TC10-04GEN norma mexicana NMX-I-289-NYCE-2016

Coloca el cursor sobre de los objetos interactivos para ver más información.

Norma mexicana NMX-I-289-NYCE-2016

Esta norma mexicana proporciona las actividades básicas del cómputo forense que se deben desarrollar para cumplir y estar en la posibilidad de presentar un documento que pueda ser aceptado en un procedimiento legal, dichas etapas se presentan en la figura 1 que a continuación se muestra:

Forense digital

identificación

Adquisición

Inspección y análisis

Presentación

Etapa de identificación

De acuerdo a esta norma, el proceso forense inicia con la identificación del incidente. En esta etapa se debe documentar el tipo, fecha y hora del incidente, la hipótesis sobre el incidente y problemática causada por el incidente, el equipo involucrado, las acciones a tomar y las consideraciones operativas, legales y especiales sobre el equipo. Una vez realizada la identificación del incidente, se deben realizar las acciones necesarias para garantizar que las pruebas no sean alteradas durante su adquisición, transportación y custodia. Para lograr esto se debe iniciar con la cadena de custodia. Se debe contar con los formatos adecuados para documentar la posesión inicial del medio de prueba. Algunos de los datos serán fecha, hora y lugar de recolección, datos generales y firma del primer responsable de la custodia, características generales del medio de prueba como marca, modelo, número de serie, capacidad, etc. En caso de realizar una copia, se tendrá que incluir la función hash.

Forense digital

Etapa de identificación

Es importante considerar que cada vez que sea transferida la prueba, se debe registrar fecha, hora y datos de la persona quien recibe, así como las firmas respectivas de quien entrega y recibe.En esta primera etapa también es posible tener la necesidad ya sea de almacenar la prueba o transportarla y/o empacarla. Se debe poner atención para garantizar las condiciones óptimas de humedad y temperatura, así como la custodia y seguridad de la evidencia. En caso de requerir empacarla y transportarla, se debe documentar, fotografiar y cuidar que en todo momento esté fuera del alcance de campos magnéticos y procurar en la medida de lo posible, el menor tiempo de transporte. Finalmente, debemos recordar que todo lo anterior debe citarse en la cadena de custodia.

Forense digital

Adquisición de pruebas o evidencia digital

Como primer punto es necesario realizar la preparación de las herramientas necesarias, para esto se debe contar con un procedimiento de operación estándar para la preparación de los equipos y herramientas que serán utilizados para el proceso de adquisición de la evidencia digital, posteriormente es necesario contar con medios de almacenamiento previamente sanitizados en los cuales almacenar la evidencia digital. Teniendo las herramientas y medios de almacenamientos reparados, es posible realizar la copia forense de las unidades de almacenamiento que se requieran, para esto es importante considerar los siguientes puntos:

Una vez que se tienen solventados los puntos anteriores es posible iniciar con el proceso de generación de copias forenses

Forense digital

Documentación de las condiciones en las cuales se recibe la evidencia

Evitar contaminar la evidencia para garantizar la cadena de custodia

Preparar herramientas para la adquisición de datos y las necesarias para evitar daño físico o lógico de la evidencia, dentro de estas se identifican de forma importante los bloqueadores de escritura

Inicio del proceso de generación de copias forenses

El estado del dispositivo o medio del cual se pretende obtener una copia forense es de gran importancia, la copia forense debe ser realizada en condiciones óptimas que garanticen la integridad de la evidencia, es importante considerar la fijación fotografía y el registro de toda actividad realizada y de los datos que identifican a cada dispositivo o medio.

Imagen de disco a disco

Imagen de disco a archivo

copias forenses con sistemas virtuales

Copias forenses HOT

Recolección de evidencia lógica volátil

Copias forencies de archivos o carpetas

Forense digital

Inspección y análisis de la evidencia digital

Esta etapa consiste en preparar y documentar todo lo necesario para el análisis de la evidencia. Para el análisis se debe tener en cuenta que cada acción tomada sobre la evidencia debe quedar documentada con el propósito de garantizar una adecuada cadena de custodia, así como la integridad de la evidencia. Es importante que antes de iniciar con el análisis de información contenida en una copia forense, se verifique que la información adquirida y la información que se analizará sea la misma, esto se realiza por medio de las funciones hash. Para iniciar se debe construir una línea de tiempo que permita asociar el orden de ocurrencia de eventos en el equipo, por ejemplo, se deben obtener y analizar las etiquetas de fecha y hora que existen en los metadatos del sistema de archivos. Se debe revisar también el registro del sistema y los registros de las aplicaciones que pueden estar en ejecución. El siguiente paso consiste en el análisis de archivos. Este análisis puede ser con distintos tipos de archivos, por ejemplo, archivos comprimidos, cifrados, protegidos con contraseñas o incluso realizar procesos de esteganografía a archivos que pudieran contener información oculta.

Forense digital

Inspección y análisis de la evidencia digital

La información que se considere relevante para la investigación debe ser analizada a detalle siguiendo las siguientes acciones: revisar los nombres de los archivos, tamaño de los archivos, examinar su contenido, identificar el sistema operativo, revisar el historial de internet y redes sociales es muy importante, examinar la configuración y perfiles de los usuarios del equipo de cómputo, analizar la información que se encuentre eliminada y en caso de ser necesario, realizar respaldos de los dispositivos móviles.Finalmente, se debe identificar al o los usuarios que han creado, modificado o accedido a uno o más archivos. El objetivo es determinar la propiedad, autoría y el reconocimiento de posesión de los datos cuestionados en el contexto de la investigación, así como determinar si alguna modificación ha sido un intento para evitar alguna detección importante en el contexto de la investigación. Es importante también verificar si el contenido de los archivos y sus metadatos incluyen datos sobre el autor

Forense digital

Presentación de resultados y elaboración del informe

El informe de las actividades realizadas y los resultados obtenidos debe ser muy breve. El informe debe considerar al menos los siguientes elementos:

Se deben elaborar al menos dos tipos de informes. Uno dirigido al personal que no es especialista en el área de cómputo forense y el cual deberá mostrar de una manera clara y sencilla los hallazgos encontrados y el otro dirigido a especialistas el cual deberá ser un informe técnico y detallado.

Forense digital

Datos de quien presenta el informe y hacia quien va dirigido

Número de caso o estudio.

Evento analizado e hipótesis

Contexto de la investigación

Objetivo y alcances de la investigación

Personal que realizó las actividades

Resumen ejecutivo de la investigación

Herramientas utilizadas

Evidencias procesadas

Hallazgos encontrados

Conclusiones

En este tipo de copia se considera realizar el procedimiento apoyados de un sistema operativo virtual con la finalidad de realizar la copia forense

Este tipo de adquisiciones se conocen como un “Clon forense” del medio de almacenamiento, su principal característica es que la información obtenida puede ser visualizada tal como se observa el origen de los datos

En algunas ocasiones no es posible realizar la adquisición total del medio de almacenamiento, por lo que se procede a una adquisición lógica, esto es, únicamente de archivos o carpetas de interés

Se realiza ejecutando una herramienta en el equipo encendido y se proceder a realizar la copia forense

Cuando el equipo se encuentra encendido es posible realizar un volcado de memoria, este tipo de adquisición es importante ya que proporciona información relevante como puede ser: Procesos en ejecución; Conexiones activas; Archivos mapeados; y Objetos en memoria.

El resultado de este procedimiento permite obtener un archivo o conjunto de archivos en diversos formatos cuyo contenido puede ser analizado únicamente con software forense