1. Registros generados y registros almacenados por un ordenador
1.1. registros generados
1.1.1. generados por una aplicacion en ejecucion
1.1.1.1. pocas veces son admitidas por el tribunal
1.1.1.2. ejm
1.1.1.2.1. registro de windows
1.1.1.2.2. eventos de windows
1.1.1.2.3. archivos log de navegación de users
1.2. registros almacenados
1.2.1. generada por un agente humano
2. Cadena de custodia
2.1. definicion
2.1.1. registra quien y cuando estuvo en posesión de la evidencia
2.2. formulario
2.2.1. busqueda
2.2.2. recogida
2.2.3. catalogacion
2.2.4. lugar de obtencion
2.2.5. fecha de obtencion
2.2.6. numero de caso
2.2.7. descripcion de evidencia
3. Recopilación de evidencias digitales
3.1. vivo
3.1.1. dispositivo encendido y en ejecución
3.1.1.1. estado muy volatil
3.1.1.2. es importante crear snapshot de cada recopilacion de evidencia
3.1.1.3. se puede recopilar contraseñas, almacenamiento en nube entre otros
3.1.1.4. tener cuidado con no contaminar la evidencia
3.2. muerto
3.2.1. dispositivo apagado
3.2.1.1. se crea una copia bit a bit
3.2.1.2. estado de volatilidad baja
3.2.1.3. menor probabilidad de contaminar la evidencia original
3.2.1.4. mayor provechos de recursos hardware
3.2.1.5. se recopila solo evidencia del almacenamiento persistente
3.3. aproximacion para la recopilacion de evidencias
3.3.1. respuesta a incidentes orientada a ala comunidad del negocio
3.3.1.1. contiene , erradica y vuelve a funcionar como normalmente
3.3.1.2. invalida evidencia que llevaria a una auditoria del ataque
3.3.2. investigacion forense digital
3.3.2.1. detecta, extrae y analiza la evidencia
3.3.2.2. preserva la integridad
3.3.2.3. cumple la cadena de custodia
3.3.2.4. en caso de ser necesario llega a un tribunal
3.4. principios generales para recopilacion forense de evidencias digitales
3.4.1. aplica a todo dispositivo digital
3.4.2. preservar integridad de la evidencia
3.4.3. la informacion original es restringida
3.4.4. cumplir con la cadena de custodia
3.4.5. cualquiera en posesión de la evidencia se hace responsable
4. El método científico
4.1. informe
4.1.1. recoger informacion y evidencia
4.1.2. formular hipotesis
4.1.3. comprobar hipótesis con información reproducible
4.1.4. conclusion
4.1.5. presentar informe
4.2. tipos de evidencia
4.2.1. inculpatorias
4.2.2. exculpatorias
5. Mejor evidencia
5.1. evidencia preservada correctamente
5.2. evidencia propuesta por la otra parte
5.3. evidencia aceptada por el tribunal
5.4. en algunos casos no es posible entregar la evidencia original
6. Antiforense digital
6.1. definición
6.1.1. metodos y herramientas de destruir evidencia digital
6.2. ejm.
6.2.1. cifrado
6.2.2. esteganografia
6.2.3. comprension
6.2.4. empaquetado
6.2.5. compresion y cifrado
6.2.6. modificacion de los metadatos de un archivo
6.2.7. borrado de ficheros
6.2.8. ocultacion de sistemas de ficheros
7. Definición de forense digital
7.1. Principio de Locard
7.1.1. todo contacto deja huella
7.2. multidisciplinario
7.2.1. ambito legal
7.2.2. informatica
7.2.3. telecomunicación
7.3. ramas
7.3.1. forense de ordenadores
7.3.2. análisis forense de información
7.3.3. forense de base de datos
7.3.4. forense de red
7.3.5. forense de dispositivos moviles
7.3.6. forense de video/audio
7.4. roles del dispositivo
7.4.1. arma del crimen
7.4.2. cadaver
7.5. objetivo del dispositivo o escena de crimen
7.5.1. determinar when
7.5.2. determinar where
7.5.3. determinar how
7.5.4. determinar why
7.5.5. determinar what
7.5.6. determinar who
7.6. Equipo de reacción rápida ante incidentes informáticos
7.6.1. CART 1984
7.6.2. cibercrimen
7.6.2.1. distribución de malware
7.6.2.2. manipulación de aplicaciones informáticas
7.6.2.3. fraude en apuestas ilegales
7.6.2.4. ataques DoS
7.6.2.5. contrabando de indentidades
8. Investigaciones corporativas e investigaciones criminales
8.1. investigaciones criminales
8.1.1. consecuencias
8.1.1.1. economicas
8.1.1.2. prision
8.1.2. buenas estrategias
8.1.2.1. tener orden judicial
8.2. investigaciones corporativas
8.2.1. consecuencias
8.2.1.1. economicas
8.2.1.2. despido
8.2.1.3. la investigación puede convertirse en un caso de crimen
8.2.2. buenas estrategias
8.2.2.1. implicar equipos legales
8.2.2.2. implicar a recursos humanos
8.2.3. rol de investigador forense digital
8.2.3.1. detección y obtención de evidencias
8.2.3.2. garantiza la integridad de la evidencia
8.2.3.3. presenta resultados de la investigacion
9. Diferencias entre E-Discovery y forense digital
9.1. E-Discovery
9.1.1. litigios civiles
9.1.2. no implica datos eliminados
9.1.3. centrado en datos del espacio asignado del soporte de almacenamiento
9.1.4. recuperación de datos limitada
9.1.5. testimonio basado en hechos
9.2. forence digital
9.2.1. investigaciones criminales
9.2.2. se recuperan datos eliminados
9.2.3. incluye datos presentes en el espacio asignado y en el espacio no asignado
9.2.4. busqueda de datos sin limite
9.2.5. testimonio basado en experiencia del forense
10. Definición de evidencia digital
10.1. objeto que paoya o refuta una hipotesis de investigacion cientifica
10.2. evidencia digital que cualquiera de las partes presenta en un tribunal
10.3. importante
10.3.1. preservar adecuadamente la evidencia
10.4. el tribunal puede anular la evidencia en caso de contaminación
11. Principios internacionales de evidencia digital
11.1. IOCE
11.1.1. internacional Organization on Computer Evidence
11.1.2. guia de buenas practicas forenses
11.1.2.1. equipamiento
11.1.2.2. formacion
11.1.2.3. necesidades organizacionales