Aunque no existe una metodología que sea única y universal en el análisis forense, a tenor de la documentación consultada y tomando en consideración la normativa legal y los estándares vigentes a nivel internacional, sí que se puede decir que existen una serie de fases o puntos importantes que se tienen que tomar en consideración para que el análisis forense sea adecuado y sirva como elemento probatorio ante un incidente.
Todas estas recomendaciones, recogidas en distintas documentaciones (ver bibliografía), establecen una estructura lógica que permiten garantizar el proceso y que, en el ámbito civil, se compone básicamente de las siguientes fases:
En suma, el objetivo de todas las fases es analizar, recopilar las pruebas y determinar quién o quienes han sido el autor o autores que han originado el incidente, las personas o elementos involucrados, así como el impacto que ha podido suponer la realización del mismo. Pero siempre intentando salvaguardar de la mayor manera posible tanto la objetividad y la profesionalidad de los forenses implicados como de la integridad y la cadena de custodia de las pruebas o elementos analizados.
A nivel militar, el método de análisis forense tampoco está completamente definido pero sus requisitos de capacidades fueron adoptados a partir de 2002 en la cumbre de Ciberterrorismo en la Universidad de Princeton. Alternativamente la OTAN ha desarrollado distintas medidas y planes en el campo de la Ciberdefensa desde 2008.
A continuación, expondré un pequeño resumen de la metodología forense actual y su correlación con la utilizada en el ámbito militar.
Si observamos los esquemas anteriores, encontramos pocas diferencias entre los pasos seguidos en una metodología civil y una militar.
La militar se centra más en encontrar, aislar y buscar los motivos que llevaron al atacante a elegir ese objetivo y no suele contar con la presencia de un fedatario público civil como pueda ser un notario o un secretario judicial, sino que dicho papel suele ser asumido por la propia autoridad militar. De todos modos, y en el caso de ser necesario, el incidente se comunica a los organismos y administraciones correspondientes para que tomen las medidas y acciones que estimen pertinentes.
El principal objetivo de la metodología militar es aislar la causa del incidente, recuperar el sistema y establecer las medidas oportunas para que dicho incidente no se pueda repetir, revisando las directivas de respuesta y actuación.
En el ámbito civil, la metodología forense busca la manera de evaluar, obtener y analizar unas evidencias de una forma segura, fiable y eficaz mediante métodos y profesionales que salvaguarden la integridad de las pruebas, así como de la cadena de custodia y permitan establecer un diagnóstico imparcial de las evidencias halladas. Las conclusiones de estos profesionales quedarán plasmadas en el denominado “informe forense” y servirá como complemento para la toma de acciones judiciales respecto al incidente.
Durán, J. J. (s.f.). La ciberseguridad en el ámbito militar. Obtenido de dialnet.unirioja.es: https://dialnet.unirioja.es/descarga/articulo/3837348.pdf
García, M. A. (2014). Propuesta de diseño de un área informática forense para un equipo de respuestas ante incidentes de seguridad informática. Obtenido de edu.ec: http://repositorio.espe.edu.ec/bitstream/21000/8063/1/T-ESPE-047639.pdf
Giordano, J., & Maciag, C. (s.f.). Cyber Forensics: Una Perspectiva de Operaciones Miltar. Obtenido de www.inf.utfsm.cl: https://www.inf.utfsm.cl/~lhevia/asignaturas/proy_ti/topicos/Pautas/sem_mem_Revision_Bibliografica-Astudillo.pdf
Pasquín, F. Z. (2013). Ciberdefensa en las Fuerzas Armadas Perspectiva Conjunta. Obtenido de catedraisdefe.etsit.upm.es: http://catedraisdefe.etsit.upm.es/wp-content/uploads/2013/01/Ponencia-Zea-Pasquin-actual.pdf
Pinto, D. (2014). Metodología de análisis forense orientada a incidentes en dispositivos. Obtenido de dspace.ucuenca.edu.ec: http://dspace.ucuenca.edu.ec/bitstream/123456789/21381/1/TIC.EC_04_Pinto.pdf
Rivas, C. G. (2014). Metodología para un análisis forense. Obtenido de openaccess.uoc.edu/: http://openaccess.uoc.edu/webapps/o2/bitstream/10609/39681/6/cgervillarTFM1214memoria.pdf