Analisis Forense 2017

Introducción a la Informática Forense:
Legal, teórica y práctica

Carlos Emilio Rodríguez García
Grado de Ingeniería Informática
Consultor
Manuel Jesús Mendoza Flores
Fecha de entrega: 06/01/2018

“A mi hijo Mauro; a mi Familia; a todos aquellos cuyo
sacrificio y dedicación nunca será reconocido”
Copyright © 2019 Carlos Emilio Rodríguez García.

FICHA DEL TRABAJO FINAL
Introducción a la Informática Forense: Legal,

Título del trabajo:
teórica y práctica
Nombre del autor: Carlos Emilio Rodríguez García
Nombre del consultor: Manuel Jesús Mendoza Flores
Fecha de entrega (mm/aaaa): 01/2019
Administración de redes y sistemas

Área del Trabajo Final:
operativos
Titulación: Grado de Ingeniería Informática
Resumen del Trabajo (máximo 250 palabras):
El número acciones deshonestas (delitos, cibercrimen, incidentes de

seguridad...) en las que en aparecen implicados diversos medios tecnológicos
para lograr su objetivo aumenta cada año.
En estas situaciones la adecuada recogida, tratamiento y análisis de la
información relacionada capturada por algún dispositivo informático se antoja
fundamental, para conseguir el esclarecimiento de los hechos: ¿Qué?, ¿Quién?,
¿Dónde?, ¿Cuándo?, ¿Cómo? y ¿Por qué?
De esta necesidad surge la Informática Forense, campo multidisciplinar dentro
de la Seguridad Informática, y el procedimiento de análisis forense digital:
proceso documentado y metódico, no improvisado ni variable, a pesar de que
cada caso pueda requerir de actuaciones y análisis específicos.
El objetivo de este trabajo es el de construir una pequeña introducción al campo
de la Informática Forense, en la que recabar y mostrar, de una forma fácilmente
comprensible, los conceptos básicos, aspectos técnicos y requisitos legales que
toda persona interesada en esta disciplina debe conocer y observar.
Además, con el objeto de facilitar la tarea de dar los primeros pasos en esta
especialidad, se abordará el tema de implementar un laboratorio forense basado
en las principales soluciones software no comerciales, y en máquinas de
escritorio como estaciones de trabajo forense
Por último, se llevará a cabo una recreación de un escenario forense simulado,
en el que aplicar las lecciones aprendidas, llevando a cabo el procedimiento
forense con las herramientas no comerciales elegidas.
i
Abstract (in English, 250 words or less):
The number of dishonest actions, like crimes, cybercrime or security incidents, in

which different technological means appear to be involved in order to achieve
their goals increases every year.
In these situations, the adequate collection, processing and analysis of the
related information captured by a computing device seems fundamental, in order
to obtain the clarification of the facts: What?, Who?, Where?, When?, How? and
Why?
From this need emerges Computer Forensics, a multidisciplinary field within the
Information Security, and the digital forensic process: documented and
methodical, not improvised or variable, although each case may require specific
actions and analysis.
The goal of this work is to build a small introduction to Computer Forensics, in
which to gather and show, in an easily understandable way, the key concepts,
technical aspects and legal requirements that anyone interested in this discipline
should know and observe.
In addition, in order to facilitate the task of taking the first steps in this specialty,
the topic of implementing a forensic laboratory based on the main non-
commercial software solutions and desktop machines as forensic workstations
will be addressed.
Finally, a recreation of a simulated scenario will be carried out with the objective
of applying the lessons learned and carrying out the forensic process using the
chosen non-commercial tools
Palabras clave (entre 4 y 8):
Análisis forense, evidencia digital, cadena de custodia, clonación, hash,

borrado seguro, información latente
ii
Índice
1 Introducción ............................................................................................... 1
1.1 Contexto y justificación del Trabajo ....................................................... 1
1.2 Objetivos del Trabajo ............................................................................. 2
1.3 Enfoque y método seguido .................................................................... 2
1.4 Planificación del Trabajo ........................................................................ 3
1.5 Breve sumario de productos obtenidos ................................................. 3
1.6 Breve descripción de los otros capítulos de la memoria ........................ 4
1.7 Requisitos y ámbito de aplicación del proyecto ..................................... 5
2 Definiciones formales ................................................................................. 6
2.1 La Informática Forense .......................................................................... 6
2.2 El perito informático forense .................................................................. 6
2.3 Delito informático ................................................................................. 10
2.4 Evidencia digital o electrónica.............................................................. 11
2.5 Cadena de Custodia ............................................................................ 14
3 Marco legal .............................................................................................. 16
3.1 Regulación nacional ............................................................................ 16
3.2 Regulación internacional ..................................................................... 20
3.3 Normas y guías de buenas prácticas................................................... 21
3.4 Organismos relevantes ........................................................................ 26
4 Conceptos, terminología y aspectos técnicos .......................................... 29
4.1 Función resumen (hash) ...................................................................... 29
4.2 El Sistema de Memoria ........................................................................ 30
4.2.1 Particiones y sistemas de ficheros .............................................. 31
4.2.1.1 Tipos de particiones ............................................................ 33
4.2.2 Espacio asignado y espacio no asignado ................................... 34
4.3 Extracción de información ................................................................... 35
4.3.1 Clonación .................................................................................... 36
4.3.1.1 Clonado físico e imagen física ............................................ 36
4.3.1.2 Clonado lógico e imagen lógica .......................................... 38
4.3.2 Volcado de datos......................................................................... 39
4.4 Borrado seguro .................................................................................... 40
4.5 Artefactos Forenses............................................................................. 43
4.5.1 Memoria RAM, memoria virtual y archivo de hibernación ........... 44
4.5.2 Logs y registros del sistema ........................................................ 45
4.5.3 Archivos recuperados.................................................................. 47
4.5.4 Metadatos ................................................................................... 49
4.5.5 Actividad en Internet.................................................................... 50
4.5.6 Otros artefactos ........................................................................... 52
4.5.7 Artefactos forenses en dispositivos móviles ................................ 53
5 Procedimiento de análisis forense digital ................................................. 55
5.1 Preservación ........................................................................................ 56
5.2 Adquisición .......................................................................................... 58
5.3 Documentación .................................................................................... 63
5.4 Análisis ................................................................................................ 64
5.5 Presentación ........................................................................................ 64
6 Herramientas de análisis forense digital .................................................. 66
iii
6.1 Software forense.................................................................................. 66
6.1.1 EnCase Forensic ......................................................................... 66
6.1.2 Autopsy – The Sleuth Kit ............................................................. 67
6.1.3 Distribuciones Forenses .............................................................. 68
6.1.4 Internet Evidence Finder ............................................................. 70
6.1.5 Forense de dispositivos móviles ................................................. 70
6.1.6 Utilidades forenses ...................................................................... 72
6.2 Hardware forense ................................................................................ 74
6.2.1 Bloqueadores de escritura .......................................................... 74
6.2.2 Clonadoras .................................................................................. 75
6.2.3 Sistemas portables ...................................................................... 75
6.2.4 Estaciones de trabajo forense ..................................................... 76
6.2.4.1 Configuración de sobremesa propuesta ............................. 78
7 Entorno práctico ....................................................................................... 79
7.1 Laboratorio forense.............................................................................. 79
7.1.1 Equipo de campo ........................................................................ 79
7.1.2 Estación forense.......................................................................... 79
7.2 El suceso a investigar .......................................................................... 80
7.2.1 Preparación preliminar ................................................................ 81
7.2.2 Evidencias digitales generadas ................................................... 81
7.2.2.1 Dificultades encontradas..................................................... 81
7.2.2.2 Ordenador portátil Windows 10 (1POR1) ........................... 82
7.2.2.3 Memoria USB (1USB1) ....................................................... 83
7.2.2.4 Smartphone con Android (1TEL1) ...................................... 84
8 Ejecución del caso práctico ..................................................................... 85
8.1 Preservación ........................................................................................ 85
8.2 Adquisición .......................................................................................... 86
8.3 Documentación .................................................................................... 88
8.4 Análisis ................................................................................................ 88
8.4.1 Análisis de la evidencia 1TEL1 ................................................... 89
8.4.2 Análisis de la evidencia 1HD1 ..................................................... 90
8.4.3 Análisis de la evidencia 1USB1 ................................................... 95
8.5 Resultados obtenidos .......................................................................... 96
8.5.1 Evidencias digitales recuperadas ................................................ 96
8.5.2 Resultados relevantes para la investigación ............................. 100
8.6 Consideraciones finales ..................................................................... 100
9 Conclusiones ......................................................................................... 101
9.1 Líneas de trabajo futuro ..................................................................... 102
10 Glosario ................................................................................................. 103
11 Bibliografía ............................................................................................. 109
12 Anexos ................................................................................................... 112
12.1 Anexo: Planificación detallada y riesgos del proyecto ................... 112
12.2 Anexo: Documento de cadena de custodia ................................... 114
12.3 Anexo: Adquisición de las evidencias del caso práctico ................ 117
12.4 Anexo: Análisis de la evidencia 1TEL1 .......................................... 123
12.5 Anexo: Análisis de la evidencia 1HD1 ........................................... 125
12.6 Anexo: Análisis de la evidencia 1USB1 ......................................... 149
iv
Lista de figuras
Figura 1: Perito informático realizando su labor en el lugar del incidente .......... 8
Figura 2: Incidentes relacionados con la seguridad informática ....................... 10
Figura 3: Diversas fuentes de datos ................................................................. 13
Figura 4: La Cadena de Custodia..................................................................... 14
Figura 5: Levantamiento de acta notarial (recreación) ..................................... 15
Figura 6: Convenio de Budapest contra el Cibercrimen ................................... 20
Figura 7: Organizaciones de normalización ..................................................... 22
Figura 8: Logotipo de INCIBE........................................................................... 26
Figura 9: Logotipo de la AEPD ......................................................................... 27
Figura 10: Ejemplos de la función resumen SHA-1 .......................................... 29
Figura 11: Jerarquía de memoria de un ordenador .......................................... 31
Figura 12: Administrador de discos de Windows. ............................................. 32
Figura 13: Estructuras del sistema de ficheros NTFS ...................................... 32
Figura 14: Ejemplo de particionado de disco MBR........................................... 34
Figura 15: Copia bit a bit .................................................................................. 37
Figura 16: Migración de un disco duro mecánico a otro de tipo SSD ............... 38
Figura 17: Algoritmos de borrado seguro de la aplicación Eraser .................... 41
Figura 18: Contenido del directorio de papelera “$Recycle.bin” ....................... 42
Figura 19: Gestión del direccionamiento de bloques NAND Flash ................... 43
Figura 20: Métodos de borrado seguro según naturaleza del dispositivo ....... 43
Figura 21: Intercambio entre archivo de paginación y RAM ............................. 45
Figura 22: Registro de Windows desde el editor “regedit”................................ 46
Figura 23: Cabecera de inicio de un archivo JPG ............................................ 48
Figura 24: Metadatos extraídos con la aplicación ExifReader .......................... 49
Figura 25: Metadatos recuperados de un documento de texto ........................ 50
Figura 26: Flujo de autenticación por token ..................................................... 52
Figura 27: Visualización de miniaturas mediante Thumbnail DB Viewer.......... 53
Figura 28: Instantáneas de volumen Shadow Copy de Windows..................... 53
Figura 29: Principales archivos SQLite de sistema en Android ........................ 54
Figura 30: Arquitectura SQLite ......................................................................... 54
Figura 31: El principio de intercambio de Locard ............................................. 55
Figura 32: Fases del procedimiento de análisis forense digital ........................ 56
Figura 33: Escena de adquisición de diversas evidencias informáticas ........... 58
Figura 34: Duplicación de la imagen forense de trabajo .................................. 59
v
Figura 35: Representación del Principio de incertidumbre de Heisenberg ....... 60
Figura 36: Ordenador encendido en la escena del crimen (figuración) ............ 62
Figura 37: EnCase Evidence File Format ......................................................... 66
Figura 38: Ciclo de vida del procedimiento forense en EnCase Forensic ........ 67
Figura 39: Flujo de trabajo en Autopsy ............................................................. 68
Figura 40: Artefactos soportados por Internet Evidence Finder v6.21.............. 70
Figura 41: GUI de UFED Physical Analyzer v6.3 ............................................. 71
Figura 42: Bloqueadora Tableau WriteBlocker ................................................. 74
Figura 43: Clonadora Tableau .......................................................................... 75
Figura 44: Sistema portable UFED Touch2 ...................................................... 75
Figura 45: Estación forense portable FREDDIE ............................................... 76
Figura 46: Estación forense SiForce LIGHTNING ............................................ 76
Figura 47: Estación forense FCI ....................................................................... 77
Figura 48: Configuración propuesta para sistema de escritorio ....................... 78
Figura 49: Evidencias físicas ocupadas durante la diligencia de Entrada y Registro .......... 85
Figura 50: Copia forense de la evidencia 1HD1 ............................................... 87
Figura 51: Extracto de conversación de WhatsApp. Evidencia 1TEL1 ............. 88
Figura 52: Explotación de la evidencia 1HD1 con Autopsy .............................. 91
Figura 53: Miniaturas extraídas del archivo “thumbcache_1280.db” ................ 93
Figura 54: Archivos recuperados de la evidencia 1USB1 ................................ 96
vi
Introducción a la Informática Forense: Legal, teórica y práctica
1 Introducción
La Seguridad Informática es una de las áreas de la Informática con mayor auge
y relevancia en la actualidad. El número acciones deshonestas -delitos, delitos
informáticos o cibercrimen, infracciones e incidentes de seguridad- en las que,
en mayor o menor medida, se hace un uso (o abuso) de los medios tecnológicos
para lograr el objetivo deseado no para de crecer, año tras año, en una tendencia
alcista que se estima continuada en el futuro.
Las personas estamos cada vez más expuestas a estos ataques ya que vamos
confiando e integrando la tecnología en mayor grado en nuestros usos y
costumbres. Nuestra huella digital, al utilizar las soluciones tecnológicas que el
mercado nos ofrece, aumenta por momentos. En nuestro día a día confiamos
continuamente nuestra información sensible, consciente o inconscientemente, a
terceros, escapando ésta a nuestro control. Todo ello provoca el caldo de cultivo
perfecto para que terceros, con intenciones ilegitimas, traten de sacar algún tipo
de beneficio si se dan las circunstancias propicias para ello.
Y es en estas situaciones, en las que se ha vulnerado algún derecho o se ha
causado algún perjuicio a una persona u Organismo, en las que la adecuada
recogida, tratamiento y análisis de la información disponible, relacionada con el
incidente y capturada por algún dispositivo informático, se antoja fundamental,
para conseguir una plena resolución de incidente acaecido, esto es, el
esclarecimiento de los hechos y la respuesta a las preguntas surgidas: ¿Qué?,
¿Quién?, ¿Dónde?, ¿Cuándo?, ¿Cómo? y ¿Por qué?
Como respuesta a un incidente de estas características, entra en escena la
Informática Forense, campo multidisciplinar dentro de la Seguridad Informática,
con un marcado carácter técnico a la vez que legal, y la labor del perito
informático o analista forense digital, persona formada en la materia, encargada
de ejecutar el procedimiento de análisis forense digital: proceso documentado y
metódico, no improvisado ni variable, a pesar de que cada caso pueda requerir
de actuaciones y análisis específicos.
1.1 Contexto y justificación del Trabajo

La razón de ser de este trabajo es la de constituir una pequeña introducción al
campo de la Informática Forense, campo que por sus peculiaridades puede
presentar diferentes barreras de entrada:
 Abarca un elevado número de disciplinas no sólo técnicas (seguridad
informática, administración de sistemas, telecomunicaciones…) sino
también legales.
 Como campo todavía considerado “novedoso”, es posible que aún no esté
lo suficientemente asentado en el mundo académico como para recabar de
él formación y/o información fácilmente accesible.
 Las principales soluciones comerciales existentes, tanto hardware como
software, que permiten automatizar muchos procesos forenses y conseguir
buenos resultados incluso a analistas no expertos en la materia, suponen un
desembolso económico realmente elevado y en muchos casos sostenido en
Capítulo 1: Introducción Página 1

de 160
el tiempo por el coste de las necesarias actualizaciones, lo que provoca que

sean inviables para los presupuestos más modestos.
Afortunadamente, existen diversos proyectos no comerciales de desarrollo de
software forense, que presentan el respaldo de enormes comunidades,
auspiciados en ciertos casos por grandes empresas e instituciones públicas y
privadas, que se han convertido en excelentes opciones para que el analista
forense pueda llevar a cabo su cometido, con plena confianza y las máximas
garantías legales.
Es por ello que, contando con dichas herramientas por un lado, y con el
conocimiento necesario –técnico y legal- para ejecutar la labor de análisis
forense digital por la otra, se puede lograr la implementación de un laboratorio
forense de coste contenido, determinado únicamente por la infraestructura
hardware dedicada a ello, pero plenamente válido y funcional.
1.2 Objetivos del Trabajo

Describir las principales técnicas forenses existentes, contextualizando y
diseccionando los conceptos teóricos sobre los que funcionan a la vez que se
profundiza en el conocimiento de los sistemas en los que estas técnicas se
aplican.
Mencionar los requisitos legales necesarios y las buenas prácticas
recomendadas, para dotar de validez el proceso forense.
Reseñar las soluciones comerciales de mayor reputación a nivel hardware y
software.
Discutir los requisitos necesarios a nivel de hardware de un laboratorio forense.
En relación a esto, se tratará el tema de implementar un sistema de escritorio
como estación forense de coste contenido, pero con un rendimiento suficiente
para cumplir con su labor.
Presentar las principales herramientas forenses de carácter no comercial,
alternativas a las soluciones de pago, exponiendo sus características,
funcionamiento y desempeño, mostrando el resultado obtenido en el caso
práctico ideado, sirviendo como guía de su operación.
En resumen, se pretende recabar y mostrar, de una forma fácilmente
comprensible, los conceptos básicos, aspectos técnicos y requisitos, tanto
técnicos como legales, que toda persona interesada en este campo debe
conocer y observar.
1.3 Enfoque y método seguido

Para llevar a cabo el proyecto, primero se estudiarán las bases teóricas de la
informática forense y su marco legal. Después se presentaran las principales
soluciones existentes en el mercado, para a continuación, seleccionar aquellas
que cumplen con la filosofía no comercial hacia la que se ha enfocado este
trabajo.

de 160
Para comprobar su desempeño, será necesaria la recreación de un laboratorio

forense, la preparación de una serie de evidencias digitales a analizar de manera
acorde a los objetivos deseados y, finalmente, la realización del proceso de
análisis y la presentación de los resultados obtenidos.
1.4 Planificación del Trabajo

Duración
Tarea Inicio Final (días)
Preparación propuesta TFG 19/09/2018 05/10/2018 17
ENTREGA PEC1 05/10/2018 17
Definiciones formales 06/10/2018 12/10/2018 7
Marco legal 13/10/2018 19/10/2018 7
Aspectos técnicos y terminología 20/10/2018 02/11/2018 14
Procedimiento de análisis forense digital 03/11/2018 09/11/2018 7
ENTREGA PEC2 09/11/2018 35
Herramientas de análisis forense digital 10/11/2018 19/11/2018 10
Entorno práctico 20/11/2018 26/11/2018 7
Ejecución práctica: sistema Windows 10 27/11/2018 11/12/2018 15
Ejecución práctica: memoria USB 12/12/2018 14/12/2018 3
ENTREGA PEC3 14/12/2018 35
Ejecución práctica: Smartphone Android 27/11/2018 14/12/2018 7
Resultados y conclusiones 15/12/2018 21/12/2018 7
Elaboración de la presentación 22/12/2018 06/01/2019 9
ENTREGA FINAL 06/01/2019 23
Se desgranan con mayor detalle las tareas a ejecutar en el Anexo: Planificación

detallada y riesgos
1.5 Breve sumario de productos obtenidos

El presente proyecto pretende constituirse en una guía de introducción a la
Informática Forense, a nivel teórico, legal y práctico, desde una perspectiva no
comercial.
Gracias al estudio de las principales técnicas forenses, del cómo y por qué
funcionan –o no- en los dispositivos, aplicaciones y sistemas sobre los que se

de 160
ejecutan, se habrá conseguido también profundizar en el conocimiento sobre los

mismos: discos duros (espacio de almacenamiento, particiones, sistemas de
ficheros…), memorias Flash, navegadores de Internet (caché web, cookies,
tokens, etc.), principalmente en sistemas Windows y Android.
Como consecuencia, asimilados los conceptos aquí mostrados y en base a las
herramientas presentadas, se estará en disposición de implementar un sencillo
laboratorio forense con el que comenzar realizar las primeras pruebas, a dar los
primeros pasos, como analista forense de dispositivos informáticos.
1.6 Breve descripción de los otros capítulos de la

memoria
 Definiciones formales
En este capítulo se establecerán las definiciones básicas relativas al ámbito
forense informático.
 Marco legal
En donde se presentará el marco legal vigente cuya observación ampara la
validez del proceso forense, junto con las buenas practicas recomendadas.
 Conceptos, terminología y aspectos técnicos
En este capítulo se describirán los conceptos teóricos y aspectos técnicos
propios del dominio de la informática forense.
 Procedimiento de análisis forense digital
En dicho capítulo se describirán las fases en las que se descompone el
proceso forense, así como las buenas prácticas que se deben mantener y
los posibles artefactos forenses a ser recuperados según el caso.
 Herramientas de análisis forense digital
Presentaciones de las diversas soluciones, tanto desde el punto de vista de
su naturaleza (software o hardware) y objetivos, como de su licencia
(comerciales y no comerciales).
 Entorno práctico
Descripción del laboratorio forense, implementado para llevar a cabo el
análisis forense, tanto a nivel hardware como software, así como del
escenario simulado propuesto con sus respectivas evidencias.
 Ejecución práctica de un análisis forense
Capítulo en el que se llevará a cabo la ejecución practica del análisis forense
de las evidencias relativas al caso práctico y se mostrarán sus resultados.
 Conclusiones
Capítulo en el que se presentarán las conclusiones globales del proyecto y
las posibles líneas futuras de trabajo.

de 160
1.7 Requisitos y ámbito de aplicación del proyecto

Como se va a mostrar a lo largo del trabajo propuesto, la implantación de un
laboratorio o departamento forense, basado en sistemas de sobremesa como
estaciones forenses y software no comercial, se puede llevar a cabo tanto en un
ámbito personal, profesional o empresarial; público o privado.
A nivel de software, el coste es nulo si se opta por soluciones no comerciales. A
nivel de hardware, los requisitos mínimos que exigen estas herramientas son en
general asequibles, marcados principalmente por la capacidad de
almacenamiento mínima necesaria para albergar tanto la imagen/es física/s de
la/s evidencia/s a tratar como la información extraída de la/s misma/s, si bien es
cierto que los procesos de extracción de la información, análisis, tratamiento y
presentación de resultados son computacionalmente costosos
Es por ello recomendable contar con sistemas hardware con suficientes
recursos, especialmente en los casos en los que el tiempo de resolución del
análisis forense sea un elemento clave, sin que esto signifique que sea necesario
invertir en costosísimos servidores dedicados, como se verá en el capítulo
dedicado al estudio de las estaciones forenses.
Dicho esto, para el proceso de adquisición de las imágenes forenses, será
necesario contar, además, con interfaces bloqueadores de escritura, para no
alterar las evidencias.
Además si el proceso de adquisición de las evidencias digitales se va a realizar
fuera del propio laboratorio, será preciso un sistema portable, típicamente un
portátil, en el que se ejecutará el software de adquisición de las imágenes o el
volcado de datos.

de 160
2 Definiciones formales
2.1 La Informática Forense
“El término latino forensis llegó a nuestro idioma como forense. La primera
acepción que menciona el diccionario de la Real Academia Española (RAE) hace
mención a aquello vinculado al foro: el lugar en el cual los tribunales escuchan y
definen causas o el encuentro de especialistas para debatir una cierta cuestión
ante un auditorio”1.
En las disciplinas forenses encontramos el denominador común que el propio
término “forense” les imprime, y que se aplica a quienes estando en posesión de
unos conocimientos especializados y por medio de métodos científicos y
sistemáticos, analizan las evidencias para proporcionar su opinión experta sobre
las cuestiones que se le planteen al respecto. Por lo tanto, este calificativo se
asocia a toda disciplina profesional (medicina, grafología, informática, etc.) que
proporcione soporte y asesore objetivamente a un tercero, acerca de un hecho
determinado.
Es por ello que, por Informática Forense se entiende aquel campo de la

Seguridad Informática que, con la aplicación de técnicas científicas y analíticas
especializadas, tiene como misión adquirir, preservar, obtener y presentar datos
que han sido procesados electrónicamente y guardados en soportes informáticos
y/o electrónicos, teniendo su fundamento en las leyes de la física, de la
electricidad y el magnetismo.
Se podría simplificar su significado por medio de una analogía, diciendo que la
Informática Forense es a la Informática lo que la Medicina Legal es a la Medicina,
de forma que pretende recabar, analizar y presentar las evidencias digitales
obtenidas, de forma que quede esclarecido lo que ha sucedido en el sistema o
dispositivo analizado.
Tiene por lo tanto una marcada condición multidisciplinar, ya que requiere
conocimientos técnicos en materias diversas como la Informática, las
Telecomunicaciones y la Electrónica, y precisa además, un dominio del marco
jurídico y normativo relacionado con el manejo de evidencias en general, y con
los asuntos que se estén investigando en particular, sean o no delictivos.
2.2 El perito informático forense

Un perito es un profesional experto en la materia en la que es requerido. Una
persona reconocida, por su conocimiento superior, como una fuente confiable de
un tema, técnica o habilidad cuya capacidad para juzgar o decidir en forma
correcta, justa o inteligente le confiere autoridad y estatus, por sus pares o por el
público en general.
1 https://definicion.de/forense
Capítulo 2: Definiciones formales Página 6

de 160
Debemos de resaltar que, en la definición de perito no aparece referencia alguna

al tipo de titulación o nivel de estudios requeridos, debido a que en principio no
es necesario disponer de titulaciones concretas para ser reconocido como perito:
su cualificación debería de quedar suficientemente avalada por las titulaciones
y/o las experiencias propias de cada perito, adquiridas a lo largo de su trayectoria
profesional.
Sin embargo, en el ámbito judicial existen ciertos matices al respecto. Así, la Ley
de Enjuiciamiento Criminal (LECrim) en su artículo 457 hace referencia a dos
tipos de peritos, según su formación:
 Peritos titulares: Profesionales que tienen título oficial de ciencia o arte cuyo
ejercicio esté reglamentado por la Administración. El título oficial puede estar
expedido por una Universidad, Asociación o Colegio Profesional, o un centro
reglado de formación.
 Peritos no titulares: Profesionales que, careciendo de título oficial poseen,
disponen de conocimientos o prácticas especiales en alguna ciencia o arte.
Estos conocimientos son los que lo hacen experto y reconocido en la
materia, dentro del entorno y del contexto de profesionales que se dedican
a dicha ciencia o arte.
Y en su artículo 458 establece que el Juez, existiendo peritos titulares, se valdrá
con preferencia de estos para los procesos judiciales. Adicionalmente, en los
procesos judiciales actuando de oficio, habiendo peritos en posesión de titulación
oficial, tendrán preferencia en la asignación por parte del Tribunal.
Deberes del perito

El perito debe de actuar siempre según sus capacidades profesionales, siendo
consciente de sus limitaciones técnicas, y aislando sus opiniones personales y
prejuicios del trabajo realizado. Como profesional, al perito se le exige:
 Objetividad: Mantenerse completamente ajeno al proceso en el cual se le
requiere o se presenta su participación.
 Imparcialidad: Ser totalmente ajeno a los intereses particulares del caso.
 Conocimiento: Poseer una formación como experto, ya sea reglada o fruto
de la experiencia de sus desempeños, conocimientos especializados,
científicos, artísticos o prácticos según a el caso o la temática para la cual
es requerido su dictamen especializado.
 Voluntariedad: Ser una persona que, sin ningún tipo de coacción, acepte
aplicar sus conocimientos al proceso, colaborando con los asesores jurídicos
y el resto de peritos y declarar ante el juez en caso de que fuera requerido.
 Ética profesional: Total respeto al código ético que le impone su profesión.
Y a la vez, el perito debe exigir:
 Que como experto y persona con una relación laboral con el caso, sea
adecuadamente remunerado con sus honorarios, independientemente del
resultado de su investigación.
 Libertad para investigar según considere y que se le faciliten los medios
necesarios

de 160
El perito informático forense

La definición de perito informático forense es la de aquel profesional que posee
conocimientos y experiencia dentro de la informática y las tecnologías, en las
diferentes ramas en las que se le reconoce como experto, que es capaz de
asesorar, dar opinión o elevar un dictamen para otras personas, de forma
comprensible para las no entendidas en la materia y, al mismo tiempo,
especializada para los expertos como él, en los campos que se estén tratando.
Figura 1: Perito informático realizando su labor en el lugar del incidente

[Fuente] http://jujuydespierta.com...recuperar-todos-los-archivos-borrados
Tanto en la definición anteriormente vista de Informática Forense, como en la de

perito informático forense, queda patente que su labor se encuadra en un área
de especialización multidisciplinar, que abarca multitud de áreas y
especialidades y que requiere un esfuerzo constante y continuado por su parte
para estar al día en las nuevas tecnologías, desarrollos y paradigmas
informáticos. Sin embargo, esto no es óbice para que en determinadas
circunstanciadas, en las que entran en juego un extenso abanico de tecnologías
implicadas, sea recomendable recurrir a la asistencia de otro u otros
profesionales, para que cada uno de ellos aporte su particular conocimiento y
experiencia en un ámbito concreto.
De forma generalizada, los servicios de un perito informático tanto en el ámbito
judicial (penal, civil, laboral o administrativo) como extrajudicial, tendrán
básicamente una de las siguientes finalidades:
a) El desarrollo de un informe documental, con el objeto de asesorar,
típicamente en actividades de consultoría/auditoria, mediación y/o arbitraje.
b) El desarrollo de un informe pericial, en el que se documente y trate de
esclarecer un incidente.
En este trabajo se va a utilizar la denominación de analista forense digital,
denominación ampliamente extendida en el ámbito de la Informática Forense,
para hacer referencia a la persona que ostentando esta pericia informática
realiza dichas labores técnicas, sin entrar a valorar los posibles matices, legales
o teóricos, que la puedan diferenciar de la de perito informático forense.
El peritaje forense
Un peritaje o peritación es el estudio o trabajo que realiza un perito. El objetivo
final del peritaje informático se constituye en la reconstrucción del incidente que
lo motiva, a partir de la prueba indiciaria, que se identifica, recolecta, certifica y
resguarda en la escena del hecho.

de 160
Toda esta labor será plasmada en un documento en particular: el informe

pericial, elemento que recoge el resultado y la documentación de todo el
procedimiento forense, y por lo tanto, constituye el objeto de juicio fundamental
respecto de la labor del perito.
En el ámbito de la Informática Forense, el peritaje suele recibir la denominación
de análisis forense informático o digital, cuyo procedimiento general, fase a
fase, va a ser objeto de estudio en el capítulo 5 de esta memoria.
Código deontológico informático

