Cómo se realiza un análisis forense digital de ordenadores

05/21/2021
Nuria Estruga
5/5 - (4 votos)

El análisis forense de ordenadores se realiza después que el dispositivo haya sufrido algún ataque informático o bien si se tienen indicios de que se haya cometido un delito informático. Este examen se realiza para saber qué ha pasado, cómo ha ocurrido y obtener las pruebas e información necesaria. En muchos casos, esas pruebas pueden suponer evidencias útiles para procesos judiciales. Se trata, por tanto, de un proceso útil en el ámbito de la ciberseguridad.

Qué es un análisis forense de ordenadores

Un análisis forense de un ordenador consiste en la recopilación, preservación y análisis de información contenida en el equipo para descubrir el origen de un delito. Este puede ser tanto un ataque informático, un virus, una intrusión e incluso ser necesario para dar apoyo a una investigación policial.

Durante este proceso, el forense informático debe obtener e investigar los documentos que hay almacenados en la memoria del ordenador. Para llegar a estos y poder utilizarlos como pruebas, es necesario primero realizar un análisis forense.

Proceso del análisis forense en un ordenador

Para realizar un análisis forense de un ordenador es necesario seguir una serie de pasos para asegurarse que se realiza de forma correcta y no se invalida ninguna prueba.

Máster en Riesgos Digitales y Ciberseguridad

Consigue uno de los perfiles profesionales más demandados.

Obtención de las autorizaciones necesarias

Para empezar, es imprescindible tener la autorización tanto del propietario del dispositivo como del usuario. En caso contrario, se estaría violando la privacidad de la persona y eso podría constituir un delito.

La autorización para empezar un análisis forense de un ordenador puede proceder tanto del mismo usuario como de un juez, si fuera el caso que se estuviera llevando a cabo una investigación policial.

Análisis en la escena: memoria RAM y disco duro

Una vez se han obtenido todas las autorizaciones necesarias, se puede empezar el análisis. En caso de que el dispositivo esté apagado, no se encenderá y si está encendido, no se apagará. De esta forma, nos aseguramos que no se altera absolutamente ningún elemento que pueda servir de prueba.

En un ordenador encendido se estudiará la memoria RAM. Para esto se extraerá toda la información que contiene mediante diferentes herramientas como RAM Capturer. Después, se podrá extraer y analizar con el uso de otras herramientas, como Volatility.

En el supuesto de que el dispositivo estuviera apagado, se pasaría directamente a analizar la información contenida dentro del disco duro. Para esto, será necesario copiarlo dos veces y trabajar sobre la copia de la copia. Si se trabajara sobre el disco original, se podría afectar al contenido y la prueba tendría invalidez.

Análisis de la información y documentación obtenida

El último paso sería el análisis de todos los archivos, programas, documentos e información relevante que se haya encontrado tanto en la memoria RAM como en el disco duro. También se analizarán movimientos como conexiones a Internet, conexiones de dispositivos USB, instalación de software o el encendido y apagado del ordenador.

Condiciones de un análisis forense informático

Un análisis forense de ordenadores debe poder ser auditado en cualquier momento, ya que puede llegar a un tribunal en caso de que haya habido un delito. Para asegurarse de que el procedimiento se realiza correctamente, es necesario documentar todo el proceso.

Otra de las condiciones para realizarlo es que debe ser repetible. Por ejemplo, podría ser necesario que otra persona volviera a hacer el mismo examen forense. En este caso, no se debe haber alterado ni contaminado nada de lo que se ha investigado o analizado.

Cabe añadir que un análisis forense digital debe ser reproducible, es decir, se pueda llegar a la misma conclusión con diferentes herramientas. Por último, el análisis forense de un ordenador debe ser justificable en todo momento y en todos los pasos que se siguen.

Directrices y técnicas de seguridad según la ISO 27037

La normativa ISO 27037 establece una serie de directrices que sirven para la identificación, recogida, adquisición y protección de evidencias electrónicas.

Este estándar tiene el objetivo de promover las buenas prácticas en cuanto a análisis forense de cualquier dispositivo electrónico. En especial, está pensada para facilitar el trabajo a los forenses informáticos, así como a las administraciones jurídicas que intervienen en este proceso.

Profesionales formados para realizar análisis forenses informáticos

Los forenses especializados en análisis de ordenadores y otros equipos informáticos son cada vez más demandados a nivel global. EALDE Business School ha diseñado un programa que permite a los profesionales del sector obtener los conocimientos necesarios para identificar, recoger y preservar evidencias electrónicas de cualquier dispositivo: El Máster en Informática Forense y Ciberseguridad. Al ser impartido totalmente online, este programa permite conciliar la vida personal, laboral y formativa.

Puedes obtener más información sobre el Máster en Riesgos Digitales, Ciberseguridad e Informática Forense de EALDE Business School haciendo clic en el siguiente enlace:

Te invitamos a visualizar el siguiente vídeo para profundizar en el análisis forense digital en el ámbito de la ciberseguridad:

Sobre el autor: Nuria Estruga

Nuria tiene un Máster en Marketing de la Universitat Autònoma de Barcelona y un Máster en Marketing Digital y Community Management del Instituto Internacional de Marketing. Se considera una nómada digital, y ayuda a las empresas a posicionarse en www.nuriaestruga.com
Máster en Seguros y Risk Management
Fórmate con los mejores profesionales del sector

Infórmate aquí

Ebook

Cómo la Inteligencia Artificial está revolucionando la industria del seguro (Insurtech)

Descárgalo gratis

Artículos relacionados

Principales problemas de ciberseguridad asociados a los NFTs

Principales problemas de ciberseguridad asociados a los NFTs

¿Existen problemas de ciberseguridad dentro del mundo NFTs? Al tratarse de una tecnología nueva que de por sí está incompleta y que, a su vez, se desarrolla en base a distintos estándares elaborados por diferentes organismos y entidades alrededor del mundo, la...

leer más

Síguenos en redes sociales

Sé el primero en comentar

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *