Referencia Técnica para Peritos
y Personal Auxiliar de la Justicia
El propósito del presente documento es brindar a peritos forenses una guía técnica estructurada para identificar software que ha sido instalado y desinstalado en sistemas Windows, con particular foco en:
La guía se enfoca en versiones modernas de Windows (10 y 11), pero muchos de los artefactos descritos también existen en versiones anteriores (Windows 7 y 8). El enfoque combina:
A lo largo del texto se indican lugares sugeridos para incluir capturas de pantalla, útiles tanto en informes como en material de capacitación. Las rutas y procedimientos que se describen están basados en documentación oficial de Microsoft y en artículos técnicos de referencia publicados por la comunidad forense digital.
En un sistema Windows típico, la existencia e instalación de software dejan rastro en múltiples niveles:
El resto del documento explica cómo utilizar cada uno de estos artefactos y cómo correlacionarlos para responder tres preguntas clave:
Aunque el análisis forense debe fundarse en última instancia en artefactos de bajo nivel, la interfaz gráfica de Windows sigue siendo un punto de partida útil para obtener una vista rápida del software actualmente instalado.
Ruta típica:
La lista muestra programas y aplicaciones con información sobre el editor y, en algunos casos, la fecha de instalación que reporta el instalador.
[Figura sugerida: Captura de pantalla de Configuración > Aplicaciones mostrando una lista de programas instalados con sus editores]
| Nombre | Editor |
|---|---|
| Google Chrome | Google LLC |
| Microsoft Edge | Microsoft Corporation |
| Microsoft OneDrive | Microsoft Corporation |
| Mozilla Firefox | Mozilla |
| Notepad | Microsoft Corporation |
| Paint | Microsoft Corporation |
| VLC media player | VideoLAN |
Esta vista tiene limitaciones importantes: solo enumera software actualmente instalado, no hay historial de desinstalaciones, la fecha de instalación no siempre está presente o es confiable, y muchas herramientas portátiles o ejecutables independientes (sin instalador formal) no aparecen aquí.
Aunque menos visible en versiones recientes, el Panel de Control clásico sigue existiendo y ofrece una vista similar:
La lista resultante contiene programas instalados mediante distintos tipos de instaladores. Para cada entrada, puede mostrarse: nombre del producto, editor, fecha de instalación, versión y tamaño aproximado.
[Figura sugerida: Captura del Panel de Control > Programas y características con columnas de Nombre, Editor, Instalado el]
| Nombre | Editor | Instalado el |
|---|---|---|
| Skype (sistema de Microsoft Windows) | Skype | 23/04/2024 |
| VLC media player | VideoLAN | 09/04/2024 |
| Mozilla Firefox | Mozilla | 09/04/2024 |
| Google Chrome | Google LLC | 09/04/2024 |
| Adobe Acrobat DC (64-bit) | Adobe Inc. | 31/03/2024 |
| Microsoft Edge | Microsoft Corporation | 16/03/2024 |
| Microsoft OneDrive | Microsoft Corporation | 21/02/2024 |
| Dropbox | Dropbox Technologies LLI | 05/01/2024 |
| Microsoft Word (microsoft office) | Microsoft Corporation | 05/01/2024 |
| Microsoft Excel (microsoft office) | Microsoft Corporation | 26/12/2023 |
Nuevamente, esto es solo una instantánea del estado actual, no un registro histórico. Para reconstruir el pasado y detectar desinstalaciones, es necesario avanzar hacia artefactos más profundos.
El Registro de Windows es una base de datos jerárquica donde el sistema operativo y las aplicaciones almacenan datos de configuración. Los estudios forenses han demostrado repetidamente que las claves relacionadas con la instalación de software son una fuente de alto valor probatorio.
Las principales ubicaciones donde Windows y muchas aplicaciones almacenan información sobre software instalado son:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\UninstallHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall (para muchas aplicaciones de 32 bits en sistemas de 64 bits)HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall (instalaciones específicas del usuario)Estos caminos están ampliamente documentados en la literatura técnica y en guías forenses sobre programas instalados.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall.[Figura 3] Captura del Editor del Registro mostrando varias subclaves bajo ...\Uninstall y los valores DisplayName, InstallDate y UninstallString en el panel derecho.
Además de los valores visibles, cada subclave del registro tiene un LastWrite time (última fecha de modificación), accesible con herramientas forenses especializadas. Este timestamp puede aportar información adicional:
Estudios sobre análisis forense del registro han documentado que, aun después de desinstalar un programa, pueden permanecer valores residuales relacionados con la aplicación en distintas ramas del registro, en especial cuando el desinstalador no limpia de forma exhaustiva. Eso incluye entradas en:
HKLM\SOFTWARE\...\Uninstall y HKCU\SOFTWARE\...\Uninstall que no se han eliminado;HKCU\SOFTWARE\<Fabricante>;Para informes periciales, es recomendable:
De este modo, el registro aporta prueba de existencia y configuración del software, incluso si otras evidencias han sido parcialmente borradas.
