Extraccion Fisica vs Logica (Forense Movil)
Los dos metodos principales de adquisicion forense de dispositivos moviles: la extraccion fisica copia bit a bit toda la memoria incluyendo datos eliminados, mientras la extraccion logica solo accede a datos visibles para el usuario.
TL;DR - Extracción Fisica vs Lógica (Forense Móvil)
El móvil es la fuente de evidencia digital número 1 en procedimientos judiciales en España: el 78% de los casos con prueba digital involucran un smartphone (CGPJ, Memoria 2024). La eleccion entre extracción fisica y lógica determina si se pueden recuperar datos eliminados, lo que puede cambiar el resultado de un juicio. Cómo perito informático forense, he realizado más de 200 extracciones de móviles en los últimos 3 años, y la diferencia entre ambos métodos ha sido determinante en el 40% de los casos.
| Caracteristica | Extracción fisica | Extracción lógica |
|---|---|---|
| Datos eliminados | Si (hasta sobrescritura) | No |
| Tiempo medio | 2-8 horas | 15-60 minutos |
| Root/jailbreak | Generalmente necesario | No necesario |
| Hash verificable | Si (imagen completa) | Si (por archivo) |
| Coste pericial | 800-2.000 EUR | 400-800 EUR |
| Admisibilidad judicial | Máxima (estandar oro) | Alta (con limitaciones) |
| Tasa de éxito Android (2025) | 85-90% con herramientas comerciales | 99% |
| Tasa de éxito iPhone A12+ | 60-70% (file system), 30% (full physical) | 95% con código |
Definicion en 30 segundos
La extracción fisica y la extracción lógica son los dos métodos fundamentales de adquisición forense de dispositivos móviles. La extracción fisica genera una copia bit a bit (raw dump) de toda la memoria flash del dispositivo, capturando el sistema operativo, aplicaciones, bases de datos, archivos multimedia, datos eliminados y areas no asignadas. La extracción lógica utiliza las APIs del sistema operativo (ADB en Android, iTunes/AFC en iOS) para obtener solo los datos accesibles al usuario: contactos, mensajes, fotos, registros de llamadas y datos de aplicaciones no eliminados. Existe un tercer método intermedio, la extracción de sistema de archivos (file system extraction), que accede al sistema de archivos completo sin hacer un raw dump. La eleccion entre ambos métodos depende del caso judicial, el dispositivo, el tiempo disponible y el tipo de datos que se necesitan recuperar.
Extracción fisica: copia bit a bit del almacenamiento completo
Que es la extracción fisica
La extracción fisica (también llamada adquisición fisica, physical dump o raw extraction) consiste en copiar bit a bit toda la memoria flash del dispositivo móvil. Es el equivalente forense de clonar un disco duro completo. El resultado es una imagen binaria (raw image) que contiene absolutamente todo lo almacenado en el chip de memoria, incluyendo:
- Sistema operativo completo
- Aplicaciones instaladas y sus bases de datos internas
- Archivos multimedia (fotos, videos, audios)
- Datos eliminados que no han sido sobrescritos
- Slack space (espacio residual entre archivos)
- Particiones ocultas y areas de recuperación
- Registros de actividad del sistema (logs)
- Caches de aplicaciones y navegadores
- WAL (Write-Ahead Log) de bases de datos SQLite
- Keychain/Keystore (credenciales almacenadas, si accesible)
Cómo funciona tecnicamente: 6 métodos
| Método | Descripción | Invasividad | Herramientas | Tasa de éxito |
|---|---|---|---|---|
| JTAG | Acceso al chip de memoria via pines de depuracion en la placa base | Media-Alta | Riff Box, JTAG Finder, Z3X | 70-80% |
| Chip-off | Desoldado fisico del chip de memoria NAND para lectura directa | Destructivo | Estacion BGA, lector NAND UP-828P | 85-95% |
| Bootloader exploit | Exploit que permite acceso raw desde el modo bootloader | Baja | Cellebrite UFED, checkm8 (iOS A5-A11) | 90%+ |
| Root/Jailbreak + dd | Obtener privilegios root y copiar con herramienta dd/nanddump | Media | ADB + Magisk + dd | 80-90% Android |
| EDL mode (Qualcomm) | Modo de emergencia Qualcomm para acceso directo a flash | Baja | Cellebrite, Oxygen, QFIL | 85% chipsets Qualcomm |
| Agent-based | Agente forense inyectado temporalmente en el dispositivo | Baja-Media | Cellebrite Premium, GrayKey | 90%+ modelos soportados |
Ventajas de la extracción fisica
- Recupera datos eliminados: Mensajes borrados, fotos eliminadas, conversaciones de WhatsApp borradas permanecen en el almacenamiento hasta que se sobrescriben. En mi experiencia, he recuperado mensajes eliminados hasta 6 meses atrás
- Evidencia completa: No se puede alegar que faltan datos relevantes
- Análisis offline: La imagen puede analizarse multiples veces sin tocar el dispositivo original
- Timeline completo: Permite reconstruir la actividad del usuario con precisión de milisegundos
- Hash verificable: Se calcula SHA-256 de toda la imagen, garantizando integridad
- Independencia del SO: El análisis no depende de la versión del sistema operativo
Limitaciones de la extracción fisica
- Cifrado completo: Dispositivos con FDE/FBE activo requieren desbloqueo previo o exploits específicos
- Tiempo: Puede tardar de 2 a 8 horas dependiendo del almacenamiento (128 GB aprox. 3h, 512 GB aprox. 8h)
- Root/jailbreak: Generalmente necesario, lo que puede alterar datos (documentar en cadena de custodia)
- Coste: Herramientas cómo Cellebrite UFED cuestan 15.000+ EUR/año en licencia
- Chip-off: Destructivo (el dispositivo puede quedar inutilizable)
- Secure Enclave (iOS): Los iPhones con A12+ tienen protecciones de hardware que limitan la extracción fisica completa
Extracción lógica: datos accesibles via APIs
Que es la extracción lógica
La extracción lógica (también llamada adquisición lógica o logical extraction) obtiene los datos del dispositivo a través de las interfaces y APIs del sistema operativo. Es similar a conectar el teléfono al ordenador y copiar los archivos visibles. No accede al almacenamiento raw ni a datos eliminados.
Cómo funciona tecnicamente: 6 métodos
| Método | Descripción | Datos obtenidos | Requisito |
|---|---|---|---|
| ADB backup (Android) | Android Debug Bridge, backup nativo | Apps, datos de usuario, configuración | USB debugging activado |
| iTunes backup (iOS) | Backup local via iTunes/Finder | Apps, mensajes, fotos, contactos, keychain (si cifrado) | Confianza establecida con PC |
| AFC (Apple File Conduit) | Protocolo Apple de transferencia de archivos | Archivos multimedia, documentos | Confianza establecida |
| MTP/PTP | Protocolo de transferencia multimedia (Android) | Fotos, videos, musica, documentos | Desbloqueo + USB |
| Cloud extraction | Descarga de datos de iCloud, Google, Samsung Cloud | Todo lo sincronizado en la nube | Credenciales o token |
| Content Provider (Android) | Acceso a datos compartidos entre apps via APIs | Contactos, SMS, registro llamadas | ADB + permisos |
Datos tipicamente obtenidos con extracción lógica
| Tipo de dato | Android | iOS | Completitud |
|---|---|---|---|
| Contactos | Si | Si | Completa |
| SMS/MMS | Si | Si | Solo no eliminados |
| Registro de llamadas | Si | Si | Solo no eliminados |
| Fotos y videos (no eliminados) | Si | Si | Solo activos |
