ciberseguridad
análisis forense
live acquisition
adquisición de evidencia
memoria RAM
cadena de custodia
En el análisis forense digital, la adquisición de evidencia es una de las fases más críticas del proceso. De su correcta ejecución depende no solo la calidad del análisis posterior, sino también la validez legal de la información recolectada.
Existen dos grandes enfoques para adquirir evidencia digital: Adquisición en caliente y adquisición en frío.
Ambos métodos tienen sus propias técnicas, riesgos, beneficios y herramientas. Este artículo te enseñará en profundidad cuándo elegir uno u otro, cómo hacerlo correctamente y qué errores debes evitar. Ahora, antes que nada, pongámonos de acuerdo en algo básico pero fundamental: ¿qué es exactamente la adquisición de evidencia digital?
Imagina que te llaman para investigar un crimen cibernético. Tal vez alguien accedió sin permiso a una computadora, robó información, instaló un malware o encriptó archivos con ransomware. Tu misión es clara: entender qué pasó, cómo pasó… y, sobre todo, preservar las pruebas de forma que puedan ser analizadas e incluso presentadas ante un juez si hace falta. Ahí es donde entra en juego la adquisición de evidencia digital.
La adquisición de evidencia digital es una de las tareas más delicadas y cruciales en cualquier investigación forense informática. Consiste en copiar de manera exacta y sin modificar la información contenida en un sistema informático —como discos duros, memoria RAM, registros del sistema o archivos temporales— para su posterior análisis.
El objetivo principal no es solo acceder a la información, sino hacerlo de tal forma que:
🛡️ Se preserve el estado original del sistema afectado.
🔍 Se permita un análisis detallado posterior sin contaminar la evidencia.
⚖️ Se garantice la trazabilidad y validez legal, mediante una correcta cadena de custodia.
En otras palabras: obtener una copia "intocable" que refleje exactamente cómo estaban las cosas en el momento del incidente, lista para ser analizada en un laboratorio sin riesgo de modificar el original.
Ahora bien, la forma de hacer esta adquisición depende del estado del sistema al momento del hallazgo. Aquí es donde entra la gran distinción entre:
Adquisición en caliente (Live Acquisition): cuando el sistema está encendido, activo y en funcionamiento.
Adquisición en frío (Dead Acquisition): cuando el sistema está apagado o se apaga de manera controlada antes de recolectar los datos.
Ambos métodos son válidos y ampliamente usados en análisis forense digital, pero cada uno conlleva ventajas, desafíos y riesgos diferentes, que es esencial comprender para elegir la estrategia adecuada en cada situación.
La adquisición en caliente, también conocida como live acquisition, se refiere al proceso de recolectar evidencia digital mientras el sistema objetivo está encendido y operativo.
Este tipo de adquisición permite capturar información volátil, es decir, datos que residen en la memoria temporal del sistema y que desaparecen en el momento en que se apaga o reinicia el dispositivo. Por eso, es una técnica fundamental cuando el analista llega a un escenario en el que el incidente aún está ocurriendo o el sistema aún no ha sido manipulado.
Entre los datos volátiles más importantes que se pueden capturar se encuentran:
Nota: una vez que apagues el sistema, toda esta información se pierde para siempre. Por eso, cuando hay evidencia crítica en ejecución, se prioriza este tipo de adquisición.
Este método se aplica cuando:
Tipo de dato | Herramientas sugeridas |
---|---|
Memoria RAM | Volatility, Belkasoft RAM Capturer, DumpIt, WinPMEM |
Procesos activos | Sysinternals Process Explorer, pslist, tasklist, ps |
Conexiones de red | Wireshark, TCPView, netstat, Fiddler, CurrPorts |
Usuarios conectados | who, w, query user, net session |
Actividad reciente | last, bash_history, RecentDocs, Prefetch, registros temporales |
Estas herramientas permiten capturar la información volátil del sistema sin necesidad de apagarlo, garantizando que se preserve el estado actual de los procesos y conexiones. Por otro lado la adquisición en caliente es poderosa, pero también conlleva riesgos si no se realiza con cuidado:
Por esta razón, solo personal capacitado debería realizar live acquisition. No es un método para improvisar.
La adquisición en frío, también llamada dead acquisition, es el proceso de recolección de evidencia digital cuando el sistema está apagado, o tras haber sido apagado de manera controlada por el analista. A diferencia de la adquisición en caliente, esta técnica se enfoca exclusivamente en datos no volátiles, es decir, aquellos que permanecen almacenados de forma persistente en el dispositivo, incluso después de apagarlo. Entre los principales tipos de evidencia recolectada en este escenario se incluyen:
El objetivo es obtener una copia exacta del contenido del disco o medio de almacenamiento, sin modificar nada, que pueda ser analizada posteriormente en un entorno controlado.
Este tipo de adquisición es ideal cuando:
Tipo de evidencia | Herramientas recomendadas |
---|---|
Imagen del disco | FTK Imager, dd , Guymager |
Acceso sin modificación | Dispositivos de solo lectura (Write blockers) |
Formato de imagen forense | .E01 (EnCase), .AFF , .dd |
Estas herramientas permiten crear una imagen bit a bit del disco duro, garantizando que no haya alteración alguna del contenido original. El uso de bloqueadores de escritura es fundamental para proteger la integridad del medio durante el proceso.
Ventajas
Limitaciones
Por estas razones, cuando sea posible, se recomienda complementar la adquisición en frío con una adquisición previa en caliente, especialmente si el sistema estaba encendido y contenía información crítica en ejecución.
Nota: La adquisición en frío es una técnica más segura y controlada, ideal para preservar la evidencia en investigaciones formales o análisis post-incidente. No obstante, su efectividad depende de que la evidencia relevante se encuentre en el disco y no se haya perdido información volátil clave antes del apagado.
Uno de los principios fundamentales en el análisis forense digital es garantizar que la evidencia recolectada sea válida, íntegra y admisible legalmente. Esto no depende solo de las herramientas utilizadas o del tipo de adquisición realizada, sino principalmente de que se haya mantenido una cadena de custodia rigurosa y bien documentada desde el primer momento.
La cadena de custodia es el registro detallado del control, transferencia y manipulación de la evidencia digital, desde que es recolectada hasta que se analiza o presenta ante una autoridad. Es esencial para demostrar que la evidencia: No fue alterada ni contaminada durante su manipulación, fue manejada exclusivamente por personal autorizado, está asociada a un procedimiento técnico confiable y es reproducible y verificable por terceros.
A continuación se detallan las acciones y precauciones que deben tomarse en cuenta, tanto en la adquisición en caliente como en frío:
Registro de datos básicos del procedimiento. Anotar de forma precisa:
Documentación exhaustiva de cada acción. Toda acción realizada sobre el sistema o la evidencia debe quedar registrada, incluyendo:
Uso de medios de almacenamiento seguros
Cálculo y verificación de hashes
Para cada imagen forense, archivo o volcado, se deben calcular:
Uso de formatos forenses estandarizados
Siempre que sea posible, almacenar las imágenes en contenedores reconocidos y validados por la comunidad forense:
.E01
(EnCase).AFF
(Advanced Forensic Format).dd
(raw bit-by-bit dump)Estos formatos permiten encapsular no solo los datos originales, sino también información adicional como metadatos, hashes y notas del proceso de adquisición.
Característica | Live Acquisition (en caliente) | Dead Acquisition (en frío) |
---|---|---|
Estado del sistema | Encendido | Apagado |
Tipo de datos recolectados | Volátiles (RAM, procesos, conexiones) | Persistentes (disco, archivos, logs) |
Riesgo de alteración | Alto (requiere intervención activa) | Bajo (con herramientas adecuadas) |
Valor legal | Admisible si está bien documentado | Más robusto para procedimientos legales |
Requiere experiencia | Alta | Media |
Uso típico | Incidentes activos, malware en memoria | Análisis post mortem, evidencia incautada |