Fases del modelo extendido de Séamus Ó Ciardhuáin.

Por: Esaú García.

Por lo general, cuando escuchamos “análisis forense” lo relacionamos a seres humanos que han descendido, pero no siempre se trata de ello. Este análisis se encuentra en diferentes áreas. A continuación, se presenta una de ellas en específico.

Análisis forense de computadoras, así se le conoce al estudio de cómo éstas son involucradas en algún crimen. Es el proceso de examinar dispositivos a través de métodos científicos y herramientas tecnológicas en busca de la mayor cantidad de evidencias.

Séamus Ó Ciardhuáin, creador de un modelo extendido para realizar investigaciones de ciberdelitos, mismo que fue publicado por IJCE (International Journal of Digital Evidence) en el año 2004.

Los modelos anteriores tenían el fallo de no identificar la información que fluye en las investigaciones y se concentran sólo en la parte central del proceso de investigación sin darle la importancia necesaria al resto de las etapas.

2

Fuente: Internet.

De manera concisa, se muestran las fases de esta investigación:

Conciencia.

Lo primero ser conscientes de que la investigación es necesaria, de manera que sea más clara y se logre establecer un punto específico de partida. Una debilidad de los modelos semejantes es que no muestran esta parte y tampoco incluyen una relación visible para los acontecimientos causativos.

Autorización.

Cuando se ha identificado la necesidad de una investigación se procede a que sea autorizada. Lo anterior resulta al complejo ya que se requiere interacción con las entidades internas y externas para obtener los permisos necesarios.

Planificación.

Aquí se necesita la mayor información posible, interna y externa, de la organización. Por la parte externa los planes serán influenciados por reglas y legislaciones ya establecidas, mientras en la interna estarán las estrategias y políticas de la organización.

De ser necesario, es válido retroceder a la etapa anterior para solicitar más autorización.

Notificación.

En algunos casos esta actividad no es apropiada, pero con ella se busca informar al objetivo que la investigación se está llevado a cabo. Si no fue necesaria la notificación es probable que otras organizaciones estén al tanto de la indagación.

Búsqueda e identificación de evidencias.

Localizar e identificar a partir de distintos métodos es la ocupación de este punto y es esencial para tener las evidencian preparadas para la siguiente fase.

Adquisición.

La organización investigadora toma posesión de la prueba en una forma que puede ser conservada y analizada por el personal apropiado. Es el centro de atención por su importancia en el resto de la investigación. Los errores pueden llegar a inutilizar la prueba obtenida anteriormente.

1

Fuente: Internet.

Transporte.

Recolectadas todas las pruebas, son transportadas a un sitio donde se tiene la capacidad para examinarlas. Durante el transporte, se debe asegurar que las pruebas aún son vigentes para ser utilizadas.

Almacenamiento. 

El almacenamiento mantiene la integridad de todas las pruebas. Al momento de encontrar cualquier evidencia es indispensable almacenarla ya que no se puede examinar al instante.

Examen.

Hacer el examen a las pruebas implicará usar diversas técnicas para encontrar e interpretar datos significativos. Con base en los resultados obtenidos de la búsqueda y las actividades de adquisición, puede haber volúmenes muy grandes de datos para ser examinados. Utilizar técnicas automatizadas facilitara esta tarea.

Hipótesis.

El rango de la hipótesis es de acuerdo al tipo de investigación. Una vez elaborada, se puede dar un paso atrás para desarrollar una mejor comprensión de los casos.

Presentación.

La hipótesis se presenta a las personas indispensables. Cuando esta misma es investigada por un poder policial, será expuesta a un jurado, en el caso de una compañía interna, se toma una decisión con base en la hipótesis.

Prueba/defensa.

Si se llega a presentar una hipótesis contraria y es expuesta al jurado, los investigadores deberán, valiéndose de argumentos claros y específicos, probar la validez y defender ante la parte opuesta. Al usar el retroceso se pueden poseer más pruebas para generar una hipótesis superior. 

Difusión.

Difundir la información de la investigación es la parte final del modelo.

Hay información que solo será vista dentro de la organización investigadora y otra será, de manera amplia, difundida. Investigaciones a futuro, normas, políticas y procedimientos, serán influenciadas por la información.

 

Referencia bibliográfica:

Cruz, J. A. (Septiembre. de 2007). Herramienta de apoyo para el análisis forense de computadoras.

 

 

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s