ISO/IEC 27042:2015. Normativa para el análisis e interpretación de evidencias digitales

1280

La ISO/IEC 27042:2015 proporciona orientación sobre el análisis y la interpretación de las evidencias digitales, de una manera que aborda cuestiones de continuidad, validez, reproducibilidad y repetibilidad.

Encapsula las mejores prácticas para la selección, diseño e implementación de procesos analíticos y registra suficiente información para permitir que dichos procesos se sometan a un escrutinio independiente cuando sea necesario. Proporciona orientación sobre los mecanismos apropiados para demostrar la competencia del perito informático.

El análisis y la interpretación de la evidencia digital puede ser un proceso complejo. En algunas circunstancias, puede haber varios métodos que podrían aplicarse y los peritos informáticos, deberán justificar su selección de un proceso en particular y mostrar cómo es equivalente a otro proceso utilizado por otros peritos informáticos.

En otras circunstancias, es posible que los peritos informáticos, tengan que idear nuevos métodos para examinar pruebas digitales que no se hayan considerado previamente y deberían poder demostrar que el método producido es «adecuado para su propósito». La aplicación de un método en particular puede influir en la interpretación de la evidencia digital procesada por ese método. La evidencia digital disponible puede influir en la selección de métodos para un mayor análisis de la evidencia digital, que ya ha sido adquirida.

ISO/IEC 27042:2015 proporciona un marco común, para los elementos analíticos e interpretativos del manejo de incidentes de seguridad de los sistemas de información, que se puede utilizar para ayudar en la implementación de nuevos métodos y proporcionar un estándar común mínimo para la evidencia digital producida a partir de tales actividades.

La normativa ISO/IEC 27042:2015 proporciona directrices sobre cómo un perito informático puede abordar el análisis e interpretación de una evidencia digital en un incidente o en una intervención pericial, desde su identificación (evidencia digital potencial), pasando por su análisis (evidencia digital), hasta que es aceptada como prueba en un juicio (evidencia digital legal).

La ISO/IEC 27042:2015 detalla ciertas indicaciones que se debe incluir el perito informático en su informe pericial, siempre y cuando no exista ningún tipo de indicación judicial en contra. Dichas indicaciones son las siguientes:

Calificaciones del perito informático
Información inicial de que dispone el perito informático y su equipo
Naturaleza del incidente que va a ser investigado por el perito informático
Fecha, hora y duración del incidente
Lugar del incidente
Objetivos de la investigación
Miembros del equipo de investigación supervisados por el perito informático
Fecha, hora y duración de la investigación
Lugar de la investigación
Hechos sustentados por una evidencia digital y hallados durante la investigación
Daños en la evidencia digital y sus implicaciones en los siguientes estadios del proceso de investigación
Limitaciones de todos los análisis realizados
Detalle de procesos y herramientas utilizadas
Interpretación de la evidencia digital por parte del perito informático
Conclusiones
Recomendaciones para futuras investigaciones

Por otra parte, la normativa ISO/IEC 27042:2015 , introduce una serie de definiciones que son relevantes para el ejercicio de la informática forense, desde la práctica de ISO y que son las siguientes:

Evidencia digital potencial: Información o datos, almacenados o transmitidos en formato binario que no han sido determinados a través un proceso de análisis que sea relevante para la investigación.

Evidencia digital: Información o datos, almacenados o transmitidos en formato binario que han sido determinados a través un proceso de análisis que sea relevante para la investigación.

Evidencia digital legal: Es la evidencia digital que ha sido aceptada en un proceso judicial. La prueba o pieza de convicción en un procedimiento juidicial.

Investigación: Aplicación de exámenes, análisis e interpretaciones sobre una potencial evidencia digital hasta convertirla en una evidencia digital legal.

Examen: Conjunto de procesos aplicados para identificar y recuperar evidencia digital potencial relevante, de una o más fuentes.

Análisis: Evaluación de la evidencia digital potencial con el fin de valorar su relevancia para una investigación, así como los significados de los artefactos digitales latentes en su forma nativa.

Interpretación: Síntesis de una explicación, dentro de los límites acordados, para los hechos revisados acerca de la evidencia resultante de un conjunto de exámenes y análisis que componen la investigación.

De igual forma el estándar habla sobre los modelos analíticos que pueden ser usados por los analistas forenses en informática, los cuales recaban sobre sistemas estáticos o en vivo.

El análisis estático, es un examen de evidencia digital potencial, por inspección exclusivamente, con el fin de determinar su valor como evidencia digital (p.e identificación de artefactos, construir líneas de tiempo, revisión de contenidos de archivo y datos borrados, etc.). Se inspecciona en formato crudo y se interpreta a través del uso de procesos apropiados (visores adecuados), sin ejecutar programas que afecten la evidencia digital potencial.

El análisis en vivo, es un examen de evidencia digital potencial en sistemas en vivo o activos. Particularmente útil en sistemas de mensajería instantánea, teléfono inteligentes/tabletas, intrusiones en redes, redes complejas, dispositivos de almacenamiento cifrado o código polimórfico sospechoso.

Existen dos formas de adelantar el análisis en vivo:

Análisis en vivo de sistemas que no pueden ser copiados o no se puede capturar la imagen. Este ejercicio tiene un riesgo significativo de perder evidencia digital potencial cuando se intenta copiarlo o hacerle una imagen. Es clave tener importantes cuidados para minimizar el riesgo de daño de la evidencia digital potencial, y asegurar que se tiene un registro completo de todos los procesos ejecutados.
Análisis en vivo de sistemas que pueden ser copiados o se puede capturar la imagen. Apropiado o necesario examinar el sistema directamente interactuando u observándolo en su operación. Significa tener cuidado para emular el hardware o software del entorno original tan cercano como sea posible, usando máquinas virtuales verificadas, copias del hardware original o mejor aún el tipo de hardware original, con el fin de permitir un análisis más cercano al real.

Cookie	Tipo	Duración	Descripción
1P_JAR	De Terceros	1 mes	Google utiliza esta cookie para personalizar los anuncios según los intereses personales.
ANID	De Terceros	1 año	Estas cookies tienen una finalidad publicitaria del servicio Google Adwords. Contienen un valor generado aleatoriamente único que permite a la Plataforma para distinguir navegadores y dispositivos. Esta información es utilizada para medir el rendimiento de los anuncios y proporcionar recomendaciones relativas a productos basadas en datos estadísticos.
CONSENT	De Terceros	Permanente	Guarda el consentimiento de aceptación de cookies de Google.
cookielawinfo-checkbox-necessary	De Terceros	1 año	Utilizada para la aceptación de cookies necesarias.
cookielawinfo-checkbox-non-necessary	De Terceros	1 año	Utilizada para la aceptación de cookies no necesarias.
fr	De Terceros	3 meses	Cookie de pixel de Facebook de conversión, publicidad y remarketing
IDE	De Terceros	1 año	Cookie publicitaria que se utiliza para registrar y reportar las acciones del usuario sobre la visualización e interacción en anuncios con el propósito de mejorar la eficacia de estos y presentar los mismos bajo un segmento determinado.
NID	De Terceros	6 meses	Contiene un ID único que Google utiliza para recordar tus preferencias y otra información, como tu idioma preferido (por ejemplo, el español), el número de resultados de búsqueda que quieres que se muestren por página (por ejemplo, 10 o 20) y si quieres que el filtro SafeSearch de Google esté activado o desactivado.
_fbp	De Terceros	3 meses	Utilizada por Facebook para proporcionar una serie de productos publicitarios como pujas en tiempo real de terceros anunciantes.
_ga	De Terceros	2 años	Google Analytics. Se usa para distinguir a los usuarios
_gat	De Terceros	1 minuto	Google Analytics. Se usa para limitar el porcentaje de solicitudes. Si se ha implementado Google Analytics mediante Google Tag Manager, esta cookie se llamará _dc_gtm_.
_gid	De Terceros	24 horas	Google Analytics. Se usa para distinguir a los usuarios.

Artículos relacionadosMás del autor

UNE 50132. Numeración de las divisiones y subdivisiones en los documentos escritos.

ISO 71506/2013. Metodología para el análisis forense de las evidencias electrónicas.

ISO 71505/2013-3. Formatos y mecanismos técnicos

Cookies

Artículos relacionados Más del autor