DISEÑO DE UNA GUÍA PARA LA AUDITORÍA DE ANÁLISIS FORENSE EN

DISPOSITIVOS MOVILES BASADOS EN TECNOLOGÍA ANDROID PARA

LEGISLACIÓN COLOMBIANA

LUZ STELLA LARROTA ARDILA

JEIMY MARCELA MARTINEZ ZABALA
VIVIANA FRANCENET ORJUELA LÓPEZ

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERIA
ESPECIALIZACIÓN EN AUDITORIA DE SISTEMAS DE INFORMACIÓN
BOGOTÁ D.C.
2014

1
DISEÑO DE UNA GUIA PARA LA AUDITORÍA DE ANÁLISIS FORENSE EN
DISPOSITIVOS MOVILES BASADOS EN TECNOLOGIA ANDROID PARA
LEGISLACIÓN COLOMBIANA

LUZ STELLA LARROTA ARDILA

JEIMY MARCELA MARTINEZ ZABALA
VIVIANA FRANCENET ORJUELA LÓPEZ

Trabajo de Grado

Director
HOLMAN DIEGO BOLIVAR
Ingeniero de Sistemas

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERIA
ESPECIALIZACIÓN EN AUDITORIA DE SISTEMAS DE INFORMACIÓN
BOGOTÁ D.C.
2014

2
3
 Nota de aceptación

Aprobado por el comité de grado en

cumplimiento de los requisitos
exigidos por la Facultad de Ingeniería
y la Universidad Católica de Colombia
para optar al título de especialista en
auditoría de sistemas de información.

________________________________
Ingeniero Holman Diego Bolívar
Director

________________________________
Ingeniero Jorge Carrillo
Revisor Metodológico .

Bogotá D. C. Diciembre 06 de 2014

4
 A Dios y nuestra familia
Por su apoyo incondicional

5
 AGRADECIMIENTOS

Brindamos agradecimientos a nuestro asesor Ing. Holman Diego Bolívar por el

acompañamiento a las autoras del presente trabajo, porque puso a disposición
sus conocimientos y brindo lineamientos claros que permitieron que se
materializara una meta más en nuestras vidas.

A nuestros compañeros de especialización por cada uno de los momentos

compartidos en los que se interrelacionaron conocimientos y experiencias.

Pero en especial, a cada una de nuestras familias, padres, hermanos, hijos,

esposos, ya que con la concesión del tiempo y paciencia que tuvieron,
acompañaron silenciosamente este pasó que dimos hacia la cúspide de nuestro
crecimiento personal y laboral.

6
 TABLA DE CONTENIDO

pág.

INTRODUCCIÓN 16

1. PLANTEAMIENTO DEL PROBLEMA 18

1.1. ANTECEDENTES 21

2. OBJETIVOS DEL PROYECTO 23

2.1. OBJETIVO GENERAL 23
2.2. OBJETIVOS ESPECIFICOS 23

3. ESTADO DEL ARTE 24

3.1. ANÁLISIS FORENSE 26
3.2. AUDITORÍA 27
3.3. AUDITORÍA DE SISTEMAS 27
3.4. AUDITORÍA AL ANÁLISIS FORENSE 28
3.5 TECNOLOGÍA MÓVIL 32
3.6. TECNOLOGÍA ANDROID 32
3.7. PUBLICACIONES EXISTENTES 38
3.8. ENFOQUE 42
3.9. TIPO DE INVESTIGACIÓN 42
3.10. TÉCNICAS E INSTRUMENTOS 43
3.11. FASES DE LA INVESTIGACIÓN 44

4. IDENTIFICACIÓN DE ACTIVIDADES EN EL ANÁLISIS FORENSE

EN DISPOSITIVOS MOVILES 46

5. ENTIDADES COLOMBIANAS QUE REQUIEREN DE LA AUDITO-

7
RÍA DEL ANÁLISIS FORENSE EN DISPOSITIVOS MÓVILES BASADOS
EN TECNOLOGÍA ANDROID 70

6. GUÍA PARA LA AUDITORIA DEL ANÁLISIS FORENSE EN DIS-

POSITIVOS MÓVILES BASADOS EN TECNOLOGÍA ANDORID PARA
LA LEGISLACIÓN COLOMBIANA 76

7. VALIDACIÓN DE LA GUIA DE AUDITORIA 77

7.1. NORMA ISO – INTERNACIONAL 19011 77

8. CONCLUSIONES 80

BIBLIOGRAFIA 81

8
 LISTA DE TABLAS

pág.

Tabla 1. Actividades Cadena de Custodia 47

Tabla 2. Actividades de Análisis Forense 50
Tabla 3. Leyes Colombianas 54
Tabla 4. Normatividad de Framework vs. Actividad 56
Tabla 5. Tecnología Android vs. Actividad 66
Tabla 6. Documentos Análisis Forense vs. Actividad 67
Tabla 7. Entidades Entidades que realizan Análisis Forense en Colombia 70
Tabla 8. Validación de la Guía 77

9
 LISTA DE IMAGENES

pág.

Imagen 1. Arquitectura del Sistema Operativo Android 34

Imagen 2. Versiones del Sistema Operativo Android 38
Imagen 3. Diagrama de la Metodologia para la Auditoria del Análisis
Forense en dispositivos móviles 45
Imagen 4. Diagrama de Procesos Cadena de Custodia 49
Imagen 5. Diagrama Análisis Forense 52
Imagen 6. Diagrama de Procesos Alistamiento de la Computadora de
Análisis 53

10
 LISTA DE ANEXOS

pág.

ANEXO A. Guía de auditoría del análisis forense en dispositivos móviles

basados en tecnología Android para la legislación colombiana 84
ANEXO B. Papel de trabajo 1. Plan de auditoría 90
ANEXO C. Papel de trabajo 2. Cronograma y recursos de la auditoría 91
ANEXO D. Papel de trabajo 3. Memorando comunicado de auditoría 93
ANEXO E. Papel de trabajo 4. Acta apertura auditoría 94
ANEXO F. Papel de trabajo 5. Lista de chequeo documentación inicial 95
ANEXO G. Papel de trabajo 6. Programación pruebas auditoría 96
ANEXO H. Papel de trabajo 7. Entrevista 97
ANEXO I. Papel de trabajo 8. Diseño pruebas auditoría 98
ANEXO J. Papel de trabajo 9. Planilla de puntos mejorables 99
ANEXO K. Papel de trabajo 10. Informe de auditoría 100

11
 GLOSARIO

ANDROID: Sistema operativo basado en el kernel de Linux diseñado

principalmente para dispositivos móviles con pantalla táctil, como teléfonos
inteligentes o tabletas y también para relojes inteligentes, televisores y
automóviles, inicialmente desarrollado por Android, Inc. Google respaldó
económicamente y más tarde compró esta empresa en 2005. Android fue
presentado en 2007 junto la fundación del Open Handset Alliance: un consorcio
de compañías de hardware, software y telecomunicaciones para avanzar en los
estándares abiertos de los dispositivos móviles.

AUDITORÍA: Es un proceso sistemático que evalúa, acorde con las normas de

auditoría generalmente aceptadas vigentes, la política pública y/o la gestión y los
resultados fiscales de los entes objeto de control fiscal y de los planes,
programas, proyectos y/o asuntos a auditar, mediante la aplicación de los
sistemas de control fiscal o actuaciones especiales de vigilancia y control, para
determinar el cumplimiento de los principios de la gestión fiscal, en la prestación
de servicios o provisión de bienes y en desarrollo de los fines constitucionales y
legales.

AUDITORÍA INTERNA: Una actividad de evaluación establecida dentro de una

entidad como un servicio a la misma. Sus funciones incluyen entre otras cosas,
examinar, evaluar y monitorear lo adecuado y efectivo del control interno.

AUDITORÍA DE SISTEMAS: Se encarga de la evaluación de todos aquellos

aspectos relacionados con los recursos informáticos de la organización como
son software, hardware, talento humano, funciones y procedimientos, enfocados
todos ellos desde el punto de vista administrativo, técnico y de seguridad; y
propende por prevenir a la empresa de aquellos riesgos originados por
omisiones, errores, violaciones, actos mal intencionados, desastres naturales,
etc., asesorando y proporcionando recomendaciones y sugerencias a nivel
directivo para lograr un adecuado control interno en la empresa.

BLACKBERRY OS: Sistema operativo móvil desarrollado por RIM para los
dispositivos BlackBerry. El sistema permite multitarea y tiene soporte para
diferentes métodos de entrada adoptados por RIM para su uso en computadoras
de mano, particularmente la trackwheel, trackball, touchpad y pantallas táctiles.

CONTROL INTERNO: La definición de control interno se entiende como

el proceso que ejecuta la administración con el fin de evaluar operaciones
especificas con seguridad razonable en tres principales categorías: Efectividad
y eficiencia operacional, confiabilidad de la información financiera y cumplimiento
de políticas, leyes y normas.

12
DISPOSITIVO MÓVIL: Aparato de pequeño tamaño, con algunas capacidades
de procesamiento, con conexión permanente o intermitente a una red, con
memoria limitada.

EVIDENCIA DE AUDITORÍA: Es toda la información que usa el auditor para

llegar a las conclusiones en las que se basa la opinión de la auditoría. La
Evidencia de la Auditoría incluye la información obtenida en los registros de
auditoría y otra información.

GUIA DE AUDITORÍA: Contiene las pautas básicas para orientar el proceso

auditor y ha sido elaborada con el propósito de obtener los resultados esperados,
con la calidad y el tiempo requeridos.

INFORMATICA FORENSE: Aplicación de técnicas científicas y analíticas

especializadas a infraestructura tecnológica que permiten identificar, preservar,
analizar y presentar datos que sean válidos dentro de un proceso legal.

LIBRERÍA INFORMATICA: Es un Kit de herramientas de software pequeño y

autónomo que ofrece una funcionalidad muy específica al usuario. Normalmente
se usa junto con otras librerías y herramientas para hacer una aplicación
completa, ya que por lo general las bibliotecas no son ejecutables, pero sí
pueden ser usadas por ejecutables que las necesiten para poder funcionar.

MULTITAREA: La multitarea es la característica de los sistemas operativos

modernos de permitir que varios procesos se ejecuten al parecer al mismo
tiempo compartiendo uno o más procesadores. Los sistemas operativos
multitarea son capaces de dar servicio a más de un proceso a la vez para permitir
la ejecución de muchos más programas.

PROCEDIMIENTOS DE AUDITORÍA: Conjunto de técnicas que forman el

examen de una partida o de un conjunto de hechos o circunstancias, con el
propósito de alcanzar los objetivos del examen, y están diseñados
fundamentalmente para obtener evidencia, que sustente las conclusiones de la
Auditoría.

PROGRAMA DE AUDITORÍA: Es el documento en el que se reflejan las pruebas

de cumplimiento y las pruebas sustantivas que se diseñaron como resultado de
la evaluación de los objetivos de control interno.

13
 RESUMEN

El presente trabajo de grado es planteado por las autoras en el contexto de la

inquietud que surge de las mismas de la aplicabilidad de la Auditoria como
ciencia que realiza una verificación, investigación, comprobación del
cumplimiento de las directrices, normatividad, registros y procesos que son de
aplicabilidad a una de las ciencias forenses aplicables en Colombia como lo es
el análisis forense informatico.

Frente la preocupación planteada, se aborda el tema desde una metodología

deductiva abordando las generalidades de la auditoria, el análisis forense
informatico los procesos, la legislación de Colombia, llegando a lo particular
frente al campo de acción elegido siendo este el de los dispositivos móviles cuyo
funcionamiento lo desarrolla basado en la tecnología Android.

Para una mayor explicación de lo anterior, se abordo teorías, definiciones, se

identificaron entidades o empresas que emplean el análisis forense informatico
en Colombia y que serian las beneficiadas si así lo deciden de la guía que se
propone en el desarrollo de la misma.

Una vez desagregado los ítems descritos con anterioridad, se realiza una
propuesta materializada en una guía para el análisis forense en dispositivos
móviles en Colombia, en la que se ofrece como producto propio de la misma, los
aspectos y papeles de trabajo a tener en cuenta una vez aplicado el estudio
forense como una buena práctica y aseguramiento que lo realizado se efectúo
correctamente.

La guía propuesta si a bien lo tiene podría ser adoptada tanto por empresas de
carácter público como privado en Colombia, entre las que se encuentran las de
carácter regulatorio, de control e investigativo y de otra parte, empresas privadas
que ofrecen dentro de sus servicios la prestación del servicio de análisis forense
informatico.

Palabras Clave: Auditoria de Gestión, Telefono Móvil, Administración de Justicia

14
 ABSTRACT

This paper grade is raised by the authors in the context of the concern that arises
from the same applicability of the audit as a science that makes a check,
investigation, verification of compliance with the guidelines, regulations, records
and processes that are applicability to a forensic science applicable in Colombia
as it is computer forensics.

Facing the concerns raised, the issue is approached from a deductive

methodology addressing the generalities of the audit forensic analysis informatic
processes, legislation in Colombia, reaching the particular field of action against
chosen being the mobile devices whose operation is developed based on Android
technology.

For explanation of the above theories, definitions board, institutions or companies

that employ computer forensics in Colombia and that would be the beneficiary if
they choose the guide which aims at the development of it were identified.

Once unbundled items described above, a proposal embodied in a guide for

forensic analysis on mobile devices in Colombia, which is offered as own product
thereof, aspects and working papers to consider is performed After the forensic
study applied as a good practice and ensuring that the work done was performed
correctly.

The proposed guide if either has it could be adopted by both public companies
private in Colombia, among which are the regulatory, control and research and
on the other hand, private companies offering their services within the service
delivery of computer forensics.

Keywords: Audit Management, Mobile Phone, Administration of Justice

15
 INTRODUCCIÓN

Los avances tecnológicos demuestran la evolución del hombre, progresos que

han modificado el vivir diario de las personas, en las que cada día hay mayor
conexión a los dispositivos digitales, generando dependencia de los mismos,
conllevando a que manejen, administren y almacenen la información en
dispositivos cada vez más pequeños y transportables.

Esta revolución en la que se enmarcan los adelantos tecnológicos, Juan Martínez

Barea, la define como “el mundo se digitalizara cada vez más y sus productos
físicos evolucionaran en la mezcla de de experiencia real y digital..” 1, en este
entendido, esta la mejora ostensiblemente de procesos y la transformación de
los mismos, genera igualmente comportamientos que no se rigen bajo los
valores éticos que como ser humano nos son inculcados en la niñez, lo que
genera conductas antijurídicas.

El Centro de INTERPOL contra la Delincuencia digital, indica que “que los

delincuentes se aprovechan de las nuevas tecnologías, de la facilidad de los
desplazamientos internacionales y del anonimato de las actividades en el mundo
virtual..” adiciona “…En el mundo virtual, casi cualquier persona puede participar
en un delito y borrar el rastro de su actividad de una manera que es
prácticamente imposible en el mundo real..” 2

A causa de lo anterior con estos avances y frente a afirmaciones tales en la que

indican que “Colombia sigue haciendo esfuerzos para contrarrestar el aumento
de la ciberdelincuencia, estos no son suficientes” 3 las autoras deciden aborar la
presente investigación, para ello se desarrolla en un capitulo el análisis forense,
la auditoria forense, los dispositivos móviles basados en tecnología Android, en
un capitulo siguiente, se identifican las entidades que en Colombia podrían
favorecerse de una guía a aplicar al esperticio forense en aparatos de la referida
tecnología.

El análisis forense informático apareció debido a la necesidad de aportar

elementos relevantes en los procesos judiciales en las que nuevas tecnologías
se encontraban presentes.4, así mismo, permite obtener evidencias digitales
cuando se genera un incidente o existe una conducta delictiva donde fueron

1 MARTINEZ, Barea Juan. El Mundo que viene. P16. Editorial Centro de Libros Grupo Planeta. ISBN 978-
84-9875- 374-5
2 INTERPOL.Los fenómenos delictivos están cambiando. [En Linea]. Bogotá: [citado septiembre 26 de

2014]. Disponible en internet: <URL:http://www.interpol.int/es/Acerca-de-INTERPOL/El-Complejo-Mundial-

de-INTERPOL-para-la-Innovaci%C3%B3n>
3 PORTAFOLIO.CO. Delincuencia Informática dejo 6 millones de víctimas en Colombia. [En Linea]. Bogotá:

[citado septiembre 26 de 2014]. Disponible en internet: <URL:

http://www.portafolio.co/economia/delincuencia-informatica-colombia-2013>
4 COLOBRAN HUGUET, Miguel, ARQUEZ, Joseph Maria y MARCO GALINDO, Edward. Administración

de Sistemas Operativos en red. Editorial UOC. ISBN: 978-84.9788-760-1. p254.

16
empleados instrumentos tecnológicos tales como el teléfono móvil, el
computador, el disco, etc.

Adicional a esto, la inmensa cantidad de nuevos dispositivos móviles que cada

año se activan en todo el mundo hace que exista la preocupación de la necesidad
que anuden esfuerzos, que se llevan a cabo en el ámbito del análisis forense de
tales dispositivos, para la obtención de evidencias digitales, las cuales deben
contar con un proceso para preservarlas, custodiarlas lo que conllevan a la
documentación de procedimientos, protocolos y/o guías que permitan conocer
los controles y pasos a seguir en la identificación, aseguramiento, extracción y
análisis de las mismas, permiten que las pruebas obtenidas sean aceptadas.

De otro lado, la auditoria “…es un proceso sistémico que facilita la evaluación

posterior y selectiva de las actividades, operaciones y proceso s..”5, es partiendo
de este, que ilustra la importancia en generar mejores prácticas al análisis
forense en el desarrollo de los retos que se afrontan con el propósito de combatir
el delito informatico o la utilización de los dispositivos móviles en alguna
modalidad delictual; generando como resultado una propuesta que puede ser
agogida tanto por empresas gubernamentales que en cumplimiento de su
mandato constitucional aplican la ciencia forense y aquellas que son su portafolio
de servicios.

5AUDITORIA GENERAL DE LA REPUBLICA. Auditoria. [En Linea]. Bogotá: [citado septiembre 26 de 2014].
Disponible en internet: <URL:http://www.auditoria.gov.co/index.php/procesos-misionales/participacion-
ciudadana/glosario>

17
 1. PLANTEAMIENTO DEL PROBLEMA

En los cambios que la sociedad se ha visto avocada en los últimos años esta la
de afrontar los avances tecnológicos que han sufrido los dispositivos
electrónicos, entre ellos el que se migrado de ser un elemento estatico a uno
móvil.

Estos adelantos tecnologocios incorporan los dispositivos móviles, los cuales se

han convertido en una extensión del ser humano, creándose la dependencia casi
total por las aplicaciones que contienen; ejemplo de esta afirmación, son los
aparatos que se suspenden cuando se dejan de mirar o los que comprenden
cuando se emiten ordenes por voz, siendo capaces de responder en diferentes
idiomas.

Complemento de lo anterior, es la increíble simplificación que estos dispositivos

realizan a las actividades que el ser humano diariamente desarrolla, donde no
solo se constituye en un elemento de comunicación, sino que desde el mismo se
puede realizar transacciones, almacenamiento de datos, entre otras; estas son
características representativas que ofrece el mercado móvil, atrayendo la
atención y el deseo de los consumidores.

Desde esa perspectiva, los dispositivos móviles se han convertido en uno de los
elementos más empleados por seres humanos, que no han sido ajenos, en ellos
se maneja información privada, se navega el mundo cibernético, accediendo a
múltiples fuentes de información desde pequeños dispostivos.

La Cámara Colombiana de Informática y Telecomunicaciones, en entrevista

realizada al Gerente de Operaciones de la Empresa Digiware, precisa que
Colombia se encuentra en el noveno país en el mundo frente a delitos
informáticos y el quinto a nivel Latinoamérica con crecientes problemas de
seguridad informática, realiza su afirmación dado el crecimiento de la tecnología,
el avance en la cobertura de internet y en la multiplicación de equipos
tecnológicos. 6 Adicionalmente, en su documento Avances y retos de la defensa
digital en Colombia7, este mismo organismo indica que:

Según un estudio realizado por la compañía MacAffe y la Organización de

Estados Americanos (OEA), Colombia se posicionó como el sexto país en
generar una mayor actividad maliciosa en línea para el año 2013. Por otro
lado, en lo que respecta al costo, esta misma compañía estimó que el ciber-

6 CAMARA COLOMBIANA DE INFORMATICA Y TELECOMUNICACIONES. DELITOS INFORMÁTICOS.

La Confianza, Principal herramienta de los delincuentes. [En Línea]. Bogotá. [citado noviembre 25 de
2014] Disponible en internet: <URL:
http://www.ccit.org.co/files/SEGURIDAD%20INFORMATICA/Delitos_Informaticos.pdf>
7 CAMARA COLOMBIANA DE INFORMATICA Y TELECOMUNICACIONES. Avances y retos de la defensa

digital en Colombia, Ed. noviembre de 2014

18
 delito causó un daño económico al consumidor cercano a los 500 millones de
dólares durante lo corrido de 2013, acercándose así cada vez más a los país
que reciben mayores ataques cibernéticos en el mundo.

El anterior estudio, hace que Colombia genere un pensamiento más agresivo de

combatir la ciberdelincuencia, es allí en la que dispositivos digitales, en la
búsqueda de la verdad de los hechos que revisten la característica de un delito,
se constituyen en gran aporte como elemento materia de prueba, que aportan
información relevante que apoya una investigación en camino a la obtención de
resultados con éxito.

De la prueba digital, el Dr. Cano Jeimy, en su postura frente la admisibilidad de

la prueba, precisa que en la Conferencia Internacional de Crimenes de Alta
Tecnología y Computación Forense que fue convocada por la OCE (Internacional
Organization Of Computer Evidence) en 1999, quedo como una importante
reflexión de la misma, “…de los principios generales y definiciones de evidencia
digital, la establece como la información de valor probatorio almacenada o
transmitida en forma digital." 8

En Colombia, la recolección de los elementos materiales probatorios permitidos

tanto por el ente investigador como la defensa técnica del acusado, es definida
como la igualdad de armas en un proceso penal. El descubrimiento de pruebas,
el legislador colombiano lo definió en la etapa de juicio como aquella que tiene
un carácter adversarial, pudiéndose realizar una confrontación entre las partes:
el acusador y el acusado9, de allí que la defensa, apoyándose en la parte técnica,
adicionalmente de controvertir las pruebas mismas, han descubierto que es más
eficiente para su ejercicio, debatir la técnica y metodología.

