Mobile Forensics: Adquisición, Análisis y Cadena de Custodia
Guía completa de forensia móvil: tipos de adquisición (lógica, filesystem, física, chip-off), herramientas de adquisición y análisis para Android e iOS (ADB, TWRP, checkm8, GrayKey, Autopsy, ALEAPP, iLEAPP, MVT), análisis de artefactos, datos en la nube, cadena de custodia y consideraciones legales en España.
El desafío de la forensia móvil
La forensia móvil presenta desafíos únicos que la distinguen de la forensia de sistemas de escritorio. Los dispositivos móviles tienen cifrado de disco completo activado por defecto, ciclos de vida de datos más cortos, actualizaciones frecuentes que modifican el sistema de archivos, y una diversidad de fabricantes y versiones que multiplica la complejidad del análisis.
A diferencia de un disco duro de PC que se puede clonar fácilmente, un smartphone moderno combina múltiples capas de seguridad (cifrado, Secure Enclave, biometría) que dificultan la adquisición de datos. Además, la conectividad permanente del dispositivo introduce riesgos: un dispositivo conectado puede recibir comandos de borrado remoto, actualizaciones que eliminen evidencia, o sincronización que modifique datos.
El primer principio de la forensia móvil es la preservación: aislar el dispositivo de cualquier red antes de comenzar la adquisición.
Tipos de adquisición
Adquisición lógica
La más accesible y menos invasiva. Extrae datos a través de las APIs del sistema operativo o mediante backups:
| Método | Datos obtenidos | Limitaciones |
|---|---|---|
| Backup iTunes/Finder (iOS) | Contactos, SMS, fotos, apps, configuración | No incluye datos de apps con cifrado propio |
| ADB backup (Android) | Datos de apps que lo permitan, configuración | Muchas apps no permiten backup (FLAG_SECURE) |
| Content Provider (Android) | SMS, contactos, registro de llamadas, calendario | Requiere ADB con permisos, no incluye datos de apps de terceros |
| Sync data | Datos sincronizados con cuentas cloud | Solo datos que la cuenta haya sincronizado |
Ventajas: no requiere root ni jailbreak, no modifica el dispositivo, proceso rápido.
Limitaciones: no accede a datos borrados, no incluye todos los archivos del sistema, apps pueden restringir el backup de sus datos.
Adquisición de filesystem
Copia completa del sistema de archivos. Proporciona acceso a archivos de configuración, bases de datos de apps, logs del sistema y, en algunos casos, archivos borrados cuyos bloques no se hayan reasignado.
| Método | Plataforma | Requisitos |
|---|---|---|
| ADB root shell + tar | Android | Root (Magisk) |
| TWRP recovery | Android | Bootloader desbloqueado |
| checkm8 (checkra1n) | iOS (A5-A11) | Dispositivo vulnerable, cable USB |
| Agent-based (GrayKey, UFED) | Android/iOS | Herramienta comercial |
La adquisición de filesystem captura la estructura completa de directorios, incluyendo:
/data/data/(datos de apps en Android)/data/system/(configuración del sistema, cuentas, bloqueos)/data/misc/(WiFi, Bluetooth, VPN)- Bases de datos SQLite de cada app (mensajes, contactos internos, logs)
Adquisición física
Imagen bit a bit (raw) de la memoria flash completa. Incluye particiones del sistema, espacio no asignado y datos que han sido borrados pero no sobrescritos.
| Método | Plataforma | Capacidad |
|---|---|---|
| dd / nanddump via root | Android | Imagen de particiones individuales o completa |
| Bootloader exploit | Android | Imagen antes de que el SO cargue |
| checkm8 + physical extraction | iOS (A5-A11) | Imagen completa con claves de cifrado |
| Cellebrite UFED Premium | Android/iOS | Bypass de bloqueo + imagen física |
| GrayKey (Grayshift) | iOS | Bypass de passcode + extracción física |
La adquisición física es el gold standard forense porque captura absolutamente todo, pero tiene limitaciones:
- Los dispositivos modernos con cifrado basado en hardware (Titan M en Pixel, Secure Enclave en iPhone) hacen que la imagen raw sea inútil sin las claves de descifrado
- Requiere bypass del bloqueo de pantalla para obtener las claves
- En iOS con chips A12+, no existe exploit público para adquisición física completa
Chip-off
Extracción directa del chip de memoria NAND desoldándolo de la placa base del dispositivo:
- Se usa cuando el dispositivo está dañado físicamente (pantalla rota, sin encender, daño por agua)
- Proceso destructivo: el dispositivo no funcionará después
- Requiere equipamiento especializado (estación de soldadura, programadora NAND)
- Los datos estarán cifrados si el dispositivo tenía cifrado de disco
- Último recurso cuando otros métodos fallan
Adquisición en Android
ADB (Android Debug Bridge)
Método de adquisición lógica y de filesystem disponible con USB debugging habilitado:
# Verificar conexión
adb devices
# Adquisición lógica: backup completo
adb backup -apk -shared -all -f backup.ab
# Resultado: archivo .ab que contiene datos de apps y almacenamiento compartido
# Convertir backup a tar para análisis
dd if=backup.ab bs=24 skip=1 | openssl zlib -d > backup.tar
# O usar herramientas como ABE (Android Backup Extractor):
java -jar abe.jar unpack backup.ab backup.tar
# Adquisición de filesystem (requiere root)
adb shell su -c "tar czf /sdcard/forensic.tar.gz /data/data/"
adb pull /sdcard/forensic.tar.gz
# Obtener información del dispositivo
adb shell getprop ro.build.display.id # Versión de build
adb shell getprop ro.product.model # Modelo
adb shell getprop ro.serialno # Número de serie
adb shell settings get secure android_id # Android ID
# Extraer bases de datos específicas (requiere root)
adb shell su -c "cp /data/data/com.whatsapp/databases/msgstore.db /sdcard/"
adb pull /sdcard/msgstore.db
# Extraer registros de llamadas y SMS
adb shell content query --uri content://sms
adb shell content query --uri content://call_log/calls
TWRP Recovery
TWRP (Team Win Recovery Project) permite adquisición de filesystem sin modificar la partición de datos:
# 1. Arrancar en modo recovery (con TWRP instalado)
adb reboot recovery
# 2. Desde la interfaz de TWRP, montar /data
# 3. Crear backup vía ADB
adb shell "tar cf - /data" > android_data.tar
# 4. O crear imagen raw de la partición
adb shell "dd if=/dev/block/mmcblk0p43 bs=4096" > userdata.img
# (el número de partición varía por dispositivo)
Adquisición física con root
# Listar particiones
adb shell su -c "ls -la /dev/block/by-name/"
# Imagen de la partición userdata
adb shell su -c "dd if=/dev/block/by-name/userdata bs=4096" > userdata.raw
# Hash de verificación
adb shell su -c "sha256sum /dev/block/by-name/userdata"
sha256sum userdata.raw
# Los hashes deben coincidir para validar la integridad
Adquisición en iOS
Backup de iTunes/Finder
El método de adquisición lógica más accesible para iOS:
# En macOS, los backups se almacenan en:
# ~/Library/Application Support/MobileSync/Backup/
# Backup cifrado (recomendado, incluye más datos)
# Configurar en iTunes/Finder: marcar "Cifrar backup local"
# Un backup cifrado incluye: passwords WiFi, Health data, Keychain
# Usando libimobiledevice (herramienta open source)
# Instalar:
brew install libimobiledevice
# Listar dispositivos conectados
idevice_id -l
# Información del dispositivo
ideviceinfo
# Crear backup
idevicebackup2 backup --full /path/to/backup/directory
# Extraer archivos del backup
idevicebackup2 unback /path/to/backup/directory
checkm8 / checkra1n
El exploit checkm8 (descubierto en 2019) es una vulnerabilidad en el BootROM de chips Apple A5 a A11 (iPhone 4S a iPhone X). Al ser un exploit de hardware, no puede ser parcheado con actualizaciones de software.
