instituto politÉcnico nacio nal
TRANSCRIPT
INSTITUTO POLITÉCNICO NACIONAL
ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA
UNIDAD CULHUACAN
SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN
“PROPUESTA DE UNA METODOLOGÍA DE ANÁLISIS FORENSE PARA DISPOSITIVOS DE TELEFONÍA CELULAR”
T E S I S
QUE PARA OBTENER EL GRADO DE: M A E S T R O EN C I E N C I A S DE INGENIERÍA EN MICROELECTRÓNICA P R E S E N T A: ING. LUCIO SANTES GALVÁN ASESOR: DR. RUBÉN VÁZQUEZ MEDINA.
AGRADECIMIENTO AL CONACYT Y AL IPN POR LAS BECAS DE POSGRADO E INVESTIGACIÓN
QUE ME OTORGARON EN MI PROCESO DE FORMACIÓN
MÉXICO, D.F. MARZO DE 2009
Agradecimientos.
Agradezco al Instituto Politécnico Nacional y a todo el sistema educativo involucrado, tanto a la Escuela Superior de Ingeniería Mecánica y Eléctrica unidad Culhuacan como a la Sección de Estudios de Posgrado e Investigación por haberme dado la oportunidad de participar en el plan de estudios de la Maestría en Ciencias.
También quiero agradecer al Dr. Rubén Vázquez Medina pues mediante sus consejos, apoyo y experiencia fue posible concluir este proyecto. Gracias Rubén por toda la confianza brindada.
Sin duda alguna, a quiero agradecer a mis padres y mis hermanas por siempre estar presentes y a mi lado, ayudándome en todos los aspectos para que pueda hacer realidad cada uno de los sueños que me he propuesto en mi vida.
También quiero agradecer a todas aquellas personas que, de alguna manera, me apoyaron y ayudaron durante esta etapa de mi vida, a mis profesores, a mis amigos por brindarme su apoyo en momentos cruciales, a todas aquellas personas que ya no están conmigo pero que siempre me desearon lo mejor. Gracias a todos ustedes.
Por último, quiero agradecer a Dios cada una de las cosas que me ha regalado en mi vida, tal como ocurre con esta maestría, la cual sin duda alguna, es un regalo más. Gracias Dios por llenarme tanto de inspiración como de energía para seguir adelante.
Tabla de Contenido.
Resumen ................................ ................................ ................................ ................................ .. 8
Abstract ................................ ................................ ................................ ................................ ... 8
Organización de la Tesis ................................ ................................ ................................ ............ 9
Capítulo 1 Contexto de la Investigación ................................ ................................ ................... 10
1.1. Delimitación del Tema. ................................................................................................. 10
1.2. Identificación y Planteamiento del Problema. ............................................................ 11
1.3. Objetivo General. .......................................................................................................... 15
1.4. Objetivos Específicos. ................................................................................................... 15
1.5. Justificación de la Investigación. .................................................................................. 16
Capítulo 2 Estado del Arte. ................................ ................................ ................................ ...... 20
2.1. Aplicación del Proceso Forense a equipos informáticos y de telecomunicaciones. ... 21
2.2. Manejo de Incidentes Informáticos. ............................................................................ 22
2.3. La Investigación digital.................................................................................................. 24
2.4. Investigaciones del NIST sobre la Evidencia Digital en Telefonía Celular. .................. 26
2.5. Avances Reportados sobre el Análisis Forense en Equipos Celulares. ........................ 28
Capítulo 3 Arquitectura de los teléfonos celulares. ................................ ................................ .. 30
3.1. Descripción Funcional de un Teléfono Celular. ............................................................ 30
3.2. Descripción Electrónica de un Teléfono Celular .......................................................... 32
3.3. Sistemas Operativos de Teléfonos Celulares. .............................................................. 35
3.4. La Tarjeta SIM y su Sistema de Archivos. ..................................................................... 39
3.5. Fuentes de Evidencia Digital. ........................................................................................ 43
3.5.1. Evidencia en la Tarjeta SIM. ...................................................................................... 43
3.5.2. Evidencia de un Equipo Móvil. ................................................................................. 47
3.6. Estructura de la Red. ..................................................................................................... 50
Capítulo 4 Fundamentos para proponer una Metodología Forense. ................................ ......... 56
4.1. Antecedentes. ............................................................................................................... 56
4.2. Formalización de una metodología usando Procedimientos Operativos Estándar. .. 58
4.3. Documentos de Soporte. .............................................................................................. 62
4.4. Principios de la Evidencia Digital de la IOCE/ACPO ..................................................... 68
4.4.1. Descripción. ............................................................................................................... 68
4.4.2. Implementación. ....................................................................................................... 69
4.5. Reconstrucción de Eventos. .......................................................................................... 72
4.6. Herramientas de Análisis Forense en Celulares ........................................................... 76
4.7. Reporte de Utilidad Legal. ............................................................................................ 79
4.8. Aplicación del Método Científico. ................................................................................ 81
Capítulo 5 Metodología Propuesta ................................ ................................ .......................... 85
5.1. Antecedentes. ............................................................................................................... 85
5.2. Características de la Metodología. ............................................................................... 85
5.3. Alcance. ......................................................................................................................... 88
5.4. Objetivo. ........................................................................................................................ 89
5.5. Limitaciones. ................................................................................................................. 89
5.6. Requisitos. ..................................................................................................................... 89
5.6.1. Acerca del Personal. .................................................................................................. 89
5.6.2. Acerca de las Herramientas. ..................................................................................... 91
5.7. Etapas de la Metodología Propuesta. .......................................................................... 92
5.8. Aplicación de la Metodología y Resultados. .............................................................. 126
5.9. La Metodología como Sistema Auxiliar para Control de Delitos. ............................. 131
Conclusiones ................................ ................................ ................................ ......................... 133
Trabajo a Futuro ................................ ................................ ................................ ....................137
Publicaciones ................................ ................................ ................................ ........................ 139
Bibliografía ................................ ................................ ................................ ............................ 142
Índice de Figuras.
Figura 1-1 Telefonía Celular: Total de usuarios e incrementos (miles). ............................................ 12 Figura 1-2 Telefonía Celular (miles de minutos): Variación porcentual anual .................................. 13 Figura 1-3 Gráfica mostrando el último registro de actividad del teléfono móvil de Jessica ........... 18 Figura 3-1 Componentes y arquitectura general del sistema de un equipo móvil ........................... 33 Figura 3-2 Asignación de almacenamiento ....................................................................................... 35 Figura 3-3 Asignación alternativa de almacenamiento ..................................................................... 36 Figura 3-4 Convergencia tecnológica entre celulares y PDAs ........................................................... 37 Figura 3-5 Arquitectura del Software utilizada en Teléfonos Inteligentes ........................................ 38 Figura 3-6 Elementos básicos de una Tarjeta SIM ............................................................................. 41 Figura 3-7 Sistema de Archivos de una tarjeta SIM ........................................................................... 42 Figura 3-8 Tipos de Archivos Elementales (EF). ................................................................................. 43 Figura 3-9 Modelo jerárquico de Identidad de una Red GSM ........................................................... 51 Figura 3-10 Identidades físicas del sistema GSM .............................................................................. 52 Figura 4-1 Método general para el diseño de métodos .................................................................... 82
Índice de Tablas
Tabla 2-1 Fuentes comunes de precursores e indicadores de un incidente ..................................... 23 Tabla 3-1 Descripción de software para equipos en telefonía móvil ................................................ 32 Tabla 3-2 Correlación entre Fuentes de Evidencia y Objetivos ......................................................... 49 Tabla 4-1 Preguntas recomendadas para diseñar un SOP ................................................................ 61 Tabla 4-2 Resumen de aspectos sobresalientes de las propuestas .................................................. 66 Tabla 4-3 Actividades principales involucradas para realizar el proceso de investigación digital ... 67 Tabla 4-4 Datos extraídos del equipo de telefonía celular ................................................................ 78 Tabla 4-5 Datos que se lograron extraer de la tarjeta SIM................................................................ 78 Tabla 4-6 Datos extraídos de elementos externos ............................................................................ 79 Tabla 4-7 Ficha técnica del equipo de telefonía celular. ................................................................... 79 Tabla 4-8 Elementos requeridos para el diseño de métodos según Jones ....................................... 82 Tabla 5-1 Perfil psicológico deseable para el manejo de cualquier investigación digital ................. 90 Tabla 5-2 Conocimientos mínimos recomendados para facilitar la aplicación de la metodología ... 90 Tabla 5-3 Comparación de actividades entre la metodología y los documentos de soporte ........... 94 Tabla 5-4 Aplicación de la primera fase diseñada para la metodología .......................................... 127 Tabla 5-5 Resultados al ejecutar la segunda fase de la metodología. ............................................. 128 Tabla 5-6 Resultados obtenidos al ejecutar la tercera fase de la metodología .............................. 130 Tabla 5-7 Resultados obtenidos al ejecutar la última fase de la metodología. ............................... 131
8
Resumen
Esta tesis desarrolla una propuesta de metodología forense para equipos de telefonía celular compuesta por cuatro fases. Su diseño integra elementos suficientes y necesarios, los cuales satisfacen los requisitos que toda ciencia forense digital requiere en la actualidad. Los principales elementos incluidos en la metodología son: 1) Se encuentra soportada por el método científico. 2) El desarrollo de los métodos respetan los principios de la evidencia digital y se adaptan al análisis forense en telefonía celular GSM. 3) Extrae aquellas características compatibles de la Informática Forense, las cuales aparecen en documentos desarrollados por instituciones internacionales dedicadas al manejo de la evidencia digital (SWGDE, NIST, ACPO). 4) Propone una opción para formalizar los métodos diseñados; y de esta manera, estandarizar los procedimientos utilizados en el proceso de investigación digital. Esto puede resultar útil para mejorar la cadena de custodia de la evidencia y garantizar la admisibilidad de la evidencia; 5) Propone un método para la reconstrucción de eventos, el cual se encarga de la creación, validación, prueba y aceptación/rechazo de la hipótesis relacionada con el incidente. Por último, se presenta un ejemplo de aplicación para utilizar la metodología y, mediante los resultados obtenidos, confirmar su capacidad para atender incidentes relacionados con equipos de telefonía celular.
