analsis forense de dispostivos móviles

INSTITUTO POLITECNICO NACIONAL
“LA TÉCNICA AL SERVICIO DE LA PATRIA”
Escuela Superior de Ingeniería Mecánica y

Eléctrica
SEMINARIO DE TITULACIÓN
“SEGURIDAD DE LA INFORMACIÓN”
TESINA
“ANÁLISIS FORENSE DE DISPOSITIVOS

MOVILES”
Que presentan para obtener el Título de
Licenciada en Ciencias de la Informática

Dulce María González Trejo
Ingeniero en Comunicaciones y Electrónica

Javier Olayo Mondragón
Arturo Serrano Sánchez
Asesores:
Dr. Gabriel Sánchez Pérez
M. en C. Marcos Arturo Rosales García
Vigencia: DES/ESIME-CUL-2008/23/2/10
México D.F., Octubre de 2010

IPN
ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA
UNIDAD CULHUACAN
TESINA
POR LA OPCIÓN DE TITULACIÓN SEMINARIO EN SEGURIDAD DE LA INFORMACIÓN
QUE PARA OBTENER EL TÍTULO DE LICENCIADA EN CIENCIAS DE LA INFORMÁTICA
DEBERÁN DESARROLLAR: GONZÁLEZ TREJO DULCE MARÍA
Y QUE PARA OBTENER EL TÍTULO DE INGENIERO EN COMUNICACIONES Y ELECTRÓNICA
DEBERÁ DESARROLLAR: OLAYO MONDRAGÓN JAVIER

SERRANO SÁNCHEZ ARTURO
“ANÁLISIS FORENSE DE DISPOSITIVOS MÒVILES”
INTRODUCCIÓN
LA PRESENTE TESINA TRATA SOBRE LA EJECUCIÓN DE UN ANÁLISIS FORENSE A DISPOSITIVOS

MÓVILES (CELULAR) CON SISTEMA OPERATIVO SYMBIAN, TOMANDO COMO REFERENCIA LA
METODOLOGÍA FORENSE QUE ESTABLECE EL INSTITUTO NACIONAL DE ESTÁNDARES Y
TECNOLOGÍA (NIST) EN SU PUBLICACIÓN SP 800-101, UTILIZANDO LAS HERRAMIENTAS FORENSES
DEVICE SEIZURE DE PARABEN Y MOBILEDIT FORENSIC, CON EL FIN DE RECUPERAR LA
INFORMACIÓN CONTENIDA EN EL DISPOSITIVO, RELACIONADA PRINCIPALMENTE AL USUARIO,
COMO: DIRECTORIO TELEFÓNICO, REGISTRO DE LLAMADAS, MENSAJES, ARCHIVOS MULTIMEDIA Y
ARCHIVOS DE TEXTO; MANTENIENDO SIEMPRE LA INTEGRIDAD DE LOS DATOS, CON EL PROPOSITO
DE QUE EN CASO DE SER NECESARIO PUEDAN SER UTILIZADOS COMO EVIDENCIA EN UN PROCESO
LEGAL.
CAPITULADO
I. ARQUITECTURA DE TELÉFONOS CELULARES

II. SISTEMA OPERATIVO SYMBIAN
III. NIST (SP 800-101) ANÁLISIS FORENSE EN TELÉFONOS CELULARES
IV. APLICACIÓN DE LA METODOLOGÍA DE ANÁLISIS FORENSE
México D.F., Octubre de 2010

VIGENCIA: DES/ESIME-CUL-2008/23/2/10
DR. GABRIEL SÁNCHEZ PÉREZ M. EN C. MARCOS ARTURO ROSALES GARCÍA

Coordinador del Seminario Asesor
M. EN C. LUIS CARLOS CASTRO MADRID

Jefe de la carrera de I.C.
I.P.N. Análisis forense en dispositivos móviles con sistema operativo Symbian
ÍNDICE GENERAL
Págs.
INTRODUCCIÓN I
OBJETIVO GENERAL III
OBJETIVOS ESPECÍFICOS III
JUSTIFICACIÓN IV
CAPÍTULO I ARQUITECTURA DE TELÉFONOS
CELULARES
1.1 Introducción 1
1.2 Tipos de Dispositivos Móviles 3
1.3 Categorías de Dispositivos Móviles 6
1.4 Tecnologías de Acceso Celular 7
1.5 Sistemas Operativos para Dispositivos Móviles 9
1.5.1 Symbian 10
1.5.2 Android 11
1.5.3 iPhone OS 11
1.5.4 Windows Mobile 12
1.5.5 Blackberry OS 12
CAPÍTULO II SISTEMA OPERATIVO SYMBIAN
2.1 Introducción 14
2.1.1 Kernel de Symbian 17
2.1.2 Estructura de Archivos 18
2.2 Sistemas de archivos 18
2.2.1 Sistema de Archivo compuesto 19
2.2.2 Sistema de Archivo FAT (File Allocation Table) 20
2.2.3 Sistema de Archivo FAT32 (32-bit) 21
2.2.4 Sistema de Archivo ROFS 22
2.2.5 Sistema de Archivo ROM 22
2.2.6 Sistema de Archivo de Almacenamiento 23
Masivo USB
2.3 Estructura de Sistema Operativo Symbian 24
2.3.1 Capa de Marco de Trabajo 26
2.3.2 Capa de Servicios de Sistema Operativo 28
2.3.3 Capa de Servicios Base 29
2.3.4 Unidades de Disco SDK 29

CAPÍTULO III NIST (SP 800-101) ANÁLISIS FORENSE EN TELÉFONOS

CELULARES
3.2 Análisis Forense en Teléfonos Celulares 31
3.3 NIST Principios y Procedimientos del Análisis Forense 31
3.3.1 Preservación 32
3.3.2 Adquisición 35
3.3.3 Consideraciones de Almacenamiento y Memoria 37
3.3.4 Análisis 41
3.3.5 Aplicación de las Herramientas Forenses 42
3.3.6 Reporte 44
CAPITULO IV APLICACIÓN DE LA METODOLOGÍA DE ANÁLISIS FORENSE
4.2 Recomendaciones para el Análisis Forense en Celulares 48
4.3 Metodología Aplicada 48
4.4 Contexto de la Investigación 49
4.5 Objetivos 49
4.6 Preservación 50
4.7 Adquisición 51
4.8 Análisis 56
4.9 Reporte 60
4.10 Segunda Etapa del Análisis 64
4.11 Adquisición de la Información Contenida en el Equipo 65
4.12 Análisis 65
4.13 Análisis con Mobil Edit Forensic 72
4.13.1 Preservación 72
4.13.2 Adquisición 72
4.13.3 Análisis 74
CONCLUSIONES 78
REFERENCIAS BIBLIOGRÁFICAS 79
GLOSARIO 80
ÍNDICE DE FIGURAS Y TABLAS
Págs.
CAPÍTULO I DISPOSITIVOS MÓVILES (CELULAR)
Figura 1.1 Celular Sony Ericsson K850i 2
Figura 1.2 Partes de un teléfono celular 4
Figura 1.3 Funciones de teléfonos celulares 5
Figura 1.4 Reparto del mercado entre las diversas 10
plataformas
CAPÍTULO II SISTEMA OPERATIVO SYMBIAN
Figura 2.1 Capas lógicas de teléfonos móviles 15
Figura 2.2 Estructura de sistema operativo Symbian 25
Figura 2.3 Capas del sistema operativo Symbian 26
Tabla 2.1 Comparativa de sistemas operativos 17
CAPÍTULO III NIST (SP 800-101) ANÁLISIS FORENSE
EN TELÉFONOS CELULARES
Figura 3.1 Distribución de datos en la memoria 38
Figura 3.2 Estructura del sistema de archivos SIM 40

CAPITULO IV APLICACIÓN DE LA METODOLOGÍA
DE ANALISIS FORENSE
Figura 4.1 Dispositivo móvil Nokia N82 50
Figura 4.2 Informe sobre datos solicitados al 54
generar el caso
Figura 4.3 Selección del dispositivo y unidades 55
de las que se obtendrá la imagen
Figura 4.4 Propiedades generales del teléfono 56
Figura 4.5 Principales archivos del teléfono Nokia 57
Figura 4.6 Estructura de archivos DATA y System 58
Figura 4.7 Estructura de archivos unidad “E:” 59
Figura 4.8 Pantalla generar reporte Device Seizure 61
Figura 4.9 Selección de formato para generar el reporte 61
Figura 4.9a Selección de formato para generar el reporte 62
Figura 4.10 Selección de nombre de reporte y destino 62
Figura 4.10a Verificación de datos del reporte a generar 63
Figura 4.10b Verificación de datos del reporte a generar 63
Figura 4.10c Término de reporte 64

Figura 4.11 Propiedades generales del teléfono 65
Figura 4.12 Principales archivos del teléfono Nokia 66
y sus propiedades
Figura 4.13 Vista general del sistema de almacenamiento C 67
Figura 4.14 Comparación unidades de almacenamiento 68
Figura 4.15 Propiedades de los archivos 69
Figura 4.16 Resumen de los archivos eliminados 70
Figura 4.17 Adquisición de la imagen de archivos eliminados 71
Figura 4.17a Adquisición de la imagen de archivos eliminados 71
Figura 4.18 Creación del caso con MobiLedit 73
Figura 4.19 Generación de la imagen del teléfono 74
Figura 4.20 Vista de las características del teléfono 75
Figura 4.21 Vista de las unidades de almacenamiento 76
del teléfono
Figura 4.22 Resumen de los datos adquiridos 77
Tabla 4.1 Características de las unidades de almacenamiento 59
Tabla 4.2 Registros adquiridos 60
Tabla 4.3 Relación de unidad E: antes y después 68
del primer análisis

INTRODUCCIÓN
Los teléfonos celulares se han convertido en plataformas de información de alta
capacidad, cada vez más utilizados por la fuerza de trabajo móvil. Cada generación
de dispositivos móviles trae consigo nuevas innovaciones y tecnologías que día con
día continua en crecimiento hacia el futuro; por lo cual no es de sorprender que el
número de dispositivos móviles en uso hoy en día, tanto para una organización como
para uso personal supera al número de ordenadores personales.
Las capacidades de estos dispositivos están en constante evolución, proporcionando

a los usuarios una mayor capacidad de almacenamiento, realizar tareas adicionales
como mensajes de texto, mensajes multimedia, mensajería instantánea, correo
electrónico y navegación por Internet. Con el tiempo, estos dispositivos también
acumulan información considerable sobre el propietario y las actividades realizadas
por éste.
Cuando los dispositivos móviles están involucrados en un crimen u otro incidente,

pueden ser de gran utilidad como evidencia digital y así poder establecer la
responsabilidad legal del propietario.
Los datos de un dispositivo móvil deben ser recuperados de tal modo que se evite la
modificación y se mantenga la integridad del contenido recuperado. Cualquier
mecanismo de seguridad que impida la recuperación de datos, debe ser evitado o
eliminado.
Con el auge en el uso de la telefonía celular como medio para la realización de actos
ilícitos o que estén involucrados en uno, varias empresas y organizaciones se han
dedicado al desarrollo de distintas herramientas y metodologías forenses para el
análisis de dispositivos móviles.
I
El Instituto Nacional de Estándares y Tecnología NIST (National Institute and

Standard of Technology) ha sido una de las principales organizaciones
involucradas en el área de la seguridad informática de dispositivos móviles.
Enfocándose en el desarrollo de materiales de referencia y procedimientos que
pueden ser utilizados en el análisis de equipos informáticos con el propósito de
mejorar la precisión de los resultados producidos a partir de herramientas forenses
móviles.
El análisis forense a dispositivos móviles (celulares), es cada vez mayor, en

consecuencia, las herramientas forenses son un desarrollo relativamente reciente y
en las primeras etapas de madurez. Por lo que especialistas forenses requieren de
metodologías y herramientas que permitan la recuperación adecuada e integra de
datos, y así poder presentar un informe detallado de los datos contenidos en el
equipo involucrado.
II
OBJETIVO GENERAL
Tomando como marco de referencia las recomendaciones que establece el NIST en

su publicación “SP 800-101”, se implementará la metodología de análisis forense
aplicado a dispositivos móviles (celulares) con sistema operativo Symbian.
OBJETIVOS ESPECÍFICOS
Analizar la metodología que establece el NIST para realizar el análisis forense
de teléfonos celulares.
Identificar y reconocer la arquitectura del sistema operativo y el sistema de

archivos de Symbian.
Conocer el funcionamiento y operación de la herramienta de análisis forense

Device Seizure de Paraben.
Generar un caso de estudio utilizando la herramienta forense Device Seizure

en base a la metodología del NIST para evitar incurrir en faltas que
comprometan la integridad de la información obtenida.
III
JUSTIFICACIÓN
La evolución de los servicios de telefonía celular, ha provocado un crecimiento en su
nivel de vulnerabilidad, ya que se han convertido en puntos centrales para la
extracción y robo de información confidencial, que posteriormente puede ser utilizada
para cometer distintos delitos como fraudes, extorsiones o incluso secuestros
virtuales; este mismo desarrollo en sus servicios y aplicaciones los han hecho
medios excelentes para la ejecución de delitos como pornografía infantil o trata de
personas.
El uso de estos dispositivos para la ejecución de diferentes delitos, han llevado a

diferentes gobiernos a tomar medias de atención a esta situación y así poder
controlar este tipo de actos; de acuerdo a estadísticas expuestas en el Congreso de
la Unión, en México se cometen 760 delitos diarios por medio del teléfono celular.
Como consecuencia de lo anterior y debido al auge de dichas prácticas

malintencionadas, es necesario contar con una metodología de análisis forense
capaz de buscar y recolectar información relacionada con un incidente, en el cual se
pueda encontrar evidencia digital incriminatoria, la cual puede ser utilizada como
elemento material probatorio en un proceso judicial.
Es importante también, considerar las herramientas diseñadas para realizar el

análisis forense a dispositivos móviles disponibles en el mercado, ya que en la
actualidad, existe un gran desarrollo en las Industrias dedicadas a al diseño de
nuevas aplicaciones enfocadas a realizar un análisis confiable.
En el siguiente documento de investigación se presenta, tomando como base las

referencias de NIST, la implementación del plan de análisis forense a un dispositivo
móvil (celular) que funcionan bajo la arquitectura de Symbian, con ayuda de la
herramienta Device Zeizure de Paraben y MobilEdit Forensic.
IV
CAPITULO I
ARQUITECTURA DE TELÉFONOS CELULARES
1.1 Introducción
Los teléfonos celulares, también conocidos como móviles o simplemente

celulares. Han creado una nueva área en las comunicaciones de voz. En sus
inicios, los teléfonos celulares se mantenían fuera del alcance del la gente
común, pero con el avance de la tecnología y la alta demanda, los altos costos
involucrados fueron reduciéndose cada vez mas y mas, permitiendo así su
fácil uso y adquisición.
Por tal motivo, las compañías proveedoras de este servicio invierten

constantemente tiempo y recursos en encontrar nuevos sistemas de mayor
capacidad y menor costo. La telefonía celular es un sistema de comunicación
telefónica, que tiene como principal característica la de ser totalmente
inalámbrica. Básicamente los sonidos se convierten en señales
electromagnéticas, viajan a través del aire, y son recibidas y transformadas
nuevamente en mensajes a través de antenas repetidoras o vía satélite.
Inicialmente los celulares eran analógicos. Pero debido a múltiples razones se

paso a un sistema digital. Los teléfonos celulares básicamente son radio
1
transmisores personales, con la posibilidad de cambiar constantemente de

canal y conectarse con bases de recepción diferentes.
Es por esto que podemos definir a un dispositivo móvil como un aparato de

pequeñas dimensiones, con algunas capacidades de procesamiento, con
conexión permanente o intermitente a una red, con memoria limitada, que ha
sido diseñado específicamente para una función (hacer llamadas telefónicas),
pero que puede llevar a cabo otras funciones más generales.
De acuerdo con esta definición existen multitud de dispositivos móviles, desde

los reproductores de audio portátiles hasta los sistemas de posicionamiento
global conocidos como GPS (Global Position System), pasando por los
teléfonos móviles y las agendas electrónicas. A continuación se muestra un
ejemplo de teléfono celular.
Figura 1.1 Celular Sony Ericsson K850i
2
1.2 Dispositivos Móviles
El celular es un dispositivo inalámbrico electrónico basado en la tecnología de

ondas de radio, que tiene la misma funcionalidad que cualquier teléfono de
línea fija. Su principal característica es su portabilidad, ya que la realización de
llamadas no es dependiente de ninguna terminal fija y no requiere ningún tipo
de cableado para llevar a cabo la conexión a la red telefónica.
Aunque su principal función es la comunicación de voz, como el teléfono

convencional, su rápido desarrollo ha incorporado funciones adicionales como
mensajería instantánea SMS (Short Message Service), agenda, juegos,
cámara fotográfica, acceso a Internet, reproducción de video, e incluso GPS y
reproductor de mp3.
El teléfono celular consta básicamente de:
Un microprocesador de señal digital.

Una placa de circuitos.
Un altavoz.
Una pantalla de cristal líquido.
Un teclado.
Una antena.
Una batería.
En la siguiente figura se muestran las partes de un teléfono celular.
3
Figura 1.2 Partes de un teléfono celular
La evolución del celular ha permitido disminuir su tamaño y peso, actualmente

son compactos con baterías más pequeñas y de mayor duración, pantallas
más nítidas, de colores y sensibles al tacto sin dejar a un lado la incorporación
de un software más amigable, dando inicio a los teléfonos inteligentes también
llamados smartphones.
Un smartphone es un dispositivo electrónico que funciona como un celular con

características similares a las de un ordenador personal. Es un elemento
intermedio entre un celular clásico y una agenda electrónica.
Los teléfonos inteligentes se distinguen por muchas características, entre las

que destacan las pantallas táctiles, un sistema operativo así como la
conectividad a Internet y el acceso al correo electrónico.
Otras aplicaciones que suelen estar presentes son las cámaras integradas, la
administración de contactos, el software multimedia para reproducción de
música y visualización de fotos y video-clips y algunos programas de
4
navegación así como, ocasionalmente, la habilidad de leer documentos de

negocios en variedad de formatos.
Una característica común a la mayoría de smartphones es una mayor

capacidad de memoria dedicada a la lista de contactos, en contraste con los
teléfonos clásicos que tienen un límite para el número máximo de contactos
que pueden ser almacenados. En seguida se muestran las funciones de
teléfonos celulares.
Figura 1.3 Funciones de teléfonos celulares
5
1.3 Categorías de Dispositivos Móviles
Dado el variado número de niveles de funcionalidad asociado con dispositivos

móviles, era necesario hacer una clasificación de los mismos, por ello el
Instituto Nacional de Estándares y Tecnología NIST (National Institute and
Standard of Technology) propone los siguientes estándares para la
definición de dispositivos móviles.
Dispositivo Móvil de Datos Limitados: teléfonos móviles clásicos, se

caracterizan por tener una pantalla pequeña de tipo texto. Ofrecen
servicios de datos generalmente limitados a mensajes instantáneos
SMS y acceso WAP (Wireless Application Protocol).
Dispositivo Móvil de Datos Básicos: se caracterizan por tener una
pantalla de tamaño mediano, menú o navegación basada en iconos,
y ofrecer acceso a email, lista de direcciones, SMS, y en algunos
casos, un navegador WEB básico. Un típico ejemplo de este tipo de
dispositivos son los teléfonos inteligentes o también llamados
smartphones.
Dispositivo Móvil de Datos Mejorados: se caracterizan por tener
pantallas de medianas a grandes (por encima de los 240 x 120
pixeles), navegación WEB, y ofrecen las mismas características que
el Dispositivo Móvil de Datos Básicos, mas aplicaciones de Microsoft
Office Mobile (Word, Excel, PowerPoint) y aplicaciones corporativas
en versión móvil. Este tipo de dispositivos incluyen los sistemas
operativos como Windows Mobile.
6
1.4 Tecnologías de Acceso Celular
En la actualidad existen tecnologías comúnmente usadas para transmitir

información en las redes:
Acceso múltiple por división de frecuencia FDMA (Frecuency

Division Multiple Access)
Acceso múltiple por división de tiempo TDMA (Time Division
Multiple Access)
Acceso múltiple por división de código CDMA (Code Division
Multiple Access)
Sistema global para las comunicaciones móviles GSM (Groupe
Special Mobile)
A continuación se menciona brevemente, cómo funciona cada una de ellas.
La tecnología FDMA
La tecnología FDMA separa el espectro en distintos canales de voz,

al separar el ancho de banda en pedazos (frecuencias) uniformes.
La tecnología FDMA es mayormente utilizada para la transmisión
analógica. Esta tecnología no es recomendada para transmisiones
digitales, aun cuando es capaz de llevar información digital.
La tecnología TDMA
La tecnología TDMA comprime las conversaciones (digitales), y las

envía cada una utilizando la señal de radio por un tercio de tiempo
solamente. La compresión de la señal de voz es posible debido a
que la información digital puede ser reducida de tamaño por ser
información binaria (unos y ceros). Debido a esta compresión, la
7
tecnología TDMA tiene tres veces la capacidad de un sistema

analógico que utilice el mismo número de canales.
La tecnología CDMA
La tecnología CDMA es muy diferente a la tecnología TDMA. La

CDMA, después de digitalizar la información, la transmite a través
de todo el ancho de banda disponible. Varias llamadas son
sobrepuestas en el canal, y cada una tiene un código de secuencia
único. Usando la tecnología CDMA, es posible comprimir entre 8 y
10 llamadas digitales para que estas ocupen el mismo espacio que
ocuparía una llamada en el sistema analógico.
En teoría, las tecnologías TDMA y CDMA deben de ser

transparentes entre sí, sin embargo en la práctica se presentan
algunos problemas menores, como diferencias en el volumen y
calidad.
La tecnología GSM
El GSM es un sistema estándar, para la comunicación mediante

teléfonos celulares que incorporan tecnología digital. Por ser una
tecnología digital, el usuario puede conectarse a través de su
teléfono a una red local segura y puede enviar y recibir mensajes
por e-mail, faxes, navegar por Internet, así como utilizar otras
funciones digitales de transmisión de datos.
Una de las principales características del estándar GSM es el

Módulo de Identidad del Suscriptor SIM (Subscriber Identity
Module). La tarjeta SIM es una tarjeta inteligente desmontable que
contiene la información de suscripción del usuario, parámetros de
red y directorio telefónico. Las normas GSM exigen el uso de una
8
tarjeta SIM para el funcionamiento del teléfono, sin ella, un teléfono

GSM no puede funcionar.
Esto permite al usuario mantener su información después de

cambiar su teléfono. Paralelamente, el usuario también puede
cambiar de operador de telefonía, manteniendo el mismo equipo
simplemente cambiando la tarjeta SIM. Algunos operadores
introducen un candado para que el teléfono utilice un solo tipo de
tarjeta SIM, o sólo una tarjeta SIM emitida por la compañía donde se
compro el teléfono, esta práctica se conoce como bloqueo de SIM.
1.5 Sistemas Operativos para Dispositivos Móviles
Partiendo de la definición de Sistema Operativo: Capa compleja entre el

hardware y el usuario, concebible también como una máquina virtual, que
facilita al usuario o al programador las herramientas e interfaces adecuadas
para realizar sus tareas informáticas, abstrayéndole de los complicados
procesos necesarios para llevarlas a cabo.
Podemos deducir que el uso de uno u otro sistema operativo determinarán las
capacidades multimedia de los dispositivos, y la forma de éstas de interactuar
con el usuario. Existen multitud de opciones, si bien las más extendidas son
Symbian y Android, seguidas de BlackBerry OS, Windows Mobile, y
recientemente iPhone OS, además por supuesto de los dispositivos con
sistema operativo Linux.
9
1.5.1 Symbian
Este es el sistema operativo para móviles más extendido entre

smartphones, y por tanto el que más aplicaciones para su sistema tiene
desarrolladas. Su principal virtud es la capacidad que tiene el sistema
para adaptar e integrar todo tipo de aplicaciones. Admite la integración
de aplicaciones y, como sistema operativo, ofrece las rutinas, los
protocolos de comunicación, el control de archivos y los servicios para
el correcto funcionamiento de estas aplicaciones. La tecnología del
sistema operativo Symbian se ha diseñado teniendo en cuenta puntos
clave como el poder proporcionar la energía, memoria y gestión de
entrada y salida de recursos requeridos específicamente en los
dispositivos móviles. También, supone una plataforma abierta, ésta es
la clave, que aúna telecomunicaciones y los estándares globales de
internet.
En la siguiente figura podemos observar el reparto en el mercado entre

las diversas plataformas.
Figura 1.4 Reparto del mercado entre las diversas plataformas
10
Los usuarios de Symbian señalan como principal ventaja del sistema, el

hecho de que exista una amplia selección de aplicaciones disponibles
para todo tipo de teléfonos móviles. Destacan también la compatibilidad
con los estándares de conectividad y redes como Bluetooth, WiFi,
GSM, GPRS, CDMA y WCDMA.
1.5.2 Android
Google es otro de los desarrolladores que toma algo y es capaz de

convertirlo en una referencia. Android es un sistema operativo móvil
basado en Linux y Java que ha sido liberado bajo la licencia Apache
versión 2. El sistema busca, nuevamente, un modelo estandarizado de
programación que simplifique las labores de creación de aplicaciones
móviles y normalice las herramientas en el campo de la telefonía móvil.
Al igual que ocurriera con Symbian, lo que se busca es que los
programadores sólo tengan que desarrollar sus creaciones una única
vez y así ésta sea compatible con diferentes terminales. Google
promete una plataforma de desarrollo gratuita, flexible, económica en el
desarrollo de aplicaciones y simple, diferenciada de los estándares que
ofrecen Microsoft o Symbian.
1.5.3 iPhone OS
iPhone OS es una versión reducida de Mac OS X optimizada para los

procesadores ARM (Advanced Risc Machines). Aunque oficialmente
no se puede instalar ninguna aplicación que no esté firmada por Apple
ya existen formas de hacerlo, la vía oficial forma parte del iPhone
Developer Program.
iPhone dispone de un interfaz de usuario realmente interesante, la

