DESARROLLO DE UNA GUIA METODOLÓGICA PARA ANÁLISIS FORENSE

EN DISPOSITIVOS MÓVILES CON SISTEMA OPERATIVO ANDROID

LUIS FELIPE CARVAJAL RAMÍREZ

CÓDIGO 2076790

RODERY FRANCISCO UROSA ZULUAGA

CÓDIGO 2065950

UNIVERSIDAD AUTÓNOMA DE OCCIDENTE

FACULTAD DE INGENIERÍA
DEPARTAMENTO DE OPERACIONES Y SISTEMAS
PROGRAMA INGENIERÍA INFORMÁTICA
SANTIAGO DE CALI
2018
DESARROLLO DE UNA GUIA METODOLÓGICA PARA ANÁLISIS FORENSE
EN DISPOSITIVOS MÓVILES CON SISTEMA OPERATIVO ANDROID

LUIS FELIPE CARVAJAL RAMÍREZ

CÓDIGO 2076790

RODERY FRANCISCO UROSA ZULUAGA

CÓDIGO 2065950

Proyecto de Grado para optar al título de

Ingeniero en Informática

Director
MIGUEL JOSÉ NAVAS JAIME
Ingeniero de Sistemas
Magister en Ingeniería Telemática

UNIVERSIDAD AUTÓNOMA DE OCCIDENTE

FACULTAD DE INGENIERÍA
DEPARTAMENTO DE OPERACIONES Y SISTEMAS
PROGRAMA INGENIERÍA INFORMÁTICA
SANTIAGO DE CALI
2018
 Nota de aceptación:

Aprobado por el Comité de Grado en

cumplimiento de los requisitos exigidos
por la Universidad Autónoma de
Occidente para optar al título de
Ingeniero en Informática

Ing. Mario Wilson Castro

Jurado

Ing. Juan Carlos Valencia González

Jurado

Santiago de Cali, julio 6 de 2018

3
A nuestros padres y esposas, a nuestra familia por su apoyo incondicional, a
nuestros profesores por su formación personal y académica, a todos los que con su
colaboración y apoyo posible lograr esta meta tan importante para nuestra vida y
ante todo a Dios por guiar todos los días nuestro camino.

Rodery Francisco Urosa Zuluaga, Luis Felipe Carvajal Ramírez

4
 CONTENIDO

Pág.

GLOSARIO 12

RESUMEN 14

INTRODUCCIÓN 16

PLANTEAMIENTO DEL PROBLEMA 17

JUSTIFICACIÓN 18

ANTECEDENTES 19

MARCO TEÓRICO 20
4.1 ANDROID 20
4.1.1. ¿Qué es Android? 20
4.1.2. Aplicaciones nativas de Android 21
4.1.3. Arquitectura de Android 23
4.1.4. Sistemas de archivos Android 24
4.1.5. Software libre (Android) Vs. Software comercial (iOS) 24
4.2. ANÁLISIS FORENSE 27
4.2.1. ¿Qué es análisis forense? 27
4.2.2. Tipos de archivos 27
4.2.3. Metodología y fases de un análisis forense 27
4.2.4. Guías metodológicas para análisis forense dispositivos móviles con
sistema operativo Android. 31
4.2.5. Herramientas para análisis forense 36
4.2.6. Marco legal colombiano 43
4.2.7. El tratamiento de la evidencia digital y las normas ISO/IEC
27037:2012 52

OBJETIVOS 54
5.1 OBJETIVO GENERAL 54
5.2 OBJETIVOS ESPECIFICOS 54

METODOLOGÍA 55
6.1 ETAPAS DEL PROYECTO 55

DESARROLLO DEL PROYECTO 56

5
7.1 GUIA METODOLÓGICA 56
7.2 DIAGRAMA GUIA METODOLÓGICA 72
7.3 EJECUCIÓN DE LA GUIA METODOLÓGICA PARA ANÁLISIS
FORENSE. 73

CONCLUSIONES 126

BIBLIOGRAFÍA 127

ANEXOS 130

6
 LISTA DE FIGURAS

Pág.

Figura 1. Arquitectura Android 23

Figura 2. Fases de un análisis forense. 27

Figura 3. Modelo Casey 32

Figura 4. Fases basadas en las fases de investigación forense digital 34

Figura 5. Diagrama de fases y pasos guía metodológica 72

Figura 6. Extracción de memoria externa. 78

Figura 7. Inserción memoria externa 78

Figura 8. Selección de tipo de recurso. 79

Figura 9. Selección physical drive. 79

Figura 10. Crear imagen memoria. 80

Figura 11. Selección tipo de imagen de disco. 80

Figura 12. Llenar información del caso. 81

Figura 13. Lugar de almacenamiento de imagen 81

Figura 14. Crear Imagen 82

Figura 15. Iniciar creación imagen 82

Figura 16. Finalizar creación imagen 83

Figura 17. Ejecución Dr. Phone 84

Figura 18 Seleccionar la opción Backup and Restore. 84

Figura 19. Seleccionar la opción BackUp. 85

Figura 20. Se selecciona los archivos que serán objetos del Backup. 85

Figura 21. Se selecciona la ruta en la que se guardara el archivo .bak donde se

almacena el backup. 86

7
Figura 22. Comienza el Backup. 87

Figura 23. Se espera a que termine el BackUp. 87

Figura 24. Se termina el BackUp. 88

Figura 25. Archivo Bak. 89

Figura 26. Ejecución del Software y carga del archivo obtenido en el backUp. 93

Figura 27. Selección de imagen a cargar. 94

Figura 28. Visualizar información cargada. 95

Figura 29. Examinar archivos almacenados. 96

Figura 30. Ejecución del Software y carga del archivo obtenido en el BackUp. 98

Figura 31. Seleccionamos la opción Image File y cargamos el archivo que se

encuentra guardado en la ruta donde se realizó el backUp. 99

Figura 32. Seleccionamos la opción Image File y cargamos el archivo que se

encuentra guardado en la ruta donde se realizó el backUp. 99

Figura 33. Visualizar información almacenada en memoria interna. 100

Figura 34. Análisis de información almacenada. 101

Figura 35. Análisis de instaladores de aplicaciones. 107

Figura 36. Carpeta imágenes encontradas en la cámara el dispositivo móvil. 109

Figura 37. Imágenes encontradas en la cámara el dispositivo móvil. 109

Figura 38 Pantallazos encontradas en la cámara el dispositivo móvil. 110

Figura 39. Registro de audios. 111

Figura 40. Registro de pantallazos. 111

Figura 41. Propiedades de la evidencia. 119

Figura 42. Contenido evidencia 2. 121

8
 LISTA DE TABLAS

Pág.

Tabla 1. Comparativo Android Vs iOS 25

Tabla 2. Comparativo guías metodológicas para análisis forense 36

Tabla 3. Comparativo técnicas y herramientas para análisis forense. 42

Tabla 4. Marco de leyes colombianas. 44

Tabla 5. Fase 1 Encontrar la evidencia 57

Tabla 6. Fase 2 Identificar, describir y extraer la evidencia 62

Tabla 7. Fase 3 Analizar la evidencia 65

Tabla 8. Fase 4 Documentar y presentar la evidencia 70

Tabla 9. Ejecución Fase 1 73

Tabla 10. Registro de la cadena de custodia 76

Tabla 11. Ejecución Fase 2 77

Tabla 12. Ejecución Fase 2 Paso 4 89

Tabla 13. Registro de la cadena de custodia. 91

Tabla 14. Ejecución Fase 3 92

Tabla 15. Analizar datos de memoria externa. 97

Tabla 16. Analizar datos de cuentas memoria interna. 101

Tabla 17. Analizar datos de aplicaciones de memoria interna. 102

Tabla 18. Analizar datos de calendario. 102

Tabla 19. Analizar llamadas. 103

Tabla 20. Analizar contactos. 103

Tabla 21. Analizar información de dispositivo. 104

Tabla 22. Analizar SMS. 106

Tabla 23. Analizar audios. 107

Tabla 24. Análisis de registro de aplicaciones. 108

Tabla 25. Registro de fotografías. 110

Tabla 26. Registro de pantallazos. 112

Tabla 27. Registro de imágenes de Whatsapp. 112

Tabla 28. Registro de miniaturas. 113

Tabla 29. Registro de cadena de custodia. 115

Tabla 30. Ejecución fase 4. 116

Tabla 31. Lista de elementos relevantes del dispositivo móvil. 117

Tabla 32. Presentación de evidencia 1. 118

Tabla 33. Contenido evidencia 1. 118

Tabla 34. Registro de evidencia. 120

Tabla 35. Registro de evidencia 2. 120

Tabla 36. Registro de evidencia 3. 121

Tabla 37. Registro de evidencia 4. 122

Tabla 38. Registro de evidencia 5. 122

Tabla 39. Registro de evidencia 6. 123

Tabla 40. Registro de evidencia 7. 123

Tabla 41. Registro de cadena de custodia. 125

10
 LISTA DE ANEXOS

Pág.

Anexo A. Formulario 1. 130

Anexo B. Rotulo de evidencia. 133

Anexo C. Registro de cadena de custodia. 134

Anexo D. Formulario 2. 135

Anexo E. Formulario 3. 137

Anexo F. Analizar datos de memoria externa. 140

Anexo G. Analizar datos de memoria interna. 141

Anexo H. Formulario 4. 142

Anexo I. Documentación de eventos relevantes del dispositivo móvil

(evidencia) 144
 GLOSARIO

ANDROID: Sistema operativo basado en el kernel de Linux diseñado principalmente

para dispositivos móviles con pantalla táctil, como teléfonos inteligentes o tabletas
y también para relojes inteligentes, televisores y automóviles, inicialmente
desarrollado por Android, Inc. Google respaldó económicamente y más tarde
compró esta empresa en 2005. Android fue presentado en 2007 junto la fundación
del Open Handset Alliance: un consorcio de compañías de hardware, software y
telecomunicaciones para avanzar en los estándares abiertos de los dispositivos
móviles.

DISPOSITIVO MÓVIL: Aparato de pequeño tamaño, con algunas capacidades de

procesamiento, con conexión permanente o intermitente a una red, con memoria
limitada.

GUÍA METODOLÓGICA: Documento técnico que describe el conjunto de normas,

fases y pasos a seguir en los trabajos relacionados con los sistemas de información
u otras áreas.

INFORMÁTICA FORENSE: Aplicación de técnicas científicas y analíticas

especializadas a infraestructura tecnológica que permiten identificar, preservar,
analizar y presentar datos que sean válidos dentro de un proceso legal.

KERNEL: un núcleo o kernel es un software que constituye una parte fundamental

del sistema operativo, y se define como la parte que se ejecuta en modo privilegiado
(conocido también como modo núcleo). Es el principal responsable de facilitar a los
distintos programas acceso seguro al hardware de la computadora o en forma
básica, es el encargado de gestionar recursos, a través de servicios de llamada al
sistema.

LIBRERÍA INFORMÁTICA: Es un Kit de herramientas de software pequeño y

autónomo que ofrece una funcionalidad muy específica al usuario. Normalmente se
usa junto con otras librerías y herramientas para hacer una aplicación completa, ya
que por lo general las bibliotecas no son ejecutables, pero sí pueden ser usadas por
ejecutables que las necesiten para poder funcionar.

MULTITAREA: La multitarea es la característica de los sistemas operativos

modernos de permitir que varios procesos se ejecuten al parecer al mismo tiempo
compartiendo uno o más procesadores. Los sistemas operativos multitarea son

12
capaces de dar servicio a más de un proceso a la vez para permitir la ejecución de
muchos más programas.

PRIMER TERMINO: el término se escribe en mayúscula y la definición con

minúscula, incluso la letra inicial. Se debe organizar alfabéticamente, para
configurar el espaciado y el interlineado. Ver tutorial.

ROOT: En sistemas operativos del tipo Unix, el superusuario o root es el nombre

convencional de la cuenta de usuario que posee todos los derechos en todos los
modos (monousuario o multiusuario). Normalmente es la cuenta de administrador.

SMS: "Short Message Service" (servicio de mensajes cortos), sistema de mensajes

de texto para teléfonos móviles.

SOFTWARE COMERCIAL: El Software Comercial, es aquel que es desarrollado

específicamente para su venta. Puede contar o no contar con una licencia, de hecho
puede ser libre o puede no serlo, dependiendo de cómo nos enfoquemos hacia el
término libre. Sin embargo una de las cosas que realmente debes saber, es que el
objetivo de desarrollar software comercial, siempre será el obtener ganancias con
él.

SOFTFWARE LIBRE: es el software que respeta la libertad de los usuarios y la

comunidad. A grandes rasgos, significa que los usuarios tienen la libertad de
ejecutar, copiar, distribuir, estudiar, modificar y mejorar el software.

13
 RESUMEN

Este proyecto tiene el objetivo principal realizar análisis forense sobre dispositivos
móviles con sistema operativo Android y documentar sus resultados para ser
utilizados en procesos judiciales o de auditoría, por esta razón hemos integrado
herramientas existentes, una serie de fases, escenarios y pasos que permitan lograr
este objetivo, el cual llamamos guía metodológica.

Esta guía metodológica enseña paso a paso como lograr extraer, identificar y
analizar la información existente en un dispositivo móvil de sistema operativo
Android, y presenta los resultados del análisis de manera clara para que las
personas interesadas puedan utilizarlo como elementos con valor probatorio.

Palabras clave: Android, dispositivo móvil, guía metodológica, probatorio.

 ABSTRACT

This project has the main objective to perform forensic analysis on mobile devices
with android operating system and document their results to be used in judicial or
audit processes, for this reason we have integrated existing tools, a series of phases,
scenarios and steps to achieve this objective, which we call a methodological guide.

This methodological guide teaches step by step how to extract, identify and analyze
the existing information in a mobile device of the operating system android, and
presents the results of the analysis in a clear manner so that interested people can
use it as elements with probative value.

Key Words: Android, evidential, mobile device, methodological guide.

15
 INTRODUCCIÓN

Las prácticas de computación forense han venido avanzando y armonizándose de

tal forma que los profesionales de esta disciplina consiguen cada vez resultados
más confiables y tecnologías más efectivas 1. Por esta razón el avance de las
tecnologías de la información y las comunicaciones en el desarrollo de hardware y
software ha propiciado que las prácticas forenses se direccionen hacia los
dispositivos móviles, ya que estos son herramientas que se usan cotidianamente y
que casi cualquier individuo tiene acceso fácil a ellos.

El sistema operativo Android se ha posicionado como el número uno en el mercado

de los dispositivos móviles, por su versatilidad, cantidad de aplicaciones y la
facilidad de descargarlas a costo cero o a precios muy bajos, esto ha ocasionado
que la capacidad de adquirir y analizar información para casos forenses aumente
exponencialmente.

Este proyecto se tiene como fin desarrollar una guía metodológica que permita
integrar técnicas, herramientas, normas y estándares propios de la informática
forense y válida ante la legislación colombiana, para ser aplicado en el análisis
forense digital sobre dispositivos móviles con sistema operativo Android, para ser
usado como elemento probatorio en las investigaciones desarrolladas por los
organismos judiciales.

1
DAVIS, Chris; PHILLIPP, Aaron; COWEN, David. Hacking exposed: Computer forensics secrets
and solutions. First Edition. New York: McGraw-Hill/ Osborne, 2005.p. 544

16
 PLANTEAMIENTO DEL PROBLEMA

Los desarrollos que se han realizado en la informática forense acerca de

metodologías que permitan análisis sobre dispositivos móviles con sistema
operativo Android han sido varios en los últimos años, ya que existen muchas
técnicas, herramientas y metodologías para realizarlos pero poca cohesión entre
ellas. Por esta razón es importante desarrollar una guía metodológica que permita
que las autoridades cuenten con una nueva guía metodológica que les permita
explorar y analizar los datos contenidos en dispositivos móviles de una manera fácil
y teniendo en cuenta las normas y lineamientos legales que implica esta tarea.

En la última década los dispositivos móviles se ha vuelto la herramienta informática

fundamental para el acceso a los sistemas de información, aplicaciones e internet
por esta razón son muy utilizados en todo tipo de escenario y para múltiples
aplicaciones como el comercio, banca, educación, industria, etc. Convirtiéndose en
una ventana para los delincuentes, lo que hace que sean piezas relevantes en las
investigaciones judiciales o disciplinarias que se realizan en el mundo y en el país
hoy en día.

Para lograr obtener un análisis forense sobre un dispositivo móvil es necesario

desarrollar una guía metodológica que muestre un procedimiento claro y preciso
desde que se tiene acceso al terminal móvil como evidencia de un delito hasta que
se realiza el informe final que servirá como elemento probatorio ante las autoridades
competentes, para esto existen normas legales y estándares que permiten
manipular la información de forma precisa y segura con el fin de que no sea alterada
después de tener acceso a la misma, como lo es la cadena de custodia también
conocida con CdC que es uno de los protocolos de actuación que ha de seguirse
con respecto a una prueba durante su periodo de vida o de validez, desde que esta
se consigue o genera, hasta que se destruye, o deja de ser necesaria 2.

Esto nos lleva a preguntar ¿Cómo una guía metodológica puede aportar al
mejoramiento o a la creación de nuevos procedimientos que se presenten en las
investigaciones o auditorias judiciales?

2
GARCIA, José A. La cadena de custodia aplicada a la informática: El Blog del Perito Informático
Forense. [en línea]. Blog del Perito Informático 12, 6, 2013. [Consultado 18 de enero de 2017].
Disponible en internet: http://www.informaticoforense.eu/la-cadena-de-custodia-aplicada-a-la-
informatica-i/

17
 JUSTIFICACIÓN

La finalidad de este proyecto es contar con una guía ágil, clara y práctica que facilite
a las autoridades judiciales el desarrollo de sus actividades en lo referente al análisis
forense de dispositivos móviles con sistema operativo Android, tal que puedan
obtener resultados significativos en las investigaciones judiciales.

Esta metodología permitirá encontrar y extraer la información clave contenida en los

dispositivos móviles, para ser usada como prueba relevante en las investigaciones
forenses, ayudando a esclarecer los procesos judiciales donde se vea implicado
dicho dispositivo.

Así mismo es importante la consideración que incluye la metodología en el manejo

de la cadena de custodia, las normas y leyes que se encargan de la preservación
de la evidencia digital, vital para la integridad de la prueba.

18
 ANTECEDENTES

A continuación se listan algunos de los trabajos de grado o adelantos académicos

que sirvieron de antecedentes para este desarrollo de este proyecto de grado:

En el año 2009 en la universidad javeriana de Bogotá Colombia Andrea Ariza Díaz

y Juan Camilo Ruiz caro desarrollaron un trabajo de grado llamado Iphorensics: Un
Protocolo De Análisis Forense Para Dispositivos Móviles Inteligentes.

En el año 2010 el Ingeniero Argentino Gustavo Daniel Presman, realiza una

presentación donde expone la introducción al Análisis Forense de Dispositivos
Móviles.

En el año 2011 Estudiante de la Facultad de Ingenierías de la Universidad Francisco

de Paula Santander de Ocaña junto con el Ingeniero Dewar Rico Bautista
desarrollaron el documento de investigación llamado Análisis Forense Digital en
Dispositivos móviles.

En el año 2012 en la universidad pontificia bolivariana Andrés E. León Zuluaga,

Tatiana Echeverría Jiménez y Manuel Santander Peláez desarrollaron como
proyecto de pregrado para optar al título de ingenieros de sistemas una Guía
metodológica para la investigación forense en el navegador web Google Chrome.

En el año 2015 en la universidad católica de Colombia LARROTA, Luz Estella.

MARTÍNEZ, Leydi Marcela. ORJUELA, Viviana Francenet desarrollaron un trabajo
de grado llamado Diseño de una guía para auditoria de análisis forense en
dispositivos móviles basados en tecnología android para la legislación colombiana.
 MARCO TEÓRICO

4.1 ANDROID

4.1.1. ¿Qué es Android? Google describe a Android: la primera verdaderamente

abierta y completa plataforma para dispositivos móviles, todo el software para
ejecutar en un teléfono móvil, pero sin los obstáculos propios que han obstaculizado
la innovación móvil 3.

Android se compone de varias piezas necesarias y dependientes entre ellas las

siguientes:

• Un diseño de referencia de hardware que describe las capacidades requeridas

de un dispositivo móvil con el fin de apoyar la pila de software.

• Un núcleo del sistema operativo Linux que proporciona la interfaz de bajo nivel
con el hardware, gestión de memoria y control de procesos, todo optimizado para
dispositivos móviles.

• Librerías de código abierto para el desarrollo de aplicaciones que incluyen

SQLite, WebKit, OpenGL, y un Administrador de medios.

• Un tiempo de ejecución utilizado para ejecutar y alojar aplicaciones para Android,

incluyendo la máquina virtual Dalvik y las bibliotecas del núcleo que proporcionan
una funcionalidad específica Android. El tiempo de ejecución está diseñado para ser
pequeño y eficiente para su uso en dispositivos móviles.

• Un marco de aplicación que expone a los servicios del sistema agnóstico a la

capa de aplicación, incluyendo el gestor de ventanas, proveedores de contenido,
gerente de locación, telefonía y peer-to-peer servicios.

• Un marco de interfaz de usuario que se utiliza para alojar y ejecutar aplicaciones.

• Las aplicaciones preinstaladas enviados como parte de la pila.

3
RUBIN, Andy. ¿Where´s my Gphone? [en línea]. Google, Official Blog 5, 11, 2007. [Consultado 07
de septiembre de 2015]. Disponible en internet:
https://googleblog.blogspot.com.co/2007/11/wheres-my-gphone.html.
• Un kit de desarrollo de software utilizado para crear aplicaciones, incluyendo las
herramientas, plug-ins, y documentación.

En esta etapa, no toda la pila Android ha sido liberado como código abierto, aunque
se espera a pasar por el tiempo de los teléfonos son liberados al mercado. Es
también digno de mención que las aplicaciones que desarrollar para Android no
tienen que ser de código abierto.

Lo que realmente hace Android convincente es su filosofía abierta, lo que garantiza

que cualquier deficiencia en diseño de interfaz de usuario o aplicación nativa puede
ser fijada por escrito una extensión o reemplazo. Android le proporciona, como
desarrollador, la oportunidad de crear interfaces de telefonía móvil y aplicaciones
diseñado para verse, sentirse y funcionar exactamente como la imagen de ellos.

4.1.2. Aplicaciones nativas de Android. Teléfonos Android normalmente vienen

con un conjunto de aplicaciones preinstaladas, incluyendo, pero no limitado a:

• Un cliente de correo electrónico compatible con Gmail, pero sin limitarse a ella.

• Una aplicación de gestión de SMS.

• Un conjunto completo de PIM (gestión de información personal) que incluye una

lista de calendarios y contactos, tanto estrechamente integrado con los servicios en
línea de Google.

• Una aplicación de Google Maps para móviles con todas las funciones incluyendo
StreetView, buscador de negocios, direcciones conduciendo, vista satélite, y las
condiciones del tráfico.

• Un navegador web basado en WebKit.

• Un cliente de mensajería instantánea.

• Un reproductor de música y visor de imágenes.

• El cliente de Android Marketplace para descargar aplicaciones de terceros.

• El MP3 cliente de la tienda de Amazon para la compra de música libre de DRM.

21
• Todas las aplicaciones nativas están escritos en Java utilizando el SDK de
Android y se ejecutan en Dalvik.

Los datos almacenados y utilizados por las aplicaciones nativas - como los datos de
contacto - también están disponibles para terceros o aplicaciones de otros
fabricantes. Del mismo modo, las aplicaciones pueden manejar eventos tales como
una llamada entrante o un nuevo Mensaje SMS.

