La Evidencia Digital se refiere a cualquier información en formatos digitales que tenga relación con el delito y su autor.
Esta se puede clasificar en dos tipos:
Volátiles: Aquellas que se pierden al apagar el equipo.
No volátiles: Se encuentran almacenadas en el sistema de ficheros.
Se debe asegurar el escenario, y buscar recopilar el máximo número de evidencias. Después se deberá determinar y comprobar el estado de los sistemas afectados.
Para que éstos datos sean válidos debe existir confiabilidad de generación, conservación e identificación.
La evidencia debe ser recopilada de acuerdo a su volatilidad, tal y como se muestra en la siguiente imagen:
Requerimientos de la evidencia:
Autenticidad: Se debe garantizar que los contenidos no han sido modificados. Además, debe provenir directamente de la fuente de información. Si existen fuentes externas deben ser precisas.
Precisión: No debe haber duda de procedimientos y herramientas utilizados para recolección, manejo, análisis y posterior presentación de la evidencia. El investigador debe tener capacitación relacionada con los procedimientos que lleva a cabo para que posteriormente pueda explicar a todo el mundo que fue lo que hizo y el tipo de herramientas que utilizó.
Suficiencia: Escenario completo que comprenda todas las circunstancias o eventos.
Referencias
http://www.adminso.es/index.php/AF-Recopilaci%C3%B3n_de_evidencias.
0 comentarios:
Publicar un comentario