Manual de Preparación para Entrevista:

UFED y Extracción Forense de

Dispositivos Móviles en el Contexto de la
Fiscalía RM ORIENTE

Introducción
Este manual ha sido diseñado para proporcionar una guía completa y detallada sobre el
Universal Forensic Extraction Device (UFED) de Cellebrite y las metodologías de
extracción forense de información de dispositivos móviles. El contenido está
específicamente orientado a preparar a profesionales para una entrevista de trabajo en
el ámbito de la Fiscalía Regional Metropolitana Oriente (RM ORIENTE) de Chile, o en
cualquier rol relacionado con la extracción y análisis de evidencia digital en el sector
judicial. Se abordarán los aspectos técnicos, las herramientas más utilizadas, los
procedimientos forenses estándar y el marco legal relevante en Chile, con un enfoque
particular en la cadena de custodia y la integridad de la evidencia digital.

El campo de la informática forense es dinámico y crucial en la investigación criminal

moderna. La proliferación de dispositivos móviles ha convertido a estos en repositorios
masivos de información personal y de actividad, lo que los hace una fuente invaluable
de evidencia en una amplia gama de delitos. Comprender cómo se extrae, procesa y
presenta esta información de manera forense es esencial para garantizar la justicia y la
validez de las pruebas en un tribunal.

Este documento servirá como una referencia clave para entender no solo el
funcionamiento de herramientas como UFED, sino también los principios subyacentes
que rigen la recolección y el análisis de evidencia digital, asegurando que el candidato
esté bien preparado para discutir estos temas con confianza y conocimiento.
1. Universal Forensic Extraction Device (UFED) y
Extracción Forense de Celulares

1.1. ¿Qué es UFED?

El Universal Forensic Extraction Device (UFED) de Cellebrite es una de las herramientas

líderes y más avanzadas en el campo de la informática forense digital. Diseñado para la
extracción y análisis de datos de una amplia variedad de dispositivos móviles, UFED
permite a los investigadores acceder legalmente a evidencia digital crítica. Su capacidad
para interactuar con teléfonos básicos, smartphones, drones, tarjetas SIM, tarjetas SD y
dispositivos GPS lo convierte en una solución integral para las necesidades de las
fuerzas del orden y las agencias de investigación.

La versatilidad de UFED radica en su compatibilidad con una vasta gama de sistemas

operativos móviles, incluyendo iOS, Android, Windows Phone, BlackBerry OS, y muchos
otros. Esto asegura que, independientemente del tipo de dispositivo, los investigadores
puedan obtener la información necesaria para sus casos. Cellebrite afirma que UFED es
capaz de extraer datos fundamentales del 95% de todos los teléfonos móviles actuales
en el mercado, lo que subraya su eficacia y alcance.

1.2. Tipos de Extracción de Datos con UFED

UFED ofrece diferentes métodos de extracción para adaptarse a las características del
dispositivo y al nivel de acceso requerido. Estos métodos se clasifican principalmente en
extracciones físicas y lógicas, cada una con sus propias ventajas y aplicaciones:

• Extracciones Físicas: Este tipo de extracción es el más completo y se considera el

"estándar de oro" en la informática forense. Implica el acceso directo a la memoria
bruta del dispositivo, byte a byte. Las extracciones físicas permiten recuperar no
solo los datos actualmente visibles y accesibles, sino también información
borrada, fragmentada o que reside en áreas no asignadas de la memoria. Esto es
crucial para reconstruir eventos, recuperar comunicaciones eliminadas o descubrir
archivos ocultos. La naturaleza de esta extracción a menudo requiere métodos más
invasivos o el aprovechamiento de vulnerabilidades en el firmware del dispositivo.

• Extracciones Lógicas: Las extracciones lógicas obtienen los datos accesibles a

través del sistema operativo del dispositivo, utilizando las APIs o protocolos de
comunicación estándar. Este método es generalmente más rápido y menos
invasivo que la extracción física. Los datos recuperados incluyen contactos,
mensajes de texto (SMS/MMS), registros de llamadas, fotos, videos, audio, y datos
de aplicaciones que son fácilmente accesibles por el usuario. Si bien es útil para
 obtener una instantánea rápida de la información del dispositivo, las extracciones
lógicas no suelen recuperar datos borrados o inaccesibles a nivel del sistema de
archivos.

