UNIVERSIDAD NACIONAL JOSÉ MARÍA ARGUEDAS

FACULTAD DE INGENIERÍA
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

INFORMATICA FORENSE
Integrantes:
 Palomino Gonzales Krovieko
 Viguria López Yeny
 Ferro Guerreros Mario Paul
 Gonzales Condori Yaks Anderson
 Martínez Acosta Ivar
 Rojas Carrasco Irineo
 Calle Huamán Nahum Obed
Docente: M.Sc. Magaly Roxana Arangüena Yllanes
ANDAHUAYLAS-PERU
2022
INFORMATICA
FORENSE
 INTRODUCCION
Existen diferentes términos para describir la informática forense, cada uno de
ellos explica o detalla de manera particular o general los temas que la engloban,
los términos que se pueden encontrar son: el computo forense, informática
forense, computación forense, análisis forense digital o examen forense digital,
todos ellos con un mismo objetivo que es la de identificar, preservar, analizar y
presentar los datos dentro de un proceso legal.
La constante evolución de la tecnología siempre viene acompañado de un
crecimiento igual en cuanto a sus consecuencias, los constantes reportes en
cuanto a las vulnerabilidades en sistemas de información o sistemas inteligentes,
el aprovechamiento de las fallas humanas, procedimentales o tecnológicas
sombre el software o hardware en el mundo ofrecen un escenario perfecto para
que se cultiven tendencias relacionadas con intrusos informáticos, estos intrusos
poseen diferentes motivaciones, alcances y estrategias que muchas veces
desconciertan a los analistas, consultores, cuerpos especiales de investigación y
expertos en el área, ya que siempre va variando las modalidades de ataque y
vulneración de los sistemas.
 Introduccion a la Informatica Forense
El análisis forense es un área perteneciente al ámbito de la seguridad informática
surgida a raíz del incremento de los diferentes incidentes de seguridad. En el
análisis forense se realiza un análisis posterior de los incidentes de seguridad,
mediante el cual se trata de reconstruir como se ha penetrado o vulnerado en el
sistema.

Se plantean algunas preguntas.

 ¿Quién ha realizado el ataque?

 ¿Cómo se realizó?

 ¿Qué vulnerabilidades se han explotado?

 ¿Qué hizo el intruso una vez que accedió al sistema?

Definicion de la
Informatica Forense
Según los autores (Rifa Pous, Serra Ruiz, &
Rivas Lopez, 2009) el análisis forense en un
sistema informático es una ciencia moderna que
permite reconstruir lo que ha sucedido en un
sistema tras un incidente de seguridad. Este
análisis puede determinar quién, desde dónde,
cómo, cuándo y qué acciones ha llevado a cabo
un intruso en los sistemas afectados por un
incidente de seguridad.
Que es un Incidente de Seguridad?
Es cualquier acción fuera de la ley o no
autorizada: ataques de denegación de servicio,
extorsión, posesión de pornografía infantil, envío de
correos electrónicos ofensivos, fuga de información
confidencial dentro de la organización..., en el cual
está involucrado algún sistema telemático de nuestra
organización.
 Historia de la Informática Forense
• La informática forense es el estudio de extraer, analizar y documentar la evidencia de un sistema
informático o red. Se utiliza a menudo por agentes del orden para buscar evidencia para un juicio
penal. Los funcionarios gubernamentales y profesionales de los negocios también pueden necesitar
un especialista familiarizado con las técnicas de informática forense. La disciplina de dicha ciencia
es relativamente nueva, después de haber sido fundada en la década de los 80.
• En 1978 Florida reconoce los crímenes de sistemas informáticos en el "Computer Crimes Act", en
casos de sabotaje, copyright, modificación de datos y ataques similares.
• El hombre al que se le atribuye ser el "padre de la informática forense", comenzó a trabajar en este
campo. Su nombre era Michael Anderson, y era un agente especial de la División de Investigación
Criminal del IRS. Anderson trabajó para el gobierno en esta capacidad hasta mediados de 1990, tras
lo cual fundó New Technologies, Inc., un equipo que lleva la firma forense.
• La disciplina continuó creciendo en la década de 1990, con la primera conferencia sobre la
recopilación de pruebas de los equipos, celebrada en 1993. Dos años más tarde, la IOCE (IOCE, del
inglés international organization on computer evidence), u organización internacional de evidencia
informática fue establecida.
 OBJETIVOS
El objetivo principal de la informática forense es generar
evidencias legales para procedimientos judiciales, las
evidencias desde el punto de vista que ocupa, son el
conjunto de recursos y datos a los que ha tenido acceso
un perito para extraerlos, analizarlos, verificar su
autenticidad y poder así responder a las cuestiones
técnicas planteadas por la parte que le contrate o por un
tribunal

OBJETIVOS
Ayuda a recuperar, analizar y preservar el ordenador y los materiales relacionados de tal manera que
ayuda a la agencia de investigación a presentarlos como evidencia en un tribunal de justicia.

 Ayuda a postular el motivo detrás del crimen y la identidad del principal culpable.

 Diseñar procedimientos en una presunta escena del crimen que ayudan a garantizar que la evidencia
digital obtenida no esté corrupta.

 Adquisición y duplicación de datos: recuperación de archivos eliminados y particiones eliminadas

de medios digitales para extraer la evidencia y validarlos.

 Ayuda a identificar la evidencia rápidamente y también permite estimar el impacto potencial de la

actividad maliciosa en la víctima

 Producir un informe forense informático que ofrece un informe completo sobre el proceso de
investigación.

 Preservar la evidencia siguiendo la cadena de custodia.

 Una perspectiva de 3 Roles(El intruso, el
administrador y el Investigador)
El INTRUSO
La faceta del intruso es una forma de aproximarse a cómo piensan, actúan y
operan. Conocer la mente y el actuar de los atacantes le ofrece al informático
forense una ventaja estratégica y conceptual para reconocer o establecer patrones
de análisis que ayuden a detallar lo que ha ocurrido y apoyar las investigaciones
de un caso.
 Una perspectiva de 3 Roles(El intruso, el
administrador y el Investigador)
El ADMINISTRADOR
No es posible conocer los detalles de los rastros, sin adentrarse en la mente del
administrador, el profesional de tecnologías de información a cargo de la
administración y control de las máquinas involucradas. En este papel, el
investigador forense se enfrenta al reto de la inseguridad informática y sus
diferentes fuerzas.
 Una perspectiva de 3 Roles(El intruso, el
administrador y el Investigador)
El INVESTIGADOR
Este es escéptico de lo obvio, observador, detallista y riguroso. Es un profesional
científico, formal en los procedimientos y el uso de las herramientas disponibles,
que no busca otra cosa que las relaciones y causales que pudieron llevar a
materializar el caso
 TECNICAS DE INTRUSION
 Barrido de puertos
 Identificación de firewalls
 Identificación del sistema operativo
 Explotación y obtención de acceso a sistemas y redes
 Robo de identidad
 Engaño a firewalls e IDS’s
 Vulnerabilities de software (Buffer overflows, Heap overflow, . Vulnerabilidad de
formato de cadena, Race condition, SQL injection)
 Ataques a contraseñas
 Ataques por fuerza bruta y diccionario

 Ataques a redes inalámbricas y Otros

 CRIMINALISTICA DIGITAL

 También llamado análisis forense digital que es una rama de la policía

científica centrada en la detección, adquisición, tratamiento, análisis y
comunicación de datos almacenados por medios electrónicos. (Interpol,
2021)
 METODOLOGIA DE ANALISIS
La metodología difiere en cada país o como lo establezca cada identidad
por lo que este podría tener variaciones.
 Indentificacion de la Evidencia
Es la fase de la identificación de los equipos y dispositivos de almacenamiento
informático cuya obtención y examen se considere pertinente y útil para la estrategia de
investigación penal delineada por el Fiscal.

La evidencia digital puede encontrarse almacenada en dispositivos informáticos (discos

rígidos, por ejemplo); en la memoria RAM de procesamiento de un sistema informático;
o bien, cuando se transmite a través de una red de dispositivos cuya recolección se
realizará en tiempo real (tráfico de datos).
 Identificación de la Evidencia
a. Sistema de computación abiertos: Son los que están compuestos de las
computadoras personales y de sus periféricos; las computadoras portátiles, y
los servidores.

b. b. Sistemas de comunicación: Compuestos por las redes de

telecomunicaciones, la comunicación inalámbrica e Internet.

c. Sistemas convergentes de computación: Sólo los que están formados por los
teléfonos celulares inteligentes (Smartphones), los asistentes personales
digitales PDAs, las tarjetas inteligentes.
ANALISIS DEL DELITO
INFORMATICO
 TIPOS DE INVESTIGACION DE UN
PERITO INFORMATICO
Este tipo de trabajos va a cubrir tres objetivos que se detallan a continuación:
• Definir el arbitraje.
• Enumerar los tipos de arbitraje.
• Subrayar cuando un perito informático debe aceptar o rechazar su intervención en
una actuación judicial.
 TIPOS DE INVESTIGACION DE UN
PERITO INFORMATICO
Investigaciones privadas:

Cuando los peritos informáticos realizan trabajos de tipos privados, aunque no

involucren procesos judiciales, deben ajustarse a la legislación vigente y respetar
especialmente las leyes referentes a los derechos de las personas, además, deberán
respetarse las políticas de la propia empresa que contrate los servicios del perito.

Se trata de investigaciones que no tienen por qué tener finalidad jurídica,

pueden tratarse de investigaciones internas de una empresa, respuesta a incidentes,
evaluaciones de seguridad y más.
 TIPOS DE INVESTIGACION DE UN
PERITO INFORMATICO
De privado a público
A veces las investigaciones privadas pueden derivar en procedimientos judiciales, la
investigación de, por ejemplo, la actividad de un empleado debe desempeñarse de
acuerdo a la legislación laboral y a los derechos de privacidad intrínsecos al
trabajador, no sólo, de acuerdo a las políticas de la empresa. El descubrimiento
durante una investigación privada de la comisión de un delito, debe derivar
automáticamente en la pertinente denuncia ante las autoridades, por ejemplo, si se
está investigando una posible fuga de información de una empresa
 BUENAS PRACTICAS EN
INFORMATICA FORENSE
Para aplicar un análisis forense, se lo debe realizar practicando el mismo
patrón como si se realizase un experimento de laboratorio en la medicina actual.
Cuando se tiene que trabajar con evidencias y verificar que estas no hayan sido
comprometidas física o lógicamente, se debe establecer una serie de cuidados y
establecer lo que se conoce como cadena de custodia. La cadena de custodia de
una evidencia debe estar formada por varias etapas, bien descritas y con una
excelente documentación desde el origen hasta el punto de llegada de dicha
evidencia, las cuales se las puede detallar a continuación
 BUENAS PRACTICAS EN
INFORMATICA FORENSE
• La identificación, extracción y registro de la evidencia. – La evidencia debe ser
bien identificada, indiferente del lugar de donde venga, sea un equipo
informático llevado a un laboratorio, una escena de un delito, etc.

• La preservación y almacenamiento de la evidencia. – Se deben aplicar medidas

de preservación de una determinada evidencia, garantizando la seguridad y el
correcto almacenamiento de la misma.

• Los traslados a los que se vea sometida a la prueba, indicando tiempos, origen y
destino para cada desplazamiento, así como, los posibles incidentes que puedan
 Estandares de Investigacion Forense
El estándar ISO/IEC 27042:2015 “Information technology – Security techniques – Guidelines
for the analysis and interpretation of digital evidence”, es una norma para el análisis e interpretación
de evidencias digitales. El estándar ISO/IEC 27042:2015 proporciona directrices sobre cómo un
perito informático puede abordar el análisis e interpretación de una evidencia digital en un incidente
o en una intervención pericial, desde su identificación (evidencia digital potencial), pasando por su
análisis (evidencia digital), hasta que es aceptada como prueba en un juicio (evidencia digital legal).

La RFC (Request For Comments) 3227 es un documento que recoge las principales directrices
para la recolección y el almacenamiento de evidencias digitales, constituyendo un verdadero
estándar para la recopilación y almacenamiento de evidencias. La RFC 3227 define un proceso para
la recolección de evidencias que ayuda al perito informático a adquirir y catalogar las evidencias
digitales, otros como la RFC 4810, 4998,6283.
 Metodologia de la
Investigacion
Para que una evidencia sea aceptable tanto en casos públicos como privados, esta
debe ser reproducible, es decir, otro perito tiene que poder llegar a las mismas
conclusiones partiendo de la misma evidencia. La trazabilidad de las evidencias o la
cadena de custodia es una herramienta documental que garantiza la conservación de la
evidencia, para esto, es importante establecer protocolos sistemáticos de actuación y
calcular los hashes de las evidencias digitales, ya que, permiten comprobar que no han
sido alteradas.
 Retos y riesgos
para la informática
forense
 DELITOS
INFORMATICOS.

El delito informático es todo comportamiento

típico, antijurídico, culpable realizado a
través de sistemas de procesamiento de datos,
contra la información automatizada siempre
en perjuicio de una persona natural o jurídica.
DELITOS INFORMATICOS.

Las definiciones que a lo largo de los últimos cuarenta

años se han aportado del concepto de delito
informático van necesariamente unidas a la evolución
que ha sufrido la implantación de las TICs en la
sociedad y a las propias conductas delictivas, o
merecedoras de serlo, vinculadas con las nuevas
tecnologías de la información y de la comunicación.
CIBERCRIMEN

El cibercrimen es cualquier crimen que se lleva

a cabo en línea o que ocurre principalmente en
línea. Abarca desde el robo de identidad y otras
violaciones de seguridad hasta actividades como la
pornografía vengativa, el acoso cibernético, el
hostigamiento, el abuso e, incluso, la explotación
sexual infantil.
CIBERCRIM
EN
La utilización en el ámbito científico de
neologismos procedentes de la traducción al
castellano de términos de otras lenguas, resulta,
en muchos casos, inevitable y, en múltiples
ocasiones, arriesgada, dado que generalmente no
es posible una identificación completa de
sentidos mediante la traducción de términos
procedentes de otros idiomas. Quienes en
Estados Unidos, Inglaterra, Australia y muchos
otros países han tratado, desde muy diversas
ciencias sociales, el fenómeno que es objeto de
este trabajo.
 DERECHO PROCESAL PENAL

El Derecho Procesal Penal, es la

rama del derecho público que
establece los principios y regulación
tanto de los órganos jurisdiccionales
del Estado para la administración de
justicia, como del proceso como
medio para la concreción del derecho
sustancial en el caso particular.
 DERECHO PROCESAL PENAL

El derecho procesal penal es el conjunto de normas

jurídicas correspondientes al derecho público interno que
regulan cualquier proceso de carácter penal desde su
inicio hasta su fin entre el Estado y los particulares.​
Tiene un carácter primordial como un estudio de una
justa e imparcial administración de justicia, la actividad
de los jueces y la ley de fondo en la sentencia.​ Tiene
como función investigar, identificar y sancionar (en caso
de que así sea requerido) las conductas que constituyen
delitos, evaluando las circunstancias particulares en cada
caso y con el propósito de preservar el orden social entre
los trabajadores.
Escena del crimen y
la cadena de
custodia
 La cadena de custodia

La cadena de custodia tiene como finalidad brindarle soporte veraz a la prueba

digital ante el juez, en medio de lo que se conoce como el debido proceso.
Por tal motivo deben establecerse los procedimientos indicados para garantizar la
idoneidad de los métodos aplicados para la sustracción de la evidencia
informática. Así se garantiza una base efectiva para el juzgamiento y la validez
ante cualquier fuero judicial internacional.
 La cadena de custodia
• El juez debe poder confiar en dichos elementos digitales, por considerarlos auténticos
“testigos mudos”.

• Desde el punto de vista criminalístico clásico y evaluarlos en tal sentido, guiado por la sana
crítica, la prueba tasada o las libres convicciones, según sea el caso y la estructura judicial en
que se desarrolle el proceso.

• Desde la detección, la identificación, la fijación, la recolección, la protección, el resguardo,

el empaque y el traslado de la evidencia del lugar del hecho real o virtual, hasta la
presentación como elemento probatorio, la cadena de custodia debe garantizar que la
evidencia recolectada en la escena es la misma que se está presentando ante el evaluador o
decisor.