Recoge los principios éticos que deben ser asumidos por todos los profesionales
de la informática pertenecientes a una asociación, colegio oficial u organismo.
Existen diferentes códigos deontológicos, con similares principios y una misma
filosofía común, que tratan de ejercer de guía en el comportamiento profesional,
y entre ellos podemos citar el Código Deontológico 2 de ALI (Asociación de
Titulados en Ingeniería Informática):
 Promover el conocimiento general de la profesión y su aportación al bien
público.
 Difundir el conocimiento de ingeniería en informática, en especial el peritaje
informático mediante la participación en organizaciones profesionales,
congresos y publicaciones.
 Apoyar, como miembros de la profesión, a otros Ingenieros en Informática
que se esfuercen a actuar según este código.
 No anteponer el interés propio al de la profesión, el cliente o el empresario.
 Observar todas las leyes que rigen su profesión, a menos que, en
circunstancias excepcionales, tal cumplimiento sea antepuesto al del interés
general.
 Definir con veracidad las características y funcionalidades de los sistemas
informáticos y/o proyectos en los que trabajan, evitando exageraciones,
falsas expectativas y especulaciones.
 Asumir la responsabilidad de detectar, corregir y documentar errores en los
sistemas, proyectos y documentaciones en las que se trabaje.
 Asegurarse que los clientes y empresarios conocen la obligación de el/la
Ingeniero de Informática con respecto a este código, y las consecuencias
derivadas de tal obligación.
 Evitar asociaciones con organizaciones y empresas que estén en conflicto
con este código.
 Expresar las objeciones pertinentes a las personas implicadas cuando se
detecten incumplimientos significativos de este código.
 Informar sobre las vulneraciones de este código, a las autoridades
pertinentes en caso de que se trate de un delito, cuando esté claro que
consultar a las personas implicadas en estas inobservancias es
contraproducente o peligroso.
2http://www.ali.es/wp-content/uploads/sites/4/2015/10/COD_DEONT_20081010-CON-modificacionesMD-y-AGE-v03.pdf

de 160
2.3 Delito informático

El Código penal nos muestra las actitudes que se han tipificado como delito,
incluyendo su concepto descrito en el artículo 10: “son delitos las acciones u
omisiones dolosas o imprudentes penadas por la Ley”
Un delito informático podría definirse como todas aquellas conductas ilícitas
susceptibles de ser sancionadas por el derecho penal, que hacen uso indebido
de cualquier medio informático, causando un perjuicio a las personas y en cuya
comisión intervienen dispositivos o productos informáticos (medio o instrumento
para cometer el delito).
Esta definición también incluye los actos donde los dispositivos o productos
informáticos son los objetos del delito: actos dirigidos contra la confidencialidad,
la integridad y la disponibilidad de los sistemas informáticos, redes y datos
informáticos, así como el abuso de dichos sistemas, redes y datos.
Figura 2: Incidentes relacionados con la seguridad informática

[Fuente] INCIBE (2014). Guía de toma de evidencias en entornos Windows, pág. 13
Este tipo de hechos suelen presentar alguna de sus características inherentes:

 Son delitos difíciles de demostrar ya que, en muchos casos, es complicado
encontrar las pruebas.
 Son actos que pueden llevarse a cabo de forma rápida y sencilla. En
ocasiones estos delitos pueden cometerse en cuestión de segundos,
utilizando sólo un equipo informático y sin estar presente físicamente en el
lugar de los hechos.
 Tienden a proliferar y evolucionar, lo que complica aún más la identificación
y persecución de los mismos.
 Son conductas criminales de cuello blanco, realizadas por personas con
ciertos conocimientos técnicos.
 En ocasiones provocan serias pérdidas económicas y/o grandes beneficios.
 Son muchos los casos y pocas las denuncias debido a la falta de regulación.
Incidente de seguridad
En el ámbito de la Seguridad de la Información, un incidente de seguridad se
define como la violación o amenaza inminente a la Política de Seguridad de la
Información, implícita o explícita, del entorno en que se produce.

de 160
La norma ISO/IEC 27035:20113, establece que un incidente de seguridad es

indicado por un único o una serie de eventos indeseados o inesperados, que
tienen una probabilidad significativa de comprometer las operaciones de negocio
y de amenazar la seguridad de la información.
Un incidente de seguridad tendrá impacto sobre alguna de las dimensiones de
la Seguridad de la Información:
 Disponibilidad: Interrupción de un servicio o información, que deja de ser
accesible a los usuarios autorizados.
 Integridad: Modificación de información por parte de un usuario no
autorizado.
 Confidencialidad: Acceso a un servicio o información por parte de un usuario
no autorizado a ello.
 Autenticidad: Engaño en la autenticidad de una información, por no ser
autentico su contenido o por no provenir de la entidad esperada.
2.4 Evidencia digital o electrónica

Se denomina evidencia digital a la información relevante para una investigación,
almacenada, procesada o transmitida por diversos sistemas o dispositivos
informáticos.
Aunque es común utilizar indistintamente –realmente confundir- el mismo
término para referirse al continente y al contenido, para ser estrictos debemos
de distinguir entre:
a) Evidencia física: hace referencia al dispositivo físico, de naturaleza
informática o electrónica. Por ejemplo un disco duro, o una memoria SD.
b) Evidencia digital o electrónica: corresponde a la información almacenada,
en formato digital, en las evidencias físicas, de las que se extrae.
E igualmente, hay que incidir en que evidencia digital no es sinónimo directo de
prueba digital, término que implica un matiz probatorio de los hechos que se
estudian. En este sentido, los requisitos de admisibilidad de las pruebas
obtenidas de entornos digitales y virtuales son los mismos que para el resto de
pruebas, aunque las características de éstas sean peculiares por su naturaleza.
Los principios que a continuación se exponen, para las evidencias digitales y su
tratamiento, tienen como fundamento el mantenimiento de su plena validez legal
Principios de la evidencia digital

Las evidencias electrónicas deben de presentarse de modo que sean:
 Admisibles: Obtenidas con todas las garantías legales, siguiendo los
procedimientos establecidos, de forma que puedan ser presentadas ante un
tribunal si fuera necesario con pleno valor legal.
 Verosímiles: Presentadas de forma razonada y fidedigna de forma que sea
fácilmente comprensible por el tribunal.
3 https://www.iso.org/standard/44379.html

de 160
 Auténticas: Vinculadas directamente los datos obtenidos a la investigación.

 Verificables: Que se debe poder comprobar su veracidad.
 Confiables: El proceso seguido debe garantizar el mantenimiento de la
integridad de los elementos presentados, de forma que no haya lugar a
dudas sobre su autenticidad y procedencia.
 Completas: Deben de aportar información objetiva, en ningún caso una
opinión personal, y suficiente, de modo que se pueda tener una clara visión
de conjunto.
 Proporcionales: El conjunto de procedimientos de la investigación debe ser
adecuado y apropiado a los fines perseguidos. Se debe respetar la legalidad
en cuanto a la protección de los derechos que se pueden ver afectados.
La norma ISO 27037:20124 también recoge, en consonancia con éstos, los
Principios Generales de la Evidencia Digital:
 Fidedigna: Acerca de la confiabilidad y verosimilitud de su aportación.
 Relevante: Tiene que aportar valor en relación directa con el hecho delictivo.
 Suficiente: Se tendrá en consideración, de forma justificada, la cantidad de
elementos que vayan a aportarse a la investigación. En determinados
entornos puede ser bastante el realizar una captura selectiva de información
Principios para el tratamiento de la evidencia digital

De las diferentes guías existentes para el tratamiento de la evidencia digital,
podemos citar la publicada en 2012 por el Consejo de Europa, realizada por el
grupo de trabajo del proyecto Cybercrime@IPA5, en donde se establecen unos
principios básicos a tener en cuenta en el manejo de evidencias:
 Principio 1: Integridad
No se realizará ninguna acción que pueda provocar un cambio en los
dispositivos o medios que pudiera ser la causa de la inadmisibilidad de la
prueba ante el tribunal. La manipulación de dispositivos electrónicos no debe
suponer su alteración.
El especialista que recoge la evidencia es responsable de mantener la
integridad de la misma.
 Principio 2: Auditable
Todas las acciones y procesos llevados a cabo con la prueba deben
registrarse, de forma que, una tercera parte independiente pudiera llegar al
mismo resultado siguiendo esos mismos pasos.
Especialmente se registrará con precisión las actividades realizadas para la
intervención de la evidencia, su incautación, acceso, procesamiento,
traslado y depósito.
 Principio 3: Asistencia de expertos
5https://www.enisa.europa.eu/publications/electronic-evidence-a-basic-guide-for-first-responders/at_download/fullReport

de 160
Para garantizar el correcto tratamiento de la prueba electrónica en el

transcurso de un operativo se debe reclamar la presencia de especialistas o
incluso de expertos forenses.
Este aspecto debe ser tenido en cuenta previamente por los responsables
de un caso, máxime si se prevé el hallazgo de material informático o éste
pudiera ser especialmente relevante.
 Principio 4: Formación adecuada
Los especialistas en recogida de evidencias deben recibir una formación
adecuada para realizar su función.
No llevarán a cabo ninguna acción para la que no hayan sido entrenados o
recibido la formación específica, sin la supervisión de un experto.
 Principio 5: Legalidad
El proceso de recogida y tratamiento de evidencias digitales debe ajustarse
a la legislación vigente.
Fuentes de evidencia digital

La lista de dispositivos que pueden ser fuente de evidencias digitales es extensa,
en constante aumento debido a la evolución de la técnica.
Figura 3: Diversas fuentes de datos

[Fuente] https://www.transperfectlegal.com/solutions/forensic
Sin embargo, podemos denotar algunos de ellos, los más habituales:

 Sistemas informáticos: Ordenadores, portátiles, servidores…
 Dispositivos de almacenamiento: discos duros, tarjetas de memoria,
memorias USB, discos ópticos, etc.
 Dispositivos móviles: Smartphones y tablets.
 Periféricos: impresoras/escáneres/multifunción, cámaras IP, cámaras
digitales, sistemas GPS
 Equipos de comunicaciones: Routers, Switches, etcétera
 Sistemas de videovigilancia CCTV y alarma
 Equipos embebidos, wearables, IoT…

de 160
2.5 Cadena de Custodia

El procedimiento de custodia de la evidencia o Cadena de Custodia se define
como “el procedimiento controlado que se aplica a los indicios materiales
relacionados con el delito, desde su localización hasta su valoración por los
encargados de su análisis, normalmente peritos, y que tiene como fin no viciar el
manejo que de ellos se haga y así evitar alteraciones, sustituciones,
contaminaciones o destrucciones”6.
Por lo tanto, para ser llevado a cabo, se requiere el registro documental de todo
lo acaecido con la evidencia -las diferentes ubicaciones por las que ha pasado,
las personas que han tenido acceso o han estado en posesión de la misma y el
tratamiento que se le ha practicado- desde su descubrimiento hasta su
presentación final, durante todo el procedimiento forense
Se consigue así preservar la transparencia del proceso asegurando en todo
momento la trazabilidad de las acciones realizadas, garantizando la ausencia
de manipulación de las evidencias durante el desarrollo del mismo, y por lo
tanto su autenticidad.
Figura 4: La Cadena de Custodia

[Fuente] https://peritoit.com...falta-de-garantias-en-la-cadena-de-custodia
Es por lo tanto un protocolo de actuación diseñado para asegurar la integridad y

veracidad de las evidencias, cumpliendo con los requisitos legales aplicables. La
rotura de la cadena de custodia de una evidencia causa automáticamente su
invalidación, independientemente de la importancia o valor que esta tenga.
En el Anexo: Documento de cadena de custodia se recoge una plantilla de
documento para la cadena de custodia elaborada y propuesta por INCIBE.
Necesidad de Fedatario Público

El Fedatario Público, que según el ámbito del procedimiento forense en ejecución
podrá ser un notario o un secretario judicial, es un actor clave para el
aseguramiento de la Cadena de Custodia, hasta el punto de invalidarla
completamente ante su ausencia, en aquellos casos en los que son exigibles las
máximas garantías legales (por ejemplo en el ámbito judicial).
Esta figura interviene en las actuaciones forenses dando fe de lo sucedido, de la
veracidad e integridad de las actuaciones realizadas durante las fases iniciales
del procedimiento forense en las que tiene que estar presente.
6 https://es.wikipedia.org/wiki/Cadena_de_custodia

de 160
Así, registrará por escrito toda información que se considere relevante consignar,
entre la que se encontrará la descripción del
escenario en el que se estén llevando a cabo las
actuaciones, el registro detallado y exhaustivo de
las evidencias identificadas, las personas
intervinientes y sus roles, así como las actuaciones
practicadas ante su presencia con su
correspondiente resultado.
Figura 5: Levantamiento de acta notarial (recreación)
[Fuente] http://abogadoresponde.net/actas-notariales-definicion...
Una vez finalizadas las actuaciones, el Fedatario Público anotará además

cualquier cambio de titularidad de la responsabilidad de custodia de las
evidencias ocupadas, dando fe del correcto proceso de transmisión y del
mantenimiento de la cadena de custodia.
La Cadena de Custodia en la evidencia digital

La Red Europea de Institutos de Ciencias Forenses (ENFSI) en su Manual de
Buenas Practicas7 los siguientes principios y prácticas para el procedimiento
forense digital, perfectamente alineadas con su mantenimiento:
 Principios aplicables a la recopilación de evidencias:
 Las reglas generales de las evidencias deben ser aplicadas a todas las
evidencias digitales.
 Tras la recogida de evidencias, las acciones realizadas no deben alterar
dicha evidencia.
 Cuando sea necesario acceder al original de una evidencia, el personal
que acceda debe disponer de la formación adecuada para ese propósito.
 Todas las actividades relacionadas con la recogida, acceso,
almacenamiento o transferencia de evidencias digitales deben estar
completamente documentadas y disponibles para revisión.
 Un individuo es responsable de todas las acciones llevadas a cabo con
relación a las evidencias digitales mientras estén en su posesión.
 Prácticas aplicables a la recopilación de evidencias:

 Detalles de la recopilación: Tiene que estar completamente documentada
en todas las etapas.
 Almacenamiento: Todas las evidencias han de estar correctamente
etiquetadas y con las medidas de seguridad adecuadas, manteniendo las
baterías cargadas y la conexión de los dispositivos volátiles a la red
eléctrica.
 Análisis: Estrategias definidas para documentar el análisis de evidencias.
Podemos concluir que, a nivel de evidencia digital, ésta comienza con el registro
de lo practicado y obtenido en las fases de Preservación y Adquisición,
perfectamente identificado e individualizado digitalmente gracias al cálculo de su
función resumen o hash.
7http://enfsi.eu/wp-content/uploads/2016/09/1._forensic_examination_of_digital_technology_0.pdf

de 160
3 Marco legal
La actividad forense informática está sometida a una legislación extensa y
heterogénea, de diversos ámbitos, al trabajar en el marco de situaciones,
incidentes de seguridad y actividades ilícitas, que en muchos casos conllevan
algún tipo de responsabilidad legal para sus autores.
Además, la materia prima con la que el analista forense digital trabaja está
constituida con los dispositivos informáticos y los datos que ellos contienen,
muchos de carácter personal, cuya elevada protección está recogida en la
legislación vigente, y que por lo tanto obliga al cuidado sumo en su tratamiento,
observando en todo momento las garantías legales exigidas.
Es por ello que se ha considerado necesario hacer referencia a las principales
Leyes involucradas, nacionales e internacionales, junto con las Normas y Guías
existentes, propias del tratamiento de las evidencias digitales y su análisis
forense informático, que tienen que ser conocidas y acatadas por todo
profesional de este campo, para el correcto desarrollo de su labor.
3.1 Regulación nacional

Constitución Española8 (CE)
Norma suprema del ordenamiento jurídico español, a la que están sujetos los
poderes públicos y ciudadanos de España, que contempla los derechos y
deberes fundamentales de las personas, derechos vinculados a la dignidad
humana. Debemos destacar:
 Artículo 18:
1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la
propia imagen.
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él
sin consentimiento del titular o resolución judicial, salvo en caso de
flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las
postales, telegráficas y telefónicas, salvo resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad
personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos
 Artículo 24:
1. Todas las personas tienen derecho a obtener la tutela efectiva de los jueces
y tribunales en el ejercicio de sus derechos e intereses legítimos, sin que,
en ningún caso, pueda producirse indefensión.
2. Asimismo, todos tienen derecho al Juez ordinario predeterminado por la
ley, a la defensa y a la asistencia de letrado, a ser informados de la
acusación formulada contra ellos, a un proceso público sin dilaciones
indebidas y con todas las garantías, a utilizar los medios de prueba
8 http://www.congreso.es/consti/constitucion/indice/titulos/articulos.jsp?ini=10&fin=55&tipo=2
Capítulo 3: Marco Legal Página 16

de 160
pertinentes para su defensa, a no declarar contra sí mismos, a no

confesarse culpables y a la presunción de inocencia.
Ley de Protección de Datos de Carácter Personal9 (LOPD)

Ley Orgánica 15/1999, de 13 de diciembre. Nace con el objetivo de regular los
datos de carácter personal que manejan, sobre personas físicas, empresas y
organismos sean públicos o privados.
Para establecer el control sobre los datos, designa a los responsables de los
ficheros que los contienen a los que impone una serie de obligaciones para
garantizar su privacidad de los datos: recabar el consentimiento de los titulares
de los datos a ser almacenados y tratados; comunicar a un registro especial la
existencia de dichos datos y su finalidad e implementar unas garantías mínimas
de seguridad, en función de los datos, para mantenerlos a salvo.
También se reconocen una serie de derechos al individuo sobre sus datos como
los de información, acceso, rectificación y cancelación de los mismos en
determinados supuestos.
Establece tres niveles de seguridad, según la protección que se considere
necesario observar:
 Básico: Aplicable a todos los sistemas con datos personales en general.
 Medio: Además de los datos del nivel básico, los datos sobre comisión de
infracciones administrativas o penales, de Hacienda pública, de servicios
financieros, solvencia patrimonial y crédito, y conjuntos de datos suficientes
que permitan obtener una evaluación de la personalidad del individuo.
 Alto: Todos los datos de los niveles previos, además de los datos sobre
ideología, religión, creencias, origen racial, salud o vida sexual, recabados
para fines policiales y violencia de género.
Ley de Servicios de la Sociedad de la Información y del Comercio

Electrónico10 (LSSICE)
Modificada el 10 de mayo de 2014, su objeto es el de regular y proteger las
relaciones contractuales que se llevan a cabo en Internet, estableciendo una
normativa que obliga a los prestadores de servicios a identificarse de modo claro
y accesible de modo, que la parte contratante sepa en todo caso con quien está
negociando.
Destaca la prohibición de las comunicaciones comerciales mediante correo
electrónico no deseado (“spam”).
Ley de Enjuiciamiento Civil11 (LEC)

Esta Ley establece el marco legal, mediante el cual se regulan los procesos
civiles, los tribunales y quienes ante ellos acuden e intervienen.
9 https://www.boe.es/buscar/act.php?id=BOE-A-1999-23750
10 http://www.lssi.gob.es/paginas/Index.aspx
11 https://www.boe.es/buscar/act.php?id=BOE-A-2000-323&p=20151028&tn=1

de 160
Ley de Conservación de Datos Relativos a las Comunicaciones y las

Redes Públicas12
Su propósito es obligar a los operadores de telecomunicaciones a conservar
datos que puedan ser relevantes para rastrear actividades ilícitas y mejorar la
seguridad ciudadana frente a actividades terroristas, y regular los términos de la
cesión de tales datos a los agentes facultados (autoridades policiales al amparo
de la correspondiente autorización judicial y para fines de detección,
investigación y enjuiciamiento de delitos graves).
Se solicita que sean conservados todos los datos necesarios para la trazabilidad
de origen a destino de cualquier comunicación telemática. Se distinguen tres
categorías, telefonía fija, telefonía móvil y acceso a Internet.
La conservación de los datos por parte de los prestadores de servicio finaliza a
los doce meses desde la fecha de la comunicación. Aunque podrán existir
excepciones cuyo periodo mínimo será de 6 meses y máximo 2 años.
Código Penal13 (CP)

Modificado el 1 de julio de 2015 por la Ley Orgánica 1/2015, incorpora aspectos
relativos al ámbito de las nuevas tecnologías, delitos informáticos, internet y
redes sociales, pasando a tipificar nuevos delitos. Podemos destacar:
 Las amenazas (artículos 169 y siguientes), así como las calumnias e injurias
(artículos 205 y ss.) efectuadas y difundidas a través de cualquier medio de
comunicación
 Child Grooming (artículo 183 ter), engaño a través de medios telemáticos
para concertar una cita con un menor de 16 años, con el fin de conseguir
contenido de carácter sexual o pornográfico
 Pornografía infantil (artículo 189.1)
 Delito de descubrimiento y revelación de secretos a través del acceso y
difusión sin consentimiento de sus respectivos titulares de datos registrados
en ficheros o soportes informáticos (artículos 197 a 201). Entre ellos black
Hacking, cracking y demás técnicas de acceso no consentido (artículo 197
bis) y de Redes Sociales y difusión de imágenes intimas (artículo 197.7)
 Las estafas y fraudes informáticos para cuya consecución se manipulen
datos o programas (art. 248)
 Daños informáticos, es decir, la alteración o destrucción de datos,
documentos, software que se encuentran almacenados en sistemas o redes
informáticas (art. 264)
 Interrupción de sistemas informáticos (art. 264 bis)
 Facilitación de medios para cometer delitos informáticos (art. 264 ter)
 Delitos contra la propiedad intelectual y las webs de enlaces (artículo 270.2)

de 160
 Extensión de la falsificación de moneda a las tarjetas de débito y crédito.

Fabricación o tenencia de programas de ordenador para la comisión de
delitos de falsedad (Artículos 386 y ss).
 La fabricación, recepción, obtención o tenencia de útiles, materiales,
instrumentos, sustancias, datos y programas informáticos, aparatos,
elementos de seguridad, u otros medios específicamente destinados a la
comisión de delitos (artículo 400)
 Delitos de odio en las redes sociales (artículo 510.3)
Ley de Enjuiciamiento Criminal14 (LECrim)

Modificado por la Ley Orgánica 13/2015 de 5 de octubre para el fortalecimiento
de las garantías procesales y la regulación de las medidas de investigación
tecnológica.
El objetivo principal de esta modificación consiste en adaptar la ley procesal
penal a las nuevas formas de delincuencia, regulando una serie de medidas de
investigación tecnológica que hasta la fecha eran desarrolladas por vía
jurisprudencial. Presenta un carácter eminentemente garantista, ya que en la
mayor parte de los supuestos previstos es necesaria la autorización judicial
previa para su aplicación, lo que afectará directamente a la operatividad policial.
 Aplicación del principio de especialidad, donde se prohíben las medidas de
investigación tecnológica -incluida la interceptación de las comunicaciones
telefónicas y telemáticas- de naturaleza prospectiva. Deben tener por objeto
el esclarecimiento de un hecho punible concreto.
 Se autoriza la intervención y registro de las comunicaciones de cualquier
clase que se realicen a través del teléfono o de cualquier otro medio o
sistema de comunicación telemática, lógica o virtual.
 Respecto del registro de dispositivos informáticos de almacenamiento
masivo, se descarta cualquier duda acerca de que esos instrumentos de
comunicación, estableciendo una exigente regulación respecto del acceso a
su contenido.
 En cuanto al registro remoto de dispositivos informáticos se ha acotado con
un listado “numerus clausus” de los delitos que la pueden habilitar, y además
se ha limitado la duración temporal de un mes prorrogable como máximo por
iguales periodos de tiempo hasta los tres meses.
 Se contempla como medida de aseguramiento la orden de conservación de
datos, cuyo fin es garantizar la preservación de los datos e informaciones
concretas de toda clase que se encuentren almacenados en un sistema
informático hasta que se obtenga la autorización judicial correspondiente
para su cesión.
14 https://www.boe.es/buscar/act.php?id=BOE-A-1882-6036&tn=2

de 160
3.2 Regulación internacional

Convención contra el Cibercrimen15 (2001)
La Convención de Budapest fue el primer tratado internacional que estableció un
marco legal común, con el ánimo de fomentar la eficacia y la cooperación de los
estados en la lucha contra el cibercrimen. El contenido de este Convenio incluye:
 Definición de conceptos: Acceso ilegal a sistemas informáticos,
interceptación ilegal de datos o sistemas informáticos, ataques a la
integridad de los datos (manipulación o alteración no autorizada de datos
informáticos), ataques a la integridad de sistemas (mediante el acceso o
manipulación no autorizada de los mismos), etc.
 Medidas que deben adoptarse por los estados miembros respecto a:
 La tipificación de delitos.
 Medidas de derecho procesal.
 Jurisdicción.
 Medidas de cooperación internacional para fomentar la rapidez y la

coordinación entre las autoridades competentes en los distintos países.
Figura 6: Convenio de Budapest contra el Cibercrimen

[Fuente] Desconocida
En cuanto a la tipificación de delitos penales, distingue:

 Delitos contra la confidencialidad, la integridad y la disponibilidad de los
datos y sistemas informáticos.
 Acceso ilícito
 Interceptación Ilícita
 Ataques a la integridad de los datos
 Ataques a la integridad del sistema
 Abuso de dispositivos
 Delitos relacionados con el contenido: Pornografía infantil (creación,
distribución y posesión).
15 https://www.boe.es/diario_boe/txt.php?id=BOE-A-2010-14221

de 160
 Delitos relacionados con la propiedad intelectual: Remite a lo que establezca

la legislación de cada Estado.
 Delitos Informáticos:
 Falsificación Informática
 Fraude Informático
Directiva (UE) 2016/114816, del Parlamento Europeo y del Consejo

Conocida como Directiva NIS (Network and Information Security), más
comúnmente Directiva sobre ciberseguridad, establece las siguientes
obligaciones:
 Los Estados miembros deben adoptar una estrategia nacional de seguridad
de las redes y sistemas de información.
 Crear un Grupo de cooperación para apoyar y facilitar la cooperación
estratégica y el intercambio de información entre los Estados miembros y
desarrollar la confianza y seguridad entre ellos.
 Crear una red de equipos de respuesta a incidentes de seguridad informática
(CSIRT) con el fin de contribuir al desarrollo de la confianza y seguridad entre
los Estados miembros y promover una cooperación operativa rápida y eficaz.
 Establece requisitos en materia de seguridad y notificación para los
operadores de servicios esenciales y para los proveedores de servicios
digitales.
 Establece obligaciones para que los Estados miembros designen
autoridades nacionales competentes, puntos de contacto únicos y CSIRT
con funciones relacionadas con la seguridad de las redes e información.
3.3 Normas y guías de buenas prácticas

Aunque cada país presenta su propia legislación y normativa, los procesos
relacionados con las evidencias digitales deben de ser armonizados
internacionalmente. Para ello existen, a diferentes niveles, una serie de
organizaciones de normalización cuya finalidad es la desarrollar estándares
aceptados y utilizados por todo el mundo:
 La International Organization for Standardization (ISO) elabora estándares
internacionales.
 El Comité Europeo de Normalización (CEN) es el principal creador de
normas europeas y especificaciones técnicas.
 La Asociación Española de Normalización y Certificación (AENOR) es una
entidad privada sin ánimo de lucro creada en 1986.
Así encontramos las Normas UNE/EN/ISO, nacidas del consenso y emanadas
de organismos independientes, de entre las que se pueden destacas las que se
presentarán a continuación.
16 https://www.boe.es/doue/2016/194/L00001-00030.pdf

de 160
Figura 7: Organizaciones de normalización

[Fuente] Elaboración propia
RFC 322717 Guidelines for Evidence Collection and Archiving

Elaborada y escrita en febrero de 2002 por Dominique Brezinski y Tom Killalea,
ingenieros del Network Working Group. Guía de alto nivel que sirve de estándar
a multitud de instituciones para recolección y archivado de datos relativos a
incidentes de seguridad.
Refleja, desde una perspectiva teórica y completa el proceso de actuación y
pautas a seguir para realizar un análisis. Describe las mejores prácticas para
determinar la volatilidad de los datos, decidir y desarrollar la recolección y
determinar cómo almacenarlos y documentarlos.
Se estructura en:
 Principios durante la recolección de la evidencia: Orden de volatilidad,
errores a evitar, consideraciones de privacidad y legales.
 Proceso de recolección: Transparencia y pasos.
 Procedimiento de almacenamiento: Cadena de custodia y dónde y cómo
archivar.
 Herramientas necesarias: Pautas a la hora de seleccionar herramientas para
el proceso de recolección.
ISO/IEC 27037:201218 Guidelines for identification, collection,

acquisition and preservation of digital evidence
Proporciona directrices para las actividades relacionadas con la identificación,
recopilación, consolidación y preservación de evidencias digitales potenciales
localizadas en diferentes dispositivos y circunstancias:
 Medios de almacenamiento digitales utilizados en equipos varios como por
ejemplo discos duros, disquetes, discos magneto-ópticos y ópticos y otros
similares.
 Teléfonos móviles, PDAs, tarjetas de memoria.
 Sistemas de navegación móvil (GPS).
17 https://www.ietf.org/rfc/rfc3227.txt

de 160
 Cámaras de video, cámaras digitales y CCTV.

 Equipos con conexión de red.
 Redes basadas en protocolos TCP/IP y otros protocolos digitales.
 Todos aquellos dispositivos con funciones similares a los anteriores.
Esta norma, que a diferencia de la RFC 3227 hace referencia a componentes
tecnológicos más avanzados, identifica a los responsables del desarrollo de los
procedimientos mencionados, definiendo dos roles especialistas:
 DEFR (Digital Evidence First Responders): Expertos en primera intervención
de evidencias electrónicas.
 DES (Digital Evidence Specialists): Experto en gestión de evidencias
electrónicas.
Este estándar no incluye el uso de métodos o herramientas específicas. Y en
todo caso la aplicación de este estándar debe estar alineada con las leyes
nacionales que correspondan a este ámbito, sin embargo, siguiendo las
directrices de esta norma se asegura que la evidencia digital potencial se recoge
de manera válida a efectos legales.
UNE 71505-2:201319 Buenas prácticas en la gestión de evidencias

electrónicas
Establece los controles y procesos para la gestión de seguridad de las evidencias
electrónicas y de aplica a entornos propios de las organizaciones con
independencia de su actividad o tamaño.
Determina los datos que debe incluir la evidencia electrónica, además de su
propio contenido, con el fin de documentar una determinada operación.
 Su estructura, formato y relaciones entre elementos que la integran debería
permaneces intacta.
 La fecha que fue creada, recibida y manipulada, así como, los participantes
a lo largo del proceso.
 En caso de existir, identificar el vínculo entre evidencias.
En su apartado 4.2 trata sobre la confiabilidad de los sistemas, procesos y
procedimientos, para minimizar la posibilidad de que se cuestione con éxito la
veracidad y la exactitud de lo custodiado, gestionado y/o almacenado.
En su apartado 4.3 se describen los beneficios de la gestión de las evidencias y
la importancia, como recurso valioso en una organización, de las evidencias
electrónicas.
El Sistema de Gestión de Evidencias (SGEE) se trata en el apartado 5. Donde
se describe la gestión del ciclo de vida de la evidencia electrónica, incluso antes
de su adquisición: generación, almacenamiento, transmisión, recuperación,
comunicación y preservación.
19 https://www.une.org/encuentra-tu-norma/busca-tu-norma/norma?c=N0051412

de 160
UNE 71506:201320 Metodología para el análisis forense de las

evidencias electrónicas
Elaborada por el Comité Técnico de Normalización de AENOR, define el proceso
de análisis forense dentro del ciclo de gestión de las evidencias electrónicas,
complementando todos aquellos otros procesos que conforman dicho sistema
de gestión de las evidencias electrónicas.
Pretende establecer una metodología para el análisis forense de evidencias
electrónicas (preservación, adquisición, documentación y presentación) para
complementar el SGEE de la norma UNE 71505 descrita en el punto anterior.
Busca dar respuesta a las infracciones legales e incidentes informáticos en
empresas, mediante la obtención de evidencias electrónicas fiables que sirvan
para atribuir correctamente los hechos y discernir los instrumentos, acciones,
fines y más parámetros que identifican las conductas.
Se dirige a los equipos de respuesta a incidentes y seguridad, así como al
personal técnico que trabaje en laboratorios o entornos de análisis forense de
evidencias electrónicas.
El capítulo 5 está dedicado a la preservación de las evidencias originales, su
inalterabilidad, validez legal y reproducibilidad, y a su almacenamiento en
lugares y soportes estancos, aislados de interferencias o agentes externos.
El capítulo 6 trata la adquisición de las evidencias, distinguiendo el trato a seguir
si el sistema está apagado o encendido. También se valora que el análisis
forense puede ser sobre datos de origen estático, datos en tránsito de sistemas
en funcionamiento, datos volátiles, sistemas embebidos, datos de móviles y
redes, así como grandes sistemas almacenamiento repartido en repositorios.
El capítulo 7 se refiere a la documentación, garantizar la cadena de custodia y la
trazabilidad de las evidencias, a través de la implantación de un sistema de
gestión documental que registre las actuaciones sobre dichas evidencias.
ISO/IEC 27041:201521 Guidance on assuring suitability and adequacy

of incident investigative method
Ofrece orientación sobre los mecanismos para garantizar que los métodos y
procesos utilizados en la investigación de incidentes de seguridad informática
son los adecuados.
Incluye la consideración de cómo los proveedores y pruebas de terceros se
pueden utilizar para ayudar a este proceso de garantía. Sus objetivos son:
 Proporcionar pautas sobre la captura y el posterior análisis de los requisitos
tanto funcionales como no funcionales relacionados con la seguridad en la
investigación de incidentes.
 Utilizar la validación como medio de garantías de la idoneidad de los
procesos involucrados en la investigación, a partir de un ejercicio de
20 https://www.une.org/encuentra-tu-norma/busca-tu-norma/norma/?c=N0051414

de 160
validación determinar nuevos niveles de validación que se requieran y las

pruebas requeridas.
 Determinar pruebas externas y documentación a incorporar en la validación.
ISO/IEC 27042:201522 Guidelines for the analysis and interpretation of

digital evidence
Proporciona una guía para el análisis e interpretación de la evidencia digital.
Ofrece un marco común para el análisis e interpretación de la gestión de
incidentes de seguridad, que pueda utilizarse para implementar nuevos métodos,
e introduce una serie de definiciones relevantes para la práctica del análisis
forense digital.
Trata los modelos analíticos que pueden ser usados por los peritos informáticos
forenses en sistemas estáticos o activos y las consideraciones, a tener en cuenta
en cada caso, en especial atención a incidentes en sistemas vivos o activos
(dispositivos móviles, sistemas cifrados, redes, etc.) sobre los que define dos
formas de adelantar el análisis en vivo:
a) En sistemas que no pueden ser copiados o no se puede crear una imagen.
Existe el riesgo de perder la evidencia digital cuando se está copiando.
Imprescindible máximo cuidado para minimizar el riego de daño de la
evidencia y el mantenimiento de un registro completo de los procesos.
b) En sistemas en los que sí se puede copiar o realizar la imagen: Examen del
sistema interactuando u observando su operación. Extremar cuidado para
emular el hardware o software del entorno original, usando máquinas
virtuales verificadas, copias del hardware original con el fin de permitir un
análisis lo más cercano posible al real.
UNE 197010:201523 Criterios generales para la elaboración de

informes y dictámenes periciales sobre Tecnologías de la
Información y las Comunicaciones
La norma enumera los apartados mínimos necesarios a incluir en la elaboración
de un informe, sin ser esta una enumeración excluyente, limitativa ni exhaustiva.
También se describen los requisitos formales que deben tener los informes, sin
especificar los métodos y procesos de elaboración.
Es la norma más empleada en España en el ámbito del peritaje y la recomendada
por la mayoría de colegios, expertos y organizaciones profesionales. El empleo
de esta norma se considera admisible ante un procedimiento judicial.
ISO/IEC 27043:201524 Incident investigation principles and processes

Guía de principios para los procesos de investigación de incidentes que
involucran evidencias digitales. Incluye los procesos de preparación previa al
incidente a través del cierre de la investigación, así como advertencias al
respecto.

de 160
No ofrece detalles particulares para cada tipo de investigación pero si una visión
general de los principios y procesos de investigación aplicables. Las directrices
describen los procesos y principios aplicables a los distintos tipos de
investigaciones delictivas, como por ejemplo, violaciones de seguridad, fallos del
sistema, accesos no autorizados, entre muchos otros.
3.4 Organismos relevantes

Por último, hay que reseñar que en materia de ciberseguridad, existen una serie
de Organismos con competencias en ella, que pueden proporcionar asistencia
en situaciones que lo requieran, y llevan a cabo regulares campañas de
concienciación e información, así como diversas actividades formativas con el
objeto de educar y sensibilizar a la sociedad así como ayudar a formar a nuevos
y mejores profesionales.
a) Organismos nacionales
Instituto Nacional de Ciberseguridad (INCIBE)25

Entidad de referencia para el desarrollo de la ciberseguridad y de la confianza
digital de ciudadanos, red académica y de investigación, profesionales,
empresas y especialmente para sectores estratégicos.
Figura 8: Logotipo de INCIBE

[Fuente] INCIBE
Organismo dependiente de la Secretaría de Estado para la Sociedad de la

Información y la Agenda Digital (SESIAD), ha presentado un compendio
normativo que aúna toda la legislación española, que afecta a todos los diversos
aspectos de la ciberseguridad y seguridad de la información, denominado
Código de Derecho de la Ciberseguridad:26
 Compendio que incluye la Legislación española (aunque se incluyen,
además, referencias a la normativa europea cuando es preciso) relacionada
con la seguridad de la información y la ciberseguridad en general, al objeto
de poder ofrecer a todo el sector un acceso fácil y completo de las normas
que pueden afectar a su actividad e intereses.
 Ofrece referencias –totales o parciales- a leyes que tienen que ver con la
regulación de la protección de las infraestructuras críticas, la protección de
datos, telecomunicaciones, derecho penal y ciberdelitos, etc.
INCIBE-CERT
Antes conocido como el CERT de Seguridad e Industria (CERTSI), es el centro
de respuesta a incidentes de seguridad de referencia para los ciudadanos y
entidades de derecho privado en España operado por el Instituto Nacional de
25 https://www.incibe.es/
26 http://www.boe.es/legislacion/codigos/codigo.php?id=173_Codigo_de_Derecho__de_la_Ciberseguridad

de 160
Ciberseguridad (INCIBE), dependiente del Ministerio de Economía y Empresa

(MINECO) a través de la Secretaría de Estado para el Avance Digital (SEAD).
En el caso de la gestión de incidentes que afecten a operadores críticos del

sector privado, INCIBE-CERT está operado conjuntamente por INCIBE y CNPIC,
Centro Nacional de Protección de Infraestructuras y Ciberseguridad del
Ministerio del Interior.
INCIBE-CERT es uno de los equipos de respuesta de referencia ante incidentes

que se coordina con el resto de los equipos nacionales e internacionales para
mejorar la eficacia en la lucha contra los delitos que involucran a las redes y
sistemas de información, reduciendo sus efectos en la seguridad pública.
Agencia Española de Protección de Datos27

Autoridad pública independiente encargada de velar por la privacidad y la
protección de datos de los ciudadanos.
Figura 9: Logotipo de la AEPD

[Fuente] Agencia Española de Protección de Datos
Centro Nacional para la Protección de las Infraestructuras Críticas

(CNPIC)28
Dirige el Plan Nacional de Protección de Infraestructuras Críticas y actuará como
punto nacional de contacto con la Comisión Europea y con otros Estados que
sean propietarios o gestores de infraestructuras críticas.
Sus principales funciones son:
 La Evaluación de amenazas y análisis de riesgos sobre instalaciones
estratégicas;
 La recolección, análisis, integración, y la evaluación de la información
suministrada por las instituciones públicas, los servicios policiales, y sectores
estratégicos
 El diseño y el establecimiento de la información, comunicación, y
mecanismos de alerta
 La coordinación en las administraciones españolas y con los respectivos
programas de la UE
CERT del Centro Criptológico Nacional (CCN-CERT)29

El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la
Información del Centro Criptológico Nacional (CCN) cuya misión, es contribuir a
la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta
27 https://www.aepd.es/agencia/index.html
28 http://www.cnpic.es/
29 https://www.ccn-cert.cni.es/

de 160
nacional que coopere y ayude a responder de forma rápida y eficiente a los

ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la
coordinación a nivel público estatal de las distintas Capacidades de Respuesta
a Incidentes o Centros de Operaciones de Ciberseguridad existentes.
Brigada Central de Investigación Tecnológica del Cuerpo Nacional de

Policía30 (BIT)
Unidad policial destinada a responder a los retos que plantean las nuevas formas
de delincuencia. Pornografía infantil, estafas y fraudes por Internet, fraudes en el
uso de las comunicaciones, ataques cibernéticos, piratería...
Grupo de Delitos Telemáticos de la Guardia Civil31

El Grupo de Delitos Telemáticos fue creado para investigar, dentro de la Unidad
Central Operativa de la Guardia Civil, todos aquellos delitos que se cometen a
través de Internet.
b) Organismos internacionales
Centro Europeo contra la ciberdelincuencia de Europol32 (EC3)

Centrado en las actividades ilegales en línea de las bandas de delincuencia
organizada, especialmente en los ataques dirigidos contra las operaciones
bancarias y otras actividades financieras en línea, la explotación sexual infantil
en línea y los delitos que afecten a las infraestructuras críticas y a los sistemas
de información en la UE.
Agencia europea para la seguridad de la información y las redes 33

(ENISA)
Centro de ciberseguridad, fomenta la investigación y colaboración de los países
europeos en esta materia de la seguridad de las redes y la información (NIS).
INTERPOL34
Uno de sus principales objetivos es facilitar la cooperación policial internacional;
en relación con el cibercrimen, se incluyen las siguientes prioridades
estratégicas:
1. Sistema mundial de información policial protegida
2. Apoyo 24 horas al día y 7 días a la semana a las fuerzas policiales y los
organismos encargados de la aplicación de la ley
3. Innovación, capacitación e investigación
4. Asistencia en la detección de delitos y la identificación de delincuentes
30 https://www.policia.es/org_central/judicial/udef/bit_quienes_somos.html
31 https://www.gdt.guardiacivil.es/webgdt/la_unidad.php
32 https://www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3
33 https://www.enisa.europa.eu/about-enisa
34 https://www.interpol.int/

de 160
4 Conceptos, terminología y aspectos técnicos

En el ámbito de la Informática Forense, desde una perspectiva informática y
técnica, encontramos principalmente conceptos de la Administración de Redes
y Sistemas, de Seguridad Informática y de Telecomunicaciones, junto con otros
que han ido surgiendo con la propia actividad de este campo.
A continuación, sin entrar en más tecnicismos que los necesarios para su
comprensión, se exponen aquellos que se ha considerado necesario mencionar,
remarcar o aclarar, con el objeto de comprender el funcionamiento y la razón de
ser de los principales procedimientos forenses, que todo analista forense digital
debe dominar.
4.1 Función resumen (hash)

Se entiendo por función resumen o «hash», una función matemática que toma
como entrada una secuencia de bits, de tamaño variable, y que devuelve como
resultado otra secuencia de bits, de tamaño fijo (de mayor o menor longitud,
según el algoritmo que se esté utilizando).
Para el caso que nos ocupa, de entre las diferentes funciones resumen
existentes, sólo se contemplarán aquellas que aseguren que la salida será única
y distinta para cada entrada: no podrán existir dos secuencias de bits distintas,
a la entrada, que produzcan el mismo resultado a la salida (colisión).
Por lo tanto, para el caso de dos archivos con exactamente el mismo contenido,
es decir, representados en binario con los mismos bits y en el mismo orden,
bastará con que sólo uno de éstos cambie para que la función resumen presente
un resultado totalmente distinto:
Figura 10: Ejemplos de la función resumen SHA-1

[Fuente] https://en.wikipedia.org/wiki/Cryptographic_hash_function
Bajo esta premisa, esta función sirve para individualizar una secuencia de bits,
de una manera similar al ADN o a las huellas dactilares en el caso de las
personas. Esta individualización de la información es referida en ocasiones como
realizar la firma digital de la misma mediante función resumen o hash, y sirve
para acreditar, sin ningún género de duda, que un dato concreto procede de un
dispositivo u objeto determinado
Capítulo 4: Conceptos, terminología y aspectos técnicos Página 29

de 160
Se puede aplicar a un archivo, a un conjunto de ellos, a una partición o a todo el

contenido de un dispositivo (un disco duro, por ejemplo). Si estamos hablando
de un archivo, se tiene que tener presente que la función resumen se aplicará a
su exclusivamente a su contenido, dejando fuera de su cómputo los metadatos
que el archivo presente: nombre, propietario, fecha de creación, de modificación,
etc. Así, dos ficheros con exactamente el mismo contenido, pero diferente
nombre, por ejemplo, seguirán arrojando idéntico resultado.
Existen diferentes algoritmos, siendo los más conocidos los denominados MD5
(salida de 128 bits) y SHA-1 (salida de 160 bits), que sin embargo es conveniente
que sean abandonados al no ser ya considerados seguros, pues ya ha quedado
demostrado en diversos estudios35 que pueden producir colisiones en su
resultado, y se opte por usar alguno de los considerados, en la actualidad,
plenamente validos como los SHA-256, SHA-384 o SHA-512.
4.2 El Sistema de Memoria

En el ámbito de la Informática Forense, los dispositivos informáticos que
presentan, a priori, mayor interés son aquellos que tienen un Sistema de
Memoria, conformado por un componente o componentes, que permiten
almacenar los programas que se ejecutan y/o los datos que se procesan o
guardan.
Estos componentes mencionados son diferentes tipos de memorias, con
diferentes características (capacidad y velocidad), que se agrupan en dos
grandes familias por su finalidad:
a) Memoria principal o de trabajo: destinada a albergar las instrucciones y
datos que se están ejecutando. De naturaleza electrónica, muy rápidas pero
de tamaño contenido por su elevado coste por bit. Son volátiles (su
contenido se pierde si se corta el suministro eléctrico).
Aquí encontramos los registros y la memoria caché del procesador (en el
interior de la CPU) y la memoria RAM.
b) Memoria secundaria o de almacenamiento: dirigidas a salvaguardar
información. De naturaleza variada (magnética, óptica o electrónica,
esencialmente), presentan capacidades de almacenamiento elevada (bajo
coste por bit) aunque son bastante más lentas que las anteriores. Su
contenido no se pierde ante un apagado del sistema: son no volátiles.
Los discos duros y las memorias de tipo FLASH como son las memorias
USB, las tarjetas de memoria SD, los nuevos discos duros SSD e incluso las
memorias, mal llamadas ROM, de los smartphones son de este tipo.
Igualmente, el almacenamiento en la nube, cada vez más extendido,
entraría dentro de esta categoría.
Esta Jerarquía de memoria que resulta de la organización piramidal del sistema

de memoria en niveles es consecuencia de la necesidad de conseguir el mejor
compromiso rendimiento/coste, observando el Principio de localidad:
35 https://shattered.io/static/shattered.pdf

de 160
 Localidad temporal: si en un momento una posición de memoria particular

es referenciada, entonces es muy probable que la misma ubicación vuelva a
ser referenciada en un futuro cercano.
 Localidad espacial: si una localización de memoria es referenciada en un
momento concreto, es probable que las localizaciones contiguas o cercanas
a ella sean del mismo modo referenciadas pronto.
Figura 11: Jerarquía de memoria de un ordenador

[FUENTE] Elaboración propia
Bajo la perspectiva del analista forense, a la hora de tratar un tipo de memoria

concreto con el objeto de recuperar de ella el máximo de información posible, se
debe tener presente en todo momento su naturaleza, sus particularidades y
dificultades (volatilidad, capacidad y velocidad de transferencia/captura), qué tipo
de procedimientos son los adecuados (o los únicos viables) y qué tipo de
información es esperable recuperar.
4.2.1 Particiones y sistemas de ficheros

Una Partición es una zona, lógicamente contigua, del espacio de
almacenamiento de un dispositivo –normalmente un disco duro o una memoria
flash- a la que típicamente se accede en sistemas Windows a través de su letra
de unidad, y en sistemas Linux a partir de su punto de montaje.
Un mismo dispositivo puede presentar todo su espacio de almacenamiento en
una sola partición o en varias, de iguales o diferentes formatos. Igualmente
puede presentar solamente una, pero que no se extienda en toda la dimensión,
apareciendo así una zona llamada espacio no particionado. E incluso no tener
ninguna. La casuística puede ser muy variada, limitada únicamente por el
número máximo de particiones que soporte el dispositivo de almacenamiento en
cuestión.
En la Figura 12 se puede observar que el disco 0 presenta en su espacio de
almacenamiento tres particiones con formato NTFS (la primera sin unidad de
acceso) y 53.02 GB sin particionar (“No asignado”)

de 160
Figura 12: Administrador de discos de Windows.

En principio, para poder hacer uso del espacio de almacenamiento de un

dispositivo, esto es, para albergar y recuperar archivos y directorios, se tienen
que crear las estructuras de gestión necesarias para ello, situación que se
consigue mediante el procedimiento de particionado y posterior formateo de la
partición.
Formatear una partición significa darle formato, eso es, dotarla de un nuevo
Sistema de Ficheros (SF): componente del sistema operativo, encargado de la
gestión del espacio de almacenamiento que gobierna, esto es, del
almacenamiento y recuperación de la información en la partición en la que se
enmarca. Los sistemas de ficheros más comunes son NTFS y FAT (Windows),
ext (Linux) y HFS (MacOS/iOS), cada uno con su propia idiosincrasia. Además
existen sistemas de ficheros de red como NFS.
Figura 13: Estructuras del sistema de ficheros NTFS


de 160
Gracias al sistema de ficheros, el sistema operativo conoce donde esta

almacenada la información y como puede ser accedida (reglas de acceso y
privilegios), amén de guardar nuevos datos.
Todo SF implementa un conjunto de estructuras propias necesarias para llevar
a cabo su cometido. Entre ellas destaca, desde el punto de vista de la Informática
Forense, la Tabla de Ficheros, que contiene para cada archivo o directorio un
registro con cierta información relativa a los mismos:
 Acerca de los ficheros, se guarda información como su nombre; fechas de
creación, modificación, y acceso, además de su ubicación, necesaria para
recuperar el archivo. Y también si está vigente o ha sido borrado.
 De los directorios figura, entre otras cosas, su nombre, su directorio padre y
la lista de los archivos que contiene.
Se puede pensar en la tabla de ficheros como un índice de la información que
contiene el dispositivo informático, de la que el sistema de ficheros lleva un
registro y por lo tanto, de la que tiene conocimiento.
Para el análisis forense, destacan especialmente atributos como su estado
(borrada o no), sus fechas o su propietario.
4.2.1.1 Tipos de particiones

Tradicionalmente, para superar las limitaciones del MBR de los dispositivos de
memoria secundaria, cuyo esquema de particionamiento solo tiene la capacidad
de gestionar directamente un máximo de cuatro particiones (una por entrada o
«partition descriptor» de la tabla de particiones), se ha tenido que recurrir a
implementar tres tipos de particiones:
 Primaria: Definida directamente sobre la tabla de particiones del MBR, en
donde se anota entre otra información su ubicación (posición inicial y final).
Si existen varias particiones primarias, sólo una puede estar marcada como
activa. Esto significaría que, en caso de existir un sistema operativo en una
de ellas, tendría que estar instalado en aquella establecida como activa para
que el MBR la inicie como tal.
 Extendida o secundaria: Tipo de partición que consiste en un contenedor
de particiones lógicas, no soportando un sistema de ficheros directamente.
Sólo puede existir una partición extendida.
Gracias a que es capaz de albergar un número relativamente grande de
particiones lógicas, se consigue superar el mencionado límite de cuatro
particiones por disco duro.
 Lógica: Partición creada en el interior de la partición extendida. Windows
puede estar instalado en una partición lógica, pero en ese caso, tendría que
ser iniciado desde un gestor de arranque externo.
Por estas limitaciones -y porque de forma nativa únicamente puede trabajar con
dispositivos de almacenamiento de hasta 2TB de capacidad-, MBR está siendo
reemplazado en la actualidad por el estándar GPT, en el que cada partición
presenta un identificador global único (GUID), sin límites en el número de

de 160
particiones más que el que imponga el propio sistema operativo (Windows es

compatible con hasta 128 particiones), con una capacidad máxima admitida de
18 EB por partición.
Figura 14: Ejemplo de particionado de disco MBR

[Fuente] http://www.carm.es/edu/pub/04_2015/2_5_2_contenido.html
Particiones en sistemas Android

El SO con mayor cuota de mercado entre los dispositivos móviles, principalmente
smartphones y tablets, cuenta con seis particiones con formato ext4, cada una
de ellas con su finalidad específica:
/boot: contiene el bootloader (arranque del dispositivo).
/system: contiene el sistema operativo. Incluye bibliotecas de sistema y
aplicaciones preinstaladas.
/recovery: partición de recuperación del sistema.
/data: guarda datos específicos de usuario y de las aplicaciones instaladas
/cache: almacena los datos temporales de las aplicaciones.
/misc: con los ficheros de configuración y ajustes.
Si el dispositivo cuenta con tarjeta microSD, puede presentar otra partición,
/sdcard, referente a la propia tarjeta en la que se almacenan archivos del usuario
del dispositivo. Es muy habitual que para el espacio de almacenamiento de
usuario se utilice esta partición aun cuando no exista una tarjeta SD física real,
apareciendo igualmente dicha partición en estos casos.
Particiones en sistemas iOS

El sistema operativo de Apple, utilizado en sus iPhone e iPad, presenta sin
embargo sólo dos particiones, con formato HFS:
Sistema: partición de solo lectura con el sistema operativo. Solo se puede
escribir desde el modo de recuperación.
Datos: de lectura y escritura. Contiene las aplicaciones instaladas mediante
iTunes/AppStore y datos los de usuario.
4.2.2 Espacio asignado y espacio no asignado

Llegados a este punto, estamos en disposición de afrontar los conceptos de
espacio asignado («allocated space») y espacio no asignado («unallocated
space»), fundamentales para el analista forense a la hora de realizar una
búsqueda de archivos ubicados en un dispositivo informático, pues su
pertenencia a uno de estos dos espacios va a determinar la forma de proceder
para ello, y los resultados que se pueden obtener.

de 160
Dichos conceptos presentan cierta controversia pues, según el contexto en el

que se utilicen, aparecen con diferentes matices que se tienen que conocer, pues
pueden inducir a error:
a) A nivel de Partición, es normal entender como espacio asignado aquel que
se ha asignado a una partición, y como espacio no asignado aquel que no lo
ha sido, es decir, al espacio no particionado, como se puede observar en la
Figura 12.
b) A nivel de Sistema de Ficheros, se entiende como espacio asignado aquel
que aparece en uso (existe referencia) en la tabla de ficheros (alberga datos
actuales y borrados recuperables), y como espacio no asignado aquel que
está disponible para ser destinado a almacenar nuevos datos, englobando
por lo tanto sectores del espacio de almacenamiento que nunca han sido
utilizados, y otros que presentan información latente (borrada definitivamente
por lo que no se guarda información de ella, pero aun no sobrescrita).
En el ámbito de la informática Forense, aunque no se ha encontrado una
referencia clara al respecto, y la información existente puede ser confusa, el
autor de este trabajo considera que se debe utilizar la siguiente convención:
a) Espacio asignado: Aquel espacio del que existe referencia en el Sistema
de Ficheros de la partición correspondiente (espacio particionado), y
engloba tanto información vigente como información borrada (borrada
pero no definitivamente, típicamente en la papelera de reciclaje del Sistema
Operativo).
La información aquí existente es recuperable con técnicas basadas en las
estructuras del SF, principalmente en su Tabla de Ficheros.
b) Espacio no asignado: Aquel del que no existe referencia en su SF –si es
que existe tal- por lo que se desconoce en principio lo que aquí pueda existir.
Si se conserva, es información latente, información borrada definitivamente
o pertenecientes a un anterior SO/Partición/SF. Por lo tanto, este espacio
puede pertenecer al espacio no particionado o al particionado.
La información latente precisa ser tratada de una forma particular para su
recuperación, mediante técnicas conocidas como «data-carving». No hay
garantía acerca de su recuperabilidad.
En el punto 4.3.1.1 Clonado físico e imagen física se profundiza en la
información latente, mientras que en 4.5.3 Archivos recuperados, se describen
con mayor detalle estas técnicas de recuperación.
4.3 Extracción de información

El proceso de extracción de las evidencias digitales se presenta como el más
importante, y, además el más delicado, de todo el procedimiento forense, ya que
determinará su éxito o fracaso, su resultado final: por un lado, su correcta
aplicación es necesaria para mantener la validez del procedimiento; por el otro
su idoneidad o adecuación a la evidencia física a tratar determinará si se ha
extraído efectivamente toda la información posible, o por el contrario alguna se
ha malogrado de manera definitiva.

de 160
Por ende, se antoja trascendental conocer las técnicas existentes de extracción

de información, sus peculiaridades, fortalezas y puntos débiles, que a
continuación se desgranan.
4.3.1 Clonación
La clonación de un dispositivo informático es una técnica, que se puede realizar
por hardware o software, y que consiste en replicar su espacio de
almacenamiento, trasladándolo a otro que será un clon del original.
Dentro de la clonación de discos, se distingue entre dos niveles o profundidad:
nivel físico y nivel lógico, según el plano (físico o lógico) en el que trate el
dispositivo a clonar. Si no se profundiza en sus diferencias y se evalúa de forma
somera su resultado, pueden parecer equivalentes. Sin embargo, en realidad
sus diferencias conllevan implicaciones, ventajas y desventajas muy acusadas
que provocaran que no sea recomendable utilizarlas indistintamente para la
mayoría de situaciones.
Además, para hablar con propiedad de esta técnica, debemos tener presente
que independientemente del nivel al que se realice, la clonación de un dispositivo
puede presentar dos productos:
a) La obtención de un segundo dispositivo, que captura la información del
primero, proceso que se conoce comúnmente como «disk to disk».
b) La obtención de un fichero de imagen del dispositivo origen («disk to
image»), que nos va a permitir crear otros discos clones, cargando dicha
imagen en ellos, o con el que podremos trabajar directamente como si del
dispositivo original se tratara.
Por último, cabe comentar que el proceso de clonación se puede concretar a
nivel de partición, de modo que si el dispositivo está conformado en su espacio
de almacenamiento por varias particiones, se podrá especificar cual o cuales de
ellas se deben de clonar. Las denominaciones que encontramos al trabajar a
nivel de partición son «partition to partition» y «partition to disk»
4.3.1.1 Clonado físico e imagen física

En este tipo de clonado, se hace una copia a bajo nivel, esto es, una copia
secuencial sector a sector, desde el primero al último del dispositivo origen,
recorriendo toda su capacidad física. Es por ello que, en muchas de las
herramientas de clonación, se conoce como “sector a sector” a esta opción, o
asimismo, suponemos que como un abuso del lenguaje, para remarcar que el
resultado es una copia exacta de todo el dispositivo, como copia “bit a bit”,
aunque como se acaba de recordar, la unidad mínima de E/S es el sector.
Se obtiene, por consiguiente, una copia exacta de todo el espacio de
almacenamiento del dispositivo, de tal manera que si se aplica la función
resumen al dispositivo origen y al destino, ambos arrojaran el mismo resultado,
quedando así patente su igualdad.
En este proceso, la información que se clona no se interpreta a nivel lógico,
simplemente se trata como una ristra de bits que, sector a sector, se duplica en
su totalidad. Y es el hecho de copiar cada sector (y cada bit dentro de él), del

de 160
primero al último, independientemente de si a priori contiene información y del

tipo de la misma, lo que es a la vez una ventaja y una desventaja según la
dimensión que se considere.
Como se puede intuir, presenta la desventaja de que el coste computacional que
representa es elevado, tanto temporal (tardará el tiempo que precise para
recorrer toda la extensión del dispositivo copiando su contenido) como espacial
(se copiará toda la capacidad del mismo).
Figura 15: Copia bit a bit

Por el contrario, tiene la ventaja de que el hardware o software que realiza el

proceso no tiene que saber interpretar la información que está clonando,
evitando así problemas de compatibilidad que pueden surgir en ocasiones. Un
ejemplo típico sería que el software de clonado con el que trabajamos, no es
compatible con el tipo de arranque del sistema que queremos clonar (por
ejemplo, con el nuevo arranque UEFI), o con el tipo de particiones que se quieren
volcar.
Información latente
Lo realmente importante desde la óptica de la Informática Forense es que el
clonado o imagen física implica que se arrastra también la información latente
que pueda albergar el dispositivo, información que a priori está oculta al sistema
y/o usuario, al no tener constancia de su existencia:
a) Porque se trata de información eliminada definitivamente: al “borrar
definitivamente” un archivo, lo que el sistema operativo realiza es, en la tabla
de ficheros del sistema de ficheros, marcar el espacio que el archivo estaba
ocupando como disponible para llegado el momento, utilizarlo para albergar
nueva información. Pero es posible que ese momento nunca llegue y, por lo
tanto, este contenido sea recuperable.
b) Porque está albergada en un espacio de almacenamiento del que no hay
referencia en la tabla de ficheros, pues contiene información almacenada en
un sistema de ficheros anterior al vigente: típicamente una instalación previa
del sistema, o un particionado anterior que se ha perdido al formatear el
dispositivo y establecer una nueva partición/sistema de ficheros.
En estos casos, mientras los sectores ocupados por la información a recuperar
no sean utilizados para escribir nuevos datos encima, existe la posibilidad de
recuperar dicho contenido con las herramientas apropiadas.
Por todo ello queda claro que, siempre que sea posible, la realización de una
imagen física o imagen forense es el procedimiento a realizar, por estos dos
aspectos clave:
 Es el único que recoge la información latente.
 Posibilita trabajar con un producto exactamente igual que si del dispositivo
original (evidencia) se tratara pero sin poner en riesgo su integridad, con la

de 160
plena confianza y validez que otorga el hecho de que la evidencia y la imagen

forense presentan exacto resultado para la función hash aplicada.
Pero no siempre es posible realizar una imagen forense. Despreciando su coste
computacional, es necesario tener acceso físico al dispositivo, entendido como
tener la capacidad de acceder a él a nivel binario algo que en ocasiones no va a
permitir la idiosincrasia del dispositivo a tratar. En estos casos, el analista forense
digital tendrá que optar por otra técnica para la obtención inicial de los datos.
4.3.1.2 Clonado lógico e imagen lógica

El clonado a este nivel implica un tratamiento lógico de la información, que va a
ser interpretada, dotada de un sentido y tratada adecuadamente para que el
proceso resulte satisfactorio.
En un clonado lógico se realiza una copia exacta (o una captura a un archivo
imagen) de la información actual del dispositivo, entendida como tal los datos
vigentes o en uso, desechando la información latente si la hubiera.
Si, por ejemplo, estamos tratando un disco duro interno de un ordenador, este
proceso contemplará los datos del sistema, de aplicaciones y de usuario, junto
con los datos de gestión del disco:
 En cuanto a los datos de gestión del disco, replica el sector de arranque de
origen a destino e igualmente crea las mismas particiones (mismo tamaño,
posición en el disco y sistema/s de ficheros).
 Una vez creada las particiones, para cada una de ellas va copiando los datos
que albergados en origen, valiéndose para ello de la tabla de ficheros del
sistema de ficheros respectivo. Por lo tanto, solo copia el espacio en uso,
desechando el espacio del disco que figura como disponible, es decir, no
captura la posible información latente.
En consecuencia, el clonado lógico presenta un coste computacional mucho
menor comparado con el clonado físico, y es recomendable para diversas
situaciones, como las siguientes:
 Copia de seguridad de sistema. Tanto para restaurarla en caso de problemas
como previamente a introducir cambios susceptibles de no ser reversibles (o
muy costos de hacerlo). Siempre es recomendable, una vez instalado un
sistema que funciona correctamente y se considera maduro, realizar una
imagen del sistema.
 Migración del sistema del disco actual a otro, especialmente cuando sus
tamaños difieran, puesto que las soluciones normalmente ofrecen la
posibilidad de redimensionar las particiones para ajustarlas al nuevo disco
de manera automática.
Figura 16: Migración de un disco duro mecánico a otro de tipo SSD

[Fuente] https://www.remosoftware.com/info/migrate-hdd-ssd-without-reinstalling-windows

de 160
 Despliegue de una imagen de sistema en una organización, a través de

máquinas con hardware idealmente igual o compatible con los drivers
instalados.
En muchas herramientas, la opción de clonado por defecto es la de nivel lógico.
Además, permiten salvar la imagen en diversos formatos, incorporando algunas
funcionalidades como compresión para ahorrar espacio de la imagen, o
protección mediante contraseña de la imagen resultante (funcionalidades que
algunos softwares forenses también incluyen para las imágenes físicas,
manteniendo la validez de las mismas, como veremos en próximos capítulos de
este trabajo).
Pese a todo, por no capturar la información latente, para el análisis forense esta
opción no es la ideal, aunque si se constituye como el procedimiento de
extracción de datos más exhaustivo –la segunda mejor opción- para aquellos
casos en los que no sea viable la copia forense.
4.3.2 Volcado de datos

