29 feb 2016

Introducción al análisis forense en móviles

El ecosistema de los dispositivos móviles ha evolucionado de una manera vertiginosa en los últimos años provocado principalmente por su adopción masiva por parte de los usuarios, los cuales llegan a tener de manera simultánea varios terminales con diferentes objetivos: uso profesional, uso personal, etc. Hay estimaciones que indican que en la actualidad hay más de 7.500 millones de dispositivos móviles, lo que supone una cifra superior al de la población mundial.

En ellos se almacena multitud de información que puede resultar determinante a la hora de resolver un incidente como por ejemplo: historial de llamadas tanto entrantes como salientes, mensajes de texto y multimedia, correos electrónicos, historial de navegación, fotos, videos, documentos, información en redes sociales, información en servicios de almacenamiento online, etc. e incluso es posible recuperar información eliminada previamente.

El artículo se centra precisamente en una aproximación a la metodología del proceso forense en dispositivos móviles, ya que pese a que tiene aspectos comunes con otro tipo de análisis forense como por ejemplo el de ordenadores, también tiene diferencias que se deben tener en cuenta.

Pese a que no existe una metodología estandarizada que se centre de manera específica el análisis forense de dispositivos móviles, hay una serie de guías que pueden servir de pauta a seguir para una correcta realización del proceso:
Existen diferentes modelos que identifican las distintas fases de un proceso forense, aunque de manera global se pueden identificar las siguientes:
  • Preservación: corresponde a la fase en la que se deben identificar los dispositivos a analizar y garantizar que no se pierdan las evidencias que deben ser recopiladas para su posterior análisis. El desconocimiento puede provocar la invalidación automática de las pruebas por ejemplo por no solicitar una autorización expresa por escrito para poder realizar el proceso o que se pierda información relevante que puede resultar decisiva para la resolución del incidente. Aspectos tan sencillos como preservar el dispositivo en una jaula de Faraday con el fin de aislarlo de cualquier tipo de señal o activar el modo avión evita por ejemplo la posibilidad de realizar un borrado remoto del terminal. Así mismo, se debe mantener un registro continuo del tratamiento realizado sobre el material con el fin de mantener la validez jurídica del proceso, en el caso de que sea necesario. Para ello, se requiere la presencia de un fedatario público: secretario judicial o notario que de fe la cadena de custodia, es decir, que garantice la integridad física y lógica de las pruebas. Este aspecto abarca desde la identificación y obtención de las mismas, pasando por el registro, almacenamiento, traslado, análisis final, y la entrega de éstas a las autoridades en caso de que sea necesario.
    Por otra parte, si los materiales deben ser transportados, se debe realizar con sumo cuidado, evitando que la información sea alterada o que se vea expuesta a temperaturas extremas o campos electromagnéticos.
    • Adquisición: Una evidencia puede ser definida como cualquier prueba que pueda ser utilizada en un proceso legal. Es por ello que debe tener las siguientes características:
      • Auténtica: debe ser verídica y no haber sufrido manipulación alguna.
      • Completa: debe representar la prueba desde un punto de vista objetivo y técnico, sin valoraciones personales, ni prejuicios.
      • Creíble: debe ser comprensible.
      • Confiable: las técnicas utilizadas para la obtención de la evidencia no deben generar ninguna duda sobre su veracidad y autenticidad.
      • Admisible: debe tener valor legal.
      Algunos ejemplos de evidencias digitales son: fotos, videos, documentos, registro de llamadas, correos electrónicos, mensajes de whatsapp, etc. En el caso de los dispositivos móviles es importante tener en cuenta que las tarjetas de memoria que habitualmente utilizan puede tener información de gran relevancia por lo que es necesario tenerla muy presente en esta fase.
    • Análisis: a la hora de realizar el análisis de la información recopilada se debe considerar el tipo de incidente al que se pretende ofrecer respuesta, ya que dependiendo del caso puede resultar necesario realizar un análisis más profundo de determinados aspectos.
    • Documentación: un aspecto fundamental en el proceso del análisis forense es el de la documentación por lo que se debe realizar dicha fase de una manera muy metódica y detallada. Se pueden realizar, entre otras, las siguientes acciones:
      • Fotografiar los dispositivos móviles y anotar su marca, modelo e información identificativa como el IMEI o IMSI, y su estado inicial: encendidos o apagados, bloqueados o no, etc.
      • Documentar todos los pasos realizados durante el proceso, manteniendo una bitácora con fechas y horas de cada acción realizada sobre las evidencias e incluyendo las herramientas utilizadas.
      • Elaborar dos tipos de informe de conclusiones: uno ejecutivo y uno técnico.
    • En este sentido es posible utilizar alguna plantilla como la propuesta en la Guía de Toma de Evidencias en Entornos Windows.
    • Presentación: la fase de presentación de la información es tan importante o más que las anteriores ya que se deben hacer accesibles y comprensibles las conclusiones que se han obtenido del proceso del análisis forense. Para ello, es recomendable seguir las siguientes pautas:
      • Preparar una presentación de manera pedagógica que sea fácilmente comprensible.
      • Detallar las conclusiones.
      • Explicar de manera clara el proceso que se ha llevado para la obtención de las evidencias.
      • Evitar las afirmaciones no demostrables o los juicios de valor.
      • Elaborar las conclusiones desde un punto de vista objetivo.
    Respecto al conjunto de fases hay que tener presente que no son secuenciales sino que están entrelazadas entre sí. Por ejemplo, la fase de documentación comienza en la fase de preservación.
    Al igual que ocurre con el análisis forense de cualquier otro dispositivo, una vez finalizado el proceso se debe procurar haber dado respuesta a las siguientes cuestiones: ¿qué?, ¿quién?, ¿cuándo?, ¿por qué? y ¿cómo?
  • ¿Qué? - Se debe haber concretado de una manera clara y objetiva los hechos acaecidos.
  • ¿Quién? - Se debe haber recopilado y anotado la información de las personas involucradas en el incidente.
  • ¿Cuándo? - Es fundamental llevar una línea de tiempo de todo lo sucedido durante el proceso.
  • ¿Por qué? - Aunque en ocasiones es complicado, hay que intentar identificar las motivaciones de los responsables del incidente.
  • ¿Cómo? - Dar respuesta a esta pregunta es un aspecto fundamental. Conseguir identificar por ejemplo cómo se ha visto comprometido un terminal o cómo ha sido utilizado para sustraer información es de una relevancia muy alta para la resolución del incidente.
A la hora de enfrentarse a un proceso de estas características pueden surgir una serie de complicaciones por lo que es importante tener en cuenta las dificultades inherentes al análisis forense en dispositivos móviles, entre las que destacan:
  • Multitud de modelos distintos: un informe de la empresa OpenSignal certifica la existencia de más de 24.000 modelos distintos de terminales que incluyen sistema operativo Android, lo que supone un incremento de más del 30% con respecto al año 2014. A estos datos hay que añadirle los diferentes modelos de fabricantes de dispositivos con otros sistemas operativos. La mayoría de ellos con distinto hardware y tecnología, lo que dificulta significativamente el trabajo del analista forense y provoca que deba adaptarse constantemente a nuevas técnicas o procedimientos.
  • Diferentes sistemas operativos: pese a que Android es el sistema operativo móvil de uso mayoritario existen otros que también tienen una importante cuota de mercado y que por tanto deben ser conocidos en profundidad para poder llevar a cabo el proceso de toma de evidencias, iOS, Windows Phone y BlackBerry OS son algunos de ellos.
  • Todos los sistemas operativos tienen sus propias medidas de seguridad que, en ocasiones, pueden dificultar el proceso como por ejemplo el bloqueo con patrón, pin o contraseña, por lo que es necesario conocer los mecanismos para sortear esas protecciones.
  • Aplicaciones instaladas: la gran cantidad de aplicaciones que instalan de manera habitual los usuarios: clientes de redes sociales, programas de mensajería instantánea, juegos, aplicaciones de salud y bienestar, etc.
  • Consideraciones legales: durante el proceso es fundamental cumplir en todo momento con la normativa vigente con el fin de mantener la validez legal de las pruebas. Como se ha comentado con anterioridad la presencia de un fedatario público al tomar las evidencias a analizar y el mantenimiento de la cadena de custodia son aspectos fundamentales en este sentido.
  • Técnicas anti-forense: al igual que sucede con otros dispositivos como en el caso de los ordenadores, es posible realizar diferentes acciones para dificultar la identificación de pruebas en un proceso forense, como por ejemplo: destrucción, ocultación o falsificación de las evidencias.
Fuente: Asier Martínez - INCIBE

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!