| Datos WhatsApp (no eliminados) | Si (backup local) | Si (via backup) | Parcial |
| Datos Telegram | Parcial | Parcial | Limitada |
| Historial navegador | Si | Si | Solo no borrado |
| Emails | Si | Si | Solo no eliminados |
| Datos GPS/ubicacion | Si | Si | Historial variable |
| Apps instaladas | Si | Si | Lista + datos |
| WiFi guardados | Si | Si (en backup cifrado) | Completa |
| Datos eliminados | No | No | Nunca |
| Slack space | No | No | Nunca |
| WAL/journal SQLite | No | No | Nunca |
Ventajas de la extracción lógica
- Rapidez: 15-60 minutos frente a 2-8 horas de la fisica
- No requiere root/jailbreak: Funciona con dispositivos con código conocido
- No invasiva: No altera el dispositivo ni su configuración
- Coste menor: Herramientas open source disponibles (ADB, libimobiledevice)
- Cifrado no es obstaculo: Trabaja sobre datos ya descifrados por el sistema operativo
- Tasa de éxito alta: 99% en Android, 95% en iOS (con código)
Tabla comparativa completa: 20 dimensiones
| Dimensión | Extracción fisica | Extracción lógica | File system (intermedia) |
|---|---|---|---|
| Alcance | Memoria completa (raw) | Datos visibles al usuario | Sistema de archivos completo |
| Datos eliminados | Si (hasta sobrescritura) | No | Parcial (unlinked pero no sobrescritos) |
| Slack space | Si | No | No |
| Bases de datos internas | Si (msgstore.db, etc.) | Parcial (via backup) | Si |
| WAL/journal recovery | Si | No | Si |
| Keychain/Keystore | Si (si descifrable) | Parcial (iOS backup cifrado) | Si (si root/jailbreak) |
| Tiempo de extracción | 2-8 horas | 15-60 minutos | 1-3 horas |
| Root/jailbreak | Generalmente necesario | No necesario | Generalmente necesario |
| Riesgo de alteración | Medio (root modifica) | Bajo | Medio |
| Hash de imagen | Si (imagen completa) | Si (por archivo/backup) | Si (por particion) |
| Coste herramientas | 8.000-25.000 EUR/año | 0-5.000 EUR/año | 5.000-15.000 EUR/año |
| Coste pericial | 800-2.000 EUR | 400-800 EUR | 600-1.200 EUR |
| Nivel técnico | Avanzado | Intermedio | Avanzado |
| Admisibilidad judicial | Máxima (estandar oro) | Alta (con documentación) | Muy alta |
| Cifrado FDE/FBE | Requiere bypass/código | Requiere código del dispositivo | Requiere código/bypass |
| Dispositivo destruido | Posible en chip-off | No | No |
| Android (2025) | 85-90% éxito | 99% éxito | 90-95% éxito |
| iPhone A11 o anterior | 95% (checkm8) | 99% | 95% |
| iPhone A12+ | 30-40% (full), 70% (partial) | 95% con código | 70-80% con código |
| Forense de apps | Completo (BD internas) | Parcial (lo que exporta backup) | Completo (BD internas) |
Matriz de decisión: cuando usar cada método
Usar extracción fisica cuando:
| Escenario | Justificacion | Prioridad |
|---|---|---|
| Se buscan datos eliminados | La fisica es el único método que accede a datos eliminados | Crítica |
| Caso penal grave (homicidio, agresion sexual, narcotrafico) | El estandar probatorio exige la evidencia más completa posible | Crítica |
| Se sospecha destrucción de pruebas | El investigado puede haber borrado evidencia deliberadamente | Crítica |
| Se necesita timeline completo | Reconstruccion minuto a minuto de toda la actividad | Alta |
| El dispositivo es la prueba principal | Todo el caso depende de lo que contenga el móvil | Crítica |
| Hay sospecha de apps ocultas o particiones | Aplicaciones camufladas, vaults, particiones ocultas | Alta |
Usar extracción lógica cuando:
| Escenario | Justificacion | Prioridad |
|---|---|---|
| Se buscan datos existentes (contactos, SMS, fotos) | La lógica es suficiente y mucho más rápida | Alta |