única pega es la cantidad de restricciones que tiene, aunque quizás
Apple se dé cuenta que para triunfar mucho más es mejor liberar y dar
11
libertad a su sistema. Aunque su tiempo de vida es corto ya copa casi el

7% del mercado.
1.5.4 Windows Mobile
Microsoft lanzó su propio Windows para móviles, antes conocido como

Windows CE o Pocket PC, tiene una larga historia en el campo de los
ordenadores de bolsillo, sin embargo hace pocos meses superó por
primera vez al hasta entonces líder, Palm OS.
Windows Mobile es un sistema operativo escrito desde 0 y que hace

uso de algunas convenciones de la interfaz de usuario del Windows de
siempre. Una de las ventajas de Windows Mobile sobre sus
competidores es que los programadores pueden desarrollar
aplicaciones para móviles utilizando los mismos lenguajes y entornos
que emplean con Windows para PC. En comparación, las aplicaciones
para Symbian necesitan más esfuerzo de desarrollo, aunque también
están optimizadas para cada modelo de teléfono.
1.5.5 Blackberry OS
BlackBerry es un sistema operativo multitarea que está arrasando en la

escena empresarial, en especial por sus servicios para correo y teclado
QWERTY. Actualmente BlackBerry OS cuenta con un 11% del
mercado.
BlackBerry aparece en el mercado justo en el momento en que

comenzaba a demandarse un sistema operativo que permitiera utilizar
de una forma fácil, cómoda y rápida los servicios de correo electrónico.
Hoy en día es también proveedor de servicios de correo electrónico a
dispositivos que no son BlackBerry, gracias al programa BlackBerry
Connect. Así, en líneas generales, en un dispositivo BlackBerry es
posible redactar, enviar y recibir todo tipo de mensajes de correo
12
electrónico, al igual que en el programa que se utiliza en un ordenador.

Además, es posible realizar y contestar a las llamadas que se emitan a
través de la red de telefonía móvil, lo que permite sustituir el teléfono
móvil. También, como evolución lógica, los dispositivos de este
fabricante permiten la navegación por internet y tienen la capacidad de
enviar o recibir mensajes SMS.
Por lo demás, este sistema operativo incorpora múltiples aplicaciones y
programas que convierten a los dispositivos en completos
organizadores de bolsillo con funciones de calendario, libreta de
direcciones, bloc de notas, lista de tareas, entre otras.
13
CAPÍTULO II
SISTEMA OPERATIVO SYMBIAN
2.1 Introducción
Symbian es producto del trabajo conjunto de varias empresas líderes en

telefonía celular, quienes fundaron esta empresa con el objeto de desarrollar
un sistema operativo abierto para las diversas plataformas de teléfonos
móviles.
Es un sistema operativo propietario diseñado para teléfonos móviles, con

librerías asociadas e interface de usuario. Desciende de Psion EPOC y corre
exclusivamente en procesadores ARM, es producido por Symbian Ltd,
sociedad formada por Nokia Sony Ericsson Panasonic, Siemens y Samsung.
Symbian también tiene sus inconvenientes, al ser un sistema operativo que se

está modernizando continuamente, trae problemas que pueden ser
aprovechados por los ciber-atacantes. Se tiene el hecho de que Symbian
cuenta con tres distintas Interfaces, que añaden ciertas particularidades a la
versión del sistema operativo. Además, aunque el software este bien hecho,
14
muchas veces el mismo usuario se encarga de mover al mínimo el nivel de

seguridad del software, con lo cual se abren muchas vulnerabilidades.
Los requerimientos del sistema operativo Symbian indican que la unidad de

procesamiento central CPU (Central Processing Unit), tenga una unidad de
manejo de memoria MMU (Memory Management Unit) integrado, para
operar en varios modos de operación privilegiados.
El hardware de un dispositivo móvil puede ser dividido en tres capas lógicas,

como se muestra en la siguiente figura.
El CPU
El Chip
El PCB
Figura 2.1 Capas Lógicas de teléfonos móviles
Symbian, se adapta a estas capas, permitiendo una fácil adaptación del

sistema operativo.
Symbian fue diseñado para integrarse fácilmente, con el software y el

hardware en dispositivos móviles, para residir en un espacio muy pequeño,
hacer un uso dinámico de escasos recursos de memoria, administrar
eficientemente la energía y soportar en tiempo real los protocolos de
15
comunicación y telefonía, además de ser más “gentil” con el usuario y

tolerante a fallas.
Symbian es actualizable. Esta tarea puede realizarla el usuario, dependiendo

del modelo del equipo, a través de los sitios en Internet de los fabricantes de
teléfonos o bien, al obtener el disco de los distribuidores autorizados.
Adicionalmente, Symbian proporciona una interfaz gráfica fácil de comprender,
llena de íconos y opciones, con lo cual se evita que el usuario tenga que
recurrir a manuales, para explotar las capacidades de su equipo de
comunicación móvil.
Las aplicaciones se graban en la memoria flash del teléfono dentro del

proceso de sincronización de archivos, contactos y correos electrónicos. Cada
aplicación se puede instalar en el teléfono con la ayuda de una computadora,
con el cable correspondiente, una interfaz USB (Universal Serial Bus),
dependiendo del modelo de teléfono.
Existe un fuerte énfasis en la conservación de los recursos, Symbian se

almacena, generalmente, en un circuito flash dentro del dispositivo móvil.
Gracias a este tipo de tecnología, se puede conservar información aun si el
sistema no posee carga eléctrica en la batería, además de que le es factible
reprogramarse, sin necesidad de separarla de los demás circuitos.
Symbian contiene una muy variada y extensa colección de bibliotecas para

implementar muchos de los estándares de la industria de teléfonos de 1ª, 2ª y
3ª generación.
Symbian en un sistema muy completo, diseñado prácticamente para cualquier

dispositivo móvil. Además de la gran comunidad de desarrolladores que
trabajan en este sistema, su plataforma abierta permite la instalación de una
gran variedad de programas que poco a poco mejorarán su funcionamiento, a
favor de la versatilidad de las comunicaciones personales.
16
2.1.1 Kernel de Symbian
El Kernel de un sistema operativo es el núcleo del mismo, es el

software responsable de facilitar a los distintos programas, acceso
seguro al ordenador.
El kernel de Symbian proporciona un apoyo de respuesta en tiempo

real, esto ha permitido a los teléfonos ser más pequeños, más baratos
y mucho más eficientes que sus predecesores.
Todos los accesos a hardware ocurren desde o a través del kernel, por
ello, es importante conocer qué núcleo utiliza cada uno de los sistemas
operativos, como se muestra en la siguiente tabla.
ANDROID BLACKBERRY IPHONE S60 PALM WINDOWS

5a
OS 4.7 OS 3.0 EDITION WEB OS MOBILE 6.5
LINUX CON
WINDOWS
KERNEL MAQUINA PROPIETARIO OS X SYMBIAN LINUX CE
VIRTUAL
DALVIK
3G,
CONECTIVIDAD 3G, WiFi, 3G, GSM, GSM, 3G, GSM, 3G, GSM, 3G, GSM,
CDMA,
GSM, GPRS CDMA, WiFi WiFi WiFi WiFi CDMA, WiFi
Tabla 2.1 Comparativa de Sistemas Operativos
La principal diferencia entre un kernel de libre distribución y uno

propietario radica en que los de libre distribución como Linux cuentan
con una amplia y experimentada comunidad de desarrolladores, gracias
a los cuales se detectan rápidamente agujeros de seguridad, fallos, etc.
Y se realizan mejoras tanto para solucionar estos problemas como para
adaptarse a los nuevos tiempos.
En los sistemas cerrados o propietarios, es más costoso encontrar

errores y mejorarlos, ya que deben ser los propios desarrolladores del
sistema los que detecten y realicen las mejoras, por lo que deben
17
dedicarse más recursos a investigación en estos sistemas, con el

consiguiente aumento del coste del mismo.
2.1.2 Estructura de Archivos
El sistema de archivos Symbian, utiliza una estructura jerárquica de

archivos.
Existen cuatro elementos principales en la estructura del sistema de

archivos:
La unidad
La ruta de acceso
El nombre del archivo
La aplicación
2.2 Sistemas de Archivos
La colección de sistemas de archivos consiste en una serie de plug-ins, uno

por cada sistema de archivo que son cargados en una instancia del servidor
de archivos. Los dispositivos móviles utilizan diferentes sistemas de archivos
basados en las características del medio de almacenamiento. Los sistemas de
archivos implementan un almacenamiento y formato de acceso más adecuado
a los medios.
Un sistema de archivo debe estar asociado a una unidad sin la unidad no

puede ser utilizado. Esto se conoce como el montaje de la unidad y se realiza
normalmente durante el arranque del sistema.
18
El sistema operativo Symbian utiliza el concepto de UNIDAD, que corresponde

a un dispositivo lógico. Un dispositivo de medios como una tarjeta Multi-Media-
Card puede ser lógicamente dividida en particiones, y cada partición es tratada
como una unidad por separado.
2.2.1 Sistema de Archivo Compuesto
Proporciona un simple punto de acceso de sólo lectura basados en

dispositivos flash.
El sistema de archivos compuesto unifica los sistemas de archivos para

dispositivos flash en un sistema de archivos comunes que se utiliza con
la unidad Z: El servidor de archivos redirige peticiones al sistema de
archivos requeridos según las necesidades.
El código necesario para un dispositivo se suministra en alguna forma

de ROM (Read Only Memory) o memoria Flash. El sistema de archivos
compuesto combina los sistemas de archivos que podrían ser utilizados
para almacenar el código necesario en un sistema de archivo universal
que se utiliza para acceder a la unidad Z:
Las siguientes son características del sistema de archivos compuestos:
Combina la amplitud del movimiento, y los sistemas de

presentación en un sistema de archivo universal de la unidad Z.
El sistema de archivos está diseñado para ser de sólo lectura.
19
2.2.2 Sistema de Archivo FAT (File Allocation Table)
Describe la FAT sistema de archivos que fue concebido originalmente

para MS-DOS.
El sistema de archivos FAT fue utilizado originalmente por las PCs de

IBM y es un estándar industrial para sistemas de archivos, con el apoyo
de todos los sistemas operativos que se ejecutan en los ordenadores
personales.
El sistema de archivo FAT de La plataforma Symbian implementa

soportes FAT12, FAT16 y FAT32. El sistema de archivos FAT se utiliza
para almacenar datos del usuario en NAND Flash, RAM y las unidades
internas de medios extraíbles como tarjetas SD y MMC.
En un sistema de archivos FAT, el tamaño más pequeño de

almacenamiento de datos que se pueden asignar a un archivo llamado
clúster. La estructura FAT se utiliza para medir la cantidad de grupos
que se asignan a cada archivo. La tabla FAT guarda la dirección de los
grupos. El tamaño del clúster es diferente en diferentes medios de
comunicación.
Con los años este sistema de archivos se ha mejorado para hacer un

seguimiento para aumentar el tamaño de la unidad. El número después
de la FAT se relaciona con el tamaño de la entrada en la estructura de
datos por ejemplo FAT, FAT12, usan 12 bits entradas.
Las FAT proporcionan las siguientes características:
El estándar industrial para los ficheros en las PC´s.

