Explica el orden de volatilidad y por qué dicta la secuencia de recopilación de evidencia en DFIR.
Respuesta breve
El orden de volatilidad clasifica la evidencia según lo rápido que se desvanece, para recopilar primero lo más frágil. A grandes rasgos: registros/caché de CPU, luego RAM y estado en ejecución (procesos, conexiones de red, ARP), luego archivos temporales/swap, luego disco, luego registro y datos de monitorización remotos y, por último, soportes de archivo y copias de seguridad. También trabajas sobre copias forenses, las hasheas y mantienes una cadena de custodia para que la evidencia siga siendo admisible.
Cuando llegas a un host comprometido, el reloj de la evidencia ya está en marcha. El orden de volatilidad (codificado en la RFC 3227) te dice que recojas primero los datos que desaparecen más rápido, para que un reinicio o apagado descuidado no borre los artefactos más valiosos. Los entrevistadores preguntan esto para confirmar que manejas la evidencia de forma metódica y entiendes qué se pierde y cuándo.
Del más volátil al menos volátil
- Registros de CPU, caché: desaparecen en microsegundos; rara vez se recogen directamente.
- RAM y estado en ejecución: procesos vivos, conexiones de red abiertas, caché ARP, usuarios conectados, y el malware inyectado/sin archivo y las claves de cifrado que existen solo en memoria. Por eso la captura de memoria va pronto.
- Archivos temporales / swap / pagefile: transitorios pero en disco.
- Disco: el sistema de archivos persistente; sobrevive a reinicios pero puede borrarse o sobrescribirse.
- Registro y datos de monitorización remotos: SIEM, NetFlow, registros fuera del host.
- Soportes de archivo y copias de seguridad: los más duraderos, recogidos al final.
La idea clave: memoria antes que disco, disco antes que copias. Apagar una máquina para «preservarla» en realidad destruye la capa volátil, que suele ser donde vive la verdadera evidencia de una intrusión activa.
Hacerlo de forma defendible
El orden de volatilidad es solo la mitad del trabajo. Trabaja sobre copias forenses, no sobre los originales; calcula y registra hashes criptográficos antes y después de la imagen para probar la integridad; usa bloqueadores de escritura para los discos; y mantén una cadena de custodia ininterrumpida que documente quién manejó cada elemento, cuándo y por qué. Sin eso, la evidencia puede ser inadmisible.
Por qué importa
Una buena respuesta recita la secuencia aproximada (registros → RAM/red → swap → disco → registros → copias), explica que apagar pierde los datos más frágiles y lo combina con hashing y cadena de custodia. Eso muestra que sabes preservar la evidencia bajo presión de una forma que se sostenga después.
Posibles preguntas de seguimiento
- ¿Por qué apagar una máquina puede destruir la evidencia más valiosa?
- ¿Qué es la cadena de custodia y por qué importa para la admisibilidad?
- ¿Cómo preservas la integridad al hacer imagen de un disco en vivo?