El análisis forense digital es un conjunto de procedimientos usados para identificar, preservar, analizar y presentar datos digitales con valor probatorio. En el ámbito de las copias forenses, ¿sabes qué es un análisis “post mortem”?
La copia forense (o imagen forense) en un análisis post-mortem se refiere a la creación de una réplica bit a bit de dispositivos de almacenamiento (discos duros, SSDs, pendrives) para preservar datos, en modo apagado. Este proceso es fundamental en investigaciones digitales para garantizar la integridad y la admisibilidad legal de las pruebas.
Etapas comunes del proceso de un análisis post-mortem
- Remoción del equipo y aislamiento: Remoción física del dispositivo del sistema original.
- Utilización de write-blockers: bloqueador físico o lógico (hardware o software) para impedir cualquier alteración accidental de los datos en la copia.
- Creación de la imagen forense: Utilización de herramientas como FTK Imager, Guymager o dd para crear copias bit a bit en formatos forenses (por ejemplo, E01 o AFF4). Fundamental tener capacidad de almacenamiento suficiente para la copia del contenido original.
- Cálculo del hash (MD5, SHA): para garantizar la integridad de la copia y permitir su validación futura.
- Análisis de la imagen: Investigación de archivos, recuperación de datos borrados y análisis de metadatos en un ambiente controlado, sin riesgo de alterar la prueba original.
La copia forense post mortem es el método de referencia para preservar pruebas digitales sin alteraciones, enfocándose en los datos no volátiles almacenados en soportes físicos. El éxito del proceso depende del uso riguroso de write-blockers, de la verificación por hash y de la utilización de herramientas especializadas de análisis forense.