• La prueba documental informática tiene características particulares que requieren

tratamiento particular en la recolección, la preservación y el traslado. Estos son:
1. Consiste en indicios digitalizados, codificados y resguardados en un
contenedor digital específico, es decir, toda información es almacenada (aun
durante su desplazamiento por una red, está almacenada en una onda
electromagnética).
2. Hay diferencias entre el objeto que contiene la información (discos
magnéticos, ópticos, cuánticos, ADN, proteínas, etc.) y su contenido la
información almacenada.

Para este caso consideramos:

a. Información: Todo conocimiento referido a un objeto o hecho, susceptible de
codificación y almacenamiento.

b. Objeto: Conjunto físicamente determinable o lógicamente definible.

3. La información puede presentarse en uno de los siguientes
estados:
a. En almacenamiento: se encuentra en un reservorio a la espera de ser accedida
(almacenamiento primario, secundario o terciario). Es un estado estático y
conforma la mayoría de las recolecciones posibles; sin embargo, difiere de la
mayoría de los indicios recolectables a la que puede accederse por medios
locales o remotos.
b. En desplazamiento, es decir, viajando en un elemento físico determinado
(cable, microonda, láser, etc.). Es susceptible de recolección mediante
interceptación de dicho elemento y está condicionada por las mismas
cuestiones legales que la escucha telefónica o la violación de correspondencia.
c. En procesamiento: es el caso más complicado y constituye la primera decisión
que debe tomar el recolector. Ante un equipo en funcionamiento, donde la
información está siendo procesada, es decir, modificada, actualizada y
nuevamente resguardada, debe decidir si apaga o no el equipo. Esta decisión es
crítica y puede implicar la pérdida de información y la destrucción de la prueba
documental informática pretendida.
 Como se indicó anteriormente, la cadena de custodia informático-forense
tiene por objeto asegurar que la prueba ofrecida cumple con los requisitos
exigibles procesalmente para la misma, y por ello debe garantizar:

 1. Trazabilidad:

a. Humana (determinación de responsabilidades en la manipulación de la

prueba, desde su detección y recolección hasta su disposición final).

b. Física (incluyendo la totalidad de los equipos locales o remotos involucrados

en la tarea, sean estos de almacenamiento, procesamiento o comunicaciones).

c. Lógica (descripción y modelización de las estructuras de distribución de la

información accedida y resguardada).

2. Confiabilidad (integridad, autenticidad, confidencialidad, no repudio).

La cadena de pruebas: responsables
La cadena de custodia es un protocolo que deben de seguir los 
peritos informáticos forenses cuando trabajan con pruebas. Las pruebas tienen
un periodo de validez y de vida desde que se consigue localizar y comienza el
trabajo de investigación sobre ella. La cadena de custodia comienza según se
encuentra hasta que deja de ser válida o esta se destruye.

Dentro de este protocolo también debe de controlarse dónde y cómo se localizaron

las pruebas. Del mismo modo que debe de dejar claro los pasos y procesos que
se han seguido. Por último, deberá de quedar reflejado cuándo se obtuvieron,
todas las personas que tienen y han tenido acceso a ellas, el sitio donde están en
cada momento y quien las guarda. Cuando estas pruebas son destruidas, en la
cadena de custodia quedará reflejado quien se encarga de destruirlas, los
motivos, el método usado, cuándo y dónde.
 ADQUISICIÓN DE
DATOS EN
INFORMÁTICA
FORENSE
Este capítulo tiene como objetivo demostrar la manera de adquirir los datos para
la investigación forense, desde el uso de herramientas open Source, hasta las
comerciales, también, se enfocará en realizar copias de imágenes de la
información encontrada para que esta no sufra ningún cambio que puedan
afectar la investigación, también se podrá obtener información en vivo de
todas las evidencias encontradas hasta el análisis del volcado de la memoria
con herramientas especializadas en esta.
 Adquisición estática con herramienta Open
Source
La adquisición estática de evidencias es la más común que suele darse en informática
forense y habitualmente la más sencilla. La adquisición estática consiste en la extracción de
datos de fuentes de almacenamiento no volátil, por ejemplo, discos duros, tarjetas SD,
memoria USB y cualquier otro soporte de información digital.
Se trata de generar una imagen, se dice que estos soportes de almacenamiento
contienen información no volátil, porque esta continúa presente en el dispositivo,
aunque se lo apague y se le retire el suministro eléctrico, cosa que no pasa, por
ejemplo, con la memoria RAM.

Existen múltiples herramientas Open Source disponibles para obtener imágenes de discos o
particiones, pero existe un comando llamado “dd” en la plataforma Linux y Mac OS. Por
ejemplo, en Caine Linux, que es una distribución basada en Ubuntu, pero el comando “dd”
se lo puede encontrar en todos los sistemas.
 Adquisición estática con una herramienta
comercial
En esta sección, se va a realizar la adquisición estática de la imagen de un soporte de
almacenamiento, en concreto, de una memoria USB mediante FTK Imager de la empresa
AccessData, que es una herramienta gratuita, pero no libre. Para su descarga se debe ir a la
web de AccessData disponible en https://accessdata. com/ y cuya página principal se
muestra en la Figura
 Análisis de volcado de memoria con
Volatility
Volatility es una herramienta Open Source desarrollada por la comunidad y mantenida por
Volatility Foundation una organización sin ánimo de lucro cuya, el propósito de esta
herramienta es el análisis de los volcados de memoria que se hayan obtenido durante la
adquisición en vivo de otras computadoras, esta organización está disponible en internet en la
siguiente dirección https://www.volatilityfoundation. org/, cuya página principal se muestra a
continuación en la Figura
 Recolección de los elementos informáticos
dubitados físicos o virtuales
El perito informático forense deberá recolectar la evidencia procediendo de
manera acorde al origen del requerimiento de la pericia informático-forense, a
saber:

1. Por orden judicial, cuyo texto indica:

a. Secuestrar la evidencia para su posterior análisis en el laboratorio, el perito
informático-forense procederá a:
i. Certificar matemáticamente la evidencia.
ii. Identificar y registrar la evidencia.
iii. Elaborar un acta ante testigos. iv. Iniciar la cadena de custodia.
v. Transportar la evidencia al laboratorio.
b. Efectuar la copia de la evidencia para su posterior análisis en el laboratorio, el
perito informático forense procederá a:
i. Certificar matemáticamente la evidencia.
ii. Duplicar la evidencia. iii. Identificar y registrar la evidencia y la copia.
iv. Elaborar un acta ante testigos.
v. Transportar la copia o duplicación de la evidencia al laboratorio.

2. Por solicitud particular de una persona específica, de una consultora, empresa,

institución, organismo o por otros profesionales, el perito informático forense procederá
a:
a. Concurrir al lugar del hecho con un escribano público.
b. Certificar matemáticamente la evidencia ante el escribano público.
c. Duplicar la evidencia ante escribano público
d. Solicitar al escribano que deje constancia en el acta de los motivos del secuestro,
de los datos de la o las personas que solicitaron la pericia, las razones argumentadas y
los fines pretendidos. e. Solicitar una copia del acta realizada por el escribano.
f . Transportar la copia de la evidencia para su posterior análisis en el laboratorio.
 Duplicación y autenticación de la prueba
En ciertas situaciones el perito informático forense no podrá trasladar el equipamiento que
contiene la información dubitada, por lo tanto deberá en el lugar del hecho efectuar la
duplicación de la información contenida en su repositorio original. Esta tarea se deberá
realizar de manera tal que la duplicación o copia generada preserve la validez de su
contenido original.
En ciertas situaciones el perito informático forense no podrá trasladar el equipamiento que
contiene la información dubitada, por lo tanto
deberá en el lugar del hecho efectuar la duplicación de la información contenida en su
repositorio original. Esta tarea se deberá realizar de
manera tal que la duplicación o copia generada
preserve la validez de su contenido original.
Las imágenes de los discos se deben realizar bit a bit para capturar la totalidad del
disco rígido los espacios libres, no asignados y los archivos de intercambio,
archivos eliminados y ocultos. Acorde a lo expresado por el NIST (National Institute
of Standard and Technology), la herramienta utilizada para la generación de la
imagen debe reunir ciertas especificaciones, como:

