OPINIÓN

Carlos Coscollano, Senior Manager del área de Forensic Technology de BDO

Análisis forense en dispositivos móviles

Aunque el ordenador sigue siendo el dispositivo electrónico que más se utiliza en las empresas, los móviles tipo smartphone o tablet, tanto de uso personal como profesional, son los instrumentos preferidos por los usuarios en las comunicaciones diarias.

Tanto o más relevante que las comunicaciones por correo electrónico lo son las que se producen por el uso de aplicaciones móviles, ya sean de mensajería instantánea (WhatsApp, Telegram y similar) como de redes sociales (Twitter, Instagram o Facebook). En ellas se ejecuta y almacena información únicamente en el dispositivo móvil utilizado.

Sin embargo, rara vez nos encontramos con la posibilidad de acceder a los dispositivos móviles en las investigaciones en el mundo empresarial. Unas veces porque estos son propiedad del empleado, pero también porque, aunque pertenezcan a la empresa, suele ser más violento solicitar al trabajador el teléfono móvil que el ordenador. Al contrario sucede en las investigaciones realizadas por las Fuerzas y Cuerpos de Seguridad del Estado, en las que los móviles suelen ser las piezas clave de la investigación.

Al igual que para los ordenadores, existen multitud de herramientas especializadas en el análisis forense de los dispositivos móviles que facilitan el acceso y copiado de su contenido, preservando su originalidad y adaptadas a cada modelo de sistema operativo. Algunas de las más reconocidas son Cellebrite, Oxygen, XRY, Magnet, BlackBag, Belkasoft y EnCase.

Retos del análisis forense

A continuación, repasamos varias cuestiones que consideramos que son primordiales en el análisis forense de un dispositivo móvil:

Gestión del caso:

La información contenida en los dispositivos móviles tiene una ratio de volatilidad mucho mayor, y no solo por una cuestión de espacio en la memoria, sino porque la propia característica de movilidad del dispositivo lo convierte en un elemento susceptible de perderse u olvidarse con mucha facilidad.

Por mucho que las herramientas de análisis forense tengan entre sus funcionalidades las de identificación y recuperación de datos borrados, lo cierto es que las posibilidades de éxito son inversamente proporcionales al tiempo de uso del dispositivo.

Por lo tanto, si se quiere evitar la pérdida de información (de forma intencionada o accidental) habrá que anticipar y planificar la forma y el momento de acceder al dispositivo. Esto es, por un lado, identificar todo lo relativo a sus características (lo bien que vienen los inventarios de activos en este momento…), y por otro, planificar el momento de la entrega con el usuario y quién va a tratar el aparato, de forma que se pueda garantizar una custodia adecuada y un análisis controlado.

En este punto, una comunicación correcta entre los departamentos de la empresa es primordial para evitar situaciones que pongan en riesgo el contenido del dispositivo. No es infrecuente que, por ejemplo, en el proceso de salida de un empleado, el departamento de seguridad ponga en marcha su procedimiento de borrado remoto del dispositivo (a través de la herramienta MDM, Mobile Device Management), al no existir esa comunicación previa por parte de Recursos Humanos indicando la necesidad de que la información siga en el teléfono.

Otro factor que incide a la hora de tratar de recuperar la información es que no suelen existir copias de seguridad actualizadas. Por mucho que la empresa cuente con herramientas de gestión, del tipo MDM, estas no suelen dedicarse a tareas de preservación, sino más bien de seguridad y control, recayendo en el usuario la responsabilidad de decidir sobre qué datos y cuándo realizar la copia de seguridad.

Dificultad técnica y conocimiento especializado:

Ajustemos las expectativas. El análisis forense de un teléfono móvil no es un proceso trivial aun cuando contemos con los conocimientos y las herramientas especializadas. Factores inherentes al dispositivo, como su estado y configuración, pueden hacer imposible acceder al contenido; por ejemplo, cuando el teléfono está apagado y protegido con PIN o contraseña, desconocidas en el momento del análisis.

Por tanto, la pregunta es ¿qué hay que tener en cuenta antes de proceder con el análisis forense?

  • Plataformas: Aunque tradicionalmente nos referimos a un teléfono cuando hablamos de dispositivos móviles, hay una gran variedad de ellos que van desde el smartphone al tablet, pasando por el reproductor MP3 o la cámara de fotos, y más recientemente los relojes inteligentes, los drones y los dispositivos GPS. Trabajar con esta variedad de dispositivos constituye un reto para el analista forense, que necesitará conocer las particularidades de cada uno para extraer con éxito la máxima información. No obstante, periódicamente los fabricantes hacen cambios en la seguridad de los sistemas operativos, y vuelta a empezar para el analista.
  • Fabricantes: Conocer el tipo y modelo del dispositivo no es trivial en el caso de los smartphones. Actualmente, hay cientos de fabricantes que sacan al mercado una media de 15 modelos cada año. Identificar un modelo realizando una revisión visual del mismo es una ardua tarea, incluso para un analista experimentado. En muchos modelos, la única forma de acceder a los datos impresos en la carcasa del terminal es retirando primero la batería, lo que conlleva un riesgo de bloqueo del terminal y la pérdida de datos en memoria. Para evitar esto, las herramientas forenses facilitan la tarea de identificación una vez conectado el dispositivo.
  • Conectores físicos y lógicos: Aunque en los últimos años se ha reducido el número de tipos de conector físico a dos o tres (micro USB, USB tipo c y el lightning de Apple), no está de más contar en nuestra caja de herramientas con cables de otros tipos. En la selección del driver adecuado para conectar el móvil al ordenador es donde las herramientas forenses facilitan enormemente la tarea, puesto que los drivers de un fabricante pueden interferir con los de otro. En el caso de que la conexión con el cable físico no sea posible, siempre se puede intentar la conexión inalámbrica vía WiFi o Bluetooth.
  • Sistemas operativos: Aunque a día de hoy casi se puede hablar de solo dos tipos de sistemas operativos, Android y iOS, lo cierto es que ambos disponen de multitud de versiones que, además, reciben constantes actualizaciones que afectan al uso del espacio de almacenamiento, conceptos de seguridad y otras características. Sobre todo en el caso de Android, donde cada fabricante añade su capa de funcionalidad diferenciándolo así de la versión de Android estándar y del resto de competidores. Todo esto representa un inmenso reto para los analistas forenses, ya que les obliga a tener diversas herramientas de análisis y a conocer los aspectos básicos de cada sistema operativo.
  • Mecanismos de seguridad: Dise­ñados para proteger el contenido del dispositivo (patrones de desbloqueo, huella dactilar o contraseñas, códigos PIN y PUK, patrones de cifrado total o parcial del dispositivo), añaden un plus de dificultad en el acceso. Si bien un dispositivo bloqueado con PIN o contraseña puede ser desbloqueado utilizando un software apropiado o solicitando al usuario la clave de acceso, en el caso del cifrado la cosa se pone más difícil, pudiendo ser imposible acceder al dispositivo.
  • Apps: A día de hoy, el mercado de Apps en Google Play Store supera los 3,5 millones. Sin embargo, las herramientas de análisis forense solo son capaces de analizar unos cuantos cientos de estas aplicaciones. Normalmente, las más populares. Por lo tanto, para extraer la información de determinadas Apps es necesario que el analista cuente con conocimientos de programación o extraiga las bases de datos y las procese con otras herramientas.
  • Almacenamiento en la nube: Existe una creciente cantidad de información almacenada en las nubes del fabricante del dispositivo o en las de cada App, a la vez que mucha de la información almacenada en el aparato acaba borrada, principalmente por problemas con el espacio de memoria. Por lo tanto, esas copias en la nube son de gran utilidad para tratar de recuperar información borrada o inaccesible desde el dispositivo. Sin embargo, recuperar dicha información no es inmediato, puesto que entran en juego mecanismos alternativos de seguridad como el doble factor de autenticación, que envía un código de desbloqueo al número de teléfono o a una dirección de correo a los que podemos no tener acceso. A lo que hay que añadir las regulaciones de privacidad de datos, tanto del país donde residan esos datos como desde el que se realice la investigación.

Pinche aquí para acceder al contenido completo

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual