ISO/EIC 27032:2012 – Contenido Parte III

Publicado el 09/10/2024 por Rafael_L_R

(Continuación de la descripción de los contenidos de la norma ISO/EIC 27023:2012)

>> Ver contenido de la norma ISO/EIC 27032:2012 – Parte II

>> Ver contenido de la norma ISO/EIC 27032:2012 – Parte IV

Cap. 13 – Ordenadores y dispositivos en red.

Muchos de los tratamientos son idénticos y muy similares a los del capítulo anterior Cap 12 – “Equipos, medios de almacenamiento y dispositivos periféricos”, por lo que a fin de evitar redundancias que únicamente ocuparían espacio, en este capítulo sólo se va a reflejar aquello que se considera específico y se prescinde de repetir el texto del capítulo anterior en temas como “búsqueda”, “medidas de almacenamiento, y “preservación”, por otro lado, lo expresado en el presente capítulo no refleja el contenido completo de la norma, solamente se refleja aquello que se ha considerado más relevante y diferenciador.

Cap. 13.1 Identificación

Los ordenadores y dispositivos en red son aquellos que se encuentran conectados a una red ya sea por un cable físico o mediante conexión inalámbrica. Estos dispositivos en red pueden incluir mainframes, servidores, PC de sobremesa, puntos de acceso a la red, switches, hubs, routes, dispositivos bluetooth, etc.

Una de las consideraciones a tener en cuenta, es que si los dispositivos están en red es difícil determinar, en primera instancia, dónde se encuentran los datos y la información puesto que los mismos se pueden encontrar ubicados en cualquier lugar accesible por medio de la red.

Cap. 13.1.1 Búsqueda de la ubicación física y la documentación

Las premisas para este apartado son las mismas que las que se han enunciado en el capítulo anterior dedicado a los “Equipos, medios de almacenamiento y dispositivos periféricos”, únicamente se han de añadir aquellos puntos que son específicos y relativos a la particularidad de la conectividad en red.

Siendo dichos apartados adicionales los siguientes:

e) Los cables de la red se conectan normalmente en la parte trasera de los dispositivos. Si un cable de red está presente, suele estar conectado a un punto de conexión y el cable o el punto están conectados a cuadros llamados hub o switch (ambos son físicamente muy similares).

f) Tened en cuenta que un cable de red también puede estar conectado a un módem de acceso a Internet. Los módems suelen estar conectados a un sistema telefónico o directamente a un ordenador o un conmutador / enrutador. También hay módems que incorporan el router incorporado.

g) Si el coste y el tiempo lo permiten, el DEFR también debe considerar el uso de un detector de señal inalámbrica para localizar e identificar la existencia de una señal de comunicación de los dispositivos inalámbricos conectados para encontrarlos dado que estos dispositivos pueden estar ocultos a la vista.

Cap. 13.2 Recogida y/o adquisición

El DEFR debe decidir entre recoger (incautar o secuestrar) los ordenadores y los dispositivos periféricos o adquirir las evidencias digitales “in situ” directamente de los mismos. La elección tiene que estar en equilibrio con las circunstancias de coste, tiempo y recursos disponibles. Se establecen las siguientes directrices para la recolección y/o la adquisición de dispositivos de red:

a) Una vez que el DEFR ha reconocido e identificado los dispositivos de red, debe aislar el acceso de la red a Internet. Esto se puede hacer retirando la conexión del sistema telefónico, o desconectando la red del puerto o punto de acceso inalámbrico.

b) Los dispositivos de la red deben mantenerse en funcionamiento para su posterior análisis para determinar qué otros dispositivos están conectados a los dispositivos de red.

c) Tened en cuenta que con la extracción de energía (paro o desconexión de corriente) de los dispositivos de red, en ese momento, se puede destruir los datos volátiles, tales como la información de los procesos en ejecución, conexiones de red y los datos almacenados en la memoria. El DEFR debe capturar esta información antes de retirar la alimentación de los dispositivos.

d) Para las redes de cableado de datos trazar (realizar un croquis) de las conexiones con los equipos y etiquetar los puertos para la futura reconstrucción (croquis o mapa) de la toda la red.

e) Una vez que el DEFR se ha asegurado de que no hay pérdida de evidencias como resultado de la desconexión, entonces se pueden retirar los ordenadores y los dispositivos de la red.

f) A continuación, realizar el tratamiento de cada equipo, siendo tratado como un equipo independiente.

g) Otra característica importante a tener en cuenta es que los teléfonos móviles y PDA’s pueden conectarse a la red a través de WiFi o de las conexiones Bluetooth. Asegúrese de que estos dispositivos que pudieran estar conectados como periféricos no se quedan atrás (olvidados y fuera de la investigación).

About Rafael_L_R

Perito Judicial Informático y Director de Organización, Proyectos y Servicios TICs
Esta entrada fue publicada en Buenas Prácticas, Delitos Informáticos, Divulgación, Evidencias, Opinión, Peritaje Informático o Tecnológico, Todos y etiquetada , , , , . Guarda el enlace permanente.