| Caso civil o laboral (despido, divorcio) | El estandar probatorio es menor que en penal | Alta |
| El tiempo es crítico (orden judicial con plazo de horas) | 15-60 min vs 2-8 horas puede ser determinante | Crítica |
| No hay acceso root posible | Es la única opcion viable | Crítica |
| Se necesita triaje rápido | Vista previa antes de decidir extracción completa | Media |
| Presupuesto limitado del cliente | 400-800 EUR vs 800-2.000 EUR | Media |
Herramientas forenses: 10 herramientas comparadas
Herramientas comerciales
| Herramienta | Fabricante | Métodos | Dispositivos | Coste aprox. | Usado por |
|---|---|---|---|---|---|
| Cellebrite UFED 4PC | Cellebrite (Israel) | Fisica + FS + Lógica + Cloud | Android + iOS (checkm8 hasta A11, FS en A12+) | 15.000-25.000 EUR/año | Guardia Civil, FBI |
| Cellebrite Premium | Cellebrite (Israel) | Fisica avanzada (agent-based) | iOS hasta A16, Android flagship | 30.000-50.000 EUR/año | FCSE, agencias nacionales |
| GrayKey (Magnet) | Magnet/Grayshift (USA) | Fisica + FS en iPhone/iPad | Especializado iOS (incluyendo A12+) | 15.000-30.000 EUR/año | Policia Nacional, DEA |
| MSAB XRY | MSAB (Suecia) | Fisica + FS + Lógica | Android + iOS + feature phones | 10.000-20.000 EUR/año | Europol |
| Oxygen Forensics | Oxygen (USA) | Fisica + FS + Lógica + Cloud | Android + iOS + cloud (50+ servicios) | 8.000-15.000 EUR/año | Peritos privados |
| Magnet AXIOM | Magnet (Canada) | Análisis (no extracción primaria) | Análisis de imagenes de cualquier herramienta | 6.000-12.000 EUR/año | Peritos, FCSE |
| MOBILedit Forensic | Compelson (Rep. Checa) | Lógica + FS avanzada | Android + iOS | 3.000-8.000 EUR/año | Peritos, presupuesto limitado |
| Belkasoft Evidence Center | Belkasoft (USA) | Análisis + extracción lógica | Android + iOS + PC + cloud | 5.000-10.000 EUR/año | Laboratorios |
Herramientas open source
| Herramienta | Tipo | Capacidad | Coste |
|---|---|---|---|
| ADB | Linea de comandos Android | Backup lógico, shell access con root | Gratuito |
| libimobiledevice | Libreria open source iOS | Backup lógico iOS | Gratuito (GitHub) |
| Autopsy | Análisis forense | Análisis imagenes, modulos WhatsApp, timeline | Gratuito |
| ALEAPP/iLEAPP | Parser extracciones Android/iOS | 150-200+ artefactos por plataforma | Gratuito (GitHub) |
| MVT | Detección spyware | Indicadores de Pegasus, Predator y spyware estatal | Gratuito (Amnesty) |
Cadena de custodia: protocolo completo
La cadena de custodia es obligatoria en ambos métodos
Independientemente del método de extracción, la cadena de custodia debe documentarse rigurosamente. La STS 300/2015 y la STS 629/2025 exigen acreditar la autenticidad e integridad de la evidencia digital. Sin cadena de custodia, la prueba puede ser inadmitida. El STC 115/2013 establece que el registro de un móvil afecta a derechos fundamentales (art. 18.1 y 18.3 CE).
Recepción del dispositivo: Documentar fecha, hora, persona que entrega, estado fisico, nivel de bateria y si esta encendido/apagado. Fotografiar el dispositivo.
Aislamiento de red: Activar modo avion O introducir en jaula de Faraday. Evita borrado remoto, actualizaciones y sincronización.
Documentación: Registrar marca, modelo, IMEI (*#06#), número de serie, versión SO, estado de cifrado, código/patrón/biometria.
Seleccion del método: Basada en la matriz de decisión, tipo de caso, datos buscados y capacidades de la herramienta.
Extracción: Ejecutar con herramienta forense. Documentar herramienta (nombre + versión), fecha/hora inicio y fin, operador, incidencias.
Hash de verificación: Calcular SHA-256 inmediatamente. Es la prueba de integridad.
Copia de seguridad: Crear al menos 2 copias en medios diferentes. Verificar hashes coinciden.
Análisis sobre copia: NUNCA analizar la imagen original. Trabajar sobre copia de trabajo.
Devolucion o custodia: Documentar devolucion o almacenar en lugar seguro con acceso restringido.
Caso práctico 1: extracción fisica revela mensajes borrados en acoso laboral
Nota: Caso basado en investigación forense real. Datos anonimizados.
Situación: Demanda por acoso laboral. La víctima presento capturas de WhatsApp del acosador. El acosador nego todo y presento su móvil con los mensajes eliminados.
Proceso forense:
Extracción lógica inicial del dispositivo del acosador: No se encontraron los mensajes. El acosador habia eliminado la conversacion 48 horas antes de entregar el móvil.
Solicitud de extracción fisica al juzgado: Explique al juez que los datos eliminados podian persistir en el almacenamiento (art. 588 sexies a LECrim).
Extracción fisica con Cellebrite UFED (3h 40min): Imagen raw de 128 GB del Samsung Galaxy S23. Hash SHA-256 documentado.
Análisis de msgstore.db incluyendo WAL y slack space: Recupere 347 mensajes eliminados con timestamps, estados de entrega y hashes de medios adjuntos.
Cruce con dispositivo de la víctima: Los received_timestamp del servidor de ambos dispositivos coincidian con diferencia de milisegundos. Prueba irrefutable.
Informe pericial con metodología ISO 27037, hash de imagen, consultas SQL ejecutadas y capturas de los mensajes recuperados.
| Metrica | Extracción lógica | Extracción fisica |
|---|---|---|
| Mensajes encontrados | 0 (eliminados) | 347 (recuperados) |
| Fotos recuperadas | 0 | 23 (capturas de pantalla) |
| Audios recuperados | 0 | 4 (notas de voz) |
| Tiempo de extracción | 25 minutos | 3h 40 minutos |
| Resultado judicial | Insuficiente | Condena |
Caso práctico 2: iPhone bloqueado en fraude empresarial
Nota: Caso basado en investigación forense real. Datos anonimizados.
Situación: Director comercial despedido tras detectarse desviacion de clientes a empresa propia. Entrega iPhone 14 Pro (A16 Bionic) bloqueado, alegando “olvido de código”.
Desafio técnico: iPhone 14 Pro con A16. No existe exploit público para extracción fisica completa. Secure Enclave protege las claves.
| Paso | Acción | Resultado |
|---|---|---|
| 1 | Orden judicial de desbloqueo al empleado | Alega olvido de código |
| 2 | Intento backup iTunes | Fallo: backup cifrado con contraseña desconocida |
| 3 | Cellebrite Premium (agent-based, soporta A16 en AFU) | File system extraction exitosa |
| 4 | Extraer ChatStorage.sqlite (WhatsApp iOS) | 2.847 mensajes con clientes desviados |
| 5 | Extraer base de datos correo | 156 emails con contratos para empresa propia |
| 6 | Analizar historial Safari + GPS | 34 visitas a oficina de empresa competidora |
| 7 | Extraer keychain | Contraseña CRM empresarial usada desde IP personal |
Resultado: Informe pericial documento exfiltración de 87 clientes durante 14 meses. Sentencia favorable por competencia desleal (art. 8-14 LCD). Indemnizacion: 340.000 EUR.
Caso práctico 3: chip-off en móvil sumergido (homicidio)
Nota: Caso basado en investigación forense real. Datos anonimizados.
