Suscríbete a DeepL Pro para poder traducir archivos de mayor tamaño.

Más información disponible en www.DeepL.com/pro.

DIRECTRICES PARA LOS PRIMEROS

INTERVINIENTES EN LA
INVESTIGACIÓN FORENSE
DIGITAL
Prácticas recomendadas para el
registro y la incautación de pruebas
electrónicas y digitales
Marzo de
2021
0101€01010101010101¥01010101010101$01010101010101€01010101010101¥3 01010

Descargo de responsabilidad
Las presentes "Directrices para los primeros intervinientes en la investigación forense digital" (las
"Directrices") se han elaborado como directrices técnicas para proporcionar información y
asesoramiento sobre los enfoques forenses digitales que pueden adoptarse al incautar y analizar
distintos tipos de dispositivos. Las presentes directrices están destinadas exclusivamente a los
profesionales de las fuerzas y cuerpos de seguridad que cuenten con la base jurídica o la autorización
necesarias para llevar a cabo las acciones que en ellas se describen.

Los marcos jurídicos, procesales y consuetudinarios relativos al registro, la incautación, la cadena de

custodia, el análisis, la presentación de informes, la presentación en procesos
penales/procesales/judiciales, la evaluación probatoria, la admisibilidad y el valor probatorio, etc.,
difieren ampliamente según la jurisdicción. Estas Directrices no proporcionan ninguna
recomendación, consejo o instrucción con respecto a los requisitos de dichos marcos legales y
procesales en ninguna jurisdicción y cualquier referencia que parezca sugerirlo debe entenderse
como sujeta a las leyes y procedimientos nacionales a este respecto.

Se aconseja a los lectores que, a la hora de emprender cualquier acción basada en estas Directrices,
verifiquen y se cercioren de que dichas acciones se ajustan a los requisitos o normas legales y de
procedimiento apropiados en sus jurisdicciones.

Las presentes directrices no tienen carácter obligatorio ni fuerza ejecutiva. INTERPOL no será
responsable de las medidas adoptadas por cualquiera de las partes sobre la base de las presentes
directrices que sean contrarias o incompatibles con los requisitos legales, reglamentarios,
administrativos, de procedimiento, probatorios, consuetudinarios o de otro tipo, los procedimientos
de extracción de pruebas instrumentales, los registros de la cadena de custodia que deban llevarse,
etc., o que no cumplan dichos requisitos.

Estas Directrices también incluyen menciones a herramientas y servicios de código abierto,

propietarios y de acceso público (colectivamente, las "Herramientas" y cada una de ellas, una
"Herramienta") que ofrecen diversas funcionalidades. El usuario puede consultarlas, descargarlas
y/o utilizarlas a su discreción. En relación con ellos, tenga en cuenta lo siguiente:

• INTERPOL no ha desarrollado ni verificado los citados instrumentos, no los aprueba, no está

asociada con sus proveedores y no concede licencias ni presta apoyo alguno para el uso de
los mismos. INTERPOL no ofrece ninguna garantía (expresa o implícita) en relación con los
Instrumentos o cualquiera de ellos, su utilidad para cualquier fin o su eficacia.

• Los enlaces a otros sitios web que figuran en las presentes directrices no constituyen
aprobación alguna por parte de INTERPOL, y se facilitan únicamente a título informativo. Es
responsabilidad del usuario evaluar el contenido y la utilidad de la información obtenida en
otros sitios web o utilizando estos instrumentos.

• INTERPOL no controla, supervisa ni garantiza el contenido de los enlaces ni de los

instrumentos que en ellos se facilitan, ni sus prácticas de recopilación de datos; tampoco
respalda las opiniones expresadas ni los productos o servicios ofrecidos en ellos.
• Puede ser necesario crear cuentas de usuario, pagar cuotas de suscripción o cuotas únicas o
cuotas de actualización para utilizar algunas de estas Herramientas. El registro o la creación
de cuentas de usuario y el pago de cuotas o tarifas pueden requerir la autorización de su
organización y estar sujetos a los requisitos legales de su jurisdicción (incluida la creación de
identidades falsas o supuestas para este fin). Asegúrese de que dispone de las autorizaciones
necesarias para utilizar las Herramientas. INTERPOL no fomenta ni autoriza en modo alguno
la utilización de estas herramientas, y no será responsable de las acciones que usted
emprenda para crear cuentas o registrarse, pagar tasas o suscripciones, o si asume
identidades o crea credenciales falsas para utilizar cualquier herramienta.

• Cada una de estas Herramientas puede estar sujeta a licencias, políticas de privacidad y a los
términos contenidos en las mismas. Revise atentamente los términos, condiciones o
políticas de privacidad que se apliquen al uso de cualquier Herramienta que desee utilizar.

• La información introducida en cualquiera de las Herramientas puede guardarse en los

servidores de la empresa que proporciona la Herramienta, y el usuario debe comprobar y
verificar la legalidad de este hecho en su jurisdicción. También es responsabilidad del
usuario comprobar las prácticas de recopilación de datos y las políticas de privacidad de las
Herramientas en relación con los requisitos legales de su país.

• El uso de las herramientas (o de cualquiera de ellas) se realiza por cuenta y riesgo del
usuario, e INTERPOL no será responsable en ningún caso de los daños o pérdidas
ocasionados, causados o supuestamente causados por el uso de estas herramientas o por la
confianza depositada en ellas. Cualquier reclamación o acción en relación con cualquier daño
o pérdida sufridos por un usuario deberá dirigirse a los proveedores de la(s) herramienta(s) y
no a INTERPOL.

• Ninguno de los datos que se introduzcan al utilizar cualquiera de estos instrumentos se

transmitirá a INTERPOL ni estará a su disposición en modo alguno. Si decide utilizar
cualquiera de estos instrumentos con fines forenses, analíticos o de investigación, reconoce
que INTERPOL no recibirá ninguna información a este respecto y que en ningún momento
formará parte de la cadena de custodia de las pruebas analizadas o generadas utilizando
cualquiera de estos instrumentos.
0101€01010101010101¥01010101010101$01010101010101€01010101010101¥5 01010

Agradecimientos

Las directrices se basan en la Guía de Pruebas Electrónicas del Consejo de Europa, en el Manual de
Certificación de Obtención de Pruebas Digitales del Centro Nacional de Excelencia en Ciberseguridad
de España (INCIBE) y en otras guías de buenas prácticas de los organismos encargados de la
aplicación de la ley en materia de decomiso y tratamiento de pruebas electrónicas. El Laboratorio de
Policía Científica Digital del Centro de Innovación de INTERPOL (IC DFL) también recibió información
de expertos en policía científica digital de distintas partes del mundo, con el fin de alcanzar un
consenso sobre algunos de los aspectos debatidos o problemáticos con los que se encuentran los
primeros intervinientes en materia de policía científica digital. Deseamos mencionar y dar las gracias
a los siguientes colegas, cuyas valiosas aportaciones han contribuido a mejorar los organismos de
todo el mundo:

• BRASIL: Instituto Nacional de Criminalística Policía Federal Brasileña;

• ESPAÑA: Unidad de Ciberdelincuencia, Comisaría General de Policía Judicial (CGPJ) del
Cuerpo Nacional de Policía (CNP);
• Grupo de Trabajo Científico sobre Pruebas Digitales (SWGDE)

Asimismo, INTERPOL desea expresar su más sincero agradecimiento al Ministerio de Asuntos

Exteriores de Noruega por su apoyo y contribución en la creación de las Directrices.

Se hará referencia a las directrices durante una actividad de formación en línea (noviembre a
diciembre de 2020), que se llevará a cabo en el marco del proyecto LEADER de INTERPOL, una
iniciativa trienal de desarrollo de capacidades financiada por el Ministerio de Asuntos Exteriores de
Noruega. El proyecto se centra en la mejora de las capacidades forenses digitales de los beneficiarios
de la región del sur y el sudeste de Asia. A través de estos esfuerzos, las principales partes
interesadas del proyecto, incluidos los primeros intervinientes en la investigación forense digital y
sus instituciones encargadas de hacer cumplir la ley, tendrán la oportunidad de reforzar sus
conocimientos sobre las mejores prácticas aquí articuladas. Además, las directrices también servirán
como valiosa herramienta de referencia en todos los países miembros de INTERPOL, garantizando
que los funcionarios encargados de la aplicación de la ley que participen en tales procedimientos
dispongan de asesoramiento sobre el tratamiento, la recogida y la conservación de pruebas digitales
en apoyo de las investigaciones.
 10101¥01010101010101

Prólogo

Con el fin de proporcionar orientación y apoyo a los organismos encargados de la aplicación de la ley
de todo el mundo, el Centro de Innovación de INTERPOL (CI) ha elaborado las Directrices de
INTERPOL para los primeros actuantes en materia de investigación forense digital: Buenas prácticas
para la búsqueda y el decomiso de pruebas electrónicas y digitales. Me complace presentar estas
directrices, cuyo objetivo es establecer las mejores prácticas para el tratamiento y la utilización de
pruebas digitales durante las fases de preparación y ejecución de registros e incautaciones. También
se identifican consideraciones técnicas clave sobre la conservación eficaz de los datos para garantizar
que puedan servir de apoyo a las fuerzas del orden en las investigaciones penales y que puedan ser
admisibles ante los tribunales. Esta guía está destinada a ayudar a los funcionarios encargados de la
aplicación de la ley de diferentes ámbitos delictivos que pueden acudir al lugar de un delito, siendo
responsables de la recogida, la seguridad y el transporte de pruebas electrónicas y digitales. También
será útil para los supervisores de dichos agentes a la hora de orientarles y apoyarles. Además, puede
ser útil para que los fiscales comprendan mejor la recogida y el manejo de las pruebas.

A medida que nuestra sociedad se integra cada vez más en la tecnología digital, que abarca todas las
facetas de nuestra vida cotidiana y de nuestro trabajo policial, puede que le resulte difícil recordar
alguna ocasión en la que haya tenido una interacción limitada con un dispositivo digital. En la
comunidad policial actual, existe una tendencia continua a que las investigaciones se basen en algún
tipo de prueba digital. Aunque consideramos que las pruebas digitales comparten aspectos similares
con las formas tradicionales de prueba, también hay consideraciones únicas que deben tenerse en
cuenta.

La naturaleza intangible de los datos obtenidos en formato electrónico, su volatilidad y la facilidad

con que pueden alterarse plantean retos para la integridad de las pruebas digitales. Por lo tanto, es
fundamental que los primeros intervinientes y los profesionales encargados de hacer cumplir la ley
sean capaces de identificar y manipular correctamente las pruebas digitales, de modo que las
últimas fases del proceso forense digital puedan llevarse a cabo sobre la base de un criterio sólido.

Agradezco la contribución del equipo del CI, en particular de su Laboratorio de Investigación Forense
Digital (DFL), por compartir sus conocimientos y su experiencia en la materia. También doy las
gracias a nuestros colegas de la Dirección de Capacitación y Formación de INTERPOL, que han
apoyado esta iniciativa y utilizarán las directrices en el contexto de proyectos centrados en la mejora
de las capacidades en materia de investigación forense digital. Por último, me gustaría dar las gracias
al Ministerio de Asuntos Exteriores de Noruega por su generoso apoyo.

Las Directrices son un reflejo de los esfuerzos constantes de INTERPOL por fomentar la cooperación
policial internacional y de nuestro compromiso de ayudar a nuestros países miembros a responder a
los complejos retos mundiales en materia de seguridad en el ámbito digital.

Directora Anita Hazenberg

Dirección del Centro de Innovación de INTERPOL

0101€01010101010101¥01010101010101$01010101010101€01010101010101¥7 01010

Contenido
Lista de cifras 9
1. INTRODUCCIÓN 10
2. FASE DE PREPARACIÓN DEL REGISTRO E INCAUTACIÓN 10
2.1. Planificación 10
2.3. Preparación del equipo 13
3. FASE DE EJECUCIÓN DEL REGISTRO E INCAUTACIÓN 15
3.1. Asegurar la escena 15
3.2. Evaluación 15
3.3. Documentar la escena 16
3.4. Recogida y tratamiento de pruebas digitales 17
3.4.1. Análisis en directo de ordenadores y portátiles con alimentación 17
3.4.2. Imposibilidad de acceder a la información en dispositivos con alimentación 19
3.5. Fase de embargo 20
3.5.1 Embalaje y transporte 20
4. CONSIDERACIONES TÉCNICAS 20
4.1. La copia forense 20
4.2. Alternativas a la copia forense 21
4.3. Función HASH 22
5. PROCEDIMIENTOS ESPECÍFICOS 23
5.1. Smartphones - Tabletas 23
5.1.1. Consideraciones a la hora de proteger las pruebas obtenidas con teléfonos móviles 24
5.1.2. Proceso de conservación de pruebas en teléfonos móviles para primeros intervinientes 25
5.1.3 Proceso de conservación de iOS y diagrama de flujo 25
5.1.4 Proceso de preservación de Android y diagrama de flujo 26
5.1.5 Tarjeta SIM 28
5.1.6 Tarjeta de soporte extraíble 28
5.1.7 Datos en la nube 29
5.1.8 Consideraciones sobre la incautación 29
Ciencia forense tradicional 29
Acceso 29
Aislamiento de redes 29
Puntos a demostrar 30
5.2. Servidores 31
5.3. Ordenadores personales 31
5.4. Portátiles 34
 5.5. Soportes de almacenamiento (tarjetas de memoria, memorias flash, discos duros externos, discos ópticos,
etc.) 34
5.6. Otros dispositivos (cámaras digitales, sistemas de navegación GPS, Dash Cameras, etc.) 36
5.7. Dispositivos IoT 36
5.7.1. Smartwatches 37
5.7.2. Smart TV 37
5.7.3. Kits para el hogar/altavoces inteligentes 38
5.7.4. Cámaras IP y ocultas 39
5.8. Consolas de juegos 40
5.9. Drones 41
5.10. CCTV 43
5.11. Dispositivos de activos virtuales 44
5.12 Vehículos de motor 49
5.13 Equipo de a bordo 51
REFERENCIAS 53
Acrónimos, abreviaturas e inicialismos
CBT Refuerzo de las capacidades y formación de INTERPOL
CCTV Circuito cerrado de televisión
CGPJ Consejo General del Poder Judicial - s el órgano constitucional que
rige todo el Poder Judicial de España
CNP Cuerpo Nacional de Policía - nacional
policía civil de España
CNIC Tarjeta de aislamiento de red celular
CSIM Módulo de identidad del abonado
CSV Formato de archivo de valores separados por comas
DFL Laboratorio forense digital
ADN Ácido desoxirribonucleico
DRM Gestión de derechos digitales
DSC Llamada selectiva digital
ECDIS Sistema electrónico de información y visualización de cartas
ECU Unidades de control electrónico
EPIRB Radiobaliza indicadora de posición de emergencia
GB Gigabytes
SMSSM Sistema Mundial de Socorro y Seguridad Marítimos
GPS Sistema de posicionamiento global
RSG Residuos de pólvora
HD Disco duro
HDD Unidad de disco duro
IC Centro de Innovación de INTERPOL
ICCID Tarjeta de circuito integrado
IMEI Identidad internacional de equipos móviles
INCIBE Instituto Nacional de Ciberseguridad / The Spanish National
Instituto de Ciberseguridad
IP Protocolo de Internet
LRIT Sistema de seguimiento e identificación de largo alcance
NVMe Memoria no volátil Express
OS Sistema operativo
P2P / P2MP punto a punto y punto a multipunto (P2MP)
PIN Número de identificación personal
PUK Llaves de desbloqueo personal - a veces conocidas como llaves de
desbloqueo de red
(NUC) o código de desbloqueo personal (PUC)
RAM Memoria de acceso aleatorio
RAID Matriz redundante de discos económicos
RF Radiofrecuencia
RPAS Sistema de aeronaves pilotadas por control remoto
RUIM Módulo de identidad de usuario extraíble
SMS Servicio de mensajes cortos
SSD Unidad de estado sólido
sUAS Pequeños sistemas aéreos no tripulados
TB Terabyte
TPM Chips Trusted Platform Module
UAV Vehículo aéreo no tripulado
UAS Sistema aéreo no tripulado
UPS Sistema de alimentación ininterrumpida
0101€01010101010101¥01010101010101$01010101010101€01010101010101¥9 01010

USB Bus serie universal

USIM Módulo universal de identidad del abonado: tarjeta SIM para servicios
3G
VHF Radio de muy alta frecuencia
VMS Sistema de vigilancia de buques
VIN Número de identificación del vehículo
WIF Formato de importación de carteras

Lista de cifras
Figura 1: Diagrama de flujo del procedimiento y la fase de planificación ............................................ 12
Figura 2: Dispositivos: Teléfonos inteligentes y tabletas ...................................................................... 23
Figura 3: Un iPhone de Apple. ............................................................................................................... 25
Figura 4: Diagrama de flujo del procedimiento de adquisición de pruebas del dispositivo iOS de Apple 26
Figura 5: Smartphones Android ............................................................................................................ 27
Figura 6: Diagrama de flujo del procedimiento de adquisición de pruebas del dispositivo Android ... 27
Figura 7: Tarjetas SIM. ........................................................................................................................... 28
Figura 8: Tarjetas SD. ............................................................................................................................. 28
Figura 9: Componentes del almacenamiento en la nube...................................................................... 29
Figura 10: Cámaras digitales .................................................................................................................. 36
Figura 11: Relojes inteligentes .............................................................................................................. 37
Figura 12: Una Smart TV........................................................................................................................ 37
Figura 13: Dispositivos como el Echo de Amazon o el HomePod de Apple son ejemplos de altavoces inteligentes. 38
Figura 14: Las cámaras con protocolo de Internet envían datos de imagen a través de una red IP .... 39
Figura 15: Nintendo, la serie PS de Sony y la XBOX de Microsoft son ejemplos de videoconsolas con
funciones inteligentes ................................................................................................................... 40
Figura 16: Drones, también conocidos como UAV (vehículos aéreos no tripulados) ........................... 41
Figura 17: Cámaras de vídeovigilancia utilizadas con fines de vigilancia. ............................................. 43
Figura 18: Dispositivos de activos virtuales, utilizados para almacenar información sobre
criptomonedas y otras monedas virtuales. ................................................................................... 44
Figura 19: Monederos de papel ............................................................................................................ 45
Figura 20: Billeteras de hardware, utilizadas para almacenar información sobre criptoactivos. ......... 46
Figura 21: Ejemplo de monedero de sobremesa. ................................................................................. 46
Figura 22: Electrum, un monedero de sobremesa ................................................................................ 47
Figura 23: Ejemplo de monedero móvil utilizado para almacenar información sobre criptomonedas 47
Figura 24: Monederos cerebrales (semilla)........................................................................................... 48
Figura 25: Monederos cerebrales (semilla)........................................................................................... 48
Figura 26: Ejemplos de equipos embarcados con datos y su ubicación ............................................... 52
 0101

REGISTRO E INCAUTACIÓN DE PRUEBAS DIGITALES

1. INTRODUCCIÓN
Esta guía pretende ofrecer apoyo y asesoramiento a los profesionales de la Policía Científica Digital
durante las actividades de búsqueda e incautación para la identificación y manejo de pruebas
electrónicas mediante métodos que garanticen su integridad.

No debe incautarse un dispositivo electrónico sin las debidas condiciones previas. Es el equipo de
investigación junto con los expertos forenses digitales que ayudarán en la recogida y el
procesamiento de las pruebas electrónicas, quienes determinarán si es pertinente o no obtener y
procesar esos dispositivos electrónicos.

Las pruebas electrónicas, como todas las demás pruebas tradicionales, deben manipularse
cuidadosamente para que puedan incorporarse como pruebas al proceso judicial. Esto afecta tanto a
la integridad física de los dispositivos como a la información o los datos que contienen. Hay que
tener en cuenta que algunos dispositivos electrónicos requieren procedimientos específicos de
recogida, embalaje y transporte, bien porque son susceptibles de sufrir daños por campos
electromagnéticos, bien porque pueden sufrir alteraciones en su contenido durante su manipulación
y conservación.

Debe tenerse en cuenta que no debe excluirse la posibilidad de obtener pruebas tradicionales (no
electrónicas) del escenario investigado y que podrían ser relevantes tanto para la investigación como
para el posterior tratamiento de las pruebas electrónicas. Es el caso de cualquier anotación
relacionada con el uso de contraseñas, configuraciones, cuentas de correo electrónico, etc. Estas
evidencias deben ser manipuladas según los procedimientos establecidos para preservar y asegurar
su valor probatorio.

2. PREPARACIÓN DEL REGISTRO E INCAUTACIÓN PHASE

2.1. Planificación

Hoy en día, los datos digitales son un pilar fundamental para la mayoría de las investigaciones
policiales. Con la llegada de los teléfonos inteligentes, las redes sociales y la personalización de
Internet con servicios como Google y Apple, una persona deja un rastro digital y es importante que
ese rastro digital se capte y analice en busca de inteligencia y pruebas relacionadas con el delito. La
fase de registro e incautación es fundamental, ya que así se salvaguardarán los dispositivos y los
datos que contengan. Si se incautan equipos digitales y no se manejan correctamente, existe la
posibilidad de que los datos se pierdan por borrado del usuario, borrado a distancia o manipulación
por terceros.

Supongamos que un equipo de agentes de policía junto con uno o varios expertos forenses digitales
tienen que cumplir la orden de un fiscal de entrar en el domicilio de un presunto delincuente
sospechoso de un delito grave, como asesinato o robo. Existe la posibilidad de que el sospechoso
guarde en sus dispositivos, como teléfonos u ordenadores, archivos o documentos decisivos para la
resolución del caso. Por lo tanto, estos dispositivos deben ser registrados y, si se consideran
adecuados para la investigación, incautados.
1
En tales casos, antes de iniciar cualquier actividad de registro e incautación, deben tenerse en
cuenta una serie de consideraciones:

• Debe celebrarse una reunión preparatoria para intercambiar información entre la unidad
encargada de la investigación y el personal de otras especialidades que acuda en misión de apoyo.

• La intervención en el lugar de los hechos de estas unidades especializadas deberá ser prioritaria y
coordinada, lo que dependerá del caso concreto que se esté investigando. Por ejemplo, podrá darse
prioridad a la actuación de las Unidades Caninas para la detección de explosivos o la recogida de
muestras de ADN antes que a cualquier otra actividad.

Es necesario que la unidad que lleva a cabo la investigación facilite con antelación cierta información
necesaria para la coordinación de los distintos especialistas que puedan participar en el registro e
incautación. En la reunión preparatoria sobre el tratamiento adecuado de las pruebas electrónicas,
los participantes deben valorar toda la información básica del caso, los detalles sobre la orden de
registro en relación con las pruebas electrónicas o asesorar sobre los términos adecuados para la
solicitud de la orden y, por último, especificar el destino final de los bienes incautados.

Desde el punto de vista de la recogida de pruebas digitales, es fundamental preparar y planificar

cuidadosamente todas las actividades que se van a llevar a cabo, teniendo en cuenta una serie de
consideraciones como:

• Naturaleza del delito investigado. La naturaleza del delito determinará la previsión del equipo
necesario y la preparación de los procedimientos técnicos más adecuados para cada caso.

Por ejemplo, para delitos relacionados con abusos sexuales a menores, probablemente sea
necesario determinar, en el mismo acto de registro e incautación, la posesión de este material, por
lo que será necesario encontrar pruebas u obtener las muestras necesarias (fotografías, vídeos,
sesiones de chat, etc.) "in situ" de forma adecuada y segura.

En los casos de delitos financieros, es muy común encontrar redes de infraestructuras con datos de
usuarios almacenados en servidores centralizados o en la nube, por lo que habrá que tener claro qué
tipo de documentación electrónica se busca, cuál es el mejor método para obtenerla y dónde
almacenar los datos capturados de esas fuentes.

• Conocimientos técnicos de los sospechosos. Hay que recoger información sobre los sospechosos y
su capacidad técnica, ya que podrían haber protegido sus equipos o datos de alguna manera que
pudiera comprometer la obtención de las pruebas. Los sistemas de cifrado o las aplicaciones de
borrado automático de datos dificultan la obtención de pruebas.

• Ubicación del almacenamiento de datos. No es infrecuente que la información se almacene en un

lugar distinto del equipo informático físico del sospechoso. Por ello, es necesario verificar la
ubicación real para exigir una autorización legal adicional, especialmente si se almacena en una
jurisdicción diferente, o si se requiere equipo técnico adicional para garantizar la integridad de las
pruebas.

Todos los datos necesarios para llevar a cabo acciones específicas en relación con el procesamiento
de pruebas electrónicas deben especificarse en la solicitud de orden de registro o en el requisito
procesal pertinente antes del registro y la incautación.

Al cumplimentar los requisitos de procedimiento, los objetivos finales de la acción deben ser claros y
concretos, en lo que se refiere a:

● La autorización para la incautación

● Obtención de imágenes forenses ("in situ" o no)
● Análisis de los dispositivos "in situ
0
● Uso de aplicaciones para obtener contraseñas de acceso
● Autorización para cambiar la contraseña de cuentas de correo electrónico o redes sociales, etc.

Dada la cantidad de escenarios de casos diferentes, debemos considerar las acciones más adecuadas
al caso concreto. Si bien, y en la mayoría de los casos, es recomendable utilizar expresiones que
apoyen sin ningún género de dudas las diferentes actuaciones a realizar. Por ejemplo, "se solicita
que la incautación, copia y análisis de dispositivos electrónicos susceptibles de contener información
en formato digital se realice in situ." El grado de precisión y especificidad que se requiera dependerá
de la jurisdicción y de sus marcos jurídicos y procesales.

2.2. El destino final de las pruebas

Figura 1: Diagrama de flujo del procedimiento y la fase de planificación

1
El destino de los objetos incautados debe definirse antes de iniciar cualquier actividad de registro e incautación.

Las copias forenses, así como los dispositivos que requieran un tratamiento específico, deben
enviarse al departamento/equipo correspondiente para su procesamiento y análisis.

Para cada caso, se debe prever un embalaje, un transporte y una documentación adecuados para
mantener la cadena de custodia que comienza durante la incautación.

2.3. Equipo preparación

Es aconsejable disponer de una lista de comprobación con el material que se va a llevar al destino
para poder verificar que todo lo necesario está disponible y en buen estado. A continuación se
ofrece una plantilla (que deberá personalizarse en función de los requisitos legales y de
procedimiento de la jurisdicción correspondiente).

Es crucial disponer de suficientes dispositivos en los que se almacenarán imágenes forenses, clones o
datos de fuentes remotas. Es preferible que estos dispositivos sean nuevos o, al menos, que se
borren de forma segura sobrescribiendo todos los datos con una secuencia conocida de caracteres,
normalmente "00" en hexadecimal, para evitar cualquier posible contaminación de los datos.

A continuación figura una lista que el agente debe tener en cuenta y que consiste en las
herramientas forenses mínimas necesarias para el éxito de una actividad de registro e incautación:

Equipo forense

Ordenador portátil con las herramientas forenses estándar necesarias instaladas

⃝

Bloqueadores de escritura por hardware

⃝

Licencias de dongle de
⃝ herramientas forenses
1 Dongle 1
1 Dongle 2
1 Dongle 3
Suficientes medios de almacenamiento de memoria (discos duros externos) para
⃝ imágenes y destino de datos remotos 1 Disco duro 1
1 Disco duro 2
1 tarjeta SD 1

⃝ HD con software forense adicional o dispositivos de arranque

Herramientas para desmontar

Destornilladores (planos, de estrella, hexagonales y otros específicos para determinados modelos

⃝ como Hewlett Packard, Apple)
0

Alicates (estándar y de punta)

⃝

Pinzas (para cortar cables)

⃝

Pinzas pequeñas
⃝

Documentación de la exposición

Cámara de fotos o vídeo (para tomar imágenes de la escena y del contenido de la pantalla)
⃝

Rotuladores permanentes (para codificar e identificar el material investigado)

⃝

Etiquetas (para marcar e identificar partes del equipo, fuentes de alimentación)

⃝

Etiquetas de prueba
⃝

Recursos necesarios para el embalaje y el transporte/Consumibles

Bolsas de pruebas y precinto

⃝

Cajas de cartón de pruebas para dispositivos de almacenamiento multimedia como dispositivos

⃝ USB, DVD o CD;

Bolsas antiestáticas con cremallera para pruebas

⃝

Bolsas de Faraday para inhibir las señales a teléfonos móviles y otros dispositivos que puedan
⃝ recibir datos de la red móvil/Wi-Fi

Otros artículos

Linterna pequeña con soporte

⃝
1

Guantes
⃝

Gomas elásticas grandes

⃝

Lupas
⃝

Cables de red (cruzados y trenzados)

⃝

Máscara
⃝

3. REGISTRO E INCAUTACIÓN EJECUCIÓN FASE

La seguridad de los participantes en el registro e incautación es una cuestión prioritaria. Para ello,
hay unidades especialmente entrenadas. Nadie debe entrar en el perímetro sin haber asegurado la
zona. Las personas que se encuentren en el lugar permanecerán controladas en todo momento
durante las operaciones para evitar cualquier alteración o compromiso de los datos.

Se sugieren los pasos técnicos de procedimiento que se describen a continuación, sujetos a los
requisitos legales y de procedimiento aplicables en el país.

3.1. Asegure la escena

En el caso de la recogida de pruebas electrónicas, el objetivo es evitar la pérdida, alteración o
destrucción de las posibles pruebas. Para ello, se adoptarán las siguientes medidas:

• Retire y prohíba el acceso al lugar al personal no autorizado. Deben mantenerse alejados de

ordenadores, teléfonos móviles o cualquier otro elemento sensible, incluidas las fuentes de
alimentación. Además, los sospechosos no deben poder comunicarse con nadie que no se
encuentre en el lugar para evitar la destrucción remota de datos.
• Localice rápidamente los elementos más evidentes, ordenadores y teléfonos móviles,
especialmente los que están conectados a Internet y los que necesitan medidas de seguridad
especiales para evitar la pérdida de datos.
• Compruebe la existencia de redes inalámbricas que permitan el acceso y la modificación de
datos desde el exterior.
• Rechazar cualquier ayuda ofrecida por personal no autorizado en la investigación.

3.2. Evaluación
Una vez asegurado el lugar de los hechos, los primeros intervinientes deben hacer una evaluación
general del escenario. Esto incluye, tener una idea global en términos cuantitativos del material que
es posible procesar, el tipo de procesamiento que se va a llevar a cabo y los costes en equipo y
tiempo que serán necesarios. Este es el mejor momento para realizar un reportaje fotográfico del
escenario, ya que en esta primera fase habrá sufrido pequeñas contaminaciones.
0
Aunque el método tradicional de llevar a cabo un registro consistía en mantener un orden claro que
comenzaba con el registro exhaustivo de una sala para continuar con la siguiente, en el tratamiento
de las pruebas electrónicas se hace difícil seguir ese método de trabajo. Esto se debe a que la
obtención o copia de las pruebas es un proceso lento que puede durar muchas horas. Por lo tanto,
es crucial empezar a procesar estas pruebas lo antes posible mientras se continúa con el registro e
incautación convencionales.

