Cuenca Alvarado Jessica Katherine

UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA
La Universidad Católica de Loja
AREA TÉCNICA
TITULACIÓN DE INGENIERO EN SISTEMAS INFORMÁTICOS Y

COMPUTACIÓN
Guía metodológica de análisis forense informático para dispositivos móviles

con sistema operativo Android
TRABAJO DE FIN DE TITULACIÓN
AUTOR: Cuenca Alvarado, Jessica Katherine

DIRECTOR: Jaramillo Hurtado, Danilo Rubén, Ing.
LOJA – ECUADOR
2015
APROBACIÓN DEL DIRECTOR DEL TRABAJO DE FIN DE TITULACIÓN
Ingeniero.
Danilo Rubén Jaramillo Hurtado
DOCENTE DE LA TITULACIÓN
De mi consideración:
El presente trabajo de fin de titulación denominado: “Guía metodológica de análisis forense

informático para dispositivos móviles con sistema operativo Android" realizado por Jessica
Katherine Cuenca Alvarado, ha sido orientado y revisado durante su ejecución, por cuanto
se aprueba la presentación del mismo.
Loja, marzo de 2015
f). . . . . . . . . . . . . . . . . . . .
Danilo Rubén Jaramillo Hurtado
C.I: 1102917240
ii
DECLARACIÓN DE AUTORÍA Y CESIÓN DE DERECHOS
Yo, Jessica Katherine Cuenca Alvarado declaro ser autora del presente trabajo de fin de
titulación “Guía metodológica de análisis forense informático para dispositivos móviles con
sistema operativo Android”, de la Titulación de Ingeniero en Sistemas Informáticos y
Computación, siendo Danilo Rubén Jaramillo Hurtado director del presente trabajo; y eximo
expresamente a la Universidad Técnica Particular de Loja y a sus representantes legales de
posibles reclamos o acciones legales. Además certifico que las ideas, conceptos,
procedimientos y resultados vertidos en el presente trabajo investigativo, son de mi
exclusiva responsabilidad.
Adicionalmente declaro conocer y aceptar la disposición del Art. 88 del Estatuto Orgánico
de la Universidad Técnica Particular de Loja que en su parte pertinente textualmente dice:
“Forman parte del patrimonio de la Universidad la propiedad intelectual de investigaciones,
trabajos científicos o técnicos y tesis de grado que se realicen con el apoyo financiero,
académico o institucional (operativo) de la Universidad”.
f)...............................................................
Jessica Katherine Cuenca Alvarado
C.I: 1104185515
iii
DEDICATORIA
Dedico esta tesis principalmente a Dios por mostrarme día a día que con humildad,
paciencia y sabiduría todo es posible.
A mi padre José Eliceo por su apoyo incondicional, tanto al inicio como al final de mi carrera;
por ser un ejemplo de arduo trabajo y tenaz lucha en la vida, a mi mami hermosa Blanca
Piedad que con amor y sacrificio, supo guiarme y motivarme moralmente para la
culminación de mi carrera, por ayudarme en el cuidado de mi hija durante el desarrollo de mi
proyecto de fin de titulación, a mis hermanos Fernando, Jean y Daniel por todo su apoyo,
amistad y cariño.
A mi amado esposo Rommel, por ser un pilar fundamental en el transcurso y desarrollo de

mi tesis, a mi hija Nicole Katherine por ser mi razón de ser y motivo de superación.
A mis amigos y amigas quienes siempre tuvieron una palabra de aliento en los momentos
difíciles.
iv
AGRADECIMIENTO
A la Universidad Técnica Particular por contribuir en mi formación profesional.
A mis padres quienes significan un ejemplo de superación, estabilidad familiar y la perfecta

entrega de amor; por esas palabras de aliento que día a día me ayudaban a cumplir mis
metas, por apoyarme en todo momento, por los valores que me han inculcado y por
haberme dado la oportunidad de tener una excelente educación en el transcurso de mi vida.
A mis hermanos por ser parte importante de mi vida, por la paciencia y apoyo que me
tuvieron en el cuidado de mi hija.
A mi esposo por todo el apoyo brindado, por la paciencia y amor que cada día me brindas,
por esas palabras que aunque muchas veces no me gustaban me ayudaron a culminar esta
etapa, gracias amor mío por soportar todo.
A mi director de tesis el Ing. Danilo Jaramillo, por su apoyo constante en la culminación de

este trabajo.
A mis profesores quienes con nobleza y entusiasmo depositaron en mí sus vastos

conocimientos.
A la Eco. Karlita Mora, a la Ing. Anita Abad, a la Ing. Verónica Segarra, al Ing. Manuel
Zapata, a la Eco. María del Cisne Tituaña y a la Ing. Julia Pineda quienes compartieron
gratos momentos en las horas de gestión productiva y que además de trasmitirme sus
conocimientos me brindaron su amistad, respeto y cariño.
A mis amigos y amigas especialmente a Carlitos, Davicho, Christmo, Jonathan, Santy, Yadi,
Anita, Kuka, Sil, Meche, Scecy por compartir este proceso de aprendizaje, por todas las
malas noches que tuvimos que pasar, por los buenos y malos momentos, por la gran
amistad que me han brindado, y que a pesar de las circunstancias por las que hemos
pasado siempre formaran parte de mi vida.
A todos gracias por la confianza, respeto y cariño que me tuvieron cada día.
v
ÍNDICE DE CONTENIDOS
PORTADA..………………………………………………………………………………………….....I
APROBACIÓN DEL DIRECTOR DEL TRABAJO DE FIN DE TITULACIÓN ........................ II
DECLARACIÓN DE AUTORÍA Y CESIÓN DE DERECHOS ................................................ III
DEDICATORIA ..................................................................................................................... IV
AGRADECIMIENTO ..............................................................................................................V
ÍNDICE DE CONTENIDOS ................................................................................................... VI
ÍNDICE DE FIGURAS ........................................................................................................... XI
ÍNDICE DE TABLAS ........................................................................................................ XVII
GLOSARIO DE TÉRMINOS ............................................................................................... XX
RESUMEN ............................................................................................................................. 1
ABSTRACT ........................................................................................................................... 2
INTRODUCCIÓN ................................................................................................................... 3
CAPÍTULO I .......................................................................................................................... 5
CONTEXTO DE LA INVESTIGACIÓN .................................................................................. 5
1.1 TEMA.......................................................................................................................... 6
1.2 PLANTEAMIENTO DEL PROBLEMA- CONTEXTO .................................................. 6
1.3 JUSTIFICACIÓN ......................................................................................................... 6
1.4 ALCANCE .................................................................................................................. 7
1.5 OBJETIVOS................................................................................................................ 8
1.5.1 OBJETIVO GENERAL ................................................................................................... 8

1.5.2 OBJETIVOS ESPECÍFICOS ........................................................................................... 8
CAPÍTULO II ......................................................................................................................... 9
ESTADO DEL ARTE ............................................................................................................. 9
2.1 ANÁLISIS FORENSE ............................................................................................... 10
2.1.1 ¿QUÉ ES EL ANÁLISIS FORENSE INFORMÁTICO? ......................................................... 10

2.1.2 ¿PARA QUÉ SIRVE EL ANÁLISIS FORENSE? ................................................................ 11
2.1.3 TIPO DE ANÁLISIS FORENSE ...................................................................................... 11
vi
2.1.4 PRINCIPIOS DEL ANÁLISIS FORENSE .......................................................................... 12
2.1.5 USOS DE LA INFORMÁTICA FORENSE ......................................................................... 12
2.2 MANEJO DE INCIDENTES INFORMÁTICOS .......................................................... 13
2.3 ESTUDIO Y EVALUACIÓN DE METODOLOGÍAS DESARROLLADAS .................. 17
2.3.1 OPEN ANDROID SECURITY ASSESSMENT METHODOLOGY OASAM............................. 17

2.3.2 METODOLOGÍA FORENSE DEL DEPARTAMENTO DE JUSTICIA DE LOS ESTADOS UNIDOS
(NIJ) 18
2.3.3 METODOLOGÍA FORENSE DEL INSTITUTO NACIONAL DE ESTÁNDARES DE TECNOLOGÍA
(NIST) 19
2.3.4 METODOLOGÍA DE ANÁLISIS FORENSE DE LA RED EUROPEA DE INSTITUTOS DE CIENCIAS
FORENSES (ENFSI) ........................................................................................................... 19
2.3.5 GUÍA DE MEJORES PRÁCTICAS PARA ANÁLISIS FORENSE EN TELÉFONOS MÓVILES. ....... 20
2.3.6 ANÁLISIS METODOLOGÍAS......................................................................................... 20
2.4 HERRAMIENTAS DE ANÁLISIS FORENSE ............................................................ 22
2.4.1 HERRAMIENTAS COMERCIALES ................................................................................. 22

Access Data's Forensic Toolkit (AccesDataGroup, 2014). ............................................ 22
Device Seizure (Paraben, 2013). .................................................................................. 24
Access Data Mobile Phone Examiner Plus (MPE, 2014) .............................................. 25
Oxygen forensic Suite (Oxygen Forensics, Inc, 2014)................................................... 26
MOBILedit (MOBILedit, 2014). ...................................................................................... 28
EnCase Forensic (EnCase, 2014) y (GuidanceSoftware, 2014). ................................... 29
2.4.2 HERRAMIENTAS NO COMERCIALES, OPEN SOURCE ..................................................... 30
The Sleuth Kit open source - Autopsy (Carrier, 2014). .................................................. 30
BitPim (BitPim, 2014). ................................................................................................... 32
Android SDK (Android, 2014)........................................................................................ 33
Helix CD (Wikia, 2014).................................................................................................. 34
2.4.3 LIBRERÍAS Y FRAMEWORKS ...................................................................................... 34
2.4.4 ANÁLISIS DE LAS HERRAMIENTAS .............................................................................. 35
2.5 ANDROID COMO SISTEMA OPERATIVO EN DISPOSITIVOS MÓVILES .............. 38
2.5.1 ¿QUÉ SON LOS DISPOSITIVOS MÓVILES? ................................................................... 38

Características a nivel de hardware .............................................................................. 39
Características a nivel de software ............................................................................... 40
2.5.2 SISTEMA OPERATIVO ANDROID EN DISPOSITIVOS MÓVILES ......................................... 41
Historia ......................................................................................................................... 42
vii
Versiones...................................................................................................................... 43
Mercado........................................................................................................................ 43
2.5.3 ARQUITECTURA DEL SISTEMA OPERATIVO ANDROID ................................................... 44
2.5.4 SISTEMA DE FICHEROS DE ANDROID ......................................................................... 45
2.5.5 SEGURIDAD EN DISPOSITIVOS MÓVILES ..................................................................... 46
2.6 ASPECTO LEGAL EN EL ECUADOR...................................................................... 48
2.6.1 LEY ORGÁNICA DE TRANSPARENCIA Y ACCESO DE LA INFORMACIÓN PÚBLICA .............. 48

2.6.2 LEY DE COMERCIO ELECTRÓNICO, FIRMAS ELECTRÓNICAS Y MENSAJES DE DATOS ..... 49
2.6.3 LEY ESPECIAL DE TELECOMUNICACIONES ................................................................. 52
2.6.4 CÓDIGO PENAL ........................................................................................................ 53
2.6.5 CÓDIGO DE PROCESAMIENTO PENAL ......................................................................... 54
2.6.6 CÓDIGO ORGÁNICO INTEGRAL PENAL ........................................................................ 56
CAPÍTULO III ...................................................................................................................... 59
DESARROLLO DE LA GUÍA METODOLÓGICA ................................................................ 59
3.1 PROPÓSITO ............................................................................................................. 60
3.2 CONSIDERACIONES ............................................................................................... 60
3.3 DISEÑO DE LA GUÍA METODOLÓGICA................................................................. 61
3.3.1 FASE DE IDENTIFICACIÓN Y PRESERVACIÓN ............................................................... 62

Diagrama de Flujo ........................................................................................................ 68
Modelo de solicitud de examen forense ........................................................................ 69
Modelo de plantilla fase de identificación y preservación .............................................. 70
Modelo de etiqueta, identificación dispositivos .............................................................. 72
3.3.2 FASE DE ADQUISICIÓN.............................................................................................. 72
Diagrama de flujo fase de adquisición .......................................................................... 78
Modelo de plantilla fase de adquisición ......................................................................... 79
3.3.3 FASE DE ANÁLISIS Y EXPLORACIÓN ........................................................................... 82
Diagrama de flujo:......................................................................................................... 84
Modelo de plantilla fase de análisis y exploración ......................................................... 85
3.3.4 FASE DE RESULTADOS ............................................................................................. 86
Modelo de plantilla fase de resultados .......................................................................... 88
CAPÍTULO IV ...................................................................................................................... 90
IMPLEMENTACIÓN ............................................................................................................ 90
4.1 IMPLEMENTACIÓN DE LA GUÍA METODOLÓGICA .............................................. 91

viii
4.1.1 FASE DE RESULTADOS SMARTPHONE ........................................................................ 91
INFORME TÉCNICO .................................................................................................... 91
INFORME EJECUTIVO .............................................................................................. 107
4.1.2 FASE DE RESULTADOS TABLET ............................................................................... 114
INFORME TÉCNICO .................................................................................................. 114
INFORME EJECUTIVO .............................................................................................. 141
4.2 DESARROLLO DE UN SISTEMA DE INFORMACIÓN .......................................... 148
4.2.1 REQUERIMIENTOS ................................................................................................. 149

4.2.2 METODOLOGÍA DE DESARROLLO ............................................................................. 149
Fase de inicio ............................................................................................................. 150
Fase de elaboración ................................................................................................... 150
Fase de construcción .................................................................................................. 151
Fase de transición ...................................................................................................... 151
4.2.3 PRUEBAS SOFTWARE ............................................................................................. 152
CAPITULO V ..................................................................................................................... 157
RESULTADOS .................................................................................................................. 157
CONCLUSIONES .............................................................................................................. 158
RECOMENDACIONES ...................................................................................................... 160
BIBLIOGRAFÍA ................................................................................................................. 161
CAPITULO VI .................................................................................................................... 166
ANEXOS ........................................................................................................................... 166
ANEXO 1 DESARROLLO FASES SMARTPHONE .......................................................... 167
SOLICITUD DE EXAMEN FORENSE (CASO DE PRUEBA) ......................................................... 167

FASE DE IDENTIFICACIÓN Y PRESERVACIÓN........................................................................ 168
FASE DE ADQUISICIÓN ...................................................................................................... 173
FASE DE ANÁLISIS Y EXPLORACIÓN .................................................................................... 180
ANEXO 2 DESARROLLO FASES TABLET...................................................................... 194
SOLICITUD DE EXAMEN FORENSE (CASO DE PRUEBA) ......................................................... 194

FASE DE IDENTIFICACIÓN Y PRESERVACIÓN........................................................................ 195
FASE DE ADQUISICIÓN ...................................................................................................... 199
FASE DE ANÁLISIS Y EXPLORACIÓN .................................................................................... 217
ANEXO 3 DOCUMENTO DE VISIÓN ................................................................................ 253

ix
ANEXO 4 DOCUMENTO DE ESPECIFICACIÓN DE REQUERIMIENTOS ....................... 259
ANEXO 5 ESPECIFICACIÓN DE CASOS DE USO .......................................................... 271
DIAGRAMA DE CASO DE USO SGICAF ............................................................................... 271

DIAGRAMA DE CASO DE USO REGISTRAR PERITAJE ............................................................. 271
ESPECIFICACIÓN DE CASO DE USO REGISTRAR PERITAJE .................................................... 272
DIAGRAMA DE CASO DE USO REGISTRAR PERSONAL ........................................................... 273
ESPECIFICACIÓN DE CASO DE USO REGISTRAR PERSONAL .................................................. 273
DIAGRAMA DE CASO DE USO REGISTRAR DISPOSITIVO ........................................................ 274
ESPECIFICACIÓN DE CASO DE USO REGISTRAR DISPOSITIVO ............................................... 275
DIAGRAMA DE CASO DE USO REGISTRAR ARCHIVOS ............................................................ 278
ESPECIFICACIÓN DE CASO DE USO REGISTRAR ARCHIVOS ................................................... 278
DIAGRAMA DE CASO DE USO REGISTRAR COPIA DE SEGURIDAD ........................................... 279
ESPECIFICACIÓN DE CASO DE USO REGISTRAR COPIA DE SEGURIDAD .................................. 280
DIAGRAMA DE CASO DE USO GENERAR REPORTES.............................................................. 281
ESPECIFICACIÓN DE CASO DE USO GENERAR REPORTES..................................................... 281
ANEXO 6 DIAGRAMA DE CLASES ................................................................................. 283
ANEXO 7 DIAGRAMAS DE SECUENCIA ........................................................................ 286
ANEXO 8 DIAGRAMA DE ACTIVIDADES ........................................................................ 291
ANEXO 9 DIAGRAMA DE COMPONENTES .................................................................... 296
ANEXO 10 DIAGRAMA DE PAQUETES .......................................................................... 296
ANEXO 11 DIAGRAMA DE DESPLIEGUE ....................................................................... 297
ANEXO 12 MANUAL TÉCNICO ........................................................................................ 297
ANEXO 13 INSTALACIÓN HERRAMIENTAS .................................................................. 340
PAPER .............................................................................................................................. 342
x
ÍNDICE DE FIGURAS
Figura 1: FTK TOOLS .......................................................................................................... 22
Figura 2: Device Seizure ...................................................................................................... 24
Figura 3: Plataforma Access Data Mobile Phone Examiner Plus ......................................... 25
Figura 4: Plataforma Oxygen Forensic Suite ........................................................................ 26
Figura 5: MOBILedit ............................................................................................................. 28
Figura 6: Plataforma EnCase Forensic ................................................................................ 29
Figura 7: Plataforma Autopsy............................................................................................... 30
Figura 8: Plataforma BitPim ................................................................................................. 32
Figura 9: Plataforma SDK Android ....................................................................................... 33
Figura 10: Arquitectura de Android ...................................................................................... 44
Figura 11: OWASP Mobile Top 10 Risks ............................................................................. 46
Figura 12: Medidas de seguridad ......................................................................................... 47
Figura 13: Fases de la guía metodológica ........................................................................... 61
Figura 14: Proceso general guía metodológica .................................................................... 62
Figura 15: Diagrama de flujo fase de identificación y preservación ...................................... 68
Figura 16: Diagrama de flujo fase adquisición...................................................................... 78
Figura 17: Diagrama de flujo fase de análisis y exploración ................................................. 84
Figura 18: Historial de navegación ....................................................................................... 97
Figura 19: URL's más visitadas en el año 2014 ................................................................... 99
Figura 20: Descargas realizadas........................................................................................ 100
Figura 21: Número de aplicaciones instaladas y en ejecución por fecha............................ 110
Figura 22: Descargas realizadas........................................................................................ 110
Figura 23: Historial de navegación ..................................................................................... 111
Figura 24: URL's más visitadas en el año 2014 ................................................................. 113
Figura 25: Contenido imagen ............................................................................................. 119
Figura 26: Contenido de imagen obtenida con Oxygen Forensic ....................................... 121
Figura 28: Número de visitas por fecha.............................................................................. 127
Figura 29: Número de descargas realizadas por dato ........................................................ 129
Figura 30: Línea de tiempo aplicaciones no satisfactorias ................................................. 134
Figura 31: Línea de tiempo aplicaciones desinstaladas- Fecha de último activación ......... 138
Figura 34: Comando “adb help” ......................................................................................... 140
xi
Figura 38: Línea de tiempo aplicaciones no satisfactorias ................................................. 144
Figura 39: Número de descargas realizadas por dato ........................................................ 144
Figura 40: Número de visitas por fecha.............................................................................. 148
Figura 41: Fases RUP ....................................................................................................... 150
Figura 42: SGICAF frente a las herramientas de código abierto ........................................ 154
Figura 43: Porcentaje acceso archivos .............................................................................. 156
Figura 44: Información del dispositivo 1/2 - Oxygen Forensic ........................................... 175
Figura 45: Información del dispositivo 2/2 - Oxygen Forensic ........................................... 175
Figura 46: Registro de llamadas - Oxygen Forensic........................................................... 176
Figura 47: Registro de mensaje - Oxygen Forensic ........................................................... 176
Figura 48: Guía telefónica - Oxygen Forensic .................................................................... 176
Figura 49: Explorador de archivos 1/3 - Oxygen Forensic .................................................. 177
Figura 52: Datos calendario - Oxygen Forensic ................................................................. 178
Figura 53: Contenido copia bit a bit .................................................................................... 181
Figura 54: Datos del archivo SBrowser.db ......................................................................... 182
Figura 55: Datos del archivo downloads.db ....................................................................... 183
Figura 56: Datos del archivo icingcorpora.db ..................................................................... 183
Figura 57: Datos del archivo localappstate.db.................................................................... 183
Figura 58: Pantalla principal Odin ...................................................................................... 201
Figura 59: Buscar firmware ................................................................................................ 201
Figura 60: Verificar puerto COM ........................................................................................ 202
Figura 61: Verificar acceso root ......................................................................................... 202
Figura 62: Visualización dispositivos .................................................................................. 202
Figura 63: Comando para obtener backup ......................................................................... 203
Figura 64: Estructura del sistema de ficheros – Tablet....................................................... 203
Figura 65: Fichero a obtener .............................................................................................. 204
Figura 66: Obtención copia bit a bit.................................................................................... 204
Figura 67: Traspaso imagen a equipo ................................................................................ 205
Figura 68: Comprobar archivo imagen ............................................................................... 205
Figura 69: Eliminar archivo imagen del dispositivo ............................................................. 205
Figura 70: Pantalla de presentación -MD5 Summer ........................................................... 206
Figura 71: Seleccionar archivo y tipo de hash -MD5 Summer ............................................ 206
xii
Figura 72: Crear hash- MD5 Summer ................................................................................ 206
Figura 73: Generando hash - MD5 Summer ...................................................................... 207
Figura 74: Guardar archivo hash -MD5 Summer................................................................ 207
Figura 75: Archivo hash generado con md5 - MD5 Summer .............................................. 207
Figura 76: Archivo hash generado con sha1 - MD5 Summer ............................................. 208
Figura 77: Archivos hash - MD5 Summer .......................................................................... 208
Figura 78: Comando adb shell getprop .............................................................................. 208
Figura 79: Elegir opción conectar dispositivo ..................................................................... 209
Figura 80: Datos dispositivo ............................................................................................... 209
Figura 81: Ingreso datos .................................................................................................... 210
Figura 82: Seleccionar modo de extracción 1 /2 ................................................................ 210
Figura 83: Seleccionar modo de extracción 2/2 ................................................................. 210
Figura 84: Realizar extracción ........................................................................................... 211
Figura 85: Proceso de extracción 1 /2 ................................................................................ 211
Figura 86: Proceso de extracción 2/2 ................................................................................. 211
Figura 87: Guardar archivos generados ............................................................................. 212
Figura 88: Información dispositivo1/2 - Oxygen Forensic ................................................... 212
Figura 89: Información dispositivo 2/2 - Oxygen Forensic .................................................. 213
Figura 90: Agenda telefónica - Oxygen Forensic ............................................................... 213
Figura 91: Registro de llamadas - Oxygen Forensic........................................................... 213
Figura 95: Visualizar contenido en FTK Imager ................................................................. 219
Figura 96: Contenido imagen ............................................................................................. 219
Figura 99: Tablas archivo browser2 ................................................................................... 223
Figura 100: Datos archivo browser2 - Tabla History........................................................... 223
Figura 101: Tablas archivo sisodownloads ........................................................................ 224
Figura 102: Datos archivo sisodownloads - Tabla sisodownloads ...................................... 224
Figura 103: Tablas archivo icingcorpora ............................................................................ 224
Figura 104: Datos archivo icingcorpora- Tabla applications ............................................... 225
Figura 105: Tablas archivo localappstate ........................................................................... 225
Figura 106: Datos archivo localappstate - Tabla appstate .................................................. 225
Figura 107: Exportación datos a archivo con extensión ".csv" ........................................... 226
xiii
Figura 108: Diagrama de caso de uso SGICAF ................................................................. 271
Figura 109: Diagrama de caso de uso registrar peritaje ..................................................... 271
Figura 110: Caso de uso registrar personal ....................................................................... 273
Figura 111: Caso de uso registrar dispositivo .................................................................... 274
Figura 112: Caso de uso registrar archivos ........................................................................ 278
Figura 113: Caso de uso copia de seguridad ..................................................................... 279
Figura 114: Caso de uso generar reportes ......................................................................... 281
Figura 115: Modelo de clases SGICAF .............................................................................. 283
Figura 116: Diagrama de clases SGICAF- Persistence ...................................................... 284
Figura 117: Diagrama de clases ........................................................................................ 285
Figura 118: Diagrama de secuencia registrar peritaje ........................................................ 286
Figura 119: Diagrama de secuencia registrar dispositivo ................................................... 287
Figura 120: Diagrama de secuencia registrar archivos ...................................................... 288
Figura 121: Diagrama de secuencia generar reporte caso ................................................. 289
Figura 122: Diagrama de secuencia generar reporte resultados ........................................ 290
Figura 123: Diagrama de actividades registrar peritaje ...................................................... 291
Figura 124: Diagrama de actividades registrar dispositivo ................................................. 292
Figura 125: Diagrama de actividades registrar archivos ..................................................... 293
Figura 126: Diagrama de actividades generar reporte caso ............................................... 294
Figura 127: Diagrama de actividades generar reporte resultados ...................................... 295
Figura 128: Diagrama de componentes ............................................................................. 296
Figura 129: Diagrama de paquetes .................................................................................... 296
Figura 130: Diagrama de despliegue ................................................................................. 297
Figura 131: Modelo entidad relación .................................................................................. 301
Figura 132: Opción aceptar licencia ................................................................................... 306
Figura 133: Seleccionar jdk................................................................................................ 306
Figura 134: Opción guardar ............................................................................................... 307
Figura 135: Pantalla de bienvenida instalación jdk ............................................................. 307
Figura 136: Instalación jdk ................................................................................................. 308
Figura 137: Progreso de instalación jdk ............................................................................. 308
Figura 138: Carpeta destino, instalación jdk....................................................................... 309
Figura 139: Instalación jdk carpeta destino ........................................................................ 309
Figura 140: Mensaje final, instalación completa jdk ........................................................... 309
Figura 141: Descargar xampp para Windows .................................................................... 310
Figura 142: Proceso de descarga Xampp .......................................................................... 310
Figura 143: Guardar instalador .......................................................................................... 311
xiv
Figura 144: Ventana de bienvenida Xampp ....................................................................... 311
Figura 145: Seleccionar componentes ............................................................................... 312
Figura 146: Carpeta destino Xampp .................................................................................. 312
Figura 147: Desmarcar casilla ........................................................................................... 313
Figura 148: Instalación xampp 1 / 2 ................................................................................... 313
Figura 149: Instalación xampp 2 / 2 ................................................................................... 314
Figura 150: Mensaje finalización instalación ...................................................................... 314
Figura 151: Panel de control Xampp .................................................................................. 315
Figura 152: Opción cambar puerto 1 / 2 ............................................................................. 315
Figura 153: Opción cambiar puerto 2 / 2 ............................................................................ 315
Figura 154: Opción httpd-ssl.conf ...................................................................................... 316
Figura 155: Cambiar puerto 1 / 2 ....................................................................................... 316
Figura 156: Cambiar puerto 2 / 2 ....................................................................................... 316
Figura 157: Iniciar Apache y MySQL .................................................................................. 317
Figura 158: Servicios iniciados........................................................................................... 317
Figura 159: Seleccionar opción español ............................................................................ 317
Figura 160: Ventana de inicio Xampp ................................................................................ 318
Figura 161: Opción phpmyadmin ....................................................................................... 318
Figura 162: Crear base ...................................................................................................... 318
Figura 163: Crear base de datos........................................................................................ 319
Figura 164: Confirmación base de datos creada ................................................................ 319
Figura 165: Opción importar .............................................................................................. 319
Figura 166: Seleccionar importar ....................................................................................... 320
Figura 167: Opción seleccionar archivo ............................................................................. 320
Figura 168: Seleccionar archivo ......................................................................................... 320
Figura 169: Opción continuar ............................................................................................. 321
Figura 170: Ventana de beinvenida SDK ........................................................................... 321
Figura 171: Ventana detectar Java .................................................................................... 322
Figura 172: Ventana instalación compartida entre usuarios ............................................... 322
Figura 173: Carpeta destino SDK ...................................................................................... 322
Figura 174: Ventana Iniciar instalación .............................................................................. 323
Figura 175: Proceso de instalación SDK 1 / 3 .................................................................... 323
Figura 178: Confirmación instalación completa SDK.......................................................... 324
Figura 179: Añadir variables de entorno ............................................................................ 325
xv
Figura 180: Opción configuración avanzada del sistema ................................................... 325
Figura 181: Opción variables de entorno ........................................................................... 326
Figura 182: Editar variable de entorno ............................................................................... 326
Figura 183: Confirmación variable de entorno.................................................................... 326
Figura 184: Comprobación comando adb .......................................................................... 327
Figura 185: ADB ................................................................................................................ 327
Figura 186: SDK Manager ................................................................................................. 327
Figura 187: Venatana SDK Manager ................................................................................. 328
Figura 188: Seleccionar paquetes...................................................................................... 328
Figura 189: Instalación paquetes ....................................................................................... 328
Figura 190: Finalizar instalación paquetes ......................................................................... 329
Figura 191: Pantalla de bienvenida .................................................................................... 329
Figura 192: Pantalla principal ............................................................................................. 330
Figura 193: Opción inicio ................................................................................................... 330
Figura 194: Formulario Ingresar caso de estudio ............................................................... 331
Figura 195: Formulario ingresar equipo de investigación ................................................... 332
Figura 196: Formulario ingreso de datos evidencia ............................................................ 332
Figura 197: Ingresar datos dispositivo 1/ 4 ......................................................................... 333
Figura 198: Formulario dispositivo 2 / 4 ............................................................................. 334
Figura 199: Formulario dispositivo 3/ 4 .............................................................................. 334
Figura 200: Formulario búsqueda dispositivo 4/ 4 .............................................................. 335
Figura 201: Formulario composición sistema de ficheros ................................................... 335
Figura 202: Formulario subir archivos ................................................................................ 336
Figura 203: Menú generar reporte ..................................................................................... 336
Figura 204: Ventana selección caso .................................................................................. 337
Figura 205: Opción generar reporte ................................................................................... 337
Figura 206: Reporte ........................................................................................................... 337
Figura 207: Menú plantillas ................................................................................................ 338
Figura 208: Opción ayuda .................................................................................................. 338
Figura 209: Ventana principal de Ayuda ............................................................................ 339
Figura 210: Ventana “Acerca de” ....................................................................................... 339
xvi
ÍNDICE DE TABLAS
Tabla 1: Análisis comparativo metodologías ........................................................................ 20
Tabla 2: Análisis comparativo de las herramientas .............................................................. 35
Tabla 3: Características a nivel de hardware ....................................................................... 39
Tabla 4: Características a nivel de software ......................................................................... 40
Tabla 5: Versiones ............................................................................................................... 43
Tabla 6: Los cinco principales sistemas operativos de smartphones.................................... 43
Tabla 7: Versiones más utilizadas........................................................................................ 44
Tabla 8: Roles y funciones equipo de trabajo....................................................................... 64
Tabla 9: Modelo de etiqueta evidencia ................................................................................. 72
Tabla 10. Equipo de trabajo- Pruebas smartphone .............................................................. 92
Tabla 11: Descripción herramientas ..................................................................................... 93
Tabla 12: Características smartphone.................................................................................. 94
Tabla 13: Archivos de interés del sistema de ficheros del smartphone ................................ 95
Tabla 14: Archivos smartphone............................................................................................ 96
Tabla 15: Columnas de interés tabla "TABS" - smartphone ................................................. 96
Tabla 16: Historial de navegación ........................................................................................ 97
Tabla 17: Columnas de interés tabla downloads- smartphone ........................................... 100
Tabla 18: Columnas de interés tabla appstate- smartphone .............................................. 101
Tabla 19: Columnas de interés tabla applications - smartphone ........................................ 101
Tabla 20: Aplicaciones instaladas ...................................................................................... 102
Tabla 21: Aplicaciones desinstaladas ................................................................................ 104
Tabla 22: Aplicaciones no satisfactorias ............................................................................ 105
Tabla 23: Resultado aplicaciones ...................................................................................... 108
Tabla 24: Aplicaciones instaladas por fecha ...................................................................... 108
Tabla 25: Historial de navegación ...................................................................................... 111
Tabla 26: Equipo de trabajo - Tablet .................................................................................. 115
Tabla 27: Descripción herramientas utilizadas Tablet ........................................................ 115
Tabla 28: Características tablet.......................................................................................... 117
Tabla 29: Archivos de interés del sistema de ficheros de la Tablet .................................... 118
Tabla 30: Descripción contenido ........................................................................................ 119
Tabla 31: Descripción contenido de imagen obtenida con Oxygen Forensic ...................... 121
Tabla 32: Ruta archivos- Tablet ......................................................................................... 123
Tabla 33: Columnas de interés de la tabla history- Tablet .................................................. 123
Tabla 34: Historial de navegación - Tablet ......................................................................... 123
Tabla 35: Columnas de interés tabla sisodownloads - Tablet ............................................. 127
xvii
Tabla 36: Datos de las descargas ...................................................................................... 128
Tabla 37: Número de descargas ........................................................................................ 129
Tabla 38: Resultados aplicaciones..................................................................................... 129
Tabla 39: Columnas de interés tabla appstate- tablet ........................................................ 130
Tabla 40: Columnas de interés tabla applications- tablet ................................................... 130
Tabla 41: Aplicaciones instaladas - tablet .......................................................................... 131
Tabla 42: Aplicaciones desinstaladas - tablet..................................................................... 132
Tabla 43: Descargas no satisfactorias - tablet.................................................................... 133
Tabla 44: Columnas de interés tabla applicationcontrol - tablet.......................................... 134
Tabla 45: Datos archivo dmappmgr.db .............................................................................. 134
Tabla 46: Datos aplicaciones instaladas de otras fuentes .................................................. 138
Tabla 47: Descripción comando adb backup...................................................................... 140
Tabla 48: Resultado aplicaciones tablet ............................................................................. 142
Tabla 49: Número de descargas tablet ............................................................................. 144
Tabla 50: Historial de navegación- tablet ........................................................................... 144
Tabla 51: Características dispositivos ................................................................................ 152
Tabla 52: Pruebas software con dispositivos móviles ........................................................ 153
Tabla 53: Comparativa con otras aplicaciones ................................................................... 153
Tabla 54: Rutas archivos ................................................................................................... 155
Tabla 55: Comparativa de los archivos accesibles ............................................................. 155
Tabla 56: Equipo de trabajo smartphone ........................................................................... 169
Tabla 57: Materiales smartphone ....................................................................................... 169
Tabla 58: Descripción evidencia smartphone ..................................................................... 171
Tabla 59: Registro visual smartphone ................................................................................ 172
Tabla 60: Descripción herramientas smartphone ............................................................... 174
Tabla 61: Características dispositivo smartphone .............................................................. 178
Tabla 62: Descripción herramientas fase de análisis smartphone ...................................... 180
Tabla 63: Ruta archivos smartphone ................................................................................. 181
Tabla 64: Nuevas rutas archivos smartphone .................................................................... 182
Tabla 65: Columnas de interés tabla TABS ....................................................................... 184
Tabla 66: Historial de navegación ...................................................................................... 184
Tabla 67: Columnas de interés tabla downloads ................................................................ 187
Tabla 68: Historial de descargas ........................................................................................ 187
Tabla 69: Columnas de interés tabla appstate ................................................................... 189
Tabla 70: Columnas de interés tabla applications .............................................................. 189
Tabla 71: Listado de aplicaciones instaladas ..................................................................... 189
xviii
Tabla 72: Aplicaciones desinstaladas ................................................................................ 192
Tabla 73: Aplicaciones no satisfactorias ............................................................................ 193
Tabla 74: Equipo de trabajo tablet ..................................................................................... 195
Tabla 75: Materiales .......................................................................................................... 196
Tabla 76: Descripción evidencia tablet ............................................................................... 197
Tabla 77: Registro visual tablet .......................................................................................... 198
Tabla 78: Equipo de trabajo fase adquisición ..................................................................... 200
Tabla 79: Herramientas fase adquisición ........................................................................... 200
Tabla 80: Características tablet.......................................................................................... 215
Tabla 81: Descripción adb ................................................................................................. 216
Tabla 82: Herramientas fase de análisis ............................................................................ 218
Tabla 83: Ruta archivos a analizar ..................................................................................... 218
Tabla 84: Descripción contenido ........................................................................................ 219
Tabla 85: Descripción contenido de imagen obtenida con Oxygen forrensic ...................... 221
Tabla 86: Datos archivos ................................................................................................... 223
Tabla 87: Columnas de interés tabla history ...................................................................... 226
Tabla 88: Datos historial de navegación sin convertir fecha ............................................... 227
Tabla 89: Datos historial de navegación ............................................................................ 230
Tabla 90: Columnas de interés tabla sisodownloads .......................................................... 234
Tabla 91: Datos de las descargas sin convertir fecha ........................................................ 234
Tabla 92: Datos de las descargas ...................................................................................... 235
Tabla 93: Número de descargas ........................................................................................ 236
Tabla 94: Estructura tabla appstate ................................................................................... 236
Tabla 95: Datos aplicaciones ............................................................................................. 237
Tabla 96: Datos aplicaciones conversión fecha ................................................................. 239
Tabla 97: Columnas de interés tabla applications .............................................................. 241
Tabla 98: Datos tabla applications ..................................................................................... 242
Tabla 99: Datos tabla applications conversión fecha.......................................................... 243
Tabla 100: Aplicaciones instaladas .................................................................................... 245
Tabla 101: Aplicaciones desinstaladas .............................................................................. 247
Tabla 102: Descargas no satisfactorias ............................................................................. 247
Tabla 103: Columnas de interés tabla ApplicationControl .................................................. 247
Tabla 104: Datos tabla ApplicationControl ......................................................................... 248
Tabla 105: Paquetes instalados de otras fuentes ............................................................... 252
Tabla 106: Análisis instalación ........................................................................................... 340
Tabla 107: Análisis pruebas herramientas ......................................................................... 341
xix
GLOSARIO DE TÉRMINOS
Autorización legal Consiste en dar un permiso o consentimiento para realizar una

actividad.
Backup Es una copia de seguridad de los datos como fotos, archivos y

música, que puede ser restaurada en el caso de que exista un
borrado de los mismos.
Bolsa antiestática Es una bolsa diseñada para evitar el traspaso y generación de

electricidad sea por fricción o inducción, al almacenar o
transportar hardware.
Bootloader Se en encarga de cargar y ejecutar el sistema operativo de

Android.
Cadena de custodia Es un proceso que garantiza la seguridad, preservación e

integridad de los elementos colectados en el lugar de los
hechos, también hace referencia al mantenimiento y
preservación adecuada de los elementos de prueba.
Copia bit a bit Copia binaria, o copia exacta de la información contenida en el

dispositivo.
Delito informático Aquellas conductas ilícitas susceptibles de ser sancionadas por

el derecho penal, que hacen uso indebido de cualquier medio
informático”. (Romero Echeverría, 2005)
Evidencia Son todos los elementos que se colectan o recogen en la

escena, que sirven para probar la existencia de un hecho.
Exclusión probatoria Son procedimientos legales para dar de baja la evidencia en un

caso judicial por ejemplo cuando no se protegió una evidencia
porque fue manipulada o alterada, es decir no se llevó un
proceso para preservar la misma.
Ext4 Es un tipo de sistema de archivos transaccional, capaz de

trabajar con ficheros de gran tamaño.
xx
Firmware “Parte del software de un dispositivo grabado en una memoria
ROM que se encarga de gestionar la lógica de más bajo nivel,
siendo la parte software más cercana al propio hardware del
dispositivo”. (Acosta, 2011)
Hash Es una contraseña o firma digital que nos permite mantener la

integridad de los archivos generados, para posteriormente
verificar la modificación o alteración de los mismos.
Imagen forense Es una copia binaria de un medio electrónico de

almacenamiento. Donde quedan grabados los espacios que
ocupan los archivos y las áreas borradas incluyendo particiones
escondidas.
Inhibidor de señal Es un aparato electrónico que emite ondas de radio en las

mismas bandas de frecuencia que los teléfonos, con la energía
suficiente para colisionar las señales de los móviles.
Memoria volátil Es un tipo de memoria que se pierde al interrumpirse el flujo

eléctrico por ejemplo RAM.
Memoria no volátil Es un tipo de memoria que no necesita de energía para

perdurar.
Pericia Habilidad, sabiduría y experiencia en una determinada materia
Recovery Partición de Android con propiedades de arranque.
ROM “Del inglés Read Only Memory, es un tipo de memoria que, a

diferencia de la RAM —Random Access Memory— no se
elimina al interrumpir la alimentación eléctrica. En Android se
utiliza este tipo de memoria para almacenar el sistema
operativo, de forma que no interfiera con los datos del usuario.
(Acosta, 2011)
Sistema de ficheros “El sistema de ficheros o archivos no es otra cosa que el que
proporciona los mecanismos para el almacenamiento en línea
de los datos y programas del propio sistema operativo y para
todos los usuarios del sistema informático, así como para el
xxi
acceso a esos datos y programas. Compuesta de dos partes
como lo es una colección de archivos que almacena una serie
de datos relacionados y una estructura de directorios que
organiza todos los archivos del sistema y proporciona
información acerca de los mismos”. (Silberschatz, Galvin, &
Gagne, 2006)
SD Card Dispositivo de almacenamiento también conocida como tarjeta

externa.
SIM Card Tarjeta inteligente desmontable usada en teléfonos móviles,

obligatoria en redes GSM.
Volcar memoria Obtener un registro no estructurado del contenido de la

memoria
YAFFS De sus siglas en inglés (Yet Another Flash File System), es el

primer tipo de sistema de archivos diseñado específicamente
para memoria flash NAND, donde el tamaño máximo del
sistema de ficheros es de 8GB
xxii
RESUMEN
El presente trabajo tiene por objeto analizar y explicar en qué consiste la informática
forense, su definición, herramientas y guías de las mejores prácticas a seguir en un proceso
forense.
Continuamente se desarrolla una guía metodológica donde se considera las

recomendaciones y mejores prácticas sobre el correcto uso y manejo de la evidencia. La
misma que consta de 4 fases; la primera fase de identificación y preservación de la
evidencia, es el inicio de la cadena de custodia; la segunda fase de adquisición o extracción,
comprende la extracción física y lógica del contenido del dispositivo; la tercera fase de
análisis y exploración, la cual a través de técnicas y herramientas especializadas se
pretende identificar las acciones y/o actividades realizadas por un agente; finalmente en la
cuarta fase se realiza una presentación formal y clara de los hallazgos encontrados en el
dispositivo, generando un informe técnico y ejecutivo.
Al concluir la presente investigación se provee de una aplicación que permite: gestionar la

información del caso de estudio, obtener las principales propiedades del dispositivo móvil y
ayudar al análisis de los archivos.
Palabras claves: Guía metodológica, análisis forense, informática forense, NIJ, NIST,
OASAM, SWGDE, ENFSI, Android, dispositivos móviles, herramientas forenses.
1
ABSTRACT
This paper aims to analyze and explain what computer forensics, its definition, tools and best
practices guides to follow a forensic process.
Continuously a methodological guide which is considered the recommendations and best

practices on the proper use and handling of evidence develops. Comprising the same four
phases; the first phase of identification and preservation of evidence, is the beginning of the
chain of custody; the second phase of acquisition or extraction, comprising the physical and
logical device content extraction; the third phase of analysis and exploration, which through
specialized techniques and tools intended to identify actions and / or activities of an agent;
finally in the fourth phase a formal and clear presentation of the findings on the device is
performed, generating a technical and executive report.
At the conclusion of this research provides an application to: information management case
study, obtain the main properties of mobile and help file analysis.
Keywords: Methodological Guide, forensics, computer forensics, NIJ, NIST, OASAM,

SWGDE, ENFSI, Android, mobile devices, forensic tools.
2
INTRODUCCIÓN
“Sin importar donde pise, donde quiere que toque, donde sea que esté, el delincuente
incluso inconscientemente, dejará un rastro de su presencia” Edmond Locard.
El uso de los dispositivos móviles en especial los smartphones ha tomado gran importancia
en nuestro diario vivir, brindando grandes beneficios a nivel personal y laboral, creando
nexos de comunicación, visualización de vídeos e imágenes, consulta de noticias,
información deportiva, compras electrónicas y en especial la interacción con las redes
sociales, entre otros.
En un estudio realizado por la consultora IDC (Pastor, 2014) Android es uno de los sistemas
operativos para dispositivos móviles, más populares en el mercado con una cuota de 78,6%,
en el año 2013, sobre iOS, Windows Phone, Blackberry y otros. Siendo un factor importante
el que este sistema operativo sea de código abierto, permitiendo su modificación y
personalización.
Pero ¿qué riesgos están presentes al momento de guardar la información personal en el

dispositivo móvil o smartphone?, ¿qué problemas de seguridad existen?; pues bien, es
cierto, la importancia de los datos que se almacenan en los dispositivos móviles conlleva a
que expertos en el tema examinen detalladamente la información almacenada, escondida,
cifrada o borrada del dispositivo móvil, como lo son las llamadas telefónicas, la agenda de
contactos, imágenes, vídeos, mensajes de texto, correo electrónico, etc.; información que
puede ser utilizada para cometer delitos informáticos, tales como usurpación de identidad,
amenazas, robo de información, entre otros.
Es así que con el fin de recuperar los datos perdidos y/o borrados “accidentalmente”, como
también la búsqueda de evidencias, o rastros dejados por el autor del delito, nace un nuevo
campo de investigación en la ciencia forense, ciencia conocida como Análisis Forense
Informático o Digital.
Es importante mencionar que en Ecuador no existe un documento o guía que proporcione al

profesional las directrices necesarias a considerar en un proceso forense en dispositivos
móviles.
Por lo que el propósito de la presente investigación es diseñar una guía metodológica

especializada en dispositivos móviles con sistema operativo Android, que permita aplicar y
sustentar el proceso forense, considerando las recomendaciones y mejores prácticas sobre
3
el correcto uso y manejo de la evidencia de los diferentes referentes y estándares
internacionales tales como: la guía metodológica forense del Departamento de Justicia de
los Estados Unidos (NIJ), la Guía Forense en Teléfonos Celulares del Instituto Nacional de
Estándares de Tecnología (NIST), la guía metodológica de la Red Europea de Instituto de
Ciencias Forenses (ENFSI), la guía de mejores prácticas para análisis forense en teléfonos
móviles (SWGDE), el framework Open Android Security Assessment Methodology (OASAM)
y de estudios realizados referentes al tema. Además de proveer una aplicación que permite:
gestionar la información del caso de estudio, extraer las principales propiedades del
dispositivo móvil y ayudar al análisis de los archivos que el usuario adquiere de la copia bit a
bit, archivos que contienen información referente a las aplicaciones
instaladas/desinstaladas, historial de navegación y descargas realizadas por el usuario.
La estructura de la tesis se encuentra dividida en cuatro capítulos y una sección para

conclusiones y recomendaciones. A continuación se comenta brevemente la finalidad de
cada capítulo.
En el primer capítulo se estipula el contexto de la investigación, la problemática, la

justificación, el alcance y los objetivos a alcanzar con el proyecto de fin de titulación.
En el segundo capítulo se desarrolla un estado del arte donde se abarca los conceptos de
análisis forense, manejo de incidentes informáticos, dispositivos móviles, el sistema
operativo Android, que leyes se consideran ante un incidente informático en el Ecuador, y
que herramientas (software) se pueden utilizar para realizar el análisis forense en el
dispositivo móvil y a su vez un estudio y evaluación de las diferentes metodologías o
modelos usados en una análisis forense digital, los mismos que han surgido gracias a la
experiencia de profesionales vinculados en el tema.
En el tercer capítulo se diseña y desarrolla una guía metodológica que sea de apoyo y
sustento en el proceso forense, proponiendo cuatro fases: identificación, preservación,
adquisición, análisis/exploración, y presentación de resultados.
En el cuarto capítulo se muestra el resultado de la implementación de la guía, validando y

verificando la misma. Así mismo con la ayuda de la guía se desarrolla una aplicación que
permite la gestión de la información del caso de estudio a evaluar.
Finalmente se presenta las conclusiones y recomendaciones alcanzadas en la ejecución y

evaluación de la metodología propuesta, dando a conocer la factibilidad de la misma, como
también los requisitos que la ciencia forense digital requiere.
4
CAPÍTULO I
CONTEXTO DE LA INVESTIGACIÓN
1.1 Tema
Guía metodológica de análisis forense informático para dispositivos móviles con sistema
operativo Android.
1.2 Planteamiento del problema- Contexto
Los dispositivos móviles poseen una gran capacidad de procesamiento, como también de
almacenamiento, llegando a ser realmente extensa, pudiendo variar entre 1GB a 64GB, lo
que se vuelve un problema, ya que toda la información que se logra almacenar muchas
veces es desconocida en su totalidad por los usuarios, convirtiéndose en un verdadero
paraíso para la obtención de información privada, tanto para un agente externo (aplicación
dañina, malware, hacker) como para un peritaje digital, en el supuesto caso en que el
propietario esté involucrado en una controversia legal.
Sin embargo para poder extraer la información de este tipo de dispositivos existen muchas
técnicas o métodos, pero el de mayor eficacia es aquel que considera la recuperación de la
información a través del sistema de ficheros del sistema operativo, el que incluso tiene la
capacidad de poder encontrar información que fue modificada o borrada con anterioridad.
Pero el problema existente se da cuando al realizar un peritaje informático no se cuenta con

una guía que proporcione al profesional las directrices necesarias a considerar en el proceso
forense en dispositivos móviles con sistema operativo Android. Excluyendo también las
herramientas forenses apropiadas, que permiten la recuperación de la información del
mismo.
1.3 Justificación
El smartphone al ser un dispositivo de uso continuo registra información vital del usuario, ya
sea de la interacción con redes sociales, directorio de llamadas, registro de mensajes, uso
de aplicaciones, etc.; dicha información que es almacenada en el sistema de ficheros del
dispositivo puede ser utilizada para realizar entre otras actividades: acoso sexual,
usurpación de identidad, robo de información, etc., que atentan contra la seguridad e
integridad de la persona.
En los escenarios donde se ha comprometido información de un usuario, su dispositivo

móvil se convierte en una herramienta que ayuda a los peritos informáticos a realizar un
análisis forense digital y poder determinar rastros o indicios de algún incidente ocurrido con
el mismo.
6
Es así que con el fin de conocer y recuperar los datos perdidos, robados y/o borrados se da
inicio al análisis forense informático, el mismo que permite buscar las evidencias o rastros
dejados por el autor del delito.
Por lo que se ha visto conveniente realizar un estudio y análisis de las diferentes

metodologías y herramientas utilizadas en el análisis forense digital, desarrollando una guía
metodológica de análisis forense para dispositivos móviles con sistema operativo Android,
que permita identificar las fases y/o procesos a seguir para el análisis, extracción y
preservación de la evidencia, proporcionando al profesional limitarse a lo que realmente se
le solicita y refiere el caso de estudio.
1.4 Alcance
Dentro del alcance definido en la investigación tenemos:
 Evaluar y considerar las recomendaciones y mejores prácticas de las guías de

análisis forense orientadas a dispositivos móviles.
 Analizar el aspecto legal existente en Ecuador para tomar las debidas precauciones
en el desarrollo y cumplimiento del análisis.
 Definir los procesos y/o actividades a considerar en el análisis forense para
dispositivos móviles con sistema operativo Android.
 Analizar la estructura del sistema de ficheros de Android.
 Comparar y seleccionar las herramientas o software adecuados en la realización de
un análisis forense en dispositivos móviles.
 Implementar una interfaz gráfica (aplicación de escritorio) que permita: gestionar la
información del caso de estudio, obtener las principales propiedades del dispositivo
móvil y ayudar al proceso de análisis e interpretación de los archivos que almacenan
la información de los paquetes (aplicaciones/apps) instaladas y desinstaladas,
historial de navegación, y descargas realizadas del dispositivo móvil.
 Implementar las fases de la guía con 2 dispositivos móviles con sistema operativo
Android, otorgando acceso root a uno de los dispositivos móviles.
 Probar el software desarrollado en 5 dispositivos móviles con sistema operativo
Android, los cuales se acceden para fines investigativos.
7
1.5 Objetivos
1.5.1 Objetivo general
Desarrollar una investigación sobre el proceso a seguir en una investigación forense digital,
con el objeto de diseñar una guía metodológica que permita contar con las directrices
necesarias para automatizar el proceso de análisis, recolección y búsqueda de información
en el dispositivo móvil con Sistema Operativo Android.
1.5.2 Objetivos específicos
 Realizar un estudio y evaluación de los diferentes modelos y/o guías metodológicas

propuestas para determinar e identificar los procesos y fases a seguir a través de la
elaboración de una guía metodológica
 Evaluar las herramientas y/o aplicaciones más adecuadas para realizar un análisis
forense en dispositivos móviles.
 Desarrollar una aplicación que permita:
o Gestionar la información del caso de estudio a evaluar.
o Extraer las principales propiedades del dispositivo móvil, detalladas en el
documento de requerimientos
o Ayudar al proceso de análisis e interpretación de los archivos que almacenan la
información de los paquetes (aplicaciones/apps) instaladas y desinstaladas,
historial de navegación, y descargas del dispositivo móvil, adquiridos en la copia
bit a bit.
8
CAPÍTULO II
ESTADO DEL ARTE
2.1 Análisis forense
“El análisis forense hace referencia al examen, estudio e interpretación de todas y cada una
de las evidencias físicas recogidas en la esencia” –Brent E. Turvey
Para realizar un análisis forense, primeramente se debe dar respuesta a las siguientes
interrogantes ¿de qué se trata?, ¿para qué sirve?, ¿qué técnicas y herramientas se deben
usar?, ¿cuál es el procedimiento a seguir?, y en especial ¿qué leyes, de acuerdo al código
penal vigente en el país se aplican ante un delito informático?, entre otras.
Respuestas que se detallan en la brevedad a continuación:
2.1.1 ¿Qué es el análisis forense informático?
De acuerdo (Santes Galván, 2009) desde el año 2000 “el estudio de la Informática Forense
se lleva con mayor formalidad por lo que para el año 2002 se da la aparición de la revista
‘International Journal of Digital Evidence’, la cual queda establecida como un foro de
discusión sobre la teoría, investigación, políticas y prácticas relacionadas con la evidencia
digital”.
Según (Thomas, Owen, & McPhee, 2010) “Forense es el arte o el estudio del discurso
argumentativo en el que se utiliza la ciencia para proporcionar datos, es decir, la aplicación
de la ciencia a la ley. Siendo una técnica para la identificación, la recuperación y la
reconstrucción de las pruebas. Investigadores de la ciencia forense reconstruyen y extraen
la evidencia de la que se puede aplicar a los casos penales para dar más pistas, o celebrar
hechos. La Informática Forense ha adoptado un procedimiento de investigación similar, pero
el examen científico solamente se preocupa de los datos contenidos o de los que se
recupera en los medios de comunicación digitales. Por consiguiente, la informática forense
puede ser definida como la preservación, identificación, extracción, documentación e
interpretación de los datos digitales”.
Pero para (de León Huerta, 2009) “La informática forense, en primer lugar actúa como un
sistema preventivo, siendo de utilidad para auditar mediante la práctica de diversas técnicas
que ayudan a probar que los sistemas de seguridad instalados cumplen con ciertas
condiciones básicas de seguridad; en segundo lugar si el sistema ha sido penetrado, la
informática forense permite realizar el rastreo de la intrusión y poder descubrir el daño
realizado (recopilación de evidencias electrónicas, origen del ataque, alteraciones realizadas
al sistema, etc.), las mismas que recopilarán las evidencias (e.g. archivos temporales, hora
10
de encendido de un sistema, etc.) necesarias para capturar a los criminales que atacaron el
sistema y se proceda según las regulaciones legales de cada país”.
En cambio para (McKennichs, 1998) el Análisis Forense Informático es “la técnica de

capturar, procesar e investigar información procedente de sistemas informáticos utilizando
una metodología con el fin de que pueda ser utilizada en la justicia”.
Y para (Rifá Pous, Serra Ruiz, & Rivas López, 2009) “El análisis forense es una ciencia
moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de
seguridad. Este análisis puede determinar quién, desde dónde, cómo, cuándo y qué
acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de
seguridad”.
Basándose en los conceptos anteriores se puede definir al análisis forense informático

como un proceso y/o metodología que tiene la finalidad de probar y reconstruir un
hecho o suceso, a través de las pruebas realizadas en un laboratorio.
2.1.2 ¿Para qué sirve el análisis forense?
El análisis forense informático permite la aplicación de técnicas y herramientas para la

reconstrucción de pruebas a ser usadas, para la argumentación científica ante un delito1 e
incidente.
(Caballero, Rambla, & Alonso, 2009) Señala que “hay que tener en cuenta que cuando un
usuario no autorizado toma el control de un sistema, éste puede instalar múltiples ‘puertas
traseras’ que le permiten entrar al sistema en un futuro, aun cuando se corrija la
vulnerabilidad original que le permitió el control del sistema. Será labor del análisis forense
conocer que acciones realizó el atacante en el sistema para detectar este tipo de
actividades”.
2.1.3 Tipo de análisis forense
Los tipos de análisis forense según (Rifá Pous et al., 2009) dependen del punto de vista del
que se va analizar, entre ellos tenemos:
1
Delito informático: “Aquellas conductas ilícitas susceptibles de ser sancionadas por el derecho
penal, que hacen uso indebido de cualquier medio informático”. (Romero Echeverría, 2005)
11
 Análisis forense de sistemas: Es en el que se tratan los incidentes de seguridad en
servidores y estaciones de trabajo con los sistemas operativos como MAC OS,
Windows, UNIX y sistemas GNU/Linux.
 Análisis forense de redes: Se engloba el análisis de diferentes redes (cableadas,
Wireless, bluetooth, etc.).
 Análisis forense de sistemas embebidos: En este tipo se analizan incidentes
acaecidos en móviles, PDA, etc., ya que un sistema embebido posee una
arquitectura semejante a la de un ordenador personal.
2.1.4 Principios del análisis forense
Acorde a (de León Huerta, 2009) al comenzar un examen forense existen un gran número
de elementos básicos a tomar en cuenta en cada una de las fases de la informática forense
tales como:
 Evitar la contaminación: Evitar la incorrecta manipulación de la evidencia, para evitar

una incorrecta interpretación o análisis.
 Actuar metódicamente: El investigado debe ser el custodio de su propio proceso, por
tanto, cada uno de los pasos realizados, las herramientas utilizadas, los resultados
obtenidos deben estar bien documentados.
 Controlar la cadena custodia: Responder a una diligencia y formalidad especial para
documentar cada uno de los eventos que se han realizado con la evidencia.
2.1.5 Usos de la informática forense
Además el autor (de León Huerta, 2009) señala que existen varios usos de la Informática
Forense, provenientes de la vida diaria, y no necesariamente están relacionados con la
informática forense, tales como:
 Prosecución criminal: Evidencia incriminatoria para procesar crímenes como

homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o
pornografía infantil.
 Litigación civil: Casos que tratan con fraude, discriminación, acoso y/o divorcio.
 Investigación de seguros: La evidencia encontrada en computadoras puede ayudar a
las compañías de seguros a disminuir los costos de los reclamos por accidentes y
compensaciones.
12
 Temas corporativos: Acoso sexual, robo, mal uso o usurpación de información
confidencial o propietaria, o espionaje industrial.
 Mantenimiento de la ley: Búsqueda inicial de órdenes judiciales, como la búsqueda
de información una vez se tenga la orden judicial para realizar una búsqueda
exhaustiva.
2.2 Manejo de incidentes informáticos
Según la norma ISO 27035, un Incidente de Seguridad de la Información es indicado por un

único o una serie de eventos de seguridad de la información indeseada o inesperada, que
tienen una probabilidad significativa de comprometer las operaciones de negocio y de
amenazar la seguridad de la información2.
En cambio (López Delgado, 2007) considera a un incidente informático como una violación o
intento de violación de la política de seguridad, de la política de uso adecuado o de las
buenas prácticas de utilización de los sistemas informáticos.
De acuerdo a (Caballero, Rambla, & Alonso, 2009) y (López Delgado, 2007) los tipos de
incidentes informáticos más comunes son los siguientes:
 Denegación de servicios (Dos): Su finalidad es obstaculizar, dañar o impedir el

acceso a redes, sistemas o aplicaciones mediante el agotamiento de recursos.
 Código malicioso: En este tipo de incidente se recogen los ataques mediante virus,
troyanos, gusanos, rootkits y demás tipos de malware. Un troyano se puede instalar
para obtener acceso al equipo en un futuro próximo. Un rootkit se puede instalar para
ocultar las acciones de un troyano sobre el sistema operativo. Ataques de inyección
vía web, como SQL Injection o Cross Site Scripting.
 Acceso no autorizado: Se produce cuando un usuario no permitido consigue
validarse con éxito en un sistema al que no debería poder acceder. Tales como
recursos compartidos de sesión, lista de privilegios, robo de cuentas de usuario,
secuestro de sesiones autenticadas y elevación de privilegios de una cuenta a otra.
 Utilización no autorizada de servicios: Se define a sí mismo como la utilización de un
servicio, sin estar aparentemente autorizado para ello. La causa principal suele ser la
incorrecta aplicación de permisos sobre un usuario o la usurpación de cuentas y/o
elevación de privilegios.
2
http://www.cert.uy/inicio/incidentes/que_es-un-incidente/
13
En cambio en el sitio web (Portal Jurídico, 2013) se dice que los peritos informáticos se
enfrentan a una variedad de casos reales, entre los que se mencionan están:
1. Acceso o copia de ficheros de empresa con planos, fórmulas, costes, precios, datos
de clientes, etc.
2. Acoso a través de las redes sociales, como Facebook, Twitter, o por medios
electrónicos, por ejemplo, por correo electrónico o SMS.
3. Apropiación y difusión de datos o información reservada. Ataques a sistemas
informáticos, tanto internos como externos de personas, empresas o de la
Administración Pública.
4. Delitos contra el mercado o contra los consumidores.
5. Delitos contra la propiedad industrial por espionaje o por revelación de secretos.
6. Delitos contra la propiedad intelectual, por ejemplo, por copia o difusión de libros en
formato digital, de música, de vídeos, etc.
7. Delitos económicos o societarios, como estafas, fraudes, alteración de precios, etc.
usando medios electrónicos
8. Despido de personal a causa de la introducción de tecnologías de la información.
9. Edición, divulgación, acceso o posesión de pornografía ilegal, como por ejemplo, la
pornografía infantil.
10. Interceptación de las telecomunicaciones, por ejemplo, de los [usuarios], de las
empresas, de los partidos políticos, etc.
11. Inyección de programas infecciosos, como virus y gusanos, dentro de sistemas
informáticos.
12. Manipulación indebida de programas.
13. Piratería informática, por ejemplo, por difusión o uso de software sin licencia o sin
autorización.
14. Protección de datos personales y de datos reservados de personas jurídicas.
15. Publicidad engañosa o correo electrónico spam.
16. Robo de datos bancarios, por ejemplo, mediante phishing.
17. Robo de identidad o falsificación por medios electrónicos.
18. Robo de información personal, por ejemplo, mediante key loggers.
19. Sabotaje y daños por destrucción de hardware o alteración de datos.
20. Uso de programas ocultos como son los caballos de Troya, backdoors, rootkits, etc.
21. Uso indebido de la información por empleados desleales.
22. Uso ilegal o abusivo de sistemas informáticos.
23. Valoración de bienes informáticos, tanto hardware como software.
14
24. Valoración del coste del desarrollo de aplicaciones.
25. Vulneración de la buena fe contractual existiendo documentos electrónicos.
26. Vulneración de la intimidad mediante lectura del correo electrónico privado; etc.
Para el manejo de los incidentes informáticos, al igual que en el análisis forense se requiere
de un procedimiento que determine la respuesta inmediata ante el incidente o suceso, por lo
que el autor (Santes Galván, 2009) propone las siguientes fases:
 Preparación.- Se propone esta fase para:

o Estructurar al equipo de manejo de incidentes (Equipo de respuesta a
incidentes) y,
o Prevenir incidentes asegurándose que los sistemas, redes y aplicaciones
están suficientemente seguros.
 Detección: Consiste en averiguar y evaluar las condiciones del posible incidente.
Esto es, determinar la ocurrencia del incidente y en caso de que haya ocurrido,
identificar perfectamente el tipo, extensión y magnitud del problema. La detección de
incidentes se puede hacer a través de dos señales: los precursores e indicadores. El
precursor es una señal que pone de manifiesto que un incidente puede ocurrir en el
futuro. Un indicador es una señal de que un incidente podría haber ocurrido o podría
estar ocurriendo. Se puede identificar a los precursores e indicadores utilizando
diversas fuentes, siendo la más común las alertas de software de seguridad
informática, registros, información pública disponible y las personas.
 Análisis: Consiste en la revisión y validación del evento sospechoso que permita
determinar el ámbito e impacto del posible incidente. Es en esta etapa donde el
equipo de manejo de incidentes debe obtener la mayor cantidad de información
posible sobre lo que está sucediendo y que permitan establecer prioridades sobre las
subsecuentes actividades, tal como contención del incidente y análisis más profundo
de los efectos del incidente.
 Contención: Cuando un incidente se ha detectado y analizado, es importante
contenerlo antes de que su propagación destruya recursos o aumenten los daños.
Un aspecto esencial en la contención es el proceso de decisión, basado en
estrategias y procedimientos predeterminados que permiten detener un incidente
específico en función de su tipo. En esta etapa se considera también, según sea el
caso, la posibilidad de aceptación de un nivel de riesgo al momento de interactuar
con incidentes y el desarrollo de estrategias de conformidad.
15
 Erradicación y recuperación: Después de que un incidente haya sido contenido, la
erradicación puede ser necesaria para eliminar componentes del incidente, tal como
eliminar código malicioso y/o deshabilitar cuentas de usuario afectadas, de manera
que los sistemas queden restaurados al modo de operación normal y (si es aplicable)
fortalecer a los sistemas para impedir incidentes parecidos.
 Actividades pos- incidente: Involucran un conjunto de acciones que permitan mejorar
los procesos relacionados con el manejo de incidentes. El objetivo consiste en
generar información que sirva de retroalimentación a través de reportes que puedan
responder a varias interrogantes que sometan a evaluación el desempeño de todos
los recursos involucrados en el manejo del incidente: equipo de manejo de
incidentes, usuarios involucrados, procedimientos y herramientas utilizadas, etc.
Estos reportes también deben servir para el mejoramiento del equipo de manejo de
incidentes, y de apoyo para los nuevos miembros que se integren. A partir de los
reportes que se generen se podrán actualizar las políticas y procedimientos, y se
podrán revelar fallas de procedimiento o la ejecución de pasos no acertados en el
manejo de los incidentes. Finalmente, una actividad que debe realizarse, al margen
del manejo de incidentes, es la ejecución de una auditoria de planes de respuesta a
incidentes que evalúe, por lo menos, los siguientes aspectos:
o Políticas y procedimientos de respuesta a incidentes,
o Herramientas y recursos,
o Modelo y estructura del equipo,
o Entrenamiento y capacitación del personal, y
o Documentación de incidentes y reportes. La evaluación de los elementos
anteriores permitirá identificar deficiencias y problemas en relación con las
políticas, regulaciones y mejores prácticas requeridas por el equipo de
respuesta a incidentes
Por lo tanto una vez identificado el incidente y la gravedad del mismo, se da paso al análisis
forense informático como tal, el cuál determinará cómo fue vulnerado el sistema, cuándo,
quién, y qué hizo el intruso en el mismo.
16
2.3 Estudio y evaluación de metodologías desarrolladas
En esta sección se considera las siguientes metodologías o frameworks ha ser evaluadas

con sus respectivos puntos principales.
2.3.1 Open Android Security Assessment Methodology OASAM
OASAM, es el acrónimo de Open Android Security Assessment Methodology es un

framework de referencia de análisis de vulnerabilidades en aplicaciones Android, en la que
el autor (Medianero, 2014) señala que tiene por objetivo ser una metodología de análisis de
seguridad de aplicaciones Android.
El autor establece los siguientes controles de seguridad:
1. OASAM-INFO Information Gathering (Obtención de información y definición de

superficie de ataque): En esta fase se define la superficie de ataque.
2. OASAM-CONF Configuration and Deploy Management (Análisis de la
configuración e implantación): En esta fase se definen diferentes errores de
configuración en las opciones de despliegue de las aplicaciones.
3. OASAM-AUTH Authentication (Análisis de la autenticación): En esta sección se
comprueban las funcionalidades relativas al uso de logins a través de la aplicación. Es
importante recalcar que lo que se buscarán son vulnerabilidades en la aplicación
Android, si la autenticación se realiza contra un tercero (Web Service, servicio REST,
etc.) la seguridad del tercero no será evaluada, solo las debilidades ligadas a la propia
aplicación Android.
4. OASAM-CRYPT Cryptography (Análisis del uso de criptografía): En la sección de
autenticación se comprobarán las funcionalidades relativas al uso de la criptografía en
el aplicativo. Esto puede ser al transmitir información o al almacenarla.
5. OASAM-LEAK Information Leak (Análisis de fugas de información sensible): En la
sección de autenticación se comprobarán las fugas de información a diferentes medios.
La información sensible puede ser relativa al usuario o del propio teléfono.
6. OASAM-DV Data Validation (Análisis de gestión de la entrada de usuario): En esta
categoría se incluirán vulnerabilidades que tienen que ver con el manejo por parte de la
aplicación de la entrada recibida por parte del usuario. La mala validación de la entrada
del usuario es uno de los principales vectores de ataque, ya que puede permitir a un
atacante alterar los flujos de información de la aplicación, inyectando código y afectando
gravemente a la aplicación y a los datos que ella contiene. En el Top Ten de riesgos en
17
aplicaciones móviles, esta categoría constituye el puesto 4, denominándose “Client Side
Injection”.
7. OASAM-IS Intent Spoofing (Análisis de la gestión en la recepción de Intents):
Representa vulnerabilidades que tienen que ver con el envío de intents arbitrarios a un
componente que espera recibir otro tipo de intents. De esta manera el atacante utilizará
los filtros de la víctima para enviar datos que la víctima no espera y aprovecharse así de
sus funcionalidades.
8. OASAM-UIR Unauthorized Intent Receipt (Análisis de la resolución de intents):
Representa vulnerabilidades que tienen que ver con la resolución del envío de Intents
implícitos. Cuando una aplicación envía un Intent implícito, no hay garantía de que una
aplicación maliciosa no vaya a recoger dicho Intent, ya que una aplicación maliciosa
podría registrar un Intent Filter que fuera capaz de pasar la resolución (action, data y
category), a no ser que dicho Intent tenga requeridos una serie de permisos que la
aplicación maliciosa no posea.
9. OASAM-BL Business Logic (Análisis de la lógica de negocio la aplicación): En
esta categoría se incluirán vulnerabilidades que tienen una componente más centrada
en el propio diseño que la codificación. Los ataques sobre la lógica de negocio de una
aplicación son peligrosos, difíciles de detectar y específicos a la aplicación.
2.3.2 Metodología Forense del Departamento de Justicia de los Estados Unidos (NIJ)
“Forensic Examination of Digital Evidence: A guide for Law Enforcement”
En esta guía (Ashcroft, Daniels, & Hart, 2014) señalan que está destinada a los agentes de
policía y otros miembros de la comunidad de las fuerzas del orden responsables para el
examen de la evidencia digital.
Esta guía no es del todo completa. Más bien, se trata de situaciones habituales encontradas
durante el examen de evidencia digital. No es un mandato para la aplicación de la ley, es
una guía que pueda ser utilizada en la ayuda del desarrollo de sus propias políticas y
procedimientos.
Cuando se trata de la evidencia digital, deben aplicar los siguientes procedimientos

forenses:
 Las medidas adoptadas para asegurar y reunir pruebas digitales no deben afectar a
la integridad de la evidencia.
18
 Las personas que realicen un examen de la evidencia digital debe ser entrenado
para ese propósito.
 La actividad relacionada con la incautación, el examen, el almacenamiento o la
transferencia de la evidencia digital debe ser documentada, preservado, y que
puede consultarse.
 A través de todo esto, el examinador debe ser consciente de la necesidad de
realizar un examen preciso e imparcial de la evidencia digital
2.3.3 Metodología Forense del Instituto Nacional de Estándares de Tecnología (NIST)
“Guidelines on Cell Phone Forensics”
(Jansen & Ayers, 2007) detallan que esta guía ofrece información básica sobre la
conservación, adquisición, exploración, análisis y presentación de informes de las pruebas
digitales en los teléfonos celulares, pertinentes para la aplicación de ley, respuesta a
incidentes, y otros tipos de investigaciones. La guía se centra principalmente en las
características de los teléfonos móviles, incluyendo teléfonos inteligentes con capacidades
avanzadas. También cubre las disposiciones que deben tenerse en cuenta durante el curso
de una investigación del incidente.
La guía está dirigida a hacer frente a circunstancias comunes que se pueden encontrar por
el personal de seguridad de la organización y los investigadores policiales, relativa a los
datos electrónicos digitales que residen en los teléfonos celulares y los medios electrónicos
asociados. También tiene por objeto complementar las directrices existentes y profundizar
en temas relacionados con los teléfonos celulares y su examen y análisis.
2.3.4 Metodología de análisis forense de la Red Europea de Institutos de Ciencias

Forenses (ENFSI)
"Guidelines for best practice in the Forensic Examination of Digital Technology”
Este guía de mejores prácticas en un examen forense digital (ENFSI Working Group, 2009)
se centra principalmente en los requisitos para la recuperación de los datos de los siguientes
dispositivos digitales:
 Medios de comunicación relacionados con la informática: discos duros, unidades

USB, medios de comunicación inteligentes, memoria flash, disquetes y otros
medios de almacenamiento como discos ópticos, cintas y CD-ROM.
19
 Teléfonos móviles
 Los datos de telecomunicaciones (por ejemplo, análisis de célula de la web)
 Los dispositivos digitales asociados a los coches (por ejemplo, dispositivos GPS y
electrónica de vehículos).
2.3.5 Guía de mejores prácticas para análisis forense en teléfonos móviles.
Este documento (SWGDE, 2012) proporciona información básica sobre la adquisición lógica
y física de los teléfonos móviles. El público objetivo es cualquiera de los examinadores en un
entorno de laboratorio o socorristas que se encuentran con los teléfonos móviles en el
campo.
Se deben seguir estas buenas prácticas si el hardware o el software se utilizan para

recuperar datos de un teléfono. Este documento no puede aplicarse para aquellos fuera del
entorno de laboratorio cuya única interacción con el teléfono es buscar manualmente en el
contenido del teléfono.
Este documento no debe ser utilizado como una guía paso a paso para la ejecución de una
investigación forense adecuada cuando se trata de teléfonos móviles, ni se entenderá como
asesoramiento jurídico.
2.3.6 Análisis metodologías
En la Tabla 1 se realiza un cuadro comparativo de las metodologías anteriormente

analizadas, en el cual podemos observar que la mayoría de las actividades son comunes en
todas las metodologías.
Tabla 1: Análisis comparativo metodologías

Procedimiento/Fases OASAM NIJ NIST ENFSI SWGDE
PROCEDIMIENTOS/ ACTIVIDADES
Autorización legal x x x
Identificación del problema / Evaluación del caso x x x
Determina previamente el equipo/personal a
x x x x
trabajar en el caso
Se puede llevar otros procesos forenses (toma
x x x
de huellas, ADN, etc.)
Asegurar y evaluar la escena x x x x
20
Documentar la escena (Mantener un registro
x x x x
permanente de la escena, registro fotográfico)
Proceso de recolección de la evidencia

(etiquetas, sellado, envasado, transporte y x x x x
almacenamiento)
Identificación de dispositivos y/o periféricos
x x x
asociados
Aislamiento del dispositivo x x
Documentación herramientas y software
x x x x
utilizados en el examen (Materiales de apoyo)
Toma de notas x x
Resumen de resultados x
Detalles de hallazgos x x x x
El informe contiene un glosario x
Presentación de prueba testimonial x
Se lleva un proceso de quejas/reclamos x
Los expedientes de adquisición deben archivarse x
FASES
Preservación x x x
Adquisición x x x x
Preparación x
Extracción x x
Exploración y Análisis x x x x x
Informes y/o reportes (Documentación) x x x x
Archivo x
Fuente (Autora)
21
2.4 Herramientas de análisis forense
Existen una variedad de herramientas para recuperar evidencia, y recopilar información de

una manera exacta. Clasificándolas en herramientas comerciales y herramientas gratuitas
y/o de código abierto. A continuación se detallan algunas de ellas.
2.4.1 Herramientas comerciales
Entre las herramientas comerciales tenemos:
Access Data's Forensic Toolkit (AccesDataGroup, 2014).
Figura 1: FTK TOOLS

Fuente (Autora)
FTK es una plataforma de investigaciones digitales aprobada por tribunales, que está
diseñada para ser veloz, analítica y contar con escalabilidad de clase empresarial. Conocido
por su interfaz intuitiva, el análisis de correo electrónico, las vistas personalizadas de datos y
su estabilidad, FTK establece el marco para una expansión sin problemas, por lo que su
solución de informática forense puede crecer de acuerdo a las necesidades de su
organización. Adicionalmente, Access Data ofrece nuevos módulos de expansión,
entregando el primer software de esta industria con capacidad de análisis y con
visualización de última generación. Estos módulos se integran con FTK para crear la
plataforma de informática forense más completa en el mercado. Perfecta para exámenes
forenses completos y exhaustivos. FTK ha indexado búsquedas avanzadas, recuperación de
archivos borrados, análisis de correo electrónico, imágenes, etc.
22
Características:
 Solución forense integral de computadoras

o Obtiene imágenes forenses hasta archivos de correos electrónicos, análisis
del registro
o Recuperación de passwords desde más de 100 aplicaciones
o Biblioteca KFF de hash con 45 millones de hashes
o Análisis avanzado y automatizado sin necesidad del scripting
 A diferencia de otros productos en el mercado, FTK funciona con bases de datos, lo
que evita experimentar el crashing asociado con las herramientas que funcionan con
la memoria. Adicionalmente, los componentes de FTK están divididos en
compartimientos, por lo que, por ejemplo, si el GUI deja de responder o tiene un
crash, los procesadores continúan analizando datos.
 Analiza los sistemas operativos de Windows (32- y 64-bit), Apple, UNIX y Linux.
 Análisis integral de datos volátiles.
 Análisis de RAM Estática, desde una imagen o frente a un sistema vivo.
 Capacidad de análisis de todo el sistema de archivos, tipos de archivos y correo
electrónico
o Capacidad de análisis de más de 700 imágenes, archivos y tipos de archivos.
o Notes NSF, Outlook PST/OST, Exchange EDB, Outlook Express DBX,
Eudora, EML (Microsoft Internet Mail, EarthLink, Thunderbird, Quick mail,
etc.), Netscape, AOL and RFC 833
o Procesa y analiza DMG (comprimidos y descomprimidos), Ext4, exea, Vafes
(Veritas File System), Microsoft VHD (Microsoft Virtual Hard Disk), Blackberry
IPD archivos de respaldo, Android YAFFS / YAFFS 2 y muchos más.
o Crea y procesa imágenes en Formato Forense Avanzado -Advanced Forensic
Format (AFF).
 Amplia capacidad de análisis de encriptados
o Desencripta automáticamente (con credenciales apropiadas) Credant,
SafeBoot, Utimaco, SafeGuard Enterprise y Easy, EFS, PGP, GuardianEdge,
Pointsec y S/MIME.
o FTK es la única solución de informática forense que puede identificar PDFs
encriptados.
 Accesorio de detección de imágenes explícitas (EID): Esta tecnología de detección
de imágenes no solo reconoce tonos de piel, sino que se ha programado con una
23
biblioteca de más de 30,000 imágenes que permiten identificar, automáticamente,
potenciales imágenes pornográficas.
 Genera reportes robustos detallados en formatos originales, HTML, PDF, XML, RTF,
entre otros, incluyendo enlaces hacia la evidencia original.
Device Seizure (Paraben, 2013).
Figura 2: Device Seizure

Fuente (Autora)
Device Seizure es un sistema de extracción y análisis forense móvil avanzada. A medida

que la primera herramienta comercial para el análisis forense móvil, la incautación de
dispositivos tiene más de 10 años de desarrollo que apoyan el análisis lógico y físico de
miles de dispositivos en un solo sistema.
Device Seizure fue construido desde el principio como una herramienta forense. Con
funciones de análisis, tales como adquisiciones lógicas y físicas, las adquisiciones del
sistema de archivos, la contraseña derivación, analizadores de datos avanzados, visores de
archivos, integración de Google Earth, una base de datos back-end para el manejo de la
gran cantidad de datos contenidos en los teléfonos inteligentes, y mucho más, los
investigadores son capaces de realizar un examen completado e informar sobre todos los
datos adquiridos.
Características:
 Extracción de datos lógicos

o Registros de llamadas
o SMS
o Contactos
24
o Imágenes
 Extracción de datos físicos
o Sistema de archivos
o Datos borrados
 Recuperación y extracción de usuarios y contraseñas
 Integración de Google Earth: Puntos de datos GPS (Coordenadas GPS mediante la
integración con Google Earth)
 Advanced Data Parsers: Extracción de datos de usuario y recuperación de datos
borrados de ambos archivos lógicos y extracciones físicas.
 Búsqueda avanzada - expresiones booleanas, Unicode y expresiones regulares
 Admite clonación de tarjetas SIM
 Exporta todos los datos adquiridos a tu PC para su revisión en otras herramientas
 Opciones avanzadas de comunicación, incluyendo HTML, texto, Excel y PDF
 Exportación de los datos adquiridos para su visualización en el programa de análisis
de enlaces Paraben's free Link2
Access Data Mobile Phone Examiner Plus (MPE, 2014)
Figura 3: Plataforma Access Data Mobile Phone Examiner Plus

Fuente (Autora)
Es un software de solución forense móvil autónomo que también está disponible en una
tablet pre configurada para el lugar del siniestro, se integra perfectamente con Forensic i, lo
que le permite correlacionar la evidencia de múltiples dispositivos móviles con la evidencia
de varios equipos dentro de una única interfaz. Es compatible con más de 3.500 teléfonos
móviles y dispositivos inteligentes proporciona el descifrado sobre la marcha del sistema
operativo y de datos lógicos en el dispositivo. Además, MPE+ es la única solución forense
móvil diseñada para facilitar la detección de dispositivos móviles para el personal de apoyo
25
en litigios que abordan los requisitos de e-discovery. La interfaz es más intuitiva del mercado
e incluye herramientas de visualización que le permite ver fácilmente las relaciones de
comunicación entre los contactos y automáticamente construye líneas de tiempo de datos
gráficos. Una interfaz intuitiva, análisis avanzado, fácil exportación e informes robustos
hacen MPE+ la herramienta de elección para los profesionales de e-discovery.
Características:
 Registro de llamadas o Call logs

 Email
 GPS data
 Fotos
 Archivos de video
 Correos de voz o Voicemail
 Historial de navegación Web
 Agenda telefónica
 Historial de búsqueda
 Calendario
Oxygen forensic Suite (Oxygen Forensics, Inc, 2014).
Figura 4: Plataforma Oxygen Forensic Suite

Fuente (Autora)
Oxygen Forensics es un producto líder en el análisis forense de dispositivos móviles,

utilizado por auditores y equipos de TI que gestionan sistemas de telefonía corporativos. Es
26
una completa aplicación forense que te ofrecerá la posibilidad de extraer y analizar
información desde smartphones, teléfonos celulares, PDAs y otros dispositivos móviles.
Utilizando protocolos propietarios de bajo nivel, Oxygen Forensic Suite puede extraer
muchos más datos que son generalmente extraídos por otras herramientas forenses,
especialmente para smartphones.
Características:
 Extrae información básica del teléfono y de la tarjeta SIM

o Lista de contactos
o Llamadas
o E-mail
o SMS
o MMS
o Marcas de tiempo de SMS Center
o Calendario
o Tareas
o Notas de texto
o Metadatos de fotografías
o Videos
o Sonidos
o Coordenadas geográficas -Actividad Lifeblog
o Historiales de conexión
o Análisis de caché de navegadores o de aplicaciones como Skype.
o Recuperación de passwords
o Añadidos de time-line
o Visores de ficheros plist o SQLlite
o Actividad wifi
o Registros de voz
o Lista de aplicaciones instaladas: Java o nativas
o Base de datos de emisoras de radio FM
o Memoria caché del navegador web y marcadores
o Protección de la integridad de datos con MD5, SHA-1, SHA-2, CRC, HAVAL,
GOST D34. 11-94
27
o Permite rootear los terminales con Android, haciendo que el análisis forense
del terminal se pueda hacer completamente.
MOBILedit (MOBILedit, 2014).
Figura 5: MOBILedit
Fuente (Autora)
MOBILedit es una plataforma que funciona con una variedad de teléfonos y smartphones,
explora el contenido del teléfono a través de una estructura de carpetas de Outlook como la
EM. Esto permite que la copia de seguridad de la información almacenada en el teléfono,
guardarla en un PC o copiar los datos a otro teléfono mediante la función de copiadora
teléfono. Es una herramienta confiable de análisis forense en celulares utilizada en más de
70 países y reconocida por el Instituto Nacional de Estándares y Tecnología. Permite extraer
todo el contenido del teléfono y genera un reporte en cualquier idioma, listo para su
presentación en una audiencia.
Características:
 Análisis de teléfonos vía cable USB, Bluetooth e Infrarrojo

 Extracción de la Agenda telefónica
 Llamadas
 SMS -Buzón de entrada, salida, borradores
 Carpeta de archivos
 Fotos
 Tonos
 Vídeos
 Grabaciones
28
EnCase Forensic (EnCase, 2014) y (GuidanceSoftware, 2014).
Figura 6: Plataforma EnCase Forensic

Fuente (Encase, 2014)
EnCase es una suite de informática forense. El software viene en varias formas diseñadas
para forense, seguridad cibernética y e-discovery uso. La compañía también ofrece
capacitación EnCase y certificación. Los datos recuperados por EnCase ha sido utilizado
con éxito en los diferentes sistemas judiciales de todo el mundo, como en los casos del
asesino BTK y David Westerfield.
Características:
 Copia comprimida de los discos fuente

 Exploración y análisis de múltiples partes de archivos adquiridos
 Análisis compuesto del documento
 Soporte de múltiples sistemas de archivos
 Vista de archivos y otros datos en el espacio unallocated
 Visualizador integrado de imágenes
 Análisis del historial del navegador web
 Generación de informes
29
2.4.2 Herramientas no comerciales, open source
Entre las herramientas no comerciales y/u open source se ha examinado las siguientes:
The Sleuth Kit open source - Autopsy (Carrier, 2014).
Figura 7: Plataforma Autopsy

Fuente (Autopsy, 2014)
Es una plataforma de análisis forense digital y de interfaz gráfica para el Sleuth Kit y otras
herramientas de análisis forense digital. Puede ser utilizado por la policía, el ejército y los
examinadores corporativos para investigar lo ocurrido en un ordenador. Puede incluso
utilizarlo para recuperar las fotos desde la tarjeta de memoria de la cámara. Consiste en una
colección de herramientas forenses para entornos UNIX/Linux. Puede analizar archivos de
datos de evidencias generadas con utilidades de disco.
De acuerdo a (Solís, 2014) las principales características de esta herramienta son:
 Permite crear notas del investigador

 Funciona conjuntamente con el Autopsy Forensic Browser
 Análisis de la línea de tiempo: muestra los eventos del sistema en una interfaz
gráfica para ayudar a identificar la actividad.
 Búsqueda por Palabra: módulos de extracción de texto e índice de búsquedas que
permiten encontrar archivos mencionando términos específicos o patrones de
expresiones regulares.
 Artefactos Web: Extrae la actividad web de los navegadores más habituales para
ayudar a identificar la actividad del usuario.
30
 Análisis del registro: Usos RegRipper para identificar los documentos usados
recientemente y dispositivos USB
 Análisis de archivos LNK: Identifica atajos y accesos a documentos
 Análisis de correo electrónico: Analiza los mensajes de formato MBOX, como
Thunderbird. EXIF: Extractos de geo ubicación y la información de los archivos JPEG
de la cámara. Clasificación de tipo de Archivo: agrupa los ficheros por su tipo para
encontrar todas las imágenes o documentos.
 Soporte para reproducción: Ver vídeos e imágenes en la aplicación y no requiere un
visor externo.
 Visor de miniaturas: muestra miniaturas de las imágenes que te ayudarán ver
rápidamente las imágenes.
 Análisis del sistema de archivos robusto: Soporte para sistemas de archivos
comunes, incluyendo NTFS, FAT12, FAT16, FAT32, HFS +, ISO9660 (CD- ROM),
Ext2, Ext3 y UFS del Sleuth Kit.
 Filtrado de Hash Set: Filtrado de archivos buenos conocidos usando NSRL y la
bandera de los archivos malos conocidos usando hash sets personalizados en Hash
Keeper, md5sum y formatos EnCase.
 Etiquetas: Archivos de etiquetas con los nombres de etiquetas arbitrarias, tales como
marcador o sospechoso, y añadir comentarios.
 Extracción de Cadenas Unicode: cuerdas Extractos de espacio no asignado y los
tipos de archivos desconocidos en muchos idiomas (árabe, chino, japonés, etc.)
 Formatos de entrada: Autopsy analiza las imágenes de disco, unidades locales o una
carpeta de archivos locales. Las imágenes de disco pueden estar en formato E01 o
raw/dd el soporte a E01 es proporcionado por libewf.
 Informes
o Autopsy tiene una infraestructura de información extensible que permite otros
tipos de informes de las investigaciones que se creará. De manera
predeterminada los formatos de archivo son HTML, XLS, y Body para los
informes. Cada uno es configurable dependiendo de la información a un
investigador le gustaría incluir en su informe:
 HTML y Excel: Los informes HTML y Excel están son informes que se
pueden compartir. Incluyen referencias a archivos marcados, junto con
comentarios y notas insertadas por el investigador, así como otras
búsquedas automatizadas que realiza Autopsy. Estos marcadores
incluyen, historial web, documentos recientes, palabras clave
31
utilizadas, Hash set encontrados, programas instalados, dispositivos
conectados, cookies, descargas y consultas de búsqueda.
 Archivo Body: Principalmente su uso es para el análisis de línea de
tiempo, el archivo incluirá tiempos MAC para cada archivo en un
formato XML para la importación de herramientas externas, como
mactime en El Sleuth Kit.
o Un investigador puede generar más de un informe a la vez y/o modificar uno
de los existentes o crear un nuevo módulo de información para personalizar
el comportamiento de sus necesidades específicas.
BitPim (BitPim, 2014).
Figura 8: Plataforma BitPim

Fuente (BitPim, 2014)
Es un programa de código abierto y software libre bajo la Licencia Pública General de GNU,
diseñado para la gestión de contenidos (ver y manipular datos) en el CDMA 3 de los
dispositivos chipset basado en Qualcomm CDMA. Es un programa multiplataforma, que
opera en los sistemas operativos Microsoft Windows, Mac OS X y Linux.
Características:
• Las funcionalidades varían según el modelo de dispositivo

• Permite la extracción de:
o Agenda telefónica
3
Code Division Multiple Access es un método de acceso al canal utilizado por varios radios de
tecnología de comunicación
32
o Calendario
o Fondos de pantalla
o Ringtones (Varía según el teléfono)
o Medios de comunicación
o Historial de llamadas
o SMS
o Editor T9
o Los datos pueden ser importados y exportados de diversas fuentes, tales
Como Microsoft Outlook y Google Calendar.
BitPim se implementa utilizando el lenguaje de programación Python con C para acceder al

hardware. El modo de diagnóstico proporciona acceso directo al sistema de archivos
integrado en el teléfono móvil.
Android SDK (Android, 2014).
Figura 9: Plataforma SDK Android

Fuente (Android, 2014)
El SDK (Software Development Kit) de Android, incluye un conjunto de herramientas de

desarrollo. Comprende un depurador de código, biblioteca, un simulador de teléfono basado
en QEMU, documentación, ejemplos de código y tutoriales. Las plataformas de desarrollo
soportadas incluyen Linux (cualquier distribución moderna), Mac OS X 10.4.9 o posterior, y
Windows XP o posterior. La plataforma integral de desarrollo (IDE, Integrated Development
Environment) soportada oficialmente es Eclipse junto con el complemento ADT (Android
33
Development Tools plugin), aunque también puede utilizarse un editor de texto para escribir
ficheros Java y Xml y utilizar comandos en un terminal (se necesitan los paquetes JDK, Java
Development Kit y Apache Ant) para crear y depurar aplicaciones. Además, pueden
controlarse dispositivos Android que estén conectados (e.g. reiniciarlos, instalar aplicaciones
en remoto).La manera natural de interactuar con el teléfono para hacer análisis forense a los
dispositivos móviles con sistema operativo Android, a nivel consola es lanzar comandos
mediante Android Debug Bridge (ADB) como usuario root.
Características:
• Extracción de:
o Contactos
o Llamadas
o Historiales de navegación
o Mensajes, etc.
Helix CD (Wikia, 2014).
Se trata de un Live CD de respuesta ante incidentes, basado en Linux denominado Knoppix.

Posee la mayoría de las herramientas necesarias para realizar análisis forense tanto de
equipos como de imágenes de discos.
2.4.3 Librerías y frameworks
• Android-locdump (Sánchez Cordero, 2013): Permite obtener la geo localización

• Androidguard (Sánchez Cordero, 2013): Permite obtener, modificar y desensamblar
formatos DEX/ODEX/APK/AXML/ARSC
• Viaforensics (Sánchez Cordero, 2013): Framework de utilidades para el análisis
forense.
34
2.4.4 Análisis de las herramientas
En la Tabla 2 se ha realizado un cuadro comparativo sobre las principales características

que presentan las herramientas anteriormente analizadas.
Tabla 2: Análisis comparativo de las herramientas

Función
Exploración
Adquisición
Reportes
Análisis/
Herramienta Características Plataforma
Herramientas comerciales
-Análisis integral de datos volátiles.
-Capacidad de análisis de todo el sistema de
archivos, tipos de archivos y correo electrónico
Forensic
x x x -Genera reportes robustos detallados en Windows
Toolkit
formatos originales, HTML, PDF, XML, RTF,
entre otros, incluyendo enlaces hacia la
evidencia original.
-Extracción de datos lógicos (Registros de
llamadas, SMS, Contactos, Imágenes)
-Extracción de datos físicos (Sistema de
Device
x x x archivos, Datos borrados, Recuperación y Windows
Seizure
extracción de usuarios y contraseñas)
-Integración de Google Earth (Coordenadas
GPS mediante la integración con Google Earth)
Extracción (Registro de llamadas o Call logs,
Email, GPS data, Fotos, Archivos de video,
MPE + x x Windows
Correos de voz, Historial de navegación Web,
Agenda telefónica, Historial de búsqueda)
-Extrae información básica del teléfono y de la
tarjeta SIM (Lista de contactos, Llamadas, E-
mail, SMS, MMS, Marcas de tiempo de SMS
Center, Calendario, Tareas, Notas de texto,
Oxygen
x x x Metadatos de fotografías, Videos, Sonidos, Windows
forensic Suite
Coordenadas geográficas, Historiales de
conexión, Actividad wifi, Registros de voz, Lista
de aplicaciones instaladas: Java o nativas, Base
de datos de emisoras de radio FM, Memoria
35
caché del navegador web y marcadores,
Protección de la integridad de datos con MD5,
SHA-1, SHA-2, CRC, HAVAL, GOST D34. 11-
94)
-Análisis de teléfonos vía cable USB, Bluetooth
e Infrarrojo
-Extracción (Agenda telefónica, Llamadas, SMS
MOBILedit x x Windows
(buzón de entrada, salida, borradores), Carpeta
de archivos, Fotos, Tonos, Vídeos,
Grabaciones)
-Copia comprimida de los discos fuente
-Exploración y análisis de múltiples partes de
archivos adquiridos
-Análisis compuesto del documento
Encase -Soporte de múltiples sistemas de archivos
x x x Windows
Forensic -Vista de archivos y otros datos en el espacio
unallocated
-Visualizador integrado de imágenes
-Análisis del historial del navegador web
-Generación de informes
Herramientas gratuitas u open source
-Permite crear notas del investigador
-Soporte para reproducción: Ver vídeos e
imágenes en la aplicación y no requiere un visor
externo.
Windows/
Autopsy X x -Visor de miniaturas: muestra miniaturas de las
Linux
imágenes que te ayudarán ver rápidamente las
imágenes.
-Permite generar informes en formato HTML y
XLS
-Las funcionalidades varían según el modelo de
dispositivo
- Permite la extracción de (Agenda telefónica,
Calendario, Fondos de pantalla, Ringtones
BitPim x X (Varía según el teléfono), Sistema de archivos, Linux
Medios de comunicación, Historial de llamadas,
SMS, Editor T9)
– Los datos pueden ser importados y
exportados de diversas fuentes, tales Como
36
Microsoft Outlook y Google Calendar.
Posee un kit de herramientas necesarias para
Helix CD x Linux
realizar análisis forense.
Extracción de (Contactos, Llamadas, Historiales
Windows/
Android SDK x x de navegación, Mensajes, Datos del sistema de
Linux/ Mac
ficheros, Navegación de archivos, etc.)
android-
x x Extracción de datos de geolocalización GPS Android
locdump
Androidguard x x Análisis de malware Android
Extracción de contactos, mensajes de texto, y
viaforensics x x Android
llamadas
Fuente (Autora)
De acuerdo a las pruebas realizadas con los diferentes softwares se puede determinar el
uso de las siguientes herramientas, como los más adecuados para el cumplimiento del caso
de estudio.
 Forensic Toolkit: A pesar de ser de tipo comercial nos ofrece una herramienta muy
útil como FTK Imager que al ser de libre acceso nos ayuda en la extracción y análisis
de la información contenida en la copia bit a bit del dispositivo. Herramienta de gran
utilidad para el cumplimiento del objetivo del caso de prueba.
 Oxygen Forensic: Las funcionalidades prestadas en la versión de prueba, como la
presentación de algunas de las características lógicas del dispositivo, extracción y
análisis de los archivos, obtención de un backup, copia bit a bit y la generación de un
reporte de los datos encontrados en el dispositivo son de gran ayuda en el examen
forense, permitiendo validar y verificar los datos analizados en el caso de prueba.
 Mobiledit: Permite la obtención de un backup y una copia bit a bit, además de la
exploración datos y archivos contenidos en las imágenes forenses. Datos que
Oxygen Forensic ya determina.
 Autopsy: Al ser una herramienta de código abierto permite la exploración y análisis
de los datos contenidos en la imagen forense, presentando resultados como archivos
eliminados que otras herramientas no me ofrecen, pudiendo determinar mejores
resultados en el análisis para el caso de prueba.
 Helix CD: Es un kit de herramientas open source que permiten realizar un análisis
forense tanto a equipos de cómputo como a dispositivos móviles, entre ellos tenemos
FTK Imager y Autopsy, que ya fueron utilizados previamente.
 Android SDK: Permite la navegación de los archivos, composición del sistema de
ficheros, obtención de backup, obtención de una copia bit a bit, etc., mediante la
37
conexión vía ADB. Esta herramienta es de gran utilidad en el cumplimiento del
objetivo del caso de prueba.
 android-locdump: Permite la extracción de los datos de geolocalización
registrados en el dispositivo, el mismo que no es de relevancia para el cumplimiento
del objetivo del caso de prueba.
 androidguard: Permite el análisis de las aplicaciones en Android, comprobando que
la misma no esté presente en una base de datos de malware, etc. Su objetivo
principal se basa en el análisis de malware. Es por esto que la app no es de
relevancia para el cumplimiento del objetivo del caso de prueba.
 Viaforensics: Permite la extracción de contactos, mensajes de texto, y llamadas,
datos que han sido registrados en el dispositivo.
2.5 Android como sistema operativo en dispositivos móviles
2.5.1 ¿Qué son los dispositivos móviles?
En (Baz Alonso, Ferreira Artime, Rodríguez, & García Baniello, 2009) señalan que “Un
dispositivo móvil se puede definir como un aparato de pequeño tamaño, con algunas
capacidades de procesamiento, con conexión permanente o intermitente a una red, con
memoria limitada, que ha sido diseñado específicamente para una función, pero que puede
llevar a cabo otras funciones más generales”.
Los autores clasifican el dispositivo móvil como:
 PDAs (Personal Digital Assintant): Un PDA, es una computadora de mano

originalmente diseñada como agenda electrónica con un sistema de reconocimiento
de escritura. Las características del PDA moderno son pantalla sensible al tacto,
conexión a una computadora para sincronización, ranura para tarjeta de memoria, y
al menos Infrarrojo, Bluetooth o Wifi.
 Teléfonos móviles: El teléfono móvil es un dispositivo inalámbrico electrónico basado
en la tecnología de ondas de radio, que tiene la misma funcionalidad que cualquier
teléfono de línea fija. Su principal característica es su portabilidad, ya que la
realización de llamadas no es dependiente de ningún terminal fijo y no requiere
ningún tipo de cableado para llevar a cabo la conexión a la red telefónica. Aunque su
principal función es la comunicación de voz, como el teléfono convencional, su rápido
desarrollo ha incorporado funciones adicionales como mensajería instantánea (sms),
agenda, juegos, cámara fotográfica, agenda, acceso a Internet, reproducción de
38
video e incluso GPS y reproductor mp3. Conforme la tecnología fue avanzando se
incluyeron nuevas aplicaciones como juegos, alarma, calculadora y acceso WAP
(acceso a Internet mediante páginas web especialmente diseñadas para móviles).
 “Smartphones” o teléfonos inteligentes: Un “smartphone” (teléfono inteligente en
español) es un dispositivo electrónico que funciona como un teléfono móvil con
características similares a las de un ordenador personal. Es un elemento a medio
camino entre un teléfono móvil clásico y una PDA ya que permite hacer llamadas y
enviar mensajes de texto como un móvil convencional pero además incluye
características cercanas a las de un ordenador personal. Una característica
importante de casi todos los teléfonos inteligentes es que permiten la instalación de
programas para incrementar el procesamiento de datos y la conectividad. Los
teléfonos inteligentes se distinguen por muchas características, entre las que
destacan las pantallas táctiles, un sistema operativo así como la conectividad a
Internet y el acceso al correo electrónico. Otras aplicaciones que suelen estar
presentes son las cámaras integradas, la administración de contactos, el software
multimedia para reproducción de música y visualización de fotos y video-clips y
algunos programas de navegación así como, ocasionalmente, la habilidad de leer
documentos de negocios en variedad de formatos como PDF y Microsoft Office. Los
teléfonos inteligentes (smartphones) tienen la ventaja del uso de redes
geográficamente distribuidas a nivel global. Lo cual los hace vulnerables a riesgos
derivados por virus o ataques informáticos.
Mientras que en la guía forense del Instituto Nacional de Estándares de Tecnología (NIST)
los autores (Jansen & Ayers, 2007) clasifican a los teléfonos celulares como teléfonos
básicos aquellos dispositivos simples de comunicación de voz y mensajería, teléfonos
avanzados aquellos que ofrecen capacidades y servicios adicionales para multimedia y los
teléfonos inteligentes (smartphones) o de gama alta aquellos que combinan las capacidades
de un teléfono avanzado con las de un PDA, cuyas características de hardware y software
se detallan a continuación, véase la Tabla 3 y Tabla 4.
Características a nivel de hardware
Tabla 3: Características a nivel de hardware

Básico Avanzado Smart
Procesador Velocidad limitada Mejoras en la velocidad Velocidad superior
39
Capacidad superior,
Memoria Capacidad limitada Mejoras posibilidad de incorporación de
disco duro
De gran tamaño, color de 16
Display Escala de grises De color
bits (65,536 colors) o superior
Ranuras
Ninguno MiniSD o MMCmobile MiniSDIO o MMCmobile
para tarjetas
Cámara Ninguno Fotos Fotos, Video
Pantalla táctil, reconocimiento
Entrada de Teclado numérico,
Teclado numérico de escritura, teclado
texto Teclado virtual
incorporado estilo QWERTY
Interfaz Voz y datos Voz y datos de alta Voz y datos de muy alta
celular limitado velocidad velocidad
Wireless IrDA (Infrarrojo) IrDA, Bluetooth IrDA, Bluetooth, Wifi
Fijo, Batería
Desmontable, Batería
recargable de iones Desmontable, Batería
recargable de iones de
Batería de litio (Li-ion) y recargable de iones de litio (Li-
litio (Li-ion) y polímero de
polímero de litio (Li- ion)
litio (Li-poli)
poli)
Fuente (Ayers, Jansen, & Brothers, 2013)
Características a nivel de software
Tabla 4: Características a nivel de software

Básico Avanzado Smart
Sistema Linux, Windows Mobile, RIM OS,

Propietario Propietario
Operativo Palm OS, Symbian
Agenda Agenda telefónica y Lista de recordatorios, Agenda

PIM
telefónica simple Calendario telefónica mejorada y Calendario
Reproductor MP3, Visualización
Aplicaciones Ninguna Reproductor MP3
de documentos de Office
Mensajes de texto e
Mensajes de texto, texto
Mensajes de imágenes incrustadas
Mensajería mejorado y mensajería
texto simples y Sonidos (Texto
multimedia
mejorado)
Chat Ninguna SMS Chat Mensajería instantánea
Via Network Operator’s
Email Ninguna Vía POP o IMAP Server
Service Gateway
Web Ninguna Vía WAP Gateway HTTP directo
40
Wireless IrDA (Infrarrojo) IrDA, Bluetooth IrDA, Bluetooth, Wifi
Fuente (Ayers et al., 2013)
Los dispositivos móviles cuentan con varios sistemas operativos entre ellos tenemos iOS,
BlackBerry, Windows Phone, Android etc. Sin embargo en el presente proyecto de tesis se
ha escogido Android, exponiendo las principales características a continuación.
2.5.2 Sistema operativo Android en dispositivos móviles
Los autores (Robledo Sacristán & Robledo Fernández, n.d.) Mencionan en su libro las
principales características del sistema operativo Android, sobre qué se trata y un poco de
historia de cómo fueron sus comienzos, detallado a continuación:
Android es un sistema operativo, inicialmente diseñado para teléfonos móviles como los
sistemas operativos iOS (Apple), Symbian (Nokia) y Blackberry OS. En la actualidad, este
sistema operativo se instala no sólo en móviles, sino también en múltiples dispositivos, como
tabletas, GPS, televisores, discos duros multimedia, mini ordenadores, etcétera. Incluso se
ha instalado en microondas y lavadoras. Está basado en Linux, que es un núcleo de sistema
operativo libre, gratuito y multiplataforma. Este sistema operativo permite programar
aplicaciones empleando una variación de Java llamada Dalvik, y proporciona todas las
interfaces necesarias para desarrollar fácilmente aplicaciones que acceden a las funciones
del teléfono (como el GPS, las llamadas, la agenda, etcétera) utilizando el lenguaje de
programación Java. Su sencillez principalmente, junto a la existencia de herramientas de
programación gratuitas, es la causa de que existan cientos de miles de aplicaciones
disponibles, que extienden la funcionalidad de los dispositivos y mejoran la experiencia del
usuario.
Una de las características más importantes de este sistema operativo reside en que es
completamente libre. Es decir, ni para programar en este sistema ni para incluirlo en un
teléfono hay que pagar nada. Por esta razón, es muy popular entre los fabricantes de
teléfonos y desarrolladores, ya que los costes para lanzar un teléfono o una aplicación son
muy bajos.
Cualquier programador puede descargarse el código fuente, inspeccionarlo, compilarlo e

incluso modificarlo.
Para los autores (Martínez González, 2011) las principales características de este sistema
operativo son:
41
 Plataforma adaptable a pantallas más grandes, VGA4, librería de gráficos 2D, librería
de gráficos 3D basada en las especificaciones de la OpenGL ES 2.O.
 Almacenamiento en base de datos SQLite
 Conectividad: Android soporta las siguientes tecnologías de conectividad:
GSM/EDGE, IDEN5, CDMA6, EV-DO7, UMTS8, Bluetooth, Wi-Fi, LTE9, and WiMAX10.
 Mensajería: SMS, MMS y la Android Cloud to Device Messaging Framework (C2DM)
 Navegador web
 Soporte de Java: El código Java se compila en el ejecutable Dalvik. Dalvik es
máquina virtual especializada diseñada específicamente para Android y optimizada
para dispositivos móviles que funcionan con batería y que tienen memoria y
procesador limitados.
 Soporta la mayoría de los formatos multimedia estándar.
 Soporte para streaming
 Soporte para hardware adicional como cámara de fotos, de video, pantallas táctiles,
GPS, etc…
Historia
Android era un sistema operativo para móviles prácticamente desconocido hasta que en el
año 2005 lo compró Google. En noviembre de 2007 se creó la Open Handset Alliance, que
agrupó a muchos fabricantes de teléfonos móviles, procesadores y Google. Este año se
lanzó la primera versión de Android, junto con el SDK (del inglés, Software Development Kit,
que significa Kit del desarrollo de software) para que los programadores empezaran a crear
sus aplicaciones para este sistema operativo.
El despegue del sistema operativo fue lento porque se lanzó antes el sistema operativo que
el primer terminal móvil, aunque rápidamente se ha colocado como el sistema operativo de
móviles más vendido del mundo. En febrero de 2011 se anunció la versión 3.0 de Android,
cuyo nombre en clave es Honeycomb, que está optimizada para tabletas en lugar de para
teléfonos móviles.
4
Adaptador gráfico de video
5
Integrated Digital Enhanced Network
6
Code Division Multiple Access
7
Evolution Data Optimized o Evolution Data Only
8
Universal Mobile Telecommunications System
9
Long Term Evolution, estándar para el acceso por radio en 4G
10
Norma de transmisión de datos
42
Versiones
Entre las versiones disponibles se cuenta con véase la Tabla 5.
Tabla 5: Versiones
VERSIÓN CODENAME
2.2 Froyo
2.3.3 – 2.3.7 Gingerbread
3.2 Honeycomb
4.0.3 – 4.0.4 Ice Cream Sandwich
4.1.x
4.2.x Jelly Bean
4.3
4.4 KitKat
Fuente (Developer Android, 2014)
Mercado
Según (Pastor, 2014) en los estudios realizados por la consultora IDC se determina que en
el año 2013, Android es uno de los sistemas operativos más populares en el mercado
logrando el primer lugar con una cuota del 78,6% frente al 69% del año 2012. Véase la
Tabla 6.
Tabla 6: Los cinco principales sistemas operativos de smartphones

2013 2012 Cambio año
Sistema Operativo
Market Share Market Share tras año
Android 78,6% 69% 58,7%
IOS 15,2% 18,7% 12,9%
Windows Phone 3,3% 2,4% 90,9%
BlackBerry 1,9% 4,5% -40,9%
Otros 1% 5,4% -74,6%
Total 100% 100% 39,2%
Fuente (Pastor, 2014)
Cabe mencionar que la gran aceptación que ha tenido Android en el mercado, también se
suma el desarrollo de nuevas amenazas móviles, tales como la creación de virus (botnets),
malware, etc., que atacan principalmente a dicho sistema operativo. Algunas de las
amenazas informáticas acontecidas en el año 2013 las podemos encontrar en (Costin &
Emm, 2013).
43
Entre las versiones más usadas en los dispositivos Android tenemos:
Tabla 7: Versiones más utilizadas

VERSION CODENAME API Distribution
2.2 Froyo 8 1,2%
2.3.3 – 2.3.7 Gingerbread 10 19%
3.2 Honeycomb 13 0,1%
4.0.3 – 4.0.4 Ice Cream Sandwich 15 15,2%
4.1.x 16 35,3%
4.2.x Jelly Bean 17 17,1%
4.3 18 9,6%
4.4 KitKat 19 2,5%
Fuente (Xataca Android, 2014)
Siendo hasta marzo del 2014 Jelly Bean la versión más usada con un 62% frente a Kit Kat
con un 2,5%.
2.5.3 Arquitectura del sistema operativo Android
Dentro de un análisis forense es importante conocer la arquitectura del sistema operativo,

puesto que permitirá al profesional determinar lo que se va a examinar. Para los autores
(Blanco, Camarero, Fumero, Werterski, & Rodríguez, 2009) & (INFOSEC INSTITUTE, 2014)
los componentes principales del sistema operativo de Android son:
Figura 10: Arquitectura de Android

Fuente (Android, 2014)
44
• Aplicaciones: Las aplicaciones base incluyen un cliente de correo electrónico,
programa de SMS, calendario, mapas, navegador, contactos y otros. Todas las
aplicaciones están escritas en lenguaje de programación Java.
• Framework: los desarrolladores tienen acceso completo a los mismos APIs del
framework usados por las aplicaciones base. La arquitectura está diseñada para
simplificar la reutilización de componentes; cualquier aplicación puede publicar sus
capacidades y cualquier otra aplicación puede luego hacer uso de esas capacidades
(sujeto a reglas de seguridad del framework). Este mismo mecanismo permite que
los componentes sean reemplazados por el usuario.
• Bibliotecas: Android incluye un conjunto de bibliotecas de C/C++ usadas por varios
componentes del sistema. Estas características se exponen a los desarrolladores a
través del marco de trabajo de aplicaciones de Android; algunas son: System C
library (Implementación biblioteca C estándar), bibliotecas de medios, bibliotecas de
gráficos, 3D y SQLite, entre otras.
• Runtime de Android: Android incluye un set de bibliotecas base que proporcionan
la mayor parte de las funciones disponibles en las bibliotecas base del lenguaje Java.
Cada aplicación Android corre su propio proceso, con su propia instancia de la
máquina virtual Dalvik. Dalvik ha sido escrito de forma que un dispositivo puede
correr múltiples máquinas virtuales de forma eficiente. Dalvik ejecuta archivos en el
formato Dalvik Ejecutable (.dex), el cual está optimizado para memoria mínima. La
Máquina Virtual está basada en registros y corre clases compiladas por el compilador
de Java que han sido transformadas al formato .dex por la herramienta incluida "dx".
• Núcleo Linux: Android depende de Linux para los servicios base del sistema como
seguridad, gestión de memoria, gestión de procesos, pila de red y modelo de
controladores. El núcleo también actúa como una capa de abstracción entre el
hardware y el resto de la pila de software.
2.5.4 Sistema de ficheros de Android
En (Basterra, Bertea, Borello, Castillo, & Venturi, 2012) se indica que a partir de la aparición
del móvil Nexus S en el mercado, Android comenzó a utilizar el sistema de archivos llamado
Ext4. El Ext4 es el sistema de archivos que implementan la mayoría de distribuciones de
Linux, y sobre todo es bastante estable y confiable como la mayoría de los sistemas
basados en Linux, con el mínimo riesgo de pérdida de información. Este surgió como una
mejora compatible de ext3. Entre las principales mejoras tenemos:
 Soporte de volúmenes de hasta 1024 PiB.

45
 Soporte añadido de extent.
 Menor uso del CPU.
 Mejoras en la velocidad de lectura y escritura.
La mayoría de dispositivos con Android utilizan un sistema de ficheros llamado YAFFS, un

desarrollo ligero optimizado para almacenamiento Flash y que ya se usaba en otros
dispositivos móviles, pero surge un problema, y es que el sistema YAFFS es un sistema
orientado a sistemas con un único hilo de ejecución, lo que supondría la aparición de cuellos
de botella en sistemas dual-core.
De acuerdo (Nobles Pérez & Ruíz García, 2013) Android cuenta con tres carpetas
fundamentales del sistema de ficheros, que son consideradas en el examen forense, estas
son:
 /system/: Fichero que pertenece al sistema operativo

 /data/: Fichero que almacena los datos del usuario y aplicaciones
o /data/app/: Fichero que almacena las aplicaciones
o /data/data/: Fichero que almacena los datos de las aplicaciones
 /mnt/sdcard o /sdcard/: Fichero correspondiente a la SD card o memoria externa, el
mismo que almacena ficheros, música, etc.
2.5.5 Seguridad en dispositivos móviles
La Fundación Open Web Application Security Project (OWASP, 2014) determina los 10
principales riesgos a los que está expuesto un dispositivo móvil:
Figura 11: OWASP Mobile Top 10 Risks

Fuente (OWASP, 2014)
46
1) M1 - Weak Server Side Controls (Controles debiles del lado del servidor)
2) M2 - Insecure Data Storage (Almacenamiento inseguro de datos)
3) M3 - Insufficient Transport Layer Protection (Protección insuficiente en la capa de
datos)
4) M4 - Unintended Data Leakage (Fuga de datos accidental)
5) M5 - Poor Authorization and Authentication (Autenticación y Autorización débil)
6) M6 - Broken Cryptography (Uso de criptografía débil)
7) M7 - Client Side Injection (Inyección del lado del cliente)
8) M8 - Security Decisions Via Untrusted Inputs (Decisiones de seguridad a través de
entradas no confiables)
9) M9 - Improper Session Handling (Manejo incorrecto de sesiones)
10) M10 - Lack of Binary Protections (Falta de protección en binarios)
Es por esto que, en la actualidad dichas vulnerabilidades, han llevado a tomar varias
medidas de seguridad, entre ellas las más optadas por los usuarios de telefonía celular son
el ingreso de patrones de seguridad, copias de seguridad, ingreso de contraseñas,
instalación de antivirus, etc. En la Figura 12 podemos observar las medidas de seguridad
que se han optado en los últimos años.
Figura 12: Medidas de seguridad

Fuente (INTECO, 2012)
Estos aspectos demuestran que el usuario de telefonía celular está tomando consciencia de
que la información que maneja en su dispositivo móvil es un activo muy importante.
47
2.6 Aspecto legal en el Ecuador
En el Ecuador se registran algunas reformas o leyes a considerarse ante un incidente o

delito informático. A continuación se detalla los principales puntos a considerarse.
2.6.1 Ley Orgánica de Transparencia y acceso de la información pública
De acuerdo a la consulta realizada en el Registro Oficial Suplemento 337 publicado por el

(Congreso Nacional, 2004) he considerado los siguientes puntos:
Art. 2.- Objeto de la Ley.- La presente Ley garantiza y norma el ejercicio del derecho
fundamental de las personas a la información conforme a las garantías consagradas en la
Constitución Política de la República, Pacto Internacional de Derechos Civiles y Políticos,
Convención Interamericana sobre Derechos Humanos y demás instrumentos
internacionales vigentes, de los cuales nuestro país es signatario.
Persigue los siguientes objetivos:
a) Cumplir lo dispuesto en la Constitución Política de la República referente a la

publicidad, transparencia y rendición de cuentas al que están sometidas todas las
instituciones del Estado que conforman el sector público, dignatarios, autoridades y
funcionarios públicos, incluidos los entes señalados en el artículo anterior, las
personas jurídicas de derecho privado que realicen obras, servicios, etc., con
asignaciones públicas. Para el efecto, adoptarán las medidas que garanticen y
promuevan la organización, clasificación y manejo de la información que den cuenta
de la gestión pública;
b) El cumplimiento de las convenciones internacionales que sobre la materia ha suscrito
legalmente nuestro país;
c) Permitir la fiscalización de la administración pública y de los recursos públicos,
efectivizándose un verdadero control social;
d) Garantizar la protección de la información personal en poder del sector público y/o
privado;
e) La democratización de la sociedad ecuatoriana y la plena vigencia del estado de
derecho, a través de un genuino y legítimo acceso a la información pública; y,
f) Facilitar la efectiva participación ciudadana en la toma de decisiones de interés
general y su fiscalización.
48
Título Segundo: De la Información Pública y su Difusión
Art. 5.- Información Pública.- Se considera información pública, todo documento en

cualquier formato, que se encuentre en poder de las instituciones públicas y de las personas
jurídicas a las que se refiere esta Ley, contenidos, creados u obtenidos por ellas, que se
encuentren bajo su responsabilidad o se hayan producido con recursos del Estado.
Art. 6.- Información Confidencial.- Se considera información confidencial aquella

información pública personal, que no está sujeta al principio de publicidad y comprende
aquella derivada de sus derechos personalísimos y fundamentales, especialmente aquellos
señalados en los artículos 23 y 24 de la Constitución Política de la República.
El uso ilegal que se haga de la información personal o su divulgación, dará lugar a las
acciones legales pertinentes.
No podrá invocarse reserva, cuando se trate de investigaciones que realicen las

autoridades, públicas competentes, sobre violaciones a derechos de las personas que se
encuentren establecidos en la Constitución Política de la República, en las declaraciones,
pactos, convenios, instrumentos internacionales y el ordenamiento jurídico interno. Se
excepciona el procedimiento establecido en las indagaciones previas.
2.6.2 Ley de Comercio Electrónico, Firmas electrónicas y mensajes de datos
En el Registro Oficial Suplemento 557 del (Congreso Nacional, 2002) he considerado lo

siguiente:
Art. 1.- Objeto de la Ley.- Esta Ley regula los mensajes de datos, la firma electrónica, los
servicios de certificación, la contratación electrónica y telemática, la prestación de servicios
electrónicos, a través de redes de información, incluido el comercio electrónico y la
protección a los usuarios de estos sistemas.
Art. 2.- Reconocimiento jurídico de los mensajes de datos.- Los mensajes de datos
tendrán igual valor jurídico que los documentos escritos. Su eficacia, valoración y efectos se
someterá al cumplimiento de lo establecido en esta Ley y su reglamento
Art. 7.- Información original.- Cuando la Ley requiera u obligue que la información sea
presentada o conservada en su forma original, este requisito quedará cumplido con un
mensaje de datos, si siendo requerido conforme a la Ley, puede comprobarse que ha
49
conservado la integridad de la información, a partir del momento en que se generó por
primera vez en su forma definitiva, como mensaje de datos.
Se considera que un mensaje de datos permanece íntegro, si se mantiene completo e

inalterable su contenido, salvo algún cambio de forma, propio del proceso de comunicación,
archivo o presentación.
Por acuerdo de las partes y cumpliendo con todas las obligaciones previstas en esta Ley, se
podrán desmaterializar los documentos que por ley deban ser instrumentados físicamente.
Los documentos desmaterializados deberán contener las firmas electrónicas

correspondientes debidamente certificadas ante una de las entidades autorizadas según lo
dispuesto en el artículo 29 de la presente ley, y deberán ser conservados conforme a lo
establecido en el artículo siguiente.
Art. 8.- Conservación de los mensajes de datos.- Toda información sometida a esta Ley,
podrá ser conservada; éste requisito quedará cumplido mediante el archivo del mensaje de
datos, siempre que se reúnan las siguientes condiciones:
a. Que la información que contenga sea accesible para su posterior consulta;

b. Que sea conservado con el formato en el que se haya generado, enviado o recibido,
o con algún formato que sea demostrable que reproduce con exactitud la información
generada, enviada o recibida;
c. Que se conserve todo dato que permita determinar el origen, el destino del mensaje,
la fecha y hora en que fue creado, generado, procesado, enviado, recibido y
archivado; y,
d. Que se garantice su integridad por el tiempo que se establezca en el reglamento a
esta ley.
Toda persona podrá cumplir con la conservación de mensajes de datos, usando los
servicios de terceros, siempre que se cumplan las condiciones mencionadas en este
artículo.
La información que tenga por única finalidad facilitar el envío o recepción del mensaje de
datos, no será obligatorio el cumplimiento de lo establecido en los literales anteriores.
Art. 52.- Medios de prueba.- Los mensajes de datos, firmas electrónicas, documentos
electrónicos y los certificados electrónicos nacionales o extranjeros, emitidos de conformidad
50
con esta ley, cualquiera sea su procedencia o generación, serán considerados medios de
prueba. Para su valoración y efectos legales se observará lo dispuesto en el Código de
Procedimiento Civil.
Art. 54.- Práctica de la prueba.- La prueba se practicará de conformidad con lo previsto en

el Código de Procedimiento Civil y observando las normas siguientes:
a) Al presentar un mensaje de datos dentro de un proceso judicial en los juzgados o

tribunales del país, se deberá adjuntar el soporte informático y la transcripción en
papel del documento electrónico, así como los elementos necesarios para su lectura
y verificación, cuando sean requeridos;
b) En el caso de impugnación del certificado o de la firma electrónica por cualesquiera
de las partes, el juez o tribunal, a petición de parte, ordenará a la entidad de
certificación de información correspondiente, remitir a ese despacho los certificados
de firma electrónica y documentos en los que se basó la solicitud del firmante,
debidamente certificados;
c) El facsímile, será admitido como medio de prueba, siempre y cuando haya sido
enviado y recibido como mensaje de datos, mantenga su integridad, se conserve y
cumpla con las exigencias contempladas en esta ley.
En caso de que alguna de las partes niegue la validez de un mensaje de datos, deberá
probar, conforme a la Ley, que éste adolece de uno o varios vicios que lo invalidan, o que el
procedimiento de seguridad, incluyendo los datos de creación y los medios utilizados para
verificar la firma, no puedan ser reconocidos técnicamente como seguros.
Cualquier duda sobre la validez podrá ser objeto de comprobación técnica.
Art. 55.- Valoración de la prueba.- La prueba será valorada bajo los principios
determinados en la ley y tomando en cuenta la seguridad y fiabilidad de los medios con los
cuales se la envió, recibió, verificó, almacenó o comprobó si fuese el caso, sin perjuicio de
que dicha valoración se efectué con el empleo de otros métodos que aconsejen la técnica y
la tecnología.
En todo caso la valoración de la prueba se someterá al libre criterio judicial, según las
circunstancias en que hayan sido producidos.
51
Para la valoración de las pruebas, el juez o árbitro competente que conozca el caso deberá
designar los peritos que considere necesarios para el análisis y estudio técnico y tecnológico
de las pruebas presentadas.
Art. 57.- Infracciones informáticas.- Se considerarán infracciones informáticas, las de

carácter administrativo y las que se tipifican, mediante reformas al Código Penal, en la
presente ley
2.6.3 Ley Especial de Telecomunicaciones
En el Registro Oficial 996 vigente, publicado por el (Congreso Nacional, 2011) se ha

considerado lo siguiente:
Art. 1.- Ámbito de la Ley.- La presente Ley Especial de Telecomunicaciones tiene por
objeto normar en el territorio nacional la instalación, operación, utilización y desarrollo de
toda transmisión, emisión o recepción de signos, señales, imágenes, sonidos e información
de cualquier naturaleza por hilo, radioelectricidad, medios ópticos u otros sistemas
electromagnéticos.
Los términos técnicos de telecomunicaciones no definidos en la presente Ley, serán

utilizados con los significados establecidos por la Unión Internacional de
Telecomunicaciones.
Art. 10.- INTERCOMUNICACIONES INTERNAS.- No será necesaria autorización alguna

para el establecimiento o utilización de instalaciones destinadas a intercomunicaciones
dentro de residencias, edificaciones e inmuebles públicos o privados, siempre que para el
efecto no se intercepten o interfieran los sistemas de telecomunicaciones públicos. Si lo
hicieran, sus propietarios o usuarios estarán obligados a realizar, a su costo, las
modificaciones necesarias para evitar dichas interferencias o intercepciones, sin perjuicio de
la aplicación de las sanciones previstas en esta Ley.
En todo caso, también estas instalaciones estarán sujetas a la regulación y control por parte
del Estado.
Art. 11.- USO PROHIBIDO.- Es prohibido usar los medios de telecomunicación contra la
seguridad del Estado, el orden público, la moral y las buenas costumbres. La contravención
a esta disposición será sancionada de conformidad con el Código Penal y más leyes
pertinentes.
52
Art. 14.- DERECHO AL SECRETO DE LAS TELECOMUNICACIONES.- El Estado
garantiza el derecho al secreto y a la privacidad de las telecomunicaciones. Es prohibido a
terceras personas interceptar, interferir, publicar o divulgar sin consentimiento de las partes
la información cursada mediante los servicios de telecomunicaciones.
2.6.4 Código penal
En el Registro Oficial Suplemento 147 publicado por la (Dirección Nacional de Asesoría

Jurídica de la PGE, 2013) se tomó los siguientes artículos.
Art. 10.- Son infracciones los actos imputables sancionados por las leyes penales, y se
dividen en delitos y contravenciones, según la naturaleza de la pena peculiar.
Art. 202.- Los que sustrajeren cartas confiadas al correo serán reprimidos con prisión de
quince a sesenta días, excepto los padres, maridos o tutores que tomaren las cartas de sus
hijos, consortes o pupilos, respectivamente, que se hallen bajo su dependencia.
"Art.- El que empleando cualquier medio electrónico, informático o afín, violentare claves o
sistemas de seguridad, para acceder u obtener información protegida, contenida en
sistemas de información; para vulnerar el secreto, confidencialidad y reserva, o simplemente
vulnerar la seguridad, será reprimido con prisión de seis meses a un año y multa de
quinientos a mil dólares de los Estados Unidos de Norteamérica.
Si la información obtenida se refiere a seguridad nacional, o a secretos comerciales o

industriales, la pena será de uno a tres años de prisión y multa de mil a mil quinientos
dólares de los Estados Unidos de Norteamérica.
La divulgación o la utilización fraudulenta de la información protegida, así como de los

secretos comerciales o industriales, serán sancionadas con pena de reclusión menor
ordinaria de tres a seis años y multa de dos mil a diez mil dólares de los Estados Unidos de
Norteamérica.
Si la divulgación o la utilización fraudulenta se realizan por parte de la persona o personas

encargadas de la custodia o utilización legítima de la información, éstas serán sancionadas
con pena de reclusión menor de seis a nueve años y multa de dos mil a diez mil dólares de
los Estados Unidos de Norteamérica.
53
Art.- Obtención y utilización no autorizada de información.- La persona o personas que
obtuvieren información sobre datos personales para después cederla, publicarla, utilizarla o
transferirla a cualquier título, sin la autorización de su titular o titulares, serán sancionadas
con pena de prisión de dos meses a dos años y multa de mil a dos mil dólares de los
Estados Unidos de Norteamérica.".
CAPITULO VII Del incendio y otras destrucciones, de los deterioros y daños
Art. 415.- Si en los casos previstos por los artículos precedentes ha habido violación de
cerramiento, la pena se aumentará en el doble.
Art. ...- Daños informáticos.- El que dolosamente, de cualquier modo o utilizando cualquier
método, destruya, altere, inutilice, suprima o dañe, de forma temporal o definitiva, los
programas, datos, bases de datos, información o cualquier mensaje de datos contenido en
un sistema de información o red electrónica, será reprimido con prisión de seis meses a tres
años y multa de sesenta a ciento cincuenta dólares de los Estados Unidos de Norteamérica.
La pena de prisión será de tres a cinco años y multa de doscientos a seiscientos dólares de
los Estados Unidos de Norteamérica, cuando se trate de programas, datos, bases de datos,
información o cualquier mensaje de datos contenido en un sistema de información o red
electrónica, destinada a prestar un servicio público o vinculado con la defensa nacional.
2.6.5 Código de procesamiento penal
Del Registro Oficial Suplemento 360 de la (Subdirección de Asesoría Jurídica de la PGE,

2013) he tomado los siguientes puntos:
Art. 155.- Intercepción y grabaciones.- El juez de garantías penales puede autorizar por
escrito al Fiscal para que intercepte y registre conversaciones telefónicas o de otro tipo,
cuando lo considere indispensable para impedir la consumación de un delito, o para
comprobar la existencia de uno ya cometido, o la responsabilidad de los partícipes.
La cinta grabada deberá ser conservada por el Fiscal, con la transcripción suscrita por la
persona que la escribió.
Las personas encargadas de interceptar, grabar y transcribir la comunicación tienen la

obligación de guardar secreto sobre su contenido, salvo cuando se las llame a declarar en el
juicio.
54
Art. 156.- Documentos semejantes.- El juez de garantías penales autorizará al Fiscal para
el reconocimiento de las grabaciones mencionadas en el artículo anterior, así como de
películas, registros informáticos, fotografías, discos u otros documentos semejantes. Para
este efecto, con la intervención de dos peritos que jurarán guardar reserva, el Fiscal, en
audiencia privada, procederá a la exhibición de la película o a escuchar el disco o la
grabación y a examinar el contenido de los registros informáticos. Las partes podrán asistir
con el mismo juramento.
Art. ...- Los Fiscales podrán utilizar todos aquellos medios técnicos, electrónicos,
informáticos y telemáticos que resulten útiles e indispensables para sustentar sus
actuaciones y pronunciamientos, cumpliendo con los requisitos y obteniendo las
autorizaciones que se exijan en la ley respecto de la procedencia y eficacia de los actos de
investigación o de prueba que se formulen a través de dichos medios.
Las actuaciones que se realicen, y los documentos o información obtenidas a través de

estos procedimientos, serán válidos y eficaces siempre que se garantice su integridad,
autenticidad y reproducción, y no afecten en modo alguno los derechos y garantías
fundamentales reconocidas en la Constitución y la ley.
Las actuaciones y procesos que se tramiten con soporte informático, deberán garantizar la
confidencialidad, privacidad y seguridad de los datos e informaciones de carácter personal
que contengan.
Sin embargo, en aquellos casos de grabaciones o filmaciones relacionadas a un hecho

constitutivo de infracción, registradas de modo espontáneo al momento mismo de su
ejecución, por los medios de comunicación social o por cámaras de seguridad, ubicadas en
lugares públicos, le servirán al fiscal para integrar la investigación y para introducirlas al
juicio como elemento de prueba para su valoración. Estas no requerirán de la autorización a
la que se refiere el artículo ciento cincuenta y cinco.
Art. 157.- Documentos públicos.- Si los documentos formaren parte de otro proceso o
registro, o si reposan en algún archivo público, se obtendrá copia certificada de ellos y no se
los agregará originales sino cuando fuere indispensable para constancia del hecho. En este
último caso la copia quedará en dicho archivo, proceso o registro y, llenada la necesidad se
devolverán los originales, dejando la copia en el proceso.
55
2.6.6 Código orgánico integral penal
Del Suplemento de la (Asamblea Nacional, 2014) he contemplado lo siguiente:
Artículo 1.- Finalidad.- Este Código tiene como finalidad normar el poder punitivo del
Estado, tipificar las infracciones penales, establecer el procedimiento para el juzgamiento de
las personas con estricta observancia del debido proceso, promover la rehabilitación social
de las personas sentenciadas y la reparación integral de las víctimas.
Artículo 174.- Oferta de servicios sexuales con menores de dieciocho años por
medios electrónicos.- La persona, que utilice o facilite el correo electrónico, chat,
mensajería instantánea, redes sociales, blogs, foto blogs, juegos en red o cualquier otro
medio electrónico o telemático para ofrecer servicios sexuales con menores de dieciocho
años de edad, será sancionada con pena privativa de libertad de siete a diez años finalidad
sexual o erótica, será sancionada con pena privativa de libertad de uno a tres años.
Artículo 190.- Apropiación fraudulenta por medios electrónicos.- La persona que utilice
fraudulentamente un sistema informático o redes electrónicas y de telecomunicaciones para
facilitar la apropiación de un bien ajeno o que procure la transferencia no consentida de
bienes, valores o derechos en perjuicio de esta o de una tercera, en beneficio suyo o de otra
persona alterando, manipulando o modificando el funcionamiento de redes electrónicas,
programas, sistemas informáticos, telemáticos y equipos terminales de telecomunicaciones,
será sancionada con pena privativa de libertad de uno a tres años.
La misma sanción se impondrá si la infracción se comete con inutilización de sistemas de

alarma o guarda, descubrimiento o descifrado de claves secretas o encriptados, utilización
de tarjetas magnéticas o perforadas, utilización de controles o instrumentos de apertura a
distancia, o violación de seguridades electrónicas, informáticas u otras semejantes.
Artículo 232.- Ataque a la integridad de sistemas informáticos.- La persona que

destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause mal funcionamiento,
comportamiento no deseado o suprima datos informáticos, mensajes de correo electrónico,
de sistemas de tratamiento de información, telemático o de telecomunicaciones a todo o
partes de sus componentes lógicos que lo rigen, será sancionada con pena privativa de
libertad de tres a cinco años.
56
Con igual pena será sancionada la persona que:
1. Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute, venda o

distribuya de cualquier manera, dispositivos o programas informáticos maliciosos o
programas destinados a causar los efectos señalados en el primer inciso de este
artículo.
2. Destruya o altere sin la autorización de su titular, la infraestructura tecnológica
necesaria para la transmisión, recepción o procesamiento de información en general.
Si la infracción se comete sobre bienes informáticos destinados a la prestación de un

servicio público o vinculado con la seguridad ciudadana, la pena será de cinco a siete años
de privación de libertad.
Artículo 233.- Delitos contra la información pública reservada legalmente.- La persona

que destruya o inutilice información clasificada de conformidad con la Ley, será sancionada
con pena privativa de libertad de cinco a siete años.
La o el servidor público que, utilizando cualquier medio electrónico o informático, obtenga

este tipo de información, será sancionado con pena privativa de libertad de tres a cinco
años.
Cuando se trate de información reservada, cuya revelación pueda comprometer gravemente

la seguridad del Estado, la o el servidor público encargado de la custodia o utilización
legítima de la información que sin la autorización correspondiente revele dicha información,
será sancionado con pena privativa de libertad de siete a diez años y la inhabilitación para
ejercer un cargo o función pública por seis meses, siempre que no se configure otra
infracción de mayor gravedad.
Artículo 234.- Acceso no consentido a un sistema informático, telemático o de

telecomunicaciones.- La persona que sin autorización acceda en todo o en parte a un
sistema informático o sistema telemático o de telecomunicaciones o se mantenga dentro del
mismo en contra de la voluntad de quien tenga el legítimo derecho, para explotar
ilegítimamente el acceso logrado, modificar un portal web, desviar o re direccionar de tráfico
de datos o voz u ofrecer servicios que estos sistemas proveen a terceros, sin pagarlos a los
proveedores de servicios legítimos, será sancionada con la pena privativa de la libertad de
tres a cinco años.
57
El uso de las nuevas tecnologías ha dispuesto que cada nación realice un estudio y análisis
del marco legal y regulatorio existente en el país, estableciendo estatutos y sanciones para
quienes hagan un uso indebido de las mismas. Sin embargo cada día se presentan nuevos
desafíos que requieren que dichas reformas sean replanteadas y modificadas.
58
CAPÍTULO III
DESARROLLO DE LA GUÍA METODOLÓGICA
3.1 Propósito
La guía le permitirá saber, ¿qué hacer?, ¿cómo actuar?, ¿qué analizar? e identificar el
proceso y/o actividades a seguir, en el momento en que se otorga un dispositivo móvil para
su análisis, como también desarrollar la documentación necesaria para llevar a cabo un
historial de las actividades realizadas en cada una de las fases y de los hallazgos
encontrados en el dispositivo móvil. Determinando el alcance y cumplimiento del objetivo del
caso de estudio.
La guía está basada en los estándares internacionales tales como: la guía metodológica
forense del Departamento de Justicia de los Estados Unidos (NIJ), la Guía Forense en
Teléfonos Celulares del Instituto Nacional de Estándares de Tecnología (NIST), la guía
metodológica de la Red Europea de Instituto de Ciencias Forenses (ENFSI), la guía de
mejores prácticas para análisis forense en teléfonos móviles (SWGDE) y de estudios
realizados referentes al tema.
Se ha desarrollado 4 fases a seguir en el proceso y ejecución de un examen forense. La

primera fase es de identificación y preservación de la evidencia, es el inicio de la cadena de
custodia; la segunda fase es la de adquisición o extracción, la misma que comprende la
extracción física y lógica del contenido del dispositivo; la tercera fase es la de análisis y
exploración, la cual a través de técnicas y herramientas especializadas se pretende
identificar las acciones y/o actividades realizadas por un agente (virus, usuario, etc.); la
cuarta fase se realiza una presentación formal, clara y concisa de los hallazgos encontrados
en el dispositivo, generando un informe técnico y ejecutivo.
3.2 Consideraciones
Al iniciar un análisis forense se debe considerar lo siguiente:
 La guía debe ser utilizada como una fuente de ayuda para la ejecución de una
investigación forense, por lo que se entenderá que no se debe utilizar como una
medida o un mandato para la aplicación de la ley, ni como asesoramiento jurídico.
 Conocer las características del dispositivo a analizar, como también la estructura,
arquitectura o composición del sistema de ficheros de Android, es de vital
importancia ya que permite conocer la organización de los mismos. Debido a que
la organización de los ficheros y carpetas del dispositivo depende del fabricante del
mismo, como también la implementación que este realice en el sistema operativo;
60
pero finalmente todos comparten una estructura estándar sobre las particiones de la
memoria interna (boot, system, recovery, data, cache y misc) y las particiones que
pertenecen a la tarjeta externa (sdcard, sd-ext).
 Las medidas adoptadas y/o acciones realizadas por los investigadores para
asegurar, preservar, identificar y reunir las pruebas necesarias, no debe afectar a la
integridad de la evidencia, es decir, que cualquier actividad que se realice para la
recolección, búsqueda y extracción de información no deberá alterar o manipular la
evidencia.
 Identificar los posibles problemas relacionados con los estatutos o leyes vigentes en
el país, ya que permitirá establecer las debidas acciones y/o precauciones y el
cumplimiento de las mismas, dentro de la ejecución del examen forense.
 Considerar que no todos los pasos y/o herramientas recomendadas en esta guía
pueden ser tomadas como una prueba válida dentro de un procedimiento legal.
 Contar con las herramientas y/o materiales necesarios antes de realizar el examen
(Hardware y Software).
 El equipo de investigación deberá estar entrenado y capacitado, como también
tener la capacidad de explicar las acciones tomadas en el examen forense.
 Se debe mantener un protocolo de registros (formularios estandarizados) para la
referente anotación de los hallazgos u observaciones encontradas en el examen
forense; y/o documentación de todos los pasos realizados en cada una de las
fases. Se pueden hacer uso de los modelos de plantillas recomendados en la guía
metodológica.
3.3 Diseño de la guía metodológica
Adquisición Resultados
•Evaluación del •Recuperación de •Presentación de
caso •Backup archivos e resultados
•Documentación •Copia bit a bit información •Generación de
•Proceso de extracción informe técnico
física y lógica del y ejecutivo
Identificación/ dispositivo Análisis y
Preservación Exploración
Figura 13: Fases de la guía metodológica

Fuente (Autora)
61
En la Figura 13 se observa las 4 fases en la que está compuesta la guía metodológica, la
misma que en la Figura 14 se sintetiza de forma gráfica el proceso llevado a cabo en cada
una de las fases.
Figura 14: Proceso general guía metodológica

Fuente (Autora)
El proceso y/o actividades a seguir en cada una de las fases se detallan a continuación:
3.3.1 Fase de identificación y preservación
El principal objetivo de esta fase es la de identificar el incidente, es decir, se conoce los

antecedentes, la situación actual y el proceso que se pretende seguir, para dar inicio a la
cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia),
como también la preservación, búsqueda y recopilación de la evidencia de los dispositivos
móviles involucrados en su estado original y el entorno legal.
Actividad 1: Identificar el problema
1) En primera instancia se deberá notificar mediante una “Solicitud de examen forense” o

“Autorización legal”, el incidente donde esté involucrado uno o varios dispositivos
móviles. La solicitud de examen forense, es un documento formal, notariado, que
permite garantizar el correspondiente respaldo legal, para realizar el examen forense,
62
en este documento se debe hacer constar quién solicita el examen forense (institución o
personas), el fundamento legal (sustento jurídico en el cual se solicita o reclama un
derecho), el problema (motivo o razón por la que se solicita el examen forense donde se
debe hacer constar los antecedentes del mismo, el tiempo, el lugar, dispositivos, etc.) y
finalmente las firmas de aprobación del examen forense.
2) Actuar apegado a las leyes existentes, dando inicio a la investigación sin
comprometerse con cuestiones legales.
Riesgo: El investigador forense debe atenerse a una demanda legal de acuerdo a los
estatutos del Código Orgánico Integral Penal, entre las sanciones que pueden ser
aplicables están: el Artículo 232.- Ataque a la integridad de sistemas informáticos o el
Artículo 234.- Acceso no consentido a un sistema informático, telemático o de
telecomunicaciones, entre otros.
Actividad 2: Evaluación y planificación del caso de estudio
1) Revisar la solicitud del caso de estudio, ya que permitirá verificar lo que el examen
forense puede o no descubrir, determinando que es lo que se busca (e.g. fotografías,
llamadas, e-mails, etc.).
2) Planear y diseñar estrategias concretas basadas en la guía metodológica, identificando
los materiales y/o herramientas a utilizar (e.g. guantes de látex, cámara fotográfica,
etiquetas, documentos para establecer notas, hardware, software, etc.), como también
organizar e identificar el personal o equipo de trabajo a ser involucrado en la
investigación.
Riesgos: No cumplir con el objeto de la pericia, realizando trabajo en vano.
Actividad 3: Identificar el personal o equipo de investigación
1) Registrar los responsables de la investigación, quién (es) recolectan la evidencia, quien

(es) van a transportar la evidencia hacia el laboratorio forense; manteniendo un registro
de las personas que se encuentran en la escena o lugar del hecho y de las actividades
realizadas por los mismos.
2) Se debe asignar un rol de acuerdo a la función que vaya a desempeñar en la
investigación. Es importante que el personal esté debidamente entrenado y capacitado.
Los roles y funciones que se pueden identificar se muestran a continuación:
63
Tabla 8: Roles y funciones equipo de trabajo
ROL FUNCIÓN
Plantea y diseña estrategias concretas basadas en la guía
metodológica, es el responsable de identificar y recolectar la evidencia.
Investigadores/Peritos
Además se asegura de que las actividades y/o procesos diseñados en
la guía metodológica sean llevados a cabo correctamente.
Encargados de proteger la evidencia, se aseguran que la evidencia esté
Custodios etiquetada y sellada adecuadamente, como también se encarga de
transportar la evidencia hacia el laboratorio
Personal especializado en adquirir, recuperar y analizar los datos
Examinadores/Analistas
digitales
Fuente (Autora)
Riesgo: Accesos no autorizados, es decir, que ninguna persona externa al equipo de

investigación, pueda manipular la cadena de custodia.
Actividad 4: Identificar el escenario o entorno en el que se desarrollará la

investigación.
En esta actividad se determina el estado en el que se encuentra la evidencia y el espacio o

lugar en el que sucede el hecho, asegurando la correcta recolección de la evidencia y/o
cadena de custodia.
Si el peritaje se realiza en un escenario donde se ha cometido un delito y se encuentra

involucrado uno o varios dispositivos móviles deberá:
1) Restringir el acceso al lugar de los hechos a personas no autorizadas

2) Observar y buscar los elementos de interés como: los dispositivos móviles, los
periféricos o componentes asociados, cables, adaptadores de alimentación, accesorios,
manuales de usuario, etc.
3) Anotar la ubicación y el estado en el que se encuentran los dispositivos.
4) Fotografiar toda la escena para crear un registro visual y/o realizar un croquis de la
ubicación de cada uno de los objetos de evidencia (Captar detalles de interés).
5) Tomar los objetos con guantes de látex, para no alterar o desaparecer las huellas
dactilares, ya que pueden o no ser requeridas en el examen forense, preservando la
evidencia.
6) Evaluar si se debe llevar a cabo la toma de huellas dactilares, ADN, etc., que pueden
ser aplicables para establecer el vínculo entre un dispositivo y su propietario. En el caso
de requerirse dicho examen, deberá contar con el personal especializado en la materia.
64
Si el escenario en el que se realiza el peritaje inicia con el consentimiento del propietario,
deberá realizar lo siguiente:
1) Solicitar la mayor cantidad de información de los usuarios de los dispositivos móviles

para determinar el número de teléfono, códigos, pins y patrones.
2) Solicitar los elementos de interés como: los dispositivos móviles, los periféricos o
componentes asociados, cables, adaptadores de alimentación, accesorios, manuales de
usuario, etc.
3) Anotar el estado en el que se encuentran los dispositivos.
4) Fotografiar todos los elementos para crear un registro visual de la evidencia.
5) Tomar los objetos con guantes de látex, para no alterar o desaparecer las huellas
dactilares, ya que pueden o no ser requeridas en el examen forense, preservando la
evidencia.
6) Evaluar si se debe llevar a cabo la toma de huellas dactilares, ADN, etc., que pueden
ser aplicables para establecer el vínculo entre un dispositivo y su propietario. En el caso
de requerirse dicho examen, deberá contar con el personal especializado en la materia.
Riesgos:
 Contaminación de la evidencia.
 Alterar o desaparecer las huellas dactilares a ser requeridas.
Actividad 5: Aislar el dispositivo de la red móvil
1) Verificar si el dispositivo se encuentra encendido, si se encuentra encendido deberá

realizar lo siguiente:
 Fotografiar y documentar lo que aparece en la pantalla.
 Comprobar que el nivel de batería del dispositivo se encuentre con un nivel no
menor al 50%, por lo que el dispositivo debe mantenerse encendido, para su
respectivo análisis.
 Asegúrese que el dispositivo se encuentre aislado o desconectado de la red móvil y
de otros dispositivos utilizados para la sincronización de datos. A través de las
siguientes técnicas: apagar el dispositivo, retirar la batería, si es posible colocar el
dispositivo en “modo avión”, para mantener la integridad de los datos y la evidencia,
desactivar Wi- Fi, Bluetooth, etc.
2) En caso de que el dispositivo se encuentre apagado, no encienda el dispositivo, para
evitar el inicio de cualquier programa de autoprotección (antivirus, etc.).
65
Riesgos:
 Manipulación y alteración de los datos del dispositivo como llamadas y mensajes de

texto mediante la comunicación con la red móvil o de quién realiza la incautación
del mismo.
 Transmisión de datos por medio de la red Wi- Fi, Bluetooth, etc., donde se puede
bloquear el dispositivo y eliminar archivos.
Actividad 6: Etiquetar, empaquetar y sellar todos los elementos o dispositivos

electrónicos, para su respectiva protección y transportación
1) Documentar correctamente la etiqueta de las evidencias con su respectivo identificador,

descripción, fecha y hora de incautación, responsables, etc., para de esta manera
mantener un registro de cómo se almaceno y protegió la evidencia.
2) En lo posible deberá sellar cada puerto o entrada de información.
3) Las etiquetas deben estar unidos a cada paquete en el momento de la incautación.
4) Colocar la evidencia en bolsas (se puede hacer uso de papel aluminio) y/o
contenedores antiestáticos que aíslen las radiofrecuencias y en recipientes de un
tamaño adecuado.
Riesgos:
 Pérdida de la evidencia
 Inconformidad o alteración en la documentación.
Actividad 7: Documentar todos los pasos y/o actividades realizadas en el proceso de

incautación.
1) Mantener un registro histórico de las actividades realizadas en el proceso de

incautación.
2) Mantener un registro de las personas que se encontraban en la escena o lugar de
incautación.
3) Mantener un registro del estado y ubicación de los dispositivos móviles
Riesgos:
 No captar detalles de interés, que puedan ser de relevancia en la investigación.

 No existencia de un registro de los pasos tomados en el momento de la incautación.
66
 No se tomaron las medidas necesarias para la preservación de la evidencia.
 Existencia de una exclusión probatoria
Actividad 8: Finalmente transportar la evidencia hacia el laboratorio, para el

respectivo proceso de adquisición, análisis y exploración de la evidencia.
1) Sellar los paquetes adjuntando la documentación generada, los mismos que no deben
volver abrirse fuera del laboratorio.
2) Evitar las altas temperaturas, humedad, golpes, electricidad estáticas y fuentes
magnéticas.
Riesgos:
 Daños y pérdida de la evidencia.

A continuación se diseñan 3 modelos de plantillas, donde se detalla los puntos principales

de la fase de identificación y preservación, además se plantea un diagrama de flujo que
muestra la interacción entre las actividades a realizar.
67
Diagrama de Flujo
Figura 15: Diagrama de flujo fase de identificación y preservación

Fuente (Autora)
68
Modelo de solicitud de examen forense
MODELO DE SOLICITUD DE EXAMEN FORENSE
Fecha de solicitud: / / /
DÍA / MES / AÑO
A: [Nombre y/o institución destinatario]
Por este medio se solicita la realización del examen forense digital,

a…………………………………………………………………………………………………….................. de
propiedad de………………………………………………………………………………………………………
Problema:
<<Motivo o razón por la que se solicita el examen forense>>
Solicita determinar:
 ………………………………..
 ………………………………..
Como parte de la realización del examen forense se autoriza:
SI ( ) NO ( ) Otorgar acceso root al dispositivo
SI ( ) NO ( ) Extracción de información confidencial
Y una vez informado sobre los procedimientos que se llevarán a cabo, y de la importancia de los
mismos para la investigación, se otorga de manera libre el consentimiento y autorización legal del
presente.
Por lo que se hace constar que el presente documento ha sido leído y entendido por mí en su
integridad de manera libre y espontánea.
Firma
Nombres y Apellidos:
Cédula de identidad:
La persona o institución auditora se compromete a cumplir con los artículos establecidos, de acuerdo al marco
legal o regulatorio del país, cuyos estatutos establezcan que dicha persona o institución realice alguna
alteración en la información encontrada y analizada en los dispositivos móviles que determinen la resolución del
caso de estudio.
69
Modelo de plantilla fase de identificación y preservación
MODELO DE PLANTILLA FASE DE IDENTIFICACIÓN Y PRESERVACIÓN

1. Código:
<<Identificador único, que permite llevar un control sobre la documentación generada>>
2. Fecha y hora de incautación:
<<Fecha y hora en la que se tomó posesión de la evidencia>>
3. Lugar y ubicación de incautación:
<<Lugar en la que se tomó posesión de la evidencia>>
4. Evaluación del caso
a. Código caso de estudio:
<<Identificador único, referencial al caso de estudio>>
b. Descripción caso de estudio:
<<Motivo o razón legal por la que se solicita el examen forense>>
c. Propietario (s):
<<Nombre u organización propietaria del dispositivo>>
d. Objetivo caso de estudio:
<<Breve descripción del trabajo a realizar, de acuerdo al análisis del caso de estudio>>
e. Equipo de trabajo (Responsables de la investigación)
# Nombres completos Rol/Función Cédula de identidad
<<id>> <<Nombres y apellidos del <<Rol y función a cumplir en <<Número de la cédula de
responsable de la la investigación>> identidad del responsable
investigación>> de la investigación>>
5. Procedimiento
a. Observaciones
<<Descripción del lugar en el que se ha incautado la evidencia, etc. >>
b. Materiales
<<Breve descripción de los materiales a ser utilizados; por ejemplo:>>
Material Si No
Computador para análisis
Cámara fotográfica
Bolsas antiestáticas
Sobres de manila
Cajas de cartón
Cinta de embalaje
Guantes de látex para la manipulación del dispositivo
Etiquetas adhesivas
Documentos para establecer notas
70
Adaptador de puertos USB
Cables para la comunicación de datos
Cable para energizar los dispositivos
Lectora de tarjeta SIM
Lectora de tarjeta externa (SD card, micro SD)
Software suministrado por el fabricante del dispositivo móvil
Equipo para aislar las comunicaciones (Jaula de Faraday, Papel aluminio, etc.)
Software forense (Oxygen Forensic, Autopsy, MOBILedit, BitPim, etc.)
Otros
c. Procedimiento
<<Descripción del proceso y/o actividad, llevada a cabo durante el proceso de identificación y
preservación de la evidencia>>
6. Descripción evidencia
<<En este apartado se da una breve descripción del dispositivo incautado como marca, modelo,
periféricos asociados, tipo, etc. >>
EVIDENCIA
Componentes o
Cant.
Cód. Etiqueta Dispositivo Estado Descripción periféricos

asociados
Manuales ( )
<<Tipo de Cargador ( )
<<Identificador <<Descripción de
dispositivo, por Encendido ( ) Batería ( )
único de la las principales
# ejemplo: Tablet Apagado ( ) Tarjeta externa ( )
evidencia características del
y/o Bloqueado ( ) SIM CARD ( )
incautada>> dispositivo>>
Smartphone>> Cables ( )
Otros ( )
Notas: Adjuntar registro visual (fotografías, croquis de ubicación de cada uno de los objetos de
evidencia, etc.)
7. Registro visual
Descripción Fotografía
<<Descripción de la imagen presentada>> <<Imagen a presentar>>
8. Aprobación
……………………………… ………………………………
Firma Firma
[Nombres y Apellidos] [Nombres y Apellidos]
[Rol/Cargo] [Rol/Cargo]
71
Modelo de etiqueta, identificación dispositivos
MODELO DE ETIQUETA EVIDENCIA
Tabla 9: Modelo de etiqueta evidencia

Código: <<Identificar etiqueta>>
Fecha y hora de incautación: <<Detalle de la fecha y hora en que fue incautado el dispositivo>>
Responsable de incautación <<Nombres y apellidos del responsable de realizar la recolección
(Investigador/Perito): e incautación del dispositivo>>
Responsable de trasportar <<Nombres y apellidos del responsable de transportar la evidencia
(Custodio): al laboratorio>>
Descripción: <<Breve descripción del estado o características del dispositivo>>
Fuente (Autora)
3.3.2 Fase de adquisición
Esta fase comprende la extracción física (Datos de la unidad física, sin tener en cuenta el
sistema de archivos) y lógica (Identifica y recupera los archivos y los datos basados en el
sistema operativo) del dispositivo, por lo que continuamente se procede a realizar un backup
y/o copia bit a bit de la memoria (contenidos) del dispositivo.
Actividad 1: Recibir la evidencia en el laboratorio
1) Contar con un laboratorio debidamente equipado en cuanto a software y hardware.

2) Registrar la fecha y hora en que se recibe la evidencia.
3) Registrar el nombre del responsable (Custodio) quien entrega la evidencia.
4) Verificar el estado y la condición de la evidencia.
5) Revisar la documentación generada en la fase anterior y anotar cualquier inconformidad
o alteración en el mismo.
Riesgos:
 Manipulación y alteración de la evidencia.

Actividad 2: Identificar el dispositivo y los periféricos o componentes asociados
1) Aislar cualquier tipo de red inalámbrica o equipo que pueda alterar la evidencia, se
puede contar con inhibidores de señal.
72
2) Tomar la evidencia con guantes de látex e identificar el dispositivo, marca, modelo,
operadora, sistema operativo, etc., como también los periféricos o componentes
asociados, cables, adaptadores de alimentación, accesorios, manuales de usuario, etc.
3) Verificar si el dispositivo se encuentra encendido. Nuevamente realizaremos los
siguientes pasos, detallados en la fase de identificación y preservación:
 Proceder a fotografiar y documentar lo que aparece en pantalla.
 Comprobar que el nivel de batería del dispositivo se encuentre con un nivel no
menor al 50%, en caso de no contar con un nivel de batería mayor al 50% proceda
a conectar a la corriente, asegurándose que el dispositivo se mantenga encendido
durante el examen.
4) En caso de que el dispositivo se encuentre apagado, no encienda el dispositivo, para
evitar el inicio de cualquier programa de autoprotección (antivirus, etc.).
Riesgos:
 Manipulación y alteración de los datos del dispositivo como llamadas y mensajes de

texto mediante la comunicación con la red móvil o de quién realiza la incautación
del mismo.
 Transmisión de datos por medio de la red Wi- Fi, Bluetooth, etc., donde se puede
bloquear el dispositivo y eliminar archivos.
Actividad 3: Recolección de la evidencia no volátil (Tarjeta externa, SIM CARD, Micro

SD, entre otros)
1) Identificar la evidencia no volátil

2) Volcar la memoria no volátil, es decir, obtener una copia exacta de los datos de los
mismos, por lo que se puede realizar lo siguiente:
 Colocar la tarjeta externa o SIM Card en los adaptadores correspondientes.
 Seleccionar una herramienta o software y adquirir la copia o backup de los datos.
 Calcular el hash (Firmar con los algoritmos sha1 y md5), el hash es una contraseña
o firma digital que nos permite mantener la integridad de los archivos generados,
para posteriormente verificar la modificación o alteración de los mismos.
Riesgos:
 Manipulación y alteración de los datos del dispositivo
73
Actividad 4: Obtener un backup o copia de seguridad de los datos del dispositivo
1) Encienda el dispositivo
2) Conecte el dispositivo al computador por USB
3) Proceda a instalar los drivers del dispositivo en el equipo o computador a ser utilizado
en el examen forense, este proceso se puede realizar haciendo uso del software propio
del dispositivo u otras herramientas.
4) Continuamente deberá verificar si el dispositivo se encuentra bloqueado. Existen cuatro
tipos de bloqueo de pantalla del dispositivo en Android. A) Ninguno Modo básico,
donde se realiza el gesto de desplazamiento. B) PIN  Se ingresa un código numérico
de al menos 4 dígitos. C) Contraseña  Se ingresa un código alfanumérico de al menos
4 caracteres. D) Patrón  Se dibuja un patrón sobre los puntos marcados, dicho patrón
debe contener al menos 4 puntos.
 En caso de que el dispositivo se encuentre bloqueado, proceda a evadir el bloqueo,
por lo que cuenta con varias opciones, entre ellas tenemos:
o Fotografiar la pantalla y verificar las marcas físicas sobre la pantalla. Técnica
detallada en (Aviv, Gibson, Mossop, Blaze, & Smith, 2010)
o Hacer uso de las diferentes técnicas de evasión de bloqueo, que algunos
expertos nos proporcionan como (Daniel Medianero, 2013) y (Siles, 2013), entre
ellas tenemos:
 Instalación de una app (aplicación para dispositivos Android), especializada
en la evasión de bloqueo.
 Vía ADB (Android Debug Bridge con el SDK de Android), etc.
5) Seguidamente obtenga o adquiera un backup o copia de seguridad de los datos del
dispositivo realizando lo siguiente:
 Conectar el dispositivo al equipo y vía ADB (Android Debug Bridge con el SDK de
Android) digite en la consola de comandos:
o adb devices
o adb –s [identificador_dispositivo] backup –f [ruta_destino/
(nombre_archivobackup).ab] –all. Para obtener un backup mediante adb cuentas
con varias opciones para personalizar el mismo “adb backup [-f <file>] [-apk|-
noapk] [-obb|-noobb] [-shared|-noshared] [-all] [-system|nosystem]
[<packages...>]” (digite adb help para verificar que realiza cada opción) donde.
 [-f <file>]: Se usa para personalizar el archivo en el que se guardaran los
datos del dispositivo, por ejemplo respaldo.ab
74
 [-apk|-noapk]: Se utiliza para incluir una copia de seguridad de los datos de
las .apk o aplicaciones.
 [-obb|-noobb]: Copia de seguridad de cualquier expansión apk instalado.
 [-shared|-noshared]: Copia de seguridad del contenido de la SD card. Por
defecto está –noshared
 [-all]: Copia de seguridad de todas las aplicaciones instaladas.
 [-system|nosystem]: Copia de seguridad de las aplicaciones del sistema.
 [<packages...>]: Copia de seguridad de una aplicación o paquete específico.
 O puede seleccionar una herramienta o software que permita obtener un backup o
copia de seguridad de los datos.
Riesgos:
 Manipulación y alteración de los datos del dispositivo.

 No mantener la integridad de los datos.
Actividad 5: Obtener una copia bit a bit
Inmediatamente se obtiene o adquiere una copia bit a bit de la memoria (copia exacta de la
memoria, que incluyen los espacios que ocupan los archivos, áreas borradas, espacio no
asignado, etc.). Se puede realizar lo siguiente:
 Habilitar la opción “Depuración USB” o “USB debugging” en el dispositivo. Dirigirse

a Ajustes Opciones de desarrollador Depuración de USB, sino se cuenta con la
opción de “Opciones de desarrollador” deberá ir a Ajustes Acerca del
dispositivo Pulsar varias veces sobre la opción “Número de compilación”, hasta
que nos aparezca un mensaje donde se anuncia que ya es desarrollador.
 Dar acceso root (acceso como súper usuario o administrador) al dispositivo (de
acuerdo a la marca, modelo y versión del sistema operativo), para acceder al
sistema y controlar el mismo. Entre las opciones tenemos hacer uso de las
diferentes apk (aplicaciones android) y/o herramientas o software brindados para
rootear el dispositivo. O mediante la instalación de un firmware11 (ROM12
personalizado).
11
“Parte del software de un dispositivo grabado en una memoria ROM que se encarga de gestionar la lógica de
más bajo nivel, siendo la parte software más cercana al propio hardware del dispositivo”. (Acosta, 2011)
12
“Del inglés Read Only Memory, es un tipo de memoria que, a diferencia de la RAM —Random Access
Memory— no se elimina al interrumpir la alimentación eléctrica. En Android se utiliza este tipo de memoria para
almacenar el sistema operativo, de forma que no interfiera con los datos del usuario. Generalmente verás
75
 Conocer como está compuesto el sistema de ficheros del dispositivo y cuáles son
las particiones con las que cuenta el dispositivo móvil, y de esta manera saber la
ruta de la partición o archivo a ser copiado.
o De acuerdo (Nobles Pérez & Ruíz García, 2013) Android cuenta con tres
carpetas fundamentales del sistema de ficheros, que son consideradas en el
examen forense, estas son: a) /system/: Fichero que pertenece al sistema
operativo, b) /data/: Fichero que almacena los datos del usuario y aplicaciones,
c) /data/app/: Fichero que almacena las aplicaciones /data/data/: Fichero que
almacena los datos de las aplicaciones, d) /mnt/sdcard o /sdcard/: Fichero
correspondiente a la SD card o memoria externa, el mismo que almacena
ficheros, música, etc.
o Conecte el dispositivo al equipo mediante y vía ADB (Android Debug Bridge con
el SDK de Android), escriba en la consola de comandos lo siguiente:
 adb devices
 adb shell mount
 Verificar la ruta del fichero que contiene la información a analizar.
 Una vez que se ha conocido la ubicación del fichero o partición a copiar, mediante
vía ADB (Android Debug Bridge con el SDK de Android), realice lo siguiente:
o Acceder al dispositivo como root o súper usuario, escriba en la consola de
comandos:
 adb devices
 adb shell
 su
 Realize la copia con “dd if=[input_data] of=[output_data]”, por ejemplo “dd
if=/dev/block/mmcblk0p10 of=/sdcard/data.img bs=4096”
 input_data: partición o archivo a copiar
 output_data: partición + nombre de la imagen con extensión .dd o
.img (extensión utilizada bajo este comando)
 bs: tamaño archivo
 Y finalmente traspase la imagen al computador con “adb pull
[output_data] [ruta_equipo]”, por ejemplo “adb pull /sdcard/data.img
c:/copias/dispositivo”
 O también puede seleccionar una herramienta o software que realice el proceso de
extracción y obtención de la copia bit a bit o imagen del dispositivo.
utilizado el término ROM como sinónimo de una versión de Android que se instala en este tipo de memoria en un
terminal”. (Acosta, 2011)
76
 Finalmente deberá calcular el hash (Firmar con los algoritmos sha1 y md5) de la
imagen obtenida, el hash es una contraseña o firma digital que nos permite
mantener la integridad de los archivos generados, para posteriormente verificar la
modificación o alteración de los mismos.
Riesgos:

 No obtener una copia exacta de todo el espacio de almacenamiento del dispositivo
Actividad 6: Almacenar la información adquirida, manteniendo la integridad de la

misma.
Una vez obtenida la imagen (copia bit a bit) y el backup se deberá almacenar o guardar las
mismas en una carpeta o dispositivo específico para el examen.
Es importante mencionar que también se puede extraer información básica del sistema, la
cual se encuentra accesible sin ser root (e.g. dmesg, dumpsys, logcat, bugreport).
Riesgos:

Actividad 7: Finalmente documentar todos los pasos realizados y archivar.
Mantener un registro histórico de las actividades realizadas en el proceso de adquisición.
Riesgos:

A continuación se diseña un modelo de plantilla donde se describen los puntos principales

de la fase de adquisición, además de plantear un diagrama de flujo que muestra la
interacción entre las actividades a realizar.
77
Diagrama de flujo fase de adquisición
Figura 16: Diagrama de flujo fase adquisición

Fuente (Autora)
78
Modelo de plantilla fase de adquisición
MODELO DE PLANTILLA FASE DE ADQUISICIÓN

1. Código:
2. Fecha y hora de recepción:
<<Detalle de la fecha y hora en la que se recibe el material en el laboratorio>>
3. Fecha y hora de examen:
<<Fecha y hora en la que se inicia el examen>>
b. Dispositivo:
<<En este apartado se da una breve descripción del dispositivo incautado>>
c. Objetivo caso de estudio:
d. Equipo de trabajo (Responsables de la investigación)
<<id>> <<Nombres y apellidos del <<Rol y función a cumplir en <<Número de la cédula de
responsable de la la investigación>> identidad del responsable
investigación>> de la investigación>>
5. Procedimiento
a. Observaciones
<<Descripción de los problemas encontrados, durante la adquisición de la información del
dispositivo, backup o copias bit a bit, desbloqueo, etc. >>
b. Herramientas
<<Descripción de las herramientas utilizadas para la adquisición de las copias bit a bit, backup,
cálculo de hash, etc. >>
Herramienta Descripción
<<Nombre de la herramienta>> <<Breve descripción de la herramienta utilizada>>
c. Procedimiento
<<Descripción del proceso y/o actividad, llevada a cabo durante el proceso de adquisición>>
6. Características evidencia
<<En este apartado se da una breve descripción de las características físicas (dispositivo como
marca, modelo, tipo, estado, cuenta con SIM Card, SD Card, batería removible) y lógicas del
dispositivo (versión del sistema operativo, versión de núcleo, número de compilación, etc.)>>
79
DISPOSITIVO MÓVIL
Cód. etiqueta dispositivo:
Tipo de dispositivo móvil:
Número de teléfono
Propietario
Marca
Modelo
S/N
Estado Encendido ( ) Apagado ( )
Características Físicas
Pantalla:
Procesador:
IMEI:
FCC ID:
IC:
Interfaz de conexión (USB, HDMI, etc.):
Teléfono bloqueado: SI ( ) NO ( )
Tarjeta externa: SI ( ) NO ( )
SIM CARD: SI ( ) NO ( )
Cámara: SI ( ) NO ( )
Capacidad para capturar imágenes: SI ( ) NO ( )
Capacidad para capturar video: SI ( ) NO ( )
Resolución cámara:
Características Lógicas
Idioma SO:
Sistema Operativo:
Versión del SO:
Versión de núcleo:
Número de compilación:
Id dispositivo:
Espacio de almacenamiento
Interno:
Soporta modo de vuelo: SI ( ) NO ( )
Servicios de conexión
Bluetooth: SI ( ) NO ( )
Wifi: SI ( ) NO ( )
IrDa (Infrarrojo): SI ( ) NO ( )
SIM Card
Operadora:
ICC:
PIN:
PUK:
80
Tarjeta externa
Tipo:
S/N:
Espacio de almacenamiento:
Espacio disponible:
Batería
Removible: SI ( ) NO ( )
Nivel de Batería:
Fabricante:
Capacidad de voltaje:
S/N:
Cargador
Código etiqueta cargador:
Marca
Modelo No:
Input:
Output:
Frecuencia:
S/N:
Cable de datos: SI ( ) NO ( )
Código etiqueta cable de datos:
7. Hash (Firma digital)

a. Imagen: <<Nombre o identificador de la imagen y/o backup obtenido>>
b. Tamaño imagen: <<Tamaño en kg de la imagen>>
c. Firma md5: <<Cálculo de hash en md5, salida alfanumérica que asegura la
integridad de la información>>
d. Firma sha1 o sha2:<<Cálculo de hash sha1 o sha2, salida alfanumérica que asegura
la integridad de la información>>
8. Firmas responsables
……………………………… ………………………………
Firma Firma
81
3.3.3 Fase de análisis y exploración
Esta fase representa un proceso técnico, analítico donde se comienza con una copia de los
datos obtenidos del dispositivo, y mediante el uso de herramientas que permiten encontrar
las pruebas y/o hallazgos necesarios en la investigación, se procese a interpretar los datos
extraídos para determinar su importancia en el caso, por ejemplo, instalación de apps,
recuperación e identificación de cuentas, recuperación de los últimos sitios visitados,
descargas, etc.
Dependiendo del tipo de caso, la estrategia varía, es decir, que de acuerdo al tipo de caso
se comienza la navegación de los archivos.
Entre la información o la evidencia potencial que podríamos encontrar esta: fotos, vídeos,
correo electrónico, historial de navegación, descargas, agenda telefónica, llamadas,
aplicaciones instaladas, desinstaladas, cuentas asociadas, etc.
Actividad 1: Definir el alcance
Realizar una evaluación del caso de estudio, identificando el objetivo del caso de estudio,
para determinar el alcance del análisis a realizar. Entre las preguntas que se pueden
generar, están:
 ¿Cuál es el objetivo de la toma de datos?

 ¿Qué datos se debe extraer?
 ¿Qué se debe y puede analizar?
 Etc.
Actividad 2: Extracción de la información a examinar
1) Una vez que se generó la imagen forense de los datos del dispositivo, proceda a
identificar el hash o firma digital generada en la imagen, para verificar la integridad de la
información.
2) Realizar una copia de la imagen original, para no alterar la evidencia original.
3) Seleccionar la herramienta de extracción de los archivos o ficheros a analizar,
procediendo a extraer los datos o archivos específicos relacionados con la solicitud, que
contengan la información necesaria, y/o solicitada en el examen forense.
 Entre las herramientas recomendadas para este proceso tenemos Autopsy, y FTK
Imager o herramientas comerciales como Oxygen Forensic, entre otras.
82
 En algunos casos las herramientas permiten generar informes o un reporte de los
resultados o archivos encontrados, el mismo que debe ser analizado y considerado
en el informe final.
Riesgos:
 Manipulación y alteración de la evidencia.

Actividad 3: Análisis y exploración de los datos extraídos
1) Realizar la búsqueda de los archivos que contienen la información solicitada.

2) Recuperar los archivos borrados (Siempre y cuando sea posible).
3) Realizar el análisis de los datos ocultos, archivos y aplicaciones.
4) Crear una línea de tiempo para verificar las actividades realizadas en el dispositivo.
Riesgos:
Actividad 4: Documentar los pasos realizados en esta fase y archivar.
1) Identificar y documentar los hallazgos y/o resultados encontrados.

2) Mantener un registro histórico de las actividades realizadas en el proceso de análisis.
Riesgos:

 No existencia de un registro de los pasos tomados en el momento de la incautación.
A continuación se diseñan un modelo de plantilla donde se define los puntos principales

de la fase de análisis y exploración, además de plantear un diagrama de flujo que
muestra la interacción entre las actividades a realizar.
83
Diagrama de flujo:
Figura 17: Diagrama de flujo fase de análisis y exploración

Fuente (Autora)
84
Modelo de plantilla fase de análisis y exploración
MODELO DE PLANTILLA FASE DE ANÁLISIS Y EXPLORACIÓN

1. Código:
2. Fecha y hora de examen:
<<Fecha y hora en la que se inicia el examen>>
b. Dispositivo:
<<En este apartado se da una breve descripción del dispositivo incautado>>
c. Objetivo caso de estudio:
<<id>> <<Nombres y apellidos del <<Rol y función a cumplir <<Número de la cédula de
responsable de la investigación>> en la investigación>> identidad del responsable
de la investigación>>
4. Procedimiento
a. Alcance
<<Descripción de la información o data a analizar en el dispositivo, sistema de ficheros,
carpetas, etc. >>
b. Herramientas
<<Descripción de las herramientas utilizadas para el análisis y exploración de las copias bit a
bit, backup, cálculo de hash, etc. >>
<<Nombre de la herramienta>> <<Breve descripción de la herramienta utilizada>>
c. Archivos
<<Breve descripción de la información o data a analizar en el dispositivo, nombre, ruta y/o firma
de los archivos>>
a. Hash
 Imagen: <<Nombre o identificador de la imagen y/o backup obtenido>>
 Tamaño imagen: <<Tamaño en kg de la imagen>>
 Firma md5: <<Calculo de hash en md5, salida alfanumérica que asegura la integridad
de la información>>
 Firma sha1 o sha2:<<Calculo de hash sha1 o sha2, salida alfanumérica que asegura la
85
integridad de la información>>
d. Procedimiento
<<Descripción del proceso y/o actividad, llevada a cabo durante el proceso de análisis y
exploración>>
5. Resultados
<<Descripción de los hallazgos encontrados, de acuerdo, al caso de estudio, e.g. daños y/o
modificaciones que se han producido>>
6. Firmas responsables
……………………………… ………………………………
Firma Firma
3.3.4 Fase de resultados
En esta fase se realiza una presentación formal, clara y concisa de las evidencias
descubiertas, demostrando con hechos y documentación los procedimientos tomados.
Para la presentación se elabora dos tipos de informes, descritos a continuación:
Informe técnico
Consiste en describir las actividades y/o procesos ejecutados en el dispositivo móvil,

técnicas, herramientas, etc., como también los hallazgos y/o resultados encontrados en el
análisis del mismo.
El informe depende de mantener un registro cuidadoso de todas las acciones y

observaciones, encontradas en la información o archivos analizados, explicando las
inferencias extraídas.
Se basa en la sólida documentación, registro visual (fotografías) y el contenido generado por

las herramientas utilizadas.
El documento puede contener los siguientes puntos:
1) Antecedentes
 Caso de estudio
 Alcance y propósito del examen
86
 Equipo de trabajo: Personal involucrado durante el examen
2) Entorno del análisis
 Fases y/o actividades realizadas en el examen.
 Las herramientas y software utilizados.
 Fotografías o registro visual de las actividades ejecutadas
3) Análisis de la evidencia: Descripción detallada del dispositivo móvil examinado.
4) Resultados o Hallazgos conseguidos: Información encontrada, dirección del fichero, etc.
5) Conclusiones
6) Referencias
7) Anexar la solicitud de examen forense y/o documentos generados durante el examen.
Informe ejecutivo
Este informe consiste en una síntesis del análisis efectuado, verificando y validando los
incidentes o daños cometidos, de manera no técnica, con lenguaje común, es decir, se
recopila toda la información que se obtuvo a partir del análisis para realizar el reporte y la
presentación sin hacer uso de tecnicismos.
El documento puede contener los siguientes puntos:
1) Antecedentes
 Caso de estudio
 Objetivo
2) Descripción
3) Recomendaciones
A continuación se diseñan los modelos de plantillas de los informes, los cuales se adaptan a
los puntos principales de la fase de resultados.
87
Modelo de plantilla fase de resultados
INFORME TÉCNICO
1. Introducción
<<Breve descripción sobre el propósito y la finalidad del documento>>
2. Antecedentes
<<Contextualización en la que se desarrolla el examen forense, problema>>
a. Caso de estudio
<<Descripción del caso de prueba a investigar>>
b. Objetivo
<<Propósito a alcanzar en el examen forense, determinando que se quiere investigar o
demostrar>>
c. Alcance
<<Ámbito del examen, se especifica claramente lo que se debe buscar y analizar en el
examen>>
d. Equipo de trabajo
<<Personal involucrado en la investigación, donde se incluye nombres y apellidos,
identificación, rol y función a desempeñar>>
3. Entorno del análisis
<<Descripción del entorno o ambiente de trabajo>>
a. Herramientas
<< Descripción de las herramientas o softwares utilizados>>
b. Procedimiento
<<Descripción de las actividades realizadas en el examen forense, de acuerdo a las fases
establecidas en la guía metodológica>>
c. Observaciones
<<Breve descripción de las actividades o sucesos encontrados>>
4. Análisis de la evidencia
<<Descripción de las características del dispositivo, archivos analizados, etc. >>
5. Resultados
<<Descripción de los hallazgos o resultados obtenidos en el análisis>>
6. Conclusiones
<<Descripción de los puntos más sobresalientes, encontrados en el análisis>>
7. Referencias
<<Listado de citas bibliográficas utilizadas en la elaboración del informe>>
8. Anexos
<<Documentos generados, fotografías, etc. >>
88
INFORME EJECUTIVO
1. Introducción
<<Breve descripción sobre el propósito y la finalidad del documento>>
2. Antecedentes
<<Contextualización en la que se desarrolla el examen forense, problema>>
a. Caso de estudio
<<Descripción del caso de prueba a investigar>>
b. Objetivo
<<Propósito a alcanzar en el examen forense, determinando que se quiere investigar o
demostrar>>
3. Descripción
<<Detalle sobre lo sucedido en el dispositivo móvil; hechos y/o actividades realizadas en el
mismo>>
4. Recomendaciones
<<Sugerencias o niveles de riesgo efectuados en el análisis, acciones que se deben realizar
ante el incidente>>
89
CAPÍTULO IV
IMPLEMENTACIÓN
4.1 Implementación de la guía metodológica
En esta fase se procederá con la implementación y ejecución de la guía metodológica de

análisis forense detallada en el capítulo anterior; además de poner a prueba el software
desarrollado para dicha investigación.
Para la aplicabilidad y validación de la guía, se ha procedido a realizar las pruebas en dos

de los dispositivos móviles, brindados para la ejecución del examen forense. Información
que con apoyo de las plantillas sugeridas en la guía metodológica, detalladas en el Anexo 1
y Anexo 2, a continuación se describe la fase de resultados.
4.1.1 Fase de resultados smartphone
INFORME TÉCNICO
1. Introducción
El presente documento se elabora con el fin de presentar un informe técnico pericial sobre
los datos generados por el usuario en el dispositivo móvil. Dicho informe contiene el entorno
en el que se desarrolla el análisis forense.
Además de mencionar que el objetivo de las pruebas a realizar determinara el correcto

proceso a seguir en el análisis de la evidencia, que la guía metodológica propone.
2. Antecedentes
El entorno en el que se efectúa es sobre un caso de pruebas, en el cual se desarrollan el

examen imprescindible basándose en la necesidad de saber a profundidad la información
que se ha almacenado en el sistema de ficheros del dispositivo móvil (Smartphone),
información que pueda comprometer la seguridad e integridad del usuario.
Se cuenta con un dispositivo móvil (smartphone) con sistema operativo Android, versión
4.4.2 que será el objeto de pruebas.
a. Caso de estudio
El caso de prueba se detalla a continuación:
91
En la empresa XYZ, se ha otorgado un dispositivo móvil a cada uno de los ejecutivos que lo
conforman. El Director de Control Interno ha notado que a partir de dicha entrega los
tiempos de respuesta de los ejecutivos han variado y quiere determinar cuáles son las
actividades en que están ocupando la mayor parte de su tiempo en los dispositivos móviles
y verificar si están fuera del contexto empresarial.
Para dicho fin se solicita realizar un análisis forense o peritaje informático al dispositivo móvil
brindado en la empresa.
b. Objetivo del caso de estudio
Determinar las:
 Actividades, como historial de navegación y descargas realizadas
 Aplicaciones instaladas y desinstaladas.
c. Alcance
Analizar:
 Historial de navegación
 Descargas
 Aplicaciones instaladas
 Aplicaciones desinstaladas
 Aplicaciones no satisfactorias
Tabla 10. Equipo de trabajo- Pruebas smartphone

Identificación Nombres y apellidos Rol
1104185515 Jessica Cuenca
1103937829 Danilo Jaramillo
1104185515 Jessica Cuenca Custodios
1104185515 Jessica Cuenca Examinadores/Analistas
Fuente (Autora)
3. Entorno de análisis
a. Metodología
La metodología a utilizar para la ejecución de las pruebas es la guía metodológica de

análisis forense, que el proyecto de tesis plantea.
92
b. Descripción de las herramientas
En el Tabla adjunto se detalla las herramientas utilizadas en el peritaje.
Tabla 11: Descripción herramientas

SDK de Android Nos brinda el acceso al dispositivo, mediante vía ADB
Herramienta forense de tipo comercial, que permite la extracción
Oxygen Forensic
de los datos del dispositivo.
Md5 summer Me permite calcular el hash de la imagen y verificar el mismo
Visualización del contenido de la copia. Extracción de los
Access Data FTK Imager
archivos de interés
Visualización de los datos registrados en cada una de los
SQLite Data Browser
archivos
Microsoft Excel Me permite comparar los datos de las columnas
Fuente (Autora)
c. Procedimiento
Las actividades realizadas en el dispositivo móvil se detallan en el Anexo1.
d. Observaciones
 Al ser un caso de estudio de prueba, se ha dispuesto no dar acceso root al
dispositivo móvil y verificar que datos se pueden extraer.
 Continuando con el proceso forense como primera instancia no se debe llevar a
cabo ningún proceso forense externo (e.g Toma de huellas dactilares, etc.).
 Al momento de la incautación no se dispone de bolsas antiestáticas, sin embargo
se ha tomado como medida el uso de papel aluminio y así bloquear la
comunicación o sincronización con un medio externo.
 No se ha otorgado el cable de datos y cargador originales del dispositivo móvil
(Smartphone). Puesto que se debe buscar un adaptador y cable de datos
compatible.
 Se denomina al backup con el nombre de “smartphone.ab”
 Con la ayuda de la herramienta “Oxygen Forensic 2014” se extrae una imagen
denominada “Samsung Galaxy S IV (GT-i9500) (357747052530834) 2014-06-26
12-55.ofb”, la cual cuenta con los siguientes hash:
Firma MD5: d2251dcf7d68c766e1953c786f9a2f36

Firma SHA2: cd9988fc0669e0b1aab06e2f3d2fac03f9032e54ebdb73103da1a6f50bd373bb
93
a. Información del dispositivo
1) Características
Tabla 12: Características smartphone

DISPOSITIVO MÓVIL
Cód. etiqueta dispositivo: C001-S001
Tipo de dispositivo móvil: Smartphone
Propietario Ing. Fernando Cueva
Marca Samsung
Modelo GT-I9500, Galaxy S4
S/N RV1D70SVPYJ
Estado Encendido (x) Apagado ( )
Pantalla: 5’’ Touchscreen
Procesador: 1.6GHz Quad Core + 1.2GHz Quad Core
IMEI: 357747052530834
FCC ID: A3LGTI9500
IC: SSN: I9500GSMH
Interfaz de conexión (USB, HDMI, etc.): USB
Teléfono bloqueado: SI ( ) NO (x)
Tarjeta externa: SI (x) NO ( )
SIM CARD: SI (x) NO ( )
Cámara: SI (x) Dual Camera Frontal y NO ( )
trasera
Capacidad para capturar imágenes: SI (x) NO ( )
Capacidad para capturar video: SI (x) NO ( )
Resolución cámara: 13MP + 2MP frontal
Idioma SO: Español
Sistema Operativo: Android
Versión del SO: 4.4.2
Versión kernel: 3.4.5-742022 dpi@SWPP5716#1
Versión de banda base: I9500UBUFNA2
Número de compilación: K0T49H.I9500UBUFNB3
Espacio de almacenamiento Interno: 16GB
Soporta modo de vuelo: SI (x) NO ( )
Bluetooth: SI (x) NO ( )
Wi-Fi: SI (x) NO ( )
IrDa (Infrarrojo): SI ( ) NO (x)
SIM Card
94
Operadora: Movistar
Número: 0999640412
S/N: 300554961177 – 128k
PIN: N/A
PUK: N/A
Tarjeta externa
Tipo: MicroSDHC 4, Kingston
S/N: Sdc4/8gb 065
Espacio de almacenamiento: 8GB
Espacio disponible: 769MB
Batería
Removible: SI (x) NO ( )
Nivel de Batería: 100%
Fabricante: Samsung
Capacidad de voltaje: 3.8V -9,88 Wh – 2600 mAh
S/N: YS1D7135S/2-B
Cargador
Código etiqueta cargador: N/A
Marca N/A
Modelo No: N/A
Input: N/A
Output: N/A
Frecuencia: N/A
S/N: N/A
Cable de datos: SI ( ) NO (x)
Código etiqueta cable de datos: N/A
Fuente (Autora)
2) Sistema de ficheros
El fichero a evaluar es “/data/” el mismo que almacena los datos del usuario y aplicaciones,
donde la ubicación de los archivos de interés se encuentra en las siguientes direcciones:
Tabla 13: Archivos de interés del sistema de ficheros del smartphone

Objetivo Ruta Archivo
Historial de
/data/data/com.android.browser/databases/ browser2.db
navegación
Descargas /data/data/com.sec.android.providers.downloads/databases/ sisodownloads.db
data/data/com.android.vending/databases/ localappstate.db
Aplicaciones data/data/com.google.android.googlequicksearchbox/databases/ icingcorpora.db
data/system/ dmappmgr.db
packages.xml
Fuente (Autora)
95
5. Resultados
Se adquirió de la imagen (copia bit a bit) los siguientes ficheros, los cuales contienes los
datos de las aplicaciones, el historial de navegación y las descargas realizadas por el
usuario. Sin embargo ciertos archivos no se encontraron en las rutas anteriormente
indicadas por lo que se procedió a verificar otros archivos que contienen la información
solicitada, detallada a continuación:
Tabla 14: Archivos smartphone

Historial de
/data/data/com.sec.android.app.sbrowser/databases SBrowser.db
navegación
Descargas /data/data/com.sec.android.providers.downloads/databases/ downloads.db
Aplicaciones
data/data/com.google.android.googlequicksearchbox/databases/ icingcorpora.db
Fuente (Autora)
Historial de navegación
En el archivo SBrowser.db nos encontramos con las siguientes tablas “BOOKMARKS”,

“INTERNER_SYNC”, “REMOTE_DEVICES”, “REMOTE_DOWNLOAD”, “SAVEPAGE”,
“SYNC_STATE”, “TABS”, “android_metadata”, y “sqlite_sequence” para lo cual se analizara
la tabla “TABS” que contiene las siguientes columnas:
_ID, TAB_ID, TAB_INDEX, TAB_URL, TAB_TITLE, TAB_FAV_ICON, TAB_ACTIVATE,

IS_DELETED, IS_INCOGNITO, ACCOUNT_NAME, ACCOUNT_TYPE,
DATE_CREATED, DATE_MODIFIED, DIRTY, SYNC1, SYNC2 SYNC3, SYNC4,
SYNC5, DEVICE_NAME, DEVICE_ID, TAB_USAGE
Los datos de interés para el análisis de la tabla “TABS” son:
Tabla 15: Columnas de interés tabla "TABS" - smartphone

Columna Descripción
TAB_TITLE Título de la página web consultada
TAB_URL URL o dirección web de la página consultada
DATE_CREATED Fecha en la que se realiza la consulta
Fuente (Autora)
Los datos se adjuntan en digital.
96
En la siguiente figura se visualiza la cantidad de consultas realizadas en el dispositivo móvil
por mes, de acuerdo al año 2014.
Figura 18: Historial de navegación

Fuente (Autora)
Entre las url’s más visitadas tenemos:
Tabla 16: Historial de navegación

URL # de visitas
> 20
http://alimentariaonline.com/2013/03/26/crean-innovadora-cerveza-a-base-de-
1 33
maiz-en-la-uam/
http://benditofutbol.com/la-tri/rueda-dilan-mendez-cancer-
2 59
mundial.html#.U5JuOsnv7qA
3 http://es.dragoncity.wikia.com/wiki/Drag%C3%B3n_Basilisco 97
4 http://es.dragoncity.wikia.com/wiki/Drag%C3%B3n_Ladr%C3%B3n 64
5 http://es.dragoncity.wikia.com/wiki/Drag%C3%B3n_Shogun 33
6 http://es.dragoncity.wikia.com/wiki/Drag%C3%B3n_Silvestre 40
7 http://es.dragoncity.wikia.com/wiki/Drag%C3%B3n_Veneno 69
8 http://es.savefrom.net/ 72
9 http://eva1.utpl.edu.ec/course/view.php?id=56407 39
http://f3.pasionlibertadores.com/noticias/David-Beckham-quiere-volver-a-
10 68
jugar-al-futbol-20140606-0021.html
11 http://img1.mlstatic.com/s_MLV_v_O_f_4370159278_052013.jpg 55
12 http://listado.mercadolibre.com.ec/gafas-fox-duncan 37
13 http://m.listas.20minutos.es/lista/top-dragones-de-dragon-city-376630/ 40
14 http://m.youtube.com/results?q=carrera%20de%20ba%C3%B1os&sm=3 62
15 http://m.youtube.com/watch?v=FiBs_FihJYw 29
16 http://m.youtube.com/watch?v=GNuzdKfpK60 38
97
17 http://m.youtube.com/watch?v=kpJApAfODSE 54
18 http://m.youtube.com/watch?v=Ni7m0GR8UO0 41
19 http://reglasespanol.about.com/od/adjetivos-articulos/a/articulo.htm 23
20 http://www.andysautosport.com/air_suspension/volkswagen.html 20
21 http://www.crecenegocios.com/40-formas-de-hacer-publicidad/ 69
http://www.derechoecuador.com/resultado-de-
22 55
busqueda?q=estado+y+gobierno
23 http://www.foxdeportes.com/futbol/story/sancionan-a-la-bella-rbitro-brasilea# 55
24 http://www.foxdeportes.com/mexico/story/mexico-y-brasil-se-retan-en-twitter/ 36
25 http://www.google.com.ec/?gfe_rd=cr&ei=RW2QU9j-Gqna8gfa1YHwBQ 72
http://www.google.com.ec/search?biw=360&bih=314&tbm=isch&sa=1&ei=ZH
2WU4arNoyayAS0loDYAQ&q=reptiles&oq=reptiles&gs_l=mobile-gws-
26 60
serp.3..41l3.4896.8786.1.8949.14.9.0.1.1.0.0.0..0.0....0...1c.1.45.mobile-gws-
serp..21.2.74.3.tXwzLRw0Nwg#facrc=_
http://www.google.com.ec/search?site=&source=hp&ei=de-
YU5H0NMensAStyYCACw&q=rey+felipe&oq=rey+felipe&gs_l=mobile-gws-
27 hp.3..0l5.1976.3596.0.5475.11.9.0.1.1.0.2155.6998.7- 42
1j1j2.4.0....0...1c.1.46.mobile-gws-
hp..9.2.1850.3.ZZta2zffzpU#q=posesion+principe+felipe
http://www.google.com.ec/search?site=&source=hp&ei=PiZ8U-
bHE_PisASopIGwCg&q=utpl+eva&oq=utpl&gs_l=mobile-gws-
28 40
hp.1.1.0l5.7101.7640.0.9767.7.5.0.3.3.0.459.1781.2-
1j2j2.5.0....0...1c.1.44.mobile-gws-hp..1.6.1258.2.NAcVd_QpVUo
http://www.google.com.ec/search?tbm=isch&sa=1&ei=owJ9U77JI82SqAaJm
YLYDg&q=gafas+fox+modelo+duncan&oq=gafas+fox+modelo+duncan&gs_l=
29 mobile-gws-serp.3...47400.51770.0.52288.25.18.0.0.0.3.1663.7287.2- 37
2j3j3j3j1j0j1.13.0....0...1c.1.44.mobile-gws-
serp..22.3.1865.RXCV9q9O06A#facrc=_
30 http://www.google.com.ec/webhp?hl=es&tbm=isch&tab=wi 27
http://www.hoyhombre.com/0000964/los-3-cortes-de-pelo-de-moda-para-este-
31 40
2014/
32 http://www.mercadolibre.com.ec/ 23
http://www.pasionlibertadores.com/fanaticos/Los-10-equipos-de-futbol-mas-
33 55
valiosos-del-mundo-20140512-0009.html
34 http://www.utpl.edu.ec/index.php 55
35 http://www.youtube-mp3.org/es 116
https://m.facebook.com/pages/JRM-Racing-
36 Sore/592028717535031?fref=ts&refsrc=https%3A%2F%2Fwww.facebook.co 55
m%2Fpages%2FJRM-Racing-Sore%2F592028717535031&_rdr
37 https://m.youtube.com/watch?v=ewOdKrYVdZc 32
38 https://mail.google.com/mail/mu/mp/460/#tl/Recibidos 65
39 https://srv-si-001.utpl.edu.ec/SAO/Login.aspx 69
98
https://srv-si-
40 74
001.utpl.edu.ec/SAO/Login.aspx?ReturnUrl=%2fSAO%2fSAO%2fLogin.aspx
41 https://www.google.com.ec/?gfe_rd=cr&ei=DpVxU7f4Bszt8QaB2oDACA 55
42 https://www.google.com.ec/?gfe_rd=cr&ei=im53U936LMzd8gfphYGgCQ 47
43 https://www.google.com.ec/?gfe_rd=cr&ei=ZNVyU_qPMdClsgf7lgE 55
https://www.google.com.ec/search?biw=360&bih=567&tbm=isch&q=colibritan
y&revid=1874192421&sa=X&ei=StOcU8jRIZG2sASUsYD4Cw&ved=0CBcQ1
QIoAA#facrc=_&imgrc=WSXITBsiZnTtPM%253A%3BOkD1bZh27NS6jM%3B
44 31
http%253A%252F%252Fi1.ytimg.com%252Fvi%252FiZrWMKzWPCc%252F
maxresdefault.jpg%3Bhttp%253A%252F%252Fwww.youtube.com%252Fwatc
h%253Fv%253DiZrWMKzWPCc%3B1920%3B1080
https://www.google.com.ec/search?site=&source=hp&ei=Jfd0U4DXMM3jsAS
Y7YKIDA&q=23+de+alemania&oq=23+de+alemania&gs_l=mobile-gws-
45 54
hp.3...144.981.0.1312.9.6.0.0.0.0.0.0..0.0....0...1c.1.43.mobile-gws-
hp..9.0.0.P6R9vlb0MXc
Fuente (Autora)
En la siguiente figura se muestra los links o url’s más visitadas, de acuerdo al id

asignado a la url y número de visitas.
Figura 19: URL's más visitadas en el año 2014

Fuente (Autora)
Descargas
En el archivo “downloads.db” se encuentran cuatro tablas “android_metadata”, “downloads”,

“request_headers” y “sqlite_sequence”, para lo cual se analizara la tabla “downloads” que
contiene las siguientes columnas:
99
_id, uri, method, entity, no_integrity, hint, otaupdate, _data, mimetype, destination,
no_system, visibility, control, status, numfailed, lastmod, notificationpackage,
notificationclass, notificationextras, cookiedata, useragent, referer, total_bytes,
current_bytes, etag, uid, otheruid, title, description, scanned, is_public_api, allow_roaming,
allowed_network_types, is_visible_in_downloads_ui, bypass_recommended_size_limit,
mediaprovider_uri, deleted, errorMsg, allow_metered, downloadmethod, state,
dd_primaryMimeType, dd_SecondaryMimeType1, dd_SecondaryMimeType2, dd_fileName,
dd_vendor, dd_description, dd_contentSize, dd_objUrl, dd_notifyurl, dd_majorVersion,
allow_write
Los datos de interés para el análisis de la tabla “downloads” son:
Tabla 17: Columnas de interés tabla downloads- smartphone

uri Link de descarga
lastmod Fecha y hora de descarga
_data Ruta en la que se guardó la descarga
useragent Datos como navegador, Versión del sistema operativo, idioma del
sistema operativo, número de modelo del dispositivo.
title Nombre de la descarga
Fuente (Autora)
Entre las descargas realizadas tenemos:
Descargando FUTSALA_MASCULINO_INT
videoplayback-1.3gpp americo.jpg
EspaÃ±ol (EspaÃ±a) ERTITULACIONES.docx
05/10/2013 15/06/2014 17/06/2014 18/06/2014 24/06/2014
Wiggle - Jason
resize.jpeg
Derulo Lyrics.mp3
Figura 20: Descargas realizadas

Fuente (Autora)
Aplicaciones
Se realiza la comparación para verificar las aplicaciones instaladas, desinstaladas y

descargas de aplicaciones no satisfactorias.
100
Para verificar el dato de las aplicaciones no satisfactorias se toma como referencia la
columna “first_download” del archivo “localappstate.db”, el valor “0”. En el mismo archivo se
encuentran todas las aplicaciones que han sido descargadas e instaladas en el dispositivo,
el mismo que no define las aplicaciones desinstaladas. Cabe mencionar que el archivo
packages.xml contiene el mismo número de aplicaciones instaladas que el archivo
“icingcorpora.db”.
En el archivo “localappstate.db” encontramos dos tablas, la primera con el nombre de

android_metadata, la cual no cuenta con ningún dato, mientras que la tabla appstate
package_name, auto_update, desired_version, download_uri, delivery_data,

delivery_data_timestamp_ms, installer_state, first_download_ms, referrer, account, title,
flags, continue_url, last_notified_version, last_update_timestamp_ms, account_for_update,
auto_acquire_tags, external_referrer_timestamp_ms
Siendo la tabla “appstate” la de interés la cual se estructura de la siguiente manera:
Tabla 18: Columnas de interés tabla appstate- smartphone

package_name Nombre del paquete o la ruta creada por la aplicación
Hace referencia a la auto descarga de actualizaciones de la
auto_update aplicación, la cual 1 representa “Descargar automáticamente las
actualizaciones” y 2 representa “no realizar descargar automáticas”
delivery_data_timestamp_ms Representa la fecha y hora de entrega de los datos
first_download_ms Representa la fecha y hora en la que se solicita la descarga
account Cuenta de usuario utilizada en la descarga
title Título o nombre de la aplicación
Fuente (Autora)
Mientras que en el archivo “icingcorpora.db”, se registran todas las aplicaciones que se

encuentran instaladas y en ejecución en el dispositivo. El mismo en el que encontramos
catorce tablas, por lo que la tabla de interés es “applications” la cual contiene los siguientes
datos:
_id, display_name, icon_uri, package_name, class_name, score, uri, created_timestamp_ms
Los datos de interés para el análisis de la tabla applications son:
Tabla 19: Columnas de interés tabla applications - smartphone
101
display_name Nombre de la aplicación
created_timestamp_ms Fecha y hora de creación de la aplicación
Fuente (Autora)
Al mismo tiempo se realiza una comparación entre los datos de los archivos
“localappstate.db” e “icingcorpora.db”, prevaleciendo los datos del archivo “icingcorpora.db”,
ya que aquí se encuentra el listado de las aplicaciones en ejecución del dispositivo.
Encontrando los siguientes resultados:
Aplicaciones instaladas
Tabla 20: Aplicaciones instaladas

Nombre aplicación Nombre paquete Fecha y hora de
instalación/actualización
Dumb Ways air.au.com.metro.DumbWaysToDie 2014-03-23 11:08:17
Calendario com.android.calendar 2013-04-24 10:15:09
Chrome com.android.chrome 2013-04-24 10:15:10
Contactos com.android.contacts 2013-04-24 10:15:08
Teléfono com.android.contacts 2013-04-24 10:15:08
Correo electrónico com.android.email 2013-04-24 10:15:08
Mensajes com.android.mms 2013-04-24 10:15:09
Descargas com.android.providers.downloads.ui 2013-04-24 10:15:09
Ajustes com.android.settings 2013-04-24 10:15:09
Play Store com.android.vending 2013-04-24 10:15:10
Motorbike Lite com.bakno.MotorbikeLite 2014-01-31 22:21:28
Flow Free com.bigduckgames.flow 2014-05-18 17:07:28
Misdeberes.es com.brainly.es 2013-11-20 22:48:37
MOBILedit! Connector com.compelson.meconnector 2014-06-22 12:53:23
Linterna com.devuni.flashlight 2013-08-15 23:32:48
Flappy Bird com.dotgears.flappybird 2014-02-06 15:18:50
Dropbox com.dropbox.android 2013-04-24 10:15:10
PvZ 2 com.ea.game.pvz2_row 2014-02-11 21:19:46
HolaMundo com.example.holamundo 2014-06-24 23:42:59
Facebook com.facebook.katana 2013-08-13 11:04:11
Messenger com.facebook.orca 2013-08-13 11:21:18
Hill Climb Racing com.fingersoft.hillclimb 2014-05-30 10:58:07
Iron Man 3 com.gameloft.android.ANMP.GloftIMHM 2013-08-15 23:32:40
Little Big City com.gameloft.android.LATAM.GloftLCEF 2012-12-31 19:00:25
Littlest Pet Shop com.gameloft.android.LATAM.GloftPSHO 2014-04-02 01:35:00
102
Shark Dash com.gameloft.android.LATAM.GloftSDTB 2012-12-31 19:00:26
Wonder Zoo com.gameloft.android.LATAM.GloftZOOM 2012-12-31 19:00:28
UNO com.gameloft.android.LATAM.X765 2012-12-31 19:00:27
Pool Live Tour com.geewa.PLTMobile 2013-08-15 22:52:27
Drive com.google.android.apps.docs 2014-01-20 14:03:55
Maps com.google.android.apps.maps 2013-04-24 10:15:11
Fotos com.google.android.apps.plus 2013-04-24 10:15:11
Google+ com.google.android.apps.plus 2013-04-24 10:15:11
Traductor com.google.android.apps.translate 2013-08-15 23:33:01
Gmail com.google.android.gm 2013-04-24 10:15:08
Ajustes de Google com.google.android.gms 2013-04-24 10:15:10
Play Games com.google.android.play.games 2008-08-01 07:00:00
Hangouts com.google.android.talk 2013-04-24 10:15:11
Play Movies com.google.android.videos 2014-04-02 01:35:04
YouTube com.google.android.youtube 2013-04-24 10:15:08
Earth com.google.earth 2008-08-01 07:00:00
Jetpack Joyride com.halfbrick.jetpackjoyride 2013-09-09 14:06:58
Copa del Mundo com.hslsoftware.copamundo 2014-06-15 19:02:40
Instagram com.instagram.android 2013-08-13 11:12:20
Jalvasco Copa del Mundo com.jalvasco.football.worldcup 2014-06-15 19:00:47
2014
InstaSize com.jsdev.instasize 2013-10-31 16:53:19
RealSteelWRB com.jumpgames.rswrb 2014-01-27 00:52:09
Subway Surf com.kiloo.subwaysurf 2013-08-13 22:22:48
Candy Crush Saga com.king.candycrushsaga 2013-09-17 22:22:55
Photo Studio com.kvadgroup.photostudio 2014-04-29 21:46:17
Mundial TV com.mundial2014.tv 2014-06-16 11:10:37
OLX com.olx.olx 2014-06-02 08:46:58
PaniniCollectors com.panini.collectors 2014-04-09 16:19:03
Moto Free com.progimax.moto.free 2014-03-04 17:57:53
Stun Gun Free com.progimax.stungun.free 2014-05-18 16:53:42
Story Album com.samsung.android.app.episodes 2013-04-24 10:15:10
Vídeo com.samsung.everglades.video 2013-04-24 10:15:10
Group Play com.samsung.groupcast 2013-04-24 10:15:10
Ayuda com.samsung.helphub 2013-08-25 17:38:00
365Scores com.scores365 2014-06-16 23:26:05
Cámara com.sec.android.app.camera 2013-04-24 10:15:09
Reloj com.sec.android.app.clockpackage 2013-04-24 10:15:10
Música com.sec.android.app.music 2013-04-24 10:15:08
Mis Archivos com.sec.android.app.myfiles 2013-04-24 10:15:10
Optical reader com.sec.android.app.ocr 2013-04-24 10:15:08
Calculadora com.sec.android.app.popupcalculator 2013-04-24 10:15:08
103
Samsung Apps com.sec.android.app.samsungapps 2013-04-24 10:15:09
Internet com.sec.android.app.sbrowser 2013-04-24 10:15:08
S Health com.sec.android.app.shealth 2013-04-24 10:15:09
S Translator com.sec.android.app.translator 2013-04-24 10:15:10
Editor de vídeo com.sec.android.app.ve 2014-05-14 22:11:52
Grabadora de voz com.sec.android.app.voicerecorder 2013-04-24 10:15:08
Galería com.sec.android.gallery3d 2013-04-24 10:15:08
S Memo com.sec.android.widgetapp.diotek.smemo 2013-04-24 10:15:09
ChatON com.sec.chaton 2013-04-24 10:15:09
Samsung Hub com.sec.everglades 2013-04-24 10:15:08
KNOX com.sec.knox.app.container 2008-08-01 07:00:00
Samsung Link com.sec.pcw 2013-04-24 10:15:08
Sonic Dash com.sega.sonicdash 2014-06-03 09:52:59
Skype com.skype.raider 2013-08-13 11:08:13
Face Swap Lite com.swap.face.lite 2014-06-11 16:42:19
TripAdvisor com.tripadvisor.tripadvisor 2013-04-24 10:15:10
Twitter com.twitter.android 2013-08-13 11:06:25
Beach Buggy Blitz com.vectorunit.yellow 2013-11-21 22:27:37
S Voice com.vlingo.midas 2013-04-24 10:15:11
Waze com.waze 2014-02-16 10:55:41
WhatsApp com.whatsapp 2013-08-13 11:02:39
Flickr com.yahoo.mobile.client.android.flickr 2014-01-18 21:27:49
Dragon City Trucos dragon.city.trucos 2014-05-02 21:09:33
DragonCity es.socialpoint.DragonCity 2014-05-02 21:17:18
Flipboard flipboard.app 2013-04-24 10:15:08
El Juego del Mundial io.cran.mundial 2014-04-17 08:43:08
LINE jp.naver.line.android 2013-08-13 11:05:34
Bear Race net.mobilecraft.BearRace 2014-06-15 12:18:15
Basketball Kings net.mobilecraft.basketballkings 2014-02-25 23:39:30
WatchON tv.peel.samsung.app 2013-04-24 10:15:09
Fuente (Autora)
Aplicaciones desinstaladas
Tabla 21: Aplicaciones desinstaladas

Nombre aplicación Paquete Fecha y hora de
instalación
New Super Mario Bros 2 Cheats com.a86912222951760159e35f49a.a76058623a 06/10/2013 10:14
Galaxy S4 Tema Carbon com.androidaddy.livewallpaper.galaxy.s4.carbon 17/02/2014 21:52
BBM com.bbm 15/11/2013 0:20
Carrera Cartoon com.blokwise.carreracartoon 21/11/2013 11:48
Blurb Checkout com.blurb.checkout 07/03/2014 20:13
104
Xtreme Wheels com.bravogamestudios.xtremewheels 27/01/2014 0:29
ChatON Voice & Video Chat com.coolots.chaton 24/03/2014 23:09
Beach Moto com.factory99.beachmoto 18/05/2014 16:59
PEPI Skate 3D com.foosegames.pepiskate3d 18/05/2014 16:55
Tower Blocks com.gameclassic.towerblock 25/09/2013 11:51
Blitz Brigade: ¡FPS online! com.gameloft.android.ANMP.GloftINHM 25/08/2013 22:24
GT Racing 2: The Real Car Exp com.gameloft.android.ANMP.GloftRAHM 26/01/2014 9:20
Thor: EMO - El juego oficial com.gameloft.android.ANMP.GloftTRHM 28/02/2014 17:21
GO Launcher EX (Español) com.gau.go.launcherex 17/02/2014 21:54
GO Switch+ com.gau.go.launcherex.gowidget.newswitchwidget 17/02/2014 21:56
Rosa Tema com.gau.go.launcherex.theme.chabxszen 17/02/2014 21:50
RoboCop™ com.glu.robocop 02/05/2014 21:09
MOTOCROSS MELTDOWN com.glu.stuntracing 04/03/2014 17:47
Búsqueda de Google com.google.android.googlequicksearchbox 06/05/2014 21:22
Síntesis de voz de Google com.google.android.tts 22/05/2014 13:54
Next honeycomb live wallpaper com.gtp.nextlauncher.liverpaper.honeycomb 28/11/2013 8:51
Next Launcher 3D Lite Version com.gtp.nextlauncher.trial 23/10/2013 7:00
Complemento de servicio com.hp.android.printservice 17/03/2014 20:19
POLARIS Office Viewer 5 com.infraware.polarisviewer5 17/09/2013 22:24
Fast & Furious 6: El Juego com.kabam.ff6android 09/01/2014 17:30
Super Thrill Rush com.ldes.speeddrift 27/01/2014 0:31
LiveProfile com.liveprofile.android 25/09/2013 11:47
Beaming Service para Beep'nGo com.mobeam.barcodeService 26/04/2014 19:28
CSR Racing com.naturalmotion.csrracing 17/09/2013 22:45
Turbo Racing League com.pikpok.turbo 13/08/2013 22:16
Pioneer Connect com.pioneer.carrozzeriaconnect 12/03/2014 13:24
Share music for Group Play com.sec.android.app.mediasync 12/01/2014 23:38
AllShareCast Dongle S/W Update com.sec.android.fwupgrade 07/05/2014 7:25
Samsung Print Service Plugin com.sec.app.samsungprintservice 02/04/2014 1:46
Samsung push service com.sec.spp.push 24/04/2014 21:08
Capture Screen com.tools.screenshot 13/11/2013 17:54
Trial Xtreme 3 com.x3m.tx3 19/01/2014 12:51
Video Downloader - vídeo DL info.techtechapps.vid.android 29/04/2014 23:36
LINE camera jp.naver.linecamera.android 19/12/2013 10:39
Pioneer ControlApp jp.pioneer.avsoft.android.controlapp 12/03/2014 13:26
Screen Capture Shortcut Free jp.tomorrowkey.android.screencaptureshortcutfree 13/11/2013 17:53
ADW Tema Samoled saf.adw.theme.samoled 17/02/2014 21:52
Fuente (Autora)
Aplicaciones no satisfactorias
Tabla 22: Aplicaciones no satisfactorias
105
Fecha y Fecha y
Nombre Actualización hora hora de Cuenta
Paquete
aplicación automática solicitud descarga utilizada
descarga completa
com.dsi.ant.plugins.ant 1 0 0
plus
com.dsi.ant.service.soc 1 0 0
ket
FIFA 14, de EA com.ea.game.fifa14_ro 1 0 0 ferrnando194
SPORTS™ w [email protected]
com.google.android.ma 1 0 0
rvin.talkback
Fuente (Autora)
6. Conclusiones
 De acuerdo a lo solicitado se puede determinar que el dispositivo móvil además de

ser utilizado como una herramienta de uso laboral, la mayor parte de aplicaciones
instaladas corresponden a la categoría “juegos”
 Los registros en el historial de navegación se concentran en la búsqueda de
información del juego denominado “dragon city” y de música en general.
 La información descargada no corresponde a información vital que comprometa a la
empresa donde labora el Ing. Fernando Cueva
 Se puede identificar las siguientes cuentas asociadas al dispositivo
[email protected] y [email protected]
 Como se puede observar el mayor número de instalaciones se dio el 24/04/2013
7. Referencias
No es aplicable
8. Anexos
Véase el Anexo 1 Desarrollo de fases smartphone donde se encuentran lo siguiente:
a. Plantilla fase de identificación y preservación

b. Plantilla fase de adquisición
c. Plantilla fase de análisis y exploración
106
INFORME EJECUTIVO
1. Introducción
El presente documento se elabora con el fin de presentar un informe pericial sobre la

información solicitada en el caso de estudio C001.
2. Antecedentes

que se ha almacenado en el sistema de ficheros del dispositivo móvil (Smartphone),
información que pueda comprometer la seguridad e integridad del usuario.
Se cuenta con un dispositivo móvil (smartphone) con sistema operativo Android, versión
4.4.2 que será el objeto de pruebas.
a. Caso de estudio
“En la empresa XYZ, se ha otorgado un dispositivo móvil a cada uno de los ejecutivos que lo
y verificar si están fuera del contexto empresarial.”
brindado en la empresa
Determinar las:
107
c. Alcance
Analizar:
 Descargas
3. Descripción
En mi calidad de investigadora expongo que el análisis realizado al dispositivo móvil fue

explícitamente para conocer las actividades realizadas en el mismo por parte del personal
de la empresa XYZ, en la que se da a conocer el tipo de aplicaciones que los usuarios les es
de interés, y a su vez se determina las descargas e historial de navegación realizadas.
Durante el desarrollo de la investigación no se procedió a dar acceso root puesto que se

determinará los archivos a los que se tiene acceso.
Entre los resultados encontrados tenemos:
 El número de aplicaciones instaladas en el dispositivo móvil es de 96 apps, 42

aplicaciones desinstaladas y de 4 aplicaciones no satisfactorias. Véase la Tabla 23.
Tabla 23: Resultado aplicaciones

Descripción Número
Aplicaciones instaladas 96
Aplicaciones desinstaladas 42
Aplicaciones no satisfactorias 4
Fuente (Autora)
A continuación se detalla el número de aplicaciones instaladas por fecha.
Tabla 24: Aplicaciones instaladas por fecha

Fecha # de aplicaciones
01/08/2008 3
31/12/2012 3
24/04/2013 38
13/08/2013 8
15/08/2013 4
108
25/08/2013 1
09/09/2013 1
17/09/2013 1
31/10/2013 1
20/11/2013 1
21/11/2013 1
18/01/2014 1
20/01/2014 1
27/01/2014 1
31/01/2014 1
06/02/2014 1
11/02/2014 1
16/02/2014 1
25/02/2014 1
04/03/2014 1
23/03/2014 1
02/04/2014 1
02/04/2014 1
09/04/2014 1
17/04/2014 1
29/04/2014 1
02/05/2014 1
02/05/2014 1
14/05/2014 1
18/05/2014 1
18/05/2014 1
30/05/2014 1
02/06/2014 1
03/06/2014 1
11/06/2014 1
15/06/2014 1
15/06/2014 1
15/06/2014 1
16/06/2014 1
16/06/2014 1
22/06/2014 1
24/06/2014 1
Fuente (Autora)
109
Figura 21: Número de aplicaciones instaladas y en ejecución por fecha
Fuente (Autora)
 De acuerdo a los datos analizados el 24/04/2013 se instalaron 38 aplicaciones, sin

embargo no se encontró información válida sobre las fechas en que se desinstalaron
las 42 aplicaciones, pero si su fecha de instalación.
 Entre las descargas realizadas podemos observar que en el mes de junio se
realizaron 5 descargas, información que corresponde a archivos de tipo imágenes,
archivos de audio y un documento.
Descargando FUTSALA_MASCULINO_INT
videoplayback-1.3gpp americo.jpg
EspaÃ±ol (EspaÃ±a) ERTITULACIONES.docx
05/10/2013 15/06/2014 17/06/2014 18/06/2014 24/06/2014
Wiggle - Jason
resize.jpeg
Derulo Lyrics.mp3
Figura 22: Descargas realizadas

Fuente (Autora)
En la siguiente figura se visualiza la cantidad de consultas realizadas en el dispositivo móvil

por mes, de acuerdo al año 2014; observando así que en el mes de junio se realizaron 1811
consultas.
110
Figura 23: Historial de navegación
Fuente (Autora)
Entre las URL’s más visitadas tenemos:

# de
ID URL visitas >
20
http://alimentariaonline.com/2013/03/26/crean-innovadora-cerveza-a-base-de-maiz-en-la-
1 33
uam/
http://benditofutbol.com/la-tri/rueda-dilan-mendez-cancer-mundial.html#.U5JuOsnv7qA
2 59
3 http://es.dragoncity.wikia.com/wiki/Drag%C3%B3n_Basilisco 97
4 http://es.dragoncity.wikia.com/wiki/Drag%C3%B3n_Ladr%C3%B3n 64
5 http://es.dragoncity.wikia.com/wiki/Drag%C3%B3n_Shogun 33
6 http://es.dragoncity.wikia.com/wiki/Drag%C3%B3n_Silvestre 40
7 http://es.dragoncity.wikia.com/wiki/Drag%C3%B3n_Veneno 69
8 http://es.savefrom.net/ 72
9 http://eva1.utpl.edu.ec/course/view.php?id=56407 39
http://f3.pasionlibertadores.com/noticias/David-Beckham-quiere-volver-a-jugar-al-futbol-
10 68
20140606-0021.html
11 http://img1.mlstatic.com/s_MLV_v_O_f_4370159278_052013.jpg 55
12 http://listado.mercadolibre.com.ec/gafas-fox-duncan 37
13 http://m.listas.20minutos.es/lista/top-dragones-de-dragon-city-376630/ 40
14 http://m.youtube.com/results?q=carrera%20de%20ba%C3%B1os&sm=3 62
15 http://m.youtube.com/watch?v=FiBs_FihJYw 29
16 http://m.youtube.com/watch?v=GNuzdKfpK60 38
17 http://m.youtube.com/watch?v=kpJApAfODSE 54
18 http://m.youtube.com/watch?v=Ni7m0GR8UO0 41
19 http://reglasespanol.about.com/od/adjetivos-articulos/a/articulo.htm 23
111
20 http://www.andysautosport.com/air_suspension/volkswagen.html 20
21 http://www.crecenegocios.com/40-formas-de-hacer-publicidad/ 69
22 http://www.derechoecuador.com/resultado-de-busqueda?q=estado+y+gobierno 55
23 http://www.foxdeportes.com/futbol/story/sancionan-a-la-bella-rbitro-brasilea# 55
24 http://www.foxdeportes.com/mexico/story/mexico-y-brasil-se-retan-en-twitter/ 36
25 http://www.google.com.ec/?gfe_rd=cr&ei=RW2QU9j-Gqna8gfa1YHwBQ 72
http://www.google.com.ec/search?biw=360&bih=314&tbm=isch&sa=1&ei=ZH2WU4arNoy
ayAS0loDYAQ&q=reptiles&oq=reptiles&gs_l=mobile-gws-
26 60
http://www.google.com.ec/search?site=&source=hp&ei=de-
27 42
hp.3..0l5.1976.3596.0.5475.11.9.0.1.1.0.2155.6998.7-1j1j2.4.0....0...1c.1.46.mobile-gws-
http://www.google.com.ec/search?site=&source=hp&ei=PiZ8U-
28 40
hp.1.1.0l5.7101.7640.0.9767.7.5.0.3.3.0.459.1781.2-1j2j2.5.0....0...1c.1.44.mobile-gws-
hp..1.6.1258.2.NAcVd_QpVUo
http://www.google.com.ec/search?tbm=isch&sa=1&ei=owJ9U77JI82SqAaJmYLYDg&q=g
afas+fox+modelo+duncan&oq=gafas+fox+modelo+duncan&gs_l=mobile-gws-
29 37
serp.3...47400.51770.0.52288.25.18.0.0.0.3.1663.7287.2-
2j3j3j3j1j0j1.13.0....0...1c.1.44.mobile-gws-serp..22.3.1865.RXCV9q9O06A#facrc=_
30 http://www.google.com.ec/webhp?hl=es&tbm=isch&tab=wi 27
31 http://www.hoyhombre.com/0000964/los-3-cortes-de-pelo-de-moda-para-este-2014/ 40
32 http://www.mercadolibre.com.ec/ 23
http://www.pasionlibertadores.com/fanaticos/Los-10-equipos-de-futbol-mas-valiosos-del-
33 55
mundo-20140512-0009.html
34 http://www.utpl.edu.ec/index.php 55
35 http://www.youtube-mp3.org/es 116
https://m.facebook.com/pages/JRM-Racing-
36 Sore/592028717535031?fref=ts&refsrc=https%3A%2F%2Fwww.facebook.com%2Fpages 55
%2FJRM-Racing-Sore%2F592028717535031&_rdr
37 https://m.youtube.com/watch?v=ewOdKrYVdZc 32
38 https://mail.google.com/mail/mu/mp/460/#tl/Recibidos 65
39 https://srv-si-001.utpl.edu.ec/SAO/Login.aspx 69
https://srv-si-001.utpl.edu.ec/SAO/Login.aspx?ReturnUrl=%2fSAO%2fSAO%2fLogin.aspx
40 74
41 https://www.google.com.ec/?gfe_rd=cr&ei=DpVxU7f4Bszt8QaB2oDACA 55
42 https://www.google.com.ec/?gfe_rd=cr&ei=im53U936LMzd8gfphYGgCQ 47
43 https://www.google.com.ec/?gfe_rd=cr&ei=ZNVyU_qPMdClsgf7lgE 55
112
https://www.google.com.ec/search?biw=360&bih=567&tbm=isch&q=colibritany&revid=18
74192421&sa=X&ei=StOcU8jRIZG2sASUsYD4Cw&ved=0CBcQ1QIoAA#facrc=_&imgrc=
44 WSXITBsiZnTtPM%253A%3BOkD1bZh27NS6jM%3Bhttp%253A%252F%252Fi1.ytimg.c 31
om%252Fvi%252FiZrWMKzWPCc%252Fmaxresdefault.jpg%3Bhttp%253A%252F%252
Fwww.youtube.com%252Fwatch%253Fv%253DiZrWMKzWPCc%3B1920%3B1080
https://www.google.com.ec/search?site=&source=hp&ei=Jfd0U4DXMM3jsASY7YKIDA&q
=23+de+alemania&oq=23+de+alemania&gs_l=mobile-gws-
45 54
hp.3...144.981.0.1312.9.6.0.0.0.0.0.0..0.0....0...1c.1.43.mobile-gws-
Fuente (Autora)
En la siguiente figura se muestra los links o url’s más visitadas, de acuerdo al id

asignado a la url y número de visitas.
Figura 24: URL's más visitadas en el año 2014

Fuente (Autora)
Se observa que YouTube, Facebook, mercado libre, dragon city y google son las páginas
más visitadas por el usuario.
4. Recomendaciones
 Es muy importante que la empresa fomente una cultura de seguridad, ya que los
usuarios deben conocer que los dispositivos móviles además de ser una herramienta
laboral, la información que se almacena en los mismos son un factor importante tanto
para la empresa como a nivel personal. Por lo tanto los dispositivos móviles pueden
ser utilizados como medios de fraude o extorsión.
 El dispositivo móvil de la empresa corresponde únicamente a actividades
relacionadas a la empresa, sin embargo si las actividades no interfieren con el
113
desarrollo laboral el mismo puede ser utilizado con otro fin, como lo es el de
entretenimiento.
 Al no contar con acceso root el análisis de los archivos es limitado.
 Queda a disposición de quien solicita sancionar dichas actividades de acuerdo a las
políticas de la empresa.
4.1.2 Fase de resultados Tablet
INFORME TÉCNICO
1. Introducción
El presente documento se elabora con el fin de presentar un informe técnico pericial sobre
los datos generados por el usuario en el dispositivo móvil. Dicho informe contiene el entorno
en el que se desarrolla el análisis forense.
Además de mencionar que el objetivo de las pruebas a realizar determinara el correcto

proceso a seguir en el análisis de la evidencia, que la guía metodológica propone.
2. Antecedentes

que se ha almacenado en el sistema de ficheros del dispositivo móvil (Tablet), información
que pueda comprometer la seguridad e integridad del usuario.
Se cuenta con un dispositivo móvil (Tablet) con sistema operativo Android, versión 4.2.2 que
será el objeto de pruebas.
a. Caso de estudio
y verificar si están fuera del contexto empresarial.
114
brindado en la empresa
Determinar las:
c. Alcance
Analizar:
 Descargas
Tabla 26: Equipo de trabajo - Tablet

Fuente (Autora)
3. Entorno de análisis
a. Metodología
La metodología a utilizar para la ejecución de las pruebas es la guía metodológica de

análisis forense, que el proyecto de tesis plantea.
b. Descripción de las herramientas
En el Tabla adjunta se detalla las herramientas utilizadas en el peritaje.
Tabla 27: Descripción herramientas utilizadas Tablet

115
Software de flasheo (de ROM) para dispositivos móviles Samsung,
Odin3 v3.07 que permite la instalación de un nuevo Recovery y realizar
modificaciones sobre el kernel para obtener acceso root
Firmware oficial denominado “CF-Auto-Root-espresso10wifi-
espresso10wifibby-gtp5113.tar.md5”- Galaxy Tab 2 10.1 GTP5113.
Firmware oficial
Permite el flasheo del Boot Loader o reescribir el sector de arranque
incluyendo el Recovery oficial de Samsung.
Herramienta forense de tipo comercial, que permite la extracción de
Oxygen Forensic
los datos del dispositivo.
Md5 summer Me permite calcular el hash de la imagen y verificar el mismo
Access Data FTK Visualización del contenido de la copia. Extracción de los archivos de
Imager interés
SQLite Data Browser Visualización de los datos registrados en cada una de los archivos
Microsoft Excel Me permite comparar los datos de las columnas
Fuente (Autora)
c. Procedimiento
Las actividades realizadas en el dispositivo móvil se detallan en el Anexo2.
d. Observaciones
 Al ser un caso de estudio de prueba, se ha dispuesto otorgar acceso root al
 Continuando con el proceso forense como primera instancia no se debe llevar a
cabo ningún proceso forense externo (e.g Toma de huellas dactilares, etc.).
 Al momento de la incautación no se dispone de bolsas antiestáticas, sin
embargo se ha tomado como medida el uso de papel aluminio y así bloquear la
comunicación o sincronización con un medio externo.
 Se denomina al backup con el nombre de “tablet.ab”
 La imagen obtenida mediante adb se denomina “data.img” con los siguientes
hash:
Firma MD5 “data.img”: 5166e741a8235d53ca666eaddbd2b74a

Firma SHA1 “data.img”: 548494d23efb7bc225665b82f5bb6816eabbb3d6
 Con la ayuda de la herramienta “Oxygen Forensic 2014” se extrae una imagen

denominada “Samsung Galaxy Tab 2 10.mmcblk0”.
116
a. Información del dispositivo
1) Características
Tabla 28: Características tablet

DISPOSITIVO MÓVIL
Cód. etiqueta dispositivo: C001-T001
Tipo de dispositivo móvil: Tablet
Número de teléfono N/A
Propietario Ing. Juanito Pérez
Marca Samsung
Modelo GT-P5113, Galaxy Tab 2 10.1
S/N R32C600XS1M
Pantalla: 10’’ Touch Screen
Procesador: Omap
IMEI: 358841197814
FCC ID: A3LGTP5113
IC: N/A
Tarjeta externa: SI ( ) NO (x)
SIM CARD: SI ( ) NO (x)
trasera
Capacidad para capturar SI (x) NO ( )
imágenes:
video:
Resolución cámara: 32 MP
Idioma SO: Español
Versión de núcleo: Linux version 3.0.31-1978026 (se.infra@R0301-05) (gcc version
4.4.1 (Sourcery G++ Lite 2010q1-202) ) #1 SMP PREEMPT Tue
Nov 19 18:37:42 KST 2013
Número de compilación: espresso10wifibby-user 4.2.2 JDQ39 P5113UEUCMK3 release-keys
117
Id dispositivo: c16078609130b5f

SIM Card
Operadora: N/A
ICC: N/A
PIN: N/A
PUK: N/A
Tarjeta externa
Tipo: N/A
S/N: N/A
Espacio de almacenamiento: N/A
Espacio disponible: N/A
Batería
Removible: SI ( ) NO (x)
Fabricante: Samsung
Capacidad de voltaje: 5V -2 A
S/N: N/A
Cargador
Código etiqueta cargador: C001-T002
Marca Samsung
Modelo No: ETA-P11X
Input: 100-240V
Output: 5V -2 A
Frecuencia: 50/60Hz 0.35 A
S/N: 110411-11
Cable de datos: SI (x) NO ( )
Código etiqueta cable de datos: C001-T003
Fuente (Autora)
2) Sistema de ficheros
El fichero a evaluar es “/data/” el mismo que almacena los datos del usuario y aplicaciones,
donde la ubicación de los archivos de interés se encuentra en las siguientes direcciones:
Tabla 29: Archivos de interés del sistema de ficheros de la Tablet

118
Historial de
navegación
Aplicaciones
dmappmgr.db
data/system/
packages.xml
Fuente (Autora)
5. Resultados
El estudio y análisis del fichero que se realiza a la carpeta “/data/” extraída de la ruta
“/dev/block/platform/omap/omap_hsmmc.1/by-name/DATAFS”, la cual contiene los datos del
usuario y de las aplicaciones, se encuentra la siguiente estructura:
Figura 25: Contenido imagen

Fuente (Autora)
Tabla 30: Descripción contenido

Directorio Descripción
root Contiene todos los archivos extraídos
Anr Contiene el archivo traces.txt.bugreport
App Contienes las aplicaciones en formato .apk
App-asec Vació
App-lib Contiene las librerías generados por las apps
App-private Vació
Backup Vació
clipboard Vació
Dalvick-cache Contienes los clases.dex de las apps
Data Contiene la información del usuario y de las aplicaciones
119
Dontpanic Vació
Drm Contiene dos ficheros denominados fwdlock (key.dat) e IDM (HTPP), contenido interno
vació
Gps Contiene lto2.dat y ltoStatus.txt
Local Contiene el fichero tmp (boomsh, busybox, crashlog, output, sh, zergRush)
log Contiene los ficheros dumpstate_app_error.txt.gz, dumpstate_app_native.txt.gz, lock,
poweroff_info.txt, powerreset_info.txt, power_off_reset_reason.txt,
power_off_reset_reason_backup.txt, PreloadInstaller.txt, recovery_kernel_log.txt,
recovery_last_kernel_log.txt, recovery_log.txt y Status.dat
Lost+found Vació
Media Ficheros 0 (ficheros accesibles para el usuario), legacy, obb
Misc Ficheros adb, bluedroid, bluetooth, bluetoothd, dhcp, keychain, keystore, radio, sms,
systemkeys, vpn, wifi
Monitor Vació
Property Ficheros de configuración
Resource- Vació
cache
sc Vació
Smc Ficheros counter.bin, storage.bin y system.bin
Ssh Vació
System Vació
Tombstones Vació
User Fichero perteneciente al usuario
Espacio no Contiene dos archivos denominados “0001807” y “1673513”
asignado
Fuente (Autora)
Mientras que en la imagen generada por Oxygen Forensic, denominado “Samsung Galaxy
Tab 2.10.mmcblk0” Encontramos lo siguiente en la carpeta DATAFS:
120
Figura 26: Contenido de imagen obtenida con Oxygen Forensic
Fuente (Autora)

Fuente (Autora)
Tabla 31: Descripción contenido de imagen obtenida con Oxygen Forensic

DATAFS Contenedor de los ficheros
121
App-asec Vació
App-private Vació
Contiene los backup generados por “com.android.internal.backup.LocalTransport”,
Backup “com.android.server.enterprise.EdmBackupTransport”,
“com.google.android.backup.BackupTransportService” y pending
clipboard Contiene los archivos “113182636007_351_350”, “knox”
Dontpanic Vació
Contiene dos ficheros denominados fwdlock (key.dat) e IDM (HTPP), contenido interno
Drm
vació
Contiene los ficheros dumpstate_app_error.txt.gz, dumpstate_app_native.txt.gz, lock,
poweroff_info.txt, powerreset_info.txt, power_off_reset_reason.txt,
log
power_off_reset_reason_backup.txt, PreloadInstaller.txt, recovery_kernel_log.txt,
recovery_last_kernel_log.txt, recovery_log.txt y Status.dat
Lost+found Vació
Ficheros adb, bluedroid, bluetooth, bluetoothd, dhcp, keychain, keystore, radio, sms,
Misc
systemkeys, vpn, wifi
Monitor Contiene el archive “netstats” el mismo que se encuentra vació
Resource-cache Vació
sc Vació
Ssh Contiene el archivo “empty”, el mismo que se encuentra vació
Contiene los archivos creados en el sistema “.cmanager”, “analytics”, “cache”,
System “container”, “databases”, “dropbox”, “enterprise”, “gps”, “hdcp2”, “inputmethod”,
“netstats”, “registered_services”, “shared_prefs”, “sync”, “throttle”, “usagestats” y “users”
Contiene los ficheros “tombstone_00”, “tombstone_01”, “tombstone_02”,
Tombstones “tombstone_03”, “tombstone_04”, “tombstone_05”, “tombstone_06”, “tombstone_07”,
“tombstone_08” y“tombstone_09”
Espacio no asignado Contiene dos archivos denominados “0001807” y “1673513”
Fuente (Autora)
 Seguidamente se extrae los archivos databases de las rutas anteriormente

mencionadas, las cuales contienen los mismos datos, de las imágenes generadas
anteriormente.
122
 Se visualizó el contenido de los archivos con el lector de sql (SQLiteBrowser)
Se ha extraído de la imagen los siguientes ficheros, los cuales contienes los datos de las
aplicaciones, el historial de navegación y las descargas realizadas por el usuario. Sin
embargo ciertos archivos no se encontraron en las rutas anteriormente indicadas por lo que
se procedió a verificar otros archivos que contienen la información solicitada, detallada a
continuación:
Tabla 32: Ruta archivos- Tablet

Historial de
navegación
Aplicaciones
Fuente (Autora)
El archivo browser2.db nos encontramos con las siguientes tablas “_sync_state”,

“_sync_state_metadata”, “android_metadata”, “bookmarks”, “history”, “images”,
“opbookmarks”, “sbookmarkwidget”, “searches”, “settings”, “sqlite_sequence” y “thumbnails”
para lo cual se analizara la tabla “history” que contiene las siguientes columnas:
_id, title, url, created, date, visits, user_entered
Los datos de interés para el análisis de la tabla “history” son:
Tabla 33: Columnas de interés de la tabla history- Tablet

title Título de la página web consultada
url URL o dirección web de la página consultada
date Fecha en la que se realiza la consulta
visits Número de visitas realizadas a la página web
Fuente (Autora)
Los datos se adjuntan en digital. Mientras que los resultados de acuerdo al número de
visitas por fecha de los sitios visitados (Véase Tabla 34 y Figura 28), se muestra a
continuación:
Tabla 34: Historial de navegación - Tablet
123
ID title url date visits
2014-04-02
1 Web Authentication Redirect http://clients3.google.com/generate_204 1
05:13:45
2014-06-27
2 PÃ¡gina web no disponible https://wireless.utpl.edu.ec/login.html 5
04:19:45
http://www.utpl.edu.ec/vinculacion/relaciones 2014-06-27
3 Web Authentication Redirect 3
-institucionales/relaciones-nacionales 04:19:04
http://www.google.com/search?redir_esc=&r
YouTube - Broadcast edir_esc=&hl=es&source=android-browser-
2014-04-02
4 Yourself. - Buscar con suggest&v=200400000&qsubts=1396434764 1
05:32:44
Google 459&q=YouTube%20-
%20Broadcast%20Yourself.
YouTube - Broadcast http://m.youtube.com/watch?v=A6O0fdpN2J 2014-04-02
5 4
Yourself - YouTube 8 05:33:05
FINAL CAMPEONATO
EUROPA 2007 VOLEIBOL http://www.youtube.com/watch?v=A6O0fdpN 2014-04-02
6 6
RUSIA 2 - 3 ESPAÃ‘A (Parte 2J8 05:39:23
3) - YouTube
2014-04-02
7 PÃ¡gina web no disponible http://201.218.56.219/generate_204 1
06:29:17
http://m.youtube.com/watch?v=_MOPzlHLEB 2014-04-02
8 Web Authentication Redirect 1
g 06:29:17
https://wireless.utpl.edu.ec/login.html?redirec 2014-04-02
9 Web Authentication 2
t=m.youtube.com/watch?v=AhX7La7zpr0 06:56:36
10
Web Authentication 1
t=201.218.56.219/generate_204 06:30:03
https://wireless.utpl.edu.ec/fs/customwebaut
h/login.html?switch_url=https://wireless.utpl.e
2014-04-02
11 Web Authentication du.ec/login.html&ap_mac=2c:3f:38:31:53:20 1
06:30:03
&wlan=Personal_UTPL&redirect=201.218.56
.219/generate_204
Universidad Tecnica
2014-05-29
12 Particular de Loja - U T P L | http://www.utpl.edu.ec/ 3
05:09:58
Ecuador
2014-04-02
13 Web Authentication Redirect http://201.218.56.223/generate_204 1
06:56:35
2014-04-02
14 PÃ¡gina web no disponible du.ec/login.html&ap_mac=2c:3f:38:31:53:20 1
06:56:36
&wlan=Personal_UTPL&redirect=m.youtube.
com/watch?v=AhX7La7zpr0
15 Web Authentication https://wireless.utpl.edu.ec/login.html?redirec 2014-04-02 1
124
t=201.218.56.223/generate_204 06:56:36
t=www.utpl.edu.ec/ 06:56:37
2014-04-02
06:56:37
.223/generate_204
2014-04-02
06:56:37
&wlan=Personal_UTPL&redirect=www.utpl.e
du.ec/
http://www.google.com.ec/?gfe_rd=cr&ei=Sk 2014-05-29
19 Google 2
2HU-3_EYTA8Qaiw4CYBA 05:10:28
archivo de android que
contiene las actividades del 2014-05-29
20 http://www.google.com/ 1
dispositivo - Buscar con 05:11:21
Google
http://eva1.utpl.edu.ec/loginu 2014-05-29
21 http://eva1.utpl.edu.ec/loginutpl/index.php 1
tpl/index.php 05:12:10
Universidad TÃ©cnica 2014-05-29
22 http://eva1.utpl.edu.ec/ 2
Particular de Loja 05:12:49
Curso: PROYECTO DE FIN
http://eva1.utpl.edu.ec/course/view.php?id=5 2014-05-29
23 DE CARRERA PLATINIUM 1
7290 05:13:18
II GP4.2 [A]
https://eva1.utpl.edu.ec/login 2014-05-29
24 https://eva1.utpl.edu.ec/loginutpl/index.php 2
utpl/index.php 05:17:07
http://www.google.com.ec/?gfe_rd=cr&ei=hN 2014-06-05
25 Google 2
CQU-quL9Dn9Aah14GgCA 10:20:42
cyanomod - Buscar con 2014-06-05
26 http://google.com/ 1
Google 10:21:07
cyanomodgen - Buscar con http://www.google.com.ec/?gfe_rd=cr&ei=hN 2014-06-05
27 1
Google CQU-quL9Dn9Aah14GgCA#q=cyanomod 10:21:07
CyanogenMod | Android
2014-06-05
28 Community Operating http://www.cyanogenmod.org/ 1
10:21:12
System
http://beta.download.cyanogenmod.org/instal 2014-06-09
29 CyanogenMod | Downloads 7
l 19:57:45
http://beta.download.cyanogenmod.org/instal 2014-06-05
30 CyanogenMod | Downloads 2
l/app 10:24:13
Rescue Root | One Click 2014-06-09
31 http://rescueroot.com/ 4
Root Android Software 19:57:35
125
Download Rescue Root!
2014-06-05
32 Confirms Root Support for http://rescueroot.com/download/ 2
18:59:42
Free
http://poll-
en.herokuapp.com/encuesta/premiosgamela 2014-06-08
33 Encuestas para facebook 1
b2014?mobile=1&ref=web_canvas&from=ad 03:33:56
min_wall#_=_
http://poll-
2014-06-09
34 Encuestas para facebook en.herokuapp.com/encuesta/polls/premiosga 2
19:57:35
melab2014/forms/14824555/thankyou
https://www.google.com.ec/search?redir_esc
root samsung galaxy tab 2 =&hl=es-ES&safe=images&oe=utf-
2014-06-09
35 10.1 gt-p5113 android 4.2.2 - 8&q=rootear%20samsjng&source=android- 1
19:58:27
Buscar con Google browser-
type&qsubts=1402361906893&devloc=0
Update Samsung Galaxy http://www.droidviews.com/update-samsung-
2014-06-10
36 Tab 2 10.1 (GT-P5113) WiFi galaxy-tab-2-10-1-gt-p5113-wifi-to-android-4- 24
04:15:47
to Android 4.2.2 2-2/
How to Root Galaxy Tab 2
10.1 GT-P5113 Running
http://nasirtech.blogspot.com/2013/12/root-
Android 4.2.2 JB Stock 2014-06-09
37 galaxy-tab2-10-1-p5113-running-android- 1
Firmware | NasirTech | #1 20:00:39
422-jb-stock-firmware.html
Samsung Firmware
Destination
Galaxy Tab 2 10.1
(P5100/P5110/P5113): http://getmovil.com/samsung/instalar- 2014-06-09
38 17
Instalar Android 4.2.2 con android-4-2-2-galaxy-tab-2-10-1/ 20:22:30
Root
http://download.chainfire.eu/257/CF-
Root/CF-Auto-Root/CF-Auto-Root- 2014-06-10
39 CF-Root Download 4
espresso10wifi-espresso10wifibby- 03:23:08
gtp5113.zip
https://wireless.utpl.edu.ec/login.html?redirec
2014-06-27
40 Web Authentication t=www.utpl.edu.ec/vinculacion/relaciones- 1
04:19:06
institucionales/relaciones-nacionales
du.ec/login.html&ap_mac=2c:3f:38:31:53:20 2014-06-27
&wlan=Personal_UTPL&redirect=www.utpl.e 04:19:06
du.ec/vinculacion/relaciones-
Web Authentication https://wireless.utpl.edu.ec/fs/customwebaut 2014-07-01
42 3
h/login.html?switch_url=https://wireless.utpl.e 12:57:28
126
du.ec/login.html&ap_mac=2c:3f:38:31:53:20
&wlan=Personal_UTPL&statusCode=5&redir
ect=www.utpl.edu.ec/vinculacion/relaciones-
Fuente (Autora)
Figura 28: Número de visitas por fecha

Fuente (Autora)
Descargas
En el archivo “sisodownloads.db” se encuentran tres tablas “android_metadata”,

“sisodownloads” y “sqlite_secuence”, para lo cual se analizara la tabla “sisodownloads” que
current_bytes, etag, uid, otheruid, title, description, downloadmethod, state, storagetype,
dd_primaryMimeType, dd_SecondaryMimeType1, dd_SecondaryMimeType2, dd_fileName,
dd_vendor, dd_description, dd_contentSize, dd_objUrl, dd_notifyurl, dd_majorVersion,
scanned
Los datos de interés para el análisis de la tabla “sisodownloads” son:
Tabla 35: Columnas de interés tabla sisodownloads - Tablet

Uri Link de descarga
127
useragent Datos como navegador, Versión del sistema operativo, idioma del sistema
operativo, número de modelo del dispositivo.
Fuente (Autora)
Datos:
Tabla 36: Datos de las descargas

uri hint lastmod useragent title
Mozilla/5.0 (Linux; U;
Android 4.2.2; es-es; GT-
http://dist01.slc.c file:///storage/emul
2014-06-05 P5113 Build/JDQ39)
yngn.com/OneCl ated/0/Download/ OneClick.apk
10:24:21 AppleWebKit/534.30
ick.apk OneClick.apk
(KHTML, like Gecko)
Version/4.0 Safari/534.30
http://api.kbm2.c Android 4.2.2; es-es; GT-
file:///storage/emul
om/downloadLau 2014-06-05 P5113 Build/JDQ39)
ated/0/Download/ RescueRoot.exe
ncher.ashx?cid= 19:00:08 AppleWebKit/534.30
RescueRoot.exe
1349 (KHTML, like Gecko)
ated/0/Download/ RescueRoot-1.exe
RescueRoot.exe
RescueRoot.exe
RescueRoot.exe
http://api.kbm2.c file:///storage/emul 2014-06-05 Mozilla/5.0 (Linux; U; RescueRoot-1-
om/downloadLau ated/0/Download/ 19:00:48 Android 4.2.2; es-es; GT- 1.exe
128
ncher.ashx?cid= RescueRoot.exe P5113 Build/JDQ39)
1349 AppleWebKit/534.30
(KHTML, like Gecko)
Fuente (Autora)
Como se puede observar en el mes de junio se realizaron 6 descargas, entre ellas la de

mayor descarga fue la opción “RescueRoot.exe”.
Tabla 37: Número de descargas

title # de descargas
OneClick.apk 1
RescueRoot.exe 5
Fuente (Autora)
Figura 29: Número de descargas realizadas por dato

Fuente (Autora)
Aplicaciones
Tabla 38: Resultados aplicaciones

Descripción Total
Fuente (Autora)

descargas de aplicaciones no satisfactorias. Contando con un promedio de 60 aplicaciones
intaladas.
129
columna “first_download” del archivo “localappstate.db”, el valor “0”, el cual representa que
la descarga no fue satisfactoria. En el mismo archivo se encuentran todas las aplicaciones
que han sido descargadas e instaladas en el dispositivo, el mismo que no define las
aplicaciones desinstaladas. Cabe mencionar que el archivo packages.xml contiene el mismo
número de aplicaciones que el archivo “icingcorpora.db”.


delivery_data_timestamp_ms, installer_state, first_download_ms, referrer, account, title,
flags, continue_url, last_notified_version, last_update_timestamp_ms, account_for_update,
auto_acquire_tags, external_referrer_timestamp_ms
La estructura de la tabla “appstate” es:
Tabla 39: Columnas de interés tabla appstate- tablet

auto_update Hace referencia a la auto descarga de actualizaciones de la aplicación, la
cual 1 representa “Descargar automáticamente las actualizaciones” y 2
representa “no realizar descargar automáticas”
title Titulo o nombre de la aplicación
Fuente (Autora)
Mientras que en el archivo icingcorpora.db, se registran todas las aplicaciones que se

encuentran instaladas y en ejecución en el dispositivo. El mismo en el que encontramos
catorce tablas, por lo que la tabla de interés es “applications” la cual contiene los siguientes
datos:
_id, display_name, icon_uri, package_name, class_name, score, uri, created_timestamp_ms
Tabla 40: Columnas de interés tabla applications- tablet
130
Fuente (Autora)
Se realiza una comparación entre los datos de los archivos “localappstate.db” e

“icingcorpora.db”, prevaleciendo los datos del archivo “icingcorpora”, ya que aquí
encontramos las aplicaciones que se encuentran en ejecución en el dispositivo.
Tabla 41: Aplicaciones instaladas - tablet

display_name package_name Fecha y hora de
actualización
CÃ¡mara com.sec.android.app.camera 02/04/2014 6:20
Internet com.android.browser 31/01/2013 16:48
Contactos com.android.contacts 31/01/2013 16:48
Correo electrÃ³nico com.android.email 31/01/2013 16:48
Notas com.sec.android.app.memo 31/01/2013 16:49
Calendario com.android.calendar 31/01/2013 16:48
Reproductor de mÃºsica com.sec.android.app.music 31/01/2013 16:48
Gmail com.google.android.gm 31/01/2013 16:49
Play Store com.android.vending 31/01/2013 16:47
GalerÃa com.sec.android.gallery3d 22/06/2014 6:33
Ajustes com.android.settings 01/08/2008 7:00
Screensaver kr.co.rightbrain.ScreenSaver.GalaxyTab2_10_1 29/06/2014 12:26
Play Books com.google.android.apps.books 31/01/2013 16:46
Maps com.google.android.apps.maps 29/06/2014 15:19
Local com.google.android.apps.maps 29/06/2014 13:10
Navigation com.google.android.apps.maps 31/05/2014 20:17
Game Hub com.sec.android.app.gamehub 01/08/2008 7:00
Ayuda com.samsung.helphub 01/08/2008 7:00
Readers Hub com.sec.android.app.readershub 31/01/2013 16:46
Media Hub com.samsung.mediahub 31/01/2013 16:46
Descargas com.android.providers.downloads.ui 31/01/2013 16:46
Paper Artist com.dama.paperartist 31/01/2013 16:46
Next Issue com.nim.discovery 31/01/2013 16:47
Mis archivos com.sec.android.app.myfiles 31/01/2013 16:47
Reproductor de video com.sec.android.app.videoplayer 07/09/2012 2:23
S Suggest com.tgrape.android.radar 01/08/2008 7:00
Netflix com.netflix.mediaclient 31/01/2013 16:46
131
Calculadora com.sec.android.app.popupcalculator 01/08/2008 7:00
Reloj mundial com.sec.android.app.worldclock 31/01/2013 16:49
Editor de video com.sec.android.app.ve 31/01/2013 16:49
Music Hub com.samsung.music 02/04/2014 6:47
Editor de fotos com.sec.android.mimage.photoretouching 31/01/2013 16:47
Polaris Office com.infraware.PolarisOfficeStdForTablet 09/06/2014 19:33
Alarma com.android.deskclock 09/06/2014 19:49
Drive com.google.android.apps.docs 01/08/2008 7:00
Play Games com.google.android.play.games 01/08/2008 7:00
Play Music com.google.android.music 02/04/2014 6:20
Google+ com.google.android.apps.plus 01/08/2008 7:00
Fotos com.google.android.apps.plus 01/08/2008 7:00
Ajustes de Google com.google.android.gms 01/08/2008 7:00
Hangouts com.google.android.talk 01/08/2008 7:00
Dropbox com.dropbox.android 31/01/2013 16:47
Amazon Kindle com.amazon.kindle 31/01/2013 16:46
Play Movies com.google.android.videos 31/01/2013 16:49
Samsung Link com.sec.pcw 31/01/2013 16:49
ChatON com.sec.chaton 31/01/2013 16:49
YouTube com.google.android.youtube 31/01/2013 16:48
Play Kiosco com.google.android.apps.magazines 31/01/2013 16:47
Smart Remote com.peel.app 31/01/2013 16:47
Minion Rush com.gameloft.android.ANMP.GloftDMHM 31/01/2013 16:49
Samsung Apps com.sec.android.app.samsungapps 31/01/2013 16:49
Root Checker Basic com.joeykrim.rootcheck 01/08/2008 7:00
Titanium Backup com.keramidas.TitaniumBackup 31/01/2013 16:48
SuperSU eu.chainfire.supersu 31/01/2013 16:47
Group Play com.samsung.groupcast 01/08/2008 7:00
MOBILedit! Connector com.compelson.meconnector 31/01/2013 16:45
Water? 2 com.disney.wheresmywater2_goo 31/01/2013 16:47
ES File Explorer com.estrongs.android.pop 10/06/2014 11:29
PvZ 2 com.ea.game.pvz2_row 02/04/2014 5:25
Navegador Dolphin mobi.mgeek.TunnyBrowser 29/06/2014 15:41
Fuente (Autora)
Tabla 42: Aplicaciones desinstaladas - tablet

Fecha y hora
package_name title
de instalación
com.cleanmaster.mguard Clean Master(Optimiza memoria) 29/06/2014 12:53
com.google.android.googlequicksearchbox BÃºsqueda de Google 29/06/2014 15:47
132
com.sec.spp.push Samsung push service 13/05/2014 0:17
com.sec.app.samsungprintservice Samsung Print Service Plugin 29/06/2014 11:29
com.google.android.tts Síntesis de voz de Google 23/06/2014 15:10
com.bancodeguayaquil Banca Virtual MÃ³vil 09/06/2014 19:30
com.noshufou.android.su Superuser 01/07/2014 4:39
com.google.android.marvin.talkback Google Talkback 13/05/2014 1:46
Fuente (Autora)
Descargas no satisfactorias
Tabla 43: Descargas no satisfactorias - tablet

Actuali Fecha y
Fecha y hora
Nombre zación hora de Cuenta
Paquete de solicitud
aplicación autom descarga asociada
descarga
ática completa
31/05/2014 zeusprince8@
Frozen Free Fall com.disney.frozensaga_goo No 0
20:07 gmail.com
Where's My com.disney.wheresmymicke 31/05/2014 31/05/2014 zeusprince8@
Si
Mickey? Gratis yfree_goo 19:58 19:58 gmail.com
FIFA 14, de EA 12/06/2014 zeusprince8@
com.ea.game.fifa14_row No 0
SPORTSâ„¢ 18:17 gmail.com
Real Football com.gameloft.android.ANMP 11/06/2014 zeusprince8@
No 0
2013 .GloftR3HM 9:57 gmail.com
MALÃ‰FICA 31/05/2014 zeusprince8@
com.disney.maleficent_goo No 0
Free Fall 20:04 gmail.com
zeusprince8@
com.olx.olx Si 0 0
gmail.com
Fuente (Autora)
Las aplicaciones que no fueron descargadas satisfactoriamente como

com.ea.game.fifa14_row, com.gameloft.android.ANMP.GloftR3HM, tuvieron dos intentos de
descargas tanto en el mes de mayo como junio.
133
2014-05-31 19:58:56
com.disney.wheresmymick
2014-05-31 20:04:39 2014-06-11 09:57:17
eyfree_goo
com.disney.maleficen com.gameloft.android.A
t_goo NMP.GloftR3HM
2014-06-29 15:37:39
com.olx.olx
2014-05-31 19:58:58
com.disney.frozensa
Mayo Junio
ga_goo
2014-06-09 19:30:51
com.ea.game.fifa14_ro
2014-05-31 20:07:26 2014-06-12 18:17:43
w
com.disney.frozensag
com.ea.game.fifa14_row
a_goo
2014-05-13 01:47:15
com.gameloft.android.AN
MP.GloftR3HM
Figura 30: Línea de tiempo aplicaciones no satisfactorias

Fuente (Autora)
El archivo “dmappmgr.db” cuenta con las tablas “ApplicationControl”, “ApplicationIcon”,

“android_metadata” y “sqlite_sequence”. La tabla de interés es “ApplicationControl” la cual
nos detalla cuando fue la última fecha en la que se utilizó cierta aplicación además de contar
con los datos de todas las aplicaciones que han sido instaladas y desinstaladas de la cuenta
de google como también de terceros o desconocidos.
El mismo que cuenta con las siguientes columnas:
_id, pkgname, lastpausetime, applastservicestarttime, applastservicestoptime,

totalusagetime, launchcount, y lastlaunchtime
Los datos de interés para el análisis de la tabla ApplicationControl son:
Tabla 44: Columnas de interés tabla applicationcontrol - tablet

pkgname Nombre del paquete o la ruta creada por la aplicación
applastservicestarttime Última hora de inicio del servicio
applastservicestoptime Última hora de interrupción del servicio
lastlaunchtime Última hora de inicio aplicación
Fuente (Autora)
Datos:
Tabla 45: Datos archivo dmappmgr.db

applastservicestartti applastservicestopt
pkgname lastlaunchtime
me ime
com.google.android.setupwizard 0 0 2014-04-02 05:13:07
134
com.android.browser 0 0 2014-07-07 14:10:45
com.osp.app.signin 2014-07-21 15:18:33 2014-07-22 11:59:27 2014-04-02 05:12:00
com.sec.android.preloadinstaller 0 0 2014-04-02 06:50:13
com.google.android.googlequicksear
2014-07-21 15:18:33 2014-07-22 11:59:26 2014-07-07 14:11:51
chbox
android 0 0 2014-07-17 13:49:23
com.android.settings 2014-06-15 13:59:00 2014-06-29 16:58:21 2014-07-17 08:18:58
com.google.android.gsf.login 0 0 2014-05-29 05:23:30
com.sec.android.app.launcher 0 0 2014-07-22 11:23:31
com.sec.android.fotaclient 2014-07-21 15:18:21 2014-07-22 11:59:26 2014-04-02 05:14:23
com.sec.android.app.SecSetupWizar
0 0 2014-04-02 05:13:02
d
com.tgrape.android.radar 2014-06-30 02:44:06 2014-07-08 14:52:36 2014-06-30 02:48:42
com.sec.phone 2014-07-21 15:18:19 2014-07-22 11:59:23 0
com.google.android.videos 2014-07-17 08:19:03 2014-07-21 15:13:44 0
com.google.android.apps.uploader 2014-07-17 08:19:06 2014-07-21 15:13:44 0
com.android.contacts 2014-07-21 15:18:19 2014-07-22 11:59:23 2014-06-30 02:48:18

com.sec.android.app.gamehub 2014-04-02 05:13:08 2014-04-02 06:17:06 0
com.google.android.partnersetup 2014-07-21 15:18:26 2014-07-22 11:59:26 0
com.google.android.apps.plus 2014-07-21 15:44:31 2014-07-22 11:59:26 2014-06-05 19:11:44

com.google.android.music 2014-07-21 15:18:36 2014-07-22 11:59:27 0
com.sec.android.providers.download
2014-07-21 15:18:23 2014-07-22 11:59:27 0
s
com.android.exchange 2014-07-21 15:18:18 2014-07-22 11:59:27 0
com.android.systemui 2014-07-21 15:17:56 2014-07-22 11:59:27 2014-07-22 11:23:27
com.android.providers.calendar 2014-07-21 15:18:25 2014-07-22 07:02:34 0
com.android.keychain 2014-07-17 09:04:34 2014-07-21 15:13:44 0

com.sec.factory 2014-07-21 15:18:21 2014-07-22 11:59:27 0
com.google.android.gm 2014-07-21 15:18:30 2014-07-22 11:59:27 2014-06-05 19:02:38
com.sec.android.app.samsungapps.
2014-06-22 18:18:49 2014-06-29 09:14:07 0
una2
com.google.android.talk 2014-07-21 15:18:40 2014-07-22 11:59:27 2014-07-01 12:55:40
com.wssyncmldm 2014-07-21 15:18:24 2014-07-22 11:59:27 2014-06-09 19:56:33
com.android.email 2014-07-21 15:18:23 2014-07-22 05:51:14 2014-06-11 08:57:23
com.sec.chaton 2014-07-22 11:23:41 2014-07-22 11:59:27 0
com.google.android.youtube 2014-07-21 15:18:32 2014-07-22 11:59:27 2014-06-29 11:44:32
com.samsung.mediahub 2014-04-02 05:12:00 2014-04-02 06:17:07 0
com.sec.android.widgetapp.weather
2014-04-02 05:13:07 2014-04-02 06:17:07 0
clock
135
com.nim.discovery 2014-07-21 15:18:24 2014-07-22 11:59:27 0
com.google.android.gsf 2014-07-21 15:18:33 2014-07-22 11:59:27 0
com.sec.dsm.system 2014-04-02 05:25:46 2014-04-02 06:17:07 0
com.android.providers.media 2014-07-21 15:18:00 2014-07-22 11:54:22 0
com.android.providers.downloads 2014-07-21 15:18:00 2014-07-22 11:59:27 0
com.android.musicfx 2014-07-17 08:21:55 2014-07-21 15:13:45 0

com.google.android.syncadapters.co
2014-07-21 15:18:26 2014-07-22 11:59:27 0
ntacts
com.google.android.apps.maps 0 0 2014-05-11 18:22:06
com.sec.android.app.camera 0 0 2014-06-25 14:02:13
com.google.android.location 2014-07-21 15:18:03 2014-07-22 11:59:23 0
org.simalliance.openmobileapi.servic
2014-07-21 15:18:25 2014-07-22 11:59:23 0
e
com.sec.pcw 2014-07-21 15:18:20 2014-07-22 11:59:23 0
com.sec.android.gallery3d 2014-07-21 15:18:38 2014-07-22 11:59:23 2014-06-11 08:57:30
com.sec.android.pagebuddynotisvc 2014-07-21 15:18:24 2014-07-22 11:59:26 0
com.sec.android.app.bluetoothtest 2014-07-21 15:18:21 2014-07-22 11:59:27 0
com.sec.app.RilErrorNotifier 2014-04-02 13:06:13 2014-04-02 13:06:14 0

com.sec.minimode.taskcloser 2014-04-02 07:03:56 2014-04-02 13:06:14 0
com.sec.android.app.keyguard 2014-07-21 15:18:35 2014-07-22 11:59:27 0
com.samsung.SMT 2014-06-22 18:19:57 2014-06-29 16:58:20 0
com.sec.android.app.sysscope 2014-07-21 15:18:24 2014-07-22 11:59:27 0
com.wssnps 2014-07-21 15:18:25 2014-07-22 05:52:13 0
com.sec.esdk.elm 2014-07-21 15:18:21 2014-07-22 11:59:27 0
com.google.android.gms 2014-07-21 15:18:10 2014-07-22 11:59:27 2014-06-11 10:13:34
com.android.vending 2014-07-21 15:18:28 2014-07-22 11:59:26 2014-07-17 08:19:29
com.android.MtpApplication 2014-07-22 11:19:57 2014-07-22 11:54:22 2014-07-22 11:23:39
com.android.calendar 0 0 2014-05-11 04:02:59
com.samsung.groupcast 2014-07-21 15:18:29 2014-07-22 11:59:27 2014-07-22 11:19:08
com.sec.android.app.myfiles 2014-06-14 19:18:05 2014-06-14 19:18:06 2014-07-22 11:15:49
com.android.providers.downloads.ui 0 0 2014-06-05 19:01:14
com.sec.android.app.popupcalculato
0 0 2014-05-11 18:25:59
r
com.android.deskclock 0 0 2014-05-11 18:25:42
com.sec.android.mimage.photoretou
0 0 2014-06-10 08:35:33
ching
com.netflix.mediaclient 2014-06-11 09:03:04 2014-06-14 19:54:00 2014-06-11 09:03:03
kr.co.rightbrain.ScreenSaver.Galaxy
2014-07-21 15:18:34 2014-07-22 11:59:27 2014-06-11 08:57:06
Tab2_10_1
136
com.sec.android.allshare.service.me
2014-06-11 08:57:31 2014-06-11 08:57:49 0
diashare
com.sec.android.inputmethod 0 0 2014-07-01 13:00:11
com.google.android.syncadapters.ca
2014-07-05 00:36:02 2014-07-08 14:52:37 0
lendar
com.google.android.apps.magazines 2014-05-11 21:12:44 2014-06-08 03:32:47 0
com.google.android.configupdater 2014-07-17 08:19:29 2014-07-21 15:13:45 0
com.google.android.apps.docs 2014-07-17 08:21:31 2014-07-21 15:13:45 0
com.google.android.apps.books 2014-06-30 02:44:28 2014-07-08 14:52:37 2014-06-30 02:44:27
com.dropbox.android 2014-07-21 15:18:28 2014-07-22 11:59:23 2014-05-12 05:33:58
com.sec.android.app.samsungapps 2014-07-21 15:18:29 2014-07-22 11:59:23 2014-07-01 12:58:01
com.sec.spp.push 2014-07-21 15:18:30 2014-07-22 11:59:27 0

com.sec.android.Kies 2014-06-17 11:36:19 2014-06-17 15:11:32 0
com.viaforensics.android.aflogical_o
0 0 2014-05-31 20:19:09
se
com.example.viaforensics.android 0 0 2014-06-05 18:58:25
com.example.holamundo 0 0 2014-05-19 12:37:07

com.android.backupconfirm 0 0 2014-07-21 15:19:46
com.peel.app 0 0 2014-06-03 12:21:26
com.sec.android.app.controlpanel 0 0 2014-05-31 20:19:21
com.gameloft.android.ANMP.GloftD
2014-07-17 08:19:41 2014-07-21 15:13:45 2014-07-19 11:12:17
MHM
com.sec.android.widgetapp.at.hero.a
0 0 2014-07-01 13:33:49
ccuweather
com.android.packageinstaller 0 0 2014-06-14 13:25:37
com.mozzeta.androidrootchecker 0 0 2014-06-05 18:58:39
org.cyanogenmod.oneclick 0 0 2014-06-05 19:15:08

com.infraware.PolarisOfficeStdForTa
0 0 2014-06-05 19:17:29
blet
com.android.htmlviewer 0 0 2014-06-05 19:17:01
com.android.defcontainer 2014-06-30 18:32:53 2014-07-08 14:52:36 0
com.noshufou.android.su 2014-06-10 11:30:18 2014-06-14 19:54:00 2014-06-09 19:43:47
com.keramidas.TitaniumBackup 0 0 2014-06-10 17:50:14
com.joeykrim.rootcheck 0 0 2014-06-11 08:56:43

eu.chainfire.supersu 2014-07-21 15:18:29 2014-07-22 11:59:27 2014-06-11 08:56:27
137
com.android.bluetooth 2014-06-15 13:58:59 2014-06-29 16:58:20 0
com.compelson.meconnector 0 0 2014-06-29 11:27:42
com.bancodeguayaquil 2014-07-22 11:19:34 2014-07-22 11:59:27 2014-07-22 11:19:33
com.cleanmaster.mguard 2014-06-30 02:45:01 2014-07-08 14:52:37 2014-06-30 02:52:56
com.ea.game.pvz2_row 2014-06-30 18:33:08 2014-07-08 14:52:36 2014-06-30 18:33:08
com.sec.android.app.popupuireceive
0 0 2014-07-07 14:10:43
r
mobi.mgeek.TunnyBrowser 2014-07-21 15:18:20 2014-07-22 11:59:27 2014-07-01 13:33:13
saga.game.jungle.monkey.saga 2014-07-01 13:30:10 2014-07-08 14:52:36 2014-07-01 13:31:49
com.disney.maleficent_goo 0 0 2014-07-22 11:16:11
Fuente (Autora)
Al realizar la comparación con el archivo “packages.xml” podemos determinar que existieron

aplicaciones que fueron instaladas de otras fuentes, donde su fecha de instalación y/o uso
de la misma fue en el mes de mayo.
Tabla 46: Datos aplicaciones instaladas de otras fuentes

Paquetes de otras fuentes
com.example.holamundo
com.example.viaforensics.android
com.mozzeta.androidrootchecker
com.sec.android.widgetapp.weatherclock
com.viaforensics.android.aflogical_ose
org.cyanogenmod.oneclick
Fuente (Autora)
Sin embargo de acuerdo al siguiente cronograma, se puede determinar la última fecha de

ejecución o uso de la aplicación.
02/04/2014 5:13 19/05/2014 12:37

com.sec.android.widgetap com.example.holamund
p.weatherclock o
Abril Mayo
31/05/2014 20:19
com.viaforensics.android
.aflogical_ose
Figura 31: Línea de tiempo aplicaciones desinstaladas- Fecha de último activación

Fuente (Autora)
138
05/06/2014 18:58 05/06/2014 19:15 10/06/2014 11:30 30/06/2014 2:52
com.example.viafore
org.cyanogenmod.oneclick com.noshufou.android.su com.cleanmaster.mguard
nsics.android
Junio
05/06/2014 18:58 09/06/2014 19:43 14/06/2014 19:54
com.mozzeta.androi
com.noshufou.android.su com.noshufou.android.su
drootchecker

Fuente (Autora)
07/07/2014 14:11 21/07/2014 15:18 22/07/2014 11:16 22/07/2014 11:59

com.google.android.google com.disney.malefi com.bancodeguaya
com.sec.spp.push
quicksearchbox cent_goo quil
Julio
08/07/2014 14:52 21/07/2014 15:18 22/07/2014 11:59 22/07/2014 11:59

com.google.android.
com.google.android.g
com.cleanmaster.mguard com.sec.spp.push googlequicksearchb
ooglequicksearchbox
ox

Fuente (Autora)
Se puede observar que las aplicaciones desinstaladas se utilizaron por última vez en el mes
de abril, mayo y junio.
6. Conclusiones
 De acuerdo a lo solicitado se puede determinar que el dispositivo móvil además de
ser utilizado como una herramienta de uso laboral, la mayor parte de aplicaciones
instaladas corresponden a la categoría “entretenimiento”
 Los registros en el historial de navegación se concentran en la búsqueda de
información de rooteo del dispositivo, Facebook y el entorno de aprendizaje de la
Universidad Técnica Particular de Loja.
 La información descargada no corresponde a información vital que comprometa a la
empresa donde labora el Ing. Juanito Pérez, sin embargo realiza descargas de
aplicaciones que pueden comprometer la información del dispositivo.
139
 Se puede identificar las siguientes cuentas asociadas al dispositivo
[email protected], [email protected]
7. Referencias
Para realizar el backup, mediante ADB se cuenta con la siguiente información.

