Documentos de Académico
Documentos de Profesional
Documentos de Cultura
análisis forense y
evidencia digital
Proyecto de creación de capacidades del
sector judicial ecuatoriano para combatir la
delincuencia transnacional y el narcotráfico
Roberto Obando
Director de Programas
EQUIPO CTOC
Andrés Ormaza
Director de proyecto CTOC
Johanna Chalén
Apoyo técnico
Yefrin Garavito
Consultor experto
Presentación
Tabla de ilustraciones:.................................................................... 7
Abreviaturas:................................................................................. 8
Introducción.................................................................................. 9
Sinopsis del consultor................................................................... 10
Informática forense..................................................................... 10
Aplicaciones y usos................................................................... 12
Procedimientos estandarizados................................................ 12
ISO/IEC 27037 y 27042..................................................................12
Familia UNE..................................................................................13
RFC 3227......................................................................................14
HB171-2003.................................................................................14
NIST SP-800-86............................................................................15
Herramientas........................................................................... 15
Software......................................................................................18
FTK Imager................................................................................18
FTK (Forensic Tool Kit).................................................................19
EnCase......................................................................................20
Autopsy.....................................................................................21
Axiom........................................................................................22
Cellebrite UFED Physical Analyzer................................................. 23
MOBILedit Forensic Express......................................................... 24
Oxygen Forensic® Detective....................................................... 25
CAINE....................................................................................... 25
X1 Social Discovery..................................................................... 26
Hardware.................................................................................... 27
Bloqueadores de escritura........................................................... 27
Duplicador forense..................................................................... 28
Extractores de información de dispositivos móviles......................... 29
Bioseguridad................................................................................ 31
Bolsas de Faraday....................................................................... 31
Implementos antiestáticos.......................................................... 32
Evidencia digital........................................................................... 33
Imagen forense........................................................................ 41
¿Cómo realizar una imagen forense a un dispositivo?..........................43
Hash......................................................................................... 51
Gestión de escenas................................................................... 53
Fase recolección............................................................................54
Preparación y medidas previas......................................................54
Identificación de la evidencia digital...............................................55
Equipos de cómputo.................................................................55
¿Qué hacer si el dispositivo de cómputo se encuentra
encendido?..........................................................................55
¿Qué hacer si el dispositivo de computo se encuentra apagado?..56
Equipos móviles o tabletas........................................................57
¿Qué debo hacer si tengo un dispositivo móvil como evidencia?...60
Evidencia digital en la nube (páginas web y redes sociales)............63
¿Qué hacer si debo recolectar información pública en una
página web?.........................................................................64
¿Qué hacer si debo recolectar información pública en
una red social?.....................................................................67
Facebook..........................................................................67
Twitter.............................................................................68
Instagram........................................................................69
Fase de examen o procesamiento.....................................................70
Recepción de la evidencia digital o contenedores.............................70
Clasificación o triage....................................................................70
Procesamiento de la evidencia..................................................... 71
Fase de análisis............................................................................ 72
Análisis en evidencia de sistemas informáticos................................ 72
Análisis en evidencia de dispositivos móviles.................................. 73
Fase de presentación..................................................................... 74
Informe forense......................................................................... 75
Presentación en audiencia........................................................... 76
Técnicas anti-forenses.............................................................. 76
1. Técnica de borrado o destrucción de los MD.................................. 77
2. Ocultación................................................................................ 77
3. Sobre escritura de metadatos...................................................... 77
4. Cifrado de información............................................................... 77
Bibliografía.................................................................................. 95
Tabla de ilustraciones:
8 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Introducción
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 9
Informática forense
10 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Principios de la informática forense
Confidencialidad
Disponibilidad
Integridad
No repudio
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 11
Aplicaciones y usos
Cabe resaltar que para que esta evidencia digital sea válida dentro de
cualquier tipo de proceso judicial, es importante que cumpla con unos
requisitos y estándares que se han establecido a nivel internacional y
que deben ser adquiridos bajo buenas prácticas de los funcionarios,
peritos o personal que tenga contacto con este tipo de elemento o
evidencia.
Procedimientos estandarizados
12 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
El estándar internacional ISO/IEC 27037 da las directrices para
identificar, recolectar, adquirir y preservar la evidencia digital. En este
proceso participan dos actores importantes: el Primer Responsable
de Evidencia Digital (DEFR, por su sigla en inglés) y el Especialista en
Evidencia Digital (DES, por su sigla en inglés). El papel del DEFR es
identificar, recolectar, consolidar y preservar la posible evidencia digital
en la escena del incidente, de igual manera incluye elaborar un informe
de recopilación y adquisición, pero no necesariamente el informe de
análisis, ya que este será responsabilidad del DES.
Familia UNE
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 13
de la norma 71505 se aplican en cualquier organización independiente
de su actividad o tamaño, así mismo, son aplicables a las entidades o
empresas que proporcionen servicios parciales o totales relacionados
al ciclo de vida de las evidencias o controles del sistema de gestión de
evidencias electrónicas.
RFC 3227
HB171-2003
14 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
NIST SP-800-86
Herramientas
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 15
MSAB XRY
16 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Micro Systemation MSAB, a través de XAMN y sus módulos integrados
de análisis, permite a los investigadores buscar y analizar las evidencias
de manera sencilla y fácil en un entorno de trabajo limpio y práctico
para los investigadores, permitiendo crear relaciones y vínculos de
manera automática a partir de registros de intercambio de mensajes de
texto, mensajes por aplicaciones y/o registros de llamadas, asimismo,
cuenta con una vista de chats que permite entender de mejor manera
información de aplicaciones como Facebook Messenger, Instagram o
WhatsApp, por mencionar algunas. También, es capaz de presentar
una vista de posicionamiento geográfico a partir de identificar de
manera automática los metadatos de posicionamiento (GPS) dentro de
toda la evidencia extraída. XAMN, cuenta con un motor de inteligencia
artificial (IA) que permite agilizar la identificación automática de
imágenes relacionada a desnudez, armas, drogas, dinero, entre otras.
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 17
Software
En el mercado existe gran variedad de software que puede ser adquirido
de forma comercial o gratuita. A continuación, se relacionarán las
herramientas forenses más usadas por las agencias de ley, haciendo
énfasis en algunas herramientas gratuitas que son válidas para
emplear dentro de procesos judiciales por los operadores judiciales:
FTK Imager
18 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
FTK Imager también puede crear copias bit a bit (imágenes
forenses) de datos informáticos sin realizar cambios en la
evidencia original. La imagen forense que se obtiene es
idéntica en todos los aspectos a la original, incluido el tamaño
del archivo y el espacio no asignado o el espacio libre en
la unidad. Esto permite almacenar los medios originales
lejos para tenerlos a salvo de daños, mientras continúa la
investigación a través de la imagen obtenida.
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 19
EnCase
20 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Autopsy
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 21
Axiom
22 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Cellebrite UFED Physical Analyzer
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 23
MOBILedit Forensic Express
Cuenta con la función para saltar la contraseña y PIN, así como también
puede obtener acceso a bases de datos ADB o iTunes (Compelson Soft, s.f.).
24 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Oxygen Forensic® Detective
CAINE
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 25
X1 Social Discovery
26 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Hardware
Para las diversas fases de la investigación digital forense, se requieren
algunos equipos de hardware que garantizan el cumplimiento de
las buenas prácticas y normativas internacionales para recolectar y
preservar la evidencia. A continuación se enunciarán las más comunes:
Bloqueadores de escritura
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 27
Este dispositivo bloqueador permite la ejecución de comandos de lectura,
pero no permite que se ejecuten comandos de escritura en la unidad de
almacenamiento. La mayoría de las herramientas de creación de imágenes
forenses tienen un bloqueador de escritura anexo que el perito puede
utilizar para crear la imagen forense del dispositivo de almacenamiento.
Aunque se debe aclarar que el bloqueo de escritura también se puede
realizar por medio de herramientas de software, se considera mejor optar,
en todas las ocasiones, por las soluciones de hardware.
Duplicador forense
Ilustración 11: Duplicador forense Tx1 y TD2U (Fuente: Open Text Security)
28 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Los duplicadores forenses son herramientas que permiten realizar
una imagen forense o una copia exacta de un dispositivo de
almacenamiento digital. Al ser dispositivos dedicados, el tiempo de
creación de imagen es inferior que al realizado vía software, incluso por
hardware se puede completar la tarea en menos de la mitad del tiempo.
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 29
Ilustración 13: Equipos de extracción forense (Fuente: UFED)
30 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Bioseguridad
Así como es indispensable el uso de herramientas de hardware y
software para la recolección y buen manejo de la evidencia, también
se requieren implementos de bioseguridad y protección para garantizar
la integridad física y lógica de los elementos recolectados, dentro de
estos elementos encontraremos:
Bolsas de Faraday
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 31
Implementos antiestáticos
32 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Evidencia digital
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 33
2. Conservación de los mensajes de datos.- Toda información
sometida a esta Ley, podrá ser conservada; este requisito quedará
cumplido mediante el archivo del mensaje de datos, siempre que
se reúnan las siguientes condiciones:
34 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Características técnicas
Volátil
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 35
Anónima
Duplicable
Alterable
Eliminable
Características legales
Admisible
36 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Auténtica
Completa
Confiable
Creíble
Principios
Pertinencia o relevancia
Confiabilidad
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 37
Suficiencia
Requisitos
Auditabilidad
Repetibilidad
38 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Reproducibilidad
Justificabilidad
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 39
Sistemas informáticos
Sistemas de comunicación
40 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Sistemas basados en la nube (cloud)
Imagen forense
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 41
• Realice imágenes forenses de múltiples dispositivos.
• Realice imágenes forenses en múltiples destinos al mismo
tiempo.
• Reconozca áreas ocultas.
• Fraccione archivos.
• Verifique el hash con algoritmos estándar.
• Verifique el hash en diferentes etapas del proceso de creación
de imágenes forenses.
• Admita los formatos más comunes para la realización de
imágenes forenses.
• Cree imágenes forenses encriptadas.
• Cree imágenes forenses comprimidas.
• Reanude un proceso de creación de una imagen forense
interrumpida.
• Tolere errores de hardware.
42 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
¿Cómo realizar una imagen forense a un dispositivo?
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 43
2. Cuando carga la herramienta FTK, nos ubicamos en la pestaña Achivo.
3. En esta pestaña se hace clic en la opción Create Disk Image (crear imagen de disco).
44 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
4. A continuación, se abre una ventana donde se debe seleccionar el tipo de evidencia
de origen, para este ejercicio se realiza una imagen forense a la unidad física.
5. Luego, se abrirá una nueva ventana donde se muestra el menú de las unidades
disponibles que se encuentran conectadas en el equipo de cómputo, se debe tener
en cuenta la unidad a la que se le realizará la imagen forense y luego se hace clic en
el botón de finalizar.
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 45
6. En este punto, la herramienta abre una ventana donde se definirá el destino para
almacenar la imagen forense, luego clic en el botón Add.
46 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
8. A continuación, se ingresa la información sobre los ítems de evidencia, cuando se
complete esta información hacemos clic en Next.
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 47
10. Al hacer clic en el botón Finalizar se mostrará un resumen de las opciones
seleccionadas.
11. Una vez revisadas las opciones se hace clic en Comenzar y se iniciará la creación de
la imagen forense.
48 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
12. Al terminar la creación de la imagen forense, inicia la verificación de la imagen creada.
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 49
13. Al final, se presentan algunos resultados que muestran el número de sectores
copiados. La generación de un hash MD5 y un hash SHA-1, muestra la coincidencia
entre el campo Hash Calculado, es decir el hash obtenido desde la unidad USB o
Memory Stick, y el campo Report Hash (Hash Reportado), que se genera desde la
imagen forense creada de nombre IMAGEN FORENSE USB.001.
50 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Esterilización de medios (wipping)
Hash
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 51
Investigación digital forense
52 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
La mayor cantidad de procedimientos investigativos involucran, por lo
menos, una fuente de evidencia digital, por ejemplo un accidente de
tránsito, un homicidio o un hurto, que se soportan inicialmente en los
videos de seguridad encontrados en las vías públicas. Los videos son
evidencia digital y deben ser tratados de acuerdo con las disposiciones
técnicas y legales. De igual forma, en un procedimiento de captura
o detención por cualquier delito en el que se incauta o aprehende un
equipo celular, se debe seguir lo estipulado por las Buenas Prácticas
para el Manejo de la Información Digital.
