Metodologa para

tomar evidencias
digitales
3
METODOLOGA PARA TOMAR EVIDENCIAS
DIGITALES

Los expertos en informtica forense

Obtener,
deben Custodiar,
Revisar,
Analizar,
Presentar la evidencia tomada en la escena del delito.

Confiabilidad de los datos recogidos, mantener

Integridad de los medios,
Anlisis detallado de los datos,
Presentacin idnea de los resultados 2
METODOLOGA PARA TOMAR EVIDENCIAS
DIGITALES

Medidas Iniciales
1. Verificar si en realidad ha ocurrido un incidente o no.
2. Verificar si existe la necesidad de realizar el
procedimiento de evidencia digital al incidente
reportado.
3. Minimizar la prdida o alteracin de datos.
4. Llevar bitcoras de todas las acciones, con fechas y
ahora precisas.
5. Analice todos los datos recolectados.
6. Realice un reporte de los hallazgos.

3
 METODOLOGA PARA TOMAR EVIDENCIAS
DIGITALES
Es necesario verificar que el evento que est siendo reportado, es
1. realidad un incidente
AISLAMIENTO que atenta contra la confidencialidad, integridad o
DE LA ESCENA
Restringir el acceso a la zona deldisponibilidad
incidente, parade la informacin.
evitar algn tipo de alteracin en la posible
evidencia a recolectar.
Es necesario tambin determinar si dicho incidente requiere o no de un
2. IDENTIFICACIN DE(procedimiento
anlisis forense FUENTES DE INFORMACIN
de evidencia digital). Una vez se definen
Los datos relacionados con
estas condiciones, se debe proceder cony la
un evento especfico son identificados evaluados
primeraafase.
su vez que
el incidente se controla, para posteriormente proceder con la fase de recoleccin y
examinacin.
3. EXAMINACIN Y RECOLECCIN DE INFORMACIN
Tcnicas y herramientas forenses son aplicadas a los datos recolectados para extraer la
informacin relevante, sin alterar la integridad de los datos.
4. ANLISIS DE DATOS
Realiza el anlisis de la informacin prioritaria o relevante obtenida en la fase de examinacin y
se centra en encontrar las respuestas para el caso, realizando la correlacin de los eventos,
archivos y diferentes datos encontrados.
5. REPORTE
Reporte de los resultados del anlisis que puede incluir los procedimientos que se llevaron a
cabo, si quedaron verificaciones pendientes, mejoras, cambios etc....
4
 METODOLOGA PARA TOMAR EVIDENCIAS
DIGITALES
FASE I. AISLAMIENTO DE LA ESCENA Tomar una fotografa del equipo o sitio del incidente antes de tocarlo.
Establecer un permetro de seguridad.
Si el equipo se encuentra encendido, no se debe apagar, deber
procederse a realizar los siguientes procedimientos:
Restringir el acceso a la zona o Sellar los puertos USB, firewire, Unidades CD/DVD, etc
donde se produjo el o Tomar fotografas de lo que se puede ver en la pantalla (software
incidente. corriendo, documentos abiertos, ventanas de notificacin, hora y fecha
ilustrados).
o Asegurar el equipo de mantenerlo encendido.
o Si es posible capturar informacin voltil del equipo antes de que se
apague.
o Si el equipo se encuentra apagado, no realizar el encendido.
o Llevar los elementos necesarios para la recoleccin de informacin como
forenses, dispositivos de backups, medios formateados y/o estriles,
cmaras digitales, cinta y bolsas para evidencia, papel de burbuja, bolsas
Realizar el aislamiento antiestticas, cajas de cartn, rtulos o etiquetas etc
o Almacenar la informacin original en un sitio con acceso restringido, para
por personal de la garantizar la cadena de custodia de la informacin.
institucin o Obtener informacin de dispositivos que tuvieron contacto o interaccin
con el equipo en cuestin (switches, firewalls, Access points etc).

5
 METODOLOGA PARA TOMAR EVIDENCIAS
DIGITALES

CADENA DE CUSTODIA

Una hoja de ruta, en donde se anotan los datos principales

sobre descripcin de la evidencia, fechas, horas,
custodios, identificaciones, cargos y firmas de quien recibe
y quien entrega.
Recibos personales que guarda cada custodio y donde
estn datos similares a los de la hoja de ruta.
Rtulos o etiquetas que van pegados a los empaques de
las evidencias, por ejemplo a las bolsas plsticas, sobres
de papel, sobres de Manila, frascos, cajas de cartn, etc.
Garantizar la autenticidad e
Libros de registro de entradas y salidas, o cualquier otro
integridad de las evidencias
sistema informtico que se deben llevar en los laboratorios
encontradas en alguna situacin
de anlisis y en los despachos de los fiscales e
determinada.
investigadores.
6
 METODOLOGA PARA TOMAR EVIDENCIAS
DIGITALES

FASE II. IDENTIFICACIN DE FUENTES DE INFORMACIN, PASOS INICIALES DE ADQUISICIN

DE INFORMACIN
IDENTIFICACIN DE POSIBLES FUENTES DE DATOS:
Computadoras de escritorio y porttiles
Logs de dispositivos de seguridad
Servidores (Web, DHCP, Email, Mensajera Instantnea,
informtica como IDS, Firewalls,
VoIP Servers, FTPo cualquier servicio de filesharing).
Plataformas de Antispam, Proxy, bien
Almacenamiento en red.
sea ubicados dentro de los dispositivos
Medios tanto internos como externos que contemplan:
o consolidados en algn sistema SIEM.
Dispositivos USB,
Logs de dispositivos de red como
Firewire, CD/DVD, PCMCIA, Discos pticos y Magnticos,
switches o routers.
Discos Duros.
Logs de proveedores de servicio (que
Extrables, Memorias SD y MicroSD.
pueden obtenerse bajo rdenes
Dispositivos celulares, PDAs, Cmaras Digitales,
judiciales nicamente).
gradaboras de video y audio.
7
 METODOLOGA PARA TOMAR EVIDENCIAS
DIGITALES

ADQUISICIN DE DATOS:

Planificacin de la adquisicin de datos

Adquisicin de los datos

Verificacin de la integridad de los datos recolectados

8
METODOLOGA PARA TOMAR EVIDENCIAS
FASE III. RECOLECCIN
DIGITALES Y EXAMINACIN
DE INFORMACIN

9
METODOLOGA PARA TOMAR EVIDENCIAS
DIGITALES

Formato planteado para

adquisicin de evidencia

10
 METODOLOGA PARA TOMAR EVIDENCIAS
DIGITALES

FASE IV. ANLISIS DE LA INFORMACIN

ANLISIS DE LA INFORMACIN PRIORITARIA.

GENERACIN DE LISTADO DE ARCHIVOS COMPROMETIDOS CON EL CASO.

OBTENCIN DE LA LNEA DE TIEMPO DE LA EVIDENCIA.

Fecha De Modificacin
Fecha De Acceso
Fecha De Creacin

GENERACIN DE INFORME FINAL.

11
 METODOLOGA PARA TOMAR EVIDENCIAS
DIGITALES
FASE V. REPORTE

Resultado de los anlisis.

Cmo y por qu fueron utilizadas las diferentes herramientas y
procedimientos para recolectar y analizar la informacin, eso sustentar
el trabajo realizado.
Acciones a tomar.
Determinar si es necesario realizar ms estudios para llegar a una
conclusin definitiva o si nicamente es posible llegar a explicaciones
alternativas o hiptesis.
Recomendaciones relacionadas a mejoramiento en las polticas,
procedimientos, herramientas de deteccin y otras observaciones para
mejorar el proceso forense.

12