Las fases de un informe forense - Forensics
Algunas o todas las siguientes actividades se pueden realizar para realizar un informe forense: identificación, adquisición y conservación, análisis, informes.
La actividad de identificación consiste en reconocer cuáles podrían ser las fuentes de origen de los datos.
Es una fase menos trivial de lo que se podría pensar, de hecho la cantidad de dispositivos digitales capaces de contener información está aumentando cada vez más, ya sean sistemas de respaldo de diseño o dispositivos IOT, como smartwatches, brazaletes inteligentes, etc.
La actividad de adquisición y preservación forense en primer lugar presenta dos escenarios distintos:adquisición "en vivo" de un sistema ya encendido y la adquisición de un sistema digital apagada. Si el sistema está encendido, se deben utilizar tecnologías capaces de recoger las llamadas "evidencias volátiles", como memorias, procesos activos y conexiones, usuarios registrados ... que se pierden cuando se apaga el sistema. En esta fase, el técnico también se encargará de utilizar las funciones de Cálculo hash (MD5, SHA256 por ejemplo) para demostrar que el hallazgo de origen coincide con la copia digital utilizada para el informe forense, garantizando también su repetibilidad.
Una vez realizadas todas las operaciones preliminares, puede continuar con la actividad fundamental de un informe forense: análisis. En esta fase, el experto forense utiliza sus conocimientos informáticos y varios programas de software para extraer datos eliminados, crear líneas de tiempo, buscar palabras clave e identificar rastros digitales.