Tal como lo afirma el Dr. Guerrero Peralta10, frente a su posición del

descubrimiento probatorio en el nuevo proceso penal colombiano, precisa:

“…El ‘descubrimiento’ ha sido un instituto propiodel del proceso

angloamericano y en realidad su introducción en el proceso penal es
reciente, pues los datos históricos informan que sólo hasta los años sesenta
aparece en la discusión doctrinal de los Estados Unidos de América. El
‘discovery’ intenta facilitar a las partes la adquisición del conocimiento de
las fuentes elementos de prueba que posee cada una de ellas para el
concreto desarrollo del juicio oral. Su objetivo se cifra en evitar que se

8 CANO, Jeimy José. Admisibilidad de la Evidencia Digital: De los conceptos legales a las características
técnicas. Derecho de Internet y Telecomunicaciones. Facultad de Derecho. Universidad de Los Andes.
Editorial Legis. 2003. Bogotá. Pag. 195. Basado en la definición dada por el autor Casey E. en: Digital
Evidence and Computer Crime, Academic Press, 2000.
9 CORTE CONSTITUCIONAL. Sentencia C-209 de 207. Descubrimiento de Pruebas. [En Línea]. Bogotá:

[citado 24 de noviembre de 2014]. Disponible en internet: <URL:

http://www.corteconstitucional.gov.co/relatoria/2007/c-209-07.htm>
10 GUERRERO PERALTA, Oscar Julián. Fundamentos Teórico Constitucionales del Nuevo Proceso Penal.

Ediciones Nueva Jurídica. 2ª Edición. Bogotá, 2007. p.292.

19
 introduzcan pruebas en sede de juzgamiento sobre las cuales no se pueda
conformar un contradictorio adecuado, sobre todo para el acusado, que se
presenta en desventaja frente a la Fiscalía que ha contado con todas las
prerrogativas y medios para investigarlo. Por lo tanto es un medio de
equilibrio entre las partes para un correcto ejercicio del contradictorio y
obviamente del derecho a la defensa…”

Basados en el principio de igualdad de armas11, como la define la Corte

Constitucional en sus diferentes pronunciamientos de la controversia de las
pruebas, y en los desafíos que conlleva el combatir la delincuencia en Colombia,
es lo que conlleva a las autoras del presente trabajo a generar como pregunta
de investigación: ¿Cómo realizar auditoría al análisis forense que se práctica en
Colombia sobre dispositivos móviles basados en tecnología Android?

Parte del proceso que se surte en una investigación, es el garantizar y acreditar

la metodología, técnica y análisis forense que se aplique, ya que pueden ser
controvertidas en ejercicio del derecho que le ha conferido el legislador.

Por lo anterior, es de gran importancia que los funcionarios y profesionales que

elaboran el análisis forense cuenten con la certeza que la recolección, embalaje,
análisis e informes realizados por los profesionales expertos en informática
forense, tengan la aplicabilidad de una auditoría a los análisis forenses; esto con
la finalidad que le brinde la seguridad de no ser desacreditados ni aún más la
prueba en que se convierte un dispositivo móvil en un juicio con la legislación
Colombiana; beneficiando de esta forma directamente a Fiscales y Peritos
Forenses en computación.

El contexto problemático en el que se diseñara la guía de auditoría del análisis

forense en dispositivos móviles basados en tecnología Android, se inscribe en la
temática y línea investigativa de "software inteligente y convergencia
tecnológica" avalado por la Universidad Católica de Colombia, toda vez que al
realizar el documento que evidencie que se cumplieron con los objetivos
específicos planteados en este trabajo de grado, posibilitan tomar acciones
preventivas y correctivas en el ámbito tecnológico para buscar un proceso de
mejora de las capacidades de auditoría forense en Colombia, desarrollándose el
mismo de una manera analítica a los procesos que son aplicados en lo que
concierne a esta disciplina.

11 CORTE CONSTITUCIONAL. Sentencia C-205 de 2009. Principio de Igualdad de Armas y Derecho a la

Defensa Técnica. [En Línea]. Bogotá: [citado noviembre 25 de 2014]. Disponible en internet: <URL:
http://www.corteconstitucional.gov.co/relatoria/2009/c-025-09.htm>

20
1.1. ANTECEDENTES

12Según la Compañía Mobile World – SOTI Inc. el principal proveedor del mundo
de Enterprise Mobility Management (EMM), los dispositivos Android, están
liderando el mercado con más del 80% de la cuota de smartphone global.

Consecuente a lo anterior, el que el ser humano está viviendo en un mundo

totalmente conectado donde utiliza dispositivos móviles para enviar mensajes,
realizar transacciones bancarias y almacenar información sensible, generando
todo tipo de riesgo; el uso del smarthphone se ha convertido en el aliado perfecto
del ser humano, inclusive para el apoyo de todo tipo de conductas que reviste la
calidad de delito.

Igualmente, señala el fundador de Mattica: "El reto más grande es que a pesar
que existe la Ley, pocos jueces la entienden y a veces los fiscales no logran
documentar los casos e identificar si realmente las conductas entran dentro de
la tipificación de los delitos o no"

13Para Iván Darío Marrugo, abogado especialista en Derecho de

Telecomunicaciones; el proceso de investigación y el de prueba pericial e
informática es la principal dificultad para procesar este tipo de delitos. "Solo
desde hace unos años tenemos una Ley de procedimiento administrativo (Ley
1437 de 2011) y el Código General del Proceso (Ley 1564) que abrió la
posibilidad de admitir pruebas electrónicas en este tipo de juicios", agrega.

No obstante, en Colombia en 2004 entra en vigencia la aplicabilidad de la Ley

906 de 2004, la cual ha incorporado en el ente de investigación como lo es la
Fiscalía
General de la Nación, la adopción de manuales, protocolos y guías, entre los que
se encuentra el Manual de Custodia en la que se imparte pautas, parámetros y
directrices para la recolección, manejo y disposición de los Elementos Materiales
Probatorios, así mismo, la creación de unidades especializadas en análisis
forense computacional, entre otros y la investigación en contexto, donde el rol
más importante lo hace la oralidad, acreditación como testigos expertos, así
mismo, adopta un Sistema de Gestión de la Calidad para optimizar sus procesos.

La finalidad principal del análisis forense es la de obtener evidencias en una

investigación, mientras que la de auditoría es la adopción de las buenas prácticas
que ésta incorpora.

12SOTI LATAM, Comunicados de Prensa. La Tecnología Android de SOTI MobiControl permite a más de
35 OEM superar los retos empresariales de Android [En Línea]. Bogotá: [citado noviembre 25 de 2014].
Disponible en internet: URL:<http://www.soti.net/es/sala-de-prensa/comunicados-de-prensa/2014/02/>
13PEREZ GARCIA, Camilo. En Colombia se investigan los delitos informáticos. [En Línea]. Bogotá: [citado

noviembre 25 de 2014]. Disponible en internet: URL:http:/ colombiadigital.net /actualidad/articulos-

informativos.

21
Adicionalmente, cada día es más aceptado en la sociedad culturalmente, el que
las cosas que se hagan se realicen de la mejor forma, no obstante, el papel del
auditor en ocasiones es el rol menos apreciando en las organizaciones, por
cuanto se crean conceptos desconocidos hacia esta profesión, olvidando que la
auditoría es la evaluación de normas, controles, técnicas y procedimientos que
se tienen establecidos para lograr confiabilidad, oportunidad, seguridad y
confidencialidad de la información que se procesa a través de los sistemas de
información.

La tecnología Android, de acuerdo a la conferencia de IBASE SECURITY afirma,

que es una de las que cuenta con más riesgos, por cuanto es una reciente
práctica y adicionalmente permite desarrollos en código abierto, lo que no pasa
con otros como lo es la blackberry y Iphone, al igual una de sus vulnerabilidades
más altas es la dispersión en sus sistemas operativos.

Según Kaspersky Lab que es una de las compañías de TI proveedores de

software de seguridad para endpoints, que analiza y neutraliza amenazas; afirmó
que durante el año 2012 el 99% de todo el malware móvil detectado, es decir
más de 35.000 programas maliciosos apuntaban hacia la plataforma Android. 14

Las razones por las cuales existe un enorme crecimiento de malware de Android
son por que la plataforma Android se ha vuelto el sistema operativo más usado
por los smarthphones nuevos con más de un 70% de la porción del mercado;
también por su tecnología abierta y la facilidad con que se pueden crear
aplicaciones y la amplia variedad de aplicaciones en el marcado hechas sobre
Android.

Los objetos maliciosos más usados detectados en smartphones Android pueden

dividirse en tres grupos principales:

 Virus troyanos de SMS

 Módulos de publicidad
 Exploits (aprovechamiento de vulnerabilidades) para ganar acceso de
raíz a los smartphones

Se ha detectado malware en las tiendas de aplicaciones. Durante 2012,

Kaspersky detectó programas maliciosos en Google Play, la tienda de
aplicaciones Amazon y otras tiendas de aplicaciones de terceros.

14KASPERSKY.Internet Security Center. Amenazas móviles. . [En Línea]. Bogotá: [citado octubre 20 de
2014]. Disponible en internet: <URL: http://latam.kaspersky.com/co/internet-security-center/threats/mobile>

22
 2. OBJETIVOS DEL PROYECTO

2.1. OBJETIVO GENERAL

Diseñar una guía para la auditoría del análisis forense para dispositivos móviles
basados en tecnología Android para la legislación colombiana.

2.2. OBJETIVOS ESPECIFICOS

 Identificar la existencia de guías, protocolos y procedimientos para el análisis

forense en dispositivos móviles basados en tecnología Android en Colombia.

 Caracterizar las entidades Colombianas que requieren de la auditoría del

análisis forense en dispositivos móviles basados en tecnología Android.

 Desarrollar una guía para la auditoría del análisis forense en dispositivos

móviles basados en tecnología Android para la legislación Colombiana.

23
 3. ESTADO DEL ARTE

La humanidad ha venido avanzando día a día, donde la tecnología es el centro

de todas las actividades, y por ende nuestro pensamiento y nuestro intelecto
cambia de acuerdo a la integración de nuevas culturas y entregando una nueva
herramienta con la informática forense para poder aclarar conductas delictivas
relacionadas con dispositivos digitales.

Esta rama investigativa tuvo su origen desde el año 1984 cuando los laboratorios
del FBI y otras agencias de los Estados Unidos que persiguen el cumplimiento
de la ley empezaron a desarrollar programas para examinar evidencia
computacional. Se reconoce a Dan Farmer y Wietse Venema, los creadores del
Forensics Toolkit (software forense), como los pioneros de la informática forense
y actualmente, Brian Carrier, es probablemente uno de los mayores expertos
mundiales en el tema.15

En Colombia, la Fiscalía General de la Nación16 cuenta con un grupo

especializado dedicado a realizar investigaciones enfocadas en informática
forense; asì mismo, en cumplimiento a lo dispuesto en la Constitución Politica,
este mismo órgano investigativo, asigna funciones de Policía Judicial a la Policía
Nacional, quienes de la misma manera, a partir de 2004, crea el laboratorio de
informática forense adscrito a la Dirección de Investigación Criminal.17

3.1. ANALISIS FORENSE

La informática forense se puede decir que es la ciencia de adquirir, preservar,

obtener y presentar datos que han sido procesados electrónicamente y
guardados en un medio computacional.

Según como afirma el artículo de informática forense en Colombia: encuentra

dentro los objetivos de la computación forense: “la necesidad de determinar los
hechos ocurridos en un evento donde se interactúa con equipos de cómputo,
buscando esclarecer los hechos, determinando la magnitud del incidente y los
implicados”18. Siempre busca identificar material probatorio que pueda ser
utilizado en un tribunal o simplemente apoye la gestión de riesgos mejorando la
prevención de futuros incidentes.”

15 NUMPAQUE FRANCO, Edgar Alexander. Informática Forense En Colombia. [En Línea]. Bogotá: [citado
octubre 20 de 2014]. Disponible en internet: <URL: http://glaxeanf.com/lecturas-de-interes/seguridad-
informatica
16 LOMBO, Mauricio. CTI: Avances en Tecnología - TRAS EL RASTRO DE LA EVIDENCIA DIGITAL. En:

Huellas de la Fiscalía General de la Nación. Julio 17 de 2007. No. 55. ISSN 1657 – 6829, Pag. 19. [en línea,
Consultado 5 de noviembre 2014].Disponible en Internet:<URL: http://www.fiscalia.gov.co/en/wp-
content/uploads/2012/02/Huellas-55.pdf >
17 POLICIA NACIONAL.Centro Cibernetico Policial. [En Línea]. Bogotá: [citado octubre 20 de 2014].

Disponible en internet: <URL: http://www.ccp-gov.co/gilaf.php>

18 Op. Cit. NUMPAQUE, Franco.

24
El número de delitos informáticos viene en aumento a medida que avanza la
tecnología, es por esto que el análisis forense viene aumentando su importancia,
ya que siempre innovan en la forma de atacar, y esto conlleva a que se deben
utilizar técnicas de análisis que estén acorde con la nueva tecnología. El análisis
forense se basa tres objetivos fundamentales:

 La persecución y procesamiento judicial de los delincuentes.

 La compensación de los daños causados por los criminales informáticos.
 La creación y aplicación de medidas para prevenir casos similares

En toda investigación forense se deben obtener evidencias suficientes y

apropiadas y conocer las condiciones bajo las cuales dicha evidencia puede ser
considerada como:

 Admisible
 Autentica
 Completa
 Confiable
 Creíble

Existe un procedimiento para realizar el análisis para la informática forense,

estos sirven de base para las personas que realizan esta práctica de manera
adecuadamente.

Después de ocurridos los hechos se puede realizar el análisis en los laboratorios

especializados con equipos dedicados a fines forenses, estos tienen la
capacidad de examinar completamente la tecnología contenida dentro del
sistema que haya surgido el incidente este análisis se le conoce como Post-
mortem.

En el momento en que se presume que se está sufriendo un incidente de

seguridad en un dispositivo se pueden emplear herramientas de respuesta ante
incidentes y realizar el análisis forense en el momento sin modificar el sistema
analizado, a este proceso se le llama análisis en caliente y luego de este se
realiza el análisis post-mortem.

Se tienen un conjunto de procedimientos donde su objetivo primordial es

preservar la evidencia digital permitiendo convertirse en la prueba en un proceso
judicial; a este conjunto de pasos se conoce como cadena de custodia.19

19 Op. Cit. NUMPAQUE, Franco.

25
La cadena de custodia debe:

 Reducir al máximo la cantidad de agentes implicados en el manejo o

tratamiento de evidencias.
 Mantener la identidad de las personas implicadas desde la obtención hasta
la presentación de las evidencias.
 Asegurar la firmeza de las evidencias.
 Registros de tiempos, firmados por los agentes, en los intercambios entre
estos de las evidencias. Cada uno de ellos se hará responsable de las
evidencias en cada momento.
 Asegurar la firmeza de las evidencias cuando las evidencias están
almacenadas asegurando su protección.20

La secuencia de la cadena de la evidencia debe seguir el siguiente orden:

 Recolección e identificación de evidencia.

 Análisis.
 Almacenamiento.
 Preservación.
 Transporte.
 Presentación en el juzgado.
 Retorno a su dueño.

Los resultados de la cadena de custodia muestran:

 Quién obtuvo la evidencia.

 Dónde y cuándo la evidencia fue obtenida.
 Quién protegió la evidencia.
 Quién ha tenido acceso a la evidencia.

3.2. AUDITORÍA

La auditoría es el examen objetivo y sistemático de las operaciones

financieras y administrativas de una entidad, practicado después de su
ejecución y para que sea evaluada, revisada, analizada y reexaminada
periódicamente que se efectúa a los libros de contabilidad, sistemas y
mecanismos administrativos, así como a los métodos de control interno de
una organización, con el objeto de determinar opiniones con respecto a su
funcionamiento.

“El vocablo auditoría es sinónimo de examinar, verificar, investigar,

consultar, revisar, comprobar y obtener evidencias sobre informaciones,

20 Op. Cit. NUMPAQUE, Franco.

26
 registros, procesos, circuitos, etc. Hoy en día, la palabra auditoría se
encuentra relacionada con diversos procesos de revisión o verificación
que, aunque todos ellos tienen en común el estar de una u otra forma
vinculados a la empresa, pueden diferenciarse en función de su finalidad
económica inmediata, de tal manera que según este criterio podemos
establecer una primera gran clasificación de la auditoría diferenciando
entre auditoría económica y auditorías especiales.

La palabra "auditoría" se originó en la antigüedad, al igual que el de

auditor, nombre por el que se designaba a la persona que "oía" las
rendiciones de cuentas de los Funcionarios y agentes reales, quienes
por falta de instrucción no podían presentarlas por escrito.”21

3.3. AUDITORÍA DE SISTEMAS

Las normas y estándares informáticos se deben someter a revisiones generales,

la informática forma parte de la gestión de la empresa, por tal motivo y debido a
su importancia en el funcionamiento de una empresa u organización, existe la
auditoría de Sistemas.

“Según Alberto Gutiérrez de la Peña, “la auditoría de sistemas se encarga

de la evaluación de todos aquellos aspectos relacionados con los recursos
informáticos de la organización como son software, hardware, talento
humano, funciones y procedimientos, enfocados todos ellos desde el punto
de vista administrativo, técnico y de seguridad; y propende por prevenir a la
empresa de aquellos riesgos originados por omisiones, errores, violaciones,
actos mal intencionados, desastres naturales, etc., asesorando y
proporcionando recomendaciones y sugerencias a nivel directivo para
lograr un adecuado control interno en la empresa.”22

3.4. AUDITORÍA AL ANÁLISIS FORENSE

En la actualidad se han realizado estudios y existen textos donde se abarca el

tema de “Auditoría Forense” en donde se define el término como:

“La auditoría forense debe entenderse como el proceso de recopilar, evaluar

y acumular evidencia con la aplicación de normas, procedimientos y
técnicas de auditoría, finanzas y contabilidad, para la investigación de
ciertos delitos, a los que se ha dado en llamar "financieros" o "de cuello
blanco". En este tipo de delincuencia aún no se han definido las
características particulares, dado que en las diferentes figuras penales
concurren elementos diversos de difícil agrupamiento.

21 DE LA PEÑA GUTIERREZ, Alberto. Auditoría, un enfoque práctico. 1 ed. Madrid: Paraninfo, 2011. p 5.
ISBN:978-84-9732-667-4
22 TAMAYO ALZATE, Alfonso. Auditoría de sistemas una visión práctica. 1 ed. Manizales: Universidad

Nacional de Colombia, 2001. p 9 - 13. ISBN:958-9322-66-2

27
 Debe quedar claro que si al ocurrir un hecho delictivo no existe la posibilidad
de obtener evidencia documental sobre tratos, convenios, negocios u
operaciones realizadas por la persona física o jurídica con otros
participantes en la actividad económica, no será posible la utilización de las
técnicas de auditoría para su comprobación y el investigador deberá
proceder por otras vías. Por otra parte, aunque en la mayoría de los delitos
financieros se involucran entidades con sistemas de control contable y
administrativo en mayor o menor grado formalmente establecidos, es
importante aclarar que también las personas físicas que han tenido alguna
relación con las partes de un proceso penal por delincuencia económica,
pueden tener en su poder evidencia comprobatoria de transacciones con
otras personas, sean estas físicas o jurídicas, aunque no necesariamente
sistematizada. Si existe evidencia documental de transacciones en manos
de personas físicas, también pueden llegar a ser útil la participación del
investigador financiero.”23

El tema de auditoría al análisis forense o auditoría a la informática forense, no

se ha desarrollado y no existen textos donde se evidencie algún grado de
investigación relacionado.

3.5. TECNOLOGÍA MÓVIL

Podemos definir un dispositivo móvil como un aparato cuyo tamaño es pequeño

y que una de sus principales características es su facilidad de portabilidad,
igualmente éste tipo de elementos permite su sincronización de datos con
equipos de cómputo de escritorio y otras de ellas es su conectividad.24

Un dispositivo móvil se diferencia de un computador de escritorio, al tener menos

funcionabilidades, no requiere que su usuario sea una persona experta para
poderlo manejar, su renovación se realiza en menor tiempo que otros
dispositivos por el avance tecnológico.

Existen varios tipos de dispositivos móviles, entre ellos encontramos los

teléfonos, los cuales en un principio habían sido creados para recibir y realizar
llamadas, aunque hoy día a éstos le han sido incorporadas funciones como la
captura de imágenes, audios, lectura de documentos, conexión a redes, video
llamadas. En este mismo ámbito, están las agendas digitales, siendo pensadas
en un principio como simples organizadores personales que de igual manera
evolucionaron al incluírseles aplicaciones que permiten la lectura de libros,
conexión a internet, juegos, mapas, entro otros; y por último se encuentran las
Consolas, que eran orientados a jugar pero que con el paso del tiempo agregan
trabajos que realiza una agenda personal.

23 CHAVARRIA, Jorge. Auditoría Forense. 1 ed. San José: Universidad Estatal a Distancia, 2002. p 3 y 4.
ISBN: 9977-64-801-8
24 PINTO, Daniela. Revista Infoweek. Ganando una Ventaja Competitiva con aplicaciones comerciales

móviles. Edición 174. Octubre de 2009. Consultado noviembre de 2014

28
El Dr. Martín Cooper, fue el inventor del primero sistema de radio teléfono y fue
quien realizó la primera llamada por teléfono móvil25, ya en los años 80 fue
diseñado por él mismo el primer móvil lanzado al mercado, este fue conocido
con el nombre de DynacTAC 8000X de la empresa Nokia, pesaba 800 gramos,
su batería duraba tan solo 60 minutos, posteriormente, esta misma empresa
lanza el Mobira Talkman, el cual era incorporado a un maletín que facilitaba la
comunicación por varias horas, pasados los años, hacia 1989 Nokia lanza un
teléfono más pequeño e incorpora a su diseño una tapa, concebido como el
primer teléfono de bolsillo con batería de niquel Cadmio, siendo pesada este fue
conocido como MicroTAC 9800X.

Continuando con sus avances en la línea móvil, hacia los 90 innova con el
teléfono Motorola 2900 o Bag Phone, el cual podría ser adaptado al carro, su
diseño fue innovador, ya que su apariencia era la de un teléfono normal con
cable, pero que se portabilizaba a través de una bolsa que integraba el
transmisor, receptor y batería adaptable al automóvil.26 Y a su vez Nokia para el
año 1992 lanzo su primer telefónico bajo la referencia 1011 en GSM, un año más
tarde, IBM sorprende con el IBM Simon siendo el Primer SmartPhone.

Apple por su parte diseño y comercializó el dispositivo conocido como la Newton,

la cual se encontró en el mercado disponible para sus usuarios en el lapso de
tiempo comprendido 1993 a 1998, siendo un elemento tecnológico innovador en
su época al contar con un sistema reconocedor de lectura que permitía
sincronizarse con el computador de sobremesa que fuera de la misma marca.27

Sin embargo, Nokia no desistía de sus avances tecnológicos para 1996 lanza su
modelo StarTAC, el cual era el teléfono móvil del momento que se podía doblar
en la mitad, siendo compacto y fácil para ser transportado; ya para 1997 lanza el
primer Smartphone con CPU que deriva de un Intel 386 y contaba con 8mbytes
de memoria RAM, fue bautizado como el Nokia 9000i, incorporando a este
modelo una pantalla y teclado, estando dentro de sus funcionabilidades el poder
recibir y enviar faxes , SMS, emails y su acceso a internet lo realizaba a través
de los SMS.

Para 1998 fue Nokia el que tras años de investigación rompe con la estética de
los ya conocidos modelos de teléfonos móviles y lanza su móvil el Nokia 8810,

25 COOPER, Martín. Biografía del Creador del primer teléfono móvil. [En Línea]. Bogotá: [citado septiembre
20 de 2014]. Disponible en internet: <URL: www.ingeniatic.eultt.upm.es/index.php/personajes/ítem/321-
cooper-martin>
26 SUAREZ, CARMEN. Evolución de Móviles. [En Línea]. Bogotá: [citado septiembre 26 de 2014].

Disponible en internet: <URL: http://dispositivosmobilesits.blogspot.com/2012/02/evolucion-de-

moviles.html
27 ALAMEDA, David. Historia de Apple. [En Línea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en

internet: <URL: www.elmundo.es>

29
su diseño fue lujoso y era el primer teléfono que incorporaba internamente su
antena; en 1999 Nolia lanza el modelo 3210 con más de 160 millones de
teléfonos vendidos, Samsung por su lado lanza el SPH-M100 primer teléfono con
soporte para música MPS y Beneffon Esc el primero con GPS Integrado.

Por otra parte en 1999 nace la empresa RIM, quien para el año 2002 lanza la
Blackberry 5810, primer modelo de la era de Blackberry que integra el soporte
de datos en un dispositivo, este al integrar su teclado y la característica de datos,
integra algunas funcionalidades de una agenda personal, este mismo año, Sprit
y Sanyo, lanzan su teléfono SCP 5300, el cual fue el primer móvil que incorporo
una cámara.28

En el año 2003, Motorola vuelve a tomar la bandera y lanza al mercado el primer

teléfono delgado, con gran pantalla, teclado iluminado, cámara y opciones de
multimedia, este fue denominado Razr V3.

Finalmente a partir del año 2004, incursiono el termino de los smarphone,

apareciendo el Treo 700W, primer Palm SmartPhone que opera con Windows
Mobile. Para el 2007, innova Apple con su primer Iphone, como una nueva línea
de teléfonos inteligentes este primer modelo poseía pantalla táctil capacitiva,
altavoz y auricular, micrófono, cámara de 2 megapíxeles, jack para auriculares,
conectividad EDGE y Wi-Fi con núcleo y una memoria RAM de 128 MB.29

En el 2010, sorprende al mercado la Terro Star Genus primer Smartphone

Satelital y el LG Optimus 2X, que recibe el premio Guiness por ser el primer
teléfono móvil que utiliza procesador de doble núcleo.

Ya para el 2011 aparece con nuevas características algunos de la secuencia de

modelos vistos anteriormente, entre ellos Apple Iphone con su modelo 4S, con
doble nucle, dos antenas GSM y CDMS, el HTC EVO 4G, primer teléfono móvil
en 4G con sistema Operativo Goovle Android 2.2. Y HTC Sense y LG con su
Primer SmartPhone completaente 3D.30

Ya hemos hecho un recorrido por los modelos de los dispositivos móviles que
innovaron en la evolución digital y en la vida del hombre, para ello, veremos cada
una de las tecnología empleadas.

28 Ibíd., <http://dispositivosmobilesits.blogspot.com/2012/02/evolucion-de-moviles.html>.
29 REVISTA TÉCNOPASIÓN. Los Móviles más vendidos de la historia. [En Linea]. Bogotá: [citado
septiembre 30 de 2014]. Disponible en internet: <URL: www.tecnopasion.com/los-moviles-mas-vendidos-
de -la-historia-2736/ .>
30 GINVA INSPIRATION, DESING, FREEBIES. The Evolution Of The Cell Phone Between 1938-2011. [En

Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL:

http://ginva.com/2011/05/the-evolution-of-the-cell-phone-between-1938-2011/>
BRIAN BARRETT. Sprint's HTC Evo, the First Ever 4G Phone: Meet the New Terrific. 23/03/2010. [En
Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL:
www.gizmodo.com/5500343/print-htc-the-firts-ever-4g-phone-meet-the-new-terrific >

30
Tecnologías de los dispositivos móviles. Reflejada la historia de los dispositivos
móviles esta no es ajena de la evolución en las diferentes tecnologías que
permiten su funcionamiento, a continuación se describen aspectos relevantes de
cada una de ellas:

3.5.1. Symbian. El sistema operativo Symbian de propiedad de la empresa

Nokia, quien tras acuerdos comerciales con importantes empresas de telefonía
implementaron en sus dispositivos las diferentes versiones de Symbian, entre
ellas, esta LG, Panasonic, Sony Ericson, Samsung; para el año 2011, Nokia unio
sus esfuerzos a Microsoft para el desarrollo del Windows Phone, dejando al lado
este sistema operativo.31

3.5.2. Palm os. Desarrollado por US Robotic en 1996, permitiendo la interfaz

grafico de licencia no libre, siendo incluido en dispositivos móviles como
Smartphone, relojes de pulsera, video consolas portátiles, escáneres de código
de barras y GPS, este sistema operativo inicialmente de propiedad de Palm Inc.a
quien ACCESS adquirio.

3.5.3. Windows Phone. Fue desarrollado por Microsoft, conocido como

Windows Mobile, con este sistema operativo su creador incorpora beneficios en
sus dispositivos como son permitir comunicaciones por video conferencia con
Skype, Xbox Live y Ondrive, su desarrollo se encuentra basado Windows
Embedded CE 6.0. Windows Phone utiliza la tecnología multi-touch.En su
desarrollo Microsoft incorpora con este sistema operativo interfaces que
prolongan la vida de las baterías con sus pantallas y su ingreso de datos es a
través de un teclado táctil.32

3.5.4. Blackberry. Desarrollado por Research in Motion (RIM), siendo un

Sistema operativo que se remontan su creación en 1999 de la gama de
dispositivos smarphone, destacándose por incorporar un nivel de seguridad más
altos que otros, en la configuración de cuentas de correo y la agenda de microsoft
exchange. En el entorno corporativo, ofrece servicios como el BES permitiendo
la sincronización de cuentas de correo configuradas en un equipo de cómputo
de escrito con el del dispositivo móvil.33

3.5.5. IOS. Es el Sistema operativo que incorpora Apple a sus dispositivos como
iPods touch, iPhones, iPad y singularmente también el Apple TV. Para el año
2007 la empresa fabricadora lanza el primer Iphone que incorporo este sistema,

31ARROYO NATALIA. Información en el Móvil. 1 ed. Editorial UOC, 2011. ISBN: 978-84-9029-847-3
32Op. Cit. ARROYO, Natalia.
33CULTURACIÓN. Blackberry OS; sistema operativo móvil de RIM. . [En Linea]. Bogotá: [citado septiembre

20 de 2014]. Disponible en internet: <URL:http://culturacion.com/2012/05/blackberry-sistema-operativo-

movil-de-rim/>

31
diferenciándose de los demás por haber incorporado Mapas, Mail, Fotos, iPod,
Calendario, Calculadora, lanzada esta primera versión empezaron a
incorporarse nuevas funcionabilidades como lo son el primer juego nativo no
oficial.

3.6. TECNOLOGÍA ANDROID

Android es una pila de software pensada inicialmente para teléfonos móviles que
incluye un sistema operativo, middleware y una capa aplicaciones para que el
teléfono pueda realizar funciones más allá de los dispositivos que se usaban
antaño34.

Fue desarrollado por la empresa Android Inc. y surge de la unión de varias

empresas de tecnología que fue conocida como Open Hand Set Alliance, uno de
las personas relacionadas con este sistema operativo es el Señor Andrew Rubin,
quien es en la actualidad el vicepresidente de tecnología de Google, empresa
que adquirió en 2005 a la empresa Android Inc.

Android es la primera plataforma verdaderamente abierta y completa para

dispositivos móviles. Incluye un sistema operativo, interfaz de usuario y
aplicaciones. Todo el software para ejecutar un teléfono móvil, pero sin los
obstáculos de propiedad que han obstaculizado la innovación móvil.35

Características Sistema operativo Android. El diseño Android es basado en

Kernel de Linux en su versión 2.6, razón por la cual cuanta con características
de ser libre, gratuito y multiplataforma, siendo creado principalmente para
dispositivos móviles, entre ellos, los teléfonos inteligentes, Tablet, relojes y
televisores.

Otras de sus características principales36 son las siguientes:

3.6.1.1. Dispositivos. Generalmente, Android se adapta a pantallas de

resolución alta, VGA, gráficos 2D, gráficos 3D y teléfonos tradicionales.

3.6.1.2. Almacenamiento. Se emplea SQLite, una base de datos que se

emplea para almacenar datos en el teléfono.

34 ROBLEDO SACRISTAN, Clodoaldo y ROBLEDO FERNANDEZ, David. Programación en Android. ISBN

978.84-369-5431-1
35GOOGLE. Google Launches Android, an Open Mobile Platform. . [En Linea]. Bogotá: [citado septiembre

26 de 2014]. Disponible en internet: <URL: http://googlesystem.blogspot.com/2007/11/google-launches-

android-open-mobile.html>
36 GOOGLE. Google Mobile. . [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet:

<URL: http://www.google.com/mobile/android/>

32
3.6.1.3. Conectividad. Este sistema operativo soporta muchas
conexiones: GSM/EDGE, IDEN, CDMA, EV-DO, UMTS, Bluetooth, Wi-Fi, LTE,
HSDPA, HSPA+, NFC, WiMAX, GPRS, UMTS y HSDPA+.

3.6.1.4. Mensajería. Android es compatible con los SMS y MMS, pero todo
queda reducido tras la existencia de la tienda de aplicaciones donde existen
aplicaciones de mensajería instantánea como por ejemplo WhatsApp o
Telegram.

3.6.1.5. Navegador. El sistema operativo cuenta con un navegador de

Internet muy básico basado en WebKit que funciona con el motor JavaScript V8.

3.6.1.6. Soporte de Java. En su interior, Android cuenta con una

arquitectura en Java, pero en su exterior, no cuenta con una máquina virtual
basada en este lenguaje.

3.6.1.7. Soporte multimedia. Soporta gran cantidad de archivos

multimedia de forma nativo: WebM, H.263/264, MPEG-4 SP, AMR, AMR-WB,
AAC, HE-AAC, MP3, MIDI, Ogg Vorbis, WAV, PNG, GIF Y BMP.

3.6.1.8. Soporte streaming. RTP/RTSP y HTML5.

3.6.1.9. Soporte para hardware adicional. Se pueden incorporar cámaras

de fotos, de vídeo, pantallas táctiles, acelerómetros y otros elementos que
amplían el número de funciones que permite Android.

3.6.1.10. Entorno de desarrollo. Los desarrolladores pueden utilizar

cualquier software que les permite crear aplicaciones en Java como por ejemplo
Eclipse (integrado en Android).

3.6.1.11. Google Play Store. Android cuenta con una tienda de aplicaciones
donde los desarrolladores publican sus aplicaciones, que amplían el número de
funciones que realiza el sistema operativo de fábrica.

3.6.1.12. Multi-táctil. Android soporta cualquier tipo de pantalla

multicaptativa.

3.6.1.13. Bluetooth. La conectividad Bluetooth que lleva de forma nativa

Android tiene soporte A2DF y AVRCP.

3.6.1.14. Videollamada. Si el terminal tiene una cámara frontal, Android

puede realizar video llamadas a través de Google Hangouts.

33
3.6.1.15. Multitarea. En Android, podemos dejar aplicaciones corriendo en
segundo plano sin gastar muchos recursos del teléfono.

3.6.1.16. Tethering. Transfiere la conectividad 3G de tu dispositivo a otro a

través de la conexión: “Tethering”.

Arquitectura del Sistema operativo Android. Al ser un sistema operativo de

código abierto, su arquitectura está formada por varias capas que facilitan el
desarrollo y creación de aplicaciones:

Imagen 1 Arquitectura del Sistema Operativo Android

Fuente: ROBLEDO SACRISTAN, Clodoaldo y ROBLEDO FERNANDEZ, David. Programación en Android.

ISBN 978.84-369-5431-1 [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL:
http://androideity.com/2011/07/04/arquitectura-de-android/>

A continuación una breve explicación de las capas de la arquitectura: 37

3.6.1.17. Kernel de Linux. El núcleo actúa como una capa de abstracción

entre el hardware y el resto de las capas de la arquitectura. El desarrollador no
accede directamente a esta capa, sino que debe utilizar las librerías disponibles
en capas superiores. De esta forma también nos evitamos el hecho de
quebrarnos la cabeza para conocer las características precisas de cada teléfono.
Si necesitamos hacer uso de la cámara, el sistema operativo se encarga de
utilizar la que incluya el teléfono, sea cual sea. Para cada elemento de hardware
37Ibid. p33-40.

34
del teléfono existe un controlador (o driver) dentro del kernel que permite utilizarlo
desde el software.

El kernel también se encarga de gestionar los diferentes recursos del teléfono

(energía, memoria, etc.) y del sistema operativo en sí: procesos, elementos de
comunicación (networking), etc.

3.6.1.18. Librerías. Están escritas en C o C++ y compiladas para la

arquitectura hardware específica del teléfono. Estas normalmente están hechas
por el fabricante, quien también se encarga de instalarlas en el dispositivo antes
de ponerlo a la venta. El objetivo de las librerías es proporcionar funcionalidad a
las aplicaciones para tareas que se repiten con frecuencia, evitando tener que
codificarlas cada vez y garantizando que se llevan a cabo de la forma “más
eficiente”.

Entre las librerías incluidas habitualmente encontramos OpenGL (motor gráfico),

Bibliotecas multimedia (formatos de audio, imagen y video), Webkit (navegador),
SSL (cifrado de comunicaciones), FreeType (fuentes de texto), SQLite (base de
datos), entre otras.

3.6.1.19. Entorno de ejecución. Como podemos apreciar en el diagrama,

el entorno de ejecución de Android no se considera una capa en sí mismo, dado
que también está formado por librerías. Aquí encontramos las librerías con las
funcionalidades habituales de Java así como otras específicas de Android.

El componente principal del entorno de ejecución de Android es la máquina

virtual Dalvik (variación de la máquina virtual de Java). Las aplicaciones se
codifican en Java y son compiladas en un formato específico para que esta
máquina virtual las ejecute. La ventaja de esto es que las aplicaciones se
compilan una única vez y de esta forma estarán listas para distribuirse con la
total garantía que podrán ejecutarse en cualquier dispositivo Android que
disponga de la versión mínima del sistema operativo que requiera la aplicación.

Cabe aclarar que Dalvik es una variación de la máquina virtual de Java, por lo
que no es compatible con el bytecode Java. Java se usa únicamente como
lenguaje de programación, y los ejecutables que se generan con el SDK de
Android tienen la extensión .dex que es específico para Dalvik, y por ello no
podemos correr aplicaciones Java en Android ni viceversa.

3.6.1.20. Framework de aplicaciones. La mayoría de los componentes de

esta capa son librerías Java que acceden a los recursos de las capas anteriores
a través de la máquina virtual Dalvik. Siguiendo el diagrama encontramos:38

38
Op. cit. ROBLEDO y ROBLEDO. Programación en Android. p33-40

35
 Activity Manager. Se encarga de administrar la pila de actividades de
nuestra aplicación así como su ciclo de vida.
 Windows Manager. Se encarga de organizar lo que se mostrará en pantalla.
Básicamente crea las superficies en la pantalla que posteriormente pasarán
a ser ocupadas por las actividades.
 Content Provider. Esta librería es muy interesante porque crea una capa
que encapsula los datos que se compartirán entre aplicaciones para tener
control sobre cómo se accede a la información.
 Views. En Android, las vistas los elementos que nos ayudarán a construir las
interfaces de usuario: botones, cuadros de texto, listas y hasta elementos
más avanzados como un navegador web o un visor de Google Maps.
 Notification Manager. Engloba los servicios para notificar al usuario cuando
algo requiera su atención mostrando alertas en la barra de estado. Un dato
importante es que esta biblioteca también permite jugar con sonidos, activar
el vibrador o utilizar los LEDs del teléfono en caso de tenerlos.
 Package Manager. Esta biblioteca permite obtener información sobre los
paquetes instalados en el dispositivo Android, además de gestionar la
instalación de nuevos paquetes. Con paquete nos referimos a la forma en
que se distribuyen las aplicaciones Android, estos contienen el archivo .apk,
que a su vez incluyen los archivos .dex con todos los recursos y archivos
adicionales que necesite la aplicación, para facilitar su descarga e instalación.
 Telephony Manager. Con esta librería podremos realizar llamadas o enviar
y recibir SMS/MMS, aunque no permite reemplazar o eliminar la actividad que
se muestra cuando una llamada está en curso.
 Resource Manager. Con esta librería podremos gestionar todos los
elementos que forman parte de la aplicación y que están fuera del código, es
decir, cadenas de texto traducidas a diferentes idiomas, imágenes, sonidos o
layouts. En un post relacionado a la estructura de un proyecto Android
veremos esto más a fondo.
 Location Manager. Permite determinar la posición geográfica del dispositivo
Android mediante GPS o redes disponibles y trabajar con mapas.
 Sensor Manager. Nos permite manipular los elementos de hardware del
teléfono como el acelerómetro, giroscopio, sensor de luminosidad, sensor de
campo magnético, brújula, sensor de presión, sensor de proximidad, sensor
de temperatura, etc.
 Cámara: Con esta librería podemos hacer uso de la(s) cámara(s) del
dispositivo para tomar fotografías o para grabar vídeo.
 Multimedia. Permiten reproducir y visualizar audio, vídeo e imágenes en el
dispositivo.

36
3.6.1.21. Aplicaciones. En la última capa se incluyen todas las aplicaciones
del dispositivo, tanto las que tienen interfaz de usuario como las que no, las
nativas (programadas en C o C++) y las administradas (programadas en Java),
las que vienen preinstaladas en el dispositivo y aquellas que el usuario ha
instalado.

En esta capa encontramos también la aplicación principal del sistema: Inicio

(Home) o lanzador (launcher), porque es la que permite ejecutar otras
aplicaciones mediante una lista y mostrando diferentes escritorios donde se
pueden colocar accesos directos a aplicaciones o incluso widgets, que son
también aplicaciones de esta capa.

Versiones del Sistema Operativo Android. Las versiones del Sistema Android39,
dan inicio en el 2007 con su versión beta, para el siguiente año fue lanzada su
versión 1.0, a partir del año 2009 las actualizaciones y nuevas versión han sido
denominadas en orden alfabético:

 Android Beta

 Android 1.0 Apple Pie

 Android 1.1 Banana Bread

 Android 1.5 Cupcake

 Android 1.6 Donut

 Android 2.0/2.1 Eclair

 Android 2.2.x Froyo

 Android 2.3.x Gingerbread

 Android 3.x Honeycomb

 Android 4.0.x Ice Cream Sandwich

 Android 4.1 Jelly Bean.

 Android 4.2 Jelly Bean (Gummy Bear)

39GIRONES. Jesús Tomás. El Gran Libro de Android. 3ra. Edición 2013. Editorial Marcambo S.A. IBSN
978.84.267.1976-8.

37
 Android 4.3 Jelly Bean

 Android 4.4 KitKat

En la figura a continuación se visualiza cada una de las versiones y su respectiva

imagen:

Imagen 2 Versiones del sistema operativo Android

Fuente: GONZALEZ, Angel. Sistema Operativo Android. http://www.vinagreasesino.com/articulos/sistema-

operativo-android.php40

3.7. PUBLICACIONES EXISTENTES

Dentro de la literatura existente relacionada al tema, se identifican las siguientes

publicaciones:

Revista de Información, Tecnología y Sociedad. Informática Forense Para

Móviles, este artículo proporciona información básica sobre la conservación,
adquisición, examen, análisis y presentación de informes de pruebas digitales en
los teléfonos celulares, pertinentes para hacer cumplir la ley de respuesta a
incidentes y otros tipos de investigaciones. La guía se centra principalmente en
las características de los teléfonos celulares, incluidos los teléfonos inteligentes
con funciones avanzadas. También trata de las disposiciones que deben
tomarse en cuenta durante el curso de una investigación del incidente. La guía
está pensada para atender las circunstancias comunes que pueden ser
encontradas por el personal de seguridad de la organización y los investigadores
policiales, con la participación digital electrónica de datos que residen en los

40GONZALEZ, Angel. Sistema Operativo Android. [En Linea]. Bogotá: [citado septiembre 26 de 2014].
Disponible en internet: <URL: http://www.vinagreasesino.com/articulos/sistema-operativo-android.php>

38
teléfonos celulares y medios de comunicación electrónicos asociados. También
se destina a complementar las directrices existentes y profundizar en las
cuestiones relacionadas con los teléfonos celulares su examen y análisis.41

Unification of digital evidence from disparate sources (Digital Evidence Bags).

En este trabajo describe un nuevo enfoque para la adquisición y procesamiento
de la evidencia digital obtenida de los dispositivos y fuentes digitales. Hasta la
fecha, la captura de la evidencia digital ha estado basado siempre en su totalidad
desde el dispositivo de origen y los diferentes métodos y depósitos (tipos de
archivos) se utilizan para diferentes tipos de dispositivos digitales (por ejemplo,
ordenador, PDA, teléfono móvil). Este documento define un nuevo enfoque
llamado Evidencia digital Bolsa (DEB) que es un contenedor universal para la
captura de la evidencia digital. Por otra parte, el concepto de la evidencia digital
podría utilizarse para permitir la racionalización de captura de datos y permitir
que múltiples fuentes de evidencia puedan ser procesados en un entorno
multiprocesador distribuido y maximizando así el uso del poder de procesamiento
disponible. El enfoque descrito en este trabajo permite por primera vez el proceso
forense para extenderse más allá de la captura forense estática tradicional de la
evidencia en la captura en tiempo real "en vivo" de la evidencia. Además de esto
la Bolsa para pruebas digital se puede utilizar para proporcionar una pista de
auditoría de los procesos llevados a cabo en las pruebas, así como la verificación
de la integridad.42

Forensics and the GSM mobile telephone system. El sistema GSM se ha

convertido en el sistema más popular para la comunicación móvil en el mundo.
Los criminales suelen utilizar los teléfonos GSM y por lo tanto es una necesidad
para los investigadores forenses entender que la evidencia puede obtenerse a
partir del sistema GSM. Este documento explica brevemente los conceptos
básicos del sistema GSM. Elementos de las pruebas que se pueden obtener
desde el equipo móvil, la tarjeta SIM y la exploración de la red central.

La existencia de herramientas para extraer esas pruebas y componentes del

sistema, crean la necesidad de desarrollar procedimientos y herramientas
forenses más sólidas para la extracción de tales pruebas. El documento
concluye con una breve presentación sobre el sistema UMTS futuros, que se
basa en gran parte en el diseño de GSM43

41 GOMEZ OCAMPO, Lizeth Marcela. Informática Forense Para Móviles. [En Linea]. Bogotá: [citado
septiembre 20 de 2014]. Disponible en internet: <URL:
<http://www.revistasbolivianas.org.bo/scielo.php?pid=S199740442009000200007&script=sci_arttext&tlng=
es>
42Unification of digital evidence from disparate sources (Digital Evidence Bags) [En Linea]. Bogotá: [citado

noviembre 10 de 2014]. Disponible en internet: <URL:

<http://dfrws.org/2005/proceedings/turner_evidencebags.pdf>

39
Developing Process For The Examination Of Cellular Phone Evidence. Las
razones para la extracción de datos de los teléfonos celulares pueden ser tan
variadas como las técnicas utilizadas para procesarlos. A veces sin embargo,
sólo se necesita ciertos datos. En otros casos es necesario de un examen
forense completo y el potencial completo de recuperación de datos borrados,
extracción del sistema de archivos integrado y la memoria física.