Abstract
A forensic methodology for cell phones is proposed. It is composed of four stages and its design includes elements that satisfy the requirements for digital forensics nowadays. The most important elements included in the methodology are: 1) It is supported by the scientific method. 2) The development of the methods is according with ACPO’s digital evidence principles and these methods are adapted to the GSM cell phone technology. 3) It extracts those compatible characteristics of the Computer Forensics which appear in documents created by international corporations dedicated to the digital evidence handling (SWGDE, NIST and ACPO). 4) It proposes a strategy in order to use standardized procedures in some digital forensics investigations. This could be useful to improve the chain custody evidence and to ensure the admissibility of that evidence. 5) It suggests a method for reconstructing events implying creation, validation, testing and approval/disapproval of the hypothesis related with an incident. Finally, an example is presented to make use of the methodology and, with the results obtained, confirm its ability to attend incidents related with cell phones.
9
Organización de la Tesis
El cuerpo de la tesis se encuentra dividida en: cinco capítulos, una sección para conclusiones y una sección dedicada a trabajo futuro. A continuación se comenta brevemente la finalidad de cada capítulo.
En el primer capítulo se definen las bases para desarrollar el trabajo de investigación: Se identifica el problema existente, la importancia por la que debe desarrollarse el proyecto, se incluyen estadísticas relacionadas con la aceptación de la telefonía celular GSM, se presentan casos en donde ésta tecnología se encuentra involucrada con diversos incidentes o delitos. También se identifica la falta y necesidad de un marco de trabajo para realizar el proceso forense en nuestro país tanto en computadoras como en equipos de telefonía celular.
En el segundo capítulo se presentan los conceptos clave de la Informática Forense como de la Respuesta a incidentes Informáticos. Se incluyen aquellos trabajos que permiten comprender la importancia de establecer métodos que sean capaces de atender aquellos nuevos escenarios. Escenarios en donde se requiera manejar la evidencia digital generada en equipos de telefonía celular. Dada esta base teórica, es posible integrar en el proyecto aquellos requisitos más específicos con los que la metodología deba cumplir.
El tercer capítulo está dedicado al estudio de la tecnología GSM. La finalidad es la de identificar aquellas fuentes de evidencia digital. De esta manera, la metodología a mejorará el proceso de investigación digital en los equipos de telefonía celular que utilicen la tecnología GSM.
En el capítulo cuatro se genera la estrategia de creación de la metodología. Esta estrategia considera: la aplicación del método científico, utilización de metodologías (en el área de la Informática Forense) para el manejo de evidencia digital reconocidas a nivel internacional, mecanismos para crear métodos junto con la capacidad de estandarizarlos, y por último, la integración de una técnica para reconstruir los eventos involucrados en el incidente.
El quinto capítulo consta de la metodología desarrollada: presentando las fases y métodos que la integran. Además de generar la metodología, también es sometida a una validación para constatar que su aplicación genera los resultados exigidos por los requisitos que la ciencia forense digital requiere.
10
Capítulo 1 Contexto de la Investigación
Este capítulo presenta elementos que bridan motivos para realizar una propuesta de
metodología para el análisis forense en equipos de telefonía celular, entre los cuales
destacan las estadísticas relacionadas con la aceptación de la tecnología celular en
México y los casos reales que se han apoyado para ser resueltos en la evidencia
digital almacenada en éstos equipos. En este capítulo se define el alcance y objetivos
que persigue el trabajo de la investigación.
1.1. Delimitación del Tema.
Este proyecto de tesis involucra una investigación específica en el área de Seguridad Informática;
particularmente orientada y limitada al campo de la Informática Forense en equipos de
comunicación móvil, específicamente en dispositivos de telefonía celular.
A partir de un estudio sobre los procedimientos y técnicas que ofrece la Informática Forense, y de
acuerdo con las recomendaciones dadas por instituciones nacionales y extranjeras, se pretende
establecer una metodología que permita obtener la evidencia digital generada en teléfonos
celulares que pudiera estar relacionada con un incidente de seguridad. Con esto se da lugar a un
nuevo campo de investigación conocido como Ciencias Forenses en Telefonía Celular, que está
poco explotado en México. No obstante, toma relevancia debido al gran número de usuarios de
este servicio. Según la Cofetel, en el 2do. Trimestre del 2006, la teledensidad en telefonía
celular/PCS1 se ubicaba en aproximadamente 48.8 líneas por cada 100 habitantes a nivel nacional
(1). Es importante señalar que la investigación no pretende abarcar aspectos legales o temas que
involucren la forma en que los sistemas judiciales deben de manejar la evidencia que se pudiera
aportar para resolver delitos que involucren el uso de esta tecnología de comunicación personal.
Esto queda como responsabilidad de los profesionales del derecho y del derecho informático. Sin
embargo, sí considera los aspectos técnicos relacionados con la obtención, y análisis de la
evidencia, así como los procedimientos para el manejo responsable y con garantías de custodia de
la evidencia digital.
1 PCS (Servicios Personales de Comunicación). El teléfono incluye otros servicios tales como identificación de llamada, radiolocalizador, y correo electrónico.
11
1.2. Identificación y Planteamiento del Problema.
Actualmente, los alcances de la telefonía celular han rebasado las expectativas de la sociedad,
pues ya no tan solo son considerados como un medio de comunicación sino también como un
medio efectivo para administrar datos, lo que los convierte en instrumentos de apoyo en
diferentes actividades humanas. Esto se debe a que, además de realizar la operación de
transmisión; también permiten la creación, procesamiento y almacenamiento de datos en diversos
formatos electrónicos, junto con la posibilidad de utilizar el servicio de Internet.
La sociedad en nuestros días está caracterizada por comunicaciones electrónicas. Pero mientras
estos desarrollos generalmente otorgan beneficios económicos y sociales, también pueden, en
manos equivocadas, generar consecuencias negativas para la misma sociedad, ya sea por la falta
de conciencia sobre las implicaciones legales del uso indebido de esta tecnología. Por ejemplo, la
publicación de fotografías en la Red tomadas de manera furtiva (2); o bien, por el desconocimiento
de los límites regulatorios que cada país impone al uso de esta tecnología, ó cuando un usuario de
telefonía fija se ve acosado por llamadas de empresas que hacen uso del telemarketing y, a pesar
de que existe una ley en México en contra de esas prácticas, el usuario no hace nada por conocer
dicha ley (3).
Mientras que el uso de la tecnología celular tiene un lado ventajoso, ya que los desarrollos y
servicios resultantes enriquecen la experiencia de los usuarios, por otro lado, han aparecido
inconvenientes que atentan contra la seguridad, integridad y tranquilidad de los usuarios, como la
extorsión telefónica. Por ejemplo, de acuerdo con Rafael del Villar Alrich, Subsecretario de
Comunicaciones y Transportes (SCT) comenta para el periódico El Universal : “En lo que va del
2008 se han registrado 10 mil intentos de ilícitos vía mensajes de texto por teléfono celular, y 7 mil
llamadas a teléfonos móviles, en intentos de secuestro y extorsión”, y además agrega “se
encuentran en etapa de evaluación de políticas que tienen que ver con el manejo de los teléfonos
celulares, con la finalidad primordial de evitar que los aparatos se utilicen para ilícitos.” (4). Los
daños producidos por los delitos efectuados usando las tecnologías de la información y
comunicación, son frecuentemente de impacto considerable sobre los usuarios. Muchos son
delitos ya catalogados como tales por la ley, pero con la cualidad de que un celular fue un
instrumento clave para llevar acabo de manera exitosa el delito. Bajo este escenario, y partiendo
de la premisa de que en un delito fue utilizado un celular como instrumento activo,
12
indudablemente existe una evidencia digital, que debe ser obtenida y analizada. Por ello, se
requiere de profesionales que cuenten con la habilidad y los conocimientos para hacer frente a
delitos que involucran el uso de la tecnología celular.
Antes de continuar abordando este tema es conveniente tomar en cuenta los siguientes datos
estadísticos en México (Ver Figura 1-1). Estos datos son proporcionados por la Dirección General
Adjunta de Tecnologías de la Información y Comunicaciones de la Comisión Federal de las
Telecomunicaciones (COFETEL)2 pertenecientes al 2do. Trimestre de 2006 (1).
“… En lo que respecta al número de usuarios, al cierre del junio 2006 de se registraron 51.18
millones de usuarios de telefonía celular, lo que significa un incremento de 19.5% respecto al
mismo periodo de 2005. Con este valor, la teledensidad en telefonía celular/PCS se ubica en
aproximadamente 48.8 líneas por cada 100 habitantes. Durante el trimestre de análisis las adición
neta de usuarios fue de 2.23 millones.”
Los datos anteriores permiten reconocer la conveniencia de generar especialistas que cuenten con
la capacidad técnica para enfrentar el tipo de incidentes que involucren el uso de la tecnología en
telefonía celular.
Figura 1-1 Telefonía Celular: Total de usuarios e incrementos (miles).
