INFORME PERICIAL

INTEGRANTES:

. OLIVA RUBIO, Jorge David

. MIÑOPE CAJUSOL, Frank Artur

. SANTOS PONGO, Juan Carlos

. CURSO: AUDITORIA DE SISTEMAS

INFORMATICOS

. DOCENTE: Ing. Ernesto Celi Arévalo.

17 DE OCTUBRE DE 2019
FICSA
INGENIERIA DE SISTEMAS
 INFORME PERICIAL

I. GENERALIDADES
Carpeta Fiscal :
Fiscal del caso :
Caso : Ejemplo de Peritaje en Móviles
Imputado :
Agraviado :
Perito :

II. OBJETIVO DEL PERITAJE

Recuperar información de cualquier dispositivo de la empresa ITEM SRL.

III. OBJETO O FUENTE DE REVISIÓN

Realizar una correcta obtención y posterior análisis de los metadatos de un fichero
almacenado en un dispositivo móvil de la empresa ITEM SRL

IV. METODOLOGÍA UTILIZADA

1. Para la realización de cualquiera de este tipo de extracciones, el perito
informático debe utilizar una herramienta de extracción forense de información
almacenada en dispositivos móviles y, posteriormente, una herramienta de
análisis forense de dicha información.
2. De las muchas herramientas de extracción de la información almacenada en
dispositivos móviles existentes en el mercado, se utilizó la herramienta de
análisis forense UFED Physical Analyzer.
3. Se analizará también los mensajes de WhatsApp de un Samsung Galaxy Grand
Prime, un modelo bastante común.

V. CONSIDERACIONES INICIALES AL TRABAJO DE PERITAJE

1. Se asume que en el informe pericial cuenta en primer lugar con la versión del
dispositivo de la extracción, así como fecha y hora de la misma e información
adicional acerca del modelo del dispositivo.
2. Se aísla el dispositivo de la red de telefonía celular previamente a la extracción
de información digital para preservar la evidencia digital.
 3. Se realiza una copia del dispositivo para no alterar la evidencia. La extracción de
la conversación se lo hace desde la información interna del propio dispositivo
desde una copia de seguridad.

VI. CARACTERÍSTICAS GENERALES DEL SISTEMA INFORMÁTICO

Versión de UFED Physical Analyser : 6.5.0.232
Hora de creación del informe : 16 de octubre 2019
Configuración de zona horaria : Chiclayo, Lambayeque
Nombre examinador : Oliva Rubio Jorge

VII. DESCRIPCIÓN DE LOS MÓDULOS REVISADOS EN EL PERITAJE

Aplicaciones instaladas y recuperación de aplicaciones borradas.
Este apartado nos puede ser de utilidad en caso de certificar si una aplicación ha
sido instalada o no en el dispositivo.

Calendario
En esta sección podemos obtener información acerca de los eventos que se han
registrado en el calendario o de los que se han borrado.

Contactos y recuperación de contactos borrados

Muy importante en caso de justificar si se ha mantenido contacto con una persona
o no, ya que también se registran los números borrados.

Contraseñas
Información acerca de las contraseñas insertadas en el dispositivo, que pueden ser
utilizadas para justificar el acceso a una aplicación, sitio web, etc. del usuario del
dispositivo.

Conversaciones y recuperación de conversaciones borradas

En primer lugar, tenemos el total de conversaciones extraídas. Posteriormente, se
ofrece un desglose de las conversaciones que han tenido lugar en el dispositivo,
identificando entre ellas como “Google+ Wall”, “Instagram” y “WhatsApp”. Esta es
una de las secciones más solicitadas, ya que, si se certifica adecuadamente, puede
ser una prueba judicial de gran utilidad, ya que se demostraría que una
conversación ha tenido lugar o no.
Cookies
Mediante las cookies se puede obtener información acerca de la navegación que
realizo el usuario con los navegadores.

