Los cortafuegos y los sistemas de detección de intrusos (IDS) son medidas preventivas que alertan y protegen contra la mayoría de los ataques. Pero, ¿qué pasa cuando un atacante “salta� las medidas de seguridad? Cuando el sistema informático ha sido atacado, el administrador debe buscar evidencias para poder responder a las siguientes preguntas:

¿Qué ha pasado? ¿Qué consecuencias ha tenido? ¿Se ha modificado o copiado información? ¿Cómo se ha realizado la intrusión? ¿Quién ha sido?

Una vez detectada la intrusión lo último que debe hacer es dejarse llevar y actuar de forma inconsciente ya que puede alterar y/o eliminar las pruebas. A la hora de actuar, es importante hacerlo de forma meticulosa y tomar nota de todos los pasos que se realizan porque es posible que los tenga que utilizar para testificar en un juicio.

El análisis forense se realiza en tres fases:

• 1. Recopilación de evidencias.
• 2. Análisis e investigación de las evidencias.
• 3. Presentación de la información.

Existes muchas aplicaciones, dependientes del sistema operativo, que permiten la obtención y análisis de evidencias digitales. Actualmente, la herramienta más utilizada es Sleuthkit o su predecesora The Coroner’s Toolkit (TCT) enfocadas a proporcionar todas las herramientas necesarias para el análisis forense. También han surgido distribuciones live-cd específicas para el análisis forense (p.e. BackTrack, FIRE) que incluyen las herramientas necesarias para la búsqueda y análisis de evidencias digitales. Si desea más información, puede descargarse la distribución LiveCD _BackTrack del sitio Web www.remote-exploit.org/index.php/BackTrack.