Análisis Forense informático-Fuentes de Evidencia

 Análisis Forense informático-Fuentes de Evidencia

¿Cuál de los dispositivos o componentes de un computador contendrá evidencias tipo archivos?

En un computador, las evidencias tipo archivos pueden estar almacenadas en varios dispositivos o componentes, dependiendo de dónde se hayan generado o manipulado los archivos.

Algunos de los dispositivos o componentes donde se pueden encontrar evidencias tipo archivos en un computador son:

1.    Disco duro: es el dispositivo principal de almacenamiento en un computador y es donde se almacenan los archivos del sistema operativo, programas y datos. Los archivos generados o manipulados por el usuario también se almacenan en el disco duro.

2.    Memoria USB: es un dispositivo portátil de almacenamiento que se conecta a un puerto USB del computador. Los archivos generados o manipulados por el usuario también se pueden almacenar en una memoria USB.

3.    Tarjeta de memoria: es una unidad de almacenamiento utilizada en dispositivos como cámaras digitales, teléfonos móviles o tabletas. Los archivos generados o manipulados en estos dispositivos se almacenan en la tarjeta de memoria.

4.    CD/DVD: estos dispositivos se utilizan para leer y escribir datos en discos ópticos. Los archivos generados o manipulados en el computador también se pueden almacenar en un CD o DVD.

5.    Copias de seguridad: se pueden hacer copias de seguridad de archivos en discos duros externos, servicios de almacenamiento en la nube o en otros dispositivos de almacenamiento.

¿Qué tipo de evidencias puede contener el sistema operativo?

Algunas de las evidencias que se pueden encontrar en el sistema operativo son:

1.    Archivos de registro (logs): el sistema operativo mantiene registros de todas las actividades que se realizan en el computador, incluyendo información sobre el inicio y apagado del sistema, la instalación y desinstalación de programas, el uso de dispositivos externos, entre otros.

2.    Archivos temporales: el sistema operativo utiliza archivos temporales para realizar diversas tareas, como el almacenamiento en caché de datos o la creación de copias de seguridad de archivos. Estos archivos pueden contener información temporal que puede ser relevante en una investigación forense.

3.    Archivos de configuración: el sistema operativo almacena la configuración de los programas y dispositivos instalados en el computador en archivos de configuración. Estos archivos pueden contener información sobre las preferencias del usuario, los programas instalados y las redes a las que se ha conectado el computador.

4.    Archivos de sistema: el sistema operativo utiliza varios archivos de sistema para funcionar correctamente. Estos archivos pueden contener información importante sobre el sistema operativo, como la versión del sistema operativo, el nombre del usuario, la fecha y hora de creación del archivo, entre otros.

5.    Archivos de usuario: el sistema operativo también almacena archivos de usuario, que son creados y utilizados por el usuario del computador. Estos archivos pueden contener información importante sobre las actividades del usuario, como documentos de texto, imágenes, videos, entre otros.

¿Se podrán encontrar evidencias en la memoria principal? 

Sí, es posible encontrar evidencias en la memoria principal de un computador, también conocida como memoria RAM (Random Access Memory). La memoria RAM es un componente crítico del hardware de un computador, ya que es donde se almacenan temporalmente los programas y datos que se están utilizando en el momento.

Durante una investigación forense digital, la memoria RAM puede contener evidencias de actividades recientes realizadas en el computador, como programas que se han ejecutado, documentos que se han abierto, páginas web que se han visitado, contraseñas que se han introducido, entre otras cosas.

Para recopilar evidencias de la memoria RAM, se utilizan herramientas de análisis forense digital especializadas que permiten extraer la información de la memoria sin afectar los datos originales. Estas herramientas pueden analizar la memoria RAM en tiempo real o después de que se ha apagado el computador.

Es importante tener en cuenta que la información en la memoria RAM es volátil, lo que significa que se pierde cuando se apaga el computador. Por esta razón, es necesario realizar el análisis de la memoria RAM lo más pronto posible después de que se ha detectado un posible incidente de seguridad o cuando se requiere obtener información de un computador en particular.