Se utiliza para el almacenamiento de los usuarios.
Existe un sistema FAT resistente que puede hacer frente a la
pérdida del poder durante una operación de escritura.
20
Se utiliza en una amplia variedad de medios tales como NAND

Flash, RAM y las unidades internas de medios extraíbles como
tarjetas SD y MMC.
Hay un límite máximo superior para el tamaño de una unidad,
que se ha incrementado en FAT32.
Cuando los archivos son escritos o borrados de los medios, los archivos
pueden ser diseminados en los medios, conocido como fragmentación.
La entrada de caché contiene la siguiente información:
Ruta de acceso completa del directorio de la hoja

A partir número de racimo
La posición de entrada más recientemente usada
Para llevar a cabo cualquier operación de archivo, como leer, escribir o

actualizar el archivo debe ser primero localizado. El directorio de caché
de nombres de la hoja mejora el rendimiento de localizar un archivo en
directorios alojados profundamente. El número de entradas que puede
almacenar en caché se configura en el archivo estart.txt.
2.2.3 Sistema de Archivo FAT32 (32-Bit)
El sistema de archivos FAT32 es una actualización de la industria

estándar del sistema de archivos FAT. Es compatible con los tipos de
archivos de sistemas FAT12, FAT16 y FAT32.
Se utiliza para almacenar datos sobre el usuario NAND flash, unidades

internas de memoria RAM y medios extraíbles, por ejemplo Tarjetas
SD, MMC.
FAT32 presenta las siguientes características:
21
Puede manejar unidades mucho más grandes que es posible con

el sistema de archivos FAT.
Hay un límite máximo superior para el tamaño de una unidad.
Cuando los archivos se borran y se escriben en los medios de
comunicación, a continuación, los archivos pueden ser
diseminados en los medios de comunicación (fragmentación) que
lleva a los tiempos de acceso más lento. Esto puede resolverse
mediante la ejecución de una utilidad de desfragmentación, sin
embargo este es un proceso que lleva tiempo, y de algunos
medios de comunicación, por ejemplo, tarjetas de memoria, este
proceso no puede llevarse a cabo.
2.2.4 Sistema de Archivo ROFS
ROFS significa Sistema de archivo de sólo lectura y se utiliza para tener

acceso a código en los medios de comunicación que no se puede
ejecutar en que los medios (también conocida como la no ejecución en
el lugar de almacenamiento), por ejemplo NAND flash.
También es utilizado por el sistema de archivos integrado para la

presentación de una única unidad Z:.
ROFS ofrece las siguientes características:
La capacidad de acceso al código en los medios de

comunicación que no se puede ejecutar en su lugar.
Archivos de sólo lectura del sistema.
2.2.5 Sistema de archivo ROM
Este es el sistema de archivos se utiliza para almacenamiento de

acceso de código en ejecución-en su lugar por ejemplo,
almacenamiento flash NOR.
22
Este es el único sistema de ficheros cuando el dispositivo arranca en

marcha. Es utilizado por el sistema de archivos integrado para
presentar una sola unidad Z: el servidor de archivos.
El sistema de archivo ROM ofrece las siguientes características:
El sistema de archivos único que está integrado en el servidor de

archivos y es por lo tanto el único de los presentes cuando se
inicia el dispositivo hacia arriba.
Se utiliza para almacenamiento de acceso de código en
ejecución en su lugar de medios de comunicación.
2.2.6 Sistema de Archivo de Almacenamiento Masivo USB
Se utiliza para interactuar con los medios de comunicación a través de

USB cuando se conecta a un host (PC o un dispositivo de la plataforma
Symbian).
A) Servidor de almacenamiento masivo USB.
Se utiliza para leer y escribir datos en un dispositivo host USB.
Ofrece las siguientes características:
Proporciona servicios para acceder a los medios de

comunicación en el dispositivo (que se ejecuta la plataforma
Symbian) a través de una interfaz USB para el anfitrión.
Para usarlo, la unidad que en el dispositivo Symbian y que va a
estar disponible para el PC debe estar utilizando el sistema de
archivos FAT.
El dispositivo que ejecuta la plataforma Symbian debe estar
conectado a un host.
23
Los medios de comunicación en el dispositivo que ejecuta la

plataforma Symbian tiene que ser con el formato de sistema de
archivos FAT.
B) Host de almacenamiento masivo de archivos de sistema.
Se utiliza para configurar la conexión con los dispositivos conectados

para que puedan actuar como un dispositivo de almacenamiento
masivo.
Ofrece las siguientes características:
El dispositivo de la plataforma Symbian en calidad de anfitrión

tiene la capacidad de los medios de comunicación acceder
directamente a través de una conexión USB.
El dispositivo conectado al puerto USB debe utilizar el sistema de
archivos FAT, de lo contrario no se puede montar.
El número de dispositivos que pueden utilizar este sistema de
archivos se limita a un dispositivo y un cubo (en el momento de
la escritura).
2.3 Estructura del Sistema Operativo Symbian
El Sistema Operativo Symbian presenta una estructura en capas, cada una de

ellas realiza una función específica como se muestra en la siguiente figura.
24
Figura 2.2 Estructura de sistema operativo Symbian
Los subsistemas más destacados, en cuanto a la funcionalidad que ofrecen,

son el de telefonía, el de comunicaciones y el de mensajería.
El subsistema de telefonía, proporciona una aplicación multimodo para

sus clientes. Entre las redes móviles se encuentras GSM, GPRS,
EDGE, CDMA.
El subsistema de comunicaciones, proporciona el marco de trabajo y los
servicios del sistema para las comunicaciones y el establecimiento de
conexiones de red.
El marco de trabajo de mensajería, proporciona soporte para los
protocolos de envió y recepción de SMS, EMS, MMS, correo electrónico
y fax.
El modelo del sistema Symbian contiene las siguientes capas, de arriba a

abajo:
Capa de Marco de trabajo

Capa de Servicios de Aplicación
Java ME
25
Capa de Servicios de OS
servicios genéricos de OS
servicios de comunicaciones
servicios multimedia y de gráficos
servicios de conectividad
Capa de Servicios de Base

Capa de Arquitectura Kernel y Servicios de interfaz de hardware
Figura 2.3 Capas del sistema operativo Symbian
2.3.1 Capa de Marco de Trabajo
Al tratar de instalar un programa o buscar información se encuentran

acrónimos y terminologías como S60, Series 90, Series 80, UIQ (User
Interface Quartz), MOAP. Dichos términos se refieren a la capa de
marco de trabajo de interfaz de usuario UI (User Interface), la capa
superior de Symbian OS.
Esta capa superior incluye marcos de trabajo y librerías jerárquicas para

la construcción de una interfaz de usuario.
26
La interfaz de usuario de Symbian OS se basada en:
el núcleo
clases jerárquicas
FEP Base
Symbian OS proporciona una licencia a los fabricantes con una mínima

interfaz de prueba, es por ello que la interfaz de usuario varía
dependiendo de los fabricantes del celular.
La capa de interfaz de usuario UI se divide en dos partes principales:
Soporte UI
Efectos gráficos
Utilidades gráficas UI
Animación
Reloj
Aplicaciones de capa de trabajo UI
Symbian ha sido rediseñado por completo para entregar durante el

2010, nuevas actualizaciones de la interfaz de usuario.
Symbian cuenta con cinco interfaces de usuario o plataformas para su

sistema operativo:
Serie 60 (para teléfonos que el usuario maneja con una sola

mano)
Serie 80 (para teléfonos con pantalla horizontal grande y teclado)
Serie 90
UIQ (para teléfonos que utilizan una pluma electrónica similar a
los asistentes digitales)
27
MOAP
Las tres principales son: S60, UIQ y MOAP; la mayoría de los móviles
utilizan la Serie 60, todos los móviles de Sony Ericsson y Motorola,
trabajan bajo UIQ, que a continuación mencionaremos brevemente.
UIQ (User Interface Quartz)
Es una plataforma para terminales móviles basada en el sistema

operativo Symbian. Se caracteriza por agregar soporte para pantallas
táctiles. Se usa principalmente en smartphones.
Esencialmente es una capa de interfaz gráfica de usuario que aporta

componentes adicionales al núcleo del sistema operativo, permitiendo
el desarrollo de teléfonos móviles con mejores características y la
ampliación de sus capacidades con aplicaciones de terceros.
Los teléfonos con UIQ emplean pantallas táctiles con una resolución de
208×320 pixels y 240×320. Dependiendo de la terminal, la profundidad
de color es 12-bit (4096 colores), 16-bit (65536 colores), 18-bit (262144
colores), o 24-bit (16,777,216 colores).
Todos los teléfonos con UIQ permiten el uso de aplicaciones Java.
2.3.2 Capa de Servicios de Sistema Operativo
En esta capa se ubican servicios como:
redes
telefonía
soporte al sistema de archivos.
28
2.3.3 Capa de Servicios Base
Los Servicios base se encuentra en este nivel, que es el más bajo con
respecto a las operaciones del usuario, en este se incluyen:
Servidor de archivo y librerías de usuario

La capa de marco de trabajo administra todos los plug-ins
repositorio central
manejo de base de datos
servicios de cifrado
2.3.4 Unidades de Disco SDK
C: contiene la ROM con el sistema operativo y las aplicaciones

estándar proporcionado con el teléfono.
Z: es parte de la RAM. La RAM es compartida dinámicamente
proporcionando espacio para instalar nuevas aplicaciones, datos
creados por el usuario y espacio para los procesos ejecutándose
en el teléfono. Generalmente el usuario solo podrá ver los
archivos generados por el, lo demás debería estar oculto
D:/E: memoria removible
En el teléfono, la unidad Z: normalmente no es visible.
Directorios en las unidades (Z: C:)
System - contiene todos los archivos de sistema

SystemApps - contiene todas las aplicaciones
29
CAPÍTULO III
NIST (SP 800-101) ANÁLISIS FORENSE EN
TELÉFONOS CELULARES
3.1 Introducción
Fundada en 1901, el NIST es una agencia federal reguladora dentro del

Departamento de Comercio de Estados Unidos.
Su misión consiste en promover la innovación y la competitividad industrial en

la ciencia, normas tecnológicas, seguridad y la mejora en la calidad de vida.
Dentro de sus laboratorios emplea a cerca de 2.900 científicos, ingenieros,

técnicos y personal auxiliar y administrativo. Además, el NIST alberga cerca
de 2.600 asociados y usuarios de las instalaciones de la academia, la
industria, y otras agencias gubernamentales.
Dentro de los programas y actividades que realiza, en 1987 el Congreso

aprobó la Ley de Seguridad Informática, que autorizó al NIST para desarrollar
normas para garantizar la seguridad de la información sensible.
30
3.2 Análisis Forense en Teléfonos Celulares
El desarrollo alcanzado por la tecnología de información ha comenzado a

plantear nuevos desafíos; la Informática Forense fue creada para cubrir y
establecer soluciones con el propósito de aprovechar al máximo esta nueva
forma de evidencia electrónica.
La Informática forense implica la identificación, conservación, extracción,

documentación y análisis de los datos informáticos. El equipo de analizadores
forenses encargados de realizar este proceso sigue claras y definidas
metodologías y procedimientos que pueden ser adaptados para situaciones
específicas.
En este sentido, el NIST ha publicado un documento especializado y

reconocido a nivel internacional, que puede ser utilizado como referencia en el
análisis forense en dispositivos telefónicos, llamado Guideline on Cell Phone
Forensics en el cual se propone una metodología para el tratamiento de los
equipos celulares durante todo el proceso forense, con el objetivo mantener la
integridad la evidencia en todo momento.
3.3 NIST Principios y Procedimientos del Análisis Forense
El NIST define a la Informática Forense en dispositivos móviles como la

ciencia que se encarga de recuperar y recolectar evidencia digital de un
teléfono móvil bajo una serie de condiciones forenses usando unos métodos
aceptados.
En este capítulo se mencionarán cada una de las etapas y procedimientos

para el análisis forense.
31
3.3.1 Preservación
La evidencia digital es extremadamente frágil; por lo que la información

contenida en un teléfono puede ser alterada o perdida en cualquier
momento.
La preservación de evidencia es el proceso de confiscación de las

propiedades del sospechoso sin alterar o modificar el contenido de los
datos que residen en los dispositivos y los medios extraíbles; esto
implica la búsqueda reconocimiento, documentación y recolección de
pruebas electrónicas.
a) Aseguramiento y evaluación de la escena
Se debe de asegurar y evaluar la escena con el propósito de

mantenerla tal y como se encontró.
Proteger la integridad de las pruebas físicas y electrónicas.
Evaluar la escena y formular un plan de búsqueda.
Identificar posibles pruebas.
Todas las posibles pruebas que deben ser avaladas,
documentadas y / o fotografiadas.
b) Documentación de la escena
Se debe crear un registro histórico y permanente de la escena

Es preciso registrar la ubicación y el estado de los equipos,
medios de almacenamiento, otros dispositivos digitales.
Documentar el estado y situación del sistema, incluyendo el
estado del equipo (encendido, apagado).
La evidencia no electrónica tal como las facturas y manuales pueden

proporcionar información útil sobre las características del aparato, la red
32
de servicio, información de cuentas y códigos de acceso confidenciales

(PIN, PUNK), debe de ser recolectada y etiquetada adecuadamente.
La cadena de custodia es un procedimiento simple pero efectivo, que

consiste en documentar el traslado de pruebas a través del ciclo de vida
del caso, esto no sólo protege la integridad de las pruebas, sino
también hace que sea difícil argumentar que la evidencia fue
manipulada.
La documentación realizada en este proceso debería responder a las

siguientes preguntas:
¿Quién lo recoge? (Es decir, dispositivos, medios de

comunicación, periféricos, etc.).
¿Cómo y dónde? (cómo obtuvieron esas evidencias y dónde se
encuentra)
¿Quién tomó posesión de ella? (personas a cargo de
apoderarse de pruebas)
¿Cómo se almacenan y protegen durante su almacenamiento?
¿Quién lo sacó de almacenamiento y por qué? (Cadena de
custodia)
c) Recolección de la evidencia
Se deben tomar las medidas para no añadir, modificar, o destruir

datos almacenados.
Evitar altas temperaturas y humedad, estática, y elementos
magnéticos, que pueden ocasionar daños físicos o lógicos.
Establecer y mantener la cadena de custodia, documentando si
la evidencia es empacada, transportada o almacenada y el
personal que la ha manipulado.
33
Evitar fuentes magnéticas (por ejemplo, transmisores de radio,

imanes, etc.)
Evitar los golpes y vibraciones excesivas.
Si el dispositivo se encuentra conectado a un ordenador mediante un

cable o a la corriente eléctrica, debe ser incautada junto a los cables,
tarjetas de almacenamiento SIM, y otros dispositivos que residen en el
teléfono.
Aislar el teléfono de otros dispositivos utilizados para la sincronización

de datos evita la contaminación de los datos contenidos en el quipo.
Apagar el teléfono puede activar códigos de autentificación que luego

son necesarios para tener acceso al dispositivo, lo que complica la
adquisición y retrasar su análisis.
También debe ser considerado el estado de la batería del dispositivo a

analizar, tomando las medidas necesarias para mantener el nivel de
energía apropiado hasta que se lleva a cabo proceso de adquisición.
d) Proceso de Transporte y Almacenamiento de Pruebas
Es necesario documentar correctamente la evidencia, etiquetando e

inventariando todos los elementos recolectados, y almacenar la
evidencia en un lugar seguro hasta su análisis, lejos de altas
temperaturas y humedad extrema.
Una vez que el dispositivo está listo para ser almacenado, el

especialista forense debe sellar el dispositivo en una bolsa de evidencia
estática y una etiqueta de la misma, firmar y fechar la etiqueta para
iniciar una cadena de custodia. El dispositivo debe estar asegurado
apropiadamente para evitar que las teclas se pulsen accidentalmente.
34
Los dispositivos digitales son frágiles y se dañan fácilmente. Cuando un

dispositivo se transporta, se debe manejar con extremo cuidado.
3.3.2 Adquisición
La adquisición es el proceso de obtener información desde un

dispositivo digital y medios de almacenamiento extraíbles. Realizar la
adquisición en el lugar donde se detecto la evidencia tiene la ventaja de
evitar la pérdida de información debido al agotamiento de la batería, se
evitan daños durante el transporte y el almacenamiento. Sin embargo,
contar con un ambiente controlado en el cual trabajar, teniendo el
equipo apropiado, y satisfaciendo otros requisitos previos puede no ser
posible en la escena, pero fácilmente realizable dentro de un
laboratorio.
El análisis forense inicia con la identificación del dispositivo, el tipo a

cual corresponde, su sistema operativo, estas características
determinan el camino a seguir en la creación de una copia forense de la
información contenida en el dispositivo.
a) Identificación del equipo
Para continuar es necesario contar con los elementos necesarios para

el análisis dependiendo de las características del dispositivo y del
proveedor de servicio.
Esta información permite a los analizadores definir las herramientas

adecuadas para la adquisición de la evidencia contenida en el
dispositivo móvil y en los dispositivos extraíbles.
Para proceder con eficacia, los dispositivos deben ser identificados por
la marca, modelo y proveedor de servicios.
Si el teléfono está encendido, la información que aparece en la pantalla

a veces puede ayudar a identificar el tipo de teléfono; en la cavidad de
35
la batería se pueden encontrar la etiqueta del fabricante (por ejemplo,

Marca, Modelo, numero de serie, etc.).
La extracción de la batería de un teléfono, incluso cuando está

apagado, puede afectar su estado, en particular el contenido de la
memoria volátil. Si el teléfono está encendido, quitar la batería lo
apagara lo que podría producir un mecanismo de autenticación para
disparar cuando de nuevo encendido.
En términos generales, conocer la marca y el modelo ayuda a

determinar a los proveedores de servicios, diferenciando el tipo de red
que el dispositivo opera. El software de sincronización descubierto en
un equipo asociado también ayuda a diferenciar entre las familias del
sistema operativo.
b) Selección de herramientas
Una vez que la marca y modelo del teléfono son identificados, se

pueden obtener los manuales del equipo desde el sitio WEB del
fabricante. Como se mencionó anteriormente, el tipo de dispositivo y
sus características determina en gran medida la elección de las
herramientas forenses a utilizar.
Se deben tomar en cuenta ciertos criterios y recomendaciones para la

selección de las herramientas forenses disponibles:
Utilidad, la habilidad de presentar datos en una forma que sea

útil para un investigador
Integral, la capacidad de presentar todos los datos.
Precisión, la calidad de la obtención de información.
Deterministas, la capacidad de la herramienta para producir el
mismo resultado cuando se les da el mismo conjunto de
instrucciones y datos de entrada
Verificables, la capacidad para asegurar la precisión de la salida
36
Los procedimientos deben ser valorados antes de su ejecución, para

garantizar que los resultados obtenidos son válidos y reproducibles de
modo independiente. El desarrollo y la validación de los procedimientos
deberían ser documentados y debe incluir los siguientes pasos:
1. Identificación del problema
2. Proponer posibles soluciones
3. Análisis de cada solución en un dispositivo de prueba idénticos

y bajo un ambiente de control
4. Evaluar los resultados de la prueba
5. Fin del procedimiento
3.3.3 Consideraciones de Almacenamiento y Memoria
Un teléfono móvil contiene diferentes tipos de memoria volátil y no

volátil, sobre la cual diversas categorías de datos pueden residir, el
código de sistema operativo, periféricos, sistema de archivos y el
almacenamiento de archivos de texto, imágenes, audio, vídeo y otros
archivos.
El tipo de memoria en la cual cada categoría de datos es conservada y

la estructura de memoria empleada varían entre los fabricantes y está a
menudo basado en las características del sistema operativo utilizado.
En general la información que puede almacenar un teléfono móvil, se

divide en dos categorías:
Información del sistema; que almacena el sistema operativo,

kernel, controladores, librería de archivos y las aplicaciones.
Información de usuarios; como archivos de texto, imágenes,

audio, video, entre otros.
37
La figura 3.1 muestra la distribución de datos de una memoria, en

donde los archivos del usuario residen en la memoria no volátil, junto
con el sistema operativo del teléfono. Al agotarse la capacidad de
memoria, se utiliza la memoria volátil es utilizada para el
almacenamiento dinámico de la información la cual es eliminada al
apagar el teléfono celular.
Figura 3.1 Distribución de datos en la memoria.
En los teléfonos inteligentes, la memoria RAM se utiliza para

almacenamiento dinámico y de archivos de usuario. La ROM se utiliza
principalmente para guardar el sistema operativo.
A diferencia de los teléfonos convencionales, los teléfonos inteligentes,

permiten a los usuarios instalar, configurar y ejecutar diversas
aplicaciones.
A continuación se definirá lo que es el modulo de identidad del

suscriptor, siendo este una parte importante durante el proceso de
análisis forense.
38
Módulo de Identidad del Suscriptor SIM
Un SIM es un componente esencial de un teléfono celular GSM que

contiene información específica del usuario. Un SIM es un tipo de
tarjeta inteligente que contiene típicamente entre 16 a 64 kilobytes (KB)
de memoria, un procesador y un sistema operativo. Identifica el número
de teléfono, y contiene los algoritmos necesarios para autenticar a un
subscriptor en una red.
La SIM se desarrollo para el sistema global para comunicaciones

móviles GSM. Las normas exigen el uso de una tarjeta SIM para el
funcionamiento del teléfono. Sin ella, un teléfono GSM no puede
funcionar.
La organización jerárquica del sistema de archivos de una tarjeta SIM

se utiliza para almacenar los nombres y números de teléfono, recibido y
envió de mensajes de texto y la información de configuración de la red.
Dependiendo del teléfono, alguna de ésta información también puede
permanecer de forma parcial o integra en la propia memoria interna del
teléfono, en lugar de la tarjeta SIM.
El sistema de archivos de la SIM reside en la memoria no volátil y está

organizado como una estructura jerárquica de árbol la cual consta de
tres de elementos, como se muestra en la siguiente figura:
La raíz del sistema de ficheros

Los expedientes de información
Los expedientes de datos principales
39
Figura 3. 2 Estructura del sistema de archivos SIM
Por otra parte, la ranura para la tarjeta SIM normalmente no es

accesible desde el exterior del teléfono como con una tarjeta de
memoria. Cuando una SIM se inserta en un teléfono, se utiliza una
interfaz en serie para comunicarse con la plataforma del sistema. La
SIM puede ser retirada de un teléfono y leída usando un software y un
lector de tarjetas especial. También puede colocarse en un adaptador
de tarjetas inteligentes de tamaño estándar y leerlo utilizando un lector
convencional.
Como con cualquier tarjeta inteligente, su contenido está protegido y el

PIN se puede configurar para restringir el acceso. Los PIN´s pueden ser
modificados o desactivados por el usuario. La tarjeta SIM permite un
sólo número predeterminado de intentos antes de que sea bloqueado.
El código PUK se puede obtener del proveedor de servicios o el
operador de red basado en la identidad de la tarjeta SIM. Si el número
de intentos para introducir el PUK correctamente excede un conjunto
límite, normalmente de diez intentos, la tarjeta se bloquea
permanentemente.
Por otro lado, hoy en día los teléfonos CDMA, no requieren una tarjeta
SIM. En su lugar, la funcionalidad se incorpora directamente en el
dispositivo.
40
También hay que tener en cuenta a los medios extraíbles que

mencionaremos a continuación.
Los Medios Extraíbles
Los medios extraíbles extienden la capacidad de almacenamiento de un

teléfono celular, permitiendo a los individuos almacenar información
adicional más allá de la capacidad establecida en el dispositivo. Los
medios extraíbles son capaces de retener los datos registrados cuando
se extraen de un dispositivo.
En estos medios de comunicación normalmente se usan formatos con

un sistema de archivos convencional, como lo es FAT, y pueden ser
tratados de manera similar a una unidad de disco. Estos adaptadores
se pueden utilizar con un bloqueador de escritura para garantizar que el
contenido siga intacto.
3.3.4 Análisis
El proceso de análisis revela toda la información digital, incluyendo lo

que puede ser invisible o eliminado. Los resultados son obtenidos
durante la ejecución de la metodología de análisis establecida la cual
debe describir el estado de los datos y su contenido.
El análisis es un proceso técnico, el cual comienza con una copia de la

evidencia adquirida del aparato.
El investigador debe proporcionar un bosquejo sobre el tipo de

información que debe de ser buscado principalmente, de no ser así se
puede perder el objetivo en la recolección de la evidencia.
Los fabricantes de los dispositivos pueden proporciona información

esencial para la manipulación de la información y la administración de
los archivos dentro de los dispositivos; así como de las aplicaciones,
mensajes y el correo electrónico y el trayecto WEB.
41
La principal evidencia que se puede obtener es:
Suscriptor y equipos identificadores

Fecha / hora, el idioma y otras configuraciones
Agenda
Información del calendario
Mensajes de texto
Registro de llamadas hechas, entrantes y perdidas
Correo electrónico
Fotos
Grabaciones de audio y video
Mensajes Multimedia
Mensajería instantánea y las actividades realizadas en Internet
Los documentos electrónicos
Información sobre la ubicación
3.3.5 Aplicación de las Herramientas Forenses
Una vez realizada la copia del contenido del equipo durante el proceso
de adquisición, el siguiente paso implica el registro de los datos,
identificando la evidencia y desarrollando un informe final.
Es muy importante tener un extenso conocimiento y experiencia en el

uso y manejo de las herramientas utilizadas para el análisis ya que
dependiendo de las capacidades de una herramienta forense pueden
acelerar mucho el proceso del análisis. Las herramientas forenses son
un elemento crucial, ya que además de recolectar la información, la
traducen y codifican en un formato y a una estructura que es
comprensible por el examinador, permitiendo la identificación y la
recuperación de evidencia.
La variedad de herramientas forenses para teléfonos celulares es

diversa, existe un número considerable de herramientas de software,
42
pero la gama de dispositivos sobre los que operan dichas herramientas,

se redujo a distintas plataformas, a una familia de sistemas operativos,
o un tipo de arquitectura de hardware. Las herramientas que requieren
los analizadores deben tener acceso completo al dispositivo.
Aunque la mayoría de los kits de herramientas soportan un rango

completo de funciones, algunas herramientas se centran en un
subconjunto. Del mismo modo, diferentes herramientas pueden ser
capaces de utilizar diferentes interfaces como son: infrarrojos, Bluetooth
o cable serial; para obtener los contenidos del dispositivo. Las
herramientas de información pueden obtener desde gestión de la
información personal de datos, los registros de llamadas telefónicas,
registros de mensajes, correo electrónico, y el contenido de los sitios
WEB visitados, así como archivos de audio, video e imágenes.
La presentación de la información de un teléfono celular puede variar

por varios factores, entre los cuales tenemos los siguientes:
Las capacidades propias del teléfono aplicadas por el fabricante

