Evidencia Digital
Es aquella información que se encuentra sujeta a una intervención humana u otra semejante y se encuentra almacenada o ha sido extraída de un medio informático.
Caracteristicas de la Evidencia Digital:
Volátil: Que cambia o varía con facilidad y de forma poco previsible
Anónima: Que es de autor desconocido.
Duplicable: Se puede copiar muchas veces.
Alterable y Modificable: Puede manipularse.
Eliminable: Se puede perder del todo.
Fuentes de Evidencia Digital:
Computadores personales
Memorias USB
MicroSD
Disco Duros externos
Tarjetas SIM
Servidores
Terminales móviles
Discos duros virtuales (VHD)
DVR
Memorias RAM (Datos volátiles)
CD, DVD y/o Blu-Ray
Elementos Básicos para Recolección de Evidencia Digital (Campo)
Guantes de látex o antiestáticos
Juego de destornilladores
Cámara fotográfica con memoria
Unidades de almacenamiento como CD, DVD, Blu-Ray, memorias USB o Disco Duro (tenga en cuenta que estos dispositivos quedan bajo cadena de custodia si se llegaran a usar)
Equipo de cómputo portátil
Manilla antiestática
Unidad externa de DVD y/o Blu-Ray
Software forense para realizar imágenes forenses y recolección de datos volátiles (FTK Imager, WinAudit, DumpIt, Volatility, etc..)
Marcador y lapicero
Bolsas antiestáticas
Buenas Practicas de Recolección de Evidencia Digital
Recolectar instrucciones de uso, manuales y notas que se encuentren alrededor del dispositivo, pueden ser contraseñas que servirán.
Documente fotográficamente (evite usar el flash) el estado en que se encuentra el equipo, si está encendido o apagado, la fecha y hora que registra, las conexiones físicas que tiene el equipo, las aplicaciones que esta ejecutando.
Si es un equipo de computo, identificar la cantidad de discos en la sección “Este Equipo y/o administración de discos”, ya que puede existir un disco duro virtual, de la nube o con BitLocker, el cual se le debe realizar una imagen forense lógica.
Cuando se trata de equipos de computo y se encuentra encendido, se debe realizar una recolección de datos volátiles lo más rápido posible.
Cuando se trata de una torre de cómputo, lo mejor es retirar el disco duro y embalarlo, si es un equipo todo en uno embalarlo completamente con su cable de energía.
Si es un terminal móvil debe colocarlo en modo avión y apagarlo, de lo contrario retirar la tarjeta SIM para evitar que se siga conectando a la red.
Si realizó alguna imagen lógica, física o recolección de datos volátiles debe plasmar el hash obtenido en el Informe correspondiente.