Guía fundamental de investigación de equipos para Windows

Información general

Publicado: enero 11, 2007

La conexión a Internet y los avances tecnológicos exponen los equipos y las redes informáticas a actividades criminales como la intrusión no autorizada, el fraude financiero y el robo de la identidad y la propiedad intelectual. Los equipos se pueden utilizar para lanzar ataques contra redes informáticas y destruir datos. El correo electrónico se puede utilizar para acosar a personas, transmitir imágenes con claro contenido sexual y realizar otras actividades malintencionadas. Dichas actividades exponen a las organizaciones a riesgos éticos, legales y financieros y, a menudo, las obligan a realizar investigaciones de equipos internas.

En esta guía se describen los procesos y las herramientas para el uso en investigaciones de equipos internas. Introduce un modelo de varias fases basado en procedimientos aceptados por la comunidad de investigación de equipos. También presenta un ejemplo de escenario aplicado de una investigación interna realizada en un entorno con equipos basados en Microsoft® Windows®. La investigación utiliza herramientas Windows Sysinternals (utilidades avanzadas que se pueden utilizar para examinar equipos basados en Windows), así como los comandos y herramientas de Windows disponibles normalmente.

Algunas de las directivas y los procedimientos invocados en las investigaciones derivadas de incidentes de seguridad de equipos también pueden existir en los planes de recuperación de desastres. Aunque esta guía no trata sobre dichos planes, es importante que las organizaciones establezcan procedimientos que se puedan utilizar en situaciones de emergencia y desastre. Las organizaciones también deben identificar y administrar los riesgos de seguridad donde sea posible. Para obtener más información, consulte la Guía de Administración de riesgos de seguridad.

En esta página
Modelo de investigación informáticaModelo de investigación informática
Proceso inicial de toma de decisionesProceso inicial de toma de decisiones
Resumen del capítuloResumen del capítulo
DestinatariosDestinatarios
Advertencias y RenunciasAdvertencias y Renuncias
Referencias y créditosReferencias y créditos
Convenciones de estiloConvenciones de estilo
Soporte y comentariosSoporte y comentarios

Modelo de investigación informática

Según Warren G. Kruse II y Jay G. Heiser, autores de Computer Forensics: Incident Response Essentials, el examen forense informática es "la preservación, identificación, extracción, documentación e interpretación de medios informáticos para el análisis de evidencias o de la causa raíz." El modelo de investigación de equipos que se muestra en la figura siguiente organiza los diferentes elementos forenses informáticos en un flujo lógico.

Modelo de investigación informática

Las cuatro fases de investigación y los procesos adjuntos de la figura deben aplicarse cuando se trabaja con evidencias digitales. Las fases se pueden resumir de la siguiente manera:

Valorar la situación. Analizar el ámbito de la investigación y la acción a emprender.

Obtener los datos.Reunir, proteger y conservar la evidencia original.

Analizar los datos.Examinar y establecer una correlación entre la evidencia digital y los eventos de interés que le ayudarán a crear el caso.

Informar acerca de la investigación.Reunir y organizar la información recopilada y escribir el informe final.

En los capítulos de esta guía se proporciona información detallada acerca de todas las fases.

Proceso inicial de toma de decisiones

Antes de iniciar cada una de las fases generales de la investigación, debe aplicar el proceso inicial de toma de decisiones que se muestra en la figura siguiente.

Proceso inicial de toma de decisiones

Debe determinar si debe aplicarse la ley con la ayuda de abogados. Si decide que es necesario aplicar la ley, debe continuar con la investigación interna, a menos que la autoridad judicial competente le indique lo contrario. Es posible que los cuerpos de seguridad no estén disponibles para ayudarle en la investigación del incidente, de modo que debe continuar administrando el incidente y la investigación para su posterior sumisión a los cuerpos de seguridad.

En función del tipo de incidente que se esté investigando, lo principal debe ser evitar que las personas que causaron el incidente inflijan daños adicionales a la organización. La investigación es importante, pero la protección de la organización es primordial, a menos que haya problemas de seguridad nacionales.

Si no es necesario aplicar la ley, la organización puede tener directivas y procedimientos de funcionamiento estándar existentes que le guíen en el proceso de investigación. Consulte la sección "Informar de crímenes relacionados con equipos" del Apéndice: Recursos de esta guía para ver los tipos de crímenes que deben notificarse a los cuerpos de seguridad.

Resumen del capítulo

Esta guía consta de cinco capítulos y un apéndice, que se describen brevemente en la lista siguiente. Los primeros cuatro capítulos ofrecen información acerca de las cuatro fases del proceso de investigación interno:

Capítulo 1: Valorar la situación explica cómo llevar a cabo una evaluación completa de la situación y prepararse para la investigación interna.