Dispositivos vulnerables: iPhone 4S hasta iPhone X, iPad (varias generaciones con estos chips)
Uso forense:
- Permite obtener acceso al sistema de archivos sin passcode
- Combinado con herramientas como checkra1n, permite una adquisición de filesystem completa
- Herramientas comerciales como Cellebrite UFED y Elcomsoft iOS Forensic Toolkit aprovechan checkm8
Limitaciones:
- No funciona en chips A12+ (iPhone XR/XS en adelante)
- El exploit es volátil: debe reaplicarse en cada reinicio
- No bypassa el cifrado de datos protegidos por passcode en dispositivos con Secure Enclave
GrayKey (Grayshift)
Dispositivo comercial de forensia iOS usado por fuerzas del orden:
| Capacidad | Detalle |
|---|---|
| Bypass de passcode | Fuerza bruta del PIN/contraseña del dispositivo |
| Extracción completa | Filesystem completo con datos descifrados |
| Soporte | iOS actual (incluyendo modelos recientes) |
| Precio | Suscripción anual, decenas de miles de USD |
| Disponibilidad | Solo fuerzas del orden y agencias gubernamentales |
GrayKey explota vulnerabilidades no públicas en iOS para bypass de passcode. Apple y Grayshift mantienen una competencia constante: Apple parchea vulnerabilidades, Grayshift encuentra nuevas.
Cellebrite UFED
La herramienta forense móvil comercial más utilizada globalmente:
- Soporta más de 30.000 modelos de dispositivos (Android + iOS)
- Adquisición lógica, filesystem y física
- Bypass de bloqueo para muchos dispositivos
- Análisis integrado con Cellebrite Physical Analyzer
- Precio: licencia anual de decenas de miles de EUR
Herramientas de análisis
Autopsy
Plataforma forense open source con módulos para análisis móvil:
# Autopsy soporta:
# - Imágenes de disco de Android (raw, dd)
# - Backups de Android (tar, ab)
# - Backups de iOS (iTunes)
# - Archivos SQLite extraídos individualmente
# Capacidades de análisis:
# - Timeline de actividad
# - Análisis de bases de datos SQLite
# - Recuperación de archivos borrados (en imágenes físicas)
# - Extracción de metadatos de fotos (EXIF, geolocalización)
# - Carving de archivos en espacio no asignado
ALEAPP (Android Logs Events And Protobuf Parser)
Herramienta especializada en parsing de artefactos Android:
# Instalación
pip install aleapp
# O clonar el repositorio:
git clone https://github.com/abrignoni/ALEAPP.git
# Ejecución
python aleapp.py -t tar -i /path/to/android_data.tar -o /path/to/output
# Artefactos que parsea (selección):
# - Historial de llamadas
# - SMS/MMS
# - Contactos
# - WiFi (redes conectadas, fechas)
# - Ubicaciones (Google Maps, fotos con geotag)
# - Historial de navegación (Chrome, Firefox, Samsung Browser)
# - Apps de mensajería (WhatsApp, Telegram, Signal)
# - Instalaciones y desinstalaciones de apps
# - Notificaciones
# - Uso de batería y pantalla
# - Cuentas configuradas en el dispositivo
ALEAPP genera un informe HTML navegable con todos los artefactos organizados por categoría, con timestamps y visualizaciones.
iLEAPP (iOS Logs Events And Plists Parser)
Equivalente de ALEAPP para iOS:
# Instalación
pip install ileapp
# O clonar:
git clone https://github.com/abrignoni/iLEAPP.git
# Ejecución sobre un backup de iTunes
python ileapp.py -t itunes -i /path/to/backup -o /path/to/output
# Artefactos iOS que parsea (selección):
# - KnowledgeC (base de datos de uso del dispositivo de Apple)
# - Historial de Safari
# - Fotos y metadatos EXIF
# - Ubicaciones significativas
# - Conexiones WiFi y Bluetooth
# - Mensajes (iMessage, SMS)
# - Registros de llamadas (CallHistory.storedata)
# - Health data
# - Screen Time
# - Spotlight index (búsquedas)
# - Aplicaciones instaladas y fechas
MVT (Mobile Verification Toolkit)
Desarrollado por Amnistía Internacional, orientado a detección de spyware:
pip install mvt
# Análisis de backup iOS
mvt-ios check-backup -o results/ /path/to/backup
# Análisis de dump de filesystem Android
mvt-android check-androidqf -o results/ /path/to/androidqf
# Comparar contra IOCs conocidos (STIX2 format)
mvt-ios check-backup -i indicators.stix2 -o results/ /path/to/backup
MVT busca específicamente indicadores de Pegasus, Predator y otras familias de spyware comercial, pero también detecta anomalías genéricas.
Análisis de artefactos clave
Registro de llamadas
| Plataforma | Archivo | Formato |
|---|---|---|
| Android | /data/data/com.android.providers.contacts/databases/calllog.db | SQLite |
| iOS | /HomeDomain/Library/CallHistoryDB/CallHistory.storedata | SQLite |
Campos relevantes: número, duración, fecha/hora, tipo (entrante/saliente/perdida), geolocalización de la celda.
Mensajes SMS
| Plataforma | Archivo | Formato |
|---|---|---|
| Android | /data/data/com.android.providers.telephony/databases/mmssms.db | SQLite |
| iOS | /HomeDomain/Library/SMS/sms.db | SQLite |
Historial de navegación
| Navegador | Archivo | Contenido |
|---|---|---|
| Chrome (Android) | /data/data/com.android.chrome/app_chrome/Default/History | URLs, timestamps, títulos |
| Safari (iOS) | /HomeDomain/Library/Safari/History.db | URLs, timestamps, títulos |
| Firefox | /data/data/org.mozilla.firefox/files/places.sqlite | URLs, bookmarks, descargas |
Datos de apps de mensajería
| App | Base de datos | Cifrado |
|---|---|---|
| WhatsApp (Android) | /data/data/com.whatsapp/databases/msgstore.db | Cifrado con clave derivada del backup |
| Telegram (Android) | /data/data/org.telegram.messenger/files/cache4.db | Cifrado con clave del dispositivo |
| Signal (Android) | /data/data/org.thoughtcrime.securesms/databases/signal.db | Cifrado con SQLCipher |
El cifrado de bases de datos de mensajería es un desafío significativo. WhatsApp almacena la clave de cifrado en un archivo separado accesible solo con root. Signal usa SQLCipher con una clave derivada del registro del dispositivo.
Ubicación
Fuentes de datos de ubicación en un dispositivo móvil:
| Fuente | Precisión | Retención |
|---|---|---|
| GPS logs nativos | Alta (metros) | Variable según SO |
| Fotos con EXIF | Alta | Permanente hasta borrado |
| Google Location History | Alta | Configurable por el usuario |
| iOS Significant Locations | Media-alta | Automatico, purgado periódico |
| WiFi SSIDs conectados | Ubicación aproximada | Meses |
| Torres de telefonía (logs operadora) | Baja (cientos de metros) | Meses (operadora) |
| Apps con permisos de ubicación | Variable | Depende de la app |
Análisis de apps instaladas
# Android: listar apps instaladas con fechas
adb shell pm list packages -f --show-versioncode
# Android: información detallada de una app
adb shell dumpsys package com.suspicious.app
# iOS: apps instaladas (desde backup)
# Archivo: Info.plist de cada app en el backup
# Contiene: bundle ID, versión, fecha de instalación, permisos
Datos en la nube
La forensia moderna no se limita al dispositivo físico. Gran parte de los datos relevantes pueden estar sincronizados en servicios cloud:
| Servicio | Datos disponibles | Método de adquisición |
|---|---|---|
| Google Account | Gmail, Drive, Photos, Maps, Calendar, Chrome | Google Takeout (con credenciales o orden judicial) |
| iCloud | Backups, Photos, iMessage, Drive, Keychain | Apple legal process, backup local |
| WhatsApp Cloud | Mensajes, media | Google Drive / iCloud backup |
| Dropbox, OneDrive | Documentos sincronizados | API con credenciales o orden judicial |
La adquisición de datos cloud requiere orden judicial en la mayoría de jurisdicciones. Las empresas (Google, Apple, Meta) tienen procedimientos específicos para responder a solicitudes de fuerzas del orden.
Cadena de custodia
La cadena de custodia es el registro documentado de quién ha tenido posesión de la evidencia, qué se ha hecho con ella y cuándo. Es fundamental para que la evidencia digital sea admisible en juicio.
