Unidad 1

1. FASE DE IDENTIFICACIÓN:
   
   

Etapa 1: Levantamiento de información inicial

Para la construcción de una línea de tiempo se debe tener en cuenta el levantamiento de información inicial que comprende obtener información sobre el o los equipos informáticos afectados como sistema operativo, datos técnicos, fecha, tipo de incidente, características de configuración como dirección IP, etc.

Etapa 2: Asegurar la escena

Identificar las evidencias

Identificación de las evidencias que se encuentran en la escena del caso, es necesario clasificarlas de acuerdo al tipo de dispositivo en el que se encuentran y el modo de almacenamiento, que para este caso según el tipo corresponde a un Sistema informático y según el modo de almacenamiento No volátil  por tratarse de un archivo que aparentemente fue borrado del disco duro.

1.  FASE DE VALIDACIÓN Y PRESERVACIÓN

Etapa 1: Copias de la evidencia

Se hace una copia o réplica exacta bit a bit del contenido de la evidencia seleccionada en este caso el PC encontrado, aplicando técnicas de validación para mantener la originalidad de la misma, es necesario documentar este proceso para cualquier caso legal.

Se utiliza software especializado y reconocido para este proceso, que permita hacer una suma de comprobación mediante MD5 o SHA1

Etapa 2: Cadena de custodia

Es  necesario establecer quienes manipulan la evidencia, registrando los datos de los que realizan manipulación de las evidencias o copias realizadas - Dónde, cuándo y quién examinó la evidencia, incluyendo su nombre, su cargo, un número de identificación, fechas y horas, etc. - Quién estuvo custodiando la evidencia, durante cuánto tiempo y dónde se almacenó. - Cuando se cambie la custodia de la evidencia también se deberá documentar cuándo y cómo se produjo la transferencia y quién la transportó.

Estas medidas permiten relacionar cada uno de los accesos a las evidencias para conocer las manipulaciones sobre esta.

1.    FASE DE ANÁLISIS

Reconstruir con todos los datos disponibles la línea temporal del ataque, determinando la cadena de acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su descubrimiento. Es aquí donde debemos determinar cómo se produjo el hurto del archivo, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo,  cuál era el objetivo del hurto del archivo, qué daños causaron.

Etapa 1: Preparación para el análisis

Definir el grupo de investigación una zona de trabajo adecuada para realizar el análisis forense.

Reconstruir la escena del delito informático, a través de una instalación de un sistema operativo con las mismas características para realizar pruebas y verificaciones para establecer hipótesis acerca del caso.

Etapa 3: Determinación del ataque

Tan pronto se reconozcan los acontecimientos  que produjeron la perdida de la información, para reconocer el agujero de seguridad que tiene la organización se hizo necesario realizar un análisis a la cadena de acontecimientos hasta la fecha acerca de la investigación  en mención.