Documentos de Académico
Documentos de Profesional
Documentos de Cultura
T-Cib 21 001067 01
T-Cib 21 001067 01
Autor:
Alejandro Cortés López
Investigación Forense
Introducción.
En la investigación forense de computadores convencionales, como portátiles,
ordenadores de sobremesa, dispositivos de almacenamiento de datos, etc., el
procedimiento de extracción de la evidencia por lo general se emplean
herramientas de software en un proceso característico que puede revelar
actividades irregulares o delictivas, pero en los dispositivos móviles, donde
existe una amplia variedad de sistemas operativos cuyas versiones y capas de
visualización se van actualizando con el paso del tiempo, hace que la labor de
realizar la imagen forense sea un poco más difícil que lo que en un principio
pudiéramos pensar, por no hablar de las dificultades que el fabricante pueda
llegar a imponer a la investigación, como ocurre con Apple o las citadas capas
de visualización de Xiaomi.
Existen fórmulas para realizar un rooting temporal del dispositivo, que varían
de una versión de Android a otras, consiguiendo privilegios de superusuario
temporales que desaparecen tras realizar un rearranque del sistema, dejando el
dispositivo en el mismo estado en el que se encontraba con anterioridad. Uno
de los más utilizados es dejar en un directorio que se pueda acceder con
normalidad una aplicación denominada su en la ruta de acceso de las
aplicaciones del sistema (normalmente en /system/bin) o cualquier otra
ubicación que se dispongan permisos de acceso para todas las aplicaciones,
como suele ocurrir en un directorio temporal. Con este acceso root temporal, se
podrán acceder a todos los directorios que contengan información sensible del
dispositivo, así como realizar volcados de memoria si se considera oportuno.
Estructuras de datos.
Los dispositivos móviles Android acumulan grandes cantidades de
información, especialmente de las aplicaciones, que funcionan como agente
fundamental en el proceso de gestión y almacenamiento de información,
especialmente desde la perspectiva del usuario. Todas las aplicaciones de
Android se programan en Java y se ejecutan en la máquina virtual Dalvik sobre
la que funcionan.
Los datos del usuario son generados por interacción directa del dispositivo móvil,
comenzando por los contactos telefónicos, que son los primeros por los que se
empieza, para continuar por el historial de las llamadas entrantes y salientes, los
mensajes de texto (tanto SMS como MMS), mensajes de correo electrónico,
mensajería electrónica, fotografías y videos realizados por el usuario, archivos
multimedia (películas, canciones, etc), historial de navegación por internet,
coordenadas geográficas, entradas en redes sociales, archivos procedentes de
descargas, historial de consultas en buscadores... y un largo etcétera.
• Almacenamiento interno.
• Almacenamiento externo.
• Almacenamiento en la nube.
Las aplicaciones de navegación de archivos nos permiten ver parte del árbol
de directorios, dispuesto en forma de carpetas amarillas sobre un fondo
blanco o negro según el theme que estemos empleando en el dispositivo,
aunque sólo nos muestran las partes accesibles al usuario en la tarjeta
microSD o el espacio FAT simulado en la memoria NAND. Como norma
general, la libertad de movimientos queda restringida a aquellas zonas en las
que se guardan las imágenes del usuario, las tomadas por la cámara o las
compartidas a través de internet.
Como norma general, existe un directorio para cada aplicación, ya sea ésta de
sistema o instalada por el usuario. Dentro de éste encontraremos otro que
contienen los componentes de la aplicación: ejecutables, parámetros de
configuración en archivos XML, recursos de la aplicación (gráficos, mapas,
mensajes de texto, documentación) y, por último, la materia prima que
andamos buscando, información y elementos de evidencia, alojados
convenientemente dentro de archivos de bases de datos SQLite.
Ingeniería Inversa.
En ocasiones, no solo hace falta conocer la información que estamos buscando,
sino que se hace necesario realizar tratamientos de Ingeniería Inversa a
aplicaciones debido a malware o ciberataques producidos por las mismas
aplicaciones. Dado que las aplicaciones están escritas en java, se dispone de
Herramientas de análisis
En ocasiones, se necesitan herramientas más potentes para acceder a la
información contenida en el dispositivo, como los editores hexadecimales.
Pasando los archivos obtenidos por este tipo de herramientas, podemos conocer
metadatos adicionales, encontrar archivos de bases de datos eliminados que
inicialmente no se pudieran localizar, incluso examinar particiones y sistemas
de archivos, realizando la correspondiente imagen forense del sistema.
Soluciones integradas.
En un párrafo anterior se ha mencionado la solución de Cellebrite, más
concretamente, Cellebrite UFED: es una plataforma hardware transportable
para la adquisición de evidencias electrónicas en cualquier entorno; pero no es
la única, también podríamos recurrir a Oxygen Forensic, una suite rusa de
software para PC, incluso a ADEL, un modelo de concepto para la adquisición
automatizada de bases de datos SQLite.
Bibliografía:
https://source.android.cm
http://developer.android.com/sdk/index.html
http://www.vmware.com/es
https://www.virtualbox.org
https://www.xda-developers.com
https://clockworkmod.com