1 84 Table of Contents 86 108

Segurilatam 017

artículo técnico Ciberseguridad MMS, contactos, registros de llamadas o calendario. Extracción de sistemas de archivos: da un volumen intermedio de datos. Extrae los archivos de sistema del dis- positivo, los datos del usuario, de apli- caciones y algunos archivos ocultos o protegidos. Los sistemas de archivo pueden contener información que no es visible en una extracción lógica. Extracción física: este método es el más invasivo. En algunos casos, para poder hacer este tipo de extracción es necesario manipular el terminal. Hace una copia bit a bit de todo el contenido de la memoria flash del equipo, inclu- yendo el espacio sin asignar. De este modo se puede acceder a información que haya sido borrada recientemen- te. Proporciona un mayor número de datos que las anteriores, aunque es el menos soportado por los dispositivos. En Ondata International recomenda- mos a los clientes a los que suministra- mos este tipo de soluciones que, antes de proceder con una metodología de extracción u otra, establezcan políticas donde se enumeren los pasos a seguir para llevar a cabo la adquisición de evi- dencias de móviles. En base a nuestra experiencia, recomendamos que estos pasos vayan desde las metodologías no invasivas a invasivas, pues las primeras suelen garantizar en mayor medida la integridad de la evidencia. La figura que aparece en esta página clasifica las herramientas forenses de adquisición de datos móviles en función de lo invasivas que son. En la base de la pirámide están las soluciones que utili- zan técnicas menos invasivas. A medida que se escala en ella, las técnicas de las herramientas y las de los investigadores son más invasivas, el nivel de formación técnica debe ser más alto y el tiempo a emplear para la adquisición es mayor. Métodos no invasivos Manual: el investigador analiza el dis- positivo utilizando la pantalla táctil o el teclado. La evidencia de interés es docu- mentada fotográficamente. Para este fin existen herramientas como XRY Camera o UFED Camera. Ambas permiten tomar fotografías del contenido de la pantalla del teléfono y agregar comentarios que permitan respaldar el caso. Lógica: esta técnica necesita estable- cer algún tipo de conexión entre el dis- positivo y el software forense. Puede ser a través de un cable USB, Bluetooth, infrarrojos o RJ-45. Es soportada por un gran número de soluciones como: MobilEdit, UFED 4PC Logical de Cellebrite, XRY Logical de MSAB, Oxygen Forensics Suite y MD Next de Hancom, entre otras. Hex Dump/JTAG: extrae todos los datos del teléfono haciendo una copia bit a bit del contenido. Este proceso requiere que el equipo se conecte a los puertos de acceso de prueba del equipo (TAP). El resultado es un archivo binario que requiere de un perfil técnico que pueda interpretarlo. Las herramientas disponibles para esta téc- nica son más sofisticadas. Algunas son: UFED Ultimate de Cellebrite, XRY Complete de MSAB, MD Box de Hancom, Riff Box, Moorc o Easy JTag plus. Métodos invasivos Chip-off: consiste en extraer los chips de memoria del teléfono. Se utiliza un lector para acceder a la información y extraer una copia bit a bit de la memoria. El nivel de dificultad de este procedimien- to es elevado; cualquier error puede ocasionar la pérdida definitiva de los datos. Algunas herramientas disponibles para esto son MD Reader de Hancom, Microscopio, Riff Box, etc. Micro Read: Este proceso implica interpretar los datos del chip de memo- ria. Se debe utilizar un microscopio de alta potencia para analizar las puertas físicas de los chips , leer las puertas binarias y convertirlas en ASCII. Un pro- cedimiento caro y que requiere mucho tiempo (Ayers, Brothers, Jansen, 2014). Sea cual sea la metodología o la herramienta de adquisición que se uti- lice, parece que la realidad es que los teléfonos móviles deben incluirse en las investigaciones. Su gran capacidad de almacenamiento de datos y su nivel de usabilidad hacen que estos dispositivos sean una fuente relevante de evidencia. Buscar un balance entre la protección de la información y la privacidad del usuario es un reto que las organizacio- nes deben afrontar en el corto plazo. Clasificación de herramientas forenses de dispositivos móviles. Primer cuatrimestre 2021 / 85

RkJQdWJsaXNoZXIy ODM4MTc1