Scribd
Cargar
135 vistas6 páginas

Metodologías en Análisis Forense Digital

El documento describe varios modelos de análisis forense informático, incluyendo el modelo DFRWS, los modelos de Casey de 2000 y 2004, el modelo del Departamento de Justicia de EE.UU., y los modelos de Lee, Reith, Carr y Gunsch, Carrier y Spafford, y Ó Ciardhuáin. Todos los modelos comparten fases similares como identificación, preservación, examen y análisis de evidencia digital, pero difieren en detalles como el número y nombre de las fases. El objetivo es establecer una metod

Cargado por

tecnicocg dacos
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
135 vistas6 páginas

Metodologías en Análisis Forense Digital

El documento describe varios modelos de análisis forense informático, incluyendo el modelo DFRWS, los modelos de Casey de 2000 y 2004, el modelo del Departamento de Justicia de EE.UU., y los modelos de Lee, Reith, Carr y Gunsch, Carrier y Spafford, y Ó Ciardhuáin. Todos los modelos comparten fases similares como identificación, preservación, examen y análisis de evidencia digital, pero difieren en detalles como el número y nombre de las fases. El objetivo es establecer una metod

Cargado por

tecnicocg dacos
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

INFORMATICA FORENSE

TAREA M1

ANALISIS E INVESTIGACION FORENSE


No existe una metodología que sea única y universal en el análisis forense, si existen una serie de
fases que son importantes para el éxito del análisis forense y el final es que sea elemento probatorio
ante un incidente.

Carlos Alberto Gutiérrez Rondón


chgut31@[Link]
RESUMEN

la metodología forense busca la manera de evaluar, obtener y analizar unas evidencias de


una forma segura, fiable y eficaz mediante métodos y profesionales que salvaguarden la
integridad de las pruebas, así como de la cadena de custodia y permitan establecer un
diagnóstico imparcial de las evidencias halladas. Las conclusiones de estos profesionales
quedarán plasmadas en el denominado “informe forense” y servirá como complemento
para la toma de acciones judiciales respecto al incidente.

METODOLOGÍAS O MODELOS DE ANALISIS INFORMÁTICO FORENSE


No existe un modelo estándar para el análisis informático forense, pero si unos modelos
muy importantes y reconocidos internacionalmente, los cuales trataremos en este
documento,
A continuación, un resumen de los más representativos:
1. Modelo DFRWS (Digital Forensic Research Workshop).
Modelo desarrollado entre los años 2001 y 2003 en el Digital Forensic Research
Workshop. El modelo aporta el concepto conocido como “Clases de Acción en la
Investigación Digital”. Estas “Clases de Acción” son técnicas que permiten clasificar por
grupos las actividades en un proceso investigativo. El modelo establece que cada
investigación se debe establecer de forma independiente y detallada en una matriz,
indicando las actividades a realizar y la técnica que se implementará en la misma.
Las actividades que se deben realizar son:
Identificación, Preservación, Colección, Examen, Análisis, Informe, Decisión.
2. Modelo de Casey (Versión Año 2000).

Desarrollado por Eoghan Casey, quien en el año 2000 da a conocer su modelo de análisis
forense informático (Casey, 2011). Este modelo ha tenido versiones posteriores como
muestra de un proceso evolutivo.
Las actividades que se deben realizar son:
Identificación de evidencias, Conservación, adquisición y documentación de evidencias,
Clasificación, comparación e individualización de evidencias, Reconstrucción de los
hechos.
En estas dos últimas actividades, se puede producir un ciclo repetitivo, ya que se pueden
presentar nuevas evidencias que requieran un nuevo procesamiento. Por este motivo
estas dos últimas actividades son denominadas por Casey como Ciclo de Procesamiento
de las Pruebas.
3. Modelo de Casey (Versión Año 2004).

Nueva versión mejorada del modelo de Casey Versión Año 2000, el cual se compone de las
siguientes actividades o fases:
-Autorización y preparación de evidencias: Esta fase comprende las actividades del
recabado de evidencias, previo a las autorizaciones legales a que se diera lugar.

-Identificación de las evidencias: Esta fase comprende la identificación detallada de toda


evidencia encontrada.
-Documentación de las evidencias: En realidad esta fase es repetitiva, ya que se da
durante todo el proceso investigativo y consiste en documentar por escrito todo lo que se
realizó para encontrar las respuestas que permitieron esclarecer los acontecimientos que
se dieron durante la ejecución del incidente de seguridad informático.
-Adquisición de las evidencias: En esta fase se debe generar una imagen del contenido
digital (datos) de todo dispositivo de almacenamiento encontrado, ya que esto puede
servir de prueba en un juicio. Es importante hacer varias copias de cada elemento, para
mayor seguridad de preservar la integridad del original, la cual nunca se deberá tocar.
-Conservación de las evidencias: En esta fase se debe asegurar todas las evidencias en un
lugar seguro que permita garantizar plenamente la integridad de los datos originales.
-Examen y análisis de las evidencias: Utilizando herramientas de software idóneas se
analizan las copias de las evidencias, se elabora una hipótesis y se empieza el proceso
investigativo que arroje información relevante que permita validar la hipótesis y con ello
el esclarecimiento de los hechos.
-Reconstrucción de lo sucedido: En esta fase se debe haber llegado al punto de tener las
respuestas a los siguientes interrogantes: ¿desde dónde?, ¿qué se atacó?, ¿de qué
forma?, ¿quién(es) atacó(aron)? y ¿en qué periodo de tiempo?
-Informe final o conclusiones: En esta fase se elabora un informe detallado de todos lo
desarrollado y lógicamente de los resultados obtenidos.
4. Modelo Forense del Departamento de Justicia de los Estados Unidos.

El Departamento de Justicia de los Estados Unidos tiene una división especial denominada
“Sección de Crimen Computacional y Propiedad Intelectual”.
Esta división desarrolló un modelo de análisis forense informático basándose en aportes
intelectuales de una gran cantidad de funcionarios que laboraban en ese momento en
agencias federales y que estaban especializadas y dedicadas a la informática forense
(Ashcroft John, Daniels Deborah y Hart Sara, 2004). Esta investigación dio como aporte
principal las tres fases que este organismo establece como la base principal del análisis
forense, haciendo acápite en que estas fases dan como realizado, en forma previa, las
copias de seguridad o clonación de los dispositivos de almacenamiento encontrados como
evidencias digitales en un caso investigado. Estas fases son:
Preparación y Extracción, Identificación, Análisis.
Además, este modelo estableció las especificaciones básicas en la investigación forense,
las cuales son:
Emplear métodos científicos, Recolectar y Preservar, Validar, Identificar, Analizar e
Interpretar, Registrar, Documentar y Presentar.

5. Modelo de Lee

Este propone la investigación del lugar donde se presentó el delito y no del proceso de
investigador completo así mismo identifica cuatro pasos en el proceso los cuales son:
Reconocimiento, Identificación, Individualización y Reconstrucción.
Donde el investigador busca patrones como pruebas potenciales que se le puedan servir,
así mismo implica comparar la prueba física y biológica, seleccionar los patrones de
prueba posible que puedan estar conectados con un individuo particular que deben ser
evaluados e interpretados.
6. modelo de Reith, Carr y Gunsch,

Reith, Carr y Gunsch (2002) describen un modelo que hasta cierto punto deriva del
modelo DFRWS. Los pasos en su modelo son:
La identificación, La preparación, La estrategia de acercamiento, La preservación, La
colección, El examen, El análisis, La presentación, Devolviendo la evidencia.

Este modelo es notable en cuanto a que explícitamente pretende ser un modelo abstracto
aplicable para cualquier tecnología o cualquier tipo de ciberdelito. Se pretende que el
modelo pueda ser utilizado como base otros métodos más detallados para cada tipo
específico de investigación.

7. modelo integrado de Brian Carrier y Eugene Spafford

En 2003, se propuso el Modelo Integrado de Investigación Digital, con un enfoque


investigativo más holístico, con cinco etapas básicas, cada una con sus propias fases
(Carrier y Spafford, 2003).
preparación (es decir, evaluación de la capacidad operativa y apoyo a la investigación
infraestructura);
despliegue (incidente detectado, equipo responsable notificado y autorización para la
investigación obtenida, por ejemplo, una orden para investigaciones policiales o una
autorización del supervisor para investigaciones privadas);
examen de la escena del crimen (se conserva la escena del crimen, se identifican las
pruebas físicas pertinentes, se documenta la escena del crimen, se recopilan las pruebas
físicas en la escena del crimen, se examinan estas pruebas, se reconstruyen los hechos
ocurridos en la escena del crimen y se presentan las conclusiones ante el tribunal);
examen digital de la escena del crimen (preservación e identificación de evidencia digital
relevante, documentación de esa evidencia, tratamiento y análisis de evidencia,
reconstitución de los hechos y presentación de hallazgos en el juicio);
y revisión (cuando se completa la investigación, se realiza una evaluación para identificar
las lecciones aprendidas en el camino).
8. Modelo extendido de Séamus Ó Ciardhuáin.

Dice el texto que “el mayor fallo en los modelos existentes es que explícitamente no
identifican la información que fluye en las investigaciones. Por ejemplo, Reith Et Al. (2002)
no menciona explícitamente la cadena de custodia en su modelo. Éste es un fallo
primordial cuándo uno considera las diferentes leyes, las prácticas, los lenguajes, etcétera
que deben ser correctamente distribuido en investigaciones reales.
Este modelo tiene forma de cascada y las actividades se suceden unas a otras. Los flujos
de información de una actividad a la siguiente pasan hasta el final del proceso de
investigación. Por ejemplo, la cadena de custodia se forma por la lista de aquellos que han
manipulado una evidencia digital y debe pasar de una etapa a la siguiente agregando los
nombres en cada paso. “

9. BLIBLIOGRAFIA
[Link]
[Link]
%C3%ADas-modelos-analisis-inform%C3%A1tico.ydxrw7gz
[Link]
chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/[Link]
descargas/manuales/PenTesting/Herramienta-de-Apoyo-para-el-analisis-forense-de-
[Link]

También podría gustarte