La distribución exacta de las aplicaciones disponibles en los nuevos teléfonos

Android es probable que variará en función del fabricante de hardware y / o de la
compañía de teléfono o distribuidor. Esto es especialmente cierto en los Estados
Unidos, donde las compañías tienen una influencia significativa en el software
incluido en los dispositivos fabricados.

22
4.1.3. Arquitectura de Android

Figura 1. Arquitectura Android

Fuente: Wiki. Android. Curso PDF. [en línea] Wiki.erikcrane. 22 abr 2014
[Consultado 07 de septiembre de 2016] Disponible en Internet:
http://wiki.erikcrane.net/index.php/Android

En Android el flujo de datos se basa en las siguientes capas:

• Aplications.

Es la capa superior de Android. Las aplicaciones instaladas de fábrica o

aplicaciones personales grabadas en el dispositivo se encuentran en esta.

• Framework Aplications.

En esta capa se encuentran los servicios y bibliotecas que utilizan las aplicaciones
para llamar a sus funciones.

23
• Android Runtime.

Todas las aplicaciones, el código Java-Framework se ejecuta en una máquina

virtual, el cual se convierte en código ejecutable.

• Libraries.

Bibliotecas nativas, demonios y servicios (escritos en C o C ++). Las Bibliotecas

nativas no son más que parte del sistema operativo Android interna. Estas
bibliotecas se utilizan cuando se llama a cualquier API de la capa de aplicación.
Básicamente cuando se llama a cualquier API de capa de Java o de la capa
superior, entonces se llama a la API de la capa nativa que está escrito en su mayoría
en C / C ++, por lo que se pude decir que la API de Java se convierte en C / C ++
API.

• Linux Kernel.

Es la capa más compleja, incluye controladores para el hardware, redes, acceso al

sistema de archivos procesos-comunicación. Cada instrucción que se ejecuta en la
capa superior pasa a través del Kernel para obtener el resultado final.

4.1.4. Sistemas de archivos Android. Después de dar un enfoque general a la

arquitectura de Android, se entiende que es un Sistema Operativo basado Linux, su
estructura de sistema de archivos no es una excepción. Android emplea varias
particiones para organizar los archivos-carpetas en el dispositivo cada uno con su
funcionalidad. Principalmente existen seis particiones, sin embargo, se debe contar
con la existencia de particiones adicionales que difieren entre un modelo y otro.

4.1.5. Software libre (Android) Vs. Software comercial (iOS). En el mercado de

los dispositivos móviles existen diferentes tipos de sistemas operativos que han sido
desarrollados bajo diferente tipo de licencias de desarrollo, los sistemas operativos
que son los líderes del mercado son Android (Software Libre) y iOS Apple (Software
Comercial). La principal diferencia entre ambos está en la facilidad de acceder al
desarrollo y mejoramiento de aplicaciones y a los costos que implica acceder a las
mismas por motivo de dichas licencias, a continuación se realizara un comparativo
entre las características más importantes de estos sistemas operativos.

24
Tabla 1. Comparativo Android Vs iOS

Sistema Operativo Android iOS

Desarrollador Google Apple, Inc.
Familia de sistema operativo Linux OS X, UNIX
Personalización Mucha. Se puede Poca excepto cuando
cambiar casi todo. se desbloquea
Lanzamiento inicial 23 de septiembre de 29 de julio de 2007
2008
Programado en C, C++, Java C, C++, Objective-C
Dependiente de una PC o Mac No No
Transferencia fácil de medios Depende del modelo del Con aplicaciones de
aparato Mac
Tipo de modelo Abierto (open source) Cerrado (propiedad de
Apple), con elementos
de código abierto
Código abierto Núcleo (kernel), interfaz El núcleo (kernel) de
y algunas aplicaciones iOS no es código
básicas abierto, pero está
basado en el código
abierto llamado Darwin
OS
Herramientas "widgets" Sí No, excepto en Centro
de Notificaciones
Rasgos apoyados para Auto-respuesta Auto-respuesta,
llamadas recordatorio de llamada
de vuelta, modo "no
interrumpir"
Búsqueda por Internet Usa Google Chrome o Safari Móvil (otros
buscador de Android en buscadores disponibles)
versiones más viejas;
otros buscadores
(browsers) disponibles

25
Tabla 1. (Continuación)

Disponible para Muchos celulares y iPod Touch, iPhone,

tabletas, incluyendo iPad, Apple TV (2da y
Kindle Fire (usa Android 3ra generación)
modificado), Samsung,
Sony, Motorola, Nexus y
otros, También Google
Glasses.

Interfaz Pantalla táctil, reloj Pantalla táctil

inteligente
Mensajería Google Hangouts iMessage
Comandos verbales Google Now (en Siri
versiones más recientes)
Mapas Google Maps Apple Maps
Videochat Google Hangouts FaceTime
Tienda de aplicaciones Google Play Store--sobre Apple App Store--
1 millón de aplicaciones. sobre 1 millón de
Otras tiendas como aplicaciones
Amazon y Getjar revisadas
distribuyen aplicaciones
sin revisión ("unconfimed
APK")
Porcentaje del mercado 81% de los celulares, 12.9% de celulares,
3.7% de las tabletas en 87% de las tabletas
Norte América (hasta en Norte América
enero 2013) y 44.4% de (hasta enero 2013) y
las tabletas en Japón 40.1% de las tabletas
(ebero 2013). En los EU, en Japón (enero
1er trimestre del 2013: 2013)
52.3 % de celulares y
47.7% de las tabletas
Idiomas disponibles 32 idiomas 34 idiomas
Versión estable más reciente Android 6.0 marsmallow iOS 8.1.3 (27 de
en noviembre 2016 enero de 2015)
Manufacturero(s) de aparatos Google, LG, Samsung, Apple, Inc.
HTC, Sony, ASUS,
Motorola y muchos más
Sitio web android.com apple.com
Fuente: elaboración propia

26
4.2. ANÁLISIS FORENSE

4.2.1. ¿Qué es análisis forense? El análisis forense en un sistema informático es

una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras
un incidente de seguridad. Este análisis puede determinar quién, desde dónde,
cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas
afectados por un incidente de seguridad.

4.2.2. Tipos de archivos. Análisis forense de sistemas: en este análisis se tratarán

los incidentes de seguridad acaecidos en servidores y estaciones de trabajo con los
sistemas operativos: Mac OS, sistemas operativos de Microsoft (Windows 9X/Me,
Windows 2000 server/workstation, Windows 2003 Server, Windows XP, Windows
Vista, Windows 2008 Server, etc.), sistemas Unix (Sun OS, SCO Unix, etc.) y
sistemas GNU/Linux (Debian, RedHat, Suse, etc.).

Análisis forense de redes: en este tipo se engloba el análisis de diferentes redes

(cableadas, wireless, bluetooth, etc.).

Análisis forense de sistemas embebidos: en dicho tipo se analizaran incidentes

acaecidos en móviles, PDA, etc. Un sistema embebido posee una arquitectura
semejante a la de un ordenador personal.

4.2.3. Metodología y fases de un análisis forense

Figura 2. Fases de un análisis forense.

Fuente: elaboración propia

• Adquisición de datos: La adquisición de datos es una de las actividades más

críticas en el análisis forense. Dicha criticidad es debida a que, si se realizase mal,
todo el análisis e investigación posterior no sería válido debido a que la información

27
saldría con impurezas, es decir, la información que creemos que es del origen no lo
es realmente.

Una vez que se ha detectado un incidente de seguridad, uno de los primeros

problemas del analista en la recogida de datos se resume en decir si el equipo hay
que apagarlo o no.

Otro de los problemas que nos encontraremos a veces y dependiendo del tipo de
organización es la obtención de los siguientes datos: nombre y apellidos del
responsable del equipo y usuario del sistema. Otros datos que se deben obtener
como mínimo serían: modelo y descripción del sistema, número de serie, sistema
operativo que está corriendo, así como el coste económico aproximado que tiene
dicho incidente (por ejemplo, si ha sido atacado el sistema de gestión de un láser y
para su equilibrado se precisa de técnicos que tienen que desplazarse, sería un
coste axial como el tiempo de estar parado).

A continuación se deben localizar los dispositivos de almacenamiento que están

siendo utilizados por el sistema: discos duros, memorias (USB, RAM, etc.).

Una vez que se han localizado, se debe recabar la siguiente información: marca,
modelo, número de serie, tipo de conexión (IDE, SCSI, USB, etc.), conexión en el
sistema (si está conectado en la IDE1 y si es el primario o el secundario, etc.).

Una vez localizadas todas las partes del sistema, es recomendable hacer fotografías
de todo el sistema así como de su ubicación además de fotografiar los dispositivos
de almacenamiento.

Cuando se hayan hecho las fotos se continúa con la clonación bit a bit de los
dispositivos de almacenamiento del sistema. Dicha clonación tiene que ser
realizada en un dispositivo que haya sido previamente formateado a bajo nivel, ya
que este proceso garantiza que no queden impurezas de otro análisis anterior.

• Análisis e investigación: La fase de análisis e investigación de las evidencias

digitales es un proceso que requiere obviamente un gran conocimiento de los
sistemas a estudiar. Las fuentes de recogida de información en esta fase son varias:

o Registro de los sistemas analizados.

o Registro de los detectores de intrusión.

28
o Registro de los cortafuegos.

o Ficheros del sistema analizado.

En el caso de los ficheros del sistema analizado, hay que tener cuidado con las
carpetas personales de los usuarios. Dichas carpetas están ubicadas en el directorio
/home en sistemas GNU/Linux y en c:\documents and settings\ en sistemas
Windows con tecnología NT (Windows 2000, XP, etc.).

Hay que tener en cuenta que no se consideran personales aquellas carpetas que
han sido creadas por defecto en la instalación del sistema operativo, por ejemplo,
las cuentas de administrador. De todas formas, siempre es recomendable
asesorarse con un jurista ante la realización de un análisis forense para prevenir
posibles situaciones desagradables (por ejemplo: ser nosotros los denunciados por
incumplir la legislación).

Cuando se accede a la información podemos encontrar dos tipos de análisis:

o Físico: información que no es interpretada por el sistema operativo ni por el de

ficheros.

o Lógico: información que sí que es interpretada por el sistema operativo. En este

nivel, por tanto, podremos obtener: estructura de directorios, ficheros que se siguen
almacenando así como los que han sido eliminados, horas y fechas de creación y
modificación de los ficheros, tamaños, utilización de los HASH*, para reconocer los
tipos de archivos, contenido en los sectores libres, etc.

En un dispositivo de almacenamiento nos encontraremos con tres tipos de datos

recuperados:

o Allocated: inodo y nombre del fichero intactos, con lo que dispondremos del
contenido íntegro.

o Deleted/Reallocated: inodo y nombre del fichero intactos aunque han sido

recuperados porque habían sido borrados, con lo que dispondremos del contenido
íntegro.

29
o Unallocated: inodo y nombre de fichero no disponibles, con lo que no tendremos
el contenido íntegro del archivo aunque sí algunas partes. A veces, realizando una
labor muy laboriosa se puede obtener parte de la información e incluso unir las
partes y obtener casi toda la información del archivo.

o Una de las primeras acciones que vamos a tener que efectuar es determinar la
configuración horaria del sistema. Con dicha opción podremos validar las fechas y
las horas que podemos identificar para que no sean cuestionadas ante otro peritaje
por ejemplo.

o Después de identificar la configuración horaria, podremos realizar el estudio de

la línea de tiempo también conocida como timeline y conocer cuáles han sido las
acciones realizadas desde la instalación hasta el momento que se ha clonado el
disco.

• Redacción del informe: La redacción del informe es una tarea ardua a la par
que compleja, porque no sólo hay que recoger todas las evidencias, indicios y
pruebas recabados sino que, además, hay que explicarlos de una manera clara y
sencilla. Hay que tener en cuenta que muchas veces dichos informes van a ser
leídos por personas sin conocimientos técnicos y obviamente tiene que ser igual de
riguroso y debe ser entendido, con lo que habrá que explicar minuciosamente cada
punto.

Todo informe deberá tener perfectamente identificada la fecha de finalización de

éste, así como a las personas involucradas en su desarrollo.

Aunque a continuación explicaremos los dos tipos de informes que hemos

mencionado anteriormente (informe ejecutivo e informe técnico) en ciertas
situaciones se pueden unificar en uno dependiendo del caso y de la situación,
aunque no es recomendable.

o Informe ejecutivo

Los principales lectores de los informes ejecutivos son la alta dirección de las
empresas, organismos, etc.; es decir, personas que no tienen un perfil técnico.

Por tanto, el lenguaje del informe no debe ser muy técnico y, si se utiliza alguna
jerga técnica, tiene que ser explicada de una manera clara.

30
Este informe consta de los siguientes puntos:

 Introducción: se describe el objeto del informe así como el coste del incidente
acaecido.

 Descripción: se detalla que ha pasado en el sistema de una manera clara y

concisa sin entrar en cuestiones muy técnicas.

 Hay que pensar que dicho informe será leído por personal sin conocimientos
técnicos o con muy escasos conocimientos.

 Recomendaciones: se describen las acciones que se deben realizar una vez

comprobado que se ha sufrido una incidencia para evitar otra incidencia del mismo
tipo, así como si debe ser denunciado.

o Informe técnico

En este tipo de informe sus principales lectores son personas con un perfil técnico
(ingenieros, técnicos superiores, etc.), siendo el objetivo del informe describir qué
ha ocurrido en el sistema. El informe debe contener al menos los siguientes puntos:

 Introducción: donde se describe el objeto principal del informe y se detallan los

puntos fundamentales en que se disecciona el informe.

 Preparación del entorno y recogida de datos: se describen los pasos a seguir

para la preparación del entorno forense, la adquisición y verificación de las
imágenes del equipo afectado, etc.

 Estudio forense de las evidencias: en este punto se describe la obtención de las

evidencias así como de su significado.

 Conclusiones: donde se describen de una manera detallada las conclusiones a

las que se han llegado después de haber realizado el análisis.

4.2.4. Guías metodológicas para análisis forense dispositivos móviles con

sistema operativo Android. El primer desarrollo sobre el que se investigo fue la
presentación del Marco de referencia para el análisis forense de dispositivos

31
Android 4 en este documento se propuso modelo de 5 etapas basadas en el modelo
Casey 5 que tiene 7 etapas como se muestra en la siguiente imagen.

Figura 3. Modelo Casey

Fuente: CASEY, Eoghan. Digital Evidence and Computer Crime. USA: Academic
Press, 2011.

La etapa 1 propone la autorización y preparación: en esta etapa se realiza la revisión

de la autorización y formalidades legales.

4
URETA, Walter Raúl. Presentación del Marco de referencia para el análisis forense de
dispositivos Android [en línea]. Docplayer.es. Universidad Nacional de Matanza, Departamento de
Ingeniería e Investigaciones Tecnológicas, 2016 [Consultado 15 de enero de 2017]. Disponible en
Internet: https://docplayer.es/20360301-Presentacion-del-marco-de-referencia-para-el-analisis-
forense-de-dispositivos-android.html
5
CASEY, Eoghan. Digital Evidence and Computer Crime. USA: Academic Press, 2011. P.840

32
La etapa 2 tiene un conjunto de 2 etapas del método Casey que son la identificación
de hardware, software y la etapa de adquisición: en etapa se realizan las tareas de
identificar la evidencia encontrada y de realizar la extracción de los datos
encontrados en dicha evidencia.

La etapa 3 propone la conservación: se trata de la manera en la que se conservara

y custodiara la evidencia obtenida, como se listara y se rotulara.

La etapa 4 tiene un conjunto de 2 etapas del método Casey que son Examen,
análisis y reconstrucción: en esta etapa se verifica el alcance del análisis, se
registran las inconsistencias, se recupera e identifica la información eliminada, se
identifican los eventos del sistema, se analiza la información de la agenda android,
de las aplicaciones, telefónicas, voip, mensajería, identificar elementos de imagen
sonido o video, aplicaciones vinculadas a la información, repositorios de datos,
analizar la información de las aplicaciones y documentación.

La etapa 5 propone presentar las publicaciones y conclusiones: En esta etapa se

presentan 2 tipos de informe uno llamado reporte final el cual contiene toda la
información técnica de las lo obtenido en los pasos anteriores de manera detallada
y el reporte pericial el cual contiene la información que es relevante para el caso
jurídico o investigativo y solo contiene la información solicitada por los fiscales y
jueces del caso.

El segundo desarrollo sobre el que se investigo fue el análisis forense de

dispositivos móviles ios y android 6 en este modelo también se propone un modelo
basado en 5 etapas o fases basadas en las fases de investigación forense digital
que se expondrán a continuación:

6
ALVAREZ, Marco Antonio. Análisis Forense de dispositivos móviles iOS y Android [en línea].
Universitat Oberta de Catalunya, 04/01/2016. [Consultado 20 de enero de 2017]. Disponible en
internet:
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/45641/6/malvarezmuTFG0116memoria.pd
f

33
Figura 4. Fases basadas en las fases de investigación forense digital

Fuente: ÁLVAREZ, Marco Antonio. Análisis Forense de dispositivos móviles iOS y Android [En
línea]. Universitat Oberta de Catalunya, 04/01/2016. [Consultado 20 de enero de 2017]. Disponible
en internet:
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/45641/6/malvarezmuTFG0116memoria.pd
f; p.14.

La etapa 1 es llamada asegurar la escena: Esta etapa está basada en asegurar que
la escena no sea alterada, que los dispositivos o información encontrada se
encuentren en el mismo estado que cuando ocurrió el evento que es pieza de la
investigación.

La etapa 2 es llamada identificar la evidencia: En esta etapa se identifica y se rotula

toda la evidencia encontrada en la escena, se solicitan datos relevantes a las
personas que se encuentran en la escena, se realizan esquemas de la escena entre
otras tareas.

La etapa 3 es llamada Adquisición de las evidencias: En esta etapa se identifican y

se extraen los datos e información relevante que se encuentre en los dispositivos
móviles que son objeto del posterior análisis.

La etapa 4 es llamada Análisis e investigación de la evidencia: En esta etapa se

realiza un análisis exhaustivo de la información identificada en el dispositivo móvil
como análisis de contactos, geolocalización, mensajes de comunicación como
(MMS, correo electrónico, Whatsapp, Tango, Skype, etc.), registro de eventos,
calendario, historial del navegador, aplicaciones de redes sociales, los archivos logs
de actividades.

En esta etapa se realiza el uso de herramientas, análisis temporal, análisis

virtualizado.

La etapa 5 es llamada Informe Pericial: Se documenta y se presentan las evidencias

relacionadas con el caso, justificación de los procesos investigados, la conclusión.

34
El lenguaje utilizado debe ser formal pero no necesariamente técnico, el lector no
tiene porqué conocer la parte técnica. Sin embargo el Analista Forense tiene que
poseer habilidad para comunicar el resultado de la investigación de forma clara y
concisa.

El tercer desarrollo sobre el que se investigo fue Diseño de una guía para auditoria
de análisis forense en dispositivos móviles basados en tecnología android para la
legislación colombiana 7 esta auditoría está basada en 4 etapas o fases que son las
siguientes Planear, Hacer, Verificar y actuar. Todo el proceso de auditoría de
análisis forense se realiza dentro de las actividades de la cadena de custodia y bajo
la definición de actores cada uno con un rol especifico y de 4 fases los cuales se
presentan a continuación:

• Fases:

o Fase 1: Documentación inicial.

o Fase 2: Extracción lógica.

o Fase 3: Extracción física.

o Fase 4: Análisis de relaciones.

• Actores:

o Primer respondiente.

o Funcionario Policía Judicial.

o Custodio.

o Fiscal.

o Juez.

o Transportador.

o Analista.

7
LARROTA, Luz Estella; MARTINEZ, Leydi Marcela y ORJUELA, Viviana Francenet. Diseño de una
guía para auditoria de análisis forense en dispositivos móviles basados en tecnología android para
la legislación colombiana [en línea] Universidad Católica de Colombia: Facultad de Ingeniería. ESp.
Ingeniería de Sistemas de Información, enero 2015. [Consultado 20 de enero de 2017]. Disponible
en internet: http://repository.ucatolica.edu.co/handle/10983/1894

35
o Almacenista.

Cada uno de los actores listados anteriormente se encarga de realizar varias tareas
específicas que permiten realizar un flujo de trabajo entre las actividades y los otros
actores implicados en la escena.

Tabla 2. Comparativo guías metodológicas para análisis forense

Diseño de una guía

para auditoria de
Marco de referencia
Análisis forense de análisis forense en
para el análisis
METODOLOGÍA/FASES O dispositivos dispositivos móviles
forense de
ETAPAS móviles ios y basados en
dispositivos
android tecnología android
Android
para la legislación
colombiana

Autorización y
Etapa o fase 1 Asegurar la escena Documentación inicial.
preparación

Identificación de
hardware, software y Identificar la
Etapa o fase 2 Extracción lógica
la etapa de evidencia
adquisición

Adquisición de las
Etapa o fase 3 Conservación Extracción física
evidencias

Análisis e
Examen, análisis y
Etapa o fase 4 investigación de la Análisis de relaciones
reconstrucción
evidencia

presentar las
Etapa o fase 5 publicaciones y Informe Pericial
conclusiones

Fuente: elaboración propia

4.2.5. Herramientas para análisis forense. Según la investigación realizada en el

mercado hay una gran cantidad de herramientas de software tanto de código abierto

36
como de pago, que nos permiten realizar de manera similar las tareas necesarias
para la ejecución de un análisis forense.

Las herramientas exploradas son las siguientes:

• Andriller (Smartphone Forensic Decoder) 8

Es una utilidad de software con una colección de herramientas forenses para

teléfonos inteligentes. Realiza adquisiciones no destructivas, de sólo lectura,
forenses, desde dispositivos Android. Tiene otras características, tales como
poderoso bloqueo Lockscreen para patrón, código PIN o contraseña;
Decodificadores personalizados para datos de aplicaciones de Android (y algunas
bases de datos Apple iOS) para las comunicaciones de decodificación. La
extracción y los decodificadores producen informes en formatos HTML y Excel
(.xlsx).

Andriller es una aplicación multiplataforma para Microsoft Windows y Ubuntu Linux.

El instalador de Windows Lightweight Setup sólo requiere Microsoft Visual C ++
2010 Redistributable Package (x86) instalado, los controladores USB para su
dispositivo Android y un navegador web para ver los resultados. La versión de
Ubuntu necesita el paquete "android-tools-adb" instalado. Sencillo.

Características

o Extracción y decodificación automática de datos.

o Extracción de datos de dispositivos no arraigados sin dispositivos Android

Backup (versiones de Android 4.x).

o Extracción de datos con permisos de root: demonio ADB de raíz, modo de

recuperación CWM o binario de SU (Superusuario / SuperSU).

8
ANDRILLER. Android forensic tools [en línea] andriller. [consultado 20 de marzo de 2017].
Disponible en internet: http://andriller.com/

37
o Análisis y decodificación de datos para la estructura de carpetas, archivos Tarball
(desde copias de seguridad nanddroid) y Backup de Android (archivos 'backup.ab').

o Selección de decodificadores de bases de datos individuales para Android y

Apple.

o Descifrado de las bases de datos encriptados de WhatsApp (msgstore.db.crypt a

* .crypt12).

o Lockscreen cracking for Pattern, PIN, Contraseña.

o Desembalaje de los archivos de copia de seguridad de Android.

o Capturas de pantalla de la pantalla del dispositivo.

• Autopsy 9:

Autopsy es una plataforma forense digital y una interfaz gráfica para The Sleuth Kit
y otras herramientas forenses digitales. Es utilizado por los encargados de hacer
cumplir la ley, militares, y los examinadores corporativos para investigar qué sucedió
en una computadora o dispositivo móvil.

Características

o Casos multiusuario : colabore con otros examinadores en casos grandes.

o Análisis de la línea de tiempo: Muestra los eventos del sistema en una interfaz
gráfica para ayudar a identificar la actividad.

9
AUTOPSY.Digital forensic platform. [en línea] sleuthkit.org [consultado 20 de marzo de 2017].
Disponible en internet: https://www.sleuthkit.org/autopsy/

38
o Búsqueda por palabra clave: Los módulos de extracción de texto y de búsqueda
de índice le permiten encontrar archivos que mencionan términos específicos y
encontrar patrones de expresión regulares.

o Artefactos web: extrae la actividad web de los navegadores comunes para ayudar
a identificar la actividad del usuario.

o Análisis del Registro: Utiliza RegRipper para identificar documentos y dispositivos

USB recientemente accedidos.

o Análisis de archivos LNK: Identifica atajos y documentos accesados

o Análisis de correo electrónico: Analiza mensajes en formato MBOX, como

Thunderbird.

o EXIF: Extrae la ubicación geográfica y la información de la cámara de los archivos

JPEG.

o Clasificación del tipo de archivo: agrupe los archivos según su tipo para encontrar
todas las imágenes o documentos.

o Reproducción de medios: ver vídeos e imágenes en la aplicación y no requieren

un visor externo.

o Visor de miniaturas: muestra una miniatura de imágenes para ayudar a ver

rápidamente las imágenes.

o Robust File System Analysis: Soporte para sistemas de archivos comunes,

incluyendo NTFS, FAT12 / FAT16 / FAT32 / ExFAT, HFS +, ISO9660 (CD-ROM),
Ext2 / Ext3 / Ext4, Yaffs2 y UFS del Kit Sleuth .

o Filtrado de Hash Set: Filtre los archivos conocidos con NSRL e identifique los
archivos incorrectos conocidos utilizando hashsets personalizados en los formatos
HashKeeper, md5sum y EnCase.

39
o Etiquetas: Etiquetar archivos con nombres de etiquetas arbitrarios, como
"marcador" o "sospechoso", y agregar comentarios.

o Extracción de cadenas Unicode Extrae cadenas de espacio no asignado y tipos

de archivo desconocidos en muchos idiomas (árabe, chino, japonés, etc.).

o Detección de tipo de archivo basada en firmas y detección de falta de

coincidencia de extensión.

o Módulo de archivos interesantes marcará archivos y carpetas basándose en el

nombre y la ruta.

o Android Support: Extrae datos de SMS, registros de llamadas, contactos, Tango,

Palabras con amigos y mucho más.

• Forensic Toolkit (FTK):

Es un software informático forense hecho por Access Data. Escanea un disco duro
buscando información variada. Puede, por ejemplo, localizar mensajes de correo
electrónico eliminados y escanear un disco para las cadenas de texto para usarlos
como un diccionario de contraseña para romper el cifrado.

El kit de herramientas también incluye un programa de imágenes de disco

independiente llamado FTK Imager. El FTK Imager es una herramienta simple pero
concisa. Guarda una imagen de un disco duro en un archivo o en segmentos que
pueden reconstruirse posteriormente. Calcula los valores de hash MD5 y confirma
la integridad de los datos antes de cerrar los archivos. El resultado es un archivo o
archivos de imagen que se pueden guardar en varios formatos, incluyendo DD raw.

Características

o Crea imágenes de discos duros, disquets, discos Zip, CD-ROMs, DVD-ROMs,

carpetas o ficheros individuales.

o Vista previa de los ficheros y carpetas en discos duros, disquets, discos Zip, CD-
ROMs y DVD-ROMs.

40
o Monta la imagen para visualizar el contenido de la imagen exactamente como el
usuario con la unidad original.

o Exportar ficheros y carpetas de imágenes de disco.

o Ver y recuperar ficheros que se han borrado desde la papelera de reciclaje, pero
que aún no se han sobreescrito en la unidad.

o Crear hashes de ficheros mediante dos funciones: MD5 y SHA-1.

o Generar informes de hashes para fichero y para imágenes de disco para

comprobar la integridad de los contenidos. El hash es la prueba de que los ficheros
no se han alterado ni modificado en ningún caso.

• Dr. Phone

Dr.Fone kit de herramientas para recuperación de datos de Android es un

superhéroe fascinante para aquellas personas que necesitan recuperar sus
archivos importantes perdidos o eliminados de dispositivos Android.

Este software permite realizar una extracción de todos los datos almacenados en el
equipo en el momento de obtener el dispositivo, es una herramienta robusta,
intuitiva y de fácil manejo y permite extraer datos de memoria interna y externa,
datos de aplicaciones internas y externas, directorio telefónico, llamadas, fotos,
videos, y todo tipo de archivo utilizado o ejecutado en el dispositivo móvil.

A continuación se realiza un cuadro comparativo con las principales características

de las herramientas citadas anteriormente, del que se puede abstraer cuales son
las funcionalidades más importantes de cada uno de ellos y como se pueden
complementar.

41
Tabla 3. Comparativo técnicas y herramientas para análisis forense.

Andriller
Forensic
HERRAMIENTAS/CARACTERÍS (Smartphone
Autopsy Toolkit Dr. Phone
TICAS Forensic
(FTK)
Decoder)

LICENCIA
LICENCIA PAGO LICENCIA LICENCIA
Tipo de Licencia LIBRE
PAGO PAGO

Extracción de datos x X x
Casos multiusuario x
Desbloqueo de seguridad x x x
Búsqueda por palabra clave x x x
Análisis de aplicaciones internas x x x
Análisis de aplicaciones externas x x x
Análisis en línea de tiempo x
Análisis de archivos x x x
Análisis de fotos y videos x x x
Análisis de correos electrónicos x x x
Crear hashes de ficheros
mediante dos funciones: md5 y
x
sha-1.

Fuente: elaboración propia

Teniendo en cuenta la investigación y lo planteado anteriormente en el recorrido

realizado a las herramientas que se consideran las más importantes para realizar
extracción y análisis forense de datos e información, se tomó la decisión de
probarlas y aquí expondremos el uso de 2 de ellas en conjunto como lo son Dr.
Phone para realizar la extracción de los datos del dispositivo móvil para realizarle
posteriormente análisis forense con la herramienta Autopsy, aquí aplicaremos las
fases, escenarios y pasos planteados en la guía metodológica planteada en el punto
anterior.

42
4.2.6. Marco legal colombiano

4.2.6.1. Documento Consejo Nacional de Política Económica y Social –

CONPES 3701 – Lineamientos de política para ciberseguridad y ciberdefensa.
Esta política busca generar lineamientos de política en ciberseguridad y
ciberdefensa orientados a desarrollar una estrategia nacional que contrarreste el
incremento de las amenazas informáticas que afectan significativamente al país.
Adicionalmente, recoge los antecedentes nacionales e internacionales, así como la
normatividad del país en torno al tema.

La problemática central se fundamenta en que la capacidad actual del Estado para

enfrentar las amenazas cibernéticas presenta debilidades y no existe una estrategia
nacional al respecto. A partir de ello se establecen las causas y efectos que
permitirán desarrollar políticas de prevención y control, ante el incremento de
amenazas informáticas. Para la aplicabilidad de la estrategia se definen
recomendaciones específicas a desarrollar por entidades involucradas directa e
indirectamente en esta materia. Así lo ha entendido el Gobierno Nacional al incluir
este tema en el Plan Nacional de Desarrollo 2010-2014 “Prosperidad para Todos”,
como parte del Plan Vive Digital.

• Marco Nacional

Como referentes de la normativa nacional en la materia, es importante hacer

mención a los esfuerzos realizados por Colombia en su legislación de manera
cronológica, tal como se observa a continuación:

43
Tabla 4. Marco de leyes colombianas.

Fuente: CONPES. Documento 3701: lineamientos de política para ciberseguridad y

ciberdefensa. [en línea] Ministerio del Interior y de Justicia. Bogotá, 14 julio, 2011
[consultado 20 de marzo de 2017] Disponible en Internet:
https://www.mintic.gov.co/portal/604/articles-3510_documento.pdf

44
4.2.6.2. Documento Consejo Nacional de Política Económica y Social CONPES
3854 – Política Nacional de Seguridad Digital. El creciente uso del entorno digital
en Colombia para desarrollar actividades económicas y sociales, acarrea
incertidumbres y riesgos inherentes de seguridad digital que deben ser gestionados
permanentemente. No hacerlo, puede resultar en la materialización de amenazas o
ataques cibernéticos, generando efectos no deseados de tipo económico o social
para el país, y afectando la integridad de los ciudadanos en este entorno.

El enfoque de la política de ciberseguridad y ciberdefensa, hasta el momento, se ha

concentrado en contrarrestar el incremento de las amenazas cibernéticas bajo los
objetivos de (i) defensa del país; y (ii) lucha contra el cibercrimen. Si bien esta
política ha posicionado a Colombia como una de los líderes en la materia a nivel
regional, ha dejado de lado la gestión del riesgo en el entorno digital. Enfoque
esencial en un contexto en el que el incremento en el uso de las TIC para realizar
actividades económicas y sociales, ha traído consigo nuevas y más sofisticadas
formas de afectar el desarrollo normal de estas en el entorno digital. Hecho que
demanda una mayor planificación, prevención, y atención por parte de los países.

Es precisamente por esto que la política nacional de seguridad digital, objeto de este
documento, cambia el enfoque tradicional al incluir la gestión de riesgo como uno
de los elementos más importantes para abordar la seguridad digital. Esto lo hace
bajo cuatro principios fundamentales y cinco dimensiones estratégicas, que rigen el
desarrollo de esta política. De los primeros destaca que la política nacional de
seguridad digital debe involucrar activamente a todas las partes interesadas, y
asegurar una responsabilidad compartida entre las mismas. Principios que se
reflejan en las dimensiones en las que esta política actuará, las cuales determinan
las estrategias para alcanzar su objetivo principal: fortalecer las capacidades de las
múltiples partes interesadas, para identificar, gestionar, tratar y mitigar los riesgos
de seguridad digital en sus actividades socioeconómicas en el entorno digital. Para
lograrlo, se implementarán acciones en torno a cinco ejes de trabajo.

En primer lugar, se establecerá un marco institucional claro en torno a la seguridad

digital. Para esto, se crearán las máximas instancias de coordinación y orientación
superior en torno a la seguridad digital en el gobierno, y se establecerán figuras de
enlace sectorial en todas las entidades de la rama ejecutiva a nivel nacional. En
segundo lugar, se crearán las condiciones para que las múltiples partes interesadas
gestionen el riesgo de seguridad digital en sus actividades socioeconómicas y se
genere confianza en el uso del entorno digital, mediante mecanismos de
participación activa y permanente, la adecuación del marco legal y regulatorio de la
materia y la capacitación para comportamientos responsables en el entorno digital.
Como tercera medida, se fortalecerá la defensa y seguridad nacional en el entorno
digital, a nivel nacional y trasnacional, con un enfoque de gestión de riesgos. Por

45
último, se generarán mecanismos permanentes para impulsar la cooperación,
colaboración y asistencia en materia de seguridad digital, a nivel nacional e
internacional, con un enfoque estratégico.

Para poner en marcha esta política, se ha construido un plan de acción que se

ejecutará durante los años 2016 a 2019 con una inversión total de 85.070 millones
de pesos. Las principales entidades ejecutoras de esta política son el Ministerio de
Tecnologías de la Información y las Comunicaciones, el Ministerio de Defensa
Nacional, la Dirección Nacional de Inteligencia y el Departamento Nacional de
Planeación.

Se estima que la implementación de la política nacional de seguridad digital al año

2020 podría impactar positivamente la economía de Colombia, generándose
durante los años 2016 a 2020 alrededor de 307.000 empleos y un crecimiento
aproximado de 0,1% en la tasa promedio de variación anual del Producto Interno
Bruto (PIB), sin generar presiones inflacionarias.

• Institucionalidad

• Grupo de respuesta a emergencias cibernéticas de Colombia (colCERT) del

Ministerio de Defensa Nacional.

El Grupo de Respuesta a Emergencias Cibernéticas de Colombia - colCERT, tendrá

como responsabilidad central la coordinación de la Ciberseguridad y Ciberdefensa
Nacional, la cual estará enmarcada dentro del Proceso Misional de Gestión de la
Seguridad y Defensa del Ministerio de Defensa Nacional. Su propósito principal será
la coordinación de las acciones necesarias para la protección de la infraestructura
crítica del Estado colombiano frente a emergencias de ciberseguridad que atenten
o comprometan la seguridad y defensa nacional.

Objetivos del colCERT

o Coordinar y asesorar a CSIRT's y entidades tanto del nivel público, como privado
y de la sociedad civil para responder ante incidentes informáticos.

o Ofrecer servicios de prevención ante amenazas informáticas, respuesta frente a

incidentes informáticos, así como a aquellos de información, sensibilización y
formación en materia de seguridad informática.

46
o Actuar como punto de contacto internacional con sus homólogos en otros países,
así como con organismos internacionales involucrados en esta técnica.

o Promover el desarrollo de capacidades locales/sectoriales, así como la creación

de CSIRT's sectoriales para la gestión operativa de los incidentes de ciberseguridad
en las infraestructuras críticas nacionales, el sector privado y la sociedad civil.

o Desarrollar y promover procedimientos, protocolos y guías de buenas prácticas y

recomendaciones de ciberdefensa y ciberseguridad para las infraestructuras críticas
de la Nación en conjunto con los agentes correspondientes y velar por su
implementación y cumplimiento.

o Coordinar la ejecución de políticas e iniciativas público-privadas de

sensibilización y formación de talento humano especializado, relativas a la
ciberdefensa y ciberseguridad.

o Apoyar a los organismos de seguridad e investigación del Estado para la

prevención e investigación de delitos donde medien las tecnologías de la
información y las comunicaciones.

o Fomentar un sistema de gestión de conocimiento relativo a la ciberdefensa y

ciberseguridad, orientado a la mejora de los servicios prestados por el colCERT.

• CCP Centro Cibernético Policial de la Policía Nacional de Colombia

En el ciberespacio habitan un sin número de personas en busca de información,

entretenimiento, negocios y otra clase de actividades. Sin embargo, también es una
puerta abierta para que los criminales, depravados y terroristas cometan sus
fechorías.

Con el objetivo de contrarrestar los delitos cibernéticos y combatir a los delincuentes

en la red, nace el Centro Cibernético Policial que ofrece estrategias de prevención
y atención ciudadana.

¿Cómo está dividido el Centro Cibernético Policial?

47
Está dividido en tres grandes grupos. El primero tiene que ver con todo el tema de
fraudes electrónicos y lo relacionado con la protección de datos; el segundo es el
ciberterrorismo y por último, el grupo contra la pornografía infantil.

¿Qué tipo de tecnología implementan para mitigar los delitos?

Nosotros contamos con diferentes equipos de análisis. Por ejemplo, manejamos un

programa llamado ‘Cellebrite’ para extracción de datos única. Permite extracciones
lógicas, físicas y de sistema de archivos de todos los datos y contraseñas,
incluyendo datos eliminados, de la más amplia gama de dispositivos móviles. Por
otro lado, contamos con los programas EnCase y FTK que nos permiten capturar,
analizar y generar reportes sobre evidencia digital. Permiten recolectar datos desde
cualquier actividad que se realice en internet: correo electrónico, documentos,
gráficos, libretas de direcciones, etc.

• CCOC Comando Conjunto Cibernético del Comando General de las Fuerzas

Militares de Colombia.

Durante el verano del 2012, el Gobierno colombiano se comprometió a ocuparse de

la seguridad y la defensa cibernéticas para reforzar la seguridad de la información
nacional, específicamente por medio de organizaciones oficiales que sentarían las
bases, y crearían mecanismos para este fin. El documento, denominado CONPES
3701, estableció las directrices nacionales para la defensa y la seguridad
cibernéticas de Colombia.

De esta forma, la nación sudamericana instituyó oficialmente un enfoque

gubernamental conjunto para contrarrestar las amenazas cibernéticas y el delito.
Colombia creó su unidad cibernética combinando tres organizaciones paralelas
diseñadas para ejecutar responsabilidades específicas en el ciberespacio: el
Comando Conjunto Cibernético (CCOC), el Centro Cibernético de la Policía
Nacional (CCP) y el Equipo de Respuesta ante Emergencias Informáticas del
ministerio de Defensa (colCERT).

El CCOC fue creado con un grupo inicial de 20 expertos en estudios en

comunicaciones, ingeniería, aviación e inteligencia, procedentes de las tres ramas
de las Fuerzas Armadas colombianas. Su objetivo es abordar la defensa cibernética
del estado, responder a los ataques cibernéticos, asegurar la protección de
infraestructuras críticas y defender las redes informáticas militares. Por otra parte,
el personal operativo del CCP, que depende de la Dirección de Investigación
Criminal de la Policía Nacional y la Interpol, busca garantizar la seguridad

48
cibernética por medio del cumplimiento de la ley, la investigación y la persecución
de delitos relacionados con la cibernética. El colCERT se encarga principalmente
de mitigar, prevenir y abordar incidentes cibernéticos, además de ofrecer
experiencia técnica y concientización sobre la vulnerabilidad de la seguridad
cibernética.

En diciembre de 2012, representantes del Comando Conjunto Cibernético del

Comando Sur de los Estados Unidos (SOUTHCOM) y el Director de Información del
Departamento de Defensa de los EE. UU. Viajaron a Colombia, para participar en
un intercambio de expertos con miembros del CCOC y del colCERT. El director de
información es la principal autoridad del Departamento de Defensa estadounidense
en políticas y vigilancia de la gestión de recursos de información, incluidos los
asuntos relacionados con tecnología de la información, y defensa y operaciones de
redes.

4.2.6.3. Ley 1581 de 2012

• Los antecedentes normativos.

La información es el activo más importante en el mundo actual, es por ello que el

17 de octubre de 2012 el Gobierno Nacional expidió la Ley Estatutaria 1581 de 2012
mediante la cual se dictan disposiciones generales para la protección de datos
personales, en ella se regula el derecho fundamental de hábeas data y se señala la
importancia en el tratamiento del mismo tal como lo corrobora la Sentencia de la
Corte Constitucional C – 748 de 2011 donde se estableció el control de
constitucionalidad de la Ley en mención. La nueva ley busca proteger los datos
personales registrados en cualquier base de datos que permite realizar
operaciones, tales como la recolección, almacenamiento, uso, circulación o
supresión (en adelante tratamiento) por parte de entidades de naturaleza pública y
privada.

Como Ley Estatutaria (ley de especial jerarquía), tiene como fin esencial
salvaguardar los derechos y deberes fundamentales, así como los procedimientos
y recursos para su protección. La Jurisprudencia Constitucional trató desde el inicio
el derecho al hábeas data como una garantía del derecho a la intimidad, de allí que
se hablaba de la protección de los datos que pertenecen a la vida privada y familiar,
entendida como la esfera individual impenetrable en la que cada cual puede realizar
su proyecto de vida y en la que ni el Estado ni otros particulares pueden interferir.
Actualmente el hábeas data es un derecho autónomo, compuesto por la
autodeterminación informática y la libertad (incluida la libertad económica). Este
derecho como fundamental autónomo, requiere para su efectiva protección

49
mecanismos que lo garanticen, los cuales no sólo han de depender pender de los
jueces, sino de una institucionalidad administrativa que además del control y
vigilancia tanto para los sujetos de derecho público como privado, aseguren la
observancia efectiva de la protección de datos y, en razón de su carácter técnico,
tengan la capacidad de fijar políticas públicas en la materia, sin injerencias de
carácter político para el cumplimiento de esas decisiones.

Dentro de los contenidos mínimos que se desprenden del derecho de hábeas data
se encuentra que las personas tienen la facultad de conocer – acceso – la
información que sobre ellas están recogidas en bases de datos, lo que conlleva el
acceso a las mismas donde se encuentra dicha información; tienen además, el
derecho a incluir nuevos datos con el fin de que se provea una imagen completa del
titular; derecho a actualizar la información, es decir, a poner al día el contenido de
dichas bases de datos; derecho a que la información contenida en bases de datos
sea rectificada o corregida, de tal manera que concuerde con la realidad; derecho a
excluir información de una base de datos, bien porque se está haciendo un uso
indebido de ella, o por simple voluntad del titular – salvo las excepciones previstas
en la normativa.

La Ley obliga a todas las entidades públicas y empresas privadas a revisar el uso
de los datos personales contenidos en sus sistemas de información y replantear sus
políticas de manejo de información y fortalecimiento de sus herramientas, como
entidad responsable del tratamiento (persona natural o jurídica, pública o privada,
que por sí misma o en asocio con otros, decida sobre la base de datos y/o el
tratamiento de los datos) deben definir los fines y medios esenciales para el
tratamiento de los datos de los usuarios y/o titulares, incluidos quienes fungen como
fuente y usuario, y los deberes que se le adscriben responden a los principios de la
administración de datos y a los derechos –intimidad y hábeas data – del titular del
dato personal.

Luego de presentar los antecedentes jurídicos, es clave entender que la información

hoy en día es el activo más importante que se utiliza en todas las actividades
cotidianas, como podemos evidenciar, el flujo de información se ha multiplicado en
los últimos años llevando a un crecimiento acelerado del mismo, lo que implica que
a mayor información circulando por el mundo globalizado en que nos encontramos
se deben proteger velozmente los datos personales.

• Obligaciones particulares a partir del Decreto 1377 del 27 de junio de 2013

El Decreto tiene como objetivo facilitar la implementación y el cumplimiento de la ley

1581 reglamentando aspectos relacionados con la autorización del titular de la

50
información para el tratamiento de sus datos personales, las políticas de tratamiento
de los responsables y encargados, el ejercicio de los derechos de los titulares de la
información, entre otros:

• 1). El anuncio como tal (y a los cinco días siguientes de la comunicación,

enviar carta comunicándole al respecto a la Superintendencia de Industria y
Comercio).

• 2). Formato de autorización para que si lo desean lo diligencien los

titulares de datos recolectados previamente.

• 3). Determinación de canal electrónico y físico para recibir las

autorizaciones.

• 4). Política de tratamiento de la información personal (pues esta se debe

indicar en el anuncio).

• 5). Conducto regular y canales físicos y electrónicos definidos para que el

titular ejerza sus derechos de acceso, rectificación y supresión.

Para datos recolectados a partir de la expedición del Decreto 1377 se necesita:

• 1). Aviso de Privacidad (que se puede hacer estratégicamente en el mismo

formato de autorización de la captura).

• 2). Definir o crear un área o sujeto responsable de la protección de la

información personal, según el tamaño empresarial del cliente (es decir aquí opera
el criterio de responsabilidad demostrada consagrado en los arts. 26 y 27 del
Decreto 1377).

• 3). Establecer cláusulas para transmisiones y transferencias de datos (si

estas aplican).

• 4). Definir o conocer cuáles son los grupos de interés del cliente.

51
• 5). Definir las finalidades y los tratamientos genéricos en cada grupo de
interés, pues esto se debe indicar en la política de tratamiento y en el formato de
autorización.

4.2.7. El tratamiento de la evidencia digital y las normas ISO/IEC 27037:2012.

La norma ISO/IEC 27037:2012 “Information technology — Security techniques —
Guidelines for identification, collection, acquisition and preservation of digital
evidence” viene a renovar a las ya antiguas directrices RFC 3227 estando las
recomendaciones de la ISO 27037 más dirigidas a dispositivos actuales y están más
de acorde con el estado de la técnica actual.

