Está en la página 1de 91

CIS0910SD01

IPHORENSICS: UN PROTOCOLO DE ANÁLISIS FORENSE PARA DISPOSITIVOS


MÓVILES INTELIGENTES

Autores:

ANDREA ARIZA DÍAZ


JUAN CAMILO RUÍZ CARO

PONTIFICIA UNIVERSIDAD JAVERIANA


FACULTAD DE INGENIERÍA
CARRERA DE INGENIERÍA DE SISTEMAS
BOGOTÁ D.C.
Diciembre de 2009

1  
 
IPHORENSICS: UN PROTOCOLO DE ANÁLISIS FORENSE PARA DISPOSITIVOS
MÓVILES INTELIGENTES

Autores:

ANDREA ARIZA DÍAZ


JUAN CAMILO RUÍZ CARO

Trabajo de grado presentado para optar el título de Ingeniero de Sistemas

Director:
Ingeniero Jeimy José Cano Martínez, PhD

PONTIFICIA UNIVERSIDAD JAVERIANA


FACULTAD DE INGENIERÍA
CARRERA DE INGENIERÍA DE SISTEMAS
BOGOTÁ D.C.
Diciembre de 2009

2  
 
PONTIFICIA UNIVERSIDAD JAVERIANA

FACULTAD DE INGENIERÍA

CARRERA DE INGENIERÍA DE SISTEMAS

Rector Magnífico
Padre Joaquín Emilio Sánchez García S.J.

Decano Académico Facultad de Ingeniería


Ingeniero Francisco Javier Rebolledo Muñoz

Decano del Medio Universitario Facultad de Ingeniería


Padre Sergio Bernal Restrepo S.J.

Director Carrera de Ingeniería de Sistemas


Ingeniero Luis Carlos Díaz Chaparro

Director Departamento de Ingeniería de Sistemas


Ingeniero Germán Alberto Chavarro Flórez

3  
 
Nota de Aceptación
______________________________________________________
______________________________________________________
______________________________________________________
______________________________________________________

________________________________________
Jeimy José Cano Martínez
Director del Proyecto

________________________________________
María Isabel Serrano Gómez
Jurado

________________________________________
Nelson Gómez de la Peña
Jurado

4  
 
Diciembre de 2009

Artículo 23 de la Resolución No. 1 de Junio de 1946

“La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus
proyectos de grado. Sólo velará porque no se publique nada contrario al dogma y la moral católica y
porque no contengan ataques o polémicas puramente personales. Antes bien, que se vean en ellos el
anhelo de buscar la verdad y la Justicia”

5  
 
CONTENIDO

ÍNDICE DE ILUSTRACIONES.........................................................................................................9  
ÍNDICE DE TABLAS ......................................................................................................................11  
ABSTRACT......................................................................................................................................12  
RESUMEN .......................................................................................................................................12  
INTRODUCCIÓN ............................................................................................................................13  
1.   DESCRIPCIÓN GENERAL DEL TRABAJO DE GRADO ....................................................17  
1.1.   Formulación ..................................................................................................................17  
1.2.   Justificación...................................................................................................................17  
1.3.   Objetivo general ............................................................................................................18  
1.4.   Objetivos específicos.....................................................................................................18  
2.   REVISIÓN DE LITERATURA ................................................................................................19  
2.1.   ¿Qué es el iPhone? ............................................................................................................19  
2.1.1.   Conociendo el iPhone....................................................................................................22  
2.1.2.   Especificaciones técnicas del iPhone ............................................................................22  
2.1.3.   Estructura lógica y física del iPhone .............................................................................24  
2.1.3.1.   Hardware del iPhone .............................................................................................25  
2.1.3.2.   Software del iPhone...............................................................................................27  
2.1.3.2.1.   El sistema operativo iPhone OS ............................................................................28  
2.1.3.2.1.1.   Tecnología de capas del iPhone OS ..................................................................29  
2.1.3.2.2.   El sistema de archivos HFS+.................................................................................30  
2.1.3.2.2.1.   HFS+ Básico .....................................................................................................30  
2.1.3.2.2.2.   Conceptos del núcleo.........................................................................................31  
2.1.3.2.2.3.   Estructura del volumen......................................................................................32  
2.1.3.2.2.4.   HFSX.................................................................................................................34  
2.1.3.2.2.5.   Zona de Metadatos ............................................................................................34  
2.2.   Problemas de seguridad en el iPhone 3G ..........................................................................35  
2.2.1.   Jailbreak ....................................................................................................................35  
2.2.2.   Phishing, Spoofing y Spamming ...............................................................................36  
2.2.3.   Ataque directo ...........................................................................................................38  
2.2.4.   Inyección de mensajes cortos en teléfonos inteligentes.............................................41  

6  
 
2.3.   Informática forense en teléfonos inteligentes ....................................................................42  
2.3.1.   Informática forense clásica........................................................................................42  
2.3.1.1.   Evidencia digital....................................................................................................43  
2.3.1.1.1.   Administración de evidencia digital ......................................................................44  
2.3.1.1.1.1.   Diseño de la evidencia.......................................................................................44  
2.3.1.1.1.2.   Producción de la evidencia ................................................................................44  
2.3.1.1.1.3.   Recolección de la evidencia ..............................................................................45  
2.3.1.1.1.4.   Análisis de la evidencia .....................................................................................45  
2.3.1.1.1.5.   Reporte y presentación ......................................................................................46  
2.3.1.1.1.6.   Determinación de la relevancia de la evidencia.................................................46  
2.3.1.1.2.   Consideraciones legales ........................................................................................46  
2.3.1.2.   Modelos y procedimientos en una investigación forense digital ...........................47  
2.3.1.2.1.   Cualidades de un modelo forense..........................................................................47  
2.3.1.2.2.   Modelos forenses existentes ..................................................................................48  
2.3.1.2.2.1.   Departamento de Justicia de Estados Unidos (2001).........................................48  
2.3.1.2.2.2.   Modelo forense digital abstracto (2002)...........................................................48  
2.3.1.2.2.3.   Modelo forense Mandia (2003) .........................................................................49  
2.3.1.2.2.4.   Modelo de investigación digital integrado – IDIP (2003) .................................50  
2.3.1.3.   Roles y funciones en una investigación forense digital .........................................53  
2.3.1.4.   Usos de la informática forense ..............................................................................54  
2.3.2.   Informática forense en iPhone 3G .............................................................................54  
2.3.2.1.   WOLF de Sixth Legion .........................................................................................57  
2.3.2.2.   Cellebrite UFED....................................................................................................58  
2.3.2.3.   Paraben Device Seizure (DS) ................................................................................59  
2.3.2.4.   MacLockPick II (MLP) .........................................................................................59  
2.3.2.5.   MDBackup Extract................................................................................................60  
2.3.2.6.   .XRY/.XACT 4.1 ..................................................................................................61  
2.3.2.7.   iLiberty+................................................................................................................61  
2.3.2.8.   CellDEK ................................................................................................................62  
2.3.2.9.   MEGA ...................................................................................................................63  
3.   GUÍA METODOLÓGICA PARA REALIZAR ANÁLISIS FORENSE SOBRE
DISPOSITIVOS MÓVILES (Caso de estudio: iPhone 3G)..............................................................64  

7  
 
3.1.   Etapa de preparación e implementación............................................................................64  
3.2.   Etapa de investigación física .............................................................................................64  
3.3.   Etapa de investigación digital............................................................................................67  
3.4.   Etapa de presentación y revisión .......................................................................................69  
4.   VALIDACIÓN DE LA GUÍA METODOLÓGICA PROPUESTA..........................................70  
4.1.   Escenario de prueba ..........................................................................................................70  
4.1.1.   Definición del ataque y herramientas ........................................................................70  
4.2.   Aplicación guía metodológica...........................................................................................70  
4.2.1.   Etapa de preparación e implementación ....................................................................70  
4.2.2.   Etapa de investigación física .....................................................................................71  
4.2.3.   Etapa de investigación digital....................................................................................78  
4.2.4.   Etapa de presentación y revisión ...............................................................................80  
5.   RETROALIMENTACIÓN DE LA GUÍA METODOLÓGICA...............................................81  
6.   CONCLUSIONES ....................................................................................................................83  
7.   TRABAJOS FUTUROS ...........................................................................................................84  
8.   REFERENCIAS........................................................................................................................85  

8  
 
ÍNDICE DE ILUSTRACIONES

Ilustración 1. Estado del Mercado Mundial de Dispositivos Móviles 2006-2007. Tomado de [3],
traducción libre de los autores...........................................................................................................13  
Ilustración 2. Estado del Mercado Mundial de Dispositivos Móviles 2007-2008. Tomado de [4],
traducción libre de los autores...........................................................................................................14  
Ilustración 3. Experiencia de Incidentes de Seguridad en las Organizaciones. Tomado de [7],
traducción libre de los autores...........................................................................................................15  
Ilustración 4. Porcentaje de Incidentes al Año en Organizaciones. Tomado de [7], traducción libre
de los autores.....................................................................................................................................15  
Ilustración 5. ROKR. Tomado de [19] ..............................................................................................20  
Ilustración 6. iPhone Linksys. Tomado de [101] ..............................................................................21  
Ilustración 7. iPhone 3G. Tomado de [24] ........................................................................................21  
Ilustración 8. Partición del disco del iPhone. Tomado de [9], traducción libre de los autores ..........27  
Ilustración 9. Interacción iPhone OS. Tomado de [42] .....................................................................29  
Ilustración 10. Tecnología de capas del iPhone OS. Tomado de [42], traducción libre de los autores
..........................................................................................................................................................29  
Ilustración 11. Estructura general del volumen HFS+. Tomado de [43], traducción libre de los
autores ...............................................................................................................................................34  
Ilustración 12. Recorte de URL en la aplicación iPhone Mail ..........................................................36  
Ilustración 13. Página falsa accedida por medio del iPhone 3G........................................................37  
Ilustración 14. Solicitud descarga de imágenes adjuntas cliente de correo Gmail desde portátil
Compaq V37l8LA [56] con sistema operativo Windows XP. ..........................................................37  
Ilustración 15. Descarga automática de imágenes adjuntas desde iPhone Mail ................................38  
Ilustración 16. Escaneo de red y puertos abiertos con Zenmap.........................................................40  
Ilustración 17. Ingreso datos para acceder al dispositivo por SSH....................................................40  
Ilustración 18. Ingreso de usuario y contraseña WinCSP Login .......................................................40  
Ilustración 19. Acceso a ficheros del iPhone usando WinSCP Login ...............................................41  
Ilustración 20. Modelo lógico del inyector SMS. Tomado de [90], traducción libre de los autores .42  
Ilustración 21. Ciclo administración de la evidencia digital [70] ......................................................44  
Ilustración 22. Modelo respuesta a incidentes Kevin Mandia. Tomado de [80], traducción libre de
los autores .........................................................................................................................................49  
Ilustración 23. Fases del modelo IDIP. Tomado de [37], traducción libre de los autores .................51  
Ilustración 24. Fases de investigación física de la escena del crimen. Tomado de [37], traducción
libre de los autores ............................................................................................................................51  
Ilustración 25. Fases de investigación digital de la escena del crimen. Tomado de [37], traducción
libre de los autores ............................................................................................................................52  
Ilustración 26. Desmontar iPhone desde iTunes ...............................................................................65  
Ilustración 27. Foto de estado general de la escena del crimen.........................................................71  
Ilustración 28. Foto computador portátil V3718LA no incautado.....................................................72  
Ilustración 29. Foto router Linksys no incautado ..............................................................................73  
Ilustración 30. Foto cable USB incautado.........................................................................................73  

9  
 
Ilustración 31. Foto adaptador de corriente incautado ......................................................................73  
Ilustración 32. Foto iPhone 3G incautado .........................................................................................73  
Ilustración 33. Foto de iPhone 3G aislado de la red 3G y Wi-Fi por medio de una bolsa anti estática
..........................................................................................................................................................77  

10  
 
ÍNDICE DE TABLAS

Tabla 1. Porcentaje Anual de Incidentes Sobre Dispositivos Móviles. Tomado de [7], traducción
libre de los autores ............................................................................................................................16  
Tabla 2. Especificaciones Técnicas del iPhone [21] .........................................................................24  
Tabla 3. Hardware iPhone primeras generaciones. Tomado de [5], traducción libre de los autores .25  
Tabla 4. Hardware iPhone 3G. Tomado de [23], traducción libre de los autores..............................26  
Tabla 5. Características HFS+ [43], traducción libre de los autores .................................................31  
Tabla 6. Asignación de roles .............................................................................................................70  
Tabla 7. Formato actuación primer respondiente diligenciado .........................................................71  
Tabla 8. Formato documentación escena del crimen diligenciado ....................................................72  
Tabla 9. Formulario de identificación del dispositivo vulnerado diligenciado ................................76  
Tabla 10. Registro de cadena de custodia diligenciado.....................................................................77  

11  
 
ABSTRACT

Now days, mobile telephony has become very popular world wide due to it’s wide range of
functionality, combined with its mobile capacity that offer to final users. In this scenario appears the
iPhone, which offers integrated services of cell phone, music player and Web browser features. It
has achieved great user acceptance for both, the common and the corporate users. As a consequence
of its popularity, the iPhone is now considered as a working tool, such as a computer, in which
sensitive information is stored. As its popularity grows, attacks to its vulnerabilities grow too.
Therefore this work, as a contribution to mobile forensics, presents an analysis protocol which helps
in the formalization of procedures in iPhone 3G forensic investigations.

RESUMEN
En la actualidad, la telefonía móvil ha adquirido gran popularidad en el mundo entero debido a las
características de portabilidad y usabilidad que ofrece a sus clientes. En este escenario se encuentra
el iPhone el cual, gracias a los servicios integrados de teléfono celular, reproductor de música y
navegador web, ha alcanzado gran aceptación tanto para el usuario común como para los usuarios
corporativos. Como consecuencia de su popularidad ha logrado convertirse en una herramienta de
trabajo en la cual se almacena información sensible, razón por la que igualmente, se han
incrementado los ataques a las vulnerabilidades que el dispositivo presenta. Por lo tanto este trabajo
de grado, presenta un aporte a la informática forense orientada a dispositivos móviles, proponiendo
un protocolo de análisis que ayude a formalizar los procedimientos al momento de realizar este tipo
de investigaciones en un iPhone 3G.

12  
 
INTRODUCCIÓN

Según [1] en la actualidad, y desde hace aproximadamente diez años, el empleo de dispositivos
móviles se ha incrementado notablemente. “El uso de sistemas de telecomunicaciones móviles en
todo el mundo ha llegado a proporciones casi epidémicas”, principalmente por su facilidad de uso y
la propiedad de mantener en contacto permanente a sus usuarios, por lo cual se ha generado un
cambio significativo en la forma en que las personas se comunican, pero también por su
proliferación se ha incrementado su uso en actividades de orden delictivo.

Existe gran variedad de gamas de dispositivos móviles, dentro de los cuales el mayor crecimiento
en popularidad y uso se presenta en los dispositivos móviles inteligentes, debido a su capacidad
tanto para realizar llamadas como para navegar por Internet con el objetivo de intercambiar
información a través de diferentes enlaces y además porque permiten desarrollar y ejecutar
aplicaciones que no necesariamente son incluidas por el fabricante [2]. Canalys, empresa que realiza
análisis expertos de la industria de alta tecnología, realiza anualmente una investigación acerca del
estado del mercado de los dispositivos móviles inteligentes. En los dos últimos años (2007-2008) se
ha presentado el mayor crecimiento en el uso de estos dispositivos comparándolo con años
anteriores. Las investigaciones indican que en el 2007 los teléfonos móviles inteligentes
representaron el 10% del mercado mundial de telefonía móvil por unidades, con un crecimiento
anual del 60%, siendo así, uno de los segmentos de más rápido crecimiento en la industria de la
tecnología (Ver Ilustración 1) [3].

Ilustración 1. Estado del Mercado Mundial de Dispositivos Móviles 2006-2007. Tomado de [3], traducción libre de
los autores

De los resultados observados anteriormente cabe rescatar que Apple1 se introdujo en el mercado en
tercer lugar con el dispositivo móvil iPhone, esto gracias a la innovación en cuanto a diseño e
interfaz de usuario que soporta [3]. Canalys estimó que Apple en el 2007 tomó el 28% del mercado
de dispositivos móviles de EE.UU [3].

                                                                                                                         
1
 Empresa  estadounidense  de  tecnología  informática.  

13  
 
Las investigaciones realizadas en el 2008 indican que los teléfonos móviles inteligentes
representaron el 13% del mercado mundial de telefonía móvil por unidades (Ver Ilustración 2).

Ilustración 2. Estado del Mercado Mundial de Dispositivos Móviles 2007-2008. Tomado de [4],
traducción libre de los autores

De lo anterior, con la llegada del iPhone 3G al mercado, Apple se posicionó en el segundo lugar de
ventas de dispositivos móviles inteligentes [4]. De tal manera que el iPhone 3G se ha convertido
rápidamente en líder en el mercado de dispositivos móviles, gracias a su uso en organizaciones y al
uso de las personas en su vida cotidiana. Su amplio rango de funcionalidades, combinado con el
hecho de ser móvil permite que sea considerado como una oficina móvil o como un computador en
sí [5].

Al alcanzar tanta popularidad en el mercado mundial de dispositivos móviles y por la variedad de


funcionalidades que ofrecen los teléfonos inteligentes, también se han incrementado notablemente
los ataques a las vulnerabilidades que ellos presentan. Un tipo de estos ataques, son los llamados
ataques fuertes, los cuales son más fáciles de realizar y son más lucrativos para quienes los
desarrollan y llevan a cabo, no solo a nivel de dispositivos móviles sino a nivel de cualquier otro
sistema informático dentro de una organización [7]. Anualmente el Instituto de Seguridad
Informática CSI (Computer Security Institute) [6] publica reporte llamado CSI Computer Crime and
Security Survey [5] en el cual se realiza un análisis de la situación actual de la seguridad informática
y del crimen cibernético de las organizaciones participantes de la encuesta (alrededor de 522
organizaciones), y cuyo objetivo principal es conocer si las mejores prácticas de seguridad
informática implantadas producen resultados. La encuesta año tras año se encarga de preguntar qué
tipo de incidentes se presentan dentro de las organizaciones, los resultados que se obtuvieron en el
2008 se pueden ver en la Ilustración 3.

14  
 
Ilustración 3. Experiencia de Incidentes de Seguridad en las Organizaciones. Tomado de [7], traducción
libre de los autores

Es rescatable que año tras año la cifra se reduce en una proporción considerable (Ver Ilustración 4)
debido a que las organizaciones advierten la necesidad de invertir presupuesto en la seguridad
informática. Pero aún así, el número de incidentes que se presentan sigue siendo grande, pues hay
gran cantidad de ellos que no son detectados [8].

Ilustración 4. Porcentaje de Incidentes al Año en Organizaciones. Tomado de [7], traducción libre de


los autores

Además, debido a la necesidad de movilidad dentro de las organizaciones y la necesidad de poder


tener la información necesaria disponible en cualquier lugar y en cualquier momento, el uso de
dispositivos móviles inteligentes dentro de estas se ha incrementado notablemente, una de las
razones por las cuales su popularidad ha aumentado al igual que los incidentes de inseguridad (robo
de información de propietarios y pérdida de datos de clientes) que ocurren sobre ellos (Ver Tabla 1)
[8].

Tabla 1 2004 2005 2006 2007 2008


Robo/Pérdida de 10% 9% 9% 8% 9%
información de
propietarios
De dispositivos móviles 4%
De todas las otras fuentes 5%
Robo/Pérdida de datos de 17% 17%
clientes

15  
 
De dispositivos móviles 8%
De todas las otras fuentes 8%

Tabla 1. Porcentaje Anual de Incidentes Sobre Dispositivos Móviles. Tomado de [7], traducción libre de
los autores

“Gran porcentaje de los encuestados intenta realizar la identificación del perpetrador de los ataques.
Este es uno de los objetivos principales de la informática forense ya que ésta disciplina es la
encargada de recuperar y recolectar evidencia digital del sistema vulnerado para lograr identificar la
acción realizada y demás detalles del ataque efectuado” [8]. Es más fácil y debe ser más importante
para lograr la identificación de estos perpetradores, monitorear los terminales de comunicación que
la comunicación en si misma. Por ejemplo si un criminal utiliza un iPhone para llevar a cabo algún
tipo de ataque, su operación estará comprometida en cierto nivel [5], pues el hecho que haya
utilizado este dispositivo para cometer el ataque implicará que se siga un procedimiento estándar
establecido para la realizar la investigación.

En la actualidad existen una gran cantidad de proveedores y de fabricantes de dispositivos móviles


inteligentes lo que produce heterogeneidad en todo sentido en el campo de la informática forense,
especialmente en las herramientas que se utilizan para obtener evidencia de los dispositivos en una
investigación forense, de tal manera que los fabricantes crean sus propios protocolos para este
propósito [2]. Por tal razón las investigaciones forenses sobre este tipo de dispositivos es
considerada un área de investigación reciente, es decir, la legalidad y la admisibilidad del proceso
seguido para obtener evidencia puede variar de jurisdicción en jurisdicción [9], de proveedor a
proveedor, de analista a analista.

Como se mencionó anteriormente el iPhone 3G es uno de los teléfonos móviles más populares en el
mercado, convirtiéndose rápidamente en líder de ventas a nivel mundial. Es en esencia un
computador, y el personal de muchas organizaciones lo utiliza para manejar información sensible de
la misma, por su amplio rango de funcionalidades que hace que sea considerado como una oficina
móvil [5]. A diferencia de la informática forense clásica, el análisis forense sobre dispositivos
móviles inteligentes y específicamente sobre iPhone, es un campo relativamente nuevo y los
procedimientos y las normas no se han completado, por lo cual un análisis forense que se lleve a
cabo sobre un dispositivo como este, puede ser admitido o no, dependiendo de lo que considere el
juez que lleve el caso y la formalidad con que se desarrolle el procedimiento de recolección,
control, análisis y presentación de las evidencias.

16  
 
1. DESCRIPCIÓN GENERAL DEL TRABAJO DE GRADO
1.1. Formulación

Actualmente la información almacenada en cualquier computador y/o dispositivo móvil puede


considerarse como el activo de información más valioso para cualquier organización e incluso para
cualquier persona del común. Con los métodos de comunicación que existen actualmente como la
red wireless2 o tecnologías de corto alcance como Bluetooth3 se puede hacer uso de la información
y compartir la misma de manera eficiente sin necesidad de encontrarse en una estación de trabajo
fija conectada a algún medio físico.
Por consiguiente, el constante desarrollo de las tecnologías móviles ha permitido aumentar la
portabilidad de la información. Esto se ve reflejado con la llegada de la tercera generación de
telefonía móvil, donde podemos tener acceso a dispositivos móviles como el iPhone 3G, que en
esencia tiene las mismas características de un computador y permite almacenar y transferir varios
tipos de información en el momento y lugar deseado por el usuario [5] [16].
Por otra parte debido a su gran popularidad y la importancia de la información que almacenan y
transmiten, estos dispositivos pueden ser víctimas de ataques criminales que buscan afectar la
integridad, confiabilidad y disponibilidad de la información que estos administran, como mensajes
de texto, mensajes multimedia, historial de páginas web visitadas, contactos telefónicos, imágenes,
registro de llamadas, sonidos y correos electrónicos [12], información valiosa al momento de
realizar un análisis forense en una escena del crimen donde se encuentre un iPhone 3G [13].
En consecuencia uno de los retos que enfrenta actualmente la computación forense es realizar
análisis forense sobre dispositivos móviles y en el caso de esta investigación específicamente sobre
el iPhone 3G, esto debido a que se tiene como base los procedimientos realizados en la informática
forense clásica4, pero no existen procedimientos formalizados para realizar este tipo de análisis
específicamente sobre este dispositivo.
Por tanto, y teniendo en cuenta lo anterior, esta investigación trata de dar respuesta a la pregunta:
¿Qué pasos se deben seguir para realizar un análisis forense sobre un iPhone con tecnología 3G
luego de ser víctima de un ataque?

1.2. Justificación

Se ha evidenciado que si bien el investigador forense tiende a seguir una metodología para realizar
un análisis, frecuentemente la aparición de nuevas tecnologías y la heterogeneidad que estas
presentan, no permiten que el seguimiento sea estricto y que varíen los procedimientos que se
                                                                                                                         
2
Tecnología   inalámbrica   que   provee   a   las   computadoras   y   otros   dispositivos   comunicación   sin   tener   que  
estar  conectadas  a  algún  medio  físico  [10].  
3
  Tecnología   que   consiste   en   la   comunicación   entre   dos   o   más   dispositivos   sin   la   intervención   de   cables  
(Wireless),  por  medio  de  un  transmisor  RF,  una  banda  base  y  una  pila  de  protocolos  [11].  
4
 La  informática  forense  es  una  rama  de  las  ciencias  forenses,  que  involucra  la  aplicación  de  la  metodología  y  
la  ciencia  para  identificar,  preservar,  recuperar,  extraer,  documentar  e  interpretar  [5]  pruebas  o  evidencias  
procedentes   de   fuentes   digitales   con   el   fin   de   facilitar   la   reconstrucción   de   los   hechos   encontrados   en   la  
escena  del  crimen  [36],  para  luego  usar  dichas  evidencias  como  elemento  material  probatorio  en  un  proceso  
judicial  [34]  [14].  

17  
 
utilizan. Por otra parte, la variedad de herramientas de análisis de datos que existen, presentan
características particulares que facilitan o dificultan algunas actividades necesarias en el proceso de
análisis de datos.

Este documento establece un conjunto de elementos conceptuales y aplicados sobre el dispositivo


móvil iPhone 3G, perteneciente a una de las áreas que requiere hoy en día mas investigación y
profundización [14], debido a que los procedimientos y las normas para su análisis aún se
encuentran en desarrollo, y al crecimiento tecnológico y popularidad alcanzada. En la segunda fase
de la investigación se propondrá una guía metodológica donde se definirá el proceso especializado
en la obtención de detalles de incidentes ocurridos en un iPhone 3G, además de probar escenarios
reales en incidentes de seguridad informática sobre el dispositivo.

1.3. Objetivo general

Desarrollar una guía metodológica para realizar análisis forense sobre dispositivos móviles luego de
ser víctima de un ataque (Caso de estudio: iPhone 3G).

1.4. Objetivos específicos

• Identificar las características físicas y funcionales del iPhone 3G.

• Identificar los problemas de seguridad de la información del iPhone 3G.

• Analizar los modelos actuales de la informática forense clásica orientada a dispositivos


móviles iPhone 3G.
• Caracterizar los tipos de ataques y herramientas forenses orientadas a iPhone 3G existentes
hasta el momento.
• Diseñar una guía metodológica, definiendo el proceso de análisis forense sobre iPhone 3G.
• Probar la guía metodológica propuesta, luego de su aplicación en casos concretos de
ataques sobre iPhone 3G.

18  
 
2. REVISIÓN DE LITERATURA

2.1. ¿Qué es el iPhone?

El iPhone es un dispositivo móvil creado por Apple5, caracterizado principalmente por combinar
tres productos en uno: un teléfono revolucionario, un iPod6 de pantalla ancha y un innovador
dispositivo de internet que permite navegar en la web, recibir correos electrónicos con HTML
enriquecido y navegación web completa [27]. En la actualidad existen 2 generaciones, la generación
más reciente de estos dispositivos es llamada iPhone 3G, la cual se diferencia de la segunda
principalmente por hacer uso de la tercera generación de telefonía móvil y por tener nuevas
funcionalidades como GPS7 [29] (Ver sección 2.1.1. Conociendo el iPhone).

Según [16], la historia del iPhone comienza en el año 2002 poco tiempo después de haber sido
lanzado al mercado el reproductor de música iPod (Ver Anexo 1), cuando el presidente de Apple,
Steve Jobs, vio la necesidad de crear un dispositivo que uniera las características propias de un
teléfono celular, un BlackBerry8 y un reproductor de música, con el objetivo de aumentar la
comodidad al momento de utilizar estos productos, debido a que hasta ese momento los usuarios
adquirían cada uno de estos por separado.

Para esa época la idea de Steve Jobs era buena, pero tenía algunos inconvenientes. La velocidad de
las redes no permitirían crear un dispositivo móvil que accediera de manera eficiente a internet, y
además Apple tuvo que crear un sistema operativo completamente nuevo, debido a que el sistema
operativo del iPod no era suficientemente sofisticado para manejar redes, gráficos y las funciones
de un teléfono celular; pero sin importar estos inconvenientes Apple comenzó a registrar la marca
de iPhone en varios países como Singapur y Australia [19].

En el 2004 la popularidad del iPod disminuyó, debido la llegada al mercado de los teléfonos
inteligentes que unían la posibilidad de tener un teléfono celular y escuchar música en el mismo
dispositivo [17], en este año Motorola había lanzado al mercado su teléfono celular RAZR. Al ver
la popularidad de este dispositivo Steve Jobs se alió con Motorola para crear un teléfono celular
innovador que uniera las funcionalidades del iTunes9 con un teléfono celular [16].

En septiembre de 2005, se lanzó al mercado el ROKR (Ver Ilustración 5), resultado de la alianza
entre Apple y Motorola, teléfono celular llamado “un iPod Shuffle en tu teléfono” por Steve Jobs
[18]; este producto no fue exitoso, ya que tenía problemas de capacidad al solo poder almacenar 100

                                                                                                                         
5
  Formalmente   Apple   Computer   Inc.,   empresa   norte   americana   que   se   caracteriza   por   producir  
computadores,  portátiles,  impresoras,  cámaras  y  sistemas  operativos  con  tecnología  innovadora  por  más  de  
30  años  [9]  
6
 Reproductor  de  música  creado  por  Apple  Inc.,  caracterizado  por  ser  una  biblioteca  multimedia  digital  [28]  
7
 Sistema  de  posicionamiento  global,  que     permite  determinar  en  todo  el  mundo  la  posición  de  un  objeto,  
una  persona,  un  vehículo  o  una  nave,  con  una  precisión  hasta  de  centímetros.  
8
 Inicialmente  fueron  una  solución  que  se  dio  a  la  necesidad  de  interconexión  entre  personal  de  empresas  
[20]  
9
 Aplicación  para  MAC  y  computadores  personales,  que  reproduce  música  digital  y  sincroniza  el  contenido  
del  iPod,  iPhone  y  Apple  TV  [22]  

19  
 
canciones, no se podían descargar canciones directamente desde iTunes y su apariencia física no era
agradable [17] [18].

Ilustración 5. ROKR. Tomado de [19]

En octubre de ese año, luego del fracaso del ROKR, Steve Jobs se reunió con los directivos de
Cingular (AT&T desde diciembre del 2006), dando a conocer que Apple tenía la tecnología
necesaria para construir un dispositivo revolucionario, y estaba dispuesto a considerar un acuerdo
de exclusividad con esta empresa de telefonía [17]. En ese momento Jobs estaba confiado de los
resultados que podría obtener, ya que los ingenieros de Apple habían trabajado aproximadamente
un año en la tecnología de pantalla táctil para los monitores de los computadores de escritorio MAC
y gracias al lanzamiento del microprocesador ARM, finalmente el procesador del teléfono podía ser
más eficiente para un dispositivo que tenía como objetivo combinar la funcionalidad de un teléfono
celular, un computador y un iPod [16].

El diseño y construcción del iPhone comenzó a mediados del 2006. Internamente en Apple, este
proyecto fue conocido como P2 (Purple 2), el software y hardware del iPhone se desarrolló en
diferentes equipos de trabajo, y faltando pocos meses para su lanzamiento, los equipos se reunieron
para unir estas dos partes [16]. En Noviembre del mismo año, Apple consiguió la patente del iPhone
y un mes después cuando los ingenieros de Apple seguían trabajando en el prototipo del iPhone,
Linksys adquirido por Cisco, lanzó al mercado su teléfono celular llamado iPhone (Ver Ilustración
6), nombre adquirido por ellos desde el año 2000 [19]. Por tal razón, a comienzos del 2007 Cisco
demandó a Apple por haber patentado el dispositivo con el nombre “iPhone”, pero luego de un mes
las dos partes llegaron a un acuerdo que consistía en compartir el nombre.

20  
 
Ilustración 6. iPhone Linksys. Tomado de [101]

En enero de 2007, antes que Cisco instaurara la demanda contra Apple por el nombre del iPhone,
Steve Jobs anunció en el MacWorld10 de ese año, que en pocos meses sería el lanzamiento oficial de
la primera generación del dispositivo [19]. Luego de 6 meses de espera, el 29 de Junio de 2007 se
realizó el lanzamiento oficial del iPhone al mercado. Aunque el dispositivo tuvo gran acogida por
parte de los usuarios, tenía problemas al cargar la batería, se perdían las llamadas y no se podían
ejecutar programas hechos en Flash o Java, sin embargo, estos problemas se fueron solucionando a
través de las actualizaciones de software.

Durante la segunda mitad del 2007 Apple se dedicó a perfeccionar las aplicaciones del iPhone y a
crear varias gamas del mismo dispositivo, y finalmente el 11 de Julio de 2008 fue lanzado al
mercado la segunda generación de iPhone, dispositivo conocido como iPhone 3G [16] [19] (Ver
Ilustración 7), caracterizado por hacer uso de la tercera generación de tecnología móvil (Ver sección
2.1.1. Conociendo el iPhone).

Ilustración 7. iPhone 3G. Tomado de [24]

                                                                                                                         
10
 Evento  usado  por  Apple  para  promocionar  sus  productos  más  importantes  [16]  

21  
 
2.1.1. Conociendo el iPhone

Diferentes dispositivos móviles, incluyendo celulares, han podido hacer lo que el iPhone es capaz
de hacer desde hace mucho tiempo. Según [9], lo que lo diferencia de los demás y ha logrado
hacerlo tan popular en el mercado de la tecnología móvil, es su diseño de pantalla táctil con un
teclado virtual, lo cual permite que el tamaño de la pantalla sea superior a cualquier otro dispositivo
permitiendo que la visualización de películas, fotos y el navegar por la web se pueda realizar de
manera mas sencilla y cómoda.

Actualmente existen dos generaciones de iPhone. De la primera generación se lanzaron modelos


con capacidad de almacenamiento de 4 GB y 8 GB, el modelo de 4 GB fue descontinuado del
mercado dos meses después de su lanzamiento, por lo cual se lanzó el modelo de 16 GB de
capacidad de almacenamiento. De la segunda generación se lanzaron modelos con las mismas
capacidades, la diferencia radica en que el iPhone de segunda generación utiliza tecnología 3G
(dispositivo de comunicación celular de tercera generación), y añade mas funcionalidades [9].

Las principales funciones del primer iPhone fueron:

• Comunicación celular
• Acceso Web
• Correo electrónico
• Asistente personal de datos (PDA)
 Calendario
 Agenda
 Notas
• Conexión con iTunes y YouTube11

La segunda generación de iPhone presenta más funcionalidades como servicios de GPS, que pueden
ser vinculados con Google Maps12 para indicarle al usuario su ubicación exacta. Debido a lo
anterior el iPhone puede actuar como cualquier dispositivo GPS, es decir, es capaz de manejar rutas
y localizar servicios a través de la función de Google Map. Cuando el iPhone 3G se introdujo en el
mercado presentaba problemas con esta funcionalidad, sin embargo, con la actualización 2.1 sobre
el software del mismo, estos problemas se resolvieron. Otra funcionalidad permitió el acceso a la
App Store13 tanto para iPhones de primera generación como para iPhones de segunda generación.
Existen 19 categorías diferentes de aplicaciones para descargar directamente al iPhone ya sea vía
App Store o iTunes, dichas aplicaciones pueden utilizar algunas características del iPhone como el
acelerómetro, el GPS14, video, audio, herramientas de productividad y juegos [9].

2.1.2. Especificaciones técnicas del iPhone

La Tabla 2 muestra las especificaciones técnicas tanto del iPhone clásico como las del iPhone 3G.
                                                                                                                         
11
  Sitio   web   diseñado   para   cargar   y   compartir   videos   en   Internet   a   través   de   sitios   web,   dispositivos   móviles,  
blogs  y  correo  electrónico.  http://www.youtube.com/t/about  
12
 Servicio  gratuito  de  Google  que  ofrece  un  servidor  de  aplicaciones  de  mapas  web.  
13
 Mercado  para  aplicaciones  con  costo  o  gratis  que  se  pueden  ejecutar  sobre  el  iPhone.  
14
 Sistema  de  Posicionamiento  Global  

22  
 
Característica Especificación
Dimensiones y peso • Alto: 115,5 mm / 115 mm*
• Ancho: 62,1 mm / 61 mm*
• Fondo: 12,3 mm / 11,6 mm*
• Peso: 133 g / 135 g*
Capacidad Disco flash de 4GB*, 8GB o 16 GB
Color • Modelo de 8GB: Negro
• Modelo de 16GB: Negro* o Blanco
Pantalla • Pantalla ancha de 3.5 pulgadas (diagonales) con Multi-Toque
• Resolución de 480x320 pixeles a 163 ppi
• Soporte para mostrar múltiples lenguajes y caracteres
simultáneamente
Audio • Respuesta de frecuencia: 20Hz a 20,000Hz
• Formatos de audio soportados: AAC, AAC Protegido, MP3, MP3
VBR, Audible (formatos 2, 3, y 4), Apple Lossless, AIFF, y WAV
• Límite de volumen máximo configurable por el usuario
Telefonía y conectividad • UMTS/HSDPA (850, 1900, 2100 MHz) / No lo soporta*
inalámbrica • GSM/EDGE (850, 900, 1800, 1900 MHz)
• Wi-Fi (802.11b/g)
• Bluetooth 2.0 + EDR
Video Formatos de video soportados: video H.264, hasta 1.5 Mbps, 640 por 480
píxeles, 30 cuadros por segundo, versión de Baja Complejidad del H.264
Baseline Profile con audio AAC-LC de hasta 160 Kbps, 48kHz, audio
estéreo en formatos de archivo .m4v, .mp4 y .mov file; video H.264,
hasta 768 Kbps, 320 por 240 píxeles, 30 cuadros por segundo, Baseline
Profile hasta Nivel 1.3 con audio AAC-LC de hasta 160 Kbps, 48kHz,
audio estéreo en formatos de archivo .m4v, .mp4 y .mov; video MPEG-4,
hasta 2.5 Mbps, 640 por 480 píxeles, 30 cuadros por segundo, Simple
Profile con audio AAC-LC de hasta 160 Kbps, 48kHz, audio estéreo en
formatos de archivo .m4v, .mp4 y .mov
GPS GPS Asistido / No lo soporta*
Cámara y fotos • 2.0 Mega pixeles
• Rotulado geográfico de fotos
• Integración con aplicaciones del iPhone y de terceros
Soporte para idiomas • Soporte de idiomas para inglés, francés, alemán, japonés, holandés,
italiano, español, portugués, danés, finés, noruego, sueco, coreano,
chino simplificado, chino tradicional, ruso, polaco, turco y
ucraniano.
• Soporte de teclado internacional y diccionario para inglés (Estados
Unidos), inglés (Reino Unido), francés (Francia), francés (Canadá),
alemán, japonés, holandés, italiano, español, portugués (Portugal),
portugués (Brasil), danés, finés, noruego, sueco, coreano (sin
diccionario), chino simplificado, chino tradicional, ruso, polaco,
turco y ucraniano.
Conectores y entradas • Conector base de 30 pines
/salidas • Mini-conector estéreo para auriculares de 3.3mm
• Altavoz incorporado
• Micrófono
• Bandeja para tarjeta SIM
Botones y controles • Volumen (subida/bajada)
externos • Botón Home
• Timbre/Silencio
• Temporizador encendido y apagado
Sensores • Acelerómetro
• Sensor de proximidad

23  
 
• Sensor de luz ambiente
Energía y batería • Batería de litio-ion recargable incorporada
• Carga a través de un puerto USB de la computadora o del adaptador
de corriente
• Tiempo de conversación:
 Hasta 5 horas con 3G / No lo soporta*
 Hasta 10 horas con 2G / Hasta 8 horas*
 Tiempo en espera activa: Hasta 300 horas / Hasta 250
horas*
• Uso en Internet:
 Hasta 5 horas con 3G / No lo soporta*
 Hasta 6 horas con Wi-Fi / Hasta 6 horas*
• Reproducción de Video: Hasta 7 horas
• Reproducción de Audio: Hasta 24 horas
Requerimientos de sistema • Computadora Mac con puerto USB 2.0
para Mac • Mac OS X v10.4.10 o posterior
• iTunes 7.7 o posterior
Requerimientos de sistema • Computadora PC con puerto USB 2.0
para Windows • Windows Vista; o Windows XP Home o Professional con Service
Pack 2 o posterior
• iTunes 7.7 o posterior
Requerimientos • Temperatura de funcionamiento: 0° a 35° C
ambientales • Temperatura apagado: -20° a 45° C
• Humedad relativa: 5% a 95% no condensada
• Altitud de funcionamiento máxima: 10.000 pies (3000 m)
Tabla 2. Especificaciones Técnicas del iPhone [21]

*Características soportadas únicamente por el iPhone de primera generación

2.1.3. Estructura lógica y física del iPhone

Como se mencionó anteriormente, el iPhone es un teléfono inteligente que integra funcionalidades


de iPod y teléfono celular. Es en esencia un computador ejecutando una versión del sistema
operativo Leopard UNIX OS de Apple, diseñado principalmente para minimizar las escrituras sobre
la memoria flash, de forma tal que se puede conservar y preservar datos por periodos largos de
tiempo, incluso por mucho mas tiempo que lo que un computador de escritorio podría hacerlo [5].

El iPhone ejecuta una versión móvil de MAC OS X 10.5 (Leopard) que es similar a la versión del
sistema operativo MAC para computadores portátiles y de escritorio [5]. Las características
principales, aunque modelos diferentes se han lanzado, pero que aún conservan son:

• Arquitectura ARM: el iPhone utiliza arquitectura de procesador ARM15 (Máquina RISC


avanzada)

• Hardware: hardware especial fue añadido al iPhone. Sensores como el acelerómetro y el


sensor de proximidad, pantalla multi-toque, y varios radios incluyendo GSM, Wi-Fi16 y
Bluetooth.

                                                                                                                         
15
 Familia  de  microprocesadores  RISC  

24  
 
• Interfaz de usuario: Apple acondicionó controles amigables para el contacto, además de
interfaces que se acomodaran al hardware multi-toque implantado en forma de páginas y no
de ventanas como lo maneja la versión del sistema operativo de escritorio.

• Kernel: usa un núcleo firmado diseñado para prevenir su manipulación.

2.1.3.1. Hardware del iPhone

Aunque los primeros modelos del iPhone tuvieron variaciones. Como cualquier dispositivo
electrónico complejo, el iPhone es una colección de módulos, chips y otros componentes
electrónicos de diferentes fabricantes [23]. Debido a la las múltiples características que este
dispositivo posee la lista de componentes es extensa como se puede ver en las siguientes tablas.

Los componentes que se muestran en la Tabla 3 se conservaron para todos los modelos de la
primera generación.

Función Fabricante Modelo


Unidad central de
Samsung ARM S5L890DB01 512 Mbit SRAM
procesamiento (CPU)
EDGE17 Infineon PMB8876 S-Gold 2 EDGE Baseband Processor
GSM Infineon M1817A11 GSM RF Transceiver
65-nm 8/16 GB (K9MCG08U5M), 4GB
Disco Samsung
(K9HBG08U1M) MLC NAND Flash
Amplificador Skyworks SKY77340-13 Signal Amplifier
Tarjeta de red inalámbrica Marvell 90-nm 88W8686
Controlador en
Broadcom BCM5973A
Entrada/Salida
PF38F1030W0YTQ2 (32 MB NOR + 16 MB
Memoria Flash Intel
SRAM)
Procesador de audio Wolfson WM8758
Bluetooth CSR BlueCore 4
Pantalla táctil Phillips LPC2221/02992
Tabla 3. Hardware iPhone primeras generaciones. Tomado de [5], traducción libre de los autores

Los componentes que se muestran en la Tabla 4 pertenecen al modelo 3G.

Función Fabricante Modelo


S5L8900B01 – 412 MHz ARM1176Z(F)-S
Unidad central de
Samsung RISC, 128 Mbytes of stacked, package-on-
procesamiento (CPU)
package, DDR SDRAM
Tecnologías
Aceleración Gráfica 3D Power VR MBX Lite
Imagination
Amplificador de potencia TQM676031 – Band 1 – HSUPA
TriQuint
UMTS18 TQM666032 – Band 2 – HSUPA

                                                                                                                                                                                                                                                                                                                                                                                 
16
  Es   una   marca   registrada   de   Wi-­‐Fi   Alliance   que   pueden   utilizarse   con   productos   certificados   que  
pertenecen   a   una   clase   de   red   inalámbrica   de   área   local   inalámbrica   (WLAN),   los   dispositivos   basados   en   los  
estándares  IEEE  802.11  [95].  
17
 Es  una  tecnología  compatible  con  versiones  anteriores  de  tecnología  digital  de  telefonía  móvil,  que  
permite  la  mejora  de  transmisión  de  datos  como  una  extensión  en  la  parte  superior  de  la  norma  GSM  [96].  
18
 Amplificador  de  señales  UMTS  

25  
 
TQM616035 – Band 5/6 - WCDMA/HSUPA
PA-duplexer
PMB 6272 GSM/EDGE and WCDMA PMB
Transceptor UMTS Infineon
5701
Procesador Base Infineon X-Gold 608 (PMB 8878)
PF38F3050M0Y0CE - 16 Mbytes of NOR flash
Memoria base de apoyo Numonyx
y 8 Mbytes of pseudo-SRAM
Amplificador de cuatro
Skyworks SKY77340 (824- to 915-MHz)
bandas GSM / EDGE
Antena GPS, Wi-fi y BT NXP OM3805, a variant of PCF50635/33
Gestor de comunicaciones Infineon SMARTi Power 3i (SMP3i)
Gestor a nivel de sistema NXP PCF50633
Cargador de batería /
Tecnología Linear LTC4088-2
controlador USB
GPS Infineon PMB2525 Hammerhead II
Flash NAND Toshiba TH58G6D1DTG80 (8 GB NAND Flash)
Chip flash serial SST SST25VF080B (1 MB)
ST
Acelerómetro LIS331 DL
Microelectronics
Wi-Fi Marvell 88W8686
Bluetooth CSR BlueCore6-ROM
Codec de audio Wolfson WM6180C
Controlador de la pantalla
Broadcom BCM5974
táctil
Interfaz de enlace con la National
LM2512AA Mobile Pixel Link
pantalla Semiconductor
Controlador de línea de
Texas Instruments CD3239
pantalla táctil
Tabla 4. Hardware iPhone 3G. Tomado de [23], traducción libre de los autores

A continuación se presenta una breve descripción del funcionamiento de dos de los componentes
más importantes del iPhone:

• Unidad central de procesamiento (CPU): es una unidad de procesamiento RISC19 que


ejecuta el núcleo de los procesos del iPhone y trabaja conjuntamente con el coprocesador
PowerVR para la aceleración de gráficos. La CPU ejecuta a una tasa de reloj más baja que
la especificada por el fabricante, se ejecuta a 412 MHz de 667 MHz posibles, esto para
extender la vida útil de la batería [23].

• Procesador Base: es el componente del iPhone que gestiona todas las funciones que
requiere la antena (servicios celulares). El procesador base tiene su propia memoria RAM20
y firmware en flash NOR21, como recurso de la CPU principal. El Wi-Fi y el Bluetooth son

                                                                                                                         
19
 Es  un  tipo  de  microprocesador  con  las  siguientes  características  fundamentales:  Instrucciones  de  tamaño  
fijo,   presentadas   en   un   reducido   número   de   formatos.   Sólo   las   instrucciones   de   carga   y   almacenamiento  
acceden  a  la  memoria  por  datos.  
20
 Memoria  de  acceso  aleatorio  desde  donde  el  procesador  recibe  las  instrucciones  y  guarda  los  resultados.  
21
  Memoria   que   permite   que   múltiples   posiciones   de   memoria   sean   escritas   o   borradas   en   una   misma  
operación  de  programación  mediante  impulsos  eléctricos.  

26  
 
gestionados por la CPU principal a pesar que el procesador base almacena su dirección
MAC22 en su NVRAM23 [23].

2.1.3.2. Software del iPhone

Según [5] y [9], el esquema de partición del disco de un iPhone se asemeja al de un Apple TV24. Por
defecto, el iPhone está configurado con dos particiones de disco que no residen en una unidad de
disco física debido a que utiliza una NAND flash25 de estado sólido que es tratada como un disco de
almacenamiento. Allí se almacenan una tabla de particiones y un formato de sistema de archivos.

La primera partición se conoce como Master Boot Record26 (MRB) y es la responsable de cargar el
sistema operativo. Esta partición es de solo lectura para conservar el estado de fábrica durante todo
el ciclo de vida del iPhone, y es donde se encuentran todas las aplicaciones que vienen por defecto
en el iPhone. A continuación existe un área libre conocida como Apple_Free area, seguida de la
segunda partición que se divide en dos: una parte HFSX27 que en un principio almacena el sistema
operativo, otra área libre Apple_Free area, y la segunda parte HFSX que contiene todos los datos de
usuario, donde se almacena música, videos, fotos, información de contactos, entre otros.

• Primera Partición: el tamaño de la primera partición está generalmente entre los 300MB y
los 500MB, y usa el sistema de archivos HFSX. Los orígenes del iPhone provienen del iPod
y del Apple TV, que cuentan con dos particiones: una únicamente para operación y otra
únicamente para almacenamiento (Ver Ilustración 8). Aunque el esquema de partición es
diferente, los sistemas de archivos son similares en su estructura [9].

Ilustración 8. Partición del disco del iPhone. Tomado de [9], traducción libre de los autores
                                                                                                                         
22
 Es  un  identificador  de  48  bits  que  corresponde  de  forma  única  a  un  dispositivo.  
23
 La  memoria  de  acceso  aleatorio  no  volátiles  un  tipo  de  memoria  que  no  pierde  la  información  almacenada  
al  cortar  la  alimentación  eléctrica.  
24
 El  Apple  TV  permite  escuchar  los  temas  de  iTunes,  visualizar  fotos  en  HD  y  visualizar  podcasts  gratuitos.  
http://www.apple.com/es/appletv/whatis.html  
25
    Memorias   que   usan   un   túnel   de   inyección   para   la   escritura   y   para   el   borrado   un   túnel   de   ‘soltado’.  
Permiten  acceso  secuencial  (más  orientado  a  dispositivos  de  almacenamiento  masivo).  
26
  Sector   de   almacenamiento   de   datos   que   contiene   código   de   arranque   de   un   sistema   operativo  
almacenado  en  otros  sectores  del  disco.  
27
 Es  un  sistema  de  archivos  desarrollado  por  Apple  Inc.  

27  
 
Esta partición es la encargada de cargar el sistema operativo del iPhone, el iPhone OS, el
cual es una variante del núcleo del sistema operativo OS X de Apple. Basado en el mismo
núcleo MACH28 y compartiendo algunos elementos básicos con el OS X 10.5 (Leopard), el
iPhone se compone de 4 capas, incluyendo el sistema operativo básico, el núcleo API de
servicios, los medios de comunicación y una capa resistente denominada Cocoa Touch [23].

• Segunda Partición: en un iPhone de 16 GB esta partición es de 14.1 GB, en uno de 8 GB


es de 7.07 GB. Esta contiene el sistema de archivos HFSX y un volumen llamado “Data”.
En esta partición es donde la mayoría de la información y de datos de valor se aloja y puede
ser localizada [9]. Según [5], otro tipo de datos que se almacenan además de la música,
videos, fotos y contactos son:

 Caches de teclado, nombres de usuario, contraseñas, términos de búsqueda y


fragmentos de documentación tecleada.
 Pantallazos del último estado de una aplicación son preservados cuando el botón
Home es presionado o cuando se cierra alguna aplicación.
 Fotos eliminadas de la librería y de la memoria.
 Direcciones, contactos, eventos de calendario y otros datos personales.
 Historial de llamadas, además de las que se despliegan, las últimas 100 llamadas y
entradas eliminadas.
 Imágenes de mapas de mapas de Google Maps y búsquedas por longitud/latitud de
coordenadas.
 Cache del buscador y objetos eliminados del buscador que identifican que sitios
web fueron visitados.
 Correos electrónicos eliminados, mensajes de texto, marcas de tiempo y banderas
de comunicación (con quien y en que dirección la comunicación tuvo lugar).
 Grabaciones de correo de voz eliminadas.
 Información entre el dispositivo y el computador relacionado.

2.1.3.2.1. El sistema operativo iPhone OS

El iPhone OS es el sistema operativo que se ejecuta sobre los dispositivos iPhone y iPod Touch. Se
encarga principalmente de la gestión del hardware del dispositivo, y provee las tecnologías básicas
para implementar aplicaciones nativas en el teléfono [41].

Como se mencionó anteriormente, la arquitectura del iPhone OS es similar a la arquitectura base del
Mac OS X, compartiendo la mayoría de tecnologías y características provenientes de él. En un alto
nivel, el iPhone OS actúa como un intermediario entre el hardware del dispositivo, y las
aplicaciones que aparecen en la pantalla (Ver Ilustración 9). Las aplicaciones no interactúan
directamente con el hardware, en su lugar, utilizan interfaces que interactúan con los controladores
asociados, para proteger de cambios subyacentes en el hardware [42].

                                                                                                                         
28
 Es  un  sistema  operativo  a  nivel  de  micro  núcleo  desarrollado  como  soporte  tanto  para  computación  
paralela  como  distribuida  http://www2.cs.cmu.edu/afs/cs/project/mach/public/www/mach.html.  

28  
 
Ilustración 9. Interacción iPhone OS. Tomado de [42]

El iPhone OS utiliza una pila de software sencilla. En la parte inferior de esta pila, se encuentran el
núcleo MACH y los controladores de hardware, que gestionan la ejecución de aplicaciones en el
dispositivo. En la parte superior, se encuentran capas adicionales que contienen las tecnologías
básicas e interfaces asociadas a los controladores hardware. Y, aunque el iPhone OS no expone el
núcleo o las interfaces de los controladores, si expone las tecnologías (Ver sección Tecnología de
capas del iPhone OS) en los niveles superiores de la pila [42].

2.1.3.2.1.1. Tecnología de capas del iPhone OS

Según [42], en el iPhone OS la arquitectura del sistema, y la mayoría de las tecnologías son
similares a las que se encuentran en el Mac OS X. El núcleo o kernel, se basa en una variante del
kernel MACH que se encuentra en dicho sistema operativo.

La implementación de las tecnologías del iPhone OS se puede representar como un conjunto de


capas (Ver Ilustración 10). Las capas inferiores contienen los servicios fundamentales en los que
todas las aplicaciones se basan, mientras las capas superiores contienen servicios y tecnologías más
sofisticados.

Ilustración 10. Tecnología de capas del iPhone OS. Tomado de [42], traducción libre de los autores

La capa del Núcleo OS y la capa de Servicios del Núcleo contienen las interfaces fundamentales del
iPhone OS. Estas incluyen aquellas usadas para acceder a los archivos, tipos de datos de bajo nivel,

29  
 
servicios Bonjour29, sockets de red, entre otros. La mayoría de estas interfaces se encuentran
desarrolladas bajo el lenguaje de programación C, e incluyen tecnologías como CoreFunction,
CFNetwork30, SQLite31, acceso a hilos POSIX32 y sockets UNIX33 [41].

A medida que se sube de capa, se encontrarán tecnologías más avanzadas, desarrolladas bajo una
mezcla entre el lenguaje de programación C y Objective-C34. Por ejemplo, la capa de medios de
comunicación contiene tecnologías fundamentales usadas para soportar gráficos 2D y 3D, audio y
video. Incluye tecnologías bajo C como OpenGL ES35, Quartz36, Audio Core37 y un motor de
animación llamado Animación Core que está basado en Objective-C [41].

En la capa superior Cocoa Touch, la mayoría de tecnologías están desarrolladas en Objective-C, y


los frameworks que la componen proveen la infraestructura fundamental necesaria para ejecutar las
aplicaciones. Por ejemplo, uno de los frameworks contenidos en esta capa es conocido como
Foundation. Éste provee soporte para colecciones orientadas a objetos, manejo de archivos,
operaciones de red, entre otros. Otro framework, es el UIKit que provee la infraestructura para la
aplicación, es decir, incluye clases para ventanas, vistas, controles y controladores que manejan esos
objetos. Otros marcos de trabajo a este nivel dan acceso a la información de contactos y fotos del
usuario, al acelerómetro y otras características de hardware del dispositivo [41].

2.1.3.2.2. El sistema de archivos HFS+

Como se mencionó anteriormente, el disco del iPhone utiliza un sistema de archivos HFSX, que es
una variante del sistema de archivos HFS+ de Apple. En general, HFSX es casi idéntico en su
totalidad a HFS+, pero se diferencian por ciertas características, que mas adelante serán
mencionadas. Para entender su estructura es necesario conocer en detalle el sistema de archivos
HFS+ y mencionar las características que lo diferencian.

2.1.3.2.2.1. HFS+ Básico

HFS+ es un formato de volumen para Mac OS. Fue introducido con el Mac OS 8.1, y es
arquitectónicamente muy similar a HFS, aunque ha presentado una serie de cambios importantes,
que se muestran en la Tabla 5 [43].

                                                                                                                         
29
  Los   servicios   Bonjour,   también   son   conocidos   como   servicios   de   configuración   de   red,   que   permiten   el  
descubrimiento  automático  de  computadores,  dispositivos  y  servicios  en  redes  IP  [94].  
30
  Es   un   framework   de   los   servicios   básicos,   que   ofrece   una   colección   de   abstracciones   de   protocolos   de   red  
[97].  
31
 Sistema  de  gestión  de  bases  de  datos.  
32
 Código  multihilo  portable.  
33
 Es  un  punto  final  de  comunicaciones  de  datos  que  es  similar  a  un  socket  de  Internet,  pero  no  utiliza  un  
protocolo  de  red  para  la  comunicación.  
34
 El  Objective-­‐C  es  un  lenguaje  simple,  diseñado  para  permitir  programación  orientada  a  objetos  sofisticada  
[98].    
35
 Es  una  plataforma  cruzada  para  permitir  funciones  de  gráficos  2D  y  3D  en  sistemas  embebidos  incluyendo  
las  consolas,  teléfonos,  aparatos  y  vehículos.  
36
  Quartz   2D   es   un   avanzado   motor   de   dibujo   de   dos   dimensiones   para   el   desarrollo   de   aplicaciones   del  
iPhone  y  para  todos  los  entornos  Mac  OS  X  fuera  de  la  aplicación  del  núcleo  [99].  
37
 Es  una  API  de  bajo  nivel  para  tratar  con  el  sonido  en  el  sistema  de  Apple  Mac  OS  X.  

30  
 
Característica HFS+
Nombre de usuario
Mac OS Extendido
visible
Número de asignación
32 bits
de bloques
Nombres de archivos
255 caracteres
largos
Codificación de nombres
Unicode
de archivos
Atributos de archivos / Permite futuras extensiones
carpetas de metadatos
También soporta un archivo
Soporte de inicio del SO
dedicado de inicio
Tamaño del catálogo de
4KB
nodo
Tamaño máximo de
263 bytes
archivo
Tabla 5. Características HFS+ [43], traducción libre de los autores

• Uso del Disco: HFS+ utiliza valores de 32 bits para identificar bloques de asignación. Esto
permite hasta 232 (4’294.967.296) bloques de asignación en un volumen. Más bloques de
asignación significan un menor tamaño del bloque, especialmente en volúmenes de 1 GB o
mayores, que a su vez significa menos espacio desperdiciado. Por tal razón, se puede
almacenar un mayor número de archivos, ya que el espacio de disco disponible se puede
distribuir de mejor manera.

• Nombres de archivos: HFS+ utiliza hasta 255 caracteres Unicode para almacenar nombres
de archivos. Esto permite tener nombres largos descriptivos, lo cual es útil cuando el
nombre es generado por el computador automáticamente. El nombre de un archivo puede
ocupar hasta 512 bytes (incluyendo el campo de longitud). Y, como el árbol B de índices
debe almacenar al menos dos llaves, además de los apuntadores y descriptor de nodo, el
catálogo de HFS+ debe usar un tamaño de nodo mayor. Generalmente el tamaño del nodo
para el catálogo del árbol B es de 4 KB.

Las llaves en un nodo deben ocupar una cantidad de espacio variable determinada por el
tamaño actual de la llave. Esto permite que no se desperdicie mucho espacio en los nodos
ya que se crea un factor de mayor ramificación en el árbol, es decir, se requiere un menor
número de accesos para encontrar algún registro.

2.1.3.2.2.2. Conceptos del núcleo

HFS+ utiliza estructuras interrelacionadas para la gestión de los datos en el volumen [43]. Estas
estructuras incluyen:

• Cabecera del volumen


• Archivo del catálogo
• Archivo de grados de desbordamiento
• Archivo de atributos
• Archivo de asignaciones

31  
 
• Archivo de inicio

A continuación se describirá cómo estas estructuras se relacionan entre sí, y se definen los tipos de
datos primitivos usados por HFS+. Cada una de las estructuras se describirá con mayor detalle en
las siguientes secciones.

HFS+ es una especificación de cómo un volumen (archivos que contienen datos de usuario, así
como la estructura para obtener esos datos) existe en el disco (el medio en el que los datos de
usuario son almacenados). El espacio de almacenamiento en el disco está dividido en unidades
llamadas sectores. Un sector es la mínima parte que puede ser escrita o leída en una sola operación
por el controlador del disco, y su tamaño se basa en la forma en que es establecido físicamente (para
discos duros los sectores son de 512 bytes, para medios ópticos son de 2048 bytes) [43].

HFS+ asigna espacio en unidades llamadas bloques de asignación, que son simplemente un grupo
de bytes consecutivos. El tamaño de estos bloques, se establece cuando el volumen es inicializado,
y puede ser superior o igual a 512 bytes. La forma de identificación de estos bloques, se hace
mediante un número de 32 bits, de forma tal que pueden existir 232 bloques de asignación en un
volumen.

Todas las estructuras del volumen, incluyendo la cabecera, son parte de uno o más bloques de
asignación. Para promover la contigüidad de archivos y evitar la fragmentación, estos son asignados
a grupos de bloques. El tamaño de estos grupos siempre es múltiplo del tamaño de un bloque de
asignación y se define en la cabecera del volumen.

2.1.3.2.2.3. Estructura del volumen

Los primeros 1024 bytes de un volumen, y los últimos 512 son espacios reservados. Cada volumen
debe tener una cabecera, la cual ocupa 1024 bytes después del primer espacio reservado. Contiene
información descriptiva y atributos del volumen, como fecha y hora de creación, el número de
archivos que contiene, la ubicación de las otras estructuras dentro de él, versión, tamaño del bloque
de asignación e información para localizar metadatos de los archivos [43] [44]. Además, antes de
los 512 bytes reservados al final del volumen, se encuentra una copia de la cabecera, conocida como
la cabecera alterna del volumen, que ocupa de igual manera 1024 bytes, y es utilizada únicamente
para funciones de reparación del disco [43].

Un volumen contiene cinco archivos especiales, los cuales almacenan las estructuras requeridas
para acceder a la carga útil del sistema de archivos, es decir, carpetas, archivos de usuario, y
atributos. Estos archivos especiales contienen una única bifurcación ó fork de datos, y su extensión
también está descrita en la cabecera del volumen [43].

El archivo de catálogo es un tipo de archivo especial, que describe la jerarquía de carpetas y


archivos en un volumen. Contiene la mayoría de los metadatos de los mismos, e información vital
de todos los archivos y carpetas dentro de un volumen, así como la información del catálogo, para
archivos y carpetas que se almacenan allí. Se encuentra organizado en un árbol-B, para permitir
búsquedas rápidas y eficientes a través de una jerarquía extensa de carpetas, almacenando allí los
nombres de los archivos y carpetas (255 caracteres Unicode, nombrados anteriormente).

32  
 
El archivo de atributos es otro tipo de archivo especial, el cual contiene datos adicionales para un
archivo o carpeta. Al igual que el archivo de catálogo, se organiza en un árbol-B. En un futuro, se
usará para almacenar información adicional sobre los forks, es decir, metadatos extensibles, listas de
control y tiempos de máquina [43] [44].

HFS+ hace un seguimiento acerca de cuáles bloques pertenecen a un fork manteniendo una lista de
las extensiones de los forks. Una extensión es un rango contiguo de asignaciones de bloques para un
fork específico, representado por un par de números: el número del primer bloque de asignación y el
número de bloques de asignación. Para un archivo de usuario, las primeras ocho extensiones se
almacenan en el archivo de catálogo. Las extensiones adicionales se almacenan en el archivo
especial de grados de desbordamiento, el cual se organiza también en un árbol-B.

El archivo de asignación es otro archivo especial, qué específica cuales bloques de asignación están
siendo utilizados y cuáles no.

El archivo de inicio es otro archivo especial, que facilita el arranque del volumen HFS+ en
computadores que no son Mac.

Finalmente, el archivo de bloques defectuosos previene al volumen de usar ciertos bloques debido a
que el medio que los almacena se encuentra defectuoso [43].

El volumen HFS+ consiste de siete tipos de información o áreas:

1. Archivos forks de usuario


2. Archivo de asignación (mapa de bits)
3. Archivo de catálogo
4. Archivo de grados de desbordamiento
5. Archivo de atributos
6. Archivo de inicio
7. Espacio no usado

La estructura general del volumen HFS+ se ilustra a continuación:

33  
 
Ilustración 11. Estructura general del volumen HFS+. Tomado de [43], traducción libre de los autores

La cabecera del volumen se encuentra siempre en una ubicación fija. Sin embargo, los archivos
especiales pueden aparecer en cualquier ubicación entre el bloque de la cabecera del volumen y el
bloque de la cabecera alterna del volumen. Estos archivos pueden aparecer en cualquier orden y no
necesariamente están contiguos [43].

La información en el volumen HFS+ está organizada exclusivamente en bloques de asignación. El


tamaño de un bloque de asignación es potencia de dos, es de al menos 512 bytes, y se fija cuando el
volumen es inicializado como un parámetro de la cabecera [43].

2.1.3.2.2.4. HFSX

Según [43], HFSX es una extensión para HFS+, que permite características adicionales
incompatibles con HFS+. La única de esas características que está definida actualmente es la
distinción de mayúsculas y minúsculas en los nombres de archivos. Significa que se puede tener dos
objetos, cuyos nombres se diferencian sólo en letras, en el mismo directorio al mismo tiempo. Por
ejemplo, se podría tener "Bob", "Bob", y "bob" en el mismo directorio.

El volumen HFSX tiene una firma de "HX" (0x4858) en el campo de firma de la cabecera. En el
campo de versión se identifica la versión HFSX usada en el volumen, actualmente solo está
definido el valor de 5. Si se añaden funciones incompatibles con versiones anteriores (es decir,
versiones anteriores no podrán modificar o tener acceso al volumen), un número nuevo de versión
se utilizará.

2.1.3.2.2.5. Zona de Metadatos

Mac OS X versión 10.3 introdujo una nueva política para determinar cómo distribuir el espacio para
los archivos, lo cual mejora el rendimiento. Esta política sitúa el volumen de metadatos y pequeños
archivos de uso frecuente ("archivos calientes") cerca unos de otros en el disco, lo que reduce el

34  
 
tiempo de búsqueda de accesos típicos. Esta área en el disco se conoce como la zona de metadatos
[43].

2.2. Problemas de seguridad en el iPhone 3G

Según [45], gracias al iPhone, Apple aumentó su participación en el mercado mundial de teléfonos
inteligentes de un 2.8 % a un 13.3 %. Aumento debido a la “experiencia de usuario” que este
dispositivo ofrece a sus compradores, y a su incorporación en ambientes empresariales. En
principio, este dispositivo era visto como una herramienta de entretenimiento, pero con el paso del
tiempo y la aparición de aplicaciones corporativas se ha ido convirtiendo en una herramienta
empresarial.

Según lo anterior, la información que se maneja en este tipo de dispositivos cada vez es más
sensible, por lo tanto, puede llegar a ser objeto de ataque de agentes malintencionados (Hackers)
con el fin de afectar la integridad, confiabilidad y disponibilidad de esta. En la actualidad no existe
una taxonomía detallada que especifique que tipo de ataques puede sufrir un iPhone 3G, sin
embargo, se han identificado algunos ataques, los cuales se describirán a continuación.

2.2.1. Jailbreak

A través del Jailbreak, el propietario del iPhone es consciente y en algunos casos responsable de
realizar este tipo de ataque, con el objetivo de liberar a dicho dispositivo de las limitaciones
impuestas por Apple y los operadores de telefonía celular como AT&T en Estados Unidos, los
cuales tienen contratos exclusivos para la venta de este tipo de dispositivos [46].

Este tipo de ataque ha logrado adquirir popularidad debido a los beneficios económicos y
funcionales que ofrece, tales como la configuración del dispositivo para lograr su funcionamiento
con cualquier otro operador de telefonía celular. Así mismo, personalizar su apariencia e instalar
aplicaciones ofrecidas en el Apple Store de Apple sin ningún costo [46].

Actualmente existen varias herramientas como Pwnage Tool [30] y Redsn0w [10] desarrolladas por
el iPhone Dev Team38 [48], las cuales permiten realizar el Jailbreak sobre el iPhone que se pretende
atacar, sacando provecho de una vulnerabilidad descubierta en el gestor de arranque de estos
dispositivos [49] [50].

Según [50], las herramientas nombradas anteriormente inician arrancando desde un dispositivo de
memoria (disco RAM) en un entorno “seguro", para evitar que el núcleo desactive las llaves de
cifrado. Además, añade otro dispositivo de memoria, apuntando al espacio de direcciones del
núcleo, que permite aplicar parches sobre el núcleo (kernel). Después de arrancar, se aplica un
parche sobre la verificación de la firma en la extensión AppleImage2NorAccess, y se continúa con
la implantación de los nuevos archivos de instalación (iBoot, LLB, DeviceTree, y fotos). Debido a
que se aplica un parche sobre la comprobación de la firma, y las claves de cifrado están disponibles,

                                                                                                                         
38
 Grupo  de  Hackers  dedicados  a  desarrollar  soluciones  orientadas  al  desbloqueo  de  los  productos  móviles  
de  Apple  [48].  

35  
 
el AppleImage2NORAccess las escribe en el lugar adecuado del disco. Después de eso, el
dispositivo puede ser reiniciado, y aceptará cualquier archivo sin ningún tipo de complicación.

2.2.2. Phishing39, Spoofing40 y Spamming41

Actualmente, los usuarios del iPhone 3G pueden gestionar y ver el correo electrónico como si lo
estuvieran haciendo desde un computador, por medio de la aplicación iPhone Mail o a través del
navegador Safari el cual viene por defecto en este dispositivo [52].

Las aplicaciones nombradas anteriormente son vulnerables al URL spoofing, por medio del cual se
pueden realizar ataques de phishing contra los usuarios de este dispositivo [53]. Con respecto a lo
anterior, debido al tamaño de su pantalla este dispositivo tiene un problema al momento de mostrar
direcciones electrónicas muy largas, ya que no las muestra en su totalidad si no que por el contrario
oculta por medio de puntos suspensivos el centro de dicha dirección (Ver Ilustración 12) [55].

Ilustración 12. Recorte de URL en la aplicación iPhone Mail

Por lo tanto, es posible que un atacante construya un URL muy largo y lo envíe por medio de un
correo electrónico, en donde la primera parte, la cual es visualizada en el iPhone, parezca un
dominio de confianza, con esto, la victima solo verá la parte conocida y hará clic sobre el enlace
malicioso (Ver Ilustración 13).

