Centro de Investigación e Innovación en

Tecnologías de la Información y Comunicación

Actividad 2A. Reporte: Informática e investigación forense.

Materia: Informática forense.
Profesor: Pablo Corona Fraga.
Alumno: Jorge Arturo Pantoja Barroso.
Metodologías para análisis forense

Una investigación forense se conforma por diversas etapas en las cuales se

describen procedimientos a seguir, aspectos tecnológicos y legales, por lo que es
de vital importancia la existencia de una Metodología de Análisis Forense Integral
que cubra las necesidades de cada organización. A continuación, se exponen 3
modelos ampliamente usados y difundidos en todo el mundo:

1. El departamento de justicia de los Estados Unidos publicó la guía “Electronic

Crime Scene Investigation: A Guide for First Responders, Second Edition”1, la
cual tiene como objeto asistir a los equipos de primera respuesta los cuales son
los responsables de la identificación, recopilación, adquisición y protección de la
evidencia digital. Esta guía cubre las fases de:
I. Documentación de la escena: abarca las actividades de fijación
fotográfica y etiquetado de la evidencia que permita recrear la escena
posteriormente. La documentación debe incluir el tipo, localización,
posición de los equipos, componentes, periféricos, etc.
II. Recopilación de evidencia: de manera que se mantenga la integridad de
la evidencia, el equipo de primera respuesta debe documentar todas las
actividades en los computadores, periféricos, etc.; también proporciona
guías para el tratamiento de los equipos cuando estos estén encendidos
o apagados.
III. Preservación de la evidencia: al ser la evidencia digital frágil por
naturaleza, se requiere un proceso para el empaquetado que incluya
elementos como documentado, etiquetado e inventario y uso de paquetes
antiestáticos; en cuanto al transporte, considerar que la evidencia digital
no debe ser expuesta a campos magnéticos y siempre hacer uso de la
cadena de custodia de toda la evidencia trasportada.

1 Ochoa Arévalo, Paúl, El tratamiento de la evidencia digital, una guía para su adquisición y/o
recopilación, Revista Economía Y Política, No. 28, Universidad de Cuenca, Ecuador, 2018, pp. 35–
44, disponible en: https://publicaciones.ucuenca.edu.ec/ojs/index.php/REP/article/view/1864.
2. Metodología NIST.
Esta metodología2 es enfocada al análisis forense de evidencia digital, la meta
principal del análisis forense es el obtener una mejor comprensión del caso a
investigar, encontrando y analizando los hechos relacionados a este caso. El
análisis forense puede ser necesario en diferentes situaciones, tales como la
recopilación de evidencia para los procedimientos judiciales y medidas
disciplinarias internas, ayudando en el manejo de incidentes relacionados con
código malicioso (malware) y problemas operativos. Independientemente de las
necesidades, el proceso de análisis forense de acuerdo al NIST debe realizarse
en cuatro etapas, los detalles precisos de estas etapas pueden variar en relación
al requerimiento del análisis forense; las políticas organizacionales, directivas y
procedimientos, indicando así, las variaciones de cada etapa.
El proceso forense transforma los medios en evidencia, donde la evidencia es
necesaria para las autoridades o para uso interno de las organizaciones. La
primera transformación ocurre cuando se examinan los datos recolectados y se
convierten a un formato que es compatible con las herramientas forenses,
después los datos se transforman en información a través del análisis y
finalmente la transformación de la información en evidencia se da en forma
análoga a la acción de transferir el conocimiento, usando la información
producida por el análisis en una o más formas durante la etapa de reporte.

3. ISO 27037:2012 Guidelines for identification, collection, acquisition, and

preservation of digital evidence (ISO, 2012).

Es un documento3 que proporciona pautas para actividades específicas en el

manejo de evidencia digital, que son la identificación, recopilación, adquisición y
preservación de evidencia digital potencial que puede tener valor probatorio.

2 Pacheco, Julián, Recomendaciones para análisis forense en red, “Sección de estudios de posgrado
e investigación”, Instituto Politécnico Nacional, México, 2009, p11., disponible en:
https://eujournal.org/index.php/esj/article/viewFile/10956/10493
3 Comité técnico: ISO/CEI JTC 1/SC 27 Seguridad de la información, ciberseguridad y protección de

la privacidad, ISO/CEI 27037:2012, Tecnología de la información. Técnicas de seguridad. Directrices

para la identificación, recopilación, adquisición y conservación de pruebas digitales, disponible en:
https://www.iso.org/standard/44381.html
Brinda orientación a las personas con respecto a situaciones comunes encontradas
a lo largo del proceso de manejo de evidencia digital y ayuda a las organizaciones
en sus procedimientos disciplinarios y en facilitar el intercambio de evidencia digital
potencial entre jurisdicciones.

I. Identificación. - involucra el reconocimiento y documentación de evidencia

digital, se pone énfasis en la consideración del orden de volatilidad de
manera que se proteja la evidencia.
II. Recopilación de evidencia.- consiste en remover la evidencia de su origen
a laboratorio o sitio seguro. Es importante considerar si el equipo se
encuentra encendido o apagado, de manera que se tomen en
consideración las actividades a ser ejecutadas y las herramientas a ser
usadas.
III. Adquisición. - es realizar una imagen (copia) de los dispositivos que
mantienen evidencia digital, se establecen las actividades y herramientas
de manera que el proceso sea lo menos intrusivo y finalmente se debe
mantener la documentación completa.
IV. Preservación. - involucra la salvaguarda de la potencial evidencia digital,
la preservación debe mantenerse durante todo el proceso. Uno de los
componentes claves dentro del proceso es la cadena de custodia la cual
inicia las actividades de adquisición y/o recopilación.

En México tenemos el "Protocolo de actuación para la obtención y tratamiento de

recursos informáticos y/o evidencias digitales”, que fuera expedido mediante
acuerdo general y publicado en el diario oficial de la federación el 17 de junio del
2016.

Protocolo el cual contiene la serie de actuaciones, los métodos y procedimientos

que deben seguirse puntualmente para controlar el cuándo, cómo y dónde se debe
obtener la prueba, así como el recurso informático y/o evidencia digital, qué se debe
hacer con ellos, cómo se deben analizar y quién debe resguardarlos. Las siguientes
son las fases que contiene este protocolo:
 1) Procedencia.
2) Inspección, Detección, Aseguramiento Y Documentación.
3) Recolección
4) Registro
5) Embalaje
6) Traslado Y Entrega Para Análisis
7) Desembalaje
8) Análisis E Informes
9) Almacenamiento En El Lugar De Resguardo
10) Traslado Para La Presentación De Los Recursos Informáticos Y/O
Evidencia Digital Como Material Probatorio
11) Destino Final

De las distintas bibliografías consultadas referentes a la aportación de información

en el análisis forense digital se pueden encontrar algunas coincidencias que se
pueden tomar como sustento para establecer las fases de una metodología de
análisis forense en redes de cómputo. Tales fases son las siguientes:

• Identificación del incidente.

• Recolección y Preservación de la evidencia.
• Evaluación de los datos.
• Análisis de la información.
• Reporte de resultados.
Referencias

• Comité técnico: ISO/CEI JTC 1/SC 27 Seguridad de la información,

ciberseguridad y protección de la privacidad, ISO/CEI 27037:2012,
Tecnología de la información. Técnicas de seguridad. Directrices para la
identificación, recopilación, adquisición y conservación de pruebas digitales,
disponible en: https://www.iso.org/standard/44381.html.

• Ochoa Arévalo, Paúl, El tratamiento de la evidencia digital, una guía para su

adquisición y/o recopilación, Revista Economía Y Política, No. 28,
Universidad de Cuenca, Ecuador, 2018, pp. 35–44, disponible en:
https://publicaciones.ucuenca.edu.ec/ojs/index.php/REP/article/view/1864.

• Pacheco, Julián, Recomendaciones para análisis forense en red, “Sección

de estudios de posgrado e investigación”, Instituto Politécnico Nacional,
México, 2009, p11., disponible en:
https://eujournal.org/index.php/esj/article/viewFile/10956/10493.
Referencias

• Hidalgo Cajo Iván Mesías, et. al, “Metodología para el análisis forense de
evidencias digitales”, Informática forense, La Caracola Editores, Ecuador,
2018, p. 18, disponible en:
https://aulavirtual.infotec.mx/pluginfile.php/58970/mod_bootstrapelements/in
tro/Informatica%20Forense.pdf

• Instituto de Medicina Forense de la Universidad Veracruzana”, Vol. 3, Núm.

2, México, 2018, p. 5, disponible en:
https://revmedforense.uv.mx/index.php/RevINMEFO/article/view/2554/pdf.