¿Cómo funciona la informática forense?

Los ordenadores se usan para todo hoy en día. Desde navegar en busca de información de asuntos específicos y realizar compras o gestiones con Hacienda, hasta comunicarnos con nuestros conocidos e intercambiar documentos, videos y fotografías. Cada paso que damos deja una huella en el disco duro del ordenador. Al abrir un programa, por ejemplo, dejamos huella de la cantidad de veces que se ha abierto, pudiendo identificar el momento en que se hizo por última vez. Al utilizar servicios de mensajería o telecomunicación, como Skype por citar un ejemplo, cada mensaje que enviamos se queda registrado en el ordenador. Al enviar un fichero a la papelera de reciclaje, queda constancia del usuario y la hora y fecha en que lo hizo. Al enchufar un pendrive o disco duro externo al ordenador, queda constancia de ello, incluido un número de serie e instante en que se hizo. Todo esto no son más que ejemplos reales, dentro de un enorme océano de rastros y registros que vamos dejando por todas partes.

Sin embargo, lo más interesante de todo es que, aún cuando el usuario intencionadamente trata de eliminar los rastros que va dejando, es muy difícil hacer una labor de borrado perfecta, y en muchísimas ocasiones se puede reconstruir la actividad del usuario a partir de todas las trazas y huellas que puede localizar un investigador forense. Identifiación, adquisición, clonación, preservación

El procedimiento de la investigación consiste en (1) identificar los repositorios de información de interés (discos duros externos, de ordenadores, pendrives, etc.); (2) recolectar y adquirir la información mediante un clonado sector a sector garantizando la integridad del original, la exactitud de la copia y la cadena de custodia; (3) realizar el procesado de evidencias poniendo (4) a buen recaudo el original, conservando la siempre la cadena de custodia; y (5) elaborar un informe técnico y ejecutivo recogiendo los pasos seguidos y las conclusiones a las que se ha llegado, en función de las especificaciones de cada caso.

×
Hard2bit Services
>

Informática forense

"La información es uno de los activos estratégicos más importantes para una empresa"

Un buen informe pericial es todo lo que necesita

Cuando llega el momento de demostrar ciertos actos realizados desde un ordenador, como el envío de ciertos correos electrónicos, un uso ilegítimo del material informático corporativo, fuga de datos o delitos económicos, es vital contar con un equipo informático forense con experiencia y bagaje en el campo, capaz de asesorarle y ayudarle a tomar las mejores decisiones. Mediante la realización de una pericial forense, nuestros expertos elaborarán un informe que le ayudará a defender su caso particular.

Recuperación de datos de RAID
Principio de auditabilidad

El proceso de investigación forense debe estar sujeto a una estricta metodología y a un código de buenas prácticas que debe poder ser validado en todo momento. Se tomará nota de cada paso dado para llegar a la conclusión final del informe pericial.

Principio de reproducibilidad

Toda investigación forense que trabaje sobre el mismo conjunto de evidencias debe ser capaz de llegar a las mismas conclusiones que las demás. El investigador debe ser capaz de argumentar cada paso dado para que el informe pueda ser ratificado por terceros.

Placas electrónicas PCB averiadas y fallos de firmware
Principio de defensibilidad

La defensa del informe debe estar apoyada por el uso de herramientas validadas en el sector, una experiencia amplia y probada y las certificaciones adecuadas. Nuestros peritos forenses defenderán su trabajo ante un juez en caso de ser necesario.


La reciente norma ISO/IEC 27037 de tecnología de la información, sobre los procedimientos de identifiación de evidencias, recolección, adquisición, y preservación de la evidencia digital establece una serie de principios sobre los que se fundamente la investigación, para que la misma sea auditable, reproducible, y defendible ante los tribunales con total confianza.


Identificación
recolección
adquisición

conservación de evidencias digitales

La informática forense se encarga de rastrear todos los lugares por los que la información fluye, dónde reside o dónde ha residido, cómo ha llegado hasta ahí o cómo fue borrada, quién la ha utilizado y de qué manera, con quién se ha compartido esa información, y un sinfín de aspectos y detalles que sirven para demostrar, de un modo aceptado ampliamente en tribunales de todo el mundo, que dicha información existe, y que se ha dado un cierto uso a la información.