1.3. Datos que se Pueden Extraer

La capacidad de UFED para extraer una amplia gama de tipos de datos lo convierte en
una herramienta indispensable para las investigaciones. La información recuperable
incluye, pero no se limita a:

• Comunicaciones: Mensajes de texto (SMS y MMS), registros detallados de llamadas

(entrantes, salientes, perdidas, duración), correos electrónicos, y datos de
aplicaciones de mensajería instantánea como WhatsApp, Telegram, Signal, entre
otras. Esto puede incluir chats, archivos adjuntos, y metadatos de comunicación.

• Información de Usuario: Agenda de contactos con nombres, números, direcciones

y otra información asociada; entradas de calendario, notas, recordatorios y listas
de tareas.

• Archivos Multimedia: Fotografías (incluyendo metadatos EXIF), videos y

grabaciones de audio almacenados en el dispositivo o en tarjetas de memoria.

• Datos de Navegación Web: Historial de navegación, cookies, marcadores,

descargas y datos de formularios web, que pueden revelar patrones de actividad
en línea y sitios visitados.

• Datos de Ubicación: Información de geolocalización obtenida a través de GPS,

triangulación de torres de telefonía celular, puntos de acceso Wi-Fi y datos de
aplicaciones que registran la ubicación. Esto es vital para establecer la presencia de
un sospechoso en un lugar y momento determinados.

• Datos de Aplicaciones: Información de uso de aplicaciones, bases de datos

internas de aplicaciones, credenciales de inicio de sesión almacenadas, y cualquier
otro dato generado o utilizado por las aplicaciones instaladas en el dispositivo.

• Información del Sistema: Identificadores únicos del dispositivo como IMEI

(International Mobile Equipment Identity), IMSI (International Mobile Subscriber
Identity), número de serie, versión del sistema operativo, información de red
(operador, tipo de conexión), y configuraciones del dispositivo.

• Datos Borrados: En el caso de extracciones físicas, UFED tiene la capacidad de

recuperar datos que han sido eliminados por el usuario, pero que aún persisten en
la memoria del dispositivo hasta que son sobrescritos. Esto es de suma
importancia en investigaciones donde los sospechosos intentan ocultar evidencia.
 • Contraseñas y Credenciales: En algunos casos, UFED puede eludir o extraer
contraseñas de bloqueo de pantalla, credenciales de aplicaciones o claves de
cifrado, lo que permite un acceso más profundo a la información protegida.

La capacidad de UFED para acceder y extraer esta vasta cantidad de información lo

convierte en una herramienta esencial para las agencias de aplicación de la ley y los
peritos forenses, permitiéndoles reconstruir eventos, identificar conexiones y obtener
pruebas cruciales para la resolución de casos criminales.

2. Herramientas y Técnicas Comunes en la Extracción

Forense Digital
Además de Cellebrite UFED, el campo de la informática forense digital cuenta con una
variedad de herramientas y técnicas que complementan y, en algunos casos, ofrecen
alternativas para la extracción y análisis de evidencia digital. La elección de la
herramienta o técnica adecuada depende de múltiples factores, incluyendo el tipo de
dispositivo, el sistema operativo, el nivel de daño, y los requisitos específicos de la
investigación.

2.1. Herramientas Comerciales Destacadas

El mercado de la informática forense ofrece soluciones robustas y completas,

desarrolladas por empresas especializadas. Estas herramientas suelen ser de pago y
ofrecen soporte técnico, actualizaciones frecuentes y una amplia gama de
funcionalidades integradas:

• EnCase (OpenText EnCase Forensic): Considerada una de las herramientas

pioneras y más respetadas en el ámbito forense digital. EnCase es una plataforma
integral que permite realizar análisis detallados de discos duros, dispositivos
móviles y otros medios de almacenamiento. Es ampliamente utilizada para la
adquisición, preservación, análisis y presentación de evidencia digital. Su fortaleza
radica en su capacidad para manejar grandes volúmenes de datos y su aceptación
en tribunales de todo el mundo.

• Magnet Acquire (Magnet Forensics): Esta herramienta se especializa en la

adquisición forense de datos de diversas fuentes, incluyendo computadoras,
dispositivos móviles y servicios en la nube. Magnet Acquire es conocida por su
facilidad de uso y su eficiencia en la creación de copias forenses bit a bit,
asegurando la integridad de la evidencia durante el proceso de adquisición. Es un
componente clave en el ecosistema de herramientas de Magnet Forensics, que
también incluye Magnet AXIOM para el análisis.
 • Oxygen Forensic Detective (Oxygen Forensics): Una solución todo en uno para el
análisis forense móvil e informático. Oxygen Forensic Detective es capaz de extraer
y analizar una amplia gama de datos de smartphones, tablets, drones, dispositivos
IoT, servicios en la nube y computadoras. Se destaca por su capacidad para
descifrar y acceder a datos de aplicaciones complejas, así como por sus potentes
herramientas de visualización y reporte. Es una alternativa robusta a Cellebrite
UFED en muchos escenarios.

• MSAB XRY (Micro Systemation AB): Similar a Cellebrite UFED, MSAB XRY es otra
herramienta líder en la extracción de datos de dispositivos móviles. Ofrece
capacidades de extracción lógica y física, así como la capacidad de analizar y
reportar los datos extraídos. MSAB XRY es ampliamente utilizada por agencias de
aplicación de la ley y profesionales forenses en todo el mundo por su fiabilidad y su
constante actualización para soportar los últimos modelos de dispositivos y
sistemas operativos.

2.2. Herramientas de Código Abierto (Open Source)

Las herramientas de código abierto ofrecen alternativas gratuitas y flexibles para el

análisis forense digital. Aunque pueden requerir un mayor nivel de conocimiento técnico
para su configuración y uso, son valiosas para investigadores con presupuestos
limitados o para aquellos que prefieren la transparencia y la personalización que ofrece
el software de código abierto:

• Autopsy: Una interfaz gráfica de usuario para The Sleuth Kit, una colección de
herramientas de línea de comandos para el análisis forense de sistemas de
archivos y volúmenes de disco. Autopsy permite a los investigadores analizar
discos duros y smartphones, ofreciendo funcionalidades para la recuperación de
archivos borrados, análisis de línea de tiempo, búsqueda de palabras clave y
análisis de hashes. Es una herramienta muy popular en la comunidad forense de
código abierto.

• CAINE (Computer Aided Investigative Environment): Una distribución de Linux

diseñada específicamente para el análisis forense digital. CAINE integra una amplia
colección de herramientas forenses preinstaladas y configuradas, lo que la
convierte en un entorno de trabajo conveniente para los investigadores. Incluye
herramientas para la adquisición de datos, análisis de sistemas de archivos,
análisis de memoria y más.

• Digital Forensics Framework (DFF): Una plataforma de código abierto para el

análisis forense digital que proporciona una interfaz modular y extensible. DFF
permite a los investigadores construir sus propios flujos de trabajo de análisis y
 automatizar tareas repetitivas. Es una opción interesante para aquellos que buscan
una solución personalizable.

• Volatility Framework: Una herramienta avanzada para el análisis de memoria

volátil (RAM). Volatility permite a los investigadores extraer información crucial de
volcados de memoria, como procesos en ejecución, conexiones de red, claves de
registro, y datos de aplicaciones. Es indispensable para investigar malware,
ataques en memoria y otras actividades que no dejan rastros en el disco duro.

• Redline (Mandiant): Aunque no es completamente de código abierto, Redline es

una herramienta gratuita de Mandiant (ahora parte de Google Cloud) para el
análisis de endpoints y la detección de actividad maliciosa. Permite a los
investigadores recopilar datos forenses de un sistema, como procesos en
ejecución, archivos de registro, y actividad de red, para identificar indicadores de
compromiso.

2.3. Técnicas de Extracción de Datos

Las técnicas de extracción de datos varían en su complejidad y en el nivel de acceso que

proporcionan a la información del dispositivo. La elección de la técnica depende de la
situación y del tipo de datos que se necesitan recuperar:

• Extracción Lógica: Es la técnica más básica y menos invasiva. Se realiza a través de

las APIs del sistema operativo del dispositivo, similar a cómo un usuario normal
accedería a sus datos. Permite obtener contactos, mensajes, registros de llamadas,
fotos, videos y datos de aplicaciones accesibles. Es rápida y no altera el dispositivo,
pero no recupera datos borrados o inaccesibles a nivel del sistema de archivos.

• Extracción del Sistema de Archivos (Filesystem Extraction): Esta técnica va un

paso más allá de la extracción lógica, permitiendo acceder a la estructura completa
de archivos y carpetas del sistema de archivos del dispositivo. Es más completa
que la lógica y puede revelar archivos ocultos o datos de aplicaciones que no son
directamente accesibles a través de la interfaz de usuario. A menudo se realiza a
través de herramientas forenses que aprovechan vulnerabilidades o permisos
elevados.