Gestión de escenas
Para realizar una efectiva gestión dentro de una escena donde exista
evidencia digital, se deben seguir las siguientes fases para cumplir los
estándares y las buenas prácticas internacionales:
1. Fase de recolección
2. Fase de tratamiento
3. Fase de análisis
4. Fase de presentación
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 53
Fase de recolección
54 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Identificación de la evidencia digital
Equipos de cómputo
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 55
v. Datos de los procesos del sistema (lista de procesos,
estadísticas del kernel)
3. Una vez obtenida toda la información volátil se debe verificar si el
equipo cuenta con algún tipo de cifrado en el disco o mediante el
sistema operativo.
a. En caso de tener algún tipo de cifrado se debe realizar una
imagen forense en vivo de tipo lógico.
4. Para dispositivos electrónicos en los que sea posible, desconecte
el cable de alimentación, retire la batería.
5. Desconecte todos los cables, dispositivos externos y periféricos
de entrada y salida y etiquételos.
6. Proteger los puertos USB, lectores de disco óptico, lectores
de memoria, y otros puertos de entrada y salida con cintas de
seguridad.
7. Recolecte los dispositivos susceptibles de aprehensión, incautación
o aseguramiento, siguiendo las reglas de la cadena de custodia.
8. Tener en cuenta recolectar la documentación, anotaciones, entre
otros, que se encuentren en la escena (evidencia no digital).
9. Documentar el proceso con el mayor nivel de detalle.
1. No lo encienda.
2. Desconecte todos los cables, dispositivos externos y periféricos
de entrada y salida y etiquételos.
3. Proteger los puertos USB, lectores de disco óptico, lectores
de memoria, y otros puertos de entrada y salida con cintas de
seguridad.
4. Recolecte los dispositivos susceptibles de aprehensión, incautación
o aseguramiento, siguiendo las reglas de la cadena de custodia.
5. Si no es posible aprehender o incautar el equipo, proceda a extraer
los dispositivos de almacenamiento en el sitio para hacer el proceso
de adquisición forense (recolección post mortem).
6. Tener en cuenta recolectar la documentación, anotaciones, entre
otros, que se encuentren en la escena (evidencia no digital).
7. Documentar el proceso con el mayor nivel de detalle.
Nota: Para tener que sea tenida en cuenta, toda evidencia digital debe
estar almacenada en una imagen forense.
56 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Equipos móviles o tabletas
Extracción física
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 57
Extracción lógica
Extracción manual
58 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
JTAG / Chip-Off / Rooting / Jail Breaking
Chip-Off permite extraer los datos binarios sin procesar del medio de
almacenamiento del dispositivo móvil, al igual que el método JTAG,
pero en este caso se debe remover permanentemente el chip de
memoria de la placa de memoria del dispositivo. Cuando el perito
utiliza el método Chip-Off, el dispositivo se dañará y ya no podrá
usarse. El uso de este método debe ser moderado y debe ser la última
opción, además hay que tener en cuenta que los dispositivos móviles
recientes almacenan datos cifrados en su chip de memoria y en otros
casos encriptan la información de manera predeterminada. La técnica
Chip-Off también se puede aplicar para los dispositivos utilizados en
IoT (Internet of things), los cuales, generalmente, almacenan datos
en texto claro.
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 59
¿Qué debo hacer si tengo un dispositivo móvil como evidencia?
60 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
• Sala o cuarto blindado de red. Es un laboratorio instalado
con blindaje Faraday para evitar que ingresen las señales
electromagnéticas. Sin embargo, esta es una solución muy
costosa, por lo que se recomienda usar cámaras, cajas o bolsas
de Faraday más pequeñas, que pueden ser consideradas como
una alternativa efectiva.
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 61
de datos es preferible que la tarjeta SIM se retire del dispositivo
móvil durante el proceso.
62 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
cursos adecuados, como las capacitaciones que brindan los fabricantes
de software forense móvil o la experiencia práctica que implica realizar
los datos de dispositivos móviles.
