Siguiendo con la temática de post anteriores que dentro de lo que es la informática Forense se refiere a cada una de las Etapas de la Investigación Forense en este, el post de hoy, vamos a seguir analizando las últimas etapas de las que consta la Investigación Forense. Presentación Una vez realizado el análisis por parte del los investigadores, se habrán de presentar los resultados para que estos, puedan ser compartidos, con el fin de que estos puedan ser usados con fines prácticos y hacerlo valer ante los tribunales.

En las conclusiones de dicho informe deberá de hacerse constar de manera precisa y documental, todas las operaciones realizadas, los elementos de evidencia localizados y cualquier otro aspecto de interés.

Como se habrá podido apreciar no hablamos de evidencia, sino de elementos de evidencia, esto se debe al carácter acumulativo de la prueba, es decir en cualquier investigación que se lleve a cabo, las personas encargadas de la misma no han de dejarse llevar por suposiciones, sino que han de intentar para el mejor desarrollo de la investigación y esclarecimiento de los hechos, encontrar los indicios y señales que irán sumando a un inventario, con el objetivo posterior de interpretarlos de un modo profesional y circunspecto dentro del contexto técnico en el que se haya llevado a cabo la investigación. La Presentación posee una importancia decisiva de cara a las posteriores actuaciones judiciales y administrativas. El informe que haya de salir de esta fase con gran probabilidad irá destinado al jefe de seguridad de una empresa, a un despacho de abogados o al propio investigador forense que habrá de comparecer ante un tribunal. Línea de Tiempo La línea de tiempo es un concepto que ayuda al investigador a comprender la evolución de los hechos y la relación causa-efecto que existen en los mismos. Esta línea de tiempo consta de una sucesión de hechos indicados por algún indicio, como por ejemplo pudiera ser entradas en archivos de registro, creación de un archivo en una fecha y una hora determinas, en los pudieron tener lugar intentos de intrusión en el sistema u operaciones no autorizadas de cualquier otro tipo (inicio de sesión, ejecución de un comando para abrir la conexión desde un host remoto, crear, borrar o modificar un archivo). La Línea de Tiempo se contruye a partir de todos aquellos elementos de evidencia que contengan información temporal fiable, ya sean marcas de tiempo (MAC) de archivos, fechas y horas halladas en metadatos de archivos y en logs del sistema, historiales de internet etc...

Este procedimiento es una etapa predominantemente manual, aunque se pueden llegar a usar determinadas herramientas que faciliten la labor, extrayendo datos temporales del sistema poniéndolos a disposición de los investigadores. Esta línea de Tiempo además de dar una perspectiva cronologíca de los hechos, nos da un contexto en la cual se ha accedido a la información, se han modificado datos o sustraido contraseñas.

#informáticaforense