Capítulo 2: Obtener los datos proporciona instrucciones acerca de cómo reunir evidencias digitales.

Capítulo 3: Analizar los datos examina las técnicas estándar de análisis de evidencias.

Capítulo 4: Informar acerca de la investigación explica cómo escribir el informe de resultados de la investigación.

Capítulo 5: Ejemplo de escenario aplicado describe un escenario ficticio que representa un acceso no autorizado a información confidencial.

Apéndice: Recursos incluye información acerca de cómo prepararse para una investigación de equipos, información de contacto para informar de crímenes relacionados con equipos y dónde obtener formación sobre investigación de equipos, hojas de cálculo que se pueden utilizar en investigaciones de equipos y listas de determinadas herramientas de investigación de equipos.

Destinatarios

Esta guía está dirigida a profesionales de TI de Estados Unidos que necesiten conocimientos generales sobre investigaciones de equipos, incluidos muchos de los procedimientos que se pueden utilizar en dichas investigaciones y los protocolos para crear informes de incidentes.

Advertencias y Renuncias

Esta guía no pretende ofrecer asesoramiento jurídico y no sustituye los consejos legales individualizados ni de otro tipo que pueda proporcionar un abogado. Siempre debe consultar a sus abogados antes de decidir si debe implementar alguno de los procesos descritos. Las herramientas y las tecnologías descritas en esta guía son actuales en el momento de su publicación y pueden cambiar en el futuro.

También es importante entender que las restricciones legales pueden limitar su capacidad a la hora de implementar estos procedimientos. Por ejemplo, Estados Unidos tiene muchas leyes relacionadas con los derechos de las personas sospechosas de haber cometido actos ilícitos. A menos que las restricciones legales se mencionen específicamente en las directivas y los procedimientos existentes establecidos por la organización, es importante que obtenga aprobaciones legales por escrito de los abogados, la administración y los principales participantes en la investigación interna.

  Nota:

Esta guía no incluye información acerca de la directiva de respuesta a incidentes y el desarrollo de procedimientos, instrucciones específicas de productos de implementación de imágenes de datos, instrucciones acerca de la creación de un laboratorio forense o acerca de las investigaciones de equipos en entornos de que no sean Windows. Para obtener información acerca de la directiva de respuesta a incidentes y el desarrollo de procedimientos, consulte el sitio Web de Microsoft Operations Framework (MOF).

Referencias y créditos

La información de esta guía se basa en información ofrecida por expertos reconocidos del sector y otras fuentes, incluidas las publicaciones siguientes:

Forensic Examination of Digital Evidence: A Guide for Law Enforcement del Instituto Nacional de Justicia, una agencia del Departamento de Justicia de EE.UU.

Guide to Integrating Forensic Techniques into Incident Response Documento en formato PDF del Instituto Nacional de Normas y Tecnología.

"RFC3227 - Guidelines for Evidence Collection and Archiving" de D. Brezinski y T. Killalea.

Convenciones de estilo

En esta guía se utilizan las convenciones de estilo descritas en la tabla siguiente.

Elemento Significado

Fuente negrita

Denota los caracteres escritos tal como se muestra, incluidos comandos, conmutadores y nombres de archivo. Los elementos de la interfaz de usuario también se muestran en negrita.

Fuente cursiva

Los títulos de libros y otras publicaciones importantes se muestran en cursiva.

<Cursiva>

Los marcadores de posición destacados en cursiva y entre corchetes angulares <Cursiva> representan variables. 

Monospace font

Define ejemplos de código y secuencias de comandos.

Nota

Informa al lector de la información suplementaria.

Importante

Informa al lector de la información suplementaria fundamental.

Soporte y comentarios

El equipo Aceleradores de soluciones – Seguridad y Cumplimiento (SASC) estará encantado de recibir su opinión acerca de este y otros aceleradores de soluciones. Envíe sus opiniones y comentarios a secwish@microsoft.com. Esperamos su contribución.

Los aceleradores de soluciones ofrecen instrucciones prescriptivas y automatización para la integración cruzada de productos. Presentan herramientas y contenido probados que le permiten planear, construir, implementar y utilizar la tecnología de la información con seguridad. Para ver el amplio abanico de aceleradores de soluciones e información adicional, visite la página Aceleradores de soluciones de Microsoft TechNet.


**
**

Descargar

Obtenga la Guía fundamental de investigación de equipos para Windows

Notificaciones de actualización

Regístrese para recibir información acerca de actualizaciones y versiones nuevas

Comentarios

Envíenos sus comentarios o sugerencias