A la hora de realizar un análisis forense, por ejemplo de un simple disco duro o
una memoria USB, protecciones lógicas aparte bastará con conectarlos
directamente a una máquina que ejecute el software de clonación, para obtener
su imagen física. Sin embargo no siempre resulta tan “sencillo”.
Podemos estar ante la situación de tener que analizar un servidor presentando
su espacio de almacenamiento como una unidad lógica pero conformado en la
realidad por un clúster de almacenamiento, siendo inviable por las circunstancias
del caso desmontar cada uno de sus discos físicos para realizar su copia forense.
Por ejemplo ante un volumen encriptado, al que hemos accedido estando
montado (descifrado) y que nos impide apagar el sistema pues se desmontaría
y encriptaría, haciendo imposible un nuevo acceso sin conocer la contraseña
correspondiente y perdiendo por lo tanto la oportunidad presentada.
La extracción de los correos electrónicos de un servidor de correo al que se
accede mediante un cliente web, o la descarga del contenido alojado en un
servicio de «hosting» en la nube igualmente se realizarán mediante su volcado.
Y del mismo modo, y con bastante frecuencia, a la hora de trabajar con
dispositivos móviles nos podemos encontrar con un Smartphone que no permita
el acceso a nivel físico a su espacio de almacenamiento, si no es mediante
métodos que impliquen desmontar el teléfono y trabajar directamente con sus
chips de memoria (técnicas de JTAG/chip-off), técnicas que por las razones que
sean no se desean o pueden aplicar.
Para estos casos, la única posibilidad existente será la de realizar un volcado
de datos online, esto es, una copia de los mismos a un medio de
almacenamiento externo, con el sistema origen encendido, en funcionamiento.
Sin embargo, el volcado de datos también presenta sus matices, ya que en
muchos casos la información extraída cambiará en función de la forma de

de 160
recuperar los datos, y de los privilegios de acceso que se ostenten en el sistema

a la hora de realizar la recuperación.
Así, la forma idónea de recuperar el contenido al que se tenga acceso será
mediante software de recuperación de datos -descritos en el siguiente apartado
de esta memoria, cuyo desempeño es superior a un simple “copia/pega”-
ejecutado con los mayores permisos de acceso posibles:
a) Volcado de datos con permisos de usuario. Permitirá únicamente acceso
a los datos propios del usuario y aquellos a los que tenga acceso (no
protegidos por el sistema).
b) Volcado de datos con permisos de sistema o root: Volcado más completo,
pues permitirá acceder a información del sistema, a la que un usuario normal
no tendría acceso.
Este volcado estará próximo en cuanto a su profundidad a la clonación
lógica, acercándose más según menor sea la cantidad de archivos y
estructuras inaccesibles durante el mismo, al encontrarse éstas protegidas
o bloqueadas por el sistema operativo, normalmente por estar el propio
sistema en funcionamiento.
4.4 Borrado seguro

Por razones de eficiencia, cuando se elimina un archivo del sistema de ficheros
no se borra “físicamente” (no se sobrescribe con todo ceros, unos o con un
contenido aleatorio para su eliminación) ya que representaría una tarea en
términos de coste computacional, en principio, estéril: para escribir nueva
información “encima” es indiferente su contenido previo.
Al borrar un fichero, el sistema establece en la tabla de ficheros el archivo como
borrado, y como disponible las posiciones de memoria que ocupaba, para ser
reutilizadas cuando sea preciso. Y como ya tenemos claro, mientras no se
escriba nueva información, la información anterior permanece donde estaba,
oculta pero latente, siendo posible su recuperación.
Para evitarlo y conseguir la irrecuperabilidad de la información eliminada, existen
una serie de técnicas a nivel físico o lógico, indicadas según las necesidades del
caso en concreto.
A nivel de software, encontramos herramientas de borrado seguro que
implementan un conjunto de algoritmos de borrado, en los que básicamente se
fuerza a sobrescribir las posiciones de memoria que ocupaban los ficheros
eliminados, típicamente mediante la realización de diversas sobrescrituras con
contenido aleatorio, para así machacar el contenido previo e imposibilitar su
recuperación.
El motivo de realizarlo toda una serie de veces o “pases”, al no considerar
suficiente una sola, se debe a que debido a la naturaleza magnética de los
discos duros -dispositivos tradicionales de almacenamiento- y a que existen
herramientas muy avanzadas que son capaces de distinguir diferentes escrituras
(diferentes magnetizaciones), realizadas una sobre la otra en el mismo sector
pero en diferentes momentos, se considera que para tener una certeza absoluta
de irrecuperabilidad, serán necesarias varias iteraciones.

de 160
Figura 17: Algoritmos de borrado seguro de la aplicación Eraser

[Fuente] https://eraser.heidi.ie
Existen diferentes estándares de borrado seguro, que se diferencian

básicamente en el número de pases según su exigencia, pudiendo llegar a 7
(método del Ministerio de Defensa U.S.A.) o 35 (método Gutmann), y en el tipo
de contenido aleatorio utilizado para ello.
Para finalizar, hay que mencionar que las técnicas de borrado seguro se pueden
aplicar a nivel de dispositivo, de partición o de archivos concretos.
La papelera de reciclaje
Si hablamos del borrado de ficheros, debemos hacer referencia además a la
papelera de reciclaje, mecanismo implementado por diversos sistemas
operativos para ofrecer al usuario la posibilidad de recuperar aquellos archivos
que hayan sido borrados accidentalmente.
En muchos sistemas, cuando un usuario borra de forma normal un archivo
(siempre que no lo haya especificado de otra manera), éste se manda a la
papelera de reciclaje: el archivo se marca como borrado pero el espacio que
ocupa no se considera aun disponible, posibilitando su directa recuperación si
fuera necesario, mientras el archivo permanezca en la papelera. Hasta que no
se vacíe la papelera de reciclaje, se elimine el archivo de ella o se haya
alcanzado su tamaño máximo asignado, no se marcará ese espacio como
disponible o libre, apto para guardar nuevos datos.
Desde Windows 7, para sistemas de ficheros NTFS, los SSOO de Microsoft
implementan la papelera de reciclaje de cada unidad, en un directorio oculto
denominado “\$Recycle.bin\%SID%” donde %SID% es el SID del usuario que realizó
la eliminación. Cuando se manda un archivo a la papelera, es decir, cuando se
elimina sin utilizar la fórmula de “eliminar definitivamente”, suceden dos cosas:
1. El archivo cambia su denominación a “$R(caracteres aleatorios).(extensión original)”
y se mueve al directorio correspondiente de la papelera.
2. Se crea un archivo con el nombre “$I(mismos caracteres aleatorios).(extensión
original)” que contiene la información necesaria para restaurar el archivo
eliminado: ruta, nombre, tamaño, y fecha y hora de eliminación.

de 160
Figura 18: Contenido del directorio de papelera “$Recycle.bin”

Para finalizar con la papelera, se tiene que comentar que para el caso de
dispositivos externos de almacenamiento como memorias USB o tarjetas SD,
Windows no los contempla como parte del sistema, no integrándolos por defecto
en este mecanismo, aunque esto se puede cambiar. En el caso de un disco duro
externo, sin embargo, sí que establece un directorio de papelera en el que
mantener archivos borrados hasta su definitiva eliminación.
Borrado seguro en memorias NAND Flash

A la hora de hablar de borrado seguro se debe de poner el foco en los
dispositivos de almacenamiento de tipo Flash, tecnología electrónica de
almacenamiento de estado, sólido evolución de las tradicionales memorias
EEPROM (Electrically Erasable Programmable Read-Only Memory) que está,
cada vez más presente en el día a día pues es la que implementan dispositivos
como memorias USB, tarjetas SD, teléfonos móviles e incluso ordenadores y
portátiles que integran los nuevos discos duros conocidos como SSD.
La problemática radica en que debido a su particular tecnología, los bloques de
memoria que la conforman presentan un ciclo de vida limitado a un número finito
de operaciones de E/S (normalmente entre 10.000-100.00 ciclos de escritura),
de modo que, para evitar un degaste desigual de los mismos, es frecuente que
la controladora del dispositivo implemente algún mecanismo de wear leveling36
o desgaste equilibrado, de modo que a la hora de escribir un dato se
seleccionaría uno de los bloques con menor uso. Esta forma de proceder
presenta una serie de efectos colaterales:
 Las controladoras de estos dispositivos no permiten al SO el acceso directo
a su espacio de almacenamiento
 Un dato actualizado probablemente no será reescrito en su bloque de origen
sino en otro, quedando el contenido original a expensas de ser borrado
cuando la controladora así lo disponga
A estas circunstancias hay que añadir otra particularidad: los bloques de las
memorias Flash basadas en puertas de tipo NAND -las más habituales para
almacenamiento de datos- no pueden ser sobrescritos directamente cuando
presentan información previa, sino que se tiene que partir de un estado
formateado a todo “1s”.
36https://www.micron.com/~/media/documents/products/technical-note/nand-flash/tn2942_nand_wear_leveling.pdf

de 160
Debido a ello y por motivos de rendimiento, dispositivos como los discos duros
SSD presentan una capacidad real entorno a un 10% superior a la que ponen a
disposición del sistema, utilizando ese espacio extra
“spare blocks” como espacio caché con bloques
preparados para las operaciones de escritura de
nuevos datos. Pero debido al fenómeno comentado
del desgaste, los bloques destinados a este espacio
no son siempre los mismos, sino que se van
seleccionando para ello aquellos disponibles con
menor número de ciclos de E/S
Como consecuencia, en un momento dado, el
sistema operativo tiene acceso a un espacio de
almacenamiento conformado por un conjunto de
bloques que posiblemente sea distinto al conjunto de
los mismos puesto a su alcance en otro momento
posterior (aunque con la misma capacidad).
Figura 19: Gestión del direccionamiento de bloques NAND Flash
[Fuente] Micron (2008) TN-29-42: Wear-Leveling Techniques in NAND Flash Devices, pág. 1
Es por todo ello que no está del todo claro si las técnicas basadas en
sobrescrituras, se pueden considerar métodos efectivos de borrado seguro para
estos dispositivos, es decir, si con un número suficientemente elevado de pases
se acabará alcanzando los bloques del “spare space”, existiendo diversos
estudios que lo cuestionan, como el realizado por la Universidad de California37
Figura 20: Métodos de borrado seguro según naturaleza del dispositivo

[Fuente] INCIBE (2016). Guía sobre borrado seguro de la información, pág. 8
4.5 Artefactos Forenses

La Real Academia de la lengua define artefacto como “Objeto, especialmente
una máquina o un aparato, construido con una cierta técnica para un
determinado fin. Del lat. arte factum 'hecho con arte'”.
Por artefacto forense, en el dominio de la Informática Forense, se entiende
todos aquellos componentes, objetos o características del sistema o dispositivo
informático objeto de estudio, con transcendencia para el análisis forense por la
información que constituyen o que pueden proporcionar.
37 http://cseweb.ucsd.edu/~swanson/papers/TR-cs2011-0968-Grind.pdf

de 160
No todos van a aparecer siempre ni van a aportar información de importancia

para el caso en cuestión. Sin embargo el analista forense debe conocerlos;
conocer cuales aparecerán según la particularidad de la evidencia digital; lo que
se puede esperar de ellos; y cómo deben de ser tratados, en qué orden y con
qué métodos. A continuación, se exponen los más importantes y frecuentes.
4.5.1 Memoria RAM, memoria virtual y archivo de hibernación

Memoria de trabajo, de acceso aleatorio y volátil. Contiene los procesos y datos
-de sistema, aplicación y usuario- que se están ejecutando durante el
funcionamiento del dispositivo.
Debido a su condición volátil, exige que su volcado sea realizado “en vivo”,
mientras el sistema esté encendido, pues en el momento en el que se apague
su contenido se pierde.
Para el analista forense informático un volcado de RAM, cuando se da la
circunstancia de hallar el equipo a analizar encendido, representa una excelente
oportunidad para recuperar información que posiblemente de otra forma seria
irrecuperable, por lo que dado el caso, tendría que procederse a su realización
mediante alguna de las herramientas software existentes para ello.
Dicho volcado podrá contener, según el caso, alguno de los siguientes:
 Registros y memoria caché del procesador
 Procesos en ejecución
 Estado de conexiones de red y tablas de enrutado
 Cadenas de texto con contenido relevante para el caso
 Nombres de usuario y contraseñas de acceso a servicios “cacheadas”
 Claves de cifrado y/o datos descifrados correspondientes a discos o
particiones cifradas “abiertas”
 Información sobre los últimos comandos ejecutados o ficheros abiertos
 Información latente de ficheros cargados, que han sido borrados
posteriormente de memoria secundaria, pero que aún permanecen en RAM
Sin embargo, en muchas ocasiones se da la circunstancia de encontrar apagado
el dispositivo informático a analizar, por lo que no existirá la posibilidad de tratar
el contenido de la RAM. En estos casos, existe aún una última opción: la de
intentar recuperar contenido de la calidad del albergado en RAM, ubicado en
dos objetos propios del sistema operativo, que de existir no pueden ser
descuidados: la memoria virtual y el archivo de hibernación.
Memoria virtual
Por memoria virtual se entiende aquella zona del espacio de almacenamiento
secundario que se utiliza, por parte del sistema operativo, como una extensión
de la memoria RAM, cuando ésta es insuficiente o está próxima a saturarse, de
manera que el SO descarga en ella los datos de RAM que no se van a utilizar
inmediatamente pero se prevé sean necesarios de nuevo (en vez de devolverlos
a memoria secundaria), o en la que adelanta la recuperación de datos de

de 160
memoria secundaria, pues se estima serán requeridos para pasar a memoria

principal en breves instantes.
Figura 21: Intercambio entre archivo de paginación y RAM

En sistemas Windows, la memoria virtual se implementa en un archivo especial

que se denomina archivo de paginación («pagefile.sys»). En sistemas Linux se
utiliza una partición exclusiva para esta misión, denominada partición swap.
Archivo de hibernación
El proceso de hibernar un equipo es un recurso que ofrecen algunos sistemas
operativos, con el que se consigue interrumpir el consumo eléctrico del mismo,
pero sin implicar la necesidad de arrancarlo de nuevo de “cero”, siendo necesario
volver a lanzar las aplicaciones que se estaban ejecutando y abrir los archivos
abiertos.
Para ello, se vuelca el estado actual del sistema (el contenido de la RAM) a un
archivo de hibernación (en Windows, «hiberfile.sys») y se apaga el ordenador.
Al encenderlo de nuevo, en el proceso de arranque se volcará el contenido de
dicho archivo a la RAM, recuperando así el estado en el que se hibernó el
sistema.
Esta funcionalidad es especialmente interesante para dispositivos portátiles, al
interrumpir el consumo de batería en momentos en los que se considera que el
equipo no necesita estar encendido, pero a la vez no se desea apagar la
máquina. Según la configuración del usuario, es posible lanzar automáticamente
este recurso al bajar la tapa del portátil.
4.5.2 Logs y registros del sistema

Por log se entiende “la grabación secuencial en un archivo o en una base de
datos de todos los acontecimientos (eventos o acciones) que afectan a un
proceso particular (aplicación, actividad de una red informática, etc.). Los
archivos de registros de sistema graban cronológicamente los acontecimientos
que sobrevienen a nivel de componentes del sistema. De esta forma constituye
una evidencia del comportamiento del sistema38”.
Los logs del sistema pueden ser una excelente fuente de información,
especialmente en escenarios en los que se esté analizando una intrusión en un
sistema, donde se priorizará el estudio de los logs de aquellos componentes que
38 https://es.wikipedia.org/wiki/Log_(inform%C3%A1tica)

de 160
han sido o han podido ser comprometidos para cometer la intrusión. En el caso
de sistemas Windows, los logs del sistema se ubican en la ruta
“C:\Windows\System32\winevt\Logs”.
El Registro de Windows
Según la propia Microsoft, el Registro de Windows es “una Base de Datos
jerarquizada centralizada usada desde Microsoft Windows 95 para almacenar
información necesaria para configurar el sistema para uno o más usuarios, las
aplicaciones y dispositivos hardware”.
Figura 22: Registro de Windows desde el editor “regedit”

Se trata de una base de datos que almacena y centraliza información sobre

configuraciones y ajustes básicos del propio sistema operativo y de los
programas, dispositivos, usuarios y hardware del equipo. Con su introducción se
centralizó mejorando la intercomunicación entre distintas partes del hardware y
permitiendo una configuración de programas más compleja e individualizada
para cada usuario del ordenador (perfil).
Entre otra información interesante, encontramos:
 Información de sistema (versión, fecha de instalación, nº serie, nombre de
equipo...) y cuentas de usuarios.
 Configuración del propio sistema (opciones de deshabilitación / habilitación)
y configuración personal de usuarios (preferencias).
 Dispositivos conectados o montados (tipos / horas / nº de veces).
 Ficheros recientes, abiertos o más usados y programas instalados.
 Conexiones de red (MAC, SSID de redes WiFi a las que se ha conectado...)
El registro de Windows se compone de cinco ramas (hives), que contienen claves
(keys) y subclaves (subkeys) en las que se almacenan los valores del mismo.
Este registro, se almacena distribuido entre seis archivos (uno de ellos especifico
por usuario):

de 160
 NTUSER.DAT: Contiene la información de configuración del usuario:

escritorio, aplicaciones… Se encuentra en la ruta: “C:\Documents and
Setting\User Profile\NTUSER.DAT “o “C: \Users\User Profile\NTUSER.DAT”
 DEFAULT: información genérica para cualquier cuenta de usuario (valores
por defecto). Ubicado en “C:\Windows\System32\config\DEFAULT”
 SAM: Base de datos de cuentas de usuario y grupos locales. Se encuentra
en “C:\Windows\System32\config\SAM”
 SECURITY: Base de datos de seguridad local, albergada en
“C:\Windows\System32\config\SECURITY”
 SOFTWARE: Configuración de aplicaciones basadas en equipo. Este fichero
está en la ruta ”C:\Windows\System32\config\SOFTWARE”
 SYSTEM: Configuración de servicios y drivers. Archivo almacenado en
“C:\Windows\System32\config\SYSTEM”
4.5.3 Archivos recuperados

Desde el punto de vista de los archivos recuperados, podemos clasificarlos en
tres categorías, desde el punto de vista del Sistema de Ficheros de la Partición
en la que se encuentran almacenados:
a) Vigentes: archivos establecidos como actuales o en uso, de los que se
almacena su ubicación, nombre, fechas, propietario…
b) Borrados: archivos marcados como borrados, pero cuyo espacio de
almacenamiento no está aún disponible para albergar nuevos datos en él.
Podemos simplificarlo diciendo que están en la papelera de reciclaje del SO.
c) Latentes: que como ya se ha visto al hablar de la copia forense, son archivos
de los que ya no se guarda referencia en el sistema, cuyo espacio está
disponible para sobrescribir nueva información encima cuando proceda.
Se puede considerar como el artefacto forense que más expectación levanta,
pues se suele asociar a aquellos archivos eliminados definitivamente por el
usuario, en ocasiones como consecuencia de un intento de ocultar sus
acciones y borrar sus rastros.
El software forense incorpora una serie de técnicas para la extracción de los
ficheros albergados en las evidencias digitales, adecuadas a su estado. Así, las
aplicaciones de recuperación de archivos se pueden dividir en dos grandes
familias, según las técnicas de búsqueda de archivos que utilicen. Dichas
técnicas son:
a) Las basadas en la Tabla de Ficheros del SF (y sus copias de seguridad,
realizadas por el propio sistema). Estas aplicaciones buscan a lo largo de la
tabla de ficheros las entradas existentes, tanto vigentes como marcadas
como borradas (que igualmente conservan sus atributos), a partir de las
cuales recuperan los archivos referenciados.
Para el caso de información no vigente, también comparan las diferentes
versiones de las tablas de ficheros buscando entradas antiguas de las que
actualmente no se conserve su referencia, para tratar de recuperar los
archivos alojados en su momento.

de 160
Esta técnica solo es aplicable cuando el espacio de almacenamiento en el

que se está buscando es del tipo espacio particionado (presenta una tabla
de particiones).
b) Las basadas en data-carving, proceso de recuperación de archivos sin
hacer uso de los metadatos del sistema de ficheros, que consisten
básicamente en realizar un recorrido secuencial por la extensión del espacio
de almacenamiento del dispositivo, tratando de localizar los archivos allí
existentes.
Para ello, buscan las cabeceras (de inicio y de fin) de los diversos tipos de
archivo, y en el caso de su localización, proceden a recuperar el contenido
ubicado entre ellas, y presentarlo como un archivo recuperado.
Figura 23: Cabecera de inicio de un archivo JPG

[Fuente] https://resources.infosecinstitute.com/file-carving
Igualmente buscan estructuras de datos (patrones) que representen o sean

indicativas de pertenecer a algún tipo de archivo conocido.
El data-carving no distingue entre archivos vigentes y no vigentes,
simplemente trata de recuperar todo archivo reconocido, ubicado en el
espacio de almacenamiento en el que se ha establecido la búsqueda. Ha de
ser el analista, según el tipo de espacio seleccionado, el que determine de
qué situación se trata.
Asimismo hay que tener presente que en muchos casos como los atributos
del archivo (nombre, fechas de creación, etc.) no se guardan en el archivo
mismamente, sino en el sistema de archivos (a no ser que el archivo
conserve estos atributos incrustados en su propio cuerpo), esta técnica
recupera los archivos sin los mismos.
Ya sea utilizando técnicas basadas en la tabla de ficheros o en data-carving, hay

que tener siempre presente que, hablando de información latente, nunca habrá
la certeza de recuperarla parcial o totalmente, siendo frecuente que dentro de
los archivos recuperados de esta naturaleza, algunos presenten partes corruptas
(o sean completamente inservibles), al haber sido sobrescritos en algún
momento durante el normal funcionamiento del dispositivo.
Estas técnicas se aplicarán, idealmente, a la copia forense obtenida y se
utilizarán de forma complementaria, cada una centrada en el espacio de
almacenamiento en el que han sido pensadas para trabajar.
Cae destacar que a estas técnicas de recuperación se les suelen añadir
funcionalidades para facilitar la labor de cribado y análisis de los archivos

de 160
recuperados, como su clasificación por tipos, fechas o ubicaciones, o estado:

vigentes, borrados y latentes. Presentan la así información de una manera más
ordenada y amigable, algo vital en aquellos casos en los que el volumen de
archivos sea tal que impida realizar un análisis exhaustivo en tiempo razonable.
4.5.4 Metadatos
Los metadatos (del griego meta: “más allá de, después de”) son datos que
describen otros datos (“datos de los datos”). Es decir, consisten en información
acerca de otra información (metainformación), necesaria en muchos casos
para el correcto funcionamiento del sistema o de las aplicaciones con las que
trabajan los usuarios.
Desde el prisma del análisis forense informático, representan una excelente
fuente de conocimiento, a veces incluso más productivos que los propios
archivos recuperados, por la información que han capturado. Podemos
categorizar los metadatos según el tipo de información que contemplen y sobre
la que se apliquen.
a) Metadatos del sistema
Dentro de los metadatos que registra el sistema de ficheros encontramos:
 Fechas de creación, modificación y último acceso
 Ubicación en el disco
 Propietario/s y permisos
 Atributos
b) Metadatos en archivos de imagen, sonido o vídeo

Basados en el estándar EXIF (Exchangeable image file format)
 Fecha de obtención de la imagen o grabación
 Marca, modelo, número de serie del dispositivo que la realiza
 Geolocalización de la captura
 Programa/s de edición utilizados
Figura 24: Metadatos extraídos con la aplicación ExifReader

[Fuente] http://www.takenet.or.jp/~ryuuji/minisoft/exifread/english

de 160
Estos metadatos son muy interesantes a la hora de trabajar con dispositivos

móviles, pues es frecuente que presenten la geolocalización activada.
c) Metadatos en archivos ofimáticos

Metadatos en archivos ofimáticos pueden proporcionar información sobre:
 Personas que han participado en la edición del archivo (nombre, iniciales,
compañía...)
 Nombre asignado a los equipos utilizados.
 Usuarios del equipo.
 Diferentes ubicaciones de almacenamiento del archivo.
 Sistemas operativos empleados.
 Software utilizado para la edición.
Figura 25: Metadatos recuperados de un documento de texto

[Fuente] http://www.securitybydefault.com/2009/04/la-ministra-de-la-sgae.html
Similar al estándar EXIF, pero en el contexto de archivos de tipo PDF, PSD,

o HTML, existe el estándar XMP (eXtensible Metadata Plattform), basado en
XML por lo que puede ser incrustado fácilmente en la mayoría de formatos.
4.5.5 Actividad en Internet

Artefactos recuperados principalmente de la memoria caché de los navegadores
web y otras aplicaciones que basan su funcionalidad en Internet, entre ellos:
 Navegación web (historial y cookies).
 Actividad en buscadores.
 Cuentas de usuario de diversos servicios y registro de actividad, archivos
subidos/descargados, etc.
 Redes sociales: cuentas utilizadas, contactos...
 Actividad de correo web y mensajería electrónica.
 Actividad y contenido relacionado con almacenamiento en la nube.

de 160
Memoria caché de aplicaciones

La memoria caché de una aplicación es un espacio de trabajo temporal, ubicado
en memoria secundaria, que contiene los datos temporales de la aplicación de
frecuente acceso, que surge con el propósito de que las solicitudes futuras de
dichos datos se atiendan con mayor rapidez que si se debe acceder a los mismos
recuperándolos desde su ubicación original, a la que se descarga de trabajo.
De este modo, el almacenamiento en caché permite reutilizar de forma eficaz los
datos recuperados o procesados anteriormente, y proporciona, a mayores, una
ubicación para que la aplicación guarde información necesaria (configuraciones,
perfiles…).
En el caso de un navegador, en la caché web se ira alojando el contenido de las
páginas web que se van visitando, previamente a ser mostradas al usuario, Así,
en el caso de volver a visitar una página que no presenta ninguna actualización
en su contenido, se mostrará de inmediato el contenido en cache, ahorrando
ancho de banda al no descargar contenido previamente descargado. En el caso
de que presente alguna actualización, el navegador descargará dichas partes y
las reemplazará en cache. En ambos casos se logra disminuir el ancho de banda
consumido, el tiempo de respuesta para mostrar la página web y la carga de los
servidores web.
En sistemas Windows versión 7 o superior, para los principales navegadores
web podemos encontrar el contenido de la caché en las siguientes ubicaciones:
 Internet Explorer:
“%userprofile%\AppData\Local\Microsoft\Windows\History\History.IE5”
“%userprofile%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5”
 Mozilla Firefox:
“%UserProfile%\AppData\Roaming\Mozilla\Firefox\Profiles\<random>.default\”
“%UserProfile%\AppData\Local\Mozilla\Firefox\Profiles\<random>.default\”
 Google Chrome:
“%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\”
Cookies
Además del contenido que se va visualizando en el navegador, en la cache web
del encontramos las cookies: pequeños archivos que almacenan el estado de
una conexión, manteniendo datos específicos de la misma, y que en algunos
casos, cuando no están ofuscadas, pueden aportar información muy interesante
(preferencias de visualización, nombre de usuario, dirección IP etc.).
Las cookies suelen presentar una fecha de expiración, a partir de la cual son
borradas, aunque también pueden ser borradas directamente por el usuario.
Cloud forensics
Inmerso en el contenido de las cookies, podemos encontrar tokens de
autenticación: credenciales de acceso enviadas a un usuario autenticado
correctamente, que le permiten acceder al servicio o recurso sin tener que volver
a autenticarse, mientras el token tenga validez. En algunas implementaciones,

de 160
ante la caducidad de un token se envía otro de refresco, para que el usuario siga
autenticado sin tener que enviar de nuevo sus datos de inicio de sesión.
Figura 26: Flujo de autenticación por token

[Fuente] https://desarrolloweb.com/articulos/autenticacion-token.html
Los tokens de autenticación recuperados, en las circunstancias necesarias,

abren la puerta a un posible acceso a ciertos servicios o recursos web y
descargar los datos allí alojados del usuario. La explotación de éstos, junto con
la de otras credenciales de acceso recuperadas, como las parejas
“usuario/contraseña”, es lo que se conoce como cloud forensics o análisis
forense en la nube, que a pasos agigantados va ganando relevancia por la
cantidad y calidad de la información que en determinadas circunstancias puede
recuperar.
4.5.6 Otros artefactos

Timeline
La línea temporal de un sistema permite ordenar la secuencia de eventos que se
han sucediendo en el mismo, de tal forma que se visualice con claridad la
relación temporal entre ellos, posibilitando su acotamiento. Las marcas
temporales más comunes son:
 Para los ficheros: de creación, de acceso y de modificación.
 Para los programas: de instalación/desinstalación y de ejecución.
Buzones de correo electrónico

En ocasiones, en el sistema se encontrará una aplicación cliente de correo
electrónico, lo que va a posibilitar la recuperación de los correos albergados en
el buzón de correspondiente: PST/OST para clientes Outlook; MBOX en el caso
de Thunderbird, directamente en EML para Zimbra…
Prefetch de aplicaciones
Utilizados por Windows para mejorar el rendimiento de las aplicaciones, los
ficheros prefetch registran información sobre los programas ejecutados en el
sistema precargando páginas de código que ayuden a agilizar su ejecución
Su estudio muestra información del programa: última vez que se ejecutó, número
de ejecuciones, su path, archivos adicionales que el programa ha requerido (con
la ruta de cada uno)…
Archivo de miniaturas (thumbnails)

Archivos que capturan las miniaturas de las imágenes (thumbnail) de un
directorio, y que en ocasiones resultan muy valiosos al contener miniaturas de

de 160
imágenes ya eliminadas, que no han podido ser recuperadas, pero que poseen
una especial transcendencia para el incidente particular que se esté estudiando.
Figura 27: Visualización de miniaturas mediante Thumbnail DB Viewer

[Fuente] http://www.itsamples.com/thumbnail-database-viewer.html
En sistemas Windows, a partir de la versión 7, la creación de los ficheros de

miniaturas se centraliza en una única localización por cada usuario (no por cada
carpeta como sucedía previamente) en la ruta:
“%userprofile%\AppData\Local\Microsoft\Windows\Explorer”
Shadow Copy
Técnica de copias de seguridad, implementada en sistemas Windows desde la
versión Vista, basada en la creación de instantáneas de volumen como puntos
de restauración del sistema.
Figura 28: Instantáneas de volumen Shadow Copy de Windows

[Fuente] http://woshub.com/how-to-clean-up-system-volume-information-folder
En el caso de que existan, estos volúmenes del sistema representan estados

anteriores del mismo, permitiendo el análisis de un archivo o unidad en el estado
en que el que se encontraba en dicho instante temporal. Dichas instantáneas se
guardan en el directorio “/System Volume Information/” para cada unidad del sistema.
4.5.7 Artefactos forenses en dispositivos móviles

En los dispositivos móviles, centrándonos en aquellos más próximos a las
actividades del usuario como son los smartphones principalmente y las tablets,
tendremos un abanico de artefactos propios de este entorno y que pueden
brindar, por su cantidad y calidad, una información realmente valiosa:
 Localizaciones incluidas en aplicaciones de localización

de 160
 Agenda del teléfono o listado de contactos

 Registro de llamadas
 Mensajes SMS y MMS
 Conversaciones de aplicaciones de mensajería
 Fotografías realizadas con dispositivo
 Aplicaciones propias de este entorno: Calendario, notas…
 Y otros no específicos de los dispositivos móviles: historial de navegación,
correos electrónicos, redes sociales, archivos de usuario, etcétera.
Toda esta información, se va a guardar (en su partición y ubicación
correspondiente) en esencialmente ficheros de tipo SQLite, junto con archivos
XML para sistemas Android, y ficheros Plist en el caso de sistemas iOS.
Figura 29: Principales archivos SQLite de sistema en Android

