–dLlevar a cabo procedimientos y metodologías para identificar, asegurar, extraer, analizar y presentar pruebas generadas y guardadas electrónicamente garantizando la integridad de la cadena de custodia.

–dDe acuerdo con la RFC 3227, ser capaces de extraer información volátil almacenada en la memoria RAM, así como adquirir una imagen forense bit a bit del sistema para su posterior análisis siguiendo los procedimientos y buenas prácticas, así como conocer las principales técnicas de clonación de discos duros.

–dComprender como funciona el registro de Windows para posteriormente realizar un análisis exhaustivo del mismo utilizando herramientas específicas y gratuitas. Conocer y entender para posteriormente analizar el funcionamiento de los eventos de Windows. Analizar evidencias digitales que se encuentran alojadas navegadores web.

–dConocer técnicas antiforenses y de ocultación de información tales como la esteganografía.

–dFormar y especializar a los alumnos en lo relativo a la búsqueda de información en fuentes abiertas, utilizando herramientas de OSINT.

–dRecopilar las evidencias obtenidas durante la investigación con la finalidad de, crear un informe pericial que cumpla con las principales recomendaciones como guía básica de buenas prácticas.

1. EL INVESTIGADOR INFORMÁTICO FORENSE Y LA METODOLOGÍA

Comprender la terminología relacionada con la investigación forense informática, y aplicar metodologías específicas de acuerdo con la RFC 3227. Proceder según rige la normativa y aplicar buenas prácticas en la fase de campo, donde se realiza la identificación, recolección y preservación de las evidencias.

2. CADENA DE CUSTODIA

Adquirir el conocimiento necesario para identificar, preservar, analizar y documentar correctamente una evidencia digital obtenida de un sistema Windows, para impedir que esta sea refutada en un proceso judicial.

3. FUNCIÓN HASH

Entender el concepto de función Hash para poner en práctica metodologías que garanticen la integridad y autenticidad de la evidencia electrónica asegurando la cadena de custodia.

4. DATOS VOLÁTILES

Proceder de acuerdo con la RFC 3227 para evitar la pérdida de evidencias volátiles, así como ser capaces de extraer y analizar la memoria RAM.

5. SHADOW COPY

Entender lo que son las shadow copy para ser capaces de extraer y analizar datos que se creían perdidos.

6. IMAGEN FORENSE DE DISCOS DUROS

Aplicar diferentes métodos de clonación bit a bit tanto a nivel software como hardware utilizando diferentes herramientas.

7. MEMORIA RAM

Identificar el perfil de un archivo que contiene un volcado de memoria RAM para continuar con el análisis del mismo.

8. REGISTRO DE WINDOWS

Extraer los archivos Hive del registro y ripearlos para su correcta interpretación con la finalidad de buscar del rastro de una posible intrusión o el rastro del usuario. Conocer la estructura del registro y extraer información de los principales  registros.

9. NAVEGADORES WEB

Conocer dónde se guarda la información más relevante en los navegadores más comunes  como puede ser Mozilla, Chrome y Windows Edge. Analizar la navegación, marcadores, búsquedas, realizadas, etc.

10. OSFORENSIC

El uso de esta aplicación está destinado exclusivamente a la informática forense, la cual permite realizar escaneos a fondo a partir de una imagen forense en busca de evidencias digitales, verificando desde archivos de email, archivos borrados, incluso el historial del navegador, etc.

11. TÉCNICAS ANTIFORENSES

Conocer los principales mecanismos que utilizan los ciberdelincuentes para ocultar, encriptar y encapsular información.

12. OSINT Y GOOGLE HACKING

Comprender el funcionamiento y uso de los Dorks de google para ser capaces de extraer información tanto personal como empresarial de fuentes de información de acceso libre, gratuitas y desclasificadas, aplicando Google Hacking.

13. PRÁCTICA FINAL

Desarrollar los conocimientos adquiridos a lo largo del curso con la finalidad de resolver un caso real de análisis forense informático. Ello con llevará a la extracción, preservación, análisis de evidencias y creación de un informe pericial con los resultados obtenidos. Todo ello cumpliendo con la RFC 3227 y poniendo en práctica las metodologías aprendidas y buenas prácticas de actuación.

A la hora de evaluar no se pretende que los conceptos se aprendan de memoria ni, evaluar a las personas por su capacidad de realizar exámenes, más bien todo lo contrario, se aboga por la evaluación continuada en la cual el alumno tendrá a su disposición ejercicios a modo de entrenamiento práctico.

El alumno dispone de todo el material necesario para completar los entrenamientos prácticos de manera satisfactoria, lo que debe saber es dónde buscar la información, cómo interpretarla y qué hacer con ella, contando siempre con el apoyo del tutor cuando lo crea necesario.

Una vez concluido el estudio de los diferentes módulos, el alumno se enfrentará a una práctica final donde se evaluarán los conocimientos y destrezas adquiridos.

El tutor le será asignado al alumno desde el primer día y será el tutor quien realizará un seguimiento personalizado de su alumno.

El alumno podrá realizar consultas por correo electrónico, a través de la web, o mediante sesiones de Skype acordadas por ambas partes.

Es importante destacar que para la realización de los ejercicios prácticos, el alumno contará siempre que lo necesite con la ayuda del tutor. Por lo que el alumno nunca deberá sentirse perdido, y será capaz de realizar la totalidad de las prácticas de manera satisfactoria.