Debido a estos factores, la elaboración de directrices y procedimientos para la

extracción y la documentación de los datos de los teléfonos celulares son
extremadamente importantes. Este artículo entrega un resumen de las
consideraciones del proceso para la extracción y la documentación de los datos
del teléfono celular.44

Mobile Phone Forensic Analysis. Los recientes avances tecnológicos en los

teléfonos móviles y el desarrollo de teléfonos inteligentes han dado lugar a un
mayor uso y la dependencia en el teléfono móvil. La demanda de su uso ha dado
lugar a problemas como el fraude, uso criminal y robo de identidad que han
llevado a la necesidad del análisis forense para el teléfono móvil. Este artículo
discute el análisis forense en el teléfono móvil, lo que significa, que haga uso de
la misma y las herramientas de software utilizadas.45

Forensics and SIM cards: an Overview. Presenta la construcción de una

herramienta para cumplir con la parte de recolección de evidencia (creación de
la imagen). Aporta información más detallada en comparación con otros
documentos acerca de los fundamentos sistemas de archivos que se encuentran
en las tarjetas, toda esa información es utilizada para crear un algoritmo y
programarlo en lenguaje C estándar.46

Estudio y Análisis De Evidencia Digital En Teléfonos Celulares Con Tecnología

GSM Para Procesos Judiciales. Este análisis permite obtener evidencias o
pruebas auténticas e íntegras, que contribuyen a la investigación en un proceso
judicial, pudiendo posteriormente ser validadas para el mismo; en la actualidad

43
YNGVAR WILLASSEN Svein. Forensics and the GSM mobile telephone system.International Journal of
Digital Evidence. [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL:
http://www.utica.edu/academic/institutes/ecii/publications/articles/A0658858-BFF6-C537-
7CF86A78D6DE746D.pdf>
44 MURPHY Cindy. Developing Process For The Examination Of Cellular Phone Evidence. [En Linea].

Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL:

<http://mobileforensics.files.wordpress.com/2010/07/cell-phone-evidence-extraction-process-development-
1-1-8.pdf>
45 CURRAN Kevin, ROBINSON Andrew, PEACOCKE Stephen, CASSIDY Sean. Mobile Phone Forensic

Analysis. [En Linea]. Bogotá: [citado noviembre 15 de 2014]. Disponible en internet: <URL:
<http://eprints.ulster.ac.uk/20680/2/IJCDF10.pdf>
46CASADEI Fabio, SAVOLDI Antonio, Gubian Paolo. Forensics and SIM cards: an Overview. [En Linea].

Bogotá: [citado noviembre 26 de 2014]. Disponible en internet: <URL:

<http://www.utica.edu/academic/institutes/ecii/publications/articles/EFE3EDD5-0AD1-6086-
28804D3C49D798A0.pdf>

40
el teléfono celular forma parte de la vida cotidiana de las personas y es por esta
razón que éstos pueden estar involucrados en diferentes tipos de delitos.

En este trabajo se establece qué evidencia digital potencial puede ser

proporcionada por el teléfono celular, para lo cual se analiza la información del
Equipo móvil y la Tarjeta SIM. Este análisis se desarrolla con base a estudios
de investigadores nacionales, que han venido trabajando en el desarrollo de
procedimientos para la validación de evidencia digital, y organismos
internacionales que han desarrollado herramientas forenses especializadas en
hardware y software, que ayudan a encontrar evidencia y analizarla para
procesos judiciales47.

Publicaciones del NIST. A continuación se relacionan las publicaciones que el

NIST (National Institute of Standards and Technology) ha publicado:

3.7.1.1. Guidelines on Mobile Device Forensics (NIST Special

Publication 800-101). El Análisis forense de dispositivos móviles es la ciencia
de la recuperación de la evidencia digital desde un dispositivo móvil, mediante
métodos aceptados. El Análisis forense de dispositivos móviles es una
especialidad en evolución en el campo de la ciencia forense digital.

Esta guía proporciona una mirada en profundidad en los dispositivos móviles y

explica las tecnologías involucradas y su relación con los procedimientos
forenses. Este documento cubre los dispositivos móviles con características más
allá de las capacidades de comunicación de voz y mensajes de texto simples.
Esta guía también contiene procedimientos para la convalidación, conservación,
adquisición, exploración, análisis y reporte de la información digital.48

3.7.1.2. Cell Phone Forensic Tools: An Overview and Analysis Update

(NISTIR 7387). Cuando los teléfonos móviles u otros dispositivos celulares
están implicados en un delito u otro incidente, los examinadores forenses
requieren herramientas que permiten la recuperación adecuada y examinar
rápidamente la información presente en el dispositivo.

Este informe proporciona una visión general de las actuales herramientas

diseñadas para la adquisición, el examen y la presentación de informes de datos
descubiertos en dispositivos móviles celulares, y una comprensión de sus
capacidades y limitaciones. Es una continuación de NISTIR 7250 de las
47 MALEZA Jorge, SANDOVAL Karina, HIDALGO Pablo. Estudio Y Análisis De Evidencia Digital En
Teléfonos Celulares Con Tecnología GSM Para Procesos Judiciales. [En Linea]. Bogotá: [citado noviembre
26 de 2014]. Disponible en internet: <URL:
<http://bibdigital.epn.edu.ec/bitstream/15000/4903/1/Estudio%20y%20an%C3%A1lisis%20de%20evidenci
a.pdf>
48 AYERS Rick, BROTHERS Sam y JANSEN Wayne. Guidelines on Mobile Device Forensics. NIST Special

Publication 800-101 Revisión 1. [En Linea]. Bogotá: [citado noviembre 18 de 2014]. Disponible en internet:
<URL:http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-101r1.pdf>

41
Herramientas forenses para teléfono celular, la cual se enfoca en presentar
cambios que han sufrido las herramientas forenses, presenta nuevas
herramientas que no fueron reportadas anteriormente manteniendo la misma
estructura de trabajo que apoyen al análisis forense. El documento 7250
proporciona un panorama de las herramientas de software forense diseñadas
para la adquisición, análisis, y reporte de datos almacenados en dispositivos
móviles. La publicación conduce un estudio general sobre las capacidades y
limitaciones para cada herramienta en detalle a través de una metodología
basada en diferentes escenarios.49

49AYERS Rick, JANSEN Wayne, MOENNER Ludovic, AURELIEN Delaitre. NISTIR 7250 – Cell Phone
Forensic Tools: An Overview and Analysis can be accessed. [En Linea]. Bogotá: [citado noviembre 20 de
2014]. Disponible en internet: <URL: http://csrc.nist.gov/publications/nistir/nistir-7250.pdf>

42
3.8. ENFOQUE

El enfoque de esta investigación es de carácter cualitativo, ya que se basa en

métodos de recolección de datos sin medición numérica como las descripciones
y observaciones de la información recolectada de los entes que se dedican a la
Auditoría Forense en Colombia que coopera con los autores de este proyecto a
identificar la situación actual de este tema.
50
La historia de los métodos cualitativos, así como la observación
descriptiva y las entrevistas son tan antiguos como la historia escrita, Wax
(1971) señalado por Taylor y Bogdan (1987) manifiestan que los orígenes
del trabajo de campo pueden rastrearse hasta historiadores, viajeros y
escritores que van desde el griego Herodoto hasta Marco Polo, pero solo
a partir del siglo XIX y principios del XX lo que ahora denominamos
métodos cualitativos fueron empleados conscientemente en la
investigación social.

Desde la década de 1960 resurgió el empleo de los métodos cualitativos,

que van desde estudios vigorosos y profundos, monografías,
compilaciones, libros e incluso hasta periódicos. Actualmente son
sorprendentes las investigaciones cualitativas con enfoques de
sociólogos, antropólogos, psicólogos y otros estudiosos similares.

Taylor y Bogdan (1987) definen a la metodología cualitativa en su más

amplio sentido a la investigación que produce datos descriptivos: las
propias palabras de las personas, habladas o escritas, y la conducta
observable. Ray Rist (1977) citado por Taylor y Bogdan (1987) manifiesta
que la metodología cualitativa, a semejanza la metodología cuantitativa,
consiste en mas que un conjunto de técnicas para recoger datos. Es un
modo de encarar el mundo empírico.

3.9. TIPO DE INVESTIGACIÓN

Esta investigación es exploratoria y analítica. Se realiza una exploración del

tema, ya que es relativamente desconocido, inicia desde la recolección de la
información, revisando las guías existentes y descubriendo el estado actual de
la auditoría Forense. Investigación analítica; porque una vez recolectada la
información, ésta se puede desglosar para identificar los desarrollos que se han
realizado en materia de auditoría Forense para dispositivos móviles.

“…Autores como Babbie (1979), Selltiz et al (1965) identifican tres tipos de

investigación: exploratoria, descriptiva y explicativa. Así como Dankhe

50ANGULO LÓPEZ, Eleazar. Metodología Cualitativa. Universidad de Málaga. [En Linea]. Bogotá: [citado
octubre 20 de 2014]. Disponible en internet: <URL: http://www.eumed.net/tesis-
doctorales/2012/eal/metodologia_cualitativa.html#_ftn1>

43
 (1986) propone cuatro tipos de estudios: exploratorios, descriptivos,
correlacionales y experimentales. Hay quienes prefieren denominar estos
últimos, estudios explicativos en lugar de experimentales pues consideran
que existen investigaciones no experimentales que pueden aportar
evidencias para explicar las causas de un fenómeno.

Se puede decir que esta clasificación usa como criterio lo que se pretende
con la investigación, sea explorar un área no estudiada antes, describir una
situación o pretender una explicación del mismo.

Los estudios exploratorios permiten aproximarnos a fenómenos

desconocidos, con el fin de aumentar el grado de familiaridad y contribuyen
con ideas respecto a la forma correcta de abordar una investigación en
particular. Con el propósito que estos estudios no se constituyan en pérdida
de tiempo y recursos, es indispensable aproximarnos a ellos, con una
adecuada revisión de la literatura. En pocas ocasiones constituyen un fin en
sí mismos, establecen el tono para investigaciones posteriores y se
caracterizan por ser más flexibles en su metodología, son más amplios y
dispersos, implican un mayor riesgo y requieren de paciencia, serenidad y
receptividad por parte del investigador. El estudio exploratorio se centra en
descubrir…”51

3.10. TÉCNICAS E INSTRUMENTOS

En cuanto a las técnicas e instrumentos que se utilizan para el logro del

desarrollo de los objetivos de este proyecto de investigación y teniendo en cuenta
lo anteriormente descrito en el enfoque y el tipo de investigación, este proyecto
se trabaja desde un análisis documental, dado que a partir de los datos que
surgen de la indagación con los entes estatales y empresas que se dedican a la
auditoría Forense en Colombia, estos se convierten en el insumo para el proceso
analítico.

De acuerdo con Cesar Augusto Bernal, “La investigación documental consiste

en un análisis de la información escrita sobre un determinado tema, con el
propósito de establecer relaciones, diferencias, etapas, posturas o estado actual
del conocimiento respecto del tema objeto de estudio”.52

51 FRANKLIN. Yaqueline. Tesis de Investigación. Tomado de Dankhe. Diferentes diseños. Tipos de

investigación. Colombia: McGraw-Hill. (1986). [En Linea]. Bogotá: [citado octubre 20 de 2014]. Disponible
en internet: <URL: http://tesisdeinvestig.blogspot.com/2011/05/tipos-de-
investigacion.html?showComment=1371610247620#c4929994189697217530>
52 BERNAL TORRES, Cesar Augusto. Metodología de la investigación. México: Pearson Educación, 2006.

p 110. ISBN 970-26-0645-4

44
3.11. FASES DE LA INVESTIGACIÓN

Este proceso se basará en una metodología con enfoque de carácter cualitativo

y una investigación exploratoria y analítica, utilizando la técnica de análisis
documental como insumo para el proceso analítico. La metodología de desarrollo
del documento será el ciclo Deming PHVA (Planear, Hacer, Verificar, Actuar), ya
que tiene un enfoque basado en procesos y facilita identificar, planificar,
implementar y mejorar los procesos y procedimientos que se deben tener en
cuenta para lograr el objetivo.

En el diagrama que a continuación se expone, se plantea la puesta en marcha

de la metodología para realizar la guía propuesta por las autoras.

Imagen 3 Diagrama de la metodología para la auditoría del análisis forense en dispositivos móviles

METODOLOGIA PARA LA AUDITORIA DEL ANÁLISIS FORENSE EN DISPOSITIVOS MOVILES DE

TECNOLOGÍA ANDROID PARA LEGISLACIÓN COLOMBIANA

PLANEAR HACER VERIFICAR ACTUAR

17. Revisar y
INICIO 16. Monitorear el
8. Inicio de la mejorar el
programa de
auditoria programa de
auditoria
auditoria

1. Identificar el
origen de la 9. Preparación de
auditoría actividades de FIN
auditoria

3. Establecer los
objetivos de la
10. Realización de
auditoria
las actividades de
auditoria

4. Determinar los
puntos que serán 11. Integrar los
evaluados. papeles de trabajo
resultados de la
auditoria

5. Elaborar planes,
programas y
presupuestos 12. Analizar la
información.

6. Identificar
métodos, 13. Elaborar
herramientas, informe de
instrumentos y hallazgos y
procedimientos recomendaciones

7. Asignar los 14. Elaborar el

recursos informe detallado

15. Elaborar el
ACTIVIDADES

informe ejecutivo

Fuente: Los autores.

45
 4. IDENTIFICACIÓN DE ACTIVIDADES EN EL ANÁLISIS FORENSE EN
DISPOSITIVOS MOVILES

Se generan diagramas de procesos correspondientes a la cadena de custodia,

análisis forense de dispositivos móviles y alistamiento de la computadora de
análisis, esto con el fin de identificar el paso a paso del proceso de análisis forense
y poder llegar a la identificación de los puntos de auditoría que se requieren para
generar la guía.

Inicialmente se establece el diagrama de procesos de la cadena de custodia

(ilustración 4), donde se identifican los actores y las actividades por cada actor, los
actores involucrados en este proceso son:

 Primer respondiente
 Funcionario Policía Judicial
 Custodio
 Fiscal
 Juez
 Transportador
 Analista
 Almacenista

Dentro de la cadena de custodia se identifica un sub-proceso llamado análisis

forense, para éste sub-proceso se genera el diagrama de procesos correspondiente
llamado de la misma forma análisis forense (ilustración 5), donde se identifican 4
fases que son ejecutadas por el mismo actor en este caso es el analista, las fases
identificadas son:

 Fase 1: Documentación inicial.

 Fase 2: Extracción lógica.
 Fase 3: Extracción física.
 Fase 4: Análisis de relaciones.

Dentro de este diagrama se identifican las actividades realizadas en el análisis

forense de dispositivos móviles por cada etapa y adicional se genera un sub-
proceso llamado alistamiento de la computadora de análisis el cual hace referencia
a las especificaciones técnicas con que debe contar el equipo desde el que se va a
realizar el análisis forense y que son necesarias para la consecución del proceso de
análisis forense, en la imagen 6 se identifica el diagrama de procesos del
alistamiento de la computadora de análisis.

Las siguientes son las actividades identificadas para el diagrama de procesos de

cadena de custodia (ver imagen 4) y su respectiva descripción:

46
Tabla 1 Actividades Cadena de Custodia

N. ACTOR ACTIVIDAD DESCRIPCIÓN

Primer Recolecta el Se halla el dispositivo o se tiene en su poder ya sea por un civil

1
respondiente dispositivo o un policía judicial.
Notifica a la
Primer En el caso de Colombia la autoridad competente es la Fiscalía
2 autoridad
respondiente General de la nación.
competente
Funcionario Incluye el elemento en un contenedor adecuado para su
Embala el
3 Policía preservación y diligencia el formato de rotulo donde se
dispositivo
Judicial especifica el hallazgo, la cantidad y su forma de preservación.
Funcionario
Rotula el Marca el contenedor con la información básica del dispositivo
4 Policía
dispositivo encontrado
Judicial
Diligencia el
Funcionario
formato de la Realiza el registro de fecha, hora y el motivo del contacto con
5 Policía
cadena de el elemento.
Judicial
custodia
Funcionario Hace entrega
Se realiza la entrega del dispositivo al custodio para el caso de
6 Policía del
ser la misma persona se obvia este paso
Judicial dispositivo
Funcionario Rinde
Informe de investigador de campo para que el fiscal pueda
7 Policía informe ante
presentarlo solicitando la legalidad de la obtención.
Judicial el fiscal
Hace el
Diligencia fecha, hora y el motivo por el cual tiene contacto con
8 Custodio registro como
el elemento.
custodio
Rinde El funcionario de policía judicial mediante informe escrito
9 Custodio informe ante comunica al funcionario judicial (Fiscal) la obtención del
el fiscal Elemento Material Probatorio
Solicita la
Es deber del delegado de la fiscalía general de la nación,
legalidad
solicitar ante el Juez de Control de Garantías aceptar la
10 Fiscal ante el juez
obtención de la prueba e impartir legalidad sobre los
de control de
mecanismos de su obtención y conservación de la misma.
garantías
Emite Decisión que imparte el juez de control de garantías ante la
11 Juez
legalización solicitud elevada por el funcionario judicial (fiscal).
Una vez impartido el control de legalidad, el fiscal emite orden
12 Fiscal Emite orden dispuesto en la que dispone lo pertinente con el elemento
material probatorio.
Fuente: Los autores.

47
Tabla 1: Actividades Cadena de Custodia (Continuación).

Nº ACTOR ACTIVIDAD DESCRIPCIÓN

Realiza la
entrega al
Si el dispositivo requiere de análisis forense, se debe solicitar
transportador
13 Custodio al transportador el traslado al laboratorio forense para
para envío al
continuar con el procedimiento.
laboratorio
forense
Traslada el
El transportador toma el papel de custodio mientras el
dispositivo al
14 Transportador dispositivo este en su poder y realiza el traslado al laboratorio.
almacén de
Si el custodio es el mismo transportador se omite este paso.
pruebas
Recepción El transportador hace entrega del dispositivo al analista
15 Analista del forense quién a partir de este momento toma el papel de
dispositivo custodio del dispositivo.
El funcionario de policía judicial con el rol de perito en
Emite el informática forense, en el cual da a conocer los procedimientos
16 Analista informe al realizados con el elemento material probatorio, la técnica y
fiscal procedimientos utilizados y los resultados obtenidos del
análisis practicado al elemento material probatorio.
De acuerdo a los resultados entregados mediante informe
Toma escrito el fiscal instructor de la investigación, vera la
17 Fiscal
decisiones pertinencia de los mismos para la investigación y adoptara las
decisiones a que dé lugar.
hace entrega Con el propósito de continuar con los procedimientos que
del permitan la conservación del elemento material probatorio, el
18 Analista
dispositivo al funcionario de policía judicial y/o perito en informática forense,
almacenista realizara la entrega al almacén de evidencias.
Recepción
Hace entrega del dispositivo al almacenista quién a partir de
19 Almacenista del
este momento toma el papel de custodio del dispositivo.
dispositivo
Almacenamie El almacenista realiza el debido coloca miento del dispositivo,
20 Almacenista nto del rotulado, documentación para que el dispositivo permanezca
dispositivo en el almacén de evidencias.
Realiza la
entrega al
transportador
Si el dispositivo no requiere de análisis forense, se debe
21 Custodio para él envió
solicitar al transportador el traslado al almacén de evidencias.
al almacén
de
evidencias
Traslada el El transportador toma el papel de custodio mientras el
dispositivo al dispositivo este en su poder y realiza el traslado al almacén de
22 Transportador
almacén de evidencias. Si el custodio es el mismo transportador se omite
evidencias este paso.
Fuente: Los autores.

48
Imagen 4 Diagrama de procesos Cadena de custodia
CADENA DE CUSTODIA DISPOSITIVO MOVIL

FUNCIONARIO POLICIA
PRIMER RESPONDIENTE CUSTODIO FISCAL JUEZ TRANSPORTADOR ANALISTA ALMACENISTA
JUDICIAL

INICIO

1. Recolecta el
dispositivo

¿Es policía SI 3. Embala el

judicial? dispositivo

NO
4. Rotula el
dispositivo

2. Notifica a la
autoridad 8. Hace el registro
competente 5. Diligencia el como custodio
formato de la
cadena de custodia

9. Rinde informe 10. Solicita la

6. Hace entrega del ante el fiscal legalidad ante el 11. emite
dispositivo juez de control de legalización
garantías.

7. Rinde informe
ante el fiscal

12. Emite orden

NO
¿El elemento
requiere
analisis?

SI

13. Realiza la
14. Traslada el
entrega al
dispositivo al 15. Recepción del
transportador para
almacen de dispositivo
envió al laboratorio
evidencias
forense

ANALISIS
FORENSE
21. Realiza la
entrega al
transportador para
el envió al almacén
de evidencias

16. Emite el informe

17. Toma decisiones
al fiscal

18. Hace entrega

del dispositivo al
almacenista

22. Traslada el
dispositivo al 19. Recepción del
almacén de dispositivo
evidencias

20.
Almacenamiento
del dispositivo
ACTIVIDADES

FIN

Fuente: Los autores

49
El análisis forense del dispositivo móvil (imagen 5), se encuentra como un
subproceso del diagrama anterior de cadena de custodia, en este subproceso se
lleva a cabo la identificación, preservación, análisis y presentación de datos que
sean válidos dentro del proceso legal, a continuación se describen las actividades
que se identifican en este proceso de análisis forense.

Tabla 2 Actividades de análisis forense

Nº FASES ACTIVIDAD DESCRIPCIÓN

Diligenciamiento del documento estándar de cadena de

1 1 Registro cadena custodia
custodia
Se realiza el registro del estado actual en que se recibe el
2 1 Registro en fotografías
dispositivo móvil
El Analista forense debe recomendar una estrategia de
Inspección Inicial del
3 1 inspección que sea apropiada debe consultar el manual de
dispositivo
usuario del equipo de telefonía celular
Documentar informa-ción
En un nivel básico, las herramientas forenses estándar
4 1 del fabricante e informa
deberán ser capaces de recuperar datos activos.
ción relevante del sistema
Se recomienda someter al dispositivo a un equipo aislante
5 2 Aislar comunicaciones
de comunicaciones RF.
Se debe conectar el dispositivo con la computadora
Conectar el dispositivo al
6 2 encargada del análisis utilizando en cable de datos u otro
PC
medio aceptado por el dispositivo.
El analista forense debe crear inmediatamente una imagen
Creación imagen del
7 2 del contenido de la memoria usando las herramientas
contenido del dispositivo
apropiadas.
Recolección Evidencia Mediante las aplicaciones, recolectar los datos que
8 2
Volátil pudieran perderse al apagarse el dispositivo.
Extracción de informa-
ción a examinar – Tipo de
archivo - Metadatos – El analista forense debe examinar la información por tipo de
9 2 archivos protegidos con archivo – con la capacidad de abrir archivos protegidos con
contraseñas – archivos contraseñas o archivos comprimidos o encriptados.
comprimidos –
encriptados
La mayoría de los sistemas operati-vos no eliminan la
información en el momento en el que un Usuario solicita el
borrado de un archivo determinado, sino que, de alguna
Recuperación de archivos manera, dejan registrado que el espacio que ocupa dicho
10 2
Eliminados. archivo ahora se encuentra disponible. Los analistas deben
utilizar las herramientas para la extracción de datos
(MobilEdit y Device Seizure) que permiten realizar
recuperación de datos eliminados.
Recuperación Evidencia Mediante las aplicaciones, recolectar los datos del usuario
11 2
No volátil almacenados en el dispositivo.
Fotografiar o crear un video que grabe los datos adicionales
Documentar por medio de
relacionados con el usuario que
12 2 imágenes (video y
no pudieron ser transferidos a través de las herramientas de
fotografía)
software forenses
Fuente: Los autores.