[Fuente] http://freeandroidforensics.blogspot.com/2015/01/viewing-sqlite-databases.html
Archivos SQLite
SQLite39 es un formato de bases de datos relacionales SQL embebido, esto es,
que no funciona siguiendo el tradicional esquema cliente/servidor de las BBDD,
sino que ambas entidades están integrados directamente en el propio fichero.
Es de tipo opensource, y se ha hecho
enormemente popular, siendo usado
por una cantidad creciente de
aplicaciones y sistemas, como
estructura de datos para almacenar su
información. La mayoría de
navegadores web, y dispositivos
móviles trabajan con SQLite.
Cumple con los requisitos ACID
exigibles a toda transacción, e
implementa la mayoría del estándar
SQL, aunque con ciertas restricciones
(no garantiza la integridad del
dominio).
Figura 30: Arquitectura SQLite
[Fuente] https://www.sqlite.org/arch.html
39 https://www.sqlite.org/index.html

de 160
5 Procedimiento de análisis forense digital

La respuesta a un incidente debe de ser un proceso documentado y metódico,
no improvisado ni variable, a pesar de que cada caso pueda requerir de
actuaciones y análisis específicos.
El análisis forense informático, se podría decir que es “la forma de aplicar los
conceptos, estrategias y procedimientos de la criminalística a la tecnología
digital, con el fin de apoyar a la justicia en su lucha contra la delincuencia y el
crimen, o como recurso especializado en esclarecimiento de incidentes de
seguridad informática” (López Delgado, M. 2007)
Es decir, el análisis forense informático o análisis forense digital, consiste en la
aplicación de técnicas informáticas a una cuestión de derecho en la que las
pruebas –evidencias digitales – extraídas de los dispositivos informáticos que
han tenido algún papel durante el incidente, incluyen tanto información digital,
creada por los individuos, como la generada por los propios dispositivos (logs,
cachés, archivos temporales, etc.), resultado de la interacción con el individuo y
otras entidades.
El Principio de intercambio de Locard

Formulado por el francés Edmond Locard (1877-1966), médico y criminólogo
considerado el pionero de la ciencia forense al desarrollar una serie de
metodologías que aplicadas a determinadas pruebas de una investigación, las
convertía en evidencias irrefutables ante un juez. Establece que “Siempre que
dos objetos entran en contacto transfieren parte del material que incorporan al
otro objeto”.
Figura 31: El principio de intercambio de Locard

[Fuente] http://www.rexduran.com/v1/2016/06/16/5-1-informatica-forense
Éste es el principio básico de la Criminología Forense, y en el que se fundamenta

la razón de existir de la Informática Forense: descubrir los rastros generados
durante la actividad –en principio ilícita- constituyente del incidente que se está
estudiando, en sintonía con otra famosa frase que también se le atribuye a
Locard: “Es imposible que un criminal actúe, especialmente en la tensión de la
acción criminal, sin dejar rastros de su presencia”.
Características del procedimiento forense

Dicho procedimiento, por la propia definición de análisis forense, va a presentar
sus características implícitas:
 Científico: Tiene que estar basado en la ciencia y en la técnica.
 Metodológico: Tiene que seguir una metodología estructurada, adecuada
al escenario concreto.
Capítulo 5: Procedimiento de análisis forense digital Página 55

de 160
 Sistemático: Sus etapas tienen que conseguir que sea completo y

exhaustivo.
A las que se añaden las que indica el Instituto de Ciberseguridad INCIBE en su
“Guía de toma de evidencias en entornos Windows40 (pág 9)”:
 Documentado: todo el proceso debe estar correctamente documentado y
debe realizarse de manera comprensible y detallada.
 Independiente: las conclusiones obtenidas deben ser las mismas,
independientemente de la persona que realice el proceso y de la
metodología utilizada.
 Verificable: se debe poder comprobar la veracidad de las conclusiones
extraídas a partir de la realización del análisis.
 Reproducible: se deben poder reproducir en todo momento las pruebas
realizadas durante el proceso
El procedimiento forense informático se va a descomponer en las fases de
Preservación, Adquisición, Documentación, Análisis y Presentación, que a
continuación se van a estudiar en detalle.
Figura 32: Fases del procedimiento de análisis forense digital

[Fuente] INCIBE
Es necesario resaltar que, aunque estas fases se presentan en un modo

ordenado, su ejecución no estrictamente secuencial sino que, en la práctica van
a estar entrelazadas.
5.1 Preservación
La primera fase del procedimiento forense tiene por objeto preservar las
evidencias digitales que posteriormente serán analizadas, de modo que éstas no
pierdan en ningún momento su validez y confiabilidad, y se garantice la
reproducibilidad de los resultados obtenidos a partir de las mismas, en el caso
de que fuera solicitado realizar un contraanálisis o estudio contrapericial.
40 https://www.incibe.es/extfrontinteco/img/File/intecocert/ManualesGuias/incibe_toma_evidencias_analisis_forense.pdf

de 160
Es por lo tanto fundamental su correcto descubrimiento y una rápida

identificación y clasificación desde la perspectiva de su volatilidad, para realizar
las primeras actuaciones necesarias para su aseguramiento.
Registro documental
Este documento, que si existe redactará el Fedatario Público o un tercero
independiente que dará fe de este proceso (perito de la contraparte, delegado
sindical…), comenzará su redacción en este primera fase.
Incluirá un inventario con la descripción detallada de todas las evidencias que se
vayan recabando: estado en el que son halladas (incluso mediante fotografía o
vídeo), marca, modelo, número de serie y/o marcas individualizadoras, así como
cualquier característica destacable de las mismas.
Del mismo modo se reseñará el entorno en el que se ubicaban (anotaciones
relacionadas, contraseñas escritas, documentación…) y se elaborará un listado
con las personas implicadas en los equipos, recogiendo según el caso el nombre,
identificación, sus usuarios y contraseñas de sistema, acciones que hayan
realizado desde el conocimiento del incidente, etc.
En ocasiones, será útil anotar o dibujar la topología de la red informática en la
que se encontraban conectados los equipos, y es importante identificar todos los
cables y los puertos donde están conectados los distintos periféricos del equipo
para poder realizar una posterior conexión en laboratorio en caso de ser
necesario su rearmado.
Con la elaboración de este registro documental comienza la Cadena de
Custodia de las evidencias consignadas, en este momento evidencias físicas
descubiertas.
Identificación de las evidencias

El investigador debe de tener el conocimiento y experiencia suficientes para
reconocer todo dispositivo informático susceptible de contener información
digital, y la naturaleza de ésta. Es vital conocer qué datos son más o menos
volátiles, para en el caso de correr el riesgo de perderlos, proceder en primer
lugar a su aseguramiento y salvaguarda mediante su recolección.
Se entiende por volatilidad de los datos la facilidad de desaparecer o de ser
eliminados que presentan. Por lo tanto, se deberán recolectar (adquirir) en primer
lugar aquellas evidencias digitales que presenten una mayor volatilidad, dándole
absoluta prioridad a aquellas que presenten riesgo real de ser perdidas, dejando
momentáneamente de lado otras actividades si fuera preciso para atenderlas.
La RFC 3227 nos presenta la siguiente clasificación de mayor a menor
volatilidad:
1. Registros y contenidos de la memoria caché del equipo
2. Tablas de enrutamiento de redes, caché ARP, tabla de procesos,
estadísticas del kernel y memoria
3. Información temporal del sistema
4. Datos contenidos en disco

de 160
5. Logs del sistema

6. Configuración física y topología de la red
7. Documentos
Etiquetado de evidencias
Es altamente recomendable (realmente obligatorio en casos con un alto número
de evidencias) etiquetar las evidencias que se vayan encontrado, utilizando una
nomenclatura que permita, desde el momento del mismo etiquetado y durante el
resto de las fases del procedimiento forense, referirse a cada evidencia de una
forma más práctica -y a la vez perfectamente individualizadora- que la de utilizar
para ello su marca, modelo y número de serie o marcas distintivas.
Es deseable que esta nomenclatura de etiquetado sea lo suficientemente
expresiva para capturar el máximo de información posible sobre la misma y su
contexto. Se propone una nomenclatura del estilo: 1HD1, 1HD2, 1HDEXT1,
1TEL1… Tomando como ejemplo la primera de ellas “1HD1” y descubriendo el
significado de sus partes, podemos entender rápidamente lo conveniente de un
etiquetado de estas características:
 “1”: Identifica la localización de la evidencia. Por ejemplo, en el caso de
realizar un análisis forense de los dispositivos digitales de una persona en
varios lugares (domicilio, lugar de trabajo, su vehículo, etcétera). O en el
caso de que haya varias personas, se puede identificar a cada una de ellas.
 “HD”: Identifica la naturaleza de la evidencia (disco duro en este ejemplo).
 “1”: Identifica, dentro de las evidencias del mismo tipo y contexto, el número
de orden en que han ido apareciendo y siendo reseñadas en la cadena de
custodia.
5.2 Adquisición
Una vez realizada correctamente
la fase anterior, se prosigue con
la fase de adquisición: proceso
de extracción de la información
contenida en una evidencia que
tiene por razón de ser su
preservación, al obtener un
producto con el que poder
trabajar sin mayor riesgo -
idealmente una copia exacta
(copia forense)- mientras se
mantiene la evidencia original a
buen recaudo, segura, lejos de
manipulaciones que la pudieran
alterar o dañar.
Figura 33: Escena de adquisición de diversas evidencias informáticas
[Fuente] http://victorypi.com/services/computer-forensics-deleted-data-recovery

de 160
La RFC 3227 propone una serie de principios para la adquisición de las

evidencias digitales:
 Capturar una imagen del sistema tan precisa como sea posible.
 Mantener notas detalladas, incluyendo fechas y horas indicando si se utiliza
horario local o UTC.
 Minimizar los cambios en la información que se está recolectando
(incluyendo los tiempos de acceso a carpetas y archivos).
 Eliminar los agentes externos que igualmente puedan provocar cambios.
 En el caso de enfrentarse a un dilema entre recolección y análisis, elegir
primero recolección y después análisis.
 Tener en cuenta que para cada dispositivo la recogida de información puede
realizarse de distinta manera, pero siempre desde una aproximación
metódica.
 La velocidad será crítica habitualmente. Si existen muchas evidencias
digitales a tratar podrá ser conveniente paralelizar su tratamiento.
 Recoger la información según el orden de volatilidad (de mayor a menor).
Las evidencias tienen que ser manipuladas con máximo cuidado, y su
adquisición será realizada por personal con la necesaria pericia técnica,
mediante herramientas hardware y/o software reconocidas en el ámbito forense,
acordes a la particularidad de la evidencia. Estos medios tienen que ser
transparentes y reproducibles.
Asimismo, se dejará perfecta constancia documental de todo el proceso, de los
pasos realizados y de las situaciones que se vayan produciendo, continuando
así con la cadena de custodia.
Cabe destacar que para el proceso de adquisición se hará uso de alguna
solución de bloqueo de acceso, con la finalidad de que la evidencia informática
que se esté tratando sea accedida solamente en modo lectura, nunca en modo
escritura, pues el mero hecho de su montaje en el sistema forense en ocasiones
ya la modifica.
Figura 34: Duplicación de la imagen forense de trabajo

[Fuente] ENISA (2016). Forensic Analysis: Webserver analysis Handbook, pág. 6
Si las circunstancias lo permiten, lo recomendable sería realizar más de una

copia de la adquisición de la evidencia física, destinando una de ellas para el
análisis (copia de trabajo), y la otra como copia de seguridad. Así, en caso de
que la copia de trabajo se malograra, no sería necesario recurrir a la evidencia
original para obtener una nueva copia de trabajo.
Obtenido el producto de la adquisición (copia forense, imagen lógica, volcado de
datos…), se le aplicará una función resumen e igualmente a la evidencia original
para verificar su igualdad (integridad de la evidencia), y dicho resultado se hará

de 160
constar en el registro documental que contiene el documento de la cadena de

custodia, quedando así demostrado que lo obtenido procede sin ningún género
de duda de la evidencia tratada en este momento, resaltando por lo tanto su
validez (autenticidad).
El Principio de incertidumbre de Heisenberg

Postulado en 1927 por el físico alemán Werner Heisenberg, al llegar a la
conclusión de que es imposible medir simultáneamente, y con precisión
absoluta, el valor de la posición y la cantidad de movimiento de una partícula.
Este Principio desvela que el acto mismo de observar cambia lo que se está
observando. Para determinar la posición de un electrón necesitamos medirla.
Para poder verla es necesario iluminar el electrón, esto es, que incida un fotón
en el electrón, y observar el reflejo de dicho fotón que nos revelará la posición y
el momento que tenía el electrón, no el que tiene actualmente, pues esta
interacción ha provocado una alternación en el propio electrón.
Figura 35: Representación del Principio de incertidumbre de Heisenberg

[Fuente] https://chemistry.tutorvista.com...heisenberg-uncertainty-principle.html
Este es un principio que está muy presente en la Informática Forense, y al que

se suele recurrir para remarcar el cuidado que se debe de tener al trabajar con
las evidencias y explicar la problemática existente la hora de extraer información
de alguna de ellas, porque aunque se tomen absolutamente todas las medidas
necesarias para preservar su estado original, en ocasiones debido a su propia
naturaleza, esto no va a ser posible.
Es en estas ocasiones, en las que para extraer información de un sistema es
necesario modificarlo, en las que se tienen que extremar las precauciones para
proceder de una forma que mantenga la validez del proceso: de una forma que
sea “forensically sound”.
Forensically Sound
La palabra inglesa sound presenta como adjetivo según el contexto, alguno de
los siguientes significados:
 En buena condición; no dañado, lesionado o enfermo
 Basado en la razón, en el sentido o en el juicio
 Competente, confiable o que mantiene una consideración admisible
Por forensically sound se entiende “la aplicación de un proceso forense digital
transparente que preserva el significado original de los datos para la producción
en un tribunal de justicia”. La palabra "transparente" en esta definición implica

de 160
que la confiabilidad y la precisión del proceso forense tengan la capacidad de

ser probados y/o verificados. La frase "conserva el significado original" implica
que los datos derivados del proceso forense deben ser capaces de ser
correctamente interpretados. Además de estos puntos, vale la pena señalar que
el término “proceso forense digital” abarca no solo la metodología empleada, sino
también la tecnología subyacente41. (McKemmish, R. 2008).
McKemmish también propone cuatro criterios para determinar la solidez forense
de un proceso forense digital, de modo que si cumple con los cuatro, el proceso
posee las propiedades necesarias para ser considerado forensically sound:
 ¿Ha mantenido el proceso forense intacto el significado y, por lo tanto, la
interpretación de la evidencia electrónica?
 ¿Se han identificado razonablemente todos los errores y se han explicado
satisfactoriamente para eliminar cualquier duda sobre la fiabilidad de la
evidencia?
 ¿El proceso forense digital puede ser examinado y verificado
independientemente en su totalidad?
 ¿El análisis forense digital ha sido realizado por una persona con suficiente
y necesaria experiencia?
Por ello, este término se podría traducir como “sólido desde la perspectiva
forense” y se esgrime para calificar aquellos procedimientos usados para adquirir
evidencias digitales de una manera que no altera materialmente la evidencia de
origen, excepto en aquellos casos donde no existe otra posibilidad, en los que la
alteración se realiza en la medida mínima necesaria para su obtención,
garantizando que el producto final no pierde su peso probatorio y, por tanto, su
admisibilidad como prueba. En este sentido, la forma utilizada para obtener la
evidencia debe documentarse y justificarse en la medida en que sea aplicable.
Es posible que el ejemplo más claro de procedimiento de adquisición de una
evidencia digital que conlleva una modificación de su contenido sea el de volcado
de RAM: para conseguirlo, previamente se tiene que cargar en la propia RAM el
código del aplicativo que va a provocar dicho volcado, reemplazando el
contenido de las zonas de memoria destinadas para ello. Sin embargo, el resto
del contenido de la RAM (su gran mayoría) va a permanecer inalterado,
almacenando la información que allí se encontraba.
Adquisición de datos en vivo

Es un tipo de adquisición de evidencias digitales que se realiza cuando el sistema
se encuentra encendido o no se puede apagar por diversas razones, representa
una dicotomia en muchos casos.
Ante un sistema encendido, la primera cuestion que el analista forense debe
plantearse es la de apagarlo o mantenerlo encendido. La respuesta correcta
dependera de la situacion en concreto, y se tiene que responder desde la optica
de cual de las dos acciones va a conseguir una mayor preservacion de
evidencias digitales.
41 McKemmish, R., 2008, in IFIP International Federation for Information Processing, Volume 285; Advances
in Digital Forensics IV; Indrajit Ray, Sujeet Shenoi; (Boston: Springer), pp. 3–15.

de 160
Si en el sistema se está ejecutando algun proceso de destruccion de informacion,

tiene que ser apagado de inmediato para su detención, tirando del cable de
alimentacion.
En caso contrario, se debe realizar la aquisicion de todas aquellas evidencias
volatiles que solo van a existir mientras el sistema permanezca encendido. El
tratamiento de un equipo encendido requiere una serie de medidas:
 Comprobacion de que el equipo esta encendido, puesto que puede estar en
un estado de suspension o hibernacion que nos lleve a equivoco. Moviendo
el raton o pulsando las teclas de direccion (evitar la tecla «ENTER») haremos
salir al sistema de este estado si en el se encontrara.
 No apagar el ordenador hasta que se haya recopilado toda la información
volátil.
 No confiar en la información proporcionada por los programas propios
sistema ya que pueden haberse visto comprometidos. Se debe recopilar la
información mediante programas ejecutados desde un medio externo
(protegido contra escritura) preparado para tal fin.
 No ejecutar programas que modifiquen la fecha y hora de acceso de todos
los ficheros del sistema u otros cambios que comprometan la investigación.
Figura 36: Ordenador encendido en la escena del crimen (figuración)

Teniendo esto en cuenta, se procederá al analisis del sistema:

 En el caso de que esté encendido, se debe fotografiar la pantalla según se
nos muestra.
 Se comprobará la actividad que de forma evidente este realizando el
sistema, para que en el caso de detectar algun proceso de destruccion de
informacion, proceder a su detencion si es posible, y si no, al apagado
inmediato del sistema
 Comprobar las conexiones de red. Dependiendo del caso en concreto, se
debe valorar si se mantienen las conexiones de red o por el contrario se aísla
el equipo.
 Si es viable, desactivar los protectores de pantalla y los modos de la
configuracion de energia que puedan provocar una nueva suspension del
equipo.
 Comprobacion de volumenes montados y sus caracteristicas. Se tratará de
detectar especialmente la presencia de volumenes cifrados o la conexión a
carpetas compartidas a otro equipo remoto, situacion en la que se tendria
que proceder a su volcado inmediato a un medio de almacenamiento
externo.

de 160
 Comprobacion de la actividad reciente de usuario. Se fotografiarán y

registrarán las apliaciones y archivos abiertos.
 Por ultimo, se realizará el volcado de la RAM.
A la hora de apagar un sistema en vivo no existe una solución universal. El
apagado normal podría desencadenar la ejecución de procesos de destrucción
de datos, malintencionados o no (por ejemplo la eliminación normal de ficheros
temporales) que se perderían para la posterior imagen física o lógica. El apagado
repentino mediante el corte del suministro eléctrico podría dejar al sistema en un
estado inconsistente, situación tampoco deseable. Según la casuística particular
del sistema, de lo delicado que se intuya ante apagados bruscos, se optará por
una u otra opción, aunque por término medio la opción más recomendable es la
del corte eléctrico repentino.
De todo lo practicado es preceptivo, de nuevo, su consiguiente registró
documental. Esto incluye, la firma digital de las evidencias digitales y la
consignación de la misma.
Depósito de las evidencias físicas

Completada la adquisición, se debe proceder al depósito de la evidencia original,
en la forma y modo preceptivos para garantizar su integridad. Las evidencias
originales quedarán bajo custodia de la persona que esté dando fe de lo
practicado, almacenadas con las medidas de seguridad requeridas según la
problemática de la evidencia, y en un lugar seguro dedicado a tal fin (siempre
que sea posible).
El correcto depósito de las evidencias originales permitirá un nuevo proceso de
adquisición, de las evidencias digitales no volátiles, en el caso de que ello fuera
preciso. Se garantiza así el principio de contradicción, al permitir el acceso al
contenido original en caso de impugnación de la prueba por la parte contraria.
Las circunstancias que rodean el depósito de las evidencias, su transporte y el
acceso a las mismas, deberán ser registradas en el documento de la cadena de
custodia.
5.3 Documentación
Documentación del procedimiento forense al completo, desde su inicio hasta el
envío del informe final a la entidad correspondiente, siguiendo una secuencia
temporal claramente definida y con la suficiente exhaustividad para que sea
perfectamente auditable.
Así pues, esta fase de Documentación comienza ya en la primera etapa de
preservación, con la elaboración del registro documental y el comienzo de la
Cadena de Custodia, junto con la toma de notas de todo aquello que se
considere de interés en este momento.
Continúa en las fases de adquisición primero y de análisis después,
documentando toda actuación llevada a cabo: su forma, tiempo y lugar; su
resultado; y además registrando todos los acontecimientos relacionados que se
hayan ido sucediendo.

de 160
Y finaliza con la exposición de conclusiones, en la fase de presentación, en el

correspondiente documento o informe pericial, adaptado a las necesidades del
caso.
5.4 Análisis
Durante esta etapa del procedimiento se va a tratar de responder a las 6
preguntas básicas de la actividad investigadora acerca del incidente que la ha
motivado, conocidas en inglés como “las 6 W” (o “las 5 W y 1 H”):
¿Qué?, ¿Quién?, ¿Dónde?, ¿Cuándo?, ¿Cómo? y ¿Por qué?
Es por ello que, los objetivos de esta labor se pueden resumir en:
 Investigar técnicamente y demostrar la existencia de un evento en particular.
 Reconstruir los hechos acaecidos, determinando los fenómenos ocurridos y
los mecanismos utilizados, señalando los instrumentos u objetos de
ejecución, sus manifestaciones y las acciones que se pusieron en juego para
realizarlo.
 Aportar evidencias digitales descubiertas, obtenidas siguiendo el proceso de
obtención y custodia pertinentes, para la identificación del presunto, o
presuntos, autores del hecho.
El alcance del análisis vendrá acotado por las evidencias digitales que se hayan
podido recuperar, y su enfoque marcado por la naturaleza del incidente que se
está estudiando: un acceso no autorizado a un equipo o recurso, unas amenazas
realizadas a través de una red social, un ataque de “phishing”, un caso de
pornografía infantil, el estudio de una infección por malware… Cada escenario
presenta su problemática, sus artefactos forenses deseables o de mayor
transcendencia, y por lo tanto deberá de ser estudiado por separado, preparando
un entorno de trabajo, adaptado a las particularidades del incidente, en el que
figuren las herramientas forenses adecuadas.
La ayuda que puedan brindar dichas herramientas será vital para no pasar por
alto ninguna evidencia digital o artefacto relevante, y para lograr el máximo
rendimiento a las horas invertidas en el mismo análisis, que en muchas
ocasiones tendrá que ser realizado dentro de un límite temporal ajustado, por los
plazos legales existentes o por las propias circunstancias del incidente.
Igualmente será determinante el buen hacer, la pericia y experiencia del analista
o analistas, y su conocimiento acerca del sistema que se esté analizando. Es
esencial que todo el proceso sea realizado desde un punto de vista objetivo,
evitando los prejuicios que se puedan tener, y sin descartar automáticamente
todo aquello que en un primer momento pueda ser considerado como obvio.
5.5 Presentación
Última fase del procedimiento forense, en la que se presentan los resultados
obtenidos mediante la realización de un informe pericial. Para su correcto
desarrollo se han de observar una serie de cuestiones fundamentales, entre las
que podemos destacar las siguientes:

de 160
 Con la idea de mantener la accesibilidad de los resultados obtenidos -su

plena comprensión- éstos serán presentados con la carga tecnológica
mínima necesaria (en principio), de manera clara y comprensible para los no
expertos, que en la mayoría de las ocasiones serán los destinatarios de este
informe, sin que ello implique una pérdida de rigor en la información
presentada
 El informe no puede, en ningún caso, recoger otra información que no sean
los propios resultados objetivos obtenidos durante la investigación. Su
condición de objetividad tiene que ser patente, sin atisbo de duda acerca de
la condición de independencia del perito.
 El informe debe presentar una línea maestra bien definida, alineada con las
metas del informe pericial, con una estructura documental claramente
definida. Deberá tener perfectamente identificadas a las personas
involucradas en su desarrollo
 La información recabada debe de justificar las cuestiones relativas a la
resolución del caso, sin presentar cuestiones no resueltas adecuadamente.
 Con la finalidad de que los resultados puedan ser utilizados como elemento
de prueba suficiente para rebatir o acreditar unos hechos determinados, a
veces es necesario realizar una reconstrucción de los acontecimientos,
relacionando los indicios obtenidos con los hechos objeto de la investigación.
Por su objetivo, y el público al que va dirigido, podemos distinguir entre dos tipos
de informes:
a) Informe ejecutivo o documental: Su intención es la de asesorar a la
dirección de la organización afectada, típicamente en actividades de
consultoría/auditoria, mediación y/o arbitraje. No debe contener excesiva
información técnica, y la que contenga, será explicada de la forma más clara
posible.
b) Informe técnico: De mayor extensión que el anterior, su finalidad consiste
en documentar y tratar de esclarecer un incidente, analizando la parte
técnica. Los destinatarios del mismo serán personas con un perfil técnico
capaz de entender los conceptos necesarios que expliquen qué ha sucedido.
Para entrar más en detalle acerca del contenido necesario en estos informes,
podemos dirigirnos a las normas UNE existentes sobre de la elaboración de
informes periciales:
 La norma UNE 197001:201142 «Criterios generales para la elaboración de
informes y dictámenes periciales» busca establecer los requisitos formales
que se deben tener en los informes y dictámenes periciales.
 La norma UNE 197010:201543 «Criterios generales para la elaboración de
informes y dictámenes periciales sobre Tecnologías de la Información y las
Comunicaciones» busca establecer los requisitos particulares para el caso
de informes y dictámenes periciales en el ámbito de las TIC.
42 https://www.une.org/encuentra-tu-norma/busca-tu-norma/norma?c=N0046980

de 160
6 Herramientas de análisis forense digital

6.1 Software forense
En cuanto al software forense existente, en primer lugar se va a hacer referencia
a las soluciones más relevantes, tanto comerciales como gratuitas, que en este
segundo caso se presentan en ocasiones como distribuciones forenses.
A continuación, se procederá a hacer mención de una lista de utilidades que
están especializadas en recuperar información de artefactos específicos, que se
alzan como complemento perfecto de las anteriores (si es que no las incluyen
directamente) por lo que es conveniente, cuanto menos, tener constancia de su
existencia y su finalidad por si fuera preciso recurrir a ellas ya que, en la práctica
no existe un software infalible que consiga tratar de forma efectiva todas las
evidencias digitales en todos los casos posibles, aunque las principales
soluciones de pago se acercan bastante.
En el caso particular del análisis forense digital basado en soluciones no
comerciales, el conocimiento y domino de estos aplicativos -junto con la
experiencia, el conocimiento y el buen hacer del analista- se convierten en
fundamentales para superar las limitaciones que el software gratuito pueda
presentar, y alcanzar así unos resultados tan buenos como los que se lograrían
haciendo uso de las más costosas herramientas.
6.1.1 EnCase Forensic

Producto de la compañía Guidance Software44, encase se ha convertido en el
referente del sector, un estándar en sí mismo. Utiliza el formato de copia forense
propietario EnCase Evidence File Format, en el que se paquetiza la imagen física
obtenida añadiéndole funcionalidades de control de integridad, seguridad
(encriptación) y rendimiento (compresión).
Figura 37: EnCase Evidence File Format

[Fuente] http://www.forensicsware.com/blog/e01-file-format.html
Proporciona multitud de asistencias al analista/investigador en su labor, durante

todo el proceso forense en el que permite definir diferentes roles; y recupera todo
tipo de artefactos forenses. Podemos citar alguna de sus extensísimas
características:
 Recuperación de archivos siguiendo filtros, índices, análisis de eventos y
logs, naturaleza, flags...
44 https://www.guidancesoftware.com
Capítulo 6: Herramientas de análisis forense digital Página 66

de 160
 Navegación web y búsquedas en internet; correo electrónico (PST, EDB,

DBX y MBOX)
 Adquisición de datos de servicios en la nube mediante los tokens de
autenticación recuperados: Amazon Alexa, Facebook, Google Drive, Twitter
 Compatible con sistemas Windows, Linux y OS X, incluso en RAID.
 Tratamiento de dispositivos móviles Android, iOS y Windows Phone.
 Búsqueda y análisis de malware mediante técnicas heurísticas y de entropía
 Generación automática de informes
Además ofrece la posibilidad de automatizar procesos adaptados a las
necesidades de cada analista mediante el lenguaje orientado a objetos propio
“EnScript” o de integrar desarrollos de terceros, implementados en el mismo.
Figura 38: Ciclo de vida del procedimiento forense en EnCase Forensic

[Fuente] https://www.guidancesoftware.com/encase-forensic
En su última versión v8.07 incorpora las siguientes novedades: Soporte para

encriptación Windows 10 Bitlocker XTS-AES, Dell Data Protection 8.17 y Symantec
PGP v10.3; Soporte para el nuevo sistema de ficheros de Apple (APFS);
Compatibilidad con Volume Shadow Copies
Con licencias cuyos precios comienza en 3.500$ para las versiones estándar, es
una herramienta que no está al alcance de todos los bolsillos. De similares
prestaciones (y coste) encontramos el software Forensic Toolkit45. Con un
coste inferior (alrededor de 1.000$) encontramos X-Ways Forensics46,
completando así el pódium de las principales soluciones en este ámbito.
6.1.2 Autopsy – The Sleuth Kit

Autopsy/The Sleuth Kit47 es un software forense que se ha convertido en la
solución de código abierto por excelencia, siendo utilizada ampliamente por
fuerzas de seguridad y analistas forenses a lo largo del globo.
Autopsy, que nació como interfaz gráfica de la colección de herramientas The
Sleuth Kit, se basa en la integración de módulos (ingest modules), con diferentes
finalidades desarrollados por la comunidad, y de otras herramientas no
comerciales reconocidas. Sus principales características son:
 Soporte multiusuario de casos, para el trabajo colaborativo
 Análisis gráfico de la línea temporal de eventos
 Marcado de ficheros y directorios interesantes, basado en su nombre y
ubicación (path), o mediante etiquetas del analista
45 https://accessdata.com/products-services/forensic-toolkit-ftk
46 http://www.x-ways.net/forensics
47 https://www.sleuthkit.org

de 160
 Compatible con los sistemas de ficheros NTFS,

FAT12/FAT16/FAT32/ExFAT, HFS+, ISO9660 (CD-ROM), Ext2/Ext3/Ext4,
Yaffs2, and UFS
 Recuperación de ficheros agrupados por su tipo. Recuperación del espacio
no asignado/no particionado mediante Photorec
 Acerca del tipo de los ficheros, detección del mismo mediante firma, y de
incongruencias extensión/contenido
 Filtrado de ficheros basado en hash usando las reglas NSRL48
 Búsqueda de cadenas de texto mediante texto libre o expresiones regulares
 Actividad en internet recuperada de los principales navegadores web
(Firefox, Chrome e IE)
 Visor de miniaturas de imágenes (thumbnails)
 EXIF: Recuperación de metadatos de archivos JPEG
 Email: Procesado de buzones de correo MBOX
 Windows: Actividad de usuario mediante el análisis del registro con
RegRipper
 Android: Extracción de información procedente de SMS, registro de
llamadas, contactos, y otros artefactos
Figura 39: Flujo de trabajo en Autopsy

[Fuente] INCIBE
6.1.3 Distribuciones Forenses

Distribuciones software, típicamente de naturaleza no comercial, pensadas para
ser ejecutadas sobre una máquina virtual o como SO de trabajo bootable desde
una memoria USB, en las que a partir de un sistema de base (mayoritariamente
Linux) se instalan un amplio abanico de herramientas, consideradas necesarias
para cubrir los diversos aspectos del procedimiento forense.
DEFT
Digital Evidence & Forensics Toolkit49 es una distribución creada, para el análisis
forense digital y la respuesta a incidentes, por la empresa Tesla Consulting srls.
48 https://www.nist.gov/software-quality-group/national-software-reference-library-nsrl
49 http://www.deftlinux.net

de 160
Basada en GNU/Linux, se presenta en dos variantes:

 DEFT Zero: distribución ligera (utiliza menos de 650MB de RAM) pensada
para la adquisición de imágenes forenses. Incluye aplicaciones para el
clonado de evidencias y el cálculo de su hash.
 DEFT X: distribución forense, con un gran número de aplicaciones forenses
no comerciales, de diferente tipo. Entre ellas:
 Adquisición de imágenes: Guymager, Esximager, Ddrescue, Cyclone, etc
 Recuperación de datos: Foremost/Scalpel, Bulk extractor, Testdisk…
 Extracción de artefactos: registro de Windows, logs, email
 Recuperación de passwords: John the ripper, Pdfcrack, Fcrackzip…
 Forense de memoria RAM: Volatility, Evolve, Evtxtract
 Forense de dispositivos móviles: Idevicebackup2,
Iphonebackupanalyzer2, ADB, Blackberry Ipddump…
 Forense de imágenes: Exifprobe, Mat, Outguess, Stagedetect, Vinetto
 Forense de red: CapAnalysis, Nmap, Wireshark, Xplico, Findserver, Whois
 Autopsy, análisis de malware, análisis de timeline, etc.
SIFT
Distribución elaborada y mantenida por el Instituto SANS50, Instituto de
referencia dedicado a la formación, certificación y capacitación de profesionales
en el ámbito de la seguridad informática.
SANS Investigative Forensics Toolkit está basada en la actualidad en Ubuntu
LTS 16.04, y contiene un gran número de aplicaciones forenses de código
abierto. Es el software que utiliza el propio Instituto para diversos cursos y
certificaciones.
Kali Linux
Distribución basada en Debian, diseñada para labores de auditoría y seguridad
informática en general. Desarrollada y mantenida por Offensive Security51, utiliza
esta distribución en sus curos de formación de diversas certificaciones como la
prestigiosa OSCP52.
Si bien es cierto que Kali está más enfocada a labores de pentesting, en cuanto
al análisis forense digital es bastante popular, por la fama misma de dicha
distribución y, porque incorporara un amplio número de herramientas forenses
opensource (Autopsy, Volatility, Scalpel, RegRipper…), así como ofrece la
posibilidad de trabajar en un “modo forense” en el que se asegura que no se
va a utilizar el almacenamiento interno del equipo en el que está corriendo, y se
deshabilita el automontado de medios removibles.
50 https://www.sans.org
51 https://www.offensive-security.com
52 https://www.offensive-security.com/information-security-certifications/oscp-offensive-security-certified-professional/

de 160
6.1.4 Internet Evidence Finder

Software forense comercial, desarrollado por Magnet Forensics53, centrado en la
recuperación de artefactos web y actividad en Internet.
Compatible con sistemas de sobremesa Windows, y con dispositivos móviles
iOS, Android y Windows Phone, destaca por su sencillez de uso y sus buenos
resultados en esta esfera, facilitando la recuperación de una enorme cantidad
información –datos y archivos de carácter personal junto con rastros de actividad
a través de la web- así como la presentación de resultados, en un informe
generado automáticamente que facilita su visualización.
Figura 40: Artefactos soportados por Internet Evidence Finder v6.21

Internet Evidence Finder representa una solución que, aunque de pago, debe de
ser tenida en cuenta si mediante otras aplicaciones no obtenemos los resultados
necesarios en este ámbito. Su precio es de 999$ y ofrece una prueba gratuita,
totalmente funcional, de 30 días.
6.1.5 Forense de dispositivos móviles

Cellebrite UFED Ultimate 4PC
La familia de productos UFED de Cellebrite54 se alza como la de mayor prestigio
para el análisis forense de dispositivos móviles, entre los que destaca, por su
flexibilidad, su plataforma para sistemas de escritorio “4PC” en su versión
superior “Ultimate”, que incluye la capacidad “Physical Analyzer” para realizar
extracciones a nivel físico.
En su versión actual v7.5, lanzada en mayo de 2018, anuncia una compatibilidad
de extracción física con 5057 dispositivos diferentes (a nivel lógico 10.350), con
capacidad de deshabilitar en bloqueo de usuario en 2809 modelos distintos.
53 https://www.magnetforensics.com
54 https://www.cellebrite.com

de 160
Su fortaleza radica en la automatización de la explotación de un gran número de

artefactos forenses móviles y, sobretodo, de los procesos de desbloqueo de las
medidas de seguridad establecidas por el usuario, así como de obtención de la
imagen física del dispositivo, que en muchas ocasiones representan obstáculos
insalvables para el analista forense.
Sin embargo, en honor a la verdad, hay que reseñar que obtener la imagen física
de los modelos más recientes de tablet o smartphone, o superar las posibles
medidas de seguridad como patrones o contraseñas en las últimas versiones
tanto de Android como de iOS, es en la mayoría de las ocasiones, cuanto menos,
problemático.
Para ello hay que conseguir acceder al terminal en un modo que permita acceso
a su memoria (modo recuperación) o con nivel de root, bien haciendo uso de
vulnerabilidades en muchos casos aun no descubiertas, bien aprovechando que
el usuario haya realizado modificaciones en su dispositivo, con el objeto de
flashear una ROM o conseguir su rooteo, que hayan provocado la apertura del
bootloader o la activación del modo desarrollador.
Figura 41: GUI de UFED Physical Analyzer v6.3

[Fuente] https://www.cellebrite.com/es/products/ufed-ultimate-es
Así es normal que, para los supuestos en los que nos encontremos ante el peor
escenario posible para el analista, aun contando con las herramientas más
avanzadas del mercado, la información que se pueda obtener sea mínima o
directamente nula (si acaso, la que se pueda extraer de la memoria SD si es que
existe), a no ser que se recurra a técnicas como chip-off/JTAG en las se accede
físicamente a los chips de memoria de la placa base del dispositivo y se procede
al volcado (físico) de su contenido, técnicas que serán efectivas siempre que no
se dé la circunstancia de que la información se haya almacenado encriptada.
En cualquier caso, su elevado coste de adquisición y de actualización (las
licencias básicas de sus productos comienzan en 2.500$ y se van hasta los
9.000$ de la mencionada Ultimate 4PC), la pueden hacer inviable para

de 160
presupuestos contenidos, a pesar de que representa una solución que está

siempre presente en los laboratorios de primer nivel.
En cuanto a posibles alternativas comerciales, encontramos en el mercado de
aplicaciones forense de dispositivos móviles otros productos, en algunos casos
bastante más económicos, de gran prestigio como son MicroSystemation
XRY55, Oxigen Forensics56 y MOBILedit Forensic57
Y si hablamos de soluciones gratuitas, podemos destacar SAFT58 para
dispositivos Android e iPhone Analyzer59 para iOS.
Distribuciones forenses para dispositivos móviles

Además del software mencionado, existen distribuciones forenses centradas en
dispositivos móviles, como las que siguen:
 Santoku: Distribución de NowSecure60 (anteriormente ViaForensics)
pensada para el análisis forense, de seguridad y malware de dispositivos
móviles, basada en Lubuntu 14.04 64-bit en su versión actual (v0.5) de
septiembre de 2014.
 OSAF-TK: Open Source Android Forensics ToolKit61. Proyecto de unos
estudiantes de la universidad de Cincinnati, con el objeto de estandarizar el
análisis de malware en Android. Su última actualización data de julio de
2015.
A la vista de la oferta escasa y poco actualizada del software no comercial, junto
con la problemática inherente al tratamiento de este tipo de dispositivos,
podemos concluir que el análisis forense de dispositivos móviles mediante
herramientas gratuitas se destaca como un proceso especialmente arduo y
complicado, donde es fundamental una alta pericia y conocimiento por parte del
analista, repleto de obstáculos y, en ocasiones, de muros infranqueables. Muros
que, como se ha expuesto, pueden resultar igualmente insuperables aun
contando con el mejor software comercial.
6.1.6 Utilidades forenses

Android Device Bridge. Conjunto de herramienta de línea de
ADB comandos para la depuración y comunicación de directa con
un sistema Android
Recuperación del historial de los navegadores Internet
BrowsingHistoryView
Explorer, Mozilla Firefox, Google Chrome y Safari
Recuperación de información de usuario: direcciones de correo,
Bulk Extractor números de tarjeta de crédito, números de teléfono,
expresiones regulares…
55 https://www.msab.com/es/productos/xry
56 https://www.oxygen-forensic.com
57 https://www.mobiledit.com
58 http://www.signalsec.com/saft
59 https://sourceforge.net/projects/iphoneanalyzer
60 https://www.nowsecure.com
61 https://sourceforge.net/projects/osaftoolkit

de 160
Aplicación Android que permite incorporar a dichos sistemas la

BusyBox mayoría comandos propios de Linux
Herramienta de análisis de trafico de red que incorpora
CapAnalysis geolocalización de los hosts
Comando nativo de sistemas Windows que permite, con el
CertUtil parámetro “–hashfile”, calcular el hash MD5, SHA-1, SHA-256,
SHA-384 o SHA-256 de un archivo
Comando nativo de sistemas Linux que permite realizar una
copia bit a bit de archivos, volúmenes o dispositivos completos.
DD Tradicionalmente se utiliza como denominación para las copias
forenses / imágenes físicas
Utilidad que crea un disco duro virtual a partir de una imagen
Disk2vhd de un sistema Windows, para ejecutarlo en una máquina virtual
ExifTool Recuperación de metadatos de imágenes
FTK Imager Adquisición de imágenes físicas de dispositivos informáticos
Guymager Adquisición de imágenes físicas de dispositivos informáticos
IECacheView Análisis de la caché del navegador Internet Explorer
John the Ripper Desencriptado de contraseñas por fuerza bruta
La Foca Recuperación de metadatos
LiME Volcado de RAM de sistemas Linux y Android
MD5 & SHA Aplicativo para sistemas Windows que realiza el cálculo de
Cheksum Utility hash MD5, SHA-1, SHA-256 y SHA-512
Nandroid Backup Creación de imágenes físicas de dispositivos móviles Android
Herramienta que muestra información útil acerca de la red y de
Netstat las conexiones a Internet activas
OSFMount Montaje de todo tipo de ficheros de imagen física/lógica
PhotoRec Recuperación de ficheros eliminados mediante data-carving
Proporciona información detallada acerca de todos
PsList los procesos en ejecución de un sistema Windows
RegistryDecoder Análisis del registro de sistemas Windows
RegRipper Análisis del registro de Windows
Rstudio Recuperación de ficheros y particiones
Scalpel Recuperación de ficheros eliminados mediante data-carving
SQLite DB Browser Examen de bases de datos SQLite
Gestor de permisos de superusuario para Android que brinda la
SuperSU posibilidad de rootear dichos dispositivos y de utilizar
aplicaciones con nivel de root
Recuperación de particiones y ficheros eliminados, utilizando la
TestDisk tabla de particiones / sistema de ficheros
Extracción de imágenes contenidas en ficheros de miniaturas
Thumbs Viewer como Thumbs.db, ehthumbs.db, image.db entre otros
Permite navegar por el sistema de ficheros de los volúmenes
VSC Toolset shadow copy de Windows
Volatility Volcado y análisis de RAM en Windows, Linux y OS X

de 160
Utilidad que permite descifrar archivos encriptados de

WhatsApp WhatsApp, su visualización y la exportación de su contenido a
Viewer otros formatos
Recuperación de mensajes de WhatsApp a partir de un archivo
WhatsappXtract de backup CRYPT
Script de desencriptado de mensajes de WhatsApp mediante la
WhatsApp-Key- explotación de una vulnerabilidad existente en sistemas
DB-Extractor Android versión 7 o inferior
Windows Prefecth
Files
Visor de los archivos de prefetch de sistemas Windows
WinHex Editor hexadecimal
Wireshark Herramienta de captura y análisis de trafico de red
Xplico Framework forense para el análisis de trafico de red capturado
Your Universal Multiboot Installer. Creación de dispositivos
YUMI USB arrancables, con varios sistemas operativos (multiboot)
6.2 Hardware forense

A nivel de hardware, las soluciones propias que existen se pueden resumir
básicamente en cuatro tipos: bloqueadores de escritura, clonadoras, sistemas
portables y estaciones forenses.
6.2.1 Bloqueadores de escritura

Se trata de dispositivos cuya finalidad es la de evitar la modificación de las
evidencias electrónicas, al acceder al dispositivo físico durante la fase de
adquisición, mediante la inhabilitación de su escritura, permitiendo el acceso
únicamente en modo lectura.
Figura 42: Bloqueadora Tableau WriteBlocker

[Fuente] https://it.wikipedia.org/wiki/File:Portable_forensic_tableau.JPG
Las clonadoras forenses ya lo incorporan en el mismo dispositivo. Si se va a

proceder a la obtención de la imagen mediante software, los bloqueadores son
un dispositivo obligatorio para evitar alteraciones no deseadas. Podemos citar
modelos como el Tableau T8u62, WiebeTech Media WriteBlocker63 o el más
económico Coolgear USBG-127ASD64
62 https://www.guidancesoftware.com/tableau/hardware/t8u
63 https://www.cru-inc.com/products/wiebetech/media_writeblocker
64 https://www.coolgear.com/product/usb-3-0-sataide-adapter-with-write-protection

de 160
6.2.2 Clonadoras
Herramientas autónomas, también conocidas como duplicadoras forenses o
“forensic duplicator” que traen embebido un software de clonación. Suelen
presentar diversos interfaces de entrada y de salida (IDE, SATA, USB…),
permitiendo realizar, según el modelo, varias copias forenses del mismo
dispositivo original en paralelo y, en modelos avanzados, de evidencias distintas
en paralelo.
Figura 43: Clonadora Tableau

[Fuente] https://sumuri.com/product/td2u-forensic-duplicator
Pensadas para la realización “in situ” de la adquisición de evidencias, realizan

entre otras funciones, la comprobación de la integridad de la copia forense,
mediante el cálculo de la función resumen de la evidencia original y del producto
obtenido.
Algunos ejemplos de duplicadores forenses son Tableau TD2u65, Logicube
Falcon-NEO66 o Solo-IV Forensic67
6.2.3 Sistemas portables

Sistemas portables, en los que se ejecuta un aplicativo forense, que en muchos
casos no dejan de ser un ordenador con un factor de forma especial, adecuado
para el trabajo forense “de campo”. Entre ellos, existen modelos realmente
autónomos, al incorporar una batería y no depender de una conexión a la red
eléctrica.
Figura 44: Sistema portable UFED Touch2

[Fuente] https://www.cellebrite.com/es/plataformas-es/#Touch2
65 https://www.guidancesoftware.com/tableau/hardware/td2u
66 https://www.logicube.com/shop/forensic-falcon-neo
67 http://www.diskology.com/soloIVforensic.html

de 160
Dependiendo del presupuesto disponible, será viable o no adquirir algún sistema

de este tipo, pues de nuevo su coste es elevado para ser amortizado en muchos
casos.
En presupuestos más ajustados, un ordenador portátil en el que figure el
software necesario para la adquisición de evidencias digitales junto con
bloqueadores de escritura y discos externos para almacenar lo adquirido,
podrán ser suficientes para llevar a cabo las primeras actuaciones del análisis
forense digital una vez desplazados al lugar del incidente, que se traducirán
principalmente la extracción de información de las evidencias que allí se
encontraran.
Figura 45: Estación forense portable FREDDIE

[Fuente] https://digitalintelligence.com/products/freddie#overview
6.2.4 Estaciones de trabajo forense

Sistemas ideados para realizar las tareas propias del ámbito forense digital, en
algunos casos desarrollos ad-hoc realizados por empresas del sector, y en otros
sistemas de sobremesa estándar con características concretas, adaptadas a los
requisitos computacionales del análisis forense: proceso intensivo con un coste
computacional, temporal y espacial, realmente elevado.
Figura 46: Estación forense SiForce LIGHTNING

[Fuente] https://siliconforensics.com/products/workstations/siforce-lightning.html
En consecuencia, un ordenador dedicado a estas labores (estación forense)

debería de cumplir con unos requisitos mínimos y observar ciertas
recomendaciones, que a continuación se discuten:

de 160
 Procesador: De 4 o más núcleos, para aprovechar las ventajas de la

multitarea y acortar al máximo los tiempos de procesado.
 RAM: Un mínimo de 8 GB, aunque lo recomendable sería irse ya a los 16 o
32 GB, especialmente si se quiere trabajar con alguna distribución forense
contenida en una máquina virtual mientras se ejecutan otras tareas en la
estación forense.
 Almacenamiento interno: Será necesaria una alta capacidad de
almacenamiento para albergar tanto las extracciones obtenidas (copia
forense, extracción lógica…) -que van presentando cada vez tamaños
mayores- como la información obtenida a partir las mismas, que se puede
traducir, entre otras cosas, en miles y miles de archivos.
Es especialmente relevante utilizar unidades independientes para ello, y así
evitar cuellos de botella que se producirían si se tuviera que estar
leyendo/escribiendo en el mismo dispositivo. Un esquema de
almacenamiento -sin entrar en configuraciones RAID- que cumple con esta
premisa, podría ser el siguiente:
 Disco de sistema: Idealmente de tipo SSD por su velocidad, en el que
instalar el o los sistemas operativos elegidos para la estación forense,
junto con las aplicaciones correspondientes.
 Disco/s de almacenamiento de las adquisiciones de las evidencias.
 Disco/s de almacenamiento de la información extraída.
 Interfaces: Es muy conveniente contar con un suficiente número de

interfaces de todo tipo: USB 3.0, eSATA, docking station para discos duros,
lector DVD/Blu-Ray, etcétera.
Figura 47: Estación forense FCI

[Fuente] https://www.forensiccomputers.com/forensic-imaging-station.html
 Fuente de alimentación: Componente en el que no se debe recortar gastos

pues la diferencia de precio entre un modelo básico y una de calidad no es
demasiada, y representa un componente vital para mantener la salud de todo
el sistema hardware.
Se deberá optar por una fuente de calidad, certificada, con suficiente
potencia para alimentar al equipo -mejor incluso que esté
sobredimensionada- para evitar desgaste por estrés y garantizar un
suministro estable.
En relación con la fuente de alimentación, también será recomendable contar
con un SAI, para estar protegidos ante eventuales caídas o fluctuaciones
dañinas en el fluido eléctrico.

de 160
A la vista de lo expuesto, se puede concluir que implementar un equipo básico

que ofrezca un rendimiento aceptable para estas labores, con una buena relación
calidad/precio, no tiene por qué representar un desembolso económico
desorbitado, existiendo diversas opciones accesibles a todos los presupuestos,
incluso a los más ajustados.
6.2.4.1 Configuración de sobremesa propuesta

A modo de ejemplo se detalla una configuración basada en una arquitectura Intel
de 8ª generación, con de componentes de primera calidad, y solvencia
suficiente para desempeñar su cometido, con su coste aproximado a fecha de
entrega de esta memoria:
Componente Descripción Coste

Intel Core i7-8700 3.2GHZ
Procesador  6 núcleos / 12 hilos de ejecución 355€
 Passmark score68 15128
Placa base Gigabyte Z370M DS3H 90€
RAM Corsair Vengeance LPX 3000MHz 16GB DDR4 115€
Disco SO Samsung SSD 970 EVO NVMe M.2 500GB 120€
Almacenamiento 2 x WD Blue 4TB SATA3 (8TB) 210€
F. Alimentación Seasonic Focus+ 650W 80 Plus Gold Modular 100€
Caja Cooler Master MasterCase MC500 USB 3.0 90€
Lector Blu-Ray Asus BC-12D2HT 65€
Multilector Tacens Anima ACR3 10€
Docking Sharkoon SATA QuickPort 2.5” & 3.5” 25€
TOTAL 1.180€
Figura 48: Configuración propuesta para sistema de escritorio

Teniendo en mente mantener un coste similar, también se podría haber optado

por una configuración basada en un procesador AMD Ryzen 1700 + gráfica
Sapphire RX570 Pulse 4GB DDR5 si se hubiera preferido mayor potencia gráfica
(por ejemplo para procesos de rotura de passwords por fuerza bruta) a costa de
perder un 15%69 de rendimiento de CPU.
Al presupuesto comentado se le puede añadir, por ejemplo, un conjunto de

teclado y ratón Logitech Desktop MK120, junto con un monitor 24” IPS BenQ
GW2480E, totalizando un desembolso aproximado de 1300€ por estación
forense.
68 https://www.cpubenchmark.net/cpu.php?cpu=Intel+Core+i7-8700+%40+3.20GHz&id=3099
69 https://www.cpubenchmark.net/cpu.php?cpu=AMD+Ryzen+7+1700&id=2970

de 160
7 Entorno práctico
7.1 Laboratorio forense
Se presenta, para la ejecución práctica, un laboratorio forense de coste
contenido, en el que se ha optado a nivel de software por las principales
soluciones no comerciales existentes, presentadas en el capítulo anterior.
En cuanto al hardware, el equipamiento está conformado principalmente por un
ordenador portátil, destinado a las labores de adquisición de las evidencias
digitales en la localización del incidente, junto con una estación de trabajo para
el trabajo en el laboratorio.
7.1.1 Equipo de campo

Ordenador portátil: Dell Latitude 5490
 Windows 10 Profesional 64Bits:
 Autopsy/The Sleuth Kit
 Análisis offline: BrowsingHistoryView, Bulk Extractor, ExifTool, La Foca,
TestDisk/PhotoRec, RegistryDecoder, RegRipper, SQLite DB Browser,
Thumbcache_viewer, Thumbs_Viewer, VSC Toolset, , WhatsappXtract,
WhatsApp Viewer Windows Prefecth Files, WinHex
Disco externo: Toshiba USB 3.0 3TB
Memoria USB 1: Preparada con YUMI para alojar las siguientes
distribuciones forenses:
 Distribuciones Kali Linux 2018.3 y Santoku 0.5
Memoria USB 2:
 Adquisición de copias forenses: FTK Imager, OSFMount
 Análisis online: Volatility, LiME, Netstat, PsList, Whatsapp-Key-DB-Extractor
Bloqueador de escritura/adaptador forense: Coolgear USBG-127ASD
Otros dispositivos:
 Cámara digital
 Multilector de tarjetas: SD, miniSD, microSD, ConpactFlahs y SIM
 Cableado: cable USB, miniUSB, microUSB, USB3.0, USB type C y Lightning
7.1.2 Estación forense

Hardware
 Procesador: Intel XEON E1245v3
 RAM: 16GB DDR3
 Almacenamiento intento:
 Disco de sistema: SSD Samsung Evo 860 250GB
Capítulo 7: Entorno práctico Página 79

de 160
 Disco para virtualización: SSD Samsung 830 128GB

 Disco de almacenamiento de evidencias: WD Caviar Blue 4TB
 Disco de almacenamiento de información extraída: WD Caviar Blue 4TB
Software
 Windows 10 Profesional 64Bits:
 Autopsy/The Sleuth Kit
 Adquisición de copias forenses: FTK Imager, OSFMount
 Análisis online: Volatility, LiME, Netstat, PsList, Whatsapp-Key-DB-
Extractor
 Análisis offline: BrowsingHistoryView, Bulk Extractor, Dr Fone, ExifTool,
La Foca, TestDisk/PhotoRec, RegistryDecoder, RegRipper, SQLite DB
Browser, Thumbcache_viewer, Thumbs_Viewer, VSC Toolset,
WhatsappXtract, WhatsApp Viewer Windows Prefecth Files, WinHex
 Distribuciones DEFT X (máquina virtual) y Kali Linux 2018.3 (máquina virtual)
7.2 El suceso a investigar

Bob Killed, tras dos días sin dar señales de vida, es hallado muerto en su casa.
El cadáver presenta 3 impactos de bala. Dichas balas son del calibre 9mm PB y
presentan unas extrañas marcas. Su casa, sin embargo, no muestra signos de
haber sido asaltada, ni la puerta de acceso o las ventanas, forzadas. En el lugar
de los hechos, a falta de más pruebas, no se recuperan vestigios biológicos que
puedan dar una pista de quien ha sido el asesino o asesinos. Y ningún vecino
ha visto ni oído nada al respecto.
Una vez entrevistados con su entorno, las FCSE descubren que Bob había
comenzado a rehacer su vida con una nueva chica, tras una tormentosa relación
con Alice Evil, su novia desde el instituto, a la que había dejado, cansado ya de
sus celos patológicos, hace ya dos años.
Además, los agentes que llevan la investigación recuperan una denuncia puesta
en abril del 2017, en la que Bob había denunciado amenazas telefónicas a altas
horas de la noche y, finalmente, un extraño mensaje en su cuenta de Facebook
desde una cuenta desconocida, “de un tal John Deuoc en el que sin venir a
cuento me amenazada. Que no los volvería a molestar nunca más”.
Las pesquisas realizadas en su momento sólo pudieron averiguar que dicha
cuenta de Facebook era falsa, y que había sido creada desde la conexión a
Internet de la Biblioteca de la UOC, dando como correo electrónico para el alta
en la red social la cuenta johndeuoc@hotmail.com
Deseosos de hablar con Alice, los agentes investigadores descubren que ha
abandonado el país con dos semanas de antelación a los hechos investigados,
sin fecha prevista de vuelta. Sin embargo, esto no significa que se haya llegado
a un callejón sin salida ya que aún existe un sospechoso al que interrogar: un
joven llamado Mallory Fooled, del que comentan algunas amistades de Alice que
parece ser el nuevo pretendiente de la joven.
Se procede a interrogar al susodicho, que en todo momento mantiene que:
 Apenas conoce a Alice, con la que sólo ha coincido en alguna ocasión en el
gimnasio.

de 160
 No sabe nada acerca de unas amenazas a través de Facebook, desde la

cuenta “John DeUOC” y nunca se ha conectado a la WiFi de la Bilblioteca de
la UOC
Ante la actitud nerviosa y nada convincente mostrada por Mallory, los agentes
actuantes solicitan autorización al Juez de Instrucción que lleva el caso para
realizar una diligencia de Entrada y Registro en el domicilio del sospechoso.
En dicho registro, en el que actúa como Fedatario Público el Secretario Judicial
de dicho Juzgado, se encuentran tres dispositivos informáticos: ordenador
portátil del sospechoso, un pendrive USB del que Mallory dice no ser el
propietario ni haberlo visto nunca, y el móvil del sospechoso (encendido y sin
bloqueo por patrón o PIN).
7.2.1 Preparación preliminar

El proceso de preparación de las evidencias físicas ha consistido, en primer
lugar, en eliminar toda información previa que pudieran albergar mediante un
proceso de borrado seguro o wipeado, haciendo uso de la aplicación DBAN70, a
excepción del teléfono móvil (1TEL1), con el que se ha aplicado el procedimiento
consistente en encriptar el espacio de almacenamiento con una clave robusta
para, a continuación, proceder a su restauración a valores de fábrica.
A continuación, se ha verificado que no permanecía ningún dato latente mediante
técnicas forenses de recuperación de datos, basadas tanto en sistema de
ficheros como en data carving.
Una vez cerciorados de la no existencia de información previa, se ha proseguido
recreando las acciones que simulan la actividad de los actores implicados en el
escenario ideado, dando lugar así a las evidencias digitales que se pretende
recuperar.
En los siguientes apartados de este capítulo, para cada evidencia física a
analizar, se ha procedido a detallar las evidencias digitales o ítems que va a
contener, junto con las acciones que el usuario haya realizado, consideradas
relevantes al alterar la trazabilidad o recuperabilidad de dichos ítems.
7.2.2 Evidencias digitales generadas
7.2.2.1 Dificultades encontradas

A pesar de que se ha pretendido ser lo más coherente posible durante la
recreación del escenario de estudio, ajustándola a la narrativa inventada, que se
remonta desde hace dos años atrás hasta el presente, se han encontrado ciertas
dificultades, relativas principalmente a las fechas de los sistemas/acciones, que
han impedido una recreación todo lo fiel que se hubiera deseado en este sentido:
 Al atrasar la fecha de los diferentes sistemas involucrados en el escenario
(portátil, Motorola Moto G e iPhone 5), la navegación web no era posible por
70 https://sourceforge.net/projects/dban

de 160
problemas con los certificados HTTPS, debido al desajuste de fechas entre

cliente (nosotros) y servidor web
 Similar problemática se ha experimentado en ambos smartphones cuando,
con la fecha atrasada, se pretendía utilizar la aplicación WhatsApp, que
dejaba de funcionar, mostrando un mensaje de error en ese sentido
Es por ello que, la línea temporal –un artefacto muy interesante o incluso
fundamental en la vida real- y las diversas fechas recuperadas, tienen que ser
descartadas ya que muestran incongruencias.
Además, es de destacar que las cuentas simuladas de Facebook para Mallory y
Bob, creadas para esta recreación fueron rápidamente detectadas como falsas
e inhabilitadas, por lo que no se pudo generar una gran cantidad de rastros
asociadas a éstas.
7.2.2.2 Ordenador portátil Windows 10 (1POR1)
ÍTEM1_1HD1: Fotos de Alice y Mallory

Fotos (3) de la pareja, realizadas con el Smartphone 1TEL1, copiadas al
ordenador desde el móvil
ÍTEM2_1HD1: Amenazas a Bob por parte de “John DeUOC”

Actividad llevada a cabo usando el navegador Internet Explorer, mediante
la conexión a Internet proporcionada por la red inalámbrica “BiblioUOC”
 Registros de conexión a la red WiFi “BiblioUOC”
 Actividad de creación de la cuenta de correo electrónico
johndeuoc@hotmail.com necesaria para el siguiente punto
 Actividad relacionada con la creación de la cuenta de Facebook “John
Deuoc” desde la que se manda un mensaje amenazante a Bob
ÍTEM3_1HD1: Construcción de una pistola 3D

Rastros generados al emprender la tarea de construir dicha arma de fuego:
 Búsqueda de información relacionada en la red: manuales, foros…
usando el navegador Mozilla Firefox
 Planos descargados en el archivo “Liberator.zip” para imprimir la
pistola “Liberator”
 Manual descargado de la impresora 3D “MakerBot Replicator 2X”

de 160
ÍTEM4_1HD1: Backup del móvil de Alice

Copia de seguridad del móvil “iPhone 5” de Alice, que contiene las
siguientes evidencias digitales:
 Búsquedas en Google indiciarias: “manipular frenos coche”, “contratar
sicario” y ”envenenar animal grande”
 Páginas visitadas, con los asuntos:
 “Prisión por manipular los frenos del coche de su mujer con la que
estaba en trámites…”
 “Detenido por intentar matar a su ex cortando frenos de su coche”
 “Encarcelada por acudir dos veces a Internet para contratar sicarios”
 Foto (1) de Bob realizada con este dispositivo
 Conversaciones (2) de WhatsApp: una con Bob y otra con Mallory
 Contactos (2): Los de Bob y Mallory
ÍTEM5_1HD1: Conexión del dispositivo 1USB1

Registros generados al conectar la memoria USB al ordenador portátil
 Se borran los archivos comprometedores, vaciando la papelera de

reciclaje, y se eliminan los historiales de Internet Explorer y Mozilla
Firefox
7.2.2.3 Memoria USB (1USB1)
ÍTEM1_1USB1: Archivos relacionados con la impresión 3D de una pistola

 Planos de la pistola “Liberator” para impresión 3D
 Manual de uso de la impresora 3D “MakerBot Replicator 2X”
ÍTEM2_1USB1: Venta de impresora 3D

 Fotos (3) de la impresora, realizadas con el Smartphone 1TEL1
 Documento de Word con la redacción del anuncio de venta y las 3
fotos mencionadas (“anuncio.docx”), que se ha redactado creado y
redactado directamente en la memoria
ÍTEM3_1USB1: Foto de Bob realizada con el móvil de Alice

de 160
ÍTEM4_1USB1: Fotos y capturas de Google Maps de la casa de Bob

 Fotos (2) de la casa de Bob realizadas con el móvil de Mallory
 Capturas de pantalla (4) de Google Maps del entorno de la casa de
Bob y ruta de cómo llegar hasta allí, que además se guardan en el
archivo “plan.docx”
• Documento de Word conteniendo las fotos y capturas mencionadas
 Se realiza el formateo la memoria USB (formato rápido)
7.2.2.4 Smartphone con Android (1TEL1)
ÍTEM1_1TEL1: Conversaciones de WhatsApp entre Alice y Mallory

Realizadas a través de dicha aplicación de mensajería, en las que Alice
engaña a Mallory haciéndole creer que Bob le hace la vida imposible, y le
instiga para acabar con su vida, único obstáculo en su relación y felicidad
ÍTEM2_1TEL1: Fotos de Alice y Mallory

Fotos (3) de la pareja, realizadas con el propio móvil, en diversos momentos
y lugares
ÍTEM3_1TEL1: Foto de Bob

Foto (1) recibida de parte de Alice mediante WhatsApp
ÍTEM4_1TEL1: Fotos de una impresora 3D

Fotos (3) de dicha impresora, realizadas para ser utilizadas en un posterior
anuncio de venta de segunda mano
ÍTEM5_1TEL1: Fotos de la casa de Bob

Fotos (2) de la casa del asesinado, realizadas por Mallory
 Se procede a borrar todas las fotos y desinstalar la aplicación de

WhatsApp del teléfono móvil

de 160
8 Ejecución del caso práctico

8.1 Preservación
Durante la diligencia de Entrada y Registro se identifican las siguientes
evidencias, de las que en un primer momento se toma fotografía del lugar y
estado en el que han sido encontradas:
 Ordenador portátil Dell Latitude e5550 con número de serie (S/N) 4HXXXX2,
que se etiqueta como 1POR1
 El ordenador se encuentra apagado, por lo que no procede ninguna
actuación online
 De su interior se extrae un disco duro Hitachi, modelo
HTS541680J9SA00, con 80GB de capacidad y S/N SB22XXXXXXXXXX,
etiquetado como 1HD1
 Memoria USB de 2GB de capacidad, de color oscuro con la inscripción
“cellebrite” y S/N CF54XXXX. Se etiqueta como 1USB1
 Teléfono móvil Motorola Moto G xt1032, con IMEI 359XXXXXXXXXXXXXXX
que queda etiquetado como 1TEL1. Se comprueba que esta encendido y no
presenta protección mediante bloqueo de usuario, por lo que llevan a cabo
las siguientes acciones:
 Se procede a activar el “modo avión” y a conectarlo a la red eléctrica, para
evitar que se apague por falta de batería
 Se comprueba que la cuenta de google que presenta el móvil es
malloryuoc@gmail.com
 Se activa la “depuración USB” y se establece que no se apague la pantalla
tras periodo de inactividad alguno
 De su interior, una vez realizada la adquisición, se tendría que proceder a
extraer su tarjeta SIM, que se etiquetaría como 1SIM1 para su tratamiento.
Aunque la información que albergan dichas tarjetas es cada vez más
residual, se podrían recuperar contactos y mensajes de texto según el
caso, así como el número de abonado (IMSI)
 También, aunque el modelo que nos ocupa no la presenta, si existiera se
tendría que proceder a tratar individualmente la tarjeta SD (1SD1) con la
realización de la correspondiente copia forense
Figura 49: Evidencias físicas ocupadas durante la diligencia de Entrada y Registro

Capítulo 8: Ejecución del caso práctico Página 85

de 160
8.2 Adquisición
Identificadas las evidencias físicas de naturaleza informática que existen en el
lugar, se procede a su tratamiento con el objeto de realizar una adquisición digital
lo más exhaustiva o profunda posible, dejando constancia grafica de las
actuaciones realizadas en el Anexo: Adquisición de las evidencias del caso
Teniendo en cuenta lo hallado, podemos identificar rápidamente que nos
encontramos ante dos evidencias que permiten la realización de su copia forense
(evidencias 1HD1 y 1USB1), junto con otra, el terminal 1TEL1, que sin embargo
requiere un tratamiento online, al menos en este primer momento, pues no hay
garantía de que se pueda realizar una imagen física del mismo, o de que en caso
de que el teléfono se apague/reinicie, no nos encontremos ante algún tipo de
protección o bloqueo en el inicio del sistema que nos evite realizar futuras
operaciones sobre el mismo .
Es por ello que nuestra atención se debe de centrar en el Smartphone del
sospechoso, para que, una vez acabado su tratamiento, prosigamos con las
otras dos evidencias descubiertas. A continuación, se describen las acciones
realizadas para cada una de ellas.
Volcado de datos del dispositivo 1TEL1

Para la adquisición del Smartphone 1TEL1 han de tenerse en cuenta las
características que presenta dicho dispositivo en el momento actual:
 Encendido y sin bloqueo de usuario (patrón, PIN o contraseña)
 Sin presencia de tarjeta SD ni existencia de dicho interfaz (necesario para
realizar una imagen física del dispositivo, mediante acceso ADB con nivel de
root y haciendo uso del comando dd, a una tarjeta SD forense preparada
para ello).
 Sin acceso root y con el bootloader bloqueado
 Versión de Android 4.4.4
Es por todo ello que la actuación posible en este momento, sin perjuicio de un
posible tratamiento posterior y una vez realizadas las primeras actuaciones
descritas en la fase de preservación, consiste en lo siguiente:
 Conexión al portátil forense e instalación de los drivers necesarios
(descargándolos de la página del fabricante si fuera preciso)
 Exportación de los contactos a un fichero CSV en el espacio de
almacenamiento de usuario, acción que no requiere de permisos especiales
 Realización de un volcado de datos, mediante una shell ADB, del espacio
de almacenamiento de usuario, partición para este modelo con
denominación “sdcard” (ya que dicho espacio de almacenamiento se emula
como una memoria SD virtual).
Realizado el volcado, se detecta la presencia de la aplicación de mensajería
instantánea WhatsApp, al existir los archivos de copia de seguridad de la
aplicación. Debido a la cantidad y calidad de la información que suele aportar, y
a que la versión de Android es inferior a la V7.0 y por lo tanto permite explotar la

de 160
vulnerabilidad necesaria, se procede a recuperar, junto con las mencionadas

bases de datos, el archivo “whatsapp.key” con el que éstas se cifran, y a su
posterior descifrado mediante la utilidad WhatsApp-Key-DB-Extractor71
obteniendo así las bases de datos en claro para los mensajes "msgstore.db" y
contactos "wa.db"
La permanencia de los mencionados archivos de respaldo se debe a que,
aunque se elimine la aplicación de mensajería, no se eliminan automáticamente
los mismos, ubicados por defecto en la partición sdcard.
Finalmente, con el conjunto de archivos recuperados mediante el volcado; el
fichero de contactos exportado; y los archivos generados con el script anterior
para WhatsApp, y se procede a su paquetización en un único archivo ZIP (sin
compresión) con el objeto de calcular un único hash para el conjunto, y hacerlo
constar en el documento redactado por el Fedatario Público actuante, quedando
así acreditado que este conjunto de datos ha sido extraído sin ningún género de
duda de la evidencia tratada. Dicho archivo ZIP presenta el hash SHA-256
3dc78ffcbef506db838ad088d5e6c742d67cc0ed469342107b20caef6d6449c0
Copia forense 1HD1

Extraído el disco duro del portátil encontrado 1POR1, y conectado mediante el
adaptador forense al portátil, se procede a la realización de una imagen física
del mismo con el software Guymager, incluido en la distro Kali Linux
En el proceso de adquisición y verificación de la imagen adquirida, que dura
1:12h, se obtiene como resultado una copia forense (dividida en 37 partes por
motivos de operatividad) con hash SHA-256
ac85044150b4dd74479ef63928bf6b4df5be96c87b712f7bdbf7504fb08cd191
Figura 50: Copia forense de la evidencia 1HD1

Copia forense 1USB1

Del mismo modo, con el mismo aplicativo Guymager, se procede con la
memoria USB, obteniendo tras un proceso de 52s de duración, una copia
forense con hash SHA-256
5a80428f185e844ac0fb5f4d961e56201b2d56564c3f4238800785f2a9dddc68
71 https://forum.xda-developers.com/showthread.php?t=2770982

de 160
8.3 Documentación
El proceso de documentación comienza en la fase de preservación, en la que se
le ha descrito al Fedatario Público toda actuación realizada en el ámbito forense
para que así lo haya reflejado en el acta que está redactando, Acta de Entrada
y Registro para este caso particular.
Esto incluye la descripción detallada de las evidencias encontradas (lugar y
estado), la etiquetación utilizada para identificar a partir de este momento a cada
una de ellas, las actuaciones realizadas sobre las mismas, y los resultados
obtenidos, siendo trascendental la inclusión de las firmas digitales de las
adquisiciones realizadas para el mantenimiento de su total validez legal.
Posterior a su tratamiento, se realiza el depósito de las evidencias físicas, que
quedan bajo su custodia a disposición de la Autoridad Judicial, dejando
constancia igualmente de este hecho en el Acta de Entrada y Registro,
comenzando así la cadena de custodia.
Por otra parte, las actuaciones técnicas que se van a llevar a cabo en la fase de
análisis, en un caso real se recogerían en el correspondiente informe forense,
junto con los resultados obtenidos. Dichas cuestiones, se presentan de una
manera informal en esta memoria en los dos siguientes puntos de este capítulo:
Análisis y Resultados.
8.4 Análisis
En esta fase del proceso se procede a explotar las adquisiciones realizadas, con
el propósito de recuperar la información relevante para el hecho que se está
investigando.
Figura 51: Extracto de conversación de WhatsApp. Evidencia 1TEL1

El análisis del volcado de la evidencia 1TEL1 se realizará en principio de forma

manual, mientras que para las evidencias 1HD1 y 1USB1 se utilizará Autopsy

de 160
8.4.1 Análisis de la evidencia 1TEL1

Se procede a analizar la información obtenida en el proceso de adquisición
anteriormente descrito, con el siguiente resultado, de acuerdo a lo reflejado en
el Anexo: Análisis de la evidencia 1TEL1
Los resultados obtenidos son los siguientes:
 Archivos recuperados: Realizada la limpieza de la información recuperada,
ésta se resume en dos ficheros de audio (tonos) sin trascendencia, una
imagen de la pareja Mallory y Alice enviada mediante WhatsApp (sin
metadatos)
 Contactos: Se recuperan los contactos exportados, consistentes en este
caso en un único contacto, el del número de teléfono de Alice que aparece
guardado como “Amor”
 WhatsApp: Gracias a la explotación de la vulnerabilidad comentada, se
puede proceder a la visualización de los mensajes intercambiados entre la
pareja de sospechosos, y a su posterior exportación a otro formato como
HTML, muy cómodo para elaborar informes o mostrar resultados, mediante
la utilidad WhatsApp Viewer72:
Tratamiento pendiente
El tratamiento que queda pendiente para este caso, en el caso de que fuera
necesario profundizar en la adquisición a más bajo nivel (volcado con permiso
de root o imagen física de la memoria del terminal), consistiría en realizar un
nuevo proceso de adquisición, provistos de la herramientas necesarias para
ello, en el que practica las actuaciones que a continuación se enumeran.
Hay que tener presente que con estas operaciones, se estaría alterando la
evidencia física, por lo que, según el caso habría que recabar primero la
autorización pertinente. Y que podrían surgir problemas asociados, que dejaran
al terminal en un estado de inoperabilidad (temporal o incluso permanente).
Si se opta por continuar con este tratamiento, habría que ser extremadamente
excrupuloso, recabando toda la información previa para asegurar una correcta
ejecución de las imprescindibles operaciones a realizar, y documentar con el
máximo rigor todo el proceso, de acuerdo con la filosofía forensically sound.
Para el modelo que nos ocupa, Motorola xt1032, el proceso consiste en:
 Desbloqueo del bootloader
 Para el modelo en cuestión, es necesario solicitar el código de desbloqueo
(UNIQUE_KEY) directamente a Motorola, a través de la URL: https://motorola-
global-portal.custhelp.com/cc/cas/sso/redirect/standalone%2Fbootloader%2Funlock-your-device-b
 Con el código facilitado por Motorola, se procedería a desbloquear el

bootloader, con el teléfono previamente iniciado en modo fastboot:
fastboot oem unlock UNIQUE_KEY
72 https://andreas-mausch.de/whatsapp-viewer

de 160
 Rooteo del terminal. En muchas ocasiones, es necesaria como condición

previa la instalación de un recovery modificado desde el que instalar la
aplicación que va a conseguir la escalada de privilegios de root
 El recovery modificado para el xt1032 se puede descargar desde la
dirección: https://dl.twrp.me/xt1032/twrp-3.2.1-0-xt1032.img.html
 Una vez descargado, se procede a su instalación y posterior reinicio, en
este caso en modo normal:
fastboot flash recovery recovery.img
fastboot reboot
 Se procede a copiar la aplicación de rooteo SuperSU, en su versión ZIP
para recovery, descargada desde su página web:
http://www.supersu.com/download a la memoria interna del teléfono.
adb push supersu.zip /sdcard/supersu.zip
adb reboot recovery
 Reiniciado en modo recovery, se procede a su instalación mediante la
opción “Install Zip” y se reinicia normalmente
 Finalmente, ya se estaría en disposición de realizar la imagen física, a

través de la shell ADB, con destino la estación forense a través de netcat y
el puerto 8888 (ya que el teléfono no tiene puerto para tarjetas SD, que sería
la otra posible opción de destino de la copia forense):
adb -d shell
su [aceptar en el teléfono la activación del modo root]
adb forward tcp:8888 tcp:8888
dd if=/dev/block/mmcblk0 | busybox nc -l -p 8888
nc 127.0.0.1 8888 > device_image.dd
8.4.2 Análisis de la evidencia 1HD1

Para esta evidencia, el análisis ha consistido en su tratamiento con la suite
forense Autopsy, dejando constancia grafica de los pasos realizados para el
procesado de la imagen forense del dispositivo en el Anexo: Análisis de la
evidencia 1HD1 en el que además se recogen el resto de actuaciones realizadas
para esta evidencia, que a continuación se describen.
En primer lugar, se crea el nuevo caso para el suceso a investigar, rellenando
una serie de datos necesarios para darlo de alta.
A continuación, se procede a añadir las “fuentes de datos”, esto es, la imagen
física del disco duro (se selecciona el primer fragmento de la imagen física) y a
establecer los módulos con las funcionalidades que se consideran interesantes
para su explotación: en principio, ante el desconocimiento de lo que pueda
albergar dicha evidencia, se establece la ejecución de todos los módulos ingest.
Se destaca que, para el modulo “Keyword Search” cuya funcionalidad es
encontrar las cadenas de texto o “strings” especificadas, se establece la
búsqueda automática para los términos “Bob”, “Alice”, “BiblioUOC”, “John” y

de 160
“Deuoc” de los cuales tenemos conocimiento previo que son de interés. Si fuera
preciso, en sucesivas iteraciones de este módulo, se pueden refinar nuevas
búsquedas añadiendo nuevos términos.
Finalizado el proceso de explotación por parte de Autopsy, queda patente que,
a pesar de ser un disco duro de una capacidad pequeña (80GB) para lo que es
habitual en la actualidad, la cantidad de archivos, ítems y objetos que deben de
ser revisados en todo análisis forense es realmente considerable. Por ello
siempre es bienvenida toda asistencia que las herramientas forenses puedan
aportar, y facilitar así la labor del analista. Escudriñando los primeros productos
obtenidos, se abren las líneas de análisis que se presentan seguidamente.
Figura 52: Explotación de la evidencia 1HD1 con Autopsy

Keyword Search
Con 1239 positivos para los 5 términos relevantes introducidos a priori, se
destaca la siguiente información:
 Término “Alice” (151):
 Ubicado en “/users/mallory/AppData/Roaming/Apple Computer/MobileSync/Backup”
encontramos una copia de seguridad del móvil iPhone de Alice, en el que
se han encontrado conversaciones de WhatsApp tanto con Bob como
con Mallory
 Aparece un usuario “Alice” en el equipo

de 160
 Término “BiblioUOC” (27): Se encuentran diversos rastros referentes a

dicha red WiFi, entre las que también aparecen la red WiFi de la casa de
Mallory (“MalloryHomeWifi”) y de Alice (“AliceHomeWifi”)
 Término “Bob” (744): Existen rastros de este término en el backup de Apple
mencionado: Un contacto con dicho nombre, y conversaciones de
WhatsApp
 Término “Deuoc” (7): Existen vestigios de actividad en la cache del
navegador Internet Explorer referente a:
 Correo web de Outlook (“Mail - John deUOC – Outlook”)
 Usuario de Facebook (“John Deuoc
https://www.facebook.com/john.deuoc.5”)
 Término “John” (310): Los vestigios de interés son los mismos que los
encontrados para “Deuoc”
Se obtiene además una enorme cantidad de resultados para las categorías de
URLs (502274), Phone Numbers (2915) y Email Addresses (10276),
resultados que al estar basados en fórmulas regulares pueden carecer de interés
en algunos casos, pero que independientemente de ello, requieren un elevado
tiempo de estudio.
Registro de Windows
Detectado que se trata de una máquina con Windows, se continua con el
tratamiento de los ficheros del Registro, que proporcionarán en la mayoría de los
casos información de relevancia, tanto de la maquina como del propio usuario.
Aunque Autopsy ya nos recupera cierta información extraída del propio registro,
se procede a extraer los archivos que lo conforman (DEFAULT, SAM,
SECURITY, SOFTWARE, SYSTEM y NTUSER) y a su tratamiento con la utilidad
Registry Decoder, aplicación que para cada uno de estos archivos presenta una
serie de plugins especializados en extraer una información particular y
presentarla de una manera clara y amigable. De este proceso, obtenemos los
siguientes resultados:
 SO: Windows 10 Pro (Build 17134)
 Nombre del equipo: MALLORY-PC
 Usuarios: Administrador, Mallory y Alice
 El equipo se ha conectado en al menos una ocasión a la red WiFi
“BiblioUOC”
 El dispositivo FLASH USB con S/N CF54XXXX (1USB1) se ha conectado en
al menos una ocasión al portátil 1POR1
 Documentos recientes: En esta lista existe, entre otros, referencia a los
siguientes archivos:
 plan.docx
 MakerBot_Replicator_2X_User_Manual.pdf
 anuncio.docx
 Liberator.zip

de 160
Archivos recuperados
A excepción del archivo borrado “Liberator.zip” que se ha podido recuperar en
su ubicación original (“/Usuarios/Mallory/Descargas”), el resto de información
recuperada archivos han necesitado de data-carving para su recuperación:
 Archivos correspondientes al ÍTEM1_1HD1: Fotos de Alice y Mallory
 Se ha recuperado una de las tres fotos eliminadas de la pareja que se
almacenaban en los documentos del usuario antes de ser eliminadas
definitivamente
 Archivo del ÍTEM3_1HD1: Construcción de una pistola una impresora 3D
 Se ha recuperado el archivo con los planos de la pistola 3D (archivo
borrado “Liberator.zip” recuperado del directorio de descargas del
usuario)
 No se ha recuperado el manual de la impresora 3D
Sin embargo, se han obtenido tres resultados reseñables que se deben destacar:
 Archivo del ÍTEM2_1USB1: Venta de impresora 3D
 Se ha podido recuperar una de las fotos realizadas por Mallory para
utilizarla en el anuncio de venta de la impresora, a pesar de que como se
ha comentado, este anuncio y la copia de las fotos desde el móvil 1TEL1
se realizó exclusivamente a la memoria 1USB1. Dicha foto se ha
recuperado del “espacio no asignado”, posiblemente de una ubicación
ocupada por el archivo de paginación en un momento pasado
 Analizando las imágenes recuperadas, se recuperan muchas de ellas, de
tipo PNG, creadas como consecuencia de actividad de navegación web,
destacando la temática común que presentan, las impresoras 3D, y de entre
ellas, especialmente las 2 imágenes de pistolas impresas con dicha
tecnología
Figura 53: Miniaturas extraídas del archivo “thumbcache_1280.db”

 Archivos de miniaturas
 Del archivo de miniaturas “thumbcache_1280.db”, una vez procesado con
la utilidad thumbcache_viewer, se han podido recuperar las miniaturas
de las 3 fotos del ÍTEM1_1HD1 así como de las otras 3 fotos del ítem
ÍTEM2_1USB1

de 160
Actividad en Internet
En cuanto a la actividad en Internet, destaca la práctica ausencia de resultados
en la categoría Web Bookmarks, en la que se obtiene 7 URLs que además
carecen de interés, por lo parece que, de momento, el borrado del historial de
los navegadores Internet Explorer y Mozilla Firefox ha conseguido su finalidad.
Se procede a recuperar de la imagen forense el perfil del usuario Mallory, dentro
del cual se encuentran albergadas las cachés de los mencionados navegadores
web, para ser tratadas con la herramienta BrowsingHistoryWeb y comprobar si
ofrece mejores resultados que los ya obtenidos. Realizado el proceso, se
recuperan 42 entradas, un número superior pero igualmente sin relevancia.
Para finalizar el tratamiento automatizado de este tipo de artefactos se
aprovecha la posibilidad existente de descargar un trial de 30 días, totalmente
funcional, de la aplicación comercial Internet Evidence Finder y comprobar su
desempeño. Sin embargo, los nuevos resultados que consigue obtener IEF de
interés para el caso se circunscriben a la recuperación de dos búsquedas
realizadas:
 “maps calle alfonso decimo el sabio lugo” (dirección de la casa de Bob)
 “makerbot replicator 2x manual”
Igualmente ha quedado patente que la eliminación del historial de navegación
web por parte del usuario para dificultar la labor de los investigadores ha
conseguido en cierta medida su objetivo, por lo menos de manera parcial, hasta
que se realice una búsqueda manual, bastante laboriosa, tal y como se va a
describir en el apartado de tratamiento pendiente.
Backup de iPhone
Gracias a la búsqueda del término “Alice” se ha detectado de inmediato la
existencia de una copia de seguridad en el ordenador de Mallory de lo que
parece ser el teléfono Iphone de la sospechosa.
Se procede al volcado desde su ubicación en
“/users/mallory/AppData/Roaming/Apple Computer/MobileSync/Backup y al
posterior tratamiento con el aplicativo Dr Fone, que nos va a permitir la
visualización gráfica de su contenido sin tener que realizar el análisis “a mano”.
La información de relevancia para el caso, que encontramos en dicho backup,
se resume a continuación:
 Dispositivo: iPhone 5 (iOS 10.3.3) con S/N C38XXXXXXX
 Se recuperan dos fotos: Una de la pareja Alice y Mallory, y la otra de Bob
 Figuran dos contactos en el dispositivo: el de Bob, y el de Mallory (que
aparece guardado como “Tontito”)
 Se recuperan dos conversaciones de WhatsApp, una con Mallory, que
concuerda con la recuperada en smartphone Android del sujeto, y otra con
Bob, en la que lo acosa verbalmente por haberla dejado
 Búsquedas en Google:
 “manipular frenos coche”

de 160
 “contratar sicario”
 “envenenar animal grande”
 Páginas visitadas:
 “Detenido por intentar matar a su ex cortando frenos de su coche”
 “Prisión por manipular los frenos del coche de su mujer con la que estaba
en trámites…”
 “Encarcelada por acudir dos veces a Internet para contratar sicarios”
Tratamiento pendiente
A la vista del resultado obtenido en la parcela de actividad en Internet por parte
de las herramientas utilizadas, el tratamiento pendiente para este dispositivo
consistiría en el análisis manual de los archivos de cache web eliminados,
archivo de paginación, archivo de hibernación y espacio no asignado, en
búsqueda de las trazas de actividad deseada, su análisis pormenorizado y su
posterior documentación para argumentar los hallazgos realizados.
Para guiar esta búsqueda e identificar las ubicaciones en las que profundizar,
sería recomendable (casi obligatorio) utilizar los resultados obtenidos por el
módulo keyword search, refinando la lista de términos a buscar por una parte, y
teniendo en cuenta los resultados basados en expresiones regulares para
direcciones web y direcciones de correo por la otra.
Además, las imágenes PNG de tamaño contenido que nos han llamado la
atención, características de ser un producto residual de actividad de navegación
web, también aportan información acerca de la actividad que se ha mantenido
en el equipo y de la que por lo tanto puede permanecer algún indicio a la espera
de ser descubierto.
8.4.3 Análisis de la evidencia 1USB1

Para la memoria USB, se procede de manera análoga con el software Autopsy,
como se puede comprobar en el Anexo: Análisis de la evidencia 1USB1
Finalizado el proceso de explotación por parte de la herramienta forense, se
consiguen recuperar mediante data-carving todos los ficheros buscados:
 Archivos correspondientes al ÍTEM1_1USB1: Archivos relacionados con la
impresión 3D de una pistola
 Planos de la pistola “Liberator” para impresión 3D (archivo f0550336.zip)
 Manual de uso de la impresora 3D “MakerBot Replicator 2X” (archivo
f0015232.pdf)
 Archivos relativos al ÍTEM2_1USB1: Venta de impresora 3D
 Fotos (3) de la impresora, realizadas con el Smartphone 1TEL1 (archivos
f0001984.jpg, f0003840.jpg y f0005824.jpg)
 Documento de Word con la redacción del anuncio de venta y las 3 fotos
mencionadas (archivo f0009600.docx)

de 160
 Archivo del ÍTEM3_1USB1: Foto de Bob realizada con el móvil de Alice

(archivo f0029568.jpg)
 Archivos correspondientes al ÍTEM4_1USB1: Fotos y capturas de Google
Maps de la casa de Bob
 Fotos (2) de la casa de Bob realizadas con el móvil de Mallory (archivos
f0039360.jpg y f0041472.jpg)
 Capturas de pantalla (4) de Google Maps del entorno de la casa de Bob y
ruta de cómo llegar hasta allí (archivos f0033088.jpg, f0034496.jpg,
f0035008.jpg y f0044096.jpg)
Figura 54: Archivos recuperados de la evidencia 1USB1

Comprobados los metadatos, se evidencia que:

 Las fotos de la impresora 3D han sido realizadas con un Motorola xt1032.
Además se recogen las coordenadas GPS de dónde fueron realizadas.
 Las fotos de la casa de Bob igualmente han sido realizadas con un terminal
xt1032 (con sus coordenadas GPS correspondientes)
 La foto de Bob ha sido realizada con un iPhone 5. De nuevo, aparecen las
coordenadas GPS de la toma
 Los documentos de Word han sido elaborados por un usuario con
denominación Mallory
 Las capturas de pantalla de Google Maps no presentan información adicional
8.5 Resultados obtenidos

8.5.1 Evidencias digitales recuperadas
1HD1
ÍTEM1_1HD1: Fotos de Alice y Mallory

Fotos (3) de la pareja, realizadas con el Smartphone 1TEL1, copiadas
al ordenador desde el móvil 1TEL1

de 160
ÍTEM2_1HD1: Amenazas a Bob por parte de “John DeUOC”

Actividad llevada a cabo usando el navegador Internet Explorer, mediante
la conexión a Internet proporcionada por la red inalámbrica “BiblioUOC”
 Registros de conexión a la red WiFi “BiblioUOC”
 Actividad de creación de la cuenta de correo electrónico
“johndeuoc@hotmail.com” necesaria para el siguiente punto
 Actividad relacionada con la creación de la cuenta de Facebook
“John Deuoc” desde la que se amenaza a Bob
ÍTEM3_1HD1: Construcción de una pistola una impresora 3D

Rastros generados al emprender dicha tarea:
 Búsqueda de información relacionada en la red: manuales,
foros… usando el navegador Mozilla Firefox
 Planos descargados en el archivo “Liberator.zip” para imprimir
la pistola “Liberator”
 Manual descargado de la impresora 3D “MakerBot Replicator 2X”
ÍTEM4_1HD1: Backup del móvil de Alice

Copia de seguridad del móvil “iPhone 5” de Alice, que contiene las
siguientes evidencias digitales:
 Búsquedas en Google indiciarias: “manipular frenos coche”,
“contratar sicario” y ”envenenar animal grande”
 Páginas visitadas, con los asuntos:
 “Prisión por manipular los frenos del coche de su mujer con la
que estaba en trámites…”
 “Detenido por intentar matar a su ex cortando frenos de su
coche”
 “Encarcelada por acudir dos veces a Internet para contratar
sicarios”
 Foto (1) de Bob realizada con este dispositivo
 Conversaciones (2) de WhatsApp: una con Bob y otra con
Mallory
 Contactos (2): Los de Bob y Mallory
ÍTEM5_1HD1: Conexión del dispositivo 1USB1

Registros generados al conectar la memoria USB al ordenador portátil
Para esta evidencia física, se han conseguido resultados dispares para los
diferentes ítems generados, pero dentro de lo que cabría esperar, al tratar con
información borrada, que como ya se ha visto en este trabajo, queda expuesta a
ser sobrescrita con nuevo contenido:
 Respecto a las fotos de Alice y Mallory, sólo se ha podido recuperar una de
ellas. Sin embargo, mediante el fichero de miniaturas correspondiente, si se

de 160
ha podido demostrar que en algún momento pasado, dichas fotos han estado
presentes en el sistema Windows que se ejecutaba en la evidencia 1POR1
 Relacionado con las amenazas a través de Facebook, en este estadio del
análisis se ha podido concretar:
 El equipo 1POR1 presenta rastros, en el registro de Windows,
relacionados con la conexión a la red WiFi con SSID “BiblioUOC”
 Se han recuperado trazas de actividad relacionadas con la cuenta de
correo “johndeuoc@hotmail.com” por un lado, y con la cuenta de
Facebook ““John Deuoc” por la otra, quedando pendiente una mayor
profundización en este sentido
 Acerca de a la actividad en Internet, se han recuperado unas pocas trazas
relacionadas con las actividades buscadas, quedando pendiente un
tratamiento manual más exhaustivo. La eliminación de los historiales de los
navegadores utilizados ha conseguido dificultar la investigación, de
momento
 Si hablamos de los indicios sobre la impresora 3D y su utilización, solo se ha
podido recuperar los planos descargados de la pistola “Liberator”
 Del backup del dispositivo iPhone se ha podido recuperar toda la información
de interés, al no haber sido almacenado encriptado, algo que posiblemente
hubiera imposibilitado tal logro
 Y de nuevo, gracias al registro de Windows, ha quedado demostrado que la
memoria 1USB1 ha estado conectada al portátil 1POR1
1USB1
ÍTEM1_1USB1: Archivos relacionados con la impresión 3D de una pistola

 Planos de la pistola “Liberator” para impresión 3D, comprimidos
en el archivo “Liberator.zip”
 Manual de uso de la impresora 3D “MakerBot Replicator 2X”
ÍTEM2_1USB1: Venta de impresora 3D

 Fotos (3) de la impresora, realizadas con el Smartphone 1TEL1
 Documento de Word con la redacción del anuncio de venta y
las 3 fotos mencionadas
ÍTEM3_1USB1: Foto de Bob realizada con el móvil de Alice
ÍTEM4_1USB1: Fotos y capturas de Google Maps de la casa de Bob

 Fotos (2) de la casa de Bob realizadas con el móvil de Mallory
 Capturas de pantalla (4) de Google Maps del entorno de la
casa de Bob y ruta de cómo llegar hasta allí
 Documento de Word conteniendo dichas fotos y capturas
En cuanto a la memoria USB, se han obtenido los resultados esperados:

de 160
 Se han recuperado todas las evidencias digitales generadas (archivos), pues

para su eliminación no se ha realizado un formato completo de la memoria,
ni se han copiado nuevos archivos que pudieran sobrescribir la información
latente allí existente
 Debido a la destrucción del sistema de ficheros previo (al realizar el formateo
rápido), los archivos se han podido recuperar únicamente mediante data-
carving perdiendo con ello cualquier información complementaria
dependiente del SF (ubicación, nombre, fechas del sistema…)
 No obstante, sí que han mantenido los metadatos incrustados en su cuerpo,
dejando claro que las fotos recuperadas se han realizado con smartphones
de la misma marca y modelo que los implicados en el caso. Presentan
además, la valiosa información de la fecha y lugar (coordenadas GPS) de
donde fueron realizadas
1TEL1
ÍTEM1_1TEL1: Conversaciones de WhatsApp entre Alice y Mallory

Realizadas a través de dicha aplicación de mensajería, en las que Alice
engaña a Mallory haciéndole creer que Bob le hace la vida imposible, y le
instiga para acabar con su vida, único obstáculo en su relación y felicidad
ÍTEM2_1TEL1: Fotos de Alice y Mallory

Fotos (3) de la pareja, realizadas con el propio móvil, en diversas ocasiones
ÍTEM3_1TEL1: Foto de Bob

Foto (1) recibida de parte de Alice mediante WhatsApp
ÍTEM4_1TEL1: Fotos de una impresora 3D

Fotos (3) de dicha impresora, realizadas para ser utilizadas en un posterior
anuncio de venta de segunda mano
ÍTEM5_1TEL1: Fotos de la casa de Bob

Dos fotos de la casa del asesinado, realizadas por Mallory
Referente al teléfono móvil, tenemos lo siguiente:

