La palabra “forense” designa un tipo de proceso científico establecido para la recopilación, el análisis y la presentación de la evidencia que ha sido recopilada. En el ámbito digital existe también este término, y se denomina análisis forense o informática forense.
El análisis forense es una disciplina que combina elementos legales e informáticos para recopilar y analizar datos de sistemas informáticos, redes, comunicaciones inalámbricas y dispositivos de almacenamiento, para determinar si esos sistemas son o han sido comprometidos o utilizados para actividades ilegales o no autorizadas, de modo que el resultado del análisis pueda ser admitido como prueba en un tribunal de justicia.
Desde mediados de la década de 1980, los casos legales relacionados con delitos informáticos han recurrido a la informática forense para obtener pruebas legales en ordenadores y otros dispositivos. Los hechos y conclusiones obtenidos a través del análisis forense están sujetos al mismo escrutinio y directrices que cualquier otra prueba presentada en un tribunal.
Los expertos en informática forense investigan los dispositivos de almacenamiento de datos, ya sean fijos, como los discos duros, o extraíbles, como las memorias USB. Su tarea consiste en:
- Identificar las fuentes de las pruebas documentales u otras pruebas digitales
- Conservar y preservar las pruebas
- Analizar las pruebas
- Presentar los resultados del análisis
La metodología aplicada en el análisis forense consta de cuatro etapas:
- Identificación: Análisis previo del incidente o del dispositivo que ha sido atacado, con el fin de determinar la metodología que será utilizada durante el resto del proceso. En esta fase se reconoce el estado físico del soporte, determinando por ejemplo si existen daños en el dispositivo o si se trata de un caso de eliminación de datos.
- Preservación y/o adquisición: Durante la adquisición, la información original se debe copiar del disco de origen a un disco de destino que esté completamente despejado. Esta etapa es una de las más complicadas, ya que el dispositivo de origen debe quedar en el mismo estado que se encontraba, y una manipulación errónea de las herramientas podría borrar los datos a analizar. La información copiada por el analista debe ser igual bit a bit respecto a la original. La preservación requiere conservar perfectamente los datos, tal como han sido copiados, sin ningún tipo de modificación. Esos datos pueden ser utilizados en un periodo corto de tiempo, pero también podría transcurrir un periodo más largo hasta que sean utilizados, por tanto, su preservación es un punto clave; el dispositivo de destino debe poder almacenar los datos durante todo el tiempo necesario.
- Análisis: se investiga y estudia el software y el hardware desde el soporte original. Esta es la fase más técnica, en la cual el especialista extrae toda la información y filtra los datos valiosos para la investigación, sin eliminar ninguno. Durante esta fase se busca el origen del ataque y se responde a las preguntas realizadas durante la fase de identificación. En el análisis se busca todo aquello que pueda servir como evidencia. Los archivos analizados pueden ser de muchos tipos, como correos electrónicos, historiales de búsqueda, últimas conexiones de usuarios, conexiones de otros dispositivos, etc.
- Documentación: en esta última fase se recopila toda la información necesaria y las evidencias halladas en las etapas previas. Se redacta un informe de manera objetiva y ordenada con toda la información. La estructura que debe seguir el informe no está predefinida, aunque no debe faltar un resumen ejecutivo que explique lo sucedido y las conclusiones alcanzadas durante la investigación. Además, como parte de la documentación, se debe incluir el dispositivo original y las copias realizadas.
