El análisis forense digital, también llamado informática forense o cómputo forense, involucra la identificación, preservación y obtención de la información contenida en las particiones de un disco duro (o de una unidad de estado sólido) y en las tarjetas de memoria de un medio o dispositivo informático; su análisis y documentación, bajo ciertos procedimientos operativos. Éstos suelen abarcar las siguientes cuestiones: Responsabilidades (del supervisor y de los examinadores); el exámen de las pruebas (autoridad legal, cadena de custodia, seguridad, equipos y materiales); ciertas consideraciones especiales; la prueba, su manipulación e inventario; y el análisis.-

Las etapas del análisis forense digital

: 1º) La identificación y el registro temporal de las personas que tienen acceso y trabajan sobre la evidencia (cadena de custodia o evidencia); 2º) La identificación del dispositivo examinado (ello determinará la relación entre el mismo y los datos obtenidos y posibilitará la búsqueda de las herramientas adecuadas para efectuar el análisis forense); la indicación de su estado (encendido o apagado) al comienzo de la investigación; la fecha y hora del sistema; el tiempo de encendido; la rotulación e identificación de los elementos informáticos a analizar y la indicación de las herramientas que se utilizarán (versiones y limitaciones de las mismas); 3º) La preparación de copias de los dispositivos de almacenamiento de datos (copias "bit a bit", también llamadas imágenes forense o espejo), correctamente identificadas, accesibles en modo de sólo lectura (para ello se utilizan bloqueadores de escritura de hardware). La integridad de los datos se verificará a través de la obtención y comparación de los valores de "hash"; 4º) El examen de la evidencia digital (se trate de archivos .log; una cookie; archivos temporales, etc.), con el fin de recuperar los datos relevantes para la investigación (informe del dispositivo; registro de llamadas; mensajes SMS y de correo electrónico; información de calendario; archivos de usuario -fotos, vídeos, música, documentos, etc., sean de fácil acceso o recuperados-; cadenas de caracteres; información de Bluetooth); 5º) El análisis de la información recuperada, tendiente a obtener aquéllos elementos que puedan constituir prueba o evidencia electrónica para el caso en cuestión (cuando se trate de una pericia informática, el examen y el análisis de la evidencia deberá enfocarse en los puntos de pericia); y 6º) La presentación de un informe o reporte, dónde se describirá el proceso de adquisición de pruebas, se detallarán los procedimientos seguidos, las acciones llevadas a cabo, los resultados obtenidos y las conclusiones.-

A continuación, les dejo algunos enlaces a documentos (redactados en idioma inglés) en los cuales se desarrolla el tema del análisis forense de los dispositivos móviles. Y otro (redactado en castellano), correspondiente a una exposición sobre Informática Forense, desarrollada en las Jornadas de Seguridad de Informática de Noviembre 2009 (Organizada por la Secretaría de Estado de la Gestión Pública y Contrataciones del Gobierno de la provincia del Neuquén y la Facultad de Informática de la Universidad Nacional de Comahue).-

Obras registradas en safecreative.org, bajo los números: 1209152346557 (derivada de las siguientes: 1208152125476; 1208152123823); 1204281543372 y 1202201111670.-