Cuentas de usuario
En este apartado se puede sacar información sobre las cuentas de usuario
existentes en el dispositivo.

Elementos buscados
Archivos buscados en el sistema.

Eventos potenciadores
Eventos que se desarrollan en el dispositivo.

Historial de internet
Este apartado nos sirve para identificar y certificar las búsquedas que realizo el
dueño del dispositivo.

Marcadores de internet
Los marcadores son búsquedas fijas que se implantan en el navegador por el
usuario.

Mensajes y recuperación de correos eliminados

Se obtiene información sobre los mensajes de correos emitidos o recibidos del
dispositivo. Muy importante para certificar mensajes de correo y presentarlos como
prueba judicial.

Mensajes MMS y recuperación de mensajes MMS eliminados

Se trata de mensajes multimedia emitidos o recibidos por el dispositivo.

Mensajes SMS recuperación de mensajes SMS eliminados

Ofrece información acerca de los mensajes de texto enviados o recibidos por el
dispositivo.

Notas
Nos ofrece información sobre las notas creadas en el Smartphone.
Redes inalámbricas
Este apartado nos relata las redes Wifi a las que se ha conectado el dispositivo. Muy
útil en caso de que el dispositivo se haya conectado a una red en una ubicación
concreta, con lo que se demostraría la existencia del individuo en ese lugar.
Registro llamadas
Este apartado resulta de gran utilidad en caso de querer demostrar si una
conversación telefónica ha tenido lugar o no y en qué fecha y hora.

Relleno automático
Función automática de los dispositivos capaz de rellenar con datos celdas o
formularios.

Torres de comunicaciones:
Se trata de las torres de comunicaciones a las que se ha conectado el dispositivo.

Ubicaciones
Información recogida por el teléfono acerca de las ubicaciones o lugares en las que
se ha geolocalizado.

Usuarios del dispositivo

Número de usuarios que posee el dispositivo. A partir de la versión 5.0 Lollipop de
Android se pueden implementar más de un usuario en el mismo dispositivo.

Cronograma
Ofrece información del sistema basado en estadísticas del dispositivo.

Archivo de datos y recuperación de archivos de datos eliminados

Se desglosa en aplicaciones, bases de datos, configuraciones, documentos,
imágenes, sonido, texto y vídeos. Este apartado tiene una gran importancia, ya que
se puede utilizar en una prueba judicial para justificar la existencia de un archivo u
obtener información de las bases de datos de las aplicaciones.
VIII. ANÁLISIS DE LA INFORMACIÓN - ITEM

Análisis de actividad:
Análisis realizados por el dispositivo para recoger estadísticas del mismo.

Análisis de correos electrónicos:

Se obtiene información sobre las cuentas de correo emisoras y receptoras de
mensajes de correos electrónicos.

Análisis de teléfonos:
Se recoge información sobre los teléfonos emisores o receptores de llamadas.

Análisis de WhatsApp:
Obtenemos información sobre WhatsApp.
 Y de la otra manera también veremos:

Como ejemplo para la realización del presente artículo, este perito informático ha
utilizado el terminal LG X150 que, como se puede observar en la siguiente captura de
pantalla, aparece conectado a la herramienta Cellebrite UFED Touch (propiedad de este
perito informático), mientras dicha herramienta está realizando una extracción lógica del
contenido del teléfono móvil, en el laboratorio de informática forense de este perito
informático. La extracción lógica proporcionará, al objeto de realizar el ulterior peritaje
informático, todos los archivos que, en el momento de la extracción, se encuentran en
el terminal y que no han sido borrados por el propietario del teléfono.

