
La ISO/IEC 27042:2015 proporciona orientación sobre el análisis y la interpretación de las evidencias digitales, de una manera que aborda cuestiones de continuidad, validez, reproducibilidad y repetibilidad.
Encapsula las mejores prácticas para la selección, diseño e implementación de procesos analíticos y registra suficiente información para permitir que dichos procesos se sometan a un escrutinio independiente cuando sea necesario. Proporciona orientación sobre los mecanismos apropiados para demostrar la competencia del perito informático.
El análisis y la interpretación de la evidencia digital puede ser un proceso complejo. En algunas circunstancias, puede haber varios métodos que podrían aplicarse y los peritos informáticos, deberán justificar su selección de un proceso en particular y mostrar cómo es equivalente a otro proceso utilizado por otros peritos informáticos.
En otras circunstancias, es posible que los peritos informáticos, tengan que idear nuevos métodos para examinar pruebas digitales que no se hayan considerado previamente y deberían poder demostrar que el método producido es «adecuado para su propósito». La aplicación de un método en particular puede influir en la interpretación de la evidencia digital procesada por ese método. La evidencia digital disponible puede influir en la selección de métodos para un mayor análisis de la evidencia digital, que ya ha sido adquirida.
ISO/IEC 27042:2015 proporciona un marco común, para los elementos analíticos e interpretativos del manejo de incidentes de seguridad de los sistemas de información, que se puede utilizar para ayudar en la implementación de nuevos métodos y proporcionar un estándar común mínimo para la evidencia digital producida a partir de tales actividades.
La normativa ISO/IEC 27042:2015 proporciona directrices sobre cómo un perito informático puede abordar el análisis e interpretación de una evidencia digital en un incidente o en una intervención pericial, desde su identificación (evidencia digital potencial), pasando por su análisis (evidencia digital), hasta que es aceptada como prueba en un juicio (evidencia digital legal).
La ISO/IEC 27042:2015 detalla ciertas indicaciones que se debe incluir el perito informático en su informe pericial, siempre y cuando no exista ningún tipo de indicación judicial en contra. Dichas indicaciones son las siguientes:
- Calificaciones del perito informático
- Información inicial de que dispone el perito informático y su equipo
- Naturaleza del incidente que va a ser investigado por el perito informático
- Fecha, hora y duración del incidente
- Lugar del incidente
- Objetivos de la investigación
- Miembros del equipo de investigación supervisados por el perito informático
- Fecha, hora y duración de la investigación
- Lugar de la investigación
- Hechos sustentados por una evidencia digital y hallados durante la investigación
- Daños en la evidencia digital y sus implicaciones en los siguientes estadios del proceso de investigación
- Limitaciones de todos los análisis realizados
- Detalle de procesos y herramientas utilizadas
- Interpretación de la evidencia digital por parte del perito informático
- Conclusiones
- Recomendaciones para futuras investigaciones
Por otra parte, la normativa ISO/IEC 27042:2015 , introduce una serie de definiciones que son relevantes para el ejercicio de la informática forense, desde la práctica de ISO y que son las siguientes:
Evidencia digital potencial: Información o datos, almacenados o transmitidos en formato binario que no han sido determinados a través un proceso de análisis que sea relevante para la investigación.
Evidencia digital: Información o datos, almacenados o transmitidos en formato binario que han sido determinados a través un proceso de análisis que sea relevante para la investigación.
Evidencia digital legal: Es la evidencia digital que ha sido aceptada en un proceso judicial. La prueba o pieza de convicción en un procedimiento juidicial.
Investigación: Aplicación de exámenes, análisis e interpretaciones sobre una potencial evidencia digital hasta convertirla en una evidencia digital legal.
Examen: Conjunto de procesos aplicados para identificar y recuperar evidencia digital potencial relevante, de una o más fuentes.
Análisis: Evaluación de la evidencia digital potencial con el fin de valorar su relevancia para una investigación, así como los significados de los artefactos digitales latentes en su forma nativa.
Interpretación: Síntesis de una explicación, dentro de los límites acordados, para los hechos revisados acerca de la evidencia resultante de un conjunto de exámenes y análisis que componen la investigación.
De igual forma el estándar habla sobre los modelos analíticos que pueden ser usados por los analistas forenses en informática, los cuales recaban sobre sistemas estáticos o en vivo.
El análisis estático, es un examen de evidencia digital potencial, por inspección exclusivamente, con el fin de determinar su valor como evidencia digital (p.e identificación de artefactos, construir líneas de tiempo, revisión de contenidos de archivo y datos borrados, etc.). Se inspecciona en formato crudo y se interpreta a través del uso de procesos apropiados (visores adecuados), sin ejecutar programas que afecten la evidencia digital potencial.
El análisis en vivo, es un examen de evidencia digital potencial en sistemas en vivo o activos. Particularmente útil en sistemas de mensajería instantánea, teléfono inteligentes/tabletas, intrusiones en redes, redes complejas, dispositivos de almacenamiento cifrado o código polimórfico sospechoso.
Existen dos formas de adelantar el análisis en vivo:
- Análisis en vivo de sistemas que no pueden ser copiados o no se puede capturar la imagen. Este ejercicio tiene un riesgo significativo de perder evidencia digital potencial cuando se intenta copiarlo o hacerle una imagen. Es clave tener importantes cuidados para minimizar el riesgo de daño de la evidencia digital potencial, y asegurar que se tiene un registro completo de todos los procesos ejecutados.
- Análisis en vivo de sistemas que pueden ser copiados o se puede capturar la imagen. Apropiado o necesario examinar el sistema directamente interactuando u observándolo en su operación. Significa tener cuidado para emular el hardware o software del entorno original tan cercano como sea posible, usando máquinas virtuales verificadas, copias del hardware original o mejor aún el tipo de hardware original, con el fin de permitir un análisis más cercano al real.