Red Seguridad 84

Análisis forense en dispositivos móviles A unque el ordenador sigue siendo el dispositivo electrónico que más se utiliza en las empresas, los móvi- les tipo smartphone o tablet , tanto de uso personal como profesional, son los instrumentos preferidos por los usuarios en las comunicaciones diarias. Tanto o más relevante que las comunicaciones por correo elec- trónico lo son las que se producen por el uso de aplicaciones móviles, ya sean de mensajería instantánea (WhatsApp, Telegram y similar) como de redes sociales (Twitter, Instagram o Facebook). En ellas se ejecuta y almacena información únicamente en el dispositivo móvil utilizado. Sin embargo, rara vez nos encon- tramos con la posibilidad de acceder a los dispositivos móviles en las investigaciones en el mundo empre- sarial. Unas veces porque estos son propiedad del empleado, pero tam- bién porque, aunque pertenezcan a la empresa, suele ser más violento solicitar al trabajador el teléfono móvil que el ordenador. Al contrario sucede en las investigaciones realizadas por las Fuerzas y Cuerpos de Seguridad del Estado, en las que los móviles suelen ser las piezas clave de la investigación. Al igual que para los ordenado- res, existen multitud de herramientas especializadas en el análisis forense de los dispositivos móviles que faci- litan el acceso y copiado de su con- tenido, preservando su originalidad y adaptadas a cada modelo de sis- tema operativo. Algunas de las más reconocidas son Cellebrite, Oxygen, XRY, Magnet, BlackBag, Belkasoft y EnCase. Retos del análisis forense A continuación, repasamos varias cuestiones que consideramos que son primordiales en el análisis foren- se de un dispositivo móvil: Gestión del caso: La información contenida en los dis- positivos móviles tiene una ratio de volatilidad mucho mayor, y no solo por una cuestión de espacio en la memoria, sino porque la propia característica de movilidad del dis- positivo lo convierte en un elemento susceptible de perderse u olvidarse con mucha facilidad. Por mucho que las herramientas de análisis forense tengan entre sus funcionalidades las de identificación y recuperación de datos borrados, lo cierto es que las posibilidades de éxito son inversamente proporciona- les al tiempo de uso del dispositivo. Por lo tanto, si se quiere evitar la pérdida de información (de forma intencionada o accidental) habrá que anticipar y planificar la forma y el momento de acceder al dispositivo. Esto es, por un lado, identificar todo lo relativo a sus características (lo bien que vienen los inventarios de activos en este momento…), y por otro, planificar el momento de la entrega con el usuario y quién va a tratar el aparato, de forma que se pueda garantizar una custodia ade- cuada y un análisis controlado. En este punto, una comunicación correcta entre los departamentos de la empresa es primordial para evitar situaciones que pongan en riesgo el contenido del dispositivo. No es infrecuente que, por ejemplo, en el proceso de salida de un empleado, el departamento de seguridad ponga en marcha su procedimiento de borrado remoto del dispositivo (a tra- vés de la herramienta MDM, Mobile Device Management ), al no existir esa comunicación previa por parte de Recursos Humanos indicando la necesidad de que la información siga en el teléfono. Otro factor que incide a la hora de tratar de recuperar la información es que no suelen existir copias de segu- ridad actualizadas. Por mucho que la empresa cuente con herramientas de gestión, del tipo MDM, estas no suelen dedicarse a tareas de preser- vación, sino más bien de seguridad y control, recayendo en el usuario la responsabilidad de decidir sobre qué datos y cuándo realizar la copia de seguridad. Dificultad técnica y conocimiento especializado: Ajustemos las expectativas. El aná- lisis forense de un teléfono móvil no es un proceso trivial aun cuan- do contemos con los conocimientos y las herramientas especializadas. Factores inherentes al dispositivo, como su estado y configuración, pueden hacer imposible acceder al contenido; por ejemplo, cuando el teléfono está apagado y protegido con PIN o contraseña, desconocidas en el momento del análisis. 54 red seguridad primer trimestre 2019 Carlos Coscollano Senior Manager del área de Forensic Technology de BDO opinión forense monográfico