Adquisición de evidencias
¿Qué es Adquisición de evidencias?
Adquisición de evidenciasRecolección defendible de evidencias digitales de sistemas, redes y servicios en la nube mediante herramientas y procedimientos forensemente sólidos.
La adquisición es el paso formal en una investigación digital donde se capturan datos para su análisis posterior. Objetivos habituales: discos físicos y virtuales, RAM, dispositivos móviles, cargas en la nube y capturas de red. Puede ser física (imagen bit a bit con FTK Imager, dd o Guymager), lógica (a nivel de archivos con KAPE o Velociraptor) o en vivo (datos volátiles con WinPmem, LiME o Magnet RAM Capture). El profesional hashea al adquirir, prefiere bloqueadores de escritura por hardware, trabaja sobre copias y documenta cada paso en la cadena de custodia. NIST SP 800-86 e ISO/IEC 27037 enfatizan el orden de volatilidad y el mínimo impacto sobre la fuente.
● Ejemplos
- 01
Adquirir una imagen bit a bit de un SSD de 1 TB con Guymager a través de un bloqueador de escritura por hardware.
- 02
Extraer los Microsoft 365 Unified Audit Logs vía Graph API para preservar actividad en la nube.
● Preguntas frecuentes
¿Qué es Adquisición de evidencias?
Recolección defendible de evidencias digitales de sistemas, redes y servicios en la nube mediante herramientas y procedimientos forensemente sólidos. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Adquisición de evidencias?
Recolección defendible de evidencias digitales de sistemas, redes y servicios en la nube mediante herramientas y procedimientos forensemente sólidos.
¿Cómo defenderse de Adquisición de evidencias?
Las defensas contra Adquisición de evidencias combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Adquisición de evidencias?
Nombres alternativos comunes: Recolección de evidencias, Adquisición forense.