indicios de que se haya cometido un delito informático. Este examen se realiza para saber qué ha pasado, cómo ha ocurrido y obtener las pruebas e información necesaria. En muchos casos, esas pruebas pueden suponer evidencias útiles para procesos judiciales. Se trata, por tanto, de un proceso útil en el ámbito de la ciberseguridad.
Tabla de contenidos
Qué es un análisis forense de ordenadores
Un análisis forense de un ordenador consiste en la recopilación, preservación y análisis de información contenida en el equipo para descubrir el origen de un delito. Este puede ser tanto un ataque informático, un virus, una intrusión e incluso ser necesario para dar apoyo a una investigación policial.
Durante este proceso, el forense informático debe obtener e investigar los documentos que hay almacenados en la memoria del ordenador. Para llegar a estos y poder utilizarlos como pruebas, es necesario primero realizar un análisis forense.
Proceso del análisis forense en un ordenador
Para realizar un análisis forense de un ordenador es necesario seguir una serie de pasos para asegurarse que se realiza de forma correcta y no se invalida ninguna prueba.
Obtención de las autorizaciones necesarias
Para empezar, es imprescindible tener la autorización tanto del propietario del dispositivo como del usuario. En caso contrario, se estaría violando la privacidad de la persona y eso podría constituir un delito.
La autorización para empezar un análisis forense de un ordenador puede proceder tanto del mismo usuario como de un juez, si fuera el caso que se estuviera llevando a cabo una investigación policial.
Análisis en la escena: memoria RAM y disco duro
Una vez se han obtenido todas las autorizaciones necesarias, se puede empezar el análisis. En caso de que el dispositivo esté apagado, no se encenderá y si está encendido, no se apagará. De esta forma, nos aseguramos que no se altera absolutamente ningún elemento que pueda servir de prueba.
En un ordenador encendido se estudiará la memoria RAM. Para esto se extraerá toda la información que contiene mediante diferentes herramientas como RAM Capturer. Después, se podrá extraer y analizar con el uso de otras herramientas, como Volatility.
En el supuesto de que el dispositivo estuviera apagado, se pasaría directamente a analizar la información contenida dentro del disco duro. Para esto, será necesario copiarlo dos veces y trabajar sobre la copia de la copia. Si se trabajara sobre el disco original, se podría afectar al contenido y la prueba tendría invalidez.
Análisis de la información y documentación obtenida
El último paso sería el análisis de todos los archivos, programas, documentos e información relevante que se haya encontrado tanto en la memoria RAM como en el disco duro. También se analizarán movimientos como conexiones a Internet, conexiones de dispositivos USB, instalación de software o el encendido y apagado del ordenador.
Condiciones de un análisis forense informático
Un análisis forense de ordenadores debe poder ser auditado en cualquier momento, ya que puede llegar a un tribunal en caso de que haya habido un delito. Para asegurarse de que el procedimiento se realiza correctamente, es necesario documentar todo el proceso.
Otra de las condiciones para realizarlo es que debe ser repetible. Por ejemplo, podría ser necesario que otra persona volviera a hacer el mismo examen forense. En este caso, no se debe haber alterado ni contaminado nada de lo que se ha investigado o analizado.
Cabe añadir que un análisis forense digital debe ser reproducible, es decir, se pueda llegar a la misma conclusión con diferentes herramientas. Por último, el análisis forense de un ordenador debe ser justificable en todo momento y en todos los pasos que se siguen.
Directrices y técnicas de seguridad según la ISO 27037
La normativa ISO 27037 establece una serie de directrices que sirven para la identificación, recogida, adquisición y protección de evidencias electrónicas.
Este estándar tiene el objetivo de promover las buenas prácticas en cuanto a análisis forense de cualquier dispositivo electrónico. En especial, está pensada para facilitar el trabajo a los forenses informáticos, así como a las administraciones jurídicas que intervienen en este proceso.
Profesionales formados para realizar análisis forenses informáticos
Los forenses especializados en análisis de ordenadores y otros equipos informáticos son cada vez más demandados a nivel global. EALDE Business School ha diseñado un programa que permite a los profesionales del sector obtener los conocimientos necesarios para identificar, recoger y preservar evidencias electrónicas de cualquier dispositivo: El Máster en Informática Forense y Ciberseguridad. Al ser impartido totalmente online, este programa permite conciliar la vida personal, laboral y formativa.
Puedes obtener más información sobre el Máster en Riesgos Digitales, Ciberseguridad e Informática Forense de EALDE Business School haciendo clic en el siguiente enlace:
Te invitamos a visualizar el siguiente vídeo para profundizar en el análisis forense digital en el ámbito de la ciberseguridad:
0 comentarios