Ricardo Serrano

Perito Informático Forense

Perito Informático y Telecomunicaciónes

Perito en Audio, Video y Afines

Perito en Child Protecction System

Ricardo Serrano

Perito Informático Forense

Perito Informático y Telecomunicaciónes

Perito en Audio, Video y Afines

Perito en Child Protecction System

Download CV WhatsApp
Blog Post

RAM, un contenedor de datos imporantes

12 de junio de 2021 Delitos Digitales, Realidad by Ricardo Serrano
RAM, un contenedor de datos imporantes

La memoria RAM (Random Access Memory) es un tipo de memoria de acceso aleatorio que se incorpora en los computadores para almacenar datos y programas que se están utilizando actualmente. La memoria RAM es una forma temporal de almacenamiento, lo que significa que los datos y programas se pierden cuando se apaga el equipo.

La memoria RAM contiene información sobre el sistema operativo, los programas que se están ejecutando, los archivos abiertos y otros datos temporales. Algunos de los datos que se pueden encontrar en la memoria RAM incluyen:

  • Procesos en ejecución: La RAM contiene información sobre los procesos que están actualmente en ejecución en el sistema. Se puede identificar los programas y servicios que están activos.

  • Datos del sistema operativo: Información relacionada con el sistema operativo, como configuraciones del kernel, tablas de paginación y estructuras de datos asociadas.

  • Cache de disco: Parte del sistema de archivos puede estar almacenada en la RAM como caché para acelerar el acceso a los datos del disco.

  • Datos de usuarios y contraseñas: En algunos casos, contraseñas o fragmentos de datos sensibles pueden quedar temporalmente en la RAM mientras se utilizan las aplicaciones.

  • Fragmentos de archivos y documentos: Partes de archivos o documentos que han sido cargados en la memoria temporalmente pueden residir en la RAM.

  • Historial de navegación: Algunos navegadores almacenan información sobre la sesión actual en la RAM, incluidas las páginas web visitadas y las cookies.

  • Claves de cifrado: Si se están utilizando aplicaciones que trabajan con cifrado, las claves temporales pueden residir en la RAM durante su uso.

  • Datos del registro: Algunas actividades del sistema, como eventos, errores o cambios de configuración, pueden quedar registradas en la RAM.

  • Datos de red: Información sobre conexiones de red activas, puertos abiertos y conexiones establecidas.

  • Estructuras de sistema y datos del sistema: Información sobre el estado actual del sistema, como la tabla de procesos, la tabla de archivos abiertos, etc.

En mis diversos cursos, charlas, webinars, me han preguntado si hay la posibilidad de encontrar mensajes de chats, llamadas u otra información en la RAM… y la respuesta es SI. La RAM, al ser un espacio de almacenamiento temporal, puede contener datos completos o fragmentos relacionados con estas actividades, especialmente si las aplicaciones correspondientes están activas durante la extracción.

Cuanto tiempo se mantiene el contenido en la memoria RAM después de apagado el computador?

El tiempo que se mantiene el contenido en la memoria RAM después de apagar el computador depende de varios factores, como la tecnología de la memoria RAM, la temperatura y el tiempo que ha estado alimentada la RAM antes de ser apagada. En general, el tiempo de retención de la información en la RAM puede durar desde unos pocos segundos hasta unos minutos. Sin embargo, en condiciones extremadamente frías, es posible que la información se mantenga en la RAM durante un período más prolongado.

Que es la técnica del Cold Boot Atack?

La técnica de Cold Boot Attack es un tipo de ataque de seguridad informático, que aprovecha la vulnerabilidad de la memoria RAM, para acceder a información confidencial. En esta técnica, un atacante apaga rápidamente un equipo y extrae la memoria RAM para leerla en otro equipo antes de que se borren los datos en la memoria. De esta manera, el atacante puede obtener acceso a información sensible como contraseñas, claves cifradas y otros datos sensibles.

Esta técnica (por el momento no contemplada en las normativas internacionales) es usada en informática forense, como una forma de recuperar información de la memoria RAM de un equipo informático donde no tenemos acceso, porque esta se encuentra con el bloqueo de pantalla, pin o patrón de seguridad.

En resumen, la extracción de la memoria RAM emerge como un paso crítico en cualquier investigación informática forense, proporcionando una ventana temporal única a la actividad del sistema. Este componente volátil, aunque efímero, almacena instantáneas cruciales de procesos en ejecución, datos temporales y, en ocasiones, fragmentos de información sensible. La capacidad de capturar este “instantáneo en tiempo real” ofrece a los investigadores informáticos forenses, la posibilidad de reconstruir eventos, identificar procesos maliciosos y recuperar datos que podrían haber pasado desapercibidos en fases posteriores de la investigación. La rapidez en la actuación, la utilización de herramientas forenses especializadas y la observancia de los protocolos éticos y legales son esenciales para maximizar la utilidad de la extracción de la memoria RAM en la resolución de casos informáticos complejos.

Tags:
Write a comment