Beruflich Dokumente
Kultur Dokumente
tomar evidencias
digitales
3
METODOLOGA PARA TOMAR EVIDENCIAS
DIGITALES
Obtener,
deben Custodiar,
Revisar,
Analizar,
Presentar la evidencia tomada en la escena del delito.
Medidas Iniciales
1. Verificar si en realidad ha ocurrido un incidente o no.
2. Verificar si existe la necesidad de realizar el
procedimiento de evidencia digital al incidente
reportado.
3. Minimizar la prdida o alteracin de datos.
4. Llevar bitcoras de todas las acciones, con fechas y
ahora precisas.
5. Analice todos los datos recolectados.
6. Realice un reporte de los hallazgos.
3
METODOLOGA PARA TOMAR EVIDENCIAS
DIGITALES
Es necesario verificar que el evento que est siendo reportado, es
1. realidad un incidente
AISLAMIENTO que atenta contra la confidencialidad, integridad o
DE LA ESCENA
Restringir el acceso a la zona deldisponibilidad
incidente, parade la informacin.
evitar algn tipo de alteracin en la posible
evidencia a recolectar.
Es necesario tambin determinar si dicho incidente requiere o no de un
2. IDENTIFICACIN DE(procedimiento
anlisis forense FUENTES DE INFORMACIN
de evidencia digital). Una vez se definen
Los datos relacionados con
estas condiciones, se debe proceder cony la
un evento especfico son identificados evaluados
primeraafase.
su vez que
el incidente se controla, para posteriormente proceder con la fase de recoleccin y
examinacin.
3. EXAMINACIN Y RECOLECCIN DE INFORMACIN
Tcnicas y herramientas forenses son aplicadas a los datos recolectados para extraer la
informacin relevante, sin alterar la integridad de los datos.
4. ANLISIS DE DATOS
Realiza el anlisis de la informacin prioritaria o relevante obtenida en la fase de examinacin y
se centra en encontrar las respuestas para el caso, realizando la correlacin de los eventos,
archivos y diferentes datos encontrados.
5. REPORTE
Reporte de los resultados del anlisis que puede incluir los procedimientos que se llevaron a
cabo, si quedaron verificaciones pendientes, mejoras, cambios etc....
4
METODOLOGA PARA TOMAR EVIDENCIAS
DIGITALES
FASE I. AISLAMIENTO DE LA ESCENA Tomar una fotografa del equipo o sitio del incidente antes de tocarlo.
Establecer un permetro de seguridad.
Si el equipo se encuentra encendido, no se debe apagar, deber
procederse a realizar los siguientes procedimientos:
Restringir el acceso a la zona o Sellar los puertos USB, firewire, Unidades CD/DVD, etc
donde se produjo el o Tomar fotografas de lo que se puede ver en la pantalla (software
incidente. corriendo, documentos abiertos, ventanas de notificacin, hora y fecha
ilustrados).
o Asegurar el equipo de mantenerlo encendido.
o Si es posible capturar informacin voltil del equipo antes de que se
apague.
o Si el equipo se encuentra apagado, no realizar el encendido.
o Llevar los elementos necesarios para la recoleccin de informacin como
forenses, dispositivos de backups, medios formateados y/o estriles,
cmaras digitales, cinta y bolsas para evidencia, papel de burbuja, bolsas
Realizar el aislamiento antiestticas, cajas de cartn, rtulos o etiquetas etc
o Almacenar la informacin original en un sitio con acceso restringido, para
por personal de la garantizar la cadena de custodia de la informacin.
institucin o Obtener informacin de dispositivos que tuvieron contacto o interaccin
con el equipo en cuestin (switches, firewalls, Access points etc).
5
METODOLOGA PARA TOMAR EVIDENCIAS
DIGITALES
CADENA DE CUSTODIA
ADQUISICIN DE DATOS:
8
METODOLOGA PARA TOMAR EVIDENCIAS
FASE III. RECOLECCIN
DIGITALES Y EXAMINACIN
DE INFORMACIN
9
METODOLOGA PARA TOMAR EVIDENCIAS
DIGITALES
10
METODOLOGA PARA TOMAR EVIDENCIAS
DIGITALES
11
METODOLOGA PARA TOMAR EVIDENCIAS
DIGITALES
FASE V. REPORTE
12