Extracción de los datos de un teléfono móvil

Una extracción de los datos de un teléfono móvil pueden ser una gran prueba en
un caso judicial, capaz de inclinar la balanza a su favor. No todas las extracciones
son válidas y aceptadas, para ello, deben estar debidamente certificadas y corroboradas
por el perito informático judicial.

Mostraremos un informe a modo de ejemplo de las extracciones que se realizan para

obtener los datos de un dispositivo sin perder la cadena de custodia. El teléfono del
que se realiza la extracción es un Samsung Galaxy Grand Prime, un modelo bastante
común.

Como podemos observar, el informe presentado cuenta en primer lugar con la versión
del dispositivo de la extracción, así como fecha y hora de la misma e información
adicional acerca del modelo del dispositivo.

Es importante recalcar el gran número de páginas generadas en el informe (13308), que

contienen la información obtenida, lo que nos puede ofrecer un gran margen de acción
para conseguir cualquier prueba necesaria para un caso judicial.

Posteriormente, se puede contemplar el contenido de la información extraída.

Concretamente en esta ocasión se obtuvo lo siguiente:
Aplicaciones instaladas y recuperación de aplicaciones borradas: Este apartado
nos puede ser de utilidad en caso de certificar si una aplicación ha sido instalada o
no en el dispositivo.

Calendario: En esta sección podemos obtener información acerca de los eventos

que se han registrado en el calendario o de los que se han borrado.

Contactos y recuperación de contactos borrados: Muy importante en caso de

justificar si se ha mantenido contacto con una persona o no, ya que también se
registran los números borrados.

Contraseñas: Información acerca de las contraseñas insertadas en el dispositivo,

que pueden ser utilizadas para justificar el acceso a una aplicación, sitio web, etc del
usuario del dispositivo.

Conversaciones y recuperación de conversaciones borradas: en primer lugar

tenemos el total de conversaciones extraídas. Posteriormente, se ofrece un desglose
de las conversaciones que han tenido lugar en el dispositivo, indentificando entre
ellas como “Google+ Wall”, “Instagram” y “Whatsapp”. Esta es una de las
secciones más solicitadas, ya que si se certifica adecuadamente, puede ser
una prueba judicialde gran utilidad, ya que se demostraría que una conversación
ha tenido lugar o no.

Cookies: Mediante las cookies se puede obtener información acerca de la

navegación que realizó el usuario con los navegadores.

Cuentas de usuario: En este apartado se puede sacar información sobre las cuentas
de usuario existentes en el dispositivo.

Elementos buscados: Archivos buscados en el sistema.

Eventos potenciadores: Eventos que se desarrollan en el dispositivo.

Historial de internet: Este apartado nos sirve para identificar y certificar las
búsquedas que realizó el dueño del dispositivo.

Marcadores de internet: Los marcadores son búsquedas fijas que se implantan en

el navegador por el usuario.

Mensajes y recuperación de correos eliminados: Se obtiene información sobre los

mensajes de correos emitidos o recibidos del dispositivo. Muy importante para
certificar mensajes de correos y presentarlos como prueba judicial.

Mensajes MMS y recuperación de mensajes MMS eliminados: Se trata de

mensajes multimedia emitidos o recibidos por el dispositivo.

Mensajes SMS recuperación de mensajes SMS eliminados: Ofrece información

acerca de los mensajes de texto enviados o recibidos por el dispositivo.
Redes inalámbricas: Este apartado nos relata las redes Wifi a las que se ha
conectado el dispositivo. Muy útil en caso de que el dispositivo se haya conectado a
una red en una ubicación concreta, con lo que se demostraría la existencia del
individuo en ese lugar.

Registro llamadas: Este apartado resulta de gran utilidad en caso de querer

demostrar si una conversación telefónica ha tenido lugar o no y en qué fecha y hora.

Relleno automático: Función automática de los dispositivos capaz de rellenar con

datos celdas o formularios.

Torres de comunicaciones: Se trata de las torres de comunicaciones a las que se

ha conectado el dispositivo.

Ubicaciones: Información recogida por el teléfono acerca de las ubicaciones o

lugares en las que se ha geolocalizado.

Usuarios del dispositivo: Número de usuarios que posee el dispositivo. A partir de

la versión 5.0 Lollipop de Android se pueden implementar más de un usuario en el
mismo dispositivo.

Cronograma: Ofrece información del sistema basado en estadísticas del dispositivo.

Archivo de datos y recuperación de archivos de datos eliminados: Se desglosa

en aplicaciones, bases de datos, configuraciones, documentos, imágenes, sonido,
texto y vídeos. Este apartado tiene una gran importancia, ya que se puede utilizar en
una prueba judicial para justificar la existencia de un archivo u obtener información
de las bases de datos de las aplicaciones.

Análisis de actividad: Análisis realizados por el dispositivo para recoger

estadísticas del mismo.

Análisis de correos electrónicos: Se obtiene información sobre las cuentas de

correo emisoras y receptoras de mensajes de correos electrónicos.

Análisis de teléfonos: Se recoge información sobre los teléfonos emisores o

receptores de llamadas.

Análisis de WhatsApp: Obtenemos información sobre WhatsApp.

1. Identificación. - involucra el reconocimiento y documentación de evidencia digital, se

pone énfasis en la consideración del orden de volatilidad de manera que se proteja la
evidencia.
2. Recopilación de evidencia. - consiste en remover la evidencia de su origen a
laboratorio o sitio seguro. Es importante considerar si el equipo se encuentra encendido o
apagado, de manera que se tomen en consideración las actividades a ser ejecutadas y las
herramientas a ser usadas.
 3. Adquisición. - es realizar una imagen (copia) de los dispositivos que mantienen
evidencia digital, se establecen las actividades y herramientas de manera que el proceso
sea lo menos intrusivo y finalmente se debe mantener la documentación completa.
4. Preservación. - involucra la salvaguarda de la potencial evidencia digital, la preservación
debe mantenerse durante todo el proceso.