Situación: Investigación de homicidio. Samsung Galaxy A52 recuperado del rio tras 72 horas sumergido. Pantalla destruida, no enciende.
| Paso | Acción | Resultado |
|---|---|---|
| 1 | Secado controlado (48h en silica gel) | Humedad eliminada |
| 2 | Inspeccion PCB con microscopio | Chip eMMC intacto |
| 3 | Intento JTAG | Fallo: pines corroidos |
| 4 | Chip-off: Desoldado eMMC (260C, 45s) | Chip extraido sin daño |
| 5 | Lectura en programador UP-828P | Imagen raw 64 GB |
| 6 | Descifrado FBE parcial | Datos AFU accesibles |
| 7 | Análisis con Physical Analyzer | 12.400 mensajes + 340 fotos + GPS |
Datos críticos recuperados:
- Historial GPS con presencia del sospechoso en ubicacion del crimen
- 47 mensajes WhatsApp con la víctima en las 24h previas
- 3 fotos geoetiquetadas en la ubicacion a la hora del delito
- Busquedas en Google relacionadas con ocultacion de evidencia
Resultado: La evidencia digital fue determinante para la acusacion. Chip-off: única opcion viable. Honorario: 3.200 EUR (chip-off + análisis completo).
Precios orientativos en España (2026)
| Servicio | Precio | Incluye | Plazo |
|---|---|---|---|
| Extracción lógica básica | 400-800 EUR | Backup + análisis + informe | 3-5 días |
| Extracción file system | 600-1.200 EUR | FS + BD apps + análisis + informe | 5-10 días |
| Extracción fisica completa | 800-2.000 EUR | Raw dump + WAL recovery + informe | 7-15 días |
| Chip-off | 1.500-3.500 EUR | Desoldado + lectura + análisis + informe | 10-20 días |
| Cloud extraction | 500-1.500 EUR | iCloud/Google + análisis + informe | 5-10 días |
| Ratificación judicial | 300-600 EUR | Asistencia a vista, defensa oral | 1 día |
| Servicio completo | 2.000-5.000 EUR | Fisica + cloud + informe + ratificación | 15-30 días |
Marco legal: admisibilidad en España
LECrim
- Art. 588 sexies a): Autorización judicial para registro de dispositivos informáticos en via penal.
- Art. 588 sexies b): La extracción debe realizarse con garantias de integridad.
- Art. 588 sexies c): Principio de proporcionalidad. No se puede “pescar” indiscriminadamente.
LEC
- Art. 299.2: Admite instrumentos que permiten archivar y conocer datos.
- Art. 382-384: Prueba por instrumentos informáticos. El perito ratifica.
Jurisprudencia clave
- STC 115/2013: Registro de móvil requiere autorización judicial (art. 18.1 y 18.3 CE).
- STS 204/2016: Acceso a contenido de teléfono sin autorización judicial inválida la prueba.
- STS 629/2025: Flexibiliza admision de prueba digital, mantiene exigencia de cadena de custodia.
- STS 489/2018: Distingue entre incautacion del dispositivo y registro del contenido.
- STEDH Barbulescu v. Rumania (2017): Límites al control de comunicaciones de empleados.
Autorización judicial: cuando es necesaria
| Contexto | Autorización | Base legal |
|---|---|---|
| Investigación penal (móvil del investigado) | Obligatoria | Art. 588 sexies a LECrim |
| Tu propio móvil (preservar evidencia) | No necesaria | Propietario |
| Móvil de empresa (empleado investigado) | Depende: si hay expectativa de privacidad, si | Art. 20.3 ET + STC 170/2013 |
| Móvil encontrado sin propietario | Necesaria para contenido | Art. 588 sexies a LECrim |
Preguntas relacionadas
1. Puedo hacer una extracción fisica de mi propio teléfono?
Si. Cómo propietario del dispositivo, puedes realizar o encargar una extracción fisica de tu propio teléfono sin necesidad de autorización judicial. Esto es útil para preservar evidencia antes de presentar una denuncia o demanda: si recibes amenazas por WhatsApp y temes que el agresor las borre remotamente, la extracción preserva esa evidencia. Lo que no puedes hacer es extraer datos del teléfono de otra persona sin su consentimiento o autorización judicial (art. 197 CP, descubrimiento y revelacion de secretos, pena 1-4 años). Cómo perito, recomiendo realizar la extracción lo antes posible para maximizar la recuperación de datos eliminados, ya que cada día que pasa aumenta la probabilidad de que los datos se sobrescriban.