Información que mediante la consola de comandos con “adb help” se obtiene una breve
explicación.
Figura 34: Comando “adb help”

Fuente (Autora)
adb backup [-f <file>] [-apk|-noapk] [-shared|-noshared] [-all] [-system|nosystem]

[<packages...>]
Tabla 47: Descripción comando adb backup

Indicaremos la ruta donde se almacenara la copia de seguridad
-f <file>
Por ejemplo: -f C:/backup07052014.ab
Indica si incluir o no las apks o solo sus configuraciones
-apk|-noapk
(Por defecto es -noapk)
-shared|- Activa/desactiva la copia del contenido de la sd card
noshared (Por defecto es -noshared)
-all Copia todas las aplicaciones instaladas
-system|- Incluye o no automáticamente todas las aplicaciones del sistema
nosystem (Por defecto las incluye)
Aquí podemos hacer un listado concreto de aplicaciones que queremos exportar en
<packages>
caso de no querer exportarlas todas. Por ejemplo com.game.nombreaplicacion
Fuente (Autora)
En cambio para la obtención de la copia bit a bit se expone lo siguiente:
 dd if=[ruta_origen/archivo_origen] of=[ruta_destino/nombre_archivo.img] bs=4096
140
 adb pull [ruta_origen/nombre_archivo.img] [archivo_destino]
8. Anexos
Véase el Anexo 2 Desarrollo de fases tablet donde se encuentran lo siguiente:
a. Plantilla fase de identificación y preservación

b. Plantilla fase de adquisición
c. Plantilla fase de análisis y exploración
INFORME EJECUTIVO
1. Introducción
El presente documento se elabora con el fin de presentar un informe pericial sobre la

información solicitada en el caso de estudio C002.
2. Antecedentes

que se ha almacenado en el sistema de ficheros del dispositivo móvil (tablet), información
que pueda comprometer la seguridad e integridad del usuario.
Se cuenta con un dispositivo móvil (tablet) con sistema operativo Android, versión 4.4.2 que
será el objeto de pruebas.
a. Caso de estudio
“En la empresa XYZ, se ha otorgado un dispositivo móvil a cada uno de los ejecutivos que lo
y verificar si están fuera del contexto empresarial.”
brindado en la empresa.
141
Determinar las:
c. Alcance
Analizar:
 Descargas
3. Descripción
En mi calidad de investigadora expongo que el análisis realizado al dispositivo móvil fue

explícitamente para conocer las actividades realizadas en el mismo por parte del personal
de la empresa XYZ, en la que se da a conocer el tipo de aplicaciones que los usuarios les es
de interés, y a su vez se determina las descargas e historial de navegación realizadas.
Durante el desarrollo de la investigación se procedió a dar acceso root al dispositivo móvil y

así determinar los archivos a los que se tiene acceso, demostrando que el dispositivo
mantiene un registro de las actividades realizadas que el usuario desconoce.
Entre los resultados encontrados tenemos:
El número de aplicaciones instaladas en el dispositivo móvil es de 60 apps, que de acuerdo

al análisis realizado se cuenta con un promedio de 8 aplicaciones desinstaladas y de 6
aplicaciones no satisfactorias.
Tabla 48: Resultado aplicaciones tablet

Descripción Total
Fuente (Autora)
142
Las aplicaciones desinstaladas cuentan con la siguiente cronología en la cual se puede
determinar la última fecha de ejecución o uso de la aplicación.
02/04/2014 5:13 19/05/2014 12:37

com.sec.android.widgetap com.example.holamund
p.weatherclock o
Abril Mayo
31/05/2014 20:19
com.viaforensics.android
.aflogical_ose

Fuente (Autora)
05/06/2014 18:58 05/06/2014 19:15 10/06/2014 11:30 30/06/2014 2:52

com.example.viafore
org.cyanogenmod.oneclick com.noshufou.android.su com.cleanmaster.mguard
nsics.android
Junio
05/06/2014 18:58 09/06/2014 19:43 14/06/2014 19:54
com.mozzeta.androi
com.noshufou.android.su com.noshufou.android.su
drootchecker

Fuente (Autora)
07/07/2014 14:11 21/07/2014 15:18 22/07/2014 11:16 22/07/2014 11:59

com.google.android.google com.disney.malefi com.bancodeguaya
com.sec.spp.push
quicksearchbox cent_goo quil
Julio
08/07/2014 14:52 21/07/2014 15:18 22/07/2014 11:59 22/07/2014 11:59

com.google.android.
com.google.android.g
com.cleanmaster.mguard com.sec.spp.push googlequicksearchb
ooglequicksearchbox
ox

Fuente (Autora)
Se puede observar que las aplicaciones desinstaladas fueron utilizadas tanto en el mes de
abril, mayo y junio.
143
Las aplicaciones que no fueron descargadas satisfactoriamente como
com.ea.game.fifa14_row, com.gameloft.android.ANMP.GloftR3HM, tuvieron dos intentos de
descargas tanto en el mes de mayo como junio.
2014-05-31 19:58:56
com.disney.wheresmymick
2014-05-31 20:04:39 2014-06-11 09:57:17
eyfree_goo
com.disney.maleficen com.gameloft.android.A
t_goo NMP.GloftR3HM
2014-06-29 15:37:39
com.olx.olx
2014-05-31 19:58:58
com.disney.frozensa
Mayo Junio
ga_goo
2014-06-09 19:30:51
com.ea.game.fifa14_ro
2014-05-31 20:07:26 2014-06-12 18:17:43
w
com.disney.frozensag
com.ea.game.fifa14_row
a_goo
2014-05-13 01:47:15
com.gameloft.android.AN
MP.GloftR3HM
Figura 38: Línea de tiempo aplicaciones no satisfactorias

Fuente (Autora)
Entre las descargas realizadas podemos observar que se realiza 5 descargas consecutivas
del archivo “RescueRoot.exe”, en el mes de junio.
Tabla 49: Número de descargas tablet

# de
title
descargas
OneClick.apk 1
RescueRoot.exe 5
Fuente (Autora)
Figura 39: Número de descargas realizadas por dato

Fuente (Autora)
En la siguiente tabla se visualiza la cantidad de consultas realizadas en el dispositivo móvil.
Tabla 50: Historial de navegación- tablet
144
title url date visits
Web Authentication 2014-04-02
http://clients3.google.com/generate_204 1
Redirect 05:13:45
PÃ¡gina web no 2014-06-27
https://wireless.utpl.edu.ec/login.html 5
disponible 04:19:45
Web Authentication http://www.utpl.edu.ec/vinculacion/relaciones- 2014-06-27
3
Redirect institucionales/relaciones-nacionales 04:19:04
http://www.google.com/search?redir_esc=&redir_es
YouTube - Broadcast
c=&hl=es&source=android-browser- 2014-04-02
Yourself. - Buscar con 1
suggest&v=200400000&qsubts=1396434764459&q 05:32:44
Google
=YouTube%20-%20Broadcast%20Yourself.
YouTube - Broadcast 2014-04-02
http://m.youtube.com/watch?v=A6O0fdpN2J8 4
Yourself - YouTube 05:33:05
FINAL CAMPEONATO
EUROPA 2007
2014-04-02
VOLEIBOL RUSIA 2 - 3 http://www.youtube.com/watch?v=A6O0fdpN2J8 6
05:39:23
ESPAÃ‘A (Parte 3) -
YouTube
http://201.218.56.219/generate_204 1
disponible 06:29:17
http://m.youtube.com/watch?v=_MOPzlHLEBg 1
Redirect 06:29:17
https://wireless.utpl.edu.ec/login.html?redirect=m.yo 2014-04-02
utube.com/watch?v=AhX7La7zpr0 06:56:36
https://wireless.utpl.edu.ec/login.html?redirect=201. 2014-04-02
218.56.219/generate_204 06:30:03
https://wireless.utpl.edu.ec/fs/customwebauth/login.
html?switch_url=https://wireless.utpl.edu.ec/login.ht 2014-04-02
ml&ap_mac=2c:3f:38:31:53:20&wlan=Personal_UT 06:30:03
PL&redirect=201.218.56.219/generate_204
Universidad Tecnica
2014-05-29
Particular de Loja - U T http://www.utpl.edu.ec/ 3
05:09:58
P L | Ecuador
http://201.218.56.223/generate_204 1
Redirect 06:56:35
html?switch_url=https://wireless.utpl.edu.ec/login.ht
ml&ap_mac=2c:3f:38:31:53:20&wlan=Personal_UT 1
disponible 06:56:36
PL&redirect=m.youtube.com/watch?v=AhX7La7zpr
0
https://wireless.utpl.edu.ec/login.html?redirect=201. 2014-04-02
218.56.223/generate_204 06:56:36
Web Authentication https://wireless.utpl.edu.ec/login.html?redirect=www 2014-04-02 1
145
.utpl.edu.ec/ 06:56:37
PÃ¡gina web no html?switch_url=https://wireless.utpl.edu.ec/login.ht 2014-04-02
1
disponible ml&ap_mac=2c:3f:38:31:53:20&wlan=Personal_UT 06:56:37
PL&redirect=201.218.56.223/generate_204
PÃ¡gina web no html?switch_url=https://wireless.utpl.edu.ec/login.ht 2014-04-02
1
disponible ml&ap_mac=2c:3f:38:31:53:20&wlan=Personal_UT 06:56:37
PL&redirect=www.utpl.edu.ec/
http://www.google.com.ec/?gfe_rd=cr&ei=Sk2HU- 2014-05-29
Google 2
3_EYTA8Qaiw4CYBA 05:10:28
contiene las actividades 2014-05-29
http://www.google.com/ 1
del dispositivo - Buscar 05:11:21
con Google
http://eva1.utpl.edu.ec/lo 2014-05-29
http://eva1.utpl.edu.ec/loginutpl/index.php 1
ginutpl/index.php 05:12:10
http://eva1.utpl.edu.ec/ 2
Curso: PROYECTO DE
2014-05-29
FIN DE CARRERA http://eva1.utpl.edu.ec/course/view.php?id=57290 1
05:13:18
PLATINIUM II GP4.2 [A]
https://eva1.utpl.edu.ec/l 2014-05-29
https://eva1.utpl.edu.ec/loginutpl/index.php 2
oginutpl/index.php 05:17:07
http://www.google.com.ec/?gfe_rd=cr&ei=hNCQU- 2014-06-05
Google 2
quL9Dn9Aah14GgCA 10:20:42
http://google.com/ 1
Google 10:21:07
cyanomodgen - Buscar http://www.google.com.ec/?gfe_rd=cr&ei=hNCQU- 2014-06-05
1
con Google quL9Dn9Aah14GgCA#q=cyanomod 10:21:07
2014-06-05
Community Operating http://www.cyanogenmod.org/ 1
10:21:12
System
CyanogenMod | 2014-06-09
http://beta.download.cyanogenmod.org/install 7
Downloads 19:57:45
CyanogenMod | 2014-06-05
http://beta.download.cyanogenmod.org/install/app 2
Downloads 10:24:13
Rescue Root | One Click 2014-06-09
http://rescueroot.com/ 4
Root Android Software 19:57:35
Download Rescue Root!
2014-06-05
Confirms Root Support http://rescueroot.com/download/ 2
18:59:42
for Free
Encuestas para http://poll- 2014-06-08 1
146
facebook en.herokuapp.com/encuesta/premiosgamelab2014? 03:33:56
mobile=1&ref=web_canvas&from=admin_wall#_=_
http://poll-
Encuestas para 2014-06-09
en.herokuapp.com/encuesta/polls/premiosgamelab2 2
facebook 19:57:35
014/forms/14824555/thankyou
root samsung galaxy tab https://www.google.com.ec/search?redir_esc=&hl=e
2 10.1 gt-p5113 android s-ES&safe=images&oe=utf- 2014-06-09
1
4.2.2 - Buscar con 8&q=rootear%20samsjng&source=android-browser- 19:58:27
Google type&qsubts=1402361906893&devloc=0
Update Samsung Galaxy
http://www.droidviews.com/update-samsung-galaxy- 2014-06-10
Tab 2 10.1 (GT-P5113) 24
tab-2-10-1-gt-p5113-wifi-to-android-4-2-2/ 04:15:47
WiFi to Android 4.2.2
How to Root Galaxy Tab
2 10.1 GT-P5113
http://nasirtech.blogspot.com/2013/12/root-galaxy-
Running Android 4.2.2 2014-06-09
tab2-10-1-p5113-running-android-422-jb-stock- 1
JB Stock Firmware | 20:00:39
firmware.html
NasirTech | #1 Samsung
Firmware Destination
Galaxy Tab 2 10.1
(P5100/P5110/P5113): http://getmovil.com/samsung/instalar-android-4-2-2- 2014-06-09
17
Instalar Android 4.2.2 galaxy-tab-2-10-1/ 20:22:30
con Root
http://download.chainfire.eu/257/CF-Root/CF-Auto-
2014-06-10
CF-Root Download Root/CF-Auto-Root-espresso10wifi- 4
03:23:08
espresso10wifibby-gtp5113.zip
https://wireless.utpl.edu.ec/login.html?redirect=www
2014-06-27
Web Authentication .utpl.edu.ec/vinculacion/relaciones- 1
04:19:06
2014-06-27
Web Authentication ml&ap_mac=2c:3f:38:31:53:20&wlan=Personal_UT 1
04:19:06
PL&redirect=www.utpl.edu.ec/vinculacion/relaciones
-institucionales/relaciones-nacionales
ml&ap_mac=2c:3f:38:31:53:20&wlan=Personal_UT 2014-07-01
PL&statusCode=5&redirect=www.utpl.edu.ec/vincul 12:57:28
acion/relaciones-institucionales/relaciones-
nacionales
Fuente (Autora)
147
Donde la Figura 40 se muestra de manera gráfica los números de visitas de acuerdo a la
fecha de consulta.
Figura 40: Número de visitas por fecha

Fuente (Autora)
4. Recomendaciones
 Solo el personal especializado y autorizado puede dar acceso root a los dispositivos
móviles.
 Se deberá restringir el tiempo de ocio que dispone el usuario.
 Las aplicaciones instaladas deberán limitarse a uso exclusivo de actividades
concernientes a la empresa, más no de entretenimiento.
 Queda a disposición de quien solicita sancionar dichas actividades de acuerdo a las
políticas de la empresa.
4.2 Desarrollo de un sistema de información
Una vez culminada la fase de investigación se desarrolla una aplicación de escritorio, que
sea de apoyo para el proceso de gestión de un caso de estudio y análisis de los archivos o
ficheros (evidencia) encontrados.
El objetivo principal de la aplicación es permitir al usuario la gestión de la información del

caso de estudio, y obtener las propiedades del dispositivo conectado al computador para su
respectivo análisis.
A su vez se implementó la funcionalidad de análisis e interpretación de los archivos

databases que el usuario extrae del dispositivo móvil.
148
4.2.1 Requerimientos
Entre los principales requerimientos tenemos:
 Crear un software que permita ingresar la información respectiva del caso de estudio.
 El sistema debe adquirir las principales características del dispositivo conectado al
computador.
 El sistema debe permitir la obtención de un backup del dispositivo conectado al
computador
 El sistema debe permitir analizar e interpretar los archivos adquiridos en la copia bit a
bit.
 El sistema debe generar un reporte detallado sobre la información ingresada del
dispositivo móvil.
4.2.2 Metodología de desarrollo
La metodología seleccionada para el desarrollo del software es RUP (Rational Unified

Process), el cual describe una clase de procesos iterativos e incrementales.
De acuerdo a (Santiago Zaragoza, 2015):
El proceso unificado conocido como RUP, es un modelo de software que permite el

desarrollo de software a gran escala, mediante un proceso continuo de pruebas y
retroalimentación, garantizando el cumplimiento de ciertos estándares de calidad. Aunque
con el inconveniente de generar mayor complejidad en los controles de administración del
mismo. Sin embargo, los beneficios obtenidos recompensan el esfuerzo invertido en este
aspecto.
El proceso de desarrollo constituye un marco metodológico que define en términos de metas

estratégicas, objetivos, actividades y artefactos (documentación) requerido en cada fase de
desarrollo. Esto permite enfocar esfuerzo de los recursos humanos en términos de
habilidades, competencias y capacidades a asumir roles específicos con responsabilidades
bien definidas.
RUP se divide en cuatro fases:
 Inicio (Define el alcance del proyecto)

 Elaboración (definición, análisis, diseño)
149
 Construcción (implementación)
 Cierre o Transición (fin del proyecto y puesta en producción)
Figura 41: Fases RUP

Fuente (Solano, 2010)
Fase de inicio
Esta fase tiene como propósito definir y acordar el alcance del proyecto con los
patrocinadores, identificar los riesgos potenciales asociados al proyecto, proponer una visión
muy general de la arquitectura de software y producir el plan de las fases y el de iteraciones.
Entre los artefactos tenemos:
 Documento Visión (Anexo 3)

 Especificación de Requerimientos (Anexo 4)
Fase de elaboración
En la fase de elaboración se seleccionan los casos de uso que permiten definir la

arquitectura base del sistema y se desarrollaran en esta fase, se realiza la especificación de
los casos de uso seleccionados y el primer análisis del dominio del problema, se diseña la
solución preliminar.
 Diagramas de caso de uso (Anexo 5)

 Especificación de casos de uso (Anexo 5)
150
 Documento de arquitectura el mismo que trabaja con las siguientes vistas:
o VISTA LÓGICA:
 Diagrama de clases (Anexo 6)
 Modelo E-R (Anexo 12 Manual técnico punto 4.1)
o VISTA DE PROCESOS:
 Diagrama de secuencia (Anexo 7)
 Diagrama de estados
 Diagrama de actividad (Anexo 8)
Fase de construcción
El propósito de esta fase es completar la funcionalidad del sistema, para ello se deben
clarificar los requerimientos pendientes, administrar los cambios de acuerdo a las
evaluaciones realizados por los usuarios y se realizan las mejoras para el proyecto.
Entre los artefactos tenemos el documento de arquitectura, el mismo que trabaja con las
siguientes vistas:
 VISTA DE DESARROLLO
o Diagrama de componentes (Anexo 9)
o Diagrama de paquetes (Anexo 10)
 VISTA FÍSICA
o Diagrama de despliegue (Anexo 11)
Fase de transición
El propósito de esta fase es asegurar que el software esté disponible para los usuarios
finales, ajustar los errores y defectos encontrados en las pruebas de aceptación, capacitar a
los usuarios y proveer el soporte técnico necesario. Se debe verificar que el producto
cumpla con las especificaciones entregadas por las personas involucradas en el proyecto.
 Pruebas finales de aceptación (Punto 4.2.3 Pruebas software)

 Puesta en producción
151
4.2.3 Pruebas software
El objetivo de dichas pruebas es comprobar el correcto funcionamiento de la aplicación,

validando los requisitos previamente analizados.
Los dispositivos móviles utilizados para las pruebas con el software desarrollado cuentan
con las siguientes características:
Tabla 51: Características dispositivos

Dispositivo
Características Tablet Smartphone
GT-P5113 Nexus 7 ST15i U20i GT-I9500
Versión sistema operativo 4.2.2 4.4.4 4.0.4 4.1.2 4.4.2
Dispositivo con acceso root Si Si No Si No
Incluye SIM Card No No Si No Si
Incluye SD Card No No No No Si
Estado (Encendido/Apagado) Encendido Encendido Apagado Encendido Encendido
Bloqueado No No No No No
Fuente (Autora)
Como se puede observar la versión del sistema operativo con las que se cuenta en los
dispositivos móviles son de la versión 4.0.4 en adelante, siendo dichas versiones las más
utilizadas en el mercado, de acuerdo a la Tabla 7 analizada previamente.
Cabe mencionar que a pesar de que Gingerbread es una de las versiones de mayor uso en
el mercado, es una versión antigua (2010) que actualmente se está dejando de usar.
Además de presentar una arquitectura que hoy en día no permite un correcto uso y
exploración de los archivos que se pretende analizar en el examen forense.
Sin embargo en las versiones de Android: Ice Cream Sandwich (4.0.4), Jelly Bean (4.2) y Kit
Kat (4.4) los cambios a nivel de arquitectura entre ellas no afectan el correcto
funcionamiento de los aplicativos desarrollados.
152
En la Tabla 52 se detalla las pruebas realizadas mediante la implementación del software
con los dispositivos móviles, dando los siguientes resultados:
Tabla 52: Pruebas software con dispositivos móviles

Dispositivo
Tablet Smartphone
Funcionalidad
GT-P5113 Nexus 7 ST15i U20i GT-
I9500
Versión sistema operativo 4.2.2 4.4.4 4.0.4 4.1.2 4.4.2
Permite seleccionar el dispositivo a analizar Si Si Si Si Si
Obtiene marca, modelo y fabricante Si Si Si Si Si
Obtiene número serial Si Si Si Si Si
Obtiene el tipo de dispositivo Si Si No No Si
Obtiene IMEI No No Si No No
Obtienes sistema operativo, versión e idioma Si Si Si Si Si
Obtiene datos kernel Si Si Si Si Si
Obtienes datos procesador Si Si Si Si Si
Obtienes datos del número de compilación Si Si Si Si Si
Obtiene composición sistema de ficheros Si Si Si Si Si
Obtiene tamaño bloques sistema de ficheros Si Si Si Si Si
Obtiene lista de aplicaciones (package Si Si Si Si Si
manager)
Realiza backup Si Si Si Si Si
Fuente (Autora)
En consecuencia las funcionalidades que presta la aplicación desarrollada denominada

Sistema de Gestión de información de Análisis Forense (SGICAF), que se muestra a
continuación en la Tabla 53, características que frente a las otras aplicaciones de código
abierto, se puede destacar a continuación:
Tabla 53: Comparativa con otras aplicaciones
SGIC Android android- Android

Funcionalidades Autopsy BitPim viaforensics
AF SDK locdump guard
Ingreso del caso de estudio 100% 10% 0% 0% 0% 0% 0%

Permite seleccionar el tipo
100% 0% 0% 0% 0% 0% 0%
de dispositivo
Extracción de las principales
características del 100% 0% 10% 100% 0% 0% 0%
dispositivo
Obtención de un backup 100% 0% 0% 100% 0% 0% 0%
Obtención de una copia bit a
0% 0% 0% 90% 0% 0% 0%
bit
153
Obtención lista de
100% 0% 0% 100% 0% 0% 0%
aplicaciones
Recuperación de archivos
50% 100% 0% 0% 0% 0% 0%
eliminados
Extracción de (Historiales de
navegación, Datos del
80% 50% 50% 100% 0% 0% 0%
sistema de ficheros,
Navegación de archivos)
Extracción de datos de
0% 0% 0% 0% 100% 0% 0%
geolocalización GPS
Análisis de malware 0% 0% 0% 0% 0% 100% 0%
Extracción de contactos,
mensajes de texto, y 0% 0% 0% 0% 0% 0% 100%
llamadas
Análisis de la copia bit a bit 0% 100% 0% 0% 0% 0% 0%
Análisis e interpretación de
archivos, obtenidos de la 100% 50% 0% 0% 0% 0% 0%
copia
Emite reporte 100% 100% 0% 0% 0% 0% 100%
Fuente (Autora)
Figura 42: SGICAF frente a las herramientas de código abierto

Fuente (Autora)
En conclusión:
 Podemos observar en la Tabla 53 que la aplicación desarrollada puede obtener la

mayor cantidad de datos, que otras aplicaciones de código abierto, alcanzando un
59% de eficiencia en comparación a las otras herramientas de acuerdo a la Figura
42.
154
 Las funcionalidades que se implementaron en el software fueron analizadas y
desarrolladas de acuerdo a lo que la guía requiere y que las herramientas de código
abierto carecen.
 Es importante mencionar que al realizar las pruebas en los dispositivos móviles se
procedió a la exploración de los siguientes archivos, los cuales almacenan la
información del usuario a evaluar. Véase Tabla 54
Tabla 54: Rutas archivos

OBJETIVO RUTA ARCHIVO
Historial de /data/data/com.android.browser/databases/ browser2.db
navegación /data/data/com.sec.android.app.sbrowser/databases SBrowser.db
/data/data/com.sec.android.providers.downloads/databases/ sisodownloads.db
Descargas
/data/data/com.sec.android.providers.downloads/databases/ downloads.db
Aplicaciones
dmappmgr.db
data/system/
packages.xml
Contactos /data/data/com.android.providers.contacts/databases/ contacts2.db
SMS & MMS /data/data/com.android.providers.telephony/databases/ telephony.db
Cuentas /data/system/users/acounts.db accounts.db
Fuente (Autora)
 Además se puede destacar que al realizar las pruebas en los 5 dispositivos móviles
más 2 con acceso root y 3 sin acceso root, se puede determinar la cantidad de
archivos accesibles indicados en la Tabla 55.
Tabla 55: Comparativa de los archivos accesibles

No root Root
Archivo
GT-I9500 ST15i GT-P5113 Nexus7 U20i
downloads.db x x x x x
sisodownloads.db x x x
browser2.db x x x x
SBrowser.db x x
localappstate.db x x x x x
icingcorpora.db x x x x x
dmappmgr.db x
packages.xml x x x x
Archivos adicionales que contienen información del usuario
accounts.db x x x
telephony.db x x x
Fuente (Autora)
155
Figura 43: Porcentaje acceso archivos
Fuente (Autora)
 Como se puede observar en la Figura 43 la cantidad de archivos que se extraen al

contar con acceso root es del 71%, siendo un porcentaje relativamente mayor a la de
un dispositivo que no cuenta con acceso root.
 Como se puede observar en la Tabla 54, los archivos pueden variar, esto se debe a
la arquitectura y al modelo del dispositivo.
 Los archivos downloads.db y sisodownloads.db a pesar de que se encuentran en
rutas diferentes contienen la información del historial de descargas realizadas por el
usuario.
 Los archivos browser2.db y SBrowser.db contienen la información del historial de
navegación, cabe destacar que dicha información se almacena en los archivos
propios de cada uno de los diferentes navegadores que el usuario haga uso, es decir
que no siempre encontraremos esta información en el archivo browser2.db del
navegador por defecto.
 Se puede observar que en el dispositivo móvil GT-P5113 (Samsung Galaxy Tab)
cuenta con un archivo denominado dmappmgr.db el cual registra la información de la
última fecha en que se activó o uso cierta aplicación, siendo el único dispositivo que
mantiene esta información.
 En cambio los archivos localappstate.db, icingcorpora.db y packages.xml mantienen
un registro de todas las aplicaciones instaladas en el dispositivo, sin embargo al
comparar estos archivos se puede verificar el registro de las aplicaciones instaladas
desde “Play Store”.
 Mientras que los archivos accounts.db, telephony.db, contacts2.db contienen
información del usuario tales como cuentas asociadas al teléfono (Gmail, Facebook,
Dropbox, etc.), mensajes de texto y contactos respectivamente.
156
CAPITULO V
RESULTADOS
CONCLUSIONES
 Durante la evaluación de los modelos o guías metodológicas se puede determinar

que OASAM es útil para el análisis de malware o vulnerabilidades en aplicaciones
Android verificando las actividades realizadas por las aplicaciones instaladas en el
dispositivo móvil Android, NIST y ENFSI se concentra en la recuperación de la
evidencia digital, mientras que NIJ y SWGDE trata sobre las medidas a adoptar en el
escenario para la correcta incautación y preservación de la evidencia. Todos estos
modelos ayudaron a determinar las actividades y procesos a seguir en un análisis
forense para dispositivos móviles, planteados en el presente trabajo de investigación.
 Con la metodología propuesta dentro del trabajo de investigación es posible
identificar el proceso y/o actividades a seguir, en el momento en que se otorga un
dispositivo móvil con sistema operativo Android para su investigación, permitiendo
así analizar, obtener y manejar adecuadamente la evidencia digital.
 Los modelos de plantillas elaboradas permiten llevar a cabo un historial de las
actividades realizadas en cada una de las fases y de los hallazgos encontrados en el
dispositivo móvil; determinando el alcance y cumplimiento del objetivo del caso de
estudio.
 Durante la implementación de la guía metodológica propuesta, los procesos en la
fase de análisis y exploración como también la fase de adquisición fueron
cambiando, acoplando la teoría a los escenarios de la vida real.
 Dentro del campo forense digital en dispositivos móviles con sistema operativo
Android, es sustancial conocer la estructura, arquitectura, composición del sistema
de ficheros y las características del dispositivo a analizar, ya que la organización del
sistema de ficheros depende de cada fabricante.
 Es necesario el uso de todas y cada una de las herramientas recomendadas puesto
que cada una de ellas se complementan y que de acuerdo a los diferentes tipos de
análisis que prestan, enriquecen los resultados permitiendo tener una mejor
perspectiva de la información encontrada.
 El análisis de la información se ve afectada por los diferentes modelos de
dispositivos móviles y de las aplicaciones que instale cada usuario, por lo que no
todos los archivos o datos necesarios para la investigación se encontraron en las
rutas específicas que almacenan las mismas.
 La información almacenada en el dispositivo móvil puede ser accesible después de
ser borrada por un usuario final, debido al tipo de borrado que Android ofrece en su
158
sistema operativo manteniendo la estructura del sistema de ficheros hasta que ese
espacio de memoria sea reemplazado con nueva información.
 Existen dos niveles de privilegios sobre los usuarios en el sistema Android, el normal
y el usuario "root" que permite acceder y modificar los archivos del sistema que se
encuentran bloqueados para los usuarios normales, y que dentro del proceso de
análisis planteado se requiere. Por lo que al contar con acceso root al dispositivo se
puede garantizar un resultado satisfactorio en la recopilación de la información.
 La aplicación desarrollada en el presente trabajo de investigación ha sido analizada
en sus funcionalidades frente a herramientas forenses de código abierto y comercial,
para poder facilitar la extracción de la mayor cantidad de información del dispositivo,
características o propiedades y la gestión de la información del caso de estudio
analizado que de acuerdo a la guía se requiere.
 La aplicación desarrollada, es accesible para quienes desean ampliar nuevas
funcionalidades, que en base a la guía se requiera.
 Las versiones de Android utilizadas en esta investigación, son: Ice Cream Sandwich
(4.0.4), Jelly Bean (4.2) y Kit Kat (4.4) mismas que han sufrido cambios a nivel de
arquitectura que no afectan el correcto funcionamiento de la aplicación, debiéndose
considerar que para futuros cambios en las versiones de Android se deberá realizar
una verificación del correcto funcionamiento del aplicativo.
 Dependiendo de la cantidad de información que el dispositivo móvil almacene, el
tiempo de duración para obtener un backup y una copia bit a bit puede variar entre
30 minutos a 2 horas o más.
159
RECOMENDACIONES
• La guía debe ser utilizada como una fuente de ayuda para la ejecución de una
investigación forense, por lo que se entenderá que no se debe utilizar como una
medida o un mandato para la aplicación de la ley, ni como asesoramiento jurídico.
• Se sugiere proponer y realizar trabajos futuros orientados al análisis forense y
seguridad informática, fortaleciendo nuevos campos de investigación.
• El uso del SDK de Android al ser una librería open source o de código abierto que
facilita la recuperación de información, presenta ciertos problemas en el sistema
operativo Windows 8, por lo que se recomienda no ejecutar la aplicación desarrollado
para el presente caso de estudio, en dicho sistema operativo.
• En la fase de análisis los archivos a buscar y examinar dependen del tipo de caso,
puesto que en algunos casos se necesita comenzar con la navegación de las
imágenes, videos, llamadas, mensajes entre otros.
• En el proceso de incautación se debe solicitar la mayor cantidad de información de
los propietarios de los dispositivos móviles por medio de entrevistas a los mismos,
para determinar el número de teléfono, códigos, pins y patrones.
• En un proceso forense es indispensable utilizar herramientas open source, puesto
que se debe verificar el código fuente (funcionalidades) y validar que este no altere la
evidencia.
160
BIBLIOGRAFÍA
AccesDataGroup. (2014). Forensic Toolkit (FTK). Retrieved from

http://www.accessdata.com/es/productos/soluciones-forenses/ftk
Acosta, R. (2011, Agosto 31). Iniciación en ROMs para Android. Retrieved 2014, from
android.es: http://www.android.es/iniciacion-en-roms-para-android.html
Android. (2014). Android SDK. Retrieved from
http://developer.android.com/sdk/index.html?utm_source=weibolife
Android. (2014). Imagen Android SDK. Imagen Android SDK. Retrieved from
http://androidzone.org/wp-content/uploads/2012/03/Android-SDK-17.jpg
Android. (2014). Imagen Android System Architecture. Retrieved from
http://source.android.com/devices/tech/security/images/image00.png
Ashcroft, J., Daniels, D., & Hart, S. (2014, Abril). Forensic examination of digital evidence: A
guide for law enforcement. Forensic examination of digital evidence: A guide for law
enforcement. (D. de Justicia de los Estados Unidos, Ed.) Retrieved from
https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
Autopsy. (2014). Imagen The Sleuth Kit open source, Autopsy. Imagen The Sleuth Kit open
source, Autopsy. Retrieved from
http://stalkr.net/files/codegate/2010/19/autopsy_1_home.png
Aviv, A., Gibson, K., Mossop, E., Blaze, M., & Smith, J. (2010). Smudge Attacks on
Smartphone Touch Screens. 10. Retrieved from
http://static.usenix.org/event/woot10/tech/full_papers/Aviv.pdf
Bartolomé Sintes , M. (2014, Septiembre 10). Instalación y uso de XAMPP en Windows.
Retrieved from http://www.mclibre.org/consultar/php/otros/in_php_instalacion.html
Basterra, Bertea, Borello, Castillo, & Venturi. (2012). Android OS 0.1 documentation.
Retrieved from http://androidos.readthedocs.org/en/latest/data/detalles_tecnicos/
BitPim. (2014). Retrieved from http://www.bitpim.org/
BitPim. (2014). Imagen BitPim. Imagen BitPim. Retrieved from
http://www.bitpim.org/screenshots/phonebook.jpg
Caballero, J. G., Rambla, J. L., & Alonso, C. (2009). Análisis Forense Digital en Entornos
Windows. (Informática64, Ed.)
Carrier, B. (2014). Autopsy. Autopsy. Retrieved from http://www.sleuthkit.org/autopsy/
Costin, R., & Emm, D. (2013, Diciembre). Kaspersky Security Bulletin 2013. Boletín de
seguridad Desarrollo de las amenazas informáticas. Retrieved from
http://www.viruslist.com/sp/viruses/analysis?pubid=207271237
161
Daniel Medianero. (2013, Marzo). Técnicas de evasión de bloqueo y rooteo en dispositivos
Android. Retrieved from BugBlog: http://blog.buguroo.com/?tag=android
Developer Android. (2014). Dashboards. Retrieved from
http://developer.android.com/about/dashboards/index.html
EnCase. (2014). Guidance Software/Encase Forensic. Retrieved from Características y
funciones de EnCase:
http://www.ondata.es/recuperar/encase/spanish_webready_encaseforensicfeaturesh
eet.pdf
Encase. (2014). Imagen Encase Forensic. Imagen Encase Forensic. Retrieved from
http://www.guidancesoftware.com/products/PublishingImages/forensic/01encase_fore
nsic-s.jpg
Gonzalez, J. (2011, Febrero 17). Aprende a rootear tu android de manera fácil y rápida.
Retrieved 2014, from Xataca Android:
http://www.xatakandroid.com/tutoriales/aprende-a-rootear-tu-android-de-manera-
facil-y-rapida
GuidanceSoftware. (2014). EnCase Forensic v7.09: The Fastest, Most Comprehensive
Forensic Solution Available. Retrieved from
http://www.guidancesoftware.com/products/Pages/encase-forensic/overview.aspx
INFOSEC INSTITUTE. (2014). Android Architecture and Forensics. Retrieved from
http://resources.infosecinstitute.com/android-architecture-forensics/
INTECO. (2012). Resumen ejecutivo del Estudio sobre seguridad en dispositivos móviles y
smartphones. Resumen ejecutivo del Estudio sobre seguridad en dispositivos
móviles y smartphones. Retrieved from
http://www.inteco.es/Estudios/Estudio_moviles_1C2012
McKennichs, R. (1998). Donald Mackay Churchill Fellowship to Study Overseas
Developments in Forensic Computing.
Medianero, D. (2014). Open Android Security Assessment Methodology (OASAM). Retrieved
from http://oasam.org/es
MOBILedit. (2014). MOBILedit. MOBILedit. Retrieved from http://www.mobiledit.com/
MPE. (2014). AccessData Mobile Phone Examiner Plus (MPE+). Retrieved from
http://www.accessdata.com/es/productos/soluciones-forenses/mobile-phone-
examiner
Nasir, M. (2013, Diciembre 23). How to Root Galaxy Tab 2 10.1 GT-P5113 Running Android
4.2.2 JB Stock Firmware. Retrieved Mayo 2014, from
http://nasirtech.blogspot.com/2013/12/root-galaxy-tab2-10-1-p5113-running-android-
422-jb-stock-firmware.html
162
Nobles Pérez, J. C., & Ruíz García, P. M. (2013, Mayo 20). Módulo IV Android. Retrieved
from AuthorStream: http://www.authorstream.com/Presentation/JC05-1822321-
modulo-iv/
OneClickRoot. (n.d.). Retrieved 2014, from Herramienta: http://www.oneclickroot.com/
OWASP. (2014). Imagen Top Ten Mobile Risks. Retrieved from
https://www.owasp.org/images/thumb/a/ac/2014-01-26_20-23-29.png/550px-2014-
01-26_20-23-29.png
OWASP. (2014). Projects/OWASP Mobile Security Project - Top Ten Mobile Risks.
Retrieved from
https://www.owasp.org/index.php/Projects/OWASP_Mobile_Security_Project_-
_Top_Ten_Mobile_Risks
Oxygen Forensics, Inc. (2014). Oxygen Forensics. Retrieved from http://www.oxygen-
forensic.com/
Paraben. (2013). Device Seizure. Device Seizure. Retrieved from
https://www.paraben.com/device-seizure.html
Pastor, J. (2014, Febrero). Android reconquistó el mundo de los smartphones en 2013.
Retrieved from http://www.xataka.com/moviles/android-reconquisto-el-mundo-de-los-
smartphones-en-
2013?utm_source=feedburner&utm_medium=feed&utm_campaign=12_Feb_2014
Portal Jurídico. (2013). Retrieved from En que consiste un análisis forense:
http://portaljuridico.lexnova.es/practica/JURIDICO/149825/en-que-consiste-un-
analisis-forense
RescueRoot. (n.d.). Retrieved 2014, from Herramienta: http://rescueroot.com/
Romero Echeverría, L. (2005). Marco conceptual de los delitos informáticos. Retrieved from
http://cybertesis.unmsm.edu.pe/bitstream/cybertesis/2675/1/romero_el.pdf
Sánchez Cordero, P. (2013). Forensics Power Tools (Listado de herramientas forenses).
Retrieved from Conexión Inversa:
http://conexioninversa.blogspot.com.ar/2013/09/forensics-powertools-listado-de.html
Santiago Zaragoza, M. d. (2015). Desarrollando aplicaciones informáticas con el Proceso de
Desarrollo Unificado (RUP). Retrieved from
http://www.utvm.edu.mx/OrganoInformativo/orgJul07/RUP.htm
Silberschatz, A., Galvin, P., & Gagne, G. (2006). Fundamentos de Sistemas Operativos.
Madrid: McGraw-Hill/ Interamericana de España.
Siles, R. (2013, Diciembre 9). Blog: SANS Penetration Testing. Retrieved from Removing the
Android Device Lock from any Mobile App: http://pen-testing.sans.org/blog/pen-
testing/2013/12/09/removing-the-android-device-lock-from-any-mobile-app
163
Solano, B. (2010, Febrero 9). RUP en español. Retrieved from
https://bannysolano.files.wordpress.com/2010/02/humpchart.jpg
Solís, C. (2014). Autopsy, Plataforma de análisis forense digital. Autopsy, Plataforma de
análisis forense digital. Retrieved from http://www.solis.com.ve/autopsy-analisis-
forense-digital/
UnLockRoot. (n.d.). Retrieved 2014, from Herramienta: http://www.unlockroot.com/
Wikia. (2014). Helix Live CD. Retrieved from http://forensics.wikia.com/wiki/Helix_LiveCD
Xataca Android. (2014, Marzo 04). Retrieved from
http://www.xatakandroid.com/mercado/android-4-4-kitkat-solo-esta-presente-en-el-2-
5-de-los-dispositivos
Asamblea Nacional. Código Orgánico Integral Penal (2014). Retrieved from
http://www.asambleanacional.gob.ec/system/files/document.pdf
Ayers, R., Jansen, W., & Brothers, S. (2013). Guidelines on Mobile Device Forensics (Draft)
(Vol. 1, p. 85).
Baz Alonso, A., Ferreira Artime, I., Rodríguez, M. Á., & García Baniello, R. (2009).
Dispositivos móviles. Retrieved from http://castor.edv.uniovi.es/~smi/5tm/09trabajos-
sistemas/1/Memoria.pdf
Blanco, P., Camarero, J., Fumero, A., Werterski, A., & Rodríguez, P. (2009). Metodología de
desarrollo ágil para sistemas móviles Introducción al desarrollo con Android y el
iPhone, 1–30. Retrieved from http://www.adamwesterski.com/wp-
content/files/docsCursos/Agile_doc_TemasAnv.pdf
Congreso Nacional. (2002). Ley de comercio electronico, firmas y mensajes de datos norma:
publicado: Retrieved from http://www.wipo.int/wipolex/es/text.jsp?file_id=243546
Congreso Nacional. Ley Orgánica de Transparencia y Acceso a La Información Pública
(2004). Ecuador. Retrieved from
http://www.wipo.int/wipolex/es/text.jsp?file_id=251793
Congreso Nacional. Ley especial de telecomunicaciones (2011).
De León Huerta, F. J. (2009). Estudio de metodologías de análisis forense digital. Instituto
Politécnico Nacional.
Dirección Nacional de Asesoría Jurídica de la PGE. (2013). Código penal, 1–95. Retrieved
from http://www.pge.gob.ec/es/documentos/doc_download/226-codigo-penal.html
ENFSI Working Group. (2009). Guidelines for best practice in the Forensic Examination of
Digital Technology, (April), 1–30. Retrieved from
http://www.enfsi.eu/sites/default/files/documents/forensic_it_best_practice_guide_v6_
0.pdf
164
Jansen, W., & Ayers, R. (2007). Guidelines on Cell Phone Forensics, 104. Retrieved from
http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf
López Delgado, M. (2007). Análisis Forense Digital.
Martínez González, F. L. (2011). Aplicaciones para dispositivos móviles. Universidad
Politécnica de Valencia. Retrieved from
http://riunet.upv.es/bitstream/handle/10251/11538/Memoria.pdf?sequence=1
Rifá Pous, H., Serra Ruiz, J., & Rivas López, J. L. (2009). Análisis forense de sistemas
informáticos (Primera ed). Retrieved from
http://webs.uvigo.es/jlrivas/downloads/publicaciones/Analisis forense de sistemas
informaticos.pdf
Robledo Sacristán, C., & Robledo Fernández, D. (n.d.). Programación en Android. (Aula
Mentor, Ed.) (Pérez Marí).
Santes Galván, L. (2009). Propuesta de una metodologia de análisis forense para
dispositivos de telefonía celular. Instituto Politécnico Nacional. Retrieved from
http://tesis.bnct.ipn.mx/dspace/bitstream/123456789/3730/1/PROPUESTAMETODFO
RENSE.pdf
Subdirección de Asesoría Jurídica de la PGE. Código de Procedimiento Penal (2013).
Retrieved from http://www.pge.gob.ec/es/documentos/doc_download/224-codigo-
procedimiento-penal.html
SWGDE. (2012). SWGDE Best Practices for Mobile Phone Forensics, 0, 1–37.
Thomas, P., Owen, P., & McPhee, D. (2010). An Analysis of the Digital Forensic Examination
of Mobile Phones. Next Generation Mobile Applications, Services and Technologies
(NGMAST), 2010 Fourth International Conference on, 25–29.
doi:10.1109/NGMAST.2010.17
165
CAPITULO VI
ANEXOS
Anexo 1 Desarrollo fases smartphone
Solicitud de examen forense (Caso de prueba)
SOLICITUD DE EXAMEN FORENSE

Fecha de solicitud: 04/05/2014
A: Jessica Cuenca
Por este medio se solicita la realización del examen forense digital, al dispositivo móvil
(Smartphone) marca Samsung, mmodelo: GT-I9500, FCC ID: A3LGTI9500, color plateado en
posesión de Fernando Cueva.
Antecedentes:
conforman. El Director de Control Interno ha notado que a partir de dicha entrega el Ing.
Fernando Cueva ha variado sus tiempos de respuesta en su labor, puesto que se requiere
determinar cuáles son las actividades en las que están ocupando la mayor parte de su tiempo y
verificar si están fuera del contexto empresarial.
Para dicho fin se solicita realizar un análisis forense al dispositivo brindado por la empresa.
Se solicita determinar:
 Descargas y
 Aplicaciones instaladas y desinstaladas
 Datos que han sido borrados o eliminados de dicho dispositivo de dichas
actividades
SI ( ) NO (x) Otorgar acceso root al dispositivo
SI (x) NO ( ) Extracción de información confidencial
Una vez informado sobre los procedimientos que se llevarán a cabo, y de la importancia de los
mismos para la investigación, se otorga de manera libre el consentimiento y autorización legal
del presente.
Autorizan:
Firma Fernando Cueva
Nombres y Apellidos: Fernando José Cueva Acaro
Cédula de identidad: 1102656785
Pd: Anexo Fundamento legal (Denuncia y/o contrato)
La persona o institución auditora se compromete a cumplir con los artículos establecidos, de acuerdo al
marco legal o regulatorio del país, cuyos estatutos establezcan que dicha persona o institución realice
alguna alteración en la información encontrada y analizada en los dispositivos móviles que determinen la
resolución del caso de estudio.
167
Fase de identificación y preservación

Club de seguridad, UTPL- TECH, CID SECURE
Código: FIP001 -C001 Fase: Identificación y preservación
Fecha (DD/MM/AAAA) de incautación: 05/05/2014 Hora: 18:36:00
Otras evidencias: Huellas dactilares ( ) ADN ( ) Sin relevancia (x)
Lugar y ubicación de incautación: Oficinas de la empresa XYZ
1) Evaluación caso de estudio
Código caso de estudio: C001
a) Descripción: Caso de prueba
En la empresa XYZ, se ha otorgado un dispositivo móvil a cada uno de los ejecutivos

que lo conforman. El Director de Control Interno ha notado que a partir de dicha
entrega el Ing. Fernando Cueva ha variado sus tiempos de respuesta en su labor,
puesto que se requiere determinar cuáles son las actividades en las que está
ocupando la mayor parte de su tiempo y verificar si están fuera del contexto
empresarial.
Para dicho fin se solicita realizar un análisis forense al dispositivo brindado por la
empresa.
b) Objetivo caso de estudio
Determinar:
c) Propietario(s) dispositivo
Ing. Fernando Cueva
168
d) Equipo de trabajo (Responsables)
Tabla 56: Equipo de trabajo smartphone
Fuente (Autora)
2) Procedimiento:
a) Observaciones
 Continuando con el proceso forense como primera instancia no se debe
llevar a cabo ningún proceso forense externo (e.g Toma de huellas
dactilares, etc.).
embargo se ha tomado como medida el uso de papel aluminio y así
bloquear la comunicación o sincronización con un medio externo.
 No se ha otorgado el cable de datos y cargador originales del dispositivo
móvil (Smartphone). Puesto que se debe buscar un adaptador y cable de
datos compatible.
b) Materiales
Los siguientes equipos y/o materiales a ser utilizados queda a discreción de los
responsables de la investigación forense, entre ellos tenemos:
Tabla 57: Materiales smartphone

Material Si No
Computador para análisis x
Cámara fotográfica x
Guantes de látex para la manipulación del dispositivo x
Etiquetas adhesivas x
Documentos para establecer notas x
Adaptador de puertos USB x
Cables para la comunicación de datos x
Cable para energizar los dispositivos x
Lectora de tarjeta SIM x
Lectora de tarjeta externa (SD Card, micro SD) x
169
Software suministrado por el fabricante del dispositivo móvil x
Equipo para aislar las comunicaciones (Jaula de Faraday, Papel aluminio, etc.) x
Software forense (Oxygen Forensic, Autopsy, MOBIL edit, BitPim, etc.) x
Fuente (Autora)
c) Procedimiento
 A solicitud del interesado se realiza la entrega de un dispositivo móvil con
las características detalladas en la tabla adjunta.
 El dispositivo se encuentra encendidos, por lo que se procede a colocar en
“modo avión”.
 El dispositivo no cuenta con un patrón de bloqueo, contraseña o PIN.
 Se realiza la toma de fotografías de los dispositivos y periféricos asociados.
Adjunto registro visual.
 Se procede a etiquetar cada dispositivo y periféricos asociados (Códigos
detallados en la tabla adjunta) y continuamente a sellar para el respectivo
proceso de empaquetado y transporte.
 El dispositivo se colocan en papel aluminio para aislar la comunicación con
la red móvil o wifi, etc.
 Se firma el presente documento, como parte de la solicitud de examen
forense.
 Se adjunta la presente documentación con copia respectiva a los
involucrados.
 Se dispone de caja de cartón en la que se adjunta los periféricos o
dispositivos entregados, se sella y transporta al laboratorio (UTPL-TECH,
Club de seguridad), manteniendo la integridad de la evidencia.
170
3) Descripción evidencia
Tabla 58: Descripción evidencia smartphone

EVIDENCIA
Componentes o
Cód. Cant.
Dispositivo Estado Descripción periféricos
Etiqueta
asociados
Sistema Operativo Android
Marca: Samsung
Batería: 40%
Modelo: GT-I9500
FCC ID: A3LGTI9500
Carga: 3,8V; 1300mA
Manuales (x)
SSN:I9500GSMH
Cargador ( )
IMEI: 357747/05/253083/4
Encendido (x) Batería (x)
Color: Plateado
C001- Apagado ( ) Tarjeta externa (x)
1 Smartphone Puerto: USB
S001 Bloqueado ( ) SIM CARD (x)
Cables ( )
Cámara frontal y posterior
Otros (x) Caja
Entrada/Salida de audio:
dispositivo
Auriculares, Altavoces
S/N: RV1D70SVPYJ
Conectividad a internet: Wifi
Almacenamiento: 16GB
Tarjeta externa: 8GB
# Teléfono: 0999640412
Adjuntar registro visual (fotografías, croquis de ubicación de cada uno de los objetos de evidencia,
Notas:
etc.)
Fuente (Autora)
4) Aprobación
f: .………..………. f: .………..………. f: .………..……….

Ing. Fernando Cueva Ing. Danilo Jaramillo Sra. Jessica Cuenca
Custodio
Propietario Investigador/Perito
Examinador/ Analista
171
5) Registro visual
Tabla 59: Registro visual smartphone

Smartphone
172
Fuente (Autora)
Fase de adquisición
Continuamente se procede a realizar la adquisición de los datos del dispositivo

mediante la obtención de un backup y de una copia bit a bit del dispositivo.

Fecha de recepción: 06/05/2014 Hora: 09:00:00
Fecha de examen: 08/05/2014 Hora: 09:00:00
Dispositivo: Smartphone
173
1) Procedimiento
a) Observaciones
Para el análisis de la información del smartphone, se realiza un backup del mismo. En

esta ocasión no se ha dado acceso root al dispositivo, ya que se pretende mostrar la
diferencia entre un dispositivo con acceso root y otro sin acceso root.
b) Herramientas
Tabla 60: Descripción herramientas smartphone

Samsung Kies 3 Software propio para dispositivos Samsung
Oxygen Forensic Herramienta forense de tipo comercial, que permite la extracción
de los datos del dispositivo.
Md5 summer Me permite calcular el hash de la imagen
Fuente (Autora)
c) Procedimiento
 Conectar el dispositivo al equipo mediante el cable de datos USB
 Realizar la copia de seguridad (back up) de los datos del dispositivo
 Ejecutar cmd
o Uso de los comandos adb
o Visualizamos los dispositivos conectados con adb devices
o Realizar copia con adb backup –f C:/backups/smartphone.ab –apk –
shared –all –system
 Confirmar en el dispositivo la copia de seguridad de datos sin introducir la
contraseña (la contraseña no es necesaria, a menos que se requiera utilizar
en una restauración de los datos)
 Como solo contamos con un dispositivo conectado  Ingresar adb shell para
conocer la composición del sistema de ficheros y verificar la ruta de los datos
que se va analizar. Digite mount
 Adquirir backup
 Calcular hash sha1 y md5
 Utilizamos la herramienta MD5Summer
 Visualizar características dispositivo con adb shell getprop
 También se procedió a realizar la copia bit a bit con la herramienta Oxygen
Forensic 2014, realizando lo siguiente:
174
o Conectar el dispositivo al equipo y seleccionar la opción “Auto device
connection”
o Ingrese el número de caso, y el nombre del propietario del dispositivo
o Seleccionar la opción “Advanced mode”
o Seleccionar la opción “Android backup”, y “Logical Extraction”  Next
 Extract  y esperar a que termine el proceso
o Seleccionar la opción “Save to archive” y “Finish”
Firma MD5: d2251dcf7d68c766e1953c786f9a2f36

Firma SHA2: cd9988fc0669e0b1aab06e2f3d2fac03f9032e54ebdb73103da1a6f50bd373bb
Una vez obtenida la copia con Oxygen Forensic la herramienta nos proporciona la
siguiente información.
Opción información dispositivo
Figura 44: Información del dispositivo 1/2 - Oxygen Forensic

Fuente (Autora)
Figura 45: Información del dispositivo 2/2 - Oxygen Forensic

Fuente (Autora)
175
Figura 46: Registro de llamadas - Oxygen Forensic
Fuente (Autora)
Figura 47: Registro de mensaje - Oxygen Forensic

Fuente (Autora)
Figura 48: Guía telefónica - Oxygen Forensic

Fuente (Autora)
176
Figura 49: Explorador de archivos 1/3 - Oxygen Forensic
Fuente (Autora)

Fuente (Autora)

Fuente (Autora)
177
Figura 52: Datos calendario - Oxygen Forensic
Fuente (Autora)
Se procede a guardar los archivos y documentar el proceso realizado.
d) Características evidencia
Tabla 61: Características dispositivo smartphone

DISPOSITIVO MÓVIL
Cód. etiqueta dispositivo: C001-S001
Tipo de dispositivo móvil: Smartphone
Propietario Fernando Cueva
Marca Samsung
Modelo GT-I9500, Galaxy S4
S/N RV1D70SVPYJ
Procesador: 1.6GHz Quad Core + 1.2GHz Quad Core
IMEI: 357747052530834
FCC ID: A3LGTI9500
IC: SSN: I9500GSMH
Tarjeta externa: SI (x) NO ( )
SIM CARD: SI (x) NO ( )
trasera
imágenes:
video:
178
Resolución cámara: 13MP + 2MP frontal
Idioma SO: Español
Versión kernel: 3.4.5-742022 dpi@SWPP5716#1
Versión de banda base: I9500UBUFNA2
Número de compilación: K0T49H.I9500UBUFNB3
Wifi: SI (x) NO ( )
SIM Card
Operadora: Movistar
Número: 0999640412
S/N: 300554961177 – 128k
PIN: N/A
PUK: N/A
Tarjeta externa
Tipo: MicroSDHC 4, Kingston
S/N: Sdc4/8gb 065
Espacio de almacenamiento: 8GB
Espacio disponible: 769MB
Batería
Removible: SI (x) NO ( )
Fabricante: Samsung
Capacidad de voltaje: 3.8V -9,88 Wh – 2600 mAh
S/N: YS1D7135S/2-B
Cargador
Código etiqueta cargador: N/A
Marca N/A
Modelo No: N/A
Input: N/A
Output: N/A
Frecuencia: N/A
S/N: N/A
Cable de datos: SI ( ) NO (x)
Código etiqueta cable de datos: N/A
Fuente (Autora)
179
Fase de análisis y exploración
Para la fase de análisis y exploración se ha considerado el estudio y análisis del

fichero perteneciente a la carpeta “/data/”.