• Extracción Física: Considerada la técnica más exhaustiva, la extracción física

implica el acceso directo a la memoria flash del dispositivo, byte a byte. Esto
permite recuperar no solo los datos activos, sino también datos borrados,
fragmentados o que residen en áreas no asignadas de la memoria. Requiere
métodos más invasivos, como el uso de bootloaders modificados, o la explotación
de vulnerabilidades de software o hardware. Es la técnica preferida cuando se
busca la máxima cantidad de información posible.
 • Extracción JTAG/Chip-off: Estas son técnicas más avanzadas y, a menudo,
destructivas, utilizadas cuando otros métodos fallan o cuando el dispositivo está
severamente dañado. La extracción JTAG (Joint Test Action Group) implica soldar
cables a puntos de prueba específicos en la placa del circuito del dispositivo para
acceder directamente a la memoria. La técnica de Chip-off implica desoldar
físicamente el chip de memoria del dispositivo y leer su contenido utilizando un
lector de chips especializado. Ambas técnicas son complejas, requieren equipo
especializado y pueden invalidar la garantía del dispositivo o dañarlo
permanentemente.

• Extracción de Datos en la Nube: Con la creciente dependencia de los servicios en

la nube, la extracción de datos de plataformas como Google Drive, iCloud,
Dropbox, redes sociales, etc., se ha vuelto crucial. Esta técnica implica el acceso a
la información almacenada en los servidores de estos proveedores, generalmente
a través de órdenes judiciales o solicitudes legales directas a las empresas. Las
herramientas forenses modernas a menudo integran funcionalidades para facilitar
esta extracción, siempre dentro del marco legal.

2.4. Tipos de Datos que se Pueden Extraer (Reiteración y Ampliación)

La información que se puede obtener de un dispositivo móvil es vasta y diversa,

abarcando casi todos los aspectos de la vida digital de un individuo. La capacidad de
extraer y analizar estos datos es fundamental para construir un caso sólido. A
continuación, se detallan los tipos de datos más comunes y su relevancia forense:

• Comunicaciones:

◦ Mensajes de Texto (SMS/MMS): Contenido de los mensajes, números de

remitente/destinatario, marcas de tiempo, y estado (enviado, recibido, leído).
◦ Registros de Llamadas: Historial completo de llamadas (entrantes, salientes,
perdidas), duración de las llamadas, números de teléfono, y marcas de
tiempo.
◦ Correos Electrónicos: Contenido de los correos, remitentes, destinatarios,
fechas, y archivos adjuntos.
◦ Aplicaciones de Mensajería Instantánea: Chats (individuales y grupales),
archivos multimedia compartidos (fotos, videos, audios), documentos,
contactos, y metadatos de las conversaciones (marcas de tiempo, estado de
entrega/lectura). Esto incluye aplicaciones como WhatsApp, Telegram, Signal,
Facebook Messenger, Line, WeChat, etc.
• Información de Usuario y Productividad:

◦ Contactos: Nombres, números de teléfono, direcciones de correo

electrónico, direcciones físicas, y cualquier otra información asociada a los
contactos.
◦ Calendarios y Eventos: Citas, reuniones, recordatorios, y detalles de eventos
pasados y futuros.
◦ Notas y Documentos: Archivos de texto, documentos creados o
almacenados en el dispositivo, y notas de voz.

• Archivos Multimedia:

◦ Fotografías y Videos: Imágenes y grabaciones de video, incluyendo

metadatos EXIF (fecha, hora, ubicación GPS, modelo de cámara) que pueden
ser cruciales para establecer la autenticidad y el contexto de la evidencia.
◦ Grabaciones de Audio: Archivos de audio, incluyendo grabaciones de voz o
llamadas.

• Actividad en Línea:

◦ Historial de Navegación Web: Sitios web visitados, fechas y horas de acceso,

y duración de las visitas.
◦ Cookies y Caché: Datos almacenados por los navegadores web que pueden
revelar información sobre la actividad en línea y las preferencias del usuario.
◦ Marcadores y Favoritos: Sitios web guardados por el usuario.
◦ Datos de Aplicaciones de Redes Sociales: Publicaciones, comentarios,
mensajes directos, listas de amigos/seguidores, y actividad en plataformas
como Facebook, Instagram, Twitter, TikTok, etc.