Las modificaciones realizadas en el teléfono, por la empresa de
servicios o el operador de red
Los servicios suscritos de red y son utilizados por el usuario
Las modificaciones realizadas en el teléfono por el usuario
La obtención de información a través de un cable de interfaz, produce

mayores resultados a los que se obtendrían con otras interfaces de
dispositivo. Sin embargo, las interfaces inalámbricas, pueden servir
como una alternativa cuando el cable correcto no está disponible, o
utilizarse como último recurso. Independientemente de la interfaz que
se usa, hay que tener en cuenta que la capacidad de obtener el
contenido de una SIM, no puede ser compatible con algunas
herramientas.
43
Debido a que los teléfonos GSM son lógica y físicamente divididos en

teléfonos y tarjeta SIM, han surgido una serie de herramientas de
software forenses. La tarjeta SIM debe ser removida del teléfono y se
inserta en un lector de tarjetas SIM especial para realizar la obtención
de evidencia.
3.3.6 Reporte
Los reportes son el proceso de generar un resumen detallado de todos

los pasos hechos y las conclusiones alcanzadas en la indagación de un
caso. Los reportes dependen de la recolección y documentación de
todas las acciones y las observaciones, la descripción de los resultados
de pruebas y exámenes y el hecho de exponer las conclusiones
obtenidas al analizar la evidencia.
Un buen informe cuenta con las notas, las fotografías y el resultado

obtenido por las herramientas utilizadas. Los reportajes se producen tan
pronto como los datos hayan sido registrados y los artículos pertinentes
etiquetados. Muchas herramientas forenses contienen aplicaciones
generadoras de reportes claros, los cuales puede ayudar en la
construcción de la estructura de informe.
Los resultados obtenidos por la herramienta forense son solamente

una parte del informe total. El informe final contiene los reportes
procedentes del software involucrado en el análisis con los datos
recolectados durante la indagación que resume las medidas tomadas,
el análisis hecho y la eficacia de la evidencia descubierta.
En general, el informe puede contener la siguiente información
Número de caso
Asunto investigador
44
Identidad del remitente

Fecha de recepción
Fecha del informe
Lista descriptiva de los elementos presentados para su examen,
incluyendo el número de serie, marca y modelo
El equipo utilizado en el análisis
Breve descripción de las medidas adoptadas durante el análisis,
tales como búsquedas de cadenas, las búsquedas de imágenes
gráficas, y la recuperación de archivos borrados.
Materiales de apoyo, tales como impresiones de elementos
concretos de prueba, copias digitales de las pruebas, y la
cadena de custodia de la documentación.
Información de los archivos encontrados, incluyendo archivos
borrados, búsquedas de palabras clave, y las búsquedas de
cadenas de texto de Internet relacionados con las pruebas,
como análisis de tráfico del sitio WEB, registros de chat,
archivos de caché, de correo electrónico.
Descripción de los programas pertinentes sobre los temas
examinados
Las técnicas utilizadas para ocultar o enmascarar los datos,
cifrado, esteganografía, particiones ocultas, y las anomalías en
los archivos
Los informes obtenidos del análisis forense deben incluir toda la

información necesaria para identificar el caso y su fuente, exponer los
resultados del análisis y las conclusiones, la lista descriptiva de los
artículos sometidos al examen, incluyendo el número de serie,
fabricante y modelo, el equipo utilizado para el análisis, una descripción
breve de los pasos realizados durante el examen y las conclusiones.
45
Un buen reporte es aquel que contiene la información necesaria para

recrear el proceso de análisis de principio a fin.
46
CAPÍTULO IV
APLICACIÓN DE LA METODOLOGÍA DE ANÁLISIS
FORENSE
4.1 Introducción
Es preciso tener en cuenta que el riesgo de la llamada inseguridad informática,

es mucho mas latente y vulnerable debido a dicha movilidad en los celulares,
que no solamente se trata de los posibles riesgos que genera un atacante,
sino de la importancia de poder examinar la información que sea relevante y
que pueda estar almacenada, escondida, cifrada o borrada en un celular,
como llamadas realizadas o perdidas, imágenes, videos, mensajes de texto,
entre otros, ya que por medio de estos, seguramente se lograra encontrar
alguna evidencia digital y poder plantear hipótesis concretas que indaguen
sobre respuestas a un acto delictivo.
La relevancia y la necesidad de contar con técnicas forenses confiables desde

el punto de vista científico y técnico, con el fin de poder interactuar de una
manera más directa con una posible evidencia del tipo digital.
El contar con una metodología formal para el análisis forense, permite al

analizador abordar y analizar de forma rápida y eficiente la evidencia de un
47
delito, evitando la contaminación o pérdida de información durante el proceso

de análisis, y que dicha evidencia deje de ser confiable.
Sin una metodología formal y bien establecida, no se podrá llevar a cabo una
buena recuperación de evidencia y por lo tanto quedara anulada para ser
utilizada como evidencia valida.
4.2 Recomendaciones para el Análisis Forense en Celulares
En todo tipo de análisis forense, se deben realizar ciertos procedimientos que

están enfocados a garantizar la integridad del proceso. La recuperación de
datos en celulares es usualmente realizada de forma lógica en lugar de una
adquisición física, usando uno o más protocolos soportados por el dispositivo.
El análisis forense en teléfonos móviles se debe realizar diferenciando los dos

módulos que lo conforman:
Memoria interna
Memoria externa
4.3 Metodología Aplicada
La metodología que tomaremos como referencia para la ejecución del análisis

forense será la propuesta por el NIST SP 800-101.
Como se mencionó el NIST cuenta con una guía reconocida a nivel
internacional para el tratamiento de los equipos celulares durante todo el
proceso forense, con el objetivo mantener la integridad la evidencia en todo
momento, dicho documento retoma recomendaciones de otras instituciones
48
como la Asociación de Jefes de Policía ACPO (Association of Chief Police

Officers) para el desarrollo de dicho análisis; generando una metodología muy
completa y flexible para en proceso de adquisición y análisis de la evidencia.
4.4 Contexto de la Investigación
El proceso que se llevará a cabo pretende mostrar la ejecución del análisis

forense con fines académicos, buscando únicamente información que se
encuentre dentro de la siguiente clasificación:
Directorio telefónico
Llamadas
Localización
SMS, MMS
Videos
Imágenes
Audio
Archivos de texto
4.5 Objetivos
Esta investigación tiene como objetivo ejecutar el análisis forense a un equipo

telefónico en dos principales etapas; la primera etapa consiste en adquirir los
datos del equipo telefónico, identificar los módulos en los que se encuentra la
información y como son representados por la herramienta forense a utilizar
que en este caso será Device Seizure, en la segunda etapa se eliminaran
algunos archivos almacenados en el teléfono y se ejecutara el mismo proceso
de análisis y recuperación y así poder identificar con ayuda de la herramienta
que elementos fueron eliminados.
49
4.6 Preservación
La preservación de evidencia es el proceso de adquirir información, sin alterar

o modificar el contenido de los datos que residen en los dispositivos y los
medios extraíbles; esto implica la búsqueda, reconocimiento, documentación y
recolección de pruebas electrónicas. Dando paso al aseguramiento y
evaluación de la escena. Como se menciona a continuación:
Documentación de la escena
El dispositivo móvil que se obtuvo para el análisis se muestra en la siguiente

figura:
Marca: Nokia
Modelo: N82
Color: Plateado
Figura 4.1 Dispositivo móvil Nokia N82
A simple vista no cuenta con ningún sistema de bloqueo telefónico y se cuenta

con el cable de transmisión de datos.
El siguiente paso es la recolección de la evidencia.
50
Se verificó el nivel de la batería, también que no se encontrara activada la

conectividad vía bluetooth, y fue puesto dentro de una bolsa de Faraday.
4.7 Adquisición
La adquisición es el proceso de obtener información desde un dispositivo

digital y medios de almacenamiento extraíbles, a continuación se realizá la
identificación del equipo.
Como se menciono con anterioridad el equipo telefónico es un Nokia modelo

N82; la pantalla del equipo únicamente muestra información sobre el
proveedor de la red telefónica TELCEL y la condición de la batería.
Para conocer más sobre sus características se consulto la página oficial del
proveedor, adquirir la ficha técnica y descargar el software de comunicación
“PC Suite”.
La información más importante que se recopilo en la página del fabricante

sobre el equipo telefónico se menciona a continuación:
Especificaciones Técnicas
Sistema Operativo: Symbian OS ver. 9.2

Interfaz del usuario: Nokia Serie 60 3a Edición, paquete de
funciones 3.1
Java™ :MIDP 2.0
SDKs C++ y Java Imágenes
Formato de archivo fotográfico: JPEG/EXIF
Foco TTL (Through The Lens) FA
Orientación de imagen: Automático
Grabación de audio: AAC (AMR para MMS)
51
Tamaño del videoclip: 59 min 59 seg. (máx. para un

videoclip)
Formato de archivo de video mp4 (estándar), .3gp (para
MMS)
GPS-Asistido integrado
TransferenciaTransfiere videos a partir de un PC
compatible: Windows Media Player, transferencia USB de archivos de
almacenamiento en masa o Nokia PC Suite, usando USB 2.0 con
velocidad máxima de conexión
E-mail (SMTP, IMAP4, POP3), MMS, SMS
Visualización de anexos comunes de e-mails - .doc, .xls,
.ppt, .pdf
Contactos, Agenda, Tareas, Notas, Grabador,
Calculadora, Reloj, Convertidor
Local/Remota (usando SyncML)
Datos: Agenda, Contactos, Tareas, Notas, E-mail
Aplicaciones del PC: Microsoft Outlook (98, 2000, 2002,
2003), Outlook Express, Lotus Organizer (5.0, 6.0), Lotus Notes (5.0,
6.0, 7.0)
Registro de llamadas, marcación rápida, Marcación por
voz (con SIND) y comandos de voz.
Soporte para navegador WEB (HTML)
WLAN - IEEE802.11 g/b con suporte para UPnP
Interfaz Micro USB tipo B con velocidad total USB 2.0
Tecnología inalámbrica Bluetooth 2.0
Soporte de tarjeta de memoria microSD (hot-swap)
El proceso que sigue es seleccionar la herramienta para el análisis forense, a

continuación mencionaremos algunas características de dichas herramientas.
52
Selección de herramientas
Para el proceso de análisis del dispositivo se utilizara el sistema de

comunicación proporcionado por el proveedor “PC Suite”, con el objetivo de
instalar los controladores del equipo telefónico, evitando así problemas de
comunicación y reconocimiento de los dispositivos, al ser conectado el
teléfono al equipo de cómputo.
Dentro de las variadas herramientas forenses para dispositivos móviles que se

encuentran en el mercado, se decidió utilizar las siguientes: Device Seizure y
Mobil Edit, ambas son compatibles con las distintas versiones de Symbian, y
además cuentan con módulos específicos para la adquisición de información
de las tarjetas SIM que para nuestro propósito son muy útiles. Las cuales se
mencionan a continuación.
Device Seizure de Paraben
Este software es bastante robusto y está dirigido a múltiples plataformas

computacionales. La versión para dispositivos móviles se denomina “Device
Seizure” y permite hacer análisis forense de un gran número de dispositivos.
El análisis se organiza por casos y en múltiples registros. Esta herramienta
recopila bastante información, más que la que alguien podría recuperar
haciendo uso de PC Suite.
53
MobilEDIT Forensic
Esta herramienta es bastante robusta y actualizada. Permite hacer un análisis

forense diferenciado del SIM y del dispositivo. Una vez se efectúa la conexión,
la herramienta muestra las principales características del teléfono.
Una vez seleccionada la herramienta Device Seizure de Paraben, para el
análisis se inicia el proceso de adquisición de la información contenida en el
dispositivo.
Para poder realizar el proceso de adquisición Device Seizure nos requiere

generar un caso, el cual solicita información sobre el proceso que se va a
realizar, numero de caso, la ubicación donde se realiza el análisis, el
encargado de este, etc., esto es con el objetivo de generar un reporte final en
el cual se integre esta información y los datos encontrados durante todo el
proceso del análisis, la figura 4.2 muestra un ejemplo de esto.
Figura 4.2 Informe sobre datos solicitados al generar el caso.
54
Con el objetivo de preservar la integridad de la información contenida en el

dispositivo telefónico Device Seizure genera una imagen segura de la
información haciendo uso 2 algoritmos criptográficos orientados a este
objetivo: MD5 y SHA1, lo cual nos asegura que el respaldo generado no ha
sido modificado o alterado antes y durante todo el proceso del análisis.
Para iniciar el proceso de adquisición este es necesario indicar en primer lugar

el sistema operativo en el que trabaja el teléfono, el tipo de adquisición que
deseamos realizar (lógica, física) y la información que se desea duplicar. Esto
se muestra en la figura 4.3.
Figura 4.3 Selección del dispositivo y unidades de las que se obtendrá la imagen
Al termino del proceso, se generó una imagen completa del contenido del
equipo telefónico y almacenamiento externo, datos volatiles y no volatiles.
55
4.8 Análisis
Una vez realizado el respaldo del contenido del equipo durante el proceso de
adquisición, el siguiente paso implica el registro de los datos.
Después del proceso de adquisición de la evidencia por parte de Device