Los registros de eventos de Windows (Event Logs) constituyen otra fuente clave para reconstruir el historial de instalación y desinstalación, en particular para software que utiliza el servicio Windows Installer (MSI).
Windows registra muchas operaciones de instalación y desinstalación en el log Application bajo la fuente MsiInstaller. Documentación técnica y artículos especializados señalan, entre otros, los siguientes IDs de evento relevantes:
Guías recientes sobre historial de instalación/remoción en Windows describen cómo localizar estos eventos en el Visor de eventos y utilizarlos como registro cronológico de cambios de software.
[Figura 4] Captura del Visor de eventos mostrando el filtro por origen MsiInstaller y los eventos con ID 11707 (instalación) y 11724 (desinstalación).
Cada evento incluye, en sus detalles:
Es importante enfatizar que no todo el software utiliza Windows Installer: muchos instaladores basados en ejecutables propios (.exe) no generan eventos MsiInstaller. En esos casos, el registro de eventos puede ser parcial o inexistente, y cobran mayor importancia otros artefactos (Prefetch, AmCache, etc.).
Para un análisis riguroso, conviene exportar los eventos filtrados a un archivo .evtx o .csv y:
Cuando se investiga una posible desinstalación de último momento, el hallazgo de un evento 11724 muy próximo a la fecha y hora del allanamiento o secuestro de los equipos es un indicio relevante a documentar en el informe.
La existencia de registros y claves de instalación no agota la evidencia disponible. Windows mantiene varios artefactos destinados originalmente a optimizar rendimiento o compatibilidad que, desde la perspectiva forense, se convierten en pruebas de ejecución histórica, aun cuando el programa ya no esté instalado.
Los archivos Prefetch fueron diseñados para acelerar la carga de aplicaciones. Estudios y guías forenses recientes describen su funcionamiento del siguiente modo:
C:\Windows\Prefetch;APPNAME.EXE-12345678.pf);[Figura 5] Vista de la carpeta C:\Windows\Prefetch con varios archivos .pf, destacando el correspondiente a un programa de interés.
| Nombre | Fecha de modificación | Tipo |
|---|---|---|
| CHROME.EXE-7B0683C.pf | 23/04/2024 12:17 p.m. | PF File |
| EXPLORER.EXE-28F6CF77.pf | 22/04/2024 12:17 p.m. | PF File |
| FIREFOX.EXE-11BE7758.pf | 22/04/2024 12:17 p.m. | PF File |
| MSCORSVW.EXE-3E69D4E6.pf | 22/04/2024 12:45 p.m. | PF File |
| NOTEPAD.EXE-9D56FCAF.pf | 22/04/2024 12:17 p.m. | PF File |
| SERVICES.EXE-32D1A1BD.pf | 22/04/2024 12:17 p.m. | PF File |
| 7-ZIP.D-7428688F.pf | 22/04/2024 12:17 p.m. | PF File |
| SMB2SRV.DLL-457FO8299.pf | 22/04/2024 12:36 p.m. | PF File |
| SVCHOST.EXE-AWE064BE.pf | 22/04/2024 02:09 p.m. | PF File |
Desde el punto de vista probatorio, esto es relevante por varias razones:
Las limitaciones a considerar incluyen:
C:\Windows\Prefetch;Otros artefactos ampliamente estudiados en la literatura de forensia Windows son AmCache y ShimCache (también conocido como AppCompatCache).
AmCache es un hive de registro (Amcache.hve, típicamente en C:\Windows\AppCompat\Programs\) que almacena información sobre programas ejecutados, incluyendo:
ShimCache registra información sobre ejecutables cargados por el sistema a efectos de compatibilidad; aunque no siempre garantiza precisión temporal, ofrece un panorama histórico de programas que estuvieron presentes.
[Figura 6] Esquema conceptual de la estructura de Amcache.hve y las entradas de programas con campos de ruta, hash y tiempos asociados.
Guías especializadas explican que AmCache y ShimCache son especialmente valiosos porque:
Para un perito que investiga software desinstalado, estos artefactos pueden:
Más allá de los artefactos específicos anteriores, la literatura forense destaca que la existencia de un programa y su posterior eliminación pueden dejar rastro en:
Estos análisis requieren herramientas forenses específicas y exceden el propósito de una inspección de primer nivel, pero conviene mencionarlos en informes técnicos para explicar por qué es posible encontrar evidencia de un programa aunque éste haya sido desinstalado o borrado.
En muchas investigaciones, especialmente en materia penal o de propiedad intelectual, surge la hipótesis de que el investigado desinstaló o borró software poco antes de un allanamiento o secuestro judicial con la intención de dificultar la prueba. La tarea del perito no es presumir intenciones, sino documentar objetivamente indicios técnicos que puedan sostener o descartar esta hipótesis.
A continuación se describen mecanismos típicos para detectar estos escenarios.
Si el software se instaló mediante Windows Installer, los eventos de MsiInstaller ofrecen un punto de partida robusto:
En informes periciales, resulta especialmente útil construir una línea de tiempo en la que se ubiquen, en una misma escala temporal:
Otra estrategia consiste en comparar el estado actual (programas efectivamente presentes en disco y listados en Uninstall) con los artefactos de ejecución histórica:
El análisis debe documentar cuidadosamente:
En algunos casos, más que una simple desinstalación, el perito se enfrenta a acciones de limpieza deliberada. Entre las más habituales se encuentran el vaciado manual o automatizado de la carpeta C:\Windows\Prefetch, la eliminación de registros de eventos -en particular los logs Application y System- y el uso de utilidades de "optimización" o "limpieza" del sistema que, como efecto colateral, suprimen artefactos forenses tales como historiales, logs y cachés.
En estos escenarios, la ausencia de artefactos que normalmente deberían existir puede ser en sí misma significativa, siempre que se describa con prudencia. Un sistema que ha sido utilizado durante años y que no cuenta con ningún archivo Prefetch activo, por ejemplo, resulta anómalo y sugiere algún tipo de intervención manual o de software. De modo similar, un log de Application cuyos registros más antiguos son muy recientes -en comparación con la antigüedad del sistema o de otros logs- puede indicar que el registro fue truncado o limpiado.
Es importante que el informe pericial aclare expresamente que estas observaciones no prueban por sí mismas una intención de encubrir, pero sí describen condiciones técnicas compatibles con acciones de borrado o limpieza que deben ser valoradas en contexto junto con el resto de la evidencia.
La inferencia de que "se borró el software a último momento para evitar la prueba" debe manejarse con cautela. Existen problemas estructurales que limitan el alcance probatorio: no todo el software genera eventos MSI ni todas las aplicaciones crean archivos Prefetch, por lo que la cobertura nunca es total; algunos artefactos pueden perderse por rotación, actualización del sistema o cambios de hardware; los relojes de los equipos pueden estar mal configurados o haber sufrido ajustes manuales, lo que introduce posibles desfasajes temporales; y, finalmente, usuarios o administradores pueden desinstalar software o ejecutar rutinas de mantenimiento por motivos legítimos, sin relación con la investigación.
Por ello, resulta esencial que el perito exprese sus conclusiones en términos de probabilidad técnica y coherencia de artefactos, evitando atribuir intenciones subjetivas que excedan lo que los datos permiten sostener. Las inferencias deben apoyarse en múltiples fuentes de evidencia -registro, eventos, Prefetch, AmCache, sistema de archivos- y no depender de un único indicador potencialmente ambiguo. Asimismo, el informe debe explicar con claridad las limitaciones metodológicas y las alternativas plausibles, de modo que el magistrado pueda valorar adecuadamente el peso probatorio de cada hallazgo dentro del conjunto del caso.
A modo de síntesis operativa, al analizar posibles desinstalaciones de software en Windows resulta recomendable:
El ecosistema Windows genera una gran cantidad de artefactos que pueden ser aprovechados para reconstruir la historia de instalación, uso y desinstalación de software. Cuando se analizan de forma conjunta -registro, registros de eventos, Prefetch, AmCache, ShimCache y sistema de archivos- es posible acreditar, con alto grado de detalle, que determinado programa estuvo instalado, fue ejecutado y luego fue eliminado, incluso en contextos donde se sospecha de desinstalaciones de último momento o de acciones de limpieza orientadas a dificultar la prueba.
Para el perito, el desafío consiste en integrar estos indicios de manera rigurosa y prudente, evitando tanto la subestimación (tratar la desinstalación como un mero dato anecdótico) como la sobreinterpretación (atribuir intenciones sin sustento técnico suficiente). Un trabajo metódico, documentado y transparente en la exposición de sus límites permite que jueces y fiscales cuenten con una base sólida para valorar la relevancia jurídico-penal de la evidencia y adoptar decisiones informadas en procesos donde el software y su rastro digital ocupan un lugar central.
— Fin del Documento —