¿Por dónde empiezo mi Pericial Informática?
Lo primero que tienes que saber para hacer una Pericial Informática, es, que debes preparar una hoja de encargo, donde establecerás los límites del servicio a prestar, y también el fin del encargo.
Firmado este documento por ambas partes (el Cliente y el Prestador del Servicio, tú), se recomienda siempre, formalizar la cadena de custodia, que asegurará, que la prueba que vas a analizar para tu informe Pericial, no va a ser alterada ni manipulada, ni por ti, ni por terceros.
Siempre debemos trabajar, sobre una copia de la prueba origen, en el caso de un disco duro, pendrive, etc, siempre realizaremos una COPIA EXACTA del dispositivo original, que una vez realizada, lo guardaremos en lugar seguro, embolsado y debidamente etiquetado, y solo volveremos a utilizar (para hacer una nueva copia) cuando sea solicitado, de forma formal, por alguna de las partes implicadas en el caso (juzgados, fuerzas de seguridad del estado, la parte imputada…)
«SOLO HAREMOS USO de la Evidencia Original, para realizar el CLONADO que posteriormente analizaremos»
«NUNCA realizaremos el ANÁLISIS SOBRE LAS EVIDENCIAS ORIGINALES»
Clonado de Evidencias Digitales para una Pericial Informática
Existen diferentes softwares, que realizan clonados de dispositivos, como los softwares de COPIAS DE SEGURIDAD. Para decidir que software es mejor, debemos tener en cuenta que la copia que el HASH de la copia que realicemos debe coincidir con el HASH del disco/prueba clonado/a, por lo que la copia tendrá que realizarse bit a bit.
Yo, en mis casos, utilizo comandos Linux para realizar los clonados y obtención del HASH con el mismo comando.
Ejemplo:
“ddc3dd if=/dev/origen of=/dev/destino hash=sha256 hlog=hash.log log=err.log”
Análisis de Evidencias Clonadas de una Pericial Informática
Dependiendo del tipo de pericia a realizar, el análisis varía. No es lo mismo analizar unas imágenes, que el contenido de unos Whatsapp, o la reconstrucción de los movimientos realizados por un usuario desde un equipo informático.
Como ya sabes, el hash identifica de forma única un fichero digital, por ello es importante siempre obtener el hash de cada evidencia digital a analizar (documentos de Word, Excel, Imágenes…), siempre con el fin de poder demostrar que ese fichero analizado, de esa copia clonada, coincide con el existente en la Evidencia Digital Original que se encuentra en custodia.
En el caso de los Whatsapp, NO SON ADMITIDOS como PRUEBA cuando se adjuntan en los informes como una CAPTURA DE IMAGEN, por lo que es necesario utilizar herramientas especializadas, como pej Cellebrite, software, de extracción de datos de dispositivos móviles (Andoid y IPhone).
Si lo que se nos solicita, es un informe sobre el uso de un equipo informático, de un usuario concreto, tendremos que obtener los datos de navegación del usuario, aplicaciones utilizadas, borado de archivos etc… para ello haremos uso de herramientas como Autopsy o similar.
Tec. Sup. Administración Sistemas Informáticos ● Perito Forense Informático ● Experto en Ciberseguridad y ENS ● Periciales Forenses Informáticas ● Consultoría, Asesoramiento Informático ● Gestión de la Información de Privacidad (ISO 27701) ● Administración de Redes Informáticas ● Seguridad Informática ● PenTesting ● LOPDGDD / Protección de Datos ● Desarrollo Web ● Borramos tu info de la Red ● Adaptación Legal WEB ● Esquema Nacional de Seguridad ● Agente Digitalizador ● Plataforma para la Protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (Ley 2/2023) ● Auditorías Informáticas ● Compliance Legal Dejanos tu mensaje y te contestaremos lo antes posible
Victor Martinez Tarin
Mi Currículum
Contacta con Nosotros
Enlaces de interés para el internauta
 |
 |
 |
 |
|---|