Page Loader

¿Por dónde empiezo mi Pericial Informática?

 

Pericial Informática

Lo primero que tienes que saber para hacer una Pericial Informática, es, que debes preparar una hoja de encargo, donde establecerás los límites del servicio a prestar, y también el fin del encargo.

 

Firmado este documento por ambas partes (el Cliente y el Prestador del Servicio, tú), se recomienda siempre, formalizar la cadena de custodia, que asegurará, que la prueba que vas a analizar para tu informe Pericial, no va a ser alterada ni manipulada, ni por ti, ni por terceros.

 

Siempre debemos trabajar, sobre una copia de la prueba origen, en el caso de un disco duro, pendrive, etc, siempre realizaremos una COPIA EXACTA del dispositivo original, que una vez realizada, lo guardaremos en lugar seguro, embolsado y debidamente etiquetado, y solo volveremos a utilizar (para hacer una nueva copia) cuando sea solicitado, de forma formal, por alguna de las partes implicadas en el caso (juzgados, fuerzas de seguridad del estado, la parte imputada…)

 

 

«SOLO HAREMOS USO de la Evidencia Original, para realizar el CLONADO que posteriormente analizaremos»

 

«NUNCA realizaremos el ANÁLISIS SOBRE LAS EVIDENCIAS ORIGINALES»

Clonado de Evidencias Digitales para una Pericial Informática

Existen diferentes softwares, que realizan clonados de dispositivos, como los softwares de COPIAS DE SEGURIDAD. Para decidir que software es mejor, debemos tener en cuenta que la copia que el HASH de la copia que realicemos debe coincidir con el HASH del disco/prueba clonado/a, por lo que la copia tendrá que realizarse bit a bit.

Yo, en mis casos, utilizo comandos Linux para realizar los clonados y obtención del HASH con el mismo comando.

Ejemplo:

“ddc3dd if=/dev/origen  of=/dev/destino hash=sha256 hlog=hash.log log=err.log”

Análisis de Evidencias Clonadas de una Pericial Informática

 

Pericial InformáticaDependiendo del tipo de pericia a realizar, el análisis varía. No es lo mismo analizar unas imágenes, que el contenido de unos Whatsapp, o la reconstrucción de los movimientos realizados por un usuario desde un equipo informático.

 

Como ya sabes, el hash identifica de forma única un fichero digital, por ello es importante siempre obtener el hash de cada evidencia digital a analizar (documentos de Word, Excel, Imágenes…), siempre con el fin de poder demostrar que ese fichero analizado, de esa copia clonada, coincide con el existente en la Evidencia Digital Original que se encuentra en custodia.

 

En el caso de los Whatsapp, NO SON ADMITIDOS como PRUEBA cuando se adjuntan en los informes como una CAPTURA DE IMAGEN, por lo que es necesario utilizar herramientas especializadas, como pej Cellebrite, software, de extracción de datos de dispositivos móviles (Andoid y IPhone).

 

Si lo que se nos solicita, es un informe sobre el uso de un equipo informático, de un usuario concreto, tendremos que obtener los datos de navegación del usuario, aplicaciones utilizadas, borado de archivos etc… para ello haremos uso de herramientas como Autopsy o similar.