INFORME FORENSE PERICIAL

XXXXXXX
 Contenido
1. Presentación del firmante............................................................................................................. 3
2. Antecedentes ................................................................................................................................. 4
3. Objeto del trabajo ......................................................................................................................... 5
4. Metodología Utilizada ................................................................................................................... 6
5. Terminología .................................................................................................................................. 7
6. Fuentes de Información ................................................................................................................ 9
7. Acta de Adquisición de Evidencias .............................................................................................10
8. Cadena de Custodia.....................................................................................................................13
9. Resultado del análisis realizado .................................................................................................. 14
10. Conclusiones ............................................................................................................................15

iHackLabs Ltd.
Informe Confidencial Página 2 de 2
XXXXXXXX
 1. Presentación del firmante

iHackLabs Ltd.
Informe Confidencial Página 3 de 2
XXXXXXXX
 2. Antecedentes

Con objeto de facilitar al lector la comprensión del contexto en el que se enmarca nuestro trabajo,
a continuación, expondremos nuestro entendimiento preliminar de la situación, el cual no forma
parte de nuestras conclusiones, ni se debe entender como una interpretación legal de los hechos
descritos.

Entendemos que los antecedentes del caso son los que se describen a continuación:

- xxxxx
- xxxx
- xxxxxx

En este contexto, CLIENTE nos ha pedido nuestra asistencia como expertos en digital forensics,
para localizar dicho documento en el equipo asignado al trabajador cuyo objeto y alcance
detallamos a continuación.

iHackLabs Ltd.
Informe Confidencial Página 4 de 2
XXXXXXXX
 3. Objeto del trabajo
Más concretamente, los procedimientos realizados en el desarrollo de nuestro trabajo son los que
se describen a continuación:

 xxxxx

 xxxxxxxx

Las conclusiones de nuestro informe han sido incluidas en el punto 10.

Nuestro informe pericial ha sido elaborado para ser aportado a los procedimientos legales que se
puedan derivar

iHackLabs Ltd.
Informe Confidencial Página 5 de 2
XXXXXXXX
 4. Metodología Utilizada
La metodología utilizada para realizar los procesos de adquisición, análisis y preservación de
evidencias se basan en la norma ISO 27037:2012 (Tecnología de la información - Técnicas de
seguridad - Guías para la identificación, recopilación, adquisición y preservación de evidencias
digitales). Dicha norma tiene como principios, los siguientes:

- Aplicación de métodos. La evidencia digital debe ser adquirida del modo menos intrusivo
posible, tratando de preservarla originalidad de la prueba y en la medida de lo posible
obteniendo copias de respaldo.
- Proceso auditable. Los procedimientos seguidos y la documentación generada deben
haber sido validados y contrastados por las buenas prácticas profesionales. Se deben
proporcionar trazas y evidencias de lo realizado y sus resultados.
- Proceso reproducible. Los métodos y procedimientos aplicados deben de ser
reproducibles, verificables y argumentables al nivel de comprensión de los entendidos en
la materia, quienes puedan dar validez y respaldo a las actuaciones realizadas.
- Proceso defendible. Las herramientas utilizadas deben de ser mencionadas y éstas deben
de haber sido validadas y contrastadas en su uso para el fin en el cual se utilizan en la
actuación. Para cada tipología de dispositivo la norma divide la actuación o su tratamiento
en tres procesos diferenciados como modelo genérico de tratamiento de las evidencias.
- Identificación. Es el proceso de la identificación de la evidencia y consiste en localizar e
identificar las potenciales información eso elementos de prueba en sus dos posibles
estados, el físico y el lógico, según sea el caso de cada evidencia.
- Recolección y/o adquisición. Este proceso se define como la recolección de los dispositivos
y la documentación (incautación y secuestro de los mismos) que puedan contener la
evidencia que se desea recopilar o bien la adquisición y copia de la información existente
en los dispositivos.
- Conservación/preservación. La evidencia ha de ser preservada para garantizar su utilidad,
es decir, su originalidad para que a posteriori pueda ser ésta admisible como elemento de
prueba original e íntegro, por lo tanto, las acciones de este proceso están claramente
dirigidas a conservar la cadena de custodia, la integridad y la originalidad de la prueba.

iHackLabs Ltd.
Informe Confidencial Página 6 de 2
XXXXXXXX
 5. Terminología
Comunicaciones Telemáticas: todo tipo de comunicación entre un emisor y destinatario donde el
canal de comunicación entre ambos, se emplean medios informáticos y de telecomunicaciones.

HASH Criptográfico: el hash o resumen, es código alfanúmero de una longitud establecida por el
tipo de función resumen a utilizar, siendo dicho hash o resumen único para cada fichero. Es decir,
si calculamos el hash de varios ficheros distintos, ambos hashes serán distintos, sin embargo, si
calculamos el hash de dos ficheros que sean exactamente iguales, su hash será el mismo.

Evidencia original: el termino de evidencia original es aplicado a la fuente de información original.

Copia de la evidencia original o imagen forense: el termino copia de la evidencia original, es la

copia que se realiza de la evidencia original gracias al proceso de adquisición de datos y es la que
se utiliza para analizar la información contenida en la misma.

Adquisición: proceso de clonado de información que tiene como entrada la evidencia original y
como salida, la copia de la evidencia original. Para asegurar que este proceso se ha realizado
correctamente y que no existe ningún tipo de contaminación, se calculan hashes de la evidencia
original y de la copia de la evidencia original.

Espacio ocupado: espacio en el dispositivo digital que es utilizado para el almacenaje de

información.

Espacio libre: área de una evidencia digital que no está ocupada por ningún tipo de información y
es visible al sistema operativo, este espacio puede ser utilizado por el sistema operativo.

Recopilación: proceso de obtener los dispositivos físicos que contienen evidencias digitales.

Dispositivo Digital: equipamiento electrónico usado para procesar o almacenar información digital.

Identificación: proceso que involucra la búsqueda, reconocimiento y documentación de una

posible evidencia digital.

Periférico: dispositivo conectado a la evidencia digital para poder expandir su funcionalidad.

Preservación: proceso para mantener y salvaguardar la integridad y las condiciones originales la

posible evidencia digital.

Fiabilidad: condición que se ajusta a la verdad o realidad.

Repetibilidad: propiedad de un proceso donde se obtienen los mismos resultados en el mismo

entorno de pruebas (mismo ordenador, mismo disco duro, modo de operación).

iHackLabs Ltd.
Informe Confidencial Página 7 de 2
XXXXXXXX
 Reproducibilidad: propiedad de un proceso donde se obtiene los mismos resultados, pero con
distintos entornos (diferente ordenador, diferente disco duro).

Contaminación de la evidencia: acto de realizar cambios en la evidencia digital (intencionadamente

o deliberadamente).

Personal forense: personal autorizado, capacitado, entrenado y cualificado con un alto

conocimiento en la gestión de evidencias digitales de distinta índole.

Validar: confirmar a través de proporcionar una prueba que los requisitos para uso específico o
aplicación sean cumplidos.

Función de verificación: función la cual es usada para verificar dos sets de información que son
idénticos. Estas funciones de verificación son comúnmente implementadas mediante funciones
de hashes criptográficos, tales como SHA256, SHA512 etc.

Información volátil: información que es propensa a cambiar y puede ser fácilmente modificable.
Un cambio puede ser el apagado de la alimentación o el paso a través de un campo magnético. La
información volátil también incluye la información que cambia cuando el sistema también ha
cambiado. Por ejemplo, incluye la información almacenada en la memoria RAM y su IP dinámica.

iHackLabs Ltd.
Informe Confidencial Página 8 de 2
XXXXXXXX
 6. Fuentes de Información
Los datos mostrados a continuación, han sido proporcionados por CLIENTE ya que fueron ellos los
que realizaron la adquisición de datos, del siguiente dispositivo.

- XXXXXXX

En el apartado siete de este informe, acta de adquisición de evidencias, se detalla el método de

obtención de las pruebas digitales, de mañanera que se realizó de forma que las evidencias
adquiridas no fueran susceptibles de contaminación ya que cualquier modificación de los datos
originales, alteraría la firma digital obtenida e identificada por el código denominado Hash de
adquisición y verificación.

iHackLabs Ltd.
Informe Confidencial Página 9 de 2
XXXXXXXX
 7. Acta de Adquisición de Evidencias
Las imágenes forenses son una copia exacta y no contaminable de los datos contenidos en los
equipos informáticos originales. A continuación, mostramos un cuadro resumen de la información
de la evidencia que nos han proporcionado:

EVIDENCIA EVD-00X

Ordenador de Sobremesa Ordenador Portátil

Tipo de Dispositivo:
SmartPhone Tablet
Pendrive Otros(Especificar):

Memoria flash USB

Disco Duro (HDD) RAID Nivel:
Tipo de Evidencia: Memoria Flash
Disco Sólido (SDD) Correo electrónico
(Indicar cuenta en Buzón de
Smartphone/Tablet
Correo)

Fabricante:

Modelo:

Número de Serie:

Fabricante del
Dispositivo:
Modelo de
Dispositivo:
Número de Serie de
Dispositivo:

Las principales características técnicas de una imagen forense son las siguientes:

- Es una copia íntegra de todos los sectores que componen un volumen físico o soporte
digital. Es decir, es una copia completa (copia byte a byte) de toda la información contenida
en un soporte digital. De esta forma obteniendo una imagen forense podemos garantizar
que tenemos una copia con el 100% de la información original.
- Están firmadas digitalmente mediante una función HASH que permite identificar
unívocamente el contenido de la imagen forense. Es decir, es posible verificar en todo
momento que la información contenida en la copia es idéntica a la original. De esta forma
obteniendo una imagen forense podemos garantizar la integridad de la información que
se presenta.

iHackLabs Ltd.
Informe Confidencial Página 10 de 2
XXXXXXXX
 La obtención de las imágenes forenses se realizó siguiendo los procedimientos que a continuación
se detallan:

- XXXXX
- XXXXXX

A continuación, mostramos un cuadro resumen de la tecnología utilizada:

Tecnología empleada para adquisición EVD-00X

Software/Hardware utilizado en la adquisición:

(Marcar el que corresponda, indicar la versión utilizada)

EnCase Versión: T35u Winhex Versión:

ICS Solo Versión: FTK Imager Versión

Guyimager Versión: Cellebrite 4PC Versión:

Adquisición de Datos

Donde se produjo la
Adquisición:

Fecha de la
Adquisición

Adquirido por Nombre Apellidos

Integridad de los datos y testigos

Verificación Imagen Verificada: Si No N/A

SHA1 HASH

SHA1 HASH
VERIFICADO

Proceso atestiguado por Notario (si lo estuviese):

Nombre:

Firma y
DNI:

Proceso atestiguado por Testigos:

iHackLabs Ltd.
Informe Confidencial Página 11 de 2
XXXXXXXX
 Nombre:

Firma y
DNI:

iHackLabs Ltd.
Informe Confidencial Página 12 de 2
XXXXXXXX
 8. Cadena de Custodia

Con el fin de garantizar la integridad de las evidencias digitales, se estableció una cadena de
custodia sobre las imágenes forenses obtenidas.

La cadena de custodia, documenta la ubicación y la persona encargada de su custodia durante

todo el ciclo de vida:

Registro de la cadena de custodia de la imagen forense

(Todas las transferencias de este artículo Nombre de la Nombre de la

serán registradas a continuación y persona que Firma persona que Firma
firmadas con bolígrafo indeleble.) entrega recibe

Propósito de la
Transferencia:

1
Método de la
transferencia:

Fecha de la
transferencia:

iHackLabs Ltd.
Informe Confidencial Página 13 de 2
XXXXXXXX
 9. Resultado del análisis realizado

iHackLabs Ltd.
Informe Confidencial Página 14 de 2
XXXXXXXX
 10. Conclusiones
De acuerdo con los resultados de nuestro trabajo, presentados en el punto 9, las principales
conclusiones que hemos obtenido al respecto son las siguientes:

1. XXXX
2. XXX
3. XXXX
4. XXXX
5. XXXXX

iHackLabs Ltd.
Informe Confidencial Página 15 de 2
XXXXXXXX