2. La extracción fisica funciona en iPhones modernos?
Depende del modelo y las circunstancias. Los iPhones con chip A12 o posterior (iPhone XS en adelante, toda la linea desde 2018) tienen protecciones de hardware (Secure Enclave) que dificultan la extracción fisica completa. Cellebrite Premium y GrayKey pueden realizar extracción de sistema de archivos (file system) en la mayoria de modelos hasta A16 con el código de desbloqueo conocido y el dispositivo en estado AFU (After First Unlock, es decir, desbloqueado al menos una vez desde el último encendido). Para iPhones A11 o anteriores (iPhone X, 8, 7, 6s, SE 1a gen), el exploit checkm8 permite extracción fisica completa independientemente de la versión de iOS. La situación evoluciona constantemente: cada actualización de iOS puede cerrar o abrir vectores de acceso.
3. Que pasa si el móvil esta roto o danado?
Si la pantalla esta rota pero el chip de memoria esta intacto, la extracción fisica es posible mediante JTAG (acceso a pines de depuracion) o chip-off (desoldado del chip). El chip-off es un procedimiento destructivo pero permite leer directamente los datos del chip NAND/eMMC. Para dispositivos sumergidos en agua, la probabilidad de recuperación depende del tiempo de exposición, el tipo de agua (dulce vs salada) y si se produjo cortocircuito en el chip de memoria. En mi experiencia, la tasa de éxito de chip-off en dispositivos danados fisicamente es del 60-75%. El coste del chip-off (1.500-3.500 EUR) se justifica en casos graves donde la evidencia del móvil es crítica, cómo homicidios, agresiones sexuales o fraudes de gran cuantia.
4. Cuanto cuesta una extracción forense de móvil?
En España, los costes orientativos para 2026 son: extracción lógica básica (400-800 EUR), extracción de sistema de archivos (600-1.200 EUR), extracción fisica completa (800-2.000 EUR), chip-off (1.500-3.500 EUR). El análisis posterior y la elaboración del informe pericial se facturan aparte (400-1.500 EUR según complejidad). La ratificación judicial tiene un coste adicional de 300-600 EUR. Un servicio completo (extracción + análisis + informe + ratificación) oscila entre 2.000 y 5.000 EUR. El precio depende del tipo de dispositivo (iPhone vs Android), el método de extracción necesario y el volumen de datos a analizar.
5. Se puede saber si alguien ha hecho una extracción de mi móvil?
En teoria, una extracción lógica via ADB o iTunes no deja rastros visibles para el usuario común. Sin embargo, un perito experimentado puede detectar indicadores: activacion del modo desarrollador (Android), certificados de confianza anadidos (iOS), root/jailbreak residual, timestamps de acceso modificados en archivos del sistema, o registros de conexión USB en los logs. En iOS, el “lockdown record” registra cada ordenador de confianza. Herramientas cómo MVT (Mobile Verification Toolkit) de Amnesty International pueden detectar indicios de acceso forense o spyware cómo Pegasus o Predator.
6. Que diferencia hay entre extracción fisica, lógica y cloud?
La extracción fisica copia la memoria del dispositivo (datos locales + eliminados). La extracción lógica obtiene datos visibles via APIs. La cloud extraction descarga datos sincronizados en la nube (iCloud, Google Drive, WhatsApp backup, Samsung Cloud). Los tres métodos son complementarios: un análisis forense completo deberia combinar los tres para obtener la imagen más completa posible. Los datos de la nube pueden incluir mensajes de dispositivos anteriores ya no disponibles fisicamente, fotos sincronizadas desde otros dispositivos y backups históricos. En mi práctica, combino las tres fuentes en el 70% de mis peritajes para maximizar la evidencia recuperada y reforzar la autenticidad mediante correlación cruzada entre fuentes independientes.