50
Tabla 2 Actividades de análisis forense (Continuación).

Nº FASES ACTIVIDAD DESCRIPCIÓN

Todos los datos recuperados deben quedar

Diligenciar Formato documentados a través de notas, que pueden
13 2
Análisis Forense realizarse de manera manual o a través de fotografías
u hojas impresas
La extracción física comprende la búsqueda de la
Extracción Física – información directamente en el espacio de datos
Memoria ROM - SIM – omitiendo todo tipo de estructura de sistema de
14 3 Medios de archivos. Con lo cual se da caso omiso a los
almacenamiento metadatos y se aplican diferentes técnicas sobre el
externo contenido puro del bloque en el dispositivo de
almacenamiento
La etapa de análisis de relaciones trata justamente de
identificar relaciones entre conjuntos de archivos, con
Validar evidencia
el fin de obtener una conclusión. Esto involucra
recolectada –
15 4 puntualmente la Identificación de relaciones entre
Inspección y análisis de
conjunto de archivos vinculados a una actividad en
la evidencia
particular y la verificación de aplicaciones instaladas,
entre otros.
El analista forense debe inspeccionar el contenido de
la evidencia y la extracción de la información, lo cual
Inspección y análisis es crítico para probar el caso. Antes de proceder con
16 4
de la evidencia la inspección de la evidencia, se deben crear un
número apropiado de copias de respaldo de la
evidencia
El analista inicia esta fase con una colección de
objetos junto con sus roles y características y
Reconstrucción de
17 4 terminará con una colección de eventos
Eventos y Prueba
desordenados o parcialmente ordenados que
pudieron haber ocurrido.
Después que el analista ha construido eventos
18 4 Secuencia de Eventos individuales, es posible unirlos y vincularlos para
crear cadenas de eventos.
Después que los eventos han sido secuenciados, la
hipótesis respecto al incidente puede ser validada. La
teoría final, debe ser soportada por la evidencia y
19 4 Prueba Hipótesis debe ofrecer una justificación. Cualquier valor de
confianza que haya sido asignado durante la
reconstrucción de eventos debe ser tomado en
cuenta al momento de evaluar la hipótesis.
El analista forense debe realizar el debido proceso
Continuar con la que es el diligenciamiento del formato para entregar
20 4
cadena de custodia la evidencia analizada para continuar la cadena de
custodia.
Fuente: Los autores.

51
Imagen 5 Diagrama análisis forense

ANALISIS FORENSE

FASE 1: Documentación
FASE 2: Extracción lógica FASE 3: Extracción fisica FASE 4: Análisis de relaciones
inicial

Mediante la
aplicación de Validar evidencia
análisis forense, recolectada
¿La NO Alistamiento
INICIO recolectar los datos
Aislar computadora de de la
almacenados en el
comunicaciones RF análisis esta computadora
dispositivo
lista? de análisis

Registra la cadena
de custodia Conectar el SI Crear un número
Recolaectar
dispositivo a la apropiado de copias
información de Inspección y análisis
computadora por de respaldo de la Inspección Análisis
memoria ROM de la evidencia
medio del cable de evidencia y trabajar
datos u otro medio en base a las copias
Por medio de
aceptado por el
fotografías genera
equipo Extraer SIM y
evidencia del estado Extraer información
en que fue recibido transferir los datos
relacionada con el
el dispositivo a la computadora
servicio
Creación de la de análisis
imagen del Reconstrucción de
contenido del eventos y pruebas
dispositivo Recolectar
Inspección inicial información de Extraer información
del dispositivo medios de de directorio y de
almacenamiento llamadas
NO Garantizar el nivel
¿el dispositivo Recolección de la externos
adecuado de
se apago? evidencia volátil
energia
Comparar Secuencia de
Documentar SI
visualmente los Información de eventos
información del
Suministre energía registros de usuario mensageria
fabricante
por medio del presentados en la
cargador o el pantalla del
dispositivo dispositivo con los
correspondiente transferidos a la
Documentar computadora
Información de
información localización
Extracción de
relevante del Extracción de
metadatos del Extracción de Extracción de Extracción de Prueba de hipótesis
sistema Recuperación de información a
Extracción lógica archivo presentes archivos protegidos archivos archivos
archivos eliminados examinar por tipo
en el sistema de con contraseña comprimidos encriptados
de archivo
archivos Busqueda de
palabras en el
bloque del
Búsqueda de dispositivo
Búsqueda de Continuar con la
Búsqueda de información en el Búsqueda de
Información en cadena de custodia
Búsqueda lógica determinado tipo área de paginado Información de
Procesos en de la evidencia
de archivo oculto del Sistema Configuración
Memoria recolectada
Operativo
Extracción de
archivos en espacio
desalojado
(marcado como
Recolección libre) y no
evidencia no volátil fragmentado
FIN

Extracción de
archivos en espacios
desalojados, que
puedan estar
documentar por fragmentados
medio de imagenes
(video y fotografia)
los datos
adicionales
relacionados con el
usuario que no
pudieron ser
tranferidos a través
de las herramientas
de software
forenses

Diligenciar formato
de análisis forense
con la información
ACTIVIDADES

recolectada

Fuente: Los autores

52
Dentro del diagrama del proceso del análisis forense se encuentra el subproceso de
alistamiento de la computadora de análisis, en este diagrama se describen las
características técnicas y la preparación previa que debe poseer el equipo de
computo con el que se va a realizar el proceso de análisis forense, esta preparación
se debe cumplir ya que de ello depende la integridad de la información recolectada.

Imagen 6 Diagrama de procesos alistamiento de la computadora de análisis

ALISTAMIENTO DE LA COMPUTADORA DE ANÁLISIS

HARDWARE SOFTWARE

INICIO

Discos duros
¿La computadora de
NO externos sometidos SISTEMA
análisis cumple con
Intel® Atom Mínimo 2 puertos Disco Duro mínimo a operaciones de OPERATIVO Parches de Sistema
las pruebas de 1 GB RAM
Processor 1.33 GHz USB 100 GB borrado seguro, la Microsoft Windows actualizados
verificación de
capacidad depende 7/ 8
desempeño?
de la necesidad.

SI Posee
componentes de
software para SI
interactuar FIN
correctamente
con el
dispositivo

NO

Instalar la
herramienta de
análisis forense
móvil

Instalar una interfaz

gráfica de usuario
de Android ADV
(Android Virtual
ACTIVIDADES

Device)

Fuente: Los autores

Con base a éstos diagramas se generan las siguientes matrices con las que se
realiza una comparación de los estándares actuales y existentes de la temática que
se aborda.

Iniciamos con lo que refiere el método inductivo de lo general a lo particular, por ello
para el proceso de estudio objeto de la presente investigación, se aborda la
normativa, leyes, procedimientos que interactúan y de las cuales se debe tener
conocimiento (ver tabla 3).

53
Tabla 3 Leyes Colombianas

LEY ARTICULO ENTIDAD ACTORES TEMA QUE TRATA

COLOMBIANA EMISORA
Obligación de la Fiscalía
General de la Nación en
reglamentar lo relacionado
LEY 600 DE Art. 288 Congreso de Funcionarios de con el diseño, aplicación y
2000 la República Policía Judicial, control del sistema de
Policía o Cadena de Custodia
Particulares

RESOLUCION EN SU Fiscal General Funcionarios de Reglamenta el Artículo 288

1890 DE 2002 INTEGRIDAD de la Nación Policía Judicial, de la Ley 600
Policía o
Particulares
Articulos 67,
114, 208, 213,
214, 215, 216,
254, 255, 256, Por la cual se expide el
LEY 906 DE 257, 258, 259, Fiscal General Funcionarios de Código de Procedimiento
2004 260, 261, 262, de la Nación Policía Judicial, Penal, tratando de los
263, 264, 265, Policía o derechos fundamentales de
266, 268, 276, Particulares los Colombianos
277, 278, 279,
280, 281, 484,
485.

Por la cual se expide el

Constitución 15, 29, 209, Asamblea Fiscalía General de Código de Procedimiento
Política de 228, 249, 250, Nacional la Nación Penal, tratando de los
Colombia 251 Y 253 Constituyente (Fiscal, derechos fundamentales de
Investigadores) los Colombianos

Resolución 0- Adopta el Fiscal General Funcionarios de Por medio de la cual se

2869 de Sistema de de la Nación Policía Judicial, adoptó el manual de
diciembre 29 de Procedimiento Policía o procedimientos de cadena
2003, de la del Manual de Particulares de custodia
Fiscalía General Custodia
de la Nación,

Por medio de la cual se

Resolución 0- Adopta el Fiscal General Funcionarios de adopta el manual de
6394 de Manual de de la Nación Policía Judicial, procedimientos de cadena
diciembre 22 de Custodia para Policía o de custodia para el sistema
2004 el Sistema Particulares penal acusatorio
Penal
Acusatorio
Fuente: Los autores

54
Tabla 3 Leyes colombianas (Continuación).

LEY ARTICULO ENTIDAD ACTORES TEMA QUE TRATA

COLOMBIANA EMISORA
Código de 241, 244, 245, Congreso de la Funcionarios de Establece normas a través de
Procedimiento 257, 288, 289 y República Policía Judicial, las cuales garantizan en el
Penal 290 Policía o proceso penal la autenticidad e
Particulares identidad de los elementos
materiales probatorios
Ley 1273 de Congreso de la Particular, Por medio del cual se modifica
2009 Capítulo I República Funcionarios el Código Penal, se crea un
Públicos nuevo bien jurídico tutelado –
denominado “De la Protección
de la información y de los datos"
Fuente: Los autores

Desde la misma concesión de la Constitución Nacional de Colombia, ley rectora de

las demás normatividad aborda crea a la Fiscalía General de la Nación como el
organismo encargado de realizar investigación de hechos que revisten el carácter
de delito.

Para dar cumplimiento al mandato constitucional, incorpora a sus actividades la

especialidad de la informática Forense como la técnica precisa que se asocia con
la evidencia en la escena del crimen, como son la: identificación, preservación,
extracción, análisis, interpretación, documentación y presentación de las pruebas.

Adicionalmente, la informática forense o el análisis forense que se realiza a

dispositivos electrónicos, permite la solución de conflictos tecnológicos que se
evidencian en seguridad de la información y la protección de datos; con su uso se
obtienen respuestas frente a fraudes, robo de información confidencial debido al uso
erróneo dado a las tecnologías de la información.

Frente a los principios fundamentales que abarcan la auditoría y la seguridad

información, Colombia avanzó con la creación de la Ley 1293 de 2009, normatividad
que se adiciona a la Ley 906 de 2004 que crea el código penal colombiano,
dedicando de esa forma un capitulo a la penalidad de aquellas conductas que se
encuentren contra la confidencialidad, la integridad y la disponibilidad de los datos.

Para garantizar lo expresado en la referida ley, es preciso ahora abordar los

estándares y buenas prácticas que se deben implementar y tener en cuenta en tas
empresas que trabajan con procesos de TI y el análisis forense no es ajeno a estos,
motivado en esto, se crea una matriz (tabla 4) de los framework que por una parte
según ISACA son los lineamientos para auditoría, por otra parte ITIL que es la guía
internacional de buenas prácticas para la gestión de TI versus las actividades que
se realizan en el proceso de análisis forense, con el fin de identificar la afinidad de
cada actividad con los framework anteriormente nombrados.

55
Tabla 4 Normatividad de Framework vs. Actividad

NORMATIVA DE FRAMEWORK

ACTIVIDAD COBIT 5 ISACA ITIL edición 2011

Recolecta de Estándar de auditoría y aseguramiento de SI 1002 Diseño del servicio, Gestión de la

dispositivo Principio 4. Hacer posible un enfoque
Holístico. Procesos: Las dimensiones del
Notificar a la
catalizador son Partes interesadas, Metas,
autoridad
Ciclo de vida y Buenas practicas, ésta es la
competente
guía necesaria para alcanzar los objetivos del
Embalar el proceso.
dispositivo
Principio 4. Hacer posible un enfoque
Holístico. Cultura, ética y comportamiento:
Hacer entrega Buenas prácticas para crear, fomentar y
del dispositivo mantener el comportamiento deseado en toda
la empresa.
Solicitar la
legalidad ante Principio1. Satisfacer las necesidades de las
el juez de partes interesadas: Las empresas existen
control de para crear valor para sus partes interesadas
garantías manteniendo el equilibrio entre la realización
Emite de beneficios y la optimización de los riesgos
legalización y el uso de recursos. Permite la creación de
valor del negocio mediante el uso de TI. Dado
que toda empresa tiene objetivos diferentes,
una empresa puede personalizar COBIT 5
para adaptarlo a su propio contexto mediante
la cascada de metas.
Emite orden
Principio 5. Separar el gobierno de la gestión:
Establece una clara distinción entre gobierno
y gestión.
Fuente: Los autores.
Independencia organizacional seguridad de la información:
Estándar de auditoría y aseguramiento de SI 1003 Confidencialidad garantizar que la
Independencia profesional información esté disponible
Estándar de auditoría y aseguramiento de SI 1006 exclusivamente para personas
Competencia autorizadas
Estándar de auditoría y aseguramiento de SI 1203
Desempeño y supervisión Diseño del servicio, Gestión de la
Estándar de auditoría y aseguramiento de SI 1203 seguridad de la información:
Desempeño y supervisión Integridad garantizar que la
Estándar de auditoría y aseguramiento de SI 1204 información sea completa, precisa
Materialidad y este protegida contra cambios no
Estándar de auditoría y aseguramiento de SI 1205 autorizados.
Evidencia
Estándar de auditoría y aseguramiento de SI 1001
Estatuto de la función de auditoría
Estándar de auditoría y aseguramiento de SI 1002
Independencia organizacional
Estándar de auditoría y aseguramiento de SI 1003
Independencia profesional
Estándar de auditoría y aseguramiento de SI 1004 Transición del servicio, Gestión del
Expectativa razonable cambio, es el proceso responsable
Estándar de auditoría y aseguramiento de SI 1005 de controlar el ciclo de vida de
Debido cuidado profesional todos los cambios, permitiendo que
Estándar de auditoría y aseguramiento de SI 1006 se realicen cambios que son
Competencia beneficiosos.
Estándar de auditoría y aseguramiento de SI 1008
Criterios
Estándar de auditoría y aseguramiento de SI 1206
Uso del trabajo de otros expertos
Estándar de auditoría y aseguramiento de SI 1207
Irregularidades y actos ilegales

56
Tabla 4 Normatividad de Framework vs. Actividad (continuación)

NORMATIVA DE FRAMEWORK

ACTIVIDAD COBIT 5 ISACA ITIL edición 2011

Realizar la Principio 4. Hacer posible un enfoque Holístico:

entrega al Debe tener en cuenta varios componentes
transportador interactivos, se define un conjunto de
para el envío catalizadores para apoyar la implementación de Estándar de auditoría y aseguramiento de SI 1203 Diseño del servicio, Gestión de
al laboratorio un sistema de gobierno y gestión global para las Desempeño y supervisión la seguridad de la información:
forense TI de la empresa. Estándar de auditoría y aseguramiento de SI 1204 Integridad garantizar que la
Traslada el Principio 4. Hacer posible un enfoque Holístico. Materialidad información sea completa,
dispositivo al Información: Importancia de las categorías y Estándar de auditoría y aseguramiento de SI 1205 precisa y este protegida contra
almacén de dimensiones de la calidad de la información y Evidencia cambios no autorizados.
evidencias criterios de la información: Eficacia, eficiencia,
Recepción del integridad, fiabilidad, disponibilidad,
dispositivo confidencialidad, conformidad.
Emitir informe Estándar de auditoría y aseguramiento de SI 1401
al fiscal Reportes
Principio1. Satisfacer las necesidades de las Estándar de auditoría y aseguramiento de SI 1001
partes interesadas: Las empresas existen para Estatuto de la función de auditoría
crear valor para sus partes interesadas Estándar de auditoría y aseguramiento de SI 1002
manteniendo el equilibrio entre la realización de Independencia organizacional
Transición del servicio, Gestión
beneficios y la optimización de los riesgos y el Estándar de auditoría y aseguramiento de SI 1003
del cambio, es el proceso
uso de recursos. Permite la creación de valor Independencia profesional
responsable de controlar el
del negocio mediante el uso de TI. Dado que Estándar de auditoría y aseguramiento de SI 1004
ciclo de vida de todos los
Toma toda empresa tiene objetivos diferentes, una Expectativa razonable
cambios, permitiendo que se
decisiones empresa puede personalizar COBIT 5 para Estándar de auditoría y aseguramiento de SI 1005
realicen cambios que son
adaptarlo a su propio contexto mediante la Debido cuidado profesional
beneficiosos.
cascada de metas. Estándar de auditoría y aseguramiento de SI 1006
Principio 5. Separar el gobierno de la gestión: Competencia
Establece una clara distinción entre gobierno y Estándar de auditoría y aseguramiento de SI 1008
gestión. Criterios
Estándar de auditoría y aseguramiento de SI 1206 Uso
del trabajo de otros expertos
Fuente: Los autores.

57
Tabla 4 Normatividad de Framework vs. Actividad (continuación)

NORMATIVA DE FRAMEWORK
ACTIVID
AD COBIT 5 ISACA ITIL edición 2011

Principio 4. Hacer posible un enfoque Holístico. Principios

Estándar de auditoría y aseguramiento de SI 1002 *Diseño del servicio,
políticas y marcos de trabajo: Transmitir la dirección e
Independencia organizacional Gestión de la seguridad
instrucciones de gestión del consejo de administración.
Estándar de auditoría y aseguramiento de SI 1003 de la información:
Independencia profesional Confidencialidad
Principio 4. Hacer posible un enfoque Holístico. Procesos: Las
Estándar de auditoría y aseguramiento de SI 1004 garantizar que la
dimensiones del catalizador son Partes interesadas, Metas,
Expectativa razonable información esté
Ciclo de vida y Buenas practicas, ésta es la guía necesaria
Estándar de auditoría y aseguramiento de SI 1005 disponible exclusivamente
para alcanzar los objetivos del proceso
Debido cuidado profesional para personas
Estándar de auditoría y aseguramiento de SI 1006 autorizadas
Principio 4. Hacer posible un enfoque Holístico. Estructuras
Competencia *Diseño del servicio,
organizativas: Principios operativos, ámbito de control, nivel de
Estándar de auditoría y aseguramiento de SI 1007 Gestión de la seguridad
autoridad, delegación de responsabilidad y procedimientos de
Afirmaciones de la información:
escalamiento.
Estándar de auditoría y aseguramiento de SI 1008 Integridad garantizar que
Criterios la información sea
Principio 4. Hacer posible un enfoque Holístico. Cultura, ética
Análisi Estándar de auditoría y aseguramiento de SI 1201 completa, precisa y este
y comportamiento: Buenas prácticas para crear, fomentar y
s Planificación de la asignación protegida contra cambios
mantener el comportamiento deseado en toda la empresa.
forens Estándar de auditoría y aseguramiento de SI 1202 no autorizados.
e Evaluación de riesgo en planificación *Diseño del servicio,
Principio 4. Hacer posible un enfoque Holístico. Información:
Estándar de auditoría y aseguramiento de SI 1203 Gestión de la seguridad
Importancia de las categorías y dimensiones de la calidad de
Desempeño y supervisión de la información:
la información y criterios de la información: Eficacia, eficiencia,
Estándar de auditoría y aseguramiento de SI 1204 Disponibilidad garantizar
integridad, fiabilidad, disponibilidad, confidencialidad,
Materialidad que la información esté
conformidad.
Estándar de auditoría y aseguramiento de SI 1205 disponible y se pueda usar
Evidencia cuando se necesite.
Principio 4. Hacer posible un enfoque Holístico. Servicios,
Estándar de auditoría y aseguramiento de SI 1206 *Diseño del servicio,
infraestructuras y aplicaciones: son pautas generales que
Uso del trabajo de otros expertos Gestión de la seguridad
gobiernan la implementación y uso de los recursos vinculados
Estándar de auditoría y aseguramiento de SI 1207 de la información:
a las TI dentro de la empresa como: Reutilización, comprar
Irregularidades y actos ilegales Autenticidad y no repudio
frente a construir, simplicidad, agilidad, apertura
Estándar de auditoría y aseguramiento de SI 1401 garantizar la confiabilidad
Reportes de las transacciones y el
Principio 4. Hacer posible un enfoque Holístico. Personas,
Estándar de auditoría y aseguramiento de SI 1402 intercambio de seguridad
Habilidades y competencias: Identificar las buenas practicas,
Actividades de seguimiento entre empresas asociadas
habilidades para roles.
Fuente: Los autores.

58
Tabla 4 Normatividad de Framework vs. Actividad (continuación)

NORMATIVA DE FRAMEWORK

ACTIVIDAD COBIT 5 ISACA ITIL edición 2011

Realizar la Principio 4. Hacer posible un

entrega al enfoque Holístico: Debe tener en
transportador cuenta varios componentes
para el envío al interactivos, se define un conjunto
almacén de de catalizadores para apoyar la
evidencias implementación de un sistema de Estándar de auditoría y aseguramiento de SI
Traslada el gobierno y gestión global para las 1203 Desempeño y supervisión Diseño del servicio, Gestión de la
dispositivo al TI de la empresa. seguridad de la información:
almacén de Estándar de auditoría y aseguramiento de SI Integridad garantizar que la
evidencias Principio 4. Hacer posible un 1204 Materialidad información sea completa, precisa
Hacer entrega enfoque Holístico. Información: y este protegida contra cambios no
Importancia de las categorías y Estándar de auditoría y aseguramiento de SI
del dispositivo al autorizados.
almacenista dimensiones de la calidad de la 1205 Evidencia
Recepción del información y criterios de la
dispositivo información: Eficacia, eficiencia,
integridad, fiabilidad,
Almacenamiento disponibilidad, confidencialidad,
del dispositivo conformidad.
Fuente: Los autores.

59
Tabla 4 Normatividad de Framework vs. Actividad (continuación)

NORMATIVA DE FRAMEWORK

ACTIVIDAD COBIT ISACA ITIL edición 2011

Registra la cadena de Estándar de auditoría y

custodia aseguramiento de SI 1001 Diseño del servicio, Gestión de la
Por medio de fotografías Principio 4. Hacer posible un enfoque Estatuto de la función de auditoría seguridad de la información:
genera evidencia del estado Holístico. Procesos: Las dimensiones del Integridad garantizar que la
en que fue recibido el catalizador son Partes interesadas, información sea completa, precisa y
dispositivo Metas, Ciclo de vida y Buenas practicas, Estándar de auditoría y este protegida contra cambios no
Inspección inicial del ésta es la guía necesaria para alcanzar aseguramiento de SI 1204 autorizados.
dispositivo los objetivos del proceso. Materialidad
Documentar información del
fabricante
Estándar de auditoría y
Transición del servicio, Gestión del
aseguramiento de SI 1205
Principio 4. Hacer posible un enfoque Evidencia conocimiento: reduce al mínimo la
Holístico. Cultura, ética y necesidad de redescubrir el
Documentar información conocimiento, se realiza la
comportamiento: Buenas prácticas para
relevante del sistema documentación necesaria para
crear, fomentar y mantener el
transferir el conocimiento.
comportamiento deseado en toda la Estándar de auditoría y
empresa. aseguramiento de SI 1401
Reportes
Fuente: Los autores.

60
Tabla 4 Normatividad de Framework vs. Actividad (continuación)

NORMATIVA DE FRAMEWORK

ACTIVIDAD COBIT ISACA ITIL edición 2011

aislar comunicaciones RF
Conectar el dispositivo por medio la dirección e instrucciones de gestión del consejo
del cable de datos u otro medio de
aceptado por el equipo
Creación de la imagen del
contenido del dispositivo
Garantizar el nivel adecuado de los
energía
Recolección de la evidencia
volátil
Suministrar energía por medio
del cargador o el dispositivo Principio 4. Hacer posible un enfoque Holístico.
correspondiente
Extracción lógica
Recuperación de archivos
eliminados
Extracción de información a
examinar por tipo de archivo
Extracción de metadatos del
archivo presentes en el sistema
de archivos
Fuente: Los autores
Principio 4. Hacer posible un enfoque Holístico.
Principios políticas y marcos de trabajo: Transmitir
administración.
Principio 4. Hacer posible un enfoque Holístico.
Procesos: Las dimensiones del catalizador son
Partes interesadas, Metas, Ciclo de vida y Buenas
practicas, ésta es la guía necesaria para alcanzar
objetivos del proceso
Principio 4. Hacer posible un enfoque Holístico.
Estructuras organizativas: Principios operativos,
ámbito de control, nivel de autoridad, delegación
de responsabilidad y procedimientos de
escalamiento.
Cultura, ética y comportamiento: Buenas prácticas
para crear, fomentar y mantener el
comportamiento deseado en toda la empresa.
Principio 4. Hacer posible un enfoque Holístico.
Información: Importancia de las categorías y
dimensiones de la calidad de la información y
criterios de la información: Eficacia, eficiencia,
integridad, fiabilidad, disponibilidad,
confidencialidad, conformidad.
Principio 4. Hacer posible un enfoque Holístico.
Servicios, infraestructuras y aplicaciones: son
pautas generales que gobiernan la
implementación y uso de los recursos vinculados
a las TI dentro de la empresa como: Reutilización,
comprar frente a construir, simplicidad, agilidad,
apertura.
Principio 4. Hacer posible un enfoque Holístico.
Personas, Habilidades y competencias: Identificar
las buenas practicas, habilidades para roles.
Estándar de auditoría y aseguramiento de Diseño del servicio, Gestión de la seguridad de
SI 1201 Planificación de la asignación la información: Disponibilidad garantizar que la
Estándar de auditoría y aseguramiento de
información esté disponible y se pueda usar
SI 1202 Evaluación de riesgo en cuando se necesite.
planificación
Estándar de auditoría y aseguramiento de
SI 1203 Desempeño y supervisión
Estándar de auditoría y aseguramiento de
SI 1204 Materialidad Diseño del servicio, Gestión de la seguridad de
Estándar de auditoría y aseguramiento de la información: Integridad garantizar que la
SI 1205 Evidencia información sea completa, precisa y este
protegida contra cambios no autorizados.
Estándar de auditoría y aseguramiento de
SI 1203
Desempeño y supervisión
*Diseño del servicio, Gestión de la seguridad de
Estándar de auditoría y aseguramiento de
SI 1204 la información: Confidencialidad garantizar que la
Materialidad información esté disponible exclusivamente para
Estándar de auditoría y aseguramiento de personas autorizadas
SI 1205 *Diseño del servicio, Gestión de la seguridad de
Evidencia la información: Integridad garantizar que la
Estándar de auditoría y aseguramiento de información sea completa, precisa y este
SI 1006 protegida contra cambios no autorizados.
Competencia *Diseño del servicio, Gestión de la seguridad de
Estándar de auditoría y aseguramiento de la información: Disponibilidad garantizar que la
información esté disponible y se pueda usar
SI 1007
cuando se necesite
Afirmaciones
*Diseño del servicio, Gestión de la seguridad de
Estándar de auditoría y aseguramiento de
SI 1008 Criterios la información: Autenticidad y no repudio
garantizar la confiabilidad de las transacciones y
el intercambio de seguridad entre empresas
asociadas

61
Tabla 4 Normatividad de Framework vs. Actividad (continuación)
ACTIVIDAD
Extracción de archivos protegidos
con contraseña
Extracción de archivos
comprimidos
Extracción de archivos
encriptados
Búsqueda lógica
Búsqueda de determinado tipo de
archivo oculto
Búsqueda de información en el Estructuras organizativas: Principios operativos, ámbito de Estándar
área de paginado del sistema
operativo
Búsqueda de información de
configuración
Búsqueda de información en
procesos en memoria
Recolección evidencia no volátil la
Mediante la aplicación de análisis Principio 4. Hacer posible un enfoque Holístico. aseguramiento de SI 1006
forense, recolectar los datos
almacenados en el dispositivo
Recolectar información de
memoria ROM
Extraer los datos a la
computadora de análisis
Fuente: Los autores
NORMATIVA DE FRAMEWORK
COBIT ISACA ITIL edición 2011
Principio 4. Hacer posible un enfoque Holístico. Principios
políticas y marcos de trabajo: Transmitir la dirección e
instrucciones de gestión del consejo de administración.
Principio 4. Hacer posible un enfoque Holístico. Procesos:
Las dimensiones del catalizador son Partes interesadas,
Metas, Ciclo de vida y Buenas practicas, ésta es la guía Estándar de auditoría y
necesaria para alcanzar los objetivos del proceso aseguramiento de SI 1203
*Diseño del servicio, Gestión de la seguridad de
Desempeño y supervisión
la información: Confidencialidad garantizar que la
Principio 4. Hacer posible un enfoque Holístico.
información esté disponible exclusivamente para
de auditoría y
personas autorizadas
control, nivel de autoridad, delegación de responsabilidad aseguramiento de SI 1204
y procedimientos de escalamiento. Materialidad
*Diseño del servicio, Gestión de la seguridad de
la información: Integridad garantizar que la
Principio 4. Hacer posible un enfoque Holístico. Cultura, Estándar de auditoría y
información sea completa, precisa y este
ética y comportamiento: Buenas prácticas para crear, aseguramiento de SI 1205
protegida contra cambios no autorizados.
fomentar y mantener el comportamiento deseado en toda Evidencia
empresa.
*Diseño del servicio, Gestión de la seguridad de
Estándar de auditoría y
la información: Disponibilidad garantizar que la
información esté disponible y se pueda usar
Información: Importancia de las categorías y dimensiones Competencia
cuando se necesite.
de la calidad de la información y criterios de la información:
Eficacia, eficiencia, integridad, fiabilidad, disponibilidad, Estándar de auditoría y
*Diseño del servicio, Gestión de la seguridad de
confidencialidad, conformidad. aseguramiento de SI 1007
la información: Autenticidad y no repudio
Afirmaciones
garantizar la confiabilidad de las transacciones y
Principio 4. Hacer posible un enfoque Holístico. Servicios,
el intercambio de seguridad entre empresas
infraestructuras y aplicaciones: son pautas generales que Estándar de auditoría y
asociadas
gobiernan la implementación y uso de los recursos aseguramiento de SI 1008
vinculados a las TI dentro de la empresa como: Criterios
Reutilización, comprar frente a construir, simplicidad,
agilidad, apertura.
Principio 4. Hacer posible un enfoque Holístico. Personas,
Habilidades y competencias: Identificar las buenas
practicas, habilidades para roles.
62
Tabla 4 Normatividad de Framework vs. Actividad (continuación)

NORMATIVA DE FRAMEWORK

ACTIVIDAD COBIT ISACA ITIL edición 2011

Extraer información Principio 4. Hacer posible un enfoque Holístico.

relacionada con el servicio Principios políticas y marcos de trabajo: Transmitir la
Extraer información de directorio y dirección e instrucciones de gestión del consejo de Estándar de auditoría y
de llamadas administración. aseguramiento de SI 1203
Desempeño y supervisión
Información de mensajería
Principio 4. Hacer posible un enfoque Holístico. Estándar de auditoría y
Información de localización Procesos: Las dimensiones del catalizador son Partes aseguramiento de SI 1204
Recolectar información de medios interesadas, Metas, Ciclo de vida y Buenas practicas, Materialidad
de almacenamiento externos ésta es la guía necesaria para alcanzar los objetivos Estándar de auditoría y *Diseño del servicio, Gestión de la seguridad
Comparar visualmente los del proceso aseguramiento de SI 1205 de la información: Confidencialidad garantizar
Evidencia que la información esté disponible
registros de usuario presentados
en la pantalla del dispositivo con Principio 4. Hacer posible un enfoque Holístico. Estándar de auditoría y exclusivamente para personas autorizadas
los transferidos a la computadora Estructuras organizativas: Principios operativos, aseguramiento de SI 1006
Búsqueda de palabras en el ámbito de control, nivel de autoridad, delegación de Competencia
responsabilidad y procedimientos de escalamiento. Estándar de auditoría y *Diseño del servicio, Gestión de la seguridad
bloque del dispositivo aseguramiento de SI 1007 de la información: Integridad garantizar que la
Extracción de archivos en espacio
Principio 4. Hacer posible un enfoque Holístico. Afirmaciones información sea completa, precisa y este
desalojado (marcado como libre)
Cultura, ética y comportamiento: Buenas prácticas Estándar de auditoría y protegida contra cambios no autorizados.
y no fragmentado
para crear, fomentar y mantener el comportamiento aseguramiento de SI 1008
Extracción de archivos en
deseado en toda la empresa. Criterios *Diseño del servicio, Gestión de la seguridad
espacios desalojados, que
de la información: Disponibilidad garantizar
puedan estar fragmentados
Principio 4. Hacer posible un enfoque Holístico. que la información esté disponible y se pueda
Información: Importancia de las categorías y usar cuando se necesite.
dimensiones de la calidad de la información y criterios
de la información: Eficacia, eficiencia, integridad,
fiabilidad, disponibilidad, confidencialidad, Estándar de auditoría y *Diseño del servicio, Gestión de la seguridad
Documentar por medio de conformidad. aseguramiento de SI 1206 Uso del de la información: Autenticidad y no repudio
imágenes (Video y fotografía) los trabajo de otros expertos garantizar la confiabilidad de las
datos adicionales relacionados Principio 4. Hacer posible un enfoque Holístico. Estándar de auditoría y transacciones y el intercambio de seguridad
con el usuario que no pudieron ser Servicios, infraestructuras y aplicaciones: son pautas aseguramiento de SI 1207 entre empresas asociadas
transferidos a través de las generales que gobiernan la implementación y uso de Irregularidades y actos ilegales
herramientas de software los recursos vinculados a las TI dentro de la empresa Estándar de auditoría y
forenses. como: Reutilización, comprar frente a construir, aseguramiento de SI 1401
simplicidad, agilidad, apertura. Reportes

Principio 4. Hacer posible un enfoque Holístico.

Personas, Habilidades y competencias: Identificar las
buenas practicas, habilidades para roles.
Fuente: Los autores.

63
Tabla 4 Normatividad de Framework vs. Actividad (continuación)

NORMATIVA DE FRAMEWORK

ACTIVIDAD COBIT ISACA ITIL edición 2011

Principio 4. Hacer posible un enfoque Holístico.

Transición del servicio, Gestión
Diligenciar Principios políticas y marcos de trabajo: Transmitir la Estándar de auditoría y aseguramiento de SI 1206
del conocimiento: reduce al
formato de dirección e instrucciones de gestión del consejo de Uso del trabajo de otros expertos
mínimo la necesidad de
análisis forense administración. Estándar de auditoría y aseguramiento de SI 1207
redescubrir el conocimiento, se
con la Irregularidades y actos ilegales
realiza la documentación
información Principio 4. Hacer posible un enfoque Holístico. Estándar de auditoría y aseguramiento de SI 1401
necesaria para transferir el
recolectada Procesos: Las dimensiones del catalizador son Partes Reportes
conocimiento.
interesadas, Metas, Ciclo de vida y Buenas practicas,
ésta es la guía necesaria para alcanzar los objetivos del
Validar evidencia proceso
Operación del servicio, Gestión de
recolectada
eventos, proceso responsable de
Principio 4. Hacer posible un enfoque Holístico. Estándar de auditoría y aseguramiento de SI 1002
gestionar los eventos durante todo
Estructuras organizativas: Principios operativos, ámbito Independencia organizacional
Estándar de auditoría y aseguramiento de SI 1003 su ciclo de vida.
Inspección y de control, nivel de autoridad, delegación de
responsabilidad y procedimientos de escalamiento. Independencia profesional
análisis de la Estándar de auditoría y aseguramiento de SI 1004 *Operación del servicio, Gestión de
evidencia Expectativa razonable problemas, proceso responsable
Principio 4. Hacer posible un enfoque Holístico. Cultura, Estándar de auditoría y aseguramiento de SI 1005 Debido
de la gestión del ciclo de vida de
ética y comportamiento: Buenas prácticas para crear, cuidado profesional
Crear un número todos los problemas desde la
fomentar y mantener el comportamiento deseado en Estándar de auditoría y aseguramiento de SI 1006
apropiado de identificación, investigación,
toda la empresa. Competencia
copias de respaldo Estándar de auditoría y aseguramiento de SI 1007 documentación y eventual
de la evidencia y remoción.
Principio 4. Hacer posible un enfoque Holístico. Afirmaciones
trabajar en base a Información: Importancia de las categorías y Estándar de auditoría y aseguramiento de SI 1008 Criterios
las copias Estándar de auditoría y aseguramiento de SI 1201 *Operación del servicio, Gestión de
dimensiones de la calidad de la información y criterios Planificación de la asignación
acceso, proceso responsable de
de la información: Eficacia, eficiencia, integridad, Estándar de auditoría y aseguramiento de SI 1202 Evaluación
permitir que los usuarios hagan
fiabilidad, disponibilidad, confidencialidad, de riesgo en planificación
uso de los servicios de TI, datos u
Inspección conformidad. Estándar de auditoría y aseguramiento de SI 1203
Desempeño y supervisión otros activos. Ayuda a proteger la
confidencialidad, integridad y
Principio 4. Hacer posible un enfoque Holístico. Estándar de auditoría y aseguramiento de SI 1204
disponibilidad de los activos.
Servicios, infraestructuras y aplicaciones: son pautas Materialidad
Estándar de auditoría y aseguramiento de SI 1205 Evidencia
generales que gobiernan la implementación y uso de los Estándar de auditoría y aseguramiento de SI 1206 Uso del
*Operación del servicio, Gestión
recursos vinculados a las TI dentro de la empresa como: trabajo de otros expertos
de incidentes, restaura los
Reutilización, comprar frente a construir, simplicidad, Estándar de auditoría y aseguramiento de SI 1207
servicios a la operación normal tan
Análisis agilidad, apertura. Irregularidades y actos ilegales
Estándar de auditoría y aseguramiento de SI 1401 Reportes pronto como sea posible y
minimiza el impacto adverso sobre
Principio 4. Hacer posible un enfoque Holístico.
las operaciones del negocio
Personas, Habilidades y competencias: Identificar las
buenas practicas, habilidades para roles
Fuente: Los autores.

64
Tabla 4 Normatividad de Framework vs. Actividad (continuación)

NORMATIVA DE FRAMEWORK

ACTIVIDAD COBIT ISACA ITIL edición 2011

Reconstrucción de Estándar de auditoría y aseguramiento de SI 1002

eventos y pruebas Independencia organizacional
Secuencia de Estándar de auditoría y aseguramiento de SI 1003
*Operación del servicio, Gestión de eventos,
eventos Independencia profesional
proceso responsable de gestionar los
Principio1. Satisfacer las necesidades de las Estándar de auditoría y aseguramiento de SI 1004 Expectativa
eventos durante todo su ciclo de vida.
partes interesadas: Las empresas existen para razonable
crear valor para sus partes interesadas Estándar de auditoría y aseguramiento de SI 1005 Debido
*Operación del servicio, Gestión de
manteniendo el equilibrio entre la realización de cuidado profesional
problemas, proceso responsable de la
beneficios y la optimización de los riesgos y el uso Estándar de auditoría y aseguramiento de SI 1006
gestión del ciclo de vida de todos los
de recursos. Permite la creación de valor del Competencia
problemas desde la identificación,
negocio mediante el uso de TI. Dado que toda Estándar de auditoría y aseguramiento de SI 1007
investigación, documentación y eventual
empresa tiene objetivos diferentes, una empresa Afirmaciones
remoción.
puede personalizar COBIT 5 para adaptarlo a su Estándar de auditoría y aseguramiento de SI 1008 Criterios
propio contexto mediante la cascada de metas. Estándar de auditoría y aseguramiento de SI 1201
*Operación del servicio, Gestión de acceso,
Planificación de la asignación
proceso responsable de permitir que los
Prueba de Principio2. Cubrir la empresa extremo a extremo: Estándar de auditoría y aseguramiento de SI 1202 Evaluación
usuarios hagan uso de los servicios de TI,
hipótesis Cubre todas las funciones y procesos dentro de la de riesgo en planificación
datos u otros activos. Ayuda a proteger la
empresa, no se enfoca solo en la función de TI Estándar de auditoría y aseguramiento de SI 1203 Desempeño
confidencialidad, integridad y disponibilidad
sino que trata la información y las tecnologías y supervisión
de los activos.
relacionadas como activos que deben ser tratados Estándar de auditoría y aseguramiento de SI 1204
como cualquier otro activo por todos en la Materialidad
*Operación del servicio, Gestión de
empresa. Estándar de auditoría y aseguramiento de SI 1205 Evidencia
incidentes, restaura los servicios a la
Estándar de auditoría y aseguramiento de SI 1206 Uso del
operación normal tan pronto como sea
Principio 5. Separar el gobierno de la gestión: trabajo de otros expertos
posible y minimiza el impacto adverso sobre
Establece una clara distinción entre gobierno y Estándar de auditoría y aseguramiento de SI 1207
las operaciones del negocio.
gestión. Irregularidades y actos ilegales
Estándar de auditoría y aseguramiento de SI 1401 Reportes

Continuar con la Diseño del servicio, Gestión de la seguridad

cadena de custodia de la información: Integridad garantizar que
Estándar de auditoría y aseguramiento de SI 1401 Reportes
de la evidencia la información sea completa, precisa y este
recolectada protegida contra cambios no autorizados.
Fuente: Los autores.

65
La matriz Tecnología Android X Actividad hace referencia a la revisión de la
tecnología Android que se puede utilizar al momento de hacer la referencia a cada
una de las actividades correspondientes al análisis forense.

Tabla 5 Tecnología Android vs Actividad

TECNOLOGIA ANDROID ACTIVIDAD

Partición system contiene los programas y configuraciones Inspección inicial del dispositivo
que el fabricante u operador móvil suministra inicialmente con
el teléfono System Settings -> System Documentar información del
fabricante
Partición del kernel : Montada habitualmente a partir de la
carpeta sys, contiene el kernel del sistema, así como los Documentar información relevante
módulos y librerías asociados a éste y los datos y archivos de del sistema
cada uno de los dispositivos, tales como la propia CPU
Sistema E/S Debido a la flexibilidad de Android podemos Conectar el dispositivo por medio
conectarle dispositivos de entrada o salida muy fácilmente y del cable de datos u otro medio
por diversos medios. aceptado por el equipo
directorio app / aplicaciones de sistema, tales como el
lanzador de aplicaciones, las aplicaciones de contactos y de Recolección de la evidencia volátil
telefonía
Extracción lógica
recuperación de archivos
eliminados
Extracción de metadatos del
archivo presentes en el sistema de
archivos
El directorio etc. ubican en el directorio /system/media/audio : Extracción de archivos protegidos
contiene las configuraciones estáticas del sistema, así como con contraseña
los sonidos de notificaciones y tonos de llamada que se Extracción de archivos
incluyen por defecto comprimidos
Extracción de archivos encriptados
Extraer información de directorio y
de llamadas
Información de mensajería
Información de localización
Partición data o directorio / contiene Los programas que
instala el usuario y sus datos, así como los datos de las Recolección evidencia no volátil
aplicaciones de sistema
Mediante la aplicación de análisis
Partición sd-ext : permite la instalación de aplicaciones en la forense, recolectar los datos
tarjeta de memoria System Settings -> Apps almacenados en el dispositivo
Almacenamiento externo extraíble y no extraíble Ruta:
/sdcard/… o utilizar el método Recolectar información de medios
Environment.getExternalStorageDirectory() para que el de almacenamiento externos
sistema nos indique la ruta exacta.
Fuente: Los autores.

66
La matriz Documentos de análisis forense vs Actividad hace referencia a los
documentos en los cuales sirvieron como base para sustentar todo el proceso del
análisis Forense.

Tabla 6 Documentos analiss forense vs Actividad

Manual Código de
LEY 906 Procedimientos prácticas
Guide for
DE 2004 Cadena de para digital
ACTIVIDAD First
Capitulo Custodia - forensics.
Responders
V Fiscalía General González,
de la Nación David,
Fase1: Documentación Inicial X X X

Fase2: Extracción lógica X X

Fase3: Extracción Física X

Fase4: Análisis de
Relaciones X

Fuente: Los autores.

La ley 906 de 2004 en el capítulo V53 es muy específica en cuanto a la aplicación de

la cadena de custodia con el fin de demostrar la autenticidad de los elementos
probatorios y la evidencia física. El artículo 254 aclara las condiciones de
recolección, preservación, embalaje y envío; al igual el registro de todas las
personas que haya estado en contacto con esos elementos.

El Fiscal General de la Nación reglamentará lo relacionado con el diseño, aplicación

y control del sistema de cadena de custodia, de acuerdo con los avances científicos,
técnicos y artísticos.

El Manual de procedimientos del Sistema de Cadena de Custodia, fue adoptado por

la Fiscalía General de la Nación, mediante la Resolución 0-6394 de 200454 con el
objetivo de Unificar los criterios de funcionamiento del sistema de cadena de
custodia, mediante la estandarización de los procedimientos de trabajo y el
mejoramiento del servicio en la administración de justicia en el ámbito penal, con
miras a encontrar la verdad y erradicar la impunidad.

53 CONGRESO DE LA REPUBLICA DE COLOMBIA. Ley 906 DE 2004. (1, septiembre, 2004). Por la cual se
expide el Código de Procedimiento Penal. Bogotá: El Congreso, 2004. Capitulo V.
54 FISCALÍA GENERAL DE LA NACIÓN. Resolución 6394 de 2004. (22, diciembre, 2004). por medio de la cual

se adopta el manual de procedimientos del Sistema de Cadena de Custodia para el Sistema Penal Acusatorio.
Bogotá: El Fiscal General De La Nación, 2004. Artículo 254.

67
Este manual contempla las normas, el proceso y los procedimientos del sistema de
cadena de custodia que permitirán alcanzar niveles de efectividad para asegurar las
características originales de los elementos materia de prueba o evidencias físicas
desde su recolección hasta su disposición final, dentro de una dinámica constante
de mejoramiento y modernización, con el fin único de satisfacer las necesidades y
expectativas de la administración de justicia para lograr una pronta y cumplida
justicia.

Con la implementación del manual se optimizarán los recursos que cada actor
dispone para la realización de sus funciones y la responsabilidad que le compete en
el Sistema de Cadena de Custodia.

La guía Electronic Crime Scene Investigation: A Guide for First Responders, Second
Edition55 está destinada a ayudar a las autoridades estatales y locales y otros
socorristas que puedan ser responsables de la preservación de una escena de
crimen electrónico y por reconocer, recopilar y salvaguardar la evidencia digital. No
es todas las situaciones inclusivas, sino direcciones encontradas en la escena del
crimen y evidencia electrónica digital.

Todas las escenas de los crímenes son únicas y de la sentencia del primer nivel de
respuesta, los protocolos de la agencia, y la tecnología prevaleciente todos deben
ser considerados en la aplicación de la información en esta guía. Los primeros en
responder a la escena del crimen electrónico deben ajustar sus prácticas como las
circunstancias, incluyendo el nivel de experiencia, condiciones y disposición
equipos de orden.

Las circunstancias de cada escena del crimen y federales, estatales, y las leyes
locales pueden dictar actos o un orden determinado de acciones distintas de las
descritas en esta guía. Los primeros en responder deben estar familiarizados con
toda la información en esta guía y el cumplimiento de sus deberes y
responsabilidades como las circunstancias lo exijan.

La falta de procedimientos de actuación en procesos de recopilación y análisis de

evidencia hace cada vez más difícil y repudiable la información o evidencia que se
aporte a procesos judiciales. Muchas veces apelamos al uso de herramientas
específicas para dicha labor ignorando que el medio usado también es repudiable.

El "Código de prácticas para digital forensics" (Code of practices for Digital

Forensics - CP4D)56 es una selección de criterios para guiar y asegurar actividades
concernientes con el análisis de evidencia digital, él provee de recomendaciones y
cubre aspectos legales, policiales y operacionales como requerimientos técnicos
55 U.S. DEPARTMENT OF JUSTICE OFFICE OF JUSTICE PROGRAMS. ELECTRONIC CRIME SCENE
INVESTIGATION: A Guide for First Responders, Washington DC: U.S. National Institute of Justice, 2001.
56 GONZALEZ, David. Código de prácticas para digital forrensics. [En Línea]. http://cp4df.sourceforge.net/.

[Consultado 20 de Octubre de 2014].

68
para adquisición, análisis y reporte de evidencia, colaboración con otros grupos de
investigación, gestión de casos, soporte a la fuerza de la ley, desarrollo de políticas
de seguridad para respuesta a incidentes y plan preventivo y de continuidad.

CP4DF no es un manual técnico para análisis de computer forensics, CP4DF es un

manual basado en criterios siguiendo el asesoramiento de la comunidad y expertos.

69
 5. ENTIDADES COLOMBIANAS QUE REQUIEREN DE LA AUDITORÍA DEL
ANÁLISIS FORENSE EN DISPOSITIVOS MÓVILES BASADOS EN
TECNOLOGÍA ANDROID

Según el Banco de Desarrollo Empresarial – Bancoldex, en Colombia el segmento

empresarial se encuentra dividido en micro, pequeña, mediana y grandes
empresas, sin embargo, bajo esta clasificación se encuentran aquellas que están
bajo la gobernabilidad del Estado y la de particulares, a estas se les distingue como
públicas y privadas, para cumplir con la misonalidad con las que fueron concebidas
las empresas, alguna de ellas implementan tecnología de punta, no siendo ajeno
para sus procesos el análisis forense.

En la siguiente tabla se reflejan aquellas entidades que realizan análisis forense y

otras que desde su objeto social lo emplean como un servicio que ofrecen a
terceros:
Tabla 7 Entidades que realizan Análisis Forense en Colombia

DE LA APLICACIÓN
TIPO DE
ENTIDADES QUIENES SON DEL ANÁLISIS URL
ENTIDAD
FORENSE
Es un organismo La Fiscalía General de LOMBO, Mauricio. CTI:
independiente la Nación cuenta con Avances en tecnología -
adscrito a la Rama el Grupo TRAS EL RASTRO DE
Judicial del Poder Especializado de LA EVIDENCIA
Público, es una Informática Forense DIGITAL. En: Huellas de
entidad que nació con adscrito a su Policía la Fiscalía General de la
la Constitución Judicial, es decir, el Nación. Julio 17 de
Política de 1991, está Cuerpo Técnico de 2007. No. 55. ISSN 1657
obligada a adelantar Investigación, para el – 6829, Pag. 19. [en
el ejercicio de la desarrollo de sus línea, Consultado 5 de
acción penal y actividades tienen noviembre
realizar la laboratorios de 2014].Disponible en
FISCALIA
investigación de los cómputo forense a Internet:<URL:
GENERAL
PÚBLICA hechos que revistan nivel nacional que http://www.fiscalia.gov.c
DE LA
las características de cuentan con la o/en/wp-
NACION
un delito que lleguen tecnología y el capital content/uploads/2012/0
a su conocimiento por humano necesario 2/Huellas-55.pdf >
medio de denuncia, para hallar evidencias
petición especial, digitales en procesos
querella o de oficio, judiciales en el que
siempre y cuando esté vinculado
medien suficientes cualquier dispositivo
motivos y que funcione
circunstancias digitalmente.
fácticas que indiquen
la posible existencia
del mismo.
Fuente: Las Autoras

70
Tabla Nº 7. Entidades que realizan Análisis Forense en Colombia (Continuación)

TIPO DE DE LA APLICACIÓN DEL

ENTIDADES QUIENES SON URL
ENTIDAD ANÁLISIS FORENSE
La Policía
Nacional es un
cuerpo armado POLICIA NACIONAL.Centro
permanente de Cibernetico Policial. [en
línea, Consultado 5 de
naturaleza civil, noviembre 2014].Disponible
a cargo de la La Fiscalía General de en Internet : < URL:
nación, cuyo fin la Nación, se encarga http://www.ccp-
primordial es el de dirigir y coordinar las gov.co/gilaf.php>
mantenimiento funciones de policía
de las Judicial que en forma
POLICIA
PÚBLICA condiciones permanente cumple la
NACIONAL
necesarias para Policía Nacional, para el
el ejercicio de desarrollo de las
los derechos y funciones conferidas,
libertades esta Entidad cuenta con
públicas, y para un Centro Cibernético
asegurar que Policial adscrito a este
los habitantes está el Grupo
de Colombia Laboratorio Informática
convivan en Forense a nivel
paz. nacional.
La Contraloría Mediante la Resolución MINISTERIO DE
General de la Nº 0202 del 30 de RELACIONES
República noviembre de 2012, EXTERIORES DE
(CGR) es el crea y conforma el COLOMBIA. Resolución
Reglamentaria 202 de 2002.
máximo órgano Grupo de Laboratorio Editor: Diario Oficial No.
de control fiscal de Informática Forense 48.637. [en línea,
del Estado. – LIF, encargado de Consultado 5 de noviembre
Como tal, tiene apoyar los procesos de 2014].Disponible en Internet
la misión de Indagación Preliminar; : < URL:
procurar el los procesos de https://www.cancilleria.gov.c
buen uso de los Responsabilidad Fiscal; o/sites/default/files/Normogr
CONTRALO- ama/docs/resolucion_contral
recursos y los procesos
RIA oria_0202_2012.htm>
bienes públicos Disciplinarios y los
GENERAL PÚBLICA CONTRALORIA GENERAL
y contribuir a la procesos de Control DE LA REPUBLICA.
DE LA
modernización Interno, mediante la Economia Colombiana.
NACION
del Estado, identificación, la Mayo - junio 2014. Edición
mediante preservación, el análisis No. 342. ISSN 01204998,
acciones de y la presentación de la Pag. 25-35. [en línea,
mejoramiento evidencia digital, de Consultado 5 de noviembre
continuo en las manera que, el 2014].Disponible en
distintas elemento probatorio Internet:<URL:
entidades sea legalmente http://www.contraloria.gov.co
/documents/10136/1878408
públicas. aceptado dentro de los 82/REC342_compilado_web
procesos mencionados. .pdf/b3336b49-4cae-4a2f-
9830-3eb89cdf27db>

Origen: Las Autoras

71
Tabla Nº 7. Entidades que realizan Análisis Forense en Colombia (Continuación)

DE LA APLICACIÓN
TIPO DE
ENTIDADES QUIENES SON DEL ANÁLISIS URL
ENTIDAD
FORENSE
Es el máximo La Procuraduría PROCURADURIA
organismo del General de la Nación, GENERAL DE LA
Ministerio Público, cuenta con una NACION. Contrato de
conformado además Dirección Nacional de Software y Hardware
por la Defensoría del Investigaciones que conforma el
Pueblo y las Especiales, presta laboratorio forense. [en
personerías. Es su asesoría y línea, Consultado 5 de
PROCURA obligación velar por el colaboración técnico- noviembre
-DURIA correcto ejercicio de científica que 2014].Disponible en
GENERAL PÚBLICA las funciones requieren las Internet : < URL:
DE LA encomendadas en la diferentes www.procuraduria.gov
NACIÓN Constitución y la Ley a dependencias de la .co/descargas/.../licitac
servidores públicos. entidad y demás ion102009_contrato06
órganos que 1.doc>
conforman en
Ministerio Público, a su
cargo se encuentra el
laboratorio de
informática forense.
Es la entidad SISTEMA
encargada de la ELECTRONICO DE
protección de los CONTRATACIÓN
derechos con los que Cuenta con un PÚBLICA. Detalle del
cuentan los Laboratorio forense Proceso Número SIC No
SUPERIN-
consumidores, que apoya las visitas 54 DE 2014 de la
TENDENCI
proteger la libre que practica la Superintendencia de
A DE Industria y Comercio.
competencia autoridad superintendencia, en
INDUSTRI PÚBLICA Consultado 12 de
nacional de la la verificación de la noviembre de 2014.
AY
propiedad industrial y información de los Disponible en Internet:
COMERCI
defiende los derechos equipos de cómputo <URL:
O
fundamentales de las entidades objeto https://www.contratos.go
relacionados con la de supervisión. v.co/consultas/detallePro
correcta ceso.do?numConstancia
administración de =14-9-390820>
datos personales.
ADALID Security,
ADALID es la única En su portafolio de Legal & Forensic
compañía de América servicios ofrece los de Corporation. Portafolio
ADALID Latina con un portafolio peritaje informático de Servicios Forenses.
Security, diversificado que para ello cuenta con [en línea, Consultado 5
Legal & incluye tres marcadas Laboratorio de de noviembre
PRIVADA
Forensic líneas de negocio: Informática Forense y 2014].Disponible en
Corporatio Seguridad de la la recolección, análisis, Internet : < URL:
n Información, Servicios recuperación, http://www.adalid.com/
Legales de Alta presentación y espanol/servicios_fore
Tecnología y Sistemas controversia de nses.html#book/page/
Forenses. pruebas digitales. 1>
Fuente: Las Autoras

72
Tabla Nº 7. Entidades que realizan Análisis Forense en Colombia (Continuación)

DE LA APLICACIÓN
TIPO DE
ENTIDADES QUIENES SON DEL ANÁLISIS URL
ENTIDAD
FORENSE
Digital Center es una DIGITAL CENTER.
empresa Colombiana Nuestros Servicios.
líder en la [en línea,
recuperación Cuentan con un Consultado 5 de
profesional de datos laboratorio de noviembre
perdidos así como en recuperación de datos 2014].Disponible en
el borrado de informáticos dentro de Internet : < URL:
DIGITAL información de sus principales http://www.digitalrec
PRIVADA
CENTER manera segura, servicios ofrece Back overy.com.co/servici
nuestra empresa está Up en sitio o remoto, os.htm>
ubicada en Medellín, Análisis Forense,
con 14 años de Borrado total y
experiencia permanente de
ofreciendo sus archivos, Peritaje
servicios para toda Informático y Reciclaje
Colombia y el mundo. de medios
Empresa nacional de Ofrecen la tecnología INVESTIGACIONES
alcance y el personal ESTRATEGIAS &
internacional, especializado para ASOCIADOS LTDA.
especializada en la realizar la Laboratorio Forense.
asesoría y recuperación, [en línea,
consultoría en preservación y Consultado 5 de
INVESTIGA- investigación decodificación de noviembre
CIONES criminal, fraude evidencia digital 2014].Disponible en
ESTRATEGI- empresarial, obtenible de equipos Internet : < URL:
PRIVADA
CAS & peritajes, auditoría de cómputo, teléfonos http://investigacione
ASOCIADOS contable e móviles, dispositivos sestrategicas.com/?
LTDA informática forense y de almacenamiento y page_id=340>
la usurpación de de contenidos en
marcas. servicios de Internet e
Intranet como correos
electrónicos, redes
sociales y páginas
web.
Fuente: Las Autoras

Consultadas diferentes fuentes de información se evidencio que otras entidades en

Colombia que ejercen control a las actividades de otras, apoyan económicamente y
bajo la figura de donaciones a instituciones que por su misionalidad les compete
realizar análisis forense, caso particular, la Superintendencia Financiera, quien a
través de la bancacolombiana realiza aportes a los laboratorios forenses de la
Policía Nacional y Fiscalía General de la Nación.57

57ASOBANCARIA. Semana Económica. Ed. 809. 5 de julio de 2011. p.7. [en línea, Consultado 15 de noviembre
2014].
Disponible en Internet : < URL: http://www.asobancaria.com/portal/pls/portal/docs/1/1384048.PDF>

73
Tabla Nº 7. Entidades que realizan Análisis Forense en Colombia (Continuación)
TIPO DE DE LA APLICACIÓN DEL
ENTIDADES QUIENES SON
ENTIDAD ANÁLISIS FORENSE URL
Ejercer las funciones de Superintend
supervisión y encia de
jurisdiccionales sobre el sociedades[
sector real de la economía y en línea,
demás personas Consultado
La Superintendencia de
determinadas por la ley, en
Sociedades, conserva
atender la insolvencia, noviembre
información de sus
resolver los conflictos 2014].Dispo
usuarios (Ciudadano,
empresariales, los trámites nible en
SUPERIN- Proveedor, empleado);
societarios y expedir y Internet :
TENDENCIA esta información ha sido
DE PUBLICA
divulgar la doctrina jurídica y
recolectada en el http://www
contable, con el fin de .supersocie
SOCIEDA- desarrollo de sus
contribuir a la preservación dades.gov.c
DES funciones públicas, en el
del orden público
económico, aplicando los
momento que como o/superinte
usuario ha tenido contacto ndencia/mis
principios de transparencia,
con la Superintendencia ion-y-
de buen gobierno y
de Sociedades.
atendiendo los vision/Pagin
compromisos con el as/default.a
desarrollo sostenible
spx
propios del estado social de
derecho.
Adelantar los procesos de Superintend
intervención forzosa encia de
Ejerce la Inspección,
administrativa para salud[en
Vigilancia y Control sobre
administrar o liquidar las línea,
las actividades
entidades vigiladas que Consultado
concernientes a la
cumplen funciones de en
prestación de los Servicios
Entidades noviembre
de Salud en los Seguros
Administradoras de 2014].Dispo
Sociales Obligatorios,
Planes de Beneficios de nible en
asistencia pública, atención
SUPERIN- Salud - EAPB o las que Internet :
médica a cargo de
TENDENCIA PUBLICA hagan sus veces,
entidades creadas o
DE SALUD prestadores de servicios http://www
sostenidas por el estado; y
de salud de cualquier .supersalud.
sobre la liquidación, recaudo
naturaleza y monopolios
y transferencia de los gov.co/supe
rentísticos cedidos al
recursos fiscales que se rsalud/Defa
sector salud no asignados
aplican a tales actividades, ult.aspx?tab
a otra entidad, así como
ampliando los sujetos a los
Prestadores Públicos,
intervenir técnica y id=74
administrativamente las
Entidades de Asistencia.
Direcciones Territoriales
de Salud.
Fuente: Las Autoras

74
Tabla Nº 7. Entidades que realizan Análisis Forense en Colombia (Continuación)

DE LA APLICACIÓN
TIPO DE
ENTIDADES QUIENES SON DEL ANÁLISIS
ENTIDAD URL
FORENSE

La Superintendencia Superinten
Financiera de Colombia, es un dencia
organismo técnico adscrito al financiera[
Ministerio de Hacienda y en línea,
Crédito Público. Su misión es Consultad
Utiliza el análisis forense o en
preservar la confianza pública y
SUPERIN- para la intervención noviembre
la estabilidad del sistema
TENDENCIA financiera por medio de 2014].Disp
PUBLICA financiero; mantener la
FINANCIE- metodologías para las onible en
integridad, la eficiencia y la
RA Entidades Financieras Internet :
transparencia del mercado de
que así lo requieran. https://w
valores y demás activos
financieros; y velar por el ww.superfi
respeto a los derechos de los nanciera.g
consumidores financieros y la ov.co/jsp/i
debida prestación del servicio. ndex.jsf
Unidad de
La UIAF es la unidad de Informació
inteligencia financiera y n y Análisis
La UIAF se encarga de Financiero
económica de Colombia,
centralizar, sistematizar [en línea,
dedicada a la protección de la
y analizar datos Consultad
defensa y la seguridad nacional
relacionados con o en
desde una perspectiva
operaciones de Lavado noviembre
económica. La unidad cumple
de Activos, es decir, la 2014].Disp
UNIDAD DE su misión mediante la
Unidad es un filtro de onible en
INFORMA- realización de inteligencia
información que se Internet :
CIÓN Y estratégica y operativa, basada
PUBLICA apoya en tecnología https://w
ANÁLISIS en la tecnología y la innovación.
para consolidar y ww.uiaf.go
FINANCIE- Dirigido a prevenir y detectar
agregar valor a los datos
RO UIAF las actividades asociadas con
recolectados, esto le
v.co/index.
el lavado de dinero, sus delitos php?idcat
permite detectar
precedentes y la financiación egoria=12
operaciones que pueden
del terrorismo, en última
instancia, la generación y
estar relacionadas con el 042
delito de Lavado de
difusión de información útil para
Activos.
las autoridades para llevar a
cabo la confiscación de bienes.

Fuente: Las Autoras

75
6 GUÍA PARA LA AUDITORÍA DEL ANÁLISIS FORENSE EN DISPOSITIVOS
MÓVILES BASADOS EN TECNOLOGÍA ANDROID PARA LA
LEGISLACIÓN COLOMBIANA

Una vez realizado el estudio correspondiente al tema e identificado el proceso de

análisis forense en dispositivos móviles orientado a la tecnología Android en la
legislación Colombiana, bajo los criterios adquiridos en el estudio de la
especialización de auditoría de sistemas de información, la experiencia de cada una
de las autoras del presente proyecto de grado y el análisis realizado en el desarrollo
del presente proyecto, se realiza una guía que contiene las pautas básicas para
orientar el proceso auditor del análisis forense en dispositivos móviles de tecnología
Android para la legislación Colombiana, elaborada ésta con el propósito de obtener
los resultados esperados, con la calidad y el tiempo requeridos (ver anexo A).

La guía está compuesta por las siguientes partes:

 Objetivo: Se define la finalidad de la guía.

 Alcance: Se delimita el enfoque de la guía.
 Definiciones: Se especifican los términos técnicos utilizados a lo largo de la
guía y que deben ser conocidos para la comprensión de la misma.
 Desarrollo: Se establecen las actividades a realizar a lo largo de la auditoría,
con sus respectivos papeles de trabajo:

i. Establecer el programa de auditoría: se identifican los objetivos, el

alcance, riesgos, cronograma y presupuesto para la auditoría.
ii. Establecer el contacto inicial con el auditado: Puede ser formal o
informal y debería hacerlo el líder del equipo auditor por medio de
memorando informando la auditoría, presentación del equipo audito y
el acta de apertura de la auditoría.
iii. Preparación de las actividades de la auditoría: levantamiento de
información inicial y programación de las pruebas de auditoría: Diseño
de las actividades a realizar en la auditoría.
iv. Realización de las actividades de auditoría: Se ejecutan las pruebas
diseñadas anteriormente.
v. Organización de los papeles de trabajo: Organizar y unificar los
papeles de trabajo que resultaron de la auditoría.
vi. Analizar la información: Identificar los hallazgos producto de la
auditoría realizada
vii. Elaboración del informe de hallazgos y recomendaciones: Informe
detallado de la auditoría.
viii. Elaboración del informe ejecutivo: Informe al Director donde se
evidencie de forma resumida y concreta el resultado de la auditoría.

76
 7. VALIDACIÓN DE LA GUIA DE AUDITORÍA

7.1. NORMA ISO - INTERNACIONAL 19011

Esta Norma Internacional proporciona directrices sobre la auditoría a sistemas de

gestión, incluyendo los principios de auditoría, el manejo de un programa de
auditoría y la realización de las auditorías a sistemas de gestión, así como
directrices sobre la evaluación de competencia de los individuos involucrados en el
proceso de auditoría, incluyendo el personal que maneja el programa de auditoría,
los auditores y los equipos de auditoría.

Se realiza la validación de la gestión del programa de auditoría que contiene la

Norma ISO Contra la guía de auditoría realizada en este proyecto.

Según la norma ISO se debe establecer un programa de auditoría que encamine a

la efectiva realización de la auditoría.

Tabla 8 Validación de la guía

NORMA ISO -
VALIDACIÓN GUIA DE AUDITORÍA
INTERNACIONAL 19011
Se diseña el papel de trabajo

Según la norma ISO se debe

establecer un programa de auditoría
que encamine a la efectiva realización
de la auditoría. Dicho programa debe
contener unos objetivos, el alcance,
información y recursos necesarios
para organizar y conducir las
auditorías de manera eficiente dentro
de los tiempos especificados.
a. Objetivos del programa de auditoría.
b. Establecer el alcance del programa de auditoría.
c. Identificar y evaluar los riesgos del programa de
auditoría.
PT2 Cronograma y recursos de la auditoría
d. Establecer actividades para el programa de auditoría
(cronograma). e. Identificar los recursos para el programa
de auditoría (presupuesto).

