Documentos de Académico
Documentos de Profesional
Documentos de Cultura
com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 1
ANÁLISIS DE CASOS
ANÁLISIS FORENSE I
1
Página
ÍNDICE
Contenido
1. Introducción y contextualización práctica ................................................................................................................. 4
Análisis en caliente........................................................................................................................................................................... 7
Análisis post mortem ..................................................................................................................................................................... 7
6. Fase 2: Preservación de las evidencias ....................................................................................................................... 7
Instalación .................................................................................................................................................................................................25
19. Funcionamiento básico ............................................................................................................................................................... 26
El análisis forense informático o digital surge de la necesidad de poder encontrar pruebas que
ayuden a resolver un delito o incidente de seguridad aplicando técnicas científicas y analíticas a los
sistemas de información digitales.
El análisis forense digital es utilizado para extraer datos de dispositivos electrónicos y transformarlos
en información operativa que pueda ser tratada y analizada para poder resolver un delito.
El objetivo de cualquier análisis forense es poder responder a las clásicas cuestiones sobre qué,
4
Página
quién, cómo, cuándo y por qué tuvieron lugar los hechos delictivos y actuar en consecuencia
Otro termino importante es el de artefacto. Un artefacto puede ser cualquier log del sistema,
metadatos, registros, copias de seguridad, etc., de los que se pueda extraer una evidencia digital.
En un análisis forense informático se pueden diferenciar cuatro fases que definen una metodología
a seguir durante una investigación: identificación y adquisición, preservación, análisis y
documentación.
seguridad privado.
ANÁLISIS FORENSE I WWW.EICYC.COM
Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 6
ANÁLISIS DE CASOS
La adquisición de los datos debe priorizarse cuanto mayor es la volatilidad de los datos.
Datos volátiles
Son aquellos datos que se pierden cuando el sistema se apaga y no son recuperables. Por ejemplo:
• Servicios en ejecución.
• Usuarios autenticados.
• Ficheros en uso.
• Procesos de memoria.
• Memoria RAM.
• Memoria caché.
Datos no volátiles
Los datos no volátiles o persistentes permanecen en los soportes de información, aunque el sistema
se apague o reinicie, por ejemplo:
• Ficheros del sistema.
• Documentos ofimáticos, imágenes, audios, etc.
• Logs del sistema.
6
Página
5. Entornos de análisis
Durante la fase de identificación y adquisición tendremos que identificar el tipo de entorno al que
nos enfrentamos. Según el estado en el que nos encontremos el sistema sobre el que tenemos que
realizar el análisis forense, aplicaremos diferentes técnicas para la extracción de los datos.
Podemos diferenciar dos tipos de entornos de análisis, análisis en caliente y análisis post mortem.
Análisis en caliente
Cuando el sistema está apagado tendremos que aplicar un análisis post mortem.
En este estado podemos extraer la información no volátil sin alterar las evidencias de los datos
volátiles, siempre trabajando con una copia de seguridad de los soportes de información. Para
adquirir la información no volátil, nos ayudaremos de las suites forenses, como Caine, Autopsy y
herramientas como la suite de Nirsoft.
La cadena de custodia es una metodología aplicada a las evidencias relacionadas con el incidente o
7
delito desde que se identifican en la escena hasta que son analizadas en el laboratorio.
Página
El objetivo es poder asegurar la integridad, preservación y la trazabilidad de las evidencias para que
no puedan ser impugnadas bajo sospecha de una mala práctica o manipulación de las evidencias.
Las evidencias digitales, tales como imágenes de disco, RAM, ficheros, documentos, etc. deben estar
acompañadas de su hash, ya que es la única forma de verificar que dicha evidencia no ha sido alterada
desde su adquisición.
Entramos en la fase más técnica dentro de la metodología de un análisis forense. En esta fase se
utilizan las herramientas software y físicas especializadas en analizar los datos adquiridos para
identificar el motivo del delito, las acciones y los actores que han participado.
La destreza, experiencia y conocimiento del analista es fundamental para resolver un análisis forense
con éxito, aun así, no siempre será posible esclarecer los hechos por la falta de evidencias.
El análisis forense debe realizarse dentro del rango temporal durante el cual acaecieron los hechos
delictivos. Para ello, es necesario acotar la investigación en el tiempo. Es prácticamente imposible, y
poco práctico, analizar todos los datos almacenados a lo largo del tiempo y que no tienen por qué
mantener relación con el incidente. Por ejemplo, un log de un sistema que no se ha rotado durante
todo el año no debería analizarse por completo, tan solo la sección afectada por el marco temporal
de interés. Una vez acotada la investigación forense, se procederá a reconstruir la línea temporal del
delito, la cual proporcionará una reconstrucción cronológica y comprensión de los hechos que han
tenido lugar.
Durante la fase de análisis de un sistema tendremos que examinar multitud de artefactos para la
obtención de evidencias, por ejemplo:
• Correos electrónicos.
•
9
Fotos digitales.
Página
• Historial de navegación.
Un informe ejecutivo contendrá un resumen de todo el análisis forense con un lenguaje poco técnico
ya que, así lo requiere el público al que está destinado este tipo de informes ejecutivos. Algunos
aspectos básicos que debe contener este informe son:
Por el contrario, en un informe técnico, el detalle del análisis es mucho mayor y requiere de
conocimiento técnico para su comprensión.
Página
Además de los aspectos básicos de un informe ejecutivo, también debería contener los siguientes:
Es imprescindible conocer bien estas herramientas para poder escoger la adecuada en cada escenario
y que ocasione el menor impacto posible en los datos del sistema.
11
Página
La memoria RAM solo puede capturarse cuando el sistema está encendido. Es posible adquirir la
memoria RAM tanto de forma local como remota.
Fig. 2. F-Response
Página
Dato Comando
Fecha date /t
Hora time /t
Hostname hostname
Red ipconfig /all
Usuario actual whoami
Versión ver
Uptime systeminfo | find "Tiempo de
arranque del sistema"
Entorno systeminfo
Usuarios conectados quser
Conexiones de red netstat -ano
activas
13
realizadas
Si creemos que el sistema puede estar comprometido, deberemos emplear versiones legitimas de
estos programas que podamos ejecutar desde un medio extraíble. En ocasiones, el malware puede
sustituir algunos binarios del sistema con intenciones maliciosas, como, por ejemplo, un falso tasklist
que oculte el proceso del malware para que éste no sea detectado.
La adquisición de datos no volátiles es el siguiente paso en la cadena de volatilidad tras los datos
volátiles. Estos datos son persistentes y pueden extraerse tanto en análisis en caliente como en
análisis post mortem, siempre teniendo en cuenta el escenario investigado.
También se puede utilizar una variación del comando “dd”, llamado “dc3dd”, que mejora la velocidad
de copia de los datos, realiza el cálculo del hash de la imagen en paralelo y proporciona más
estadísticas de la operación al usuario.
Dependiendo del tipo de delito, el análisis forense se centrará en la investigación de datos más o
menos concretos. Existen configuraciones del sistema que son de interés para el análisis y deben ser
revisadas, ya que pueden contener la clave para la resolución de una intrusión o una infección por
malware, por ejemplo:
• Configuraciones de seguridad: Evaluar las configuraciones relacionadas con la seguridad del sistema
puede ayudar a detectar brechas de seguridad que hayan podido ser aprovechadas con fines
maliciosos. Por ejemplo, el estado del parcheo y actualización del sistema, reglas de firewall, registros
de auditoría y logging.
• Relaciones de confianza: Existen unos ficheros donde se almacenan redes y hosts sobre los que existe
una relación de confianza, para, por ejemplo, evitar realizar peticiones de resolución de nombres al
DNS de la red y confiar en una resolución definida estáticamente en estos ficheros. Estos ficheros se
encuentran en “%windir%\system32\drivers\etc\”:
o hosts: Contiene una asociación entre una dirección IP y el hostname o dominio asignado.
o networks: Mantiene la asociación entre rangos de red y los nombres asignados.
o lmhosts: Realiza el mapeo entre direcciones IP y los nombres NetBios de las máquinas.
• Prefetch files: Cuando un programa se ejecuta por primera vez, Windows crea un fichero “prefetch”
para mejorar la velocidad de inicio en las ejecuciones posteriores. También queda registrada la fecha
de la primera ejecución de un programa, por ejemplo, de un malware o rootkit, además de la última
fecha de ejecución. Los ficheros prefetch se encuentran en el directorio “%systemroot%\prefetch”.
15
Página
• Autoinicio de aplicaciones: Una de las técnicas más habituales para conseguir la persistencia de
malware, rootkits y puertas traseras, es configurar el auto inicio en el arranque del sistema. Existen
varias posibilidades, como la ubicación en directorios concretos, entradas de registro, tareas
programadas o ficheros del sistema. Por ejemplo, en Windows, las aplicaciones que pueden iniciarse
automáticamente en el inicio del sistema se encuentran en la entrada del registro
“[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]”.
• Cuentas de usuario: Investigar las nuevas cuentas de usuario, aquellas que no tienen contraseña
definida, los grupos y los usuarios añadidos a estos. Es otra formar de ganar persistencia con acceso
al sistema y un punto de revisión importante en cualquier investigación.
• Registros de logs: Cualquier acción que haya tenido lugar en el sistema genera una entrada en el
registro de eventos de Windows. Los intentos de logging fallidos en el sistema se registran en el log
de eventos de seguridad, las acciones del antivirus, por ejemplo, quedan registradas en el log de
aplicaciones. Podemos extraer estos logs de un sistema vivo con la herramienta “wevtutil” y
analizarlos en el laboratorio.
• Sistemas de ficheros: El análisis de los ficheros almacenados puede revelar información de interés
para la resolución del caso. Es necesario investigar los elementos de la papelera de reciclaje, ficheros
ocultos y los “Alternate Data Stream”.
• Registro: El registro de Windows contiene toda la información sobre configuraciones, datos de
aplicaciones y actividades que han tenido lugar en el sistema, por lo que es un recurso imprescindible
en el análisis. La exportación de todas las ramas del registro podemos hacerlo a través de la
herramienta “RegRipper”. Por ejemplo, podemos identificar los dispositivos USB que fueron
conectados, como los dispositivos de almacenamiento extraíbles.
• Datos de navegación: A través de la investigación de estos datos es posible determinar qué dominios
visitó el usuario y detectar la descarga de malware mediante el uso de técnicas como “drive-by-
downloads”. Esta técnica permite la descarga silenciosa de binarios cuando se visita un host que
distribuye malware. Además, las cookies almacenadas pueden contener datos de interés.
16
Página
Fig. 4. RegRipper
• Autopsy: Es una de las herramientas más utilizadas de código abierto. Permite analizar entornos
UNIX y Windows a través del conjunto de herramientas que integra. Además, permite extender sus
capacidades de análisis a través de complementos y plugins. Relacionada a “Autopsy”, nos
encontramos con “The Sleuth Kit”, otra colección de herramientas para el análisis de imágenes de
disco forenses. “Autopsy” se integra con “The Sleuth Kit” proporcionando un entorno gráfico que
facilita la operación de análisis.
• Caine: Es una distribución basada en Linux que proporciona un entorno de análisis forense integrando
herramientas opensource y freeware para el análisis de sistemas Windows y Linux. El objetivo de esta
distribución es facilitar las tareas de las diferentes fases del análisis forense, una interfaz gráfica
17
• SIFT: Otra distribución basada en Linux creada por SANS para el análisis forense. También incorpora
un gran número de herramientas open source y cuenta con el respaldo de SANS.
• Volatility: Es el framework más utilizado en el análisis de incidentes y malware en la memoria RAM.
También es compatible con sistemas Linux y Windows. Es capaz de extraer cualquier información
almacenada en la RAM, como conexiones de red, procesos en ejecución, binarios cargados y DLLs.
• SysInternals: Es una suite de herramientas para Windows creadas originalmente para mejorar el
soporte técnico, diagnóstico del sistema y la administración. Esta suite se ha acabado convirtiendo
en imprescindible para cualquier analista forense, contiene herramientas de mucha utilidad para el
análisis y adquisición de datos del sistema Windows.
Cierto es que se requiere un conocimiento más amplio para analizar las evidencias debido a la
complejidad que conllevan los sistemas Linux, en la mayoría de las ocasiones, supondrá un esfuerzo
un poco superior para correlar los eventos que construyan una línea temporal. No obstante, esa
pequeña inversión en tiempo, se recuperará con creces en seguridad, control, agilidad y trazabilidad.
Al igual que ocurre en otros sistemas operativos, en Linux también existen datos volátiles qu e son
Página
La recopilación de estos datos en un sistema Linux puede ser más sencillo que en un sistema
Windows, ya que existen comandos del sistema para interactuar y extraer prácticamente toda la
información que podamos necesitar.
Es importante tener en cuenta que, si el sistema ha sido víctima de algún tipo de rootkit, algunos de
estos comandos del sistema pueden haber sido manipulados, por lo que tendremos que confirmar
que estamos trabajando con los binarios legítimos.
Para la extracción de los datos de la memoria RAM de un sistema Linux, podemos emplear algunas
de las herramientas más notables como, por ejemplo:
• LiME (Linux Memory Extractor): Es una herramienta open source que trabaja a nivel de kernel del
sistema y es compatible con sistemas basados en Linux. El principal problema es que esta
herramienta necesita ser compilada en la maquina sobre la que se quiere extraer la RAM, ya que
genera un módulo que tiene que ser cargado en el kernel del sistema Linux. Como alternativa,
podemos compilar la herramienta en otra maquina utilizando la misma versión del kernel y,
posteriormente, copiarlo a la maquina objeto del análisis.
• AVML (Acquire Volatile Memory for Linux): Es una herramienta desarrollada por Microsoft para la
extracción de la memoria RAM en sistemas Linux. Tiene la ventaja de que no necesita ser compilada
previamente, tan solo es necesario ejecutar la versión portable para extraer la memoria.
Para recopilar la información básica de un sistema Linux, podemos hacer uso de comandos del
sistema siempre que no hayan sido comprometidos anteriormente.
Además, deberemos tener especial cuidado en su uso ya que corremos el riesgo de realizar
modificaciones que invaliden las posibles evidencias.
La información básica del sistema que debemos recuperar es similar a la de sistemas Windows:
• Fecha y hora.
• Información del sistema (versión del sistema operativo, parches, hostname, etc.).
19
• Configuración de red.
ANÁLISIS FORENSE I WWW.EICYC.COM
Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 20
ANÁLISIS DE CASOS
Algunos de los comandos del sistema empleados para recopilar la información básica de un sistema
Linux son los indicados en la siguiente tabla:
Dato Comando
Fecha y hora date
Hostname hostname
Red ifconfig -a
Versión del kernel uname -a
Uptime uptime
Versión de la lsb_release -a
distribución
Usuarios conectados w
Conexiones de red netstat -punta
activas
Tabla ARP arp -a
Procesos ps -aux
Ficheros abiertos lsof -n
Tareas programadas crontab -l
Particiones fdisk -l
Sistemas de ficheros mount
Tabla 1. Comandos de recolección básicos
Los datos no volátiles pueden ser adquiridos a través de comandos y herramientas disponibles para
varios entornos. En los sistemas Linux existen herramientas nativas que permiten adquirir los datos
20
no volátiles del sistema y que, además, han sido portadas a otros entornos.
Página
En Linux podemos usar de forma nativa el comando “dd” o “dc3dd” para la adquisición de unidades
de almacenamiento.
La especialización de estas herramientas ha dado lugar al desarrollo de numerosas distribuciones
“live” diseñadas específicamente para la extracción de unidades de almacenamiento. Las
características técnicas de estas herramientas y su adaptación a los diferentes sistemas de ficheros
(ntfs, ext, fat, etc.) las han convertido en una de las mejores opciones para realizar este tipo de tareas
forenses.
Algunas las distribuciones Linux enfocadas a la adquisición de datos son:
• BakAndImgCD.
• Clonezilla Live.
• Parted Magic.
Fig. 2. CloneZilla
En sistemas Linux, la mayoría de las configuraciones del sistema se escriben en ficheros de texto, por
lo que obtener este tipo de información es fácil siempre que tengamos permisos suficientes si
21
Además de las configuraciones básicas del sistema, también son de interés los siguientes datos:
Página
• Registros de logs. Existen una serie de ficheros de logs donde se registran todos los eventos del
sistema, los más relevantes son:
o /var/log/syslog y /var/log/messages. Almacenan los eventos relacionados con el sistema en general.
o /var/log/auth.log. Contiene el registro de los logins exitosos y fallidos de los diferentes sistemas de
autenticación del sistema.
o /var/log/boot.log. Registra los mensajes sobre los eventos ocurridos durante el arranque del sistema.
o /var/log/dmesg. Contiene mensajes relacionados con los dispositivos conectados al sistema.
o /var/log/kern. Almacena los logs del kernel y sus módulos.
o /var/log/faillog. Registra los intentos de login fallidos.
• Sudoers. Contiene la configuración y directivas sobre los usuarios que pueden ejecutar tareas con
privilegios de root con “sudo” y sus restricciones. El fichero que contiene esta configuración se
encuentra en “/etc/sudoers”.
• Fstab. El fichero “/etc/fstab” registra todas las particiones y discos que son montados en el inicio del
sistema y la configuración (permisos, ejecución, escritura, lectura, etc.).
aplicables también a otros sistemas, sobre todo en la adquisición de memoria RAM y unidades de
Página
almacenamiento.
Además de las distribuciones anteriores, existen herramientas específicas que pueden ayudar a
resolver un caso forense. Por ejemplo, las siguientes herramientas:
• Bulk Extractor. Es una herramienta que se ejecuta sobre cualquier imagen de disco o RAM, ficheros
o directorios y extrae información útil sin analizar el sistema de ficheros ni su estructura. Permite
recuperar ficheros dañados o interpretar el contenido de los ficheros comprimidos, por ejemplo.
• Chkrootkit. Es una herramienta que analiza el sistema en busca de indicios de que pueda existir algún
rootkit instalado en el sistema.
• Foremost. Esta utilidad permite recuperar el contenido de los ficheros que han sido dañados o
eliminados del sistema. Realiza un barrido en la estructura del sistema de ficheros intentando
identificar ficheros que ya no son referenciados.
• LinEnum. Es un script que recopila la información fundamental de un sistema Linux
automáticamente. Esta herramienta tiene que ser ejecutada sobre el sistema en caliente y con
privilegios. Permite adquirir la información necesaria de una forma rápida y sin interacción del
usuario, minimizando el impacto en el sistema. Aun así, ejecuta comandos del sistema que pueden
alterar las evidencias.
Se ha convertido en la herramienta por defecto para cualquier análisis de memoria gracias a sus
capacidades forenses, plugins y adaptación a las diferentes arquitecturas.
24
Fig. 1. Volatility
Página
$ python vol.py
Instalación
Una vez instalada/descargada tan solo tendremos que ejecutar el binario descargado o, en el caso de
la versión de desarrollo o código fuente, en consola a través del comando:
Identificación de imágenes
En ocasiones, desconocemos el perfil que tenemos que asignar a la imagen de memoria RAM. Puede
que no nos hayan enviado dicha información o sea errónea, por lo que podríamos tener problemas
durante el análisis de la memoria. El perfil es utilizado por Volatility para precargar las estructuras
de datos necesarias para analizar información de un sistema operativo concreto.
Para aquellos casos en los que no sea imposible conocer el perfil, Volatility ha diseñado dos plugins
que ayudan a identificar el sistema operativo del que proviene la imagen de la memoria RAM.
Estos plugins son:
• Imageinfo. Analiza la imagen y devuelve una tabla con información de alto nivel sobre la imagen, en
la que se incluyen los posibles sistemas operativos de donde proviene la imagen.
• Kdbgscan. Analiza la imagen observando las características del “kernel debugger data block
(_KDDEBUGGER_DATA_64)”. De este análisis se obtienen datos más específicos sobre números de
versión y services pack ejecutados.
26
Página
Los procesos del sistema que estuvieran siendo ejecutados en el sistema cuando se realizara la
adquisición de la memoria RAM también quedarán reflejados en el fichero de la imagen. En Windows,
podemos consultarlos con los siguientes módulos o plugins de Volatility.
Pslist y pstree
Con los plugins “pslist” y “pstree” podemos listar los procesos del sistema, mostrando datos básicos
como el nombre del proceso, el ID, numero de hilos y fecha y hora de cuando el proceso fue lanzado
y cuando finalizó. La única diferencia es la presentación de la información en formato lineal o en vista
de árbol jerárquico.
Estos plugins no son capaces de detectar procesos ocultos del sistema, práctica habitual usada por
malware para ocultarse. El comando para listar los procesos es el siguiente:
Psscan psxview
Estos plugins también listan los procesos del sistema pero tienen la peculiaridad de que son capaces
de identificar aquellos que intentan ocultarse, por ejemplo, aquellos que han sido marcados como
inactivos o no están enlazados.
Estos plugins son de mucha utilidad cuando se está haciendo un análisis forense de un sistema
comprometido por un rootkit.
Los comandos para ejecutar estos plugins son:
Fig. 3. Psscan
Otra información interesante que querríamos conocer es la relacionada con las conexiones de red
del sistema.
Existen varios plugins que permiten obtener esta información.
Connections y connscan
El plugin “connections” obtiene las conexiones TCP que se encontraban activas cuando se realizó la
adquisición de la imagen.
También es posible realizar un escaneo para encontrar aquellas conexiones que fueron terminadas
recientemente. Este plugin ofrece un plus de información, pero a veces puede dar lugar a falsos
positivos.
Los comandos asociados a estos plugins son:
Sockets y sockscan
El plugin “sockets” obtiene los sockets en estado de escucha para cualquier tipo de protocolo de red.
28
Muestra información de interés como el PID, el puerto, protocolo, dirección de escucha y la fecha en
Página
Además, al igual que ocurre con el plugin “connscan”, existe otro plugin que muestra información
sobre sockets cerrados recientemente. Este plugin es el denominada “sockscan”.
Los comandos relacionados con estos sockets son los siguientes:
Fig. 4. connscan
En sistemas Linux existen otros plugins que podemos utilizar para analizar las conexiones de red,
como por ejemplo, “linux_ifconfig, linux_netstat, linux_netfilter, linux_arp, linux_list_raw,
linux_route_cache”.
Si quisiéramos obtener las subclaves de una clave superior, podemos listarlas con el plugin
“hivedump” y la dirección virtual de la clave principal de la siguiente forma:
volatility --profile=PROFILE -f file.dmp hivedump -o address
29
Página
En la imagen que se muestra a continuación, podemos ver las subclaves que dependen de la clave
HKCU, la cual se almacena en el fichero “NTUSER.DAT”:
Fig. 5. Hivedump
También podemos buscar una clave concreta con el plugin “printkey”, si la clave buscada ha sido
cargada en la memoria, es posible que podamos identificarla:
Fig. 6. Hivedump
A plugins como “psscan”, que ayuda a identificar procesos ocultos en el sistema, le podemos sumar
30
los siguientes:
Página
• Malfind: Este plugin ayuda a buscar DLLs inyectadas en la memoria del usuario u ocultas. Existen
plugins más simples para listar DLLs, pero Malfind se centra en la identificación de DLLs que han sido
inyectadas a través de técnicas más avanzadas. La comprensión de sus resultados requiere de
conocimientos de reversing y arquitectura a bajo nivel de las estructuras de datos.
• Yarascan: Con Yarascan podemos escanear la memoria RAM con “reglas Yara” en busca de patrones
relacionados con malware. Tradicionalmente, Yara se ha usado para buscar malware en los discos del
sistema pero, gracias a plugins como Yarascan, también podemos usar Yara como extensión en
memorias RAM.
• Volatility-autoruns: No está incluido por defecto en el core de Volatility, pero puede añadirse desde
un repositorio. El objetivo de este plugin es identificar mecanismos de persistencia del malware.
Existen muchos más plugins que aportan valor al análisis de malware y, si no encontramos el
adecuado, siempre podemos desarrollarlo.
Fig. 8. Malfind
durante los últimos años. Estos dispositivos son usados diariamente, almacenando gran cantidad de
Página
Por esto, los dispositivos móviles pueden tener un peso importante en la resolución de un caso
forense y hay que prestar especial atención a este tipo de pruebas.
Aunque no existan metodologías específicas, podemos usar como referencia la utilizada para realizar
análisis forense en estaciones de trabajo o servidores.
• Adquisición. Para que una evidencia sea válida debe cumplir con una serie de características, tiene
que ser autentica, completa, creíble, confiable y admisible legalmente. En un dispositivo móvil, una
evidencia puede ser una foto, un registro de llamadas, mensajes de aplicaciones de mensajería
instantánea, etc.
• Análisis. Hay que realizar un enfoque y alcance adecuado al caso forense que tiene lugar para intentar
resolverlo.
• Documentación. Es una de las fases más importantes, donde vamos a poner en escena todo el trabajo
realizado durante el análisis forense. Es necesario tomar fotografías de todos los dispositivos móviles
y componentes hardware (tarjetas de memoria, batería, IMEI, etc.). También será necesario
documentar todos los pasos realizados durante el análisis y desarrollar un informe técnico y otro
ejecutivo.
• Presentación. La presentación de los resultados y del proceso llevado a cabo debe ser comprensible
para los destinatarios. El mensaje debe ser claro transmitir confiabilidad, además, las conclusiones
deben ser objetivas.
El análisis forense en dispositivos móviles presenta una serie de dificultades a las que hay que
sobreponerse para resolver un caso.
• Aplicaciones: Existen infinidad de aplicaciones para los distintos terminales, muchas de ellas
almacenan información privada y de interés para el forense, como aplicaciones de redes sociales,
chats, mensajería y gestión de llamadas.
• Aspectos legales: Siempre hay que tener en cuenta la legalidad en la recogida de evidencias y en la
preservación de las mismas a través de la cadena de custodia.
• Técnicas anti forenses: Las diferentes aplicaciones, malware y rootkits pueden incluir medidas anti
forenses en su código que dificulten el acceso a la información y a los propios procesos de ejecución
de estas aplicaciones maliciosas.
Se pueden diferenciar tres procedimientos para extraer las evidencias de los dispositivos móviles:
• Adquisición física: Este método consiste en realizar una copia idéntica del original, lo cual permite
preservar todas las evidencias del dispositivo. Es el método más empleado, pero a su vez, es un
procedimiento complejo y consume bastante tiempo.
• Adquisición lógica: A través de este procedimiento podemos realizar una copia de los objetos del
dispositivo utilizando las herramientas y aplicaciones nativas utilizadas por el propio dispositivo para
sincronizar datos y configuraciones con otros equipos o dispositivos.
Este procedimiento es bastante más sencillo y rápido, pero tiene el inconveniente de que
34
• Adquisición del sistema de ficheros: Este método permite extraer los ficheros visibles y accesibles
del sistema a través de las propias herramientas. De esta opción se descarta la obtención de las
particiones y de los ficheros eliminados. Es algo más sencillo que la adquisición física.
En el caso de Android, podemos utilizar la herramienta Android Devide Bridge (ADB) para realizar el
copiado de los ficheros, incluso en ocasiones, permite recuperar algún fichero eliminado
recientemente.
Según sea necesario, se deberá escoger el proceso de adquisición adecuado, también en función de
las limitaciones de tiempo, información volátil y características de las aplicaciones de las que se desea
recuperar información.
Como podemos observar, únicamente contempla las opciones de adquisición lógica o física. La
adquisición a través del sistema de ficheros es la última opción ya que es donde menos
probabilidades tenemos de obtener un mayor número de evidencias.
En el diagrama se observan los posibles inconvenientes que podemos encontrarnos, como son, el
bloqueo del terminal, el estado encendido/apagado del dispositivo y la posibilidad de activar la
depuración del mismo.
36
Página
Las herramientas forenses para realizar la extracción de evidencias son numerosas, se propone una
clasificación a través de la pirámide de Sam Brothers, presentada en la U.S. Cybercrime Conference
2011 y que se ha convertido en una referencia en el mundo forense.
Conforme ascendemos en las capas de la pirámide, mayor será la complejidad técnica, más tiempo
será necesario para extraer y analizar las evidencias y mayor la fiabilidad de los datos obtenidos.
con más de 6.000 terminales distintos y tiene una interfaz muy sencilla de utilizar.
Página
• Encase Forensics: Es otra herramienta comercial e igualmente conocida como la anterior. También
dispone de multitud de opciones, entre las que destacan la identificación de ficheros cifrados y
capacidades para romper dichos cifrados.
Funcionamiento de ADB
El funcionamiento de ADB es bastante sencillo, tras iniciar el cliente, el proceso intenta localizar el
servidor ADB en la misma máquina local, en el puerto 5037/TCP.
Si no existe un servidor en escucha, entonces levanta el proceso servidor en dicho puerto.
Una vez que el servidor se encuentra en ejecución, realiza un rastreo de puertos en busca de los
emuladores que ejecutan ADB. Los emuladores se mantienen en escucha dentro del rango de puertos
5555-5585/TCP. Una vez detectado el emulador, realiza una conexión con el puerto identificado.
BIBLIOGRAFÍA
Arellano, L. E., & Castañeda, C. M. (2012). La Cadena de Custodia Informático-forense. Cuaderno Activa, 3(1),
67–81. Recuperado 15 de septiembre de 2021, de Edu.co website:
https://ojs.tdea.edu.co/index.php/cuadernoactiva/article/view/45/42
Gervilla Rivas, C. (2014). METODOLOGÍA PARA UN ANÁLISIS FORENSE. Recuperado 15 de septiembre de 2021,
de Uoc.edu website:
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/39681/6/cgervillarTFM1214memoria.pdf
López Delgado, M. (2007). Análisis forense digital. Recuperado 15 de septiembre de 2021, de Oas.org website:
https://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf
López Delgado, M. (2007). Análisis forense digital. Recuperado 15 de septiembre de 2021, de Oas.org website:
https://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf
Martínez Retenaga, A. (2014). Guía de toma de evidencias en entornos Windows. Recuperado 15 de
septiembre de 2021, de Incibe.es website:
https://www.incibe.es/extfrontinteco/img/File/intecocert/ManualesGuias/incibe_toma_evidencias_analisis
_forense.pdf
Brooks, C. L. (2014). CHFI computer hacking forensic investigator certification all-in-one exam guide. McGraw-
Hill Education.
Malin, C. H., Casey, E., & Aquilina, J. M. (2012). Malware forensics field guide for windows systems: Digital
forensics field guides. Rockland, MA, Estados Unidos de América: Syngress Media.
Oettinger, W. (2020). Learn Computer Forensics: A beginner’s guide to searching, analyzing, and securing
digital evidence. Birmingham, Inglaterra: Packt Publishing.
Programa: Forense en Windows. (2016, abril 11). Recuperado 14 de octubre de 2021, de Incibe.es website:
https://www.incibe.es/jornadas-incibe-espacios-ciberseguridad/estudiantes/programa-forense-windows
Nikkel, B. (2021). Practical Linux forensics: A guide for digital investigators. San Francisco, CA, Estados Unidos
de América: No Starch Press.
Polstra, P. (2015). Linux Forensics. North Charleston, SC, Estados Unidos de América: Createspace Independent
Publishing Platform.
Fortuna, A. (2019). The little handbook of windows memory analysis: Just some thoughts about memory,
forensics and Volatility! Independently Published.
Ligh, M. H., Case, A., Levy, J., & Walters, A. (2014). The art of memory forensics: Detecting malware and threats
in windows, Linux, and mac memory (1.a ed.). Nashville, TN, Estados Unidos de América: John Wiley & Sons.
Sikorski, M. (2012). Practical Malware Analysis: The hands-on guide to dissecting malicious software. San
Francisco, CA, Estados Unidos de América: No Starch Press.
Volatility wiki. (s. f.). Recuperado 20 de diciembre de 2021, de Volatility website:
https://github.com/volatilityfoundation/volatility
Guidelines for best practice in the forensic examination of digital technology. (s. f.). Recuperado 25 de
diciembre de 2021, de Cryptome.org website: https://cryptome.org/2014/03/forensic-digital-best-
practice.pdf
Herramientas para realizar análisis forenses a dispositivos móviles. (2016, febrero 23). Recuperado 25 de
diciembre de 2021, de INCIBE-CERT website: https://www.incibe-cert.es/blog/herramientas-forense-moviles
Iso/iec 27037:2012. (2018). Recuperado 25 de diciembre de 2021, de ISO website:
https://www.iso.org/standard/44381.html
Mayén, V. J. G. (2015). ¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android. Recuperado 25
40
Mendillo, V. (2018). Análisis Forense de Dispositivos Móviles Android. Recuperado 25 de diciembre de 2021,
de Mendillo.info website:
ANÁLISIS FORENSE I WWW.EICYC.COM
Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 41
ANÁLISIS DE CASOS
http://mendillo.info/forensica/An%C3%A1lisis%20forense%20de%20dispositivos%20m%C3%B3viles%20-
%20V.%20Mendillo.pdf
41
Página