Todos los procedimientos usados en Hard2bit Data Forensics se ajustan estrictamente a la norma ISO/IEC 27037:2012 del ámbito de la seguridad de la información, sobre la identificación, recolección, adquisición y preservación de las evidencias digitales, que establece una serie de principios sobre los que se fundamente la investigación, para que la misma sea auditable, reproducible, y defendible ante los tribunales con total confianza.

Cómo funciona
Toda clase de discos duros

En su afán por la transparencia y el hacer las cosas bien, y por crear un víncluo de confianza con todos los clientes, Hard2bit ofrece:

Cómo es la informática forense con Hard2bit

Borrados y formateos accidentales

Sobre los procedimientos empleados

La norma ISO/IEC 27037 de tecnología de la información, sobre los procedimientos de identificación de evidencias, recolección, adquisición, y preservación de la evidencia digital, establece una serie de pautas o normas a seguir para la identificación, la recolección, la adquisición y la conservación de las evidencias digitales (discos duros, memorias USB, pendrives, teléfonos móviles, tarjetas de memoria flash...), que varían en función de los dispositivos de almacenamiento de datos cuya información es objeto de estudio. Exponemos a continuación los principios sobre los que se rigen todas las investigaciones informático forenses.

identificación de evidencias forenses

Proceso de identificación de evidencias

La primera etapa de una investigación forense consiste en la identificación de todos aquellos posibles elementos que son susceptibles de almacenar información que pueda ser útil para la investigación. Dicha información puede estar físicamente contenida en la estructura lógica de dispositivos accesibles y de cualquier tipo o tecnología (discos duros, memorias flash, cintas, etc.), o fuera de la estructura lógica de los mismos, borrada o dañada, o incluso en lugares geográficamente distantes. En esta etapa se identifican discos duros, pendrives, impresoras, recursos de red, discos externos, y todo tipo de dispositivos que puedan almacenar datos electrónicamente.

Recolección de evidencias forenses

Proceso de recolección de evidencias

Tras haber identificado las evidencias que pueden ser sujeto de investigación, se procede a la recolección de las mismas. Toda evidencia que se tome o incaute debe ir perfecta e individualmente identificada, y debe quedar perfectamente documentado el origen de cada elemento de la investigación. En ocasiones, la recolección ha de hacerse utilizando medios especializados para garantizar que la información perdure en el tiempo y no sea destruida, alterada, o quede inaccesible, como en los casos de las investigaciones forenses de la memoria RAM, de ordenadores y discos duros con volúmenes cifrados o protegidos con contraseña, o de teléfonos móviles encendidos.

Forense de calidad
Herramientas especializadas. EnCase, FTK.
Placas electrónicas PCB averiadas

Proceso de adquisición

En la investigación forense es de vital importancia no modificar ni un solo bit de las evidencias, por lo que realizar copias forenses de las mismas es primordial y es lo primero que se debe hacer después de la recolección. Las copias forenses o clones de los dispositivos sirven como base para la investigación posterior, por lo que deben ser fiables y se deben obtener con herramientas validadas por los expertos del sector. Los teléfonos móviles se deben guardar en jaulas de Faraday para evitar que reciban señales externas, que puedan alterar sus contenidos.

Fallos físicos y mecánicos

Cadena de custodia

Durante todo el proceso de investigación forense existe una máxima: la preservación de la cadena de custodia. La cadena de custodia es el mecanismo por el cual toda evidencia está en todo momento identificada y protegida en tanto en cuanto a su ubicación, y a la persona que se responsabiliza de su integridad y conservación bajo llave. Cada paso que implique un movimiento o un traspaso de evidencias entre distintos investigadores debe quedar registrado a través de este mecanismo para garantizar la integridad y validez de todas las muestras tomadas.

Contacto

En caso de haber sufrido un incidente que pueda requerir de una investigación de tipo forense (robo de información confidencial, filtración de datos o documentos, amenazas o extorsión, despidos procedentes...), es importante actuar con discreción y total diligencia. Cada paso del proceso es vital y cualquier error o defecto en el procedimiento puede ser decisivo a la hora de llevar el caso a juicio. No dé un paso en falso y comente el caso con total confianza a nuestros peritos del departamento forense.


¡Todo ha ido bien! Nos pondremos en contacto con usted lo antes posible.

¡Oops! Por favor, rellene todos los campos obligatorios.