Vale la pena señalar que los dispositivos digitales que contienen pruebas potenciales pueden estar
fácilmente ocultos, integrados o contenidos en armarios o cajones, (tarjetas de memoria, teléfonos
móviles, etc.) por lo que puede ser necesario un barrido cuidadoso en busca de dispositivos
electrónicos de una escena del crimen dependiendo de sus puntos a probar.

3.3. Documentar la escena

Todos los procesos de recogida y recopilación de pruebas deben estar debidamente documentados
de acuerdo con los requisitos legales y de procedimiento aplicables. Para ello, debe llevar un registro
exhaustivo de la ubicación y el estado original de los dispositivos.

A continuación se ofrecen ejemplos para documentar correctamente la escena:

- Ordenador portátil: número de prueba EVI001

- Disco duro interno: número de prueba EVI001A
- Unidad USB Thumb: número de prueba EVI001B
- DVD: número de prueba EVI001C

En ese momento, se puede valorar la posibilidad de incautar únicamente dispositivos que contengan
información, documentando los efectos que han sido revisados pero que no serán procesados. En el
ejemplo anterior, los dispositivos que contienen datos a analizar son los discos duros internos, las
memorias USB y los DVD, mientras que el ordenador portátil sin los elementos anteriores carece de
información útil. Por tanto, debe evitarse transportar y almacenar dispositivos que ya sabemos que
no aportan ningún dato. Esta opción debe ser valorada por un especialista, ya que los efectos
intervenidos pueden tener algún tipo de relación técnica con el dispositivo del que proceden y sin la
cual no sería posible analizarlos. Este procedimiento se tratará más en profundidad en los
procedimientos específicos.

Para cada dispositivo, deben documentarse los siguientes datos:

- Tipo: Ordenador, disco duro, pendrive, DVD, etc,

- Marca y modelo
- Capacidad de almacenamiento, indicando si es MB, GB o TB
- Número de serie
- Estado: Dañado, encendido, apagado, etc,
- Ubicación: Estancia y lugar concreto
- Seguridad: Contraseña de acceso, PIN
- Observaciones: Utilizado sólo por niños, no conectado a Internet, etc,

Por último, se buscará y documentará cualquier anotación relacionada con el uso de contraseñas,
configuraciones, cuentas de correo electrónico, etc., así como los titulares de las tarjetas SIM con su
ICCID, PIN original y número PUK y cualquier otra información relevante que se pueda buscar. Se
utilizarán en el análisis posterior de los dispositivos.
 0101010101$010101010
1

3.4. Recogida y tratamiento de pruebas digitales

Como norma general, se aplicarán los siguientes principios, pero consulte las secciones siguientes
para dispositivos específicos:

a) Si el equipo está encendido, no lo apague.

Verifique la instalación de sistemas antiforense: programas de borrado local o remoto,

acceso externo. Detenga estos procesos incluso tirando del cable de alimentación o
retirando la batería si es necesario.

Aísle el dispositivo de las redes a las que está conectado, a menos que esté autorizado a
acceder a servicios en la nube.

Desactiva los salvapantallas y el bloqueo de pantalla para evitar que el equipo se hiberne o
se suspenda.

Comprueba si el dispositivo tiene algún tipo de sistema de cifrado en ejecución (Bitlocker,

FileVault, VeraCrypt, PGP Disk, etc.).

Compruebe si está conectado a la corriente.

b) Si el equipo está apagado, no lo encienda hasta que esté procesado con garantías,
como se explica más adelante.

Si la legislación local lo permite, se debe pedir la contraseña/pin del sospechoso y comprobar si es correcta.

Aunque el dispositivo no esté totalmente encriptado, es importante disponer de las contraseñas del
sospechoso. El sospechoso podría haber cifrado un archivo o utilizado el mismo patrón en otro
sistema.

Se pueden realizar las siguientes acciones en los dispositivos:

● Incautación. El artefacto simplemente se documenta, se describe y se sella, dejando la

decisión de su posterior análisis en manos del tribunal o de cualquier otra autoridad
competente. No se toman más medidas al respecto hasta que se vuelve a desprecintar.
● Generar una copia forense. Para cada prueba, aplique los procedimientos específicos
descritos en este manual.

El proceso realizado deberá documentarse:

● El procedimiento utilizado: clonado, imagen o cualquier otro sistema utilizado.

● Herramienta: duplicador de hardware, bloqueador de escritura, software, etc,
● Ubicación de destino: Disco de destino, fichero con los datos obtenidos de un teléfono, etc,
● HASH: Algoritmo utilizado y firma obtenida.
● Observaciones: Cualquier incidencia surgida durante el proceso de copia.

3.4.1. Análisis en directo de ordenadores con alimentación y portátiles

Es necesario llevar un registro exhaustivo de todas las acciones realizadas, así como de la fecha y
hora en que se cumplieron.

La variedad de escenarios posibles en un procedimiento de captura requiere consideraciones

específicas para cada uno de ellos. No obstante, es aconsejable seguir una metodología
predeterminada a la hora de capturar datos volátiles en función de su orden de volatilidad.
0
Si se utiliza una herramienta forense en el lugar de los hechos, sólo debe hacerlo personal formado y
asegurarse de que se documenta y controla el motivo por el que se examinan las pruebas en el lugar
de los hechos.

Existen algunas herramientas especialmente desarrolladas para las fuerzas de seguridad que pueden
ayudar en el análisis en directo. Una de ellas es FiRST, una herramienta de primeros auxilios que
forma parte del proyecto FREETOOL, desarrollado por la Policía Estatal de Berlín (Alemania). El
objetivo de FiRST es informar al primer interviniente de si la máquina puede apagarse. FiRST busca
indicios de que los análisis forenses post mortem tradicionales pueden no ser satisfactorios o
completos. Estas señales incluyen la presencia de software de cifrado o de borrado de disco,
ubicaciones de almacenamiento en nube/red, virtualización, etc. Si se detectan estos indicios, se
advierte al primer interviniente de los peligros inherentes a la desconexión y se le aconseja que se
ponga en contacto con un experto. Para más información, visite la página oficial del proyecto en
https://freetool.ucd.ie.

Si no se dispone de una herramienta específica como FiRST, se puede considerar la lista que se
muestra a continuación, basada en la lista creada por Kuhlee y Völzow (Computer Forensik Hacks,
O'Reilly, ISBN 978-3-86899-121-5), destinada a facilitar la elección de la herramienta más adecuada
para capturar fragmentos específicos de datos volátiles.

Fragmento volátil Herramientas de Windows Herramientas Linux

Contenido RAM Dumpit, Winen, Mdd, FTK dd, fmem

Imager

Tabla de enrutamiento, caché Route PRINT, arp -a, netstat netstat -r -n ruta
ARP, estadísticas del núcleo arp -a

Caché DNS Ipconfig/displaydns mdc dumpdb (si está instalado)

Lista de procesos en ejecución PsList, ListDLLs, CurrProcess, ps -ef, Isof

tasklist

Conexiones de red activas netstat -a, ifconfig

Programas y servicios que sc queryex, netstat -ab netstat -tunp

utilizan la red

Abrir archivos Handle, PsFile, Openfiles, net Isof, fusor

file

Redes compartidas Cuota neta, Dumpsec showmount -e,

showmount -a
smbclient -L

Puertos abiertos OpenPorts, puertos, netstat -an netstat -an, Isof

Usuarios conectados Psloggedon, whoami, ntlast, w, quién -T, último

netusers /l

Archivos cifrados Manage-bde (Bitlocker), efsinfo mount -v, ls /media

(EFS)
1

Recursos compartidos de red Fsinfo, reg (dispositivos mount -v, ls /media

activos montados)
Accesos remotos y supervisión Psloglist /etc/syslog.conf
de la red Puerto UDP 514

Configuración del sistema y de Systeminfo, msinfo32, ipconfig ifconfig -a

la red /todos netstat -in

Dispositivos de Reg (Dispositivos montados), mount -v, ls /media

almacenamiento Net share, netstat -a

Fecha y hora Hora /T, fecha /T, tiempo de hora, fecha, tiempo de actividad
actividad
Variables de entorno Cmd /c set env, set

Portapapeles pclip

Contenido del disco FTK Imager, EnCase, Tableau dc3dd, ewfacquire, Guymager
Imager

Muchas de estas herramientas están disponibles en el sitio web de Microsoft Sysinternals o en los
repositorios oficiales de Linux.

A la hora de seleccionar las herramientas, es necesario tener en cuenta una serie de consideraciones:

● Conviene utilizar herramientas que tengan menos impacto en el sistema. Para capturar la
RAM, por ejemplo, con el fin de evitar sobrescribir datos, es preferible utilizar una
herramienta pequeña como "dumpit" que otra que utilice un entorno gráfico como "FTK
Imager".
● También es preferible utilizar herramientas que tengan sus propios ejecutables y no utilizar
los del sistema investigado. Asimismo, el investigador debe ser capaz de motivar en el
procedimiento judicial la utilidad y funcionalidad de la herramienta.
● Las herramientas utilizadas sólo deben capturar información volátil. Los datos que estarán
disponibles en el disco duro podrán analizarse posteriormente con las garantías de
procedimiento mencionadas.
● El dispositivo multimedia del sospechoso nunca debe utilizarse para almacenar la
información y los datos capturados. Esta información debe guardarse en dispositivos de
almacenamiento externos.
● Se trata de procesos que pueden durar varias horas. Por lo tanto, es necesario verificar que
ningún sistema de ahorro de energía interrumpa el procedimiento de captura mientras está
activo.

3.4.2. Imposibilidad de acceder a la información de los dispositivos alimentados

Hay ocasiones en las que el equipo a intervenir está encendido y sin embargo no es posible acceder
al contenido. Puede darse el caso de que el equipo haya entrado en modo reposo o el salvapantallas
esté activo y al salir de este estado el equipo solicite credenciales o una contraseña para acceder a
él. La opción inicial y técnicamente sencilla es solicitar esa contraseña al usuario/propietario. En caso
de negativa, puede haber varias técnicas para evitar la pérdida de datos volátiles.

Debe tenerse en cuenta que estas técnicas serán utilizadas por personal cualificado y en aquellos
casos en los que se tenga la certeza de que la pérdida de información volátil implica la posibilidad de
no poder acceder al contenido del resto del dispositivo cuando éste se encuentre cifrado.

En el resto de los casos, la actuación se explicará en la desconexión de los equipos encendidos.

0
a) Técnica de "arranque en frío de la RAM". Es una técnica que consiste en congelar la RAM con el
equipo encendido utilizando nitrógeno líquido. Una vez hecho esto, se apaga el ordenador y se
reinicia con su propio sistema operativo desde un CD o pen drive, con herramientas que consiguen
volcar la RAM. Cuando esta memoria se congela en el proceso de apagado, mantiene los datos que
tenía.

Esta técnica se basa en investigaciones realizadas por la Universidad de Princeton1 y podría no ser
útil en un entorno operativo.

b) Transportar el aparato intervenido sin apagarlo. Otro método puede consistir en utilizar sistemas
de alimentación portátiles que mantengan el equipo encendido hasta la llegada al laboratorio
forense donde será tratado posteriormente.

3.5. Ataque Fase

El registro del proceso de registro e incautación suele implicar el inicio de la cadena de custodia de
las pruebas implicadas. Por lo tanto, será necesario especificar el próximo destino y la(s) persona(s)
responsable(s) de la custodia de las transferencias. Este proceso estará informado por los requisitos
legales de la jurisdicción aplicable.

3.5.1 Embalaje y Transporte

Todas las pruebas de un registro e incautación deben cumplir las siguientes condiciones:

● Asegúrese de que todo el material recogido ha sido debidamente registrado y etiquetado

antes de proceder a su envasado.
● Siempre que sea posible, se utilizará el embalaje original para embalar y transportar los
dispositivos incautados.
● Deben identificarse de forma única, mediante el etiquetado.
● La etiqueta debe indicar si han sido sometidos o no al proceso de clonación/copia.

Para su precintado debe utilizarse un material adecuado que evite posibles manipulaciones de los
dispositivos. El precinto debe impedir el acceso a los elementos internos (discos duros o memorias
internas) tanto físicamente como a través de los puertos de conexión del equipo.

En función de su destino, se embalarán por separado, sin mezclarlos con otra documentación u otros
dispositivos. Esto facilitará la diligencia del desprecintado y la obtención de copias forenses o su
remisión directa al laboratorio. Cada paquete que contenga pruebas electrónicas llevará en su
exterior la identificación que acredite la naturaleza y origen del contenido.

Los medios utilizados para el transporte y almacenamiento temporal deben garantizar

suficientemente la integridad de los dispositivos, protegiéndolos de golpes y de fuentes de radiación
electromagnética, calor o humedad que puedan dañarlos.

4. CONSIDERACIONES TÉCNICAS
4.1. La copia forense
Una de las principales premisas en el proceso de análisis forense advierte de que, salvo en casos
excepcionales, el examen de las pruebas no debe realizarse utilizando el dispositivo original. Por lo
tanto, será

1
Halderman A., Schoen S. D., Heninger N., et alia, "Lest We Remember: Cold Boot Attacks on Encryption Keys", publicado en Proc. 17th
USENIX Security Symposium (Sec '08), San Jose, CA, julio de 2008. Disponible en: halderman.pdf (usenix.org)
 21 01010 Suscríbete a DeepL Pro para poder traducir archivos de mayor tamaño.
Más información disponible en www.DeepL.com/pro.

necesarios para copiar o clonar los datos contenidos en el dispositivo original, a fin de no
comprometer su integridad. A continuación, los expertos forenses utilizarán los datos
copiados/imagenados para realizar el análisis.

Esta copia debe ser una réplica exacta bit a bit del dispositivo original, independientemente de

su contenido. Este proceso puede realizarse en dos formatos:

a) Dispositivo a dispositivo (clonación): Se puede realizar obteniendo una réplica exacta bit
a bit de un dispositivo original en otro -previamente borrado- de igual o mayor capacidad.

b) De dispositivo a archivo (imagen): Se puede realizar generando uno o varios archivos que
contengan, enlazados entre sí, una copia idéntica del dispositivo original. Los más extendidos
son los formatos "dd" (raw) o "E01".

Es posible realizar estos procesos mediante duplicadores de hardware o mediante software

específico instalado en ordenadores forenses. Los duplicadores forenses protegen el dispositivo
original de cualquier escritura o alteración durante el proceso, y cuando se utiliza software específico
para realizar copias forenses es recomendable utilizar bloqueadores de escritura por hardware o
software.

Ventajas de crear archivos de imagen:

- Permite repartir la copia en múltiples ficheros configurables en tamaño, facilitando su

almacenamiento y posterior análisis.
- Proporciona compresión de archivos sin pérdida de datos, para ahorrar espacio de
almacenamiento en el dispositivo de destino.
- Permite la encriptación si es necesario, con el fin de proporcionar más seguridad.
- Puede incluir información sobre el caso, datos sobre la creación de imágenes y verificación
de la integridad de las pruebas, incluidos los resultados del HASH.
- Evita la contaminación de la copia.

Estos formatos pueden leerse directamente y con mayor eficacia en los programas de análisis.

4.2. Alternativas a la copia forense

Existen otros escenarios en los que no siempre será posible obtener una copia física exacta, bit a bit,
de todo el dispositivo de origen, como la adquisición de archivos o información de servidores, NAS,
discos virtuales o volúmenes cifrados.

