¿Qué es Oxygen Forensic Detective?

Oxygen Forensic Detective es una plataforma profesional de informática forense diseñada para la extracción, adquisición, decodificación, recuperación, análisis, correlación y presentación de evidencia digital proveniente de dispositivos móviles, computadoras, servicios en la nube, drones, respaldos, tarjetas SIM/UICC, imágenes forenses y múltiples fuentes de datos. Su objetivo principal es permitir que investigadores, peritos, cuerpos policiales, analistas DFIR, equipos de respuesta a incidentes y laboratorios forenses obtengan evidencia digital de forma rápida y estructurada.

Oxygen Forensic Detective es considerada una de las suites más completas del mercado debido a que integra en una sola plataforma capacidades de:

• Adquisición de evidencia.
• Extracción física y lógica.
• Análisis de sistemas móviles.
• Análisis de computadoras.
• Extracción de servicios en la nube.
• Recuperación de datos eliminados.
• Descifrado y acceso a información protegida.
• Correlación de múltiples fuentes.
• Generación de reportes periciales.

Capacidades Principales

1. Extracción de Dispositivos Móviles

Es una de las áreas más fuertes de Oxygen.

Permite adquirir información de:

• Smartphones Android.
• Tablets Android.
• iPhone.
• iPad.
• Dispositivos con HarmonyOS.
• Dispositivos con múltiples chipsets y fabricantes.

Métodos de extracción Android

Dependiendo del dispositivo puede realizar:

Extracción Física

Obtiene una copia de bajo nivel de la memoria del dispositivo.

Permite:

• Recuperación de archivos eliminados.
• Análisis profundo del sistema.
• Recuperación de bases de datos.
• Análisis de particiones.

Full File System (FFS)

Obtiene acceso al sistema de archivos completo.

Permite recuperar:

• Aplicaciones.
• Bases de datos SQLite.
• Configuraciones.
• Tokens.
• Información de usuario.

Android Agent

Instala un agente temporal para recopilar información.

Puede extraer:

• Contactos.
• SMS.
• Llamadas.
• Calendarios.
• Aplicaciones de terceros.
• Archivos multimedia.

La versión 18 incorpora extracción combinada de múltiples aplicaciones y fuentes en una sola adquisición.

Application Downgrade Extraction

Permite obtener información de ciertas aplicaciones mediante técnicas de downgrade compatibles con versiones soportadas.

2. Extracción de iPhone y iPad

Oxygen ofrece varios métodos para dispositivos Apple.

iOS Agent

Permite:

• Extracción Full File System.
• Extracción de Keychain.
• Obtención de aplicaciones.
• Obtención de configuraciones.

Compatible con determinadas versiones de iOS soportadas.

iTunes Backup

Permite:

• Respaldos cifrados.
• Respaldos completos.
• Recuperación de datos de usuario.

Checkm8

Permite:

• Extracción Full File System.
• Obtención de Keychain.
• Acceso a dispositivos vulnerables.

La familia Checkm8 continúa siendo una de las técnicas más importantes soportadas por Oxygen.

3. Análisis de Aplicaciones

Uno de los puntos más impresionantes de Oxygen es la enorme cantidad de aplicaciones soportadas.

Puede analizar decenas de miles de versiones de aplicaciones móviles.

Entre ellas:

• WhatsApp.
• Telegram.
• Signal.
• Facebook Messenger.
• Instagram.
• Snapchat.
• Discord.
• Skype.
• LINE.
• WeChat.
• Viber.
• TikTok.
• ChatGPT.
• Aplicaciones bancarias.
• Aplicaciones de criptomonedas.
• Aplicaciones empresariales.

Puede recuperar:

• Chats.
• Mensajes eliminados.
• Archivos compartidos.
• Stickers.
• Llamadas.
• Videollamadas.
• Contactos.
• Adjuntos.
• Ubicaciones.

4. Extracción en la Nube (Cloud Forensics)

Oxygen incorpora un módulo de extracción de servicios cloud.

Puede recopilar datos desde más de 100 servicios en línea.

Entre ellos:

• Google.
• Gmail.
• Google Drive.
• Google Photos.
• iCloud.
• Microsoft.
• OneDrive.
• Dropbox.
• Mega.
• Facebook.
• Instagram.
• Telegram.
• WhatsApp.
• Huawei Cloud.

Dependiendo de la autorización legal disponible, puede utilizar:

• Credenciales.
• Tokens.
• Cookies.
• Métodos QR.
• Respaldos sincronizados.

5. Informática Forense en Computadoras

Además de móviles, Oxygen también permite análisis de equipos de escritorio.

Sistemas soportados

Windows

Recupera:

• Navegadores.
• Historial.
• Archivos.
• Correos.
• Actividad del usuario.
• Artefactos de sistema.

macOS

Permite:

• Extracción de usuarios.
• Historial.
• Aplicaciones.
• Mensajería.
• Navegación.

Linux

Puede importar y analizar evidencia proveniente de sistemas Linux.

6. Recuperación de Archivos Eliminados

La versión moderna incorpora capacidades de carving.

Puede recuperar:

• Fotografías.
• PDFs.
• Documentos.
• Archivos borrados.

Incluso desde espacio no asignado en determinadas particiones.

7. Análisis de Criptomonedas

Oxygen puede localizar evidencia relacionada con activos digitales.

Incluye:

• Búsqueda de wallets.
• Direcciones.
• Seed phrases.
• Información de aplicaciones cripto.

La versión 18 añadió búsqueda específica de frases mnemónicas BIP39 y SLIP39.

8. Desbloqueo y Descifrado

Dependiendo del dispositivo y chipset, Oxygen puede:

• Obtener claves de hardware.
• Realizar ataques de fuerza bruta.
• Recuperar contraseñas.
• Descifrar información protegida.
• Trabajar con dispositivos cifrados compatibles.

También incluye módulos como KeyDiver para ciertos escenarios de recuperación de contraseñas.

9. Geolocalización y Mapas

Permite visualizar:

• Ubicaciones GPS.
• Historial de movimientos.
• Coordenadas.
• Redes Wi-Fi.
• Torres celulares.
• Sectores de antenas.

Toda la información puede correlacionarse sobre mapas integrados.

10. Análisis de Redes Sociales

Puede reconstruir actividad relacionada con:

• Facebook.
• Instagram.
• TikTok.
• X/Twitter.
• LinkedIn.
• Snapchat.
• Telegram.
• Discord.

Incluyendo:

• Mensajes.
• Contactos.
• Archivos.
• Multimedia.
• Metadatos.

11. Correlación de Evidencia

Uno de los módulos más poderosos.

Permite relacionar:

• Llamadas.
• Chats.
• Ubicaciones.
• Fotografías.
• Redes sociales.
• Eventos de calendario.
• Archivos.

Todo dentro de una misma línea temporal.

12. Análisis de Imágenes y Multimedia

Puede identificar:

• Fotografías.
• Videos.
• Miniaturas.
• Metadatos EXIF.
• Fechas.
• Ubicaciones GPS embebidas.

Las versiones recientes mejoraron la categorización automática de imágenes.

13. Sistemas Operativos Soportados para Investigación

Dispositivos móviles

• Android.
• iOS.
• iPadOS.
• HarmonyOS.

Computadoras

• Windows.
• macOS.
• Linux.

14. Plataformas y Fuentes de Evidencia Soportadas

Oxygen puede trabajar con evidencia proveniente de:

• Teléfonos móviles.
• Tablets.
• Computadoras.
• Servicios Cloud.
• Tarjetas SIM.
• Tarjetas SD.
• Respaldos móviles.
• Imágenes forenses.
• Drones.
• Dispositivos IoT.
• Registros telefónicos (CDR).
• Datos de operadores celulares.