Esta norma ISO 27037 está claramente orientada al procedimiento de la actuación

pericial en el escenario de la recogida, identificación y secuestro de la evidencia
digital, no entra en la fase de Análisis de la evidencia.

Las tipologías de dispositivos y entornos tratados en la norma son los siguientes:

• Equipos y medios de almacenamiento y dispositivos periféricos.

• Sistemas críticos (alta exigencia de disponibilidad).

• Ordenadores y dispositivos conectados en red.

• Dispositivos móviles.

• Sistema de circuito cerrado de televisión digital.

Los principios básicos en los que se basa la norma son:

• Aplicación de Métodos

La evidencia digital debe ser adquirida del modo menos intrusivo posible tratando
de preservar la originalidad de la prueba y en la medida de lo posible obteniendo
copias de respaldo.

52
• Proceso Auditable

Los procedimientos seguidos y la documentación generada deben haber sido

validados y contrastados por las buenas prácticas profesionales. Se debe
proporcionar trazas y evidencias de lo realizado y sus resultados.

• Proceso Reproducible

Los métodos y procedimientos aplicados deben de ser reproducibles, verificables y

argumentables al nivel de comprensión de los entendidos en la materia, quienes
puedan dar validez y respaldo a las actuaciones realizadas.

• Proceso Defendible

Las herramientas utilizadas deben de ser mencionadas y éstas deben de haber sido
validadas y contrastadas en su uso para el fin en el cual se utilizan en la actuación.

Para cada tipología de dispositivo la norma divide la actuación o su tratamiento en

tres procesos diferenciados como modelo genérico de tratamiento de las
evidencias:

o La identificación: es el proceso de la identificación de la evidencia y consiste en

localizar e identificar las potenciales informaciones o elementos de prueba en sus
dos posibles estados, el físico y el lógico según sea el caso de cada evidencia.

o La recolección y/o adquisición: Este proceso se define como la recolección de los

dispositivos y la documentación (incautación y secuestro de los mismos) que
puedan contener la evidencia que se desea recopilar o bien la adquisición y copia
de la información existente en los dispositivos.

o La conservación/preservación: La evidencia ha de ser preservada para garantizar

su utilidad, es decir, su originalidad para que a posteriori pueda ser ésta admisible
como elemento de prueba original e íntegra, por lo tanto, las acciones de este
proceso están claramente dirigidas a conservar la Cadena de Custodia, la integridad
y la originalidad de la prueba.

53
 OBJETIVOS

5.1 OBJETIVO GENERAL

Desarrollar una guía metodológica para realizar análisis forense en dispositivos

móviles de sistema operativo Android, siguiendo los lineamientos de la legislación
colombiana.

5.2 OBJETIVOS ESPECIFICOS

• Investigar el alcance del marco jurídico que cobija las investigaciones y análisis
sobre la información contenida en dispositivos móviles según la legislación
colombiana.

• Investigar las diferentes técnicas y herramientas aplicadas en análisis forense de

dispositivos móviles.

• Investigar las metodologías existentes para realizar análisis forense a

dispositivos móviles y la relación entre las herramientas, técnicas y estas
metodologías existentes para realizar análisis forense a dispositivos móviles.
 METODOLOGÍA

La metodología utilizada en este proyecto es el análisis de contenido como método

de investigación, ya que permite articular las diferentes investigaciones realizadas
con el fin de integrarlas. Además esta metodología nos permitirá determinar, medir,
describir, identificar, analizar y comparar la información obtenida objeto de la
investigación de las herramientas, técnicas y metodologías existentes en la
informática forense orientada a los dispositivos móviles que nos dará como
resultado el planteamiento de la metodología para análisis forense en estos
dispositivos.

Todo proceso investigativo basado en esta metodología debe comprender o

involucrar al menos cuatro etapas básicas: En primer lugar, el investigador tendrá
que plantear con precisión el problema de investigación, identificando, analizando y
evaluándolo con el objetivo último de darle una solución o una explicación. La
segunda etapa de la investigación consiste en la elaboración de un diseño de
investigación, un plan en el que se justifique el cómo se va a realizar la investigación,
qué metodología se va a utilizar. Una tercera etapa, tiene que ver con las técnicas
de recolección de información que se van a utilizar, con el fin de recoger los datos
que se consideren necesarios y suficientes para poder dar respuesta a la hipótesis
inicial. En una cuarta etapa, los datos recogidos se someterán a análisis e
interpretación, de acuerdos a criterios teóricos y metodológicos definidos. Y,
finalmente, las conclusiones constituirán el informe final.

6.1 ETAPAS DEL PROYECTO

• Planteamiento del problema y alcance de la investigación.

• Diseño de la investigación.

• Aplicación de técnicas de recolección de información.

• Análisis, interpretación y presentación de informe.

 DESARROLLO DEL PROYECTO

7.1 GUIA METODOLÓGICA

La guía metodológica propuesta consta de 4 fases, encontrar la evidencia, identificar

y extraer la evidencia, analizar la evidencia, documentar y presentar la evidencia.

Los actores que cumplen un rol en esta guía metodológica propuesta y que
garantizan la cadena de custodia de la evidencia son los siguientes:

• Primer responsable.

• Agente de Policía.

• Custodio.

• Transportador.

• Almacenista.

• Analista.

• Fiscal.

• Juez.

Los roles expuestos pueden presentar algunas variaciones dependiendo del lugar y
contexto en el que se desarrollen los hechos.

A continuación se describen las fases y pasos para la ejecución de la guía

propuesta, se deben ejecutar de manera secuencial para obtener los resultados
requeridos.

Fase uno F1: Encontrar la evidencia.

56
 En esta fase se identifica la evidencia encontrada, se asocia a un caso de
investigación y se trata para ser analizada.

En esta fase se diligencia los formularios del anexo a, b y c respectivamente.

Tabla 5. Fase 1 Encontrar la evidencia

FASE 1 ENCONTRAR LA EVIDENCIA

PASO 1 IDENTIFICAR CASO DE ANÁLISIS
INFORMACIÓN DEL CASO DESCRIPCIÓN DEL CAMPO
DEBE SER UN NUMERO ENTERO DE
NUMERO DE CASO
MÁXIMO 3 DÍGITOS
FECHA FORMATO DD-MM-AAAA EN EL
FECHA DEL CASO QUE SE REGISTRA EL CASO DE
ANÁLISIS
HORA FORMATO HH:MM (AM/PM) EN EL
HORA DEL CASO QUE SE REGISTRA EL CASO DE
ANÁLISIS
IDENTIFICAR CALLE, CARRERA,
DIRECCIÓN DEL CASO TRANSVERSAL, NUMERO DE CASA O
PREDIO ETC.
IDENTIFICAR CIUDAD DONDE OCURRIÓ
CIUDAD
EL CASO.
IDENTIFICAR DEPARTAMENTO DONDE
DEPARTAMENTO
OCURRIÓ EL CASO.
SE DEBE REALIZAR UN RELATO
ESCRITO DONDE SE DESCRIBA LA
DESCRIPCIÓN TEXTUAL DEL CASO ESCENA EN DONDE OCURRIÓ EL CASO
QUE VA A SER OBJETO DE POSTERIOR
ANÁLISIS.
INFORMACIÓN DEL PRIMER
RESPONSABLE
NUMERO DE CEDULA DE LA PERSONA
IDENTIFICACIÓN RESPONSABLE
QUE LLEGO PRIMERO A LA ESCENA.
NOMBRE DE LA PERSONA QUE LLEGO
NOMBRE
PRIMERO A LA ESCENA.
CARGO DE LA PERSONA QUE LLEGO
CARGO
PRIMERO A LA ESCENA. (OPCIONAL)

57
Tabla 5. (Continuación)

INFORMACIÓN DEL AGENTE DE

POLICÍA O CUSTODIO
NUMERO DE CEDULA DEL AGENTE DE
IDENTIFICACIÓN RESPONSABLE POLICÍA O CUSTODIO JUDICIAL DE LA
ESCENA
NOMBRE DEL AGENTE DE POLICÍA O
NOMBRE
CUSTODIO JUDICIAL DE LA ESCENA
CARGO DEL AGENTE DE POLICÍA O
CARGO
CUSTODIO JUDICIAL DE LA ESCENA
LISTAR Y FILTRAR EVIDENCIAS
PASO 2 ENCONTRADAS
INFORMACIÓN DE LA EVIDENCIA
DEBE SER UN NUMERO ENTERO DE
NUMERO DE EVIDENCIA
MÁXIMO 2 DÍGITOS
DEBE DEFINIR SI LA EVIDENCIA
ENCONTRADAS SON COMPUTADORES,
DISPOSITIVOS MÓVILES U OTRO TIPO
TIPO DE EVIDENCIA DE EVIDENCIA, EN ESTE CASO SOLO
NOS CONCIERNEN LOS DISPOSITIVOS
MÓVILES DE SISTEMA OPERATIVO
ANDROID.
LA EVIDENCIA AQUÍ FILTRADA SON
DESCRIPCIÓN INICIAL DE LA
DISPOSITIVOS MÓVILES DE SISTEMA
EVIDENCIA
OPERATIVO ANDROID.
MARCA MARCA DEL DISPOSITIVO MÓVIL.
MODELO MODELO DEL DISPOSITIVO MÓVIL
COLOR COLOR DEL DISPOSITIVO MÓVIL
IMEI IMEI DEL DISPOSITIVO MÓVIL
PASO 3 TRATAR LA EVIDENCIA
ESCENARIO 1 DISPOSITIVO MÓVIL APAGADO
SE DEBE EMBALAR EL DISPOSITIVO EN
EMBALAR DISPOSITIVO UN RECIPIENTE DONDE NO SE
PRESENTE DAÑO FÍSICO ALGUNO.
NUMERO DE CASO, NUMERO DE
ROTULAR DISPOSITIVO EVIDENCIA, FECHA DE ROTULADO,
HORA DE ROTULADO.
SE DEBE LLEVAR EL DISPOSITIVO
MÓVIL AL LABORATORIO DONDE SERA
TRANSPORTAR AL LABORATORIO O RECIBIDO POR EL ANALISTA PARA SU
ALMACÉN ANÁLISIS O AL ALMACÉN PARA SER
GUARDADA Y ANALIZADA
POSTERIORMENTE.

58
Tabla 5. (Continuación)
INFORMACIÓN DEL TRANSPORTADOR
NUMERO DE IDENTIFICACIÓN
NOMBRE
INFORMACIÓN DEL ALMACENISTA O
ANALISTA
NUMERO DE IDENTIFICACIÓN
NOMBRE
CARGO
ESCENARIO 2
AISLAR EL EQUIPO
ROTULAR DISPOSITIVO
EXTRAER INFORMACIÓN VOLÁTIL
PROPORCIONAR CARGA ELÉCTRICA
TRANSPORTAR AL LABORATORIO O
ALMACÉN
INFORMACIÓN DEL TRANSPORTADOR
NUMERO DE IDENTIFICACIÓN
NUMERO DE CEDULA DEL
TRANSPORTADOR DE LA EVIDENCIA
NOMBRE DEL TRANSPORTADOR DE LA
EVIDENCIA
NUMERO DE CEDULA DEL ANALISTA O
ALMACENISTA QUE RECIBE LA
EVIDENCIA.
NOMBRE DEL ANALISTA O
ALMACENISTA QUE RECIBE LA
EVIDENCIA.
CARGO DEL ANALISTA O ALMACENISTA
QUE RECIBE LA EVIDENCIA.
DISPOSITIVO MÓVIL ENCENDIDO
SE DEBE EMBALAR EL DISPOSITIVO EN
UN BOLSA QUE AÍSLA SEÑALES O
JAULA DE FARADAY.
NUMERO DE CASO, NUMERO DE
EVIDENCIA, FECHA DE ROTULADO,
HORA DE ROTULADO.
SE DEBE CONECTAR EL DISPOSITIVO A
UN PC PARA VER SI ES POSIBLE POR
MEDIO DE SOFTWARE DE ANÁLISIS
FORENSE REALIZAR UNA BACKUP DE
LA MEMORIA RAM DEL DISPOSITIVO.
SE PROPORCIONA CARGA ELÉCTRICA
AL DISPOSITIVO SI ES NECESARIO
LLEVARLO ENCENDIDO AL
LABORATORIO PARA INTENTAR
EXTRAER LA INFORMACIÓN ALOJADA
EN LA MEMORIA RAM.
SE DEBE LLEVAR EL DISPOSITIVO
MÓVIL AL LABORATORIO DONDE SERA
RECIBIDO POR EL ANALISTA PARA SU
ANÁLISIS O AL ALMACÉN PARA SER
GUARDADA Y ANALIZADA
POSTERIORMENTE.
NUMERO DE CEDULA DEL
TRANSPORTADOR DE LA EVIDENCIA
59
Tabla 5. (Continuación)

NOMBRE DEL TRANSPORTADOR DE LA

NOMBRE
EVIDENCIA
INFORMACIÓN DEL ALMACENISTA O
ANALISTA
NUMERO DE CEDULA DEL ANALISTA O
NUMERO DE IDENTIFICACIÓN ALMACENISTA QUE RECIBE LA
EVIDENCIA.
NOMBRE DEL ANALISTA O
NOMBRE ALMACENISTA QUE RECIBE LA
EVIDENCIA.
CARGO DEL ANALISTA O ALMACENISTA
CARGO
QUE RECIBE LA EVIDENCIA.

PASO 4 DESBLOQUEAR DISPOSITIVO

ANDROID NORMALMENTE TIENE 4 OPCIONES PARA EL MANEJO DE LA
SEGURIDAD DE LOS DISPOSITIVOS MÓVILES LAS CUALES LISTAMOS A
CONTINUACIÓN EN ORDEN DE PRIORIDAD:

1. CUENTA DE GOOGLE.
2. PIN NUMÉRICO DE BLOQUEO (4 DÍGITOS)
3. PATRÓN DE BLOQUEO.
4. HUELLA (BLOQUEO BIOMÉTRICO)

EXISTEN HERRAMIENTAS COMO DR. PHONE Y ANDRILLER TIENEN MÓDULOS

QUE PERMITEN QUITAR ESTOS PATRONES DE BLOQUEO PERO SON POCO
EFECTIVAS YA QUE DEPENDE DE VARIAS VARIABLES PARA PODER REALIZAR
ESTOS DESBLOQUEO COMO LO SON LA MARCA DEL DISPOSITIVO, EL MODELO
DEL DISPOSITIVO, LA VERSIÓN DE ANDROID.

SON HERRAMIENTAS EFECTIVAS EN EL CASO DE QUE LOS EQUIPOS SEAN

MODELOS ANTIGUOS O DESACTUALIZADOS.
CADA VEZ QUE SE REALICE
CUALQUIER MOVIMIENTO DE LA
PASO 5 EVIDENCIA DEBE QUEDAR
REGISTRADO EN EL FORMULARIO
CADENA DE CUSTODIA.
FECHA FORMATO DD-MM-AAAA EN EL
FECHA DE REGISTRO QUE SE REGISTRA EL EVENTO EN LA
CADENA DE CUSTODIA.

60
Tabla 5. (Continuación)

HORA FORMATO HH:MM (AM/PM) EN EL

HORA DE REGISTRO QUE SE REGISTRA EL EVENTO EN LA
CADENA DE CUSTODIA.
NUMERO DE IDENTIFICACIÓN DEL
IDENTIFICACIÓN RESPONSABLE DE LA CADENA DE
CUSTODIA
NOMBRE DEL RESPONSABLE DE LA
NOMBRE DEL RESPONSABLE
CADENA DE CUSTODIA
CARGO DEL RESPONSABLE DE LA
CARGO DEL RESPONSABLE
CADENA DE CUSTODIA
DEBE SER UN NUMERO ENTERO DE
NUMERO DE EVIDENCIA
MÁXIMO 3 DÍGITOS
MOTIVO DEL TRASLADO DE LA
OBJETO DEL TRASLADO
EVIDENCIA
LUGAR DONDE SE RECOGE LA
LUGAR DE ORIGEN
EVIDENCIA.
LUGAR DE DESTINO LUGAR DE DESTINO DE LA EVIDENCIA.
FIRMA DEL ENCARGADO DE LA
FIRMA DEL ENCARGADO
EVIDENCIA.

Fuente: elaboración propia

Fase dos F2: Identificar, describir y extraer la evidencia.

En esta fase se identifica, describe y extrae los datos e información obtenida de los
dispositivos móviles con sistema operativo Android que serán tratados como
evidencia.

En esta fase se diligencia los formularios del anexo c y d.

61
Tabla 6. Fase 2 Identificar, describir y extraer la evidencia

FASE 2 IDENTIFICAR, DESCRIBIR Y EXTRAER LA EVIDENCIA

PASO 1 IDENTIFICAR LA EVIDENCIA
IDENTIFICACIÓN DE LA
EVIDENCIA DESCRIPCIÓN DEL CAMPO
DEBE SER UN NUMERO ENTERO DE MÁXIMO 3
NUMERO DE EVIDENCIA
DÍGITOS.
FECHA EN FORMATO DD: MM: AAAA EN LA QUE SE
FECHA REGISTRO REALIZO EL EJERCICIO DE IDENTIFICACIÓN DE LA
EVIDENCIA ENCONTRADA.
HORA EN FORMATO HH:MM (AM/PM) EN LA QUE SE
HORA REGISTRO REALIZO EL EJERCICIO DE IDENTIFICACIÓN DE LA
EVIDENCIA ENCONTRADA.
DIRECCIÓN DE LUGAR DONDE SE REALIZO LA
LUGAR DE REGISTRO IDENTIFICACIÓN DE LA EVIDENCIA ENCONTRADA
(LABORATORIO-ESCENA DEL CASO)
IDENTIFICACIÓN DEL ANALISTA
IDENTIFICACIÓN DEL
NUMERO DE CEDULA DEL ANALISTA ENCARGADO.
ANALISTA
NOMBRE ANALISTA NOMBRE DEL ANALISTA ENCARGADO.
EXTRAER COPIA DE DATOS BIT A BIT PARA
PASO 2 MEMORIA EXTERNA
EXTRAER MEMORIA SE DEBE EXTRAER FÍSICAMENTE LA MEMORIA
EXTERNA DEL EXTERNA DEL DISPOSITIVO MÓVIL PARA
DISPOSITIVO MÓVIL CONECTARSE A UN PC.
CONECTAR MEMORIA
SE DEBE CONECTAR LA MEMORIA EXTERNA AL PC.
EXTERNA A UN PC
SE DEBE EJECUTAR SOFTWARE PARA REALIZAR
EJECUTAR SOFTWARE
COPIA BIT A BIT DE LA MEMORIA EXTERNA
PARA COPIA
EXTRAÍDA.
GUARDAR ARCHIVO Y SE ALMACENA EL ARCHIVO Y REPORTE CON COPIA
REPORTE CON COPIA PARA ANALIZARSE POSTERIORMENTE.
PASO 3 EXTRAER COPIA DE DATOS MEMORIA INTERNA
CONECTAR DISPOSITIVO
SE DEBE CONECTAR EL DISPOSITIVO MÓVIL AL PC
MÓVIL A UN PC POR
POR MEDIO DE CABLE USB.
MEDIO USB
SE DEBE EJECUTAR SOFTWARE PARA REALIZAR
EJECUTAR SOFTWARE
COPIA DE LOS DATOS DE LA MEMORIA INTERNA DEL
PARA COPIA
DISPOSITIVO.
GUARDAR ARCHIVO CON SE ALMACENA EL ARCHIVO OBTENIDO PARA
COPIA ANALIZARSE POSTERIORMENTE.

62
Tabla 6. (Continuación)

PASO 4 DESCRIBIR LA EVIDENCIA

EL DISPOSITIVO MÓVIL SE ENCUENTRA
ESTADO
(ENCENDIDO-APAGADO)
LA TARJETA SIM TIENE NUMERO PIN ACTIVADO O
PROTECCIÓN PIN
DESACTIVADO.
EL DISPOSITIVO ESTA BLOQUEADO POR PATRÓN O
BLOQUEO (PIN-PATRÓN)
PIN NUMÉRICO DE BLOQUEO.
MARCA QUE MARCA ES EL DISPOSITIVO MÓVIL.
MODELO QUE MODELO ES DISPOSITIVO MÓVIL.
CAPACIDAD DE QUE CAPACIDAD DE ALMACENAMIENTO MÁXIMA
ALMACENAMIENTO TIENE EL DISPOSITIVO MÓVIL.
NUMERO DE SERIE QUE NUMERO DE SERIE TIENE EL DISPOSITIVO.
NUMERO ICCID (SIM QUE NUMERO DE ICCID TIENE LA MEMORIA SIM
CARD) ASOCIADA AL DISPOSITIVO.
QUE VERSIÓN DEL FIREWARE TIENE EL
VERSIÓN FIRMWARE
DISPOSITIVO.
NUMERO DE 15 DÍGITOS CON EL QUE SE IDENTIFICA
IMEI
EL DISPOSITIVO.
NUMERO TELEFÓNICO NUMERO TELEFÓNICO DEL DISPOSITIVO.
OPERADOR DE EN QUE OPERADOR MÓVIL ESTA REGISTRADO EL
TELEFONÍA DISPOSITIVO.
QUE COBERTURA TIENE EL DISPOSITIVO ASOCIADA
COBERTURA
(REGIONAL-NACIONAL-INTERNACIONAL)
CONEXIONES
SOPORTADAS REDES 2G, 3G, 4G, MIXTAS ETC.
DIRECCIÓN MAC WIFI NUMERO DE LA MAC DE LA TARJETA WIFI.
DIRECCIÓN MAC
BLUETOOTH NUMERO DE LA MAC DE LA TARJETA BLUETOOTH
CANTIDAD DE CANCIONES Y AUDIOS
NUMERO DE CANCIONES
ENCONTRADOS EN EL DISPOSITIVO.
CANTIDAD DE VIDEOS ENCONTRADOS EN EL
NUMERO DE VIDEOS
DISPOSITIVO.
CANTIDAD DE CANCIONES Y AUDIOS
NUMERO DE FOTOS
ENCONTRADOS EN EL DISPOSITIVO.
NUMERO DE CANTIDAD DE APLICACIONES ENCONTRADOS EN EL
APLICACIONES DISPOSITIVO.
CANTIDAD DE CONTACTOS ENCONTRADOS EN EL
NUMERO DE CONTACTOS
DISPOSITIVO.
NUMERO DE CORREOS CANTIDAD DE CORREOS ELECTRÓNICOS
ELECTRÓNICOS ENCONTRADOS EN EL DISPOSITIVO.

63
Tabla 6. (Continuación)

LARGO, ANCHO Y ESPESOR DEL DISPOSITIVO

DIMENSIONES FÍSICAS
PASO 5
FECHA DE REGISTRO
HORA DE REGISTRO
IDENTIFICACIÓN
RESPONSABLE
NOMBRE DEL
RESPONSABLE
CARGO DEL
RESPONSABLE
NUMERO DE EVIDENCIA
OBJETO DEL TRASLADO
LUGAR DE ORIGEN
LUGAR DE DESTINO
FIRMA DEL ENCARGADO
MÓVIL.
CADA VEZ QUE SE REALICE CUALQUIER
MOVIMIENTO DE LA EVIDENCIA DEBE QUEDAR
REGISTRADO EN EL FORMULARIO CADENA DE
CUSTODIA. ANEXO 3
FECHA FORMATO DD-MM-AAAA EN EL QUE SE
REGISTRA EL EVENTO EN LA CADENA DE
CUSTODIA.
HORA FORMATO HH:MM (AM/PM) EN EL QUE SE
REGISTRA EL EVENTO EN LA CADENA DE
CUSTODIA.
NUMERO DE IDENTIFICACIÓN DEL RESPONSABLE
DE LA CADENA DE CUSTODIA
NOMBRE DEL RESPONSABLE DE LA CADENA DE
CUSTODIA
CARGO DEL RESPONSABLE DE LA CADENA DE
CUSTODIA
DEBE SER UN NUMERO ENTERO DE MÁXIMO 3
DÍGITOS
MOTIVO DEL TRASLADO DE LA EVIDENCIA
LUGAR DONDE SE RECOGE LA EVIDENCIA.
LUGAR DE DESTINO DE LA EVIDENCIA.
FIRMA DEL ENCARGADO DE LA EVIDENCIA.

