Datos forenses

Los virus, el malware y el ransomware pueden llevar a cabo actividades maliciosas como robar o cambiar datos. Es posible que haya que investigar estas actividades, pero esto se puede hacer únicamente si hay pruebas digitales. Sin embargo, las pruebas digitales, al igual que el rastro de archivos o actividad, pueden borrarse o el equipo en el que tenga lugar la actividad maliciosa dejará de estar disponible.

Las copias de seguridad con datos forenses permiten a los investigadores analizar áreas de disco que no suelen incluirse en una copia de seguridad del disco habitual. Con la opción de copias de seguridad llamada Datos forenses se pueden recopilar las siguientes pruebas digitales para utilizarlas en investigaciones forenses: capturas de espacio en disco no utilizado, volcados de memoria y capturas de procesos en ejecución.

Las copias de seguridad con datos forenses se certifican automáticamente.

La opción Datos forenses está disponible únicamente para equipos Windows con copias de seguridad completas con los siguientes sistemas operativos:

  • Windows 8.1, Windows 10
  • Windows Server 2012 R2 – Windows Server 2019

Las copias de seguridad con datos forenses no se encuentran disponibles para los siguientes equipos:

  • Equipos conectados a su red mediante una VPN y sin acceso directo a Internet
  • Equipos con discos cifrados por BitLocker

No puede modificar la configuración de los datos forenses después de aplicar un plan de protección con el módulo Copia de seguridad en un equipo. Para usar una configuración diferente de datos forenses, cree un nuevo plan de protección.

Puede almacenar copias de seguridad de datos forenses en las siguientes ubicaciones:

  • Almacenamiento en la cloud

  • Carpeta local

    La ubicación de la carpeta local solo se admite en discos duros externos conectados mediante USB.

    Los discos dinámicos locales no se admiten como ubicaciones para copias de seguridad de datos forenses.

  • Carpeta de red

Proceso de copia de seguridad forense

El sistema realiza lo siguiente durante un proceso de copia de seguridad forense:

  1. Recopila un volcado de memoria sin procesar y la lista de procesos en ejecución.
  2. Reinicia un equipo automáticamente en el dispositivo de arranque.
  3. Crea la copia de seguridad que incluye tanto el espacio ocupado como el que está sin asignar.
  4. Certifica los discos de los que se ha realizado la copia de seguridad.
  5. Reinicia en el sistema operativo en funcionamiento y sigue con la ejecución del plan (por ejemplo, replicación, retención, validación, entre otros).

Pasos para configurar la recopilación de datos forenses

  1. En la consola de servicio, vaya a Dispositivos > Todos los dispositivos. Los planes de protección también se pueden crear desde la pestaña Planes.
  2. Seleccione el dispositivo y haga clic en Proteger.
  3. En el plan de protección, habilite el módulo Copia de seguridad.
  4. En De qué realizar copias de seguridad, seleccione Todo el equipo.
  5. En Opciones de copia de seguridad, haga clic en Cambiar.
  6. Busque la opción Datos forenses.

  7. Habilite Recopilar datos forenses. El sistema recopilará automáticamente un volcado de memoria y creará una instantánea de los procesos en ejecución.

    Un volcado de memoria completo puede incluir datos confidenciales, como contraseñas.

  8. Especifique la ubicación.
  9. Haga clic en Ejecutar ahora para llevar a cabo directamente una copia de seguridad con datos forenses o espere a que la copia de seguridad se cree según la planificación.
  10. Vaya a Panel de control > Actividades y verifique que se haya creado correctamente la copia de seguridad con datos forenses.

Como resultado, las copias de seguridad incluirán datos forenses, y podrá obtenerlas y analizarlas. Las copias de seguridad con datos forenses aparecen marcadas y se pueden filtrar de otras copias de seguridad en Almacenamiento de copia de seguridad > Ubicaciones mediante la opción Solo con datos forenses.

¿Cómo se pueden obtener los datos forenses datos desde una copia de seguridad?

  1. En la consola de servicio, vaya a Almacenamiento de copia de seguridad y seleccione la ubicación en la que se encuentran las copias de seguridad que contienen datos forenses.
  2. Seleccione la copia de seguridad con datos forenses y haga clic en Mostrar copias de seguridad.

  3. Haga clic en Recuperar para la copia de seguridad con datos forenses.

    • Para obtener únicamente los datos forenses, haga clic en Datos forenses.

      El sistema mostrará una carpeta con los datos forenses. Seleccione un archivo de volcado de memoria o cualquier otro archivo de datos forenses, y haga clic en Descargar.

    • Para recuperar una copia de seguridad forense completa, haga clic en Todo el equipo. El sistema recuperará la copia de seguridad sin el modo de arranque. Por lo tanto, será posible comprobar que el disco no ha cambiado.

Puede usar el volcado de memoria proporcionado con varios softwares forenses de terceros, por ejemplo, use Volatility Framework en https://www.volatilityfoundation.org/ para obtener un mayor análisis de la memoria.