Proceso
Las siete etapas habituales
- Identificación: definir sistemas, cuentas, archivos y pregunta técnica.
- Preservación: conservar originales, accesos y contexto antes de tocar más.
- Adquisición: obtener copias o exportaciones de forma controlada.
- Análisis: revisar datos con criterios proporcionales al caso.
- Contraste: comprobar hipótesis alternativas y coherencia temporal.
- Informe: explicar método, evidencias, límites y conclusiones.
- Cierre: documentar entregables, dudas pendientes y acciones posteriores.
Control de calidad
Qué debería salir de cada fase
| Fase | Salida útil | Error frecuente |
|---|---|---|
| Identificación | Pregunta técnica, sistemas implicados y alcance inicial | Analizar todo sin saber qué se busca |
| Preservación | Originales separados, copias de trabajo y registro de acciones | Seguir usando el dispositivo sin anotar cambios |
| Adquisición | Exportaciones o copias controladas según el caso | Mezclar originales, capturas y notas personales |
| Análisis | Hallazgos vinculados a evidencias concretas | Confirmar una sospecha sin contrastar alternativas |
| Informe | Método, evidencias, límites y conclusiones proporcionadas | Usar lenguaje rotundo cuando los datos no bastan |
La calidad del informe depende de que cada fase deje una huella entendible.
Qué aporta cada etapa
No empieces por la herramienta
La tentación es instalar una aplicación y buscar resultados inmediatos. En análisis forense, eso puede alterar datos o crear ruido. Primero conviene saber qué se intenta responder y qué material existe.
Preservar no es analizar
Preservar significa mantener la información disponible y explicar su origen. Analizar significa interpretarla con método. Mezclar ambas fases provoca problemas: se modifican archivos, se pierde contexto o se olvida qué acción generó cada cambio.
Web, correo y cuentas necesitan contexto
Un correo exige cabeceras y adjuntos; una página web exige URL, fecha y estado visible; una cuenta exige sesiones, avisos y cambios de recuperación. El proceso es parecido, pero la evidencia útil no es idéntica. Por eso la primera fase debe traducir el problema a fuentes concretas.
El informe no debe ser una sorpresa
Si la pregunta, evidencias y límites estuvieron claros desde el inicio, el informe debería ser comprensible. Debe enlazar cada conclusión con observaciones concretas y reconocer cuándo los datos no permiten afirmar algo con seguridad.
Siguiente lectura
Guias relacionadas para continuar
Si quieres seguir con el mismo tema, aqui tienes paginas cercanas que amplian la tecnica, comparan variantes o te llevan a la siguiente rutina.
