Orden de volatilidad
¿Qué es Orden de volatilidad?
Orden de volatilidadPrioridad de adquisicion definida por RFC 3227 que obliga al equipo forense a recoger primero la evidencia mas efimera, antes de que se sobrescriba o se pierda.
El orden de volatilidad es un principio fundamental del DFIR, recogido en el RFC 3227, que clasifica la evidencia digital segun la rapidez con la que cambia o desaparece. El orden canonico es: registros y cache de CPU, memoria del kernel y de los procesos, estado de red y caches ARP, procesos en ejecucion, sistemas de archivos temporales, almacenamiento persistente, datos de logging y monitorizacion remota y, por ultimo, configuracion fisica y medios de archivo. Los responders deben crear imagenes de las fuentes volatiles antes de apagar o reiniciar, pues la RAM, las sesiones de red y el estado de enrutado se pierden al apagar. En IR moderna de Windows, esto suele implicar capturar memoria con WinPmem o DumpIt y triar artefactos volatiles con KAPE o Velociraptor antes de los procedimientos forenses de apagado.
● Ejemplos
- 01
Adquirir un volcado de memoria y la salida de netstat antes de desconectar un host con beacon activo.
- 02
Recoger claves de sesion TLS desde la RAM antes de que se borren al cerrar sesion.
● Preguntas frecuentes
¿Qué es Orden de volatilidad?
Prioridad de adquisicion definida por RFC 3227 que obliga al equipo forense a recoger primero la evidencia mas efimera, antes de que se sobrescriba o se pierda. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Orden de volatilidad?
Prioridad de adquisicion definida por RFC 3227 que obliga al equipo forense a recoger primero la evidencia mas efimera, antes de que se sobrescriba o se pierda.
¿Cómo defenderse de Orden de volatilidad?
Las defensas contra Orden de volatilidad combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Orden de volatilidad?
Nombres alternativos comunes: Orden de volatilidad, Orden RFC 3227.