Cuando se ha detectado la intrusión en un sistema informático, el primer paso a tomar es el de asegurar el escenario de la intrusión para intentar conseguir el máximo número de evidencias posible. Para ello, se deberá determinar los sistemas afectados, tras lo que, para cada uno de ellos en particular, se deberá comprobar si están encendidos o apagados.

Si el equipo a analizar está encendido, un primer paso a realizar si dispone de terminal gráfico es fotografiarlo, para reflejar de forma inequívoca qué está mostrando por pantalla (por ejemplo, muchos sistemas Unix muestra en el terminal información de eventos que ocurren en el sistema) y tomar las evidencias volátiles, aquellas que se pierden tras el apagado del equipo. La información que, en este momento, se puede conseguir para su posterior análisis es:

• Conexiones abiertas y entre qué equipos y con qué interfaces de red.

• Procesos ejecutándose en memoria, ficheros abiertos y qué procesos están accediendo a ellos.

• En el caso de sistemas Linux, el contenido del sistema de ficheros /proc.

• Usuarios presentes en el sistema y qué procesos están ejecutando.

• Fecha y hora actual del sistema, fotografiándola si es necesario.

• Ficheros temporales del sistema.

• Estado de la red, con las tablas de rutas y arp.

• Tiempos de modificación, acceso y creación de los ficheros.

• Copias de los registros y caché del procesador.

Tras la recopilación de las evidencias volátiles, y antes de recopilar las evidencias no volátiles, se debería desconectar las conexiones de red, tanto de los medios guiados como no guiados, para impedir conexiones externas y, por último, apagar el equipo comprometido quitando directamente la alimentación eléctrica, para asegurar las evidencias que existan en los sistemas de ficheros montados.

Casi siempre, las evidencias no volátiles se localizan en los sistemas de ficheros por lo que se debe analizar su contenido en busca de más datos de la intrusión. Existen dos aproximaciones:

• El equipo comprometido se arranca con una distribución live-cd para analizar los sistemas de fichero afectados.

• O se conecta el sistema de ficheros afectado a otro equipo que dispone de las herramientas necesarias para su análisis.

Otra variante, y mejor opción ya que no afecta al sistema comprometido, es proporcionar una copia exacta, realizada bit a bit, de los sistemas de fichero al equipo de análisis, previo cálculo de un resumen HASH para validar la copia.