Unidad II

“METODOLOGÍAS PARA LA INVESTIGACIÓN EN INFORMÁTICA

FORENSE”

Informe técnico para evaluar las

actividades del saber de la materia de
Informática forense.

Ingeniería
En
Redes Inteligentes y ciberseguridad

Elaborado por:
JUAN BUSTOS PERALES

Maestro:
M.C. MARÍA AZUCENA VALLEJO CASAS

Ramos Arizpe, Coahuila 06/02/2024

1
SABER 1. Metodologías para recolección, preservación y aseguramiento de la evidencia digital
1. Elabora un gráfico que muestre los elementos básicos de la cadena de custodia de evidencias digitales
incluyendo breve descripción

Elemento de la Descripción
Cadena de
Custodia
Identificación Documentación detallada que identifica la evidencia digital, incluyendo
la hora, fecha, ubicación, y contexto.
Recolección Proceso de recolectar y preservar la evidencia digital de manera que
mantenga su integridad y autenticidad.
Etiquetado Marcado claro y único de la evidencia digital para su identificación y
rastreo durante todo el proceso.
Transporte Movimiento seguro y documentado de la evidencia digital desde el
lugar de recolección hasta su almacenamiento.
Almacenamiento Mantenimiento seguro y controlado de la evidencia digital para evitar
alteraciones, pérdidas o accesos no autorizados.
Análisis Examen detallado de la evidencia digital para extraer información
relevante sin modificar su estado original.
Presentación Exposición formal de la evidencia digital ante un tribunal u otras partes
interesadas, junto con su cadena de custodia para validar su
autenticidad e integridad.
Disposición Manejo adecuado de la evidencia digital una vez que ya no sea
necesaria, incluyendo su eliminación o almacenamiento a largo plazo.

2
2. Muestra gráficamente las etapas del procedimiento de cadena de custodia para la preservación de evidencia
digital.

3
3. Define los estándares para la localización, recolección, preservación y
aseguramiento de evidencia digital.

• ISO/IEC 27037:2012 - Directrices para identificación, adquisición y

preservación de evidencia digital:
Esta norma internacional proporciona directrices para la identificación, adquisición y
preservación de evidencia digital en investigaciones forenses. Cubre aspectos clave del
proceso de manejo de evidencia digital.

• ISO/IEC 27041:2015 - Directrices para la gestión de evidencia digital en la

cadena de custodia:
Esta norma complementa la ISO/IEC 27037 y se centra específicamente en la gestión de
la cadena de custodia de evidencia digital, asegurando la integridad y autenticidad de la
evidencia a lo largo de todo el proceso.

• NIST SP 800-86 - Guide to Integrating Forensic Techniques into Incident

Response:
Emitido por el Instituto Nacional de Estándares y Tecnología (NIST) de los EE. UU., este
documento proporciona orientación sobre la integración de técnicas forenses en la
respuesta a incidentes, incluyendo la recolección y preservación de evidencia digital.

• SWGDE Best Practices for Computer Forensics (SWGDE CFSWG Best

Practices):
El Grupo de Trabajo de Evidencia Digital del Grupo Científico de Trabajo en Delitos
(SWGDE) de los Estados Unidos emite prácticas recomendadas para la realización de
exámenes forenses en entornos computacionales.

• ASTM E2916 - Standard Practice for Forensic Digital Analysis:

Este estándar de ASTM International proporciona pautas generales para el análisis digital
forense, incluyendo la localización, recolección, preservación y análisis de evidencia
digital.

4
 • ENFSI Best Practice Manual for Computer Forensics:
El Manual de Mejores Prácticas de la Red Europea de Institutos de Ciencias Forenses
(ENFSI) para la Informática Forense ofrece directrices detalladas para la investigación
forense en el ámbito de la informática y la evidencia digital.

• SWGDE/SWGIT Guidelines & Recommendations for Training in Digital and

Multimedia Evidence:
Proporciona directrices y recomendaciones para la formación en evidencia digital y
multimedia, asegurando la capacitación adecuada de los profesionales involucrados en
la cadena de custodia.

