top of page

Informática forense: Etapas de una Investigación Forense.

  • Foto del escritor: Óscar Díaz Jiménez
    Óscar Díaz Jiménez
  • 2 abr 2014
  • 2 Min. de lectura

Una vez que se ha intervenido todo el material, y se han tomado las medidas necesarias para asegurar la cadena de custodía debemos comenzar con el traabajo. Por lo general una investigación forense nunca ha de llevarse a cabo sobre dispositivos y soportes originales, esto quiere decir que si se tratase de un disco duro o un dispositivo que soporte o admita acceso en modo escritura, la información que contienen dichos dispositivos o soportes pueden sufrir algún tipo de cambios con lo que alterarían, y el abogado de la parte contraría tendría argumentos suficientes para poder impuganar la evidencia, alegando que no se ha mantenido la cadena de custodía. Los modernos sistemas de archivos NTFS, en sistemas windows, ext3, ext4, ReiserFS para linux, y los HFS+ de Apple disponen de una funcionalidad de journaling o verificación de transacciones para hacer posible la autorreparación de las estructuras de datos en caso de fallo o apagado irregular del sistema. Al ejecutar su tarea, el journaling modifica determinados archivos de registro. Esto no solo ocurre cuando se produce un apagado irregular, sino cada vez que se monta una partición. Por razones similares a esta, jamás de de encenderse un ordenador que haya sido intervenido para someterlo a un análisis forense. Aún si se tratase de un sistema sin journaling, el solo hecho de arrancarlo puede modificar varios centenares de archivos en la partición donde se encuentra instalado el sistema operativo. Por ello trabajar con imagenes de dichos dispositivos o soportes, en lugar de con el medio original es una buena práctica con aquellos medios que por el hecho de tratarse de medios de solo lectura, excluyan de antemano cualquier modificación del contenido, como puede ser si se tratase de medios tales como CD, DVD. La destrucción accidental de un soporte de datos aportado como prueba, aunque sean por causas que no tengan que ver con su procesamiento informático (calor, caida involuntaria, o atasco dentro de una unidad de lectura), puede resultar desastrosa para el caso en cuestión.

 
 
 

Comments

Featured Posts
Recent Posts
Search By Tags
Follow Us
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square

© 2023 by GREG SAINT. Proudly created with Wix.com

  • s-facebook
  • Twitter Metallic
  • s-linkedin
bottom of page