Código: FAE001 –C001 Fase: Análisis y exploración
Dispositivo: Smartphone
Nombre imagen: Samsung Galaxy S IV (GT-i9500) (357747052530834) 2014-06-26 12-55.ofb
Firma MD5 Oxygen F.: d2251dcf7d68c766e1953c786f9a2f36
Firma SHA2 Oxygen F: cd9988fc0669e0b1aab06e2f3d2fac03f9032e54ebdb73103da1a6f50bd373bb
Cuentas asociadas: [email protected], [email protected]
1) Procedimiento
a) Alcance
Analizar:
 Descargas
b) Herramientas
Tabla 62: Descripción herramientas fase de análisis smartphone

Access Data FTK
Visualización del contenido de la copia. Extracción de los archivos de interés
Imager
Microsoft Excel Me permite comparar los datos de las columnas package_name
Md5summer Verificación de hash
Fuente (Autora)
180
c) Archivos
Los archivos a analizar, los cuales contienen los datos de las aplicaciones, el historial
de navegación y las descargas realizadas por el usuario se encuentran en las
siguientes direcciones:
Tabla 63: Ruta archivos smartphone

Historial de
navegación
Aplicaciones dmappmgr.db
data/system/
packages.xml
Fuente (Autora)
d) Procedimiento
 Se utiliza la copia, obtenida en la fase anterior
 Se procedió a visualizar del contenido de la copia con la ayuda de FTK Imager,
obteniendo lo siguiente:
Figura 53: Contenido copia bit a bit

Fuente (Autora)
Con la imagen obtenida mediante “Oxygen Forensic”, en FTK Imager no se puede

visualizar el contenido de una manera amigable.
181
Sin embargo procedemos a extraer los archivos de interés con la ayuda de “Oxygen
Forensic”. Pero al no contar con acceso root en el dispositivo, únicamente se obtiene
acceso a los siguientes archivos.
Cabe destacar que al no contar con el archivo browser2.db el cual contiene los datos
del historial de navegación, contamos con el archivo SBrowser.db el mismo que
cuenta con datos de los navegadores instalados en el dispositivo, de la misma manera
no se cuenta con el archivo sisodownloads.db, por lo que se analizara el archivo
downloads.db, el cual contiene información sobre las descargas realizadas.
Tabla 64: Nuevas rutas archivos smartphone

Historial de
navegación
Aplicaciones data/data/com.google.android.googlequicksearchbox/database
icingcorpora.db
s/
Fuente (Autora)
Figura 54: Datos del archivo SBrowser.db

Fuente (Autora)
182
Figura 55: Datos del archivo downloads.db
Fuente (Autora)
Figura 56: Datos del archivo icingcorpora.db

Fuente (Autora)
Figura 57: Datos del archivo localappstate.db

Fuente (Autora)
183
2) Resultados
En el archivo SBrowser.db nos encontramos con las siguientes tablas

“BOOKMARKS”, “INTERNER_SYNC”, “REMOTE_DEVICES”,
“REMOTE_DOWNLOAD”, “SAVEPAGE”, “SYNC_STATE”, “TABS”,
“android_metadata”, y “sqlite_sequence” para lo cual se analizara la tabla “TABS” que
_ID, TAB_ID, TAB_INDEX, TAB_URL, TAB_TITLE, TAB_FAV_ICON,

TAB_ACTIVATE, IS_DELETED, IS_INCOGNITO, ACCOUNT_NAME,
ACCOUNT_TYPE, DATE_CREATED, DATE_MODIFIED, DIRTY, SYNC1, SYNC2
SYNC3, SYNC4, SYNC5, DEVICE_NAME, DEVICE_ID, TAB_USAGE
Los datos de interés para el análisis de la tabla “TABS” son:
Tabla 65: Columnas de interés tabla TABS

TAB_TITLE Título de la página web consultada
TAB_URL URL o dirección web de la página consultada
DATE_CREATED Fecha en la que se realiza la consulta
Fuente (Autora)
Los datos se adjuntan en digital.
Entre las url’s más visitadas tenemos:

# de
URL visitas >
20
http://alimentariaonline.com/2013/03/26/crean-innovadora-cerveza-a-base-de-maiz-en-la- 33
uam/
http://benditofutbol.com/la-tri/rueda-dilan-mendez-cancer-mundial.html#.U5JuOsnv7qA 59
http://es.dragoncity.wikia.com/wiki/Drag%C3%B3n_Basilisco 97
http://es.dragoncity.wikia.com/wiki/Drag%C3%B3n_Ladr%C3%B3n 64
http://es.dragoncity.wikia.com/wiki/Drag%C3%B3n_Shogun 33
http://es.dragoncity.wikia.com/wiki/Drag%C3%B3n_Silvestre 40
http://es.dragoncity.wikia.com/wiki/Drag%C3%B3n_Veneno 69
184
http://es.savefrom.net/ 72
http://eva1.utpl.edu.ec/course/view.php?id=56407 39
http://f3.pasionlibertadores.com/noticias/David-Beckham-quiere-volver-a-jugar-al-futbol- 68
20140606-0021.html
http://img1.mlstatic.com/s_MLV_v_O_f_4370159278_052013.jpg 55
http://listado.mercadolibre.com.ec/gafas-fox-duncan 37
http://m.listas.20minutos.es/lista/top-dragones-de-dragon-city-376630/ 40
http://m.youtube.com/results?q=carrera%20de%20ba%C3%B1os&sm=3 62
http://m.youtube.com/watch?v=FiBs_FihJYw 29
http://m.youtube.com/watch?v=GNuzdKfpK60 38
http://m.youtube.com/watch?v=kpJApAfODSE 54
http://m.youtube.com/watch?v=Ni7m0GR8UO0 41
http://reglasespanol.about.com/od/adjetivos-articulos/a/articulo.htm 23
http://www.andysautosport.com/air_suspension/volkswagen.html 20
http://www.crecenegocios.com/40-formas-de-hacer-publicidad/ 69
http://www.derechoecuador.com/resultado-de-busqueda?q=estado+y+gobierno 55
http://www.foxdeportes.com/futbol/story/sancionan-a-la-bella-rbitro-brasilea# 55
http://www.foxdeportes.com/mexico/story/mexico-y-brasil-se-retan-en-twitter/ 36
http://www.google.com.ec/?gfe_rd=cr&ei=RW2QU9j-Gqna8gfa1YHwBQ 72
http://www.google.com.ec/search?biw=360&bih=314&tbm=isch&sa=1&ei=ZH2WU4arNoy 60
ayAS0loDYAQ&q=reptiles&oq=reptiles&gs_l=mobile-gws-
http://www.google.com.ec/search?site=&source=hp&ei=de- 42
hp.3..0l5.1976.3596.0.5475.11.9.0.1.1.0.2155.6998.7-1j1j2.4.0....0...1c.1.46.mobile-gws-
http://www.google.com.ec/search?site=&source=hp&ei=PiZ8U- 40
hp.1.1.0l5.7101.7640.0.9767.7.5.0.3.3.0.459.1781.2-1j2j2.5.0....0...1c.1.44.mobile-gws-
hp..1.6.1258.2.NAcVd_QpVUo
http://www.google.com.ec/search?tbm=isch&sa=1&ei=owJ9U77JI82SqAaJmYLYDg&q=g 37
afas+fox+modelo+duncan&oq=gafas+fox+modelo+duncan&gs_l=mobile-gws-
serp.3...47400.51770.0.52288.25.18.0.0.0.3.1663.7287.2-
2j3j3j3j1j0j1.13.0....0...1c.1.44.mobile-gws-serp..22.3.1865.RXCV9q9O06A#facrc=_
http://www.google.com.ec/webhp?hl=es&tbm=isch&tab=wi 27
http://www.hoyhombre.com/0000964/los-3-cortes-de-pelo-de-moda-para-este-2014/ 40
http://www.mercadolibre.com.ec/ 23
http://www.pasionlibertadores.com/fanaticos/Los-10-equipos-de-futbol-mas-valiosos-del- 55
mundo-20140512-0009.html
http://www.utpl.edu.ec/index.php 55
http://www.youtube-mp3.org/es 116
185
https://m.facebook.com/pages/JRM-Racing- 55
Sore/592028717535031?fref=ts&refsrc=https%3A%2F%2Fwww.facebook.com%2Fpages
%2FJRM-Racing-Sore%2F592028717535031&_rdr
https://m.youtube.com/watch?v=ewOdKrYVdZc 32
https://mail.google.com/mail/mu/mp/460/#tl/Recibidos 65
https://srv-si-001.utpl.edu.ec/SAO/Login.aspx 69
https://srv-si-001.utpl.edu.ec/SAO/Login.aspx?ReturnUrl=%2fSAO%2fSAO%2fLogin.aspx 74
https://www.google.com.ec/?gfe_rd=cr&ei=DpVxU7f4Bszt8QaB2oDACA 55
https://www.google.com.ec/?gfe_rd=cr&ei=im53U936LMzd8gfphYGgCQ 47
https://www.google.com.ec/?gfe_rd=cr&ei=ZNVyU_qPMdClsgf7lgE 55
https://www.google.com.ec/search?biw=360&bih=567&tbm=isch&q=colibritany&revid=187 31
4192421&sa=X&ei=StOcU8jRIZG2sASUsYD4Cw&ved=0CBcQ1QIoAA#facrc=_&imgrc=
WSXITBsiZnTtPM%253A%3BOkD1bZh27NS6jM%3Bhttp%253A%252F%252Fi1.ytimg.c
om%252Fvi%252FiZrWMKzWPCc%252Fmaxresdefault.jpg%3Bhttp%253A%252F%252F
www.youtube.com%252Fwatch%253Fv%253DiZrWMKzWPCc%3B1920%3B1080
https://www.google.com.ec/search?site=&source=hp&ei=Jfd0U4DXMM3jsASY7YKIDA&q 54
=23+de+alemania&oq=23+de+alemania&gs_l=mobile-gws-
hp.3...144.981.0.1312.9.6.0.0.0.0.0.0..0.0....0...1c.1.43.mobile-gws-
Fuente (Autora)
Descargas
En el archivo “downloads.db” se encuentran cuatro tablas “android_metadata”,

“downloads”, “request_headers” y “sqlite_secuence”, para lo cual se analizara la tabla
“downloads” que contiene las siguientes columnas:
current_bytes, etag, uid, otheruid, title, description, scanned, is_public_api,
allow_roaming, allowed_network_types, is_visible_in_downloads_ui,
bypass_recommended_size_limit, mediaprovider_uri, deleted, errorMsg,
allow_metered, downloadmethod, state, dd_primaryMimeType,
dd_SecondaryMimeType1, dd_SecondaryMimeType2, dd_fileName, dd_vendor,
dd_description, dd_contentSize, dd_objUrl, dd_notifyurl, dd_majorVersion, allow_write
Los datos de interés para el análisis de la tabla “downloads” son:
186
Tabla 67: Columnas de interés tabla downloads
Fuente (Autora)
Las descargas realizadas son las siguientes:
Tabla 68: Historial de descargas

uri _data lastmod useragent title
http://dl.google.com/android/voice/es- /storage/emulated/0/An
es- droid/data/com.google. Descargand
v2.zip?extraforlog=tv%3A2%3Bpv%3A- android.googlequicksea 05/10/2013 o EspaÃ±ol
1%3Bav%3A2.8.8.849369.arm%3Bf%3 rchbox/files/download_ (EspaÃ±a)
A0%3Bs%3A2 cache/es-ES-v2.zip
http://c20ad.pf.aclst.com/dl.php/Ni7m0
GR8UO0/Wiggle%20-
%20Jason%20Derulo%20Lyrics.mp3?v
ideo_id=Ni7m0GR8UO0&t=Tmk3bTBH Wiggle -
/storage/emulated/0/Do
UjhVTzAtMzA0NDA0Nzc5Mi0xNDAyO Jason
wnload/Wiggle - Jason 15/06/2014
DYzOTI5LTI5NTQ2OC04ZDZhOGQxM Derulo
Derulo Lyrics.mp3
zUxNjNmZmQ2Nzk3M2FhOGU4YmIy Lyrics.mp3
MDM3NQ%3D%3D&exp=18-06-
2014&s=3b041ead0ab9c4fbe612c6aef
d924e48
http://r6---sn-uxaxjvh5gbxoupo5-
x1xl.googlevideo.com/videoplayback?m
s=au&mt=1403020106&itag=36&id=o-
AKNnETaDEUa65tvbgLBC9LGUg8ZvC
-
cTZLzzDm95Hhwq&upn=atV2SchVSG
U&source=youtube&sver=3&expire=14 /storage/emulated/0/Do
videoplaybac
03040660&key=yt5&ip=186.109.251.14 wnload/videoplayback- 17/06/2014
k-1.3gpp
4&mv=m&sparams=id%2Cip%2Cipbits 1.3gpp
%2Citag%2Csource%2Cupn%2Cexpire
&signature=CC09DDBAE1A2FFC9181
359A08AB1802BE1341A91.54809B9C
A7E494924B38F5142FCA3C9AB6D95
120&mws=yes&fexp=905024%2C9246
19%2C930008%2C931022%2C934026
187
%2C935018%2C939937%2C945102%
2C945513&ipbits=0&title=Angelito+corr
iendo
http://www.ecuavisa.com/sites/ecuavisa /storage/emulated/0/Do
18/06/2014 americo.jpg
.com/files/fotos/2014/06/americo.jpg wnload/americo.jpg
http://i.embed.ly/1/display/resize?key=1
e6a1a1efdb011df84894040444cdc60& /storage/emulated/0/Do
18/06/2014 resize.jpeg
url=http%3A%2F%2Fpbs.twimg.com% wnload/resize.jpeg
2Fmedia%2FBqcOX0rCAAAEwVP.jpg
https://attachment.fbsbx.com/file_downl
FUTSALA_
oad.php?id=669269929787723&eid=A /storage/emulated/0/Do
MASCULIN
Ssy4e8x6PbM7M57WwTgKEfQM0izX0 wnload/FUTSALA_MA
24/06/2014 O_INTERTIT
VY0OWtx29_kmbmy59wyoe704r- SCULINO_INTERTITU
ULACIONES
hVOnaFaxiA4&ext=1403617264&hash LACIONES.docx
.docx
=ASvWWvx_o6dB7Eww
Fuente (Autora)
Aplicaciones


columna “first_download” del archivo “localappstate.db”, el valor “0”, el cual representa
que la descarga no fue satisfactoria. En el mismo archivo se encuentran todas las
aplicaciones que han sido descargadas e instaladas en el dispositivo, el mismo que no
define las aplicaciones desinstaladas. Cabe mencionar que el archivo packages.xml
contiene el mismo número de aplicaciones que el archivo “icingcorpora.db”.


delivery_data_timestamp_ms, installer_state, first_download_ms, referrer, account,
title, flags, continue_url, last_notified_version, last_update_timestamp_ms,
account_for_update, auto_acquire_tags, external_referrer_timestamp_ms
Siendo la tabla “appstate” la de interés la cual se estructura de la siguiente manera:
188
Tabla 69: Columnas de interés tabla appstate
auto_update Hace referencia a la auto descarga de actualizaciones de la
aplicación, la cual 1 representa “Descargar automáticamente las
title Título o nombre de la aplicación
Fuente (Autora)
Mientras que en el archivo “icingcorpora.db”, se registran todas las aplicaciones que se

encuentran instaladas y en ejecución en el dispositivo. El mismo en el que
encontramos catorce tablas, por lo que la tabla de interés es “applications” la cual
contiene los siguientes datos:
_id, display_name, icon_uri, package_name, class_name, score, uri,

created_timestamp_ms
Tabla 70: Columnas de interés tabla applications

Fuente (Autora)
Al mismo tiempo se realiza una comparación entre los datos de los archivos
“localappstate.db” e “icingcorpora.db”, prevaleciendo los datos del archivo
“icingcorpora.db”, ya que aquí encontramos las aplicaciones que se encuentran en
ejecución en el dispositivo.
Encontrando los siguientes resultados:
Tabla 71: Listado de aplicaciones instaladas

Nombre aplicación Nombre paquete Fecha y hora de
instalación/actualización
Dumb Ways air.au.com.metro.DumbWaysToDie 2014-03-23 11:08:17
189
Calendario com.android.calendar 2013-04-24 10:15:09
Chrome com.android.chrome 2013-04-24 10:15:10
Contactos com.android.contacts 2013-04-24 10:15:08
Teléfono com.android.contacts 2013-04-24 10:15:08
Correo electrónico com.android.email 2013-04-24 10:15:08
Mensajes com.android.mms 2013-04-24 10:15:09
Descargas com.android.providers.downloads.ui 2013-04-24 10:15:09
Ajustes com.android.settings 2013-04-24 10:15:09
Play Store com.android.vending 2013-04-24 10:15:10
Motorbike Lite com.bakno.MotorbikeLite 2014-01-31 22:21:28
Flow Free com.bigduckgames.flow 2014-05-18 17:07:28
Misdeberes.es com.brainly.es 2013-11-20 22:48:37
MOBILedit! com.compelson.meconnector 2014-06-22 12:53:23
Connector
Linterna com.devuni.flashlight 2013-08-15 23:32:48
Flappy Bird com.dotgears.flappybird 2014-02-06 15:18:50
Dropbox com.dropbox.android 2013-04-24 10:15:10
PvZ 2 com.ea.game.pvz2_row 2014-02-11 21:19:46
HolaMundo com.example.holamundo 2014-06-24 23:42:59
Facebook com.facebook.katana 2013-08-13 11:04:11
Messenger com.facebook.orca 2013-08-13 11:21:18
Hill Climb Racing com.fingersoft.hillclimb 2014-05-30 10:58:07
Iron Man 3 com.gameloft.android.ANMP.GloftIMHM 2013-08-15 23:32:40
Little Big City com.gameloft.android.LATAM.GloftLCEF 2012-12-31 19:00:25
Littlest Pet Shop com.gameloft.android.LATAM.GloftPSHO 2014-04-02 01:35:00
Shark Dash com.gameloft.android.LATAM.GloftSDTB 2012-12-31 19:00:26
Wonder Zoo com.gameloft.android.LATAM.GloftZOOM 2012-12-31 19:00:28
UNO com.gameloft.android.LATAM.X765 2012-12-31 19:00:27
Pool Live Tour com.geewa.PLTMobile 2013-08-15 22:52:27
Drive com.google.android.apps.docs 2014-01-20 14:03:55
Maps com.google.android.apps.maps 2013-04-24 10:15:11
Fotos com.google.android.apps.plus 2013-04-24 10:15:11
Google+ com.google.android.apps.plus 2013-04-24 10:15:11
Traductor com.google.android.apps.translate 2013-08-15 23:33:01
Gmail com.google.android.gm 2013-04-24 10:15:08
Ajustes de Google com.google.android.gms 2013-04-24 10:15:10
Play Games com.google.android.play.games 2008-08-01 07:00:00
Hangouts com.google.android.talk 2013-04-24 10:15:11
Play Movies com.google.android.videos 2014-04-02 01:35:04
YouTube com.google.android.youtube 2013-04-24 10:15:08
Earth com.google.earth 2008-08-01 07:00:00
Jetpack Joyride com.halfbrick.jetpackjoyride 2013-09-09 14:06:58
Copa del Mundo com.hslsoftware.copamundo 2014-06-15 19:02:40
190
Instagram com.instagram.android 2013-08-13 11:12:20
Jalvasco Copa del com.jalvasco.football.worldcup 2014-06-15 19:00:47
Mundo 2014
InstaSize com.jsdev.instasize 2013-10-31 16:53:19
RealSteelWRB com.jumpgames.rswrb 2014-01-27 00:52:09
Subway Surf com.kiloo.subwaysurf 2013-08-13 22:22:48
Candy Crush Saga com.king.candycrushsaga 2013-09-17 22:22:55
Photo Studio com.kvadgroup.photostudio 2014-04-29 21:46:17
Mundial TV com.mundial2014.tv 2014-06-16 11:10:37
OLX com.olx.olx 2014-06-02 08:46:58
PaniniCollectors com.panini.collectors 2014-04-09 16:19:03
Moto Free com.progimax.moto.free 2014-03-04 17:57:53
Stun Gun Free com.progimax.stungun.free 2014-05-18 16:53:42
Story Album com.samsung.android.app.episodes 2013-04-24 10:15:10
Vídeo com.samsung.everglades.video 2013-04-24 10:15:10
Group Play com.samsung.groupcast 2013-04-24 10:15:10
Ayuda com.samsung.helphub 2013-08-25 17:38:00
365Scores com.scores365 2014-06-16 23:26:05
Cámara com.sec.android.app.camera 2013-04-24 10:15:09
Reloj com.sec.android.app.clockpackage 2013-04-24 10:15:10
Música com.sec.android.app.music 2013-04-24 10:15:08
Mis Archivos com.sec.android.app.myfiles 2013-04-24 10:15:10
Optical reader com.sec.android.app.ocr 2013-04-24 10:15:08
Calculadora com.sec.android.app.popupcalculator 2013-04-24 10:15:08
Samsung Apps com.sec.android.app.samsungapps 2013-04-24 10:15:09
Internet com.sec.android.app.sbrowser 2013-04-24 10:15:08
S Health com.sec.android.app.shealth 2013-04-24 10:15:09
S Translator com.sec.android.app.translator 2013-04-24 10:15:10
Editor de vídeo com.sec.android.app.ve 2014-05-14 22:11:52
Grabadora de voz com.sec.android.app.voicerecorder 2013-04-24 10:15:08
Galería com.sec.android.gallery3d 2013-04-24 10:15:08
S Memo com.sec.android.widgetapp.diotek.smemo 2013-04-24 10:15:09
ChatON com.sec.chaton 2013-04-24 10:15:09
Samsung Hub com.sec.everglades 2013-04-24 10:15:08
KNOX com.sec.knox.app.container 2008-08-01 07:00:00
Samsung Link com.sec.pcw 2013-04-24 10:15:08
Sonic Dash com.sega.sonicdash 2014-06-03 09:52:59
Skype com.skype.raider 2013-08-13 11:08:13
Face Swap Lite com.swap.face.lite 2014-06-11 16:42:19
TripAdvisor com.tripadvisor.tripadvisor 2013-04-24 10:15:10
Twitter com.twitter.android 2013-08-13 11:06:25
Beach Buggy Blitz com.vectorunit.yellow 2013-11-21 22:27:37
S Voice com.vlingo.midas 2013-04-24 10:15:11
191
Waze com.waze 2014-02-16 10:55:41
WhatsApp com.whatsapp 2013-08-13 11:02:39
Flickr com.yahoo.mobile.client.android.flickr 2014-01-18 21:27:49
Dragon City Trucos dragon.city.trucos 2014-05-02 21:09:33
DragonCity es.socialpoint.DragonCity 2014-05-02 21:17:18
Flipboard flipboard.app 2013-04-24 10:15:08
El Juego del Mundial io.cran.mundial 2014-04-17 08:43:08
LINE jp.naver.line.android 2013-08-13 11:05:34
Bear Race net.mobilecraft.BearRace 2014-06-15 12:18:15
Basketball Kings net.mobilecraft.basketballkings 2014-02-25 23:39:30
WatchON tv.peel.samsung.app 2013-04-24 10:15:09
Fuente (Autora)

Nombre aplicación Paquete
New Super Mario Bros 2 Cheats com.a86912222951760159e35f49a.a76058623a
Galaxy S4 Tema Carbon com.androidaddy.livewallpaper.galaxy.s4.carbon
BBM com.bbm
Carrera Cartoon com.blokwise.carreracartoon
Blurb Checkout com.blurb.checkout
Xtreme Wheels com.bravogamestudios.xtremewheels
ChatON Voice & Video Chat com.coolots.chaton
Beach Moto com.factory99.beachmoto
PEPI Skate 3D com.foosegames.pepiskate3d
Tower Blocks com.gameclassic.towerblock
Blitz Brigade: ¡FPS online! com.gameloft.android.ANMP.GloftINHM
GT Racing 2: The Real Car Exp com.gameloft.android.ANMP.GloftRAHM
Thor: EMO - El juego oficial com.gameloft.android.ANMP.GloftTRHM
GO Launcher EX (Español) com.gau.go.launcherex
GO Switch+ com.gau.go.launcherex.gowidget.newswitchwidget
Rosa Tema com.gau.go.launcherex.theme.chabxszen
RoboCop™ com.glu.robocop
MOTOCROSS MELTDOWN com.glu.stuntracing
Búsqueda de Google com.google.android.googlequicksearchbox
Síntesis de voz de Google com.google.android.tts
Next honeycomb live wallpaper com.gtp.nextlauncher.liverpaper.honeycomb
Next Launcher 3D Lite Version com.gtp.nextlauncher.trial
Complemento de servicio com.hp.android.printservice
POLARIS Office Viewer 5 com.infraware.polarisviewer5
Fast & Furious 6: El Juego com.kabam.ff6android
Super Thrill Rush com.ldes.speeddrift
192
LiveProfile com.liveprofile.android
Beaming Service para Beep'nGo com.mobeam.barcodeService
CSR Racing com.naturalmotion.csrracing
Turbo Racing League com.pikpok.turbo
Pioneer Connect com.pioneer.carrozzeriaconnect
Share music for Group Play com.sec.android.app.mediasync
AllShareCast Dongle S/W Update com.sec.android.fwupgrade
Samsung Print Service Plugin com.sec.app.samsungprintservice
Samsung push service com.sec.spp.push
Capture Screen com.tools.screenshot
Trial Xtreme 3 com.x3m.tx3
Video Downloader - vídeo DL info.techtechapps.vid.android
LINE camera jp.naver.linecamera.android
Pioneer ControlApp jp.pioneer.avsoft.android.controlapp
Screen Capture Shortcut Free jp.tomorrowkey.android.screencaptureshortcutfree
ADW Tema Samoled saf.adw.theme.samoled
Fuente (Autora)
Aplicaciones no satisfactorias
Tabla 73: Aplicaciones no satisfactorias

Fecha y
Fecha y hora
Nombre Actualización hora de Cuenta
Paquete solicitud
aplicación automática descarga utilizada
descarga
completa
com.dsi.ant.plugins.a
1 0 0
ntplus
com.dsi.ant.service.s
1 0 0
ocket
FIFA 14, de ferrnando19
com.ea.game.fifa14_r
EA 1 0 0 [email protected]
ow
SPORTS™ om
com.google.android.
1 0 0
marvin.talkback
Fuente (Autora)
193
Anexo 2 Desarrollo fases tablet
Solicitud de examen forense (Caso de prueba)
SOLICITUD DE EXAMEN FORENSE

Fecha de solicitud: 04/05/2014
A: Jessica Cuenca
Por este medio se solicita la realización del examen forense digital, al dispositivo móvil (Tablet)
marca Samsung, modelo GT-P5113, FCC ID A3LGTP5113, color plateado en posesión de
Juanito Pérez.
Antecedentes:
conforman. El Director de Control Interno ha notado que a partir de dicha entrega el Ing.
Juanito Pérez ha variado sus tiempos de respuesta en su labor, puesto que se requiere
determinar cuáles son las actividades en las que están ocupando la mayor parte de su tiempo y
verificar si están fuera del contexto empresarial.
Para dicho fin se solicita realizar un análisis forense al dispositivo brindado por la empresa.
Se solicita determinar:
 Descargas y
 Aplicaciones instaladas y desinstaladas
 Datos que han sido borrados o eliminados de dicho dispositivo de dichas
actividades
SI (x) NO ( ) Otorgar acceso root al dispositivo
SI (x) NO ( ) Extracción de información confidencial
Una vez informado sobre los procedimientos que se llevarán a cabo, y de la importancia de los
mismos para la investigación, se otorga de manera libre el consentimiento y autorización legal
del presente.
Autorizan:
Firma Juanito Pérez
Nombres y Apellidos: Juan Alexander Pérez Domínguez
Cédula de identidad: 1102746870
Pd: Anexo Fundamento legal (Denuncia y/o contrato)
La persona o institución auditora se compromete a cumplir con los artículos establecidos, de acuerdo al
marco legal o regulatorio del país, cuyos estatutos establezcan que dicha persona o institución realice
alguna alteración en la información encontrada y analizada en los dispositivos móviles que determinen la
resolución del caso de estudio.
194
Fase de identificación y preservación

Código: FIP001 -C002 Fase: Identificación y preservación
Fecha (DD/MM/AAAA) de incautación: 05/05/2014 Hora: 18:36:00
Otras evidencias: Huellas dactilares ( ) ADN ( ) Sin relevancia (x)
Lugar y ubicación de incautación: Oficinas de la empresa XYZ
1) Evaluación caso de estudio
a) Descripción: Caso de prueba
En la empresa XYZ, se ha otorgado un dispositivo móvil a cada uno de los ejecutivos

que lo conforman. El Director de Control Interno ha notado que a partir de dicha
entrega el Ing. Juanito Pérez ha variado sus tiempos de respuesta en su labor, puesto
que se requiere determinar cuáles son las actividades en las que está ocupando la
mayor parte de su tiempo y verificar si están fuera del contexto empresarial.
Para dicho fin se solicita realizar un análisis forense al dispositivo brindado por la
empresa.
b) Objetivo caso de estudio

Determinar:
c) Propietario(s) dispositivo
Ing. Juanito Pérez
d) Equipo de trabajo (Responsables)
Tabla 74: Equipo de trabajo tablet

1104185515 Jessica Cuenca Investigadores/Peritos
195
Fuente (Autora)
2) Procedimiento:
a) Observaciones
 Continuando con el proceso forense como primera instancia no se debe
llevar a cabo ningún proceso forense externo (e.g Toma de huellas
dactilares, etc.).
embargo se ha tomado como medida el uso de papel aluminio y así
bloquear la comunicación o sincronización con un medio externo.
b) Materiales
Los siguientes equipos y/o materiales a ser utilizados queda a discreción de los
responsables de la investigación forense, entre ellos tenemos:
Tabla 75: Materiales

Material Si No
Computador para análisis X
Cámara fotográfica X
Guantes de látex para la manipulación del dispositivo X
Etiquetas adhesivas X
Documentos para establecer notas X
Adaptador de puertos USB X
Cables para la comunicación de datos X
Cable para energizar los dispositivos X
Lectora de tarjeta SIM X
Lectora de tarjeta externa (SD card, micro SD) X
Software suministrado por el fabricante del dispositivo móvil X
Equipo para aislar las comunicaciones (Jaula de Faraday, Papel aluminio, etc.) X
Software forense (Oxygen Forensic, Autopsy, MOBILedit, BitPim, etc.) X
Fuente (Autora)
c) Procedimiento
 A solicitud del interesado se realiza la entrega de un dispositivo móvil con
las características detalladas en la tabla adjunta.
196
 El dispositivo se encuentra encendidos, por lo que se procede a colocar en
“modo avión”.
 El dispositivo no cuenta con un patrón de bloqueo, contraseña o PIN.
 Se realiza la toma de fotografías de los dispositivos y periféricos asociados.
Adjunto registro visual.
 Se procede a etiquetar cada dispositivo y periféricos asociados (Códigos
detallados en la tabla adjunta) y continuamente a sellar para el respectivo
proceso de empaquetado y transporte.
 El dispositivo se colocan en papel aluminio para aislar la comunicación con
la red móvil o wifi, etc.
 Se firma el presente documento, como parte de la solicitud de examen
forense.
 Se adjunta la presente documentación con copia respectiva a los
involucrados.
 Se dispone de caja de cartón en la que se adjunta los periféricos o
dispositivos entregados, se sella y transporta al laboratorio (UTPL-TECH,
Club de seguridad), manteniendo la integridad de la evidencia.
3) Descripción evidencia
Tabla 76: Descripción evidencia tablet

EVIDENCIA
Cód. Componentes o
Cant.
Dispositivo Estado Descripción

Etiqueta periféricos asociados
Sistema Operativo Android

Marca: Samsung
Modelo: GT-P5113
FCC ID: A3LGTP5113
RATED/CARGA: 5V -2A Manuales ( )
S/N: R32C600XS1M Cargador (x)
Encendido (x)
C001- Conectividad a internet: Wifi Batería ( )
Apagado ( )
T001 1 Tablet Almacenamiento: 16GB Tarjeta externa ( )
Bloqueado ( )
Color: Plateado SIM CARD ( )
Nuevo
Puerto: USB Cables (x)
Cámara frontal y posterior Otros ( )
Entrada/Salida de audio:
Auriculares, Altavoces
Batería: 100%
197
Código etiqueta empresa:
23409310006
Marca: Samsung
Modelo No. ETA-P11X
C001-
Input: 100-240V Incluye cable de datos,
T002 1 Cargador Nuevo
Output: 5V-2A USB
Frecuencia: 50/60Hz 0.35A
S/N: 110411-11
C001-
Cable de
T003 1 N/A Marca: Samsung N/A
datos
Notas Adjuntar registro visual (fotografías, croquis de ubicación de cada uno de los objetos de evidencia, etc.)
Fuente (Autora)
4) Aprobación
f: .………..………. f: .………..………. f: .………..……….

Ing. Juanito Pérez Ing. Danilo Jaramillo Sra. Jessica Cuenca
Custodio
Propietario 1 Investigador/Perito
Examinador/ Analista
5) Registro visual
Tabla 77: Registro visual tablet

Tablet
198
Fuente (Autora)
Fase de adquisición
Continuamente se procede a realizar la adquisición de los datos del dispositivo

mediante la obtención de un backup y de una copia bit a bit del dispositivo.

Código: FA001 -C002 Fase: Adquisición
Dispositivo: Tablet
1) Caso de estudio (Caso de prueba)

a) Objetivo caso de estudio
Determinar:
199
b) Equipo de trabajo (Responsables)
Tabla 78: Equipo de trabajo fase adquisición

Fuente (Autora)
2) Procedimiento
a) Observaciones
Para acceder a la información que genera el usuario y realizar la copia bit a bit del
sistema de ficheros del dispositivo se ha procedido a rootear el dispositivo,
concediendo un acceso root.
b) Herramientas
Las herramientas o softwares utilizados para la adquisición de la copia se detalla a

continuación:
Tabla 79: Herramientas fase adquisición

Odin3 v3.07 Software de flasheo (de ROM) para dispositivos móviles Samsung, que permite la
instalación de un nuevo Recovery y realizar modificaciones sobre el kernel para
obtener acceso root
Firmware oficial Firmware oficial denominado “CF-Auto-Root-espresso10wifi-espresso10wifibby-
gtp5113.tar.md5”- Galaxy Tab 2 10.1 GTP5113. Permite el flasheo del BootLoader
o reescribir el sector de arranque incluyendo el Recovery official de Samsung.
Oxygen Forensic Herramienta forense de tipo comercial, que permite la extracción de los datos del
dispositivo.
Md5 summer Me permite calcular el hash de la imagen
Fuente (Autora)
c) Procedimiento
Antes de realizar la copia bit a bit se procedió a rootear tomando como referencia a
(Nasir, 2013) realizando lo siguiente:
200
1) Descargar y descomprimir el firmware de acuerdo al modelo
2) Descargar Odin (versión actualizada a la fecha)
3) Apagar el dispositivo y arrancar en modo download (Pulsando los botones de
power y de volumen de arriba o abajo al mismo tiempo, esta opción cambia en
cada modelo)
4) Conectar el dispositivo al PC y ejecutar Odin (como administrador)
Figura 58: Pantalla principal Odin

Fuente (Autora)
5) Marcar el campo AP y buscar el firmware
Figura 59: Buscar firmware

Fuente (Autora)
6) Asegurarse que el campo Re-Partition no este marcado, verificar que el puerto

COM este de color verde o “Pass”
201
Figura 60: Verificar puerto COM
Fuente (Autora)
7) Click en Start o inicio y esperar a que se instale el firmware

8) El dispositivo se reiniciará automáticamente
9) Finalmente deberás verificar la instalación del apk de SuperSu o se deberá
descargar
10) Se puede verificar el acceso root mediante la conexión vía ADB
Figura 61: Verificar acceso root

Fuente (Autora)
Figura 62: Visualización dispositivos

Fuente (Autora)
11) Continuamente para la obtención de la copia bit a bit y/o back up se realizó lo
siguiente:
 Conectar el dispositivo al equipo mediante el cable de datos USB
 Realizar la copia de seguridad (back up) de los datos del dispositivo
o Ejecutar cmd
o Uso de los comandos adb
 Visualizamos los dispositivos conectados con adb devices
202
 Realizar copia con adb backup –f C:/backups/tablet.ab –apk –shared –all –
system
 Confirmar en el dispositivo la copia de seguridad de datos sin introducir
contraseña (la contraseña no es necesaria, a menos que se requiera utilizar
en una restauración de los datos)
 Al finalizar la copia, la aplicación del dispositivo se cerrará automáticamente.
Figura 63: Comando para obtener backup

Fuente (Autora)
 Para realizar la copia bit a bit debe conectar vía ADB y verificar si se es root o súper
usuario, caso contrario realizar el proceso de rooteo. Para dicho proceso se dispone
de dos opciones:
o Contar con una herramienta compatible con el dispositivo y realizar rooteo
temporal
o Caso contrario realizar un rooteo permanente
 Una vez que se cuenta con acceso root, acceder como súper usuario y ejecutar lo
siguiente:
o Como solo contamos con un dispositivo conectado  Ingresar adb shell para
conocer la composición del sistema de ficheros y verificar la ruta de los datos
que se va analizar, digite “mount”
Figura 64: Estructura del sistema de ficheros – Tablet

Fuente (Autora)
203
Figura 65: Fichero a obtener
Fuente (Autora)
 En vista de que el dispositivo no cuenta con una tarjeta externa, procedemos a

colocar la imagen en la partición “sdcard” interno del dispositivo.
 Digitamos adb shell
 su
 dd if=/dev/block/platform/omap/omap_hsmmc.1/by-name/DATAFS
of=/sdcard/data.img bs=4096 o
 dd if=/dev/block/mmcblk0p10 of=/sdcard/data.img bs=4096
o Traspaso de la imagen al computador con  adb pull /sdcard/data.img
c:/copias/Tablet
Figura 66: Obtención copia bit a bit

Fuente (Autora)
204
Figura 67: Traspaso imagen a equipo
Fuente (Autora)
 Una vez que hemos pasado el archivo (copia bit a bit) del dispositivo al equipo,
procedemos a eliminar el mismo del dispositivo, creada en la partición sdcard, ya
que esta nos ocupa espacio en el dispositivo.
o adb shell
o cd sdcard
o ls  para ver el archivo
o rm data.img
o ls  para comprobar si aún está el archivo
Figura 68: Comprobar archivo imagen

Fuente (Autora)
Figura 69: Eliminar archivo imagen del dispositivo

Fuente (Autora)
205
 Adquirir copia bit a bit
 Calcular hash sha1 y md5
o Utilizamos la herramienta MD5Summer

Figura 70: Pantalla de presentación -MD5 Summer

Fuente (Autora)
Figura 71: Seleccionar archivo y tipo de hash -MD5 Summer

Fuente (Autora)
Figura 72: Crear hash- MD5 Summer

Fuente (Autora)
206
Figura 73: Generando hash - MD5 Summer
Fuente (Autora)
Figura 74: Guardar archivo hash -MD5 Summer

Fuente (Autora)
Figura 75: Archivo hash generado con md5 - MD5 Summer

Fuente (Autora)
207
Figura 76: Archivo hash generado con sha1 - MD5 Summer
Fuente (Autora)
Figura 77: Archivos hash - MD5 Summer

Fuente (Autora)
o Visualizar características dispositivo con “adb shell getprop”
Figura 78: Comando adb shell getprop

Fuente (Autora)
208
 También se procedió a realizar la copia bit a bit con la herramienta Oxygen Forensic
2014, realizando lo siguiente:
o Conectar el dispositivo al equipo y seleccionar la opción “Auto device conecction”
o Ingrese el número de caso, y el nombre del propietario del dispositivo
o Seleccionar la opción “Advanced mode”
o Seleccionar la opción “Physical dump”, “Android backup”, y “Logical Extraction”
 Next  Extract  y esperar a que termine el proceso
o Seleccionar la opción “Save to archive” y “Finish”
A continuación se detalla el proceso gráfico:
Figura 79: Elegir opción conectar dispositivo

Fuente (Autora)
Figura 80: Datos dispositivo

Fuente (Autora)
209
Figura 81: Ingreso datos
Fuente (Autora)
Figura 82: Seleccionar modo de extracción 1 /2

Fuente (Autora)
Figura 83: Seleccionar modo de extracción 2/2

Fuente (Autora)
210
Figura 84: Realizar extracción
Fuente (Autora)
Figura 85: Proceso de extracción 1 /2

Fuente (Autora)
Figura 86: Proceso de extracción 2/2

Fuente (Autora)
211
Figura 87: Guardar archivos generados
Fuente (Autora)
o Una vez obtenida la copia bit a bit Oxygen forensic me brinda las siguientes
opciones:
 Opción información dispositivo
Figura 88: Información dispositivo1/2 - Oxygen Forensic

Fuente (Autora)
212
Figura 89: Información dispositivo 2/2 - Oxygen Forensic
Fuente (Autora)
 Opción agenda telefónica
Figura 90: Agenda telefónica - Oxygen Forensic

Fuente (Autora)
 Opción registro del evento (Llamadas)
Figura 91: Registro de llamadas - Oxygen Forensic

Fuente (Autora)
213
 Opción Explorador de archivos

Fuente (Autora)
En esta opción se ha adquirió los archivos databases necesarios para el respectivo

análisis de los mismos.

Fuente (Autora)

Fuente (Autora)
214
Se procede a guardar los archivos y documentar el proceso realizado.
d) Características evidencia
Tabla 80: Características tablet

DISPOSITIVO MÓVIL
Cód. etiqueta dispositivo: C001-T001
Tipo de dispositivo móvil: Tablet
Número de teléfono N/A
Propietario Ing. Juanito Pérez
Marca Samsung
Modelo GT-P5113, Galaxy Tab 2 10.1
S/N R32C600XS1M
Procesador: Omap
IMEI: 358841197814
FCC ID: A3LGTP5113
IC: N/A
Tarjeta externa: SI ( ) NO (x)
SIM CARD: SI ( ) NO (x)
trasera
Capacidad para capturar imágenes: SI (x) NO ( )
Capacidad para capturar video: SI (x) NO ( )
Resolución cámara: 32 MP
Idioma SO: Español
Versión de núcleo: Linux version 3.0.31-1978026 (se.infra@R0301-05) (gcc version
4.4.1 (Sourcery G++ Lite 2010q1-202) ) #1 SMP PREEMPT Tue
Nov 19 18:37:42 KST 2013
espresso10wifibby-user 4.2.2 JDQ39 P5113UEUCMK3 release-
Número de compilación:
keys
Id dispositivo: c16078609130b5f

215
SIM Card
Operadora: N/A
ICC: N/A
PIN: N/A
PUK: N/A
Tarjeta externa
Tipo: N/A
S/N: N/A
Espacio de almacenamiento: N/A
Espacio disponible: N/A
Batería
Removible: SI ( ) NO (x)
Fabricante: Samsung
Capacidad de voltaje: 5V -2 A
S/N: N/A
Cargador
Código etiqueta cargador: C001-T002
Marca Samsung
Modelo No: ETA-P11X
Input: 100-240V
Output: 5V -2 A
Frecuencia: 50/60Hz 0.35 A
S/N: 110411-11
Cable de datos: SI (x) NO ( )
Código etiqueta cable de datos: C001-T003
Fuente (Autora)
3) Referencias
Para realizar el backup, mediante ADB se cuenta con la siguiente información.

Información que mediante la consola de comandos con “adb help” se obtiene una
breve explicación.
adb backup [-f <file>] [-apk|-noapk] [-shared|-noshared] [-all] [-system|nosystem]

[<packages...>]
Tabla 81: Descripción adb

-f <file> Indicaremos la ruta donde se almacenara la copia de seguridad
216
Por ejemplo: -f C:/backup07052014.ab
Indica si incluir o no las apks o solo sus configuraciones
-apk|-noapk
(Por defecto es -noapk)
-shared|- Activa/desactiva la copia del contenido de la sd card
noshared (Por defecto es -noshared)
-all Copia todas las aplicaciones instaladas
-system|- Incluye o no automáticamente todas las aplicaciones del sistema
nosystem (Por defecto las incluye)
Aquí podemos hacer un listado concreto de aplicaciones que queremos exportar
<packages>
en caso de no querer exportarlas todas. Por ejemplo com.game.nombreaplicacion
Fuente (Autora)
En cambio para la obtención de la copia bit a bit se expone lo siguiente:

 dd if=[ruta_origen/archivo_origen] of=[ruta_destino/nombre_archivo.img] bs=4096
 adb pull [ruta_origen/nombre_archivo.img] [archivo_destino]
Fase de análisis y exploración
Para la fase de análisis y exploración se ha considerado el estudio y análisis del

fichero perteneciente a la carpeta “/data/”.

Código: FAE001 –C002 Fase: Análisis y exploración
Dispositivo: Tablet
Nombre imagen: data.img y Samsung Galaxy Tab 2 10.mmcblk0
Cuenta asociada: [email protected], [email protected]
1) Procedimiento
a) Alcance
Analizar:
 Descargas
217
b) Herramientas
Tabla 82: Herramientas fase de análisis

Access Data FTK Visualización del contenido de la copia. Extracción de los archivos de
Imager interés
Microsoft Excel Me permite comparar los datos de las columnas package_name
Md5summer Verificación de hash
Fuente (Autora)
c) Archivos
Los archivos a analizar, los cuales contienes los datos de las aplicaciones, el historial
de navegación y las descargas realizadas por el usuario se encuentran en las
siguientes direcciones:
Tabla 83: Ruta archivos a analizar

Historial de
navegación
data/data/com.google.android.googlequicksearchbox/databa
icingcorpora.db
ses/
Aplicaciones
dmappmgr.db
data/system/
packages.xml
Fuente (Autora)
d) Procedimiento
 Utilización de la copia, obtenida en la fase anterior
 Se procedió a visualizar del contenido de la copia con la ayuda de FTK Imager
218
Figura 95: Visualizar contenido en FTK Imager
Fuente (Autora)
El estudio y análisis del fichero que se realiza a la carpeta “/data/” extraída de la ruta
“/dev/block/platform/omap/omap_hsmmc.1/by-name/DATAFS”, la cual contiene los
datos del usuario y de las aplicaciones, se encuentra la siguiente estructura:
Figura 96: Contenido imagen

Fuente (Autora)
Tabla 84: Descripción contenido

219
App-asec Vació
App-private Vació
Backup Vació
clipboard Vació
Dontpanic Vació
Drm Contiene dos ficheros denominados fwdlock (key.dat) e IDM (HTPP),
contenido interno vació
log Contien los ficheros dumpstate_app_error.txt.gz,
dumpstate_app_native.txt.gz, lock, poweroff_info.txt, powerreset_info.txt,
power_off_reset_reason.txt, power_off_reset_reason_backup.txt,
PreloadInstaller.txt, recovery_kernel_log.txt, recovery_last_kernel_log.txt,
recovery_log.txt y Status.dat
Lost+found Vació
Misc Ficheros adb, bluedroid, bluetooth, bluetoothd, dhcp, keychain, keystore,
radio, sms, systemkeys, vpn, wifi
Monitor Vació
sc Vació
Ssh Vació
System Vació
Tombstones Vació
Espacio no asignado Contiene dos archivos denominados “0001807” y “1673513”
Fuente (Autora)
Mientras que en la imagen generada por Oxygen Forensic, denominado “Samsung

Galaxy Tab 2.10.mmcblk0” Encontramos lo siguiente en la carpeta DATAFS:
220
Fuente (Autora)

Fuente (Autora)
Tabla 85: Descripción contenido de imagen obtenida con Oxygen forrensic

DATAFS Contenedor de los ficheros
221
App-asec Vació
App-private Vació
Contiene los backup generados por
“com.android.internal.backup.LocalTransport”,
Backup
“com.android.server.enterprise.EdmBackupTransport”,
“com.google.android.backup.BackupTransportService” y pending
clipboard Contiene los archivos “113182636007_351_350”, “knox”
Dontpanic Vació
Contiene dos ficheros denominados fwdlock (key.dat) e IDM (HTPP), contenido
Drm
interno vació
Contien los ficheros dumpstate_app_error.txt.gz, dumpstate_app_native.txt.gz,
lock, poweroff_info.txt, powerreset_info.txt, power_off_reset_reason.txt,
log power_off_reset_reason_backup.txt, PreloadInstaller.txt,
recovery_kernel_log.txt, recovery_last_kernel_log.txt, recovery_log.txt y
Status.dat
Lost+found Vació
Ficheros adb, bluedroid, bluetooth, bluetoothd, dhcp, keychain, keystore, radio,
Misc
sms, systemkeys, vpn, wifi
Monitor Contiene el archive “netstats” el mismo que se encuentra vació
sc Vació
Ssh Contiene el archivo “empty”, el mismo que se encuentra vació
Contiene los archivos creados en el sistema “.cmanager”, “analytics”, “cache”,
“container”, “databases”, “dropbox”, “enterprise”, “gps”, “hdcp2”, “inputmethod”,
System
“netstats”, “registered_services”, “shared_prefs”, “sync”, “throttle”, “usagestats” y
“users”
Contiene los ficheros “tombstone_00”, “tombstone_01”, “tombstone_02”,
Tombstones “tombstone_03”, “tombstone_04”, “tombstone_05”, “tombstone_06”,
“tombstone_07”, “tombstone_08” y“tombstone_09”
Espacio no
Contiene dos archivos denominados “0001807” y “1673513”
asignado
222
Fuente (Autora)
 Seguidamente se extrae los archivos databases de las rutas anteriormente

mencionadas, las cuales contienen los mismos datos, de las imágenes
generadas anteriormente.
 Se visualizó el contenido de los archivos con el lector de sql (SQLiteBrowser)
Tabla 86: Datos archivos

Objetivo Archivo Tabla
Historial de navegación browser2.db History
Descargas sisodownloads.db Sisodownloads
icingcorpora.db Applications
Aplicaciones localappstate.db Appstate
dmappmgr.db ApplicationControl
Fuente (Autora)
Figura 99: Tablas archivo browser2

Fuente (Autora)
Figura 100: Datos archivo browser2 - Tabla History

Fuente (Autora)
223
Figura 101: Tablas archivo sisodownloads
Fuente (Autora)
Figura 102: Datos archivo sisodownloads - Tabla sisodownloads

Fuente (Autora)
Figura 103: Tablas archivo icingcorpora

Fuente (Autora)
224
Figura 104: Datos archivo icingcorpora- Tabla applications
Fuente (Autora)
Figura 105: Tablas archivo localappstate

Fuente (Autora)
Figura 106: Datos archivo localappstate - Tabla appstate

Fuente (Autora)
225
 Para verificar las aplicaciones instaladas y desinstaladas, se realizó la
exportación de los datos a csv. El visor del mismo es Microsoft Excel.
Figura 107: Exportación datos a archivo con extensión ".csv"

Fuente (Autora)
2) Resultados
El archivo browser2.db nos encontramos con las siguientes tablas “_sync_state”,

“_sync_state_metadata”, “android_metadata”, “bookmarks”, “history”, “images”,
“opbookmarks”, “sbookmarkwidget”, “searches”, “settings”, “sqlite_sequence” y
“thumbnails” para lo cual se analizara la tabla “history” que contiene las siguientes
columnas:
_id, title, url, created, date, visits, user_entered
Los datos de interés para el análisis de la tabla “history” son:
Tabla 87: Columnas de interés tabla history

title Título de la página web consultada
url url o dirección web de la página consultada
date Fecha en la que se realiza la consulta
visits Número de visitas realizadas a la página web
Fuente (Autora)
226
Datos:
Tabla 88: Datos historial de navegación sin convertir fecha

Web Authentication
http://clients3.google.com/generate_204 1396433625555 1
Redirect
PÃ¡gina web no
https://wireless.utpl.edu.ec/login.html 1403860785749 5
disponible
Web Authentication http://www.utpl.edu.ec/vinculacion/relaciones
1403860744831 3
Redirect -institucionales/relaciones-nacionales
Yourself. - Buscar con suggest&v=200400000&qsubts=1396434764 1396434764919 1
YouTube - Broadcast http://m.youtube.com/watch?v=A6O0fdpN2J
1396434785378 4
Yourself - YouTube 8
FINAL CAMPEONATO
EUROPA 2007
http://www.youtube.com/watch?v=A6O0fdpN
VOLEIBOL RUSIA 2 - 3 1396435163816 6
2J8
YouTube
PÃ¡gina web no
http://201.218.56.219/generate_204 1396438157272 1
disponible
Web Authentication http://m.youtube.com/watch?v=_MOPzlHLEB
1396438157451 1
Redirect g
Web Authentication 1396439796057 2
t=m.youtube.com/watch?v=AhX7La7zpr0
t=201.218.56.219/generate_204
Web Authentication du.ec/login.html&ap_mac=2c:3f:38:31:53:20 1396438203701 1
.219/generate_204
Universidad Tecnica
Particular de Loja - U T http://www.utpl.edu.ec/ 1401358198211 3
P L | Ecuador
Web Authentication
http://201.218.56.223/generate_204 1396439795783 1
Redirect
PÃ¡gina web no
h/login.html?switch_url=https://wireless.utpl.e 1396439796830 1
disponible
227
t=201.218.56.223/generate_204
t=www.utpl.edu.ec/
PÃ¡gina web no
du.ec/login.html&ap_mac=2c:3f:38:31:53:20 1396439797246 1
disponible
.223/generate_204
PÃ¡gina web no
du.ec/login.html&ap_mac=2c:3f:38:31:53:20 1396439797421 1
disponible
du.ec/
http://www.google.com.ec/?gfe_rd=cr&ei=Sk
Google 1401358228976 2
2HU-3_EYTA8Qaiw4CYBA
contiene las actividades
http://www.google.com/ 1401358281774 1
del dispositivo - Buscar
con Google
http://eva1.utpl.edu.ec/l
http://eva1.utpl.edu.ec/loginutpl/index.php 1401358330156 1
oginutpl/index.php
Universidad TÃ©cnica
http://eva1.utpl.edu.ec/ 1401358369092 2
Particular de Loja
Curso: PROYECTO DE
FIN DE CARRERA http://eva1.utpl.edu.ec/course/view.php?id=5
1401358398282 1
PLATINIUM II GP4.2 7290
[A]
https://eva1.utpl.edu.ec/
https://eva1.utpl.edu.ec/loginutpl/index.php 1401358627374 2
loginutpl/index.php
http://www.google.com.ec/?gfe_rd=cr&ei=hN
Google 1401981642044 2
CQU-quL9Dn9Aah14GgCA
cyanomod - Buscar con
http://google.com/ 1401981667185 1
Google
cyanomodgen - Buscar http://www.google.com.ec/?gfe_rd=cr&ei=hN
1401981667814 1
con Google CQU-quL9Dn9Aah14GgCA#q=cyanomod
Community Operating http://www.cyanogenmod.org/ 1401981672974 1
System
CyanogenMod | http://beta.download.cyanogenmod.org/instal
1402361865359 7
Downloads l
228
CyanogenMod | http://beta.download.cyanogenmod.org/instal
1401981853410 2
Downloads l/app
Rescue Root | One
Click Root Android http://rescueroot.com/ 1402361855699 4
Software
Download Rescue
Root! Confirms Root http://rescueroot.com/download/ 1402012782448 2
Support for Free
http://poll-
Encuestas para en.herokuapp.com/encuesta/premiosgamela
1402216436322 1
facebook b2014?mobile=1&ref=web_canvas&from=ad
min_wall#_=_
http://poll-
Encuestas para
en.herokuapp.com/encuesta/polls/premiosga 1402361855101 2
facebook
root samsung galaxy
=&hl=es-ES&safe=images&oe=utf-
tab 2 10.1 gt-p5113
8&q=rootear%20samsjng&source=android- 1402361907975 1
android 4.2.2 - Buscar
browser-
con Google
Update Samsung
http://www.droidviews.com/update-samsung-
Galaxy Tab 2 10.1 (GT-
galaxy-tab-2-10-1-gt-p5113-wifi-to-android-4- 1402391747671 24
P5113) WiFi to Android
2-2/
4.2.2
How to Root Galaxy
Tab 2 10.1 GT-P5113
Running Android 4.2.2 http://nasirtech.blogspot.com/2013/12/root-
JB Stock Firmware | galaxy-tab2-10-1-p5113-running-android- 1402362039078 1
NasirTech | #1 422-jb-stock-firmware.html
Samsung Firmware
Destination
Galaxy Tab 2 10.1
(P5100/P5110/P5113): http://getmovil.com/samsung/instalar-
1402363350682 17
Instalar Android 4.2.2 android-4-2-2-galaxy-tab-2-10-1/
con Root
Root/CF-Auto-Root/CF-Auto-Root-
CF-Root Download 1402388588557 4
espresso10wifi-espresso10wifibby-
gtp5113.zip
Web Authentication t=www.utpl.edu.ec/vinculacion/relaciones- 1403860746305 1
Web Authentication https://wireless.utpl.edu.ec/fs/customwebaut 1403860746554 1
229
&wlan=Personal_UTPL&statusCode=5&redir
Fuente (Autora)
Se procede a convertir la fecha, para su respectiva interpretación.
Tabla 89: Datos historial de navegación

http://clients3.google.com/generate_204 1
Redirect 05:13:45
https://wireless.utpl.edu.ec/login.html 5
disponible 04:19:45
Web Authentication http://www.utpl.edu.ec/vinculacion/relaciones 2014-06-27
3
Redirect -institucionales/relaciones-nacionales 04:19:04
2014-04-02
Yourself. - Buscar con suggest&v=200400000&qsubts=1396434764 1
05:32:44
YouTube - Broadcast http://m.youtube.com/watch?v=A6O0fdpN2J 2014-04-02
4
Yourself - YouTube 8 05:33:05
FINAL CAMPEONATO
EUROPA 2007
http://www.youtube.com/watch?v=A6O0fdpN 2014-04-02
VOLEIBOL RUSIA 2 - 3 6
2J8 05:39:23
YouTube
http://201.218.56.219/generate_204 1
disponible 06:29:17
Web Authentication http://m.youtube.com/watch?v=_MOPzlHLEB 2014-04-02
1
Redirect g 06:29:17
t=m.youtube.com/watch?v=AhX7La7zpr0 06:56:36
t=201.218.56.219/generate_204 06:30:03
Web Authentication https://wireless.utpl.edu.ec/fs/customwebaut 2014-04-02 1
230
h/login.html?switch_url=https://wireless.utpl.e 06:30:03
.219/generate_204
Universidad Tecnica
2014-05-29
Particular de Loja - U T http://www.utpl.edu.ec/ 3
05:09:58
P L | Ecuador
http://201.218.56.223/generate_204 1
Redirect 06:56:35
du.ec/login.html&ap_mac=2c:3f:38:31:53:20 1
disponible 06:56:36
t=201.218.56.223/generate_204 06:56:36
t=www.utpl.edu.ec/ 06:56:37
disponible 06:56:37
.223/generate_204
disponible 06:56:37
du.ec/
http://www.google.com.ec/?gfe_rd=cr&ei=Sk 2014-05-29
Google 2
2HU-3_EYTA8Qaiw4CYBA 05:10:28
contiene las actividades 2014-05-29
http://www.google.com/ 1
del dispositivo - Buscar 05:11:21
con Google
http://eva1.utpl.edu.ec/l 2014-05-29
http://eva1.utpl.edu.ec/loginutpl/index.php 1
oginutpl/index.php 05:12:10
http://eva1.utpl.edu.ec/ 2
Curso: PROYECTO DE
FIN DE CARRERA http://eva1.utpl.edu.ec/course/view.php?id=5 2014-05-29
1
PLATINIUM II GP4.2 7290 05:13:18
[A]
https://eva1.utpl.edu.ec/ https://eva1.utpl.edu.ec/loginutpl/index.php 2014-05-29 2
231
loginutpl/index.php 05:17:07
http://www.google.com.ec/?gfe_rd=cr&ei=hN 2014-06-05
Google 2
CQU-quL9Dn9Aah14GgCA 10:20:42
http://google.com/ 1
Google 10:21:07
cyanomodgen - Buscar http://www.google.com.ec/?gfe_rd=cr&ei=hN 2014-06-05
1
con Google CQU-quL9Dn9Aah14GgCA#q=cyanomod 10:21:07
2014-06-05
Community Operating http://www.cyanogenmod.org/ 1
10:21:12
System
CyanogenMod | http://beta.download.cyanogenmod.org/instal 2014-06-09
7
Downloads l 19:57:45
CyanogenMod | http://beta.download.cyanogenmod.org/instal 2014-06-05
2
Downloads l/app 10:24:13
Rescue Root | One
2014-06-09
Click Root Android http://rescueroot.com/ 4
19:57:35
Software
Download Rescue
2014-06-05
Root! Confirms Root http://rescueroot.com/download/ 2
18:59:42
Support for Free
http://poll-
Encuestas para en.herokuapp.com/encuesta/premiosgamela 2014-06-08
1
facebook b2014?mobile=1&ref=web_canvas&from=ad 03:33:56
min_wall#_=_
http://poll-
Encuestas para 2014-06-09
en.herokuapp.com/encuesta/polls/premiosga 2
facebook 19:57:35
root samsung galaxy
=&hl=es-ES&safe=images&oe=utf-
tab 2 10.1 gt-p5113 2014-06-09
8&q=rootear%20samsjng&source=android- 1
android 4.2.2 - Buscar 19:58:27
browser-
con Google
Update Samsung
http://www.droidviews.com/update-samsung-
Galaxy Tab 2 10.1 (GT- 2014-06-10
galaxy-tab-2-10-1-gt-p5113-wifi-to-android-4- 24
P5113) WiFi to Android 04:15:47
2-2/
4.2.2
How to Root Galaxy
Tab 2 10.1 GT-P5113
Running Android 4.2.2 http://nasirtech.blogspot.com/2013/12/root-
2014-06-09
JB Stock Firmware | galaxy-tab2-10-1-p5113-running-android- 1
20:00:39
NasirTech | #1 422-jb-stock-firmware.html
Samsung Firmware
Destination
232
Galaxy Tab 2 10.1
(P5100/P5110/P5113): http://getmovil.com/samsung/instalar- 2014-06-09
17
Instalar Android 4.2.2 android-4-2-2-galaxy-tab-2-10-1/ 20:22:30
con Root
Root/CF-Auto-Root/CF-Auto-Root- 2014-06-10
CF-Root Download 4
espresso10wifi-espresso10wifibby- 03:23:08
gtp5113.zip
2014-06-27
Web Authentication t=www.utpl.edu.ec/vinculacion/relaciones- 1
04:19:06
&wlan=Personal_UTPL&redirect=www.utpl.e 04:19:06
&wlan=Personal_UTPL&statusCode=5&redir 12:57:28
Fuente (Autora)
Descargas
En el archivo “sisodownloads.db” se encuentran tres tablas “android_metadata”,

“sisodownloads” y “sqlite_secuence”, para lo cual se analizara la tabla “sisodownloads”
que contiene las siguientes columnas:
current_bytes, etag, uid, otheruid, title, description, downloadmethod, state,
storagetype, dd_primaryMimeType, dd_SecondaryMimeType1,
dd_SecondaryMimeType2, dd_fileName, dd_vendor, dd_description, dd_contentSize,
dd_objUrl, dd_notifyurl, dd_majorVersion, scanned
Los datos de interés para el análisis de la tabla “sisodownloads” son:
233
Tabla 90: Columnas de interés tabla sisodownloads
Fuente (Autora)
Datos:
Tabla 91: Datos de las descargas sin convertir fecha

http://dist01.slc.cy file:///storage/emul 1401981861 Mozilla/5.0 (Linux; U; OneClick.apk
ngn.com/OneClick ated/0/Download/ 025 Android 4.2.2; es-es; GT-
.apk OneClick.apk P5113 Build/JDQ39)
AppleWebKit/534.30
(KHTML, like Gecko)
http://api.kbm2.co file:///storage/emul 1402012808 Mozilla/5.0 (Linux; U; RescueRoot.exe
m/downloadLaunc ated/0/Download/ 342 Android 4.2.2; es-es; GT-
her.ashx?cid=134 RescueRoot.exe P5113 Build/JDQ39)
(KHTML, like Gecko)
http://api.kbm2.co file:///storage/emul 1402012813 Mozilla/5.0 (Linux; U; RescueRoot-1.exe
(KHTML, like Gecko)
(KHTML, like Gecko)
(KHTML, like Gecko)
234
http://api.kbm2.co file:///storage/emul 1402012848 Mozilla/5.0 (Linux; U; RescueRoot-1-
m/downloadLaunc ated/0/Download/ 386 Android 4.2.2; es-es; GT- 1.exe
(KHTML, like Gecko)
Fuente (Autora)
Convertir fecha:
Tabla 92: Datos de las descargas

Mozilla/5.0 (Linux; U; Android
4.2.2; es-es; GT-P5113
http://dist01.slc. file:///storage/em
2014-06-05 Build/JDQ39)
cyngn.com/One ulated/0/Downlo OneClick.apk
10:24:21 AppleWebKit/534.30 (KHTML,
Click.apk ad/OneClick.apk
like Gecko) Version/4.0
Safari/534.30
http://api.kbm2.c file:///storage/em 4.2.2; es-es; GT-P5113
om/downloadLa ulated/0/Downlo 2014-06-05 Build/JDQ39) RescueRoot.
uncher.ashx?cid ad/RescueRoot. 19:00:08 AppleWebKit/534.30 (KHTML, exe
=1349 exe like Gecko) Version/4.0
Safari/534.30
om/downloadLa ulated/0/Downlo 2014-06-05 Build/JDQ39) RescueRoot-
uncher.ashx?cid ad/RescueRoot. 19:00:13 AppleWebKit/534.30 (KHTML, 1.exe
Safari/534.30
uncher.ashx?cid ad/RescueRoot. 19:00:22 AppleWebKit/534.30 (KHTML, 2.exe
Safari/534.30
http://api.kbm2.c file:///storage/em Mozilla/5.0 (Linux; U; Android
om/downloadLa ulated/0/Downlo 2014-06-05 4.2.2; es-es; GT-P5113 RescueRoot-
uncher.ashx?cid ad/RescueRoot. 19:00:37 Build/JDQ39) 3.exe
=1349 exe AppleWebKit/534.30 (KHTML,
235
like Gecko) Version/4.0
Safari/534.30
uncher.ashx?cid ad/RescueRoot. 19:00:48 AppleWebKit/534.30 (KHTML, 1-1.exe
Safari/534.30
Fuente (Autora)
Tabla 93: Número de descargas

title # de descargas
OneClick.apk 1
RescueRoot.exe 5
Fuente (Autora)
Aplicaciones


columna “first_download” del archivo “localappstate.db”, el valor “0”, el cual representa
que la descarga no fue satisfactoria. En el mismo archivo se encuentran todas las
aplicaciones que han sido descargadas e instaladas en el dispositivo, el mismo que no
define las aplicaciones desinstaladas. Cabe mencionar que el archivo packages.xml
contiene el mismo número de aplicaciones que el archivo “icingcorpora.db”.


delivery_data_timestamp_ms, installer_state, first_download_ms, referrer, account,
title, flags, continue_url, last_notified_version, last_update_timestamp_ms,
account_for_update, auto_acquire_tags, external_referrer_timestamp_ms
La estructura de la tabla “appstate” es:
Tabla 94: Estructura tabla appstate
236
Hace referencia a la auto descarga de actualizaciones de la
auto_update aplicación, la cual 1 representa “Descargar automáticamente las
title Titulo o nombre de la aplicación
Fuente (Autora)
Datos:
Tabla 95: Datos aplicaciones
delivery_data
auto_up
first_download_
date
package_name _timestamp_ account title

ms
ms
139994967388 jkatecuenca@g
com.sec.pcw 1 1399949676370 Samsung Link
1 mail.com
139995211106 jkatecuenca@g
com.sec.chaton 1 1399952112878 ChatON
9 mail.com
com.google.andr
139995822840 jkatecuenca@g BÃºsqueda de
oid.googlequicks 1 1399958229702
4 mail.com Google
earchbox
com.disney.wher
140158433620 zeusprince8@g Where's My
esmymickeyfree 1 1401584338092
3 mail.com Mickey? Gratis
_goo
com.disney.male 140158467978 zeusprince8@g MALÃ‰FICA
2 0
ficent_goo 5 mail.com Free Fall
com.disney.froze 140158484633 zeusprince8@g
2 0 Frozen Free Fall
nsaga_goo 3 mail.com
com.google.andr 140158385250 zeusprince8@g Servicios de
1 1399860772282
oid.gms 5 mail.com Google Play
com.sec.spp.pus 139996360064 jkatecuenca@g Samsung push
1 1399963606715
h 4 mail.com service
com.noshufou.a 140236024914 zeusprince8@g
1 1402360251421 Superuser
ndroid.su 8 mail.com
com.joeykrim.roo 140236040233 zeusprince8@g
1 1402360404103 Root Checker
tcheck 9 mail.com
com.keramidas. 140236112816 zeusprince8@g Titanium Backup
1 1402361130541
TitaniumBackup 5 mail.com â˜… root
com.hp.android. 140249580723 zeusprince8@g Complemento de
1 1399958012958
printservice 0 mail.com servicio
com.google.andr 2 140249725134 1399963635739 zeusprince8@g Gmail
237
oid.gm 9 mail.com
com.gameloft.an
140249863775 zeusprince8@g Real Football
droid.ANMP.Glof 2 0
7 mail.com 2013
tR3HM
com.ea.game.fif 140261506372 zeusprince8@g FIFA 14, de EA
2 0
a14_row 9 mail.com SPORTSâ„¢
com.gameloft.an GRU. MI
140158488733 zeusprince8@g
droid.ANMP.Glof 1 1401584888474 VILLANO
6 mail.com
tDMHM FAVORITO
com.google.andr
140158428003 zeusprince8@g Google Play
oid.apps.magazi 1 1399955773866
1 mail.com Kiosco
nes
com.google.andr 140355376446 zeusprince8@g Google Play
1 1399949173762
oid.videos 7 mail.com Movies
com.dropbox.an 140355405055 zeusprince8@g
1 1402495341180 Dropbox
droid 1 mail.com
com.google.andr 140355424801 zeusprince8@g SÃntesis de voz
1 1399948927994
oid.tts 6 mail.com de Google
com.google.andr 140355550089 zeusprince8@g Google Play
1 1403555502038
oid.apps.books 8 mail.com Books
com.google.andr 140355451527 zeusprince8@g
1 1399953914813 YouTube
oid.youtube 2 mail.com
com.netflix.medi 140373882365 zeusprince8@g
1 1402495139939 Netflix
aclient 3 mail.com
com.amazon.kin 140405940761 zeusprince8@g
1 1399948032250 Kindle
dle 8 mail.com
com.disney.wher 140406063126 zeusprince8@g WhereÂ´s My
1 1404060633968
esmywater2_goo 7 mail.com Water? 2
com.samsung.gr 140406466522 zeusprince8@g
2 1402497491967 GROUP PLAY
oupcast 9 mail.com
com.estrongs.an 140406524139 zeusprince8@g ES Explorador de
1 1404065243147
droid.pop 2 mail.com Archivos
2 1402615071104 Hangouts
oid.talk 5 mail.com
Peel Smart
com.peel.app 1 1399956140475 Remote (Galaxy
2 mail.com
Tab)
2 1399959769151 Google+
oid.apps.plus 4 mail.com
2 1404073425233 Maps
oid.apps.maps 5 mail.com
mobi.mgeek.Tun 140407425811 zeusprince8@g
1 1404074259410 Dolphin Browser
nyBrowser 3 mail.com
238
com.google.andr
oid.marvin.talkba 2 1404059379314 Google Talkback
9 mail.com
ck
Clean
com.cleanmaster 140407485409 zeusprince8@g
1 1404074855089 Master(Optimiza
.mguard 0 mail.com
memoria)
com.olx.olx 1 0 0
com.bancodegu 140406440688 zeusprince8@g Banca Virtual
1 1404064408373
ayaquil 1 mail.com MÃ³vil
com.ea.game.pv 140406622326 zeusprince8@g Plants vs.
1 1404072794583
z2_row 3 mail.com Zombiesâ„¢ 2
com.sec.app.sa
140420754729 zeusprince8@g Samsung Print
msungprintservic 1 1402496921399
9 mail.com Service Plugin
e
eu.chainfire.supe 140420770912 zeusprince8@g
1 1402495328957 SuperSU
rsu 5 mail.com
1 1399963323322 Google Drive
oid.apps.docs 6 mail.com
Fuente (Autora)
Al convertir la fecha13, 14 tenemos lo siguiente:
Tabla 96: Datos aplicaciones conversión fecha

auto_update
delivery_dat
first_downl
package_name a_timestam account title
oad_ms
p_ms
com.sec.pcw 1 2014-05-12 2014-05-12 jkatecuenca@gmail Samsung Link

21:54:33 21:54:36 .com
com.sec.chaton 1 2014-05-12 2014-05-12 jkatecuenca@gmail ChatON
22:35:11 22:35:12 .com
com.google.android.goo 1 2014-05-13 2014-05-13 jkatecuenca@gmail BÃºsqueda de
glequicksearchbox 00:17:08 00:17:09 .com Google
com.disney.wheresmym 1 2014-05-31 2014-05-31 zeusprince8@gmail Where's My
ickeyfree_goo 19:58:56 19:58:58 .com Mickey? Gratis
com.disney.maleficent_ 2 2014-05-31 0 zeusprince8@gmail MALÃ‰FICA
goo 20:04:39 .com Free Fall
com.disney.frozensaga_ 2 2014-05-31 0 zeusprince8@gmail Frozen Free Fall
goo 20:07:26 .com
com.google.android.gm 1 2014-05-31 2014-05-11 zeusprince8@gmail Servicios de
s 19:50:52 21:12:52 .com Google Play
13
http://www.fileformat.info/tip/java/date2millis.htm
14
http://www.epochconverter.com/
239
com.sec.spp.push 1 2014-05-13 2014-05-13 jkatecuenca@gmail Samsung push
01:46:40 01:46:46 .com service
com.noshufou.android.s 1 2014-06-09 2014-06-09 zeusprince8@gmail Superuser
u 19:30:49 19:30:51 .com
com.joeykrim.rootcheck 1 2014-06-09 2014-06-09 zeusprince8@gmail Root Checker
19:33:22 19:33:24 .com
com.keramidas.Titaniu 1 2014-06-09 2014-06-09 zeusprince8@gmail Titanium Backup
mBackup 19:45:28 19:45:30 .com â˜… root
com.hp.android.printser 1 2014-06-11 2014-05-13 zeusprince8@gmail Complemento de
vice 09:10:07 00:13:32 .com servicio
com.google.android.gm 2 2014-06-11 2014-05-13 zeusprince8@gmail Gmail
09:34:11 01:47:15 .com
com.gameloft.android.A 2 2014-06-11 0 zeusprince8@gmail Real Football
NMP.GloftR3HM 09:57:17 .com 2013
com.ea.game.fifa14_ro 2 2014-06-12 0 zeusprince8@gmail FIFA 14, de EA
w 18:17:43 .com SPORTSâ„¢
com.gameloft.android.A 1 2014-05-31 2014-05-31 zeusprince8@gmail GRU. MI
NMP.GloftDMHM 20:08:07 20:08:08 .com VILLANO
FAVORITO
com.google.android.app 1 2014-05-31 2014-05-12 zeusprince8@gmail Google Play
s.magazines 19:58:00 23:36:13 .com Kiosco
com.google.android.vid 1 2014-06-23 2014-05-12 zeusprince8@gmail Google Play
eos 15:02:44 21:46:13 .com Movies
com.dropbox.android 1 2014-06-23 2014-06-11 zeusprince8@gmail Dropbox
15:07:30 09:02:21 .com
com.google.android.tts 1 2014-06-23 2014-05-12 zeusprince8@gmail SÃntesis de voz
15:10:48 21:42:07 .com de Google
com.google.android.app 1 2014-06-23 2014-06-23 zeusprince8@gmail Google Play
s.books 15:31:40 15:31:42 .com Books
com.google.android.you 1 2014-06-23 2014-05-12 zeusprince8@gmail YouTube
tube 15:15:15 23:05:14 .com
com.netflix.mediaclient 1 2014-06-25 2014-06-11 zeusprince8@gmail Netflix
18:27:03 08:58:59 .com
com.amazon.kindle 1 2014-06-29 2014-05-12 zeusprince8@gmail Kindle
11:30:07 21:27:12 .com
com.disney.wheresmyw 1 2014-06-29 2014-06-29 zeusprince8@gmail WhereÂ´s My
ater2_goo 11:50:31 11:50:33 .com Water? 2
com.samsung.groupcas 2 2014-06-29 2014-06-11 zeusprince8@gmail GROUP PLAY
t 12:57:45 09:38:11 .com
com.estrongs.android.p 1 2014-06-29 2014-06-29 zeusprince8@gmail ES Explorador de
op 13:07:21 13:07:23 .com Archivos
com.google.android.talk 2 2014-06-29 2014-06-12 zeusprince8@gmail Hangouts
13:13:13 18:17:51 .com
240
com.peel.app 1 2014-06-29 2014-05-12 zeusprince8@gmail Peel Smart
15:42:08 23:42:20 .com Remote (Galaxy
Tab)
com.google.android.app 2 2014-06-29 2014-05-13 zeusprince8@gmail Google+
s.plus 12:27:13 00:42:49 .com
com.google.android.app 2 2014-06-29 2014-06-29 zeusprince8@gmail Maps
s.maps 15:23:42 15:23:45 .com
mobi.mgeek.TunnyBrow 1 2014-06-29 2014-06-29 zeusprince8@gmail Dolphin Browser
ser 15:37:38 15:37:39 .com
com.google.android.mar 2 2014-06-29 2014-06-29 zeusprince8@gmail Google Talkback
vin.talkback 11:29:37 11:29:39 .com
com.cleanmaster.mguar 1 2014-06-29 2014-06-29 zeusprince8@gmail Clean
d 15:47:34 15:47:35 .com Master(Optimiza
memoria)
com.olx.olx 1 0 0
com.bancodeguayaquil 1 2014-06-29 2014-06-29 zeusprince8@gmail Banca Virtual
12:53:26 12:53:28 .com MÃ³vil
com.ea.game.pvz2_row 1 2014-06-29 2014-06-29 zeusprince8@gmail Plants vs.
13:23:43 15:13:14 .com Zombiesâ„¢ 2
com.sec.app.samsungp 1 2014-07-01 2014-06-11 zeusprince8@gmail Samsung Print
rintservice 04:39:07 09:28:41 .com Service Plugin
eu.chainfire.supersu 1 2014-07-01 2014-06-11 zeusprince8@gmail SuperSU
04:41:49 09:02:08 .com
com.google.android.app 1 2014-07-01 2014-05-13 zeusprince8@gmail Google Drive
s.docs 04:42:04 01:42:03 .com
Fuente (Autora)
Mientras que en el archivo icingcorpora.db, se registran todas las aplicaciones que se

encuentran instaladas y en ejecución en el dispositivo. El mismo en el que
encontramos catorce tablas, por lo que la tabla de interés es “applications” la cual
contiene los siguientes datos:
_id, display_name, icon_uri, package_name, class_name, score, uri,

created_timestamp_ms
Tabla 97: Columnas de interés tabla applications

Fuente (Autora)
241
Datos:
Tabla 98: Datos tabla applications

display_name package_name created_timestamp_ms
CÃ¡mara com.sec.android.app.camera 1359670000000
Internet com.android.browser 1359670000000
Contactos com.android.contacts 1359670000000
Correo electrÃ³nico com.android.email 1359670000000
Notas com.sec.android.app.memo 1359670000000
Calendario com.android.calendar 1359670000000
Reproductor de com.sec.android.app.music 1359670000000
mÃºsica
Gmail com.google.android.gm 1347000000000
Play Store com.android.vending 1359670000000
GalerÃa com.sec.android.gallery3d 1359670000000
Ajustes com.android.settings 1359670000000
Screensaver kr.co.rightbrain.ScreenSaver.GalaxyTab2_10_ 1396430000000
1
Play Books com.google.android.apps.books 1217590000000
Maps com.google.android.apps.maps 1359670000000
Local com.google.android.apps.maps 1359670000000
Navigation com.google.android.apps.maps 1359670000000
Game Hub com.sec.android.app.gamehub 1359670000000
Ayuda com.samsung.helphub 1217590000000
Readers Hub com.sec.android.app.readershub 1359670000000
Media Hub com.samsung.mediahub 1217590000000
Descargas com.android.providers.downloads.ui 1359670000000
Paper Artist com.dama.paperartist 1217590000000
Next Issue com.nim.discovery 1217590000000
Mis archivos com.sec.android.app.myfiles 1359670000000
Reproductor de vÃ- com.sec.android.app.videoplayer 1359670000000
deo
S Suggest com.tgrape.android.radar 1359670000000
Netflix com.netflix.mediaclient 1217590000000
Calculadora com.sec.android.app.popupcalculator 1359670000000
Reloj mundial com.sec.android.app.worldclock 1217590000000
Editor de vÃdeo com.sec.android.app.ve 1359670000000
Music Hub com.samsung.music 1217590000000
Editor de fotos com.sec.android.mimage.photoretouching 1359670000000
Polaris Office com.infraware.PolarisOfficeStdForTablet 1359670000000
Alarma com.android.deskclock 1359670000000
Drive com.google.android.apps.docs 1217590000000
242
Play Games com.google.android.play.games 1217590000000
Play Music com.google.android.music 1359670000000
Google+ com.google.android.apps.plus 1359670000000
Fotos com.google.android.apps.plus 1359670000000
Ajustes de Google com.google.android.gms 1217590000000
Hangouts com.google.android.talk 1359670000000
Dropbox com.dropbox.android 1359670000000
Amazon Kindle com.amazon.kindle 1396440000000
Play Movies com.google.android.videos 1359670000000
Samsung Link com.sec.pcw 1359670000000
ChatON com.sec.chaton 1217590000000
YouTube com.google.android.youtube 1396440000000
Play Kiosco com.google.android.apps.magazines 1359670000000
Smart Remote com.peel.app 1396440000000
Minion Rush com.gameloft.android.ANMP.GloftDMHM 1401590000000
Samsung Apps com.sec.android.app.samsungapps 1359670000000
Root Checker Basic com.joeykrim.rootcheck 1402360000000
Titanium Backup com.keramidas.TitaniumBackup 1402360000000
SuperSU eu.chainfire.supersu 1402420000000
Group Play com.samsung.groupcast 1217590000000
MOBILedit! com.compelson.meconnector 1403440000000
Connector
Water? 2 com.disney.wheresmywater2_goo 1404060000000
ES File Explorer com.estrongs.android.pop 1404070000000
PvZ 2 com.ea.game.pvz2_row 1404070000000
Navegador Dolphin mobi.mgeek.TunnyBrowser 1404070000000
Fuente (Autora)
Se procede a convertir fecha para una mejor interpretación.
Tabla 99: Datos tabla applications conversión fecha

created_timestamp
display_name package_name
_ms
CÃ¡mara com.sec.android.app.camera 31/01/2013 16:47
Internet com.android.browser 31/01/2013 16:48
Contactos com.android.contacts 31/01/2013 16:48
Correo electrÃ³nico com.android.email 31/01/2013 16:48
Notas com.sec.android.app.memo 31/01/2013 16:49
Calendario com.android.calendar 31/01/2013 16:48
Reproductor de com.sec.android.app.music 31/01/2013 16:49
mÃºsica
Gmail com.google.android.gm 07/09/2012 2:23
Play Store com.android.vending 31/01/2013 16:47
243
GalerÃa com.sec.android.gallery3d 31/01/2013 16:48
Ajustes com.android.settings 31/01/2013 16:49
Screensaver kr.co.rightbrain.ScreenSaver.GalaxyTab2_10_1 02/04/2014 5:25
Play Books com.google.android.apps.books 01/08/2008 7:00
Maps com.google.android.apps.maps 31/01/2013 16:46
Local com.google.android.apps.maps 31/01/2013 16:46
Navigation com.google.android.apps.maps 31/01/2013 16:46
Game Hub com.sec.android.app.gamehub 31/01/2013 16:46
Ayuda com.samsung.helphub 01/08/2008 7:00
Readers Hub com.sec.android.app.readershub 31/01/2013 16:47
Media Hub com.samsung.mediahub 01/08/2008 7:00
Descargas com.android.providers.downloads.ui 31/01/2013 16:48
Paper Artist com.dama.paperartist 01/08/2008 7:00
Next Issue com.nim.discovery 01/08/2008 7:00
Mis archivos com.sec.android.app.myfiles 31/01/2013 16:49
Reproductor de vÃ- com.sec.android.app.videoplayer 31/01/2013 16:49
deo
S Suggest com.tgrape.android.radar 31/01/2013 16:47
Netflix com.netflix.mediaclient 01/08/2008 7:00
Calculadora com.sec.android.app.popupcalculator 31/01/2013 16:48
Reloj mundial com.sec.android.app.worldclock 01/08/2008 7:00
Editor de vÃdeo com.sec.android.app.ve 31/01/2013 16:49
Music Hub com.samsung.music 01/08/2008 7:00
Editor de fotos com.sec.android.mimage.photoretouching 31/01/2013 16:47
Polaris Office com.infraware.PolarisOfficeStdForTablet 31/01/2013 16:47
Alarma com.android.deskclock 31/01/2013 16:49
Drive com.google.android.apps.docs 01/08/2008 7:00
Play Games com.google.android.play.games 01/08/2008 7:00
Play Music com.google.android.music 31/01/2013 16:46
Google+ com.google.android.apps.plus 31/01/2013 16:47
Fotos com.google.android.apps.plus 31/01/2013 16:47
Ajustes de Google com.google.android.gms 01/08/2008 7:00
Hangouts com.google.android.talk 31/01/2013 16:49
Dropbox com.dropbox.android 31/01/2013 16:46
Amazon Kindle com.amazon.kindle 02/04/2014 6:20
Play Movies com.google.android.videos 31/01/2013 16:49
Samsung Link com.sec.pcw 31/01/2013 16:45
ChatON com.sec.chaton 01/08/2008 7:00
YouTube com.google.android.youtube 02/04/2014 6:47
Play Kiosco com.google.android.apps.magazines 31/01/2013 16:46
Smart Remote com.peel.app 02/04/2014 6:20
Minion Rush com.gameloft.android.ANMP.GloftDMHM 31/05/2014 20:17
Samsung Apps com.sec.android.app.samsungapps 31/01/2013 16:47
244
Root Checker Basic com.joeykrim.rootcheck 09/06/2014 19:33
Titanium Backup com.keramidas.TitaniumBackup 09/06/2014 19:49
SuperSU eu.chainfire.supersu 10/06/2014 11:29
Group Play com.samsung.groupcast 01/08/2008 7:00
MOBILedit! Connector com.compelson.meconnector 22/06/2014 6:33
Water? 2 com.disney.wheresmywater2_goo 29/06/2014 12:26
ES File Explorer com.estrongs.android.pop 29/06/2014 13:10
PvZ 2 com.ea.game.pvz2_row 29/06/2014 15:19
Navegador Dolphin mobi.mgeek.TunnyBrowser 29/06/2014 15:41
Fuente (Autora)
Se realiza una comparación entre los datos de los archivos “localappstate.db” e

“icingcorpora.db”, prevaleciendo los datos del archivo “icingcorpora”, ya que aquí
encontramos las aplicaciones que se encuentran en ejecución en el dispositivo.
Tabla 100: Aplicaciones instaladas

display_name package_name
CÃ¡mara com.sec.android.app.camera
Internet com.android.browser
Contactos com.android.contacts
Correo electrÃ³nico com.android.email
Notas com.sec.android.app.memo
Calendario com.android.calendar
Reproductor de mÃºsica com.sec.android.app.music
Gmail com.google.android.gm
Play Store com.android.vending
GalerÃa com.sec.android.gallery3d
Ajustes com.android.settings
Screensaver kr.co.rightbrain.ScreenSaver.GalaxyTab2_10_1
Play Books com.google.android.apps.books
Maps com.google.android.apps.maps
Local com.google.android.apps.maps
Navigation com.google.android.apps.maps
Game Hub com.sec.android.app.gamehub
Ayuda com.samsung.helphub
Readers Hub com.sec.android.app.readershub
Media Hub com.samsung.mediahub
Descargas com.android.providers.downloads.ui
Paper Artist com.dama.paperartist
Next Issue com.nim.discovery
245
Mis archivos com.sec.android.app.myfiles
Reproductor de vÃdeo com.sec.android.app.videoplayer
S Suggest com.tgrape.android.radar
Netflix com.netflix.mediaclient
Calculadora com.sec.android.app.popupcalculator
Reloj mundial com.sec.android.app.worldclock
Editor de vÃdeo com.sec.android.app.ve
Music Hub com.samsung.music
Editor de fotos com.sec.android.mimage.photoretouching
Polaris Office com.infraware.PolarisOfficeStdForTablet
Alarma com.android.deskclock
Drive com.google.android.apps.docs
Play Games com.google.android.play.games
Play Music com.google.android.music
Google+ com.google.android.apps.plus
Fotos com.google.android.apps.plus
Ajustes de Google com.google.android.gms
Hangouts com.google.android.talk
Dropbox com.dropbox.android
Amazon Kindle com.amazon.kindle
Play Movies com.google.android.videos
Samsung Link com.sec.pcw
ChatON com.sec.chaton
YouTube com.google.android.youtube
Play Kiosco com.google.android.apps.magazines
Smart Remote com.peel.app
Minion Rush com.gameloft.android.ANMP.GloftDMHM
Samsung Apps com.sec.android.app.samsungapps
Root Checker Basic com.joeykrim.rootcheck
Titanium Backup com.keramidas.TitaniumBackup
SuperSU eu.chainfire.supersu
Group Play com.samsung.groupcast
MOBILedit! Connector com.compelson.meconnector
Water? 2 com.disney.wheresmywater2_goo
ES File Explorer com.estrongs.android.pop
PvZ 2 com.ea.game.pvz2_row
Navegador Dolphin mobi.mgeek.TunnyBrowser
Fuente (Autora)
246

package_name title
com.cleanmaster.mguard Clean Master(Optimiza memoria)

com.google.android.googlequicksearchbox BÃºsqueda de Google
com.sec.spp.push Samsung push service
com.sec.app.samsungprintservice Samsung Print Service Plugin
com.google.android.tts SÃntesis de voz de Google
com.bancodeguayaquil Banca Virtual MÃ³vil
com.noshufou.android.su Superuser
com.google.android.marvin.talkback Google Talkback
Fuente (Autora)
Descargas no satisfactorias
Tabla 102: Descargas no satisfactorias

package_name title
com.disney.frozensaga_goo Frozen Free Fall
com.disney.wheresmymickeyfree_goo Where's My Mickey? Gratis
com.ea.game.fifa14_row FIFA 14, de EA SPORTSâ„¢
com.gameloft.android.ANMP.GloftR3HM Real Football 2013
com.disney.maleficent_goo MALÃ‰FICA Free Fall
com.olx.olx
Fuente (Autora)
El archivo “dmappmgr.db” cuenta con las tablas “ApplicationControl”, “ApplicationIcon”,

“android_metadata” y “sqlite_squence”. La tabla de interés es “ApplicationControl” la
cual nos detalla cuando fue la última fecha en la que se utilizó cierta aplicación
además de contar con los datos de todas las aplicaciones que han sido instaladas y
desinstaladas de la cuenta de google como también de terceros o desconocidos.
El mismo que cuenta con las siguientes columnas:
_id, pkgname, lastpausetime, applastservicestarttime, applastservicestoptime,

totalusagetime, launchcount, y lastlaunchtime
Los datos de interés para el análisis de la tabla ApplicationControl son:
Tabla 103: Columnas de interés tabla ApplicationControl

pkgname Nombre del paquete o la ruta creada por la aplicación
247
applastservicestarttime Última hora de inicio del servicio
applastservicestoptime Última hora de interrupción del servicio
lastlaunchtime Última hora de inicio aplicación
Fuente (Autora)
Datos:
Tabla 104: Datos tabla ApplicationControl

applastservicestart applastservicestopti
pkgname lastlaunchtime
time me
com.google.android.setupwi 0 0 2014-04-02 05:13:07
zard
com.android.browser 0 0 2014-07-07 14:10:45
com.osp.app.signin 2014-07-21 15:18:33 2014-07-22 11:59:27 2014-04-02 05:12:00
com.sec.android.preloadinst 0 0 2014-04-02 06:50:13
aller
com.google.android.googleq 2014-07-21 15:18:33 2014-07-22 11:59:26 2014-07-07 14:11:51
uicksearchbox
android 0 0 2014-07-17 13:49:23
com.android.settings 2014-06-15 13:59:00 2014-06-29 16:58:21 2014-07-17 08:18:58
com.google.android.gsf.logi 0 0 2014-05-29 05:23:30
n
com.sec.android.app.launch 0 0 2014-07-22 11:23:31
er
com.sec.android.fotaclient 2014-07-21 15:18:21 2014-07-22 11:59:26 2014-04-02 05:14:23
com.sec.android.app.SecSe 0 0 2014-04-02 05:13:02
tupWizard
com.tgrape.android.radar 2014-06-30 02:44:06 2014-07-08 14:52:36 2014-06-30 02:48:42
com.sec.phone 2014-07-21 15:18:19 2014-07-22 11:59:23 0
com.google.android.videos 2014-07-17 08:19:03 2014-07-21 15:13:44 0
com.google.android.apps.up 2014-07-17 08:19:06 2014-07-21 15:13:44 0
loader
com.android.contacts 2014-07-21 15:18:19 2014-07-22 11:59:23 2014-06-30 02:48:18
com.sec.android.app.gameh 2014-04-02 05:13:08 2014-04-02 06:17:06 0
ub
com.google.android.partner 2014-07-21 15:18:26 2014-07-22 11:59:26 0
setup
com.google.android.apps.pl 2014-07-21 15:44:31 2014-07-22 11:59:26 2014-06-05 19:11:44
us
com.google.android.music 2014-07-21 15:18:36 2014-07-22 11:59:27 0
com.sec.android.providers.d 2014-07-21 15:18:23 2014-07-22 11:59:27 0
ownloads
com.android.exchange 2014-07-21 15:18:18 2014-07-22 11:59:27 0
248
com.android.systemui 2014-07-21 15:17:56 2014-07-22 11:59:27 2014-07-22 11:23:27
com.android.providers.calen 2014-07-21 15:18:25 2014-07-22 07:02:34 0
dar
com.android.keychain 2014-07-17 09:04:34 2014-07-21 15:13:44 0
com.sec.factory 2014-07-21 15:18:21 2014-07-22 11:59:27 0
com.google.android.gm 2014-07-21 15:18:30 2014-07-22 11:59:27 2014-06-05 19:02:38
com.sec.android.app.samsu 2014-06-22 18:18:49 2014-06-29 09:14:07 0
ngapps.una2
com.google.android.talk 2014-07-21 15:18:40 2014-07-22 11:59:27 2014-07-01 12:55:40
com.wssyncmldm 2014-07-21 15:18:24 2014-07-22 11:59:27 2014-06-09 19:56:33
com.android.email 2014-07-21 15:18:23 2014-07-22 05:51:14 2014-06-11 08:57:23
com.sec.chaton 2014-07-22 11:23:41 2014-07-22 11:59:27 0
com.google.android.youtube 2014-07-21 15:18:32 2014-07-22 11:59:27 2014-06-29 11:44:32
com.samsung.mediahub 2014-04-02 05:12:00 2014-04-02 06:17:07 0
com.sec.android.widgetapp. 2014-04-02 05:13:07 2014-04-02 06:17:07 0
weatherclock
com.nim.discovery 2014-07-21 15:18:24 2014-07-22 11:59:27 0
com.google.android.gsf 2014-07-21 15:18:33 2014-07-22 11:59:27 0
com.sec.dsm.system 2014-04-02 05:25:46 2014-04-02 06:17:07 0
com.android.providers.medi 2014-07-21 15:18:00 2014-07-22 11:54:22 0
a
com.android.providers.down 2014-07-21 15:18:00 2014-07-22 11:59:27 0
loads
com.android.musicfx 2014-07-17 08:21:55 2014-07-21 15:13:45 0
com.google.android.syncad 2014-07-21 15:18:26 2014-07-22 11:59:27 0
apters.contacts
com.google.android.apps.m 0 0 2014-05-11 18:22:06
aps
com.sec.android.app.camer 0 0 2014-06-25 14:02:13
a
com.google.android.location 2014-07-21 15:18:03 2014-07-22 11:59:23 0
org.simalliance.openmobilea 2014-07-21 15:18:25 2014-07-22 11:59:23 0
pi.service
com.sec.pcw 2014-07-21 15:18:20 2014-07-22 11:59:23 0
com.sec.android.gallery3d 2014-07-21 15:18:38 2014-07-22 11:59:23 2014-06-11 08:57:30
com.sec.android.pagebuddy 2014-07-21 15:18:24 2014-07-22 11:59:26 0
notisvc
com.sec.android.app.blueto 2014-07-21 15:18:21 2014-07-22 11:59:27 0
othtest
com.sec.app.RilErrorNotifier 2014-04-02 13:06:13 2014-04-02 13:06:14 0
com.sec.minimode.taskclos 2014-04-02 07:03:56 2014-04-02 13:06:14 0
er
com.sec.android.app.keygu 2014-07-21 15:18:35 2014-07-22 11:59:27 0
249
ard
com.samsung.SMT 2014-06-22 18:19:57 2014-06-29 16:58:20 0
com.sec.android.app.syssco 2014-07-21 15:18:24 2014-07-22 11:59:27 0
pe
com.wssnps 2014-07-21 15:18:25 2014-07-22 05:52:13 0
com.sec.esdk.elm 2014-07-21 15:18:21 2014-07-22 11:59:27 0
com.google.android.gms 2014-07-21 15:18:10 2014-07-22 11:59:27 2014-06-11 10:13:34
com.android.vending 2014-07-21 15:18:28 2014-07-22 11:59:26 2014-07-17 08:19:29
com.android.MtpApplication 2014-07-22 11:19:57 2014-07-22 11:54:22 2014-07-22 11:23:39
com.android.calendar 0 0 2014-05-11 04:02:59
com.samsung.groupcast 2014-07-21 15:18:29 2014-07-22 11:59:27 2014-07-22 11:19:08
com.sec.android.app.myfiles 2014-06-14 19:18:05 2014-06-14 19:18:06 2014-07-22 11:15:49
com.android.providers.down 0 0 2014-06-05 19:01:14
loads.ui
com.sec.android.app.popup 0 0 2014-05-11 18:25:59
calculator
com.android.deskclock 0 0 2014-05-11 18:25:42
com.sec.android.mimage.ph 0 0 2014-06-10 08:35:33
otoretouching
com.netflix.mediaclient 2014-06-11 09:03:04 2014-06-14 19:54:00 2014-06-11 09:03:03
kr.co.rightbrain.ScreenSaver 2014-07-21 15:18:34 2014-07-22 11:59:27 2014-06-11 08:57:06
.GalaxyTab2_10_1
com.sec.android.allshare.se 2014-06-11 08:57:31 2014-06-11 08:57:49 0
rvice.mediashare
com.sec.android.inputmetho 0 0 2014-07-01 13:00:11
d
com.google.android.syncad 2014-07-05 00:36:02 2014-07-08 14:52:37 0
apters.calendar
com.google.android.apps.m 2014-05-11 21:12:44 2014-06-08 03:32:47 0
agazines
com.google.android.configu 2014-07-17 08:19:29 2014-07-21 15:13:45 0
pdater
com.google.android.apps.do 2014-07-17 08:21:31 2014-07-21 15:13:45 0
cs
com.google.android.apps.bo 2014-06-30 02:44:28 2014-07-08 14:52:37 2014-06-30 02:44:27
oks
com.dropbox.android 2014-07-21 15:18:28 2014-07-22 11:59:23 2014-05-12 05:33:58
com.sec.android.app.samsu 2014-07-21 15:18:29 2014-07-22 11:59:23 2014-07-01 12:58:01
ngapps
com.sec.spp.push 2014-07-21 15:18:30 2014-07-22 11:59:27 0
com.sec.android.Kies 2014-06-17 11:36:19 2014-06-17 15:11:32 0
com.viaforensics.android.afl 0 0 2014-05-31 20:19:09
ogical_ose
250
com.example.viaforensics.a 0 0 2014-06-05 18:58:25
ndroid
com.example.holamundo 0 0 2014-05-19 12:37:07
com.android.backupconfirm 0 0 2014-07-21 15:19:46
com.peel.app 0 0 2014-06-03 12:21:26
com.sec.android.app.control 0 0 2014-05-31 20:19:21
panel
com.gameloft.android.ANM 2014-07-17 08:19:41 2014-07-21 15:13:45 2014-07-19 11:12:17
P.GloftDMHM
com.sec.android.widgetapp. 0 0 2014-07-01 13:33:49
at.hero.accuweather
com.android.packageinstalle 0 0 2014-06-14 13:25:37
r
com.mozzeta.androidrootch 0 0 2014-06-05 18:58:39
ecker
org.cyanogenmod.oneclick 0 0 2014-06-05 19:15:08
com.infraware.PolarisOffice 0 0 2014-06-05 19:17:29
StdForTablet
com.android.htmlviewer 0 0 2014-06-05 19:17:01
com.android.defcontainer 2014-06-30 18:32:53 2014-07-08 14:52:36 0
com.noshufou.android.su 2014-06-10 11:30:18 2014-06-14 19:54:00 2014-06-09 19:43:47
com.keramidas.TitaniumBac 0 0 2014-06-10 17:50:14
kup
com.joeykrim.rootcheck 0 0 2014-06-11 08:56:43
eu.chainfire.supersu 2014-07-21 15:18:29 2014-07-22 11:59:27 2014-06-11 08:56:27
com.android.bluetooth 2014-06-15 13:58:59 2014-06-29 16:58:20 0
com.compelson.meconnect 0 0 2014-06-29 11:27:42
or
com.bancodeguayaquil 2014-07-22 11:19:34 2014-07-22 11:59:27 2014-07-22 11:19:33
com.cleanmaster.mguard 2014-06-30 02:45:01 2014-07-08 14:52:37 2014-06-30 02:52:56
com.ea.game.pvz2_row 2014-06-30 18:33:08 2014-07-08 14:52:36 2014-06-30 18:33:08
com.sec.android.app.popup 0 0 2014-07-07 14:10:43
uireceiver
mobi.mgeek.TunnyBrowser 2014-07-21 15:18:20 2014-07-22 11:59:27 2014-07-01 13:33:13
saga.game.jungle.monkey.s 2014-07-01 13:30:10 2014-07-08 14:52:36 2014-07-01 13:31:49
aga
com.disney.maleficent_goo 0 0 2014-07-22 11:16:11
Fuente (Autora)
251
Al realizar la comparación con el archivo “packages.xml” podemos determinar que
existieron aplicaciones que fueron instaladas de otras fuentes:
Tabla 105: Paquetes instalados de otras fuentes

Paquetes de otras fuentes
com.example.holamundo
com.example.viaforensics.android
com.mozzeta.androidrootchecker
com.sec.android.widgetapp.weatherclock
com.viaforensics.android.aflogical_ose
org.cyanogenmod.oneclick
Fuente (Autora)
252
Anexo 3 Documento de visión
1. Introducción
1.1 Propósito
El propósito de este documento es definir ls necesidades y caracterisitcas del Sistema

de Gestión de información de casos de estudio de análisis forense en dispositivos
móviles con sistema operativo Android SGICAF.
1.2 Alcance
El sistema deberá ser de código abierto para su respectiva colaboración
1.3 Definiciones, Acrónimos y Abreviaciones
 SGICAF: Sistema de gestión de información de casos de estudio de análisis

forense
 GICE: Gestión de información casos de estudio
 GR: Gestión de resultados
2. Posicionamiento
2.1 Oportunidad de negocio
El sistema permitirá la administración de la información del caso de estudio a analizar,

la extracción de las principales propiedades del dispositivo y el análisis de los archivos
que contienen la información de las aplicaciones instaladas y desistaladas, historial de
navegación y descargas.
2.2 Definición del problema
El problema de No se cuenta con una herramienta que permita gestionar la información de

relevancia del caso de estudio.
Afecta a Peritos informáticos, investigadores, analistas forenses
El impato  Necesitan administrar el caso de estudio.
asociado es  Recoger las principales propiedades del dispositivo móvil.
 Analizar e interpretar de manera rápida y oportuna los archivos que
contienen la información de las aplicaciones instaladas y desistaladas,
historial de navegación y descargas.
Una solución Desarrollar una aplicación de escritorio basado en los modelos de plantillas
adecuada sería sugeridas en la Guía metodólogica de análisis forense informatico para
253
dispositivos móviles con sistema operativo Android.
2.3 Posición del producto
Para Peritos informáticos

Analistas forenses
Quién (es) Realizan un peritaje o investigación informática en dispositivos móviles
Nombre del producto SGIAF
Que Almacena la información de un caso de estudio de análisis forense
A diferencia Las herramientas open source como:
 Autopsy
 FTK Imager
 BitPim
 Android SDK
 Android-locdump
 Androidguard
 Viaforensics
Esta Permite gestionar la información de relevancia a ser considerada en un
aplicación examen forense en dispositivos móviles con sistema operativo Android
3. Descripción de stakeholders (Participantes en el proyecto y usuarios)
En esta sección se identifica de forma efectiva las necesidades de los participantes del
proyecto.
3.1 Resumen de stakeholders
Nombre Descripción Responsabilidad

Director del Director del proyecto de Establece los lineamientos del proyecto
proyecto titulación Orientación en el desarrollo del proyecto
Revisición del avance del proyecto
Desarrollador/ Responsable de la Desarrollar el sistema de acuerdo a los
Programador codificación del sistema requisitos establecidos
3.2 Resumen de usuarios
Personas involucradas Descripción Responsabilidad

Investigador/Peritos Responsable de identificar y recolectar Validar que la información
informáticos la evidencia registrada en el caso de estudio
sea de manera correcta
Examinadores/Analistas Personal especializado en adquirir, Analizar y registrar los hallazgos
recuperar y analizar los datos digitales encontrados en la evidencia
254
3.3 Entorno de usuario
Los usuarios podrán hacer uso del sistema sin necesidad de logearse. El software a
desarrollar será una aplicación de escritorio de código abierto u open source, además
de ser una aplicación intuitiva, fácil de usar para quienes hagan uso del mismo.
3.4 Perfil de los stakeholders

3.4.1 Director del proyecto
Representante Ing. Danilo Jaramillo

Descripción Director del proyecto de titulación
Tipo Director / Tutor
Responsabilidades Establece los lineamientos del proyecto
Orientación en el desarrollo del proyecto
Revisición del avance del proyecto
Criterios de éxito Seguimiento y evaluación del cumplimiento del proyecto
Grado de participación Revisión contante del proyecto
Comentarios Ninguno
3.4.2 Desarrollador/ programador del proyecto
Representante Jessica Cuenca

Descripción Responsable de la codificación del sistema
Tipo Desarrollador
Responsabilidades Desarrollar el sistema de acuerdo a los requisitos establecidos
Criterios de éxito Cumplir con el cronograma establecido
Cumplir con los requerimientos solicitados para el desarrollo del
mismo
Grado de participación Hacer que el software funcione correctamente
Comentarios Ninguno
3.5 Perfil de los usuarios

3.5.1 Investigador/Peritos informáticos

Descripción Responsable de identificar y recolectar la evidencia
Tipo Usuario
Responsabilidades Validar que la información registrada en el caso de estudio sea de
manera correcta
Criterios de éxito N/A
Grado de participación Establecer los datos principales hacer registrados en el sistema
Comentarios Ninguno
255
3.5.2 Examinadores/Analistas

Descripción Personal especializado en adquirir, recuperar y analizar los datos digitales
Tipo Usuario
Responsabilidades Analizar y registrar los hallazgos encontrados en la evidencia
Criterios de éxito N/A
Grado de participación Establecer los datos principales a extraer del dispositivo móvil, como también
la información oportuna hacer automatizada para su correcto análisis
Comentarios Ninguno
3.6 Necesidades características
Necesidades Prioridad Característica

Ingreso del caso de estudio Alta Facilidad para ingresar los datos del caso de estudio
Ingreso del equipo de Alta Facilidad para gestionar los datos del personal involucrado
investigación en la investigación
Ingreso de la evidencia Alta Facilidad para ingresar los datos de la evidencia
Registro del dispositivo Alta Facilidad para registrar los datos del dispositivo móvil
móvil
Reporte de resultados Alta Facilidad para generar reportes de forma inmediata sobre
los datos ingresados, referentes al caso de estudio y los
resultados encontrados
4. Descripción global del producto

4.1 Perspectiva del producto
El sistema debe interactuar con el ADB (Android Debug Bridge del SDK de Android)
4.2 Resumen de características/capacidades
Beneficios del cliente/usuario Características que lo apoyan

El usuario ingresa la información El sistema provee los formularios acordes al caso de
relacionada con el caso de estudio estudio
El usuario puede visualizar la El sistema presentará la información registrada en el
información registrada en el sistema sistema
Análisis de los archivos que El sistema le permitirá automatizar el proceso de
contienen la información de las análisis e interpretación de los datos de los archivos
aplicaciones instaladas/ subidos al sistema, a su vez presentará los resultados
desinstaladas, historial de encontrados tales como aplicaciones instaladas,
navegación y descargas realizadas desisntaladas y no satisfactorias.
256
4.3 Características del producto
Registro caso de estudio
El usuario deberá ingresar los datos referentes a:
 Caso de estudio
 Equipo de investigación
 Evidencia
Registro dispositivos móviles
El sistema le deberá permitir:
 Realizar un backup
 Extraer las propiedades del dispositivo
 Obtener la composición del sistema de ficheros
Visualizar caso de estudio
El sistema le deberá permitir visualizar la información registrada
Obtener resultados
 El sistema deberá permitir subir los archivos a analizar

 El sistema mostrará la información registrada en los archivos
 El sistema interpretará los datos de los archivos
 El sistema permitirá analizar los archivos, donde mostrará las aplicaciones
instaladas, desinstaladas y no satisfactorias
Generar reportes
El sistema permitirá generar un reporte tanto de la información registrada como de los

resultados ingresados.
4.4 Suposiciones y dependencias
 El sistema ha sido implementado en el lenguaje JAVA bajo Windows. Esto

significa que el ejecutable a entregarse sólo podrá ser chequeado bajo
257
plataformas Windows. Pero se proporciona el código fuente, el cual puede
compilarse y probarse bajo otra plataforma.
 La aplicación mantiene dependencia con el desarrollo de las plantillas
sugeridas en la guía metodológica.
 Para la extracción de las propiedades del sistema, la aplicación funcionará en
los dispositivos móviles con versión del sistema operativo Android 4.0 en
adelante.
258
Anexo 4 Documento de especificación de requerimientos
1. Introducción
El presente documento pretende detallar los requerimientos de software para el

Sistema de Gestión de información de casos de estudio de análisis forense en
dispositivos móviles con sistema operativo Android SGICAF.
Este documento está dividido en las siguientes seccione principales, una breve
introducción, restricciones, riesgos, requerimientos funcionales y no funcionales.
1.1 Propósito
El propósito de este documento es capturar los requerimientos del software para el

desarrollo del mismo, de manera clara y concisa todas las funcionalidades y
restricciones del sistema.
1.2 Alcance
Actualmente se dispone de herramientas comerciales que permiten obtener las

principales características e interpretación de los archivos encontrados en el
dispositivo móvil, limitándose a un demo de 30 días.
El principal problema es que no se cuenta con una interfaz gráfica de código abierto u
open source que permita capturar las principales características y/o propiedades del
dispositivo móvil con sistema operativo Android, como también gestionar la
información del caso de estudio a analizar, además de proporcionar una ayuda en el
análisis e interpretación de los archivos extraídos, cuya información contienen:
 Descargas realizadas
 Y principalmente las aplicaciones instaladas y desinstaladas en el dispositivo
móvil
1.3 Definiciones, siglas y abreviaturas.
SGICAF Sistema de Gestión de información de casos de estudio de análisis forense

GICE Gestión de información caso de estudio
GR Gestión de resultados
259
ERS Especificación de requerimientos del software
RFXXX Estándar para la especificación del identificador de cada requisito funcional
 R: Requisito
 F: Funcional
 XXX: secuencia de tres dígitos que servirá para la enumeración de cada
requisito
RNFXXX Estándar para la especificación del identificador de cada requisito no funcional
 R: Requisito
 NF: No Funcional
 XXX: secuencia de tres dígitos que servirá para la enumeración de cada
requisito
1.4 Referencias
IEEE Recommended Practices for Software Requirements specification ANSI/IEEE

830 1998.
2. Descripción general
Se plantea construir una aplicación de escritorio, con una distribución lógica

multicapas (presentación, lógica de negocios y de datos), montada en el lenguaje de
programación JAVA, usando un gestor de base de datos MySQL, para el registro de
datos. El software debe ser intuitivo, fácil de usar por las personas o usuarios que
hagan uso del mismo, y conozcan sobre seguridad informática y análisis forense.
2.1 Perspectiva del producto
El sistema debe interactuar con el ADB (Android Debug Bridge del SDK de Android)
2.1.1 Interfaces de usuario
 La interfaz debe ser orientada a ventanas

 El manejo del programa debe ser a través del teclado y ratón
2.1.2 Interfaces con hardware
El equipo o máquinas del usuario final contarán con las siguientes características:
 Procesador i7 o equivalente
 8GB de RAM
 500 GB de Disco Duro
260
 Sistema operativo Windows
 Teclado
 Mouse
 Puertos USB
2.1.3 Interfaces con software
El sistema se puede ejecutar en los sistemas operativos Windows y Linux
2.1.4 Interfaces de comunicación
El sistema debe poder comunicarse mediante conexión USB con el dispositivo móvil
2.2 Funciones del producto
El sistema deberá proporcionar lo siguiente:
 Gestionar la información generada en un caso de estudio

 Obtener las propiedades del dispositivo móvil con sistema operativo Android a
analizar
 Obtener un backup o copia de seguridad de los datos del dispositivo móvil
con sistema operativo Android
 Analizar e interpretar los archivos adquiridos en la copia bit a bit del
dispositivo móvil con sistema operativo Android
 Implementar una arquitectura acorde al desarrollo del sistema
 Generar reportes
Las funciones mencionadas anteriormente se detallan a continuación:
 Gestionar la información del caso de estudio: Esta funcionalidad permite el

ingreso del caso de estudio (descripción, objetivos, alcance, fecha de solicitud
de examen, persona y/o institución solicitante, registro de la evidencia,
características de los dispositivos móviles a analizar)
 Obtener las propiedades del dispositivo: Esta funcionalidad permite visualizar
las principales características del dispositivo conectado al equipo, como
también la composición del sistema de ficheros.
261
 Obtener una copia de seguridad de los datos (Backup) del dispositivo: Esta
funcionalidad permite obtener una copia de seguridad de los datos del
dispositivo con extensión .ab
 Análisis e interpretación de archivos: Esta funcionalidad permite la búsqueda
de la carpeta que contiene los archivos con extensión .db o .xml que el
usuario extrae de la copia bit a bit y que deberá subir en la plataforma, los
archivos serán:
o Para visualizar el historial de navegación deberá subir el archivo
“browse2.db”, cuyo archivo se extrae de la copia bit a bit en la ruta
“/data/data/com.android.browser/databases/”
o Para visualizar las descargar realizadas, deberá subir el archivo
“sisodownloads.db”, cuyo archivo se extrae de la copia bit a bit en la
ruta “/data/data/com.sec.android.providers.downloads/databases/”
o Para visualización de las aplicaciones instaladas y eliminadas, deberá
subir los siguientes archivos “icingcorpora.db” se extrae de la copia bit a
bit en la ruta
“data/data/com.google.android.googlequicksearchbox/databases/”,
“localappstate.db” se extrae de la copia bit a bit en la ruta
“data/data/com.android.vending/databases/”, “dmappmgr.db” se extrae
de la copia bit a bit en la ruta “data/system/”, y “packages.xml” se extrae
de la copia bit a bit en la ruta “data/system/”
2.3 Características de los usuarios
Los usuarios a los que va dirigido el proyecto son los involucrados en una
investigación forense y a quienes les es de interés el tema de análisis forense en
dispositivos móviles con sistema operativo Android
Tipo de usuario Usuario

Formación Analista/Examinador
Habilidades Personal especializado en adquirir, recuperar y analizar los datos digitales
Actividades Controla todas las actividades del sistema
2.4 Restricciones de diseño
El diseño de la aplicación, correcta implementación y su posterior operación

dependerá de la forma en que se lleva los procesos.
262
2.5 Supuestos y dependencias
 El sistema ha sido implementado en el lenguaje JAVA bajo Windows. Esto

significa que el ejecutable a entregarse sólo podrá ser chequeado bajo
plataformas Windows. Pero se proporciona el código fuente, el cual puede
compilarse y probarse bajo otra plataforma.
 La aplicación mantiene dependencia con el desarrollo de las plantillas
sugeridas en la guía metodológica
 Para la extracción de las propiedades del sistema, la aplicación funcionará en
los dispositivos móviles con versión del sistema operativo Android 4.0 en
adelante.
3. Requerimientos específicos
3.1 Requerimientos funcionales
REQUERIMIENTOS FUNCIONALES
Ingreso de información del caso de estudio, registro de personal e ingreso de
RF001
información datos evidencia
Gestión de
información RF002 Ingreso del equipo o personal de investigación
caso de
Ingreso de información del dispositivo, búsqueda de dispositivos conectados y
estudio RF003
extracción de las propiedades del sistema
(peritaje)
RF004 Realizar backup y/o copia de seguridad de los datos del dispositivo
RF005 Visualización de la información del caso de estudio
RF006 Búsqueda de archivos y registro
RF007 Visualización de aplicaciones instaladas y desinstaladas
Gestión de RF008 Visualización historial de navegación
resultados RF009 Visualización descargas realizadas por el usuario
Generación de un reporte en formato pdf con los resultados encontrados, de
RF010
acuerdo al caso de estudio a analizar
Gestión de información caso de estudio (peritaje)
ID: RF001
Ingreso de información del caso de estudio, registro de personal e ingreso de
Requerimiento:
información datos evidencia
Comprende el registro de la información que conlleva un caso de estudio, registrar
Descripción:
equipo de investigación e ingreso de los datos de la evidencia.
 Casos de estudio
Entrada o Código del caso de estudio
o Fecha de solicitud de examen
o Persona que solicita el examen
263
o Institución que solicita el examen
o Descripción del caso de estudio
o Objetivos del caso de estudio
o Alcance del caso de estudio
 Personal de investigación
o Identificación
o Nombre
o Apellido
 Evidencia
o Fecha de incautación
o Hora de incautación
o Lugar de incautación
o Observaciones
1) Ingresar información de casos de estudio
2) Validar que se haya ingresado toda la información del caso de estudio
3) Ingresar información de personal de investigación
Proceso 4) Asignar rol a persona
5) Validar que se haya ingresado toda la información del personal de estudio
6) Ingresar información de evidencia
7) Validar que se haya ingresado toda la información de la evidencia
8) Asignar caso de estudio a personal de investigación
Información general del caso de estudio (Peritaje) almacenado
Salida Asignación de roles a personal
Personal de investigación con caso de estudio asignado
ID: RF002
Requerimiento: Ingreso del equipo o personal de investigación
Descripción: Comprende el registro de la información del personal.
Entrada Identificación
1) Ingresar identificación
2) Buscar persona
3) Persona no registrada
 Ingresar datos:
o Nombres
o Apellidos
Proceso o Identificación
 Seleccionar rol
 Asignar rol
4) Persona registrada
5) Seleccionar rol
6) Asignar rol
7) Validar que se haya ingresado toda la información
Información del personal de investigación registrado
Salida
Asignación de roles a personal
ID: RF003
Ingreso de información del dispositivo, búsqueda de dispositivos conectados y
Requerimiento:
extracción de las propiedades del sistema
Comprende el registro de la información de las características físicas del dispositivos
Descripción:
móvil, permite la búsqueda ,y visualización de los dispositivos conectados al equipo,
264
como también la extracción de las propiedades del sistema
Ingresar datos:
 Fecha y hora de recepción de la evidencia
 Tipo de dispositivo
 Características pantalla
 FCC ID
 IC
 Espacio de almacenamiento
Selecciona opción:
 Estado (encendido o apagado)
 Bloqueado (si o no)
 Soporta modo de vuelo (si o no)
 Servicios de conexión (bluetooth, infrarrojo, wifi, otro)
Ingresar datos cargador:
 Código etiqueta
 S/N
 Marca
 Modelo
 Input
 Output
Entrada
 Frecuencia
 Cable de datos (Selecciona opción sí o no e ingresa el código de etiqueta
asignado)
Ingresar datos batería
 S/N,
 Capacidad de voltaje
 Ffabricante
 Cable de datos
Ingresa datos tarjeta externa:
 S/N
 Espacio de almacenamiento
 Espacio disponible
Ingresa datos de la SIM Card
 Operadora
 ICC
 PIN
 PUK
 # de teléfono
Conectar dispositivo al computador
1) Ingresar carácterisitcas físicas dispositivo
2) Ingresar datos perífericos (batería, caragdor cable de datos, tarjeta externa
Proceso
y SIM Card)
3) Buscar dispositivos conectados
265
4) Seleccionar dispositivo
5) Extraer propiedades del sistema operativo del dispositivo móvil conectado
 S/N
 Tipo
 Marca
 Modelo
 Fabricante
 Sistema operativo
 Versión sistema operativo
 Idioma sistema operativo
 Procesador
 S/N radio (RIL)
 Operadora
 IMEI
 Kernel
 Número de compilación
 Composición sistema de ficheros (referencia a la ruta del fichero o partición
a obtener la copia bit a bit)
 Tamaño o espacio utilizado en el dispositivo por cada uno de los ficheros
6) Validar que se haya ingresado toda la información
Salida Información general del dispositivo almacenado

Asignación de caso de estudio
ID: RF004
Requerimiento: Realizar backup y/o copia de seguridad de los datos del dispositivo
Permite realizar una copia de seguridad de los datos del dispositivo móvil
Descripción:
conectado al equipo.
Entrada: Conectar dispositivo al equipo
1) Seleccionar opción backup dispositivo
2) Buscar dispositivos conectados
Proceso:
4) Seleccionar opción realizar backup
5) Ingresar nombre de backup
6) Emitir mensaje “Backup realizado exitosamente”
Salida: Backup guardado
ID: RF005
Requerimiento: Visualización de la información del caso de estudio
Comprende la visualización registrada en el caso de estudio, datos del personal
Descripción: involucrado en la investigación, datos del dispositivo móvil, propiedades, archivos,
y/o resultados.
Entrada: Seleccionar caso de estudio a visualizar
Proceso: 1) Seleccionar caso de estudio
266
2) Validar que exista el caso de estudio
3) Seleccionar opción generar reporte caso
4) Validar información del caso de estudio, equipo de investigación y
evidencia, opcional registro de dispositivo y archivos
5) Visualizar información referente a:
 Código del caso de estudio
 Fecha y hora de la solicitud examen
 Persona y/o Institución quien solicita el examen forense
 Descripción
 Objetivos
 Equipo de investigación
 Datos de la evidencia
 Datos dispositivo móvil
 Archivos
 Resultados
Salida: Visualización información registrada
Gestión de resultados
ID: RF006
Requerimiento: Búsqueda de archivos y regsitro
Permita la búsqueda de la carpeta que contiene los archivos necesarios para el
Descripción:
análisis e interpretación de los mismos.
Copia bit a bit generada
Extracción de archivos:
 browser2.db
 sisodownloads.db
 localappstate.db
Entrada:  icingcorpora.db
 packages.xml
 dmappmgr.db
Almacenar archivos en una carpeta referencial (ruta archivos)
Seleccionar caso de estudio
Seleccionar dispositivo
1) Seleccionar caso de estudio
4) Validar que exista el dispositivo
Proceso: 5) Seleccionar buscar archivos
6) Buscar ruta archivos
7) Ingresar nombre, ruta
8) Generar código de archivo
9) Solicitar registro de archivos
267
10) Validar y almacenar información de los archivos
Nombre y ruta registrada
Salida:
Asignar archivo a dispositivo
ID: RF007
Visualización y presentación de resultados de aplicaciones instaladas y
Requerimiento:
desinstaladas
Comprende el análisis e interpretación de los archivos necesarios que contienen la
Descripción:
información de las aplicaciones instaladas y desinstaladas en el dispositivo.
Seleccionar caso de estudio y dispositivo
Ruta archivos registrada de:
 localappstate.db
Entrada:
 icingcorpora.db
 packages.xml
 dmappmgr.db
Proceso: 5) Seleccionar archivo y visualizar contenido de los archivos
6) Validar que exista registrada la ruta
7) Seleccionar opción resultado aplicaciones instaladas, desinstaladas y no
satisfactorias
8) Validar que existan todos los archivos necesarios registrados
Salida: Visualización de datos
ID: RF008
Requerimiento: Visualización historial de navegación
Comprende el análisis e interpretación de los archivos necesarios que contienen los
Descripción:
registros del historial de navegación.
Ruta archivo registrada
Entrada:
 browser2.db
5) Seleccionar archivo y visualizar contenido
Proceso:  browser2.db
6) Validar que exista registrada la ruta
7) Visualizar historial de navegación, datos como:
 Título de la página web consultada
 URL (Dirección web de consulta)
 Fecha de navegación
268
 Número de visitas
Salida: Visualización datos
ID: RF009
Requerimiento: Visualización descargas realizadas por el usuario
Características: Presentación de resultados
Comprende el análisis e interpretación de los archivos necesarios que contienen
Descripción:
los registros de las descargas realizadas en el dispositivo móvil.
Ruta archivo registrada
Entrada:
5) Seleccionar archivo y visualizar contenido
Proceso: 6) Validar que exista registrada la ruta
7) Visualizar historial de descargas, datos como:
 URL (Link de descarga)
 Fecha y hora de descarga
 Ruta en la que se guardo la descarga
 Nombre de la descarga
Número de visitas
Salida: Visualización datos
ID: RF010
Generación de un reporte en formato pdf con los resultados encontrados, de
Requerimiento:
acuerdo al caso de estudio a analizar
Comprende la generación de un reporte en formato pdf, con la información
Descripción:
registrada y los resultados encontrados.
Entrada: Seleccionar caso de estudio
2) Validar registro de caso de estudio
4) Validar registro de dispositivo
Proceso:
5) Validar registro de archivos
6) Seleccionar opción generar reporte
7) Verificar y procesar resultados
8) Generar reporte y visualizar
Salida: Reporte genarado en formato pdf
269
3.2 Requerimientos no funcionales
 Rendimiento
RNF001. Garantizar capacidad para capturar excepciones
Las excepciones de la aplicación no deben mostrarse en pantalla, se gestionara

mensajes de error y un archivo log de excepciones.
RNF002. Garantizar que el diseño de las consultas y de las base de datos no afecten
el desemepño de la aplicación.
 Usabilidad
RNF003. Proveer una interfaz amigable para el fácil uso
 Extensibilidad
RNF004. Proveer en el futuro el desarrollo e implementación de nuevas

funcionalidades, modificar o eliminar funcionalidades
 Portabilidad
RNF005. El sistema se desarrolla en lenguaje JAVA y se ejecuta en ambientes

Windows, pero podrá ejecutarse en Linux
4. Requerimientos de documentación
4.1 Manual de Usuario
Se debe proporcionar un manual de usuario que permita el correcto uso de la

aplicación.
270
Anexo 5 Especificación de casos de uso
Diagrama de caso de uso SGICAF
Figura 108: Diagrama de caso de uso SGICAF

Fuente (Autora)
Diagrama de caso de uso registrar peritaje
Figura 109: Diagrama de caso de uso registrar peritaje

Fuente (Autora)
271
Especificación de caso de uso registrar peritaje
Número: 001
Nombre: Registrar peritaje
Usuarios: es toda persona que ingrese el peritaje
Actores: Sistema: solución tecnología que permitirá el registro del caso, personal y
evidencia, además de asignar el caso de estudio al personal
Comprende el registro de la información que conlleva un caso de estudio,
Descripción:
asignación del equipo de investigación e ingreso de datos de la evidencia.
Precondiciones: Los roles del personal de investigación estarán previamente definidos
Caso de estudio registrado
Personal asignado al caso de estudio
Post condiciones:
Evidencia registrada
Persona registrada
Actor: Sistema:
1.- Ingresar al módulo registrar peritaje
2.- Presentar formulario
3.- Ingresar código caso de estudio
4.- Seleccionar fecha de solicitud de
examen
5.- Ingresar persona y/o institución que
solicita el examen
6.- Ingresar descripción, objetivos, y
alcance
7.- Verifica que el formulario este
completo
8.- Registrar equipo de investigación,
Flujo Normal: vaya al CASO DE USO REGISTRAR
PERSONAL
9.- Verifica que se haya registrado el
equipo de investigación al caso de
estudio
10.- Ingresar evidencia: selecciona
fecha de incautación y hora de
incautación, ingresa lugar de
incautación y observaciones
11.- Seleccionar guardar
12.- Verificar que el formulario este
completo y emite un mensaje de “Caso
de estudio registrado”
13.- Fin del caso de uso
Flujo Alternativo: No aplica
272
Requerimientos Funcionales: RF001, RF002
Excepciones: Si el usuario solicita cancelar el proceso, el sistema cancela y el caso de uso termina
Requerimientos Especiales: RNF001, RNF002, RNF003, RNF004, RNF005
Asunciones: No aplica.
Asunciones y Dependencias:
Dependencias: No aplica.
Diagrama de caso de uso registrar personal
Figura 110: Caso de uso registrar personal

Fuente (Autora)
Especificación de caso de uso registrar personal
Número: 002
Nombre: Registrar personal
Usuarios: es toda persona que ingrese al personal de investigación y asigne el rol
Actores: Sistema: solución tecnología que permitirá el registro del personal, presentar los roles
para el personal
Descripción: Comprende el registro de la información del personal.
Roles previamente creados
Precondiciones:
Caso de estudio creado
Personal de investigación registrado
Post condiciones:
Rol asignado el personal de investigación
Actor: Sistema:
1.- Ingresar al módulo de registro de
personal
Flujo Normal: 2.- Presentar opción de búsqueda
(mediante identificación)
3.- Ingresar Identificación
273
4.- Seleccionar opción buscar
5.- Presentar información de la persona
(FA1 INGRESAR PERSONA)
 Nombres
 Apellidos
6.- Asignar rol a persona

7.- Añadir a caso de estudio
FA1 INGRESAR PERSONA
Actor Sistema
1.- Ingresar Identificación
3.- Habilitar los campos Nombres,
Flujo Alternativo: Apellidos
4.- Ingresar nombres y apellidos
5.- Asignar rol a persona
6.- Almacenar identificación, nombres y
apellidos de la persona
7.- Flujo normal continúa
Requerimientos Funcionales: RF002

Asunciones y Dependencias: Dependencias: La asignación de los roles dependen enteramente de la
creación de los mismos
Diagrama de caso de uso registrar dispositivo
Figura 111: Caso de uso registrar dispositivo

Fuente (Autora)
274
Especificación de caso de uso registrar dispositivo
Número: 003
Nombre: Registrar dispositivo
Usuarios: es toda persona que ingrese la información del dispositivo
Actores: Sistema: solución tecnología que permitirá el registro de las características físicas del
dispositivo móvil y permite la búsqueda del mismo.
Comprende el registro de la información de las características físicas y lógicas del
Descripción:
dispositivo móvil
Dispositivo conectado al computador
Precondiciones: Opción tipo de dispositivo registrados previamente
Opción estado registrados previamente
Driver dispositivo instalado
Post condiciones: Dispositivo registrado
Actor: Sistema:
1.- Presentar listado casos de estudio
2.- Selecccionar caso de estudio
3.- Habilitar opción “Ingresar dispositivo”
4.- Ingresar al módulo registrar
dispositivo
5.- Presentar formulario
6.- Seleccionar fecha y hora de
recepción de la evidencia y tipo de
dispositivo (Tablet o Smartphone),
estado (Encendido o Apagado), opción
bloqueado (Si o No), y opción soporta
modo vuelo (Si o No)
7.- Ingresar características pantalla,
FCC ID, IC, espacio de almacenamiento
Flujo Normal:
y propietario
8.- Seleccionar servicios de conexión
(Bluetooth, infrarrojo, wifi, otro). Si
seleccionar opcón otro, ingresar el
mismo. 9.- Validar formulario completo (Opción
servicios de conexión, deberá haber
seleccionado por lo menos uno)
10.- Seleccionar periféricos: incluye
tarjeta externa, SIM Card, Batería,
Cargador, incluye cámara, captura
imágenes, captura vídeos.
11.- Si la opción batería fue
seleccionada vaya FA3 INGRESAR
DATOS BATERÍA
275
12.- Si la opción tarjeta externa fue
DATOS TARJETA EXTERNA
13.- Si la opción SIM Card fue
DATOS SIM CARD
14.- Si la opción cargador fue
DATOS CARGADOR
15.- Validar formulario y emitir mensaje
“Conectar dispositivo”
16.- Conectar dispositivo al computador
dispositivos
18.- Buscar dispositivo
19.- Seleccionar dispositivo
20.- Obtener y presentar datos del
dispositivo como serial (S/N) dispositivo
móvil, serial radio, tipo de dispositivo,
marca, modelo, fabricante, procesador,
sistema operativo, versión sistema
operativo, idioma del sistema operativo,
operadora, IMEI, kernel y número de
compilación.
21.- Seleccionar obtener sistema de
ficheros 22.- Presentar datos composición sistema
de ficheros y tamaño sistema de ficheros
23.- Seleccionar opción realizar backup
y confirma acción en el dispositivo, vaya
al CASO DE USO REGISTRA COPIA
DE SEGURIDAD
24.- Seleccionar finalizar
25.- Validar formulario completo
26.- Almacenar información
FA1 INGRESAR DATOS TARJETA EXTERNA
Actor Sistema
1.- Seleccionar incluye tarjeta externa
2.- Habilitar campos
3.- Ingresar serial, espacio de
almacenamiento y espacio disponible
4.- Validar campos
FA2 INGRESAR DATOS SIM CARD
276
Actor Sistema
1.- Seleccionar incluye SIM Card
3.- Ingresar operadora, códigos ICC,
PIN, PUK y # de teléfono
4.- Validar campos
FA3 INGRESAR DATOS BATERÍA
Actor Sistema
1.- Seleccionar incluye batería
3.- Ingresar S/N, capacidad de voltaje, y

fabricante 4.- Validar campos
5.- Flujo normal contiua
FA4 INGRESAR DATOS CARGADOR
Actor Sistema
1.- Seleccionar incluye cargador

3.- Ingresar código etiqueta, S/N,
marca, modelo, input , output y
frecuencia
4.- Seleccionar opción incluye cable de
datos 5.- Habilitar campo
6.- Ingresar código de etiqueta 7.- Fin del flujo alterno

Dependencias:
Asunciones y Dependencias:  Opciones estado, bloqueado y tipo de dispositivo ingresados
previamente.
 SDK instalado para la búsqueda del dispositivo
277
Diagrama de caso de uso registrar archivos
Figura 112: Caso de uso registrar archivos

Fuente (Autora)
Especificación de caso de uso registrar archivos
Número: 004
Nombre: Registrar archivos
Usuarios: es toda persona que ingrese la ruta de los archivos a validar
Actores: Sistema: solución tecnología que permitirá buscar los archivos en la ruta
especificada por el usuario
Permita la búsqueda de la carpeta que contiene los archivos necesarios para el
Descripción:
análisis e interpretación de los mismos.
Caso de estudio creado
Dispositivo ingresado
Precondiciones:
Copia bit a bit genarada
Archivos almacenados en una carpeta determinada
Post condiciones: Ruta de archivos registrada
Actor Sistema
1.- Presentar listado casos de estudio
registrados
archivos
Flujo Normal: 2.- Seleccionar caso de estudio
3.- Presentar lsiatdo de dispositivos
registrados al caso de estudio

5.- Habilitar opción subir archivos
278
6.- Seleccionar buscar ruta archivos
7.- Presentar ventana emergente para
buscar ruta
8.- Seleccionar ruta o dirección
donde se encuentra almacenados
los archivos
9.- Buscar archivos browser2.db,
sisodownloads.db, localappstate.db,
icingcorpora.db, packages.xml, y
dmappmgr.db
10.- Ingresar nombre y ruta del archivo
11.- Generar código referencial
12.- Solicitar almacenar información
13.- Validar y almacenar información de
los archivos
Dependencias: No aplica
Diagrama de caso de uso registrar copia de seguridad
Figura 113: Caso de uso copia de seguridad

Fuente (Autora)
279
Especificación de caso de uso registrar copia de seguridad
Número: 005
Nombre: Registrar copia de seguridad datos
Usuarios: es toda persona que solicite la opción realizar backup
Actores: Sistema: solución tecnología que permitirá buscar el dispositivo y realizar el
backup
Permite realizar una copia de seguridad de los datos del dispositivo móvil
Descripción:
conectado al equipo.
Precondiciones: Dispositivo conectado al computador
Driver dispositivo instalado
Post condiciones: Backup generado exitosamente
Actor Sistema
dispositivos
2.- Seleccionar buscar dispositivo
3.- Buscar dispositivos conectados al
computador
4.- Presentar listado dispositivos
conectados
Flujo Normal: 6.- Seleccionar opción realizar
backup
7.- Confirmar copia de seguridad en
el dispositivo 8.- Emitir mensaje “Ingresar nombre
backup”
9.- Ingresar nombre 10.- Realizar backup

11.- Emitir mensaje “Backup realizado
exitosamente”
Requerimientos Funcionales RF004
Requerimientos Especiales: RNF001, RNF002, RNF004, RNF005
Dependencias: No aplica.
280
Diagrama de caso de uso generar reportes
Figura 114: Caso de uso generar reportes

Fuente (Autora)
Especificación de caso de uso generar reportes
Número: 006
Nombre: Generar reportes
Usuarios: es toda persona que solicite generar reporte
Actores: Sistema: solución tecnología que permitirá buscar los registros del caso de
estudio, equipo de investigación, evidencia, dispositivos, archivos y resultados
Comprende la generación de un reporte en formato pdf, con la información
Descripción:
registrada y los resultados encontrados.
Equipo de investigación registrado
Precondiciones: Evidencia registrada
Dispositivo registrado
Archivos registrados (Opcional)
Post condiciones: Reporte generado en formato pdf
Actor Sistema
1.- Seleccionar caso de estudio
2.- Validar caso de estudio registrado
Flujo Normal: 3.- Seleccionar generar reporte caso

4.- Validar registro de datos caso de
estudio, equipo de investigación y
evidencia
5.- Generar reporte en formato pdf
281
6.- Presentar reporte
7.- Seleccionar generar resultados
dispositivo (FA1 GENERAR REPORTE
RESULTADOS)
8.- Seleccionar opción plantillas (FA2
DESCARGAR PLANTILLAS)
FA1 GENERAR REPORTE RESULTADOS
Actor Sistema
1.- Seleccionar generar resultados
dispositivo 2.- Emitir mensaje “Seleccione
dispositivo”
4.- Validar dispositivo registrado
5.- Validar registro de archivos
6.- Analizar archivos
7.- Generar resultados
Flujo Alternativo:
8.- Generar reporte en formato pdf
9.- Presentar reporte
10.- Fin del flujo alterno
FA2 DESCARGAR PLANTILLAS
Actor Sistema
1.- Seleccionar opción plantillas
2.- Presentar listado de plantillas
3.- Seleccionar plantilla
4.- Descargar plantilla en formato word
5.- Fin del flujo alterno
Requerimientos Funcionales: RF005, RF007, FR008, RF009 y RF010
Asunciones y Dependencias: Dependencias: Las plantillas no dependen del ingreso de las
mismas
282
Anexo 6 Diagrama de clases
Figura 115: Modelo de clases SGICAF

Fuente (Autora)
283
Figura 116: Diagrama de clases SGICAF- Persistence
Fuente (Autora)
284
Figura 117: Diagrama de clases
Fuente (Autora)
285
Anexo 7 Diagramas de secuencia
Figura 118: Diagrama de secuencia registrar peritaje

Fuente (Autora)
286
Figura 119: Diagrama de secuencia registrar dispositivo
Fuente (Autora)
287
Figura 120: Diagrama de secuencia registrar archivos
Fuente (Autora)
288
Figura 121: Diagrama de secuencia generar reporte caso
Fuente (Autora)
289
Figura 122: Diagrama de secuencia generar reporte resultados
Fuente (Autora)
290
Anexo 8 Diagrama de actividades
Figura 123: Diagrama de actividades registrar peritaje

Fuente (Autora)
291
Figura 124: Diagrama de actividades registrar dispositivo
Fuente (Autora)
292
Figura 125: Diagrama de actividades registrar archivos
Fuente (Autora)
293
Figura 126: Diagrama de actividades generar reporte caso
Fuente (Autora)
294
Figura 127: Diagrama de actividades generar reporte resultados
Fuente (Autora)
295
Anexo 9 Diagrama de componentes
Figura 128: Diagrama de componentes

Fuente (Autora)
Anexo 10 Diagrama de paquetes
Figura 129: Diagrama de paquetes

Fuente (Autora)
296
Anexo 11 Diagrama de despliegue
Figura 130: Diagrama de despliegue

Fuente (Autora)
Anexo 12 Manual técnico
1. Introducción
El presente documento pretende proporcionar una guía de instalación tanto de las

diferentes herramientas y tecnologías utilizadas, como también en el desarrollo del
“SISTEMA DE GESTIÓN DE INFORMACIÓN DE CASOS DE ESTUDIO DE ANALISIS
FORENSE denominado SGICAF”.
2. Requerimientos
 Tener instalado el SDK de Android.

 Tener instalado Xampp, para la interacción con la base de datos
 Habilitar la opción “Depuración USB” del dispositivo móvil.
3. Tecnologías
Para el desarrollo de la aplicación se empleó las siguientes tecnologías:
 Como lenguaje de programación utilizado para el desarrollo del software es

java
297
 El entorno de desarrollo es Netbeans 7.4
 Uso de la librería sqlite jdbc 1.3.3
 Uso de la librería log4j 1.2.17
 Uso de la librería mysql
 Uso de jasperreport 5.5.5
 Uso de viaforensics
 Uso del SDK de Android.
 Uso de Xampp
3.1 Java (Oracle, 2014)
Java es un lenguaje de programación y una plataforma informática comercializada por

primera vez en 1995 por Sun Microsystems. Hay muchas aplicaciones y sitios web que
no funcionarán a menos que tenga Java instalado y cada día se crean más. Java es
rápido, seguro y fiable. Desde portátiles hasta centros de datos, desde consolas para
juegos hasta súper computadoras, desde teléfonos móviles hasta Internet, Java está
en todas partes.
3.2 Netbeans (Gimeno & González, 2011)
NB es un entorno integrado de desarrollo o IDE (Integrated Development

Environment). En él podemos realizar todas las tareas asociadas a la programación:
 Editar el código
 Compilarlo
 Ejecutarlo
 Depurarlo
¿Por qué usarlo?
 Simplifica alguna de las tareas que, sobre todo en proyectos grandes, son
tediosas
 Nos asiste (parcialmente) en la escritura de código, aunque no nos libera de
aprender el lenguaje de programación
 Nos ayuda en la navegación de las clases predefinidas en la plataforma (miles)
 Aunque puede ser costoso su aprendizaje, los beneficios superan las
dificultades
298
3.3 Sqlite (Hipp, 2014)
SQLite es una biblioteca en proceso que se implementa sin servidor, sin configuración,
es un motor de base de datos transaccional de SQL autónomo. El código para SQLite
es de dominio público y por lo tanto libre para uso para cualquier propósito, comercial
o privado. SQLite se encuentra actualmente en más aplicaciones que podemos contar,
incluyendo varios proyectos de alto perfil. SQLite es un motor de base de datos SQL
incorporado. A diferencia de la mayoría de las otras bases de datos SQL, SQLite no
tiene un proceso servidor independiente. SQLite lee y escribe directamente en
archivos de disco ordinarios. Una base de datos completa de SQL con varias tablas,
índices, triggers y vistas, está contenida en un archivo de disco único. El formato de
archivo de base de datos es multiplataforma - se puede copiar libremente una base de
datos entre sistemas de 32 bits y de 64 bits o entre arquitecturas big-endian y little-
endian. Estas características hacen que SQLite una opción popular como un formato
de archivo de la aplicación.
3.4 Log4j (Apache Software Foundation, 2014)
Log4j es una biblioteca open source desarrollada en Java por Apache Software
Foundation que permite a los desarrolladores de software elegir la salida y el nivel de
granularidad de los mensajes o “logs” (data logging) a tiempo de ejecución y no
a tiempo de compilación como es comúnmente realizado. La configuración de salida y
granularidad de los mensajes es realizada a tiempo de ejecución mediante el uso de
archivos de configuración externos. Log4J ha sido implementado en otros lenguajes
como: C,C++, C#, Perl, Python, Ruby y Eiffel.
3.5 Mysql (Oracle Corporation and/or its affiliates, 2014)
MySQL es un sistema de gestión de bases de datos relacional, multihilo y multiusuario

con más de seis millones de instalaciones.
Por un lado se ofrece bajo la GNU GPL para cualquier uso compatible con esta
licencia, pero para aquellas empresas que quieran incorporarlo en productos privativos
deben comprar a la empresa una licencia específica que les permita este uso. Está
desarrollado en su mayor parte en ANSI C. Al contrario de proyectos como Apache,
donde el software es desarrollado por una comunidad pública y los derechos de autor
del código están en poder del autor individual, MySQL es patrocinado por una
empresa privada, que posee el copyright de la mayor parte del código. Esto es lo que
299
posibilita el esquema de licenciamiento anteriormente mencionado. Además de la
venta de licencias privativas, la compañía ofrece soporte y servicios. Para sus
operaciones contratan trabajadores alrededor del mundo que colaboran vía Internet.
MySQL AB fue fundado por David Axmark, Allan Larsson y Michael Widenius.
3.6 iReport Designer y jasperReports (Toffoli, 2014)
JasperReports en una librería de creación de informes de código abierto de Java más

popular del mundo, e iReport Designer es un diseñador visual de informes para
JasperReports. La biblioteca es un motor de informes que se puede integrar en su
aplicación abierta o comercial para generar los informes diseñados con iReport
Designer, ellas deben mostrarse en la pantalla o exportarlos en un formato final como
PDF, OpenOffice, DOCX y muchos otros. Alternativamente, puede transmitir el
resultado a través de una aplicación web o enviar el documento final directamente a
una impresora. JasperReports es de alguna forma el núcleo de iReport Designer.
JasperReports es extremadamente fácil de integrar en una aplicación Java, pero si
usted necesita un entorno para utilizar los informes sin tener que escribir una
aplicación personalizada, se puede considerar el uso de JasperReports Server.
JasperServer proporciona una interfaz basada en web para gestionar, programar y

ejecutar los informes; un repositorio para almacenar todos los recursos del informe
como imágenes, fuentes de datos y mucho más; un servicio de seguridad para decidir
quién puede ejecutar que informe; y una API de servicios web para ejecutar los
informes de aplicaciones externas (por lo que puede generar informes a partir de
cualquier tipo de entorno, como PHP o .NET). En el panorama general, iReport
Designer le permite diseñar informes, JasperReports permite ejecutarlas y generar una
salida en una aplicación Java, y JasperServer permite tanto a los usuarios finales y las
aplicaciones externas a acceder, ver y publicar sus informes de forma segura.
JasperServer también hace informes interactivos mediante la adición de perforar y
replegar las capacidades de sus documentos.
3.7 Viaforensics
Framework de utilidades para el análisis forense.
300
4. Diccionario de datos
4.1 Modelo entidad- relación
Figura 131: Modelo entidad relación

Fuente (Autora)
301
4.2 Tablas
Nombre tabla: casos

Descripción: En esta tabla se registran los ítems correspondientes al caso de
estudio. Tiene relación con las tablas “se_asigna” y “evidencia”
Nombre Tipo Longitud Nulo Restricción
CODIGOCASO varchar 50 No N/A
Lista de atributos (Nombre,
FECHASOLICITUD varchar 50 Si N/A
tipo de dato, longitud,
SOLICITANTE varchar 150 Si N/A
permitir datos nulos y/u otra
DESCRIPCION varchar 3000 Si N/A
restricción):
OBJETIVOS varchar 200 Si N/A
ALCANCE varchar 200 Si N/A
Llaves primarias y de Llave primaria  CODIGOCASO
referencia
Nombre tabla: personal

Descripción: En esta tabla se registra los datos personales del equipo de
investigación. Tiene relación con la tabla “se_asigna”
Lista de atributos (Nombre, Nombre Tipo Longitud Nulo Restricción
tipo de dato, longitud, IDENTIFICACION varchar 50 No N/A
permitir datos nulos y/u otra NOMBRES varchar 150 Si N/A
restricción): APELLIDOS varchar 150 Si N/A
Llaves primarias y de Llave primaria  IDENTIFICACION
referencia
Nombre tabla: se_asigna

Descripción: En esta tabla se registra la relación y el rol que desempeña el profesional con el
caso de estudio. Tiene relación con la tabla “casos” y “personal”
Lista de atributos Nombre Tipo Longitud Nulo Restricción
(Nombre, tipo de IDENTIFICACION varchar 15 No N/A
dato, longitud, CODIGOCASO varchar 50 No N/A
permitir datos nulos ROL varchar 150 No N/A
y/u otra restricción):
Llaves primarias y de Llaves primarias  IDENTIFICACION, CODIGO CASO
referencia
Nombre tabla: evidencia

Descripción: En esta tabla se registra los ítems principales de la evidencia. Tiene relación con
la tabla “caso” y “dispositivo”
(Nombre, tipo de CODIGOEVIDENCIA varchar 50 No N/A
dato, longitud, CODIGOCASO varchar 50 Si N/A
permitir datos nulos FECHAHORAINCAUTACION varchar 50 Si N/A
302
y/u otra restricción): LUGARINCAUTACION varchar 200 Si N/A
OBSERVACIONES varchar 2000 No N/A
Llaves primarias y de Llave primaria CODIGOEVIDENCIA
referencia Llave foránea  CODIGOCASO
Nombre tabla: dispositivo

Descripción: En esta tabla se registra los ítems correspondientes al dispositivo incautado. Tiene
relación con la tabla “evidencia” y “propiedades”
(Nombre, tipo de CODIGOETIQUETADISPOSITIVO varchar 50 No N/A
dato, longitud, PROPIETARIO varchar 100 No N/A
permitir datos CODIGOEVIDENCIA varchar 50 Si N/A
nulos y/u otra ESTADO varchar 50 Si N/A
restricción): BLOQUEADO varchar 50 Si N/A
PANTALLA varchar 50 Si N/A
FCC_ID varchar 50 Si N/A
IC varchar 50 Si N/A
ESPACIOALMACENAMIENTO varchar 50 Si N/A
SERVICIOSCONEXION varchar 50 Si N/A
MODO VUELO varchar 50 Si N/A
FECHARECEPCION varchar 50 Si N/A
TIPO varchar 50 Si N/A
BATERIAREMOVIBLE varchar 50 Si N/A
CARGADOR varchar 50 Si N/A
CAMARA varchar 50 Si N/A
IMÁGENES varchar 50 Si N/A
VIDEOS varchar 50 Si N/A
SIM varchar 50 Si N/A
TARJETA varchar 50 Si N/A
Llaves primarias y Llave primaria  CODIGOETIQUETADISPOSITIVO
de referencia Llave foránea  CODIGOEVIDENCIA
Nombre tabla: propiedades

Descripción: En esta tabla se registra los datos correspondientes a las propiedades y/o características
del dispositivo. Tiene relación con la tabla “dispositivo”
Lista de Nombre Tipo Longitud Nulo Restricción
atributos COD_PROPIEDADES int 11 No AUTO_INCREMENT
(Nombre, tipo SERIAL varchar 50 No N/A
de dato, CODIGOETIQUETADISPOSITI
varchar 50 Si N/A
longitud, VO
permitir datos TIPODIS varchar 50 Si N/A
nulos y/u otra SISTEMAOPERATIVO varchar 50 Si N/A
restricción): VERSIONOS varchar 50 Si N/A
303
IDIOMAOS varchar 50 Si N/A
MARCA varchar 50 Si N/A
MODELO varchar 50 Si N/A
FABRICANTE varchar 50 Si N/A
PROCESADOR varchar 50 Si N/A
KERNEL varchar 300 Si N/A
COMPILACION varchar 300 Si N/A
SERIALRADIO varchar 50 Si N/A
COMPOSICIONFICHEROS varchar 3000 Si N/A
TAMANIOFICHEROS varchar 3000 Si N/A
Llaves Llave primaria  COD_PROPIEDADES
primarias y de Llave foránea  CODIGOETIQUETADISPOSITIVO
referencia
Nombre tabla: cargador

Descripción: En esta tabla se registra los ítems correspondientes al cargador. Tiene relación con la
tabla “dispositivo”
atributos CODCARGADOR AUTO_INCRE
int 11 No
(Nombre, tipo MENT
de dato, CODETIQUETACARGADOR varchar 100 No N/A
longitud, CODIGOETIQUETADISPOSITIVO varchar 50 Sí N/A
permitir datos SERIALCARGADOR varchar 50 Si N/A
nulos y/u otra MARCACARGADOR varchar 50 Si N/A
restricción): MODELOCARGADOR varchar 50 Si N/A
INPUT varchar 50 Si N/A
OUTPUT varchar 50 Si N/A
FRECUENCIA varchar 50 Si N/A
CODCABLE varchar 50 Si N/A
CABLEDATOS varchar 50 Si N/A
Llaves Llave primaria  CODCARGADOR
primarias y Llave foránea  CODIGOETIQUETADISPOSITIVO
de referencia
Nombre tabla: bateria

Descripción: En esta tabla se registra los datos correspondientes a la batería. Tiene relación con la
tabla “dispositivo”
atributos CODBATERIA int 11 No AUTO_INCRE
(Nombre, tipo MENT
de dato, SERIALBATERIA varchar 100 No N/A
longitud, CODIGOETIQUETADISPOSITIV varchar 50 Si N/A
permitir datos O
304
nulos y/u otra FABRICANTEBATERIA varchar 50 Si N/A
restricción): VOLTAJE varchar 50 Si N/A
Llaves primarias y de Llave primaria  CODBATERIA
referencia Llave foránea  CODIGOETIQUETADISPOSITIVO
Nombre tabla: sim_card

Descripción: En esta tabla se registra los datos correspondientes a la tarjeta SIM. Tiene relación con
la tabla “dispositivo”
atributos COD_SIM int 11 No AUTO_INCREMENT
(Nombre, tipo de CODIGOETIQUETADISPOSIT
varchar 50 Si N/A
dato, longitud, IVO
permitir datos ICC varchar 50 Si N/A
nulos y/u otra OPERADORA varchar 50 Si N/A
restricción): FONO varchar 50 Si N/A
PIN varchar 50 Si N/A
PUK varchar 50 Si N/A
IMEI varchar 50 Si N/A
Llaves primarias Llave primaria  COD_SIM
y de referencia Llave foránea  CODIGOETIQUETADISPOSITIVO
Nombre tabla: tarjetaexterna

Descripción: En esta tabla se registra los ítems correspondientes a la tarjeta externa (SD Card o
micro SD). Tiene relación con la tabla “dispositivo”
(Nombre, tipo de CODSD int 11 No AUTO_INCREMENT
dato, longitud, CODIGOETIQUETADISPO
varchar 50 Si N/A
permitir datos nulos SITIVO
y/u otra NUMEROSERIAL varchar 50 Si N/A
restricción): ALMACENAMIENTO varchar 50 Si N/A
DISPONIBLE varchar 50 Si N/A
Llaves primarias y Llave primaria  CODSD
de referencia Llave foránea  CODIGOETIQUETADISPOSITIVO
Nombre tabla: archivos

Descripción: En esta tabla se registra los ítems correspondientes a los archivos a analizar del
dispositivo. Tiene relación con la tabla “dispositivo”
(Nombre, tipo de dato, ID_ARCHIVOS varchar 100 No N/A
longitud, permitir datos CODIGOETIQUETADISPOSITI
varchar 50 Si N/A
nulos y/u otra VO
restricción): NOMBREARCHIVOS varchar 100 Si N/A
RUTAARCHIVOS varchar 300 Si N/A
305
Llaves primarias y de Llave primaria  ID_ARCHIVOS
referencia Llave foránea  CODIGOETIQUETADISPOSITIVO
5. Manual de instalación y configuración

5.1 Requisitos generales pre-instalación
5.1.1 Instalación de JDK en Windows
1) Descargue el jdk de “http://www.oracle.com/us/technologies/java/jdk-7-

netbeans-download-432126.html” para windows  Seleccione la opción
“Accept license agreement”  Seleccione el jdk de Windows para descargar
Haga clic en guardar.
Figura 132: Opción aceptar licencia

Fuente (Autora)
Figura 133: Seleccionar jdk

Fuente (Autora)
306
Figura 134: Opción guardar
Fuente (Autora)
2) Haga doble clic en el instalador y proceda a la instalación correspondiente  le

aparecerá una ventana de bienvenida de la aplicación  haga clic en “Next” 
haga clic en “Next”
Figura 135: Pantalla de bienvenida instalación jdk

Fuente (Autora)
307
Figura 136: Instalación jdk
Fuente (Autora)
Figura 137: Progreso de instalación jdk

Fuente (Autora)
3) Seguidamente se mostrará la carpeta destino  haga clic en “Next” 

continuamente la aplicación procede a instalarse  finalmente aparecerá un
mensaje indicando que la instalación ha sido efectuada correctamente  haga
clic en “Close”.
308
Figura 138: Carpeta destino, instalación jdk
Fuente (Autora)
Figura 139: Instalación jdk carpeta destino

Fuente (Autora)
Figura 140: Mensaje final, instalación completa jdk
309
Fuente (Autora)
5.1.1 Instalación de Xampp en Windows
1) Vaya a “https://www.apachefriends.org/es/index.html”  escoja la opción

descargar “XAMPP para windows”  aparecerá una ventana para guardar el
instalador  haga cli en guardar.
Figura 141: Descargar xampp para Windows

Fuente (Autora)
Figura 142: Proceso de descarga Xampp

Fuente (Autora)
310
Figura 143: Guardar instalador
Fuente (Autora)
2) Haga doble clic en el instalador y aparecerá una ventana de bienvenida al

proceso de instalación  haga clic en “Next”
Figura 144: Ventana de bienvenida Xampp

Fuente (Bartolomé Sintes , 2014)
3) Escoja los componentes a instalar, principalmente “MySQL” y “phpMyAdmin” 

haga clic en “Next”
311
Figura 145: Seleccionar componentes
4) Aparecerá la venta de la carpeta de instalación del xampp (no cambie la ruta)

 haga clic en “Next”
Figura 146: Carpeta destino Xampp

5) Desmarque la casilla “Learn more about BitNami for XAMPP”, para que no se
abra la página web de BitNami.
312
Figura 147: Desmarcar casilla
6) Seguidamente se procede a instalar  haga clic en “Next” y haga clic en

“Finish”
Figura 148: Instalación xampp 1 / 2

313
Figura 149: Instalación xampp 2 / 2
Figura 150: Mensaje finalización instalación

7) Si tiene instalado la aplicación “Skype” debe configurar lo siguiente  vaya a la

opción “Config” de apache y escoja la opción “httpd.conf” Cambie le puerto
de “Listen 80” a “Listen 8080” y en “ServerName localhost:80” a “ServerName
localhost:8080”
314
Figura 151: Panel de control Xampp
Fuente (Autora)
Figura 152: Opción cambar puerto 1 / 2

Fuente (Autora)
Figura 153: Opción cambiar puerto 2 / 2

Fuente (Autora)
8) Vaya a la opción Config de apache y escoja la opción “httpd-ssl.conf” 

cambie el puerto “Listen 443” a “Listen 4433”
315
Figura 154: Opción httpd-ssl.conf
Fuente (Autora)
Figura 155: Cambiar puerto 1 / 2

Fuente (Autora)
Figura 156: Cambiar puerto 2 / 2

Fuente (Autora)
9) En el panel de control haga clic en “start” de la opción de Mysql y de Apache 

en el navegador web digite “localhost:8080/xampp”  escoja la opción
“Español”
316
Figura 157: Iniciar Apache y MySQL
Fuente (Autora)
Figura 158: Servicios iniciados

Fuente (Autora)
Figura 159: Seleccionar opción español

Fuente (Autora)
317
Figura 160: Ventana de inicio Xampp
Fuente (Autora)
10) Una vez configurado e instalado correctamente  vaya a la opción

“phpmyadmin” para crear la base de datos a ser utilizada.
Figura 161: Opción phpmyadmin

Fuente (Autora)
11) Vaya a la opción “Nueva”  vaya al lado derecho en “Crear base de datos” en
el cuadro de texto digite “forenseandroid” haga clic en “Crear”
Figura 162: Crear base

Fuente (Autora)
318
Figura 163: Crear base de datos
Fuente (Autora)
12) Aparecerá un mensaje con la confirmación de que la base ha sido creada

existosamente.
Figura 164: Confirmación base de datos creada

Fuente (Autora)
13) Vaya a la opción “importar”  haga clic en la opción “Seleccionar archivo” y

escoja el archivo “forenseandroid.sql”  haga clic en abrir  y finalmente haga
clic en “Continuar”
Figura 165: Opción importar

Fuente (Autora)
319
Figura 166: Seleccionar importar
Fuente (Autora)
Figura 167: Opción seleccionar archivo

Fuente (Autora)
Figura 168: Seleccionar archivo

Fuente (Autora)
320
Figura 169: Opción continuar
Fuente (Autora)
5.1.2 Instalación de SDK de Android
1) Vaya a https://developer.android.com/sdk/index.html  Seleccione “VIEW ALL

DOWNLOADS AND SIZES”  en la sección “SDK Tools Only” descargue el
paquete de windows “installer_r23.0.2-windows.exe”
2) Una vez descargada la aplicación  Haga doble clic en el instalador, el cual le
presentará la ventana principal de instalación  haga clic en “Next”
Figura 170: Ventana de beinvenida SDK

Fuente (Autora)
3) El sdk de android validará la ubicación del jdk  haga clic en “Next”  escoja
la opción “Install for anyone using this computer”  haga clic en “Next”
321
Figura 171: Ventana detectar Java
Fuente (Autora)
Figura 172: Ventana instalación compartida entre usuarios

Fuente (Autora)
4) Se presentará una ventana en el que se indica la ruta o destino donde se

guardará la carpeta de instalación  haga clic en “Next”
Figura 173: Carpeta destino SDK

Fuente (Autora)
322
5) Continuamente procederá a realizar la instalación completa  haga clic en
“install” haga clic en “Next”  haga clic en “Next”  finalmente haga clic en
“finish”
Figura 174: Ventana Iniciar instalación

Fuente (Autora)
Figura 175: Proceso de instalación SDK 1 / 3

Fuente (Autora)

Fuente (Autora)
323
Fuente (Autora)
Figura 178: Confirmación instalación completa SDK

Fuente (Autora)
6) Una vez culminada la instalación añadir las variables de entorno  vaya a

“Inicio”  “Equipo” clic derecho “Propiedades” “Configuración avanzada
del sistema”  “Opciones avanzadas” “Variable de entorno”Elija la opción
”Path”  haga clic en la opción “Editar”  y en la opción “Valor de la variable”
agregue “C:\Program Files (x86)\Android\android-sdk\platform-tools;”,
“C:\Program Files (x86)\Android\android-sdk\tools;”  haga clic en “Aceptar”
324
2
Figura 179: Añadir variables de entorno

Fuente (Autora)
Figura 180: Opción configuración avanzada del sistema

Fuente (Autora)
325
1
Figura 181: Opción variables de entorno

Fuente (Autora)
Figura 182: Editar variable de entorno

Fuente (Autora)
Figura 183: Confirmación variable de entorno

Fuente (Autora)
326
7) En la consola de comandos digite “adb” para comprobar la correcta instalación
Figura 184: Comprobación comando adb

Fuente (Autora)
Figura 185: ADB

Fuente (Autora)
8) Continuamente debe instalar los paquetes necesarios a ser utilizados tales

como “Android support library” y “Google USB Driver”  Vaya a la ruta en la
que se guardo la carpeta del SDK “C:\Program Files (x86)\Android\android-sdk”
 haga doble clic en “SDK Manager.exe”, Marque los paquetes anteriormente,
mencionados  haga clic en “Install # packages”  Escoja la opción “Accept
license”  y haga clic en “install”, culminada la instalación  haga clic en
“close” y en el icono
Figura 186: SDK Manager

Fuente (Autora)
327
Figura 187: Venatana SDK Manager
Fuente (Autora)
Figura 188: Seleccionar paquetes

Fuente (Autora)
Figura 189: Instalación paquetes

Fuente (Autora)
328
Figura 190: Finalizar instalación paquetes
Fuente (Autora)
5.2 Manual de usuario

5.2.1 Bienvenida
La aplicación mostrará un mensaje de bienvenida, el mismo que dará inicio a la

aplicación.
Figura 191: Pantalla de bienvenida

Fuente (Autora)
5.2.2 Pantalla de inicio
En la pantalla de inicio visualizará un menú principal, un menú secundario y la lista de

casos de estudio registrados en el sistema.
En el menú principal dispone de las siguientes opciones:
 Inicio: Aquí cuenta con varias opciones tales como:

o Nuevo caso: Opción que le permitirá ingresar un nuevo caso de estudio
329
o Ingresar dispositivo: Opción que le permitirá ingresar un nuevo
dispositivo a cada caso de estudio que lo requiera
o Generar reporte caso: Genera un reporte del caso de estudio
seleccionado, es decir, se presentará en formato pdf toda la información
ingresada en la aplicación.
o Generar reporte resultados: Genera un reporte de los resultados
analizados de cada uno de los dispositivos que seleccione
 Plantillas: En esta opción se dispondrá de los modelos de plantillas a ser
utilizados en cada una de las fases que la guía metodológica propone.
 Ayuda: En esta opción constará de una breve explicación de la aplicación para
un mayor entendimiento.
Figura 192: Pantalla principal

Fuente (Autora)
En la pantalla principal podrá visualizar la lista de casos ingresados  Al seleccionar

el caso de estudio podrá visualizar la información ingresada.
Figura 193: Opción inicio

Fuente (Autora)
330
5.2.3 Formulario Ingresar caso
En esta opción deberá ingresar los datos solicitados correspondientes al caso de

estudio
1. Ir a la opción Inicio  Nuevo caso o clic en la opción Nuevo caso del menú
principal
2. Ingrese el código del caso de estudio  Seleccione la fecha de solicitud 
Ingrese o digite la Persona/Institución solicitante, descripción, objetivos y
alcance  Haga clic en siguiente.
Figura 194: Formulario Ingresar caso de estudio

Fuente (Autora)
3. A continuación deberá ingresar los datos del equipo de investigación Ingrese

la identificación Haga clic en buscar, si el investigador ya ha sido ingresado
 Seleccione el rol y haga clic en agregar, caso contrario ingrese los nombres
y apellidos.
a. De la misma manera cuenta con la opción de Modificar, el cual le
permitirá modificar los datos del investigador en caso de que sean
erróneos
b. Y también cuenta con la opción de Eliminar, la misma que solo le
permite eliminar el investigador de la tabla del equipo de investigación
para el caso, más no de la base de datos.
4. Una vez agregados los responsables de la investigación haga clic en
siguiente
331
Figura 195: Formulario ingresar equipo de investigación
Fuente (Autora)
5. En este formulario deberá ingresar los datos correspondientes a la evidencia

a. Seleccionar la fecha de incautación (Recuerde que la fecha de
incautación debe ser igual o superior a la fecha de solicitud) 
Selecciona la hora de incautación (Hora y minutos)
b. Ingrese el lugar de incautación y observaciones  Finalmente
seleccione finalizar.
Figura 196: Formulario ingreso de datos evidencia

Fuente (Autora)
5.2.4 Formulario Ingresar dispositivo
1. Seleccione el caso de estudio  Seleccione la evidencia  Seleccione la

opción Ingresar dispositivos
332
2. Ingresar código etiqueta  Ingresar propietario  Seleccionar fecha y hora de
recepción  Seleccione el tipo de dispositivo  Seleccione el estado 
Seleccione la opción que corresponde si el dispositivo se encuentra
bloquead Ingrese las características de la pantalla  Ingrese el FCC ID e IC
 Ingrese el espacio de almacenamiento del dispositivo  Seleccione la
opción correspondiente si el dispositivo soporta el modo vuelo  Seleccione
los servicios de conexión, si escoge la opción Otros, ingrese la misma  Haga
clic en siguiente.
Figura 197: Ingresar datos dispositivo 1/ 4

Fuente (Autora)
3. Seleccione las opciones correspondientes, si el dispositivo cuenta con los

mismos tales opciones son Tarjeta externa, SIM Card, batería removible,
cargador, cable de datos, cámara, si cuenta con cámara se habilitara la opción
captura videos y captura imágenes, seleccione lo que crea necesario 
Ingrese los datos correspondientes a la batería (esta opción se habilitara si
eligió que la batería es removible), número serial, capacidad de voltaje y
fabricante  haga clic en siguiente
333
Figura 198: Formulario dispositivo 2 / 4
Fuente (Autora)
4. Ingrese los datos de la tarjeta externa, SIM Card y cargador/cable USB si las
opciones seleccionadas fueron afirmativas, caso contrario el sistema no le
permitirá ingresar los mismos  haga clic en siguiente
a. Ingrese número serial, espacio de almacenamiento y espacio
disponible de la tarjeta externa
b. Ingrese el número de teléfono, ICC, PIN y PUK de la tarjeta SIM Card
c. Ingrese el código de la etiqueta, Serial, marca, modelo, frecuencia,
input, output y el código de la etiqueta del cable de datos
Figura 199: Formulario dispositivo 3/ 4

Fuente (Autora)
5. Conecte el dispositivo al equipo  Seleccione la opción Buscar dispositivos 

Seleccione el dispositivo a extraer la información  Seleccione realizar backup
datos  haga clic en siguiente
334
Figura 200: Formulario búsqueda dispositivo 4/ 4
Fuente (Autora)
6. Sin desconectar el dispositivo del equipo  Seleccione la opción Sistema de

ficheros  haga clic en siguiente  haga clic en finalizar
Figura 201: Formulario composición sistema de ficheros

Fuente (Autora)
5.2.5 Formulario subir archivos
1. Seleccione el caso de estudio  Selecciona la opción Subir archivos 

Seleccione la ruta en la que se encuentran los archivos (todos los archivos
deberán estar, en lo posible en una sola carpeta), sisodownloads.db,
downloads.db, localappstate.db, icingcorpora.db, dmappmgr.db, packages.xml,
browser2.db  haga clic en Finalizar
335
Figura 202: Formulario subir archivos
Fuente (Autora)
2. Seleccione los archivos subidos al sistema y el sistema le presentará la

información contenida en los mismos, a la vez podrá visualizar los resultados
de las aplicaciones instaladas, desinstaladas y no satisfactorias.
5.2.6 Menú generar reportes
1. Seleccione la opción generar reporte caso  Seleccione el caso  Seleccione

aceptar
Figura 203: Menú generar reporte

Fuente (Autora)
336
Figura 204: Ventana selección caso
Fuente (Autora)
2. O puede seleccionar el caso de la lista de casos  Seleccione la opción

Generar reporte
Figura 205: Opción generar reporte

Fuente (Autora)
Figura 206: Reporte

Fuente (Autora)
337
5.2.7 Menú plantillas
Para obtener las plantillas en formato Word  Seleccione la opción plantillas 

Seleccione la plantilla a requerir.
Figura 207: Menú plantillas

Fuente (Autora)
5.2.8 Menú Ayuda
Este menú cuenta con dos opciones Ayuda y “Acerca de”.
La opción ayuda le brindará el apoyo necesario, para el correcto uso de la aplicación,

mientras que la opción Acerca de, le propondrá información sobre quien elaboro la
aplicación y cuál fue el objeto del mismo.
Figura 208: Opción ayuda

Fuente (Autora)
338
Figura 209: Ventana principal de Ayuda
Fuente (Autora)
Figura 210: Ventana “Acerca de”

Fuente (Autora)
339
Anexo 13 Instalación herramientas
Contiguamente a la investigación se realizó la instalación y configuración de las

herramientas previamente analizadas, tomando en consideración que las herramientas
de uso comercial, se cuenta con un tiempo de prueba de 30 días para su uso,
limitándose en algunas opciones.
En el siguiente apartado se detalla los inconvenientes y/u observaciones encontradas.
Tabla 106: Análisis instalación

Herramienta Observación Tipo Plataforma
Problemas al encontrar el dispositivo de seguridad. Por
Forensic Toolkit lo que no se brindó la llave, para la versión de pruebas Comercial Windows
de 30 días, al no encontrarse el Serial Number.
Device Seizure Instalación correcta, demo 30 días. Comercial Windows
Problemas al encontrar el dispositivo de seguridad. Por
MPE + lo que no se brindó la llave, para la versión de pruebas Comercial Windows
de 30 días, al no encontrarse el Serial Number.
Oxygen forensic
Instalación correcta, demo 30 días. Comercial Windows
Suite
MOBILedit Instalación correcta, demo 30 días. Comercial Windows
Encase Forensic Instalación correcta, demo 30 días. Comercial Windows
Open Linux/
Autopsy Instalación correcta, versión para Windows y Ubuntu
source Windows
Open
BitPim Instalación correcta Linux
source
AccessData FTK
Instalación correcta Gratuita Windows
Imager
Open
Helix CD Uso de live CD, kit de herramientas Linux
source
Windows/
Android SDK Instalación correcta Gratuita
Linux/ Mac
android-locdump Instalación correcta en dispositivo, extracción datos APK Android
Androidguard Instalación correcta en dispositivo, extracción datos APK Android

Viaforensics Instalación correcta en dispositivo, extracción datos APK Android
Fuente (Autora)
Por consiguiente se procedió a realizar el uso de las herramientas, cumpliendo con el

objetivo del caso de prueba, por lo que se puede detallar lo siguiente:
340
Tabla 107: Análisis pruebas herramientas
Herramienta Observación
No reconoce dispositivo Android GT (Smartphone)
Device Seizure Reconoce dispositivo GT-P5113 (Tablet), y no extrae información de relevancia, para
el caso de prueba.
Permite la extracción de un backup y copia bit a bit del dispositivo GT-P5113 al
Oxygen forensic
conectar el mismo al equipo, exploración de los datos y archivos encontrados, y la
Suite
generación de un reporte.
Permite la extracción de un backup y copia bit a bit del dispositivo GT-P5113 al
MOBILedit
conectar el mismo al equipo, y la exploración de los datos y archivos encontrados.
No permite la extracción de un backup y copia bit a bit de ninguno de los dispositivos,
Encase Forensic
como también no permite la exploración de los archivos
Autopsy Con la versión de Windows existe problemas al leer la imagen con extensión .img,
BitPim Problemas de compatibilidad con los dispositivos analizados
AccessData FTK Permite la exploración de los archivos y datos obtenidos en la imagen (copia obtenida
Imager del dispositivo)
Helix CD Kit de herramientas para realizar análisis forense
Permite la navegación de los archivos, composición del sistema de ficheros, etc.,
Android SDK
mediante la conexión vía ADB
Permite la extracción de los datos de geolocalización registrados en el dispositivo, el
android-locdump
mismo que no es de relevancia para el cumplimiento del objetivo del caso de prueba.
Permite el análisis de las aplicaciones en Android, comprobando que la misma no
esté presente en una base de datos de malware, etc. Su objetivo principal se basa en
androidguard el análisis de malware.
Es por esto que la app no es de relevancia para el cumplimiento del objetivo del caso
de prueba.
viaforensics Permite la extracción de contactos, mensajes de texto, y llamadas, datos que han
(Android- sido registrados en el dispositivo, el mismo que no es de relevancia para el
forensics) cumplimiento del objetivo del caso de prueba.
Fuente (Autora)
341
PAPER
Guía metodológica de análisis forense informático
para dispositivos móviles con sistema operativo
Android
Jessica K. Cuenca A. #1, Danilo R. Jaramillo H. #2,
Sec. Deptal de Ing. Software y Gest. Tecnologías de la Información,
Universidad Técnica Particular de Loja
Loja- Ecuador
1
[email protected]
2
[email protected]
Resumen- El presente trabajo busca ayudar al especialista Por lo que la presente investigación se desarrolla con el
forense, con una guía metodológica que proporcione las objeto de diseñar una guía metodológica de análisis forense
directrices necesarias a considerar en un examen forense. para dispositivos móviles con sistema operativo Android, que
Además de aportar con un listado de herramientas forenses permita aplicar y sustentar el proceso forense, considerando
apropiadas que permita la recuperación de información del
las recomendaciones y mejores prácticas sobre el correcto uso
dispositivo móvil.
y manejo de la evidencia de los diferentes referentes y
Índice de Términos- Guía metodológica, análisis forense, estándares internacionales tales como la guía metodológica
informática forense, Marco legal, Ecuador, NIJ, NIST, OASAM, forense del Departamento de Justicia de los Estados Unidos
SWGDE, ENFSI, Android, dispositivos móviles, herramientas (NIJ)[1], la Guía Forense en Teléfonos Celulares del Instituto
forenses. Nacional de Estándares de Tecnología (NIST)[2], la guía
metodológica de la Red Europea de Instituto de Ciencias
Abstract—This paper seeks to assist the forensic specialist, Forenses (ENFSI)[3], la guía de mejores prácticas para
with a methodological that guide provide the necessary análisis forense en teléfonos móviles (SWGDE)[4] y de
guidelines to consider in a forensic examination guidelines. In
estudios realizados referentes al tema.
addition to providing a list of appropriate forensic tools that
allow information retrieval mobile device. Conjuntamente se provee una aplicación que permite:
gestionar la información del caso de estudio, extraer las
Índex Terms- Methodological Guide, forensics, computer principales propiedades del dispositivo móvil y ayudar al
forensics, legal context, Ecuador, NIJ, NIST, OASAM, SWGDE, análisis de los archivos que el usuario adquiere de la copia bit
ENFSI, Android, mobile devices, forensic tools. a bit, archivos que contienen información referente a las
aplicaciones instaladas/desinstaladas, historial de navegación
I. INTRODUCCIÓN y descargas realizadas por el usuario.
El uso de dispositivos móviles ha ido evolucionando
exponencialmente, prestando nuevas características y II. MARCO TEÓRICO
funcionalidades, siendo una herramienta de uso diario tanto Para realizar un análisis forense, primeramente se debe dar
personal como laboral. respuesta a las siguientes interrogantes ¿de qué se trata?, ¿para
Los dispositivos móviles almacenan información vital del qué sirve?, ¿qué técnicas y herramientas se deben usar?, ¿cuál
usuario, que sin las debidas precauciones puede ser utilizada es el procedimiento a seguir?, y en especial ¿qué leyes, de
por agentes externos (virus, etc.) para cometer delitos acuerdo al código penal vigente en el país se aplican ante un
informáticos tales como usurpación de identidad, amenazas, delito informático?, entre otras. A continuación se da una
robo de información, etc. breve explicación:
Es así que con el fin de conocer y recuperar los datos
perdidos, robados y/o borrados se da inicio al análisis forense A. Análisis forense
informático, el mismo que permite buscar las evidencias o De acuerdo a P. Thomas, P. Owen, and D. McPhee [5]
rastros dejados por el autor del delito. “Forense es el arte o el estudio del discurso argumentativo en
Es importante mencionar que en Ecuador no existe un el que se utiliza la ciencia para proporcionar datos, es decir, la
documento o guía que proporcione al profesional las aplicación de la ciencia a la ley. Siendo una técnica para la
directrices necesarias a considerar en un proceso forense en identificación, la recuperación y la reconstrucción de las
dispositivos móviles. Además de no proporcionar un listado pruebas. Investigadores de la ciencia forense reconstruyen y
de las herramientas forenses apropiadas, que permiten la extraen la evidencia de la que se puede aplicar a los casos
recuperación de la información almacenada en el dispositivo. penales para dar más pistas, o celebrar hechos. La Informática
Forense ha adoptado un procedimiento de investigación Documentar la escena
similar, pero el examen científico solamente se preocupa de (Mantener un registro
permanente de la x x x x
los datos contenidos o de los que se recupera en los medios de escena, registro
comunicación digitales. Por consiguiente, la informática fotográfico)
forense puede ser definida como la preservación, Proceso de recolección
identificación, extracción, documentación e interpretación de de la evidencia
(etiquetas, sellado, x x x x
los datos digitales” envasado, transporte y
En cambio para McKennichs [6] el Análisis Forense almacenamiento)
Informático es “la técnica de capturar, procesar e investigar Identificación de
información procedente de sistemas informáticos utilizando dispositivos y/o x x x
una metodología con el fin de que pueda ser utilizada en la periféricos asociados
Aislamiento del
justicia”. dispositivo
x x
Y para Rifá Pous, Serra Ruiz & Riva López [7] “El análisis Documentación
forense es una ciencia moderna que permite reconstruir lo que herramientas y
ha sucedido en un sistema tras un incidente de seguridad. Este software utilizados en x x x x
análisis puede determinar quién, desde dónde, cómo, cuándo y el examen (Materiales
de apoyo)
qué acciones ha llevado a cabo un intruso en los sistemas Toma de notas x x
afectados por un incidente de seguridad”. Resumen de resultados x
Basándose en los conceptos anteriores se puede definir al Detalles de hallazgos x x x x
análisis forense informático como un proceso y/o metodología El informe contiene un
que tiene la finalidad de probar y reconstruir un hecho o x
glosario
suceso, a través de las pruebas realizadas en un laboratorio. Presentación de prueba
x
testimonial
B. Modelos y metodologías Se lleva un proceso de
x
quejas/reclamos
Existe una variedad de guías o mejores prácticas al realizar
Los expedientes de
un examen forense, que han sido referentes, entre ellas adquisición deben x
tenemos: archivarse
 OASAM: Open Android Security Assessment
Methodology Seguidamente se presenta un cuadro comparativo en base a
 NIJ: Metodología Forense del Departamento de Justicia las fases adoptadas por cada modelo.
de los Estados Unidos
 NIST: Metodología Forense del Instituto Nacional de TABLA II
CUADRO COMPARATIVO MODELOS – FASES
Estándares de Tecnología
 ENFSI: Metodología de análisis forense de la Red OASA N ENF SWGD
Fases NIST
Europea de Institutos de Ciencias Forenses M IJ SI E
 SWGDE: Guía de mejores prácticas para análisis forense Preservación x x x
Adquisición x x x x
en teléfonos móviles Preparación x
A continuación se muestra un cuadro comparativo en base a Extracción x x
los procedimientos y/o actividades adoptadas por cada modelo. Exploración y
x x x x x
Análisis
TABLA I Informes y/o
CUADRO COMPARATIVO MODELOS reportes x x x x
(Documentación)
Procedimientos/ Archivo x
NIJ NIST ENFSI SWGDE
Actividades
Autorización legal x x x
C. Herramientas de análisis forense
Identificación del Actualmente existen herramientas comerciales que su
problema / Evaluación x x x licenciamiento de uso es muy costoso pero al no conocer su
del caso código fuente, hacen de estas un problema judicial. Sin
Determina
previamente el embargo contamos con herramientas gratuitas y de código
x x x x abierto que son de gran utilidad, pero limitadas en ciertas
equipo/personal a
trabajar en el caso funcionalidades.
Se puede llevar otros En la TABLA III se muestra un cuadro comparativo sobre
procesos forenses
(toma de huellas,
x x x las principales características que presentan cada una de las
ADN, etc.) herramientas.
Asegurar y evaluar la
x x x x A= Adquisición, AE= Análisis/Exploración, R=Reportes
escena
(buzón de entrada, salida, borradores), carpeta de archivos,
TABLA III fotos, tonos, vídeos, grabaciones)
CUADRO COMPARATIVO HERRAMIENTAS C6= Copia comprimida de los discos fuente, exploración y
Función análisis de múltiples partes de archivos adquiridos, análisis
Herramienta A Característica Plataforma compuesto del documento, soporte de múltiples sistemas de
A R archivos, vista de archivos y otros datos en el espacio
E
Herramientas comerciales unallocated, visualizador integrado de imágenes, análisis del
historial del navegador web, generación de informes
Forensic Toolkit x x x C1 Windows
C7= Permite crear notas del investigador, soporte para
reproducción: ver vídeos e imágenes en la aplicación y no
Device seizure x x x C2 Windows
requiere un visor externo, visor de miniaturas: muestra
MPE+ x x C3 Windows miniaturas de las imágenes que te ayudarán ver rápidamente
las imágenes, permite generar informes en formato HTML y
Oxygen Forensic
suite
x x x C4 Windows XLS
C8= Las funcionalidades varían según el modelo de
MOBILedit x x C5 Windows dispositivo, permite la extracción de (Agenda telefónica,
Calendario, Fondos de pantalla, Ringtones (Varía según el
Encase Forensic x x x C6 Windows teléfono), sistema de archivos, medios de comunicación,
Herramientas no comerciales historial de llamadas, SMS, editor T9), los datos pueden ser
Autopsy x x C7
Windows / importados y exportados de diversas fuentes, tales como
Linux Microsoft Outlook y Google Calendar
BitPim x x C8 Windows C9= Posee un kit de herramientas necesarias para realizar
análisis forense.
Helix CD x x x C9 Linux C10= Extracción de (contactos, llamadas, historiales de
Android SDK x x C10
Windows/ navegación, mensajes, datos del sistema de ficheros,
Linux/ Mac navegación de archivos, etc.)
Android-locdump x x C11 Android
C11= Extracción de datos de geolocalización GPS
C12= Análisis de malware
Androidguard x x C12 Android C13= Extracción de contactos, mensajes de texto, y
Viaforensics x x C13 Android llamadas
D. Dispositivos móviles
C1= Análisis integral de datos volátiles, capacidad de En Baz Alonso, Ferreira Artime, Rodríguez & García
análisis de todo el sistema de archivos, tipos de archivos y Banieloo [8] señalan que “Un dispositivo móvil se puede
correo electrónico, genera reportes robustos detallados en definir como un aparato de pequeño tamaño, con algunas
formatos originales, HTML, PDF, XML, RTF, entre otros, capacidades de procesamiento, con conexión permanente o
incluyendo enlaces hacia la evidencia original. intermitente a una red, con memoria limitada, que ha sido
C2= Extracción de datos lógicos (Registros de llamadas, diseñado específicamente para una función, pero que puede
SMS, Contactos, Imágenes), extracción de datos físicos llevar a cabo otras funciones más generales”.
(sistema de archivos, datos borrados, recuperación y Hoy en día los dispositivos móviles cuentan con una
extracción de usuarios y contraseñas), integración de Google
variedad de sistemas operativos entre ellos tenemos iOS,
Earth (Coordenadas GPS mediante la integración con Google
BlackBerry, Windows Phone, Android etc. Sin embargo en la
Earth)
presente investigación se ha escogido Android, siendo uno de
C3= Extracción (Registro de llamadas o Call logs, Email, los sistemas operativos más populares en el mercado logrando
GPS data, Fotos, Archivos de video, Correos de voz, Historial el primer lugar con una cuota del 78,6% en el año 2013 frente
de navegación Web, Agenda telefónica, Historial de búsqueda) al 69% del año 2012, de acuerdo a la investigación realizada
C4= Extrae información básica del teléfono y de la tarjeta por Pastor [14].
SIM (Lista de contactos, llamadas, e-mail, SMS, MMS, Continuamente se expone las principales características,
marcas de tiempo de SMS center, calendario, tareas, notas de donde los autores Robledo Sacristán & Robledo Fernández [9]
texto, metadatos de fotografías, videos, sonidos, coordenadas señalan que Android es un sistema operativo, inicialmente
geográficas, historiales de conexión, actividad wifi, registros diseñado para teléfonos móviles como los sistemas operativos
de voz, lista de aplicaciones instaladas: Java o nativas, Base iOS (Apple), Symbian (Nokia) y Blackberry OS. En la
de datos de emisoras de radio FM, memoria caché del actualidad, este sistema operativo se instala no sólo en
navegador web y marcadores, protección de la integridad de móviles, sino también en múltiples dispositivos, como tabletas,
datos con MD5, SHA-1, SHA-2, CRC, HAVAL, GOST D34. GPS, televisores, discos duros multimedia, mini ordenadores,
11-94) etcétera. Incluso se ha instalado en microondas y lavadoras.
C5= Análisis de teléfonos vía cable USB, Bluetooth e Está basado en Linux, que es un núcleo de sistema operativo
Infrarrojo, extracción (agenda telefónica, llamadas, SMS libre, gratuito y multiplataforma. Este sistema operativo
permite programar aplicaciones empleando una variación de y misc) y las particiones que pertenecen a la tarjeta
Java llamada Dalvik, y proporciona todas las interfaces externa (sdcard, sd-ext).
necesarias para desarrollar fácilmente aplicaciones que  Las medidas adoptadas y/o acciones realizadas por
acceden a las funciones del teléfono (como el GPS, las los investigadores para asegurar, preservar,
llamadas, la agenda, etcétera) utilizando el lenguaje de identificar y reunir las pruebas necesarias, no debe
programación Java. Su sencillez principalmente, junto a la afectar a la integridad de la evidencia, es decir, que
existencia de herramientas de programación gratuitas, es la cualquier actividad que se realice para la recolección,
causa de que existan cientos de miles de aplicaciones búsqueda y extracción de información no deberá
disponibles, que extienden la funcionalidad de los dispositivos alterar o manipular la evidencia.
y mejoran la experiencia del usuario.  Identificar los posibles problemas relacionados con
Una de las características más importantes de este sistema los estatutos o leyes vigentes en el país, ya que
operativo reside en que es completamente libre. Es decir, ni permitirá establecer las debidas acciones y/o
para programar en este sistema ni para incluirlo en un teléfono precauciones y el cumplimiento de las mismas,
hay que pagar nada. Por esta razón, es muy popular entre los dentro de la ejecución del examen forense.
fabricantes de teléfonos y desarrolladores, ya que los costes  Considerar que nos todos los pasos y/o herramientas
para lanzar un teléfono o una aplicación son muy bajos. recomendadas en esta guía pueden ser tomadas como
una prueba válida dentro de un procedimiento legal.
E. Aspecto legal en el Ecuador
 Contar con las herramientas y/o materiales necesarios
Dentro de lo que es el proceso de análisis forense es antes de realizar el examen (Hardware y Software).
importante conocer el marco legal y regulatorio existente en el  El equipo de investigación deberá estar entrenado y
país, puesto que de esta manera el especialista forense capacitado, como también tener la capacidad de
conozca las normas jurídicas sobre los delitos informáticos, explicar las acciones tomadas en el examen forense.
con la finalidad de establecer las debidas precauciones en el
 Se debe mantener un protocolo de registros
desarrollo y cumplimiento del análisis.
(formularios estandarizados) para la referente
En Ecuador se establecen las siguientes leyes: la “Ley
anotación de los hallazgos u observaciones
Orgánica de Transparencia y acceso a la información pública”
encontradas en el examen forense; y/o
[10], “Ley de Comercio Electrónico, Firmas electrónicas y
documentación de todos los pasos realizados en cada
mensajes de datos”[11], “Ley especial de
una de las fases. Se pueden hacer uso de los modelos
Telecomunicaciones”[12], y el “Código orgánico integral
de plantillas recomendados en la guía metodológica
penal”[13].
III. GUÍA METODOLÓGICA La guía se centra en cuatro etapas o fases, las cuales se
detallan en la brevedad, a continuación:
La guía le permitirá saber, ¿qué hacer?, ¿cómo actuar?,
¿qué analizar? e identificar el proceso y/o actividades a seguir,
en el momento en que se otorga un dispositivo móvil para su A. Fase de identificación y preservación
análisis, como también desarrollar la documentación necesaria En esta primera fase se da la identificación del incidente, es
para llevar a cabo un historial de las actividades realizadas en decir, se conoce los antecedentes, la situación actual y el
cada una de las fases y de los hallazgos encontrados en el proceso que se pretende seguir, para dar inicio a la cadena de
dispositivo móvil. Determinando el alcance y cumplimiento custodia (proceso que verifica la integridad y manejo
del objetivo del caso de estudio. adecuado de la evidencia), como también la preservación,
Sin embargo se debe considerar lo siguiente: búsqueda y recopilación de la evidencia de los dispositivos
 La guía debe ser utilizada como una fuente de ayuda móviles involucrados en su estado original y el entorno legal.
para la ejecución de una investigación forense, por lo
que se entenderá que no se debe utilizar como una
medida o un mandato para la aplicación de la ley, ni
como asesoramiento jurídico.
 Conocer las características del dispositivo a analizar,
como también la estructura, arquitectura o
composición del sistema de ficheros de Android, es
de vital importancia ya que permite conocer la
organización de los mismos. Debido a que la
organización de los ficheros y carpetas del
dispositivo depende del fabricante del mismo, como
también la implementación que este realice en el
sistema operativo; pero finalmente todos comparten
una estructura estándar sobre las particiones de la
memoria interna (boot, system, recovery, data, cache
C. Fase de análisis y exploración
Esta fase representa un proceso técnico, analítico donde se
comienza con una copia de los datos obtenidos del dispositivo,
y mediante el uso de herramientas que permiten encontrar las
pruebas y/o hallazgos necesarios en la investigación, se
procese a interpretar los datos extraídos para determinar su
importancia en el caso, por ejemplo, instalación de apps,
recuperación e identificación de cuentas, recuperación de los
últimos sitios visitados, descargas, etc.
Dependiendo del tipo de caso, la estrategia varía, es decir,
que de acuerdo al tipo de caso se comienza la navegación de
los archivos.
Entre la información o la evidencia potencial que
podríamos encontrar esta: fotos, vídeos, correo electrónico,
historial de navegación, descargas, agenda telefónica,
llamadas, aplicaciones instaladas, desinstaladas, cuentas
asociadas, etc.
Fig. 1 Fase de identificación y preservación
B. Fase de adquisición
Esta fase comprende la extracción física (Datos de la
unidad física, sin tener en cuenta el sistema de archivos) y
lógica (Archivos) del dispositivo, por lo que continuamente se
procede a realizar un backup y/o copia bit a bit de la memoria
(contenidos) del dispositivo.
Fig. 3 Fase de análisis y exploración
D. Fase de resultados
En esta fase se realiza una presentación formal, clara y
concisa de las evidencias descubiertas, demostrando con
hechos y documentación los procedimientos tomados.
Para la presentación se elabora dos tipos de informes, un:
Informe técnico
Consiste en describir las actividades y/o procesos
ejecutados en el dispositivo móvil, técnicas, herramientas, etc.,
como también los hallazgos y/o resultados encontrados en el
análisis del mismo.
El informe depende de mantener un registro cuidadoso de
todas las acciones y observaciones, encontradas en la
información o archivos analizados, explicando las inferencias
extraídas.
Se basa en la sólida documentación, registro visual
(fotografías) y el contenido generado por las herramientas
Fig. 2 Fase de adquisición utilizadas.
El documento puede contener los siguientes puntos: Como se puede observar la versión del sistema operativo
 Antecedentes con las que se cuenta en los dispositivos móviles son de la
o Caso de estudio versión 4.0.4 en adelante, siendo dichas versiones las más
o Alcance y propósito del examen utilizadas en el mercado, según la investigación realizada por
o Equipo de trabajo Xataca [15].
 Entorno del análisis Cabe mencionar que a pesar de que Gingerbread es una de
o Fases y/o actividades realizadas en el examen. las versiones de mayor uso en el mercado, es una versión
o Las herramientas y software utilizados. antigua (2010) que actualmente se está dejando de usar.
o Fotografías o registro visual de las actividades Además de presentar una arquitectura que hoy en día no
ejecutadas permite un correcto uso y exploración de los archivos que se
 Análisis de la evidencia: Descripción detallada del pretende analizar en el examen forense.
dispositivo móvil examinado. Sin embargo en las versiones de Android: Ice Cream
 Resultados o Hallazgos conseguidos: Información Sandwich (4.0.4), Jelly Bean (4.2) y Kit Kat (4.4) los cambios
encontrada, dirección del fichero, etc. a nivel de arquitectura entre ellas no afectan el correcto
 Conclusiones funcionamiento de los aplicativos desarrollados.
 Referencias Cabe destacar que a 3 dispositivos móviles se les dio
 Anexos: Anexar la solicitud de examen forense y/o acceso root y a 2 no se les otorgo acceso root, que de acuerdo
documentos generados durante el examen. a las pruebas (fase de análisis) se puede determinar que el
número de archivos accesibles, son los siguientes:
Informe ejecutivo
Este informe consiste en una síntesis del análisis efectuado, TABLA V
verificando y validando los incidentes o daños cometidos, de COMPARATIVA DE LOS ARCHIVOS ACCESIBLES
manera no técnica, con lenguaje común, es decir, se recopila
toda la información que se obtuvo a partir del análisis para No root Root
Archivo GT- GT-
realizar el reporte y la presentación sin hacer uso de I9500
ST15i
P5113
Nexus7 U20i
tecnicismos. downloads.db x x x x x
El documento puede contener los siguientes puntos: sisownloads.db X x
 Antecedentes browser2.db x X x
SBrowser.db x
o Caso de estudio
localappstate.db x x X x x
o Objetivo icingcorpora.db x x X x
 Descripción: Detalle sobre lo sucedido en el dmappmgr.db X
dispositivo móvil; hechos y/o actividades realizadas packages.xml x X x x
en el mismo. Archivos adicionales que contienen información del usuario
accounts.db X x x
 Recomendaciones telephony.db X x x
contacts2.db x x x
IV. ANÁLISIS DE RESULTADOS
Para la aplicabilidad y validación de la guía, como de la Como se menciona al principio se desarrolló una aplicación
aplicación desarrollada, se ha procedido a realizar las pruebas que además de gestionar la información del caso de estudio y
en cinco dispositivos móviles, brindados para la ejecución del ayudar al análisis de los archivos que el usuario adquiere de la
examen forense. copia bit a bit, archivos que contienen información referente a
Los dispositivos móviles cuentan con las siguientes las aplicaciones instaladas/desinstaladas, historial de
características: navegación y descargas realizadas por el usuario, nos permite
extraer las principales propiedades del dispositivo móvil,
TABLA IV datos que se detallan a continuación:
CARACTERÍSTICAS DISPOSITIVOS
Dispositivo TABLA VI
Tablet Smartphone PRUEBAS SOFTWARE
Características
GT- GT-
Nexus 7 ST15i U20i Dispositivo
P5113 I9500
Versión SO 4.2.2 4.4.4 4.0.4 4.1.2 4.4.2 Tablet Smartphone
Funcionalidad
Dispositivo con No GT- Nexus ST1 GT-
Si Si No Si U20i
acceso root P5113 7 5i I9500
Incluye SIM Si Versión SO 4.2.2 4.4.4 4.0.4 4.1.2 4.4.2
No No Si No
Card Permite seleccionar el
Si Si Si Si Si
Incluye SD Card No No No No Si dispositivo a analizar
Ence Encend Obtiene marca, modelo
Encendi Encendi Apaga Si Si Si Si Si
Estado ndid ido y fabricante
do do do
o Obtiene número serial Si Si Si Si Si
Bloqueado No No No No No Obtiene el tipo de
Si Si No No Si
dispositivo
Obtiene IMEI No No Si No No Extracción de
contactos,
Obtienes sistema 0 0 0 0 0 0 100
mensajes de
operativo, versión e Si Si Si Si Si
texto, y llamadas
idioma
Análisis de la
Obtiene datos kernel Si Si Si Si Si 0 100 0 0 0 0 0
copia bit a bit
Obtienes datos
Si Si Si Si Si Análisis e
procesador
interpretación de
Obtienes datos del
Si Si Si Si Si archivos, 100 50 0 0 0 0 0
número de compilación
obtenidos de la
Obtiene composición
Si Si Si Si Si copia
sistema de ficheros
Obtiene tamaño Emite reporte 100 100 0 0 0 0 100
bloques sistema de Si Si Si Si Si
ficheros En conclusión:
Obtiene lista de
aplicaciones (package Si Si Si Si Si
manager)  Se puede observar en la TABLA VI que la
Realiza backup Si Si Si Si Si aplicación desarrollada puede obtener la mayor
cantidad de información, que otras aplicaciones de
En consecuencia las funcionalidades que presta la código abierto.
aplicación desarrollada denominada Sistema de Gestión de  Las funcionalidades que se implementaron en el
información de Análisis Forense (SGICAF), que se muestra software fueron analizadas y desarrolladas de
en la TABLA VII, características que frente a las otras acuerdo a lo que la guía requiere y que las
aplicaciones de código abierto, se puede destacar a herramientas de código abierto carecen, datos que se
continuación: detallan en la TABLA VII.
 Se puede destacar que al contar con acceso root en
TABLA VII
COMPARATIVA CON OTRAS APLICACIONES
los dispositivos móviles los archivos que se extraen
es mayor a la de un dispositivo que no cuenta con
An acceso root.
andr And
Bit dro viafo
SGI Aut
Pi id
oid- roid
rensi  Como se puede observar en la TABLA V los
Funcionalidades CAF opsy locd gua archivos pueden variar, esto se debe a la arquitectura
m SD cs
ump rd
K y al modelo de dispositivo.
% % % % % % %
Ingreso del caso
100 10 0 0 0 0 0 V. CONCLUSIONES
de estudio
Permite Con la metodología propuesta dentro del trabajo de
seleccionar el tipo 100 0 0 0 0 0 0 investigación es posible identificar el proceso y/o actividades
de dispositivo a seguir, en el momento en que se otorga un dispositivo móvil
Extracción de las con sistema operativo Android para su investigación,
principales
características del
100 0 10 100 0 0 0 permitiendo así analizar, obtener y manejar adecuadamente la
dispositivo evidencia digital.
Obtención de un Dentro del campo forense digital en dispositivos móviles
100 0 0 100 0 0 0
backup con sistema operativo Android, es sustancial conocer la
Obtención de una
0 0 0 90 0 0 0
estructura, arquitectura, composición del sistema de ficheros y
copia bit a bit las características del dispositivo a analizar, ya que la
Obtención lista de organización del sistema de ficheros depende de cada
100 0 0 100 0 0 0
aplicaciones
fabricante.
Recuperación de
archivos 50 100 0 0 0 0 0
Es necesario el uso de todas y cada una de las herramientas
eliminados recomendadas puesto que cada una de ellas se complementan
Extracción de y que de acuerdo a los diferentes tipos de análisis que prestan,
(Historiales de enriquecen los resultados permitiendo tener una mejor
navegación,
Datos del sistema 80 50 50 100 0 0 0
perspectiva de la información encontrada.
de ficheros, El análisis de la información se ve afectada por los
Navegación de diferentes modelos de dispositivos móviles y de las
archivos) aplicaciones que instale cada usuario, por lo que no todos los
Extracción de archivos o datos necesarios para la investigación se
datos de
0 0 0 0 100 0 0 encontraron en las rutas específicas que almacenan las
geolocalización
GPS mismas.
Análisis de
0 0 0 0 0 100 0
La información almacenada en el dispositivo móvil puede
malware ser accesible después de ser borrada por un usuario final,
debido al tipo de borrado que Android ofrece en su sistema
operativo manteniendo la estructura del sistema de ficheros http://www.xataka.com/moviles/android-reconquisto-el-mundo-de-los-
hasta que ese espacio de memoria sea reemplazado con nueva smartphones-en-2013?utm_source=feedburner&utm_medium=feed
[15] Xataca Android. (2014, Marzo 04). Retrieved from
información. http://www.xatakandroid.com/mercado/android-4-4-kitkat-solo-esta-presente-
Existen dos niveles de privilegios sobre los usuarios en el en-el-2-5-de-los-dispositivos
sistema Android, el normal y el usuario "root" que permite
acceder y modificar los archivos del sistema que se
encuentran bloqueados para los usuarios normales, y que
dentro del proceso de análisis planteado se requiere. Por lo
que al contar con acceso root al dispositivo se puede
garantizar un resultado satisfactorio en la recopilación de la
información.
La aplicación desarrollada en el presente trabajo de
investigación ha sido analizada en sus funcionalidades frente a
herramientas forenses de código abierto y comercial, para
poder facilitar la extracción de la mayor cantidad de
información del dispositivo, características o propiedades y la
gestión de la información del caso de estudio analizado que de
acuerdo a la guía se requiere.
La aplicación desarrollada, es accesible para quienes
desean ampliar nuevas funcionalidades, que en base a la guía
se requiera.
Las versiones de Android utilizadas en esta investigación,
son: Ice Cream Sandwich (4.0.4), Jelly Bean (4.2) y Kit Kat
(4.4) mismas que han sufrido cambios a nivel de arquitectura
que no afectan el correcto funcionamiento de la aplicación,
debiéndose considerar que para futuros cambios en las
versiones de Android se deberá realizar una verificación del
correcto funcionamiento del aplicativo.
Dependiendo de la cantidad de información que el
dispositivo móvil almacene, el tiempo de duración para
obtener un backup y una copia bit a bit puede variar entre 30
minutos a 2 horas o más.
REFERENCIAS
[1] A. John, D. J. Daniels, and S. V Hart, “Forensic Examination of
Digital Evidence : A Guide for Law Enforcement,” Office, vol. 44, no. 2, pp.
634–111, 2004.
[2] R. Ayers, W. Jansen, and S. Brothers, “Guidelines on Mobile
Device Forensics (Draft),” 2013.
[3] ENFSI Working Group, “Guidelines for best practice in the
Forensic Examination of Digital Technology,” no. April, pp. 1–30, 2009.
[4] SWGDE, “SWGDE Best Practices for Mobile Phone Forensics,”
vol. 0, pp. 1–37, 2012.
[5] P. Thomas, P. Owen, and D. McPhee, “An Analysis of the Digital
Forensic Examination of Mobile Phones,” Next Gener. Mob. Appl. Serv.
Technol. (NGMAST), 2010 Fourth Int. Conf., pp. 25–29, Jul. 2010.
[6] R. McKemmish, “What is forensic computing?,” Trends Issues
Crime Crim. Justice, vol. 118, no. 118, pp. 1–6, 1999.
[7] H. Rifá Pous, J. Serra Ruiz, and J. L. Rivas López, Análisis
forense de sistemas informáticos, Primera ed. 2009.
[8] A. Baz Alonso, I. Ferreira Artime, M. Á. Rodríguez, and R. García
Baniello, “Dispositivos móviles,” 2009.
[9] C. Robledo Sacristán and D. Robledo Fernández, Programación en
Android, Pérez Marí. .
[10] Ley Orgánica de Transparencia y Acceso a La Información
Pública, vol. 24. Ecuador, 2004, pp. 1–14.
[11] “Ley de comercio electronico, firmas y mensajes de datos norma:
publicado:,” 2002.
[12] Ley especial de telecomunicaciones. 2011, pp. 1–19.
[13] Código Orgánico Integral Penal. 2014, pp. 1–144.
[14] J. Pastor, «Android reconquistó el mundo de los smartphones en
2013,» Febrero 2014. [En línea]. Available:

Cuenca Alvarado Jessica Katherine

Cargado por

Copyright:

Formatos disponibles

Cuenca Alvarado Jessica Katherine

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cuenca Alvarado Jessica Katherine

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA

La Universidad Católica de Loja

TITULACIÓN DE INGENIERO EN SISTEMAS INFORMÁTICOS Y

Guía metodológica de análisis forense informático para dispositivos móviles

TRABAJO DE FIN DE TITULACIÓN

AUTOR: Cuenca Alvarado, Jessica Katherine

El presente trabajo de fin de titulación denominado: “Guía metodológica de análisis forense

Loja, marzo de 2015

A mi amado esposo Rommel, por ser un pilar fundamental en el transcurso y desarrollo de

A la Universidad Técnica Particular por contribuir en mi formación profesional.

A mis padres quienes significan un ejemplo de superación, estabilidad familiar y la perfecta

A mi director de tesis el Ing. Danilo Jaramillo, por su apoyo constante en la culminación de

A mis profesores quienes con nobleza y entusiasmo depositaron en mí sus vastos

APROBACIÓN DEL DIRECTOR DEL TRABAJO DE FIN DE TITULACIÓN ........................ II

DECLARACIÓN DE AUTORÍA Y CESIÓN DE DERECHOS ................................................ III

ÍNDICE DE CONTENIDOS ................................................................................................... VI

ÍNDICE DE FIGURAS ........................................................................................................... XI

ÍNDICE DE TABLAS ........................................................................................................ XVII

GLOSARIO DE TÉRMINOS ............................................................................................... XX

CONTEXTO DE LA INVESTIGACIÓN .................................................................................. 5

1.2 PLANTEAMIENTO DEL PROBLEMA- CONTEXTO .................................................. 6

1.3 JUSTIFICACIÓN ......................................................................................................... 6

1.4 ALCANCE .................................................................................................................. 7

1.5.1 OBJETIVO GENERAL ................................................................................................... 8

ESTADO DEL ARTE ............................................................................................................. 9

2.1 ANÁLISIS FORENSE ............................................................................................... 10

2.1.1 ¿QUÉ ES EL ANÁLISIS FORENSE INFORMÁTICO? ......................................................... 10

2.2 MANEJO DE INCIDENTES INFORMÁTICOS .......................................................... 13

2.3 ESTUDIO Y EVALUACIÓN DE METODOLOGÍAS DESARROLLADAS .................. 17

2.3.1 OPEN ANDROID SECURITY ASSESSMENT METHODOLOGY OASAM............................. 17

2.4 HERRAMIENTAS DE ANÁLISIS FORENSE ............................................................ 22

2.4.1 HERRAMIENTAS COMERCIALES ................................................................................. 22

2.5 ANDROID COMO SISTEMA OPERATIVO EN DISPOSITIVOS MÓVILES .............. 38

2.5.1 ¿QUÉ SON LOS DISPOSITIVOS MÓVILES? ................................................................... 38

2.6 ASPECTO LEGAL EN EL ECUADOR...................................................................... 48

2.6.1 LEY ORGÁNICA DE TRANSPARENCIA Y ACCESO DE LA INFORMACIÓN PÚBLICA .............. 48

CAPÍTULO III ...................................................................................................................... 59

DESARROLLO DE LA GUÍA METODOLÓGICA ................................................................ 59

3.1 PROPÓSITO ............................................................................................................. 60

3.2 CONSIDERACIONES ............................................................................................... 60

3.3 DISEÑO DE LA GUÍA METODOLÓGICA................................................................. 61

3.3.1 FASE DE IDENTIFICACIÓN Y PRESERVACIÓN ............................................................... 62

4.1 IMPLEMENTACIÓN DE LA GUÍA METODOLÓGICA .............................................. 91

4.2 DESARROLLO DE UN SISTEMA DE INFORMACIÓN .......................................... 148

4.2.1 REQUERIMIENTOS ................................................................................................. 149

CAPITULO V ..................................................................................................................... 157

RESULTADOS .................................................................................................................. 157

CONCLUSIONES .............................................................................................................. 158

RECOMENDACIONES ...................................................................................................... 160

BIBLIOGRAFÍA ................................................................................................................. 161

CAPITULO VI .................................................................................................................... 166

ANEXOS ........................................................................................................................... 166

ANEXO 1 DESARROLLO FASES SMARTPHONE .......................................................... 167

SOLICITUD DE EXAMEN FORENSE (CASO DE PRUEBA) ......................................................... 167

ANEXO 2 DESARROLLO FASES TABLET...................................................................... 194

SOLICITUD DE EXAMEN FORENSE (CASO DE PRUEBA) ......................................................... 194

ANEXO 3 DOCUMENTO DE VISIÓN ................................................................................ 253

ANEXO 5 ESPECIFICACIÓN DE CASOS DE USO .......................................................... 271

DIAGRAMA DE CASO DE USO SGICAF ............................................................................... 271