1. La herramienta deberá efectuar una imagen bit a bit de un disco original o de

una partición en un dispositivo fijo o removible.
2. La herramienta debe asegurar que no alterará el disco original.
3. La herramienta podrá acceder tanto a discos SCSI como IDE.
4. La herramienta deberá verificar la integridad de la imagen de disco generada.
5. La herramienta deberá registrar errores tanto de entrada como de salida e
informar si el dispositivo de origen es más grande que el de destino.
6. Se debe utilizar un bloqueador de escritura, preferiblemente por hardware, para
asegurar la inalterabilidad del elemento de almacenamiento accedido.
La documentación de la herramienta deberá ser consistente para cada uno de los procedimientos.
Esta imagen del disco se utilizará en la computadora del laboratorio para efectuar el análisis
correspondiente.
1. Apagar el equipo desconectando el cable de alimentación eléctrica.
2. Retirar disquete, PenDrive, Zip.
3. Descargar la propia electricidad estática, tocando alguna parte metálica y abrir el gabinete.
4. Desconectar la interfaz o manguera de datos, puede ser IDE o SCSI.
5. Desconectar la alimentación eléctrica del dispositivo de disco rígido
6. Ingresar al CMOS (complementary metal oxide Semiconductor) o configuración del BIOS
(sistema de entrada y salida de la computadora):
I. Encender la computadora.
II. Oprimir el conjunto de teclas que se muestra en el monitor cuando se inicia la computadora
para acceder al CMOS.
III. Verificar la fecha y hora del CMOS y registrarla en el formulario de recolección de evidencia.
y documentar todo tipo de dato que el perito informático forense considere relevante
IV. Modificar la unidad de inicio o arranque del sistema operativo, es decir, seleccionar la unidad
de disquete, CD-ROM / DVD o zip.
V. Guardar los cambios al salir
8. Verificar la existencia de discos CD-ROM o DVD:
a. Abrir la lectora o grabadora de CD-ROM o de DVD y quitar el disco pertinente.
9. Colocar la unidad de arranque, disquete, CD-ROM/DVD o zip en el dispositivo de
hardware pertinente.
10. Verificar el inicio desde la unidad seleccionada.
11. Apagar el equipo.
12. Asegurar el dispositivo de almacenamiento secundario original —generalmente está
configurado en el CMOS como master (maestro o primario) con protección de solo lectura
—, mediante la configuración de los jumpers que indique el fabricante del disco o mediante
el hardware bloqueador de lectura.
13. Conectar el cable plano al disco rígido, puede ser IDE o SCSI.
14. Conectar la alimentación eléctrica del dispositivo de disco rígido master.
15. Conectar el dispositivo que se utilice como destino para hacer la duplicación del disco
rígido dubitado como slave —esclavo o secundario—, ya sea una controladora SCSI, un
disco IDE esclavo o una unidad de cinta, o cualquier otro hardware utilizado para la
duplicación de tamaño superior al disco original o dubitado. Si el almacenamiento
secundario original es demasiado grande o es un arreglo de discos, efectuar la copia en
cintas.
16. Verificar que en el dispositivo de arranque seleccionado se encuentren los controladores del
hardware para la duplicación, en caso de que sean requeridos.
17. Encender la computadora iniciando desde la unidad de arranque configurada en el CMOS.
18. Efectuar la certificación matemática del dispositivo dubitado.
19. Guardar el resultado en un dispositivo de almacenamiento.
20. Registrar el resultado en el formulario verificación de la evidencia.
21. Duplicar el dispositivo de los datos con la herramienta de software y hardware seleccionada.
22. Efectuar, acorde al requerimiento de la pericia una o dos copias de la evidencia. En el caso de
realizar dos copias, una se deja en el lugar del hecho, para permitir la continuidad de l las
actividades, otra copia se utiliza para el análisis en el laboratorio del perito informático forense y el
original se deja en depósito judicial o si la pericia ha sido solicitada por un particular, registrarlo
ante escribano público y guardarlo, según lo i ndicado por el solicitante de la pericia y el escribano
público.
23. Efectuar la certificación matemática de la o las copias del dispositivo dubitado.
24. Guardar el resultado generado por las copias duplicadas en un dispositivo de
almacenamiento.
25. Registrar el resultado generado por las copias duplicadas en el formulario de recolección de la
evidencia.
26. Apagar el equipo.
27. Retirar los tornillos de sujeción del dispositivo de disco rígido. 28. Retirar el disco rígido con
cuidado de no dañar el circuito electrónico.
 Recolección y registro de evidencia virtual
a. Equipo encendido:
En el caso de que se deba acceder a un equipo encendido, se debe considerar la obtención de los datos en
tiempo real y de los dispositivos de almacenamiento volátil. Los dispositivos de almacenamiento volátil
de datos pierden la información luego de interrumpirse la alimentación eléctrica, es decir al apagar la
computadora la información almacenada se pierde

Los datos que se encuentran en el almacenamiento volátil muestran la actividad actual del sistema
operativo y de las aplicaciones, como por ejemplo: procesos en el estado de ejecución, en el estado de
listo o bloqueado, actividad de la impresora (estado, cola de impresión), conexiones de red activas,
puertos abiertos, (puerto es una estructura a la que los procesos pueden enviar mensajes o de la que
pueden extraer mensajes, para comunicarse entre sí, siempre está asociado a un proceso o aplicación, por
consiguiente sólo puede recibir de un puerto un proceso, recursos compartidos, estado de los
dispositivos como discos rígidos, disqueteras, cintas, unidades ópticas
Conjunto de tareas a realizar en el acceso a
los dispositivos de almacenamiento volátil
1. Ejecutar un intérprete de comandos confiable o verificado matemáticamente.
2. Registrar la fecha, hora del sistema, zona horaria.
3. Determinar quién o quienes se encuentran con una sesión abierta, ya sea usuarios
locales o remotos.
4. Registrar los tiempos de creación, modificación y acceso de todos los archivos.
5. Verificar y registrar todos los puertos de comunicación abiertos.
6. Registrar las aplicaciones relacionadas con los puertos abiertos.
7. Registrar todos los procesos activos.
8. Verificar y registrar las conexiones de redes actuales y recientes.
9. Registrar la fecha y hora del sistema
10. Verificar la integridad de los datos.
11. Documentar todas las tareas y comandos efectuados durante la recolección.
Posteriormente, en lo posible, se debe realizar una recolección más detallada de los
datos existentes en el almacenamiento volátil, efectuando las siguientes tareas:

1. Examinar y extraer los registros de eventos.

2. Examinar la base de datos o los módulos del núcleo del sistema operativo.
3. Verificar la legitimidad de los comandos del sistema operativo.
4. Examinar y extraer los archivos de claves del sistema operativo.
5. Obtener y examinar los archivos de configuración relevantes del sistema
operativo.
6. Obtener y examinar la información contenida en la memoria RAM del
sistema.
 Procedimiento
En la computadora, con el equipo encendido, acceder al recurso acorde al orden de
volatilidad de la información, con las herramientas forenses almacenadas en disquete o cd-
rom y de acceso de solo lectura:
1. Ejecutar un intérprete de comandos legítimo.
2. Obtener y transferir el listado de comandos utilizados en la computadora, antes de la
recolección de datos.
3. Registrar fecha y hora del sistema.
4. Recolectar, transferir a la estación forense o medio de recolección forense y documentar.

a. Fecha y hora del sistema.

b. Memoria principal.
c. Usuarios conectados al sistema.
d. Registro de modificación, creación y tiempos de acceso de todos los archivos.
e. Listado de puertos abiertos y de aplicaciones escuchando en dichos puertos.
f. Listado de las aplicaciones asociadas con los puertos abiertos.
g. Tabla de procesos activos.
h. Conexiones de red actuales o recientes.
i. Recursos compartidos.
j. Tablas de ruteo.
k. Tabla de ARP.
l. Registros de eventos de seguridad, del sistema, de las aplicaciones, servicios activos.
m. Configuración de las políticas de auditoría del sistema operativo.
n. Estadísticas del núcleo del sistema operativo.
o. Archivos de usuarios y contraseñas del sistema operativo.
p. Archivos de configuración relevantes del sistema operativo.
q. Archivos temporales.
r. Enlaces rotos.
s. Archivos de correo electrónico.
t. Archivos de navegación en internet.
u. Certificación matemática de la integridad de los datos.
v. Listado de los comandos utilizados en la computadora, durante la recolección de datos.
w. Recolectar la topología de la red.
4. Análisis forenses a sistemas
operativos.
 Metodología de análisis S.O.
Generalidades de los sistemas
“un concepto clave en todos los sistemas operativos es el proceso. Un proceso es en
esencia un programa de ejecución” (Moreno, 2016).

(Tanenbaum, 2008)“los verdaderos clientes del sistema operativo son los programas de
aplicaciones. Son los que tratan directamente con el sistema operativo y sus abstracciones”
Acceso a cuentas de usuarios y grupos
protegidos.

Los recursos incluyen archivos, directorios y dispositivos. El control de acceso a estos

dispositivos forma una gran parte de la rutina diaria de un administrador de sistemas; a
menudo el acceso a un recurso es controlado por grupos. Los grupos son construcciones
lógicas que se pueden utilizar para enlazar a usuarios para un propósito común. Por ejemplo,
si una organización tiene varios administradores de sistemas, todos ellos se pueden colocar en
un grupo administrador de sistema. Luego se le pueden dar permisos al grupo para acceder a
recursos claves del sistema. De esta forma, los grupos pueden ser una herramienta poderosa
para la administración de recursos y acceso.
Navegadores de internet.
1. Mozilla Firefox
Firefox almacena toda su información, incluyendo el historial de internet, en bases de datos SQLite. Por tanto,
es necesario que el investigador se familiarice con este formato y las herramientas utilizadas para gestionarlo.
- formhistory.sqlite: incluye datos de referentes a entradas de formularios, cuadros de búsqueda, nombres
de usuarios, etc.
- downloads.sqlite: archivos descargados por el usuario.
- cookies.sqlite: información relativa a cookies.
- Places.sqlite: aquí es donde se encuentra la masa principal de datos relacionada con la actividad de
internet y las paginas visitadas.
2. Chrome

Otro navegador de internet que adquiere cada vez más relevancia, quitando protagonismo a
internet Explorer, aunque no a la misma velocidad que Firefox, es google Chrome al igual que
Firefox, Chrome utiliza bases de datos SQLite para organizar los datos generados por la
actividad de usuario.

3. Microsoft Internet Explorer

Internet Explorer viene integrado en los sistemas operativos de Microsoft desde la primera
versión de Windows XP. El procedimiento utilizado por Microsoft para guardar los archivos
descargados durante la navegación en carpetas que el sistema considera esenciales para su
funcionamiento y contiene ocultas al usuario.
 Logs del sistema.

son sistemas que generan una gran cantidad de datos en forma de trazas textuales, llamadas técnicamente
“Logs”. Esta información no es visible para el usuario, pero suele estar relacionada con su actividad
informática, por ejemplo, historial de navegación, programas abiertos, etc. o con los propios sistemas de
información. estado actual de programas, seguridad, accesos, conectividad de redes, etc.

Backdoors (Puerta trasera)

Algunos de los malware más peligrosos son los llamados Backdoors, programas especializados para
poder robarte información. Pero su trabajo o tarea es un poco desconocido hasta este entonces. Como su
nombre en inglés lo indica, significa ‘Por la puerta de atrás’. Esto quiere decir que su modus operandi es
el de atacar por los rincones menos vigilados de cualquier PC, similar a lo que hacen los troyanos, pero
con resultados más devastadores. Esto quiere decir que será muy difícil localizar el archivo.
Recuperación y análisis de la memoria SWAP.
- Exploración en archivos en Sistemas Operativos

En primer lugar, un investigador forense debe familiarizarse con el funcionamiento del sistema
operativo y una de las partes esenciales es el arranque, es conveniente estudiar instalaciones
limpias y analizar procesos y archivos para conocer el funcionamiento normal del sistema, de
esta forma, se será capaz de detectar procesos anómalos como, por ejemplo, los que puedan
derivar de infecciones por malware que alteran el comportamiento del sistema, sea durante el
arranque o durante la utilización por parte del usuario.

- Análisis de Registro y Auditoria de Control

Los archivos de registro son mensajes generados por computadora que registran eventos,
procesos y otro tipo de información durante la operación. El análisis de registros es la
disciplina general de análisis de archivos de registro con el fin de identificar patrones que
puedan ayudar en la solución de problemas, el rendimiento, las predicciones, el mantenimiento
y las mejoras.
Técnicas de Recuperación a bajo Nivel (Carving)

Los procesos de recuperación de archivos borrados se realizan en base al tipo de archivo, mediante una
técnica conocida como Carving. Los sistemas de almacenamiento de archivo de antiguas versiones de
Windows eran FAT o File Allocation Table, al borrar un archivo el índice de FAT marca como disponibles
los clústeres de memoria donde se aloja el archivo, pudiendo sobrescribirse, pero no los borra por defecto.
Lo que permite a un software de recuperación es localizar clúster que hayan sido marcados como liberados,
pero que aún no se hayan sobrescrito, y así, poder reconstruir ficheros.

Carving en NTFS

Las versiones más modernas de Windows usan el sistema de archivos NTFS o New Technology File
System, los archivos almacenados en NTFS tienen un “Flag” en el MFT o tabla maestra de ficheros que
indica si están activos o inactivos. Al borrar un fichero se marca como inactivo, pero los clústeres que ocupa
no se borran y, de hecho, siguen indexados en la MFT.
Analisis de metadatos

Es común describir el término metadatos como datos que describen otros datos o "datos
sobre datos". De forma general, en efecto, el concepto de metadatos se refiere a aquellos
datos que hablan de los datos, es decir, describen el contenido de los archivos o la
información de los mismos.
Su multifuncionalidad, en efecto, es una de las principales características de esta poderosa
herramienta para la gestión de los datos como un activo. En concreto, éstas son algunas
de las funciones más ventajosas de una buena administración de los metadatos a la hora
de mejorar los procesos de gestión y gobierno de datos
Responder a un Ciberincidente
1. Detectar incidentes

Las organizaciones deben desarrollar e implementar un plan de respuesta a incidentes, un

plan de respuesta a incidentes es algo absolutamente imprescindible para garantizar la
continuidad operativa de una organización, si no existe se debe desarrollarlo, se tiene que
conocerlo y darlo a conocer al resto del personal. Hay que asignar responsabilidades
específicas a tareas concretas dentro de los procesos que se especifiquen el plan y para estar
prevenidos.
4.9.2 Plan de respuestas a incidentes
Ante un robo de información, lo primero que se debe hacer, es verificar que efectivamente se
ha cometido esa falta o delito, o si se trata de un accidente. si se considera que en efecto hay
un incidente grave, se debe bloquear el escenario del crimen, hay que evitar a toda costa la
alteración de las evidencias.
2. Conservación de evidencias
La interacción con los equipos puede disparar mecanismos de auto borrado o corrupción de datos, etc.,
de hecho, lo ideal es que nadie que no forme parte del equipo de respuesta toque ningún equipo
potencialmente involucrado en el incidente.

3. Notificación del incidente

si un incidente ha podido suponer que se hagan públicos o que fuesen robado, la denuncia a las
autoridades policiales es recomendable, aunque sea, sólo para que el estado sea consciente de que los
Ciberdelitos existen.

4. Evaluación del impacto

A la hora de evaluar el problema, se debe recopilar cierta información preliminar, se tiene que
Identificar y entrevistar testigos tan pronto como sea posible se debe incluir tanto a personal con
acceso físico a las evidencias, como con acceso telemático esto incluye:
• Ordenadores.
• Portátiles.
• Tabletas.
• Smartphones.
• Impresoras y otros dispositivos.
Se registrará datos como números de serie, marca, modelo, conectividad, sistema operativo, cuentas de
usuario y contraseñas, proveedores de servicio, etc
5. Equipos encendidos vs. equipos apagados

El análisis forense físico no es igual a la digital, cada uno tiene sus condicionantes, en
la escena de un delito no se recoge todo lo que hay, lo que se hace es fotografía del
estado de la escena para saber cómo está todo y luego se investiga cada evidencia y se
va recogiendo de una en una.
Lo mismo hay que hacer con las evidencias digitales, no se agarra todo lo que uno
encuentra porque sí, se denomina coloquialmente análisis postmortem al que se practica
sobre equipos que se encuentran apagado, tradicionalmente se apagaban los equipos
para preservar las evidencias y eliminar riesgo de modificación, pero entonces, se podía
perder información volátil. Recuperación de desastres por incidente o Ciberdelito
6. Informar o denunciar Ciberincidentes

está notificación va dirigida al personal interno de la organización, son los gerentes, técnicos
y personal cuya actividad se puede ver afectada por el incidente que tenga que intervenir en
resolver el incidente, o que tenga que intervenir en la mitigación de las consecuencias del
incidente. Por norma general la notificación de un incidente tiene tres fases:
• El reporte inmediato.
• Los reportes adicionales.
• Compartir información.
Análisis forense a la red
informática .
Principio de comunicación en redes.
La comunicación comienza con un mensaje que se debe enviar desde un origen hasta un destino. La
comunicación no es más que el envío de un mensaje de un origen a un destino a través de un canal de
comunicación.
Por lo tanto la comunicación tienen tres elementos en común: el origen o emisor, el destino o receptor y
el canal de la comunicación.

En las redes informáticas, el origen de un mensaje es un host que necesita enviar un mensaje.

El receptor es otro host que recibe el mensaje y lo interpreta.

El canal de comunicación proporciona la ruta por donde el mensaje viaja desde el origen hasta el destino.
 Los datos en las redes.
Una red es una estructura que cuenta con un patrón característico. Puede
hacer referencia a la interconexión de computadoras y otros dispositivos
que comparten recursos.

Dato es un término que indica una información, un documento o un

testimonio que permite alcanzar un conocimiento o deducir las
consecuencias legítimas de un hecho.
 Pruebas Digitales en Redes
El concepto, de todas formas, está estrechamente vinculado en la actualidad a la
tecnología y la informática , puede utilizarse para designar a aquello que permite
demostrar la verdad de un hecho de acuerdo con los criterios establecidos por la ley
digital.
• Registros almacenados en el equipo de tecnología informática (ej. correos
electrónicos, archivos de aplicaciones de ofimática, imágenes, etc.)
• Registros generados por los equipos de tecnología informática (registros de
auditoria, registros de transacciones, registros de eventos, etc)
• Registros que parcialmente han sido generados y almacenados en los equipos de
tecnología informática (hojas de cálculo financieras, consultas especializadas en
bases de datos, vistas parciales de bases de datos., etc
 Extrayendo datos de la red.

Acceder a los datos de la red pueden llegar a ser complejas si no se tiene el

conocimiento necesario para hacerlo, o puede ser relativamente fácil para lo
que conocen del tema; la extracción de datos se pueden dar de muchas
formas, incluso usando métodos tan antiguos de phishing, para este caso
tocaremos tos tipos, una es el scraping, y otra que es accediendo a modo de
desarrolladores de alguna aplicación mas conocido como API KEY.
 SCRAPING

El web scraping se utiliza en muchas empresas digitales que se dedican a la recopilación de bases
de datos. Para aclarar mejor qué es el web scraping debes saber cuáles son los casos de uso
legítimo del mismo:
 * Los robots de los motores de búsqueda rastrean un sitio, analizan su contenido y luego lo
clasifican.

 * Sitios de comparación de precios que implementan bots para obtener automáticamente precios y
descripciones de productos para sitios web de vendedores aliados.

 * Compañías de investigación de mercado que lo utilizan para extraer datos de foros y redes
sociales.
 API KEY
El término API, o API Key es una abreviatura de Application Programming Interfaces, que en español
viene a traducirse como interfaz de programación de aplicaciones en sentido literal. Esto son un conjunto
de normas, reglas y protocolos que se usan para desarrollar e integrar el software de las aplicaciones.

Las API de programación de aplicaciones, normalmente se utilizan para poder rastrear y controlar cómo
se utiliza la interfaz por el agente externo. A menudo, esto es debido a quién desarrolla la aplicación,
pretende evitar el abuso o el uso malintencionado de la API en cuestión.

Una clave API está asociada, o actúa como un TOKEN de autenticación secreto, o también como un
identificador único. Normalmente, estas claves vienen junto con un conjunto de derechos de acceso para
la API asociada, esto es: te dan la API pero te dicen para qué la tienes que usar
 Identificación de usuarios, Zona horaria,
Interfaces de red, procesador y nombre del
sistema objetivo.
La identificación de usuarios se hace a través de algunos programas
diseñados para este fin, pero también se pueden hacer de manera Manual
siempre en cuando se tenga los conocimientos necesarios para este fin.

Podemos acceder a estos datos para poder tener un análisis forense en redes
detallado, para esto se analiza el registro de Windows en donde
encontraremos la zona horaria, interfaces de red, procesador y nombre des
sistema
Identificación y password Cracking de usuarios .

Esto nos permitirá obtener contraseñas, ello con el fin de determinar la fortaleza
de las mismas y determinar si se estaba aplicando algún tipo de política sobre la
complejidad de ellas.

También se obtendrán los nombres de usuario del directorio Documents and

Settings y como podemos extraer el archivo SAM, y System (archivos de
administración de cuentas de seguridad en Windows) que almacena los usuarios y
contraseñas cifrados del sistema y como podemos descifrar sus respectivos
passwords. (para ello hago uso de la herramienta SAMInside)
 Identificación en el registro sobre la disponibilidad del
Termnal Services.
Esto se hace con el fin de identificar si este servicio está habilitado o no, para luego verificar en el
registro de sucesos de Windows.

Los servicios de terminal (o terminal services) son un componente de los sistemas operativos windows
que permite a un usuario acceder a las aplicaciones y datos almacenados en otro ordenador mediante un
acceso por red.

Basado en el protocolo de escritorio remoto (Remote Desktop Protocol (RDP)) aparece por primera vez en
Windows NT 4.0 (Terminal Server Edition).

Los productos Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server
y Windows Server 2003 han introducido algunas mejoras y funcionalidades nuevas.
 Organización de cuentas de usuarios e identificación de la
cuenta sospechosa en el sistema.
Una cuenta de usuario (SID, Estructura de datos de longitud variable que identifica cuentas de usuario, de grupo y
de equipo. A cada cuenta de la red se le asigna un SID único cuando se crea por primera vez. Los procesos
internos de Windows hacen referencia al SID de las cuentas en vez de al nombre del usuario o grupo de las
cuentas.)

Todas las cuentas de usuarios Windows están identificadas con un SID (Identificador de Seguridad - Security
Identifier). El identificador de seguridad de los usuarios en Windows es un valor fijo en la máquina.

Se puede organizar los datos obtenidos con SAMDUMP y como podemos identificar el usuario sospechoso de la
intrusión (Se hace sospechosa la cuenta pues esta no tiene una descripción como la que tienen las demás cuentas).
Esto con la finalidad de analizar e identificar más facilmente los diferentes eventos que se hayan registrado en el
registro de eventos de sistema.
 Acceso a logs de Equipos de Red
El monitoreo de logs supervisan la actividad de la red, inspeccionan los eventos del sistema y
almacenan diferentes acciones (por ejemplo, cambiar el nombre de un archivo o abrir una aplicación)
que ocurren dentro de los sistemas vigilados, contando con la capacidad de consolidar aquellos datos
que podrían alertarte sobre una violación de políticas de seguridad.

Los archivos de registro sin formato también se conocen como registros de auditoría o registros de
eventos que a fin de cuentas se relacionan con la gestión de logs.
La mayoría de los sistemas y herramientas para análisis de logs generan registros que incluyen
sistemas operativos, navegadores de Internet, sistemas de punto de venta, estaciones de trabajo,
eventos de logueo, antimalware, firewalls y sistemas de detección de intrusos (IDS).
 Análisis Forense
en
Dispositivos Móviles
Análisis forense de dispositivos móviles
(Francisco, 2014) considera que en los comienzos la telefonía
móvil generaba en el usuario una sensación de seguridad y
libertad, pero con la constante evolución de la tecnología nos
ha tocado ver las diferentes desventajas de los dispositivos
móviles, pero sobre todo las grandes ventajas que estas nos
proporcionan como es el almacenamiento de gran
información y esta a su vez el riesgo de perder tal
información, como también a su mala manipulación de dicha
información.
 Análisis forense de dispositivos móviles

Según (Domínguez, 2015) el procedimiento de análisis por lo general se lleva a cabo mediante
determinadas herramientas de software (EnCase Forensics, FTK, The Sleuth Kit, utilidades de
recuperación de archivos borrados, etc.) en un proceso de caracterización de archivos y búsqueda de
información que pueda ser reveladora de actividades irregulares o delictivas. En Android, el análisis
forense no requiere herramientas particularmente sofisticadas. Nuestro arsenal está compuesto por
editores hexadecimales, clientes de bases de datos, visores de archivos XML y otras utilidades del
mundo Linux/Unix tales como Sting, que permite localizar líneas de texto en el interior de archivos
binarios, o file, capaz de identificar tipos de archivo evitando que nos engañen mediante un cambio de
extensión, Para llevar a cabo un análisis correcto de los elementos de evidencia es preciso conocer el
modo en que la información es almacenada. gestionada y eliminada en Android.
 Datos de Usuario
Los datos del usuario según (Domínguez, 2015)se generan como resultado de una
interacción directa con las aplicaciones del dispositivo móvil. Al igual que en el análisis
tradicional de discos duros y ordenadores de sobremesa, estos datos constituyen el
objetivo principal del investigador. Esto no quiere decir que las propias aplicaciones no
sean importantes como objeto de investigación, sobre todo en casos de software
malicioso, espionaje industrial o ciberguerra, Por lo que respecta a la información
relacionada con la actividad del usuario en un dispositivo móvil Android .
 EN UN DISPOSITIVO MÓVIL ANDROID INTERESAN LOS
ELEMENTOS DE EVIDENCIA QUE SE INDICAN A CONTINUACIÓN:

Fotografías y videos Rutas consultadas en el

Contactos telefónicos.
realizados por el usuario GPS

Historial de llamadas Archivos multimedia Datos geográficos de

entrantes y salientes. (películas,etc.). Google Maps.
Enlaces favoritos de dados en el
Mensajes de texto (SMS Entradas en Facebook, Twitter y
navegador de Internet. otras redes sociales.
y MMS).

Mensajes de correo Historial de navegación de Archivos almacenados

electrónico Internet. en el dispositivo.

Mensajes WhatsApp Coordenadas geográficas. Archivos procedentes de

Información bursátil, datos
de banca online y servicios
financieros.
programas de descarga y file
sharing.
Compras en eBay,
Amazon y otros sitios
Listas de actividades y
Notas de texto. anotaciones en el calendario.
 RECUPERAR EVIDENCIAS DE
SMARTPHONES

(Romero Castro, y otros, LA INFORMÁTICA FORENSE DESDE UN

ENFOQUE PRÁCTICO, 2020) consideran que la telefonía móvil esta
totalmente instalada en la vida de las personas por eso es necesario comprender
el funcionamiento de los teléfonos móviles y describe lo siguiente para
recuperar evidencias en teléfonos móviles.
 01

REDES TELEFONICAS

Hay que saber los tipos de tecnología de red que existen y qué implicaciones tienen con respecto
al uso de los dispositivos, por ejemplo, el HLR y VLR son las bases de datos de una red GSM
que registran el estado de los clientes, indicando su localización en la red, si están o no activos,
cada número de teléfono está registrado en la HLR con sus datos permanentes y los datos de
carácter temporal como la localización o el número IMEI del terminal se registran en el VLR,
esto es sólo un ejemplo, pero es necesario saber cómo interpretar la información de las últimas
células a las que se ha conectado un celular, porque la información de localización es muy
relevante cuando se habla de telefonía móvil.
 02

ALMACENAMIENTO
Otra cosa que se debe tener clara es el almacenamiento de
datos en los smartphones, este es independiente de la tarjeta
SIM, en las tarjetas de memoria del propio teléfono o tarjetas
de expansión, generalmente Micro SD, se almacenan datos
del sistema operativo, de las aplicaciones y del usuario, como
si fuesen discos duros de una computadora, la Figura 83
muestra en ejemplo de una tarjeta Micro SD.
 03

SIM Y EL TELÉFONO
La SIM es un chip de identificación que contiene la información que requiere el
proveedor de servicio para identificar una línea, también, puede almacenar datos, pero muy
pocos. La SIM está protegida por un código PIN que permite desbloquearla para que el
operador pueda registrar el teléfono en el VLR. El código PUK se emplea para recuperar el
código PIN de una tarjeta SIM y suele entregarse impreso en la tarjeta en la que se entrega la
SIM, por lo que, si se recupera esa información se puede aplicar un nuevo PIN a una SIM para
acceder a la información, además, la mayor parte de los teléfonos están bloqueados por un
código de usuario que puede ser una contraseña, un patrón gráfico o mediante un sistema
biométrico, aunque éstos suelen estar asociados a una contraseña por si no se puede operar con
el acceso biométrico, por ejemplo de una tarjeta SIM.
 04

INFORMACIÓN EN SMARTPHONE

La información más básica a la que se debe aspirar al enfrentarse a un

smartphone es la que componen la agenda de contactos, el historial de
llamadas, los SMS, el correo electrónico, la mensajería de
aplicaciones de chat, información de geolocalización y de conexiones
de red, tanto GSM como a redes inalámbricas, e incluso de
dispositivos Bluetooth.
 04

INFORMACIÓN EN SMARTPHONE

El protocolo de adquisición cuando de teléfono se trata,empieza por

conservarlo en el estado en el que se lo encuentre, preferiblemente encendido y
desbloqueado, si hay riesgo de pérdida de datos, acceso remoto o similares,
conviene aislarlo de cualquier conexión de red, sea telefónica o inalámbrica,
para ello, se puede recurrir a bolsas que actúan como jaula de Faraday y cuando
por fin se pasa a conectar el teléfono a la computadora del laboratorio, se debe
asegurarse de impedir la sincronización automática entre ambos equipos, para
evitar modificaciones de la evidencia, al menos hasta que sea seguro e
imprescindible.
 05

SOFTWARE FORENSE PARA SMARTPHONES

Cuando todo esté dispuesto, lo que corresponde es emplear una suite de

análisis forense para telefonía móvil, que permita generar una imagen
del teléfono sobre la que poder desarrollar la investigación, sin
necesidad de manipular mucho más el terminal original, incluso,
permitiendo en algunas circunstancias que su propietario pueda
recuperarlo.
 05

SOFTWARE FORENSE PARA SMARTPHONES

Para ello, se puede emplear aplicaciones genéricas con sus complementos
para telefonía móvil como:

EnCase Oxygen Forensics Mobile Phone

Examiner

Cellebrite XRY
HERRAMIENTAS TECNOLÓGICAS QUE SEAN FUNCIONALES
Y CONFIABLES PARA EL ANÁLISIS FORENSE DE
DISPOSITIVOS MÓVILES BAJO EL SISTEMA OPERATIVO
ANDROID

En la actualidad existe una gran cantidad de herramientas,

como open source, que nos pueden ayudar a realizar una
investigación forense en un dispositivo móvil. Para
(RODRÍGUEZ, 2019) algunas de estas herramientas son:
 BLOQUEADORES HARDWARE Y
SOFTWARE:
Una vez el investigador forense informático ha realizado el proceso de toma de pruebas,
evidencias, embalaje y cadena de custodia, procede a realizar el análisis de las pruebas
obtenidas para determinar la existencia de evidencias que permitan reconstruir en una
línea de tiempo los hechos ocurridos.
Como es primordial mantener la integridad de las pruebas y evidencias recolectadas, el
investigador forense debe utilizar un mecanismo que le permita cumplir con esta
premisa. Para esto, al momento de analizar los dispositivos de almacenamiento masivo
utilizar dispositivos llamados bloqueadores, los cuales pueden ser físicos, hardware, o
digitales, software.
BLOQUEADORES HARDWARE Y SOFTWARE

Hardware

Son dispositivos físicos que se conectar de entre el equipo del investigador forense y el
disco al cual se busca realizar el proceso forense. De esta manera estos dispositivos
permiten mantener la integridad impidiendo la escritura sobre el disco de almacenamiento
al cual se esté realizando un proceso forense.
Las marcas más representativas son:
 Tableau, su página oficial es
https://www.guidancesoftware.com/tableau/hardware?types=ForensicBridges
 Digital Intelligence: su página oficial es
https://digitalintelligence.com/products/ultrablock
BLOQUEADORES HARDWARE Y SOFTWARE
Software

Su principal característica es que son sistemas operativos basado en Linux especializados

para realizar tareas de análisis forense. Una de sus funciones que puede funcionar como
bloqueadores. Al ser sistemas operativos pueden controlar el uso del hardware donde se
encuentren instalados o en ejecución. Dada esta característica, estos sistemas operativos
bloquean la escritura de los puertos USB de los equipos donde están instalados. De esta
manera, cualquier dispositivo que se instale por el puerto USB solo funcionará en modo
lectura.
 BLOQUEADORES HARDWARE Y SOFTWARE
Software

Los sistemas operativos más representativos para realizar esta labor son:
 Tequila: Es un sistema operativo basado en Linux, desarrollado en Latinoamérica, especializado para la informática
forense. Su interfaz gráfica es fácil de entender y al ser una versión libre su soporte es limitado.
su página web es https://tequila-so.org/
 Caine: Es un sistema operativo basado en Linux, desarrollado en Italia, especializado para la informática forense. Su
interfaz gráfica es fácil de entender y al ser una versión libre su soporte es limitado.
Su página web es https://www.caine-live.net/
 SANS DFIR: es una aplicativo virtual basado en Linux, especializado para la informática forense. Tiene una gran
cantidad de características que la hace una de las mejores distribuciones para realizar este tipo auditorías.
Su página web es https://digital-forensics.sans.org/ cas de Recuperación de Información a Bajo Nivel
RECOLECCIÓN Y ANÁLISIS DE EVIDENCIA

(RODRÍGUEZ, 2019) considera que la recolección de

evidencia y análisis es otra de las actividades primordiales del
investigador forense informático. Una vez el investigador
garantice la integridad de la evidencia principal por medio de
los bloqueadores, procede a tomar por lo menos tres copias
digitales bit a bit con la siguiente finalidad:
 01
La primera imagen forense, será la copia de seguridad principal de la imagen
obtenida de la fuente principal. Sobre esta imagen no se realiza ningún tipo de
trabajo y solo se utiliza si es solicitada por un juez, o para generar nuevas
copias de la imagen forense en caso de que las demás copias hayan sido
alteradas.
Nota. Estas copias se deben realizar con equipos especializados para garantizar
que la primera copia no se vea alterada bajo ningún motivo
 02
Las demás copias se utilizan para hacer el análisis correspondiente por el
investigador o investigadores.
Con el fin de mantener la integridad de la evidencia digital es necesario que al
momento de realizar la copia bit a bit, se realice la extracción de la huella
digital por medio del algoritmo SHA-2 256 o superior. De este modo podemos
validar la autenticidad de la copia de la fuente digital.
 02
Algunas de las herramientas que nos puede ayudar con este proceso de
recolección y análisis de evidencia, sin limitarse a ellas son: Encase, Autopsy,
FTK Access data, Santoku, CAIN y DEFT. Todas ellas tienen la capacidad de
realizar una imagen forense bit a bit, procesarla y ayudar al investigador con el
análisis para lograr reconstruir la secuencia de eventos que ocurrieron para que
se materializara un incidente de seguridad de la información.
Herramientas de
informática
forense
 Herramientas de informática forense
Hay una serie de herramientas de informática forense, de uso común para todo informático forense
por ser básicas en su trabajo.

- Las clonadoras de datos: Este tipo de dispositivos hardware se utilizan en informática forense
para la obtención de un clon exacto de un dispositivo de almacenamiento. Es vital realizar
correctamente la clonación forense de un disco duro ya que JAMÁS debe trabajarse sobre el
dispositivo que almacena los datos originales objeto de estudio. Las clonadoras varían mucho de
precio, siendo un factor fundamental la velocidad de clonado, el número de copias simultáneas que
puede generar el dispositivo y si éste es capaz de generar el código hash que certifica el contenido
del dispositivo
 Herramientas de informática forense
- Las bloqueadoras de escritura: Este tipo de dispositivos hardware se utiliza en
informática forense para conectar el dispositivo objeto de estudio a nuestra estación de
trabajo impidiendo que el sistema pueda realizar cualquier tipo de escritura en el
dispositivo, lo que lo invalidaría como prueba. Así mismo, las bloqueadoras también se
utilizan para proteger contra escritura cualquier dispositivo de almacenamiento.
 Herramientas de informática forense
- Creación de imágenes forenses: La herramienta más ampliamente utilizada para la
creación de imágenes forenses es Guymager, que es una herramienta gratuita de
adquisición y preservación de evidencias digitales en entorno Linux, generando
imágenes en formato dd, E01 y AFF. También es capaz de realizar el clonado forense
de discos duros sin necesidad de una clonadora y de obtener la firma Hash del disco
duro clonado o del fichero de imagen creado
 Herramientas de informática forense
- Cálculo de firmas hash: Normalmente se trata de software que nos generará
el código hash identificativo de cada uno de los ficheros electrónicos que estamos
estudiando o del dispositivo de almacenamiento completo. Ello se usa para acreditar
que las copias de datos se corresponden fielmente con los originales. Uno de los más
comunes es FCIV.
 Herramientas de informática forense
- - Suites de herramientas forenses: Se trata de packs de herramientas forenses de
tipo software de muy distinto uso y alcance. Las hay tanto de pago como gratuitas y
se usan tanto para el estudio de ficheros electrónicos como logs de navegadores,
dispositivos móviles, memoria RAM y un largo etcétera.

- Entre las herramientas gratuitas, la más conocida es CAINE, una distribución libre
de UBUNTU con multitud de herramientas de gran utilidad. Para la investigación en
fuentes abiertas (OSINT) se está utilizando mucho OSINTUX, una distribución
completamente en castellano.
 Herramientas de informática forense
- Herramientas de firma electrónica: Pese a no ser, estrictamente, una herramienta de
informática forense, sí que deberá utilizarse para firmar, con código de fecha y hora, la
documentación que elaboremos para recoger el estudio forense realizado a fin de
demostrar su autenticidad. Una de las herramientas más comunes, potentes y gratuitas
es XolidoSign
Herramientas para el análisis forense digital

Cálculo de hashes
HashCalc es un programa de calculadora desarrollado por SlavaSoft. Se utiliza para calcular HMAC,
resúmenes de mensajes y sumas de comprobación para archivos. También se puede usar para
calcular cadenas hexadecimales y cadenas de texto. El programa proporciona 13 de los algoritmos
de suma de comprobación y hash más comunes.
 Herramientas para el análisis forense digital

Análisis de memoria volátil

Para el análisis forense de la memoria volátil, la herramienta más utilizada es Volatility. Se trata de uno de
los mejores programas de software de código abierto para analizar la RAM en sistemas de 32 bits / 64 bits.
Admite análisis para sistemas Linux, Windows, Mac y Android. Volatility está basado en Python y se
puede ejecutar en sistemas Windows, Linux y Mac. También puede analizar archivos en hibernación,
volcados de VMWare y archivos de caída de Windows.
Herramientas para el análisis forense digital

Análisis de registros

El análisis informático forense incluye el descubrimiento y la extracción de información recopilada

en la etapa de recopilación. El tipo de análisis depende de las necesidades de cada caso. Puede ir
desde extraer un solo correo electrónico hasta unir las complejidades de un caso de fraude o
terrorismo.
 Herramientas para el análisis forense digital

Programa de análisis

Sleuthkit: Es una colección de herramientas de línea de comandos y una biblioteca C que permite analizar

imágenes de disco y recuperar archivos de ellas.

Encase Forensics: Permite buscar, identificar y priorizar rápidamente evidencia potencial, en ordenadores y
dispositivos móviles, para determinar si se justifica una investigación adicional.
Herramientas para el análisis forense digital
Programa de análisis

SIFT Workstation 3: Es un grupo de herramientas forenses y de respuesta libre a incidentes de código abierto
diseñadas para realizar exámenes forenses digitales detallados en una variedad de entornos

OsForensics v6: Proporciona una de las formas más rápidas y potentes de localizar archivos en un ordenador
con Windows. Puede buscar por nombre de archivo, tamaño, fechas de creación y modificación, y otros
criterios.