Red Seguridad 090

red seguridad tercer trimestre 2020 59 datos. Extrae los archivos de sis- tema del dispositivo, los datos del usuario, de aplicaciones y algunos archivos ocultos o protegidos. Los sistemas de archivo pueden con- tener información que no es visible en una extracción lógica. Extracción física: este método es el más invasivo. En algunos casos, para poder hacer este tipo de extracción es necesario mani- pular el terminal. Hace una copia bit a bit de todo el contenido de la memoria flash del equipo, inclu- yendo el espacio sin asignar. De este modo se puede acceder a información que haya sido borra- da recientemente. Proporciona un mayor número de datos que las anteriores, aunque es el menos soportado por los dispositivos. En Ondata International recomen- damos a los clientes a los que sumi- nistramos este tipo de soluciones que, antes de proceder con una metodología de extracción u otra, establezcan políticas donde se enu- meren los pasos a seguir para llevar a cabo la adquisición de evidencias de móviles. En base a nuestra expe- riencia, recomendamos que estos pasos vayan desde las metodologías no invasivas a invasivas, pues las primeras suelen garantizar en mayor medida la integridad de la evidencia. La figura que aparece en esta pági- na clasifica las herramientas forenses de adquisición de datos móviles en función de lo invasivas que son. En la base de la pirámide están las solu- ciones que utilizan técnicas menos invasivas. A medida que se escala en ella, las técnicas de las herramientas y las de los investigadores son más invasivas, el nivel de formación téc- nica debe ser más alto y el tiempo a emplear para la adquisición es mayor. Métodos no invasivos Manual: el investigador analiza el dispositivo utilizando la pantalla táctil o el teclado. La evidencia de interés es documentada fotográficamente. Para este fin existen herramientas como XRY Camera o UFED Camera. Ambas permiten tomar fotografías del contenido de la pantalla del telé- fono y agregar comentarios que per- mitan respaldar el caso. Lógica: esta técnica necesita establecer algún tipo de conexión entre el dispositivo y el software forense. Puede ser a través de un cable USB, Bluetooth, infrarro- jos o RJ-45. Es soportada por un gran número de soluciones como: MobilEdit, UFED 4PC Logical de Cellebrite, XRY Logical de MSAB, Oxygen Forensics Suite y MD Next de Hancom, entre otras. Hex Dump/JTAG: extrae todos los datos del teléfono haciendo una copia bit a bit del contenido. Este proceso requiere que el equipo se conecte a los puertos de acce- so de prueba del equipo (TAP). El resultado es un archivo binario que requiere de un perfil técnico que pueda interpretarlo. Las herramien- tas disponibles para esta técnica son más sofisticadas. Algunas son: UFED Ultimate de Cellebrite, XRY Complete de MSAB, MD Box de Hancom, Riff Box, Moorc o Easy JTag plus. Métodos invasivos Chip-off: consiste en extraer los chips de memoria del teléfono. Se utiliza un lector para acceder a la información y extraer una copia bit a bit de la memoria. El nivel de dificultad de este procedimiento es elevado; cualquier error puede ocasionar la pérdida definitiva de los datos. Algunas herramientas disponibles para esto son MD Reader de Hancom, Microscopio, Riff Box, etc. Micro Read: Este proceso impli- ca interpretar los datos del chip de memoria. Se debe utilizar un microscopio de alta potencia para analizar las puertas físicas de los chips , leer las puertas binarias y convertirlas en ASCII. Un procedi- miento caro y que requiere mucho tiempo (Ayers, Brothers, Jansen, 2014). Sea cual sea la metodología o la herramienta de adquisición que se utilice, parece que la realidad es que los teléfonos móviles deben incluirse en las investigaciones. Su gran capacidad de almacenamiento de datos y su nivel de usabilidad hacen que estos dispositivos sean una fuente relevante de evidencia. Buscar un balance entre la protec- ción de la información y la privaci- dad del usuario es un reto que las organizaciones deben afrontar en el corto plazo. opinión forense monográfico Clasificación de herramientas forenses de dispositivos móviles.