                                                                                                                         
39
  Capacidad   de   duplicar   una   página   web   para   hacer   creer   al   visitante   que   se   encuentra   en   el   sitio   web  
original,   en   lugar   del   falso.   Normalmente   se   usa   con   el   objetivo   de   robar   información   confidencial   del  
usuario  como  contraseñas,  números  de  tarjetas  de  crédito  y  datos  financieros  o  bancarios  [51].    
40
    Tipo   de   ataque   que   tiene   como   objetivo   engañar   al   sistema   de   la   víctima   para   ingresar   al   mismo.  
Generalmente  este  engaño  se  realiza  tomando  las  sesiones  ya  establecidas  por  la  víctima  u  obteniendo  su  
nombre  de  usuario  y  contraseña  [84].  
41
 Capacidad  de  enviar  mensajes  no  solicitados,  habitualmente  de  tipo  publicitario,  enviados  de  forma  
masiva.  La  vía  mas  utilizada  es  basada  en  el  correo  electrónico  pero  también  se  puede  presentar  por  
programas  de  mensajería  instantánea  o  por  telefonía  celular  [57].  

36  
 
Ilustración 13. Página falsa accedida por medio del iPhone 3G

Cabe resaltar que el ataque nombrado anteriormente hasta el momento puede ser realizado en los
iPhone con firmware 2.0.1, 2.0.2, 2.1, 3.0 y 3.01, ya que no ha salido ninguna actualización donde
se corrija esta vulnerabilidad por parte de Apple [54].

Por otro lado, la aplicación iPhone Mail también es vulnerable debido a la forma cómo gestiona las
imágenes adjuntas a los correos electrónicos [55]. Actualmente la mayoría de clientes de correo
electrónico requieren autorización para realizar la descarga de imágenes desde un servidor remoto
(Ver Ilustración 14), si estas imágenes se descargarán automáticamente, el spammer42 que controla
el servidor remoto sabrá que el usuario leyó el mensaje, y luego marcará su cuenta de correo como
una cuenta activa con el fin de enviar mas spam43 [54].

Ilustración 14. Solicitud descarga de imágenes adjuntas cliente de correo Gmail desde portátil Compaq V37l8LA
[56] con sistema operativo Windows XP.

                                                                                                                         
42
 Persona  dedicada  a  enviar  spam  [57].  
43
   Mensajes  no  solicitados,  habitualmente  de  tipo  publicitario,  enviados  en  forma  masiva.  La  vía  más  
utilizada  es  la  basada  en  el  correo  electrónico  pero  puede  presentarse  por  programas  de  mensajería  
instantánea  o  por  teléfono  celular  [93]  

37  
 
Con respecto a lo anterior, la vulnerabilidad de la aplicación iPhone mail, radica en que la descarga
de imágenes es realizada automáticamente, y no hay forma de desactivar esta característica (Ver
Ilustración 15) [54].

Ilustración 15. Descarga automática de imágenes adjuntas desde iPhone Mail

2.2.3. Ataque directo

Según [58], una de las maneras más peligrosas en las que un dispositivo móvil puede ser atacado es
por un ataque directo, en el cual el Hacker encuentra el dispositivo y toma acciones deliberadas para
vulnerarlo. Para realizar este ataque en primera instancia el hacker tiene que encontrar e identificar
el dispositivo, esto se puede hacer de varias formas, una de ellas consiste simplemente en
observarlo. Si alguien está revisando su correo electrónico desde su dispositivo móvil o realizando
una llamada en un espacio público, lo único que necesita el atacante es identificar el tipo de
dispositivo que está siendo usado y determinar el tipo de exploit44 que puede ejecutar sobre este.

Otra forma de realizar este ataque es ubicando al dispositivo mientras se encuentre conectado a una
red, en este escenario no es necesario ver al dispositivo o al usuario físicamente. Si el dispositivo
móvil se encuentra conectado a internet implica que tiene asignada una dirección IP45 perteneciente
a alguna red, por lo tanto, cualquier persona que pueda obtener una dirección IP de dicha red podrá
localizar el dispositivo.

Con respecto a lo anterior, luego que el dispositivo móvil sea encontrado por el hacker las acciones
que se pueden realizar sobre éste varían según el tipo de dispositivo y la tecnología que éste use. A
continuación se muestran algunas acciones que se pueden tomar:

• Extracción de información almacenada en el dispositivo.


• Modificación de información almacenada en el dispositivo.

                                                                                                                         
44
  Programa   o   código   que   "explota"   una   vulnerabilidad   del   sistema   o   de   parte   de   él   para   aprovechar   esta  
deficiencia  en  beneficio  del  creador  del  mismo  [85].  
45
   Número  que  identifica  de  manera  lógica  y  jerárquica  a  una  interfaz  de  un  dispositivo  dentro  de  una  red  
que  utilice  el  protocolo  IP  (Internet  Protocol).  

38  
 
• Cargar información al dispositivo (incluyendo Malware46).
• Modificación de la configuración del dispositivo.
• Hacer uso de este de forma no autorizada.
• Dejar sin uso el dispositivo.

Según [59], este tipo de ataque puede ser realizado sobre un iPhone 3G luego que el usuario realice
Jailbreak sobre éste (Ver sección Jailbreak), ya que una de las acciones habituales al momento de
desbloquear el dispositivo es instalar OpenSSH47 a través de Cydia48, con el objetivo de poder
transferir aplicaciones de Apple sin pagar desde un computador al dispositivo. OpenSSH es un
demonio que se inicia automáticamente al momento de encender el iPhone y se mantiene a la
escucha de peticiones por el puerto 22 (por defecto). A continuación se muestran los pasos
necesarios para realizar un ataque directo sobre un iPhone 3G:

1. Conseguir contraseña root

Como se explicó en capítulos anteriores el iPhone es en esencia un computador el cual tiene


sistema operativo, por lo tanto tiene cuentas de acceso de usuario. En este dispositivo
existen dos cuentas de usuario, root y mobile, el problema de estas contraseñas es que son
públicas y conocidas por todos los iPhone 3G. Cómo necesitamos ingresar con todos los
privilegios usaremos la cuenta root que tiene como contraseña alpine.

2. Identificar el dispositivo y encontrar puertos abiertos

Para lograr conocer la dirección IP que tiene asignada el dispositivo es necesario realizar
una búsqueda de todos los dispositivos activos dentro de la red que estamos usando, para
esto existen gran variedad de herramientas como Nmap [60] y Netcat [61].

Las herramientas nombradas anteriormente son usadas para realizar exploración sobre
redes, por medio de estas herramientas se puede conocer la dirección IP de los dispositivos
que se encuentren conectados en una red, los puertos abiertos y el tipo de sistema operativo
que usan.

Con respecto a lo anterior, al momento de realizar la búsqueda del iPhone objetivo es


necesario explorar la red en la cual se encuentra la máquina atacante, buscando algún
dispositivo que tenga abiertos los puertos 22 (OpenSSH) y 62078, este último usado por
dicho dispositivo para poder sincronizarse con iTunes (Ver Ilustración 16).

                                                                                                                         
46
 También  conocido  como  Virus  Informáticos,  es  cualquier  tipo  de  software  dañino  que  puede  afectar  un  
sistema  [86].  
47
 Versión  libre  del  paquete  de  herramientas  de  comunicación  segura  del  protocolo  SSH/SecSH  para  redes  
[87].  
48
 Aplicación  que  permite  instalar  cualquier  tipo  de  aplicación  que  no  sea  fabricada  por  APPLE  en  dispositivos  
iPod  e  iPhone.  

39  
 
Ilustración 16. Escaneo de red y puertos abiertos con Zenmap

Una vez encontrado el dispositivo, se procede a acceder al dispositivo por medio del
programa WinSCP Login49 usando como datos la dirección IP encontrada y el puerto 22
como se muestra en la Ilustración 17.

Ilustración 17. Ingreso datos para acceder al dispositivo por SSH

Si el dispositivo está escuchando por el puerto 22, el programa por el cual se está realizando
la conexión pedirá el nombre de usuario y la contraseña, en este caso se debe ingresar root
y alpine respectivamente (Ver Ilustración 18).

Ilustración 18. Ingreso de usuario y contraseña WinCSP Login

Luego de confirmar la contraseña, se obtienen todos los derechos de acceso sobre la


información contenida en el iPhone como se muestra en la Ilustración 19.

                                                                                                                         
49
 Cliente  SFTP  gráfico  para  Windows  que  emplea  SSH  

40  
 
Ilustración 19. Acceso a ficheros del iPhone usando WinSCP Login

2.2.4. Inyección de mensajes cortos en teléfonos inteligentes

El servicio de mensajes cortos (SMS), es un servicio que se creó exclusivamente para el servicio de
telefonía móvil. Es usado principalmente para el envío de mensajes de texto por parte de los
usuarios, así como para algunos servicios ocultos del teléfono móvil.

Según [90] y [91], la seguridad en este servicio es crítica, debido a que, algunos ataques se pueden
llevar a cabo remotamente sin necesidad de tener algún tipo de interacción con el usuario, y además
porque al servicio no se le pueden aplicar filtros de contenido o desactivarlo. A continuación, se
presenta un método que aprovecha una vulnerabilidad en implementaciones SMS. Es un
acercamiento que fue capaz de identificar problemas de seguridad no conocidos previamente, y que
se pueden usar principalmente para la denegación de servicios (DoS) en teléfonos inteligentes.

Uno de los problemas que presenta este servicio, es la incertidumbre de recepción del mensaje
original, puesto que los operadores de telefonía móvil pueden filtrar y modificar el contenido de los
mensajes durante su entrega. En segundo lugar, es un servicio poco fiable, ya que mensajes
importantes pueden retrasarse o ser descartados por razones no determinísticas. Debido a lo
anterior, llevar a cabo pruebas de ataques utilizando este servicio puede tomar mucho tiempo y estas
pueden llegar a ser difíciles de reproducir. Es por esto, que el acercamiento nombrado anteriormente
elimina la necesidad de la red telefónica móvil a través de la inyección de mensajes cortos a nivel
local en el teléfono inteligente, mediante un software que requiere acceso únicamente a nivel de
aplicación en el teléfono inteligente. La inyección se realiza por debajo de la pila software del
teléfono móvil, de forma tal que es posible analizar y probar todos los servicios que están basados
en SMS que se ejecutan en dicha pila.

En el iPhone, la pila de telefonía consiste principalmente de una aplicación binaria llamada


CommCenter. Esta aplicación se comunica directamente con el módem, usando un número de líneas
seriales, de las cuales dos son utilizadas para transmisiones SMS. Maneja la recepción de mensajes
por sí solo, sin la necesidad de otro tipo de procesos, además del de notificación de mensajes

41  
 
entrantes. La aplicación de usuario SMS se usa exclusivamente para la lectura de mensajes SMS
almacenados en la base de datos, y para la composición de nuevos mensajes.

El método de inyección de mensajes se basa en la adición de una capa entre la capa de las líneas
seriales y la capa del multiplexor (la capa más baja en la pila de telefonía). A esta nueva capa se le
da el nombre de inyector, y su propósito es realizar un ataque de hombre en el medio (man in the
middle) en la comunicación entre el módem y la pila de telefonía. Su funcionalidad básica es leer
comandos del multiplexor y reenviarlos al módem, y en el sentido contrario, leer los resultados del
módem y reenviarlos al multiplexor.

Para inyectar un mensaje SMS en la capa de aplicación, el inyector genera un nuevo resultado
CMT50 y lo envía al multiplexor, como si se reenviara un mensaje SMS real desde el módem.
Además se encarga de gestionar los comandos de acuse de recibo enviados por el multiplexor (Ver
Ilustración 20).

Ilustración 20. Modelo lógico del inyector SMS. Tomado de [90], traducción libre de los autores

En el iPhone 3G, los mensajes SMS son gestionados por el proceso CommCenter. La interfaz para
el CommCenter consiste de 16 líneas seriales virtuales /dev/dlci.spi-baseband [0-15]. La
implementación en el iPhone OS está separada en dos partes: una librería y un demonio. La librería
es inyectada en el proceso CommCenter mediante la pre-carga de la librería. Si los archivos
respectivos son abiertos, la librería reemplaza el archivo descriptor con uno conectado al demonio.
La única función de la librería es re direccionar las líneas seriales al demonio. El demonio
implementa la inyección del mensaje actual y registra su funcionalidad.

2.3. Informática forense en teléfonos inteligentes

La informática forense aplicada a dispositivos móviles y especialmente a teléfonos inteligentes, es


un área de investigación relativamente nueva. Es por esto que existe poca literatura sobre el tema, y
más aún en lo relacionado con la atención de incidentes [14]. A continuación explicaremos que es la
informática forense y la importancia de su aplicación en dispositivos móviles como el iPhone 3G.

2.3.1. Informática forense clásica

El constante aprovechamiento de fallas sobre los sistemas de computación por parte de agentes mal
intencionados, ofrece un escenario perfecto para que se cultiven tendencias relacionadas con

                                                                                                                         
50
   Reenvío  de  un  mensaje  SMS  recibido  recientemente  al  computador  

42  
 
intrusos informáticos [32], estos agentes malintencionados varían según sus estrategias y
motivaciones, que abarcan desde lucro monetario hasta satisfacción personal, y en algunos casos es
un estilo de vida [33].

Con respecto a lo citado anteriormente, según [32], la criminalística ofrece un espacio de análisis y
estudio sobre los hechos y las evidencias que se identifican en el lugar donde se llevaron a cabo las
acciones criminales, por lo tanto, es necesario establecer un conjunto de herramientas, estrategias y
acciones que ayuden a identificar estos hechos y evidencias dentro del contexto informático [65].

La informática forense es una rama de las ciencias forenses, que involucra la aplicación de la
metodología y la ciencia para identificar, preservar, recuperar, extraer, documentar e interpretar [5]
pruebas o evidencias procedentes de fuentes digitales con el fin de facilitar la reconstrucción de los
hechos encontrados en la escena del crimen [36], para luego usar dichas evidencias como elemento
material probatorio en un proceso judicial [34] [14].

2.3.1.1. Evidencia digital

Según [32], es importante anotar que la informática forense al ser un recurso importante para las
ciencias forense modernas, asume dentro de sus procedimientos las tareas propias a la evidencia
física en la escena del crimen como son: identificación, preservación, extracción, análisis,
interpretación, documentación y presentación de las pruebas en el contexto de la situación bajo
inspección.

Con respecto a lo anterior, según [32], se puede considerar la evidencia como “cualquier
información, que sujeta a la intervención humana u otra semejante, ha sido extraída de un medio
informático”. La evidencia digital tiene como características principales el hecho de ser volátil,
anónima, duplicable, alterable y eliminable, en consecuencia, a diferencia de la evidencia física en
un crimen clásico, la evidencia digital es un desafío para aquellas personas que la identifican y
analizan debido a que se encuentran en un ambiente cambiante y dinámico [67] [68].

Según [32], la evidencia digital puede ser dividida en 3 categorías:

• Registros almacenados en el equipo de tecnología informática: correos electrónicos,


imágenes, música, archivos de aplicaciones de ofimática51, etc.

• Registros generados por los equipos de tecnología informática: registros de auditoría,


registros de eventos, registros de transacciones, etc.

• Registro generados y almacenados parcialmente en los equipos de tecnología informática:


hojas de cálculo financieras, consultas especializadas en bases de datos, vistas parciales de
datos, documentos informativos, etc.

                                                                                                                         
51
 Conjunto  de  técnicas,  aplicaciones  y  herramientas  informáticas  que  se  utilizan  en  funciones  de  oficina.  

43  
 
2.3.1.1.1. Administración de evidencia digital

A continuación se muestra el ciclo de vida de la evidencia digital (Ver Ilustración 21), el cual se
expone en las buenas prácticas de evidencia digital establecidas en el Handbook Guidlines for the
Management of IT [70] y consta de 6 fases.

Ilustración 21. Ciclo administración de la evidencia digital [70]

2.3.1.1.1.1. Diseño de la evidencia

Según [70], el objetivo principal de esta fase es fortalecer la admisibilidad y relevancia de la


evidencia producida por las tecnologías de información, a continuación se muestran cinco objetivos
que deben ser considerados para el diseño de la evidencia digital:

• Asegurar la relevancia de los registros electrónicos, que sean identificados, estén


disponibles y sean utilizables.

• Los registros electrónicos deben tener un autor claramente identificado.

• Los registros electrónicos cuentan con una hora y fecha de creación o modificación.

• Los registros electrónicos cuentan con elementos que permiten validar su autenticidad.

• Verificar la confiabilidad de la producción o generación de los registros electrónicos por


parte del sistema de información.

2.3.1.1.1.2. Producción de la evidencia

Según [70], el objetivo de ésta fase consiste en producir la mayor cantidad de información posible
con el fin de aumentar las probabilidades de identificar y extraer la mayor cantidad de evidencia
digital relacionada con el incidente. Por lo tanto, es necesario que el sistema de información
produzca los registros electrónicos, identificar el autor de los registros electrónicos almacenados,
identificar la fecha y hora de creación de estos, verificar que la aplicación esté operando

44  
 
correctamente al momento de generar o modificar registros, y finalmente verificar la completitud de
los registros generados.

Con respecto a lo anterior, es necesario tener en cuenta las siguientes prácticas:

• Desarrollar y documentar un plan de pruebas formal para validar la correcta generación de


registros electrónicos.

• Diseñar mecanismos de seguridad basados en certificados digitales para validar que es la


aplicación en cuestión la que genera los registros electrónicos.

• De ser posible, establecer un servidor contra los cuales se pueda verificar la fecha y hora de
creación de los registros electrónicos.

• Contar con pruebas y auditorias frecuentes alrededor de confiabilidad de los registros.

• Diseñar y mantener el control de integridad de los registros electrónicos, que permita


identificar cambios que hayan sido realizado sobre ellos.

2.3.1.1.1.3. Recolección de la evidencia

El objetivo de esta fase es localizar toda la evidencia digital y asegurar que todos los registros
electrónicos originales no han sido alterados [70]. Dicha recolección debe realizarse empezando por
la información más volátil hasta la menos volátil, es importante que al momento de realizar la
inspección del (los) equipo (s) se evite alterar cualquier variable, ya que un cambio insignificante a
la vista podría invalidar todo el proceso de investigación en un proceso judicial. Por otro la
recolección debe ser realizada mediante herramientas especializadas y certificadas con el objetivo
de evitar modificaciones en las fechas de acceso y en la información del registro del sistema [38]
[39] [40].

2.3.1.1.1.4. Análisis de la evidencia

El objetivo de esta fase es lograr identificar como fue efectuado el ataque, cual fue la vulnerabilidad
explotada y en lo posible identificar al atacante [40], para lograr lo anterior es necesario reconstruir
la secuencia temporal del ataque, para lo cual se debe recolectar la información de los archivos
asociados, marcas de tiempo, permisos de acceso y estado de los archivos.

Según [70], es recomendable tener en cuenta las siguientes actividades al momento de realizar el
análisis de la evidencia:

• Realizar copias autenticadas de los registros electrónicos originales sobre medios forenses
estériles.

• Capacitar y formar en aspectos técnicos y legales a los profesionales que adelantaran las
labores de análisis de datos.

45  
 
• Validar y verificar la confiabilidad y limitaciones de las herramientas de hardware y
software utilizadas para adelantar los análisis de los datos.

• Establecer el rango de tiempo de análisis y correlacionar los eventos en el contexto de los


registros electrónicos recolectados y validados previamente.

• Mantener la perspectiva de los análisis efectuados sin descartar lo obvio, desentrañar lo


escondido y validando las limitaciones de las tecnologías o aplicaciones que generaron los
registros electrónicos.

2.3.1.1.1.5. Reporte y presentación

El objetivo de esta fase es presentar los resultados por parte del investigador sobre su búsqueda y
análisis de los medios, lo que se encontró en la fase de análisis de la evidencia, así como
información puntual de los hechos y posibles responsables [83]. Debido al rigor que requiere una
investigación de este tipo, cada movimiento por parte del investigador o su equipo de trabajo se
debe documentar hasta que se resuelva o se dé por concluido el caso. Esta documentación se debe
llevar a cabo por medio de formularios que hacen parte del proceso estándar de investigación, entre
los cuales se encuentran el documento de custodia de la evidencia nombrado en el numeral 5 de esta
sección, el formulario de identificación de equipos y componentes, el formulario de incidencias
tipificadas, el formulario de recolección de evidencias y el formulario de medios de
almacenamiento [14].

2.3.1.1.1.6. Determinación de la relevancia de la evidencia

Según [70], el objetivo de esta fase es valorar las evidencias de tal manera que se identifiquen
aquellas que sean relevantes y que permitan presentar de manera clara y eficaz los elementos que se
desean aportar en el proceso y en el juicio que se lleve a cabo. Con respecto a lo anterior, se
sugieren dos criterios para tener en cuenta:

• Valor probatorio: establece aquel registro electrónico que tenga signo distintivo de
autoría, autenticidad y que sea fruto de la correcta operación y confiabilidad del sistema.

• Reglas de la evidencia: establece que se han seguido los procedimientos y reglas


establecidas para la adecuada recolección y manejo de la evidencia.

2.3.1.1.2. Consideraciones legales

Según [5] y [35], la evidencia digital debe cumplir con las siguientes características para poder ser
usada en procesos judiciales:

• Admisibilidad: toda evidencia recolectada debe ajustarse a ciertas normas jurídicas para
poder ser presentadas ante un tribunal.

• Autenticidad: la evidencia debe ser relevante al caso, y el investigador forense debe estar
en capacidad de representar el origen de la misma.

46  
 
• Completitud: la evidencia debe contar todo en la escena del crimen y no una perspectiva en
particular.

• Fiabilidad: las técnicas usadas para la obtención y análisis de la evidencia deben gozar de
credibilidad y ser aceptadas en el campo en cuestión, evitando dudas sobre la autenticidad y
veracidad de las evidencias.

• Entendimiento y Credibilidad: se debe explicar con claridad y pleno consentimiento, que


proceso se siguió en la investigación y como la integridad de la evidencia fue preservada,
para que esta sea comprensible y creíble en el tribunal.

2.3.1.2. Modelos y procedimientos en una investigación forense digital

Debido a las características de la evidencia digital (Ver sección Evidencia digital), es preciso
extremar las medidas de seguridad y control que los investigadores deben tener a la hora de realizar
sus labores, pues cualquier imprecisión en los procedimientos relacionados con esta puede llegar a
comprometer el proceso, ya sea legal u organizacional [32].

2.3.1.2.1. Cualidades de un modelo forense

En algunos casos, los procedimientos forenses empleados están constituidos de manera informal, lo
cual puede afectar la efectividad y la integridad de la investigación [65], por lo tanto un modelo
forense debe tener las siguientes cualidades [69].

• Habilidad de realizar un registro de todo.

• Disposición de métricas automatizadas, como la longitud de una ruta de un archivo dentro


de un sistema, y un parámetro de ajuste que permita a un analista forense decidir qué tipo
de información es importante.

• Capacidad de registrar datos en varios niveles de abstracción, incluyendo los que no


pertenecen explícitamente al sistema que se está analizando.

• Capacidad de poner límites a, y recopilar datos acerca de, porciones de


ataques anteriormente desconocidos y métodos de ataques.

• Habilidad de registrar información sobre las condiciones de antes y después de la ocurrencia


del incidente.

• Habilidad de modelar ataques en múltiples escenarios.

• Capacidad de traducir uno a uno los datos registrados con los acontecimientos que se
produzcan.

47  
 
2.3.1.2.2. Modelos forenses existentes

Con respecto a lo citado anteriormente, se hace necesaria la aplicación de procedimientos estrictos y


cuidadosos, desde el momento en que se realiza la recolección de la evidencia, hasta que se
obtienen los resultados posteriores a la investigación [14] [38]. Por tal razón, a continuación se
muestra una descripción de varios modelos de investigación forense, existentes hasta el momento.

2.3.1.2.2.1. Departamento de Justicia de Estados Unidos (2001)

Según [37], el Departamento de Justicia de Estados Unidos publicó un modelo sobre investigación
de crímenes electrónicos. La guía hace referencia a un primer nivel de respuesta a distintos tipos de
evidencia e incluye procedimientos para la manipulación segura de esta [71]. Consta de las
siguientes 4 fases:

• Preparación: preparar los equipos y las herramientas para realizar las tareas necesarias
dentro de la investigación.

