Laboratorio de

Informática Forense

Dra. Ingrid Johana Romero Escribá. Administración 2022-2027

OTD-DTC-LAB-064 Versión 01
Esta guía será de utilidad para autoridad competente con el fin de realizar las solicitudes de
análisis y remisión de indicios conforme a los servicios que presta la institución actualmente.
La información de este documento se basa en la guía identificada como
OTD-DTC-LAB-064 versión 01.
 Laboratorio de
Informática Forense
 Índice

Presentación 7
5
1. Informática Forense 9
2. Laboratorio De Informática Forense 9
3. Servicios que ofrece el laboratorio 9
3.1. Descargas de seguridad de plataformas que prestan servicios en internet 9
3.2. Análisis de dispositivos móviles 9
3.3. Análisis de computadoras y dispositivos de almacenamiento 10
3.4. Indicios que se analizan en el Laboratorio de Informática Forense de INACIF 10
4. Análisis que no realiza el laboratorio 10
5. Requisitos para solicitar servicios (indicios y solicitud de análisis) 11
5.1. Recomendaciones para el embalaje 11
5.2. Recomendaciones generales 11
5.3. ¿Cómo solicitar los análisis? 11
6. Tiempo de análisis 11
7. Glosario 12
Presentación 7
El Instituto Nacional de Ciencias Forenses de Guatemala -INACIF- presenta procedimientos analíticos para la obtención de los resultados y evidencia la
esta versión actualizada de la Guía de Servicios del Laboratorio de Informática competencia técnica y operativa del área.
Forense, como una herramienta útil a la autoridad competente que realiza
Adicionalmente, la presente guía es útil como fuente de información para
requerimientos a dicho laboratorio, en el marco de una investigación penal.
personas individuales y entidades afines, que deseen conocer la gama de
Asimismo, esta versión incluye los servicios de análisis informático servicios con la que cuenta el Laboratorio de Informática Forense del INACIF
forense relacionados a: descargas de seguridad de plataformas que prestan y que evidencia el compromiso de la institución de poner a disposición del
servicios en internet (redes sociales, correos electrónicos con credenciales Sector Justicia, investigación científico forense de calidad internacional.
de acceso); análisis de dispositivos móviles (celulares, tablets, tarjetas SIM) y
Es importante tomar en cuenta que el trabajo conjunto entre Organismo
análisis de computadoras y dispositivos de almacenamiento.
Judicial, Ministerio Público, INACIF y demás instituciones del sector justicia,
Uno de los servicios que actualmente presta el Laboratorio de Informática es determinante para generar un sistema oportuno y adecuado a las
Forense (Análisis de dispositivos móviles (tarjetas SIM)) cuenta con una necesidades del país. En ese sentido, es básico el intercambio de
metodología acreditada bajo la Norma de Calidad Internacional ISO/IEC información y la generación de guías y otros documentos que permitan
17025:2017. Esta acreditación demuestra la estandarización de los establecer las directrices y los requisitos idóneos para su funcionamiento.
1. INFORMÁTICA FORENSE
Según el FBI, la Informática Forense es la ciencia de adquirir, preservar, obtener y presentar datos que
han sido procesados electrónicamente y almacenados en un medio computacional.

2. LABORATORIO DE INFORMÁTICA FORENSE

Los análisis correspondientes al Laboratorio de Informática Forense de INACIF, por su función, son
análisis denominados Post-mortem, debido a que no se asiste a la escena del crimen para realizar

9
imágenes forenses en el lugar o para extraer datos en sistemas activos.

3. SERVICIOS QUE OFRECE EL LABORATORIO

Los servicios que presta el laboratorio actualmente son aplicables a todos los hechos en donde se
hayan utilizado dispositivos de almacenamiento digital o las Tecnologías de Información y
Comunicación (TICs), como medio o fin para cometer un delito.

3.1. Descargas de seguridad de plataformas que prestan servicios en internet (Redes

sociales, correos electrónicos con credenciales de acceso)
Análisis de perfiles de redes sociales con credenciales de acceso (voluntario)
Facebook
Google takeout (servicios asociados a Google)
Twitter
Snapchat
Instagram
WhatsApp (conversaciones)

3.2 Análisis de dispositivos móviles (celulares, tablets, tarjetas SIM)

Registro de llamadas
Registro de chats
Registro de mensajes
Registro de contactos
 Registro de imágenes Redes inalámbricas a las que se hubiera conectado una
Registro de videos computadora portátil
Registro de audios Análisis de firmas de los archivos contenidos
Registro de correos electrónicos Búsquedas en el historial de navegación
Timeline de actividad del dispositivo Recuperación de contraseñas almacenadas en los
Redes inalámbricas a las que se hubiera conectado el dispositivo navegadores de internet
Desbloqueo de patrones y contraseñas Determinar registros de los dispositivos usb conectados a la
Cuentas asociadas al dispositivo computadora
Existencia de aplicaciones instaladas Existencia de programas instalados
Determinar el proveedor de servicio Usuarios del sistema
Historial de navegación Análisis de contenedores de correos electrónicos
Eventos en el calendario 3.4 Indicios que se analizan en el Laboratorio de Informática
Análisis de correspondencia de IMEI Forense de INACIF
3.3 Análisis de computadoras y dispositivos de almacenamiento Computadoras
Búsqueda, restauración y extracción de archivos de: Discos duros
Imagen Discos ópticos (CD, DVD, BLURAY)
Audio Tarjetas de memoria (SD, Micro SD, etc.)
Video DVR (bajo ciertos criterios)
Documentos Memorias USB
Correos electrónicos Teléfonos celulares
Historial de internet Tablets
Archivos comprimidos Tarjetas SIM
Archivos ejecutables Cajas y dongles de flasheo
Recuperación de datos y archivos en espacio no asignado Cámaras fotográficas y/o de video
Localización y análisis de máquinas virtuales
4. ANÁLISIS QUE NO REALIZA EL LABORATORIO
Determinar línea de tiempos de creación, modificación y
ultimo acceso de archivos Rastreos de direcciones IP en la web
Determinar hora del último inicio de sesión Mejoramiento y análisis de video
Análisis de registros de la computadora Mejoramiento y análisis de imágenes
 Mejoramiento y análisis de audio 5.2 Recomendaciones generales
Análisis de funcionamiento, verificación o identifición de características Manipular los equipos adecuadamente.
de routers, moduladores, radio-transmisores. No someter a vibraciones.
Dispositivos que no tienen almacenamiento local No exponer los dispositivos a altas o bajas temperaturas.
Alejar fuentes electromagnéticas.
5. REQUISITOS PARA SOLICITAR SERVICIOS (INDICIOS Y SOLICITUD DE
Realizar una adecuada descripción de los indicios.
ANÁLISIS)
No colocar en la descripción del indicio, datos que no son visibles

11
5.1 Recomendaciones para el embalaje o que se consultan en el sistema, como por ejemplo el IMEI
Las computadoras y discos duros, se deben embalar en cajas de lógico; esto es motivo de rechazo.
cartón, procurando que queden fijos a la misma, haciendo uso de
5.3 ¿Cómo solicitar los análisis?
sujetadores plásticos, con el fin de evitar que sufran golpes o
Es necesario que el documento de cadena de custodia contenga
vibraciones que puedan dañar los dispositivos.
lo siguiente:
Los discos ópticos, tarjetas de memoria y memorias USB, pueden
Referencia MP
ser embalados en sobres de papel manila y deben evitar la
Tipo de Dispositivo
exposición de los mismos a los rayos solares.
Fecha de recolección
Los dispositivos móviles como teléfonos celulares y tablets,
Marca, modelo, serie, capacidad de almacenamiento,
pueden ser embalados en sobres de papel manila, bolsas Faraday
descripción física
o cajas de cartón, evitando que sufran golpes que puedan dañar
Lugar de recolección
componentes electrónicos internos.
Solicitud específica
De ser posible, se debe colocar el dispositivo en modo avión y
Si es un DVR, en la solicitud se debe colocar la fecha y hora
deshabilitar las conexiones Wifi, Bluetooth y de transmisión de
(específica) del suceso que se investiga, o de lo contrario la
datos.
fiscalía debe adjuntar un disco duro de la misma capacidad para
Si al dispositivo no es posible deshabilitarle las opciones
grabar el resultado de la extracción.
descritas, o no se puede apagar, se recomienda trasladar en
Debe adjuntarse un oficio o describir en la cadena de custodia
bolsas Faraday o bien cubrirlo con cinco o más capas de papel
una breve reseña del hecho, con el fin de orientar la búsqueda
aluminio.
de archivos y datos.
Se recomienda, que de ser posible, se solicite al dueño del
La solicitud debe indicar qué es lo que se necesita, debido a que
dispositivo, el pin, código, contraseña o el patrón de desbloqueo
se rechazará si únicamente indica “informática forense o
del mismo.
guarda y custodia”
6. TIEMPO DE ANÁLISIS
El tiempo requerido para emitir un dictamen por el Laboratorio de Informática Forense es de 30 días
aproximadamente a partir de que el caso sea asignado al perito correspondiente.

7. GLOSARIO
Archivo Electrónico: conjunto de información que se almacena para consultarse o utilizarse posteriormente.
Código Hash: algoritmo Matemático el cual se utiliza para hacer una comprobación criptográfica o un

13
código de integridad de la evidencia informática o de comunicaciones.

Copia de seguridad: es un duplicado de la información importante, que se realiza para salvaguardar los
archivos, por si ocurriese algún problema que impida acceder a los archivos originales almacenados.

Disco óptico: es un disco en el cual los datos se graban y se leen a través de rayos láser.

Imagen Forense: proceso que se requiere para generar una copia “bit-a-bit” de todo el medio de
almacenamiento, el cual permitirá recuperar en el siguiente paso, toda la información contenida y borrada
del disco duro.
IMEI (International Mobile Equipment): el identificador internacional de equipos móviles, permite
identificar teléfonos móviles GSM, su longitud típica es de 15 dígitos.

Memoria Flash: tipo de memoria que puede ser borrada y reprogramada en unidades de memoria llamadas
"bloques".
Metadatos: es información que caracteriza o describe el contenido, calidad, condiciones, historia,
disponibilidad y otras características de los datos o archivos.
SIM (Subscriber Identity Module / Módulo de Identidad del Suscriptor): es una tarjeta inteligente que
guarda importantes datos en red necesarios para realizar una conexión con el proveedor de la red celular.
Tarjeta de memoria micro SD: una tarjeta de memoria micro SD, es un formato para tarjetas de memoria
flash para el almacenamiento de archivos digitales en dispositivos electrónicos. Es especialmente usado en
teléfonos móviles, dispositivos GPS portátiles, reproductores de MP3, consolas de videojuegos, entre otros.
Teléfono móvil: dispositivo de comunicación que realiza una serie de funciones que van desde un simple
organizador digital a una computadora personal de bajo nivel. Su tamaño es regularmente compacto, con batería y
peso ligero. Estos dispositivos se conectan a una red de comunicaciones inalámbricas a través de transmisiones de
ondas de radio o satélites