Procedimiento estándar
Fase 1: Recepción del dispositivo
- Documentar fotográficamente el estado del dispositivo (pantalla, daños, conectores)
- Registrar: marca, modelo, IMEI/serial, estado (encendido/apagado/bloqueado)
- Si está encendido: activar modo avión inmediatamente o usar jaula de Faraday
- Si está apagado: no encender hasta tener un plan de adquisición
- Colocar en bolsa antiestática sellada con etiqueta identificativa
Fase 2: Adquisición
- Documentar la herramienta usada (nombre, versión, configuración)
- Realizar la adquisición en un entorno controlado
- Calcular hash SHA-256 de toda evidencia adquirida
- Registrar timestamp de inicio y fin de la adquisición
- Crear al menos dos copias: una de trabajo, una de archivo
- Verificar hashes de las copias contra el original
Fase 3: Análisis
- Trabajar exclusivamente sobre la copia de trabajo
- Documentar cada paso del análisis con timestamps
- Las herramientas y sus versiones deben quedar registradas
- Capturas de pantalla de hallazgos significativos
- Mantener un log cronológico de acciones
Fase 4: Reporte
- Descripción del dispositivo y estado al recibirlo
- Metodología de adquisición utilizada
- Herramientas empleadas (nombres, versiones, hashes)
- Hallazgos presentados con evidencia verificable
- Hashes de toda la evidencia
- Conclusiones basadas exclusivamente en la evidencia analizada
Formulario de cadena de custodia
| Campo | Contenido |
|---|---|
| Caso/Referencia | Número identificativo del caso |
| Descripción del dispositivo | Marca, modelo, color, estado físico, IMEI |
| Fecha/hora de recepción | Con timezone |
| Recibido de | Nombre, cargo, firma |
| Recibido por | Nombre, cargo, firma |
| Hash de la evidencia | SHA-256 de cada archivo de adquisición |
| Almacenamiento | Ubicación física y digital de la evidencia |
| Transferencias | Registro de cada cambio de custodia con firmas |
Consideraciones legales en España
Marco normativo
| Legislación | Artículos | Aplicación |
|---|---|---|
| Ley de Enjuiciamiento Criminal | Arts. 588 sexies a-c | Registro de dispositivos electrónicos: requiere autorización judicial motivada |
| Ley Orgánica 3/2018 (LOPDGDD) | Arts. 5, 6, 89 | Protección de datos personales en la evidencia |
| Código Penal | Art. 197 | Descubrimiento de secretos sin autorización judicial |
| Constitución Española | Art. 18 | Derecho a la intimidad y al secreto de las comunicaciones |
| Ley 34/2002 (LSSI) | Art. 12 | Retención de datos de comunicaciones electrónicas |
Requisitos para la admisibilidad de la evidencia
- Autorización judicial: necesaria para acceder al contenido de dispositivos de terceros. La falta de autorización invalida la evidencia (doctrina del fruto del árbol envenenado)
- Proporcionalidad: la medida debe ser proporcional al delito investigado
- Integridad demostrable: hashes verificables que demuestren que la evidencia no ha sido alterada
- Cadena de custodia documentada: registro completo de custodia sin interrupciones
- Perito cualificado: el análisis debe ser realizado por un perito con cualificación demostrable
Ámbito corporativo
En el contexto de investigaciones internas corporativas:
- La empresa puede analizar dispositivos corporativos si existe una política de uso comunicada y aceptada por el empleado
- Los dispositivos personales (BYOD) requieren consentimiento explícito o autorización judicial
- El Estatuto de los Trabajadores y la jurisprudencia del Tribunal Supremo establecen límites al control empresarial
- La sentencia STS 489/2018 del Tribunal Supremo establece que el control de dispositivos corporativos es legítimo si es proporcionado y el empleado ha sido informado
Informe pericial
La estructura recomendada para un informe pericial de forensia móvil:
- Objeto del informe: qué se ha pedido analizar y por qué
- Identificación del perito: cualificaciones, experiencia
- Descripción de la evidencia: dispositivo, estado, cómo se recibió
- Metodología: pasos seguidos, herramientas utilizadas
- Cadena de custodia: registro completo
- Hallazgos: organizados por categoría, con evidencia verificable (hashes, capturas)
- Análisis: interpretación de los hallazgos en el contexto del caso
- Conclusiones: basadas exclusivamente en la evidencia
- Anexos: logs completos, hashes, volcados de datos relevantes
El perito debe estar preparado para ratificar el informe en juicio oral y explicar la metodología a un tribunal no técnico.
Recursos
- ALEAPP: parser de artefactos Android
- iLEAPP: parser de artefactos iOS
- MVT (Mobile Verification Toolkit): detección de spyware
- Autopsy: plataforma forense open source
- OWASP MASTG: guía de testing de seguridad móvil
- libimobiledevice: herramientas para comunicación con iOS
- NIST SP 800-101 Rev.1: guía de forensia móvil del NIST
- SANS FOR585: curso avanzado de forensia móvil
- Magnet Forensics: herramienta comercial con versión community
- Cellebrite CTF: retos de forensia móvil para practicar
Preguntas frecuentes
Libros recomendados
Artículos relacionados
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.