5
4. Muestra gráficamente las etapas del proceso de recolección de evidencia digital.

Etapa Descripción
Identificación Determinar qué dispositivos o sistemas contienen la evidencia digital relevante
para la investigación.
Preservación Tomar medidas para asegurar que la evidencia digital no se vea alterada o
comprometida durante la recolección.
Adquisición Recopilar la evidencia digital de manera forense utilizando herramientas y
técnicas adecuadas.
Autenticación Verificar la integridad y autenticidad de la evidencia digital para garantizar su
validez en el proceso legal.
Análisis Examinar y procesar la evidencia digital para extraer información relevante
para la investigación.
Documentación Registrar meticulosamente todas las acciones realizadas durante el proceso de
recolección y análisis de la evidencia.
Presentación y Preparar informes detallados que documenten los hallazgos y presentar la
Reporte evidencia de manera clara y comprensible ante las partes interesadas.
Almacenamiento Mantener la evidencia digital de manera segura y adecuada para preservar su
y Gestión integridad y garantizar su disponibilidad futura.

6
5. Menciona las mejores prácticas de aseguramiento de evidencia digital y define
en que consiste.

• Documentación Detallada:
Definición: Registre de manera detallada todas las acciones realizadas durante la
recolección, manejo y preservación de evidencia.
Importancia: La documentación meticulosa proporciona un registro transparente y
verificable de todas las etapas del proceso.

• Cadena de Custodia Segura:

Definición: Implemente un sistema de cadena de custodia que asegure el control y
seguimiento continuo de la evidencia desde su descubrimiento hasta su presentación en
un tribunal.
Importancia: La cadena de custodia garantiza la integridad y autenticidad de la
evidencia, permitiendo rastrear quién ha tenido acceso en cada etapa.

• Uso de Herramientas Forenses Confiables:

Definición: Utilice herramientas y software forense confiables y bien establecidos para
la recolección y análisis de evidencia digital.
Importancia: El uso de herramientas confiables asegura la validez de los resultados y
minimiza el riesgo de alteraciones accidentales.

• Preservación de Metadatos:
Definición: Preserve los metadatos asociados a la evidencia, ya que pueden ser
cruciales para la autenticidad y contexto de los archivos digitales.
Importancia: Los metadatos proporcionan información sobre la creación, modificación y
acceso a los archivos, siendo esenciales para una investigación precisa.

• Seguridad Física y Lógica:

Definición: Asegure física y lógicamente la evidencia almacenada para prevenir accesos
no autorizados o alteraciones.

7
Importancia: La seguridad garantiza que la evidencia no sea comprometida, ya sea
mediante protección física de dispositivos de almacenamiento o mediante restricciones
de acceso lógico.
• Validación Cruzada:
Definición: Realice validaciones cruzadas utilizando múltiples métodos y herramientas
para confirmar los resultados obtenidos durante la investigación.
Importancia: La validación cruzada aumenta la confianza en los resultados y ayuda a
identificar posibles errores o discrepancias.

• Formación Continua del Personal:

Definición: Proporcione formación continua al personal involucrado en la gestión de
evidencia digital, manteniéndolos actualizados sobre las últimas técnicas y tecnologías.
Importancia: La formación continua garantiza que el personal esté al tanto de las mejores
prácticas y pueda adaptarse a los avances tecnológicos.

8
6. Define y explica las técnicas para la preservación de evidencia digital.

• Copias Bit a Bit (Bit-for-Bit):

Definición: Esta técnica implica crear una copia exacta de los datos originales,
incluyendo todos los bits y bytes sin alteraciones.
Explicación: La copia bit a bit asegura la replicación exacta de la información,
preservando la integridad y permitiendo el análisis sin modificar los datos originales.

• Imágenes Forenses:
Definición: Se trata de la creación de una imagen forense, que es una copia completa y
bit a bit de un dispositivo de almacenamiento, como un disco duro.
Explicación: Las imágenes forenses capturan no solo los archivos visibles, sino también
el espacio no asignado y los metadatos, brindando una visión completa del estado del
sistema en un momento específico.

• Sellado de Tiempo (Timestamping):

Definición: La aplicación de sellos de tiempo a los archivos y datos para registrar la fecha
y hora exactas de su creación, modificación o acceso.
Explicación: Los sellos de tiempo son esenciales para establecer la cronología de
eventos, lo que puede ser crucial en investigaciones forenses.

• Hashing:
Definición: La aplicación de funciones hash para crear valores únicos que representen
los datos. Cualquier cambio en los datos resultará en un valor hash diferente.
Explicación: Comparar los valores hash originales con los de la evidencia digital
garantiza la integridad de los datos y detecta cualquier alteración.

• Cadenas de Custodia Electrónicas (ECC):

Definición: Utilización de registros electrónicos para documentar y seguir todos los
cambios y manipulaciones de la evidencia digital.

9
Explicación: Las ECC son esenciales para demostrar la integridad y autenticidad de la
evidencia, proporcionando un historial detallado de su manipulación.

• Aislamiento y Desconexión:
Definición: Separar física o lógicamente la evidencia digital de cualquier red o conexión
para prevenir alteraciones externas.
Explicación: El aislamiento garantiza que la evidencia no esté sujeta a modificaciones
accidentales o maliciosas desde fuentes externas.

• Uso de Dispositivos de Solo Lectura:

Definición: Acceder a la evidencia utilizando dispositivos de solo lectura para evitar
cualquier escritura accidental durante el proceso de análisis.
Explicación: Evitar la escritura garantiza que la evidencia original permanezca inalterada
durante la revisión.

• Almacenamiento Seguro:
Definición: Guardar la evidencia digital en entornos seguros y controlados para prevenir
acceso no autorizado o daños físicos.
Explicación: La seguridad física del almacenamiento es crucial para mantener la
integridad y confidencialidad de la evidencia.

10
SABER 2. Metodologías para el análisis de la evidencia digital

1. Define y Explica los estándares para la interpretación de evidencia digital.

• ASTM E2917 - Standard Practice for Forensic Science Practitioner Training

in Forensic Digital Analysis:
Este estándar de ASTM International se centra en la formación de profesionales en el
análisis digital forense, incluyendo la interpretación de la evidencia digital. Proporciona
pautas para la capacitación de analistas forenses.

• SWGDE Best Practices for Computer Forensics (SWGDE CFSWG Best

Practices):
El Grupo de Trabajo de Evidencia Digital del Grupo Científico de Trabajo en Delitos
(SWGDE) de los Estados Unidos emite prácticas recomendadas, algunas de las cuales
se centran en la interpretación adecuada de la evidencia digital.

• ISO/IEC 27043:2015 - Information technology — Security techniques —

Incident investigation principles and processes:
Aunque no se enfoca exclusivamente en la interpretación, esta norma internacional
proporciona principios y procesos para la investigación de incidentes, que incluye la
interpretación de la evidencia digital.

• NIST SP 800-72 - Digital Evidence in the Criminal Justice System:

Emitido por el Instituto Nacional de Estándares y Tecnología (NIST) de los EE. UU., este
documento aborda diversos aspectos de la evidencia digital, incluyendo la interpretación
y el análisis.

• ENFSI Best Practice Manual for Computer Forensics:

El Manual de Mejores Prácticas de la Red Europea de Institutos de Ciencias Forenses
(ENFSI) ofrece orientación en el ámbito de la informática forense, incluyendo la
interpretación adecuada de la evidencia digital.

11
 • Prácticas Claves para la Interpretación de Evidencia Digital:
Contextualización:
Comprender el contexto en el que se recopiló la evidencia es crucial para una
interpretación precisa. Esto puede incluir detalles sobre el entorno, usuarios involucrados
y eventos relacionados.