En estos casos, existen otras técnicas para obtener pruebas digitales.

a) Copia lógica de volúmenes. Este método se aplica, por ejemplo, cuando es necesario adquirir el
contenido de un volumen cifrado que se está utilizando en un ordenador encendido. Para preservar
esa información, se realizará una copia lógica del volumen. Al realizar una copia física del disco, se
obtendría una partición que sería ilegible, ya que los datos están cifrados. Sin embargo, la copia
lógica permite adquirir el contenido de la misma forma en que el usuario accede a él.

b) Copia lógica de ficheros. Se realiza generando, mediante un software adecuado, una réplica de los
datos originales tras seleccionar lo que puede ser de interés para la investigación. Por ejemplo, en un
entorno empresarial, podemos hacer una copia lógica de la carpeta del usuario sospechoso. El
inconveniente es que se perderá el espacio libre de archivos de nuestra copia, y es posible que no
siempre se mantengan los metadatos del sistema de archivos original.

La realización de copias lógicas forenses no impide que se mantengan las propiedades de las
pruebas. Siempre que se realice, hay que utilizar la herramienta y el método adecuados, proteger
contra escritura, preservar
1
metadatos en la medida de lo posible y utilizar un algoritmo criptográfico que permita verificar la
integridad de los datos adquiridos.

4.3. Función HASH

La función HASH o función resumen se utiliza para verificar la integridad de un conjunto de datos. En
otras palabras, se trata de obtener su "huella digital".

En el caso de las pruebas electrónicas, este procedimiento se aplica al hacer copias de los
dispositivos originales, de modo que, una vez calculado el valor HASH del origen y el destino, deben
ser idénticos. Este proceso se conoce como verificación.

Este procedimiento también se utiliza para detectar archivos conocidos dentro de las pruebas.
Existen bases de datos de archivos fiables (procedentes de la instalación de sistemas operativos u
otras aplicaciones), como las de la NSRL (National Software Reference Library), que permiten
descartarlos, y otras bases de datos con las firmas de archivos conocidos, por ejemplo, de material
de abusos sexuales a menores, que permiten a los investigadores identificarlos, rastrearlos e incluso
compartirlos entre las fuerzas de seguridad sin necesidad de distribuir los archivos originales.

Es importante señalar que algunas tecnologías como las SSD se están convirtiendo en un nuevo reto
a la hora de considerar los métodos de verificación de pruebas. Debido a su funcionamiento, las
unidades SSD a veces pueden purgar datos por sí solas aunque no estén conectadas a ninguna
interfaz y sólo estén encendidas. Deben considerarse alternativas al hashing de pruebas tradicional,
como el hashing de particiones lógicas o el hashing de archivos.
 23 01010

5. PROCEDIMIENTOS ESPECÍFICOS

En las secciones anteriores se ha explicado un procedimiento general para preservar la integridad de

las pruebas digitales. Sin embargo, durante la búsqueda e incautación el experto forense digital
encontrará muchos dispositivos que requieren procedimientos específicos debido a su naturaleza.
Ello se deberá a la complejidad en términos de procesos de conexión de algunos de ellos, a los
sistemas de cifrado presentes, a la gran cantidad de datos que deben extraerse o a la falta de
herramientas de extracción estándar.

En las siguientes secciones encontrará las directrices generales para algunos de los dispositivos que
pueden encontrarse con frecuencia en entornos de registro e incautación.

Figura 2: Dispositivos: Teléfonos inteligentes y tabletas

5.1. Smartphones - Tablets

Los teléfonos móviles se han convertido en la principal fuente de datos forenses digitales, ya que
están siempre conectados y son muy personales para cada usuario. Un smartphone, como un
dispositivo Android o Apple, puede contener entre 16 GB y 1 TB de datos.

Además, un teléfono móvil puede contener una TARJETA SIM y una tarjeta multimedia extraíble si es
compatible.

Cada uno de estos elementos es esencial para una investigación, ya que contienen datos que pueden
permitir identificar al propietario o comprender su actividad con el teléfono móvil.

Con la llegada de los teléfonos inteligentes y la introducción de tiendas de aplicaciones como Google
Play e iTunes Store, el usuario puede instalar aplicaciones que permiten utilizar nuevos servicios,
como juegos en línea, mensajería instantánea e intercambio de archivos. Con cada teléfono móvil, el
examinador debe acceder a la aplicación en busca de valor de investigación y de su relevancia para el
caso y los puntos a probar, con sujeción a los requisitos procesales y legales aplicables en su
jurisdicción.
 101¥01010101010101$010101010
1
5.1.1. Consideraciones a la hora de proteger las pruebas obtenidas con teléfonos móviles
Los dispositivos móviles presentan un reto forense único debido a los rápidos cambios tecnológicos.
Hoy en día se utilizan numerosas marcas y modelos de dispositivos móviles. Muchos de estos
dispositivos utilizan sistemas operativos de código cerrado e interfaces patentadas, lo que a veces
dificulta la extracción de pruebas digitales. Es posible que se necesiten conocimientos específicos de
una versión para obtener acceso, lo que puede alterar los flujos de trabajo que se indican a
continuación.
Los ejemplos encontrados son los siguientes:
• Señales entrantes y salientes - Se debe intentar bloquear las señales entrantes y salientes
de un dispositivo móvil. Un método común incluye contenedores de bloqueo de
radiofrecuencia (RF) (por ejemplo, bolsa o habitación de Faraday). Los contenedores de
bloqueo de señales de radiofrecuencia no siempre tienen éxito. Pueden agotar la batería y
su fallo puede provocar la alteración de los datos.
• Cables: los cables de datos pueden ser exclusivos de un dispositivo y una herramienta forense
concretos.
• Destrucción de datos - Existen métodos para destruir datos local y remotamente en un
dispositivo móvil. Por este motivo, el dispositivo debe aislarse de todas las redes (por
ejemplo, portadora, Wi-Fi, Bluetooth) lo antes posible. Los examinadores deben ser
conscientes de que un sistema operativo móvil puede tener procesos automatizados que
destruyan los datos al encenderse o tras un periodo de tiempo específico, y elegir un
método o programa de extracción que resuelva estos problemas, si procede.
• Controladores - Pueden producirse conflictos debido a los controladores existentes del
sistema operativo, controladores propietarios, incoherencias en la versión del controlador y
controladores específicos del proveedor. Puede resultar difícil encontrar los controladores
adecuados. Los controladores pueden incluirse con una herramienta forense o descargarse
de un sitio web. Los controladores pueden competir por el control del mismo recurso si hay
más de un producto forense instalado en la máquina de análisis.
• Naturaleza dinámica de los datos: los datos de los dispositivos móviles activos (encendidos)
cambian constantemente. No existen métodos de bloqueo de escritura para dispositivos
móviles.
• Cifrado - Los datos pueden almacenarse en un estado cifrado que impida su acceso o análisis.
• Equipo - El equipo utilizado durante los exámenes puede no ser la versión más reciente
debido a diversas razones, como retrasos en la compra/presupuestación o requisitos de
verificación de hardware, firmware o software.
• Análisis sobre el terreno - El triaje de dispositivos móviles no se considera un examen
completo. Sin embargo, si se realiza el triaje, el dispositivo debe estar protegido y
aislado de todas las redes.
• Normas del sector incoherentes: los fabricantes y transportistas pueden utilizar métodos
patentados para almacenar datos (por ejemplo, sistemas operativos cerrados, conexiones
de datos patentadas).
• Pérdida de alimentación: muchos dispositivos móviles pueden perder datos o iniciar
medidas de seguridad adicionales una vez apagados.
• Contraseñas - Los mecanismos de autenticación pueden restringir el acceso a un
dispositivo y a sus datos. Los métodos tradicionales de descifrado de contraseñas pueden
provocar la inaccesibilidad permanente o la destrucción de los datos.
• Tarjetas multimedia extraíbles - Procesar tarjetas multimedia mientras aún están dentro
del dispositivo plantea riesgos (por ejemplo, no obtener todos los datos, incluidos los
borrados, alterar las marcas de fecha/hora).
• Módulo de identidad, p. ej., tarjetas USIM, CSIM, RUIM - La falta o extracción de un
0
módulo de identidad puede impedir que el examinador acceda a los datos almacenados en
la memoria interna de un terminal. La inserción de un módulo de identidad procedente de
otro dispositivo puede provocar la pérdida de datos.
• Formación - La persona que recoja, examine y analice un dispositivo móvil debe estar
formada para preservar y mantener la integridad de los datos.
 101¥01010101010101$010101010
1
• Datos no asignados / Datos eliminados - Las herramientas forenses para dispositivos
móviles pueden admitir sólo una adquisición lógica de datos que puede limitar la cantidad
de datos que se pueden recuperar.

Documentar la recogida de los dispositivos de acuerdo con las directrices y procedimientos de la

organización y la legislación aplicable. La documentación puede incluir una descripción escrita o
fotografías del lugar de recogida, el estado del dispositivo (por ejemplo, encendido/apagado,
presencia de un código de acceso), las interacciones del examinador con el dispositivo y las
características físicas de cada dispositivo (por ejemplo, daños, información identificativa como
marca, modelo, número de serie y cualquier marca identificativa, y conexiones).
La documentación de la cadena de custodia debe ser contemporánea a la recogida e incluir una
descripción o un identificador único de las pruebas, así como la fecha y la hora de recepción y de las
transferencias. El registro debe identificar plenamente a cada persona (por ejemplo, nombre, cargo,
firma) que toma posesión de un elemento.

5.1.2. Proceso de conservación de pruebas en teléfonos móviles para primeros intervinientes

Los siguientes diagramas de flujo proporcionan una visión general básica de las mejores prácticas
para preservar las pruebas cuando se incautan determinados tipos de dispositivos móviles y no
pretenden ser exhaustivos.2
Las circunstancias pueden justificar una desviación de los procedimientos aquí descritos. Los sujetos
no deben tener acceso al dispositivo (por ejemplo, el sujeto aplica identificadores biométricos o
introduce un código de acceso).

5.1.3 Proceso y diagrama de flujo de la conservación de iOS

iOS es un sistema operativo móvil creado y desarrollado por Apple exclusivamente para su hardware
móvil, incluidos el iPhone, el iPad y el iPod Touch. En el siguiente diagrama de flujo se detallan los
pasos que deben seguirse para preservar las pruebas digitales en un dispositivo iOS.
Todos los iPhones utilizan cifrado de hardware y software, por lo que si el dispositivo tiene una
contraseña/código de acceso/identificación facial, el usuario del teléfono debe facilitar la
información necesaria para acceder al teléfono; de lo contrario, es posible que el laboratorio forense
no pueda acceder a los datos del teléfono.

Figura 3: Un iPhone de Apple.

2
Esta guía es una réplica de las Buenas Prácticas para la Recogida y Preservación de Pruebas de Dispositivos Móviles del Grupo de Trabajo
0
Científico sobre Pruebas Digitales (SWGDE) Manipulación y Adquisición Grupo de Trabajo Científico DE v1.9 (con fecha 2020-09-17). Es
responsabilidad del lector asegurarse de que dispone de la versión más actualizada del documento. Consulte
swgde.org/documents/published para obtener más información. Consulte también la sección de referencias al final de este informe para
ver el descargo de responsabilidad y la política de redistribución del SWGDE.
1

Figura 4: Diagrama de flujo del procedimiento de adquisición de pruebas del dispositivo iOS de Apple

El diagrama de flujo anterior no incluye todas las versiones de iOS. Pueden ser necesarios
conocimientos específicos de la versión para obtener acceso y pueden alterar el flujo de trabajo
anterior. Si el dispositivo está encendido, puede contener datos volátiles, incluidas claves de cifrado,
y no debe apagarse.
Debe conectarse una fuente de alimentación lo antes posible para evitar que el dispositivo se
apague. Asegúrese de agarrar el cable de carga para mantener la alimentación del dispositivo. Es
posible ajustar la función de bloqueo automático de la pantalla para prolongar el tiempo antes de
que se active el bloqueo automático.

Si el dispositivo está desbloqueado, el examinador debe tomar medidas para evitar que se bloquee,
como desactivar el código de bloqueo o interactuar repetidamente con la pantalla táctil.
Coloca el dispositivo en "Modo Avión" (deslizando el dedo hacia arriba desde la parte inferior y
seleccionando modo avión) y comprueba que Wi-Fi y Bluetooth están desactivados. Si el dispositivo
no puede colocarse en "modo avión", mételo en una bolsa de Faraday para evitar que la interacción
con la red pueda alterar los datos del dispositivo. Los dispositivos móviles bloqueados para
conectarse a una red aumentarán la potencia de salida mientras intentan obtener una señal. Esto
agotará la batería del dispositivo a un ritmo acelerado. Si es necesario mantener el dispositivo
encendido, conéctalo a una fuente de alimentación externa, como una batería portátil. Tanto el
dispositivo móvil como la fuente de carga deben colocarse dentro de la bolsa Faraday. Si la fuente de
carga no se coloca en la bolsa de Faraday, el cable puede actuar como antena y el dispositivo podría
conectarse a la red.
Si el dispositivo está apagado, déjalo apagado. Recopila datos identificativos sobre el dispositivo,
como el número de modelo, el operador y los identificadores únicos que sean visibles.

5.1.4 Proceso de preservación de Android y diagrama de flujo

Android es un sistema operativo móvil basado en Linux desarrollado por Google y tiene la mayor
base de instalación de todos los sistemas operativos móviles. Android está disponible en muchas
versiones diferentes y, a diferencia de iOS, se ofrece en dispositivos fabricados por numerosas
empresas. En el siguiente diagrama de flujo se detallan los pasos que deben seguirse para preservar
las pruebas digitales en un dispositivo Android.
00101010101¥01010101010101$0
El dispositivo Android puede utilizar el cifrado de hardware y software, por lo que si el dispositivo
tiene una contraseña / código de acceso / huella digital / ID de la cara, entonces el usuario del
teléfono debe proporcionar la información necesaria para obtener acceso al teléfono de lo contrario
el laboratorio forense no puede ser capaz de acceder a los datos del teléfono.

Figura 5: Smartphones Android

Figura 6: Diagrama de flujo del procedimiento de adquisición de pruebas del dispositivo Android

El diagrama de flujo anterior no incluye todas las versiones de Android. Pueden ser necesarios
conocimientos específicos de la versión para obtener acceso, lo que puede alterar el flujo de trabajo
anterior.
1
Si el dispositivo está encendido, puede contener datos volátiles, incluidas claves de cifrado, y no
debe apagarse. Debe conectarse una fuente de alimentación lo antes posible para evitar que el
dispositivo se apague. Asegúrese de agarrar el cable de carga para mantener la alimentación del
dispositivo. Si el dispositivo está desbloqueado, el examinador debe tomar medidas para evitar que
se bloquee, como desactivar el código de bloqueo o interactuar repetidamente con la pantalla táctil.
Tal vez sea posible ajustar la función de tiempo de espera de la pantalla para prolongar el tiempo
que transcurre antes de que se active el bloqueo automático.
Coloca el dispositivo en "modo avión" (deslizando el dedo hacia abajo desde la parte superior y
seleccionando modo avión) y comprueba que Wi-Fi y Bluetooth están desactivados. Para tener más
posibilidades de acceder a las pruebas más adelante, activa la depuración USB, si es posible.
Si el dispositivo no puede colocarse en "Modo Avión", siga el mismo procedimiento que para los dispositivos
Apple.
Si el dispositivo está apagado, déjalo apagado. Recopila datos identificativos sobre el dispositivo,
como el número de modelo, el operador y los identificadores únicos que sean visibles.

Figura 7: Tarjetas SIM.