Fuente: elaboración propia

• Fase Tres F3: Analizar la evidencia.

En esta fase analiza la evidencia extraída en herramientas que permitan desplegar

la información para poder conocer el contenido del dispositivo móvil.

En esta fase se diligencia los formularios del anexo c, e, f y g.

64
Tabla 7. Fase 3 Analizar la evidencia

FASE 3 ANALIZAR LA EVIDENCIA

CARGAR Y ANALIZAR DATOS
PASO 1
MEMORIA EXTERNA
IDENTIFICACIÓN DEL ANALISTA DESCRIPCIÓN DEL CAMPO
NUMERO DE CEDULA DEL ANALISTA
IDENTIFICACIÓN DEL ANALISTA
ENCARGADO.
NOMBRE ANALISTA NOMBRE DEL ANALISTA ENCARGADO.
IDENTIFICACIÓN DEL FISCAL
NUMERO DE CEDULA DEL FISCAL
IDENTIFICACIÓN DEL FISCAL
ENCARGADO.
NOMBRE FISCAL NOMBRE DEL FISCAL ENCARGADO.
CARGA Y ANÁLISIS DE DATOS DE
MEMORIA EXTERNA DESCRIPCIÓN
SE DEBEN CARGAR LOS DATOS
CARGAR DATOS EN HERRAMIENTA DE
EXTRAÍDOS DE LA MEMORIA
ANÁLISIS FORENSE.
EXTERNA DEL DISPOSITIVO.
SE DEBEN REVISAR UNO A UNO LOS
CONTACTOS ENCONTRADOS Y
FILTRAR LOS QUE SEAN RELEVANTES
ANALIZAR LISTA DE CONTACTOS
DE ACUERDO AL CASO INVESTIGADO
PARA POSTERIORMENTE SER
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN REVISAR UNO A UNO EL
HISTORIAL DE LLAMADAS
ENCONTRADAS Y FILTRAR LOS
ANALIZAR HISTORIAL DE LLAMADAS REGISTROS QUE SEAN RELEVANTES
DE ACUERDO AL CASO INVESTIGADO
PARA POSTERIORMENTE SER
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN REVISAR UNO A UNO EL
HISTORIAL DE MENSAJES
ENCONTRADOS Y FILTRAR LOS
ANALIZAR HISTORIAL DE MENSAJES REGISTROS QUE SEAN RELEVANTES
DE ACUERDO AL CASO INVESTIGADO
PARA POSTERIORMENTE SER
DOCUMENTADOS Y PRESENTADOS.

65
Tabla 7. (Continuación)
ANALIZAR FOTOS IMÁGENES Y VIDEOS
ANALIZAR CORREO ELECTRÓNICO
ANALIZAR EVENTOS DE CALENDARIO
ANALIZAR DATOS DE APLICACIONES
ANALIZAR INFORMACIÓN DE CUENTAS
66
SE DEBEN REVISAR UNO A UNO EL
HISTORIAL DE FOTOS Y VIDEOS
ADEMÁS DE LOS METADATOS
ASOCIADOS A LOS MISMOS PARA
LUEGO FILTRAR LOS REGISTROS QUE
SEAN RELEVANTES DE ACUERDO AL
CASO INVESTIGADO PARA
POSTERIORMENTE SER
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN REVISAR UNO A UNO LOS
CORREOS ELECTRÓNICOS Y SU
CONTENIDO PARA LUEGO FILTRAR
LOS REGISTROS QUE SEAN
RELEVANTES DE ACUERDO AL CASO
INVESTIGADO PARA
POSTERIORMENTE SER
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN REVISAR UNO A UNO LOS
EVENTOS DE CALENDARIO
ENCONTRADOS Y SU CONTENIDO
PARA LUEGO FILTRAR LOS
REGISTROS QUE SEAN RELEVANTES
DE ACUERDO AL CASO INVESTIGADO
PARA POSTERIORMENTE SER
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN REVISAR UNO A UNO LOS
EVENTOS DE LAS APLICACIONES
INSTALADAS Y SU CONTENIDO PARA
LUEGO FILTRAR LOS REGISTROS QUE
SEAN RELEVANTES DE ACUERDO AL
CASO INVESTIGADO PARA
POSTERIORMENTE SER
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN REVISAR UNO A UNO LOS
EVENTOS DE LAS CUENTAS
INSCRITAS Y LUEGO FILTRAR LOS
REGISTROS QUE SEAN RELEVANTES
DE ACUERDO AL CASO INVESTIGADO
PARA POSTERIORMENTE SER
DOCUMENTADOS Y PRESENTADOS.
Tabla 7. (Continuación)
ANALIZAR INFORMACIÓN DE DISPOSITIVOS (ARCHIVOS DE TEXTO,
DOCUMENTOS
PASO 2
CARGAR DATOS EN HERRAMIENTA DE
ANÁLISIS FORENSE.
ANALIZAR LISTA DE CONTACTOS
ANALIZAR HISTORIAL DE LLAMADAS
ANALIZAR HISTORIAL DE MENSAJES
ANALIZAR FOTOS IMÁGENES Y VIDEOS LUEGO FILTRAR LOS REGISTROS QUE
67
SE DEBEN ANALIZAR UNO A UNO LOS
DOCUMENTOS ENCONTRADOS EN EL
HOJAS DE CÁLCULO,
PRESENTACIONES ETC.)
CARGAR Y ANALIZAR DATOS
MEMORIA INTERNA
SE DEBEN CARGAR LOS DATOS
EXTRAÍDOS DE LA MEMORIA INTERNA
DEL DISPOSITIVO.
SE DEBEN REVISAR UNO A UNO LOS
CONTACTOS ENCONTRADOS Y
FILTRAR LOS QUE SEAN RELEVANTES
DE ACUERDO AL CASO INVESTIGADO
PARA POSTERIORMENTE SER
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN REVISAR UNO A UNO EL
HISTORIAL DE LLAMADAS
ENCONTRADAS Y FILTRAR LOS
REGISTROS QUE SEAN RELEVANTES
DE ACUERDO AL CASO INVESTIGADO
PARA POSTERIORMENTE SER
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN REVISAR UNO A UNO EL
HISTORIAL DE MENSAJES
ENCONTRADOS Y FILTRAR LOS
REGISTROS QUE SEAN RELEVANTES
DE ACUERDO AL CASO INVESTIGADO
PARA POSTERIORMENTE SER
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN REVISAR UNO A UNO EL
HISTORIAL DE FOTOS Y VIDEOS
ADEMÁS DE LOS METADATOS
ASOCIADOS A LOS MISMOS PARA
SEAN RELEVANTES DE ACUERDO AL
CASO INVESTIGADO PARA
POSTERIORMENTE SER
DOCUMENTADOS Y PRESENTADOS.
Tabla 7. (Continuación)

SE DEBEN REVISAR UNO A UNO LOS

CORREOS ELECTRÓNICOS Y SU
CONTENIDO PARA LUEGO FILTRAR
LOS REGISTROS QUE SEAN
ANALIZAR CORREO ELECTRÓNICO
RELEVANTES DE ACUERDO AL CASO
INVESTIGADO PARA
POSTERIORMENTE SER
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN REVISAR UNO A UNO LOS
EVENTOS DE CALENDARIO
ENCONTRADOS Y SU CONTENIDO
PARA LUEGO FILTRAR LOS
ANALIZAR EVENTOS DE CALENDARIO
REGISTROS QUE SEAN RELEVANTES
DE ACUERDO AL CASO INVESTIGADO
PARA POSTERIORMENTE SER
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN REVISAR UNO A UNO LAS
ANALIZAR INFORMACIÓN ENTRE EL
CONEXIONES A OTROS DISPOSITIVOS
DISPOSITIVO Y EL COMPUTADOR
QUE TENGA REGISTRADO NUESTRO
RELACIONADO
DISPOSITIVO MÓVIL.
SE DEBEN REVISAR UNO A UNO LOS
EVENTOS DE LAS APLICACIONES
INSTALADAS Y SU CONTENIDO PARA
LUEGO FILTRAR LOS REGISTROS QUE
ANALIZAR DATOS DE APLICACIONES
SEAN RELEVANTES DE ACUERDO AL
CASO INVESTIGADO PARA
POSTERIORMENTE SER
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN REVISAR UNO A UNO LOS
EVENTOS DE LAS CUENTAS
INSCRITAS Y LUEGO FILTRAR LOS
ANALIZAR INFORMACIÓN DE CUENTAS REGISTROS QUE SEAN RELEVANTES
DE ACUERDO AL CASO INVESTIGADO
PARA POSTERIORMENTE SER
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN ANALIZAR UNO A UNO LOS
DOCUMENTOS ENCONTRADOS EN EL
ANALIZAR INFORMACIÓN DE
DISPOSITIVOS (ARCHIVOS DE TEXTO,
DOCUMENTOS
HOJAS DE CÁLCULO,
PRESENTACIONES, PDF ETC.)

68
Tabla 7. (Continuación)

CADA VEZ QUE SE REALICE

CUALQUIER MOVIMIENTO DE LA
PASO 3 EVIDENCIA DEBE QUEDAR
REGISTRADO EN EL FORMULARIO
CADENA DE CUSTODIA. ANEXO 3
FECHA FORMATO DD-MM-AAAA EN EL
FECHA DE REGISTRO QUE SE REGISTRA EL EVENTO EN LA
CADENA DE CUSTODIA.
HORA FORMATO HH:MM (AM/PM) EN
HORA DE REGISTRO EL QUE SE REGISTRA EL EVENTO EN
LA CADENA DE CUSTODIA.
NUMERO DE IDENTIFICACIÓN DEL
IDENTIFICACIÓN RESPONSABLE RESPONSABLE DE LA CADENA DE
CUSTODIA
NOMBRE DEL RESPONSABLE DE LA
NOMBRE DEL RESPONSABLE
CADENA DE CUSTODIA
CARGO DEL RESPONSABLE DE LA
CARGO DEL RESPONSABLE
CADENA DE CUSTODIA
DEBE SER UN NUMERO ENTERO DE
NUMERO DE EVIDENCIA
MÁXIMO 3 DÍGITOS
MOTIVO DEL TRASLADO DE LA
OBJETO DEL TRASLADO
EVIDENCIA
LUGAR DONDE SE RECOGE LA
LUGAR DE ORIGEN
EVIDENCIA.
LUGAR DE DESTINO DE LA
LUGAR DE DESTINO
EVIDENCIA.
FIRMA DEL ENCARGADO DE LA
FIRMA DEL ENCARGADO
EVIDENCIA.
Fuente: elaboración propia

• Fase Cuatro F4: Documentar la evidencia.

En esta fase se relacionan los elementos extraídos y analizados con respectos al

tiempo, se documenta la información y/o datos recaudados como evidencia.

En esta fase se diligencia los formularios del anexo c, g, h, i.

69
Tabla 8. Fase 4 Documentar y presentar la evidencia

FASE 4 DOCUMENTAR Y PRESENTAR LA EVIDENCIA

IDENTIFICACIÓN DEL ANALISTA DESCRIPCIÓN DEL CAMPO
NUMERO DE CEDULA DEL ANALISTA
IDENTIFICACIÓN DEL ANALISTA
ENCARGADO.
NOMBRE ANALISTA NOMBRE DEL ANALISTA ENCARGADO.
IDENTIFICACIÓN DEL FISCAL
NUMERO DE CEDULA DEL FISCAL
IDENTIFICACIÓN DEL FISCAL
ENCARGADO.
NOMBRE FISCAL NOMBRE DEL FISCAL ENCARGADO.
LISTAR EVENTOS RELEVANTES DEL
PASO 1
DISPOSITIVO MÓVIL EN EL TIEMPO
LISTADO CON RESPECTO AL
TIEMPO DE LOS EVENTOS DESCRIPCIÓN DEL CAMPO
RELEVANTES ENCONTRADOS
LISTAR DE MANERA LINEAL DE
SE DEBE LISTAR CON RESPECTO AL
ACUERDO AL TIEMPO LA
TIEMPO TODOS LOS EVENTOS RELEVANTES
INFORMACIÓN RELEVANTE DE
DE LOS CONTACTOS.
CONTACTOS ENCONTRADOS.
LISTAR DE MANERA LINEAL DE
SE DEBE LISTAR CON RESPECTO AL
ACUERDO AL TIEMPO LA
TIEMPO TODOS LOS EVENTOS RELEVANTES
INFORMACIÓN RELEVANTE DE
DEL HISTORIAL DE LLAMADAS.
HISTORIAL DE LLAMADAS.
LISTAR DE MANERA LINEAL DE
SE DEBE LISTAR CON RESPECTO AL
ACUERDO AL TIEMPO LA
TIEMPO TODOS LOS EVENTOS RELEVANTES
INFORMACIÓN RELEVANTE DE
DEL HISTORIAL FOTOS Y VIDEOS.
FOTOS Y VIDEOS.
LISTAR DE MANERA LINEAL DE
SE DEBE LISTAR CON RESPECTO AL
ACUERDO AL TIEMPO LA
TIEMPO TODOS LOS EVENTOS RELEVANTES
INFORMACIÓN RELEVANTE DE
DEL HISTORIAL DE CORREO ELECTRÓNICO.
CORREO ELECTRÓNICO.
LISTAR DE MANERA LINEAL DE
SE DEBE LISTAR CON RESPECTO AL
ACUERDO AL TIEMPO LA
TIEMPO TODOS LOS EVENTOS RELEVANTES
INFORMACIÓN RELEVANTE DE
DEL HISTORIAL DE CALENDARIO.
EVENTOS DE CALENDARIO.
LISTAR DE MANERA LINEAL DE SE DEBE LISTAR CON RESPECTO AL
ACUERDO AL TIEMPO LA TIEMPO TODOS LOS EVENTOS RELEVANTES
INFORMACIÓN RELEVANTE DE DEL HISTORIAL DE APLICACIONES
LAS APLICACIONES INSTALADAS INSTALADAS.

70
Tabla 8. (Continuación)
LISTAR DE MANERA LINEAL DE
ACUERDO AL TIEMPO LA
INFORMACIÓN RELEVANTE DE
LAS CUENTAS ENCONTRADAS.
LISTAR DE MANERA LINEAL DE
ACUERDO AL TIEMPO LA
INFORMACIÓN RELEVANTE DE
LOS DOCUMENTOS
ENCONTRADOS.
PASO 2
PASO 3
FECHA DE REGISTRO
HORA DE REGISTRO
IDENTIFICACIÓN RESPONSABLE
NOMBRE DEL RESPONSABLE
CARGO DEL RESPONSABLE
NUMERO DE EVIDENCIA
OBJETO DEL TRASLADO
LUGAR DE ORIGEN
LUGAR DE DESTINO
FIRMA DEL ENCARGADO
Fuente: elaboración propia.
SE DEBE LISTAR CON RESPECTO AL
TIEMPO TODOS LOS EVENTOS RELEVANTES
DE LAS CUENTAS INSTALADAS.
SE DEBE LISTAR CON RESPECTO AL
TIEMPO TODOS LOS EVENTOS RELEVANTES
DE LOS DOCUMENTOS DE TEXTO, HOJAS
DE CALCULO, PRESENTACIONES, PDF ETC.
PRESENTAR EVIDENCIAS Y CONCLUSIONES.
CADA VEZ QUE SE REALICE CUALQUIER
MOVIMIENTO DE LA EVIDENCIA DEBE
QUEDAR REGISTRADO EN EL FORMULARIO
CADENA DE CUSTODIA. ANEXO 3
FECHA FORMATO DD-MM-AAAA EN EL QUE
SE REGISTRA EL EVENTO EN LA CADENA DE
CUSTODIA.
HORA FORMATO HH:MM (AM/PM) EN EL QUE
SE REGISTRA EL EVENTO EN LA CADENA DE
CUSTODIA.
NUMERO DE IDENTIFICACIÓN DEL
RESPONSABLE DE LA CADENA DE
CUSTODIA
NOMBRE DEL RESPONSABLE DE LA
CADENA DE CUSTODIA
CARGO DEL RESPONSABLE DE LA CADENA
DE CUSTODIA
DEBE SER UN NUMERO ENTERO DE MÁXIMO
3 DÍGITOS
MOTIVO DEL TRASLADO DE LA EVIDENCIA
LUGAR DONDE SE RECOGE LA EVIDENCIA.
LUGAR DE DESTINO DE LA EVIDENCIA.
FIRMA DEL ENCARGADO DE LA EVIDENCIA.
71
7.2 DIAGRAMA GUIA METODOLÓGICA

Figura 5. Diagrama de fases y pasos guía metodológica

Fuente: elaboración propia

7.3 EJECUCIÓN DE LA GUIA METODOLÓGICA PARA ANÁLISIS FORENSE.

Tabla 9. Ejecución Fase 1

FASE 1 ENCONTRAR LA EVIDENCIA

PASO 1 IDENTIFICAR CASO DE ANÁLISIS
INFORMACIÓN DEL CASO
NUMERO DE CASO 001

FECHA DEL CASO LUNES, 2 DE ABRIL DE 2 018

HORA DEL CASO 09:46

DIRECCIÓN DEL CASO CL. 25 #115-85

CIUDAD CALI
DEPARTAMENTO VALLE DEL CAUCA
En las instalaciones de la universidad autónoma de
occidente en aulas 2 piso 2 salón 1 se encuentra un
dispositivo móvil olvidado por uno de sus alumnos de la
materia física i después de finalizada la clase uno de sus
alumnos le notifica al profesor sobre el dispositivo y este
DESCRIPCIÓN
procede a notificar al departamento de tecnologías de la
TEXTUAL DEL CASO
información de la universidad debido a las sospechas de
que en los últimos días por medio de este tipo de
dispositivos fueron alteradas las notas del segundo parcial
de la materia, y fueron reportados casos en algunas otras
materias dictadas en la facultad.
INFORMACIÓN DEL PRIMER RESPONSABLE
IDENTIFICACIÓN
1.090.427.627
RESPONSABLE
NOMBRE EDWIN YAMIT ARCHILA REYES
CARGO DOCENTE MATERIA FÍSICA I
INFORMACIÓN DEL AGENTE DE POLICÍA O CUSTODIO (EN ESTE CASO ESTE
ROL LO ASUMIRÁ EL DIRECTOR DE TECNOLOGÍA DE LA INFORMACIÓN UAO)
IDENTIFICACIÓN
1.090.450.726
RESPONSABLE

73
Tabla 9. (Continuación)

NOMBRE KELLY JOHANA BLANCO GONZALES

DIRECTOR DE TECNOLOGÍA DE LA INFORMACIÓN
CARGO
UAO.

PASO 2 LISTAR Y FILTRAR EVIDENCIA ENCONTRADAS

INFORMACIÓN DE LA EVIDENCIA
NUMERO DE
001
EVIDENCIA
DISPOSITIVO MÓVIL CON SISTEMA OPERATIVO
TIPO DE EVIDENCIA
ANDROID
SE ENCUENTRA UN DISPOSITIVO MÓVIL APAGADO
DESCRIPCIÓN INICIAL EN UNA DE LAS AULAS 2 PISO 2 SALÓN 1, DONDE
DE LA EVIDENCIA ESTE DISPOSITIVO SE DEJO ABANDONADO Y ES
ENCONTRADO POR EL DOCENTE.
MARCA MOTOROLA
MODELO MOTO C
COLOR NEGRO
IMEI 355671081356478-355671081356486
PASO 3 TRATAR LA EVIDENCIA
ESCENARIO 1 DISPOSITIVO MÓVIL APAGADO
SE DEBE EMBALAR EL DISPOSITIVO EN UN
EMBALAR
RECIPIENTE DONDE NO SE PRESENTE DAÑO FÍSICO
DISPOSITIVO
ALGUNO.

74
Tabla 9. (Continuación)

NUMERO DE CASO, NUMERO DE EVIDENCIA, FECHA

ROTULAR
DE ROTULADO, HORA DE ROTULADO. - ANEXO 2
DISPOSITIVO
ROTULO DE LA EVIDENCIA

ROTULO DE EVIDENCIA
NUMERO DE CASO 001
NUMERO DE EVIDENCIA 001
LUNES, 2 DE ABRIL
FECHA DE ROTULADO
DE 2018
HORA DE ROTULADO 11:47

TRANSPORTAR AL
SE LLEVA AL LABORATORIO PARA SER ANALIZADA
LABORATORIO O
LA EVIDENCIA.
ALMACÉN

INFORMACIÓN DEL TRANSPORTADOR (ASISTENTE DE DPTO. TI)

NUMERO DE
13.490.889
IDENTIFICACIÓN
NOMBRE GABRIEL ARCÁNGEL CÁRDENAS CÁCERES
INFORMACIÓN DEL CUSTODIO (INGENIERA ESPECIALISTA EN SEGURIDAD
INFORMÁTICA)
NUMERO DE
1.090.423.115
IDENTIFICACIÓN
NOMBRE MARIANELLA CÁRDENAS GONZÁLEZ
CARGO
(ALMACENISTA O ANALISTA
ANALISTA)

Fuente: elaboración propia

75
Tabla 10. Registro de la cadena de custodia

REGISTRO DE CADENA DE CUSTODIA

NUM
HORA ERO LUGAR
No. CARGO DEL LUGAR
FECHA DE DE IDENTIFI NOMBRE DEL DE OBJETO DEL DE FIRMA
REGI RESPONSAB DE
REGISTRO REGI CACIÓN RESPONSABLE EVID TRASLADO DESTIN ENCARGADO
STRO LE ORIGEN
STRO ENC O
IA
DOCENTE UNIVER
MATERIA SIDAD
LUNES, 2 DE 1.090.427 EDWIN YAMIT FÍSICA TRASLADO A AUTÓN ESCEN
1 08:00 001 EDWIN ARCILA
ABRIL DE 2018 .627 ARCHILA REYES I(PRIMER ENCARGADO OMA DE A
RESPONSAB OCCIDE
LE) NTE.
UNIVER
SIDAD
AUTÓN
DIRECTOR OMA DE ESCEN
2 LUNES, 2 DE 1.090.450 KELLY JOHANA ANÁLISIS EN
09:46 DE TI 001 OCCIDE KELLY BLANCO
ABRIL DE 2018 .726 BLANCO GONZÁLEZ LABORATORIO A
(CUSTODIO) NTE.

ASISTENTE UNIVER
DE SIDAD
LABOR
LUNES, 2 DE 13.490.88 GABRIEL ARCÁNGEL DEPARTAME TRASLADO AL AUTÓN GABRIEL
3 11:47 001 ATORI
ABRIL DE 2018 9 CÁRDENAS NTO DE TI LABORATORIO OMA DE CADENA
O
(TRANSPORT OCCIDE
ADOR) NTE.
INGENIERA UNIVER
ESPECIALIST SIDAD
MARIANELLA A EN AUTÓN LABOR
LUNES, 2 DE 1.090.423 ANÁLISIS EN MARIANELLA
4 13:12 CÁRDENAS SEGURIDAD 001 OMA DE ATORI
ABRIL DE 2018 .115 LABORATORIO CÁRDENAS
GONZÁLEZ INFORMÁTIC OCCIDE O
A (ANALISTA) NTE.

