1) Entrevista previa antes de empezar y aceptar el
caso. Obtener la máxima información sobre el mismo:
-
Fuentes: Gerente, abogados, técnicos, testigos,
investigadores, testigos.
-
Escenario: Lugares, Hostings, Servidores, Wok
Stations, dispositivos de almacenamiento, Ficheros, documentos, equipos
virtualizados, Cloud Computing, Evidencias volatiles, ...
- Seguridad: Backups, logs, Firewalls,
IDS, eventos, ...
2) Plan de trabajo: elaborar un plan de trabajo
adecuado al caso y a los intereses del esclarecimiento de la verdad.
Presentarlo a las personas responsables del caso para su aceptación.
3) Elaborar, presentar y firmar por las partes un documento "Encargo del Servicio" para garantizar las posibles responsabilidades de ambas partes de las actuaciones con la información, equipos y metodología utilizada .
4) Durante todo el caso acompañar al análisis de un
documento (bitácora) donde se debe plasmar los estados de las evidencias,
procedimientos posibles a aplicar, procedimientos elegidos (especificando
herramientas, parámetros y opciones) y el porqué de esta elección, resultados
obtenidos, estado de la evidencia después de su aplicación, hashes obtenidos, …
5) Adquisición de las evidencias con las debidas
garantías legales e inicio/continuación de la cadena de custodia. Preservación
de las evidencias para su posterior cotejo.
6) Obtener las palabras/sentencias claves de acorde
al caso (nombres, direcciones, nicks, cuentas, ficheros, identificadores,
empresas, dominios, …) así como los instantes temporales relacionados con el
caso.
7) Obtener, analizar y ordenar la información
obtenida en relación a las búsquedas efectuadas, sin obviar aquellas que no resulten
favorables a los intereses del cliente. El Peritaje debe ser lo más objetivo,
completo y certero que sea posible, debiendo primar la garantía de
independencia y plasmando las conclusiones sin ninguna injerencia de las partes.
8) Analizar y obtener patrones de conductas y
cotejarlo con las sospechas de actuaciones por aquellas personas
presumiblemente detrás de la acción. Analizar posible coherencias/incoherencias
en la información. Analizar desde diversas
ópticas los resultados. Evaluar la posibilidad de técnicas anti-forenses y detectar
si han sido utilizadas.
9) Retroalimentar el caso a medida que se va
obteniendo información para plantearse otras vías de análisis o nuevas
consultas o reconstrucciones de las anteriores consultas realizadas.
10) Construir un informe completo, técnico, objetivo
y con unas conclusiones claras y concisas que den solución a las cuestiones del
caso. No se deben utilizar apreciaciones ni verdades a medias, valorando y
acotando los rangos de validez de las afirmaciones. Aquellos documentos/resultados
que por su extensión o complejidad impida una correcta plasmación dentro del
documento escrito y las herramientas/scripts que hayamos elaborado se deberán
acompañar en formato digital como anexos al informe.
11) Exponer y explicar el informe ante los abogados
e investigadores y apoyar técnicamente a éstos para el resto de su trabajo en
relación al esclarecimiento de los hechos. Se puede desprender del resultado
del peritaje la necesidad de solicitar al Juzgado pruebas anticipadas como la petición a
Proveedores de Internet de identificación de direcciones de IP.
12) Con el abogado y de cara al juicio explicarle
que tipo de preguntas debe realizar para poder exponer las conclusiones
halladas en el peritaje.
13) Previo al juicio estudiar de nuevo el caso,
procedimientos realizados, conclusiones obtenidas y el porqué del método
seguido en el mismo.
14) En el juicio llevar una copia del informe y la
bitácora, pudiéndose acompañar de medios técnicos para apoyar las respuestas de
los resultados. Contestar a las preguntas de la forma más clara, correcta y
concisa y, ante cualquier duda, releer el informe y las notas antes de contestar
de forma distinta o incorrecta faltando a la verdad.
15) Obtener del caso juicio, tanto de las
críticas/replicas por parte de los abogados como de los contra-peritajes
efectuados y el resultado de la sentencia un "feedback" para su
aplicación y mejora de acción en el próximo caso a realizar.