5.1.5 Tarjeta SIM

Una tarjeta SIM / USIM puede contener listas de contactos, llamadas telefónicas y mensajes SMS.
Una tarjeta SIM puede estar protegida por un código PIN. Si se intenta introducir el código 3 veces
sin éxito, se bloquea el acceso a la tarjeta SIM. Para desbloquearla, necesitará el código PUK, que se
encuentra en el titular original de la tarjeta SIM o se puede solicitar al proveedor de servicios
móviles. En cualquier caso, se obtendrá el ICCID (Integrated circuit card), que es su número de serie.

Figura 8: Tarjetas SD.

5.1.6 Tarjeta de soporte extraíble

Si un terminal permite el uso de una tarjeta de memoria extraíble, esta tarjeta se utiliza para ampliar
la capacidad de almacenamiento del teléfono. El almacenamiento extraíble es habitual en los
terminales Android, ya que permite al usuario almacenar archivos multimedia como fotografías,
películas y archivos de música, así como datos de aplicaciones o copias de seguridad de aplicaciones
o contenidos del teléfono móvil. Las tarjetas de memoria extraíbles pueden utilizarse en varios
teléfonos a lo largo del tiempo, en función del comportamiento del usuario.
0

Figura 9: Componentes del almacenamiento en la nube.

5.1.7 Datos en la nube

Tanto los teléfonos Apple como los Android requieren que el usuario tenga una cuenta de Google
(Android) o de iCloud (Apple). Estos servicios en la nube permiten al usuario hacer copias de
seguridad de sus datos en la nube, así como compartir sus fotos, vídeos y archivos de música.
También permiten hacer copias de seguridad de los datos del usuario del teléfono en caso de que
pierda el dispositivo o tenga que transferirlos a un nuevo terminal.

5.1.8 Consideraciones sobre la incautación

Ciencia forense tradicional

Para establecer un vínculo entre un dispositivo móvil y su propietario o usuario puede ser necesario
llevar a cabo procesos forenses tradicionales, como huellas dactilares o pruebas de ADN. Si el
dispositivo no se manipula correctamente durante su conservación y recogida, las pruebas físicas
pueden contaminarse y quedar inutilizadas. Por ello, manipule todos los elementos potencialmente
probatorios con guantes y envíelos a un laboratorio adecuado según lo requiera la situación. Los
procesos forenses tradicionales (por ejemplo, ADN, huellas latentes) en un dispositivo móvil deben
completarse antes que los procesos forenses digitales.

Acceda a
Las contraseñas creadas por el usuario también complican la recuperación de los datos del
dispositivo móvil. Recopile y documente esta información si es posible, y con sujeción a los requisitos
legales y de procedimiento aplicables en su jurisdicción.

Aislamiento de la red
Desconecte los dispositivos móviles de sus redes para asegurarse de que los datos no se modifican o
destruyen a distancia. Los dispositivos móviles suelen tener una función de restablecimiento que
borra todo el contenido del usuario, restableciendo la memoria del dispositivo a su estado original
de fábrica. Dado que esto puede realizarse en persona o a distancia, es necesario tomar
precauciones inmediatas (por ejemplo, separar el dispositivo de su usuario, aislar la red) para
garantizar que las pruebas no se modifiquen o destruyan.
1
Por lo general, los examinadores aislaban un dispositivo móvil de la conectividad de red colocando el
dispositivo en "modo avión". Es posible que la función de "modo avión" de las versiones más
recientes de los sistemas operativos móviles no desactive Bluetooth, Wi-Fi y otros protocolos
inalámbricos o que sólo los desconecte temporalmente. Los examinadores deben confirmar
manualmente que se ha desactivado la conectividad a la red o considerar medios alternativos de
aislamiento, como colocar el dispositivo en una caja blindada contra radiofrecuencias, extraer la
tarjeta SIM del dispositivo o utilizar una tarjeta de aislamiento de red celular (CNIC) para teléfonos
GSM.

El interviniente también debe restringir cualquier interacción con el dispositivo a menos que sea en
un entorno controlado. Esto se hace para salvaguardar los datos del dispositivo y también para
garantizar que el dispositivo no se conecte automáticamente a servicios o redes en la nube, ya que
esto puede cambiar los datos del dispositivo o permitir borrar el dispositivo de forma remota.

Apagar el dispositivo para aislarlo de la red plantea el riesgo de activar mecanismos de autenticación
(por ejemplo, contraseñas, PIN) o activar funciones de seguridad mejoradas, lo que puede hacer que
los datos queden inaccesibles.

Puntos a demostrar

Al entregar el dispositivo al laboratorio forense digital, el interviniente también debe tener en cuenta
los puntos que puede probar para la investigación, ya que los teléfonos inteligentes contienen
muchos datos y no todos serán pertinentes para el caso.

Algunos programas forenses permiten clonar los datos de la tarjeta SIM expuesta en una tarjeta SIM
en blanco (clonar), copiando los datos originales en la tarjeta SIM clonada y omitiendo los datos de
red. El teléfono asocia los registros de llamadas, los ajustes y otros datos a la tarjeta SIM. Si se
arranca un teléfono móvil con otra tarjeta o sin tarjeta, no se puede acceder a esta información y
puede perderse.

Cómo proceder:

a) El aparato está encendido.

- Fotografiar la pantalla en el estado en que se encuentra. Comprueba la batería y si la fecha y

la hora que muestra el dispositivo se corresponden con la fecha y la hora reales en el
momento de la incautación.
- Comprobación del IMEI: marca * # 06 # y fotografía.
- Realizar una imagen lógica del dispositivo con el dispositivo forense, incluyendo la lectura de la SIM.
- Haga una imagen física del dispositivo si es compatible.
- Apague el dispositivo. Retire la batería, la tarjeta SIM / USIM y la tarjeta de expansión de
memoria y fotografíe el conjunto con la etiqueta de identificación.
- Realice una imagen forense de la tarjeta de memoria, como se describe en su procedimiento
específico, si no ha sido realizada por el equipo forense.
- No vuelva a encender el equipo.
- Todos los elementos se precintan juntos y se marcan como procesados.

b) El aparato está apagado.

- Comprueba si hay soporte disponible para adquirir una imagen forense.

- Se extrae la batería y se localizan los elementos a comprobar: Tarjeta SIM y memoria
externa.
0
- Una tarjeta SIM / USIM se lee comprobando si está protegida por un PIN. Si está disponible,
se introduce una sola vez, ya que si se intenta 3 veces sin éxito, se bloquea. Para
desbloquearla, se necesita el código PUK, que se encuentra en el tarjetero original o que se
puede solicitar al proveedor de servicios móviles. En cualquier caso, se obtendrá el ICCID
(Integrated Circuit Card Identifier), que es su número de serie.
- Se graba una tarjeta SIM en blanco con los datos originales de la tarjeta SIM y se inserta en
el terminal. El teléfono asocia los registros de llamadas, los ajustes y otros datos con la
tarjeta SIM. Si se arranca un teléfono móvil con otra tarjeta o sin tarjeta, no se podrá
acceder a esta información. La tarjeta generada como copia de la original garantiza, además
de conservar estos datos, que el dispositivo no se conectará a la red.
- Se realiza una copia forense de la tarjeta de memoria, si la hubiera, siguiendo el
procedimiento propuesto para este tipo de soportes de almacenamiento.
- Se recompone el dispositivo, se enciende y se extrae una imagen lógica siguiendo las
instrucciones del sistema.
- Si se admite, también se hace una imagen física.
- Todos los elementos se precintan juntos y se marcan como procesados.
- Intente localizar y crear un registro de los contenedores originales y de los titulares de
tarjetas SIM con PIN y PUK visibles.

5.2. Servidores
Los equipos informáticos de tipo servidor dan servicio a otros ordenadores cliente. Podemos
encontrarlos principalmente en entornos empresariales realizando funciones de servidor de
archivos, correo, servicios web, base de datos, gestión de usuarios, etc.

Físicamente pueden parecerse a una estación de trabajo normal o pueden montarse en

sistemas de bastidor. Antes de proceder con un servidor hay que tener en cuenta algunos

aspectos:

¿Qué permite la orden judicial/autorización legal pertinente? Los servidores pueden ser parte
fundamental del normal desarrollo de la actividad de una empresa, que no tiene por qué estar
necesariamente implicada en la comisión del hecho delictivo. ¿Está justificado dejar sin servicio a
una organización, posiblemente ajena al delito? ¿Es realmente necesaria la incautación del material?

¿Tenemos la colaboración del administrador o del personal de gestión del sistema? ¿Son de
confianza? ¿Están implicados en la actividad delictiva?

¿Está claro qué tipo de información hay que adquirir?

¿Estamos familiarizados con los entornos de servidor y sus sistemas operativos? ¿Podemos
desconectar el servidor de la red de datos e incluso apagarlo para aislarlo del exterior?

El proceso preferido para hacerse con la información de los servidores es hacer una copia lógica
selectiva de la carpeta del sospechoso. Pero también hay que considerar la obtención de los
registros de eventos, la configuración del directorio activo, los buzones de correo y las copias de
seguridad.

5.3. Ordenadores personales

El primer paso será determinar si el ordenador está encendido. Muchos ordenadores pueden estar
en modo de ahorro de energía, con el monitor simplemente apagado, en estado de suspensión,
hibernación (Windows) dando la sensación de que están desconectados o apagados. Tendremos que
comprobar si el monitor tiene alimentación y conexión al equipo y si el equipo tiene alimentación o
tiene un LED que indique actividad.
1
Para sacar el ordenador de este estado evitaremos pulsar el botón de encendido o reset o la tecla
"Enter". Es mejor mover primero el ratón o utilizar las teclas de desplazamiento o mayúsculas. Anota
la hora exacta de esta acción para posteriores registros.

Si el equipo está encendido y muestra actividad, es aconsejable tomar las siguientes medidas:

● Haz una foto de la pantalla tal y como aparece e incluye la fecha, la hora y la zona horaria.
● Comprobar la actividad que el usuario está realizando en ese momento, como iconos
activos, barras de proceso e indicador de funcionamiento de la aplicación. Si se observa que
se está ejecutando algún proceso destructivo, como borrado seguro, borrado de logs o
registros, etc., debe interrumpirse inmediatamente, incluso y si es necesario, tirando del
cable de alimentación.
● Compruebe la existencia de conexiones de red, inalámbricas o por cable.
● Desactivar salvapantallas o modos de ajuste de energía. El propósito es evitar que el
dispositivo entre en estados de ahorro o se apague, perdiendo el estado original del sistema.
● Comprueba los volúmenes montados y sus características, básicamente buscando el uso de
encriptación o conexión a carpetas compartidas en otro ordenador de la red.
● Comprueba las posibles actividades y conexiones existentes con repositorios remotos como
Dropbox, Google Drive, OneDrive, etc. y la actividad actual de los navegadores, como
páginas de correo web, redes sociales, etc.

En este momento, se debe evaluar la posibilidad de mantener o desconectar las conexiones de red,
aislando el equipo.

a) Si el aparato está encendido

Evaluación in situ (Triage). Como continuación del proceso de conservación y en los casos en que se
busque un conjunto de datos específico o deba establecerse inmediatamente la existencia de
determinada información (debido a requisitos legales o procesales), puede realizarse un examen
directo del equipo en presencia del interesado y de los testigos. Pueden realizarse copias lógicas
forenses de los datos de interés. Este procedimiento es habitual en casos de abusos sexuales a
menores en determinadas jurisdicciones, sin embargo, desde un punto de vista técnico y de buenas
prácticas, deben tenerse en cuenta ciertos matices.

Se utilizará el procedimiento menos invasivo. Al igual que se intenta preservar al máximo un

dispositivo para que se puedan obtener otro tipo de vestigios (ADN, huellas dactilares, etc.) del
mismo modo es conveniente no comprometer los datos originales para el posterior análisis realizado
por expertos si fuera necesario.

Si hay que utilizar aplicaciones, éstas deben ser fiables y, a ser posible, estar diseñadas
específicamente para esta función y validadas por el laboratorio competente para el entorno que se
nos presenta.

Procedimiento de "Live data forensics" o análisis en vivo. El propósito es obtener la máxima

información del equipo antes de que se apague, con la mínima alteración necesaria del original,
incluyendo aquellos elementos volátiles del equipo que sean de interés para la investigación para ser
analizados posteriormente, como la memoria RAM.

Es necesario en dispositivos que contengan volúmenes o discos cifrados, pero que estén montados
en el momento de la intervención, como en el caso de sistemas con BitLocker, FileVault, VeraCrypt,
TrueCrypt, BestCrypt o PGP Disk o soluciones similares. Con este procedimiento, obtendremos los
datos desencriptados sin necesidad de recurrir a la contraseña, sin perjuicio de su obtención
mediante el análisis de otros elementos.

Un caso similar es el cifrado por hardware mediante chips Trusted Platform Module (TPM) o a través
de claves almacenadas en dispositivos externos (dispositivos USB), en los que se realiza este
0
procedimiento para extraer los datos descifrados o sería necesario tener todo el sistema original
montado para obtener esa información.
1
En caso de no poder conseguir el apoyo de un perito, es mejor apagar el equipo de la manera
mencionada en el siguiente punto para evitar destruir el contenido electrónico original o
contaminarlo poniendo en riesgo su valor probatorio.

Procedimiento de apagado. Una vez finalizada la parte del proceso en vivo, procederemos a apagar
el ordenador. La mejor forma de hacerlo dependerá del tipo de dispositivo y de su sistema
operativo. El apagado convencional del equipo puede hacernos perder información, sin embargo, en
otras ocasiones, será necesario realizar ese apagado convencional para evitar perder esa información.

Los sistemas operativos cuyo procesamiento implica la realización de un procedimiento de apagado

repentino, ejecutan una serie de pasos para apagarse correctamente. Estas secuencias de procesos
implican la pérdida de información crucial para la fase de análisis.

Las desconexiones no convencionales que implican la retirada del cable de alimentación deben
realizarse retirando el cable del dispositivo, y no de la toma de pared, ya que un Sistema de
Alimentación Ininterrumpida (SAI) puede estar situado entre la conexión de pared y la conexión del
dispositivo.

b) Si el aparato está apagado

Se obtendrán copias forenses o la incautación directa del equipo.

No tiene sentido comprometer la integridad de las pruebas originales de un ordenador apagado

encendiéndolo. En caso de urgencia o de necesidad de localización inmediata de información, el
dispositivo se analiza en modo de sólo lectura mediante un bloqueador para que permanezca
inalterado.

Una vez documentada la escena y situación del ordenador y comprobado que está apagado,
retiraremos cualquier fuente de alimentación conectada al equipo para evitar descargas eléctricas
inesperadas. Por tanto, el cable de alimentación se retirará del aparato, nunca de la pared.

No olvide tomar nota de los elementos conectados mediante el croquis o el archivo de dispositivo.

Se desmontará la caja para localizar los discos duros. Se etiquetarán según el sistema acordado y se
procesarán utilizando los medios adecuados.

Debe tenerse en cuenta la posibilidad de encontrar discos configurados en RAID. En caso de duda, el
equipo debe ser incautado junto con el hardware para facilitar su posterior reconstrucción, sin
retirar los discos del dispositivo.

Debe comprobar si hay algún disco en el interior de los lectores de CD-DVD. Para ello, no es
necesario encender el equipo; basta con operar con un clip en el orificio de desbloqueo mecánico.

