POLICÍA FEDERAL

DIVISIÓN CIENTÍFICA

ANÁLISIS FORENSE DIGITAL

División Científica

2
COORDINACIÓN PARA LA PREVENCIÓN
DE DELITOS ELECTRÓNICOS

3
 COORDINACIÓN PARA LA PREVENCIÓN
DE DELITOS ELECTRÓNICOS

LABORATORIOS EN
INVESTIGACIÓN
PREVENCIÓN DE DELITOS ELECTRÓNICA CENTRO ESPECIALIZADO DE
CIBERNÉTICOS RESPUESTA TECNOLÓGICA
Y FORENSE

4
 Inicios de la telefonía móvil
El inicio de la telefonía móvil en México se remonta a 1977, cuando se solicitó a
la SCT de México (Secretaría de Comunicaciones y Transportes) una concesión
para instalar, operar y explotar un sistema de radiotelefonía móvil en el Distrito
Federal. Pero no fue hasta 1981 cuando se inició la comercialización de este
servicio, el cual fue conocido por el público como Teléfono en el Auto, con el cual
se logró, en un lapso de ocho meses, dar servicio a 600 usuarios.
Por aquel entonces el servicio de teléfono móvil era toda una novedad que solo
estaba al alcance de unos pocos. Conviene recordar que fue el medio de
comunicación usado por el periodista Jacobo Zabludovsky para reportar en tiempo
real cuando ocurrió el terremoto de 1985 ya que este se encontraba instalado en el
auto que usaba el día del siniestro
México sufrió una crisis económica en 1994 que afectó bastante a todos los rubros
de comunicación, por lo que Iusacell, que poseía un poder dominante por aquel
entonces, decidió enfocarse a los clientes de alto poder adquisitivo con planes de
renta a precios elevados.

Mientras tanto, Telcel adoptó una estrategia que le fuese útil para poder subsistir
ante la crisis, por lo que decidió acercar sus planes a precios medianamente
accesibles e impulsar los primeros planes de prepago bajo el nombre de sistema
amigo de Telcel (nombre el cual subsiste hasta hoy en día).
Top 20 de Operadores a Nivel Mundial
 DIRECCIÓN DE RECOLECCIÓN Y
ANÁLISIS DE EVIDENCIA DIGITAL
Cuenta con personal altamente capacitado en cómputo forense, que colabora con
las Unidades Administrativas de la Policía Federal, así como con
Autoridades Ministeriales y Judiciales en el proceso de identificación, fijación,
recolección, extracción y análisis de evidencia digital, empleando
técnicas especializadas para el manejo de indicios y tecnología de vanguardia.

9
 CÓMPUTO FORENSE

• También llamado informática forense, computación forense, análisis

forense digital o examinación forense digital.

• La informática (o computación) forense es la ciencia de adquirir, preservar,

obtener y presentar datos que han sido procesados electrónicamente y
guardados en un medio computacional.

• Así mismo se puede definir como: la recopilación, examinación y

documentación de pruebas digitales para presentar en una corte de la ley.
Requiere procedimientos científicos repetibles y verificables.

10
 TIPOS DE DISPOSITIVOS A ANALIZAR
¿QUÉ ES EVIDENCIA DIGITAL?

“La evidencia digital es un tipo de evidencia física. Construida por campos

magnéticos y pulsos electrónicos que pueden ser recolectados, almacenados y
analizados con herramientas técnicas especiales.”

• PRUEBAS DIGITALES
– Discos Duros Externos.
– Discos Duros Internos (contenidos en computadoras de escritorio y portátiles).
– Memorias USB.
– Lectores de tarjetas de crédito.
– Reproductores MP3.
– Relojes.
– Navajas suizas, incluso mancuernillas.
– Tarjetas de memoria (Micro SD, SD, Memory Stick, Pro Duo).
– Cámara y/o videocámara digital.
– CD/DVD.

11
 TIPOS DE DISPOSITIVOS A ANALIZAR
¿CÓMO SE UTILIZAN LAS COMPUTADORAS EN LA REALIZACIÓN DE UN
DELITO?

Las computadoras pueden estar involucradas en diversos aspectos de un delito,

jugando un papel muy diferente en cada uno de ellos, la computadora puede
utilizarse como instrumento (estando directamente involucrada) o como
repositorio (almacenando la información que será la evidencia del delito).

DELITOS MAS COMUNES EN LOS QUE PUEDE UTILIZAR UNA

COMPUTADORA

• Robo de propiedad intelectual

• Piratería
• Amenaza y acoso
• Falsificación

12
 TIPOS DE DELITOS A ANALIZAR

• Pornografía Infantil
• Explotación Infantil
• Fraude Bancario
• Fraude
• Entre Otros.

13
 BLOQUEO CONTRA ESCRITURA

• ¿Qué es el bloqueo contra escritura?

• ¿Importancia del bloqueo contra escritura?

• Hardware Bloqueador contra escritura

– ULTRAKIT
– WIEBETECH

• Software Bloqueador contra escritura

– ENCASE
– HERRAMIENTAS LIBRES

14
 DESARROLLO DE UNA DILIGENCIA DE
CARÁCTER MINISTERIAL Y/O JUDICIAL.

15
 CONSIDERACIONES

• Orden de intervención de comunicaciones privadas expedida por un juez

especializado en cateos y arraigos.

• Consentimiento de los propietarios de los dispositivos electrónicos mediante

comparecencia ante el Agente del Ministerio Público, si el propietario es
menor de edad, dicha autorización debe ser concedida por los padres o
tutores.

16
 AUTORIDADES SOLICITANTES

• SUBPROCURADURÍA ESPECIALIZADA EN INVESTIGACIÓN DE DELINCUENCIA

ORGANIZADA DE LA PGR.
• FISCALÍA ESPECIAL PARA LOS DELITOS DE VIOLENCIA CONTRA MUJERES Y TRATA DE
PERSONAS DE LA PGR.
• PROCURADURÍAS ESTATALES.
• UNIDADES ADMINISTRATIVAS DE LA POLICÍA FEDERAL.

17
 PREPARACIÓN DE EQUIPO Y CONSUMIBLES
PARA CATEO
• Maleta:
– Desarmadores.
– Extensión eléctrica.
– Pulsera antiestática.
– Bolsas antiestáticas y/o con protección de burbuja.
– Papel destraza.
– Discos duros sanitizados (sobreescribir ceros y/o unos).
– Identificadores.
– Cinta adhesiva de seguridad.
– Etiquetas de evidencia.
– Marcadores permanentes.
– Guantes de latex y/o antiestáticos.
– Cadena de custodia impreso y digital.
18
 PREPARACIÓN DE EQUIPO Y CONSUMIBLES
PARA CATEO

• Hardware y Software para extracción y análisis forense:

– Extractor de información de dispositivos de comunicación móvil (UFED
System Cellebrite, XRY, etc.)
– Bloqueador de escritura de dispositivos de almacenamiento (Ultrakit,
Wiebetech, etc.)
– Laptop
– Software Encase, FTK Imager
– Software para volcado de memoria
– Software para detectar archivos cifrados, conexiones de red, usuario
actual, etc.

19
IDENTIFICACIÓN DE INDICIOS

20
 Lugar de los hechos
Es importante desarrollar la habilidad para detectar indicios en el lugar de los hechos.

21
Lugar de los hechos

22
 Identificación de indicios en el lugar de los
hechos
Identificar los dispositivos electrónicos, ópticos y/o magnéticos que pueden resultar importantes
dentro de una investigación.

23
 Tarjetas SIM de equipos celulares que
se encontraban ocultas.
Las tarjetas SIM almacenan una gran cantidad de información, por lo que
es necesario revisar en lugares donde puedan estar guardadas.

24
Indicios electrónicos localizados en
diferentes ubicaciones

25
Identificación de información importante
Es posible encontrar información importante como números de
cuentas, contraseñas, etc., que puedan ser útiles en la
investigación.

26
FIJACIÓN DE INDICIOS

27
 Fijación fotográfica de los indicios.
La fijación fotográfica sirve para identificar y demostrar el estado en que fueron hallados
los indicios, así como para su organización.

28
Fijación fotográfica de los indicios.

29
 REGLA #1

SI LA COMPUTADORA ESTA ENCENDIDA, NO

APAGARLA.
Verificar si el equipo se encuentra en estado:

• Hibernación.
• Standby.
• Sueño (sleep).
• Estado suspendido.

¡Utilizar las teclas direccionales para evitar alguna alteración!

30
 RECOLECCIÓN DE DATOS VOLÁTILES

Los Datos Volátiles son datos que se borran cuando el equipo se reinicia o
apaga, rescatar la mayor parte posible de esta información es vital.

• Hora y fecha del sistema

• Procesos activos
• Enlaces de red
• Puertos abiertos
• Cuentas de usuarios
• Usuarios conectados
• Contenidos en la memoria
• Archivos/Discos cifrados que estén abiertos
RECOLECCIÓN DE INDICIOS

32
Recolección de indicios

33
 DESCRIPCIÓN DE LOS INDICIOS
(CARACTERÍSTICAS PARTICULARES)
• Marca
• Modelo
• Número de serie
• Capacidad
• IMEI
• Estado físico del dispositivo
• Color, señas particulares, material, etc.

34
EMBALAJE DE LOS INDICIOS

35
RCC ANEXO 3

36
RCC ANEXO 3

37
RCC ANEXO 4

38
RCC ANEXO 5

39
 IMAGEN FORENSE
Se define como un archivo contenedor de pruebas digitales, destinado
a ser utilizado como evidencia, incluyen el espacio no asignado
(unallocated space), el espacio de holgura (slack space) y el registro
de arranque (boot record), una imagen forense suele ir acompañado
de una firma hash calculada para validar que la imagen es una copia
exacta de la original.

Básicamente, es la copia bit a bit del contenido completo de un

dispositivo de almacenamiento electrónico en un formado definido.

40
 CLON FORENSE
Se define como la copia exacta de un disco duro original en otro disco
de la misma capacidad o superior.

Básicamente, es la copia bit a bit del contenido completo de un

dispositivo de almacenamiento electrónico a otro dispositivo de
almacenamiento electrónico.

41
 VALOR HASH
DEFINICIÓN
• Es un valor numérico de longitud fija que solo identifica datos, en
otras palabras, es una HUELLA DIGITAL, para cualquier archivo,
creada a partir de un algoritmo (MD5, SHA1, entre otros).

• Analogía de una persona clonada y un archivo copiado

(Demostración).

ELEMENTO ESTUDIO POSIBILIDAD DE DUPLICACIÓN

HUELLA DIGITAL Galton 6,400,000,000

HUELLA DIGITAL Osterburg 100,000,000,000,000,000,000

VALOR HASH MD5 340,282,366,920,938,463,463,374,607,431,768,211,456

42
 ANÁLISIS DE EVIDENCIA DIGITAL

HERRAMIENTAS COMERCIALES
• ENCASE
• FTK
• FORENSIC EXPLORER
• NUIX
• IEF
• BLACKLIGHT

HERRAMIENTAS LIBRES
• THE SLEUTH KIT
• AUTOPSY
• GALLETA
• ENTRE OTRAS

43
ANALISIS A DISPOSITIVOS DE COMUNICACIÓN
MÓVIL
MATERIAL DE TRABAJO
• Laptop • Pluma o Marcadores
• Video cámara o cámara • Bolsa Antiestática
• Guantes • Lupa
• Cargadores

• Software UFED Physical Analyzer

Versión 3.9.1.5 (programa
especializado en análisis forense)
• Dispositivo de extracción forense
Cellebrite UFED ULTIMATE S/N:
5579018.
 CONSIDERACIONES PARA LA EXTRACCION A
DISPOSITIVOS DE COMUNICACIÓN MÓVIL
• El estado del dispositivo afectaran las acciones disponibles para los
miembros de primera respuesta.

• Encendido / Supendido : Determinar si esta conectado a wifi o red celular,

aislarlo de la red, cargar el dispositivo, investigar detalles técnicos,
determinar si se puede apagar, documentar información.
• Apagado: Proteger la evidencia, observar detalles, quitar la Tarjeta de
Memoria si esta presente, Aislarlo de la red, empaquetar y etiquetarlo.
 TIPOS DE EXTRACCIÓN A DISPOSITIVOS DE
COMUNICACIÓN MÓVIL.

MEMORIA TOTAL DEL TELEFONO

ESPACIO NO
ASIGNADO
LOGICA

SISTEMA
ARCHIVOS
FISICA

• LOGICA: SMS, Contactos, Registro de llamadas, Medios, Audios.

• SISTEMA DE ARCHIVOS: SMS, Contactos, Registro de llamadas, Medios, Audios,
Información de Sistema Operativo y Archivos Ocultos para Usuario.
• FISICA: SMS, Contactos, Registro de llamadas, Medios, Audios, Información de
Sistema Operativo y Archivos Ocultos para Usuario, Datos Borrados.
 ANALISIS DE INFORMACION.
• Software UFED Physical Analyzer Versión 3.9.1.5 (programa especializado en
análisis forense).

• El árbol de proyecto
contiene las entidades que
nos muestran el contenido
de la de extracción
realizada; y de la cual
podemos generar el reporte
correspondiente.
EJEMPLO DE DICTAMEN
!MUCHAS GRACIAS¡

¿PREGUNTAS?