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 63
Como se explicó anteriormente, existen herramientas dedicadas a
automatizar los procesos para recolectar esta evidencia en particular;
sin embargo, estas herramientas generalmente tienen un alto costo
y, por lo tanto, no todas las unidades o personal podrán obtenerlo.
Es por esto que se propone el manejo de metodologías básicas para
recolectar información en páginas web y redes sociales y así garantizar
los requisitos técnicos y legales expuestos anteriormente.
64 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
2. En el equipo cree una carpeta y subcarpetas para el caso, que
incluirán las secciones de la página, tal como se muestra en la
imagen a continuación:
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 65
La segunda forma de almacenamiento es utilizando cualquiera de las
extensiones mencionadas anteriormente, que sirven para guardar
un único archivo sin necesidad de carpetas anexas. En este caso
se ingresa a la página que se va a asegurar y se da clic derecho, a
continuación, se selecciona la extensión, para este caso SingleFile.
Luego se selecciona Guardar página con SingleFile. Finalmente. el
archivo se almacena como archivo único en formato html y estará
disponible con el nombre de la página, la fecha y hora de la adquisición.
66 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
¿Qué hacer si debo recolectar información pública en una
red social?
Igual que las páginas web, las redes sociales se pueden asegurar
siguiendo el mismo procedimiento, sin embargo, para lograr mejores
resultados y poder posteriormente realizar solicitudes de colaboración
judicial internacional, se debe conocer el ID (número único de
identificación de usuario, publicación, página, etc.) que asigna la red
social al usuario, para evitar confusiones por la cantidad de personas
con el mismo nombre y facilidad que existe para cambiar o alterar el
nombre.
A continuación, se muestra una de las formas para obtener el ID del
usuario de las redes sociales más conocidas, la descripción del proceso
va acompañada de una imagen que servirá como ejemplo:
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 67
Ilustración 17: Análisis código fuente Facebook
68 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Instagram
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 69
Fase de examen o procesamiento
Clasificación o triaje
70 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Generalmente, este proceso se realiza en casos que no disponen de
una gran cantidad de evidencias o cuando tienen gran relevancia,
por lo que se necesita agilizar los procedimientos. Se debe tener en
cuenta que existen herramientas comerciales y de código abierto que
permiten ejecutar búsquedas rápidas para realizar los procesos de
priorización, sin embargo, existe la posibilidad de que fallen, ya que
no realizan un proceso de análisis profundo.
Procesamiento de la evidencia
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 71
Las herramientas forenses realizan el procedimiento de forma
automatizada y brindan la posibilidad de descifrar algunos archivos,
la búsqueda de elementos en archivos comprimidos, la recuperación
de archivos dañados, el reconocimiento de caracteres (OCR) de
algunas imágenes y archivos pdf, la comparación hash de archivos, la
indexación de palabras y el filtrado de datos, entre otros elementos,
que permitirán un mejor análisis posterior de la información.
En el caso de los dispositivos móviles, las herramientas forenses hacen
un procesamiento automatizado, seleccionan y clasifican los artefactos
de manera gráfica para poder analizarlos, ya que la gran cantidad de
sistemas operativos, marcas y modelos hacen que el procesamiento
manual sea más complejo.
Fase de análisis
Por tal motivo, se debe tener en cuenta qué tipo de evidencia se puede
encontrar en estos análisis, como:
72 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
• Evidencia de navegación por internet (archivos temporales,
historial de navegación, marcadores, favoritos, cookies,
información de sesiones, usuarios y contraseñas, campos de
formularios entre otros).
• Bases de datos de aplicaciones.
• Software (Identificar el software comercial, el de
comunicaciones, de transferencia de archivos, de
criptomonedas, de cifrado, de esteganografía, etc.)
• Actividad de usuario
◦ Tiempos de encendido y apagado
◦ Configuración de software
◦ Configuración del entorno del usuario
◦ Conexiones wifi
◦ Listas de archivos usados más recientemente
◦ Archivos a los que se accede con mayor frecuencia
◦ Programas preferidos
◦ Uso del dispositivo
◦ Inicios de sesión de usuario (último inicio, último inicio
fallido, nombres de usuario, ID)
◦ Uso de periféricos (impresora, escáner, etc.)
• Archivos de registro (logs) del sistema y de las aplicaciones
• Espacio sin asignar
• Almacenamiento en la nube y remoto
• Memoria RAM, (información de los procesos [identificadores],
claves de cifrado, archivos abiertos, documentos no guardados,
nombres de usuario, contraseñas, procesos en ejecución, entre
otros).
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 73
y textos). En esta medida es necesario que los operadores judiciales
conozcan estos artefactos para poder solicitar a los analistas que
verifiquen la información en el dispositivo.
Fase de presentación
Una vez completado el análisis, inicia una de las fases más importantes
para la administración de justicia ya que definirá si todo lo realizado
con anterioridad servirá para la judicialización o no de los responsables
en un crimen. Por esto, la ejecución de los procedimientos deben ser
impecables y regirse por los estándares internacionales y las buenas
prácticas que guían el uso de una metodología acertada y legal de la
jurisdicción donde se pertenece.
74 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Informe forense
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 75
Presentación en audiencia
Técnicas antiforenses
76 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
1. Técnica de borrado o destrucción de los MD. Mediante
esta técnica se borran los datos del sistema operativo o de los
dispositivos de almacenamiento de un sistema de información. A
través de herramientas especializadas se puede llegar a recuperar
y/o reconstruir la información. Sin embargo, cuando se opta por un
borrado seguro no existe forma alguna a nivel forense de recuperar
dicha información.
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 77
Buenas prácticas en la
investigación digital forense del
crimen organizado
Uno de los grandes retos de las agencias de ley es la investigación digital del crimen
organizado, debido a los diferentes problemas que se pueden presentar al recolectar
la evidencia en la jurisdicción internacional, la cooperación de las agencias públicas y
privadas, la volatilidad de la información en la nube y las legislaciones internacionales.
Es por esto que las policías en diversas partes del mundo, han enfocado sus esfuerzos a
mejorar los procesos investigativos de análisis y prevención y han creado mecanismos
de participación a través de la INTERPOL, EUROPOL, AMERIPOL, las Naciones Unidas y
la Organización de Estados Americanos.
Para realizar una efectiva investigación de los casos relacionados con el crimen
organizado es necesario que el investigador digital forense investigue y conozca las
modalidades y los posibles mecanismos de cooperación judicial internacional.
78 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Deep web y dark web
Estos dos términos deep web y dark web, suelen confundirse, sin embargo,
su significado es diferente. La deep web es una red que está formada por
todos los sitios web, aplicaciones, contenidos de bases de datos, entre otros,
que no están indexados por los motores de búsqueda como Google, Yahoo!
y similares, este contenido no es contenido criminal necesariamente, ya que
también almacena información académica, empresarial y estatal. Sin embargo,
no es necesario ingresar a ellos a través de dominio o buscadores. La dark web
es una red encriptada que solo se tiene acceso a través de la red TOR, que usa
diversas capas para mantener el anonimato y las conexiones.
5. Para una mayor seguridad es preferible evitar otorgar permisos a los sitios
que visitamos, especialmente el de ubicación.
7. Al estar dentro de las paginas de la Deep web o Dark web debemos tener
en cuenta que por fallos de seguridad podemos ser victimas de ataques,
razón por la cual siempre se debe estar alerta.
8. Recuerde que las paginas web de la Dark net y Deep web no tienen un
dominio ni se encuentran indexadas por lo cual es importante conocer el
enlace para poder ingresar, estos enlaces no tienen palabras conocidas
o comunes, son solo combinaciones alfanuméricas lo cual dificulta su
identificación.
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 79
Convergencia en el terrorismo y el internet
80 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Administración de la justicia y el ámbito
internacional de la evidencia digital
Convenio de Budapest
1 https://www.coe.int/en/web/cybercrime/the-budapest-convention
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 81
Los delitos contra la confidencialidad, la integridad y la disponibilidad
de los datos y sistemas informáticos se identifican como:
Delitos informáticos
82 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Model Law on Computer and Computer Related Crime
Proyecto SIRIUS
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 83
En el futuro, el proyecto SIRIUS continuará brindando capacitaciones
virtuales de alta calidad a través de la plataforma CEPOL, herramientas
innovadoras para ayudar con las investigaciones en línea, así como las
pautas actualizadas que reflejan los últimos cambios en las políticas
de aplicación de la ley de los principales proveedores de servicios en
línea. De esta forma, SIRIUS tendrá una contribución significativa en
la perspectiva judicial del proyecto (EUROPOL, 2021).
Facebook e Instagram
https://es-la.facebook.com/safety/groups/law/guidelines/
84 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Así mismo se pueden enviar los requerimientos a la dirección postal
de los Estados Unidos para ambas aplicaciones, ya que pertenecen a
la misma compañía:
1601 Willow Road, Menlo Park, CA 94025
Attention: Facebook Security, Law Enforcement Response Team
Cabe resaltar que para usar los canales establecidos por las agencias
de ley se debe enviar, mediante el correo institucional, los soportes
pertinentes a través del Portal para Agencias de Ley de Facebook para
requerimientos de conservación y emergencia: records@records.
facebook.com
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 85
¿Qué se puede solicitar a Facebook mediante un MLA?
Ubicación
Publicaciones
86 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
• Metadatos del contenido cargado
• Videos vistos en Facebook
Me gusta y reacciones
Comentarios
Amigos
• Amigos con los que el usuario está conectado actualmente
• Amigos eliminados a los que el usuario ya no está conectado
• Solicitudes de amistad enviadas y recibidas por el usuario
• Personas bloqueadas por el usuario
• Personas que han bloqueado al usuario
• Configuración de notificaciones
• Configuración / bloqueos de privacidad
Grupos
• Mensajes
Mensajes intercambiados con otras personas en Messenger
• Eventos
Lista de eventos creados por el usuario
Respuestas a eventos que incluyen (“Asistir”, “Quizás”,
“Interesado” y “No asistir”)
Invitaciones a eventos recibidas por el usuario
• Páginas
Páginas de las que el usuario es administrador
• Mercado:
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 87
Actividad del usuario en Marketplace
• Historial de pagos
Historial de pagos realizados por el usuario a través de
Facebook
• Colecciones y artículos guardados:
Publicaciones, fotos y videos guardados por el usuario
Colecciones de publicaciones, fotos y videos guardados por
el usuario
Colecciones de las que el usuario forma parte
Lugares
Anuncios
• Intereses publicitarios
• Anunciantes en cuyos anuncios el usuario hizo clic en Facebook
Buscar historia
Otra actividad
88 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Información de inicio de sesión y cookies
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 89
• En línea / Fuera de línea / Inactivo desde
• IP de conexión anterior / actual
• Tipo de dispositivo / Número de compilación del SO / Fabricante
/ Modelo
• Versión de la aplicación
• Versión Web / Escritorio / Plataforma / Conectado desde /
Estado de disponibilidad / Inactivo desde
• Acerca de
• Acerca de la hora establecida
• Imagen de perfil y tiempo de carga
• Contactos
• Grupos
Configuración
• Privacidad vista por última vez
• Privacidad de la foto de perfil
• Acerca de la privacidad y la privacidad del estado
Números bloqueados
Confirmación de lectura
WhatsApp Inc.,
Law Enforcement Response Team
1601 Willow Road, Menlo Park, California 94025, United States of
America
records@records.whatsapp.com
90 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Ilustración 21: Portal agencias de ley WhatsApp
Para conocer los requisitos de Twitter para las agencias de ley, se deber
ingresar al siguiente enlace:
https://help.twitter.com/es/rules-and-policies/twitter-law-
enforcement-support
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 91
En el caso de Twitter, los requerimientos deben ser dirigidos a la
dirección:
Twitter, Inc.
c/o Trust & Safety - Legal Policy
1355 Market Street, Suite 900
San Francisco, CA 94103
92 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Microsoft
• Cuenta Microsoft
• Correo electrónico
• Xbox
• One Drive
• Skype
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 93
Datos de servicio de XBOX
94 G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L
Bibliografía
G U Í A T É C N I C A S O B R E A N Á L I S I S F O R E N S E Y E V I D E N C I A D I G I TA L 95
Guía técnica sobre análisis
forense y evidencia digital
CON EL APOYO DE LA
OFICINA INTERNACIONAL
DE ASUNTOS ANTINARCÓTICOS Y
APLICACIÓN DE LA LEY (INL)