También se tendrán en cuenta las normas generales explicadas anteriormente:

● Tras documentar el estado y la situación en la que se encuentra el equipo, se precinta todo

el dispositivo. De este modo, nos aseguramos de que contienen todos los elementos que
pueden almacenar información.
● Desmontar el equipo no siempre es sencillo. No lo haga in situ si no está familiarizado y no
dispone de las herramientas adecuadas.
● La disponibilidad del hardware original en el laboratorio puede ser muy útil. Por ejemplo, si
el ordenador dispone de algún tipo de elemento especial, como una controladora de disco
RAID, un chip de cifrado TPM o cualquier otro elemento particular que pueda ser necesario
para la reconstrucción de la información. También puede permitir realizar un arranque en
vivo del equipo en el laboratorio, por ejemplo, para estudiar la presencia y el
comportamiento de algún tipo de infección de malware.
0
● En el caso de equipos sencillos o estandarizados, no será necesario incautar el equipo
completo y bastará con incautar los soportes de almacenamiento de datos, ya que no habrá
problemas de compatibilidad.
● Por regla general, no se incautan aquellos soportes que no aportan valor para la
investigación. En principio, los periféricos, monitores, ratones, teclados y sus cables no son
necesarios, salvo que no se correspondan con los habituales por tipos de conexión, por ser
modelos propietarios de una marca por ejemplo o, porque ya estén obsoletos y sean difíciles
de encontrar en la actualidad. Por lo tanto, pueden ser útiles en las fases de análisis.
● La mayoría de las impresoras a nivel de usuario no contienen información útil. Sin embargo,
pueden tener una memoria limitada que puede analizarse en el laboratorio en casos
excepcionales.

5.4. Portátiles
Se aplicará el mismo proceso que para el escritorio con algunas especificidades.

Al incautar un ordenador portátil, considere la posibilidad de utilizar su propia bolsa, incluidos el

cargador, los cables y los accesorios. Una vez cerrado, se precintará mediante un sistema que
asegure todo el conjunto. Para apagar el portátil, retire primero la batería (si es posible) y después el
cable de alimentación.

Los ordenadores portátiles actuales, especialmente los de tipo "notebook", tienen baterías y discos
duros integrados en el ordenador, por lo que no siempre es fácil o posible extraerlos. Podemos
encontrar portátiles con discos de tipo NVMe/SSD integrados en la placa base, en los que no será
posible obtener una copia forense mediante los métodos explicados en el apartado anterior. Muchos
de estos ordenadores requieren el uso de herramientas especiales, y para evitar dañarlos, los
intervinientes deben estar familiarizados con los procedimientos de desmontaje.

Una de las soluciones consiste en arrancar el ordenador desde un soporte de arranque con su propio
sistema operativo forense, ya sea desde CD-DVD o USB. Una vez arrancado el sistema operativo
utilizando la memoria volátil, se pueden utilizar diversas utilidades para realizar trabajos de
evaluación, triaje o adquisición de pruebas.

Existen numerosos productos tanto comerciales como de software libre:

● CAINE (https://www.caine-live.net/)
● DEFT Linux (http://www.deftlinux.net)
● Datos ASR SMART Linux (http://asrdata.com/forensic-software/smartlinux/)
● KALI Linux (https://www.kali.org/downloads/)

Cuando se utiliza uno de estos sistemas, el profesional tiene que tener en cuenta que las pruebas
originales no deben alterarse. Por lo tanto, utilice productos con los que esté familiarizado y que se
haya comprobado que protegen la integridad de los dispositivos originales. INTERPOL no avala ni
promociona las herramientas y sistemas mencionados; para más información a este respecto,
consúltese el descargo de responsabilidad que figura en la página 1 de las presentes directrices.

5.5. Soportes de almacenamiento (tarjetas de memoria, unidades flash, discos

duros externos, discos ópticos, etc.)
Existe una enorme variedad de soportes de almacenamiento basados en memorias flash. Cada vez
son de menor tamaño físico pero, sin embargo, con una mayor capacidad de almacenamiento de
datos. Podemos encontrar memorias de este tipo camufladas o integradas en objetos de las formas
más variadas, por lo que el especialista que identifique estos elementos tiene que estar familiarizado
con las distintas presentaciones.
1
Con la aparición de otros soportes de almacenamiento de datos, los discos ópticos están cayendo en
desuso. Sin embargo, siguen siendo un elemento a tener en cuenta. Podemos encontrar los discos
agrupados en lotes o tarrinas de discos.

Las aplicaciones son infinitas. Podemos ver memorias externas en prácticamente todos los
dispositivos electrónicos, desde consolas de videojuegos, teléfonos, cámaras de fotos y vídeo, etc.
Pero también son capaces de albergar sistemas operativos completos y totalmente funcionales que
facilitan el anonimato de la actividad que se realiza con ellos.

Por otro lado, también es habitual encontrar sistemas de almacenamiento en discos duros externos,
que a través de conexiones USB, Wi-Fi o Ethernet son capaces de almacenar grandes cantidades de
datos.

Cómo proceder:

a) Imagen forense

Aunque muchos dispositivos tienen una pestaña para el bloqueo de escritura, no hay que fiarse de
que funcione y lo haga correctamente. Por ello, utilizaremos nuestro equipo forense con el
bloqueador adecuado, ya sea hardware o software.

En cuanto a los discos duros externos, es posible extraer el disco interno que contiene, para realizar
el proceso de copia directamente sobre dicho elemento. Este procedimiento requiere el
correspondiente proceso de documentación, tanto del disco interno como de la carcasa que lo
contiene, como se ha visto anteriormente.

Una vez conectadas las pruebas al bloqueador de escritura y éste a la estación forense, se puede
realizar una imagen forense.

Hay que tomar precauciones con estos dispositivos. A veces es necesario localizar pruebas del uso de
dispositivos externos en un ordenador. El uso de los bloqueadores antes mencionados podría no ser
capaz de registrar el número de serie de un dispositivo que se registra en los sistemas operativos; lo
que puede ser vital para ayudarnos a vincular un dispositivo con una memoria. Este número se
recoge del chip controlador de la memoria y no queda registrado en el disco duro, y por tanto en la
imagen forense que adquirimos.

b) Evaluación (triaje)

Para acceder al contenido de un dispositivo de memoria con el fin de evaluar su pertinencia para el
caso, es esencial utilizar bloqueadores como los señalados anteriormente, ya sea mediante
programas informáticos -proporcionados y validados por laboratorios de referencia-.
- o por bloqueadores por firmware. En el caso de los discos ópticos, puede continuar con su examen
utilizando un lector de CD/DVD que no permita la escritura.

A través de este examen previo, se determina si pueden ser interesantes o no para la investigación.
Ten en cuenta que podemos encontrar un gran número de este tipo de elementos durante la orden
de registro y no es efectivo copiar todo el material sin evaluarlo previamente (salvo que exista algún
requisito en contrario en las leyes o procedimientos de tu jurisdicción).

En caso de incautación de discos ópticos, se puede utilizar el mismo contenedor en el que se

guardan, asegurándose de que está cerrado y se introduce en una bolsa precintada tras ser
identificados con el número de evidencia. Si aparecen individualmente, se colocan en un estuche de
plástico que los proteja físicamente donde se incorpora la identificación de la prueba, precintándolos
en una bolsa de recogida de pruebas. No se aconseja utilizar adhesivos directamente sobre los
discos. Puede provocar errores de lectura al descompensarlos o dañarlos físicamente al retirar los
adhesivos. Se pueden utilizar rotuladores permanentes para identificarlos. No es aconsejable
agruparlos con gomas elásticas o bridas ya que dañan los extremos de los discos y pueden dejarlos
0
inservibles.
1

Figura 10: Cámaras digitales

5.6. Otros dispositivos (cámaras digitales, sistemas de navegación GPS, cámaras de

salpicadero, etc.)
Las fuentes de datos de estos dispositivos incluyen:

a) Memoria de almacenamiento externo: para trabajar con cualquier otro dispositivo de almacenamiento
externo.

b) Memoria interna: gran parte de los dispositivos disponen también de una memoria integrada,
normalmente de capacidad limitada, pero que permite almacenar datos que deben ser controlados.

El procedimiento propuesto es el siguiente:

- Una vez localizado el dispositivo, se toma una fotografía in situ.

- La cámara se documenta con sus datos generales asignándole un número de prueba. El
número de serie es importante.
- Se comprueba si tiene un soporte de almacenamiento externo; si es así, se extrae y se documenta.
- Se adquiere una imagen forense de la tarjeta.
- Hay que encender la cámara (sin tarjeta) y comprobar la memoria interna.

Si hay contenido, se puede extraer:

- A través del cable de conexión del dispositivo al PC, haciendo una imagen. No todos los
dispositivos tienen esa posibilidad.
- Insertar una nueva tarjeta y copiar los datos en esta última, de forma que obtengamos una copia
lógica.
- Si las otras opciones no son posibles, puede tomar fotografías del contenido tratando de
mostrar los datos interesantes relacionados con la investigación.
- Se comprueba en los ajustes de la cámara: fecha, hora y zona horaria.

Todos los elementos se precintan juntos y se marcan como procesados.

Si el dispositivo no va a ser procesado y simplemente incautado, proceda de la siguiente manera:

- Documentar el equipo: fotografía, datos generales y situación del hallazgo. Si es posible,

localiza los discos con el software y los cables de conexión al PC.

Embale todo, si es posible, utilizando las cajas originales, en una bolsa con precinto identificado y con
el número de prueba.

5.7. Dispositivos IoT

Además de los dispositivos informáticos tradicionales descritos anteriormente, en los últimos años
varios dispositivos se han definido como "IoT" o Internet de los objetos. Estos dispositivos pueden ser
muy diferentes entre sí en cuanto a
0
de funcionalidad, como smartwatches, televisores inteligentes, dispositivos de videovigilancia, etc. A
continuación veremos algunos ejemplos de los dispositivos más populares que podría encontrar en
uso nuestro sospechoso.

Figura 11: Relojes inteligentes

5.7.1. Smartwatches
Un smartwatch contiene varias funcionalidades que le permiten hacer muchas cosas que
normalmente hace con su teléfono. De hecho, es un periférico; una extensión de la pantalla del
smartphone que lleva en el bolsillo. Los smartwatch pueden ser sospechosos y suelen ser discretos:
no emiten sonidos sino que vibran suavemente y pueden estar conectados a un iPhone o a un
Android, por lo que hay que tener cuidado al buscarlos. Hay muchos smartwatches diferentes en el
mercado; los más comunes son Apple Watch, Xiaomi, Sony Smartwatch, Honor y Samsung Gear.

Dependiendo del caso, pueden contener información útil para los investigadores, pero tenga en
cuenta que estos dispositivos suelen tener una capacidad de almacenamiento muy limitada,
principalmente relacionada con contactos de la agenda telefónica, SMS, información sobre hábitos
deportivos, etc.

Por lo general, están equipados con conexión Bluetooth, pero algunos de ellos pueden estar
equipados con un puerto USB, por lo que el investigador por lo general puede adquirir el contenido a
través del equipo habitual, casi lo mismo que en cualquier teléfono inteligente Android / tableta
sería.

Si tiene intención de hacerse con un smartwatch, sería preferible que siguiera las mismas
indicaciones ya facilitadas en la sección de smartphones.

Figura 12: Una Smart TV.

5.7.2. Smart TV
Cada vez es más popular encontrar Smart TV con capacidad para conectarse a Internet, ejecutar
aplicaciones o jugar. Algunos están basados en Android, mientras que otros se basan en un sistema
operativo propio.
1
sistemas. La funcionalidad exacta depende de la marca, el modelo, los periféricos conectados o las
aplicaciones instaladas.

Desde la perspectiva de un interviniente en emergencias digitales, extraer la información de estos

dispositivos es un reto, ya que cada extracción sería diferente dependiendo de los factores
enumerados anteriormente, así como de la versión actual del sistema operativo.

La mayoría de las Smart TV presentan vulnerabilidades que pueden explotarse. Las posibles
oportunidades de extracción implican una modificación del firmware, ataques al navegador, ataques
a la red, uso de apps maliciosas o chip off.

Sin embargo, la mayoría de estos procesos de extracción no son sencillos y requieren equipos
sofisticados (especialmente para la extracción de chips) o estructuras de red complejas que son
incompatibles con la actividad de los primeros intervinientes. Los procesos inadecuados pueden
"bloquear el dispositivo" e imposibilitar nuevos intentos de extraer información.

Por regla general, el proceso incluirá los siguientes pasos:

● Revisa las conexiones para encontrar USBs conectados, HDMI o conexiones de red.
● Comprueba con el fabricante si el modelo tiene capacidad inalámbrica (si el aparato
no está conectado de ninguna manera, puede descartarse).
● Compruebe si el sistema está apagado o en espera.
● Utilizar la interfaz de usuario para explorar la configuración del dispositivo, crear un
registro visual de las acciones del investigador, preferiblemente con grabaciones de
vídeo.
● Intenta minimizar la interacción leyendo el manual del televisor antes de realizar la prueba.
● Embalaje seguro que incluye mando a distancia y cable de alimentación.

Posibles pruebas que se encuentren durante el registro y la incautación:

● Dispositivos conectados (para duplicación de pantalla, sincronización).

● Historial de navegación.
● Usuarios de las aplicaciones instaladas (Facebook, Skype, Twitter, Netflix, Amazon...). Sin
embargo, las contraseñas no serán fáciles de recuperar en esta fase y podrían requerir
procesos posteriores en el Laboratorio Forense Digital.

Figura 13: Dispositivos como el Echo de Amazon o el HomePod de Apple son ejemplos de altavoces inteligentes.

5.7.3. Kits para el hogar/altavoces inteligentes

Los kits domésticos permiten a los usuarios comunicarse con los accesorios conectados de su hogar y
controlarlos simplemente mediante una app. El framework Home Kit permite configurar accesorios y
crear acciones para controlarlos.

HomePod es un dispositivo de audio producido por Apple que se adapta a su ubicación y ofrece
audio de alta fidelidad dondequiera que esté sonando. Junto con Apple Music y Siri, crea una forma
de interactuar con la música en casa.
0
Posibles pruebas que se encuentren durante el registro y la incautación:

● Suelen contener una cantidad muy limitada de datos. Es aconsejable incautarlos sólo si
tienes razones para creer que contienen datos útiles para tu caso. Desconéctelos de la red
eléctrica e incaútelos tal y como los encontró. Documéntelo todo, haga fotos del dispositivo,
etiquételo y embálelo.

Figura 14: Las cámaras con protocolo de Internet envían datos de imagen a través de una red IP

5.7.4. Cámaras IP y ocultas

Las cámaras IP o cámaras ocultas se utilizan normalmente para la vigilancia a pequeña escala y, a
diferencia de los circuitos cerrados de televisión, estos dispositivos pueden no tener capacidad de
almacenamiento local. La mayoría de las cámaras IP disponibles sólo necesitan una conexión Wi-Fi
para funcionar. El usuario puede ver la transmisión en directo de la cámara desde cualquier
dispositivo conectado a Internet. También es posible, si el usuario se suscribe a un paquete de
almacenamiento en la nube, ver imágenes grabadas (normalmente en bucle de los días anteriores).

A pesar de ello, los primeros intervinientes deben asegurarse de que estos dispositivos no dispongan
de una tarjeta de memoria (normalmente una micro-SD) para el almacenamiento local.

Los primeros intervinientes también deben ser conscientes de que las cámaras pueden ocultarse casi
en cualquier sitio: desde ositos de peluche hasta botones de una chaqueta.

Posibles pruebas que se encuentren durante el registro y la incautación:

● Para los datos almacenados en la nube, es importante obtener las credenciales de acceso en
línea (normalmente nombre de usuario y contraseña o código QR). Estas credenciales
pueden estar almacenadas en la propia cámara o en los ordenadores o teléfonos inteligentes
encontrados con el sospechoso.
● En el caso de los datos almacenados localmente, normalmente sólo es necesario incautar la
tarjeta de memoria. Sin embargo, debido a la posibilidad de cifrado, sistemas de archivos
propietarios o configuraciones no documentadas, es aconsejable incautar todo el equipo.
● En el caso de los datos sólo en directo (la cámara sólo transmite imágenes en directo, no las
almacena en la nube o localmente), es aconsejable incautarlos sólo si tiene motivos para
creer que contienen datos útiles para su caso.
● Para realizar análisis forenses de vídeo, comparando grabaciones anteriores con la cámara
encontrada, siempre debe incautarse el dispositivo.
1
Cuando sea necesario el embargo, desconéctalo, documéntalo todo, haz fotos del aparato,
etiquétalo y embálalo.

Figura 15: Nintendo, la serie PS de Sony y la XBOX de Microsoft son ejemplos de videoconsolas con funciones inteligentes.

5.8. Consolas de videojuegos

La complejidad de las videoconsolas aumenta con cada nuevo modelo. La mayoría de ellas contienen
un disco duro interno que puede extraerse y obtener imágenes siguiendo los procedimientos
forenses explicados anteriormente. Sin embargo, el uso intensivo de cifrado y la utilización de tipos
de archivo especiales dificultan enormemente el discernimiento de cualquier información en un
análisis posterior. Además, una buena parte de la información generada se almacenaría en las
plataformas sociales de juego y nunca en el disco duro.

Por último, es importante tener en cuenta que los usuarios de otros lugares podrían alterar
fácilmente la información contenida en estos dispositivos y eliminar posibles pruebas.

Posibles pruebas que se encuentren durante el registro y la incautación:

● Define los periodos en los que la videoconsola se utilizó para jugar.

● Historial de navegación.
● Archivos ilícitos almacenados en soportes de videoconsolas.
● Contraseñas de aplicaciones.
● Cuentas de usuario.
0

Figura 16: Drones, también conocidos como UAV (vehículos aéreos no tripulados)

5.9. Drones
Los drones -también denominados vehículos aéreos no tripulados (UAV), sistemas aéreos no
tripulados (UAS), pequeños sistemas aéreos no tripulados (sUAS) o sistemas de aeronaves pilotadas
a distancia (RPAS)- pueden utilizarse para diversas operaciones, que van desde la fotografía y los
vídeos aéreos hasta el transporte de mercancías de un lugar a otro. Por lo tanto, el objetivo de la
investigación forense digital de drones y equipos asociados es identificar las trayectorias de vuelo,
los datos del usuario y las imágenes y vídeos asociados que contienen los dispositivos y que
ayudarán a comprender el dron y su uso.

Un dron suele constar de los dos tipos de componentes siguientes:

❖ Componentes físicos: Los componentes físicos que constituyen el cuerpo y los mecanismos
de vuelo pueden desglosarse en las siguientes categorías:

• Cuerpo del dron: El fuselaje central del UAV utilizado para alojar todos los demás
componentes.
• Controlador de vuelo: Se utiliza para controlar el vuelo. Este dispositivo estabiliza el
dron y, por lo general, acepta datos de navegación de un dispositivo de radiocontrol.
En los sistemas más sofisticados, el controlador de vuelo puede controlarse a
distancia en tiempo real y programarse previamente para el vuelo autónomo.
• Motores, rotores/propulsores/alas y controladores de velocidad: Estos
componentes combinados proporcionan la sustentación y propulsión del UAV.
Existen diferentes diseños, por ejemplo, especializados en aumentar la velocidad o la
duración del vuelo.
• Carcasa protectora: Esta protección envuelve de forma segura los motores y las
hélices (el componente más vulnerable de cualquier dron) para evitar colisiones y
pérdidas de control, con los consiguientes daños en el sistema.
• Receptor GPS: No es esencial en todos los drones, pero es común en las soluciones
líderes. Este componente se utiliza para gestionar eficazmente la posición del UAV,
la función de vuelta a casa y las rutas de vuelo autónomo.
• Receptor de radio: Se utiliza para recibir las señales de entrada de control
recibidas/recopiladas desde el transmisor terrestre.
• Transmisor: Transmite la información manual del operador en tierra al dron.
• Luces LED: Algunos drones vienen equipados con luces LED (normalmente verdes y
rojas) que pueden utilizarse para ayudar al piloto a orientar el dron y a otros
usuarios del espacio aéreo a identificarlo.

❖ Software: Todos los drones incluyen una aplicación o software que se utiliza para controlar
el sistema cuando está operativo. En la actualidad existe una enorme selección de
aplicaciones de control de vuelo y de tierra de código abierto disponibles en Internet que
pueden descargarse gratuitamente y modificarse fácilmente para realizar cualquier tipo de
tarea. La mayoría de los drones vienen acompañados de aplicaciones móviles.
1
para pilotar el dron o ver la imagen de la cámara y su ubicación en un mapa.

Los drones/controladores suelen presentarse con dos tipos de almacenamiento de medios distintos
que requieren técnicas de manipulación separadas, como en el siguiente resumen:

● Tarjetas de memoria: Pueden examinarse como un disco duro de ordenador. En estas

tarjetas pueden realizarse extracciones tanto lógicas como físicas, siempre que las
herramientas forenses admitan esta función. El examinador tiene que acceder a la tarjeta,
extraer los datos y volver a introducirla en el dispositivo antes de encenderlo. Algunos
dispositivos almacenan datos en la tarjeta de memoria, y si detecta que la tarjeta no está
disponible, podría provocar la pérdida de datos del dron/controlador. Si el tiempo y los
recursos lo permiten, debe crearse un clon bit a bit de la tarjeta de memoria e insertar ese
clon en el aparato.
● Memoria interna: Esto requiere herramientas forenses/del fabricante compatibles con
drones/móviles. Algunos dispositivos son compatibles con herramientas forenses para la
extracción física. Las herramientas forenses arrancarán el dispositivo de una forma
determinada y realizarán la extracción física sin realizar ningún cambio o alteración en los
datos de usuario del dispositivo.

Por regla general, el proceso técnico incluirá los siguientes pasos:

● Si está encendido, haz fotos de la pantalla del controlador y luego apaga el dron y sus componentes.
● Aísla el dron de los satélites GPS y otros dispositivos para asegurarte de que no se captan
las señales GPS/Wi-Fi/Red.
● Identifique la marca y el modelo del dron.
● Busca en el dron cualquier medio de almacenamiento externo, es decir, tarjetas SD.
● Fotografíe y etiquete el estado del dron y sus componentes.
● Empaquete bien todos los componentes.

Posibles pruebas que se encuentren durante el registro y la incautación:

● Historial de actualizaciones
● Registros de diagnóstico
● Cuentas de correo electrónico registradas
● Dispositivos emparejados
● Archivos multimedia
● Registros de vuelo/telemáticos
● Cachés de imágenes en miniatura de drones
● Artefactos cartográficos como geo-coordenadas, waypoints y ubicaciones de origen
● Software específico para drones, como el software de gestión de drones de los fabricantes
● Correos electrónicos que muestran nuevos registros de drones o notificaciones de actualización del
fabricante
● Archivos CSV que contengan coordenadas telemáticas, de diagnóstico o GPS.

Para obtener información más detallada en este ámbito, consúltese el "Marco de INTERPOL para
responder a un incidente con drones - Para primeros intervinientes y profesionales de la
investigación forense digital".
0

Figura 17: Cámaras de vídeovigilancia utilizadas con fines de vigilancia.

5.10. CCTV
El circuito cerrado de televisión (CCTV), también conocido como videovigilancia, es el uso de cámaras
de vídeo para transmitir una señal a un lugar específico, en un conjunto limitado de monitores. Se
diferencia de la televisión de difusión en que la señal no se transmite abiertamente, aunque puede
emplear enlaces cableados o inalámbricos punto a punto (P2P), punto a multipunto (P2MP) o en
malla. Aunque casi todas las cámaras de vídeo se ajustan a esta definición, el término se aplica más a
menudo a las que se utilizan para la vigilancia en zonas que pueden necesitar supervisión, como
bancos, tiendas y otras áreas donde se necesita seguridad.

El sistema de seguridad CCTV consta de diferentes componentes. Estos incluyen:

● Cámara CCTV: se utiliza para la videovigilancia y actúa como dispositivo de entrada al

sistema Monitor CCTV. Este dispositivo recibe señales y reproduce imágenes o vídeos
capturados por la cámara de CCTV.
● Fuente de alimentación principal: la unidad de alimentación eléctrica primaria.
● Fuente de alimentación de reserva (opcional): la fuente de alimentación de reserva resulta
muy útil en caso de apagón.
● Cables: se utilizan para conectar varias cámaras de CCTV a un grabador de vídeo,
conmutador de vídeo para monitor de CCTV, también los sistemas modernos de CCTV
pueden utilizar redes Wi-Fi para transmitir las imágenes a un punto central.
● Videograbador: transforma y graba las señales enviadas por una cámara de vídeovigilancia
en forma de vídeo que, por lo general, se almacena en un disco duro y puede borrarse
automáticamente en función de la configuración del dispositivo.
● Conmutador de vídeo: cambia el modo de vídeo entre diferentes cámaras

de CCTV. Por regla general, el proceso técnico incluirá los siguientes pasos:

● Compruebe la hora y la fecha ajustadas en el grabador de vídeo e informe si difieren de

las actuales
1
● Haz fotos de la(s) pantalla(s)
● Apaga la grabadora para evitar que se sobrescriban los datos
● Desconectar los cables
● Identificar marca y modelo
● Fotografiar y etiquetar todos los componentes
● Empaquétalo todo de forma segura.

Normalmente, los componentes de los sistemas de CCTV son patentados, por lo que se aconseja
incautar todas las piezas del sistema de CCTV para evitar problemas durante la fase de análisis.

La vigilancia a distancia también puede aplicarse a los sistemas de vídeovigilancia y puede contar con
sistemas de alerta para avisar al usuario si los sistemas detectan movimiento. Esto debe tenerse en
cuenta al acercarse al lugar de un delito, ya que el sospechoso puede ser alertado/avisado si la
policía se acerca a un lugar que está siendo vigilado por sistemas de cámaras de vídeovigilancia
como RING, etc. Por lo tanto, al examinar el sistema de vídeovigilancia también debe tener en
cuenta los usuarios registrados que tienen acceso remoto al sistema de vídeovigilancia.

Figura 18: Dispositivos de activos virtuales, utilizados para almacenar información sobre criptomonedas y otras monedas virtuales.

5.11. Dispositivos de activos virtuales

Los primeros intervinientes deben conocer las diferentes formas de acceder, almacenar y transferir
activos virtuales. Para permitir la incautación adecuada de una criptomoneda, y si lo permiten las
leyes de la jurisdicción y los términos de la autorización judicial o de otro tipo pertinente, las fuerzas
de seguridad deben transferir los fondos del monedero del sospechoso a un monedero oficial y
seguro controlado por el organismo incautador.

Además, los primeros intervinientes deben tener en cuenta que un cómplice podría tener una copia
de la información necesaria para transferir los fondos a un monedero no controlado por las fuerzas
de seguridad. Así pues, en cuanto las criptomonedas se transfieran de forma segura, mejor.

Los monederos de criptomonedas tienen diferentes formas: archivos en un ordenador/teléfono,

dispositivos de hardware, códigos QR o incluso una secuencia de palabras escritas en un papel o
memorizadas por el sospechoso. Durante un registro policial, los primeros intervinientes pueden
enfrentarse a:

● Monederos de escritorio: Bitcoin Core, Armory, Electrum, Wasabi, Bither, etc.

● Monederos móviles: Mycelium, Edge, BRD, Trust, etc.
● Monederos en línea: BitGo, BTC.com, Coin.Space, Blockchain.com, etc.
● Monederos de hardware: BitBox, Coldcard, KeepKey, Ledger, Trezor, etc.
● Monederos de papel: direcciones generadas por bitaddress.org, segwitaddress.org, etc.
0
● Monederos cerebrales: semilla (lista de palabras que almacenan toda la información necesaria para
restaurar el monedero).

Independientemente del tipo de monedero, la información crucial a la que necesitan acceder los
primeros intervinientes es la Clave Privada no cifrada, que permitirá firmar correctamente las
transacciones y transferir los fondos.

En la mayoría de los casos, sin embargo, la clave privada está protegida, o puede que no esté
almacenada localmente. Por lo tanto, los primeros en responder también deben buscar:

● Contraseñas: se utilizan para cifrar la clave privada

● PIN: para acceder a monederos físicos o teléfonos
● Credenciales: nombre de usuario y contraseña para los monederos electrónicos
● Códigos QR: que pueden almacenar la clave privada completa.
● Semillas: secuencia de palabras (normalmente 24 o más) utilizadas para recrear la clave privada.

Para la criptomoneda más popular3 , Bitcoin, las claves privadas son números de 256 bits que
pueden representarse de muchas formas diferentes. Wallet Import Format (WIF) es el tipo más
común y las claves empiezan por '5', 'K' o 'L'. Una clave privada cifrada empieza por "6P".

Por ejemplo, la misma Clave Privada puede representarse como:

● Formato de importación de carteras Base58 (51 caracteres base58, empieza por '5'):
5JoBSup7GzCohqzfCdU3FQmuQM8KLCu3TTKiTAtbzmWywJfzTni
● Base58 Formato de importación de carteras comprimido (52 caracteres base58, empieza por 'K' o 'L'):
L1Yq7N6vhZV79HFVcKxLvbwCJ3qHumWhqmBbxWemTyVLJHfaUjTc
● Clave privada BIP38 Formato cifrado (58 caracteres base58, comienza por '6P') -
contraseña: 'asdfg':
6PYLTEjqt2huN6zgG8Gc2Sdifh33tcDLoJMXXqdK52YrQWXa3fD8az9Za7
Los primeros en responder también deben ser capaces de identificar una Clave Pública (o
simplemente Dirección), que es el posible destino de una transferencia o pago. Por ejemplo, las
Direcciones de Bitcoins pueden empezar por '1', '3' o 'bc1':

● Formato P2PKH: 1BvBMSEYstWetqTFn5Au4m4GFg7xJaNVN2

● Formato P2SH: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
● Formato Bech32: bc1qar0srrr7xfkvy5l643lydnw9re59gtzzwf5mdq

Algunos ejemplos de lo que los primeros intervinientes podrían encontrar durante una orden de registro:

Figura 19: Monederos de papel

3
Otros ejemplos de criptodivisas son: Ethereum, XRP, Bitcoin Cash, Litecoin, Monero y Zcash.
1

Figura 20: Billeteras de hardware, utilizadas para almacenar información sobre

criptoactivos.

Figura 21: Ejemplo de monedero de

sobremesa.

Monederos de sobremesa
0

Figura 22: Electrum, un monedero de sobremesa

Figura 23: Ejemplo de monedero móvil utilizado para almacenar información

sobre criptomonedas.
1

Figura 24: Monederos cerebrales (semilla)

Figura 25: Monederos cerebrales (semilla)

0
Una consideración importante que debe tenerse en cuenta, dependiendo de su sistema legal, es qué
hacer con el activo virtual transferido: cambiarlo por dinero fiduciario lo antes posible o mantenerlo
en el monedero oficial hasta que haya sentencia firme.

Por último, no olvides documentar todos los pasos dados, incluidas las comisiones de la transacción,
el valor del bitcoin en moneda local y los intercambios eventualmente utilizados. También puede ser
útil añadir capturas de pantalla de la transacción (utilizando, por ejemplo, www.walletexplorer.com).

Para más detalles, consulte su legislación local. Las directrices, como las Directrices de INTERPOL
sobre la Darknet y las criptomonedas para profesionales de la lucha contra el terrorismo, también
pueden ser útiles para obtener más información sobre los activos virtuales.

5.12 Vehículos de motor

Los vehículos modernos disponen de dos sistemas que podrían contener datos pertinentes para una
investigación. Estos son:

Red telemática: incluye varias unidades de control electrónico (ECU) que supervisan el estado de los
vehículos y aplican los datos introducidos por el usuario para mover el vehículo, como la aceleración,
el frenado y la dirección. Estas ECU contienen datos de eventos del vehículo que pueden ayudar a
una investigación a localizar rutas históricas que ha seguido el coche o en la forma en que se
conduce.

Sistemas de infoentretenimiento: estos sistemas ofrecen a los ocupantes del vehículo

entretenimiento multimedia como música, emisiones de radio y vídeos en streaming o almacenados
localmente, además de permitir una experiencia conectada a Internet o a un teléfono conectado. Si
un usuario conecta un teléfono al sistema, los datos del teléfono, como la agenda, los mensajes
SMS/instantáneos y las llamadas, se almacenarán en el sistema de infoentretenimiento. Esta
información podrá recuperarse cuando el dispositivo se conecte al sistema y para verificar cualquier
dato de eventos registrado desde el dispositivo conectado.

Los sistemas de infoentretenimiento y telemáticos plantean retos únicos a las fuerzas de seguridad
debido a las diferencias en los diseños y fabricantes de hardware, la información limitada sobre el
software subyacente y los sistemas operativos patentados, los soportes cifrados asociados a la
gestión de derechos digitales (DRM) y los rápidos cambios tecnológicos. Las opciones de adquisición
pueden verse limitadas por el hardware y el software disponibles para facilitar la extracción de
datos. Puede ser necesario un examen visual de una pantalla o sistema activo si otras técnicas no
dan resultado. Los examinadores deben ser conscientes de que los sistemas digitales del vehículo
son como cualquier otro dispositivo o sistema digital y, por lo tanto, deben manipularse
adecuadamente para evitar la destrucción de los datos. Un vehículo moderno contendrá múltiples
ordenadores y/o redes y, por consiguiente, el examinador deberá tomar medidas razonables para
aislar el coche de las redes inalámbricas (Wi-Fi, celular, Bluetooth, etc.).

Las ECU siempre obtienen energía de la batería del vehículo, incluso cuando el interruptor de
encendido está en la posición de apagado. Muchas ECU, como los sistemas de infoentretenimiento y
telemáticos, utilizan componentes críticos como un evento de desbloqueo o la apertura/cierre de
puertas como señales para entrar en modo de bajo consumo o iniciar el procedimiento de
encendido. Minimizar el número y la duración de los ciclos de encendido ayuda a preservar los datos
volátiles almacenados en las ECU. El procesamiento de un vehículo para la obtención de pruebas
físicas puede provocar ciclos de encendido adicionales que provoquen la pérdida de datos volátiles
relevantes de las ECU. Para mitigar este riesgo, documente los datos en pantalla y apague
correctamente el vehículo para permitir que las ECU se apaguen correctamente antes de procesar
1
las pruebas físicas (huellas latentes, ADN, GSR, etc.).
0
A continuación se indican las directrices generales para apagar correctamente un vehículo con el fin de
preservar las pruebas:

• Documente la fecha y hora en que se realizan estos pasos. Apague el vehículo y salga con
todos los llaveros.
• Cierre todas las puertas - Abra la puerta del conductor durante 5 seg.
• Cierre la puerta del conductor y espere aproximadamente 2 minutos.
• Desconecte la alimentación del vehículo (por ejemplo, desconecte la batería o ponga el
vehículo en modo de transporte).

Para verificar que el vehículo se apagó por completo, asegúrese de que el tablero central del
vehículo, así como el grupo de instrumentos y las luces interiores/exteriores, hayan estado apagados
durante 30-45 segundos después de cerrar todas las puertas. Espere 60 segundos.

Manipulación de pruebas

Revisar la autoridad legal antes de manipular y recoger las pruebas, asegurándose de que se anotan
todas las restricciones. Si es necesario, durante la fase de recogida, obtenga una autorización
adicional para las pruebas que queden fuera del ámbito original. Los sistemas de
infoentretenimiento y telemáticos pueden consistir en ECU separadas situadas en diferentes lugares
dentro de un vehículo o tal vez en una única ECU integrada que tenga doble funcionalidad. Las
directrices generales para trabajar con vehículos asociados a una investigación incluyen:

• Manipular las pruebas de acuerdo con la política de la agencia y mantener una cadena de custodia.
• Conservar el estado de las ECU antes del procesamiento físico de un vehículo.
• Si se requiere el procesamiento físico forense de un automóvil (ADN, huellas latentes, etc.),
comente estos requisitos y el orden en que deben realizarse con el investigador y el personal
del laboratorio de criminalística para evitar la destrucción involuntaria de pruebas forenses
físicas y digitales.
• Los contaminantes biológicos y la destrucción física suponen retos únicos para la
recuperación de datos. Tome precauciones universales para proteger la salud y la seguridad
del examinador.
• Los sistemas de infoentretenimiento o telemáticos pueden tener conexiones externas
activas (por ejemplo, móviles, Wi-Fi o Bluetooth). Aísle el vehículo de la conexión a redes
externas siempre que sea posible; por ejemplo, desconecte las antenas o los módems
celulares, retire las tarjetas SIM, etc.

Entre los datos que pueden obtenerse de un vehículo figuran los siguientes:

• Información del sistema del vehículo: Número de serie, número de pieza, número de bastidor,
número de fabricación.
• Datos de aplicaciones instaladas: Tiempo, Tráfico, Facebook, Twitter y YouTube.
• Dispositivos conectados: Teléfonos, reproductores multimedia Dispositivos USB, tarjetas SD, puntos
de acceso inalámbricos.
• Datos de navegación: Tracklogs y puntos de track, ubicaciones guardadas, destinos
anteriores, rutas activas e inactivas.
• Información del dispositivo: ID del dispositivo, llamadas, contactos, SMS, audio, vídeo, imágenes.
• Eventos del vehículo: Apertura y cierre de puertas, encendido y apagado de luces,
conexiones Bluetooth/Wi-Fi/USB, sincronización horaria GPS. Lecturas del cuentakilómetros
e información telemática como datos de velocidad, freno y ángulo de giro.

Cada coche es diferente, y las ECU pueden registrar varios eventos y almacenar datos diferentes en
función de la configuración del vehículo cuando se montó en fábrica. El examinador o el primer
1
interviniente deben verificar la configuración del vehículo obteniendo una hoja de montaje a la que
haga referencia el número de identificación del vehículo (VIN) antes de iniciar cualquier análisis
forense práctico del vehículo. Además, si el examinador puede obtener el IMEI de una ECU, podrá
llevar a cabo investigaciones con el móvil.
0
proveedor de servicios para localizar los lugares históricos en los que ha estado el vehículo. También
deben asegurarse de que intentan capturar pruebas asociadas como CCTV, registros de
reconocimiento automático de matrículas, etc. de los lugares en los que ha estado el coche para
asegurarse de que las pruebas se corroboran. 4

5.13 Equipo de a bordo

Todos los buques son diferentes, incluso entre buques gemelos, ya que el equipamiento del buque
depende generalmente de la actividad prevista del buque y, más técnicamente, de su clasificación
por el pabellón de registro. Además, el operador del buque o el capitán también pueden cambiar las
capacidades del buque una vez recibido, de acuerdo con lo que consideren que es la mejor y más
eficiente manera de operar el buque. Para obtener información más detallada en este ámbito,
consúltense las "Directrices de INTERPOL para primeros intervinientes - Análisis forense digital de
equipos a bordo de buques", elaboradas en cooperación con la Dirección de Aplicación de la Ley en el
Ámbito de la Pesca Mundial (Dirección de Delincuencia Organizada y Delincuencia Emergente).

Por lo tanto, el nivel y el tipo de equipo de a bordo instalado en cada buque están vinculados a esta
clasificación y/o a las perspectivas del operador. Por lo tanto, los investigadores y los primeros
intervinientes pueden esperar niveles de equipamiento muy diferentes de un buque a otro. De
hecho, el nivel de equipamiento a bordo de un buque puede variar desde una configuración básica
de una brújula magnética y una radio VHF de muy alta frecuencia (VHF), hasta una configuración de
alta tecnología de equipos tecnológicos de vanguardia, incluidas las tecnologías de comunicación por
satélite. En algunos casos, los puentes de estas últimas embarcaciones se parecen más a la cabina de
un avión que al puente de mando de un buque.
Debido a la gran diversidad de equipos embarcados, los primeros intervinientes deben conocer los
equipos de a bordo del buque, incluidas marcas, series, modelos y números de serie. Esto es crucial y
les permitirá prever qué tipo de pruebas pueden encontrar en el buque y estar equipados con todas
las herramientas necesarias (cables, enchufes, clavijas, etc.). Además, conocer el equipamiento del
barco les ahorrará tiempo al darles pistas sobre la ubicación de cada dispositivo y cuál es útil para la
investigación. En la siguiente figura, ejemplos de equipos del buque que incluyen datos con su
ubicación.

4
Este proceso se ha reproducido a partir de las Prácticas recomendadas del Grupo de Trabajo Científico sobre Pruebas Digitales (SWGDE)
para los sistemas de infoentretenimiento y telemáticos para vehículos v2 (con fecha de 2016-06-23). Es responsabilidad de los lectores
asegurarse de que disponen de la versión más actualizada del documento. Consulte swgde.org/documents/published para obtener más
1
información. Consulte también la sección de referencias al final de este informe para conocer el descargo de responsabilidad y la política
de redistribución de SWGDE.
00101010101¥01010101010101$01
Equipamiento Ubicación Tipo de datos

Transpondedores AIS Puente

Ecosonda Puente

Visualizador electrónico de Puente, camarote del capitán,

cartas y navegación
de Información (ECDIS) Habitación
Radiobaliza indicadora de Puente, Alas de puente, Puente
posición de emergencia volante
(EPIRB)
Sistema SMSSM Puente

GPS Puente

Seguimiento a larga distancia y Puente

Sistema de identificación (LRIT)
Sistema de localización de Puente, Fly Bridge
buques (SLB)
RADAR Puente

Llamada selectiva digital (DSC) Puente, cabina del capitán,

navegación
habitación
Teléfono por satélite Puente, cabina del capitán,
navegación
habitación
Figura 26: Ejemplos de equipos a bordo con datos y su ubicación
1

REFERENCIAS

Prácticas recomendadas del SWGDE para la recogida, conservación,

manipulación y adquisición de pruebas de dispositivos móviles
SWGDE Best Practices for Mobile Device Evidence Collection & Preservation, Handling, and
Acquisition Versión: 1.2 (17 de septiembre de 2020). Este documento incluye una portada con el
descargo de responsabilidad del SWGDE.

Descargo de responsabilidad:

Como condición para el uso de este documento y la información contenida en el mismo, el SWGDE
solicita notificación por correo electrónico antes o simultáneamente a la introducción de este
documento, o cualquier parte del mismo, como prueba marcada ofrecida o presentada como prueba
en cualquier audiencia judicial, administrativa, legislativa o de adjudicación u otro procedimiento
(incluidos los procedimientos de descubrimiento) en los Estados Unidos o en cualquier país
extranjero. Dicha notificación deberá incluir 1) el nombre formal del procedimiento, incluido el
número de expediente o identificador similar; 2) el nombre y la ubicación del organismo que lleva a
cabo la audiencia o el procedimiento; 3) después del uso de este documento en un procedimiento
formal, notifique a SWGDE su uso y resultado; 4) el nombre, la dirección postal (si está disponible) y
la información de contacto de la parte que ofrece o presenta el documento como prueba. Las
notificaciones deben enviarse a secretary@swgde.org.

Es responsabilidad del lector asegurarse de que dispone de la versión más reciente de este
documento. Se recomienda archivar las versiones anteriores.

Política de redistribución:

SWGDE concede permiso para la redistribución y el uso de todos los documentos de difusión pública
creados por SWGDE, siempre que se cumplan las siguientes condiciones:

1. La redistribución de documentos o partes de documentos debe conservar la portada del SWGDE

que contiene la cláusula de exención de responsabilidad.

2. Ni el nombre del SWGDE ni los nombres de los colaboradores pueden utilizarse para respaldar o
promocionar productos derivados de sus documentos.

3. Cualquier referencia o cita de un documento del SWGDE debe incluir el número de versión (o
fecha de creación) del documento y mencionar si el documento se encuentra en estado de borrador.
0
Buenas prácticas del SWGDE para los sistemas telemáticos y de infoentretenimiento
de los vehículos
Prácticas recomendadas del SWGDE para sistemas telemáticos y de infoentretenimiento para
vehículos Versión: 2.0 (23 de junio de 2016). Este documento incluye una portada con el descargo de
responsabilidad del SWGDE.

Descargo de responsabilidad:

Como condición para el uso de este documento y la información contenida en el mismo, el SWGDE
solicita notificación por correo electrónico antes o simultáneamente a la introducción de este
documento, o cualquier parte del mismo, como prueba marcada ofrecida o presentada como prueba
en cualquier audiencia judicial, administrativa, legislativa o de adjudicación u otro procedimiento
(incluidos los procedimientos de descubrimiento) en los Estados Unidos o en cualquier país
extranjero. Dicha notificación deberá incluir 1) El nombre formal del procedimiento, incluido el
número de expediente o identificador similar; 2) el nombre y la ubicación del organismo que lleva a
cabo la audiencia o el procedimiento; 3) después del uso de este documento en un procedimiento
formal, notifique a SWGDE su uso y resultado; 4) el nombre, la dirección postal (si está disponible) y
la información de contacto de la parte que ofrece o presenta el documento como prueba. Las
notificaciones deben enviarse a secretary@swgde.org.

Es responsabilidad del lector asegurarse de que dispone de la versión más reciente de este
documento. Se recomienda archivar las versiones anteriores.

Política de redistribución:

SWGDE concede permiso para la redistribución y el uso de todos los documentos de difusión pública
creados por SWGDE, siempre que se cumplan las siguientes condiciones:

1. La redistribución de documentos o partes de documentos debe conservar la portada del SWGDE

que contiene la cláusula de exención de responsabilidad.

2. Ni el nombre del SWGDE ni los nombres de los colaboradores pueden utilizarse para respaldar o
promocionar productos derivados de sus documentos.

3. Cualquier referencia o cita de un documento del SWGDE debe incluir el número de versión (o
fecha de creación) del documento y mencionar si el documento se encuentra en estado de borrador.
1
0

SOBRE INTERPOL

INTERPOL es la mayor organización policial internacional

del mundo. Nuestra función es ayudar a los organismos
encargados de la aplicación de la ley de nuestros 194
países miembros a combatir todas las formas de
delincuencia transnacional. Trabajamos para ayudar a la
policía de todo el mundo a hacer frente a los crecientes
retos que plantea la delincuencia en el siglo XXI,
proporcionando una infraestructura de alta tecnología
de apoyo técnico y operativo. Nuestros servicios incluyen
formación específica, apoyo experto en investigación,
bases de datos especializadas y canales de comunicación
policial protegida.

NUESTRA VISIÓN:

"CONECTAR A LA POLICÍA PARA UN MUNDO MÁS SEGURO"

Nuestra visión es la de un mundo en el que todos y cada

uno de los profesionales de los organismos encargados
de la aplicación de la ley puedan, a través de INTERPOL,
comunicarse, intercambiar y acceder de forma segura a
información policial esencial cuando y donde la necesiten,
garantizando así la seguridad de los ciudadanos del
mundo. Proporcionamos y promovemos constantemente
soluciones innovadoras y vanguardistas a los retos
mundiales en materia de policía y seguridad.
WWW.INTERPOL.INT SEDE DE INTERPOL @INTERPOL_HQ INTERPOLHQ INTERPOLHQ