Referencias y fuentes
NIST SP 800-101 Rev. 1. “Guidelines on Mobile Device Forensics”. National Institute of Standards and Technology, 2014. DOI: 10.6028/NIST.SP.800-101r1
Cellebrite. (2025). “UFED Premium - Mobile Forensic Extraction Solution”. Documentación técnica oficial. Petah Tikva, Israel.
Grayshift/Magnet. (2025). “GrayKey Full Extraction Capabilities - Supported Devices Matrix”. Atlanta, USA.
SWGDE. (2024). “Best Practices for Mobile Device Evidence Collection and Preservation”. Scientific Working Group on Digital Evidence.
Ley Orgánica 13/2015, de 5 de octubre, de modificación de la LECrim. Artículos 588 sexies a-c. BOE num. 239.
Tribunal Constitucional. STC 115/2013. Registro de dispositivos móviles y derechos fundamentales.
Tribunal Supremo. STS 204/2016 (Sala 2a). Nulidad de prueba obtenida de móvil sin autorización judicial.
Tribunal Supremo. STS 489/2018 (Sala 2a). Distinción entre incautacion y registro de contenido.
ISO/IEC 27037:2012. “Guidelines for identification, collection, acquisition and preservation of digital evidence”.
SANS Institute. (2025). “Advanced Smartphone Forensics - FOR585”. Materiales de referencia sobre forense móvil.
Oxygen Forensics. (2025). “Mobile Forensic Extraction Methods Compared”. Análisis comparativo.
CGPJ. (2024). “Memoria Anual 2024 - Estadisticas sobre prueba digital”. Madrid.
TEDH. Barbulescu v. Rumania (Gran Sala, 2017). ECLI:CE:ECHR:2017:0905JUD006149608.
checkm8/checkra1n Project. (2025). “iOS Bootrom Exploit: Supported Devices”. Documentación técnica.
Última actualización: Marzo 2026 Categoria: Análisis Forense (FOR-046) Nivel técnico: Avanzado Relevancia: Muy Alta (el móvil es la fuente de evidencia #1 en procedimientos judiciales)
Preguntas Frecuentes
Cual es la diferencia entre extraccion fisica y logica?
La extraccion fisica copia bit a bit toda la memoria flash del dispositivo, incluyendo datos eliminados, slack space y areas no asignadas. La extraccion logica solo accede a los datos visibles para el usuario a traves de las APIs del sistema operativo, como contactos, mensajes y fotos no eliminadas.
La extraccion fisica puede recuperar mensajes de WhatsApp borrados?
Si. La extraccion fisica accede al almacenamiento completo, incluyendo el WAL (Write-Ahead Log) de las bases de datos SQLite de WhatsApp, donde los mensajes eliminados persisten hasta que se sobrescriben. La extraccion logica solo accede a mensajes no eliminados.
Que herramientas se usan para extraccion fisica de moviles?
Las principales herramientas son Cellebrite UFED (la mas usada en Espana), GrayKey de Grayshift (especializada en iPhone), MSAB XRY, Oxygen Forensics Detective, y para Android con root se puede usar dd o nanddump desde ADB.
Se necesita root o jailbreak para la extraccion fisica?
Generalmente si. La extraccion fisica requiere acceso privilegiado al almacenamiento. En Android, esto implica root o exploits del bootloader. En iOS, Cellebrite y GrayKey utilizan exploits propietarios (checkm8 para iPhones hasta A11). Sin root/jailbreak, solo es posible extraccion logica o de sistema de archivos.
La extraccion logica es admisible como prueba en juicio?
Si, es admisible si se documenta correctamente la cadena de custodia y se calcula el hash del resultado. Sin embargo, la extraccion fisica es preferible porque es mas completa y la parte contraria no puede alegar que se omitieron datos eliminados relevantes.
Términos Relacionados
Imagen Forense
Copia exacta bit a bit de un dispositivo de almacenamiento que preserva toda la información original, incluyendo archivos borrados y espacio no asignado, para su análisis forense.
Cadena de Custodia
Procedimiento documentado que garantiza la integridad, autenticidad y trazabilidad de la evidencia digital desde su recolección hasta su presentación en juicio.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita