Análisis Forense Digital

La creación de imágenes de datos toma tiempo

En primer lugar, es necesario copiar o clonar los discos duros con el fin de no contaminar la fuente de datos. Este es uno de los principales desafíos a los que se deben enfrentar las fuerzas o agencias dado que, para preservar los datos copiados de los clones, es necesario contar con una enorme capacidad de almacenamiento.

Puede llevar horas, o incluso días, copiar y procesar discos duros confiscados, junto con los sistemas en los que funcionan. Este proceso debe llevarse a cabo con extremo cuidado y atención a los detalles.

Para preservar la cadena (o continuidad) de custodia, existe una serie de normas estrictas. La documentación debe incluir las condiciones en las cuales se recopilan las pruebas.

Es necesario revelar la identidad de todos aquellos que están en contacto con las pruebas. Se debe informar de la duración de la custodia, las condiciones de seguridad durante el proceso de manipulación o almacenamiento y del modo en que se transfirieron a los guardias subsiguientes. Cumplir con estos requisitos lleva tiempo.

Problemas actuales con la transferencia y el análisis

Una vez que se clonan los datos, los expertos en análisis forense digital los copian o transfieren a una o varias estaciones de trabajo u ordenadores de alto rendimiento. Como se mencionó anteriormente, este proceso puede llevar un tiempo considerable en función de la cantidad de datos que se transfieran antes de que sea posible indexar, clasificar y analizar los datos.

Debido al enorme volumen de datos que se deben analizar y al riesgo de párdida de datos, los expertos deben estar presentes en el laboratorio para llevar a cabo el análisis. Además, las leyes locales pueden prohibir la búsqueda remota en discos duros confiscados realizada por unidades criminalistas de alta tecnología para llevar a cabo distintos análisis.

Por ello, no sorprende el hecho de que haya un importante retraso en el trabajo que debe realizarse en discos duros confiscados, por lo general entre 18 y 24 meses. En el mejor de los casos, los datos se pueden compartir entre servidores de archivos pero el análisis debe realizarse en el laboratorio y requiere funciones de red modernas para transferir datos en ambas direcciones entre servidores administrados de forma centralizada y los ordenadores de los analistas. Con frecuencia, esto no permite compartir datos entre analistas que trabajan en la misma ubicación, mucho menos en sitios remotos. El uso compartido en tiempo real entre agencias e incluso fronteras, o entre agencias de varios gobiernos es impensable.

En consecuencia, la única solución actual para realizar análisis más exhaustivos requiere de visitas al laboratorio. Además, si la imagen clonada contiene un código malintencionado, puede causar daños en la estación de trabajo del experto forense. Si esto sucede, puede ser necesario realizar una reconstrucción e iniciar el proceso de transferencia nuevamente, o bien, en el caso de que no se detecte, puede afectar la cadena de custodia.