• Datos de Ubicación:

◦ Registros GPS: Coordenadas geográficas precisas del dispositivo en

diferentes momentos.
◦ Datos de Torres de Telefonía Celular: Información sobre las torres a las que
el dispositivo se conectó, lo que puede ayudar a triangular la ubicación
aproximada.
◦ Registros de Conexión Wi-Fi: Redes Wi-Fi a las que el dispositivo se conectó,
incluyendo SSID y MAC address, que pueden estar geolocalizadas.
◦ Datos de Aplicaciones de Ubicación: Historial de ubicaciones de
aplicaciones como Google Maps, Foursquare, o aplicaciones de fitness.
 • Información del Sistema y Configuración:

◦ Identificadores del Dispositivo: IMEI, IMSI, número de serie, y otros

identificadores únicos.
◦ Versión del Sistema Operativo: Información sobre la versión del SO
instalada y las actualizaciones.
◦ Configuración de Red: Perfiles de red Wi-Fi, VPN, y configuraciones de datos
móviles.
◦ Aplicaciones Instaladas: Lista de todas las aplicaciones instaladas en el
dispositivo, incluyendo la fecha de instalación y la última vez que se usaron.

• Datos Borrados y Artefactos Forenses:

◦ Archivos Borrados: Datos que han sido eliminados lógicamente pero que
aún persisten en la memoria física del dispositivo.
◦ Fragmentos de Datos: Partes de archivos o comunicaciones que pueden ser
reconstruidas.
◦ Metadatos: Información adicional sobre los archivos (fecha de creación,
modificación, acceso) que puede ser crucial para establecer la cronología de
los eventos.
◦ Archivos de Registro (Logs): Registros del sistema operativo y de las
aplicaciones que pueden contener información sobre la actividad del usuario,
errores, y eventos del sistema.

La capacidad de extraer y correlacionar estos diferentes tipos de datos permite a los

investigadores forensas construir una imagen completa de la actividad del dispositivo y
del usuario, lo que es fundamental para la resolución de crímenes y la presentación de
evidencia en un tribunal.

3. La Fiscalía RM ORIENTE y la Extracción de

Información de Dispositivos Móviles
La Fiscalía Regional Metropolitana Oriente (RM ORIENTE) es una de las fiscalías que
conforman el Ministerio Público de Chile, encargada de la investigación y persecución
penal de delitos en una vasta área geográfica de la Región Metropolitana. Su estructura
interna está organizada para abordar diversas tipologías delictivas, contando con
fiscales especializados y unidades dedicadas a áreas como delitos sexuales,
económicos, robos, crimen organizado, y análisis criminal, entre otros.
3.1. Rol de la Evidencia Digital en la Investigación Criminal

En la era digital actual, los dispositivos móviles se han convertido en una fuente
inagotable de evidencia para la investigación criminal. Desde comunicaciones
personales hasta registros de actividad en línea, datos de ubicación y archivos
multimedia, la información contenida en teléfonos celulares, tablets y otros dispositivos
puede ser determinante para esclarecer hechos, identificar responsables y construir
casos sólidos. Por esta razón, la capacidad de extraer y analizar forensemente esta
información es una función crítica para cualquier fiscalía moderna, incluida la Fiscalía
RM ORIENTE.

3.2. Uso de Herramientas Forenses en el Contexto de las Fiscalías

Chilenas

Aunque la información pública específica sobre las herramientas forenses exactas

utilizadas por la Fiscalía RM ORIENTE es limitada, es una práctica estándar y una
necesidad operativa que las fiscalías chilenas, como parte del Ministerio Público,
cuenten con la tecnología y el personal capacitado para el análisis de evidencia digital.
La tendencia general en Chile, evidenciada por otras fiscalías regionales (como la
Fiscalía de Arica, que ha certificado a sus funcionarios en el uso de software forense
como Oxygen Forensic Detective y UFED), indica un fuerte compromiso con la
incorporación de herramientas de vanguardia en sus procesos investigativos.

Es altamente probable que la Fiscalía RM ORIENTE emplee herramientas líderes en la

industria, como Cellebrite UFED o soluciones similares (por ejemplo, de MSAB o Oxygen
Forensics), para la extracción de datos de dispositivos móviles. Estas herramientas son
elegidas por su fiabilidad, su capacidad para acceder a una amplia gama de dispositivos
y sistemas operativos, y su reconocimiento en el ámbito forense internacional. La
inversión en este tipo de tecnología es indispensable para:

• Acelerar las investigaciones: La extracción eficiente de datos permite a los

fiscales y equipos de investigación obtener información relevante de manera
oportuna.
• Garantizar la integridad de la evidencia: Las herramientas forenses están
diseñadas para realizar extracciones de manera que se preserve la integridad de los
datos, lo cual es fundamental para su admisibilidad en un tribunal.
• Acceder a datos complejos: Permiten el acceso a información cifrada, borrada o
almacenada en áreas de difícil acceso, que sería imposible obtener con métodos
convencionales.
• Mantenerse al día con la tecnología: La constante evolución de los dispositivos
móviles y las aplicaciones requiere herramientas que se actualicen continuamente
para soportar las últimas innovaciones.
3.3. Procedimientos y Colaboración Interinstitucional

La extracción de información de dispositivos móviles en el contexto de la Fiscalía RM

ORIENTE, al igual que en otras fiscalías, sigue un protocolo estricto para asegurar la
legalidad y la validez de la evidencia. Este proceso generalmente implica:

1. Autorización Judicial: La incautación de dispositivos móviles y el acceso a su

contenido privado requieren, en la mayoría de los casos, una orden judicial. Esta
autorización se obtiene de un juez de garantía, quien evalúa la proporcionalidad y
necesidad de la medida en el marco de una investigación.

2. Preservación del Dispositivo: Una vez incautado, el dispositivo debe ser

manejado de manera que se evite cualquier alteración de su contenido. Esto
incluye el uso de bolsas Faraday para prevenir la comunicación remota y la
documentación exhaustiva de su estado inicial.

3. Extracción Forense: La extracción es realizada por peritos informáticos forenses o

personal de la fiscalía debidamente capacitado, utilizando herramientas como
UFED. Se priorizan las extracciones físicas o del sistema de archivos para obtener la
mayor cantidad de datos posible, siempre respetando la cadena de custodia.

4. Análisis de Datos: Una vez extraída la información, se procede a su análisis. Este

puede incluir la revisión de comunicaciones, la reconstrucción de líneas de tiempo,
la identificación de patrones de comportamiento, y la correlación de datos con
otras fuentes de evidencia.

5. Elaboración de Informes Periciales: Los hallazgos del análisis se documentan en

informes periciales detallados, que son presentados a los fiscales y,
eventualmente, al tribunal. Estos informes deben ser claros, concisos y
técnicamente sólidos.

La Fiscalía RM ORIENTE trabaja en estrecha colaboración con otras instituciones, como

la Policía de Investigaciones de Chile (PDI) y Carabineros de Chile, quienes también
cuentan con unidades especializadas en análisis forense digital. Esta colaboración
interinstitucional es fundamental para el intercambio de conocimientos, recursos y la
coordinación de esfuerzos en investigaciones complejas.

3.4. Implicaciones para una Entrevista de Trabajo

Para un candidato que aspira a trabajar en la Fiscalía RM ORIENTE en roles relacionados

con la extracción de información de celulares, es crucial demostrar no solo un
conocimiento técnico profundo de herramientas como UFED y las técnicas de
extracción, sino también una comprensión clara de los procedimientos legales y la
importancia de la cadena de custodia. Durante la entrevista, se valorará:

• Conocimiento Técnico: Capacidad para describir el funcionamiento de UFED, los

tipos de extracción, y los datos que se pueden obtener. Familiaridad con otras
herramientas forenses relevantes.
• Conciencia Legal: Entendimiento de la legislación chilena aplicable (Ley N° 21.459,
Código Procesal Penal) y los derechos fundamentales involucrados.
• Comprensión de la Cadena de Custodia: Conocimiento de los principios y la
importancia de mantener la integridad de la evidencia digital.
• Habilidades Analíticas: Capacidad para interpretar los datos extraídos y
convertirlos en información útil para la investigación.
• Ética Profesional: Compromiso con la objetividad, la imparcialidad y la
confidencialidad en el manejo de la evidencia.

Estar preparado para discutir casos hipotéticos o escenarios prácticos relacionados con
la extracción de datos móviles y cómo se aplicarían los conocimientos y habilidades en
el contexto de una investigación real será un punto a favor significativo.

4. Aspectos Legales y Cadena de Custodia en el Análisis

Forense Digital en Chile
La validez de la evidencia digital en un proceso judicial depende en gran medida de su
recolección, manejo y análisis conforme a la ley y a los principios forenses. En Chile, la
extracción y el análisis de información de dispositivos móviles están sujetos a un marco
legal estricto y a la observancia rigurosa de la cadena de custodia.

