Esta asignatura se centra en la informática forense (Digital Forensics o Computer Forensics). Esta muy relacionada con respuesta a incidentes, por ello suele ser conocida como DFIR. Se define como el proceso de identificar, preservar, analizar y preservar evidencias de una forma legal y aceptable, en este caso, aplicando técnicas científicas y analíticas especializadas a infraestructura tecnológica.

Siempre que dos objetos entran en contacto, transfieren parte del material que incorporan al otro objeto. Por lo que se podría decir que siempre que alguien hace algo, deja un rastro.

Funciones de ámbito o actuación

• Recopilación y preservación de pruebas digitales
• Analizar pruebas digitales
• Recuperar datos
• Investigar incidentes de seguridad
• Analizar redes y comunicaciones
• Creación de informes y testimonios en tribunales
• Asesoría y capacitación
• Investigación y desarrollo

Existen varios estándares que pueden ser utilizados como guía para realizar un análisis pericial completo.

Pueden ser utilizadas en cualquier organización independientemente de su ámbito y tamaño.

• UNE 71505:2013:
  • 71505:2013-1: Vocabulario y principios generales
  • 71505:2013-2: Buenas prácticas en la gestión de las evidencias electrónicas
  • 71505:2013-3: Formatos y mecanismos técnicos
• UNE 71506:2013: Metodología para el análisis forense de las evidencias electrónicas. Hay varias fases: Preservación, Adquisición, Documentación, Análisis y Prentación
• UNE 197010:2015: Criterios para la elaboración de informes periciales.

• ISO/IEC 27037:2012: Habla de las guias para la identificación, colección adquisición y preservación de pruebas digitales

• RFC 3227: Guias para la recolección y manejo de evidencias
• RFC 4810: Guias para el archivado de pruebas a largo plazo

Es importante realizar una preparación previa para poder adquirir las evidencias correctamente y que todo el proceso sea correcto a nivel legal.

• Contar con permisos adecuados
• Autorización por escrito
• Contrato

Asegurar la escena: Proteger la escena para evitar la modificación o destrucción de las evidencias digitales existentes.

Consiste en detecatr y localizar posibles fuentes e evidencia digital. Hya que determinar la fuente de los datos, su ubicación y la relación con el incidente investigado.

Se analizan normativas y regulaciones aplicables a la evidencia digital y al bien protegido, asegurando la recolección, adquisición y análisis de los datos se realicen de manera legal y sean admisibles en el proceso legal.

Para garantizar la cadena de custodia es necesario documentar donde, cuando y quien recolectó la evidencia, donde, cuando y quien la manejó, quien la ha custodiado, durante cuanto tiempo y como se ha almacenado y si existe un cambio de custodia en algún momento

Consiste en recopilar las pruebas digitales.

Hay datos más volátiles que otros, por ejemplo, los que están en memoria, registros y caché son los más volátiles y los que están en un almacenamiento externo serían los más volátiles. Se debe recopilar primero la información más volátil.