TEMA 15. RECOLECCIÓN DE EVIDENCIAS
1. IN T R O D U C C I Ó N
La Recolección de evidencias es la etapa de la gestión de un incidente previa al análisis forense propiamente dicho y se ocupa de la
adquisición de las elementos digitales y físicos que pudieran estar implicados en un incidente relacionado con la seguridad informática.
Una evidencia puede ser definida como cualquier prueba que pueda ser utilizada en un proceso legal y debe tener las siguientes
características:
− Debe ser Admisible, es decir, debe tener valor legal.
− Debe ser Auténtica, esto es, debe ser verídica y no haber sufrido manipulación alguna. Para asegurar esta característica en las
evidencias digitales deberemos computar los correspondientes resúmenes HASH para así asegurar la integridad de la
evidencia.
− Debe ser Completa y debe representar la prueba desde un punto de vista objetivo y técnico, sin valoraciones personales, ni
prejuicios.
− Debe ser Creíble, el investigador debe hacer comprensible su presentación.
− Debe ser Confiable, es decir, las técnicas utilizadas para la obtención de la evidencia no deben generar ninguna duda sobre su
veracidad y autenticidad.
Como ya se ha comentado al comienzo de esta introducción, podemos clasificar las evidencias como:
− Evidencia física: hace referencia al material informático. Ejemplo: discos duros, pendrives, etc.
− Evidencia digital: corresponde a la información almacenada en las evidencias electrónicas.
Algunos ejemplos de evidencias digitales son:
− Archivo en disco duro u otro soporte de almacenamiento permanente.
− Proceso en ejecución, que se deben recuperar de la memoria RAM del equipo.
− Log, registros que genera un software en el que detalla los resultados de un proceso u operación.
− Archivos temporales que utiliza el Sistema Operativo y otras apps para operaciones intermedias.
− Entradas de registro del S.O. (Windows, Linux, iOS, Android...)
Para proceder con la recolección de evidencias e información en incidentes de seguridad nos vamos a basar en el estándar RFC1 3227. En
este documento se recoge las directrices para la recopilación de evidencias y su almacenamiento en este tipo de incidentes y se puede
considerar como un estándar de facto ya que se utiliza ampliamente por los expertos en seguridad informática. En dicho documento se
recogen los siguientes apartados que deben ser el fundamento de la recolección de evidencias electrónicas:
− Cómo capturar una imagen informática de un dispositivo o sistema de forma precisa como sea posible.
− Realizar notas detalladas, incluyendo fechas y horas, indicando si se utiliza horario local o UTC.
− Minimizar los cambios en la información que se está recolectando y eliminar los agentes externos que puedan hacerlo.
− En el caso de enfrentarse a un dilema entre recolección y análisis elegir primero recolección y después análisis.
− Recoger la información según el orden de volatilidad (de mayor a menor).
− Tener en cuenta que por cada dispositivo la recogida de información puede realizarse de distinta manera.
1 . 1 O R D E N D E VO LA TI L ID A D
El orden de volatilidad hace referencia al período de tiempo en el que está accesible cierta información. Por este motivo se debe
recolectar en primer lugar aquella información que vaya a estar disponible durante el menor período de tiempo, es decir, aquella cuya
volatilidad sea mayor. Teniendo esto en cuenta, la siguiente lista describe el orden en el que deberemos adquirir la información en un
equipo informático, de mayor a menor volatilidad:
1. Registros y contenido de la caché del S.O.2
2. Tabla de enrutamiento, caché ARP, tabla de procesos, estadísticas del kernel, memoria.
3. Información temporal del sistema.
4. Disco.
5. Logs del sistema.
6. Configuración física y topología de la red.
7. Documentos.
1. IN T R O D U C C I Ó N
La Recolección de evidencias es la etapa de la gestión de un incidente previa al análisis forense propiamente dicho y se ocupa de la
adquisición de las elementos digitales y físicos que pudieran estar implicados en un incidente relacionado con la seguridad informática.
Una evidencia puede ser definida como cualquier prueba que pueda ser utilizada en un proceso legal y debe tener las siguientes
características:
− Debe ser Admisible, es decir, debe tener valor legal.
− Debe ser Auténtica, esto es, debe ser verídica y no haber sufrido manipulación alguna. Para asegurar esta característica en las
evidencias digitales deberemos computar los correspondientes resúmenes HASH para así asegurar la integridad de la
evidencia.
− Debe ser Completa y debe representar la prueba desde un punto de vista objetivo y técnico, sin valoraciones personales, ni
prejuicios.
− Debe ser Creíble, el investigador debe hacer comprensible su presentación.
− Debe ser Confiable, es decir, las técnicas utilizadas para la obtención de la evidencia no deben generar ninguna duda sobre su
veracidad y autenticidad.
Como ya se ha comentado al comienzo de esta introducción, podemos clasificar las evidencias como:
− Evidencia física: hace referencia al material informático. Ejemplo: discos duros, pendrives, etc.
− Evidencia digital: corresponde a la información almacenada en las evidencias electrónicas.
Algunos ejemplos de evidencias digitales son:
− Archivo en disco duro u otro soporte de almacenamiento permanente.
− Proceso en ejecución, que se deben recuperar de la memoria RAM del equipo.
− Log, registros que genera un software en el que detalla los resultados de un proceso u operación.
− Archivos temporales que utiliza el Sistema Operativo y otras apps para operaciones intermedias.
− Entradas de registro del S.O. (Windows, Linux, iOS, Android...)
Para proceder con la recolección de evidencias e información en incidentes de seguridad nos vamos a basar en el estándar RFC1 3227. En
este documento se recoge las directrices para la recopilación de evidencias y su almacenamiento en este tipo de incidentes y se puede
considerar como un estándar de facto ya que se utiliza ampliamente por los expertos en seguridad informática. En dicho documento se
recogen los siguientes apartados que deben ser el fundamento de la recolección de evidencias electrónicas:
− Cómo capturar una imagen informática de un dispositivo o sistema de forma precisa como sea posible.
− Realizar notas detalladas, incluyendo fechas y horas, indicando si se utiliza horario local o UTC.
− Minimizar los cambios en la información que se está recolectando y eliminar los agentes externos que puedan hacerlo.
− En el caso de enfrentarse a un dilema entre recolección y análisis elegir primero recolección y después análisis.
− Recoger la información según el orden de volatilidad (de mayor a menor).
− Tener en cuenta que por cada dispositivo la recogida de información puede realizarse de distinta manera.
1 . 1 O R D E N D E VO LA TI L ID A D
El orden de volatilidad hace referencia al período de tiempo en el que está accesible cierta información. Por este motivo se debe
recolectar en primer lugar aquella información que vaya a estar disponible durante el menor período de tiempo, es decir, aquella cuya
volatilidad sea mayor. Teniendo esto en cuenta, la siguiente lista describe el orden en el que deberemos adquirir la información en un
equipo informático, de mayor a menor volatilidad:
1. Registros y contenido de la caché del S.O.2
2. Tabla de enrutamiento, caché ARP, tabla de procesos, estadísticas del kernel, memoria.
3. Información temporal del sistema.
4. Disco.
5. Logs del sistema.
6. Configuración física y topología de la red.
7. Documentos.