Dentro de las actividades de Inicio de Se diseña el papel de trabajo

la auditoría de la norma ISO está el
contacto inicial con el auditado para el
a. Envío de memorando informando la auditoría
desarrollo de la auditoría puede ser
formal o informal y debería hacerlo el b. Presentación del equipo auditor.
líder del equipo auditor. PT4 Acta apertura de la auditoría
Fuente: Las autoras.

77
Tabla 8 Validación de la guía (continuación)

NORMA ISO - INTERNACIONAL 19011 VALIDACION GUIA DE AUDITORÍA

Preparación de actividades de auditoría
Revisión de documentos en preparación
Se diseña el papel de trabajo:
para la auditoría.
La documentación relevante del sistema
PT5 Lista de chequeo documentación
de gestión del auditado debería ser
inicial
revisada con el fin de:
a. Solicitar al analista forense la
 reunir información para preparar
documentación base para dar inicio a la
actividades de auditoria y
auditoría.
documentos de trabajo aplicables
b. Agendar entrevista con los
(ver 6.3.4), ej. Sobre los procesos,
responsables del análisis.
funciones
PT6 Programación de las pruebas de
 establecer una visión general del
auditoría
grado de documentación del
Generar las actividades con su respectiva
sistema de gestión para detectar
fecha de ejecución y auditor responsable.
posibles vacíos.

Se diseña el papel de trabajo:

PT7 Entrevista que contiene:

Las actividades de auditoría normalmente
a. Organización de la documentación
son llevadas a cabo en una secuencia
obtenida y análisis de esta.
definida. Esta secuencia puede ser
b. Entrevistar a los responsables del
modificada para ajustarse a las
análisis.
circunstancias de auditorías específicas.
PT8 Diseño de Pruebas de auditoría
PT9 Planilla de puntos mejorables
Generación de hallazgos de auditoría.
El líder del equipo auditor debería reportar Carpeta de auditoría y organización de los
los resultados de acuerdo con los papeles de trabajo: Integración de los
procedimientos del programa de papeles de trabajo resultados de la
auditoría. auditoría.
Fuente: Las autoras.

78
Tabla 8 Validación de la guía (continuación)

NORMA ISO - INTERNACIONAL 19011 VALIDACION GUIA DE AUDITORÍA

Generación de hallazgos de auditoría
La evidencia de auditoría debería ser
evaluada contra los criterios de la Se realiza el papel de trabajo:
auditoría a fin de determinar los hallazgos PT10. INFORME DE AUDITORÍA
de la auditoría. Los hallazgos de auditoría donde se coloca la elaboración del
pueden indicar conformidad o no informe de hallazgos y recomendaciones
conformidad con los criterios de la
auditoría.

Preparación de conclusiones de auditoría

El equipo auditor debería reunirse antes
de la reunión de cierre con el fin de:

a) revisar los hallazgos de la auditoría y

cualquier otra información apropiada
recopilada durante la auditoría frente a los
objetivos de la misma;
Elaboración del informe ejecutivo
b) llegar a un acuerdo respecto a las
PT10. INFORME DE AUDITORÍA
conclusiones, teniendo en cuenta la
incertidumbre inherente en el proceso de
auditoría;
c) preparar recomendaciones, si esto está
especificado en el plan de auditoría;
d) discutir el seguimiento a la auditoría,
según sea aplicable

Fuente: Las autoras.

79
 8. CONCLUSIONES

Durante el desarrollo de este proyecto, se revisaron varias guías protocolos y

procedimientos, que combinan diferentes técnicas empleadas en el análisis forense;
las cuales ofrecen al investigador las herramientas necesarias para sustentar sus
evidencias en el momento de demostrar un hecho ocurrido en un sistema
tecnológico, ya que estos dejan un registro del suceso y puede ser obtenido por el
especialista así haya sido borrado por el atacante.

Igualmente se identificaron entidades colombianas, tanto públicas como privadas

que requieren del análisis forense, evidenciando su manejo como apoyo en el
desarrollo de sus actividades, contando con laboratorios de cómputo forense, con
la tecnología y el personal capacitado para hallar evidencias digitales en procesos
judiciales donde esté vinculado un dispositivo digital.

De acuerdo con la profundización que se realiza en el tema, se diseña una guía

para la auditoría del análisis forense en dispositivos móviles basados en tecnología
Android para la legislación Colombiana, donde se establece un programa de
auditoría que incluye la información y recursos necesarios para organizar y conducir
la auditoría de manera eficaz y eficiente.

A futuro se pueden diseñar guías de auditoría para el análisis forense de dispositivos

móviles a nivel internacional y bajo las leyes y estándares que rijan bajo este
concepto.

Se presenta dificultad para lograr levantar información de entidades Colombianas

que practiquen el análisis forense ya que es restringida y por lo tanto no se puede
acceder a casos reales de análisis forense por el nivel de confidencialidad con la
reserva del sumariio de la misma.

80
 BIBLIOGRAFIA

ANGULO LÓPEZ, Eleazar. Metodología Cualitativa. Universidad de Málaga. [En

Linea]. Bogotá: [citado octubre 20 de 2014]. Disponible en internet: <URL:
http://www.eumed.net/tesis-
doctorales/2012/eal/metodologia_cualitativa.html#_ftn1>

ARROYO NATALIA. Información en el Móvil. 1 ed. Editorial UOC, 2011. ISBN: 978-
84-9029-847-3

BERNAL TORRES, Cesar Augusto. Metodología de la investigación. México:

Pearson Educación, 2006. p 110. ISBN 970-26-0645-4

BRIAN BARRETT. Sprint's HTC Evo, the First Ever 4G Phone: Meet the New
Terrific. 23/03/2010. [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible
en internet: <URL: www.gizmodo.com/5500343/print-htc-the-firts-ever-4g-phone-
meet-the-new-terrific >

CONGRESO DE LA REPUBLICA DE COLOMBIA. Ley 906 DE 2004. (1,

septiembre, 2004). Por la cual se expide el Código de Procedimiento Penal. Bogotá:
El Congreso, 2004. Capitulo V.

COOPER, Martín. Biografía del Creador del primer teléfono móvil. [En Línea].
Bogotá: [citado septiembre 20 de 2014]. Disponible en internet: <URL:
www.ingeniatic.eultt.upm.es/index.php/personajes/ítem/321-cooper-martin>

CULTURACIÓN. Blackberry OS; sistema operativo móvil de RIM. . [En Linea].

Bogotá: [citado septiembre 20 de 2014]. Disponible en internet:
<URL:http://culturacion.com/2012/05/blackberry-sistema-operativo-movil-de-rim/>

CHAVARRIA, Jorge. Auditoría Forense. 1 ed. San José: Universidad Estatal a

Distancia, 2002. p 3 y 4. ISBN: 9977-64-801-8

DE LA PEÑA GUTIERREZ, Alberto. Auditoría, un enfoque práctico. 1 ed. Madrid:

Paraninfo, 2011. p 5. ISBN: 978-84-9732-667-4

FISCALÍA GENERAL DE LA NACIÓN. Resolución 6394 de 2004. (22, diciembre,

2004). Por medio de la cual se adopta el manual de procedimientos del Sistema de
Cadena de Custodia para el Sistema Penal Acusatorio. Bogotá: El Fiscal General
De La Nación, 2004. Artículo 254.

81
FRANKLIN. Yaqueline. Tesis de Investigación. Tomado de Dankhe. Diferentes
diseños. Tipos de investigación. Colombia: McGraw-Hill. (1986). [En Linea]. Bogotá:
[citado octubre 20 de 2014]. Disponible en internet: <URL:
http://tesisdeinvestig.blogspot.com/2011/05/tipos-de-
investigacion.html?showComment=1371610247620#c4929994189697217530>

GINVA INSPIRATION, DESING, FREEBIES. The Evolution Of The Cell Phone

Between 1938-2011. [En Linea]. Bogotá: [citado septiembre 26 de 2014].
Disponible en internet: <URL: http://ginva.com/2011/05/the-evolution-of-the-cell-
phone-between-1938-2011/>

GIRONES. Jesús Tomás. El Gran Libro de Android. 3ra. Edición 2013. Editorial
Marcambo S.A. IBSN 978.84.267.1976-8.

GONZALEZ, Angel. Sistema Operativo Android. [En Linea]. Bogotá: [citado

septiembre 26 de 2014]. Disponible en internet: <URL:
http://www.vinagreasesino.com/articulos/sistema-operativo-android.php>

GONZALEZ, David. Código de prácticas para digital forrensics. [En Línea].

http://cp4df.sourceforge.net/. [Consultado 20 de octubre de 2014].

GOOGLE. Google Launches Android, an Open Mobile Platform. . [En Linea].

Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL:
http://googlesystem.blogspot.com/2007/11/google-launches-android-open-
mobile.html>

NUMPAQUE FRANCO, Edgar Alexander. Informática Forense En Colombia. [En

Línea]. Bogotá: [citado octubre 20 de 2014]. Disponible en internet: <URL:
<http://glaxeanf.com/lecturas-de-interes/seguridad-informatica>

ROBLEDO SACRISTAN, Clodoaldo y ROBLEDO FERNANDEZ, David.

Programación en Android. ISBN 978.84-369-5431-1

REVISTA TÉCNOPASIÓN. Los Móviles más vendidos de la historia. [En Linea].

Bogotá: [citado septiembre 30 de 2014]. Disponible en internet:
<URL:www.tecnopasion.com/los-moviles-mas-vendidos-de -la-historia-2736/ .>

TAMAYO ALZATE, Alfonso. Auditoría de sistemas una visión práctica. 1 ed.

Manizales: Universidad Nacional de Colombia, 2001. p 9 - 13. ISBN: 958-9322-66-
2

82
U.S. DEPARTMENT OF JUSTICE OFFICE OF JUSTICE PROGRAMS.
ELECTRONIC CRIME SCENE INVESTIGATION: A Guide for First Responders,
Washington DC: U.S. National Institute of Justice, 2001.

83
 ANEXO A.
GUIA DE AUDITORÍA DEL ANALISIS FORENSE EN DISPOSITIVOS MOVILES
BASADOS EN TECNOLOGIA ANDROID PARA LA LEGISLACIÓN
COLOMBIANA

1. OBJETIVO
Estandarizar el procedimiento de auditoría que se realiza en el análisis forense
realizado a los dispositivos móviles de tecnología Android bajo la normatividad y
legislación colombiana.

2. ALCANCE
Aplica a los auditores que en un determinado momento deban poner en práctica sus
conocimientos frente al análisis forense.

3. DEFINICIONES

 ALMACENAMIENTO: Es la acción de guardar las evidencias o elementos

materia de prueba bajo las condiciones adecuadas para su preservación,
protección, vigilancia y restricción de acuerdo a las áreas donde ellas se
procesan, analizan y estudian.

 CADENA DE CUSTODIA: Se puede extractar de la normatividad colombiana,

que cadena de custodia es el procedimiento destinado a garantizar la
individualización, seguridad y preservación de los elementos materia de prueba
y evidencias, recolectados de acuerdo a su naturaleza o incorporados en toda
investigación de un hecho punible, destinados a garantizar su autenticidad, para
los efectos del proceso.58

Otro concepto acorde, es que “la cadena de custodia es un procedimiento

establecido por la normatividad jurídica, que tiene el propósito de garantizar la
integridad, conservación, inalterabilidad de elementos materiales de prueba
como documentos, muestras (orgánicas e inorgánicas), armas de fuego,
proyectiles, vainillas, armas blancas, estupefacientes y sus derivados, etc.;
entregados a los laboratorios criminalísticas o forenses por la autoridad
competente a fin de analizar y obtener, por parte de los expertos, técnicos y
científicos, un concepto pericial”59

No obstante en Colombia, la Fiscalía General de la Nación es el ente

investigador creado con la Constitución Política de Colombia en su artículo 250,

58 CONGRESO DE LA REPUBLICA DE COLOMBIA. Ley 600 DE 2000. (24, julio, 2000). Por la cual se expide
el Código de Procedimiento Penal. Bogotá: El Congreso, 2000. Articulo VII.
59 ANGULO ARANA, Pedro. 2006. La investigación del delito en el Nuevo Proceso Penal. Lima, Gaceta Jurídica

S.A. 175p., Temis. 137p

84
 quien a través ha reglamentado la cadena de custodia, a través de un manual
en donde precisa el conjunto de técnicas que rodea la cadena de custodia.60

Precisa la normatividad colombiana en el artículo 288 de la Ley 600 de 2000,

que la:

“Cadena de Custodia. Se debe aplicar la cadena de custodia a los elementos

físicos materia de prueba, para garantizar la autenticidad de los mismos,
acreditando su identidad y estado original, las condiciones y las personas
que intervienen en la recolección, envío, manejo, análisis y conservación de
estos elementos, así mismo, los cambios hechos en ellos por cada custodio.

La Cadena de Custodia debe asegurar las características originales de los

elementos materia de prueba durante la protección de la escena,
recolección, transporte, análisis, almacenamiento, conservación,
preservación, recuperación y disponibilidad de éstos, identificando al
responsable en cada una de sus etapas y que los elementos correspondan
al caso investigado.”61

La Fiscalía General de la Nación, expresa que el Sistema de Cadena de

Custodia está fundamentado en el principio universal de la autenticidad de los
elementos físicos materia de prueba, que le permiten garantizar y demostrar que
se han aplicado los procedimientos para asegurar las condiciones de identidad,
integridad, preservación, seguridad, continuidad y registro de los mismos, desde
que inicia hasta que terminan la cadena.62

 CUSTODIO: Persona encargada de desplegar todas aquellas actividades

encaminadas a mantener libre y exento de todo riesgo o peligro los elementos
físicos materia de prueba confiados a su cuidado.

 EMBALAJE: El elemento materia de prueba debera ser embalado de acuerdo

a los procedimientos técnicos establecidos por su clasificación, obteniendo su
registro fotografico antes y despues del embalaje.

 EVIDENCIA DIGITAL: Cano Jeimy Jose, define la Evidencia Digital como un

"tipo de evidencia física construida por campos magnéticos y pulsos electrónicos
que pueden ser recolectados y analizados con herramientas y técnicas
especiales..” para hacer más comprensible este tipo de conceptos, el
Departamento de Justicia de Estados Unidos ha desarrollado una Guía muy
completa denominada “Forensic Examination on Digital Evidence: A Guide for

60 FISCALÍA GENERAL DE LA NACIÓN. Resolución 6394 de 2004. (22, diciembre, 2004). por medio de la cual
se adopta el manual de procedimientos del Sistema de Cadena de Custodia para el Sistema Penal Acusatorio.
Bogotá: El Fiscal General De La Nación, 2004. Artículo 254.
61 Congreso De La Republica De Colombia. Ley 600 DE 2000. (24, julio, 2000). Por la cual se expide el Código

de Procedimiento Penal. Bogotá: El Congreso, 2000. Artículo 288.

62 Fiscalía General de la Nación. Resolución 1890 del 05 de noviembre de 2002.

85
 Law Enforcement”, en la cual indica el manejo de la evidencia digital, bajo qué
procedimientos y técnicas, etc., donde se resaltan, entre muchas otras cosas,
tres principios esenciales en el manejo de la evidencia digital: Las acciones
tomadas para recoger la evidencia digital no deben afectar nunca la integridad
de la misma. Las personas encargadas de manejar y recoger evidencia digital
deben ser entrenadas para tal fin. Las actividades dirigidas a examinar,
conservar o transferir evidencia digital deben ser documentadas y reservadas
para una futura revisión.

 FACTORES DE RIESGO: Situaciones cuyo eventual ocurrencia afectaría

negativamente la adecuada utilización del recurso público y el cumplimiento de
los fines constitucionales y legales del Estado por parte de los entes objeto de
control fiscal, reflejadas en la legalidad, la eficiencia, la economía, la eficacia, la
equidad, la imparcialidad, la moralidad, la transparencia, la publicidad y/o los
costos ambientales con que los mismos ejecutan su gestión fiscal.

 INFORMATICA FORENSE: La Informática Forense es una disciplina

criminalística que tiene como objeto la investigación en sistemas informáticos de
hechos con relevancia jurídica o para la simple investigación privada, desarrolla
técnicas idóneas para ubicar, reproducir y analizar evidencias digitales con fines
legales.

Así mismo, nace como una rama de las ciencias forenses, una disciplina auxiliar
a la justicia, que consiste en la aplicación de técnicas que permiten adquirir,
validar, analizar y presentar datos que han sido procesados electrónicamente y
guardados en un medio computacional.

Las tareas de informática forense pueden llevarse a cabo tanto en procesos

judiciales, como en cuestiones extra judiciales, sin embargo, la importancia de
contar con un proceso unificado que auxilie en estas tareas está relacionada con
la existencia de un aval científico que le permita a un oficial de justicia confiar en
las tareas desarrolladas dentro de un proceso judicial.

Para el Dr. Julio Téllez Valdés, el delito informático lo define como “una conducta
típica, antijurídica y culpable en que se tiene a las computadoras como
instrumento o fin”, es decir, como instrumento para cometer cualquiera de los
delitos ya tipificados, o como un fin en sí mismo. Por ejemplo, en una estafa a
través de sistemas informáticos, la informática es el medio; en cambio, en el
caso de la distribución de virus informáticos, la informática es el fin.

 IDENTIDAD DE LA PRUEBA: Manifiesta el ente investigador, que se trata de la

individualización de los elementos probatorios, mediante la descripción completa
y detallada de sus características específicas y condiciones físicas, tales como
estado físico, apariencia, presentación, peso y/o volumen bruto y neto,

86
 localización exacta, numeración dada según el contexto de la escena y todos
aquellos datos que puedan coadyuvar a identificar el elemento físico de prueba.

 PRIMER CUSTODIO o PRIMER RESPONDIENTE: Es denominado como

primer custodio, el servidor público o particular, que primero entre en contacto
directo con los elementos físicos materia de prueba, de tratarse de un funcionario
de policía judicial o policía, tendrá la responsabilidad de diligenciar un acta que
contenga la hora, fecha en que se hace presente, una breve descripción de los
elementos y la identidad plena de quien lo suscribe.

En el evento que sea un particular, este se limitara a hacer entrega al servidor

público del elemento físico materia de prueba y será responsabilidad de éste
último levantar el acta correspondiente dejando constancia de la identidad del
particular que hizo entrega de la prueba.63

 PRESERVACIÓN DE LA PRUEBA: Es el proceso al que se somete el elemento

físico materia de prueba en las condiciones adecuadas que aseguren su
conservación o inalterabilidad de acuerdo a su clase y naturaleza.

63FISCALÍA GENERAL DE LA NACIÓN. Resolución 2869 de 2002. (05, noviembre, 2002). Por medio de la cual
se adopta el manual de procedimientos del sistema de cadena de custodia. Bogotá: El Fiscal General De La
Nación, 2002.

87
4. DESARROLLO

A continuación se identifica el flujo de las actividades a realizar en el desarrollo de

la auditoría del análisis forense en dispositivos móviles Android, donde se
establecen los responsables de cada actividad.

Imagen1 Desarrollo de la auditoría

DESARROLLO DE LA AUDITORIA

AUDITOR LIDER GRUPO AUDITOR

INICIO

Establecer el
programa de
auditoría

Establecer contacto Preparación de las

inicial con el actividades de la
auditado auditoria

Programación de las
pruebas de
auditoria

Realización de las
actividades de
auditoria

Organización de los
papeles de trabajo

Analizar la
información

Elaboración del
Elaboración del
informe de
informe ejecutivo
hallazgos y
recomendaciones
ACTIVIDADES

FIN

Fuente: Las autoras.

88
Tabla1 Actividades Auditoría al análisis forense en dispositivos móviles

No. ACTIVIDAD RESPONSABLE REGISTRO

1. Establecer el programa de auditoría:
a. Objetivos del programa de auditoría.
b. Establecer el alcance del programa de
PT1 Plan de auditoría
auditoría.
(Anexo B)
c. Identificar y evaluar los riesgos del
1 programa de auditoría. Auditor Líder
PT2 Cronograma y
d. Establecer actividades para el programa recursos de la
de auditoría (cronograma). auditoría (Anexo C)
e. Identificar los recursos para el programa
de auditoría (presupuesto).

1. Establecer contacto inicial con el auditado: Auditor líder PT3 Memorando de

a. Envió de memorando informando la Grupo auditor auditoría (Anexo D)
auditoría
2 b. Presentación del equipo auditor. PT4 Acta apertura de
c. Generar el acta de apertura de la la auditoría (Anexo E)
auditoría.

1. Preparación de las actividades de la auditoría: PT5 Lista de chequeo

a. Solicitar al analista forense la documentación inicial
documentación base para dar inicio a la (Anexo F)
auditoría.
3 b. Agendar entrevista con los responsables Grupo auditor
del análisis. PT6 Programación de
las pruebas de
2. Programación de las pruebas de auditoría:
auditoría (Anexo G)
Generar las actividades con su respectiva fecha
de ejecución y auditor responsable.

1. Realización de las actividades de auditoría: PT7 Entrevista (Anexo

a. Organización de la documentación H)
obtenida y análisis de esta.
b. Entrevistar a los responsables del PT8 Diseño de
4 análisis. Grupo auditor Pruebas de auditoría
c. Ejecutar las pruebas de auditoría. (Anexo I)
d. Generación de hallazgos de auditoría.
PT9 Planilla de puntos
mejorables (Anexo J)
1. Organización de los papeles de trabajo: Carpeta de auditoría
5 Integración de los papeles de trabajo resultados Grupo auditor
de la auditoría.

1. Analizar la información. N/A

6 Grupo auditor

1. Elaboración del informe de hallazgos y PT10. INFORME DE

recomendaciones AUDITORÍA (Anexo K)
7 Grupo auditor

1. Elaboración del informe ejecutivo PT10. INFORME DE

Grupo auditor AUDITORÍA (Anexo K)
8
Auditor líder
Fuente: Las autoras.

89
 ANEXO B.
PAPEL DE TRABAJO 1. PLAN DE AUDITORÍA

90
 ANEXO C.
PAPEL DE TRABAJO 2. CRONOGRAMA Y RECURSOS DE LA AUDITORÍA

91
92
 ANEXO D.
PAPEL DE TRABAJO 3. MEMORANDO COMUNICADO DE AUDITORÍA

93
 ANEXO E.
PAPEL DE TRABAJO 4. ACTA APERTURA AUDITORÍA

94
 ANEXO F.
PAPEL DE TRABAJO 5. LISTA DE CHEQUEO DOCUMENTACION INICIAL

95
 ANEXO G.
PAPEL DE TRABAJO 6. PROGRAMACION PRUEBAS AUDITORÍA

96
 ANEXO H.
PAPEL DE TRABAJO 7. ENTREVISTA

97
 ANEXO I.
PAPEL DE TRABAJO 8. DISEÑO PRUEBAS AUDITORÍA

98
 ANEXO J.
PAPEL DE TRABAJO 9. PLANILLA DE PUNTOS MEJORABLES

99
 ANEXO K.
PAPEL DE TRABAJO 10. INFORME DE AUDITORÍA

100