La extracción lógica del contenido del terminal, a la izquierda de la imagen, se almacena

en el disco duro que se observa a la derecha de la imagen, al objeto de poder ser
analizada posteriormente por el perito informático. Una vez ha concluido la extracción
lógica del terminal, es necesario desconectar, de la herramienta Cellebrite UFED Touch,
el disco duro donde se ha almacenado la imagen. Conectando el disco duro al
ordenador, se pueden observar, tal y como se aprecia en las dos siguientes capturas de
pantalla, los ficheros correspondientes a la extracción lógica o imagen del terminal, que
deberá ser utilizada por el perito informático para la realización del análisis forense de
los metadatos del o de los ficheros, al objeto de elaborar posteriormente el informe
pericial informático.
 A continuación, es necesario cargar la imagen del terminal en el programa UFED
Physical Analyzer, de Cellebrite, donde se podrán estudiar los metadatos del o de los
ficheros que el perito informático desee analizar. La siguiente captura de pantalla muestra
la imagen del terminal cargada en el programa UFED Physical Analyzer.

Una vez el perito informático ha cargado la imagen forense del terminal en el programa
UFED Physical Analyzer, debe dirigirse al menú Imágenes, al objeto de comprobar todos
los ficheros multimedia de imágenes incluidos en la extracción forense. En dicho menú,
el perito informático podrá comprobar que puede obtener todas las fotografías
almacenadas en el terminal y que no han sido previamente eliminadas, al objeto de
poder analizar sus metadatos para elaborar el peritaje informático requerido. A modo de
ejemplo, se ha seleccionado una fotografía tomada de la estatua del Oso y el Madroño
de Madrid desde el mencionado terminal, tal y como se muestra a continuación.

El análisis de los metadatos EXIF de la fotografía, como se advierte en la siguiente

captura de pantalla, revela que ésta fue tomada a las 14:28:25 horas del día 24 de abril
de 2016 (propiedad DateTime), mediante el terminal móvil LG X150 (propiedad Modelo).
Este análisis forense permite concluir que la fotografía no presenta indicios de
manipulación, ya que el terminal con el que dicha fotografía fue tomada es el mismo que
el analizado, las condiciones climatológicas son las correspondientes a las de las
14:28:25 horas del día 24 de abril de 2016 en Madrid y, además, no se puede observar
en los metadatos de la fotografía el rastro de ningún programa de edición de imágenes
y fotografías.

Asimismo, el programa UFED Physical Analyzer también proporciona al perito

informático el código hash MD5 de la fotografía, que es
62614074826bd1de7f3fc52dfa17f42a. Dicho código hash puede observarse en la
siguiente captura de pantalla procedente del UFED Physical Analyzer.
Así pues, el perito informático deberá incluir, en su informe pericial, una explicación del
proceso de extracción lógica de los datos del terminal, los códigos hash
correspondientes a los ficheros que conforman la mencionada imagen forense, el propio
código hash de la mencionada la fotografía analizada, así como una explicación
detallada del análisis de los metadatos del fichero multimedia en cuestión. Como
colofón, el perito informático podrá concluir, tras la realización del análisis forense, que
la fotografía no presenta indicios de manipulación y que, por tanto, se puede considerar
como prueba a todos los efectos procesales.

Si en lugar de una fotografía, el perito informático tuviese que enfrentarse al análisis

forense de un fichero de audio, vídeo o de cualquier otro tipo de formato (inclusive un
PDF o un fichero de Microsoft Office), almacenado en un dispositivo móvil, el proceso
para realizar el peritaje informático sería equivalente.

CONCLUSIONES

Luego de la extracción de los mensajes del Celular se obtuvo 350 mensajes tres
enviados al número 0995775765; uno con fecha 07/07/19 a las 13:00, otro con fecha
03/07/19 a las 15:00 y por ultimo enviado el 01/08/19 a las 18:00.
El primer mensaje consta de 23 palabras el siguiente de 27 palabras y el ultimo de 34
palabras.
El mensaje del 01/07/19, 03/07/19 y 01/08/19 fue enviado del mismo celular cuyo
número es 0987307205 al número 0995775765 ya que fueron extraídos de la base de
datos interna del dispositivo celular.