Técnicas de Recolección de Evidencia Digital

Procedimientos forenses para adquisición segura de información digital

← Clasificación
🔍

Metodología Forense de Recolección

Las técnicas de recolección de evidencia digital siguen protocolos estandarizados que garantizan la integridad, autenticidad y admisibilidad de la información en procesos judiciales, aplicando el principio de no alteración de la evidencia original.

Técnicas Especializadas de Recolección

💾

Adquisición Forense

Creación de copias bit-a-bit de dispositivos de almacenamiento manteniendo integridad probatoria.

  • Imagen física completa: Copia sector por sector del dispositivo
  • 🛡️ Write blocking: Uso de bloqueadores de escritura
  • 🔢 Verificación hash: Cálculo de MD5/SHA1 para integridad
  • 📁 Formatos forenses: E01, AFF, RAW con metadatos
  • Adquisición live: Para sistemas en funcionamiento
🛠️ Herramientas: FTK Imager, Guymager, dd (Linux), Tableau Forensic Imager
🧠

Captura de Volátiles

Recolección prioritaria de información que se pierde al apagar el dispositivo.

  • Memoria RAM: Volcado completo de memoria con FTK Imager
  • 📱 Procesos activos: Lista de aplicaciones en ejecución
  • 🌐 Conexiones de red: Sesiones establecidas y puertos abiertos
  • 🔑 Credenciales: Contraseñas en memoria, tickets Kerberos
  • 💬 Comunicaciones: Chats, emails abiertos, documentos sin guardar
⚠️ Prioridad: Primero datos volátiles, luego almacenamiento persistente
📱

Dispositivos Móviles

Técnicas especializadas para smartphones, tablets y wearables.

  • 📶 Aislamiento: Bolsas Faraday para evitar borrado remoto
  • 🔋 Alimentación: Mantener carga durante extracción
  • 📊 Extracción lógica: Datos accesibles vía APIs
  • 💾 Extracción física: Acceso directo a memoria flash
  • ☁️ Datos en nube: Backup, sincronización en servicios
🛠️ Herramientas: Cellebrite UFED, Oxygen Forensic, Mobiledit, AXIOM

Consideraciones Legales y Técnicas

Aspectos críticos que garantizan la validez probatoria de la evidencia digital

⚖️

Marco Legal

Cumplimiento de leyes locales, tratados internacionales y estándares de admisibilidad probatoria.

  • Orden judicial/autorización
  • Principio de proporcionalidad
  • Respeto a derechos fundamentales
  • Convenio de Budapest
🔐

Cadena de Custodia

Documentación completa del manejo de evidencia desde su recolección hasta presentación en juicio.

  • Registro de fecha/hora
  • Identificación de responsables
  • Almacenamiento seguro
  • Control de accesos
📝

Documentación

Evidencia fotográfica, formatos forenses y registros detallados de cada procedimiento.

  • Fotografías de la escena
  • Formato FPJ-41 (Fiscalía)
  • Diagramas y croquis
  • Narrativa del procedimiento

🔄 Flujo de Trabajo Forense

1

Preparación y Planificación

Identificación de dispositivos, preparación de herramientas, obtención de autorizaciones legales

2

Documentación de Escena

Fotografías, video, croquis, identificación de dispositivos y conexiones

3

Aislamiento y Seguridad

Desconexión controlada, uso de bolsas Faraday, protección de red

4

Recolección Volátil

Captura de memoria RAM, procesos, conexiones (equipos encendidos)

5

Adquisición Forense

Creación de imágenes forenses con write blockers y verificación hash

6

Embalaje y Transporte

Uso de embalaje antiestático, etiquetado, cadena de custodia

🎯 Ejercicio: Selección de Técnicas

📋 Escenario: Allanamiento Oficina

Procedimiento en empresa por filtración de información. Se encuentran:

  • 💻 Computadora de escritorio (ENCENDIDA con documentos abiertos)
  • 📱 Teléfono corporativo (recibiendo notificaciones)
  • 🖥️ Servidor de archivos (APAGADO)
  • 📹 Sistema CCTV con DVR (grabando)

Selecciona las técnicas adecuadas para cada dispositivo:

🧠 Captura RAM + 💾 Imagen forense
📶 Bolsa Faraday + 📱 Extracción lógica/física
💾 Imagen forense con write blocker
🎥 Extracción DVR + 🔌 Preservación grabaciones
📷 Fotografía documental + 📝 Formato FPJ-41
← Inicio