4.1. Marco Legal Chileno para la Evidencia Digital

El sistema legal chileno ha evolucionado para incorporar la realidad de la evidencia

digital en la investigación y persecución penal. Los principales cuerpos legales que rigen
esta materia son:

• Ley N° 21.459, que establece normas sobre delitos informáticos, deroga la ley
N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al
Convenio de Budapest: Esta ley, promulgada en 2022, es el pilar fundamental en
la legislación chilena en materia de ciberdelincuencia y evidencia digital.
Moderniza la tipificación de delitos informáticos y, crucialmente, establece las
bases para la recolección y el tratamiento de la evidencia digital. Su objetivo es
alinear la legislación nacional con los estándares internacionales establecidos por
el Convenio de Budapest, facilitando la cooperación transfronteriza en la lucha
 contra el cibercrimen. La ley aborda aspectos como el acceso ilícito, la
interceptación ilícita, el ataque a la integridad de los datos y sistemas informáticos,
y el abuso de dispositivos, entre otros. Para el análisis forense, es vital porque
legitima los procedimientos de obtención de datos electrónicos.

• Código Procesal Penal (Ley N° 19.696): Este código es el marco general que
regula el procedimiento penal en Chile, incluyendo la investigación, el juzgamiento
y la ejecución de las penas. En el contexto de la evidencia digital, el Código
Procesal Penal establece los principios y las garantías para la obtención de
pruebas, como la necesidad de órdenes judiciales para la incautación de
dispositivos y el acceso a datos privados. Los artículos relacionados con la entrada
y registro, la incautación de objetos y documentos, y la interceptación de
comunicaciones son particularmente relevantes, ya que la evidencia digital a
menudo se obtiene a través de procedimientos que afectan derechos
fundamentales.

• Constitución Política de la República de Chile: La Constitución garantiza

derechos fundamentales como la privacidad, la inviolabilidad del hogar y de toda
forma de comunicación privada. Cualquier procedimiento de extracción de datos
de dispositivos móviles que pueda afectar estos derechos debe ser estrictamente
proporcional, necesario para la investigación y, en la mayoría de los casos,
autorizado previamente por un juez mediante una orden judicial fundada. Esto
asegura que la intromisión en la esfera privada de los individuos esté debidamente
justificada y controlada por el poder judicial.

4.2. La Cadena de Custodia de la Evidencia Digital

La cadena de custodia es un principio cardinal en la ciencia forense, y su aplicación es

aún más crítica en el ámbito digital debido a la facilidad con la que los datos
electrónicos pueden ser alterados o destruidos. Se define como el registro documentado
de la secuencia de posesión, control, transferencia, análisis y disposición de la evidencia
física o digital desde el momento de su recolección hasta su presentación en el tribunal.
El objetivo primordial de la cadena de custodia es asegurar la integridad, autenticidad y
fiabilidad de la evidencia, garantizando que no ha sido alterada, contaminada o
sustituida de ninguna manera.

Elementos Clave de una Cadena de Custodia Robusta para Evidencia Digital:

1. Identificación:

◦ Descripción Detallada: Registrar con precisión el dispositivo (marca,

modelo, número de serie, IMEI, estado físico) y la información específica que
se busca extraer.
 ◦ Contexto: Documentar el lugar, la fecha y la hora de la incautación, así como
las circunstancias en las que se encontró el dispositivo.

2. Recolección y Preservación:

◦ Métodos No Invasivos: Siempre que sea posible, utilizar métodos que no

alteren el dispositivo original. Esto incluye el uso de bolsas Faraday para
aislar el dispositivo de redes externas (Wi-Fi, celular, Bluetooth) y prevenir la
alteración remota de datos.
◦ Documentación Fotográfica/Videográfica: Registrar visualmente el estado
del dispositivo y el entorno de la incautación.
◦ Adquisición Forense: Realizar una copia forense bit a bit (imagen forense)
del dispositivo. Esta copia es una réplica exacta de la memoria del dispositivo,
incluyendo espacios no asignados y datos borrados. Se utilizan herramientas
de hardware (write-blockers) para asegurar que el dispositivo original no sea
modificado durante el proceso de copia.
◦ Cálculo de Hash: Generar un valor hash (por ejemplo, MD5 o SHA-256) de la
imagen forense y del dispositivo original (si es posible) antes y después de la
adquisición. Si los valores hash coinciden, se confirma la integridad de la
copia.