 Al haber realizado un volcado de datos con permisos de usuario no se han
podido recuperar archivos borrados, ni se ha tenido acceso a la información
protegida por el sistema.
 Para recuperar dicha información será preciso realizar una nueva extracción
a más bajo nivel, realizando las operaciones ya comentadas para preparar
la evidencia
 Por fortuna, al presentar una versión de Android antigua, se ha podido
explotar una vulnerabilidad relacionada con dicho sistema y recuperar las
conversaciones de WhatsApp

de 160
8.5.2 Resultados relevantes para la investigación

Con lo practicado hasta el momento, podemos concluir que se han realizado
hallazgos relevantes para la investigación, que permiten avanzar con la misma:
 Mallory conoce perfectamente a Alice, con la que todo indica que mantiene
una relación sentimental.
 Aunque Mallory lo niegue, su ordenador se ha conectado en alguna ocasión
a la WiFi “BiblioUOC”. Y existen rastros de actividad en dicho portátil
relacionados con las cuentas de correo y de Facebook por lo que todo parece
indicar que él es quien está detrás de las amenazas que recibió Bob en dicha
red social tiempo atrás
 En cuanto al arma homicida, todo apunta a que se trata de una pistola
fabricada por el propio Mallory con una impresora 3D a partir de los planos
“Liberator” descargados de Internet
 Mallory también contaba entre sus archivos con una foto del difunto, junto
con algunas de la casa del mismo, en lo que parece un plan para cometer el
homicidio
 La desaparecida Alice se destapa como la instigadora del crimen
8.6 Consideraciones finales

Este caso práctico pretende ser una primera toma de contacto con la labor
forense informática, aplicada a un sencillo escenario en el que el actor principal,
y sujeto de la investigación, toma ciertas precauciones y realiza determinadas
acciones para eliminar las pruebas que lo incriminan, pero que finalmente no
consigue alcanzar su objetivo, al ser más arduo de lo que podría imaginar.
A pesar de los problemas sufridos para mantener la coherencia en las fechas
del caso práctico, ha servido para alcanzar los objetivos con los que fue ideado:
 Contextualizar los conceptos básicos presentados en este trabajo
 Ejemplificar el tratamiento de diversos dispositivos informáticos o
electrónicos de diferente naturaleza y, por lo tanto, con diferente enfoque de
explotación, mostrando el funcionamiento básico de las herramientas
forenses no comerciales escogidas
 Presentar las dificultades existentes en la labor forense:
 Algunas inherentes a la propia labor, como el alto número de artefactos
que se tienen que tener en cuenta según el sistema tratado, y el enorme
volumen de información y archivos que se recuperan normalmente, que
requieren su tiempo de análisis, cribado y selección
 Otras determinadas por el tipo de dispositivo que se está analizando,
especialmente cuando se trata de dispositivos móviles, en los que el
acceso a bajo nivel se complica
 Las últimas, como consecuencia de las acciones de los usuarios
protagonistas de los incidentes, buscando eliminar la información que les
compromete, que se conocen en este ámbito como medidas anti forense
 Destacar la importancia de interrelacionar las evidencias físicas
encontradas, como piezas del mismo puzle que se pretende reconstruir, que
van aclarando lo acaecido a medida que se van ensamblando

de 160
9 Conclusiones
Este trabajo nació con el objetivo fundamental de recabar y presentar de una
forma accesible y compresible, los conceptos básicos de la Informática Forense
a todo aquel que, teniendo un perfil ligeramente técnico, esté interesado en este
campo.
Para ello se ha concebido este proyecto como una introducción, a modo de guía,
en la que se ha prestado especial atención a los conceptos clave de la disciplina
forense informática: los aspectos técnicos sobre los que se sustenta, los
requisitos legales y normativos que la gobiernan junto con las buenas prácticas
recomendadas, así como las fases existentes en el procedimiento de análisis
forense digital.
A continuación, se ha procedido a presentar las herramientas forenses
existentes en el mercado actual. Con la premisa de facilitar la labor de
implementar un laboratorio forense perfectamente funcional pero sin que ello
suponga un enorme desembolso económico, a nivel de software se ha hecho
especial hincapié en las principales soluciones no comerciales, y a nivel de
hardware se han discutido los requisitos mínimos que se deben observar a la
hora de implementar un sistema de escritorio como estación forense con una
buena relación calidad/precio.
Por último, se ha recreado un escenario ficticio en el que aplicar el conocimiento
adquirido y, de paso, servir de pequeño tutorial para la ejecución del
procedimiento de análisis forense haciendo uso de las utilidades escogidas.
Durante el desarrollo de esta memoria se ha podido profundizar en ciertos
aspectos o fenómenos, que requerían de un mayor detalle para su mejor
entendimiento; han quedado patentes algunas de las principales problemáticas
de la labor forense; y se han podido destacar ciertas carencias del estado actual
de la técnica, que abren nuevas vías de desarrollo que la ciencia forense
informática deberá afrontar.
Se considera que se han alcanzado los objetivos de esta primera aproximación
a la Informática Forense -al menos desde su dimensión recopilatoria y
centralizadora de conocimiento- a pesar de todo aquello que no ha podido ser
abarcado en mayor profundidad que, sin embargo, constituyen excelentes líneas
de trabajo futuro, algunas de ellas proyectos complementarios ideales a esta
introducción.
En cuanto a la planificación, se ha podido cumplir con la inicialmente establecida
sin mayores cambios que la redistribución del capítulo concebido en origen para
las definiciones y conceptos en dos capítulos independientes: el primero de ellos,
relativo a las definiciones formales, previo al capítulo del marco legal, y el
segundo, con los aspectos técnicos, antecediendo al procedimiento forense.
Sobre la metodología aplicada, en la que desde una base teórica se va
progresando hacia una aplicación práctica, se considera que queda en la mano
del lector de este documento el valorar su idoneidad para sacarle provecho a las
labores de investigación, divulgación y experiencia aquí expuestas.
Capítulo 9: Conclusiones Página 101

de 160
9.1 Líneas de trabajo futuro

Debido a que posiblemente no constituyen el objetivo fundamental de una
primera aproximación a la Informática Forense, junto con las limitaciones de
tiempo y extensión existentes para su elaboración, se ha dejado fuera del caso
práctico escenarios como el análisis forense online, el forense en red, y el
análisis de una maquina con un sistema operativo de la familia GNU/Linux,
situaciones que sería interesante afrontar desde la misma perspectiva no
comercial que subyace en este trabajo, constituyéndose así un excelente
proyecto complementario al actual.
Además, aunque se han esbozado –y en algunos casos, padecido- alguna de
las problemáticas o dificultades propias de este campo, y se han remarcado sus
tendencias actuales, tampoco se ha podido profundizar en ellas, por las mismas
razones que las arriba expuestas. Sin embargo, por la relevancia que claramente
están alcanzando o alcanzarán en el ámbito forense informático, estas materias
señalan interesantes líneas de trabajo, también complementarias a este
proyecto. A saber:
 Análisis forense de dispositivos móviles: En los que se da la dicotomía
de que, mientras que progresivamente van tomando mayor importancia por
el aumento en la cantidad y calidad de información que capturan de sus
usuarios, del mismo modo aumentan las dificultades intrínsecas de su
tratamiento forense, ya que tanto los fabricantes de los mismos como los
propios usuarios, cada vez están más concienciados en la protección de sus
sistemas y datos personales, a lo que hay que añadir encima la escasísima
y desactualizada oferta de desarrollos software no comerciales específicos
para estos dispositivos.
 Análisis forense de contenido en la nube y redes sociales: Que en
sintonía de lo comentado para los dispositivos móviles, cada vez capturan
más y más información de carácter personal al aumentar la oferta, uso e
integración de los servicios de esta naturaleza. Sintomático de ello,
encontramos que los esfuerzos de los principales fabricantes de software
forense están alineados en esta dirección.
 Problemática de las memorias NAND Flash desde el punto de vista
forense. Con una presencia en aumento en su forma de discos SSD, debido
a su progresivo abaratamiento de costes y grandes ventajas (gran
desempeño, bajísimo consumo y calentamiento, ausencia de ruidos y
vibraciones). En un mercado en el que actualmente coexisten, parece segura
su futura predominancia sobre los tradicionales discos mecánicos, por lo
menos como discos principales o de sistema.
 Medidas anti forense: Usuarios paulatinamente mejor informados y
concienciados, junto con técnicas cada vez más elaboradas, muchas
integradas en los propios sistemas informáticos: encriptación de datos;
borrado seguro; navegación anonimizada; eliminación de historiales y cache
web, esteganografía, ofuscación de contenido…
Capítulo 9: Conclusiones Página 102

de 160
10 Glosario
Atomicity, Consistency, Isolation and Durability. Propiedades de
ACID las transacciones de los sistemas de gestión de bases de datos.
Anonimizar Convertir en anónimo. Conseguir que no sea posible identificar al

autor de una obra, acción o dato.
APK Android Application Package. Formato de archivo que se usa para

empaquetar las aplicaciones Android.
Gestor de arranque de un sistema informático que ejecuta las

B ootloader instrucciones necesarias para iniciar el SO del dispositivo
CCTV Circuito cerrado de televisión.
CERT Computer Emergency Response Team. Un Equipo de Respuesta

ante Emergencias Informáticas es un centro de respuesta a
incidentes de seguridad en tecnologías de la información.
Chip-off Método de recuperación del contenido de un chip de memoria

consistente en desoldarlo de la placa base y conectarlo a un lector
para copiar su contenido.
CPU Central Processing Unit. Microprocesador del sistema,

componente que gobierna y ejecuta la mayoría de cálculos del
mismo.
Docking Puerto o bahía de la caja del ordenador que permite conectar

rápidamente un disco duro de tipo interno desde el exterior.
station
Erasable Electronic Programable Read-Only Memory. Memorias
EEPROM ROM que permiten su escritura (modificación) de manera sencilla,
mediante impulsos eléctricos, pero que mantienen la filosofía de
estar pensadas esencialmente para ser leídas.
EML Formato de archivo para correos electrónicos.
Encriptar Ocultar una información en base a una clave de cifrado
eSATA external SATA. Interfaz para dispositivos SATA externos.

Esteganografía Estudio y aplicación de técnicas que permiten ocultar mensajes u
objetos dentro de otros, denominados portadores.
Protocolo de diagnóstico de sistemas Android cuya función

FastBoot principal consiste en modificar el sistema de ficheros del
dispositivo mediante una conexión USB desde un ordenador
Capítulo 10: Glosario Página 103

de 160
Flash Tipo de memoria, de naturaleza EEPROM, que permite la lectura

y escritura de múltiples posiciones de memoria en la misma
operación, con una velocidad muy superior a la de los
tradicionales dispositivos magnéticos de almacenamiento. No
volátil.
Flashear Acción de reemplazar el firmware o ROM existente en un

dispositivo informático, sobrescribiendo su memoria (Flash).
GNU is Not Unix. Núcleo de los sistemas coloquialmente

G NU/Linux conocidos como Linux, producto de la unión de los proyectos GNU
(GNU is Not Unix) y el kernel Linux de Linus Torvalds, que puede
ser utlizado, modificado y redistribuido libremente bajo licencia
GPL.
GPS Global Positioning System. Sistema de navegación por satélite

compuesto por una red de 24 satélites.
GPT GUID Partition Table. Estándar para la implementación de la tabla

de particiones en dispositivos de almacenamiento. Forma parte del
estándar Extensible Firmware Interface (EFI) propuesto para
reemplazar el tradicional BIOS.
GUI Graphic User Interfaz. Interfaz de tipo grafico o visual que ofrecen
la mayoría de programas para interactuar con el usuario
Todo equipo informático que posee una dirección IP y que se

Host encuentra interconectado en red, funcionando como el punto de
inicio y final de las transferencias de datos.
Hosting Servicio de almacenamiento de contenido web.
HTML HyperText Markup Language. El lenguaje de marcado de

hipertexto es un estándar que define una estructura básica y un
código para la definición de contenido de una página web.
HTTPS HyperText Transfer Protocol Secure. Protocolo de aplicación

basado en el protocolo HTTP, destinado a la transferencia segura
de datos, utilizando técnicas de cifrado de los mismos.
International Mobile-station Equipment Identity. Código que

IMEI identifica al terminal móvil de forma exclusiva a nivel mundial, y es
transmitido a la red de telefonía al conectarse a ella.
IMSI International Mobile Subscriber Identity. La identidad internacional

de abonado móvil es un código integrado en la tarjeta SIM que
permite su identificación en la red.

de 160
IoT Internet of Things. El internet de las cosas es un concepto que se

refiere a la creciente comunidad de objetos cotidianos, que hacen
uso de una conexión de internet para desarrollar plenamente sus
funciones.
Formato de archivos de imagen más común, utilizado por las

JPG cámaras fotográficas digitales y otros dispositivos de captura de
imagen.
El núcleo o kernel (de la raíz germánica Kern: núcleo, hueso) es la

Kernel parte fundamental del sistema operativo, que se ejecuta en modo
privilegiado, encargado de gestionar los recursos de la máquina.
Media Access Control. Identificador de 48 bits que corresponde

MAC de forma única a una tarjeta o dispositivo de red de manera que la
individualiza globalmente entre todos los dispositivos de red
existentes. Conocida también como dirección física del dispositivo.
Máquina Tecnología que posibilita emular el funcionamiento de un sistema

virtual completo (virtual) dentro de un ordenador real, gracias a un
proceso de encapsulamiento que aísla a ambos.
MBR Master Boot Record. El registro de arranque maestro es el primer

sector de un dispositivo de almacenamiento, usado para
almacenar su tabla de particiones.
Not AND. Puerta lógica que produce una salida falsa solamente si
NAND todas sus entradas son verdaderas. Con esta tecnología se suelen
construir las memorias Flash
Netcat Herramienta de red que permite, a través de intérprete de

comandos y con una sintaxis sencilla, abrir puertos TCP/UDP en
un host, dejándolo a la escucha, en espera de una conexión.
NTFS New Technology File System. Sistema de Ficheros de sistemas

Windows, lanzado con Windows NT 3.1
Encubrir el significado de una información, transformándola de

Ofuscar modo que sea más confusa y complicada de interpretar.
Ruta o ubicación de un recurso informático en el sistema que lo

Path alberga.
PDF Portable Document Format. Formato de almacenamiento para

documentos digitales independiente de plataformas de software o
hardware.
Pentensting Test de penetración. Práctica de atacar diversos entornos con la

intención de descubrir fallos de seguridad para así subsanarlos y
prevenir ataques externos.

de 160
Pishing Intento fraudulento de obtener información confidencial, como

nombres de usuario, contraseñas o detalles de tarjetas de crédito
o números de cuenta, haciéndose pasar por una persona o entidad
de confianza, a través de una comunicación electrónica.
Plist Property list. Archivos de lista de propiedades, utilizados en

sistemas de Apple para guardar configuraciones del usuario.
Plugin Complemento de una aplicación a la que le aporta una función

nueva, generalmente muy específica.
PSD Extensión de archivo del software de edición fotográfica Adobe

Photoshop.
Redundant Array of Independent Disks. Sistema de

RAID almacenamiento de datos que utiliza múltiples unidades físicas o
discos, entre los cuales se distribuyen o replican los datos.
RAM Random Access Memory. Memoria principal de un sistema

informático, de tipo volátil y naturaleza electrónica, donde residen
los programas que se están ejecutando y los datos que se están
procesando.
Recovery Partición, donde se guarda un programa muy ligero de

recuperación alternativo al propio sistema Android
ROM Read-Only Memory. Tipo de memora utilizada en dispositivos

electrónicos, que alberga funciones de gestión del hardware del
dispositivo, pensada para ser leída pero no escrita. De tipo no
volátil, las ROM actuales implementan la tecnología EEPROM.
Root En sistemas de tipo LINUX, nombre convencional de la cuenta de

administrador, usuario que posee todos los máximos privilegios en
todos los modos (monousuario o multiusuario).
Rootear Acciones aplicadas sobre un sistema o dispositivo informático,

destinadas a conseguir privilegios de root.
Sistema de Alimentación Ininterrumpida. Dispositivo ideado para

SAI proporcionar la energía eléctrica almacenada en sus baterías a los
dispositivos que tenga conectados ante un eventual corte del fluido
eléctrico.
Script Conjunto de comandos que se van ejecutando de manera

secuencial y se utilizan para controlar el comportamiento de un
programa o sistema.
SD Secure Digital. Tarjeta de memoria para dispositivos portátiles.

Son de tipo FLASH.

de 160
SHA Secure Hash Algorithm. Familia de funciones hash criptográficas

diseñadas por la Agencia de Seguridad Nacional (NSA).
Shell Interfaz o interprete de línea de comandos
SID Security Identifier. Valor único, de longitud variable, que se utiliza

para identificar un principal de seguridad o un grupo de seguridad
en sistemas operativos Windows.
SIM Subscriber Identity Module. Tarjeta inteligente usada en teléfonos

móviles y módems HSPA o LTE, en donde se almacena de forma
segura la clave de servicio del suscriptor usada para identificarse
ante la red.
SQL Structured Query Language. El lenguaje de consulta estructurada

es un lenguaje diseñado para administrar, y recuperar información
de sistemas de gestión de bases de datos relacionales.
SSD Solid-State Drive. Unidades de almacenamiento, no volátil,

implementadas mediante memorias FLASH. Pensadas para
reemplazar los discos duros de naturaleza magnética, estas
unidades presentan velocidades de acceso muy superiores, no se
calientan y no emiten ruidos o producen vibraciones.
SSID Service Set Identifier. El identificador de paquetes de servicio es el

nombre que identifica una red inalámbrica con respecto a otras.
Swap Espacio de intercambio, partición o archivo, que se usa para

implementar el recurso de memoria virtual.
Tabla de Estructura existente en los dispositivos de almacenamiento, que

sirve para indicarle al sistema las particiones existentes en el
particiones
mismo, y en el caso de que se trate de un disco de sistema,
especificar cuál es la de arranque.
Trial Versión gratuita de prueba de un software comercial que presenta

alguna restricción como una corta validez temporal o
funcionalidades limitadas
Unified Extensible Firmware Interface. Especificación que define

UEFI una interfaz entre el sistema operativo y el firmware del ordenador.
Reemplaza la antigua interfaz del Sistema Básico de Entrada y
Salida (BIOS).
USB Universal Serial Bus. Estándar que define los cables, conectores
y protocolos usados en un bus para conectar, comunicar y proveer
de alimentación eléctrica entre computadoras, periféricos y
dispositivos electrónicos.

de 160
Virtual Contact File También conocido como vcard, es un formato

VCF de tarjeta de visita electrónica utilizado para guardar contactos
Del inglés “limpiar”, hace referencia al borrado de datos mediante

Wipear técnicas de borrado seguro.
eXtensible Markup Language. Especificación de lenguaje de

XML marcado de propósito general, no predefinido. Su propósito
principal es facilitar la compartición de datos a través de diferentes
sistemas.

de 160
11 Bibliografía
ASOCIACIÓN DE INGENIEROS E INGENIEROS TÉCNICOS EN
INFORMÁTICA, 2009. Código Deontológico [en línea]. Enero 2009. S.l.: s.n.
[Consulta: 8 octubre 2018]. Disponible en: http://www.ali.es/wp-
content/uploads/sites/4/2015/10/COD_DEONT_20081010-CON-
modificacionesMD-y-AGE-v03.pdf.
DIRECTIVA (UE) 2016/1148 relativa a las medidas destinadas a garantizar un
elevado nivel común de seguridad de las redes y sistemas de información en la
Unión, [sin fecha]. S.l.: s.n.
DR. STEVEN SWANSON (UNIVERSITY OF CALIFORNIA, SAN DIEGO), [sin
fecha]. Destroying Flash Memory-Based Storage Devices (draft v0.9) [en línea].
S.l.: s.n. [Consulta: 22 octubre 2018]. Disponible en:
http://cseweb.ucsd.edu/~swanson/papers/TR-cs2011-0968-Grind.pdf.
ENFSI, 2015. Best Practice Manual for the Forensic Examination of Digital
Technology [en línea]. Noviembre 2015. S.l.: s.n. [Consulta: 4 noviembre 2018].
Disponible en: http://enfsi.eu/wp-
content/uploads/2016/09/1._forensic_examination_of_digital_technology_0.pdf.
ENISA, 2015. Electronic evidence - a basic guide for First Responders [en línea].
25 marzo 2015. S.l.: s.n. [Consulta: 10 octubre 2018]. Disponible en:
https://www.enisa.europa.eu/publications/electronic-evidence-a-basic-guide-for-
first-responders/at_download/fullReport.
HARLAN CARVEY, 2014. Windows Forensic Analysis Toolkit. 4th Edition. S.l.:
s.n. ISBN 978-0-12-417157-2.
HEATHER MAHALIK, 2014. Open Source Mobile Device Forensics [en línea].
2014. S.l.: s.n. [Consulta: 18 noviembre 2018]. Disponible en:
https://www.nist.gov/document-3183.
INCIBE, 2014. Guía de toma de evidencias en entornos Windows [en línea].
Noviembre 2014. S.l.: s.n. [Consulta: 10 octubre 2018]. Disponible en:
https://www.incibe-
cert.es/sites/default/files/contenidos/guias/doc/incibe_toma_evidencias_analisis
_forense.pdf.
INCIBE, 2016. Guía sobre borrado seguro de la información [en línea]. 2016. S.l.:
s.n. [Consulta: 22 octubre 2018]. Disponible en:
https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_cibersegurid
ad_borrado_seguro_metad.pdf.
INCIBE, 2018. Código de Derecho de la Ciberseguridad [en línea]. S.l.: s.n.
[Consulta: 19 octubre 2018]. ISBN 978-84-340-2330-7. Disponible en:
https://www.boe.es/legislacion/codigos/codigo.php?id=173_Codigo_de_Derech
o__de_la_Ciberseguridad.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION, 2011. ISO/IEC
27035:2011 Information security incident management [en línea]. Septiembre
Capítulo 11: Bibliografía Página 109

de 160
2011. S.l.: s.n. [Consulta: 10 octubre 2018]. Disponible en:

https://www.iso.org/standard/44379.html.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION, 2012. ISO/IEC
27037:2012 Guidelines for identification, collection, acquisition and preservation
of digital evidence [en línea]. Octubre 2012. S.l.: s.n. [Consulta: 15 octubre 2018].
Disponible en: https://www.iso.org/standard/44381.html.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION, 2015a. ISO/IEC
27041:2015 Guidance on assuring suitability and adequacy of incident
investigative method [en línea]. Junio 2015. S.l.: s.n. [Consulta: 17 octubre 2018].
Disponible en: https://www.iso.org/standard/44405.html.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION, 2015b. ISO/IEC
27042:2015 Guidelines for the analysis and interpretation of digital evidence [en
línea]. Junio 2015. S.l.: s.n. [Consulta: 17 octubre 2018]. Disponible en:
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION, 2015c. ISO/IEC
27043:2015 Incident investigation principles and processes [en línea]. Marzo
2015. S.l.: s.n. [Consulta: 18 octubre 2018]. Disponible en:
JUAN GARRIDO CABALLERO, 2012. Análisis Forense Digital en Entornos
Windows. Tercera Edición. S.l.: s.n. ISBN 978-84-616-0392-3.
MARK LOHRUM, 2015. Viewing SQLite Databases. [en línea]. [Consulta: 30
octubre 2018]. Disponible en:
http://freeandroidforensics.blogspot.com/2015/01/viewing-sqlite-databases.html.
MICRON, 2008. TN-29-42: Wear-Leveling Techniques in NAND Flash Devices
[en línea]. 2008. S.l.: s.n. [Consulta: 22 octubre 2018]. Disponible en:
https://www.micron.com/~/media/documents/products/technical-note/nand-
flash/tn2942_nand_wear_leveling.pdf.
MIGUEL LÓPEZ DELGADO, 2007. Análisis Forense Digital [en línea]. 2007. S.l.:
s.n. [Consulta: 3 noviembre 2018]. Disponible en:
https://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf.
NDLERF, 2016. Cloud Authentication and Forensics [en línea]. Diciembre 2016.
S.l.: s.n. [Consulta: 28 octubre 2018]. Disponible en:
http://www.ndlerf.gov.au/publications/monographs/monograph-69.
NETWORK WORKING GROUP IETF, 2002. RFC 3227 Guidelines for Evidence
Collection and Archiving [en línea]. Febrero 2002. S.l.: s.n. [Consulta: 15 octubre
2018]. Disponible en: https://www.ietf.org/rfc/rfc3227.txt.
RODNEY MCKEMMISH, 2008. When is Digital Evidence Forensically Sound?
DigitalForensics: IFIP International Conference on Digital Forensics [en línea].
S.l.: s.n., [Consulta: 4 noviembre 2018]. Disponible en:
https://books.google.es/books?id=jRroBwAAQBAJ&pg=PA3.

de 160
TIM PROFFITT (SANS INSTITUTE), 2012. Forensic Analysis on iOS Devices [en
línea]. 5 noviembre 2012. S.l.: s.n. [Consulta: 29 noviembre 2018]. Disponible en:
https://www.sans.org/reading-room/whitepapers/forensics/paper/34092.
UNE, 2011. UNE 197001:2011 Criterios generales para la elaboración de
informes y dictámenes periciales [en línea]. 23 marzo 2011. S.l.: s.n. [Consulta:
8 noviembre 2018]. Disponible en: https://www.une.org/encuentra-tu-
norma/busca-tu-norma/norma?c=N0046980.
UNE, 2013a. UNE 71505-2:2013 Parte 2: Buenas prácticas en la gestión de las
evidencias electrónicas [en línea]. 3 julio 2013. S.l.: s.n. [Consulta: 16 octubre
2018]. Disponible en: https://www.une.org/encuentra-tu-norma/busca-tu-
norma/norma?c=N0051412.
UNE, 2013b. UNE 71506:2013 Metodología para el análisis forense de las
evidencias electrónicas. [en línea]. 3 julio 2013. S.l.: s.n. [Consulta: 16 octubre
2018]. Disponible en: https://www.une.org/encuentra-tu-norma/busca-tu-
norma/norma/?c=N0051414.
UNE, 2015. UNE 197010:2015 Criterios generales para la elaboración de
informes y dictámenes periciales sobre Tecnologías de la Información y las
Comunicaciones (TIC) [en línea]. 9 septiembre 2015. S.l.: s.n. [Consulta: 17
octubre 2018]. Disponible en: https://www.une.org/encuentra-tu-norma/busca-tu-
norma/norma/?c=N0055393.
YARIK MARKOV, M.S., [sin fecha]. The first collision for full SHA-1. [en línea],
[Consulta: 21 octubre 2018]. Disponible en:
https://shattered.io/static/shattered.pdf.

de 160
12 Anexos
12.1 Anexo: Planificación detallada y riesgos del proyecto
Capítulo 12: Anexos Página 112

de 160
Riesgos detectados del proyecto
Riesgo Descripción
La informática forense es un campo relativamente cerrado, cuya
R1 enseñanza se ciñe mayoritariamente a iniciativas privadas de muy
alto coste, por lo que la documentación de calidad puede ser de
difícil acceso y recolección.
R2 Marco legal cambiante, en constante adaptación a la realidad

tecnológica vigente.
Enorme abanico de herramientas existentes, hardware y software,
especialmente en cuanto a aplicaciones no comerciales, donde
R3 puede ser difícil discernir las que aportan valor añadido de las que
no
Casuística muy heterogénea tanto de los posibles dispositivos a

analizar como ordenadores (con sistemas Windows, Linux,
R4 macOS…), smartphones y tablets (con Android e iOS
principalmente), memorias USB, etc; como de los artefactos a
recuperar (archivos y metadatos, actividad en Internet, contactos,
mensajería y chat, ubicaciones GPS…
Se ha de ser extremadamente cuidadoso a la hora de preparar las
R5 evidencias a analizar, con el fin de evitar su contaminación con
información ajena a la del propio escenario que se pretende
reproducir.
Procesos forenses que en muchos casos conllevan altos
requerimientos computacionales, tanto espaciales como
R6 temporales, y que tienen que ser tenidos en cuenta para cumplir
con la planificación establecida.

de 160
12.2 Anexo: Documento de cadena de custodia

de 160

de 160

de 160
12.3 Anexo: Adquisición de las evidencias del caso

práctico
Volcado de datos del dispositivo 1TEL1

de 160

de 160

de 160
Copia forense del dispositivo 1HD1

de 160
Copia forense del dispositivo 1USB1

de 160

de 160
12.4 Anexo: Análisis de la evidencia 1TEL1

Contactos

de 160
WhatsApp

de 160
12.5 Anexo: Análisis de la evidencia 1HD1

de 160

de 160

de 160
Keyword Search

de 160
Registro de Windows

de 160
Registry Decoder

de 160

de 160

de 160

de 160

de 160

de 160

de 160

de 160
Thumbcache_viewer

de 160
Actividad en internet

de 160
BrowsingHistoryView

de 160

de 160
Internet Evidence Finder

de 160

de 160

de 160
Backup de dispositivo iPhone 5
Dr. Fone

de 160

de 160

de 160

de 160
12.6 Anexo: Análisis de la evidencia 1USB1

de 160

de 160
Análisis de metadatos

de 160

de 160

Analisis Forense 2017

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Analisis Forense 2017

Hochgeladen von

Copyright:

Verfügbare Formate

Introducción a la Informática Forense:

Legal, teórica y práctica

Fecha de entrega: 06/01/2018

Copyright © 2019 Carlos Emilio Rodríguez García.

Introducción a la Informática Forense: Legal,

Nombre del autor: Carlos Emilio Rodríguez García

Nombre del consultor: Manuel Jesús Mendoza Flores

Fecha de entrega (mm/aaaa): 01/2019

Administración de redes y sistemas

Titulación: Grado de Ingeniería Informática

Resumen del Trabajo (máximo 250 palabras):

El número acciones deshonestas (delitos, cibercrimen, incidentes de

The number of dishonest actions, like crimes, cybercrime or security incidents, in

Palabras clave (entre 4 y 8):

Análisis forense, evidencia digital, cadena de custodia, clonación, hash,

1.1 Contexto y justificación del Trabajo

Capítulo 1: Introducción Página 1

el tiempo por el coste de las necesarias actualizaciones, lo que provoca que

1.2 Objetivos del Trabajo

1.3 Enfoque y método seguido

Capítulo 1: Introducción Página 2

Para comprobar su desempeño, será necesaria la recreación de un laboratorio

1.4 Planificación del Trabajo

Preparación propuesta TFG 19/09/2018 05/10/2018 17

ENTREGA PEC1 05/10/2018 17

Definiciones formales 06/10/2018 12/10/2018 7

Marco legal 13/10/2018 19/10/2018 7

Aspectos técnicos y terminología 20/10/2018 02/11/2018 14

Procedimiento de análisis forense digital 03/11/2018 09/11/2018 7

ENTREGA PEC2 09/11/2018 35

Herramientas de análisis forense digital 10/11/2018 19/11/2018 10

Entorno práctico 20/11/2018 26/11/2018 7

Ejecución práctica: sistema Windows 10 27/11/2018 11/12/2018 15

Ejecución práctica: memoria USB 12/12/2018 14/12/2018 3

ENTREGA PEC3 14/12/2018 35

Ejecución práctica: Smartphone Android 27/11/2018 14/12/2018 7

Resultados y conclusiones 15/12/2018 21/12/2018 7

Elaboración de la presentación 22/12/2018 06/01/2019 9

ENTREGA FINAL 06/01/2019 23

Se desgranan con mayor detalle las tareas a ejecutar en el Anexo: Planificación

1.5 Breve sumario de productos obtenidos

Capítulo 1: Introducción Página 3

ejecutan, se habrá conseguido también profundizar en el conocimiento sobre los

1.6 Breve descripción de los otros capítulos de la

Capítulo 1: Introducción Página 4

1.7 Requisitos y ámbito de aplicación del proyecto

Capítulo 1: Introducción Página 5

Es por ello que, por Informática Forense se entiende aquel campo de la

2.2 El perito informático forense

Capítulo 2: Definiciones formales Página 6

Debemos de resaltar que, en la definición de perito no aparece referencia alguna

Deberes del perito

Capítulo 2: Definiciones formales Página 7

El perito informático forense

Figura 1: Perito informático realizando su labor en el lugar del incidente

Tanto en la definición anteriormente vista de Informática Forense, como en la de

Capítulo 2: Definiciones formales Página 8

Toda esta labor será plasmada en un documento en particular: el informe

Código deontológico informático

Capítulo 2: Definiciones formales Página 9

2.3 Delito informático

Figura 2: Incidentes relacionados con la seguridad informática

Este tipo de hechos suelen presentar alguna de sus características inherentes: