Proceso forense digital
El proceso forense digital es un proceso científico y forense reconocido que se utiliza en las investigaciones forenses digitales . [1] [2] El investigador forense Eoghan Casey lo define como una serie de pasos desde la alerta de incidente original hasta la notificación de los hallazgos. [3] El proceso se utiliza predominantemente en investigaciones forenses móviles e informáticas y consta de tres pasos: adquisición , análisis e informes .
Los medios digitales incautados para la investigación suelen denominarse "pruebas" en la terminología jurídica. Los investigadores emplean el método científico para recuperar evidencia digital para respaldar o refutar una hipótesis, ya sea para un tribunal de justicia o en un proceso civil . [2]
Las etapas del proceso de análisis forense digital requieren una formación y unos conocimientos especializados diferentes. Hay dos niveles aproximados de personal: [3]
Ha habido muchos intentos de desarrollar un modelo de proceso, pero hasta ahora ninguno ha sido aceptado universalmente. Parte de la razón de esto puede deberse al hecho de que muchos de los modelos de proceso se diseñaron para un entorno específico, como la aplicación de la ley, y por lo tanto no se pueden aplicar fácilmente en otros entornos, como la respuesta a incidentes. [4] Esta es una lista de los principales modelos desde 2001 en orden cronológico: [4]
Antes del examen real, se incautarán los medios digitales. En casos penales, esto a menudo será realizado por personal encargado de hacer cumplir la ley capacitado como técnicos para garantizar la preservación de las pruebas. En asuntos civiles, normalmente será un funcionario de la empresa, a menudo sin formación. Varias leyes cubren la incautación de material. En materia penal, se aplica la ley relacionada con las órdenes de registro . En los procedimientos civiles, se asume que una empresa puede investigar su propio equipo sin una orden judicial, siempre que se preserve la privacidad y los derechos humanos de los empleados.
Una vez que se han incautado las pruebas, se crea un duplicado exacto a nivel de sector (o "duplicado forense") de los medios, generalmente a través de un dispositivo de bloqueo de escritura . El proceso de duplicación se conoce como adquisición de imágenes o adquisición . [5] El duplicado se crea utilizando un duplicador de disco duro o herramientas de software de imágenes como DCFLdd , IXimager , Guymager , TrueBack, EnCase , FTK Imager o FDAS. Luego, la unidad original se devuelve a un lugar de almacenamiento seguro para evitar alteraciones.