3. Documentación:

◦ Registro Exhaustivo: Mantener un registro meticuloso de cada paso del

proceso: quién manejó la evidencia, cuándo, dónde, qué acción se realizó
(incautación, transporte, extracción, análisis), y por qué. Este registro debe
incluir firmas y fechas.
◦ Formularios de Cadena de Custodia: Utilizar formularios estandarizados
para documentar cada transferencia de la evidencia, asegurando que cada
persona que tuvo posesión de la evidencia esté registrada.

4. Almacenamiento Seguro:

◦ Protección Física: Guardar el dispositivo original y las copias forenses en un

lugar seguro, con acceso restringido, para prevenir robos, daños o
manipulaciones no autorizadas.
◦ Protección Lógica: Las imágenes forenses deben almacenarse en medios
seguros y, si es posible, cifrados, para protegerlos de accesos no autorizados.

5. Análisis:

◦ Sobre Copias, Nunca el Original: El análisis forense siempre debe realizarse

sobre una copia de la evidencia digital, nunca sobre el dispositivo original.
 Esto protege la integridad del original en caso de errores o alteraciones
accidentales durante el análisis.
◦ Herramientas Validadas: Utilizar software y hardware forense reconocido y
validado por la comunidad forense para el análisis.

6. Presentación en Tribunal:

◦ Admisibilidad: La evidencia digital debe ser presentada de manera que

cumpla con los requisitos de admisibilidad del tribunal, lo que incluye
demostrar que la cadena de custodia fue mantenida de forma impecable.
◦ Testimonio Pericial: El perito forense debe estar preparado para testificar
sobre los métodos utilizados, la integridad de la evidencia y los hallazgos del
análisis.

Importancia de la Integridad de la Evidencia:

La falla en cualquier eslabón de la cadena de custodia puede tener consecuencias

devastadoras para un caso judicial. Si la integridad de la evidencia digital es
cuestionada, un tribunal puede declararla inadmisible, lo que podría llevar al colapso de
la acusación o a la absolución de un acusado. Por lo tanto, cada profesional involucrado
en el manejo de evidencia digital debe adherirse estrictamente a los protocolos
establecidos y comprender la importancia crítica de su rol en la preservación de la
cadena de custodia.

Conclusión
La preparación para una entrevista de trabajo en el ámbito de la extracción de
información de dispositivos móviles, especialmente en el contexto de una institución
como la Fiscalía RM ORIENTE, requiere un conocimiento integral que va más allá de la
mera operación de herramientas. Este manual ha buscado proporcionar una base sólida
en los aspectos técnicos, procedimentales y legales que son fundamentales para
desempeñarse con éxito en este campo.

El Universal Forensic Extraction Device (UFED) de Cellebrite se erige como una

herramienta central en el arsenal de cualquier profesional forense digital, dada su
capacidad para acceder y extraer una vasta cantidad de datos de una diversidad de
dispositivos. Sin embargo, es igualmente importante comprender que UFED es parte de
un ecosistema más amplio de herramientas y técnicas, tanto comerciales como de
código abierto, que los peritos emplean para abordar los desafíos únicos que presenta
cada caso.
La Fiscalía RM ORIENTE, como parte del Ministerio Público de Chile, opera bajo un
estricto marco legal que rige la obtención y el uso de la evidencia digital. La Ley N°
21.459 y el Código Procesal Penal son pilares que garantizan que las investigaciones se
realicen respetando los derechos fundamentales y asegurando la validez de las pruebas
en el tribunal. En este sentido, la cadena de custodia no es solo un procedimiento; es la
garantía de la integridad y autenticidad de la evidencia, y su observancia impecable es
no negociable para la admisibilidad de los hallazgos forenses.

Para el candidato, la clave del éxito en la entrevista y en el futuro rol radica en la

capacidad de articular no solo el "cómo" (operación de herramientas), sino también el
"por qué" (fundamentos legales y forenses) de cada acción. Demostrar una comprensión
profunda de la importancia de la cadena de custodia, la ética profesional y la capacidad
de adaptación a las nuevas tecnologías y desafíos legales será tan valioso como el
dominio técnico.

Este manual es un punto de partida. El campo de la informática forense está en

constante evolución, con nuevos dispositivos, aplicaciones y técnicas de cifrado
emergiendo continuamente. Por lo tanto, el compromiso con el aprendizaje continuo, la
actualización de conocimientos y la participación en la comunidad forense son
esenciales para mantenerse relevante y efectivo en esta apasionante y crucial disciplina.