Documentación en Forense Digital

  • Posted on: 28 August 2017
  • By: ReYDeS

La importancia de una documentación completa y precisa no puede ser exagerada. Existen diferentes tipos de documentación y reportes utilizados a través de todo el proceso forense. Estos deben ser explicados en los SOPs y manuales de políticas de los laboratorios o agencias. Formularios de envío, registros de cadena de custodia, notas del analista y el reporte final del analista, forman el punto crucial de la información requerida.

Normalmente todos los trámites asociados con un caso específico se recolectan dentro de un archivo del caso. El archivo contiene toda la documentación pertinente al caso, incluyendo el papeleo generado por el analista y otros. Usualmente se incluyen los formularios de envío del caso, peticiones de asistencia, notas de los analistas, reportes de la escena del crimen, reporte del caso, copia a la autorización para la búsqueda, cadena de custodia, y otros.

Formularios

Los formularios previamente impresos se utilizan ampliamente ya sea en el campo como en el laboratorio. Estos ayudan a guiar al personal a través del proceso, y aseguran se mantiene un alto nivel de calidad. Los formularios aseguran toda la información necesaria es capturada de manera uniforme. Típicamente, los formularios son utilizados para describir la evidencia con detalle (marca, modelo, número de serie, etc.), documentar la cadena de custodia, solicitar un análisis, etc.

Notas del Analista

Las notas del analista abarcan la mayoría, sino todas, las acciones y observaciones del analista junto con sus correspondientes fechas. Estos deben ser lo suficientemente detallados para permitir a otro analista duplique el proceso utilizado durante el análisis. Entre las cosas típicamente registradas se incluyen:

  • Discusiones con los actores clave, incluyendo fiscales e investigadores.
  • Irregularidades detectadas y acciones asociadas.
  • Sistemas operativos, versiones y estado de parche.
  • Contraseñas.
  • Cualquier cambio realizado en el sistema por parte del personal del laboratorio y de la fuerza legal.

Si alguna vez se ha trabajo en el sistema legal, entonces se conoce las ruedas de la justicia pueden ser muy, muy lentas. Esto se aplica hacia casos criminales y civiles. Pueden ser meses o incluso años antes de un caso llegue a juicio. Al momento de testificar, se podría únicamente ser capaz de recordar algún o tal vez ningún hecho del caso. La documentación del caso, y las anotaciones particulares, podrían ser una gran herramienta para refrescar el recuerdo.

El reporte final del analista

El informe final del analista es el documento formal entregado a los fiscales, investigadores, abogado opositor, y así sucesivamente hasta o cerca al final de una investigación. Estos reportes están típicamente constituidos de:

  • Identidad de la agencia generadora del reporte.
  • Número para la identificación del caso y número de envío.
  • Identidad de la persona quien presenta el caso y del investigador del caso.
  • Fechas de recepción del reporte.
  • Descripción detallada de los ítemes de evidencia presentados, incluyendo número de serie, marcas, modelos, etc.
  • Identidad del analista.
  • Descripción de las medidas adoptadas durante el proceso de análisis.
  • Resultados y conclusiones.

Al redactar el reporte final del analista, es crítico tener en consideración la audiencia objetivo, el cual es principalmente gente “normal”. Los abogados, investigadores, jueces, y clientes tendrán probablemente poca o ninguna experiencia técnica. Con demasiada frecuencia estos reportes están llenos de jergas técnicas y detalles las cuales únicamente sirven para frustrar y confundir a la mayoría de la audiencia objetivo. Estos reportes deben ser comprensibles a una audiencia no técnica. Las jergas y acrónimos deben ser mantenidas a un mínimo absoluto.

Dos secciones principales del reporte son el resumen y los detalles de los hallazgos. El resumen es una breve descripción de los resultados del análisis. Los usuarios finales de los reportes encuentran esta característica útil, especialmente a la luz de la masiva carga trabajo y cantidad de información con las cuales típicamente trata. Los hallazgos incluidos deben ser apoyados y explicados en los detalles de los hallazgos.

Los hallazgos detallados proporcionan la substancia del reporte. Estos proporcionan los detalles del análisis, pasos tomados, resultados, etc. Típicamente se pueden encontrar detalles relacionados con:

  • Archivos directamente pertinentes hacia la solicitud<./li>
  • Archivos los cuales apoyen los hallazgos.
  • Correos electrónico, cache web, registros de conversaciones, etc.
  • Búsqueda de palabras clave.
  • Evidencia de propiedad sobre e dispositivo.

Un glosario es una adición útil hacia el reporte del analista. Cualquier cosa factible de hacer, de tal manera la audiencia objetivo camine a través de jerga y acrónimos no familiares, es siempre algo bueno. Transmitir estos resultados en una forma la cual puede ser entendida, es una responsabilidad para el profesional forense.

Fuentes:

http://www.forensicfocus.com/computer-forensics-reports
https://digital-forensics.sans.org/blog/2010/08/25/intro-report-writing-...
https://www.sampletemplates.com/business-templates/forensic-report.html
https://www.ncjrs.gov/pdffiles1/nij/199408.pdf

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete