Tipos de datos en evidencias de DF

| Última modificación: 19 de abril de 2024 | Tiempo de Lectura: 3 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

Existen dos tipos de datos en evidencias de DF (digital forensics). El primero son los datos volátiles; el segundo son los datos no volátiles. A continuación te contaremos en qué consiste cada uno de ellos.

¿Qué son las evidencias en las digital forensics?

En el campo de la informática forense o DF (digital forensics), las evidencias se refieren a cualquier información digital o electrónica que se recopila y se utiliza en una investigación para demostrar la existencia o la ocurrencia de un evento o una actividad.

Las evidencias en digital forensics pueden incluir registros de actividad del sistema, archivos de registro, metadatos, imágenes de disco, archivos de correo electrónico, mensajes de texto, historiales de navegación web o archivos de audio y vídeo, entre otros tipos de datos digitales. Estas evidencias se utilizan para establecer la autenticidad, la integridad y la fiabilidad de la información y pueden presentarse en un tribunal como prueba en un caso legal.

Es importante destacar que en el proceso de recolección y preservación de las evidencias digitales se deben seguir ciertos protocolos y estándares para asegurar su validez y la integridad de la cadena de custodia, lo que garantiza que la información recolectada no ha sido alterada o manipulada de ninguna manera.

Tipos de datos en evidencias de DF

Tipos de datos en evidencias de DF

Manteniendo la línea de adquisición de evidencias en informática forense, hay que seguir un criterio cuando estamos adquiriendo diferentes elementos, que es determinar los tipos de datos en evidencias de DF que vamos a adquirir.

En este caso, hay que aprender a discernir entre dato volátil y dato no volátil.

Dato volátil

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Entre los tipos de datos en evidencias de DF, este es el que corresponde a la información temporal dentro del dispositivo. Se requiere alimentación para mantener este tipo de dato. La memoria RAM es un ejemplo de dato volátil, ya que si queremos escribir, hacer una copia de la memoria RAM del equipo, este se convierte en un dato volátil, porque en cuanto el equipo se apague, ya hemos perdido todo el contenido de esta memoria.

Rondan en internet vídeos de gente que consigue congelar la memoria RAM y, una vez apagado el equipo, consigue sacar información de esta debido a que la congelan justo antes de que se apague el equipo. Estas son pruebas excepcionales que no suelen ocurrir frecuentemente y no son fáciles de ejecutar.

¿Sabías que existen malwares que copian la memoria RAM? En realidad no se hace una copia de la RAM como tal, solo de manera parcial. Lo que hacen estos malwares es ejecutar datos de procesos, es decir, no les interesa la memoria RAM entera, sino que copia el contenido de algunos de los procesos en memoria.
Hace un tiempo, existían ransomwares en los que la clave para descifrarlo se dejaba en la memoria RAM. Es decir, si el ordenador donde estaba guardada la clave se apagaba, esta se perdía. Con el pasar de los años, los investigadores se dieron cuenta de ello y pasaron a diferentes formas.

Dato no volátil

Es información que pertenece en el dispositivo almacenado en un dispositivo de almacenamiento, como es el caso de un disco duro. Estos tipos de datos en evidencias de DF no se pierden al apagarse el equipo.

Cadena de custodia con los tipos de datos en evidencias de DF

La cadena de adquisición o custodia con los tipos de datos en evidencias de DF es:

  • Primero, es necesario hacer una copia de los datos volátiles.
  • Luego, se hace la de de los datos no volátiles.

¿Qué sucede si lo hacemos al contrario? Si para extraer el disco hemos tenido que apagar el equipo, toda la información que había en la RAM se habrá perdido; nos habremos quedado sin información en esta memoria.

La memoria RAM en un incidente informático es muy valiosa, incluso más que la que hay en el disco, porque con la copia RAM podemos ver qué procesos estaban ejecutándose y qué conexiones tenía el equipo.

¿Cómo aprender más?

Ya hemos visto los tipos de datos en evidencias de DF. Si quieres formarte para ser un gran profesional en áreas de la informática forense, en KeepCoding tenemos el mejor curso intensivo para ti. Accede a nuestro Ciberseguridad Full Stack Bootcamp y descubre cómo puedes convertirte en un especialista en muy pocos meses con la guía de profesores expertos y una gran variedad de conocimientos teóricos y prácticos. ¡Solicita información ahora y transforma tu futuro!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado