MODULO NRO 4

ANÁLISIS FORENSE
/ PRESERVACIÓN Y
ADQUISICIÓN
• Siempre que dos objetos
entran en contacto transfieren
parte del material que
incorporan al otro objeto.
• En el momento en que un
criminal cruza una escena del
crimen, o entra en contacto
con una víctima, la víctima se
queda con algo del criminal,
pero éste a su vez se lleva
algo a cambio.
IMPLICA LA IDENTIFICACIÓN, CONSERVACIÓN, EXTRACCIÓN, DOCUMENTACIÓN Y

ANÁLISIS DE LOS DATOS

LA EVIDENCIA DIGITAL ES EXTREMADAMENTE FRÁGIL; POR LO QUE LA

INFORMACIÓN CONTENIDA EN UN TELÉFONO PUEDE SER ALTERADA O PERDIDA

EN CUALQUIER MOMENTO.

LA PRESERVACIÓN DE EVIDENCIA ES EL PROCESO DE CONFISCACIÓN DE LAS

PROPIEDADES DEL SOSPECHOSO SIN ALTERAR O MODIFICAR EL CONTENIDO DE

LOS DATOS QUE RESIDEN EN LOS DISPOSITIVOS Y LOS MEDIOS EXTRAÍBLES;

ESTO IMPLICA LA BÚSQUEDA RECONOCIMIENTO, DOCUMENTACIÓN Y

RECOLECCIÓN DE PRUEBAS ELECTRÓNICAS

 A) ASEGURAMIENTO Y EVALUACIÓN DE LA ESCENA

• SE DEBE DE ASEGURAR Y EVALUAR LA ESCENA CON EL PROPÓSITO DE

MANTENERLA TAL Y COMO SE ENCONTRÓ.

• PROTEGER LA INTEGRIDAD DE LAS PRUEBAS FÍSICAS Y ELECTRÓNICAS.

• EVALUAR LA ESCENA Y FORMULAR UN PLAN DE BÚSQUEDA.

• IDENTIFICAR POSIBLES PRUEBAS.

• TODAS LAS POSIBLES PRUEBAS QUE DEBEN SER AVALADAS,

DOCUMENTADAS Y / O FOTOGRAFIADAS

La cadena de custodia es un procedimiento simple pero efectivo, que consiste en documentar el traslado de pruebas a través del ciclo de
vidadel caso, esto no sólo protege la integridad de las pruebas, sino también hace que sea difícil argumentar que la evidencia fue
manipulada Ver Módulo Nro 7
B) RECOLECCIÓN DE LA EVIDENCIA

• SE DEBEN TOMAR LAS MEDIDAS PARA NO AÑADIR, MODIFICAR, O DESTRUIR DATOS ALMACENADOS.

• EVITAR ALTAS TEMPERATURAS Y HUMEDAD, ESTÁTICA, Y ELEMENTOS MAGNÉTICOS, QUE PUEDEN OCASIONAR
DAÑOS FÍSICOS O LÓGICOS.

• ESTABLECER Y MANTENER LA CADENA DE CUSTODIA, DOCUMENTANDO SI LA EVIDENCIA ES EMPACADA,

TRANSPORTADA O ALMACENADA Y EL PERSONAL QUE LA HA MANIPULADO.

• Evitar fuentes magnéticas (por ejemplo, transmisores de radio, imanes, etc.)

• Evitar los golpes y vibraciones excesivas

c) Proceso de Transporte y Almacenamiento de Pruebas

• Es NECESARIO DOCUMENTAR CORRECTAMENTE LA EVIDENCIA, ETIQUETANDO E INVENTARIANDO

TODOS LOS ELEMENTOS RECOLECTADOS, Y ALMACENAR LA EVIDENCIA EN UN LUGAR SEGURO HASTA

SU ANÁLISIS, LEJOS DE ALTAS TEMPERATURAS Y HUMEDAD EXTREMA

• UNA VEZ QUE EL DISPOSITIVO ESTÁ LISTO PARA SER ALMACENADO, EL ESPECIALISTA FORENSE DEBE
SELLAR EL DISPOSITIVO EN UNA BOLSA DE EVIDENCIA ESTÁTICA Y UNA ETIQUETA DE LA MISMA,

FIRMAR Y FECHAR LA ETIQUETA PARA INICIAR UNA CADENA DE CUSTODIA. EL DISPOSITIVO DEBE
ESTAR ASEGURADO APROPIADAMENTE PARA EVITAR QUE LAS TECLAS SE PULSEN ACCIDENTALMENTE

LOS DISPOSITIVOS DIGITALES SON FRÁGILES Y SE DAÑAN FÁCILMENTE. CUANDO UN DISPOSITIVO SE

TRANSPORTA, SE DEBE MANEJAR CON EXTREMO CUIDADO
• Identificación Almacenamiento
Conserva la información que le ha sido almacenada de forma correcta aún con la pérdida de energía; es decir
es una memoria no volátil.
• EJEMPLOS DE UNIDADES MEDIDAS DE ALMACENAMIENTO

• 1 BIT = B = 0 Ó 1 = ENCENDIDO O APAGADO

• 1 BYTE = B = 8 BIT = 01010101 = 1 CARÁCTER = A - B - C – H – K - ! - &

• KILOBYTE = KB = 1024 B = 8.192 CARACTERES = ABECEDARIO TIENE 27 CARACTERES = 303

ABECEDARIOS APROX.

• 1 MEGABYTE = MB = 1024 KB = 1.048.576 CARACTERES = 38.836 ABECEDARIOS = 1 FOTO MP

• 1 GIGABYTE = GB = 1024 MB = 1.073.741.824 CARACTERES = 39.768.215 ABECEDARIOS = 256

CANCIONES DE MP3 1 TERABYTE = TB = 1024 GB = 1.099.511.627.776 CARACTERES =
40.722.652.880 ABECEDARIOS = 217 DVD

• 1 PETABYTE = PB = 1024 TB

• 1 EXABYTE = EB = 1024 PB

• 1 ZETABYTE = ZB = 1024 EB
❑ Tipos de Extracción de Información en Terminales Móviles:

• Imagen Lógica: Extracción de datos usando el sistema operativo del dispositivo a través
de una serie de comandos conocidos en tiempo real del dispositivo (información activa).

• Registros de llamadas, detalles del teléfono (IMEI/ESN), entradas del directorio

telefónico, SMS's, imágenes, vídeos, archivos de audio.

• Imagen Física: Implica el copiado de bit por bit de la memoria Flash completa del
dispositivo móvil, este método de extracción no sólo permite la adquisición de los datos
intactos, sino que también de los datos ocultos y eliminados.

• Sistema de Archivos: Accede a todos los archivos presentes en la memoria del

dispositivo; esto incluye todos los archivos de base de datos, archivos del sistema y
registros, correos electrónicos y permite la recuperación de las entradas eliminadas en
los mismos.
• Clonación ID de la tarjeta SIM: Neutraliza el teléfono de cualquier actividad de
red durante el análisis y puentea las tarjetas SIM bloqueadas por contraseña o
las tarjetas SIM faltantes.

• SIM CARD: Permite el acceso completo al directorio telefónico, registros de

llamadas y mensajes, obtener información sobre: ICCID, IMSI, SPN, LAI:MNC y
LAI:MCC)

• Contraseña: Puede deshabilitar los bloqueos por patrón/PIN/contraseña en un

número de dispositivos Samsung Androide; Extracción física y la decodificación
Extracción manual de datos
Este es el más sencillo de todos los métodos, ya que se
trata simplemente de usar el teclado o la pantalla táctil
para navegar a través del dispositivo (si no está
bloqueado) y buscar la información relacionada con el
caso. Se deben tomar fotografías para documentar los
hallazgos
Ejemplo de datos que se pueden
extraer
• Contactos. Mensajes SMS y chat.
Cuentas en Google, Gmail y redes
sociales. Detalles sobre el equipo
(OS, ROM, modelo, serial). Detalles
de las conexiones Wi-Fi y de
Bluetooth. Detalles de la tarjeta SIM.
Número IMEI (ID de dispositivo.
Número IMSI (ID de abonado). Serial
SIM. Tiempo de encendido. Conexión
de red (GSM, CDMA, iDEN).
• SI EL DISPOSITIVO YA TIENE INSTALADO (O SE LE INSTALA) UN NAVEGADOR DE ARCHIVOS
(COMO ES FILE EXPLORER) SE FACILITA LA BÚSQUEDA Y VISUALIZACIÓN DE INFORMACIÓN
SOBRE EL CASO.
 Extracción lógica mediante MTP
(Media Transfer Protocol)
SE TRATA DE EXTRAER LAS CARPETAS Y LOS
ARCHIVOS QUE ESTÁN PRESENTES EN UN
ALMACÉN “LÓGICO” (NO FÍSICO), TAL COMO
UNA PARTICIÓN DEL SISTEMA.
EL PROCEDIMIENTO USUALMENTE SE EFECTÚA
CONECTANDO EL DISPOSITIVO MÓVIL AL
EQUIPO FORENSE (QUE PUEDE SER UNA
LAPTOP O UNA PC) MEDIANTE CABLE USB,
INFRARROJOS O BLUETOOTH
Una vez que el dispositivo esté conectado y haya sido detectado, aparecerán en el computador una o
dos unidades (drive) y se podrá acceder a ciertas carpetas y archivos.
En los dispositivos más antiguos solo serán visibles los archivos de la tarjeta SD externa
Los dispositivos Android más antiguos
utilizan el modo de almacenamiento masivo
USB para transferir archivos.
Los dispositivos más recientes permiten
seleccionar, por ejemplo:
Media Transfer Protocol(MTP)
Picture Transfer Protocol(PTP).
Es preferible MTP, ya que permite transferir
todo tipo de archivos.
Desde el punto de vista forense, la tarjeta SD externa tiene gran valor, ya que
puede contener datos importantes para una investigación.
La mayoría de las imágenes y archivos grandes relacionados con multimedia
se almacenan en la tarjeta externa.
Esa tarjeta se puede eventualmente extraer y efectuar el análisis con las
técnicas forenses tradicionales.
Muchos archivos interesantes presentes en el almacenamiento interno y externo se pueden
extraer mediante MTP, sin embargo, los valiosos datos almacenados en la carpeta
/data/datapermanecen inaccesibles vía MTP.
 Extracción lógica mediante ADB
(Android Debug Bridge)
ADB forma parte de Android SDK(Software Development Kit) y juega un papel muy importante en el análisis forense.
Para poder trabajar con ADB, es necesario activar la opción de Depuración por USB en Ajustes | Opciones del
programador.
Una vez seleccionada la opción de Depuración por USB, se conecta el dispositivo móvil al
computador y posiblemente aparezca una alerta de seguridad como la siguiente (lo cual
representa otro obstáculo para el investigador forense):
Al otorgarse la autorización, Android ejecuta adb daemon (adbd) en segundo plano y busca una
conexión USB.
En la laptop o PC del analista forense (host) se debe correr un cliente (ej. adb.exe).
El adbd y el servidor se comunican a través de los puertos 5555 a 5585.
El cliente adb se comunica con el servidor local a través del puerto 5037.
Mediante ADB se pueden enviar comandos al sistema operativo Android.
Ejemplo de comandos:
adb.exe shell
adb.exe shell -ls -l
El comando installde ADB permite instalar paquetes APK mediante sideloading. Por ejemplo:
adb.exe install C:\KingoRoot.apk
En Android sideloadingsignifica la instalación de un paquete de aplicación en formato APK.
Esto solo está permitido si está activado Fuentes desconocidasen la configuración de seguridad
El comando pm
(packet manager) de
ADB lista todos los
paquetes instalados
(o solo los paquetes
instalados por
terceros):
Adb.exe shell pm list
packages -3
 Extracción mediante AFLogical.apk
AFLogical es un paquete APK de extracción lógica para Android desarrollado por NowSecure(antigua
viaForensics).
Los datos extraídos se guardan en la tarjeta SD del dispositivo en formato CSV (Excel), desde donde pueden ser
fácilmente copiados a otro medio.
Extracción física
Es este el método más completo, ya que se obtiene una copia bit a bit de
toda la memoria (interna y externa) o de algunas de sus particiones,
utilizando software y a veces hardware.
Particiones estándar de la memoria interna:
/boot
/system
/recovery
/data
/cache
/misc
Particiones pertenecientes a la tarjeta SD:
/sdcard
/sd-ext
La extracción física en un móvil es similar al proceso de
creación de la imagen forense del disco duro de un
computador.
Su mayor ventaja es que permite encontrar archivos
borrados (o sus restos).
La extracción física es difícil de realizar, ya que por
seguridad, el dispositivo está protegido contra la lectura
arbitraria de la memoria.
En muchos casos se logra hacerlo por software teniendo
privilegios de root.
 Análisis de datos extraídos
utilizando herramientas avanzadas

XRY es una aplicación de software diseñada para ejecutarse en el

sistema operativo Windows que le permite realizar una extracción
forense segura de datos de una amplia variedad de dispositivos
móviles, como teléfonos inteligentes, unidades de navegación GPS,
módems 3G, reproductores de músicaportátiles y las Tabletas.
El proceso de análisis revela toda la información digital, incluyendo lo que puede ser invisible o
eliminado. Los resultados son obtenidos durante la ejecución de la metodología de análisis
establecida la cual debe describir el estado de los datos y su contenido.

El análisis es un proceso técnico, el cual comienza con una copia de la evidencia adquirida del
aparato.

El investigador debe proporcionar un bosquejo sobre el tipo de información que debe de ser buscado
principalmente, de no ser así se puede perder el objetivo en la recolección de la evidencia.

Los fabricantes de los dispositivos pueden proporciona información esencial para la manipulación de
la información y la administración de los archivos dentro de los dispositivos; así como de las
aplicaciones, mensajes y el correo electrónico y el trayecto WEB.
La principal evidencia que se puede obtener es:
➢ ABONADO Y EQUIPO IDENTIFICADOR
➢ FECHA/HORA, IDIOMA Y OTRAS CONFIGURACIONES
➢ AGENDA
➢ INFORMACION DEL CALENDARIOMENSAJES DE TEXTO
➢ REGISTRO DE LLAMADAS HECHAS ENTRANTES Y SALIENTES
➢ CORREO ELECTRONICOS
➢ FOTOS/VIDEOS
➢ GRABACIONES DE AUDIO
➢ MENSAJES MULTIMEDIA
➢ MENSAJERIA INSTANTANEA Y LAS ACTIVIDADESDE INTERNET
➢ DOCUMENTOS ELECTRONICOS
➢ INFORMACIONES SOBRE LA UBICACIÓN
➢ OFIMATICA
PRINCIPALES PROBLEMAS

LOS INCONVENIENTES QUE SE PUEDEN PRESENTAR SON

➢ QUE LOS ELEMENTOS ESTEN RESGUARDADO DE MANERA INCORRECTA

➢ QUE LOS ELEMENTOS NO SEAN RECONOCIDOS POR LA HERRAMIENTA FORENSE

(EXTRACCION MANUAL)

➢ QUE LA INFORMACION EXTRAIDA POR LA HERRAMIENTA SE ESCASA/LIMITADA,

CARECIENDO DE DATOS FUNDAMENTALES (Mensajería instantánea)

➢ QUE EL DISPOSITIVO ESTE BLOQUEADO