924 09 06 08

Análisis forense de móviles: qué se puede recuperar de iPhone y Android

Forenlab Peritos Informáticos móvil · iPhone · Android · informática forense

Análisis forense de móviles: qué se puede recuperar de iPhone y Android

El análisis forense de un móvil es uno de los servicios periciales más demandados: divorcios con disputas sobre conversaciones, despidos por uso indebido del terminal corporativo, casos de acoso, estafas financieras o investigaciones internas en empresa. La duda recurrente es qué se puede recuperar realmente y qué diferencia hay entre un iPhone y un Android en términos forenses. Esta guía da una visión completa.

Qué es el análisis forense de un móvil

Es la extracción y análisis con metodología forense de la información contenida en un dispositivo móvil. La extracción se hace con bloqueo de escritura, herramientas certificadas y cadena de custodia documentada. El análisis se hace sobre la copia, no sobre el dispositivo original. El resultado se plasma en un informe pericial defendible en sala.

El perito tiene cuatro grandes preguntas que responder:

  1. Qué información está en el móvil.
  2. Qué información ha sido borrada y puede recuperarse.
  3. Cuándo y desde dónde se generaron los datos clave.
  4. Quién operaba el móvil en cada momento (cuando es deducible).

Qué se puede extraer de un móvil

Comunicaciones

  • Mensajería instantánea: WhatsApp, Telegram, iMessage, Signal, Messenger, Instagram DM, SMS, MMS. Incluye mensajes borrados que aún están en la base SQLite.
  • Llamadas: registro de entrantes, salientes, perdidas, duración, contactos asociados. En algunos casos, grabaciones de llamada si están guardadas localmente.
  • Correo electrónico: cuentas configuradas, mensajes descargados, adjuntos.

Actividad y patrones

  • Historial de navegación: URLs visitadas, búsquedas, marcadores, cookies.
  • Apps instaladas y desinstaladas: lista completa con fechas.
  • Notificaciones: registros recientes (limitados en versiones modernas por privacidad).
  • Patrones de uso: horas de actividad, app más usada, tiempo de pantalla.

Multimedia

  • Fotografías y vídeos: incluidos los borrados de la galería pero presentes en caché o en backups locales.
  • Archivos de audio: grabaciones, mensajes de voz.
  • Capturas de pantalla: con sus metadatos EXIF (fecha, hora, geolocalización si está activada).

Ubicación y movimiento

  • Geolocalización: histórico GPS (en iPhone, “Ubicaciones significativas”; en Android, “Cronología de Google”).
  • WiFi conocidas: redes a las que se ha conectado el móvil, ordenadas cronológicamente.
  • Bluetooth: dispositivos emparejados.

Identidad y cuentas

  • IMEI y número de serie del dispositivo.
  • Cuentas configuradas: Apple ID, Google, Facebook, etc.
  • Tarjetas SIM insertadas (histórico).

Archivos y documentos

  • Archivos descargados: PDFs, documentos Office, imágenes.
  • Carpeta de descargas y caché.
  • Sincronización con cloud: iCloud Drive, Google Drive, Dropbox.

Diferencias entre iPhone y Android

AspectoiPhone (iOS)Android
Cifrado por defectoSí (AES-256 con TEE)Sí desde Android 6+
Acceso sin contraseñaCasi imposible en modelos modernosVariable según marca/modelo
Profundidad de extracciónLimitada por seguridad iOSMás profunda con root o exploits
Backups útilesBackup iCloud / iTunesBackup Google + Helium
Recuperación de borradosBuena hasta cierto puntoMejor en Android sin TRIM
Geolocalización útilUbicaciones significativas, fotos EXIFCronología Google muy detallada
Apps de mensajeríaWhatsApp, iMessage, SignalIdem + apps de fabricante

iPhone

iOS tiene un nivel de cifrado y seguridad muy alto. Sin código de desbloqueo, en modelos recientes (iPhone X y posteriores) la extracción profunda no es viable con métodos legales y comerciales. Lo que sí permite el peritaje:

  • Acceso con código del titular y firma de cesión voluntaria.
  • Análisis de backups iTunes locales (cifrados o no).
  • Análisis de iCloud con credenciales del titular.
  • Extracción AFU (After First Unlock) si el móvil está encendido y desbloqueado al menos una vez tras el último reinicio.

Android

La extracción depende del fabricante, la versión Android y si el móvil tiene root. En general:

  • Extracción lógica con ADB autorizado por el titular.
  • Extracción física con exploits para algunos modelos antiguos.
  • Análisis de backup completo con herramientas como Magnet AXIOM o Cellebrite UFED.
  • En Android sin TRIM, la recuperación de archivos borrados es notablemente mejor que en iPhone.

Casos típicos y qué se puede recuperar

Caso 1: divorcio con sospecha de infidelidad

  • Mensajes de WhatsApp y otras apps de mensajería.
  • Histórico de llamadas con duración y horarios.
  • Geolocalización (ubicaciones frecuentes y horas).
  • Fotos y vídeos con metadatos EXIF.
  • Apps de citas instaladas/desinstaladas con fechas.

Caso 2: despido por uso indebido del móvil corporativo

  • Histórico de navegación.
  • Tiempo en cada app (especialmente apps no laborales).
  • Comunicaciones con competidores o terceros.
  • Archivos enviados desde el móvil.
  • Geolocalización en horario laboral.

Caso 3: extorsión o chantaje

  • Conversaciones con el extorsionador.
  • Análisis de cabeceras de email.
  • Grabaciones de audio.
  • Identificación de cuentas asociadas al extorsionador.

Caso 4: identificación tras pérdida o robo

  • Última ubicación conocida.
  • Acceso al cloud con credenciales del titular.
  • Identificación de tarjetas SIM nuevas.

Lo que NO se puede recuperar

Es importante ser realista. Hay límites técnicos absolutos:

  • Conversaciones de WhatsApp que se borraron y luego se hizo un factory reset del móvil.
  • Información en un iPhone bloqueado del que no se conoce el código.
  • Fotos en iCloud purgadas hace más de 30 días por el propietario.
  • Mensajes “que desaparecen” de Telegram o Signal, una vez expirado el plazo y reiniciado el dispositivo.
  • Información en apps que cifran datos localmente con clave que se pierde al reiniciar (Signal, algunas configuraciones de WhatsApp).

Cadena de custodia en peritaje móvil

El protocolo es el mismo que en cualquier evidencia digital, con dos particularidades:

  1. Modo avión o caja Faraday durante la extracción para evitar que el dispositivo reciba comandos remotos (borrado a distancia, MDM corporativo).
  2. Documentación del estado de batería y conectividad al recoger el móvil.

Más detalle en nuestra guía sobre cadena de custodia digital.

Preguntas frecuentes

¿Puedo entregarte el móvil de mi pareja para que lo perites? Solo si ella lo entrega voluntariamente y firma la cesión. Acceder a un móvil ajeno sin autorización constituye delito (art. 197 CP).

¿Cuánto tarda el peritaje? Desde 5 días en validaciones de WhatsApp hasta 3-4 semanas en peritajes complejos con análisis de múltiples apps y recuperación de borrados.

¿Mi móvil se romperá durante la extracción? No. La extracción no abre ni daña el dispositivo. Se hace por las interfaces estándar del móvil con bloqueo de escritura.

¿Y si el móvil tiene control parental o MDM corporativo? El peritaje debe coordinarse con el titular del MDM (la empresa) para evitar que se borre el dispositivo durante la extracción.

¿Vale el backup de iCloud o de Google sin tener el móvil físico? Sí, con menor profundidad pero válido. Es la opción cuando el móvil se ha perdido o ha sido destruido.

Conclusión

El análisis forense de un móvil puede aportar pruebas decisivas en procedimientos civiles, penales, laborales y de familia. Las posibilidades dependen del modelo, sistema operativo, estado de cifrado y estado físico del dispositivo. En Forenlab realizamos peritajes de iPhone y Android con extracción AFU, recuperación de borrados, análisis de WhatsApp y cadena de custodia documentada. Contáctanos y evaluamos tu caso en menos de 24 horas laborables.