Recomendaciones básicas a tener en cuenta en un Peritaje Informático

1)  Entrevista previa antes de empezar y aceptar el caso. Obtener la máxima información sobre el mismo:

• Fuentes: Gerente, abogados, técnicos, testigos, investigadores, testigos.
• Escenario: Lugares, Hostings, Servidores, Wok Stations, dispositivos de almacenamiento, Ficheros, documentos, equipos virtualizados, Cloud Computing, Evidencias volatiles, ...
• Seguridad: Backups, logs, Firewalls, IDS, eventos, ...

2)  Plan de trabajo: elaborar un plan de trabajo adecuado al caso y a los intereses del esclarecimiento de la verdad. Presentarlo a las personas responsables del caso para su aceptación.

3)  Elaborar, presentar y firmar por las partes un documento "Encargo del Servicio" para garantizar las posibles responsabilidades de ambas partes de las actuaciones con la información, equipos y metodología utilizada .

4)  Durante todo el caso acompañar al análisis de un documento (bitácora) donde se debe plasmar los estados de las evidencias, procedimientos posibles a aplicar, procedimientos elegidos (especificando herramientas, parámetros y opciones) y el porqué de esta elección, resultados obtenidos, estado de la evidencia después de su aplicación, hashes obtenidos, …

5)  Adquisición de las evidencias con las debidas garantías legales e inicio/continuación de la cadena de custodia. Preservación de las evidencias para su posterior cotejo.

6)  Obtener las palabras/sentencias claves de acorde al caso (nombres, direcciones, nicks, cuentas, ficheros, identificadores, empresas, dominios, …) así como los instantes temporales relacionados con el caso.

7)  Obtener, analizar y ordenar la información obtenida en relación a las búsquedas efectuadas, sin obviar aquellas que no resulten favorables a los intereses del cliente. El Peritaje debe ser lo más objetivo, completo y certero que sea posible, debiendo primar la garantía de independencia y plasmando las conclusiones sin ninguna injerencia de las partes.

8)  Analizar y obtener patrones de conductas y cotejarlo con las sospechas de actuaciones por aquellas personas presumiblemente detrás de la acción. Analizar posible coherencias/incoherencias  en la información. Analizar desde diversas ópticas los resultados. Evaluar la posibilidad de técnicas anti-forenses y detectar si han sido utilizadas.

9)  Retroalimentar el caso a medida que se va obteniendo información para plantearse otras vías de análisis o nuevas consultas o reconstrucciones de las anteriores consultas realizadas.

10) Construir un informe completo, técnico, objetivo y con unas conclusiones claras y concisas que den solución a las cuestiones del caso. No se deben utilizar apreciaciones ni verdades a medias, valorando y acotando los rangos de validez de las afirmaciones. Aquellos documentos/resultados que por su extensión o complejidad impida una correcta plasmación dentro del documento escrito y las herramientas/scripts que hayamos elaborado se deberán acompañar en formato digital como anexos al informe.

11) Exponer y explicar el informe ante los abogados e investigadores y apoyar técnicamente a éstos para el resto de su trabajo en relación al esclarecimiento de los hechos. Se puede desprender del resultado del peritaje la necesidad de solicitar al Juzgado pruebas anticipadas como la petición a Proveedores de Internet de identificación de direcciones de IP.

12) Con el abogado y de cara al juicio explicarle que tipo de preguntas debe realizar para poder exponer las conclusiones halladas en el peritaje.

13) Previo al juicio estudiar de nuevo el caso, procedimientos realizados, conclusiones obtenidas y el porqué del método seguido en el mismo.

14) En el juicio llevar una copia del informe y la bitácora, pudiéndose acompañar de medios técnicos para apoyar las respuestas de los resultados. Contestar a las preguntas de la forma más clara, correcta y concisa y, ante cualquier duda, releer el informe y las notas antes de contestar de forma distinta o incorrecta faltando a la verdad.

15) Obtener del caso juicio, tanto de las críticas/replicas por parte de los abogados como de los contra-peritajes efectuados y el resultado de la sentencia un "feedback" para su aplicación y mejora de acción en el próximo caso a realizar.