• Recolección: buscar y recolectar la evidencia electrónica

 Asegurar y evaluar la escena: asegurar la escena para garantizar la seguridad de las


personas y la integridad de la evidencia. La evidencia potencial debe ser definida en
esta fase.

 Documentar la escena: documentar los atributos físicos de la escena incluyendo


fotografías del computador.

 Recolección de evidencia: recolectar el sistema físico o realizar una copia de los


datos del sistema.

• Examinación: revisión técnica de la evidencia encontrada en el sistema, esta fase está


diseñada para facilitar la visibilidad de las pruebas, al explicar su origen y significado.

• Análisis: el equipo de investigación revisa los resultados de la fase anterior para darle un
valor al caso.

• Presentación de informes: escribir informe sobre el proceso de examinación y los datos


recuperados en la investigación forense en general.

2.3.1.2.2.2. Modelo forense digital abstracto (2002)

Según [36] [37] [71], investigadores de la Fuerza Aérea de Estados Unidos identificaron las
características comunes en varios procesos de modelos e incorporaron otros en un modelo de
procesos abstracto. Este modelo consta de 9 componentes:

• Identificación: reconocimiento del incidente para indicar y determinar el tipo de incidente


o crimen.

48  
 
• Preparación: preparación de herramientas, técnicas, órdenes de registro y autorizaciones
de seguimiento y apoyo a la gestión.

• Acercamiento a la estrategia: formular dinámicamente un procedimiento basado en el


impacto potencial y la tecnología en cuestión. El objetivo de la estrategia debe ser
maximizar la obtención de pruebas no contaminadas, mientras que se minimiza el impacto a
la víctima.

• Preservación: aislar, asegurar y preservar el estado de la evidencia física y digital.

• Recolección: registrar la escena física y realizar una copia de la evidencia digital usando
procedimientos estandarizados y aceptados.

• Examinación: búsqueda en profundidad sistemática de la evidencia relativa a la sospecha


del crimen. Esta fase se centra en la identificación y localización de la evidencia potencial,
posiblemente en lugares no convencionales. Construir la documentación detallada para el
análisis.

• Análisis: determinar el significado, reconstruir los fragmentos de datos y plantear


conclusiones teniendo en cuanta la evidencia encontrada.

• Presentación: resumir y proporcionar una explicación sobre las conclusiones obtenidas.

• Retorno de la evidencia: garantizar que la evidencia física sea devuelta al propietario, así
como la determinación y pruebas penales sobre la evidencia que fue removida.

2.3.1.2.2.3. Modelo forense Mandia (2003)

Kevin Mandia propone un modelo de respuesta a incidentes simple y preciso compuesto por 7
componentes (Ver Ilustración 22) [80].

Ilustración 22. Modelo respuesta a incidentes Kevin Mandia. Tomado de [80], traducción libre de los autores

49  
 
• Preparación al incidente: involucra la preparación de la organización como tal, así como
del personal de investigación, para dar inicio a la respuesta al incidente ocurrido.

• Detección del incidente: esta fase es uno de los aspectos más importantes en la respuesta a
incidentes. Normalmente los incidentes de seguridad se identifican cuando alguien sospecha
que un evento no autorizado, inaceptable o ilegal se ha producido, y la participación de
redes informáticas de la organización o equipo de procesamiento de datos se ve
involucrada.

• Respuesta inicial: uno de los primeros pasos en cualquier investigación, es obtener


información suficiente para determinar la respuesta adecuada que se debe dar al incidente.
La fase de respuesta inicial implica la recolección de datos de la red, la determinación del
tipo de incidente que ha ocurrido, y evaluar el impacto del incidente. La idea es reunir
suficiente información para comenzar la siguiente fase, que es desarrollar una estrategia de
respuesta.

• Formular estrategia de respuesta: el objetivo de esta fase es determinar la estrategia de


respuesta más adecuada, dadas las circunstancias del incidente. La estrategia debe tener en
cuenta aspectos políticos, técnicos, jurídicos, comerciales y de factores que rodean el
incidente. La solución final depende de los objetivos del grupo o individuo con la
responsabilidad de la selección de la estrategia.

• Investigar el incidente: consiste en determinar el quién, el qué, el cuándo, el dónde, el


cómo y el por qué, alrededor de un incidente. Se llevará a cabo la recolección de datos y se
realizara la investigación de la evidencia recolectada.

• Presentación de informes: esta puede ser la etapa más difícil del proceso de respuesta a
incidentes. El desafío es crear los informes que describen con precisión los detalles de un
incidente, de forma tal que sean comprensibles para el personal que toma decisiones, que
puedan soportar la barrera del análisis y escrutinio jurídico, y que se produzcan en el
momento oportuno.

• Resolución: el objetivo de esta fase, es poner en práctica las medidas y procedimientos


determinados, para evitar que un incidente cause más daños. De forma tal, que se retorne a
una situación estable, operativa y saludable. En otras palabras, en esta fase, se contiene el
problema, se resuelve el problema, y se toman medidas para evitar que el problema ocurra
de nuevo.

2.3.1.2.2.4. Modelo de investigación digital integrado – IDIP (2003)

Según [37], Brian Carrier y Eugene Spafford proponen un modelo que organiza el proceso de
investigación forense en 5 grupos con un total de 17 fases (Ver Ilustración 23).

50  
 
Ilustración 23. Fases del modelo IDIP. Tomado de [37], traducción libre de los autores

• Fases de preparación: el objetivo de esta fase es garantizar que las operaciones y la


infraestructura están en condiciones para apoyar la investigación.

 Fase de preparación de operaciones: asegura que el insumo humano está capacitado


y equipado para enfrentar el incidente.

 Fase de preparación de la infraestructura: asegura que la infraestructura subyacente


es suficiente para hacer frente a los incidentes futuros.

• Fases de implementación: el objetivo de esta fase es proporcionar mecanismos para


identificar y confirmar un incidente.

 Fase de detección y notificación: dónde se detectó el incidente y avisar a las


personas apropiadas.

 Fase de confirmación y autorización: se confirma el incidente y se obtiene una


autorización legal para llevar a cabo la búsqueda de evidencia.

• Fases de investigación física de la escena del crimen: el objetivo de esta fase es


reconstruir y analizar las pruebas físicas, para poder reconstruir las acciones que se
realizaron durante el incidente (Ver Ilustración 24).

Ilustración 24. Fases de investigación física de la escena del crimen. Tomado de [37], traducción libre de los autores

 Fase de preservación: preservar la escena del crimen con el fin de posteriormente


poder identificar la evidencia.

51  
 
 Fase de encuesta(s): requiere un investigador que "entre" en la escena del crimen
para identificar piezas de evidencia física.

 Fase de documentación: consiste en tomar fotografías, dibujos y videos de la escena


del crimen y de la evidencia.

 Fase de búsqueda y recolección: implica la búsqueda en profundidad de evidencia


física adicional.

 Fase de reconstrucción: organización de los resultados de los análisis realizados


para poder desarrollar una teoría sobre el incidente.

 Fase de presentación: presentación de la evidencia física o digital ante un tribunal.

• Fases de investigación digital de la escena del crimen: el objetivo de esta fase es recoger
y analizar la evidencia digital que se ha obtenido en la fase de investigación física (Ver
Ilustración 25).

Ilustración 25. Fases de investigación digital de la escena del crimen. Tomado de [37], traducción libre de los
autores

 Fase de preservación: preservar la escena del crimen digital, de manera que


posteriormente puedan ser sincronizadas y analizadas para realizar otras pruebas.

 Fase de encuesta: el investigador transfiere los datos relevantes a un lugar


controlado.

 Fase de documentación: consiste en documentar adecuadamente la evidencia


digital, esta información es útil en la fase de presentación.

 Fase de búsqueda y recolección: implica la búsqueda en profundidad de evidencia


digital. Las herramientas de software usadas revelan datos escondidos, eliminados,
modificados o corruptos.

 Fase de reconstrucción: la cual incluye poner juntas las piezas de un rompecabezas


digital y desarrollar hipótesis investigativas.

52  
 
 Fase de presentación: que involucra la presentación de la evidencia digital
encontrada, al equipo de investigación.

• Fase de revisión: el objetivo de esta fase es realizar una revisión de todo el proceso de
investigación, para identificar mejoras en el mismo.

2.3.1.3. Roles y funciones en una investigación forense digital

El proceso de recolección de evidencia digital en un caso determinado, usualmente involucra


diferentes tipos de roles [82]. Independientemente del tipo de incidente, los roles son similares [81].
Dentro de un proceso investigativo de tipo forense, es importante definir una serie de roles con el
objetivo de definir responsabilidades entregadas al personal correspondiente. Además de esto, es
importante para generar la cadena de custodia52 de la evidencia, debido a que dependiendo del rol,
la persona puede o no tener acceso a la evidencia asegurando en cierta forma la admisibilidad de la
evidencia y su preservación. El NIST (National Institute of Standards and Technology Special
Publication) hace distinción de una serie de roles genéricos, para identificar responsabilidades
asociadas y asegurar que el alcance de las actividades sea completo y suficiente [8] [81] [82]:

• Personal de primera respuesta: personal entrenado para llegar en primer lugar a la escena,
proveer una evaluación inicial y empezar con el primer nivel de respuesta del incidente. Las
responsabilidades de este rol son identificar la escena del incidente, asegurar la escena del
incidente, acudir al personal de apoyo adecuado, y asistir en la recolección y preservación
de evidencia.

• Investigadores: personal encargado de planear y manejar la preservación, adquisición,


exanimación, análisis y reporte de la evidencia electrónica. El investigador líder es quién
está a cargo de asegurar que las actividades que se llevan a cabo en la escena del crimen se
ejecutan en el orden y momento correcto. Su responsabilidad es establecer la cadena de
mando, la realización de la búsqueda en la escena del crimen, desarrollar la evidencia,
preparar el reporte del caso, e informar cualquier hallazgo o determinación a los oficiales
asignados.

• Técnicos: personal encargado de llevar a cabo tareas bajo la supervisión del investigador
líder. Son responsables de identificar y recolectar evidencia, así como de documentar la
escena del incidente. Son entrenados especialmente para incautar los equipos electrónicos y
obtener imágenes digitales de ellos y preservar los datos volátiles, es por esto que
generalmente son expertos en computación forense, o simplemente se cuenta con técnicos
expertos en diferentes áreas. Otras responsabilidades que tienen son, identificar, registrar,
aislar, transportar y procesar la evidencia.

• Custodios de la evidencia: personal encargado de proteger toda la evidencia reunida y


almacenada en una ubicación central. Ellos aceptan la evidencia recolectada por los

                                                                                                                         
52
  Actividad   por   la   cual   se   hace   constar   las   particularidades   de   los   elementos   materia   de   prueba,   de   los  
custodios,  el  lugar,  sitio  exacto,  fecha  y  hora  de  los  traspasos  y  traslados  del  elemento  materia  de  prueba  o  
evidencia  física,  entre  otros  [89].  

53  
 
técnicos, se aseguran que esté correctamente identificada, y mantienen una estricta cadena
de custodia.

• Examinadores forenses: personal especialmente entrenado para reproducir las imágenes


obtenidas de los dispositivos incautados y recuperar datos digitales, haciendo visible la
potencial evidencia digital en el dispositivo. Además, pueden encontrar más datos,
utilizando equipos altamente especializados, ingeniería inversa, entre otros medios.

• Analistas forenses: personal encargado de evaluar el resultado obtenido por el examinador


forense, de acuerdo a su significancia y valor probatorio.

2.3.1.4. Usos de la informática forense

Según [66], la informática forense puede ser aplicada en varios ámbitos, de los cuales muchos
provienen de la vida diaria y no tienen que estar directamente relacionados con la informática
forense.

• Prosecución criminal: casos que tratan de usar evidencia incriminatoria con el objetivo de
procesar gran variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y
venta de estupefacientes, evasión de impuestos o pornografía infantil.

• Litigación civil: casos relacionados con fraude, discriminación, acoso y divorcio pueden
ser resueltos con ayuda de la informática forense.

• Investigación de seguros: la evidencia digital encontrada en computadores, puede ayudar a


las compañías de seguros a disminuir costos en los reclamos por accidentes y
compensaciones.

• Temas corporativos: casos que tratan de usar evidencia incriminatoria para procesar
incidentes relacionados con acoso sexual, mal uso o apropiación de información
confidencial y espionaje industrial.

• Mantenimiento de la ley: la informática forense puede ser usada en la búsqueda inicial de


órdenes judiciales, así como en la búsqueda de información digital una vez se tiene la orden
judicial para hacer la búsqueda exhaustiva de evidencia.

2.3.2. Informática forense en iPhone 3G

El objetivo principal de la informática forense aplicada a dispositivos móviles, al igual que el


objetivo de la informática forense clásica como se mencionó anteriormente, es la búsqueda y
recolección de información relacionada con un incidente en el cual se pueda encontrar posible
evidencia digital incriminatoria, y esta sea utilizada como elemento material probatorio en un
proceso judicial [14]. Actualmente, el 80% de los casos en procesos judiciales contienen algún tipo
de evidencia digital [2], razón por la cual el proceso de recolección y el valor de la evidencia resulta
ser de vital importancia.

Sin embargo, y debido a que el mercado de la telefonía móvil inteligente se ha incrementado


primordialmente por la variedad de fabricantes y modelos de teléfonos que existen, la

54  
 
heterogeneidad que se presenta tanto en su configuración de hardware, su sistema operativo y tipo
de aplicaciones que manejan, como en las herramientas adoptadas para recuperar contenidos que se
puedan utilizar en una investigación forense, es bastante significativa [12] [62]. En la mayoría de
los casos, los fabricantes de dispositivos móviles optan por crear y aplicar sus propios protocolos
para uso de sus sistemas operativos y cables, ocasionando que para los analistas forenses sea más
difícil realizar una investigación por la variedad de herramientas que existen para cada tipo de
dispositivo [2] [14].

Es por esto que para que se logre un análisis forense digital confiable, y la evidencia que se recoja
logre ser admisible, auténtica, completa, fiable, entendible y creíble, es importante conservar los
lineamientos presentados en la sección Consideraciones legales (Ver sección Evidencia digital)
parámetros concernientes a la manipulación de teléfonos móviles celulares, y los puntos que pueden
variar dependiendo del fabricante y modelo [13].

Hoy en día, como ya se ha mencionado, existe poca literatura sobre el análisis forense en
dispositivos móviles y específicamente sobre el iPhone. Sin embargo, se han desarrollado
herramientas y algunas técnicas forenses no formales para llevar a cabo dicho proceso.

Como en cualquier investigación forense, existen variedad de enfoques que se pueden utilizar para
la recolección y análisis de información [13]. Un aspecto clave para ello, por no decir el más
importante, es que el procedimiento que se siga, no modifique la fuente de información de ninguna
manera, o que de ser esto absolutamente necesario, el analista esté en la capacidad de justificar por
qué realizó esta acción [23].

Según [23], existen tres técnicas diferentes para la recolección de evidencia sobre un iPhone:

1. Obtener datos directamente del iPhone: este enfoque es preferible a la recuperación


archivos desde el computador con el que el iPhone se sincronizó. Sin embargo, el analista
forense debe entender cómo ocurrió la adquisición de información, si el iPhone fue
modificado en algún aspecto y qué tipo de información no se logró adquirir.

2. Obtener una copia de respaldo o una copia lógica del sistema de archivos del iPhone
utilizando el protocolo de Apple: ésta aproximación consiste en la lectura de archivos del
iPhone, mediante el protocolo de sincronización de Apple, el cual solo es capaz de obtener
archivos explícitamente sincronizados a través de el. Piezas claves de información son
almacenadas en bases de datos de tipo SQLite, las cuales son soportadas por el protocolo.
Hacer consultas sobre estas bases de datos generará la recuperación de información como
mensajes de texto y correos electrónicos eliminados del dispositivo.

3. Una copia física bit a bit: este proceso crea una copia física bit a bit del sistema de archivos
del iPhone, de manera similar al procedimiento que se sigue sobre computadores personales.
Este proceso, de todos los anteriores, es el que más potencial tiene para recuperar
información, incluyendo los datos eliminados, pero resulta ser complicado pues requiere que
se modifique la partición del sistema del iPhone.

55  
 
Según [5], el proceso técnico que se debe seguir para realizar un análisis forense sobre un iPhone,
debe seguir fuertemente los lineamientos nombrados en la sección Consideraciones legales (Ver
sección Evidencia digital), y consta de cuatro pasos que se describen a continuación:

1. Manipulación física: Es el paso más importante antes de examinar el dispositivo, ya que se


debe contar con el equipo adecuado para mantener el dispositivo cargado y conectado. Se
debe retirar la tarjeta SIM o bloquear cualquier tipo de comunicación o alteración que pueda
sufrir el dispositivo mediante una jaula de Faraday que bloquee los campos eléctricos
alrededor de él, incluyendo las transmisiones celulares [12].

2. Establecer comunicación: este paso consiste en organizar las conexiones físicas y de red
apropiadas para instalar una herramienta forense y realizar la recuperación de información.

3. Recuperación forense: extraer la información original para crear una copia y trabajar sobre
ella. Esto requiere revisiones de integridad para evitar alteraciones de datos.

4. Descubrimiento electrónico: es el proceso en el cual toda la información extraída es


procesada y analizada. Durante esta etapa, los archivos eliminados son recuperados y el
sistema de archivos es analizado, para la recolección de evidencia.

Para llevar a cabo el proceso anteriormente descrito, se han desarrollado de igual manera
herramientas que permiten la extracción de información del dispositivo, y se ha hecho un enfoque
del equipo necesario que se requiere para ello [15]:

• Un computador ejecutando el sistema operativo Mac OS X Leopard ó Windows XP. Algunas


de las herramientas que existen hasta el momento funcionan sobre Mac OS Tiger y Windows
Vista pero no han sido probadas en su totalidad sobre estos sistemas, por lo cual no se
garantiza que la extracción de datos sea completa.

• Un cable de tipo USB para instalar las herramientas de recuperación, y mantener el


dispositivo cargado.

• Una implementación de SSH en el computador incluyendo ssh y scp, para establecer


comunicación con el dispositivo.

• Una instalación en el computador de iTunes 7.6 o 7.7 dependiendo del firmware del iPhone
en cuestión. De igual manera versiones superiores deberían funcionar correctamente.

• Espacio adecuado en el computador, para almacenar las copias del sistema de archivos del
iPhone. Se recomienda reservar un espacio de mínimo tres veces la capacidad del iPhone en
cuestión.

La situación con las herramientas forenses para teléfonos celulares es considerablemente diferente a
los computadores personales. Si bien los computadores personales se han diseñado como sistema de
propósito general, los teléfonos celulares están diseñados como dispositivos específicos que realizan
un conjunto de tareas predefinidas. Los fabricantes de teléfonos celulares también tienden a basarse
en una variedad de sistemas operativos en lugar del enfoque más uniforme que se da con los

56  
 
computadores personales. Debido a esto, la variedad de kits de herramientas para dispositivos
móviles es diversa [8].

Por lo anterior, una vez se cree un ambiente más confiable que limite la contaminación cruzada
sobre las copias del sistema de archivos obtenidas, se debe contar con una herramienta para su
análisis. Existen variedad de herramientas para este propósito cada una con características y
propiedades diferentes. A continuación describiremos algunas de las que existen en la actualidad
según [23] [45].

2.3.2.1. WOLF de Sixth Legion

Según [73], es una herramienta forense diseñada específicamente para el iPhone. Soporta todos los
modelos, 2G y 3G, que ejecutan cualquier versión de firmware desde la 1.0 hasta la 2.2. Este
software solo se puede ejecutar sobre el sistema operativo Mac OS X (10.4.11 o mayor), aunque
existe una versión compatible con Windows llamada Beowulf. Es capaz de eludir el código de
seguridad tanto del dispositivo como el de la tarjeta SIM, si se tiene acceso al computador en el que
fue usado el iPhone, sin necesidad de realizar el Jailbreak . WOLF afirma ser la única herramienta
forense orientada a iPhone que no realiza modificaciones sobre él, ya que la adquisición de
información se hace sobre una copia de la lógica de datos. Sin embargo, una desventaja de la
herramienta es que no recupera contenido suprimido del dispositivo. La siguiente información es
recolectada:

• Información del teléfono


• Contactos
• Registro de llamadas
• Mensajes
• Información de internet
• Fotos
• Música/Videos
• Historiales

La realización de la adquisición forense con WOLF es bastante intuitiva, luego de realizar la


activación, se solicitará la información correspondiente al caso que se desea investigar, además de
presentar las siguientes características al momento de realizar la adquisición de evidencia:

• Almacena el historial de las investigaciones realizadas. Dentro de los datos que almacena se
encuentran:

 Nombre de los investigadores


 Nombre del caso
 Numero del caso
 Estado del iPhone (Bloqueado/Desbloqueado)

• Permite seleccionar el tipo de datos que se desea analizar. Contiene las siguientes opciones:

 Datos del teléfono


 Fotos

57  
 
 Medios del iPod
 Recuperación total de datos

Al terminar la adquisición de información, se podrán ver los resultados por medio de la aplicación,
o se pueden guardar los informes en formato HTML.

2.3.2.2. Cellebrite UFED

Según [74], el sistema forense Cellebrite UFED es un dispositivo autónomo (stand-alone), capaz de
adquirir datos desde dispositivos móviles y almacenar la información en una unidad USB, tarjeta
SD53 o computador. UFED incorpora un lector y generador de copias de tarjetas SIM. La
posibilidad de clonar una tarjeta SIM es una potente característica que puede crear e insertar un clon
de la tarjeta SIM original y el teléfono funcionará con normalidad. Sin embargo, no se registrará
con el operador de telefonía móvil de la red, eliminando la necesidad de bolsas que no permitan
cualquier tipo de conexión usando los principios de la jaula de Faraday54, y la posibilidad de que los
datos del teléfono sean actualizados o eliminados. El paquete viene con alrededor de 70 cables para
conectar a la mayoría de los dispositivos móviles disponibles en la actualidad. Incluyen protocolos
de conexión serial, USB, infrarrojos y Bluetooth. Permite extraer información de contactos,
mensajes de texto, historial de llamadas, mensajes de texto eliminados, grabaciones, video, fotos y
detalles del teléfono entre otros. Usando Cellebrite UFED se puede extraer los siguientes datos:

• Agenda telefónica
• Mensajes de Texto
• Historial de llamadas (marcadas, recibidas, perdidas)
• Clonación SIM ID
• Mensajes de texto eliminados
• Grabaciones de audio
• Videos
• Fotos
• Detalles del teléfono

La adquisición forense en un iPhone 3G se puede realizar de dos formas, una es la estándar y la otra
es mediante el volcado de memoria. Este proceso es rápido y simple con esta herramienta. Después
de encender el dispositivo, se deben seguir los siguientes pasos:

• Seleccionar Extract Phone Data


• Seleccionar Apple
• Seleccionar iPhone 2G/3G
• Seleccionar unidad destino
• Seleccionar los tipos de contenido (registros de llamadas incluidas, agenda, SMS, fotos,
videos y audio/música)
• Conectar el iPhone al puerto origen con el cable de conexión 110 y la memoria USB en el
puerto destino.

                                                                                                                         
53
   Es  un  formato  de  tarjeta  de  memoria  flash  utilizado  en  dispositivos  portátiles.  
54
 Es  un  tipo  de  blindaje  de  campo  eléctrico.    

58  
 
Cellebrite también incluye UFED Report Manager, el cual provee una interfaz intuitiva para realizar
reportes sobre las investigaciones y además permite exportar dichos reportes en Excel, MS Outlook,
Outlook Express y CSV o simplemente imprimirlo.

2.3.2.3. Paraben Device Seizure (DS)

Según [75], es una herramienta forense que sirve para la adquisición de información en más de 2700
dispositivos (incluidos los teléfonos, PDAs y dispositivos GPS) y es compatible con Microsoft
Windows. El paquete está diseñado para apoyar la adquisición completa de información, y el
proceso de investigación, destacándose por la capacidad para realizar adquisición física, lo cual
permite recuperar datos eliminados. Usando esta herramienta se pueden extraer los siguientes datos:

• Historial de mensajes de texto


• Mensajes de texto eliminados
• Agenda telefónica (Almacenados en la memoria del dispositivo o en la tarjeta SIM)
• Registro de llamadas

 Recibidas
 Realizadas
 Perdidas

• Datos sobre las llamadas y duraciones


• Calendario
• Sistema de archivos (Volcados de memoria):

 Sistema de archivos
 Archivos multimedia
 Archivos Java
 Archivos eliminados
 Notas rápidas

• Correo electrónico

Como la mayoría de las herramientas, DS puede almacenar la información de cada caso y de los
investigadores relacionados con él. Presenta dos opciones para realizar la adquisición de
información del iPhone, una es iPhone advanced (logical) y la otra es iPhone Jailbroken (si el
iPhone en cuestión tiene Jailbreak).

Cuando la adquisición es finalizada, DS presenta al investigador una interfaz de usuario consistente,


donde se muestran las propiedades de los datos adquiridos (MD5 y SHA1, categoría y descripción),
además de mostrar el contenido de forma clara.

2.3.2.4. MacLockPick II (MLP)

Según [76], esta herramienta tiene un enfoque único para la adquisición forense. El objetivo de
MLP es proporcionar una solución de plataforma cruzada forense que realiza una adquisición en
vivo de una máquina sospechosa. La información se almacena en un dispositivo USB y el software

59  
 
se proporciona para analizar los resultados. MLP no funciona directamente en el iPhone, en su lugar
se centra en el directorio de copia de seguridad MDBACKUP donde se almacenan la gran mayoría
de los archivos. Entre los datos que son recuperables se encuentran:

• Historial de llamadas
• Mensajes de texto
• Contactos
• Notas
• Fotos
• Cuentas de correo sincronizadas
• Favoritos – Marcación rápida
• Estado, historial y bookmarks del navegador
• Detalles del teléfono

Luego de actualizar y licenciar la herramienta, la adquisición de datos es muy simple. Se conecta el


dispositivo en el equipo destino Windows XP, se inicia la reproducción automática, y la
herramienta se encarga de realizar la adquisición.

Al momento de iniciar la herramienta, se pide seleccionar un archivo keylog. Luego de seleccionar


el archivo se presenta la pantalla principal donde se permite examinar los resultados obtenidos. La
interfaz de usuario es sencilla y permite hacer búsquedas rápidas, aunque la información extraída es
mostrada como archivo de texto y solo se puede exportar en formato HTML.

2.3.2.5. MDBackup Extract

Según [77], es una herramienta forense de BlackBag Technologies, compatible únicamente con
computadores Mac. Analiza los datos, desde el directorio de respaldo del sincronizador móvil
iTunes. La herramienta está actualmente en una versión beta y la producción de información es
limitada. Como es una utilidad solo de Mac, se debe copiar el directorio de respaldo desde un
computador Windows a un Mac para poder realizar el análisis.

Al iniciar la aplicación se debe seleccionar la carpeta donde se encuentra almacenada la copia de


seguridad del iPhone que se desea analizar. En el momento de seleccionar la carpeta, se debe
ingresar la ruta donde se van a extraer los resultados.

La ventana principal permite ver los resultados de la extracción y analizar la información. Allí, se
encuentra cada archivo extraído en el directorio, y una subcarpeta denominada Original_Files que
permite abrir / analizar los archivos extraídos y aún conservar una copia original. Si se hace clic
sobre la información del dispositivo, se presenta el archivo Info.plist principal con la información
básica del dispositivo.

Las imágenes se pueden visualizar haciendo clic en las vistas en miniatura presentadas en la
pantalla principal, las imágenes son almacenadas en un documento con formato HTML.

60  
 
Esta herramienta ofrece las búsquedas por palabra clave, basta con seleccionar el botón de búsqueda
y aparece una ventana nueva con los resultados. Además tiene visualizados de bases de datos
SQLite.

2.3.2.6. .XRY/.XACT 4.1

Según [78], es una herramienta forense orientada a dispositivos móviles que realiza adquisición
lógica de datos, así como volcados físicos de memoria. El sistema viene en un maletín pequeño que
incluye: una unidad de comunicación USB 2.0, un adaptador de licencias, cables de corriente, lector
de tarjetas SIM, sistema para clonar tarjetas SIM, lector de tarjetas de memoria y un CD con el
software.

La adquisición de información con esta herramienta es sencilla. Inicialmente pregunta a qué tipo de
dispositivo se le va a hacer la extracción. Los siguientes son los datos que se pueden extraer con
.XRY:

• Registros de llamadas
• Contactos
• Calendario
• Notas
• Mensajes de texto
• Fotos
• Coordenadas GPS
• Otros documentos (archivos XML, HTML, Plist, etc.)

Al final del proceso se muestra un resumen con el tipo de información recuperada. Es importante
señalar que los estados de información en pantalla y los mensajes de correo electrónico no se
recuperarán a menos que el teléfono esté desbloqueado.

2.3.2.7. iLiberty+

Según [5] [79], es una herramienta libre, diseñada por Youssef Francis y Pepij Oomen, que permite
desbloquear el iPod/iPhone e instalar en él varias cargas útiles. iLiberty+ se aprovecha de una
vulnerabilidad en el firmware v1.x, de para que el iPhone de inicie desde un disco RAM sin firma,
permitiendo que cualquier tipo de software sea instalado en el dispositivo.

iLiberty+ fue mejorado para permitir que se instale de forma segura el paquete de investigación
forense en el iPhone, y se pueda acceder a el por medio de la interfaz de usuario. El paquete de
investigación forense contiene:

• Un entorno Unix básico


• OpenSSH (Shell seguro)
• Netcat (herramienta para enviar datos a través de la red)
• MD5 (compendio criptográfico para la creación de la imagen del disco)
• Herramienta de copia/imagen dd (para acceder al disco)

Inicialmente esta herramienta al reconocer el iPhone, despliega información como:

61  
 
• Firmware
• Tipo de dispositivo
• Estado
• Particiones
• Sistema de archivos

Una vez activado el paquete de investigación forense, es necesario ejecutar el Jailbreak que la
misma herramienta realiza sobre el dispositivo o hacerlo utilizando alguna otra herramienta, para
aceptar conexiones SSH. Sin embargo, si alguno de los dos tipos de bloqueo que tiene el iPhone
(SIM o código a nivel de sistema operativo) está activo, el paquete de investigación no podrá ser
instalado, y será necesario deshabilitar el bloqueo activo. iLiberty+ proporciona una característica
para desbloquear el dispositivo llamada Bypass Passcode,pero, también se puede hacer
manualmente utilizando una herramienta llamada iPhone Utility Client. Una vez se lleva a cabo el
proceso anterior, se podrá empezar la recuperación de datos, dentro de los cuales se pueden
encontrar:

• Diccionarios dinámicos
• Mensajes de voz
• Listas de propiedad
• Bases de datos SQLite
• Correos electrónicos
• Páginas web
• Otro tipo de archivos (PDF, Microsoft Word)
• Bloques PGP
• Imágenes
• Historial de llamadas
• Mensajes SMS
• Notas
• Calendario

2.3.2.8. CellDEK

Esta herramienta es compatible con hasta 1600 teléfonos celulares, PDAs, y dispositivos de
navegación satelital. Permite al usuario identificar dispositivos de acuerdo a la marca, número del
modelo, dimensiones y/o fotografías del mismo. Inicialmente se seleccionará el tipo de dispositivo
en el cual se llevará a cabo el análisis, y posteriormente, una característica llamada smart adapter,
iluminará el adaptador USB correspondiente (entre 40) para realizar la extracción de información.
Igualmente la conexión mediante infrarrojo o Bluetooth viene integrada.

CellDEK captura los datos almacenados en el dispositivo, en aproximadamente cinco minutos, y


automáticamente, lleva a cabo la extracción forense de los datos que se listan a continuación
desplegándolos por pantalla.

• Hora y fecha del teléfono


• Número de serie (IMEI,IMSI)
• Llamadas marcadas y/o recibidas

62  
 
• Agenda telefónica (tanto del dispositivo como se la SIM)
• Mensajes MMS (no disponible en todos los teléfonos móviles)
• Mensajes SMS eliminados de la SIM
• Calendario
• Recordatorios
• Imágenes, videos y sonidos

Para realizar la adquisición de información de un iPhone, es necesario instalar iTunes en el equipo


en que dicha adquisición se va a llevar a cabo. Una vez se cumple este requisito, se seguirán los
pasos nombrados anteriormente para la extracción de datos. Posterior a ello, el reporte es generado
y desplegado por pantalla automáticamente, permitiendo al usuario seleccionar el tipo de
información que desea ver.

2.3.2.9. MEGA

Las herramientas de informática forense para equipos Mac se han centrado tradicionalmente en los
detalles de bajo nivel del sistema de archivos. El sistema operativo Mac OS X y las aplicaciones
comunes en la plataforma Mac proporcionan abundante información sobre las actividades del
usuario en la configuración de archivos, directorios, y registros. MEGA es un conjunto de
herramientas extensibles para el análisis de archivos sobre imágenes de disco con Mac OS X. Esta
herramienta, proporciona un acceso sencillo al sistema de indexación de metadatos Spotlight
mantenida por el sistema operativo, con un rendimiento eficiente de búsqueda de contenido de
archivos y la exposición de. También puede ayudar a los investigadores para evaluar los directorios
cifrados del FileVault55. Herramientas de apoyo a MEGA se están desarrollando para interpretar los
archivos escritos por aplicaciones comunes del Mac OS, como Safari, Mail, e iTunes [64].

                                                                                                                         
55
 Herramienta  que  permite  cifrar  la  información  de  la  carpeta  de  inicio  en  Mac  OS  X.  

63  
 
3. GUÍA METODOLÓGICA PARA REALIZAR ANÁLISIS FORENSE
SOBRE DISPOSITIVOS MÓVILES (Caso de estudio: iPhone 3G)
El objetivo principal de esta investigación, es proponer formalmente una guía metodológica para
realizar análisis forense sobre dispositivos móviles, específicamente en iPhone 3G, luego de ser
víctima de un ataque. La guía mencionada anteriormente consta de 4 etapas con un total de 11
fases, basada en el modelo de investigación digital integrado (Ver sección 2.3.1.2.2.4. Modelo de
investigación digital integrado – IDIP (2003)). Posteriormente, dicha guía será evaluada en un
escenario con el objetivo de validarla y realizar las correcciones correspondientes.

3.1. Etapa de preparación e implementación

El objetivo de esta etapa es seleccionar el personal adecuado para realizar la investigación y


proporcionar mecanismos para identificar y confirmar la ocurrencia de un incidente.

1. Fase de identificación de roles y funciones: asignar el equipo de investigadores


forenses (Ver sección Roles y funciones en una investigación forense digital).

2. Fase de detección: identificar el lugar dónde se presentó el incidente y diligenciar el


formulario de actuación del primer respondiente (Ver Anexo 5).

3.2. Etapa de investigación física

El objetivo de esta etapa, es realizar la identificación física de la escena del crimen, diligenciando el
formulario de documentación escena del crimen (Ver Anexo 6), y decidir qué tipo de elementos se
utilizarán para llevar a cabo la investigación.

1. Fase de identificación de la escena: el objetivo de esta fase es realizar la identificación


y documentación de todos los elementos encontrados en la escena del crimen.

1.1. Identificación y documentación de los componentes electrónicos que no van a


ser incautados: es necesario realizar la identificación y documentación de todos
los componentes electrónicos que se encuentren en la escena del crimen, diferentes
al equipo que fue vulnerado, debido a que en el momento de realizar la búsqueda
de evidencia, se puede encontrar alguna conexión asociada a alguno de los
dispositivos mencionados anteriormente. Los datos que deben ser recolectados por
cada dispositivo son los siguientes.

• Tipo de dispositivo
• Marca
• Modelo
• Número serial
• Estado (Encendido/apagado)

1.2. Identificación y documentación de los componentes electrónicos que van a ser


incautados: es necesario realizar la identificación y documentación de todos los

64  
 
componentes electrónicos relacionados con el dispositivo, que más adelante
faciliten el acceso y uso del mismo dentro de la investigación. Dichos
componentes pueden ser los siguientes:

• Manuales del dispositivo


• Cargadores
• Memorias extraíbles
• Códigos de acceso PIN56 y PUK57
• Accesorios del dispositivo (manos libres, audífonos, entre otros)

1.3. Realización de entrevista al usuario del dispositivo vulnerado: es necesario


realizar una entrevista al usuario del dispositivo vulnerado con el objetivo de
recolectar toda la información posible sobre este. Dentro de la información que se
desea recolectar, están los códigos de seguridad, el uso que se le daba al
dispositivo y si el equipo ha sufrido algunas modificaciones físicas o lógicas con
respecto a su estado de fábrica (Ver Anexo 2).

1.4. Identificación y documentación del dispositivo vulnerado: para realizar esta


actividad es necesario tener en cuenta los siguientes pasos y diligenciar el
formulario de identificación del dispositivo vulnerado (Ver Anexo 8).

• Verificar si el dispositivo se encuentra conectado a algún computador o


cargador, pues al desconectarlo, se pueden ejecutar en él, comandos de
eliminación de archivos.

• En caso de estar conectado a un computador, verificar si el dispositivo se


encuentra montado58, de ser así, se debe desmontar desde iTunes (Ver
Ilustración 26 ) antes de desconectarlo, pues el disco puede fallar o presentar
daños.

Ilustración 26. Desmontar iPhone desde iTunes

• Identificar y documentar los siguientes ítems sobre el dispositivo vulnerado, se


deben tener en cuenta los siguientes datos:

a) Estado (prendido/apagado)
b) Estado de protección PIN (activado/desactivado)
c) Estado de protección código de seguridad (activado/desactivado)
d) Modelo (número/generación)
e) Capacidad de almacenamiento
                                                                                                                         
56
 Es  un  código  personal  de  4  cifras  que  permite  acceder  o  bloquear  el  uso  del  teléfono  móvil.  
57
 Es  un  código  de  8  cifras  que  sirve  para  desbloquear  el  PIN  cuando  éste  ha  sido  previamente  bloqueado.  
58
  Acción   de   integrar   un   sistema   de   archivos   alojado   en   un   determinado   dispositivo   dentro   del   árbol   de  
directorios  de  un  sistema  operativo.  

65  
 
f) Número de Serie
g) Número ICCID59
h) Versión Firmware
i) IMEI60
j) Número de teléfono
k) Operador de telefonía celular
l) Cobertura
m) Conexiones soportadas
n) Dirección MAC Wi-Fi
o) Dirección MAC Bluetooth
p) Número de canciones
q) Número de videos
r) Número de fotos
s) Número de Aplicaciones
t) Dimensiones

2. Fase de aseguramiento y preservación de la evidencia física: el objetivo de esta fase


es preservar la escena del crimen con el fin de posteriormente identificar la evidencia
digital.

2.1. Creación registro de cadena de custodia: el objetivo de esta actividad es iniciar


la documentación de la cadena de custodia, la cual debe ser diligenciada durante
toda la investigación de manera estricta.
2.2. Aislamiento del dispositivo: es necesario aislar el dispositivo de cualquier tipo de
red (3G, Wi-Fi, GSM, Edge, GPRS) con la cual pueda iniciarse o existir alguna
conexión.
2.3. Aseguramiento de la evidencia física: es necesario aislar y etiquetar el dispositivo
y los demás elementos electrónicos incautados como evidencia, teniendo en cuenta
que no debe ser almacenado cerca a medios magnéticos debido a que esto puede
llegar a alterar la evidencia.

3. Fase de elección de herramienta(s) forenses: el objetivo de esta fase es realizar la


elección de la(s) herramienta(s) forense(s) que va(n) a ser utilizada(s) durante la
investigación, dichas herramientas serán seleccionadas dependiendo del nivel de
análisis que se quiera tener en la investigación o el contexto en el cual haya sido
vulnerado el dispositivo. Esta elección se puede llevar a cabo teniendo en cuenta las
herramientas nombradas en la sección Informática forense en iPhone 3G (Ver sección
2.3.2. Informática forense en iPhone 3G).

                                                                                                                         
59
 Número  de  identificación  internacional  de  la  tarjeta  SIM.  
60
  Código   de   15   o   17   dígitos   que   identifica   de   manera   individual   a   cada   estación   móvil   en   la   red     GSM   o  
UMTS  [88].  

66  
 
3.3. Etapa de investigación digital

El objetivo de esta etapa, es llevar a cabo la recolección y análisis de la evidencia digital obtenida
en la fase anterior, diligenciando el formulario de Documentación evidencia digital (Ver Anexo 7).
Se debe tener especial cuidado en la preservación de la integridad y admisibilidad de la evidencia
digital.

1. Fase de documentación: consiste en la creación y aseguramiento de un documento, ya


sea físico o electrónico, que permita llevar a cabo un historial de todas las actividades
que se llevan a cabo durante el proceso de adquisición de evidencia [92]. Esta
información es útil en la fase de presentación de la evidencia.

2. Fase de búsqueda y recolección de evidencia digital: el objetivo de esta fase es


realizar la búsqueda en profundidad de evidencia digital. La(s) herramienta(s) de
software escogida(s) para ello, revelan datos escondidos, eliminados, modificados o
corruptos. Para realizar esta actividad es necesario seguir los siguientes pasos:

2.1. Verificación de Jailbreak: esta actividad consiste en verificar si el dispositivo


incautado ha sido liberado mediante el proceso de Jailbreak (Ver sección 2.2.1.
Jailbreak). Es importante tener conocimiento de esto, debido a que la adquisición
física requiere que el iPhone esté liberado.

• Verificación: para verificar que el iPhone se encuentre liberado


mediante el proceso de Jailbreak, es necesario que el investigador
tenga acceso físico al dispositivo y se asegure que la aplicación Cydia
se encuentre disponible.

• iPhone liberado: en caso que el iPhone esté liberado, es importante


verificar que la aplicación Cydia, Icy o RockYourPhone instalada en el
iPhone funcione correctamente, pues esta aplicación es la encargada de
descargar los programas que se necesitaran instalar en el iPhone
(Netcat, dd) para realizar la adquisición física de la imagen.

• iPhone no liberado: en caso que el iPhone no esté liberado, es


importante seguir una serie de pasos, de forma tal que se haga
Jailbreak en el iPhone sin pérdida de información. Los pasos que se
deben seguir son los siguientes:

a) En un computador instalar y ejecutar alguna herramienta que


realice Jailbreak, preferiblemente PwnageTool.

b) Utilizar una herramienta para crear un paquete de firmware


personalizado, que actualizará el NOR (caché del kernel) sin
destruir datos en tiempo real.

67  
 
c) Utilizar la herramienta anterior para crear un paquete de
firmware personalizado, que instalará el paquete de
herramientas de recuperación en el iPhone. O, utilizar la
aplicación Cydia, Icy o RockYourPhone, para descargar las
aplicaciones Netcat y dd desde el dispositivo.

d) Con el iPhone en modo DFU61, instalar el firmware


personalizado a través de iTunes, para ganar acceso al
dispositivo

2.2. Adquisición física: esta actividad consiste en llevar a cabo el volcado de memoria
tanto volátil como no volátil de memoria. Esto consiste en tomar la imagen binaria
bit a bit de la memoria del dispositivo comprometido, con sus respectivos
compendios criptográficos. Es recomendable obtener una imagen de la tarjeta SIM
debido a que es posible que se encuentren rastros del incidente en dicho medio de
almacenamiento.

2.3. Adquisición lógica: consiste en llevar a cabo la obtención de información del tipo:

a) Lista de contactos
b) Historial de llamadas
c) Historial de mensajes
d) Fotos imágenes y videos
e) Correo electrónico
f) Eventos de calendario
g) Información entre el dispositivo y el computador relacionado

3. Fase de aseguramiento y preservación de la evidencia digital: el objetivo de esta


fase es preservar y asegurar toda la evidencia digital recolectada para conservar su
integridad. Con respecto a lo anterior, es necesario verificar la integridad de cada
imagen recolectada usando MD5, generar varias copias de la evidencia recolectada,
asegurarlas en un lugar restringido y trabajar siempre con una copia de respaldo
exactamente igual a la original para prevenir alteraciones sobre su contenido durante la
fase de análisis de evidencia digital.

4. Fase de análisis de la evidencia digital: el objetivo de esta fase es realizar el análisis


de los datos obtenidos en la recolección de evidencia, identificando principalmente
datos físicos y lógicos, para construir una línea de tiempo, de forma tal que los eventos
se puedan correlacionar y a partir de esto reconstruir la escena y obtener la mayor
cantidad de detalles del incidente. Para ello, se deben realizar las siguientes acciones:

• Identificar propiedades generales de la adquisición


• Estructura de la adquisición
                                                                                                                         
61
 Es  una  forma  de  sobrepasar  el  iBoot  del  iPhone  de  forma  tal  que  se  pueda  alterar  el  firmware  del  
dispositivo.  

68  
 
• Identificación de las particiones actuales y anteriores (las que sea posible
recuperar)
• Identificación del sistema de archivos
• Identificación de archivos existentes
• Determinación del sistema operativo
• Recuperación de archivos eliminados
• Identificación de información oculta
• Identificación de archivos protegidos
• Identificación de aplicaciones instaladas
• Consolidación de archivos potencialmente analizables
• Análisis de datos [8]:

a) Identificadores del dispositivo y del proveedor de servicio


b) Fecha/hora
c) Lenguaje
d) Información de la lista de contactos
e) Información del calendario
f) Mensajes de texto
g) Registro de llamadas (recibidas, perdidas, marcadas)
h) Correo electrónico
i) Fotos /Videos / Audio
j) Mensajes multimedia
k) Mensajería instantánea y navegación web
l) Documentos electrónicos
m) Revisar los registros del sistema
n) Identificar rastros de conexiones (Bluetooth, Infrarrojo, cable)

• Consolidación de archivos sospechosos


• Análisis de los archivos sospechosos
• Determinación de los archivos comprometidos con el caso
• Obtención de la línea de tiempo definitiva

5. Fase de presentación de la evidencia digital: involucra la presentación de la evidencia


digital encontrada, y los resultados del análisis de la misma al equipo de investigación.

3.4. Etapa de presentación y revisión

El objetivo de esta etapa es documentar todas las acciones, eventos y hallazgos obtenidos durante el
proceso de investigación. Todo el personal está involucrado en ésta etapa y es vital para asegurar la
cadena de custodia de la evidencia. Los reportes de resultados generalmente, son generados por la
herramienta que se utiliza para efectuar el análisis. Además, se realiza una revisión de todo el
proceso de investigación, para identificar mejoras en el mismo.

69  
 
4. VALIDACIÓN DE LA GUÍA METODOLÓGICA PROPUESTA

4.1. Escenario de prueba


4.1.1. Definición del ataque y herramientas

Para llevar a cabo el escenario de prueba con el cual será validada la guía metodológica propuesta
en el capitulo anterior (Ver sección 3. GUÍA METODOLÓGICA PARA REALIZAR ANÁLISIS
FORENSE SOBRE DISPOSITIVOS MÓVILES (Caso de estudio: iPhone 3G)), es necesario
realizar un ataque sobre el iPhone 3G destinado para dicha prueba (Ver Anexo 9).

4.2. Aplicación guía metodológica

A continuación se presentan los resultados de la guía metodológica propuesta, aplicada al caso de


estudio (Ver sección 4.1. Escenario de prueba).

4.2.1. Etapa de preparación e implementación

1. Fase de identificación de roles y funciones: para el desarrollo de la presente investigación


se realizará la asignación de roles según lo mencionado anteriormente (Ver sección 2.3.1.3.
Roles y funciones en una investigación forense digital), sin embargo al no contar con el
suficiente personal y recursos económicos, la totalidad de los roles serán asignados a los
autores de la investigación (Ver Tabla 6).

Rol Nombre Identificación


Personal de primera respuesta Andrea Ariza Díaz 1018405780
Investigador Juan Camilo Ruiz 1019007331
Técnico Andrea Ariza Díaz 1018405780
Custodio de la evidencia Juan Camilo Ruiz 1019007331
Examinador forense Andrea Ariza Díaz 1018405780
Analista forense Juan Camilo Ruiz 1019007331
Tabla 6. Asignación de roles

2. Fase de detección: a continuación se muestra la documentación del lugar de los hechos


(Ver Tabla 7) y el estado general de la escena del crimen (Ver Ilustración 27).

Día 2 7 Mes 1 0 Año 2 0 0 9 Hora(Militar) 11:55


Departamento Bogotá DC Barrio Bogotá DC
Dirección Carrera 20 # 52 - 50 Teléfono 345 55 31
Observación del lugar de los hechos El dispositivo fue encontrado en un apartamento
ubicado en una zona residencial de Galerías y se encuentra la presencia de varias redes
inalámbricas públicas
Personas encontradas en el lugar de los hechos
Nombres y Apellidos Identificación
Paola Isabel Ruiz Caro
Juan Camilo Ruiz Caro 1019007331

Victimas
Nombres y Apellidos Identificación

70  
 
Juan Camilo Ruiz Caro 1019007331

Primer respondiente
Nombres Andrea Apellidos Ariza Díaz
Número de identificación 1018405780
Entidad Pontificia Universidad Javeriana
Cargo Personal de primera respuesta
Firma
Tabla 7. Formato actuación primer respondiente diligenciado

Ilustración 27. Foto de estado general de la escena del crimen

4.2.2. Etapa de investigación física

1. Fase de identificación de la escena

1.1. Identificación y documentación de los componentes electrónicos que no van a ser


incautados: en la escena del crimen se identificaron los componentes electrónicos listados
en la sección de elementos no incautados del formulario de documentación de la escena del
crimen (Ver Tabla 8)

1.2. Identificación y documentación de los componentes electrónicos que van a ser


incautados: en la escena el crimen se identificaron y recolectaron los componentes
electrónicos listados en la sección de elementos incautados del formulario de
documentación de la escena del crimen (Ver Tabla 8).

Código único del caso I-001


Día 2 7 Mes 1 0 Año 2 0 0 9 Hora(Militar) 11:56
Elementos no incautados
Tipo dispositivo Marca Modelo Numero Serial Propietario
Computador portátil (Ver COMPAQ V3718LA 2CE8224KV1 Juan Camilo Ruiz
Ilustración 28) Caro
Router Linksys WRT54G V8 CDFG1H51513 Juan Camilo Ruiz
(Ver Ilustración 29) 1 Caro
Elementos incautados
Tipo dispositivo Marca Numero Modelo Descripción Estado Código

71  
 
Serial evidencia
Cable que puede ser
usado para conectar el
dispositivo a un
computador o para
conectar el adaptador
Cable USB (Ver
Apple N/A N/A de corriente N/A E-001
Ilustración 30)
correspondiente a la
evidencia numero E-
002, con el objetivo de
cargar la batería de este
o sincronizarlo.
Adaptador que puede
ser conectado al
dispositivo usando el
Adaptador de
1X83024 cable USB identificado
corriente (Ver Apple A1265 N/A E-002
57ZJ3 con el código E-001,
Ilustración 31)
con el objetivo de
recargar la batería de
este
iPhone 3G (Ver 868312F Dispositivo vulnerado Encendid
Apple A1241 E-003
Ilustración 32) 4Y7H o
Accesorio del
dispositivo por medio
Audífonos del cual se puede
Apple N/A N/A N/A E-004
(manos libres) escuchar música y
tener conversaciones
telefónicas.
Observaciones: El equipo se encontró encendido, por tal razón no es necesario obtener el número PIN y
PUK, sin embargo se encuentra protegido con código de seguridad.
Por otro lado no se encontraron los manuales físicos del dispositivo, por lo tanto de ser necesario se hará
uso de los manuales electrónicos obtenidos desde el portal web del fabricante (Apple).
Tabla 8. Formato documentación escena del crimen diligenciado

Ilustración 28. Foto computador portátil V3718LA no incautado

72  
 
Ilustración 29. Foto router Linksys no incautado

Ilustración 30. Foto cable USB incautado

Ilustración 31. Foto adaptador de corriente incautado

Ilustración 32. Foto iPhone 3G incautado

73  
 
1.3. Realización de entrevista al usuario del dispositivo vulnerado

1. Nombres y Apellidos
Respuesta: Juan Camilo Ruiz Caro.
2. Número de identificación
Respuesta: 1019007331
3. ¿Desde cuándo es propietario del dispositivo?
Respuesta: Aproximadamente 6 meses.
4. ¿Lo compró nuevo o usado?
Respuesta: Nuevo
5. ¿En cuál operador de telefonía celular está inscrito el dispositivo?
Respuesta: Comcel
6. ¿Cuál es el número de teléfono celular asociado con el dispositivo?
Respuesta: 320 840 60 41
7. ¿Usualmente que uso le da a su teléfono celular?
Respuesta: Lo uso principalmente para escuchar música, revisar mis correos
electrónicos y para recibir y realizar llamadas.
8. ¿Al dispositivo se le ha realizado Jailbreak?
Respuesta: Si
9. Si la respuesta anterior es si, ¿Con cuál herramienta fue realizado?
Respuesta: Pwnage
10. ¿El dispositivo está protegido con código de seguridad?
Respuesta: Si
11. Si la respuesta anterior es si, ¿Podría facilitar el código de seguridad?
Respuesta: 1946
12. El dispositivo está protegido con número PIN?
Respuesta: Si
13. Si la respuesta anterior es si, ¿Podría facilitar el número PIN?
Respuesta: 1945
14. ¿Tiene habilitada la tecnología Bluetooth?
Respuesta: No
15. Si la respuesta anterior es si, ¿Utiliza frecuentemente la tecnología Bluetooth?

16. Además de las conexiones con las manos libres, ¿Ha utilizado últimamente
Bluetooth con algún otro dispositivo?
Respuesta: No
17. ¿Sincroniza el contenido de su teléfono con algún computador en especial
(Windows, Mac)? ¿Cómo realiza este procedimiento?
Respuesta: Si, con un computador Compaq V3718LA. El procedimiento que hago es
conectarlo por medio del cable USB y automáticamente iTunes sincroniza los datos.
18. ¿Qué sucesos extraños le indicaron que su teléfono había sido vulnerado?
Respuesta: Algunas aplicaciones que tenía instaladas no servían de un momento a otro,
los mensajes de texto y la lista de contactos desaparecieron
19. ¿Dentro de los últimos días alguien más ha tenido acceso a su dispositivo?
Respuesta: No

74  
 
20. ¿Ha notado la ausencia de algún tipo de información (fotos, videos, mensajes,
contactos, documentos) que se encontraba almacenada en su teléfono celular?
Respuesta: Mensajes de texto y contactos
21. ¿Ha algún tipo de modificación de información (fotos, videos, mensajes, contactos,
documentos) que se encontraba almacenada en su teléfono celular?
Respuesta: No
22. ¿Realiza alguna otra conexión con su teléfono celular distinta a las ya
mencionadas? (WAP,3G, Wi-fi)
Respuesta: El dispositivo se conecta normalmente a la red 3G de Comcel y cuando
estoy en mi casa o en la universidad se conecta automáticamente a las redes Wi-Fi de
estos sitios.

1.4. Identificación y documentación del dispositivo vulnerado: a continuación se muestra la


información correspondiente al dispositivo vulnerado (Ver Tabla 9).

Código único del caso I-001


Día 2 7 Mes 1 0 Año 2 0 0 9 Hora(Militar) 11:58
Estado del dispositivo
Estado de conexión (conectado/desconectado) Desconectado
Estado (encendido/apagado) Encendido
Estado de protección PIN (activado/desactivado) Activado
Estado de protección código de seguridad Desactivado
(activado/desactivado)
Información general
Modelo (número/generación) MB489LA / 3G
Capacidad de almacenamiento 8 GB
Número de serie 868312F4Y7H
Número ICCID 8957 1010 0081 3199 4597
Versión Firmware 3.1 (7C144)
IMEI 01 161400 991961 9
Número de teléfono 320 8406041
Operador de telefonía celular Comcel 5.0
Cobertura UMTS/HSDPA (850, 1.900, 2.100 MHz);
GSM/EDGE (850, 900, 1.800 y 1.900 MHz);
Wi-Fi (802.11b/g)
Conexiones soportadas Bluetooth, Wi-Fi, USB 2.0
Dirección MAC Wi-Fi 00:21:E9:13:A2:6B
Dirección MAC Bluetooth 00:21:E9:13:A2:6A
Canciones 718
Videos 1
Fotos 12
Aplicaciones 11
Dimensiones
Peso 135 gramos
Alto 115,5 mm
Ancho 62,1 mm
Grosor 12,3mm

75  
 
Navegación y Mensajería
Navegador de internet HTML
Mensajería SMS, MMS62, correo electrónico (IMAP,
POP,SMTP)
Tabla 9. Formulario de identificación del dispositivo vulnerado diligenciado

2. Fase de aseguramiento y preservación de la evidencia física:

2.1. Creación registro de cadena de custodia: a continuación se muestra el registro de cadena


de custodia diligenciado (Ver Tabla 10).

Código único del caso I-001


Día 2 7 Mes 1 0 Año 2 0 0 9 Hora(Militar) 11:56
Fecha Hora Identificación y Código Propósito del traspaso o Firma
(dd/mm/aa) cargo de quien evidencia traslado
recibe la evidencia
27/10/09 11:56 1018405780 / E-001, Identificación de la escena del
Personal de primera E-002, crimen.
respuesta E-003, Recolección y aseguramiento de
E-004 la evidencia física
27/10/09 11:58 1018405780 / E-003 Manipulación física del
Personal de primera dispositivo con el objetivo de
respuesta obtener información general de
este.
27/10/09 11:59 1018405780 / E-003 Aislamiento de las redes 3G y
Personal de primera Wi-Fi
respuesta
27/10/09 11:59 1018405780 / E-001, Almacenamiento de evidencia
Técnico E-002, física en un lugar seguro
E-003,
E-004
27/10/09 12:00 1019007331 / E-001, Adquisición de la evidencia
Examinador Forense E-002, digital
E-003,
27/10/09 20:15 1019007331 / E-005, Identificación de imágenes
Examinador Forense E-006, obtenidas del dispositivo
E-007,
E-008
27/10/09 20:17 1019007331 / E-005, Aseguramiento de la evidencia
Examinador Forense E-006, digital
E-007,
E-008
27/10/09 20:19 1018405780 / E-001, Entrega de evidencia física usada
Custodio de la E-002, para obtener la evidencia digital.
evidencia E-003, Entrega de evidencia digital
E-005,
E-006,
                                                                                                                         
62
 Servicio  de  mensajería  multimedia  (fotos,  audio,  video)  

76  
 
E-007,
E-008
28/10/09 14:00 1019007331 / E-007 Se realizo una copia de la imagen
Examinador Forense lógica con el objetivo de iniciar
con el análisis de la misma, dicha
copia será devuelta cuando se
termine su análisis.
28/10/09 15:00 1018405780 / E-007 Entrega de la copia analizada con
Custodio de la sus respectivos resultados.
evidencia
28/10/09 16:15 1019007331 / E-005, Se realizo una copia de las
Examinador Forense E-006, adquisiciones físicas con el
E-008 objetivo de iniciar con el análisis
de las misma, dichas copias serán
devueltas cuando se termine su
análisis.
24/11/09 21:21 1018405780 / E-005, Entrega de la evidencia, reporte y
Custodio de la E-006, resultados del análisis realizado.
evidencia E-008
Tabla 10. Registro de cadena de custodia diligenciado

2.2. Aislamiento del dispositivo: el dispositivo vulnerado fue aislado de las redes 3G y Wi-Fi
introduciéndolo en una bolsa anti estática (Ver Ilustración 33).

Ilustración 33. Foto de iPhone 3G aislado de la red 3G y Wi-Fi por medio de una bolsa anti estática

2.3. Aseguramiento de la evidencia física: la totalidad de la evidencia incautada fue etiquetada


y almacenada en sobres de manila (Ver Ilustración 30, Ver Ilustración 31, Ver Ilustración
32), a los cuales solo los investigadores pueden tener acceso luego de realizar el debido
trámite de registro de cadena de custodia (Ver Tabla 10).

3. Fase de elección de herramienta(s) forenses:

77  
 
Para la investigación en curso, fue necesario realizar un Toolkit forense compuesto por varias
herramientas hardware y software provenientes de distintos fabricantes y desarrolladores
respectivamente, debido a que hasta el momento aunque existen herramientas forenses
enfocadas a este tipo de dispositivos, todavía tienen falencias, algunas son licenciadas y otras
por el contrario todavía no soportan iPhone 3G con firmware superior al 2.1 como es el caso de
Paraben Device Seizure. Con respecto a lo anterior, a continuación se muestra la lista de
herramientas utilizadas en esta investigación.

• Computador MacBook 5.1 con sistema operativo Mac OS X Leopard: computador


necesario para poder acceder a las imágenes adquiridas en la etapa de investigación
digital. Con respecto a la anterior, es recomendable usar este tipo de computadores, ya
que al ser un producto Apple tiene características similares a las del dispositivo
vulnerado y al momento de realizar el análisis se tiene un ambiente nativo.

• Hiddenfiles: widget63 instalado en el MacBook nombrado anteriormente, con el


objetivo de tener acceso a los archivos ocultos y protegidos que se encuentran dentro de
las imágenes que se van a analizar.

• MAC Marshal: herramienta necesaria para identificar el sistema operativo y el tipo de


sistema de archivos y usado en el dispositivo vulnerado.

• Netcat: herramienta de red necesaria para transferir las particiones desde el dispositivo
vulnerado hacia el computador donde se va a realizar el análisis.

• MobileSyncBrowser: herramienta necesaria para tener acceso visual a la información


contenida en la adquisición lógica.

• SQLite Browser: administrador de bases de datos SQLite, necesario para acceder a la


información almacenada en el dispositivo vulnerado.

4.2.3. Etapa de investigación digital

A continuación, se muestra una descripción global de cada una de las fases pertenecientes a esta
etapa. Para ver entrar en más detalle de lo realizado en estas fases consultar el Anexo 10.

1. Fase de documentación: se realizó el registro paso a paso del proceso realizado para
obtener la evidencia digital.

2. Fase de búsqueda y recolección de evidencia digital

2.1. Verificación de Jailbreak: para realizar esta verificación fue necesario que los
investigadores tuvieran acceso directo al dispositivo vulnerado, con el objetivo de
identificar si en este se encontraba disponible la aplicación Cydia, la cual es

                                                                                                                         
63
 Un  término  genérico  para  la  parte  de  una  GUI  que  permite  al  usuario  interactuar  con  la  aplicación  y  
sistema  operativo.  Incluyen  botones,  ventanas  pop-­‐up,  menús  desplegables,  iconos,  entre  otros.  

78  
 
instalada por defecto al momento de realizar la liberación del dispositivo por
medio del proceso de Jailbreak.

2.2. Adquisición física: para realizar la adquisición física se utilizó el enfoque de


Jonathan Zdziarski (Ver sección 2.3.2.7 iLiberty+), el cual consiste en realizar la
extracción de la imagen física del dispositivo vulnerado por medio de una red
inalámbrica haciendo uso del servicio SSH, red inalámbrica a la cual solo tienen
acceso el dispositivo mencionado anteriormente y el computador en el cual va a ser
almacenada la imagen.

2.3. Adquisición lógica: para realizar la adquisición lógica, se hizo uso del gestor de
música iTunes desarrollado por Apple, el cual permite realizar una copia de
respaldo del dispositivo en la que principalmente se almacenan los contactos,
mensajes de texto, historial de llamadas e información de los datos almacenados
como música y fotos.

3. Fase de aseguramiento y preservación de la evidencia digital: la totalidad de la


evidencia fue almacenada en el computador portátil perteneciente a uno de los
investigadores. Cabe resaltar, que a cada evidencia recolectada se le asigno un número
único de identificación, el cual debe ser usado por los investigadores al momento de
diligenciar el registro de cadena de custodia cuando sea necesario.

4. Fase de análisis de la evidencia digital

4.1. Análisis de adquisición lógica: como se mencionó anteriormente, iTunes permite


realizar una copia de respaldo. Esta consiste en una carpeta que la aplicación
genera, donde se encuentra información general del dispositivo y los datos que
contiene. Para su análisis se utilizó la herramienta MobileSyncBrowser, la cual
permitía ver la información anteriormente nombrada.

4.2. Análisis de adquisición física: para realizar este análisis, fue necesario utilizar un
MacBook el cual es capaz de montar las imágenes físicas, y permite ver el
contenido con facilidad, pues el sistema de archivos HFSX del iPhone es nativo
para el MacBook que utiliza HFS+. El contenido se despliega en forma de
directorios, dentro de los cuales se encuentran archivos descriptivos de la
información y bases de datos con la misma. Además se utilizó una herramienta
llamada Mac Marshal, para determinación de sistema operativo e información
general del dispositivo.

Una vez realizado el análisis, se determinaron en primer lugar los archivos


sospechosos, en segundo lugar los archivos comprometidos con el caso, para así,
poder realizar la obtención de la línea de tiempo definitiva.

5. Fase de presentación de la evidencia digital: después de realizar el análisis de la


evidencia digital, se obtuvieron resultados a partir de los archivos comprometidos con

79  
 
el caso y la línea de tiempo, los cuales se describen en esta fase. Así mismo, se pudo
concluir la fecha en la cual se perpetró el ataque contra el dispositivo.

4.2.4. Etapa de presentación y revisión

Para el desarrollo de la presente investigación, la totalidad de reportes fueron creados manualmente


por los investigadores. Lo anterior debido a que por falta de presupuesto y actualización en algunas
herramientas, no fue posible hacer uso de estas. A continuación se muestra el listado de reportes
realizados para tener en cuenta al momento de presentar esta investigación en un proceso judicial.

• Formato actuación primer respondiente (Ver Tabla 7).


• Formato documentación escena del crimen (Ver Tabla 8).
• Entrevista al usuario del dispositivo vulnerado (Ver fase de identificación de la escena
en la sección Etapa de investigación física).
• Formulario de identificación del dispositivo vulnerado (Ver Tabla 9).
• Registro de cadena de custodia (Ver Tabla 10).
• Formulario documentación evidencia digital (Ver Tabla 1 en Anexo 10)
• Consolidación archivos potencialmente analizables (Ver Tabla 3 y Tabla 4 en Anexo
10).
• Análisis de datos (Ver Tabla 5 a Tabla 122 en Anexo 10)
• Determinación archivos comprometidos en el caso (Ver etapa de determinación de los
archivos comprometidos en el caso en la sección Etapa de investigación digital).
• Línea de tiempo definitiva (Ver Ilustración 57 en Anexo10Error! Reference source
not found.).
• Conclusiones de la investigación (Ver Fase de presentación de la evidencia digital en la
sección Etapa de investigación digital en Anexo 10).
 
 

80  
 
5. RETROALIMENTACIÓN DE LA GUÍA METODOLÓGICA

Después de llevar a cabo la aplicación de la guía metodológica propuesta en la presente


investigación, se presentaron ciertas mejoras en ella, las cuales se exponen a continuación, así como
las conclusiones a las cuales se llegaron.

• La fase de identificación de roles y funciones es vital durante el desarrollo de una


investigación forense digital. Sin embargo, dependiendo del tipo de investigación que
se esté realizando, no es necesario asignar la totalidad de los roles. De ser así, se debe
argumentar y documentar el porqué de la decisión.

• La fase de identificación de la escena durante la aplicación de la guía se realizó bajo


supuestos, debido a que tanto el escenario planteado para el ataque como la aplicación
de la guía la llevaron a cabo las mismas personas. Sin embargo, en una situación real se
deben incautar y documentar todos los componentes electrónicos relacionados con la
investigación bajo ningún supuesto.

• En la fase de identificación de la escena en el paso número 3, se propone realizar una


entrevista al propietario del iPhone en cuestión. Sin embargo, esta entrevista puede
variar según la investigación que se esté llevando a cabo. Además si esta guía es
utilizada para llevar a cabo una investigación sobre otro modelo del iPhone se puede
ajustar a las necesidades que se requieran.

• Lo ideal en una investigación forense digital es preservar la escena del crimen para
posteriormente identificar evidencia digital. El iPhone a diferencia de cualquier otro
tipo de dispositivo móvil celular, puede hacer parte de varias redes como lo son la red
3G, GSM, Edge, GPRS, o la Wi-Fi, por tal razón es indispensable aislarlo de todas
estas redes, para evitar cualquier alteración en la escena del crimen.

• Es recomendable que el registro de cadena de custodia esté sujeto a un formato estándar


sugerido por los entes de control del país en que se lleva a cabo la investigación. Ya que
de esta manera la presentación del caso puede ser admitida en la corte.

• La tercera fase de la etapa de investigación física planteada en la guía metodológica


consiste en realizar la elección de herramientas forenses que se van a utilizar durante la
investigación. Durante la aplicación de la guía se desarrolló un cuadro comparativo con
las herramientas que soportan análisis en iPhone. Sin embargo, dentro de las
herramientas gratuitas que se encontraron, ninguna logró cumplir con los requisitos
mínimos para ser utilizada en la investigación.

• La etapa de investigación digital tiene como objetivo llevar a cabo la recolección y


análisis de evidencia digital, preservando la integridad y admisibilidad de la evidencia
digital. Actualmente no existe ninguna forma de obtener una copia bit a bit del iPhone
3G, sin tener que llevar a cabo el proceso de Jailbreak sobre el dispositivo. Con
respecto a lo anterior, se dificulta presentar este tipo de casos en un proceso judicial
debido a la alteración de datos en el dispositivo.

81  
 
• Durante la fase de análisis de la evidencia digital, la recuperación de archivos
eliminados no se pudo llevar a cabo, debido a que no se utilizó una herramienta
especializada en la obtención de este tipo de archivos.

• La línea de tiempo es útil para plasmar de forma gráfica los hechos y sucesos
importantes ocurridos, y determinar cuáles fueron las acciones tomadas por el atacante
sobre el dispositivo.

82  
 
6. CONCLUSIONES

Uno de los campos que requiere más investigación y profundización, es el de la informática forense
en dispositivos móviles. En primera instancia, este trabajo de grado, pretende contribuir
conceptualmente en cada uno de los aspectos relacionados con la informática forense clásica y los
procedimientos para realizar este tipo de investigaciones en dispositivos móviles como el iPhone
3G. Para llevar a cabo lo mencionado anteriormente, fue necesario realizar una exhaustiva
recolección de información con el objetivo de formalizar el estado del arte de cada una de las
variables presentes en la investigación como lo son el iPhone 3G, los problemas de seguridad en
este y la informática forense tanto clásica como orientada a dispositivos móviles, campo que aún
está en crecimiento. Lo anterior, con el objetivo de presentar la guía metodológica basada en dichos
conceptos, para realizar análisis sobre dispositivos móviles como el iPhone.

En segunda instancia, además de proponer la guía metodológica, se presentó un escenario de prueba


de la misma, bajo un ataque controlado, de forma tal que los resultados se utilizaron para verificar
su eficacia, efectividad y viabilidad de aplicación en un caso dado. Una vez aplicada la guía se llegó
a lo siguiente:

• Actualmente las herramientas forenses para dispositivos móviles se encuentran


desactualizadas, es por esto que llevar a cabo análisis sobre dispositivos como el iPhone
3G que constantemente presenta actualizaciones en el firmware, requiere de otro tipo de
herramientas y métodos (como el Jailbreak) que pueden llegar a ser no del todo
admisibles en una investigación dada.

• Se concluye que la aplicación de la guía es viable para un caso real, sin embargo se
recomienda ajustar la guía de acuerdo a lo planteado en la retroalimentación de la
misma.

• Debido a los avances tecnológicos que se presentan en la actualidad, es necesario


actualizar la guía de acuerdo a los cambios que se presentan en el dispositivo iPhone,
realizando pruebas y retroalimentación de la misma.

• Es indispensable que Apple Inc. proporcione algún tipo de ayuda en el campo de la


informática forense orientada a este tipo de dispositivos, ya sea brindando algún tipo de
libración en el dispositivo o desarrollando una herramienta forense que permita realizar
análisis sobre este dispositivo sin necesidad de realizar algún proceso extra para poder
liberarlo como se hace en la actualidad, con lo cual se puede poner en riesgo una
investigación completa al momento de ser presentada en un proceso judicial.

83  
 
7. TRABAJOS FUTUROS

A continuación se presentan los trabajos futuros sugeridos una vez culminada la presente
investigación:

• La presente investigación se hizo orientada al dispositivo móvil iPhone 3G, por lo tanto
la guía metodológica propuesta en este documento se realizó enfocada únicamente al
análisis de dicho dispositivo. Por lo tanto, se propone realizar un caso de estudio más
profundo donde además de realizar la investigación sobre el dispositivo, también pueda
ser analizada la tecnología de red que usa dicho dispositivo (3G).

• El análisis de la presente investigación fue desarrollado usando como herramienta


forense un MacBook. Lo anterior debido a la falta de presupuesto para poder utilizar
alguna herramienta licenciada y a la falta de actualización de las herramientas freeware
que no soportaban análisis de iPhone 3G con firmware superior a 2.1. Con respecto a lo
anterior, se propone ejecutar la guía metodología propuesta haciendo uso de alguna
herramienta actualizada con el objetivo de comparar resultados y de ser el caso realizar
la retroalimentación pertinente a la guía metodológica.

• Con respecto a lo anterior, para poder realizar el análisis del dispositivo era necesario
que este estuviera previamente liberado por medio del proceso de Jailbreak. En caso
contrario es responsabilidad del investigador realizar este proceso, lo cual puede poner
en riesgo el resultado de la investigación cuando esta sea presentada en un proceso
judicial. Por lo tanto, se propone la ejecución de la guía metodológica propuesta en un
escenario de prueba en el cual es dispositivo no esté liberado y no haya necesidad de
realizar dicho proceso, utilizando alguna herramienta forense que soporte análisis sobre
este tipo de dispositivos sin Jailbreak como Paraben Device Seizure, la cual
lastimosamente solo soporta este tipo de análisis para iPhone 3G con firmware inferior
al 2.1.

• La presente investigación fue realizada enfocada a un dispositivo de última tecnología


como lo es el iPhone 3G, pero debido a la gran rapidez con que evoluciona la
tecnología, en estos momentos existe el sucesor del iPhone 3G llamado iPhone 3GS, y
gracias a la popularidad que han adquirido este tipo de dispositivos, con el tiempo
existirán nuevos sucesores que mejoren su rendimiento, usabilidad y amplíen los
servicios que presta actualmente el dispositivo. Con respecto a lo anterior, se propone
realizar la ejecución de la guía metodológica propuesta en el iPhone 3GS y de darse el
caso, en sus posteriores actualizaciones con el objetivo de mantener actualizada la guía
metodológica.
 

84  
 
8. REFERENCIAS

[1] B Mellar. “Forensic examination of mobile phones”. Digital Investigation - Elsevier, United
Kingdom, 2004, http://faculty.colostate-
pueblo.edu/dawn.spencer/Cis462/Homework/Ch4/Forensic%20examination%20of%20mob
ile%20phones.pdf Última consulta: Febrero de 2009.
[2] M Rossi. “Internal forensic acquisition for mobile equipments”. Dipartimento di
Informatica, Sistemi e Produzione, Università di Roma “Tor Vergata”, 2008.
[3] Canalys. Expert Analysis for High-tech Industry. “Smart mobile device shipments hit 118
million in 2007, up 53% on 2006”. Singapore and Reading (UK) – Tuesday, 5 February
2008, http://www.canalys.com/pr/2008/r2008021.htm, Última consulta: Febrero 2009.
[4] Canalys. Expert Analysis for High-tech Industry. “Global smart phone shipments rise
28%”. Reading (UK) – Thursday, 6 November 2008,
http://www.canalys.com/pr/2008/r2008112.htm, Última consulta: Febrero 2009.
[5] J Zdziarski. “iPhone Forensics, Recovering Evidence, Personal Data & Corporate Assets”,
2008.
[6] CSI. Computer Security Institute. http://www.gocsi.com/. Última consulta: Enero de 2009.
[7] CSI. “Computer Crime and Security Survey, The latest results from the longest-running
project of its kind”. 2008. http://i.cmpnet.com/v2.gocsi.com/pdf/CSIsurvey2008.pdf,
Última consulta: Enero de 2009.
[8] C. Castillo, R. Ramírez, “Guía metodológica para el análisis forense orientado a incidentes
en dispositivos móviles GSM”, Pontificia Universidad Javeriana, Dic. 2008.
[9] M.  Varsalone, J. Kubasiak, “Mac Os X, iPod and iPhone Forensic Analysis DVD Toolkit”,
Syngress Publishing Inc, 2009, pp. 355-475.
[10] Dev-Team Blog, redsn0w in june, http://blog.iphone-dev.org/post/126908912/redsn0w-in-
june , Última consulta: 13/09/09.
[11] Bluetooth, “Descripción general del funcionamiento”, 2009,
http://spanish.bluetooth.com/Bluetooth/Technology/Works/Default.htm
[12] Forensic analysis of mobile phone internal memory,
http://digitalcorpora.org/corpora/bibliography_files/Mobile%20Memory%20Forensics.pdf.
[13] C. Agualimpia, R. Hernández, “Análisis forense en dispositivos móviles con Symbian OS”,
Documento de maestría, Dept. Ingeniería electrónica, Pontifica Universidad Javeriana,
http://www.criptored.upm.es/guiateoria/gt_m142e1.htm.
[14] C. Castillo, A. Romero, J. Cano, “Análisis forense orientado a incidentes en teléfonos
celulares GSM: Una guía metodológica”, Conf. XXXIV Conferencia Latinoamericana de
Informática, Centro Latinoamericano de Estudios en Informática (CLEI), Sept. 2008,
http://www.clei2008.org.ar/
[15] I Baggilo, R Milan, M Rogers. “Mobile Phone Forensics Tool Testing: A Database Driven
Approach”. International Journal of Digital Evidence, Purdue University, Volume 6 Issue 2,
Fall 2007; http://www.utica.edu/academic/institutes/ecii/publications/articles/1C33DF76-
D8D3-EFF5-47AE3681FD948D68.pdf
[16] Fred Vogelstein, “The Untold Story: How the iPhone Blew Up the Wireless Industry”,
WIRED, Wired Magazine: issue 16.02, Enero 2008,

85  
 
http://www.wired.com/gadgets/wireless/magazine/16-02/ff_iphone?currentPage=all, Última
consulta: 23/03/09.
[17] Javier Penalva, “Historia del iPhone”, Xataca, Jun. 2008,
http://www.xataka.com/moviles/historia-del-iphone, Última consulta: 23/03/09
[18] “The Apple iPhone Story: 1999 to 2008”, ProductReviews, Ago. 2008, http://www.product-
reviews.net/2008/08/01/the-apple-iphone-story-1999-to-2008/, (no tiene autor), Última
consulta: 23/03/09.
[19] Danny Dumas, “iPhone Timeline Highlights the Handset Through The Ages”, WIRED,
Gadget Lab: hardware that rocks your world, Jul. 2008,
http://blog.wired.com/gadgets/2008/07/iphone-timeline.html, Última consulta: 23/03/09.
[20] Ashton Applewhite, “The BlackBerry Business”, IEEE, Persasive Computing, Volume 1,
Issue 2, Abr./Jun. 2002, http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=1012329,
Última consulta: 23/03/09.
[21] Apple Inc., “Especificaciones iPhone 3G”, 2009,
http://www.apple.com/es/iphone/specs.html, Última consulta: 26/01/09
[22] Apple Inc., “Qué es iTunes”, 2009, http://www.apple.com/es/itunes/whatis/, Última
consulta: 24/03/09.
[23] Andrew Hoog, “iPhone Forensics: Annual Report on iPhone Forensic Industry”, Chicago
Electronic Discovery, Mar. 2009
[24] Apple Inc., “iPhone 3G: Gallery”, 2009, http://www.apple.com/iphone/gallery/, Última
consulta: 24/03/09
[25] Michael Macedonia, “iPhones Target the Tech Elite”, Entertainment Computing, Pags. 94-
95, Jun. 2007.
[26] Lev Grossman, “Invention Of the Year: The iPhone”, TIME in partnership with CNN,
http://www.time.com/time/specials/2007/article/0,28804,1677329_1678542,00.html,
Última consulta: 24/03/09.
[27] Apple Inc., “iPhone 3G: Caracteristicas”, 2009, http://www.apple.com/la/iphone/features/,
Última consulta: 24/03/09.
[28] Apple Inc, “iPod Classic”, 2009, http://www.apple.com/la/ipodclassic/features.html, Última
consulta: 25/03/09.
[29] Apple Inc., “Apple introduce el Nuevo iPhone 3G: dos veces más rápido y a mitad de
precio”, Sala de prensa, 2009, http://latam.apple.com/pr/articulo/?id=1486, Última consulta:
25/03/09.
[30] T. Espiner, “Crackers claim iPhone 3G hack”, ZDNet UK Jul. 2008,
http://news.zdnet.co.uk/security/0,1000000189,39446756,00.htm
[31] J. Pastor, “El iPhone vulnerable al Phishing”, Jul. 2008,
http://www.theinquirer.es/2008/07/25/el_iphone_vulnerable_al_phishing.html, Última
consulta: 14/04/2009.
[32] Jeimy J. Cano, “Introducción a la informática forense: Una disciplina técnico-legal”,
Revista Sistemas, Asociación Colombiana de Ingenieros de Sistemas (ACIS), Vol.96, pp.
64-73, Jun. 2006, http://www.acis.org.co/fileadmin/Revista_96/dos.pdf, Última consulta:
14/04/2009.
[33] Jeimy J. Cano, “Computación Forense: Conceptos Básicos”, May. 2002.

86  
 
[34] Del Pino Santiago, “Introducción a la informática forense”, Pontificia Universidad Católica
del Ecuador, Oct. 2007, Disponible en:
http://www.criptored.upm.es/guiateoria/gt_m592b.htm.
[35] D. Brezinski, T. Killalea, Guidelines for Evidence Collection and Archiving, IETF RFC
3227, February 2002; http://www.ietf.org/rfc/rfc3227.txt
[36] Reith Mark, Carr Clint, Gunsch Gregg, “An Examination of Digital Forensic Models”,
International Journal of Digital Evidence, Air Force Institute of Technology, Volume 1
Issue 3, Fall 2002,
www.utica.edu/academic/institutes/ecii/publications/articles/A04A40DC-A6F6-F2C1-
98F94F16AF57232D.pdf.
[37] Baryamureeba Venansius, Tushabe Florence, “The Enhanced Digital Investigation Process
Model”, Institute of Computer Science, Makerere University, May. 2004.
[38] M. Meyers, M. Rogers, “Computer Forensics: The Need for Standardization and
Certification”, International Journal of Digital Evidence, CERIAS, Purdue University,
Volume 3 Issue 2, Fall 2004,
www.utica.edu/academic/institutes/ecii/publications/articles/A0B7F51C-D8F9-A0D0-
7F387126198F12F6.pdf.
[39] International Organization on Computer Evidence, “Guidelines for best practice in the
forensic examination of digital technology”, IOCE Best Practice Guide V1.0, May. 2002,
http://www.ioce.org/fileadmin/user_upload/2002/ioce_bp_exam_digit_tech.html
[40] M. Delgado, “Análisis Forense Digital”, Hackers y Seguridad, 2nd ed., Jun. 2007,
http://www.criptored.upm.es/guiateoria/gt_m335a.htm
[41] iPhone OS Overview,
http://developer.apple.com/iphone/gettingstarted/docs/iphoneosoverview.action
[42] iPhone OS Technology Overview, Oct. 2009,
http://developer.apple.com/iphone/library/documentation/Miscellaneous/Conceptual/iPhone
OSTechOverview/Introduction/Introduction.html.
[43] Technical Note TN1150 HFS Plus Volume Format
http://developer.apple.com/technotes/tn/tn1150.html#HFSX
[44] A. Burghardt, A. Feldman, “Using the HFSD journal for deleted file recovery”, Digital
Forensic Research Workshop, 2008, http://www.dfrws.org/2008/proceedings/p76-
burghardt.pdf
[45] A. Sandoval, “El iPhone está disparado a nivel mundial”, El Tiempo, Ago. 2009,
http://m.eltiempo.com/detail/key/86380/Tec/1;jsessionid=2E69ADA8DC4483AACF825D6
FE1778B9E.eltiempo2, Última consulta: 25/08/09
[46] L. Cassavoy, “What Does It Mean to Jailbreak an iPhone?”, About.com,
http://smartphones.about.com/od/glossary/f/jailbreak_faq.htm, Última consulta: 27/08/09
[47] K. Higgins, “Metasploit Adds iPhone Hacking Tools”, Dark Reading, Sep. 2006,
http://www.darkreading.com/security/perimeter/showArticle.jhtml?articleID=208804751,
Última consulta: 27/08/09.
[48] Dev-Team Blog, 2009, http://blog.iphone-dev.org/, Última consulta: 25/08/09.
[49] iPhone Dev Team, “Pwnage Project”, Mar. 2008, http://wikee.iphwn.org/news:pwnage,
Última consulta: 28/08/09

87  
 
[50] iPhone Dev Team, “How Pwnage Works”, Jun. 2008,
http://wikee.iphwn.org/s5l8900:pwnage, Última consulta: 28/08/09
[51] SeguInfo: Seguridad de la información, Phishing, http://www.segu-
info.com.ar/malware/phishing.htm, Última consulta: 28/08/09
[52] Apple Inc, “Mail”, 2009, http://www.apple.com/es/iphone/iphone-3g/mail.html, Última
consulta: 28/08/09
[53] Aviv Raff On, “iPhone is Phishable and SPAMable”, Jul. 2008,
http://aviv.raffon.net/2008/07/23/iPhoneIsPhishableAndSPAMable.aspx, Última consulta:
28/08/09
[54] Aviv Raff On, “Happy New Year”, Oct. 2008,
http://aviv.raffon.net/2008/10/02/HappyNewYear.aspx, Última consulta: 28/08/09
[55] Thomas Claburn, “Apple iPhone Vulnerabilities Disclosed”, InformationWeek | the
business value of technology, Oct. 2009,
http://www.informationweek.com/news/personal_tech/iphone/showArticle.jhtml?articleID=
210605451, Última consulta: 28/08/09
[56] Compaq, “Compaq V3718LA”
http://search.hp.com/query.html?lang=en&hps=Compaq.com&la=en&hpn=Return+to+Co
mpaq.com&qp=web_section_id%3Ar163+site%3Ashopping.hp.com&cc=us&hpr=/country
/index.html&h_audience=hho&qt=compaq+v3718la, Última consulta: 28/08/09.
[57] SeguInfo: Seguridad de la información, Spam, http://www.segu-
info.com.ar/malware/spam.htm, Última consulta: 30/08/09
[58] Daniel V. Hoffman, “Blackjacking: Security Threats to BlackBerrys, PDAs, and Cell
Phones in the Enterprise”, Wiley Publishing Inc, 2007, pp. 3-13
[59] Crackea tu iPhone, “Hackers pueden entrar a tu iPhone mediante OpenSSH”, 2008,
http://crackeatuiphone.com/2008/09/hackers-pueden-entrar-a-tu-iphone-mediante-openssh/,
Última consulta: 01/09/09
[60] Insecure.org, http://nmap.org/, Última consulta: 06/09/09.
[61] The GNU Netcat project, http://netcat.sourceforge.net/, Nov. 2006, Última consulta:
06/09/09.
[62] Adelstein. F.: MFP: The Mobile Forensic Platform. International Journal of Digital
Evidence. Volume 2. Issue 1. (2003).
http://www.utica.edu/academic/institutes/ecii/publications/articles/A066554D-DCDD-
75EE-BE7275064C961B5D.pdf
[63] Geiger, M.: Evaluating Commercial Counter-Forensic Tools. Carnegie Mellon University.
Digital Forensic Research Workshop (DFRWS). (2005).
http://dfrws.org/2005/proceedings/geiger_couterforensics.pdf
[64] R. Joyce, J. Powers, F. Adelstein, “MEGA: A tool for Mac OS X operating system and
application forensics”, Digital Investigation, 2008
[65] R. Leigland, “A Formalization of Digital Forensics”, International Journal of Digital
Evidence, University of Idaho, Volume 3, Issue 2, Fall 2004,
http://www.utica.edu/academic/institutes/ecii/publications/articles/A0B8472C-D1D2-8F98-
8F7597844CF74DF8.pdf.

88  
 
[66] O. López, H. Amaya, R. León, B. Acosta, “Informática forense: generalidades, aspectos
técnicos y herramientas”, Universidad de los Andes, 2002,
http://www.criptored.upm.es/guiateoria/gt_m180b.htm
[67] DFRWS, “A Road Map for Digital Forensic Research”, Report From the First Digital
Forensic Research Workshop (DFRWS), 2001, http://www.dfrws.org/2001/dfrws-rm-
final.pdf
[68] IOCE, “Guidelines For Best Practice in the Forensic Examination of Digital Technology”,
draft v1.0,
http://www.ioce.org/fileadmin/user_upload/2002/ioce_bp_exam_digit_tech.html.
[69] S. Peisert, M. Bishop, S. Karin, K. Marzullo, “Toward Models for Forensic Analysis”,
http://www.cs.ucdavis.edu/~peisert/research/PBKM-SADFE2007-ForensicModels.pdf.
[70] J. Cano, “Buenas prácticas en la administración de la evidencia digital”, Universidad de los
Andes, 2006.
[71] B. Carrier, E. Spafford, “Getting Physical with the Digital Investigation Process”,
International Journal of Digital Evidence, University of Idaho, Volume 2, Issue 2, Fall
2003, http://www.utica.edu/academic/institutes/ecii/publications/articles/A0AC5A7A-
FB6C-325D-BF515A44FDEE7459.pdf
[72] N. Beebe, J. Clark, “A Hierarchical, Objectives-Based Framework for the Digital
Investigations Process”, Digital Investigations Process Framework, Digital Forensics
Research Workshop (DFRWS), Ag. 2004.
[73] A. Hook, K. Gaffaney, “iPhone Forensics - WOLF”, ViaForensics, Jun. 2009,
http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-wolf.html,
Última consulta: 06/09/09.
[74] A. Hook, K. Gaffaney, “iPhone Forensics - Cellebrite UFED (3.0/5.0)”, ViaForensics, Jun.
2009, http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-
ufed.html, Última consulta: 06/09/09.
[75] A. Hook, K. Gaffaney, “iPhone Forensics - Paraben Device Seizure”, ViaForensics, Jun.
2009, http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-
paraben-device-seizure.html, Última consulta: 06/09/09
[76] A. Hook, K. Gaffaney, “iPhone Forensics - MacLock Pick”, ViaForensics, Jun. 2009,
http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-maclock-
pick.html, Última consulta: 06/09/09
[77] A. Hook, K. Gaffaney, “iPhone Forensics - MDBackup Extract”, ViaForensics, Jun. 2009,
http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-md-backup-
extract.html, Última consulta: 06/09/09
[78] A. Hook, K. Gaffaney, “iPhone Forensics - .XRY”, ViaForensics, Jun. 2009,
http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-
microsystemation-xry.html, Última consulta: 07/09/09
[79] A. Hook, K. Gaffaney, “iPhone Forensics - Zdziarski Technique”, ViaForensics, Jun. 2009,
http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-zdziarski-
technique.html, Última consulta: 07/09/09
[80] K. Mandia, C. Prosise, M. Pepe, “Incident Response & Computer Forensics ”, Segunda
Edición, McGraw-Hill, 2003, pp. 11-32

89  
 
[81] R Ayers, W Jansen. “Guidelines on CellPhone Forensics”, National Institute of Standards
and Technology Special Publication 800-101; http://csrc.nist.gov/publicati
ons/nistpubs/800-101/SP800-101.pdf . Última consulta: Septiembre de 2009.
[82] D. Shinder, Scene of the Cybercrime Computer Forensic Handbook, Syngress Publishing,
Inc, 2002.
[83] D. Bem, E. Huebner, “Computer Forensic Analysis in a Virtual Environment”, International
Journal of Digital Evidence, Volume 6, Issue 2. 2007,
http://www.utica.edu/academic/institutes/ecii/publications/articles/1C349F35-C73B-DB8A-
926F9F46623A1842.pdf.
[84] SeguInfo: Seguridad de la información, Amenazas Lógicas - Tipos de Ataques - Ataques de
Autenticación, http://www.segu-info.com.ar/ataques/ataques_autenticacion.htm, Última
consulta: 13/09/09.
[85] SeguInfo: Seguridad de la información, Exploit, http://www.segu-
info.com.ar/malware/exploit.htm, Última consulta: 13/09/09.
[86] SeguInfo: Seguridad de la información, Tipos de Malware, http://www.segu-
info.com.ar/malware/, Última consulta: 13/09/09.
[87] OpenSSH, http://www.openssh.com/es/index.html, Última consulta: 13/09/09.
[88] GSM Security, “What is an IMEI?”, http://www.gsm-security.net/faq/imei-international-
mobile-equipment-identity-gsm.shtml, Última consulta: 13/09/09
[89] Fiscalía General de la Nación, “Manual de procedimientos para cadena de custodia”,
http://happymundo.com/segob/MANUALES/manual%20de%20procedimientos%20para%
20cadena%2029%20de%20enero.pdf.
[90] C. Mulliner, C. Miller, “Injecting SMS Messages into Smart Phones for Security Analysis”,
Ago. 2009 http://www.usenix.org/events/woot09/tech/full_papers/mulliner.pdf.
[91] C. Mulliner, C. Miller, “Fuzzing the Phone in your Phone”, Ago. 2009, BlackHat
Conference, http://www.blackhat.com/presentations/bh-usa-09/MILLER/BHUSA09-
Miller-FuzzingPhone-PAPER.pdf
[92] J. Cano, “Computación Forense: descubriendo los rastros informáticos”, Alfaomega, 2009,
p. 180
[93] SeguInfo: Seguridad de la información, Spam, http://www.segu-
info.com.ar/malware/spam.htm, Última consulta: 23/11/09.
[94] Developer Connection, “Networking Bonjour”, Apple Inc.,
http://developer.apple.com/networking/bonjour/, Última consulta: 29/11/09.
[95] Carnegie Mellon University, “Wi-Fi Origins”,
http://www.cmu.edu/homepage/computing/2009/summer/wi-fi-origins.shtml, Última
consulta: 29/11/09.
[96] ERICSSON, “The evolution of EDGE”, Feb. 2007,
http://www.ericsson.com/technology/whitepapers/3107_The_evolution_of_EDGE_A.pdf
,Última consulta: 29/11/09.
[97] Developer Connection, “Introduction to CFNetwork Programming Guide”, May. 2009,
http://developer.apple.com/mac/library/DOCUMENTATION/Networking/Conceptual/CFN
etwork/Introduction/Introduction.html, Última consulta: 29/11/09.

90  
 
[98] Developer Connection, “Introduction to The Objective-C Programming Language”, Oct.
2009,
http://developer.apple.com/mac/library/documentation/cocoa/Conceptual/ObjectiveC/Introd
uction/introObjectiveC.html, Última consulta: 29/11/09.
[99] Developer Connection, “Quartz 2D Programming Guide”, May. 2009,
http://developer.apple.com/IPhone/library/documentation/GraphicsImaging/Conceptual/dra
wingwithquartz2d/Introduction/Introduction.html, Última consulta: 29/11/09.
[100] Arnotify, “On the Origins of .DS_Store”, http://arno.org/arnotify/2006/10/on-the-origins-of-
ds_store/, Última consulta: 29/11/09.
[101] The Sydney Morning Herald, “Surprise iPhone launch”,
http://www.smh.com.au/news/phones--pdas/surprise-iphone-
launch/2006/12/18/1166290484620.html, Última consulta: 30/11/09.
[102] World Time Zone, “World Time Zone Abbreviations, Description and UTC Offset”,
http://www.worldtimezone.com/wtz-names/wtz-cot.html, Última consulta: 30/11/09.

91