• Validación Cruzada:
La validación cruzada de resultados a través de diversas técnicas y herramientas ayuda
a asegurar la fiabilidad de la interpretación.

• Análisis de Metadatos:
Los metadatos asociados a la evidencia pueden proporcionar información valiosa sobre
la creación, modificación y acceso a los archivos, contribuyendo a la interpretación.

• Registro Detallado:
Documentar de manera detallada el proceso de interpretación, incluyendo suposiciones,
métodos y conclusiones, contribuye a la transparencia y verificabilidad del análisis.

• Conformidad con la Cadena de Custodia:

Garantizar que la interpretación se realice de manera coherente con los principios de la
cadena de custodia, manteniendo la integridad de la evidencia digital.

12
2. Elabora un diagrama con las etapas del proceso de análisis de evidencia digital.

13
SABER 3. Documentación y redacción de reportes de Informática Forense

1. Define los estándares para la interpretación de evidencia digital.

• ISO/IEC 27043:2015 - Information technology — Security techniques —

Incident investigation principles and processes:
Esta norma internacional proporciona principios y procesos para la investigación de
incidentes, lo que incluye la interpretación de la evidencia digital. Se centra en la gestión
de incidentes de seguridad de la información.

• SWGDE Best Practices for Computer Forensics (SWGDE CFSWG Best

Practices):
El Grupo de Trabajo de Evidencia Digital del Grupo Científico de Trabajo en Delitos
(SWGDE) emite prácticas recomendadas que abordan diversos aspectos de la
informática forense, incluyendo la interpretación de evidencia digital.

• ASTM E2917 - Standard Practice for Forensic Science Practitioner Training

in Forensic Digital Analysis:
Esta norma de ASTM International se enfoca en la formación de profesionales en el
análisis digital forense, lo que incluye la interpretación de datos digitales.

• NIST SP 800-72 - Digital Evidence in the Criminal Justice System:

Emitido por el Instituto Nacional de Estándares y Tecnología (NIST) de los EE. UU., este
documento proporciona pautas para la gestión y el análisis de evidencia digital,
incluyendo aspectos de interpretación.

• ENFSI Best Practice Manual for Computer Forensics:

El Manual de Mejores Prácticas de la Red Europea de Institutos de Ciencias Forenses
(ENFSI) ofrece orientación general sobre la informática forense, incluyendo aspectos
relacionados con la interpretación de evidencia digital.

14
2. Define y Explicar los elementos básicos de un informe técnico de análisis
forense.

• Portada:
Descripción: Página inicial que contiene información básica, como el título del informe,
el nombre del analista forense, la fecha y cualquier otra información de identificación.
Importancia: Proporciona detalles esenciales para la identificación del informe.

• Resumen Ejecutivo o Resumen:

Descripción: Un breve resumen que destaca los objetivos de la investigación, los
hallazgos clave y las conclusiones.
Importancia: Brinda a los lectores una visión general rápida y facilita la comprensión de
los resultados principales.

• Índice:
Descripción: Una lista detallada de los temas y secciones del informe junto con las
páginas correspondientes.
Importancia: Facilita la navegación y la búsqueda de información específica dentro del
informe.

• Introducción:
Descripción: Presentación del contexto de la investigación, incluyendo el propósito, el
alcance y los objetivos del análisis forense.
Importancia: Establece la base para comprender la razón detrás de la investigación y
sus metas.

• Información de la Evidencia:
Descripción: Detalles sobre la evidencia digital recolectada, incluyendo la fuente, la
descripción de los dispositivos, y cualquier información relevante sobre la cadena de
custodia.

15
Importancia: Proporciona contexto sobre la naturaleza de la evidencia y su origen.

• Metodología de Análisis:
Descripción: Descripción de los métodos y técnicas utilizados en el análisis forense,
incluyendo herramientas específicas y enfoques empleados.
Importancia: Ofrece transparencia sobre el proceso de análisis y valida la credibilidad
de los resultados.

• Resultados y Hallazgos:
Descripción: Detalles sobre los descubrimientos clave, anomalías, patrones y cualquier
otra información relevante obtenida durante el análisis.
Importancia: Constituye la esencia del informe, presentando la evidencia digital y
respaldando las conclusiones.

• Discusión:
Descripción: Un análisis más profundo de los hallazgos, interpretando la evidencia y
discutiendo su significado en relación con los objetivos de la investigación.
Importancia: Proporciona un contexto más amplio y ayuda a los lectores a comprender
la relevancia de los hallazgos.

• Conclusiones:
Descripción: Resumen de los resultados clave y las implicaciones de la investigación.
Importancia: Ofrece una síntesis clara de los resultados y puede incluir
recomendaciones para acciones futuras.

• Referencias y Fuentes:
Descripción: Lista de todas las fuentes de información.

16
Importancia: Permite la verificación y replicación de los procedimientos utilizados en el
análisis.

• Anexos o Apéndices:
Descripción: Información adicional que respalda los hallazgos, como capturas de
pantalla, scripts utilizados, registros de herramientas, etc.
Importancia: Proporciona detalles adicionales para aquellos que deseen explorar más a
fondo ciertos aspectos del análisis.

17
3. Define y Explicar los elementos básicos de un informe ejecutivo de análisis
forense

• Resumen Ejecutivo:
Descripción: Un resumen breve y claro de los hallazgos más importantes y las
conclusiones del análisis forense.
Importancia: Proporciona una visión rápida de la situación sin la necesidad de
profundizar en detalles técnicos.

• Objetivos y Alcance:
Descripción: Definición clara de los objetivos y el alcance de la investigación forense.
Importancia: Contextualiza la razón detrás del análisis y establece las expectativas para
los lectores.

• Evidencia Destacada:
Descripción: Presentación de la evidencia más relevante y significativa, destacando los
aspectos clave.
Importancia: Permite a los tomadores de decisiones comprender rápidamente la
naturaleza de la evidencia.

• Riesgos y Amenazas Identificadas:

Descripción: Resumen de los riesgos de seguridad o amenazas identificadas durante el
análisis forense.
Importancia: Ayuda a los líderes a comprender los posibles impactos y tomar decisiones
informadas sobre la mitigación.

• Conclusiones y Recomendaciones:
Descripción: Presentación de las conclusiones derivadas del análisis, junto con
recomendaciones para acciones futuras.
Importancia: Proporciona orientación sobre posibles medidas correctivas o preventivas.

18
 • Resumen de Actividades:
Descripción: Descripción general de las actividades llevadas a cabo durante el análisis
forense.
Importancia: Ofrece una visión general de los esfuerzos y recursos dedicados a la
investigación.

• Impacto en el Negocio:
Descripción: Evaluación del impacto potencial en las operaciones y la reputación del
negocio.
Importancia: Ayuda a los líderes a comprender la relevancia y la importancia estratégica
de los hallazgos.

• Lecciones Aprendidas:
Descripción: Identificación de lecciones aprendidas durante el proceso de análisis
forense.
Importancia: Facilita la mejora continua y ayuda a prevenir incidentes futuros.

• Recomendaciones de Mejora:
Descripción: Sugerencias para mejorar los procedimientos, políticas o prácticas de
seguridad basadas en los hallazgos del análisis.
Importancia: Contribuye a fortalecer la postura de seguridad y la resiliencia ante futuros
incidentes.

• Pasos a Seguir:
Descripción: Instrucciones claras y concisas sobre los pasos a seguir, incluyendo las
acciones inmediatas y a largo plazo.
Importancia: Facilita la implementación de medidas correctivas y preventivas.

19
 • Contactos de Referencia:
Descripción: Información de contacto para preguntas adicionales o aclaraciones.
Importancia: Facilita la comunicación entre los responsables del informe y otros
interesados.

20