La norma UNE 71506/2013 ha sido elaborada para definir el proceso de análisis forense dentro del ciclo de gestión de las evidencias electrónicas, complementando todos aquellos otros procesos que conforman dicho sistema de gestión de las evidencias electrónicas, según se describe en las partes de la norma UNE 71505.
No se consideran dentro del campo de aplicación de esta norma la generación, gestión, seguridad, conservación y/o almacenamiento de la evidencia electrónica antes de la adquisición, aspectos a los que se refieren las Normas UNE 71505.
No es tampoco objeto de esta norma, la validación y/o acreditación de laboratorios forenses, ni la homologación de software o equipos relacionados. Las normas son aplicables a cualquier organización con independencia de su actividad o tamaño, o a cualquier profesional competente en este ámbito.
La norma UNE 71506/2013 está compuesta de varias fases:
1. Preservación. En esta fase se pretende mantener en todo momento la validez y confiabilidad de las evidencias originales. Los peritos informáticos que realicen el primer contacto con las evidencias deberán almacenar éstas en los soportes adecuados, llevar la indumentaria adecuada para evitar descargas electrostáticas, usar soportes aislados para evitar interferencias externas y almacenar dichas evidencias de forma segura hasta el final del proceso pericial.
2. Adquisición. Durante la fase de adquisición se va a realizar un clonado a bajo nivel de los datos originales, siguiendo una serie de precauciones antes de adquirir dichos datos si el lugar del incidente está delimitado físicamente. Es importante el propio estado en el que se encuentran los sistemas, puesto que el proceso de adquisición no será el mismo si los sistemas están apagados que si están encendidos, en los que cualquier acción podría comprometer la integridad de las evidencias.
3. Documentación. En esta etapa se documentará el procedimiento al completo, desde que se inicia el análisis, hasta que se envía el informe pericial al solicitante. Se documentarán todos los procesos llevados a cabo y las herramientas que se utilizaron, siguiendo una secuencia temporal definida. En la cadena de custodia quedarán reflejados todos los pasos llevados a cabo durante el manejo de las evidencias.
4. Análisis. Durante esta fase de análisis se van a llevar a cabo una serie de procesos y tareas que intentarán dar respuesta a preguntas relacionadas al evento que motivó la investigación. En términos generales, las acciones y procesos que van a llevarse a cabo durante esta fase serán:
- Recuperación de ficheros borrados.
- Estudio de las particiones y sistemas de archivos.
- EL estudio del sistema operativo.
- Estudio de la seguridad implementada en el sistema Análisis. detallado de los datos obtenidos.
5. Presentación. Durante la última fase se escribirá un informe pericial con toda la información obtenida a lo largo del proceso de análisis. Dicho informe deberá escribirse con un lenguaje inteligible para un público no técnico. Cuando el informe esté finalizado, éste será remitido al organismo solicitante, junto al documento de control de evidencias, para aportar una mayor trazabilidad al proceso.