Fuente: elaboración propia

76
Tabla 11. Ejecución Fase 2

FORMULARIO 2
IDENTIFICAR, DESCRIBIR Y EXTRAER LA
FASE 2
EVIDENCIA
PASO 1 IDENTIFICAR LA EVIDENCIA
IDENTIFICACIÓN DE LA EVIDENCIA
NUMERO DE
001
EVIDENCIA
FECHA REGISTRO LUNES, 2 DE ABRIL DE 2018
HORA REGISTRO 13:12
LUGAR DE REGISTRO UNIVERSIDAD AUTÓNOMA DE OCCIDENTE
IDENTIFICACIÓN DEL ANALISTA
IDENTIFICACIÓN DEL
1.090.423.115
ANALISTA
NOMBRE ANALISTA MARIANELLA CÁRDENAS GONZÁLEZ

Fuente: elaboración propia

• Paso 2 extraer copia de datos bit a bit para memoria externa

Se realiza la extracción de los datos de la memoria externa con el software de FTK

imager el cual primero se realiza una copia bit a bit de la memoria MicroSD como
se muestra a continuación.

• Se extrae la memoria MicroSD del dispositivo móvil.

77
Figura 6. Extracción de memoria externa.

Se conecta al PC mediante un adaptador de memoria MicroSD.

Figura 7. Inserción memoria externa

Se procede con el backup de la memoria externa mediante la herramienta FTK

imager.

78
Figura 8. Selección de tipo de recurso.

Fuente: pantallazos FTK Imager

Se selecciona la opción Physical Drive y se presionas siguiente.

Figura 9. Selección physical drive.

Fuente: Pantallazos FTK Imager

79
2.5 Se selecciona la memoria externa para proceder con el backup y se presiona
Finish.

Figura 10. Crear imagen memoria.

Fuente: Pantallazos FTK Imager

En esta ventana seleccionamos las opciones Add para crear la imagen de disco.

Figura 11. Selección tipo de imagen de disco.

Fuente: Pantallazos FTK Imager

80
En esta ventana seleccionamos la opción Raw (dd)

Figura 12. Llenar información del caso.

Fuente: Pantallazos FTK Imager

En esta ventana deberemos de diligenciar el formato que nos aparece con el fin de
identificar la evidencia y poder examinar con detalla el contenido de esta.

Figura 13. Lugar de almacenamiento de imagen

Fuente: Pantallazos FTK Imager

81
Se diligencia esta ventana que nos aparece después de previamente llenar el
formato aquí especificamos la ruta donde deseamos que nuestro archivo que
almacenado y le daremos un nombre a la imagen de disco que se va a crear.

Figura 14. Crear Imagen

Fuente: Pantallazos FTK Imager

Finalmente presionamos Start para comenzar con el backup.

Figura 15. Iniciar creación imagen

Fuente: Pantallazos FTK Imager

82
Al finalizar el backup debe aparecer la siguiente ventana que nos indica que el
proceso ha finalizado y podemos realizar la inspección del archivo.

Figura 16. Finalizar creación imagen

Fuente: Pantallazos FTK Imager

• Paso 3. Extraer Copia De Datos Bit A Bit Para Memoria Interna

Se realiza la extracción de los datos de la memoria interna con el software Dr. Phone
el cual se debe primero realizar un backup del dispositivo como se muestra a
continuación.

Descargar el software y ejecutarlo.

83
Figura 17. Ejecución Dr. Phone

Fuente: Pantallazos Dr. Phone

Seleccionar la opción Backup and Restore.

Figura 18 Seleccionar la opción Backup and Restore.

Fuente: Pantallazos Dr. Phone

84
Seleccionar la opción BackUp.

Figura 19. Seleccionar la opción BackUp.

Fuente: Pantallazos Dr. Phone

Se selecciona los archivos que serán objetos del Backup.

Figura 20. Se selecciona los archivos que serán objetos del Backup.

Fuente: Pantallazos Dr. Phone

85
Se selecciona la ruta en la que se guardara el archivo .bak donde se almacena el
backup.

Figura 21. Se selecciona la ruta en la que se guardara el archivo .bak donde

se almacena el backup.

Fuente: Pantallazos Dr. Phone

Comienza el Backup.

86
Figura 22. Comienza el Backup.

Fuente: Pantallazos Dr. Phone

Se espera a que termine el backUp.

Figura 23. Se espera a que termine el BackUp.

Fuente: Pantallazos Dr. Phone

87
Se termina el backUp.

Figura 24. Se termina el BackUp.

Fuente: Pantallazos Dr. Phone

Se observa el Archivo BAK que genera Dr. Phone el que posteriormente se cargara
en la herramienta para la presentación de la misma.

88
Figura 25. Archivo Bak.

Fuente: Pantallazos Dr. Phone

Tabla 12. Ejecución Fase 2 Paso 4

PASO 4 DESCRIBIR LA EVIDENCIA

ESTADO DISPOSITIVO MÓVIL APAGADO
PROTECCIÓN PIN NO
BLOQUEO (PIN-
NO
PATRÓN)
MARCA MOTOROLA
MODELO MOTO G PLAY
CAPACIDAD DE 16GB
ALMACENAMIENTO
NUMERO DE SERIE ZY223XDZ6W
NUMERO ICCID (SIM
2
CARD)
VERSIÓN FIRMWARE 1.0
IMEI 355671081356478-355671081356486

89
Tabla 12. (Continuación)

NUMERO TELEFÓNICO 3163908958

OPERADOR DE
MOVISTAR
TELEFONÍA
COBERTURA 4G
CONEXIONES
SOPORTA CONEXIONES DE REDES 2G, 3G Y 4G
SOPORTADAS
NUMERO DE AUDIOS 2
NUMERO DE VIDEOS 6

NUMERO DE FOTOS 7

NUMERO DE
APLICACIONES 10
NUMERO DE
CONTACTOS 20
NUMERO DE
CORREOS
2
ELECTRÓNICOS
ANCHO: 7.00 MM
DIMENSIONES
ALTO: 9.20 MM
FÍSICAS
ESPESOR: 1.40 MM
DILIGENCIAR REGISTRO DE CADENA DE
PASO 5
CUSTODIA DILIGENCIAR ANEXO 3

Fuente: elaboración propia

90
Tabla 13. Registro de la cadena de custodia.

REGISTRO DE CADENA DE CUSTODIA

NUM
HORA ERO LUGAR LUGAR
No. CARGO DEL
FECHA DE DE IDENTIFI NOMBRE DEL DE OBJETO DEL DE DE FIRMA
REGI RESPONSAB
REGISTRO REGI CACIÓN RESPONSABLE EVI TRASLADO ORIGE DESTIN ENCARGADO
STRO LE
STRO DEN N O
CIA

INGENIERA UNIVER
ESPECIALIST SIDAD
A EN AUTÓN
MARIANELLA SEGURIDAD OMA DE LABOR
LUNES, 2 DE 1.090.423 INFORMÁTIC ANÁLISIS EN OCCID MARIANELLA
4 13:12 CÁRDENAS 001 ATORI
ABRIL DE 2018 .115 A (ANALISTA) LABORATORIO ENTE. CÁRDENAS
GONZÁLEZ O

Fuente: elaboración propia

91
• FASE 3

Tabla 14. Ejecución Fase 3

FORMULARIO 3
FASE 3 ANALIZAR LA EVIDENCIA
IDENTIFICACIÓN DEL ANALISTA (INGENIERA ESPECIALISTA EN
SEGURIDAD INFORMÁTICA)
IDENTIFICACIÓN DEL
1.090.423.115
ANALISTA
NOMBRE ANALISTA MARIANELLA CÁRDENAS GONZÁLEZ
IDENTIFICACIÓN DEL FISCAL (DIRECTOR DEPARTAMENTO DE TI UAO)
IDENTIFICACIÓN DEL FISCAL 1.090.450.726

NOMBRE FISCAL KELLY JOHANA BLANCO GONZÁLEZ

• Paso 1 Cagar Y Analizar Datos Memoria Externa

En este paso se va a utilizar el software de FTK imager para la extracción de la

información obtenida en el backUp para esto debemos de cargar el archivo y
proceder con el análisis de la información.

Ejecución del Software y carga del archivo obtenido en el backUp.

92
Figura 26. Ejecución del Software y carga del archivo obtenido en el backUp.

Fuente: pantallazos KFT Imager

Seleccionamos la opción Image File y cargamos el archivo que se encuentra

guardado en la ruta donde se realizó el backUp.

93
Figura 27. Selección de imagen a cargar.

Fuente: Pantallazos KFT Imager

Después de seleccionar la ruta cargamos el archivo en la herramienta y procedemos

con el análisis de la información.

En la herramienta se pueden visualizar toda la información almacenada en la

memoria externa del dispositivo móvil con estos datos procedemos a diligenciar los
formularios.

94
Figura 28. Visualizar información cargada.

Fuente: Pantallazos KFT Imager

Se procede a examinar los archivos almacenados en la memoria externa y esto es

lo que se encuentra.

95
Figura 29. Examinar archivos almacenados.

Fuente: Pantallazos KFT Imager

En la memoria externa se lograron encontrar 3 carpetas principales que son la

carpeta root, unllocated space y la carpeta orphan.

A continuación listaremos en el formulario anexo los archivos encontrados en las

carpetas anteriormente mencionadas.

96
Tabla 15. Analizar datos de memoria externa.

ANALIZAR DATOS DE MEMORIA EXTERNA

FECH HORA OBSERVACIONES
No.
A DE DE TIPO DE RELEV
REGIS
REGIS REGIS REGISTRO ANTE
TRO CARPETA ARCHIVO
TRO TRO
1 03/01/ 10:32 METADATO
root $Bad NO
2018 pm S
03/01/ 10:32 METADATO Root/$extend/$rmdat
2 $TXF_DATA NO
2018 pm S a/$txf
03/01/ 10:32 METADATO Root/$extend/$rmdat
3 $CONFIG NO
2018 pm S a/$txf
03/01/ 10:32 METADATO Root/$extend/$rmdat
4 $I30 NO
2018 pm S a/$txflog
03/01/ 10:32 METADATO Root/$extend/$rmdat
5 $TOPS NO
2018 pm S a/$txflog
03/20/ 11:53 METADATO Root/$extend/$rmdat
6 $TXFLOG.BLF NO
2018 pm S a/$txflog
03/20/ 11:53 METADATO Root/$extend/$rmdat $TXFLOG.BLFCONTAINER000
7 NO
2018 pm S a/$txflog 00000000000000001
03/01/ 10:32 METADATO Root/$extend/$rmdat $TXFLOG.BLFCONTAINER000
8 NO
2018 pm S a/$txflog 00000000000000002
03/01/ 10:32 METADATO Root/$extend/$rmdat $TXFLOG.BLFCONTAINER000
9 NO
2018 pm S a/$txflog 00000000000000002
03/01/ 10:32 METADATO
10 Root/Secure $SDH NO
2018 pm S
03/01/ 10:32 METADATO
11 Root/Secure $SDS NO
2018 pm S
04/06/ 8:28p METADATO Root/Credenciales
12 $I30 NO
2018 m S para loguearse
04/06/ 12:37 HOJA DE Root/Credenciales
13 Control De Notas.xlsx SI
2018 am CALCULO para loguearse
04/05/ 11:52 ARCHIVO Root/Credenciales
14 Credenciales.txt SI
2018 pm DE TEXTO para loguearse
04/05/ 11:53 Root/Credenciales
15 FOTO Image1.png NO
2018 pm para loguearse
16 Root/unallocated 000041 NO
17 Root/unallocated 002605 NO
18 Root/unallocated 028205 NO
19 Root/unallocated 053805 NO
20 Root/unallocated 079405 NO
21 Root/unallocated 105005 NO
22 Root/unallocated 130605 NO
23 Root/unallocated 156205 NO
24 Root/unallocated 181805 NO
25 Root/unallocated 207405 NO
26 Root/unallocated 233005 NO
Fuente: elaboración propia

97
• Paso 2 Cargar Y Analizar Datos Memoria Interna (Se Diligencia Anexo
7)

En este paso se va a utilizar el software de FTK imager para la extracción de la

información obtenida en el backUp para esto debemos de cargar el archivo y
proceder con el análisis de la información.

Ejecución del Software y carga del archivo obtenido en el backUp.

Figura 30. Ejecución del Software y carga del archivo obtenido en el BackUp.

Fuente: Pantallazos KFT Imager

Seleccionamos la opción Image File y cargamos el archivo que se encuentra

guardado en la ruta donde se realizó el backUp.

98
Figura 31. Seleccionamos la opción Image File y cargamos el archivo que se
encuentra guardado en la ruta donde se realizó el backUp.

Fuente: Pantallazos KFT Imager

Después de seleccionar la ruta cargamos el archivo en la herramienta y procedemos

con el análisis de la información.

Figura 32. Seleccionamos la opción Image File y cargamos el archivo que se

encuentra guardado en la ruta donde se realizó el backUp.

Fuente: Pantallazos KFT Imager

99
En la herramienta se pueden visualizar toda la información almacenada en la
memoria interna del dispositivo móvil con estos datos procedemos a diligenciar los
formularios.

Figura 33. Visualizar información almacenada en memoria interna.

Fuente: Pantallazos KFT Imager

Se procede a analizar la información de cada uno de los elementos empezaremos

primero por el número de cuentas.

100
Figura 34. Análisis de información almacenada.

Fuente: Pantallazos KFT Imager

Tabla 16. Analizar datos de cuentas memoria interna.

ANALIZAR DATOS DE MEMORIA INTERNA

FECHA HORA
No.
DE DE TIPO DE RELEVA
REGIS OBSERVACIONES
REGIS REGIS REGISTRO NTE
TRO
TRO TRO
1 Service Dialing Numbers (SIM 1)-
CUENTAS NO
com.motorola.ServiceDialingNumbers
2 CUENTAS 530635697-org.telegram.messenger NO
3 CUENTAS [email protected] NO
4 CUENTAS Messenger-com.facebook.messenger NO
5 CUENTAS Facebook-com.facebook.auth.login NO
6 CUENTAS WhatsApp-com.whatsapp NO
Fuente: elaboración propia

Se procede a analizar la información de las aplicaciones instaladas.

101
Tabla 17. Analizar datos de aplicaciones de memoria interna.

ANALIZAR DATOS DE MEMORIA INTERNA

FECHA
No.
DE HORA DE TIPO DE RELEVAN
REGIST OBSERVACIONES
REGIST REGISTRO REGISTRO TE
RO
RO
1 2018-03- APLICACIO
01:28:50Z TELEGRAM 4.8.5 NO
2 NES
2018-03- APLICACIO
2 16:28:51Z WhatsApp 2.18.92 NO
31 NES
2018-03- APLICACIO
3 19:48:35Z Wordbit 0.8.5 NO
23 NES
2018-03- APLICACIO
4 03:35:03Z Waze 4.36.0.1 NO
21 NES
2018-03- APLICACIO Google Play services for
5 20:20:00Z NO
26 NES Instant Apps
2018-03- APLICACIO
6 03:36:46Z Rappi NO
21 NES
2018-04- APLICACIO
7 18:09:03Z Uber 4.203.10006 NO
03 NES
2018-03- 2018-03- APLICACIO
8 Facebook NO
31 3116:20:21Z NES
2018-03- APLICACIO
9 18:02:59Z Tinder NO
28 NES
2018-03- APLICACIO
10 17:37:49Z WiFi Warden NO
17 NES
Fuente: elaboración propia

Se analiza la información del calendario.

Tabla 18. Analizar datos de calendario.

ANALIZAR DATOS DE MEMORIA INTERNA

FECHA HORA
No.
DE DE TIPO DE RELEVAN
REGIST OBSERVACIONES
REGIST REGIST REGISTRO TE
RO
RO RO
1 CALENDA
N/A N/A [email protected] NO
RIO
CALENDA [email protected] en
2 N/A N/A NO
RIO Colombia
Fuente: elaboración propia

El siguiente elemento a analizar será el registro de llamadas del dispositivo móvil.

102
Tabla 19. Analizar llamadas.

ANALIZAR DATOS DE MEMORIA INTERNA

No. HORA DE TIPO DE
FECHA DE REGISTRO OBSERVACIONES RELEVANTE
REGISTRO REGISTRO REGISTRO
1
2018-03-08 19:21:28Z LLAMADA *123 NO
LLAMADA
2 2018-03-08 19:25:12Z 3104082281 NO

3 2018-03-08 19:27:00Z LLAMADA 3146435003 NO

4 2018-03-08 23:03:18Z LLAMADA *123 NO
5 2018-03-09T17:19:46Z 17:19:46Z LLAMADA *123 NO
6 2018-03-09T17:53:05Z 17:53:05Z LLAMADA 3155233245 NO
7 2018-03-09T17:19:46Z 19:19:46Z LLAMADA 315 3027204 SI
8 2018-03-09T18:03:23Z 18:03:23Z LLAMADA 3222242171 NO

El siguiente elemento a examinar son la lista de contactos.

Tabla 20. Analizar contactos.

ANALIZAR DATOS DE MEMORIA INTERNA

No. FECHA DE HORA DE TIPO DE
OBSERVACIONES RELEVANTE
REGISTRO REGISTRO REGISTRO REGISTRO
1 310
CONTACTO Fernando NO
4015317
CONTACTO 316
2 Camila Carvajal SI
6910616
CONTACTO 317
3 Carlos NO
7138328
CONTACTO 315
4 Catalina NO
2727071
CONTACTO 316
5 Claudia NO
6943888
CONTACTO 318
6 Daniel NO
8731556
CONTACTO 312
7 Danny NO
7418465
CONTACTO 321
8 David NO
7700111

103
Tabla 20. (Continuación)

No. FECHA DE HORA DE TIPO DE

OBSERVACIONES RELEVANTE
REGISTRO REGISTRO REGISTRO REGISTRO
CONTACTO 320
9 Diana González SI
4512702
CONTACTO 315
10 Diego Pérez SI
3027204
CONTACTO +49 1578
11 Edith Schromm NO
2763756
CONTACTO 318
12 Estefany Gómez NO
8754496
CONTACTO 316
13 Felipe NO
4700779
CONTACTO 313
14 Jenny NO
6101960
15 CONTACTO Jhon NO
CONTACTO 317
16 Jhonny NO
7533783
CONTACTO 315523324
17 Sin nombre NO
5
CONTACTO 310408228
18 Sin nombre NO
1
CONTACTO 314643500
19 Sin nombre NO
3
CONTACTO 322224217
20 Sin nombre NO
1

El siguiente elemento a examinar la información del dispositivo.

Tabla 21. Analizar información de dispositivo.

ANALIZAR DATOS DE MEMORIA INTERNA

FECHA
No. HORA DE
DE TIPO DE RELEVANT
REGISTR REGISTR OBSERVACIONES
REGISTR REGISTRO E
O O
O
MOTOROL
1 INFO
DISPLAY NAME A MOTO G NO
DISPOSITIVO
PLAY
INFO MOTOROL
2 DISPOSITIVO CUSTOM NAME A MOTO G NO
PLAY
INFO MANUFACTURE MOTOROL
3 NO
DISPOSITIVO R A
INFO MOTOROL
4 BRAND NO
DISPOSITIVO A

104
Tabla 21. (Continuación)

FECHA RELE
No.
DE HORA DE
REGISTR
REGISTR REGISTRO
TIPO DE REGISTRO OBSERVACIONES VANT
O E
O
5 INFO DISPOSITIVO MODEL MOTO G PLAY NO
6 INFO DISPOSITIVO CARRIER CLARO NO
INFO DISPOSITIVO SERIAL
7 ZY223XDZ6W NO
NUMBER
INFO DISPOSITIVO WIFI
8 NO OBTENIDO NO
ADDRESS
INFO DISPOSITIVO 3556710813564
9 IMEI NO
78
10 INFO DISPOSITIVO IMSI NO OBTENIDO NO
11 INFO DISPOSITIVO OSPlatform 1 NO
12 INFO DISPOSITIVO OSVersion 6.0.1 NO
INFO DISPOSITIVO OSVersion
13 6.0 NO
Code
INFO DISPOSITIVO FirmwareVe
14 NO OBTENIDO NO
rsion
15 INFO DISPOSITIVO ScreenSize 720, 1184 NO
16 INFO DISPOSITIVO Language English NO
17 INFO DISPOSITIVO Country United States NO
INFO DISPOSITIVO M8916_2025010
6.08.05.14.02R
18 Baseband NO
HARPIA_LATAM
_DSDS_CUST
19 INFO DISPOSITIVO Bootloader 0x810A NO
INFO DISPOSITIVO BatteryLeve
20 100% NO
l
21 INFO DISPOSITIVO HasRoot FALSE NO
22 INFO DISPOSITIVO TimeZone America/Bogota NO
INFO DISPOSITIVO CreationTim 2018-04-
23 NO
e 03T22:38:54Z
INFO DISPOSITIVO LastWriteTi 2018-04-
24 NO
me 03T22:39:04Z

2.9 El siguiente elemento a examinar son la lista de mensajes.

105
Tabla 22. Analizar SMS.

ANALIZAR DATOS DE MEMORIA INTERNA

No. HORA
REGI FECHA DE DE TIPO DE RELEVA
OBSERVACIONES
STR REGISTRO REGIST REGISTRO NTE
O RO
2018- Usted recibió 8 llamada(s)
1 03- de:+573146435003 12:01:25
2018-03-08 SMS 80200 NO
0819:14 2018/03/08.Servicio Gratuito de
:27Z Claro.</
Bienvenido a TODO EN UNO Semana.
18:07:2 Recarga $6000 para disfrutar 175MB
2 2018-03-11 SMS 80200 NO
2Z de Facebook y Twitter+150MB de
WhatsApp+120MB+2100 Seg+10SMS
Buenas tardes Andrés Me puedes
18:14:3
3 2018-03-12 SMS indicar De qué empresa me estas 3006523850 NO
1Z
comunicando
Es Andrés Echeverry, ahora en la
17:14:5
4 2018-03-12 SMS reunión, voy a pregunta por la 3006523850 NO
8Z
verificación del sftp
17:15:1
5 2018-03-12 SMS Para que no te cosa por sorpresa 3006523850 NO
3Z
18:05:0 En el informe voy a poner que ya lo
6 2018-03-12 SMS 3006523850 NO
0Z estás haciendo
Bancolombia le recuerda que estar al
dia siempre trae cosas buenas.
18:21:2
7 2018-03-15 SMS Comuniquese desde su cel al 034- 87134 NO
4Z
4025158 o 018000936666 para
brindarle alternativas de pago.</
De acuerdo con su solicitud, el dÃa
22:09:5 17/03/2018 se realizó cambio de
8 2018-03-17 SMS 80200 NO
2Z NOMBRE, TELÉFONO a LUIS FELIPE
CARVAJAL RAMIREZ, 0, Movistar. </
De acuerdo con su solicitud, el dÃa
22:09:5 17/03/2018 se realizó cambio de
9 2018-03-17 SMS 80200 NO
2Z NOMBRE, TELÉFONO a LUIS FELIPE
CARVAJAL RAMIREZ,0, Movistar.</
22:09:5
10 2018-03-17 SMS Cómo va la diligencia? 316 6910616 SI
2Z
Fuente: elaboración propia

El siguiente elemento a examinar son la lista de música o audios.

106
Tabla 23. Analizar audios.

ANALIZAR DATOS DE MEMORIA INTERNA

No. FECHA DE HORA DE TIPO DE

RELEVANT
REGISTR REGISTR REGISTR REGISTR OBSERVACIONES
E
O O O O

1
AUD-20180314-
03/14/2018 4:32 pm AUDIO NO
WA0005.mp3

AUD-20180314-
2 03/14/2018 4:36 pm AUDIO NO
WA0006.mp3

Fuente: elaboración propia

A continuación realizamos una inspección de las carpetas de la memoria interna del

dispositivo.

Como se puede ver a continuación se procede analizar la información de las los

instaladores de las aplicaciones del dispositivo.

Figura 35. Análisis de instaladores de aplicaciones.

Fuente: Pantallazos KFT Imager

107
Tabla 24. Análisis de registro de aplicaciones.

ANALIZAR DATOS DE MEMORIA INTERNA

No. FECHA DE HORA DE TIPO DE
OBSERVACIONES RELEVANTE
REGISTRO REGISTRO REGISTRO REGISTRO
1
03/31/2018 11:20 am APK Facebook NO

2 03/26/2018 03:20 pm APK Google Play NO

3 03/31/2018 11:24 am APK Messenger NO
4 03/24/2018 4:36 pm APK One Locker NO
5 03/20/2018 10:36 pm APK Rappi NO
6 3/24/2018 4:34 pm APK Romaster NO
7 03/26/2018 8:28 pm APK Telegram NO
8 03/28/2018 1:02 pm APK Tinder NO
9 03/12/2018 5:18 pm APK Tunes Go NO
10 04/03/2018 1:09 pm APK Uber NO
11 03/20/2018 10:35 pm APK Waze NO
12 03/31/2018 11:28 am APK Whatsapp NO
13 03/17/2018 12:37 pm APK Wifi Wardem NO
14 03/23/2018 2:48 pm APK Word Bit NO
Fuente: elaboración propia

A continuación se listan las imágenes encontradas en el dispositivo móvil.

108
Figura 36. Carpeta imágenes encontradas en la cámara el dispositivo móvil.

Fuente: Pantallazos KFT Imager

Figura 37. Imágenes encontradas en la cámara el dispositivo móvil.

Fuente: Pantallazos KFT Imager

109
Figura 38 Pantallazos encontradas en la cámara el dispositivo móvil.

Fuente: Pantallazos KFT Imager

Tabla 25. Registro de fotografías.

ANALIZAR DATOS DE MEMORIA INTERNA

No. FECHA DE HORA DE TIPO DE

OBSERVACIONES RELEVANTE
REGISTRO REGISTRO REGISTRO REGISTRO

1
abril 03 2018 8:40:19 PM FOTO IMG_20180401_122020948 NO

2 marzo 10 2018 12:10:46 PM FOTO Screenshot_20180310-171046 NO

Fuente: elaboración propia

A continuación se listan los audios encontradas en el dispositivo móvil.

110
Figura 39. Registro de audios.

Fuente: Pantallazos KFT Imager

A continuación se listan las imágenes encontradas en el dispositivo móvil.

Figura 40. Registro de pantallazos.

Fuente: Pantallazos KFT Imager

111
Tabla 26. Registro de pantallazos.

ANALIZAR DATOS DE MEMORIA INTERNA

No. FECHA DE HORA DE TIPO DE
OBSERVACIONES RELEVANTE
REGISTRO REGISTRO REGISTRO REGISTRO

1 marzo 10 2018 12:10:46 PM IMAGEN Screenshot_20180310-171046 NO

Fuente: elaboración propia

A continuación se listan las imágenes encontradas en la aplicación Whatsapp.

Tabla 27. Registro de imágenes de Whatsapp.

ANALIZAR DATOS DE MEMORIA INTERNA

No. FECHA DE HORA DE TIPO DE
OBSERVACIONES RELEVANTE
REGISTRO REGISTRO REGISTRO REGISTRO
1
abril 04, 2018 12:10:46 PM ANIMACIONES GIF VID-20180309-WA0000 NO

2 abril 04, 2018 12:10:46 PM ANIMACIONES GIF VID-20180309-WA0000 NO

3 marzo 23, 2018 12:10:46 PM ANIMACIONES GIF VID-20180323-WA0001 NO

4 marzo 24, 2018 12:10:46 PM ANIMACIONES GIF VID-20180324-WA0004 NO
5 abril 01, 2018 12:10:46 PM ANIMACIONES GIF VID-20180401-WA0004 NO
6 marzo 08, 2018 12:10:46 PM FOTO IMG-20180308-WA0042 NO
7 marzo 08, 2018 12:10:46 PM FOTO IMG-20180308-WA0041 NO
8 marzo 08, 2018 12:10:46 PM FOTO IMG-20180308-WA0040 NO
9 marzo 08, 2018 12:10:46 PM FOTO IMG-20180308-WA0038 NO
10 marzo 08, 2018 12:10:46 PM FOTO IMG-20180308-WA0003 NO
11 marzo 08, 2018 12:10:46 PM FOTO IMG-20180308-WA0040
12 marzo 08, 2018 12:10:46 PM VIDEO VID-20180311-WA0003 NO
13 marzo 08, 2019 12:10:46 PM VIDEO VID-20180309-WA0021 NO
14 marzo 21, 2018 12:10:46 PM VIDEO VID-20180321-WA0004 NO
15 marzo 16, 2018 12:10:46 PM VIDEO VID-20180316-WA0010 NO
16 marzo 15, 2018 12:10:46 PM VIDEO VID-20180315-WA0027 NO
17 marzo 21, 2018 5:18 pm VIDEO VID-20180315-WA0002 NO
18 marzo 21, 2018 8:40:19 PM VIDEO VID-20180313-WA0012 NO
Fuente: elaboración propia

A continuación se listan las imágenes en miniatura.

112
Tabla 28. Registro de miniaturas.

ANALIZAR DATOS DE MEMORIA INTERNA

No. FECHA DE HORA DE TIPO DE

OBSERVACIONES RELEVANTE
REGISTRO REGISTRO REGISTRO REGISTRO

marzo 08, 2018 12:10:46 PM FOTO NO

marzo 08, 2018 12:10:46 PM FOTO NO

marzo 08, 2018 12:10:46 PM FOTO NO

113
Tabla 28. (Continuación)

ANALIZAR DATOS DE MEMORIA INTERNA

No.
FECHA DE HORA DE TIPO DE RELEVANT
REGIS OBSERVACIONES
REGISTRO REGISTRO REGISTRO E
TRO

12:10:46
marzo 08, 2018 FOTO NO
PM

12:10:46
marzo 08, 2018 FOTO NO
PM

marzo 08, 2018 NO

Fuente: elaboración propia

114
Tabla 29. Registro de cadena de custodia.

REGISTRO DE CADENA DE CUSTODIA

NU
MER
HOR LUGAR LUGAR
No. CARGO DEL O
FECHA DE A DE IDENTIFI NOMBRE DEL OBJETO DEL DE DE FIRMA
REGI RESPONSA DE
REGISTRO REGI CACIÓN RESPONSABLE TRASLADO ORIGE DESTI ENCARGADO
STRO BLE EVI
STRO N NO
DEN
CIA
INGENIERA UNIVE
ESPECIALIS RSIDA
TA EN D
MARIANELLA LABOR
LUNES, 2 DE 1.090.423 SEGURIDAD ANÁLISIS EN AUTÓN MARIANELLA
4 13:12 CÁRDENAS 001 ATORI
ABRIL DE 2018 .115 INFORMÁTIC LABORATORIO OMA CÁRDENAS
GONZÁLEZ O
A DE
(ANALISTA) OCCID
ENTE.
UNIVE
RSIDA
D
DIRECTOR
5 LUNES, 2 DE 1.090.450 KELLY JOHANA ANÁLISIS EN AUTÓN ESCEN
13:12 DE TI KELLY BLANCO
ABRIL DE 2018 .726 BLANCO GONZÁLEZ }001 LABORATORIO OMA A
(FISCAL)
DE
OCCID
ENTE.

Fuente: elaboración propia

115
Tabla 30. Ejecución fase 4.

FASE 4 DOCUMENTAR LA EVIDENCIA Y PRESENTAR LA EVIDENCIA

IDENTIFICACIÓN
DESCRIPCIÓN DEL CAMPO
DEL ANALISTA
IDENTIFICACIÓN DEL ANALISTA INGENIERA ESPECIALISTA EN SEGURIDAD
INFORMÁTICA (ANALISTA)
IDENTIFICACIÓN
1.090.423.115
DEL ANALISTA
NOMBRE
MARIANELLA CÁRDENAS GONZÁLEZ
ANALISTA
IDENTIFICACIÓN DEL FISCAL (DIRECTOR DE TI)
IDENTIFICACIÓN
1.090.450.726
DEL FISCAL
NOMBRE
KELLY JOHANA BLANCO GONZÁLEZ
FISCAL
IDENTIFICACIÓN DEL JUEZ (DIRECTOR COMITÉ DE ÉTICA UAO)
IDENTIFICACIÓN
14.562.321
DEL JUEZ
NOMBRE JUEZ DR. GUSTAVO PERDOMO
Fuente: elaboración propia

116
PASO 1 LISTAR EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL EN EL TIEMPO

Tabla 31. Lista de elementos relevantes del dispositivo móvil.

DOCUMENTACIÓN DE EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL (EVIDENCIA)

No. No. HORA DE
FECHA DE
EVIDE REGI REGISTR TIPO DE REGISTRO OBSERVACIONES
REGISTRO
NCIA STRO O
1 13 04/06/2018 12:37 am HOJA DE CALCULO Root/Credenciales para loguearse/Control De Notas.xlsx
ARCHIVO DE
2 14 04/05/2018 11:52 pm Root/Credenciales para loguearse/ Credenciales.txt
TEXTO
2018-03-
3 7 19:19:46Z LLAMADA 315 3027204
09T17:19:46Z
4 2 CONTACTO Camila Carvajal- 316 6910616
5 9 CONTACTO Diana González-320 4512702
6 10 CONTACTO Diego Pérez-315 3027204
7 10 2018-03-17 22:09:52Z SMS Cómo va la diligencia? - 316 6910616

Fuente: elaboración propia

117
• Paso 2 Presentar Evidencias Y Conclusiones

Evidencia 1:

Tabla 32. Presentación de evidencia 1.

HORA
No. No.
FECHA DE DE TIPO DE
EVIDEN REGIST OBSERVACIONES
REGISTRO REGIST REGISTRO
CIA RO
RO
12:37 HOJA DE Root/Credenciales para loguearse/Control
1 13 04/06/2018
am CALCULO De Notas.xlsx

Fuente: elaboración propia

Tabla 33. Contenido evidencia 1.

notas definitivas del curso física 1

Control De Notas
Nota
Nota
Nombre Apellido Nota 1 Nota 2 Nota 3 Nota Final Para
Definitiva
Cambio
DOSTIN HURTADO 3 2 5 3.3 APROBÓ N/A
CAMILA CARVAJAL 1 4 2 2.3 REPROBÓ 3.7
POLO ISAAC 3 4 1 2.7 REPROBÓ N/A
GIOVANNY RODRÍGUEZ 5 2 3 3.3 APROBÓ N/A
MARTIN JOSÉ CARDOZO MORA 2.1 2.9 4 3.0 APROBÓ N/A
DIANA GONZALES 2.5 2.3 3 2.6 REPROBÓ 4
SERGIO CASTILLO 5 3.5 3.1 3.9 APROBÓ N/A
FERNANDO CASTILLO 3 3.9 2.1 3.0 APROBÓ N/A
SIBONEY DAZA 2.2 2.7 5 3.3 APROBÓ N/A
AIDÉ DUARTE 1 2.3 2.7 2.0 REPROBÓ N/A
FERNANDO MONSALVE 4 3.5 1 2.8 REPROBÓ N/A
ALEJANDRO MOROS 2.8 3.1 2.7 2.9 REPROBÓ N/A
LUIS FELIPE GONZÁLEZ 5 4 3 4.0 APROBÓ N/A
DIEGO PÉREZ 1 2.2 2.9 2.0 REPROBÓ 4.2
LIZETH SÁENZ 2.1 3.5 2.9 2.8 REPROBÓ N/A
Fuente: elaboración propia

118
Es archivo tiene información sobre los estudiantes matriculados en el curso de física
1 del profesor Edwin Yamit en donde se logran ver el número de estudiantes
matriculados con sus respectivas notas definitivas los con están subrayadas con
color amarillo son lo que se les modificaron las notas ya que como se puede ver en
el archivo estos estudiantes reprobaron y en el sistema aparecen como aprobados
este archivo muestra los cambios que se hicieron en las notas finales.

De igual manera estos registros permiten relacionar la lista de notas de la materia

física 1 con varios de los contactos del dispositivo móvil.

Figura 41. Propiedades de la evidencia.

Fuente: Pantallazos KFT Imager

119
También se puede observar que la última modificación del archivo de datos de las
notas fue realizada por Luis Felipe, que remitiéndonos a dicha lista de notas nos
asocia este nombre con el registro del estudiante Luis Felipe González el cual tiene
una de las mejores notas del curso y gran cercanía con el docente de la materia
física 1.

Tabla 34. Registro de evidencia.

LUIS FELIPE GONZÁLEZ 5 4 3 4.0 APROBÓ N/A

Evidencia 2:

Tabla 35. Registro de evidencia 2.

DOCUMENTACIÓN DE EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL (EVIDENCIA)

No. No. HORA DE
FECHA DE TIPO DE
EVIDEN REGIS REGISTR OBSERVACIONES
REGISTRO REGISTRO
CIA TRO O
ARCHIVO DE Root/Credenciales para loguearse/
2 14 04/05/2018 11:52 pm
TEXTO Credenciales.txt

Fuente: elaboración propia

120
Figura 42. Contenido evidencia 2.

Fuente: pantallazos KFT Imager

En este archivo de texto se logra ver las credenciales de acceso al sistema con el
que se pudieron cambiar las notas de los estudiantes de la materia física 1, en este
se pueden ver el usuario y contraseña que el docente utiliza para ingresar al sistema
de notas.

Evidencia 3:

Tabla 36. Registro de evidencia 3.

DOCUMENTACIÓN DE EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL

(EVIDENCIA)
No.
No. FECHA HORA
RE
EVID DE DE TIPO DE
GIS OBSERVACIONES
ENCI REGISTR REGIS REGISTRO
TR
A O TRO
O
2018-03-
19:19:
3 7 09T17:19: LLAMADA 315 3027204- Diego Pérez
46Z
46Z
Fuente: elaboración propia

121
Se evidencia comunicaciones telefónicas entre el dueño del dispositivo y el
estudiante Diego Pérez, el cual se vio beneficiado por el cambio de nota de
reprobado ha aprobado.

Evidencia 4:

Tabla 37. Registro de evidencia 4.

DOCUMENTACIÓN DE EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL (EVIDENCIA)

No.
No. FECHA DE HORA DE TIPO DE
EVIDEN OBSERVACIONES
REGISTRO REGISTRO REGISTRO REGISTRO
CIA

4 2 CONTACTO Camila Carvajal- 316 6910616

Fuente: elaboración propia

Esta evidencia se logra extraer de la lista de contactos del dispositivo el cual se

puede evidenciar que está relacionado con la lista de contactos en los cuales están
registrados los estudiantes del curso y Camila Carvajal es uno de los estudiantes a
las cuales se les modifico su nota en el sistema.

Evidencia 5:

Tabla 38. Registro de evidencia 5.

DOCUMENTACIÓN DE EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL (EVIDENCIA)

No.
No. HORA
RE
EVID FECHA DE DE TIPO DE
GIS OBSERVACIONES
ENCI REGISTRO REGIS REGISTRO
TR
A TRO
O

5 9 CONTACTO Diana González-320 4512702

Fuente: elaboración propia

Esta evidencia se logra extraer de la lista de contactos del dispositivo el cual se

puede evidenciar que está relacionado con la lista de contactos en los cuales están

122
registrados los estudiantes del curso y Diana González es una de los estudiantes a
las cuales se les modifico su nota en el sistema.

Evidencia 6:

Tabla 39. Registro de evidencia 6.

DOCUMENTACIÓN DE EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL (EVIDENCIA)

FECHA
No.
No. DE HORA DE TIPO DE
EVIDE OBSERVACIONES
REGISTRO REGIST REGISTRO REGISTRO
NCIA
RO

6 10 CONTACTO Diego Pérez-315 3027204

Fuente: elaboración propia

Esta evidencia se logra extraer de la lista de contactos del dispositivo el cual se

puede evidenciar que está relacionado con la lista de contactos en los cuales están
registrados los estudiantes del curso y Diego Pérez es uno de los estudiantes a las
cuales se les modifico su nota en el sistema.

Evidencia 7:

Tabla 40. Registro de evidencia 7.

DOCUMENTACIÓN DE EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL (EVIDENCIA)

No.
FECHA DE HORA DE TIPO DE
EVIDENC No. REGISTRO OBSERVACIONES
REGISTRO REGISTRO REGISTRO
IA

Cómo va la diligencia? - 316

8 10 2018-03-17 22:09:52Z SMS
6910616-Camila Carvajal

Fuente: elaboración propia

Esta evidencia se logra extraer de la lista de mensajes de texto del dispositivo, es

de Camila Carvajal preguntando posiblemente por la ejecución del cambio de la
nota de la materia.

123
Conclusión 1: En el dispositivo móvil encontrado efectivamente se movieron
archivos en los cuales se evidencia el cambio de las notas de la materia.

Conclusión 2: Podemos asociar 4 implicados en el fraude del cambio de las notas

que son los estudiantes:

• Luis Felipe Gonzales (Estudiante del curso de Física 1, Dueño del dispositivo
móvil y autor de los documentos con las notas y credenciales de acceso a sistema
de notas).

• Diego Pérez (Beneficiado por el cambio de nota).

• Camila Carvajal (Beneficiado por el cambio de nota).

• Diana González (Beneficiado por el cambio de nota).

Conclusión 3: El acceso al sistema de notas y a la información de las credenciales

de acceso se dio debido a la cercanía del estudiante Luis Felipe Gonzales con el
docente de la materia, lo que le facilito acceder a sus credenciales y montar un
negocio fraudulento para el cambio de notas de dicha asignatura al parecer por
dinero.

124
 • Paso 3

Tabla 41. Registro de cadena de custodia.

REGISTRO DE CADENA DE CUSTODIA

NUM LUG
HOR
No. ERO AR
A DE IDENTIF FIRMA
REGI FECHA DE NOMBRE DEL DE OBJETO DEL DE
REGI ICACIÓ CARGO DEL RESPONSABLE LUGAR DE ORIGEN ENCARGAD
STR REGISTRO RESPONSABLE EVID TRASLADO DES
STR N O
O ENCI TIN
O
A O
LUNES, 2 DE MARIANELLA INGENIERA ESPECIALISTA EN ANÁLISIS EN UNIVERSIDAD MARIANELL
1.090.42 ESC
6 ABRIL DE 15:24 CÁRDENAS SEGURIDAD INFORMÁTICA 001 LABORATORI AUTÓNOMA DE A
3.115 ENA
2018 GONZÁLEZ (ANALISTA) O OCCIDENTE. CÁRDENAS

LUNES, 2 DE ANÁLISIS EN UNIVERSIDAD

14.562.3 GUSTAVO DIRECTOR COMITÉ DE ÉTICA ESC GUSTAVO
7 ABRIL DE 16:40 001 LABORATORI AUTÓNOMA DE
21 PERDOMO UAO (JUEZ) ENA PERDOMO
2018 O OCCIDENTE.

Fuente: elaboración propia

125
 CONCLUSIONES

El análisis forense sobre dispositivos móviles es una gran herramienta para la

justicia al momento de obtener material probatorio en casos judiciales.

En la industria y las empresas con este tipo de guías metodológicas también se

pueden realizar auditorías sobre este tipo de dispositivos móviles que permitan
identificar información para tomar decisiones internas que permitan tomar
decisiones cruciales.

Las metodologías de análisis forenses existentes cuentan con muchas similitudes

que permiten que sean altamente efectivas en el momento de tener que indagar y
obtener resultados de la información contenida en esos dispositivos móviles.

Hay gran variedad de herramientas para realizar análisis forense para dispositivos
móviles, a medida del paso de los años se han vuelto el objeto que todos tienen y
siempre se puede encontrar información relevante en ellos.

Las aplicaciones de análisis forenses de código abierto existentes son bastante

competitivas con respecto a las aplicaciones de pago, en ocasiones como en este
proyecto se puede usar de manera conjunta para lograr un buen análisis.

126
 BIBLIOGRAFÍA

ALBA, Enrique. Cómo escribir un documento técnico [en línea]. Málaga, lcc.uma.es
2002 [Consultado 12 de agosto de 2016]. Disponible en internet:
http://www.lcc.uma.es/~eat/pdf/sw-spanish.pdf.

ÁLVAREZ, Marco Antonio. Análisis Forense de dispositivos móviles iOS y Android

[en línea]. Universitat Oberta de Catalunya, 2016. [Consultado 20 de enero de 2017].
Disponible en internet:
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/45641/6/malvarezmuTFG
0116memoria.pdf

ANDRILLER. Android forensic tools [en línea] andriller. [consultado 20 de marzo de

2017]. Disponible en internet: http://andriller.com/

ANDROID VS IOS [en línea] [consultado 20 de abril de 2018]. Disponible en internet:

https://es.diffen.com/tecnologia/Android-vs-iOS

AUTOPSY. Digital forensic platform. [En línea] sleuthkit. [consultado 20 de marzo

de 2017]. Disponible en internet: https://www.sleuthkit.org/autopsy/

CASEY, Eoghan. Digital Evidence and Computer Crime. USA: Academic Press,
2011. 840 p.

CASTAÑEDA, Peña, Camilo. Así funciona el Centro Cibernético Policial [en línea].
Bogotá D.C. Tecnosfera, 2016 [consultado 28 de septiembre de 2016].Disponible
en internet: http://www.eltiempo.com/tecnosfera/novedades-tecnologia/conozca-
como-funciona-el-centro-cibernetico-policial/16573927.

CERTICÁMARA, ABC para proteger los datos personales, Ley 1581 de 2012
Decreto 1377 de 2013 [en línea]. Bogotá D.C. Filial Cámara de Comercio de Bogotá,
2013 [Consultado 30 de septiembre de 2016]. Disponible en internet:
https://colombiadigital.net/actualidad/articulos-informativos/item/5543-abc-para-
proteger-los-datos-personales-ley-1581-de-2012-decreto-1377-de-2013.html.

127
DAVIS, Chris; PHILLIPP, Aaron; COWEN, David. Hacking exposed: Computer
forensics secrets and solutions. First Edition. New York: McGraw-Hill/ Osborne,
2005. 544 p.

GARCIA, José A. La cadena de custodia aplicada a la informática: El Blog del Perito

Informático Forense. [en línea]. Blog del Perito Informático 2013. [Consultado 18 de
enero de 2017]. Disponible en internet: http://www.informaticoforense.eu/la-cadena-
de-custodia-aplicada-a-la-informatica-i/

GRUPO DE RESPUESTA A EMERGENCIAS CIBERNETICAS DE COLOMBIA.

Acerca de colCERT [en línea]. Bogotá D.C. colcert., 2013 [Consultado 13 de
noviembre de 2015]. Disponible en internet: http://www.colcert.gov.co/?q=acerca-
de.

LARROTA, Luz Estella; MARTINEZ, Leydi Marcela y ORJUELA, Viviana Francenet.

Diseño de una guía para auditoria de análisis forense en dispositivos móviles
basados en tecnología android para la legislación colombiana [en línea] Universidad
Católica de Colombia: Facultad de Ingeniería. ESp. Ingeniería de Sistemas de
Información, enero 2015. [Consultado 20 de enero de 2017]. Disponible en internet:
http://repository.ucatolica.edu.co/handle/10983/1894

MEIER, Reto. Professional Android Application Development. USA, Indianapolis,

Indiana: Wiley Publishing, Inc, 2009. 409. p

PERITO INFORMATICO. Nueva forma para la recopilación de evidencias. [en línea]

Peritoit, 2012. [Consultado 20 de abril de 2017]. Disponible en internet:
https://peritoit.com/2012/10/23/isoiec-270372012-nueva-norma-para-la-
recopilacion-de evidencias/https://peritoit.com/2012/10/23/isoiec-270372012-
nueva-norma-para-la-recopilacion-de-evidencias.

RAMOS, Alejandro. Historia de la informática forense [en línea]. Bogotá D.C.

Securitybydefault.com, 2011 [Consultado 02 de septiembre de 2015]. Disponible en
internet: http://www.securitybydefault.com/2011/03/historia-de-la-informatica-
forense.html#disqus_thread.

RIVAS LOPEZ, José Luis. Análisis forense de sistemas informáticos. Barcelona:

FUOC, 2009. 94 p.

128
RUBIN, Andy. ¿Where´s my Gphone? [en línea]. Google, Official Blog 5, 11, 2007.
[Consultado 07 de septiembre de 2015]. Disponible en internet:
https://googleblog.blogspot.com.co/2007/11/wheres-my-gphone.html.

SANCHEZ BUSTAMANTE, Claudia. Colombia asume el desafío cibernético [En

línea]. En: Revista Militar Digital, 2013 [consultado 28 de septiembre de 2016].
Disponible en internet: https://dialogo-americas.com/es/articles/colombia-asume-el-
desafio-cibernetico.

OKHOSTING. Software comercial [en línea] okhosting.c [consultado 20 de abril de

2018]. Disponible en internet: https://okhosting.com/blog/software-comercial/

GNU. Software libre [en línea] .gnu.org/[consultado 20 de abril de 2018]. Disponible

en internet: https://www.gnu.org/philosophy/free-sw.es.html

--------. Presentación del Marco de referencia para el análisis forense de dispositivos

Android [en línea]. Docplayer.es. Universidad Nacional de Matanza, Departamento
de Ingeniería e Investigaciones Tecnológicas, 2016 [Consultado 15 de enero de
2017]. Disponible en Internet: https://docplayer.es/20360301-Presentacion-del-
marco-de-referencia-para-el-analisis-forense-de-dispositivos-android.html

129
 ANEXOS

Anexo A. Formulario 1.

FASE 1 ENCONTRAR LA EVIDENCIA

PASO 1 IDENTIFICAR CASO DE ANÁLISIS
INFORMACIÓN DEL CASO

NUMERO DE CASO

FECHA DEL CASO

HORA DEL CASO

DIRECCIÓN DEL CASO

CIUDAD
DEPARTAMENTO
DESCRIPCIÓN TEXTUAL DEL CASO
INFORMACIÓN DEL PRIMER RESPONSABLE
IDENTIFICACIÓN RESPONSABLE
NOMBRE
CARGO
INFORMACIÓN DEL AGENTE DE POLICÍA O CUSTODIO
IDENTIFICACIÓN RESPONSABLE
NOMBRE
CARGO

PASO 2 LISTAR Y FILTRAR EVIDENCIA

ENCONTRADAS
INFORMACIÓN DE LA EVIDENCIA
NUMERO DE EVIDENCIA
TIPO DE EVIDENCIA
DESCRIPCIÓN INICIAL DE LA EVIDENCIA
MARCA
MODELO
COLOR
IMEI

130
PASO 3 TRATAR LA EVIDENCIA
ESCENARIO 1 DISPOSITIVO MÓVIL APAGADO
SE DEBE EMBALAR EL DISPOSITIVO
EMBALAR DISPOSITIVO EN UN RECIPIENTE DONDE NO SE
PRESENTE DAÑO FÍSICO ALGUNO.

NUMERO DE CASO, NUMERO DE

EVIDENCIA, FECHA DE ROTULADO,
ROTULAR DISPOSITIVO
HORA DE ROTULADO. - ANEXO 2
ROTULO DE LA EVIDENCIA

SE DEBE LLEVAR EL DISPOSITIVO

TRANSPORTAR AL LABORATORIO O
ALMACÉN
MÓVIL AL LABORATORIO DONDE
SERA RECIBIDO POR EL ANALISTA
PARA SU ANÁLISIS O AL ALMACÉN
PARA SER GUARDADA Y ANALIZADA
POSTERIORMENTE.

INFORMACIÓN DEL TRANSPORTADOR

NUMERO DE IDENTIFICACIÓN

NOMBRE

INFORMACIÓN DEL ALMACENISTA O ANALISTA

NUMERO DE IDENTIFICACIÓN

NOMBRE

CARGO (ALMACENISTA O ANALISTA)

ESCENARIO 2 DISPOSITIVO MÓVIL ENCENDIDO

SE DEBE EMBALAR EL DISPOSITIVO

AISLAR EL EQUIPO EN UN BOLSA QUE AÍSLA SEÑALES O
JAULA DE FARADAY.

131

ROTULAR DISPOSITIVO
EXTRAER INFORMACIÓN VOLÁTIL
PROPORCIONAR CARGA ELÉCTRICA
TRANSPORTAR AL LABORATORIO O
ALMACÉN
INFORMACIÓN DEL TRANSPORTADOR
NUMERO DE IDENTIFICACIÓN
NOMBRE
INFORMACIÓN DEL ALMACENISTA O ANALISTA
NUMERO DE IDENTIFICACIÓN
NOMBRE
CARGO
PASO 4
132
NUMERO DE CASO, NUMERO DE
EVIDENCIA, FECHA DE ROTULADO,
HORA DE ROTULADO. - DILIGENCIAR
ANEXO 2 ROTULO DE LA EVIDENCIA
SE DEBE CONECTAR EL DISPOSITIVO
A UN PC PARA VER SI ES POSIBLE
POR MEDIO DE SOFTWARE DE
ANÁLISIS FORENSE REALIZAR UNA
BACKUP DE LA MEMORIA RAM DEL
DISPOSITIVO.
SE PROPORCIONA CARGA ELÉCTRICA
AL DISPOSITIVO SI ES NECESARIO
LLEVARLO ENCENDIDO AL
LABORATORIO PARA INTENTAR
EXTRAER LA INFORMACIÓN ALOJADA
EN LA MEMORIA RAM.
SE DEBE LLEVAR EL DISPOSITIVO
MÓVIL AL LABORATORIO DONDE
SERA RECIBIDO POR EL ANALISTA
PARA SU ANÁLISIS O AL ALMACÉN
PARA SER GUARDADA Y ANALIZADA
POSTERIORMENTE.
ALMACENISTA O ANALISTA
DILIGENCIAR REGISTRO DE CADENA
DE CUSTODIA DILIGENCIAR ANEXO 3
Anexo B. Rotulo de evidencia.

ROTULO DE EVIDENCIA
NUMERO DE CASO
NUMERO DE EVIDENCIA
FECHA DE ROTULADO
HORA DE ROTULADO

133
Anexo C. Registro de cadena de custodia.

REGISTRO DE CADENA DE CUSTODIA

FECHA HORA NOMBRE CARGO NUMER OBJET LUGA LUGA
No. FIRMA
DE DE IDENTIFICA DEL DEL O DE O DEL R DE R DE
REGIS ENCARG
REGIS REGIS CIÓN RESPONS RESPONS EVIDEN TRASL ORIG DESTI
TRO ADO
TRO TRO ABLE ABLE CIA ADO EN NO

134
Anexo D. Formulario 2.

FORMULARIO 2
IDENTIFICAR, DESCRIBIR Y EXTRAER LA
FASE 2
EVIDENCIA

PASO 1 IDENTIFICAR LA EVIDENCIA

IDENTIFICACIÓN DE LA EVIDENCIA
NUMERO DE EVIDENCIA
FECHA REGISTRO
HORA REGISTRO
LUGAR DE REGISTRO
IDENTIFICACIÓN DEL ANALISTA
IDENTIFICACIÓN DEL ANALISTA
NOMBRE ANALISTA
PASO 2 DESCRIBIR LA EVIDENCIA
ESTADO
PROTECCIÓN PIN
BLOQUEO (PIN-PATRÓN)
MARCA
MODELO
CAPACIDAD DE ALMACENAMIENTO
NUMERO DE SERIE
NUMERO ICCID (SIM CARD)
VERSIÓN FIRMWARE
IMEI
NUMERO TELEFÓNICO
OPERADOR DE TELEFONÍA
COBERTURA
CONEXIONES SOPORTADAS
DIRECCIÓN MAC WIFI
DIRECCIÓN MAC BLUETOOTH
NUMERO DE CANCIONES
NUMERO DE VIDEOS
NUMERO DE FOTOS
NUMERO DE APLICACIONES
NUMERO DE CONTACTOS
NUMERO DE CORREOS
ELECTRÓNICOS
DIMENSIONES FÍSICAS

135
 EXTRAER COPIA DE DATOS BIT A BIT PARA
PASO 3
MEMORIA EXTERNA
SE DEBE EXTRAER FÍSICAMENTE LA
EXTRAER DEL DISPOSITIVO
MEMORIA EXTERNA DEL DISPOSITIVO MÓVIL
MÓVIL
PARA CONECTARSE A UN PC.
CONECTAR MEMORIA EXTERNA SE DEBE CONECTAR LA MEMORIA EXTERNA
A UN PC AL PC.
SE DEBE EJECUTAR SOFTWARE PARA
EJECUTAR SOFTWARE PARA
REALIZAR COPIA BIT A BIT DE LA MEMORIA
COPIA
EXTERNA EXTRAÍDA.
GUARDAR ARCHIVO Y REPORTE SE ALMACENA EL ARCHIVO Y REPORTE CON
CON COPIA COPIA PARA ANALIZARSE POSTERIORMENTE.
EXTRAER COPIA DE DATOS MEMORIA
PASO 4
INTERNA
CONECTAR DISPOSITIVO MÓVIL SE DEBE CONECTAR EL DISPOSITIVO MÓVIL
A UN PC POR MEDIO USB AL PC POR MEDIO DE CABLE USB.
SE DEBE EJECUTAR SOFTWARE PARA
EJECUTAR SOFTWARE PARA
REALIZAR COPIA DE LOS DATOS DE LA
COPIA
MEMORIA INTERNA DEL DISPOSITIVO.
SE ALMACENA EL ARCHIVO OBTENIDO PARA
GUARDAR ARCHIVO CON COPIA
ANALIZARSE POSTERIORMENTE.
DILIGENCIAR REGISTRO DE CADENA DE
PASO 5
CUSTODIA DILIGENCIAR ANEXO 3

136
Anexo E. Formulario 3.

FASE 3 ANALIZAR LA EVIDENCIA

IDENTIFICACIÓN DEL ANALISTA
IDENTIFICACIÓN
DEL ANALISTA
NOMBRE
ANALISTA
IDENTIFICACIÓN DEL FISCAL
IDENTIFICACIÓN
DEL FISCAL
NOMBRE FISCAL

CARGAR Y ANALIZAR DATOS MEMORIA EXTERNA (SE DILIGENCIA

PASO 1
ANEXO 6)

CARGAR DATOS
EN
SE DEBEN CARGAR LOS DATOS EXTRAÍDOS DE LA MEMORIA
HERRAMIENTA
EXTERNA DEL DISPOSITIVO.
DE ANÁLISIS
FORENSE.
SE DEBEN REVISAR UNO A UNO LOS CONTACTOS ENCONTRADOS Y
ANALIZAR LISTA FILTRAR LOS QUE SEAN RELEVANTES DE ACUERDO AL CASO
DE CONTACTOS INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y
PRESENTADOS.
SE DEBEN REVISAR UNO A UNO EL HISTORIAL DE LLAMADAS
ANALIZAR
ENCONTRADAS Y FILTRAR LOS REGISTROS QUE SEAN RELEVANTES
HISTORIAL DE
DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER
LLAMADAS
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN REVISAR UNO A UNO EL HISTORIAL DE MENSAJES
ANALIZAR
ENCONTRADOS Y FILTRAR LOS REGISTROS QUE SEAN RELEVANTES
HISTORIAL DE
DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER
MENSAJES
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN REVISAR UNO A UNO EL HISTORIAL DE FOTOS Y VIDEOS
ANALIZAR
ADEMÁS DE LOS METADATOS ASOCIADOS A LOS MISMOS PARA
FOTOS
LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE
IMÁGENES Y
ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER
VIDEOS
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN REVISAR UNO A UNO LOS CORREOS ELECTRÓNICOS Y SU
ANALIZAR
CONTENIDO PARA LUEGO FILTRAR LOS REGISTROS QUE SEAN
CORREO
RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA
ELECTRÓNICO
POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.

137
 SE DEBEN REVISAR UNO A UNO LOS EVENTOS DE CALENDARIO
ANALIZAR ENCONTRADOS Y SU CONTENIDO PARA LUEGO FILTRAR LOS
EVENTOS DE REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO
CALENDARIO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y
PRESENTADOS.

SE DEBEN REVISAR UNO A UNO LOS EVENTOS DE LAS

ANALIZAR APLICACIONES INSTALADAS Y SU CONTENIDO PARA LUEGO FILTRAR
DATOS DE LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO
APLICACIONES INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y
PRESENTADOS.

SE DEBEN REVISAR UNO A UNO LOS EVENTOS DE LAS CUENTAS

ANALIZAR
INSCRITAS Y LUEGO FILTRAR LOS REGISTROS QUE SEAN
INFORMACIÓN
RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA
DE CUENTAS
POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR
INFORMACIÓN
DE SE DEBEN ANALIZAR UNO A UNO LOS DOCUMENTOS ENCONTRADOS
DOCUMENTOS EN EL DISPOSITIVOS (ARCHIVOS DE TEXTO, PRESENTACIONES ETC.)
CARGAR Y ANALIZAR DATOS MEMORIA INTERNA (SE DILIGENCIA
PASO 2 ANEXO 7)
CARGAR DATOS
EN
SE DEBEN CARGAR LOS DATOS EXTRAÍDOS DE LA MEMORIA
HERRAMIENTA
INTERNA DEL DISPOSITIVO.
DE ANÁLISIS
FORENSE.
SE DEBEN REVISAR UNO A UNO LOS CONTACTOS ENCONTRADOS Y
ANALIZAR LISTA FILTRAR LOS QUE SEAN RELEVANTES DE ACUERDO AL CASO
DE CONTACTOS INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y
PRESENTADOS.
SE DEBEN REVISAR UNO A UNO EL HISTORIAL DE LLAMADAS
ANALIZAR
ENCONTRADAS Y FILTRAR LOS REGISTROS QUE SEAN RELEVANTES
HISTORIAL DE
DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER
LLAMADAS
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN REVISAR UNO A UNO EL HISTORIAL DE MENSAJES
ANALIZAR
ENCONTRADOS Y FILTRAR LOS REGISTROS QUE SEAN RELEVANTES
HISTORIAL DE
DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER
MENSAJES
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN REVISAR UNO A UNO EL HISTORIAL DE FOTOS Y VIDEOS
ANALIZAR
ADEMÁS DE LOS METADATOS ASOCIADOS A LOS MISMOS PARA
FOTOS
LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE
IMÁGENES Y
ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER
VIDEOS
DOCUMENTADOS Y PRESENTADOS.
SE DEBEN REVISAR UNO A UNO LOS CORREOS ELECTRÓNICOS Y SU
ANALIZAR
CONTENIDO PARA LUEGO FILTRAR LOS REGISTROS QUE SEAN
CORREO
RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA
ELECTRÓNICO
POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.

138
 SE DEBEN REVISAR UNO A UNO LOS EVENTOS DE CALENDARIO
ANALIZAR ENCONTRADOS Y SU CONTENIDO PARA LUEGO FILTRAR LOS
EVENTOS DE REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO
CALENDARIO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y
PRESENTADOS.
ANALIZAR
INFORMACIÓN
ENTRE EL SE DEBEN REVISAR UNO A UNO LAS CONEXIONES A OTROS
DISPOSITIVO Y DISPOSITIVOS QUE TENGA REGISTRADO NUESTRO DISPOSITIVO
EL MÓVIL.
COMPUTADOR
RELACIONADO
SE DEBEN REVISAR UNO A UNO LOS EVENTOS DE LAS
ANALIZAR APLICACIONES INSTALADAS Y SU CONTENIDO PARA LUEGO FILTRAR
DATOS DE LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO
APLICACIONES INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y
PRESENTADOS.
SE DEBEN REVISAR UNO A UNO LOS EVENTOS DE LAS CUENTAS
ANALIZAR
INSCRITAS Y LUEGO FILTRAR LOS REGISTROS QUE SEAN
INFORMACIÓN
RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA
DE CUENTAS
POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR
SE DEBEN ANALIZAR UNO A UNO LOS DOCUMENTOS ENCONTRADOS
INFORMACIÓN
EN EL DISPOSITIVOS (ARCHIVOS DE TEXTO, HOJAS DE CÁLCULO,
DE
PRESENTACIONES, PDF ETC.)
DOCUMENTOS

DILIGENCIAR REGISTRO DE CADENA DE CUSTODIA DILIGENCIAR

PASO 3
ANEXO 3

139
Anexo F. Analizar datos de memoria externa.

ANALIZAR DATOS DE MEMORIA EXTERNA

No. FECHA DE HORA DE TIPO DE
OBSERVACIONES RELEVANTE
REGISTRO REGISTRO REGISTRO REGISTRO

140
Anexo G. Analizar datos de memoria interna.

ANALIZAR DATOS DE MEMORIA INTERNA

No. FECHA DE HORA DE TIPO DE
OBSERVACIONES RELEVANTE
REGISTRO REGISTRO REGISTRO REGISTRO

141
Anexo H. Formulario 4.
FASE 4
IDENTIFICACIÓN DEL ANALISTA
IDENTIFICACIÓN DEL ANALISTA
NOMBRE ANALISTA
IDENTIFICACIÓN DEL FISCAL
IDENTIFICACIÓN DEL FISCAL
NOMBRE FISCAL
PASO 1
LISTADO CON RESPECTO AL TIEMPO
DE LOS EVENTOS RELEVANTES
ENCONTRADOS
LISTAR DE MANERA LINEAL DE
ACUERDO AL TIEMPO LA
INFORMACIÓN RELEVANTE DE
CONTACTOS ENCONTRADOS.
LISTAR DE MANERA LINEAL DE
ACUERDO AL TIEMPO LA
INFORMACIÓN RELEVANTE DE
HISTORIAL DE LLAMADAS.
LISTAR DE MANERA LINEAL DE
ACUERDO AL TIEMPO LA
INFORMACIÓN RELEVANTE DE
FOTOS Y VIDEOS.
LISTAR DE MANERA LINEAL DE
ACUERDO AL TIEMPO LA
INFORMACIÓN RELEVANTE DE
CORREO ELECTRÓNICO.
LISTAR DE MANERA LINEAL DE
ACUERDO AL TIEMPO LA
INFORMACIÓN RELEVANTE DE
EVENTOS DE CALENDARIO.
LISTAR DE MANERA LINEAL DE
ACUERDO AL TIEMPO LA
INFORMACIÓN RELEVANTE DE LAS
APLICACIONES INSTALADAS
LISTAR DE MANERA LINEAL DE
ACUERDO AL TIEMPO LA
INFORMACIÓN RELEVANTE DE LAS
CUENTAS ENCONTRADAS.
DOCUMENTAR LA EVIDENCIA
DESCRIPCIÓN DEL CAMPO
NUMERO DE CEDULA DEL ANALISTA
ENCARGADO.
NOMBRE DEL ANALISTA ENCARGADO.
NUMERO DE CEDULA DEL FISCAL
ENCARGADO.
NOMBRE DEL FISCAL ENCARGADO.
LISTAR EVENTOS RELEVANTES DEL
DISPOSITIVO MÓVIL EN EL TIEMPO
DESCRIPCIÓN DEL CAMPO
SE DEBE LISTAR CON RESPECTO AL
TIEMPO TODOS LOS EVENTOS
RELEVANTES DE LOS CONTACTOS.
SE DEBE LISTAR CON RESPECTO AL
TIEMPO TODOS LOS EVENTOS
RELEVANTES DEL HISTORIAL DE
LLAMADAS.
SE DEBE LISTAR CON RESPECTO AL
TIEMPO TODOS LOS EVENTOS
RELEVANTES DEL HISTORIAL FOTOS Y
VIDEOS.
SE DEBE LISTAR CON RESPECTO AL
TIEMPO TODOS LOS EVENTOS
RELEVANTES DEL HISTORIAL DE
CORREO ELECTRÓNICO.
SE DEBE LISTAR CON RESPECTO AL
TIEMPO TODOS LOS EVENTOS
RELEVANTES DEL HISTORIAL DE
CALENDARIO.
SE DEBE LISTAR CON RESPECTO AL
TIEMPO TODOS LOS EVENTOS
RELEVANTES DEL HISTORIAL DE
APLICACIONES INSTALADAS.
SE DEBE LISTAR CON RESPECTO AL
TIEMPO TODOS LOS EVENTOS
RELEVANTES DE LAS CUENTAS
INSTALADAS.
142
FASE 4
LISTAR DE MANERA LINEAL DE
ACUERDO AL TIEMPO LA
INFORMACIÓN RELEVANTE DE LOS
DOCUMENTOS ENCONTRADOS.
PASO 2
PASO 3
FECHA DE REGISTRO
HORA DE REGISTRO
IDENTIFICACIÓN RESPONSABLE
NOMBRE DEL RESPONSABLE
CARGO DEL RESPONSABLE
NUMERO DE EVIDENCIA
OBJETO DEL TRASLADO
LUGAR DE ORIGEN
LUGAR DE DESTINO
FIRMA DEL ENCARGADO
DOCUMENTAR LA EVIDENCIA
SE DEBE LISTAR CON RESPECTO AL
TIEMPO TODOS LOS EVENTOS
RELEVANTES DE LOS DOCUMENTOS DE
TEXTO, HOJAS DE CALCULO,
PRESENTACIONES, PDF ETC.
PRESENTAR EVIDENCIAS Y
CONCLUSIONES.
CADA VEZ QUE SE REALICE CUALQUIER
MOVIMIENTO DE LA EVIDENCIA DEBE
QUEDAR REGISTRADO EN EL
FORMULARIO CADENA DE CUSTODIA.
ANEXO 3
FECHA FORMATO DD-MM-AAAA EN EL
QUE SE REGISTRA EL EVENTO EN LA
CADENA DE CUSTODIA.
HORA FORMATO HH:MM (AM/PM) EN EL
QUE SE REGISTRA EL EVENTO EN LA
CADENA DE CUSTODIA.
NUMERO DE IDENTIFICACIÓN DEL
RESPONSABLE DE LA CADENA DE
CUSTODIA
NOMBRE DEL RESPONSABLE DE LA
CADENA DE CUSTODIA
CARGO DEL RESPONSABLE DE LA
CADENA DE CUSTODIA
DEBE SER UN NUMERO ENTERO DE
MÁXIMO 3 DÍGITOS
MOTIVO DEL TRASLADO DE LA
EVIDENCIA
LUGAR DONDE SE RECOGE LA
EVIDENCIA.
LUGAR DE DESTINO DE LA EVIDENCIA.
FIRMA DEL ENCARGADO DE LA
EVIDENCIA.
143
Anexo I. Documentación de eventos relevantes del dispositivo móvil
(evidencia)

DOCUMENTACIÓN DE EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL (EVIDENCIA)

FECHA
No.
No. DE HORA DE TIPO DE
EVIDENC OBSERVACIONES
REGISTRO REGIST REGISTRO REGISTRO
IA
RO