Preservación Forense Profesional

🔐 1. Preservación extendida y técnicas modernas

Además de la conservación básica, en entornos sensibles como gobiernos, infraestructura crítica o investigaciones corporativas, se aplican técnicas adicionales:

▪ Pre-acquisition Snapshot (Hot)

  • En entornos cloud u on-prem críticos, se ejecuta un snapshot antes de la adquisición.

  • Esto permite congelar el estado del sistema sin interrupciones.

  • Se usa en VMware (vmkfstools -i) y cloud providers como AWS (EBS snapshots) o Azure (managed disk snapshots).

▪ Preservación RAM + Estado CPU (en vivo)

  • Se realiza un volcado en paralelo de la RAM y de los registros de CPU (cuando posible).

  • Esto permite capturar backdoors en ejecución, payloads fileless y claves de cifrado en memoria.


📹 2. Prueba de Procedencia con múltiples niveles de validación

  • Grabación de vídeo + captura de pantalla continua: se usa una cámara 360° + capturas digitales sincronizadas con reloj UTC.

  • Marcado horario (timestamp) criptográfico: cada evento crítico (hashing, conexión, copia) se sella digitalmente con marca de tiempo (ej: RFC 3161).

  • Blockchain timestamping (opcional): para casos de alta sensibilidad, los hashes de adquisición se registran en blockchains como Ethereum o Arweave para prueba inalterable.


🧪 3. Integridad de la evidencia (Hash + verificación extendida)

Pasos . Acción - Técnica usada
  • 1. Hash del medio SHA-256 o SHA-3. Se descarta MD5/SHA1 por colisiones.
  • 2. Imagen bit a bit dd, dcfldd, Guymager, FTK Imager, Magnet AXIOM.
  • 3. Rehash post-imagen Mismo algoritmo. Debe coincidir bit a bit.
  • 4. Hash copia de análisis Se crea copia de trabajo y se rehacea.
  • 5. Validación cruzada Comparación entre hashes de origen, imagen y copia.


🔄 4. Bloqueadores de escritura avanzados

  • Tipo Descripción
  • Hardware Tableau T356789iu, WiebeTech USB WriteBlocker. Recomendado en campo.
  • Software (solo lectura) mount -o ro, FTK Imager, WriteProtect.cmd en Windows.
  • Firmware blocking (BIOS) BIOS-level write protection en dispositivos sospechosos. Usado en entornos de seguridad nacional.


📦 5. Cadena de custodia profesional

🧾 Documentación estructurada:

  • Formulario digital + físico (duplicado): número único, tipo de evidencia, persona que lo recogió, fecha, lugar exacto.

  • Escaneo QR o RFID en cada bolsa: para trazabilidad automática con logs.

  • Firma digital con HSM (Hardware Security Module): para asegurar autenticidad.

🛡️ Control y conservación:

  • Guardado en bóvedas antiestáticas, con control de:

    • Humedad (40-60%)

    • Temperatura (18-21°C)

    • Acceso restringido con control biométrico


💡 Nivel elite (curiosidad técnica)

  • Algunas agencias (como la NSA o GCHQ) conservan discos con evidencia dentro de jaulas de Faraday activas durante el transporte, para evitar posibles accesos remotos o borrado vía RF por malware avanzado (sí, existe).

  • En operaciones de contraterrorismo, incluso se aplican materiales absorbentes de ESD y se viaja con escolta armada digital para preservar medios sensibles.


🚨 Errores comunes que invalidan evidencia (a evitar a toda costa)

  1. Conectar el disco directamente al sistema sin bloqueador de escritura.

  2. Fallar al registrar el número de serie o modelo exacto del medio.

  3. Olvidar generar hash antes y después de la adquisición.

  4. No etiquetar adecuadamente las bolsas.

  5. Almacenar evidencia en salas sin control ambiental.

Curiosidades y Claves Avanzadas sobre la Preservación Forense

1. 🧬 Los metadatos también son evidencia

  • Preservar el archivo no es suficiente. También deben preservarse los metadatos del sistema de archivos (timestamps MAC: Modified, Accessed, Created).

  • Algunas herramientas alteran metadatos sin informar (ej. al montar un disco NTFS en Linux, se pueden actualizar los Last Access Times).

🔎 Solución: usar solo herramientas de análisis forense que montan medios en modo forense (ej. EnCase, FTK Imager, Autopsy).


2.Timestamp y time drift (deriva de tiempo)

  • Una discrepancia en el reloj del sistema puede arruinar la línea de tiempo.

  • Ejemplo real: un atacante comprometió un sistema y retrocedió el reloj del sistema operativo para encubrir el ataque.

🧠 Recomendación: capturar y registrar el reloj del sistema en UTC al comenzar la adquisición. Validar contra un NTP confiable.


3. 🔐 Hashing con algoritmos obsoletos = evidencia rechazada

  • Muchos tribunales ya no aceptan MD5 o SHA1 como únicos mecanismos de verificación por su debilidad frente a colisiones.

  • SHA-256 es el estándar actual. SHA-3 y BLAKE3 están siendo adoptados por entidades militares y bancarias.


4. 🌐 Evidencia en la nube = metadatos distribuidos

  • En ambientes cloud (AWS, Azure, GCP), los logs y metadatos se almacenan en servicios como:

    • AWS CloudTrail

    • Azure Monitor / Log Analytics

    • Google Cloud Audit Logs

⚠️ Peligro: si no se preservan con timestamps originales y sin edición, su validez legal puede ser cuestionada.


5. ⚡ Discos SSD y Trim: el enemigo silencioso

  • Los discos SSD usan el comando TRIM para borrar bloques de forma automática y eficiente.

  • Esto significa que, una vez eliminado un archivo, los bloques que lo contenían se sobrescriben inmediatamente, imposibilitando su recuperación.

🎯 Solución: realizar adquisición inmediatamente, en caliente (live acquisition), si se sospecha uso de SSD.


6. 🦠 Malware anti-forense

  • Algunos malwares modernos detectan el proceso de adquisición y se autodestruyen o activan una lógica de "borrado suicida".

  • Otros reescriben espacio libre con datos basura (anti-recovery).

🧠 Defensa: usar herramientas que operan en modo read-only, sin ejecutar el sistema objetivo. Si es adquisición en vivo, usar herramientas como Volatility que no disparen eventos.


7. 🗃️ La evidencia no siempre es digital

  • En entornos corporativos, la preservación puede incluir:

    • Tarjetas de acceso físico (RFID)

    • Cámaras de seguridad

    • Registros de entrada/salida del edificio

    • Registros de llamadas telefónicas internas

Estas fuentes ayudan a correlacionar presencia física con actividad digital sospechosa.


8. 💼 El primer sospechoso siempre es el administrador

  • En incidentes internos (insider threats), quien tiene acceso a las herramientas forenses puede alterar la evidencia.

  • La cadena de custodia debe incluir al equipo que realiza el análisis.

🧠 Recomendación: dividir funciones. El equipo que adquiere la evidencia no debe ser el mismo que la analiza.


9. 🌡️ Los discos y USBs también se corrompen por calor, humedad y estática

  • La evidencia debe almacenarse en salas con:

    • Temperatura controlada (18-21 °C)

    • Humedad relativa del 40-60%

    • Sin campos magnéticos o fuentes de radiación (motores, transformadores)

✅ Manual de Buenas Prácticas: Preservación Forense

  • 📸 Video de todo el proceso - Graba todo desde la llegada a la escena.
  • 🧊 Bloqueador de escritura - Siempre hardware, y validado.
  • 🔒 Hash antes y después - Usar SHA-256 mínimo. Documentar.
  • 📦 Bolsas antiestáticas y selladas - Etiquetas con QR o código único.
  • 🔄 Registro cadena de custodia - Firma digital o física de cada operador.
  • 🌐 Sin conexión a red - Durante adquisición, nunca en red.
  • Sincronizar UTC + NTP - Para trazabilidad de tiempo precisa.
  • ⚖️ Cumplir con la ley local - Validar con asesor legal si se trata de dispositivos personales.
  • 👥 Separación de funciones - Quien captura no debe analizar.
  • 💾 Almacenamiento seguro - Físico, ambiental y con registro de acceso. 
Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar