Técnicas de recolección de

evidencias informáticas

¿Qué es?

Formas recopilar evidencia de equipos

informáticos y dispositivos de almacenamiento
digitales que pueda ser presentada ante un
tribunal.

Volatilidad de la evidencia Integridad de la evidencia La imagen forense

Alude a la facilidad de Asegurar que la Copia “bit a bit” de la

alteración de la evidencia no ha sido evidencia contenida en un
evidencia alterada sistema

Garantizar que la ¿Cómo se obtiene?

Evidencias volátiles: evidencia no ha sido
alterada 1 Duplicadoras hardware
Memoria RAM
Imprescindible en todo 2 Software específico
Procesos activos
proceso judicial 3 Propietario: Encase
Conexiones de red
4 De libre distribución: dd
¿Cómo asegurar la no
alteración de la
¿Apagar o no apagar la evidencia?
máquina?
1 Copiados bit a bit
Si se apaga, se pierde la
evidencia volátil 2 Bloqueadores de
escritura
Si no se apaga, se puede
alterar toda la evidencia 3 Hashes criptográficos

4 Jaulas de faraday

Garantizar que la evidencia no

ha sido alterada

3 Protocolos de cadena de
custodia

2 Protección física de la
evidencia