En primera instancia, se debe notar que la metodología esta montada sobre el concepto de documentación, la cual debe ser constante y durante todo el proceso. Es más, se considera que una de las herramientas principales que debe tener un investigador forense es una libreta y un lápiz, que le permita tomar atenta nota de todo lo que logra ver, oír, percibir o relacionar.
A continuación se presenta una descripción de cada una de las cinco etapas que componen la metodología.
Autorización
Es de imperiosa necesidad logar los permisos y autorizaciones necesarias de las autoridades o instancias competentes, para proceder a realizar la investigación. El acopiar evidencias sin un permiso expreso pierde toda validez y admisibilidad en un proceso judicial. Otro problema que se puede presentar es que el usuario del equipo puede argumentar a su favor que se le esta violando su derecho a la intimidad o que se esta accediendo a datos confidenciales sin autorización.
Preparación
En esta etapa se realizan las actividades iniciales que permiten abordar en forma adecuada la investigación. La primera actividad a ejecutar es el aseguramiento del área. Esto implica que a partir de ese momento nadie tocará nada de lo que se encuentra en el área y dejaran todo tal y como esta. Este primer procedimiento es necesario para que no se alteren las posibles evidencias, dejadas por el agresor en la comisión del ilícito.
También hace parte de esta etapa actividades tales como el levantamiento de un acta. Dependiendo del objetivo y de la profundidad con que se vaya a desarrollar la investigación, puede ser necesario que antes de iniciar el proceso, se precise de algunos testigos idóneos que den fe de que todas las evidencias acopiadas proceden de las máquinas involucradas. Igualmente, hace parte de esta etapa las actividades de toma de fotografías, identificación de fuentes de evidencias y sanitización de medios. Con la penúltima actividad se pretende que el investigador, logre determinar que elementos son susceptibles de contener evidencias; dentro de estos puede encontrar CD´s, disquetes, memorias USB, Discos ZIP, asistentes personales, celulares o cualquier otro elemento.
La sanitización de medios, es una actividad netamente preventiva, que evita que los medios que se van a usar para la recopilación de pruebas y la copia de imágenes de los medios contengan información de procesos anteriores. El proceso de sanitización debe de efectuarse así los medios sean totalmente nuevos.
Recopilación de pruebas
Dependiendo del momento en el cual el investigador inicie el proceso, en esta etapa puede ser necesario tomar una decisión. Si la investigación se inicia en el momento en el que el ataque se esta sucediendo, es necesario decidir si se apaga o no el computador que esta sufriendo el ataque. Si se decide no apagar, se logra recopilar las evidencias de tipo volátil y es posible que se le haga un seguimiento al atacante y sus acciones. Pero este accionar genera algunos problemas tales como posibilitar que el atacante continué con la comisión de sus actos; lo cual puede dar como resultado daños y perdidas más grandes. Pero si se decide apagar el computador, se pierde la oportunidad de acopiar las evidencias volátiles. Esta decisión la puede tomar el investigador, haciendo usos de su experiencia, para reconocer de forma rápida la gravedad del ataque.
De la forma en la cual se recopilen las evidencias, depende en gran medida la completitud y fiabilidad de las pruebas. Cuando se están recopilando las diferentes pruebas, no se debe olvidar la necesidad de que toda prueba recopilada tenga la siguiente información adicional: fecha, hora y firma digital. La firma digital se puede obtener a través de algoritmos tales como MD5 o SH1. Estos son elementos básicos para que una evidencia digital tenga la característica de fiabilidad.
En cuanto a las copias de los medios, esta debe ser tomada con herramientas que hagan copia byte a byte. Lo que se quiere obtener es una imagen fiel del medio comprometido. Con este tipo de copia no solo se logra copiar todos y cada uno de los archivos si no también la información que se encuentra en los intersectores, en las interparticiones, en parte de los sectores no usados y la información que aun subsiste de los archivos borrados.
Análisis de información
Esta etapa es una de las más complejas; la cual, como toda investigación debe tener un objetivo bien definido, y donde se requiere que el investigador tenga un pensamiento que sea capaz de conjugar la deducción con la inducción. El investigador después de hacer un primer análisis, estable sus primeras hipótesis y teorías y luego inicia un proceso de análisis que le permita llegar a establecer dos elementos: la reconstrucción de los hechos y el establecimiento de la línea del tiempo.
Con el fin de bajarle el nivel de complejidad a esta etapa, se dividido en cinco subetapas, las cuales son: caracterización de los medios, recuperación de información, filtración de información, reconstrucción de los hechos y generación de la línea de tiempo.
Se llama la atención sobre algunas actividades que pueden generar o presentar algunos inconvenientes. Cuando se esta examinado la información de los log´s, se puede presentar el hecho de que el sistema no este sincronizado a nivel de relojes. Esto hace que la información consignada en los log’s no correspondan con una hora real de ocurrencia de los hechos. Por ejemplo, en una empresa los empleados de un área saben que cierto proceso se corre todos los días a las 7:00 A.M., pero en el sistema aparece que el proceso es ejecutado a las 7:00 P.M. Este cambio ya hace que la prueba no sea admisible o que sea refutada muy fácilmente.
Otro caso que se puede presentar, es que el investigador no pueda hacer la reconstrucción total de los hechos o que no pueda establecer la línea de tiempo. Esto puede suceder por que no se logro detectar todas las evidencias, por que no se efectúo de forma apropiada la recolección de la evidencia, porque cuando se efectúo el proceso ya había pasado mucho tiempo y la mayoría de evidencias ya habían desaparecido o por que el atacante durante el ataque utilizo herramientas antiforenses que eliminaron las evidencias.
Documentación
Como se comento en un párrafo anterior, esta metodología esta cimentada sobre el proceso de documentación. En esta etapa de la metodología lo que se busca es poder escribir el informe de acuerdo a quien vaya dirigido. Este informe debe ser lo mas claro y completo posible. No se debe de omitir ninguna información. Su redacción no debe ser ambigua ni prestarse para interpretaciones erróneas, ya que esto permitirá que la defensa le de un giro al proceso. Todo lo consignado en el informe debe poderse probar y esta prueba debe poderse repetir en el momento que sea necesario.
No hay comentarios:
Publicar un comentario