Es el conjunto de técnicas para reconstruir la estructura de datos de un fichero, ya sea porque se haya borrado o por encontrar datos ocultos dentro de un sistema informático. Todo el proceso hace posible que la identificación, preservación, análisis y presentación de la información recabada, puedan ser evidencias que garanticen la validez de los datos ante un proceso judicial.
Todo este proceso es realizado una vez que se ha detectado la incidencia y está disponible para todo tipo de dispositivo que almacene datos. Con ello, podemos recoger toda la información y averiguar todo lo relativo a la incidencia, como culpables, cómplices, causas...
Tipos de análisis forense informático
Para disponer de un análisis exhausto, la mejor opción es dividir el proceso en varios tipos de análisis informático.
Debemos de recalcar que toda información recabada será custodiada y archivada por profesionales donde no podrá ser modificada por nadie para que pueda ser validada ante procesos judiciales.
Análisis forense de Sistemas Operativos
Es la parte de analiza los ordenadores implicados, estaciones de trabajo o servidores, con el objetivo de recopilar toda la información relativa a este tipo de análisis forense.
En el análisis, se recopilará tanto los datos que se puedan ver a simple vista, como los datos ocultos. Así mismo, se analizarán los sistemas en busca de datos borrados, mediante herramientas de alto nivel de análisis forense.
Análisis forense de redes informáticas
Es el proceso por el cual, se recopilará toda la información relativa a las redes informáticas de una infraestructura, monitorizará toda la actividad que se realizó en el momento de la acción precursora del análisis forense y analizará todos los datos recabados.
Todo ello expuesto en un informe donde se podrá descubrir si se ha utilizado alguna fuente de ataque, como virus, intrusiones de fuera, dentro de la red o trafico de la organización.
Este análisis no debería de realizarse una vez que se haya realizado el acto delictivo, sino que debería de realizarse de forma continua, para que la empresa u organización esté más seguro frente a amenazas.
Análisis forense de dispositivos móviles
Cada vez más, los empleados son equipados con teléfonos móviles para facilitar el trabajo. Por ello, el análisis forense de dispositivos móviles ha aumentado notablemente.
El objetivo en esta parte, es recabar y/o recuperar toda la información existente o borrada que sea posible de un teléfono móvil o incluso de una tablet.
Para ello, se deberá recoger mediante herramientas que hagan posible la conservación del hecho delictivo. Estas herramientas son bastantes costosas y la mejor opción es contratar un servicio de análisis forense de dispositivos móviles.
Estas herramientas realizarán una copia exacta de todo el teléfono o tablet para poder analizarla posteriormente, de forma segura.
Análisis forense de servicios cloud
Actualmente los datos no solo están en los ordenadores o móviles, cada vez más las empresas optan por tener todos los datos en la nube. Por ello, los analistas forense deben de actualizarse y adaptarse a las nuevas tecnologías.
Por ello, el análisis forense de servicios cloud es la acción de recabar toda la información que pueda ser almacenar en la nube.
El equipo forense deberá de ponerse en contacto con todos los proveedores existente de la organización que le suministren servicio cloud. Una vez conseguido el acceso se pondrán a recabar toda la información existente para el posterior análisis.
Pasos de un análisis forense informático
Análisis de la situación
Recogida de toda la información que constituirá los cimientos para reconstruir una copia o replica de la fuente de datos. Dentro de este paso, se elaborará una planificación detallada para los próximos pasos o pruebas a realizar.
En este punto inicial se recogerán tanto datos existentes como los que pudieran ser borrados.
Reconstrucción de las evidencias.
Una vez que dispongamos de todos los datos, ya sea de pendrive, discos duros, ficheros en la nube, ficheros con contraseñas... se analiza y organiza para su posterior diagnostico.
Estudio de los datos.
En este punto dispondremos de los resultados donde se detallará las pruebas que se han realizado con los datos. Se realizará informes detallados sobre los datos obtenidos, donde se expondrá de forma clara, los afectados, autores materiales del hecho, si hubiera cómplices, debilidades....
No obstante, se elaborará otro informe donde se detallará recomendaciones o acciones que se llevarán a cabo tras el incidente analizado, así como vulnerabilidades encontradas.
Acciones correctoras
Con el informe de referencia anterior, se pondrá en práctica las acciones necesarias para evitar o minimizar el impacto de la incidencia analizada