Seizure, este nos muestra un resumen de las propiedades del equipo (figura
4.4).
Figura 4.4 Propiedades generales del teléfono
Además de estas características, nos indica los distintos archivos que ha

encontrado almacenados en el equipo.
Nuestro dispositivo está dividido en 2 principales carpetas, el sistema de

archivos y el directorio de estaciones de radio (fig. 4.5).
56
Figura 4.5 Principales archivos del teléfono Nokia
El sistema de archivos está conformado por la memoria interna del celular “C:”
y la unidad de almacenamiento externa “E:”
La memoria interna del teléfono “C:”esta conformada por un grupo de carpetas

que almacenan información relacionada principalmente al equipo telefónico
como son configuraciones del equipo y aplicaciones instaladas principalmente
por el fabricante, en este caso encontramos 2 carpetas principales DATA y
System; DATA almacena las carpetas de juegos, imágenes, instalaciones,
otros, sonidos y videos(fig. 4.6).
57
Figura 4.6 Estructura de archivos DATA y System
E: almacena principalmente datos almacenados por el usuario como

fotografías, videos, archivos de texto, páginas WEB consultadas, archivos
descargados, etc.
De igual forma que la unidad “C”, la unidad “E” está conformado por un grupo
de subcarpetas, las cuales almacenan principalmente información agregada
por el usuario y que es administrada dependiendo de la extensión de los
archivos instalados, además de que en esta unidad de almacenamiento
también se pueden generar nuevas carpetas dependiendo de las necesidades
del usuario; en este caso las carpetas que se encuentran dentro de la unidad
58
“E” son: Attacment, data, cities, examen 2, imágenes, sonidos, tonos y videos.
Esta estructura la podemos ver en la figura 4.7.
Figura 4.7 Estructura de archivos unidad “E:”
La siguiente tabla muestra las principales características arrojadas por la

herramienta de análisis de las 2 unidades de almacenamiento.
Unidad C: Unidad E.
Etiqueta Memoria teléfono Tarjeta de memoria
Tipo de DEV MMC
memoria
Permisos R (solo lectura) RW (lectura y escritura)
(usuario)
Tabla 4.1 Características de las unidades de almacenamiento
El proceso de análisis de la evidencia comenzó con el análisis de la unidad “C”

en donde se analizaron cada una de sus carpetas y se registró el contenido de
esta así como su extensión, y tamaño.
59
Se adquirieron 767 archivos entre las unidades C: y E:; cada uno compuesto
por 52 archivos dentro de la memoria local del teléfono y 715 archivos en la
unidad externa.
En base a los objetivos establecidos para la recuperación de los datos se

genero un registro del número de datos que se recuperaron y su clasificación,
la cual se muestra en la tabla 4.2.
Relación del total de datos adquiridos

TOTAL DE REGISTROS UNIDAD C: UNIDAD E:
Directorio telefónico 0 0
Llamadas 0 0
Localización 0 0
SMS, MMS 0 0
Videos 2 1
Imágenes 36 18
Audio 0 42
Archivos de texto 9 36(examen)
Tonos 0 92
Tabla 4.2 Registros adquiridos
4.9 Reporte
Los reportes son el proceso de generar un resumen detallado de todos los

pasos hechos y las conclusiones alcanzadas en la indagación de un caso.
Una vez analizada a detalle la información, la herramienta Device Seizure, da

la opción de generar un reporte técnico. Los pasos son los siguientes:
60
1. Generación de reporte técnico.
Figura 4.8 Pantalla generar reporte Device Seizure
2. Selección de formato para generar el reporte.
Figura 4.9 Selección de formato para generar el reporte
61
3. Opciones y modo de reporte para ser generado.
4.9a Selección de formato para generar reporte
4. Nombre del reporte y destino.
Figura 4.10 Selección de nombre de reporte y destino
62
5. Verificación de datos del reporte a generar.
Figura 4.10a Verificación de datos del reporte a generar
6. Proceso de generación de reporte técnico.
Figura 4.10b Verificación de datos del reporte a generar
63
7. Reporte técnico finalizado.
Figura 4.10c Término del reporte
4.10 Segunda Etapa del Análisis
A continuación se realiza la segunda etapa del análisis al dispositivo móvil,

para ello el equipo fue desmontado de la consola de trabajo, y de forma
manual fueron eliminados distintos archivos que se encontraban almacenados
en este.
Después de haber realizado el proceso de eliminación de datos, se vuelve a

conectar el dispositivo al equipo de análisis, repitiéndose el procedimiento que
se realizó anteriormente, obteniendo la siguiente información.
64
4.11 Adquisición de la Información Contenida en el Equipo
Se genero un nuevo caso ingresando los datos del equipo telefónico,

enseguida se procedió a generar un nuevo respaldo de equipo telefónico,
indicando las mismas unidades de almacenamiento que en el caso anterior.
Se genera un informe sobre los detalles del equipo como muestra la figura
4.11.
Figura 4.11 Propiedades generales del teléfono
4.12 Análisis
Consideraciones para el proceso de análisis de la evidencia.
Para este proceso el análisis se realizara en cada una de las unidades de

almacenamiento, poniendo mayor atención en la unidad de almacenamiento
externa, ya que esta unidad cuenta con todos los permisos de usuario para la
alteración o eliminación de los datos; y se generara un análisis basado en los
parámetros de búsqueda de información ya antes mencionados.
65
La información que se obtenga de este análisis se compara con la adquirida

en el proceso anterior.
En primer lugar se puede observar que el número de archivos almacenado ha

disminuido en comparación con el análisis anterior (figura 4.12).
Figura 4.12 Principales archivos del teléfono Nokia y sus propiedades
Se procede a analizar la unidad de almacenamiento interna del dispositivo

móvil, al verificar el número de archivos almacenados en la unidad C: se
comprueba que el número de elementos almacenado dentro de éste, no ha
sido modificado, como muestra la figura 4.13, esto puede ser ya que esta
carpeta únicamente tienen permiso de lectura de datos.
66
Figura 4.13 Vista general del sistema de almacenamiento C
La unidad e almacenamiento externa E: si ha presentado cambios en relación

con el numero de archivos almacenados anteriormente, ya que se tenía la
cantidad de 715 archivos y en este segundo análisis solo se han recuperado
644 (figura 4.14).
67
Figura 4.14 Comparación unidades de almacenamiento
Se analiza cada una de las carpetas que forman parte de la unidad de

almacenamiento, para hacer una comparación del número de archivos
contenidos en cada una de las categorías de búsqueda establecidas (tabla
4.3).
Relación del total de datos adquiridos Unidad E:

TOTAL DE REGISTROS UNIDAD E: Fase 1 UNIDAD E: Fase 2
Directorio telefónico 0 0
Llamadas 0 0
Localización 0 0
SMS, MMS 0 0
Videos 1 1
Imágenes 18 13
Audio 42 27
Archivos de texto 36(examen) 3
Tonos 92 78
Sitios 520 520
Total 715 644
Tabla 4.3 Relación de unidad E: antes y después del primer análisis
68
Para conocer las propiedades de los archivos contenidos en el dispositivo, se

muestra la figura 4.15.
Figura 4.15 Propiedades de los archivos.
Device Seizure administra la información adquirida en dos módulos, el primero

denominado “Case” presenta todos los datos que se encuentran visibles en el
teléfono, el siguiente modulo “Sorter” presenta aquella información que ha sido
eliminada del equipo telefónico, organizándola según las propiedades de los
archivos en un grupo de carpetas.
Los módulos en los que está dividida esta información son:
Unknown Graphics
Compresser Multimedia
Databases Text
Documents XML
Email Chats
Executable
69
Figura 4.16 Resumen de los archivos eliminados
Como se observa en la figura 4.16, no fue posible visualizar todos los

archivos recuperados. Sin embargo hay algunos documentos e imágenes que
si se pueden visualizar, como muestran la siguiente figura.
70
Figura 4.17 Adquisición de la imagen de archivos eliminados
Y algunos archivos de video se visualizan como se muestra en las figuras 4.17

y 4.18.
Figura 4.17a Adquisición de la imagen de archivos eliminados
Una vez terminado el análisis en la segunda etapa, la herramienta Device

Seizure, de nueva cuenta genera un reporte técnico.
71
4.13 Análisis con Mobil Edit Forensic
Con el propósito de conocer un poco más sobre el proceso del análisis

forense, se busco una herramienta alternativa MobilEDIT Forensic que nos
ayudará a generar el mismo análisis y comparar los resultados obtenidos con
Device Seizure de Paraben, aplicado al mismo modelo de teléfono, y
realizando el mismo proceso de preservación de evidencia.
4.13.1 Preservación
El análisis se realizará sobre el mismo dispositivo móvil que el proceso

anterior, cuyas características son:
Marca: Nokia
Modelo: N82
Color: Plateado
Recolectando la siguiente evidencia. Se verificó el nivel de la batería, y

fue colocado dentro de una bolsa de Faraday para evitar que sea
intervenido por señales externas.
4.13.2 Adquisición
El dispositivo a analizar es el marca Nokia modelo N82; el proveedor de

la red telefónica es TELCEL.
Para este proceso se utilizara Mobiledit, en su versión de prueba.
A diferencia de Device Seizure, Mobiledit identifica el modelo del equipo

telefónico desde el momento en el cual el dispositivo es conectado al
equipo de análisis, identificando el modelo del equipo, y de igual forma
solicita el ingreso de cierta información para generar el reporte final del
caso (figura 4.18).
72
Figura 4.18 Creación del caso con MobiLedit
Después de ingresar la información requerida para crear el caso

comienza el proceso de adquisición de datos y la generación de la
imagen del equipo como se observa en la figura 4.19.
73
Figura 4.19 Generación de la imagen del teléfono
4.13.3 Análisis
Finalizado el proceso de adquisición, se presenta una pantalla que

resume las principales características del teléfono, como el modelo,
serie, versión de SO, proveedor de la red telefónica, y la intensidad de
señal; además de una lista de la información adquirida (figura 4.20).
74
Figura 4.20 Vista de las características del teléfono
A simple vista el software identifico 3 unidades de almacenamiento; C:,

E:, y Z:, como muestra la figura 4.21, la unidad Z, no fue identificada por
la herramienta device seizure.
75
Figura 4.21 Vista de las unidades de almacenamiento del teléfono
Con esta herramienta, se obtuvo información sobre la agenda de

contactos e información de los últimos mensajes y llamadas realizadas,
(figura 4.22).
76
Figura 4.22 Resumen de los datos adquiridos
Por desgracia esta versión de la herramienta tiene sus limitaciones, ya

que no es posible visualizar un informe o el contenido de los archivos
que han sido borrados ni generar un reporte del proceso realizado.
77
CONCLUSIONES
En este trabajo de investigación se describió la forma de realizar un análisis forense

a un dispositivo móvil, tomando en cuenta la dificultad que implica el análisis, debido
a las grandes diferencias entre modelos y sus sistemas operativos.
En la ejecución de análisis forense es necesario tener un amplio conocimiento del

equipo con el cual se está trabajando, como es su funcionamiento y procesamiento
de datos, el indagar sobre sus características y utilizar las herramientas que el
proveedor recomienda ayuda a no tener problemas con el reconocimiento de los
dispositivos que conforman el equipo, ya que con esto la selección de la herramienta
forense será mucho más sencillo.
Para poder obtener un buen resultado del proceso forense es necesario contar con
los elementos necesarios para generar un buen desarrollo del análisis, en el cual es
esencial emplear con una metodología formal, bien establecida y estructurada, ya
que el uso de la herramienta forense sin el seguimiento de una metodología pondría
en riesgo la integridad de la información contenida en el equipo, perdiendo total
validez los resultados generados en el proceso forense.
El análisis en dispositivos móviles aparece como una necesidad obligatoria a nivel de

las investigaciones actuales, por esta razón, no se deben descuidar los avances
tecnológicos en este tipo de herramientas, sin dejar a un lado el tratar de generar
convenios a nivel de investigación que involucren a las instituciones educativas.
A causa de los grandes avances tecnológicos que se ha generado en la telefonía

celular, su presencia en la ejecución de actos ilícitos (tanto como medio para
cometerlos o como simples testigos), ha ido en crecimiento, generando la necesidad
de difundir la implementación del análisis forense en estos dispositivos a nivel
nacional en las distintas instituciones del sector de gobierno y privado.
78
REFERENCIAS CIBERGRÁFICAS
R Ayers, W Jansen. “Guidelines on CellPhone Forensics”, National Institute of

Standardsand Technology Special Publication 800-101
B. Mellar, ”Forensic examination of mobile phones”, Digital Investigation -
Elsevier,United Kingdom
http://www2.esmas.com/noticierostelevisa/mexico/027722/se-cometen-760-
delitos-diarios-via-celular
http://www.x5.net/faqs/crypto/q146.html
http://www.todosymbian.com/secart28.html
http://www.techtear.com/2007/03/12/symbian-el-sistema-operativo-movil/
http://www.enterate.unam.mx/Articulos/2005/abril/sistopera.htm
http://faculty.colostate-pueblo.edu/dawn.spencer/Cis462/Home
work/Ch4/Forensic%20examination%20of%20mobile%20phones.pdf.
http://tecnologia.infobaeprofesional.com/notas/44978-Nokia-y-Samsung-le-
quitanporcion-de-mercado-a-Motorola.html?cookie.
http://edigital.k4k3k4.com/Docs/Informatica%20Forense/Informatica%20Foren
se%20v0.6.pdf
Paraben Corporation
Device Seizure
http://www.parabenforensics.com/catalog/product_info.php?
http://www.mobiledit.com/
79
GLOSARIO
ACPO: Organismo independiente, profesional llevó estratégica. En el interés público

y, en pie de igualdad y activa con el Gobierno y la Asociación de Autoridades de
Policía, ACPO dirige y coordina la dirección y el desarrollo del servicio de policía en
Inglaterra, Gales e Irlanda del Norte.
ARM (Advanced Risc Machines): Familia de microprocesadores diseñados por la

empresa Acorn Computers y desarrollados por Advanced RISC Machines Ltd.
CDMA (Code Division Multiple Access): Acceso múltiple por división de código, es
un término genérico para varios métodos de control de acceso al medio, basados en
la tecnología de espectro expandido.
DSP (Digital Signal Processor): Procesador digital de señales, es un sistema

basado en un procesador o microprocesador que posee un juego de instrucciones,
un hardware y un software optimizados para aplicaciones que requieran operaciones
numéricas a muy alta velocidad.
EDGE (Enhanced Data rates for GSM of Evolution): Tasas de Datos Mejoradas
para la evolución de GSM, es una tecnología de la telefonía móvil celular, que actúa
como puente entre las redes 2G y 3G.
FAT (File Allocation Table): Tabla de asignación de archivos, es un sistema de

archivos desarrollado para MS-DOS, así como el sistema de archivos principal de las
ediciones no empresariales de Microsoft Windows hasta Windows Me.
FDMA (Frecuency Division Multiple Access): Acceso múltiple por división de

frecuencia, es una técnica usada en múltiples protocolos de comunicaciones, tanto
80
digitales como analógicos, principalmente de radiofrecuencia, y entre ellos en los

teléfonos móviles de redes GSM.
FOMA (Freedom of Mobile Multimedia Access): Es la marca de los servicios 3G

que son ofrecidos por la empresa de telefonía móvil japonesa NTT DoCoMo.
GPRS (General Packet Radio Service): Servicio general de paquetes vía radio, es
una extensión del Sistema Global para Comunicaciones Móviles GSM, para la
transmisión de datos por paquetes.
GPS (Global Position System): Sistema de posicionamiento global, es un sistema

global de navegación por satélite que permite determinar en todo el mundo la
posición de un objeto, una persona, un vehículo, con una precisión hasta de
centímetros.
GSM (Groupe Special Mobile): Sistema Global para las Comunicaciones Móviles,
es un sistema estándar, completamente definido, para la comunicación mediante
teléfonos móviles que incorporan tecnología digital.
MD5: (Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5) es un

algoritmo de reducción criptográfico de 128 bits ampliamente usado. La codificación
del MD5 de 128 bits es representada típicamente como un número de 32 dígitos
hexadecimal.
MMS (Multimedia Messaging System) Sistema de mensajería multimedia es un

estándar de mensajería que le permite a los teléfonos móviles enviar y recibir
contenidos multimedia, incorporando sonido, video y foto, a cuentas de correo
electrónico, ampliando las posibilidades de la comunicación móvil.
MMU (Memory Management Unit): Unidad de manejo de memoria, es un

dispositivo de Hardware formado por un grupo de circuitos integrados, responsable
del manejo de los accesos a la memoria por parte de la Unidad de Procesamiento
Central (CPU).
81
NIST (National Institute and Standart of Technology): Instituto Nacional de

Estandares y Tecnología, es una agencia de la Administración de Tecnología del
Departamento de Comercio de los Estados Unidos. La misión de este instituto es
promover la innovación y la competencia industrial en Estados Unidos mediante
avances en metrología, normas y tecnología de forma que mejoren la estabilidad
económica y la calidad de vida.
PIN (Personal Identification Number): Número de Identificación Personal, es un

valor numérico usado para identificarse y poder tener acceso a ciertos sistemas o
artefactos, como un teléfono móvil o un cajero automático.
PUK (Personal Unlocking Key): Clave Personal de Desbloqueo, es el código

normalmente usado en los sistemas de telefonía móvil que se basan en tecnología
GSM, funciona como una clave o password de 8 dígitos de longitud para desbloquear
la tarjeta SIM del equipo móvil cuando se ha olvidado el PIN o bien se ha bloqueado
totalmente el teléfono.
RAM (Random Access Memory): Memoria de acceso aleatorio, es la memoria

desde donde el procesador recibe las instrucciones y guarda los resultados.
ROM (Read Only Memory): Memoria de sólo lectura, es un medio de

almacenamiento utilizado en ordenadores y dispositivos electrónicos, que permite
sólo la lectura de la información y no su borrado, independientemente de la presencia
o no de una fuente de energía.
SDK (Software Development Kit) Kit de desarrollo de software, conjunto de

herramientas de desarrollo que le permite a un programador crear aplicaciones para
un sistema concreto, por ejemplo ciertos paquetes de software, plataformas de
hardware, computadoras, videoconsolas, sistemas operativos, etc.
82
SHA: (Secure Hash Algorithm, Algoritmo de Hash Seguro) es un sistema de

funciones hash criptográficas relacionadas de la Agencia de Seguridad Nacional de
los Estados Unidos y publicadas por el NIST (National Institute of Standards and
Technology). Más tarde el primer sucesor de SHA fue publicado con el nombre de
SHA-1. Existen cuatro variantes más que se han publicado desde entonces cuyas
diferencias se basan en un diseño algo modificado y rangos de salida incrementados:
SHA-224, SHA-256, SHA-384, y SHA-512 (llamándose SHA-2 a todos ellos).
SHA-1 y MD5: Algoritmos para calcular un checksum criptográfico seguro o valor

resumen hash.
SMS (Short Message Service): Servicio de mensajes cortos, es un servicio

disponible en los teléfonos móviles que permite el envío de mensajes cortos como
mensajes de texto, entre teléfonos móviles, teléfonos fijos y otros dispositivos de
mano.
TARJETA SIM (Subscriber Identity Module): Módulo de identificación del

suscriptor, es una tarjeta inteligente desmontable usada en teléfonos móviles y
módems USB. Las tarjetas SIM almacenan de forma segura la clave de servicio del
suscriptor usada para identificarse ante la red, de forma que sea posible cambiar la
línea de un terminal a otro simplemente cambiando la tarjeta.
TDMA (Time Division Multiple Access): Acceso multiple por división de tiempo, es
una técnica que permite la transmisión de señales digitales y cuya idea consiste en
ocupar un canal de trasmisión a partir de distintas fuentes, de esta manera se logra
un mejor aprovechamiento del medio de trasmisión.
UIQ (User Interface Quartz): Interfaz de Usuario Quartz, es una plataforma para
terminales móviles desarrollada por UIQ Technology basada en el sistema operativo
Symbian. Se caracteriza por agregar soporte para pantallas táctiles.
83
USB (Universal Serial Bus): Bus universal en serie, es un puerto que sirve para
conectar periféricos a un ordenador.
WAP (Wireless Application Protocol): Protocolo de aplicaciones inalámbricas, es

un estándar abierto internacional para aplicaciones que utilizan las comunicaciones
inalámbricas, p.ej. acceso a servicios de Internet desde un teléfono móvil.
WEB (World Wide Web): Es un sistema de información distribuido basado en

hipertexto o hipermedios enlazados y accesibles a través de Internet.
84

analsis forense de dispostivos móviles

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

analsis forense de dispostivos móviles

Cargado por

Copyright:

Formatos disponibles

INSTITUTO POLITECNICO NACIONAL

“LA TÉCNICA AL SERVICIO DE LA PATRIA”

Escuela Superior de Ingeniería Mecánica y

“ANÁLISIS FORENSE DE DISPOSITIVOS

Que presentan para obtener el Título de

Licenciada en Ciencias de la Informática

Ingeniero en Comunicaciones y Electrónica

México D.F., Octubre de 2010

POR LA OPCIÓN DE TITULACIÓN SEMINARIO EN SEGURIDAD DE LA INFORMACIÓN

QUE PARA OBTENER EL TÍTULO DE LICENCIADA EN CIENCIAS DE LA INFORMÁTICA

DEBERÁN DESARROLLAR: GONZÁLEZ TREJO DULCE MARÍA

Y QUE PARA OBTENER EL TÍTULO DE INGENIERO EN COMUNICACIONES Y ELECTRÓNICA

DEBERÁ DESARROLLAR: OLAYO MONDRAGÓN JAVIER

“ANÁLISIS FORENSE DE DISPOSITIVOS MÒVILES”

LA PRESENTE TESINA TRATA SOBRE LA EJECUCIÓN DE UN ANÁLISIS FORENSE A DISPOSITIVOS

I. ARQUITECTURA DE TELÉFONOS CELULARES

México D.F., Octubre de 2010

DR. GABRIEL SÁNCHEZ PÉREZ M. EN C. MARCOS ARTURO ROSALES GARCÍA

M. EN C. LUIS CARLOS CASTRO MADRID

OBJETIVO GENERAL III

OBJETIVOS ESPECÍFICOS III

CAPÍTULO I ARQUITECTURA DE TELÉFONOS

1.2 Tipos de Dispositivos Móviles 3

1.3 Categorías de Dispositivos Móviles 6

1.4 Tecnologías de Acceso Celular 7

1.5 Sistemas Operativos para Dispositivos Móviles 9

1.5.4 Windows Mobile 12

CAPÍTULO II SISTEMA OPERATIVO SYMBIAN

2.1.1 Kernel de Symbian 17

2.1.2 Estructura de Archivos 18

2.2 Sistemas de archivos 18

2.2.1 Sistema de Archivo compuesto 19

2.2.2 Sistema de Archivo FAT (File Allocation Table) 20

2.2.3 Sistema de Archivo FAT32 (32-bit) 21

2.2.4 Sistema de Archivo ROFS 22

2.2.5 Sistema de Archivo ROM 22

2.2.6 Sistema de Archivo de Almacenamiento 23

2.3 Estructura de Sistema Operativo Symbian 24

2.3.1 Capa de Marco de Trabajo 26

2.3.2 Capa de Servicios de Sistema Operativo 28

2.3.3 Capa de Servicios Base 29

2.3.4 Unidades de Disco SDK 29

CAPÍTULO III NIST (SP 800-101) ANÁLISIS FORENSE EN TELÉFONOS

3.2 Análisis Forense en Teléfonos Celulares 31

3.3 NIST Principios y Procedimientos del Análisis Forense 31

3.3.3 Consideraciones de Almacenamiento y Memoria 37

3.3.5 Aplicación de las Herramientas Forenses 42

CAPITULO IV APLICACIÓN DE LA METODOLOGÍA DE ANÁLISIS FORENSE

4.2 Recomendaciones para el Análisis Forense en Celulares 48

4.3 Metodología Aplicada 48

4.4 Contexto de la Investigación 49

4.10 Segunda Etapa del Análisis 64

4.11 Adquisición de la Información Contenida en el Equipo 65

4.13 Análisis con Mobil Edit Forensic 72

ÍNDICE DE FIGURAS Y TABLAS

CAPÍTULO I DISPOSITIVOS MÓVILES (CELULAR)

Figura 1.1 Celular Sony Ericsson K850i 2

Figura 1.2 Partes de un teléfono celular 4

Figura 1.3 Funciones de teléfonos celulares 5

Figura 1.4 Reparto del mercado entre las diversas 10

CAPÍTULO II SISTEMA OPERATIVO SYMBIAN

Figura 2.1 Capas lógicas de teléfonos móviles 15

Figura 2.2 Estructura de sistema operativo Symbian 25

Figura 2.3 Capas del sistema operativo Symbian 26