2 Datos publicados en el sitio Cofetel www.cofetel.gob.mx
13
De igual manera, también indica que el número de llamadas de voz y de datos también se ha
incrementado (véase la Figura 1-2) y cita lo siguiente (1): “En lo que respecta a telefonía
celular/PCS, sigue como uno de los subsectores más dinámicos del sector telecomunicaciones,
tanto por el crecimiento de sus usuarios como del tráfico. Sin embargo, en este último rubro se ha
generado una desaceleración a pesar de la reducción de las tarifas en términos reales. En este
sentido, la creciente popularidad y el uso del servicio de mensajes cortos ayudan a explicar el
citado fenómeno, así como el perfil de los nuevos usuarios de telefonía móvil que privilegian la
recepción de tráfico sobre la generación de llamadas”.
Figura 1-2 Telefonía Celular (miles de minutos): Variación porcentual anual
Como puede notarse, este universo de usuarios de la telefonía celular presume la posibilidad de
una importante cantidad de delitos que involucran a las tecnologías de información y las
telecomunicaciones (TICS3). Estos datos estadísticos justifican abordar el problema del análisis
forense en equipos de telefonía celular en México, ya que la telefonía celular, al usarse de forma
delictiva, demanda de un mecanismo auxiliar en un proceso legal, civil y/o administrativo.
Una vez comentado brevemente el uso inapropiado dado a los celulares, y partiendo de la premisa
que existen datos existentes en su sistema, es posible detectar la necesidad por conocer los
detalles técnicos sobre el funcionamiento de los dispositivos celulares para que se pueda
identificar y manejar adecuadamente la evidencia digital para resolver un delito cometido,
aplicando alguna metodología forense.
3 Tecnologías de información de comunicación personal (TICS). Son aquellas herramientas computacionales e informáticas que procesan, almacenan, sintetizan, recuperan y presentan información representada en una forma más variada.
14
A parte de este uso inapropiado, existe otro problema al que se enfrenta el presente trabajo de
investigación. Este problema se relaciona con la aplicación de metodologías formales y/o
aceptadas en nuestro país. En este sentido se realizó una investigación para comprender el uso y
desarrollo de las metodologías de la informática forense en México se realizó una investigación de
la información pública que presentan diversas fuentes relacionadas con este tema; y ninguna de
ellas ofrece detalles sobre la manera de proceder metodológicamente en un análisis forense en el
ámbito informático. Por el contrario, las instituciones en México se apoyan en metodologías
propuestas en otros países, o bien, han generado sus propios métodos clasificándolos como
confidenciales y de uso reservado. Por ejemplo, el equipo de respuesta a incidentes de la UNAM
(UNAM-CERT), institución especializada en el área seguridad informática ha identificado la
importancia de contar con una metodología (5), pero no proporciona detalles al respecto. Por otro
lado, se puede afirmar que el análisis forense en el ámbito informático está en desarrollo en
México, ya que el UNAM-CERT ha precisado también en (5) que “los administradores aún no tienen
claro para qué sirve el análisis forense“. En el mismo sentido, Jorge Garibay, director de Auditoría
de la Asociación Internacional de Auditores en Sistemas de Información (ISACA) México comenta
que el análisis forense en equipos informáticos "Es una disciplina de reciente creación en el
mundo, y en México se empezó a emplear el término en 2004", y por lo mismo, dice, “en nuestro
país es incipiente la legislación en torno a la materia” (6). Ambos ejemplos muestran claramente
que el análisis forense aún presenta carencias en cuanto al desarrollo de metodologías y más aún
en el marco legal para su aplicación en México.
Ante este complejo escenario, se pueden puntualizar las siguientes interrogantes: ¿Cómo es
posible obtener, manejar y analizar adecuadamente la evidencia digital almacenada en los
dispositivos de telefonía celular que han sido utilizados para cometer un delito? A partir de la
evidencia analizada, ¿Es posible auxiliar a los sistemas legales en contra de estos delitos? ¿Existe
alguna metodología para tratar la evidencia digital almacenada en los dispositivos de telefonía
celular? ¿Cuáles son las herramientas existentes para el manejo de evidencia almacenada en los
dispositivos de la telefonía celular?
15
1.3. Objetivo General.
Considerando las recomendaciones del NIST (National Institute of Standards and Technology) y los
trabajos realizados en el área de la informática forense, proponer una metodología para realizar el
proceso forense en equipos de telefonía celular que permita la recolección, manejo y análisis de
evidencia digital almacenada en dispositivos de telefonía celular que pertenezcan al sistema GSM,
de modo que se puedan establecer informes claros y útiles en la resolución de delitos en los que
se involucre esta tecnología.
1.4. Objetivos Específicos.
a) Comprender los fundamentos generales del análisis forense a equipos de telefonía celular, y procedimientos respecto al tratamiento de la evidencia digital. Comprender la terminología utilizada en las investigaciones forenses en telefonía
celular. Identificar la utilidad que puede proporcionar el análisis forense a los equipos de
telefonía celular. Revisar los fundamentos técnicos de almacenamiento de la información en los equipos
típicos de telefonía celular que permita hacer un análisis forense. Identificar las aplicaciones disponibles para realizar un análisis forense a dispositivos
de telefonía celular. Comprender la relación de la Informática Forense con la Ciencias Forenses en telefonía
celular.
b) Analizar los procedimientos proporcionados por la Informática Forense tradicional relacionados con el manejo responsable de la evidencia digital, y aplicar aquellos que sean válidos para el proceso forense en Telefonía Celular. Identificar los procedimientos comunes que se deben de realizar en un análisis forense
independientemente del tipo de dispositivo a analizar. Identificar las fases involucradas en un caso de informática forense. Describir las fases involucradas en una investigación forense. Reconocer cuáles son los posibles lugares en donde se puede encontrar la evidencia
digital en dispositivos de telefonía celular. Conocer los principios generales recomendados para preservar la evidencia digital en
forma íntegra. Identificar los principales obstáculos que dificultan las actividades forenses en
telefonía celular para obtener la evidencia digital.
c) Comprender los mecanismos de almacenamiento de la información digital en dispositivos de telefonía celular. Comprender la arquitectura de los sistemas de archivos en equipos de telefonía
celular de manera que se puedan identificar las fuentes de evidencia digital. Identificar las partes de un dispositivo de telefonía celular.
16
Comprender la forma en que los archivos son manipulados en un sistema de archivos típico usado en teléfonos celulares.
Entender cómo es que se relaciona el diseño de sistemas de archivos con el análisis forense en telefonía celular.
d) Utilizar herramientas diseñadas para realizar un análisis forense en los dispositivos de telefonía celular. Obtener información acerca de las herramientas forenses en telefonía celular para
aplicarlas en análisis forense. Lograr una interpretación adecuada de los resultados del análisis forense. Realizar pruebas con el software forense utilizado para familiarizarse con su
funcionamiento.
1.5. Justificación de la Investigación.
Ya se han presentado estadísticas sobre la aceptación de esta tecnología a nivel nacional, a
continuación se muestran algunos datos estadísticos a nivel mundial, los cuales complementan la
motivación por realizar la presente investigación.
Al final del 2007, la Asociación GSM4 reportó cerca de 600 redes de trabajo, en más de 200 países,
atendiendo cerca de 3 billones de usuarios (7). Actualmente, esta tecnología ha pasado por un
extraordinario desarrollo que lo convierte en un medio de comunicación móvil barato y flexible.
Cerca de 52 millones de consumidores adoptarán nuevas tecnologías integradas en los equipos de
telefonía celular para realizar pagos de servicios para el 2011, de acuerdo a un estudio reciente
por Juniper Research (8). Los agentes de Estados Unidos han encontrado que el 80% de los
traficantes de drogas habían estado utilizando teléfonos celulares clonados (9). Pablo Escobar, el
principal traficante de droga fue localizado al monitorear la actividad de su teléfono (10).En cuanto
a ventas de equipos en telefonía celular, 825 millones fueron vendidos en el 2005 (11). De acuerdo a
un estudio de la IDC5, la población mundial de telefonía móvil se incrementará en más de 200
millones usuarios que utilicen el servicio para cuestiones empresariales entre el 2004 y 2009 (12).
Como se ha mencionado la gran aceptación del uso de la tecnología celular ha dado paso a la
generación de actividades adversas que afectan la seguridad de los usuarios. Estas actividades,
inevitablemente, generan datos almacenados electrónicamente, lo que potencialmente
representa evidencia digital. En este punto es donde converge la Informática Forense con la
4 Global System for Mobile Communications (GSM): Es una asociación representando a mas de 700 operadores de teléfonos móviles GSM a través de 218 países en el mundo. 5 IDC (International Data Corporation) es un proveedor a nivel global de análisis de tendencias y usos de tecnología de información y telecomunicaciones.
17
telefonía celular. Por lo tanto, el análisis forense en equipos celulares debe utilizar metodologías y
principios fundamentales de la Informática Forense.
Existen muchas anécdotas de casos reales en los que se ha requerido de la intervención de un
informático forense y/o la aplicación del proceso forense para ser resueltos. En los casos que se
mencionan a continuación se describen los tipos de evidencia digital que fue utilizada
exitosamente en la investigación.
Mensajes de texto y datos de llamada. El caso en Knutby, Suecia (13).
Un pastor de una congregación en una comunidad pequeña fue sentenciado a prisión por el resto
de su vida por persuadir a una amante a matar a la esposa del pastor y tratar de matar a un
esposo de otra amante. Dos días después del asesinato, la amante del pastor “Sara S.” confesó
haberlo hecho. A pesar de sus confesiones, la policía creyó que tenía un cómplice.
La evidencia más convincente contra el pastor fue la gran comunicación a través de mensajes de
texto y llamadas entre él y su amante el día del asesinato, y justo antes de ese día. Lo que ellos no
sabían era que sus mensajes de texto, cuidadosamente borrados, podían ser recuperados. Así los
mensajes SMS han emergido como evidencia de importancia considerable.
Datos de correos electrónicos (14).
El caso contra Dan Kincaid fue contundente. El dueño de una casa al norte de Boise, Idaho, había
identificado a Kincaid como la persona que había irrumpido en su casa. Pero el testimonio del
observador no era tan sólido. La policía requería más. Así, que buscaron en el celular de Kincaid
datos electrónicos encontrando toda la evidencia que se necesitaba.
Al tratar de encontrar la manera de alejarse de su vecino sin ser atrapado, Kincaid escribió a su
novia el 1 de agosto del 2005, justo después de ser sorprendido: “Los perros ladran si estoy entre
o detrás de las casas….”, “Los policías saben que traigo puesta una playera azul”, él continúo:
“Necesito salir de aquí antes de que me encuentren.” Confrontado con su admisión implícita en su
e-mail, Kincaid aceptó negociar con los afectados en aquel crimen y otros más.
18
Datos de imágenes y mensajes multimedia.
Se alegaba que un joven había realizado un asalto a otro joven, mientras un amigo del muchacho
asaltado tomó fotos en un teléfono móvil. El culpable inicialmente estaba negando todo
conocimiento del incidente, hasta que la policía fue informada que había evidencia en un teléfono
móvil. Los analistas recuperaron las fotos en cuestión utilizando principios forenses. También
encontraron un mensaje de texto multimedia eliminado, que había sido enviado a otro chico con
una de las fotos anexada a ese mensaje.
Localización (15).
Ian Huntley fue culpado por el asesinato de dos menores: Holly Wells y Jessica Chapman. El caso
utilizó entre otras, evidencia de un teléfono móvil, la cual ahora es muy útil para la policía tal como
huellas digitales o el ADN. El último registro de señal del celular de Jessica la localizaba en la casa
de Huntley (1846 BST), la tarde en que fueron vistas por última vez, (ver Figura 1-3).
Los ejemplos anteriores justifican el por qué abordar el tema de la informática forense en equipos
de telefonía celular, ya que como se ha notado contienen información relevante que se debe
recolectar, preservar, identificar y analizar. Además, con estos ejemplos se entiende y reconoce la
necesidad de formar profesionales que conozcan de las técnicas de la informática forense, y en
particular aquellas relacionadas con su aplicación a teléfonos celulares. De esta manera, surge
entonces la necesidad del manejo de nuevas herramientas y técnicas para la investigación de
delitos en los que están relacionados dispositivos móviles.
Es importante constituir grupos de profesionales especializados en el tema que sean capaces de
enfrentarse a escenarios nuevos que demandan tareas de investigación cada vez más complejas.
Considérese que sin un marco coherente de trabajo la labor se hace más complicada. Una
Figura 1-3 Gráfica mostrando el último registro de actividad del teléfono móvil de Jessica
19
investigación forense en equipos de telefonía celular siguiendo un procedimiento permite
administrar adecuadamente la evidencia digital encontrada, y de esta manera, es posible apoyar a
quien resulte afectado por el delito. Así, es posible proveer pruebas necesarias que permitan
emprender acciones legales contra quien resulte responsable de haber cometido el delito. Es
importante hacer notar que la aplicación de las ciencias forenses en dispositivos móviles no se
limita al área de seguridad pública, sino también puede ayudar en la seguridad nacional y federal.
20
Capítulo 2 Estado del Arte.
En este capítulo se presenta la base teórica en la que se apoya el trabajo. Esta base
teórica está compuesta de los avances existentes en el campo de la Informática
Forense, y de los cuales pudieran generar desarrollos para el análisis forense en
equipos de telefonía celular.
Las ciencias forenses tradicionales han crecido durante los últimos años. Sin embargo, el
desarrollo vertiginoso de la tecnología informática ha dado lugar a lagunas. El uso común de la
tecnología ha generado problemas sociales en donde se requiere la intervención de las ciencias
forenses. De igual forma, estos problemas han sido de alto impacto social y económico ( 16 ) , tanto
que en la última década se han desencadenado avances sustanciales que permiten solucionar
problemas cuya causa son los delitos e incidentes informáticos. Estos avances han dado lugar a la
ciencia forense digital, la cual puede definirse como sigue, de acuerdo a lo establecido por el
organismo conocido como Digital Forensic Research Workshop (DFRWS) (17) creado en el 2001 en
Nueva York:
“El uso de métodos probados y derivados científicamente dirigidos a la preservación,
recolección, validación, identificación, análisis, interpretación, documentación y
presentación de la evidencia digital que proviene de una fuente de información digital, con
el propósito de facilitar o auxiliar la reconstrucción de eventos encontrados y considerados
criminales, o ayudando a anticiparse a la ejecución de actividades planeadas no autorizadas
y consideradas perjudiciales”.
El estudio de la Informática Forense desde el año 2000 se lleva con mayor formalidad y fue en el
2002 cuando apareció la revista conocida como International Journal of Digital Evidence, la cual
quedó establecida como un foro de discusión sobre la teoría, la investigación, las políticas y la
práctica del campo relacionado con la evidencia digital6.
Uno de los aspectos importantes sobre la discusión de la Informática Forense es la creación de
metodologías que permitan tener un entendimiento común de los procesos requeridos para
manejar, analizar y presentar la evidencia, así como asegurarse que la evidencia es auténtica,
6 Para más información consultar http://www.ijde.org
21
confiable y completa. Se tienen por ejemplo, los trabajos desarrollados en este sentido por
Krishnun Sansurooah (18) o el artículo desarrollado por Pierce (19) en donde sobresale la necesidad
de contar con métodos claros para realizar una investigación digital.
En esta tesis se tiene especial interés en proponer una metodología que permita aplicar las
ciencias forenses a equipos móviles y, para ello, se han considerado como base los siguientes
documentos emitidos por el NIST: “Guidelines on Cell Phone Forensics” (20), “Cell Phone Forensic
Tools: An Overview and Analysis Update” (21), “Cell Phone Forensic Tools: An Overview and
Analysis” (22). La razón por la que se consideraron los documentos anteriores se debe a que
provienen de una institución que está especialmente diseñada para el manejo y administración de
la tecnología (23), la cual fue constituida para asegurar tanto la continuidad en la innovación y
competencia industrial como para asegurar un nivel de calidad de vida para los estadounidenses
(24). De esta manera, y debido a su gran infraestructura tecnológica y capacidad de investigación,
este instituto (a través de una de sus múltiples divisiones) ha sido el único que ha desarrollado la
guía de análisis forense en teléfonos celulares (25), además de continuar con la elaboración de
trabajos de investigación en este campo.
2.1. Aplicación del Proceso Forense a equipos informáticos y de telecomunicaciones.
Cuando el proceso forense se aplica a los sistemas informáticos y de telecomunicaciones se deben
tener presentes dos aspectos. El primero tiene que ver con el manejo de los incidentes
informáticos producidos por la vulnerabilidad del sistema o por la participación de algún agente
intrusivo. El manejo de incidentes persigue objetivos diferentes7 en comparación con aquellos que
persigue la Informática Forense. Sin embargo, también pueden ser aprovechados por esta última,
ya que permite reconocer las fuentes de evidencia digital que contribuyen a determinar los
responsables de un incidente informático. En este sentido, un documento de referencia que puede
consultarse es el titulado “Guía para el manejo de Incidentes en Seguridad Informática” publicado
por el NIST (26). El segundo aspecto está relacionado con la realización de una investigación digital
sobre un sistema, ya sea informático o de telecomunicaciones, que bajo condiciones normales o
no de operación ha sido utilizado en la comisión de un delito. Con esta investigación se buscaría
determinar quiénes fueron los responsables y cuál fue su proceder, a partir de evidencias digitales
contundentes que pudieran presentarse, con carácter factual inobjetable, ante alguna instancia 7 Algunos son: a) Restaurar y mantener la continuidad en las operaciones de la institución, b) Incrementar las defensas y supervivencia contra futuros incidentes, etc.
22
jurídica, administrativa o civil con la autoridad suficiente para determinar responsables y
sanciones, en función de los daños producidos.
2.2. Manejo de Incidentes Informáticos.
De acuerdo a la "Guía de Manejo de Incidentes de Seguridad Informática" del NIST (26) existen
cinco tipos de incidentes8, dentro de los cuales se pueden clasificar a los incidentes que ocurran en
un sistema informático o de telecomunicaciones. Estos cinco tipos son:
Negación de Servicio (DoS). Se refiere a la ocurrencia de un incidente que impide o deteriora el uso de sistemas informáticos y/o telecomunicaciones a usuarios autorizados.
Infección. Es aquel incidente que ocurre cuando se produce la afectación (infección) de un sistema por un virus, gusano, etc., comúnmente denominado Malware o código malicioso.
Violación o débil control de acceso. Es originado por accesos lógicos o físicos exitosos a sistemas, redes, aplicaciones, datos u otros recursos por parte de usuarios que no tienen los permisos suficientes para realizar esa operación.
Uso inapropiado. Se produce cuando un usuario efectúa acciones que violan políticas aceptadas y establecidas definidas por la organización respecto al uso de los recursos informáticos y/o de telecomunicaciones.
Componente múltiple. Se refiere a un evento que involucra a dos o más incidentes que de alguna manera están ligados. Es decir, a partir de un incidente A, se produce un incidente B, y un incidente C generado por el incidente B.
Las siguientes fases constituyen el ciclo de vida para el manejo de incidentes:
Preparación. Se propone esta fase para: 1) estructurar al equipo de manejo de incidentes9 y, 2) prevenir incidentes asegurándose que los sistemas, redes y aplicaciones están suficientemente seguros.
Detección. Consiste en averiguar y evaluar las condiciones del posible incidente. Esto es, determinar la ocurrencia del incidente y en caso de que haya ocurrido, identificar perfectamente el tipo, extensión y magnitud del problema. La detección de incidentes se puede hacer a través de dos señales: los precursores e indicadores. El precursor es una señal que pone de manifiesto que un incidente puede ocurrir en el futuro. Un indicador es una señal de que un incidente podría haber ocurrido o podría estar ocurriendo. Se puede identificar a los precursores e indicadores utilizando diversas fuentes, siendo la más común las alertas de software de seguridad informática, registros, información pública disponible y las personas. La Tabla 2-1 enumera fuentes comunes de precursores e indicadores para cada categoría.
8 Un incidente es un evento que viola una ley o política establecida en una organización. 9 Un equipo de manejo de incidentes comúnmente conocido como Equipo de Respuesta a Incidentes (IRT: Incident Response Team) puede organizarse con una estructura centralizada o distribuida y puede conformarse con personal de la propia institución, o con el apoyo de personal externo especializado contratado a empresas del sector.
23
FUENTE PRECURSORA O INDICADORA
DESCRIPCIÓN
Alertas de software de Seguridad Informática Sistemas de Detección
Automática de Intrusos10 Están diseñados para identificar eventos sospechosos y registrar los datos pertinentes: la fecha y hora en que se detectó el ataque, el tipo de ataque, las direcciones IP origen y destino, y el nombre del usuario (si es aplicable y conocido).
Software Antivirus Útiles para el control de código malicioso, el software envía alertas sobre el equipo afectado para realizar la eliminar o aislar el código malicioso si se mantienen las firmas actualizadas.
Software de comprobación de
integridad de archivos
Los incidentes pueden causar cambios a archivos importantes; este tipo de software puede detectar esos cambios no autorizados. Trabaja bajo la comparación de sumas de comprobación generadas por algoritmos hash.
Registros de Actividad Registros de
aplicaciones, servicios y de sistemas operativos
Son registros de actividad de eventos que permiten auditar a un elemento específico durante un periodo de tiempo determinado.
Registros de Honeypots11
Sistemas que generan registros de actividad y advierten rápidamente al administrador del sistema sobre la aparición de un ataque.
Información Pública Disponible Información sobre nuevas vulnerabilidades y exploits
Trata sobre el seguimiento de nuevas vulnerabilidades y exploits para prevenir y facilitar la detección y análisis de nuevos ataques.
Información sobre incidentes en otras organizaciones
Consiste en analizar los reportes de incidentes ocurridos en otras organizaciones para aplicarlos internamente como medida preventiva.
Personas Personas dentro y fuera de la organización.
Consiste en tomar en cuenta toda la información que provenga de los diversos tipos de usuarios tanto desde el interior de la organización como desde el exterior, que pudieran informar sobre señales de incidentes.
Tabla 2-1 Fuentes comunes de precursores e indicadores de un incidente
Análisis. Consiste en la revisión y validación del evento sospechoso que permita determinar el ámbito e impacto del posible incidente. Es en esta etapa donde el equipo de manejo de incidentes debe obtener la mayor cantidad de información posible sobre lo que está sucediendo y que permitan establecer prioridades sobre las subsecuentes actividades, tal como contención del incidente y análisis más profundo de los efectos del incidente.
Contención. Cuando un incidente se ha detectado y analizado, es importante contenerlo antes de que su propagación destruya recursos o aumenten los daños. Un aspecto esencial en la contención es el proceso de decisión, basado en estrategias y procedimientos predeterminados que permiten detener un incidente específico en función de su tipo. En esta etapa se considera también, según sea el caso, la posibilidad de aceptación de un nivel de riesgo 12 al momento de interactuar con incidentes y el desarrollo de estrategias de conformidad.
10 Los sistemas de detección automática de intrusiones (IDS: Intrusion Detection Systems) puede ser de dos tipos, los basados en host y los basados en red. 11 Los sistemas Honeypots están diseñados específicamente para monitorear y distraer a los atacantes, facilitando el análisis en profundidad del atacante durante y después del ataque a este sistema. 12 En este caso el término “nivel de riesgo” no se refiere a la posibilidad de que ocurra un incidente, pues en esta etapa el incidente ya ha ocurrido. El término hace referencia a que las acciones de contención diseñadas pudieran, en un momento determinado, afectar componentes adicionales.
24
Erradicación y recuperación. Después de que un incidente haya sido contenido, la erradicación puede ser necesaria para eliminar componentes del incidente, tal como eliminar código malicioso y/o deshabilitar cuentas de usuario afectadas, de manera que los sistemas queden restaurados al modo de operación normal y (si es aplicable) fortalecer a los sistemas para impedir incidentes parecidos.
Actividades post incidente. Involucran un conjunto de acciones que permitan mejorar los procesos relacionados con el manejo de incidentes. El objetivo consiste en generar información que sirva de retroalimentación a través de reportes que puedan responder a varias interrogantes que sometan a evaluación el desempeño de todos los recursos involucrados en el manejo del incidente: equipo de manejo de incidentes, usuarios involucrados, procedimientos y herramientas utilizadas, etc. Estos reportes también deben servir para el mejoramiento del equipo de manejo de incidentes, y de apoyo para los nuevos miembros que se integren. A partir de los reportes que se generen se podrán actualizar las políticas y procedimientos, y se podrán revelar fallas de procedimiento o la ejecución de pasos no acertados en el manejo de los incidentes. Finalmente, una actividad que debe realizarse, al margen del manejo de incidentes, es la ejecución de una auditoria de planes de respuesta a incidentes13 que evalúe, por lo menos, los siguientes aspectos: (1) Políticas y procedimientos de respuesta a incidentes, (2) Herramientas y recursos, (3) Modelo y estructura del equipo, (4) Entrenamiento y capacitación del personal y (5) Documentación de incidentes y reportes. La evaluación de los elementos anteriores permitirá identificar deficiencias y problemas en relación con las políticas, regulaciones y mejores prácticas requeridas por el equipo de respuesta a incidentes.
2.3. La Investigación digital
En general, pueden aparecer dos tipos de investigaciones en la Informática Forense. La primera es
cuando ha ocurrido un incidente y la identidad del ofensor es desconocida (por ejemplo, una
intrusión remota). La segunda es aquella en donde ambos, tanto agraviante como incidente están
identificados (por ejemplo, una investigación de pornografía infantil).
La investigación digital consiste en la aplicación de técnicas informáticas forenses para extraer
datos que sirvan como evidencia digital y para ello utiliza ciertas técnicas para asegurar la
integridad; por ejemplo, la creación y verificación de la imagen, y la prevención de la modificación
de la evidencia original. Se debe tener cuidado que la evidencia sea recolectada y guardada de tal
forma que no sea alterada por la afectación accidental o intencional. Si la evidencia digital no se
maneja adecuadamente, su validez puede ser cuestionada. Meyers y Rogers en (27) describen un
caso en donde la defensa cuestionó la calidad del manejo de la evidencia. La corte reconoció la
eventualidad de pérdida y manipulación de datos, pero la evidencia aún así fue reconocida, así
como la prosecución posterior alegando que, aunque es posible que existiera alguna pérdida de
13 Un programa de auditoría de respuesta a incidentes permite evaluar y mejorar los diferentes procesos y recursos utilizados para el manejo de incidentes.
25
datos, el arreglo aleatorio de los datos para formar pornografía infantil era improbable. El
escenario anterior revela la importancia de realizar un manejo apropiado en la evidencia; de esta
manera, toda evidencia debe ser fácilmente identificable, de modo que cuestiones tales como:
¿dónde?, ¿cuándo? y ¿cómo fue descubierta? deben quedar claras; para ello, se debe mantener
garantizada la cadena de custodia durante el proceso.
Al final del proceso de investigación digital, el analista forense puede proceder para determinar la
siguiente información:
Reunir información acerca de los individuos involucrados (¿quién?). Determinar la naturaleza exacta de los eventos que ocurrieron (¿qué?). Construir una línea cronológica sobre los eventos (¿cuándo?). Revelar información que explique los motivos del ofensor (¿por qué?). Descubrir las herramientas o exploits que fueron utilizados (¿cómo?).
Todas las interrogantes anteriores sólo pueden ser solucionadas a través de la evidencia digital, si
no se cuenta con esos datos simplemente no habrá elementos para sustentar las hipótesis o
teorías, la evidencia digital juega un papel muy importante en la investigación.
Otro aspecto importante en donde se aprecia claramente la importancia de la relación evidencia
digital-investigación digital, son los objetivos que la Informática forense persigue. No importa el
tipo de tipo de incidente, los objetivos serán:
1. La compensación de los daños causados por los criminales o intrusos. 2. La persecución y procesamiento judicial de los criminales. 3. Creación y aplicación de medidas para prevenir casos similares.
Estos objetivos son los que justifican la existencia de la Informática Forense, y pueden ser
alcanzados a través de la evidencia digital.
Dado que la evidencia digital es clave para la resolución del incidente, es necesario identificar la
manera correcta bajo la cual se tiene que llevar a cabo el proceso de investigación digital. El
siguiente párrafo presenta un método general para abordar el proceso de investigación digital:
Se sugiere que, cuando un equipo de cómputo o de comunicación personal es
reconocido físicamente en la escena del crimen se inicia la investigación, la cual utiliza
26
tres fases principales. La fase de preservación busca mantener intactos aquellos datos
existentes en el sistema; y un procedimiento común en esta fase, es duplicar esos datos
y conducir la investigación en un ambiente especial que no altere la copia. La fase de
reconocimiento examina las ubicaciones obvias en donde puedan residir evidencias y
desarrolla una estrategia que indique la manera de buscar evidencia adicional en el
sistema. El sistema debe ser documentado y debe cumplirse con una búsqueda del
sistema completo. La fase final, esto es, la reconstrucción, inspecciona la evidencia para
identificar aquellos eventos que han ocurrido en el sistema. Es en esta fase en donde la
hipótesis acerca del incidente será formalmente desarrollada y probada.
Así como se han realizado diversos intentos por definir una propuesta de trabajo en el área de la
Informática Forense, también han comenzado a aparecer las propuestas orientadas a los equipos
de comunicación móvil. Tal es el caso del documento del NIST, Guidelines on Cell Phone Forensics
(20), en donde presenta un marco de trabajo para llevar a cabo el proceso de investigación digital
adaptado al análisis forense en Equipos de Telefonía Celular. Este marco de trabajo está basado en
otras propuestas que han sido desarrolladas tanto para el área de la Informática Forense como del
área de Respuesta a Incidentes: El documento hace referencia a cada uno de sus componentes o
etapas como: A) Preservación, B) Adquisición, C) Inspección y Análisis, y por último D) Reporte14.
2.4. Investigaciones del NIST sobre la Evidencia Digital en Telefonía Celular.
La Informática Forense surge como necesidad de control de delitos informáticos en donde
intervienen dispositivos digitales conocidos como computadoras, otra variante de dispositivos
digitales son aquellos destinados para la comunicación personal, en este caso los teléfonos
móviles para la cual se ve la necesidad de crear el área conocida como Análisis Forense en Equipos
de telefonía celular, la cual puede ser definida como:
Es la ciencia encargada de recuperar la evidencia digital almacenada en un equipo de telefonía móvil bajo condiciones confiables (que aseguren la integridad de la evidencia) utilizando métodos aceptados – NIST (20).
Es la ciencia que trata sobre la recuperación de datos almacenados en un teléfono móvil bajo condiciones aceptadas evitando la contaminación de la evidencia. Esto incluye la recuperación completa de datos y análisis de datos localizados en la SIM/USIM, el cuerpo mismo del teléfono y las tarjetas de memoria opcionales. Los datos recuperados y
14 Para mayor información se puede revisar la sección 4.3 Documentos de Soporte.
27
analizados pueden incluir imágenes, videos, texto o mensajes SMS, tiempos de llamadas y lista de contactos15.
Como se puede ver en la definición y como se comentó en la sección relacionada al proceso de
investigación digital. El NIST ya ha tenido una aportación en el área del análisis forense en equipos
de telefonía celular, y es que en los últimos tres años ha desarrollado, al menos, los siguientes
documentos:
a) Guidelines on Cell Phone Forensics (NIST 800-101) (20). Presenta información sobre la conservación, adquisición, inspección y análisis de evidencia digital en teléfonos celulares con el fin de orientar actividades de respuesta a incidentes legales y otros tipos de investigaciones. De esta manera, ofrece recomendaciones para manejar una investigación forense presentando posibles escenarios en donde estén implicados datos electrónicos digitales que residan en teléfonos celulares y medios electrónicos asociados. El conjunto de procedimientos y las técnicas presentadas en el documento se basan en ideas existentes en el campo de la informática forense, tratando de asegurar el cumplimiento con pautas existentes provenientes del mundo de la informática forense. Sin embargo, el documento presenta una advertencia en cuanto a que no debe ser utilizada como una guía paso a paso para realizar una correcta investigación forense al tratar con teléfonos móviles; ni ser interpretada como consejo legal. Más bien, debe considerarse que su objetivo es informar sobre las diferentes tecnologías implicadas y formas potenciales de abordar los incidentes desde un punto de vista forense, señalando que las prácticas recomendadas se apliquen solamente tras una consulta con administradores y funcionarios legales para mantener coherencia y conformidad con leyes y regulaciones (del ámbito local, estatal, federal e internacional) de acuerdo a la situación específica. El NIST 800-101 se convierte en un punto de inicio hacia un estudio más profundo en temas referidos a teléfonos celulares y su análisis forense.
b) Cell Phone Forensic Tools: An Overview and Analysis Update (NIST 7387) (21). Cell Phone Forensic Tools: An Overview and Analysis (NIST 7250) (22). NIST 7387. Este documento es una continuación a la publicación denominada NIST 7250, la cual se enfoca en presentar cambios que han sufrido las herramientas forenses, o bien, presenta nuevas herramientas que no fueron reportadas anteriormente manteniendo la misma estructura de trabajo que apoyen al análisis forense. El documento 7250 proporciona un panorama de las herramientas de software forense diseñadas para la adquisición, análisis, y reporte de datos almacenados en dispositivos móviles. La publicación conduce un estudio general sobre las capacidades y limitaciones para cada herramienta en detalle a través de una metodología basada en diferentes escenarios.
15 Definición obtenida del sitio http://www.webopedia.com/TERM/M/mobile_phone_forensics.html.
28
2.5. Avances Reportados sobre el Análisis Forense en Equipos Celulares.
Los trabajos reportados por el NIST no son los únicos existentes que tratan la problemática del
análisis forense en equipos de telefonía celular. A continuación se describen algunos trabajos que
se han publicado en relación a este tema.
a) Forensic extraction of electronic evidence from Gsm Mobile Phones (28). Amanda Goode del Servicio de Ciencias Forenses de Reino Unido presenta en el 2001 este documento en donde indica la manera en cómo debe ser realizado el estudio de una escena del crimen. Involucra a los teléfonos móviles como objeto de análisis en una investigación criminal y ofrece información acerca de la evidencia existente en un teléfono móvil. Continuando con este escenario, presenta los principios de la evidencia en el ámbito de la ciencia forense abarcando puntos como la extracción e interpretación de la misma y menciona algunos requisitos sobre la extracción de evidencia en teléfonos. Por último, presenta procedimientos para el manejo y validación de técnicas de extracción, además de considerar brevemente la tendencia de los retos y desafíos futuros que tomará la evidencia digital.
b) Forensics and SIM cards an Overview (29). Es un artículo diseñado por Fabio Casadei, et. al., de la Universidad de Brescia de Italia en el 2006. Presenta la construcción de una herramienta para cumplir con la parte de recolección de evidencia (creación de la imagen). Aporta información más detallada en comparación con otros documentos acerca de los fundamentos sistemas de archivos que se encuentran en las tarjetas, toda esa información es utilizada para crear un algoritmo y programarlo en lenguaje C estándar.
c) Forensics and the GSM mobile telephone system (30). Es un trabajo desarrollado por Svein Yngvar Willassen en el 2003, quien se desempeña en la empresa Ibas A.S. dedicada a la Informática Forense. Destaca que el sistema GSM se ha convertido en el sistema más popular para la comunicación móvil en el mundo entero. Indica que es muy común que criminales se apoyen en equipos con tecnología GSM, creando una necesidad de comprender el tipo de evidencias que pueden ser obtenidas en este tipo de sistema. El trabajo explica brevemente los fundamentos del sistema de GSM. Señala aquellos elementos considerados evidencias que pueden ser obtenidas del equipo móvil. Además, hace un breve análisis de las tarjetas SIM y del sistema básico de la red. Menciona la existencia de herramientas para extraer tales evidencias, pero enfatiza en la necesidad actual de desarrollar más procedimientos forenses y herramientas adecuados para extraer aquellas evidencias.
d) Mobile Forensics..A New Challenge (31). Desarrollado en el 2004 por la institución conocida como Naavi.org la cual se define como una comunidad interesada en el campo de las leyes que gobiernan al mundo informático. El trabajo es un breve artículo trata sobre los nuevos escenarios en donde la telefonía móvil se encuentra involucrada. Menciona el problema de la carencia de policías, abogados y jueces que conozcan, al menos: a) la manera de enfrentar esta problemática y, b) la relevancia de los datos almacenados en estos dispositivos móviles. Presenta un panorama sobre el futuro de las evidencias de telefonía móvil.
e) Mobile Handset Forensic Evidence - a challenge for Law Enforcement. (32). Es un trabajo desarrollado por Marwan AlZarouni de la Universidad Edith Cowan en el 2006. Resalta la gran aceptación de la telefonía móvil en la sociedad actual y que la misma está en aumento. Menciona que los avances tecnológicos han convertido a los teléfonos móviles en portadores de datos, los cuales pueden ser usados como evidencias en casos civiles o
29
delictivos. Este documento revisa la naturaleza de algunas de las nuevas piezas de información que pueden convertirse en evidencias potenciales en los teléfonos móviles, para lo cual el documento las clasifica en: i) Información personal e institucional que es almacenada y transmitida utilizando un equipo de telefonía celular, ii) Realización de transacciones en línea utilizando un equipo de telefonía celular, iii) Sistemas legales, criminales y equipos de telefonía celular. El trabajo intenta presentar algunas de las diferencias entre el análisis forense en la telefonía móvil y la informática forense como son: a) Opciones de conectividad y su impacto en un análisis forense en vivo o post-mortem, b) Sistemas Operativos y Sistemas de Archivos, c) Hardware y d) Herramientas y juego de herramientas disponibles. Finalmente, el trabajo muestra la necesidad por un análisis profundo de la evidencia en telefonía móvil.
30
Capítulo 3 Arquitectura de los teléfonos celulares.
Este capítulo presenta la arquitectura electrónica y funcional de un teléfono celular
considerando sus características y capacidades de hardware (memoria, puertos de
comunicaciones, etc.) y software (sistema operativo, aplicaciones, sistema de
archivos, etc.). Además, se describe la red de comunicaciones asociada a estos
equipos, y se incluyen los conceptos relacionados con los sistemas de telefonía
celular. Finalmente, con estos conceptos se identifican las fuentes de evidencia
digital que existen para estos sistemas y equipos de comunicaciones, las cuales
permitan establecer un informe de utilidad legal en un proceso forense.
3.1. Descripción Funcional de un Teléfono Celular.
La razón por la cual el sistema de telefonía celular ha tenido gran aceptación en la sociedad actual
se debe a la gran diversidad de funciones que puede realizar. Es importante realizar una revisión
de las funcionalidades más comunes que puede realizar un equipo de telefonía celular debido a
que cada una de estas funciones son las que irán generando a la evidencia digital.
Independientemente del modelo y del fabricante, prácticamente todos los teléfonos celulares
soportan servicio de voz y mensajes de texto, así como un conjunto básico de aplicaciones PIM
(Administración de información personal) que incluye al directorio, agenda, y un medio para
sincronizar la información PIM con una computadora. Algunos dispositivos más avanzados
también proporcionan la posibilidad de trabajar con mensajes multimedia, utilizar el servicio de
Internet, intercambiar correo electrónico, o conversaciones mediante la mensajería instantánea
digital. A continuación se presenta una lista de las tareas que un equipo de telefonía móvil pudiera
realizar:
Realizar y recibir llamadas. Conversaciones de voz mediante el equipo. Administración de información personal (PIM), incluyendo notas, calendario, lista de
tareas, organización de información personal, uso de calendarios, relojes, alarmas, directorio telefónico y administrador de tareas.
Buzón de voz. Los usuarios pueden dejar un mensaje si el equipo al que se le está llamando no estuvo disponible.
Correo electrónico (e-mail). Enviar y recibir correos. Contenido móvil. Obtener noticias, clima, deportes, financiera y otros datos. Reproducir música, a través de un reproductor mp3 o bien mediante sintonizador de
radio.
31
Tomar fotos o videos, utilizando una cámara integrada, luego, enviar los archivos a otros dispositivos.
Descargar fotos o imágenes, apoyados por visores de imágenes o reproductores de video. Realizar compras. Hacer pagos a través de tiendas basadas en la Web (comercio
electrónico). Conexión a servicios Bancarios. Administrar dinero a través de una cartera electrónica. Servicios de localización. Mapas y direcciones, rastrear personas, autos, etc. Comunicación con equipo de cómputo. Sincronización de datos entre aplicaciones. Mensajería instantánea. Diversas aplicaciones. Capacidad para instalar programes tales como procesadores de
texto o video juegos.
Independientemente del modelo y del fabricante, prácticamente todos los teléfonos celulares
soportan servicio de voz y mensajes de texto, así como un conjunto básico de aplicaciones PIM
que incluye al directorio, agenda, y un medio para sincronizar la información PIM con una
computadora. Algunos dispositivos más avanzados también proporcionan la posibilidad de
trabajar con mensajes multimedia, utilizar el servicio de Internet, intercambiar correo electrónico,
o conversaciones mediante la mensajería instantánea.
Finalmente, existen dispositivos muy sofisticados que permiten revisar documentos electrónicos
(por ejemplo, reportes, transparencias, y hojas de cálculo) y ejecutar una amplia variedad de
aplicaciones generales, típicas de una computadora personal, así como aplicaciones de propósito
especial. Los teléfonos inteligentes normalmente son más grandes que otros equipos, contienen
una pantalla más grande, y pueden contar con teclado QWERTY16 o una pantalla sensible al tacto.
También es posible ampliar sus capacidades a través de ranuras de expansión, otros medios de
comunicación como Bluetooth, Wi-Fi17, IrDA18; y protocolos de sincronización para intercambiar
otro tipo de datos adicionales a los datos PIM básicos (por ejemplo, gráficos, audio, y otros
formatos de archivos), todo esto auxiliándose de servicios directos o mediante gateways19 basados
en tecnologías WPA20 . La Tabla 3-1 presenta las diferencias en capacidades de software
encontradas en estas clases de dispositivos.
16 Distribución QWERTY: Es el término utilizado para referirse a la distribución del teclado ampliamente utilizado en las computadoras. 17 Wi-Fi. Es el nombre comercial (marca) dado a la tecnología inalámbrica utilizada en redes de casa, teléfonos móviles, etc. En realidad utiliza los estándares para redes basadas en 802.11. 18 IrDA (Infrared Data Association). Define un estándar de interconexión física en la forma de transmisión y recepción de datos a través de señales infrarrojo entre dispositivos sobre distancias cortas. 19 Un Gateway WAP se encarga de hacer posible la comunicación entre las tecnologías inalámbricas y de Internet 20 WAP (Protocolo de Aplicaciones Inalámbricas) es un estándar abierto internacional para aplicaciones que utilizan las comunicaciones inalámbricas, p.ej. acceso a servicios de Internet desde un teléfono móvil.
32
Tabla 3-1 Descripción de software para equipos en telefonía móvil
3.2. Descripción Electrónica de un Teléfono Celular
Para realizar o conducir un análisis forense a equipos de telefonía celular es necesario comprender
su constitución electrónica y funcional. Los teléfonos móviles varían en diseño de fabricante a
fabricante y los distintos modelos tienen diferencias importantes entre sí. Además, la línea de
teléfonos celulares de una marca está sujeta a cambios en forma continua; dichos cambios
dependen de las tecnologías emergentes. Esto genera que la comunidad de profesionales
dedicados al análisis forense digital enfrente constantes desafíos debiendo permanecer
actualizada para afrontarlos. Cuando un teléfono celular se encuentra en una investigación, surgen
muchas cuestiones: ¿Qué se debe hacer para mantener la energía que permite tener activo al
dispositivo?, ¿Cómo debe ser manejado el teléfono?, ¿Cómo debe ser analizados o examinados los
posibles datos relevantes contenidos en el dispositivo? La clave para responder estas preguntas
está en la comprensión de las características del hardware y software de los teléfonos celulares.
Arquitectura del Equipo Móvil.
Los teléfonos móviles son dispositivos de comunicación portátil que efectúan un conjunto de
funciones que van desde un simple organizador personal hasta aquella que corresponde a una
computadora de capacidades limitadas. Estos dispositivos son diseñados para facilitar la movilidad
de los usuarios; por ello, se diseñan de tamaño compacto, con baterías de alta eficiencia y de peso
ligero.
33
La mayoría de los teléfonos celulares cuentan con un conjunto básico de componentes comunes.
Estos componentes son (ver Figura 3-1): un microprocesador, memoria de solo lectura (ROM),
memoria de acceso aleatorio (RAM), un módulo de radio (radio module), un procesador de señal
digital, un micrófono y altavoz, una variedad de piezas clave de hardware e interfaces, y una
pantalla de cristal líquido (LCD).
Además de presentar los componentes, la Figura 3-1 también presenta la arquitectura del sistema
de un equipo móvil, generalmente compuesta por la CPU, Flash ROM y la RAM.
La CPU (unidad central). Controla los circuitos de comunicación del teléfono, además de controlar
la comunicación con el usuario. Como medio de almacenamiento intermedio, la CPU utiliza a la
RAM. La RAM es utilizada para todo el almacenamiento intermedio durante la comunicación y la
interacción del usuario. La RAM puede ser implementada como un circuito integrado separado o
puede ser integrado con el CPU en un único circuito integrado. El teléfono también necesita un
medio de almacenamiento secundario no volátil, mostrado como la Flash ROM en la Figura 3-1, el
cual se requiere para almacenar todos los datos relacionados con el usuario y su comunicación, los
cuales deben persistir después de que ocurra una falla en el suministro de energía. El
almacenamiento secundario puede ser implementado en varias maneras. La implementación más
común de la actualidad en los teléfonos móviles es un circuito integrado separado que
corresponde a la memoria flash adherido a la tarjeta del sistema.
Figura 3-1 Componentes y arquitectura general del sistema de un equipo móvil
34
Además de estos elementos, la CPU tiene comunicación con la SIM, y opcionalmente otros medios
de almacenamiento externo. Es también común, tener una unidad especial para controlar el uso
de la energía en el teléfono móvil.
Se debe notar la similitud de la arquitectura de un teléfono móvil con la de una computadora. En
donde normalmente una computadora utiliza un disco duro como medio de almacenamiento
secundario, un teléfono móvil utiliza una memoria flash.
Uso de memoria interna.
En la actualidad, la mayoría de los datos en teléfonos móviles modernos se almacenan en la
memoria interna del equipo. Es por lo tanto, de extrema importancia encontrar métodos válidos
para efectuar análisis forense a la memoria interna de los teléfonos móviles.
La tarjeta SIM tiene una especificación rigurosa (33) permitiendo almacenar únicamente cierto tipo
de información; y por lo cual, no proporciona servicio para almacenar cualquier dato. Es por lo
anterior, que los teléfonos móviles se han equipado gradualmente con memoria interna para
almacenar datos tales como llamadas recibidas y sin contestar, eventos de calendario, mensajes
de texto y otros datos. Los primeros modelos usaron un circuito integrado EEPROM para este
propósito.
Con la creciente demanda de memoria, se volvió más común implementar la memoria interna a
través de memorias flash. Más recientemente, con el advenimiento de teléfonos equipados con
cámara y reproductores MP3, se ha vuelto común complementar a teléfonos móviles con
memorias flash externas. Las memorias externas pueden ser añadidas simplemente con la
inserción de tarjetas de memoria (tales como SD, MMC, CF o similar) las cuales también deben ser
sometidas a un análisis forense pues en un momento dado podrían aportar evidencia digital.
Proceso de Análisis.
Actualmente no existe un método estándar para analizar la memoria interna del teléfono móvil.
Los métodos actuales se centran en extraer la información del teléfono utilizando conexiones
mediante cable, infrarrojo o Bluetooth, y entonces extraer la información utilizando el conjunto
estándar de comandos AT que han sido especificados para la comunicación con módems seriales.
35
Esta condición puede variar entre marcas y modelos, ya que existen equipos con otras facilidades
que permiten la extracción de información mediante sus propios puertos de comunicaciones. Para
apoyar a los investigadores en el proceso de extracción de información, se han desarrollado varias
herramientas de software. Por ejemplo, Device Seizure (34), TULP (35) y MobilEdit!21, son algunas de
las herramientas de las que se comentarán en la metodología propuesta
3.3. Sistemas Operativos de Teléfonos Celulares.
La información que se puede almacenar en un teléfono móvil pueden ser de dos categorías: a)
Información del sistema, en la cual se considera al código del sistema operativo, el kernel,
controladores de dispositivos, librerías de sistema, procesos, aplicaciones b) información de
usuarios, en la cual se consideran archivos de texto, imágenes, audio, video, y otros, como los
datos de aplicaciones PIM22. El tipo de memoria que es utilizada para almacenar alguna de éstas
dos categorías de información puede variar entre los fabricantes y a menudo se basan en las
características del sistema operativo utilizado.
La Figura 3-2 muestra la distribución de datos dentro de una memoria, en donde los archivos de
usuario residen en la memoria no volátil (Flash ROM), junto con el código del sistema operativo.
Debido a que el almacenamiento es persistente, el contenido no se ve afectado cuando se agota la
energía. La memoria volátil es utilizada para almacenamiento dinámico y su contenido se pierde
cuando se agota la energía que alimenta al circuito.
Figura 3-2 Asignación de almacenamiento
21 Información adicional sobre la herramienta se puede encontrar en www.mobiledit.com. 22 PIM (Personal Information Management). Gestor de información personal.
36
Un arreglo alternativo común de memoria, usado principalmente en teléfonos inteligentes que
tienen herencia de PDA se muestra en la Figura 3-3. La memoria RAM se utiliza para
almacenamiento dinámico y almacenamiento de archivos de usuario. La memoria ROM se utiliza
principalmente para guardar el código del sistema operativo y, posiblemente, información PIM o
los archivos copiados por el usuario que se encontraban en la memoria volátil. Cuando la energía
de las baterías se acaba, desaparece el contenido de la memoria volátil, mientras que la memoria
no volátil permanece intacta.
Figura 3-3 Asignación alternativa de almacenamiento
A diferencia de muchos teléfonos celulares tradicionales, los teléfonos inteligentes permiten a los
usuarios instalar, configurar y ejecutar aplicaciones de su elección. Un teléfono inteligente ofrece
la habilidad de configurar al dispositivo para que realice acciones específicas. Mucho del software
de los teléfonos estándar ofrecen opciones limitadas para su re-configuración, forzando al usuario
a adaptarse a la manera en que ha sido programado. En un teléfono estándar por ejemplo, el
usuario está obligado a utilizar la aplicación de calendario sin permitir grandes cambios en su
funcionamiento; en cambio, si se tratara de un teléfono inteligente, se podría instalar cualquier
aplicación compatible de calendario que se desee.
Debido a que los teléfonos celulares y las PDAs son los dispositivos de mano más comunes en la
actualidad, un teléfono inteligente puede considerarse como un teléfono con capacidades de PDAs
o una PDA con capacidades de teléfono celular. La Figura 3-4 presenta la convergencia que se ha
producido entre estos dispositivos lo que ha permitido ofrecer muchos y diferentes servicios en un
mismo equipo. Las agendas electrónicas y los teléfonos celulares han sufrido una evolución
paralela e independiente que ha generado que una Agenda electrónica opte por ofrecer los
servicios que proporciona un celular (36) (PDA-Celular). De igual manera, el desarrollo tecnológico
37
de un teléfono celular ha decidido incluir aquellos servicios que en su momento fueron exclusivos
de una PDA (20) (celular inteligente).
Figura 3-4 Convergencia tecnológica entre celulares y PDAs
Resultaría impráctico analizar cada uno de los posibles sistemas operativos existentes para un
teléfono celular básico o inteligente debido al cambio tecnológico tan acelerado, tal como se
menciona en (37): “En el desarrollo de la industria de telefonía celular existe una acelerada
creación, tanto de nuevos dispositivos como en la creación de software y sistemas operativos.
Ambos factores complican el análisis de estos equipos de comunicación móvil.” En la Figura 3-5 se
presenta un diagrama general que incluye la diversidad de funciones y características de un
sistema operativo utilizado en equipos de telefonía móvil actuales, las cuales dependen de la
marca, el modelo y el proveedor de servicios.
El software más importante en un teléfono inteligente es su sistema operativo (OS: Operating
System). Un sistema operativo administra los recursos de hardware y software del dispositivo. La
clave en el diseño de un OS se encuentra en el siguiente modelo conceptual, el cual facilita el
estudio y comprensión de la amplia variedad de sistemas ofrecidos por diferentes fabricantes. Esto
a su vez puede auxiliar al análisis de este tipo de sistemas cuando lo requiera el analista forense.
La Figura 3-5 presenta una perspectiva simplificada de la pila de software que existe en un
teléfono celular inteligente. En esta perspectiva no solo considera al OS sino que integra todos los
componentes de software que coexisten e interactúan en dispositivos móviles.
38
Figura 3-5 Arquitectura del Software utilizada en Teléfonos Inteligentes
Algunas plataformas de OS abarcan el rango completo de la pila de software. Otros pudieran
incluir sólo a los niveles más bajos (comúnmente las capas del kernel y del middleware) y
depender de plataformas de software adicionales para proporcionar la estructura de la interfaz del
usuario. A continuación se presenta una breve explicación de cada uno de los niveles o capas de la
pila presentados anteriormente:
Kernel. Permite acceder a los distintos elementos del hardware, además de encargarse de administrar los principales servicios ofrecidos a las capas superiores: manejadores (drivers) para los dispositivos físicos; acceso y gestión de la memoria; sistema de archivos y gestión de procesos.
Middleware. Lo conforman el conjunto de módulos de software que hacen posible la presencia de las aplicaciones existentes en los equipos de telefonía celular. Esta librería de software es transparente para el usuario y ofrece servicios elementales para las aplicaciones como: Motor de mensajería, soporte para navegador de páginas web, motor de comunicaciones, seguridad, etc.
Entorno de ejecución de aplicación (AEE). Es un conjunto de interfaces programables que permiten a los desarrolladores escribir (y ejecutar) sus propias aplicaciones para el uso en plataformas de teléfonos inteligentes.
Interfaz del usuario. Tiene que ver con la pantalla y el teclado, en su caso, del teléfono inteligente. Permite el despliegue de las gráficas y diseños, así como ejecución de funciones que permiten controlar las diferentes capacidades del teléfono inteligente.
La Familia de Aplicaciones nativa del teléfono es un componente adicional que proporciona la interfaz hacia el usuario. Este componente incluye los menús, marcador de números de teléfono, bandeja de entrada de mensajes, navegador, etc.
Algunos de los sistemas operativos de los teléfonos inteligentes son:
39
Symbian OS. Fundado en 1998 por Ericsson, Nokia, Motorola and Psion23. Este OS contiene
únicamente a las partes del kernel y middleware. Esto significa que los usuarios del sistema
Symbian dependerán de otras plataformas de software para las capas de AEE y la interfaz de
usuario.
Linux OS. Este OS es desarrollado y escrito por una comunidad desarrolladora en lugar de una
única compañía. Esto permite una gran diversidad de ideas, la desventaja es que, las
actualizaciones de software y otras aplicaciones escritas para los sistemas operativo Linux difieren
significativamente entre esos sistemas. Dada la naturaleza de Linux, es difícil precisar la aparición
de Linux en los equipos de telefonía celular, sin embargo, se tiene conocimiento que uno de los
primeros intentos por utilizar Linux en dispositivos móviles se debe a Ed Baley.
Windows Mobile. Este es uno de los pocos sistemas operativos para teléfonos inteligentes que
engloba a toda la pila completa de software. Muchas de las fortalezas de este sistema se
encuentran en su compatibilidad total con otros sistemas basados en Windows.
SavaJe OS. Es un OS que fue fundado en 1999 por la compañía SavaJe. Existen pocos teléfonos
inteligentes que utilizan el sistema operativo SavaJe. Este OS está basado en el lenguaje de
programación Java, el cual permite a los fabricantes y consumidores personalizar cada aspecto del
teléfono de manera similar. El sistema SavaJe es otro OS completo, lo que significa que contiene la
pila de software completa que va desde el kernel al conjunto de aplicaciones y la interfaz de
usuario.
3.4. La Tarjeta SIM y su Sistema de Archivos.
Una tarjeta SIM24 es una tarjeta inteligente (smart card) utilizada en los equipos de telefonía
celular. Su uso es obligatorio para redes GSM y es utilizada para identificarse ante la red. Los
estándares internacionales para estas tarjetas están regulados por la ISO25/IEC26 a través de la
familia de normas 7816 (38). Estos estándares definen las propiedades básicas de las tarjetas
23 Para mayor información revisar www.symbian.com. 24 SIM (Subscriber Identity Module, Módulo de Identificación del Suscriptor) 25 ISO (International Organization for Standardization). Organización Internacional para la Estandarización, es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. 26 IEC (International Electrotechnical Commision). Comisión Electrotécnica Internacional, es una organización de normalización en los campos eléctrico, electrónico y tecnologías relacionadas.
40
inteligentes (denominadas de contacto) tales como: características físicas, características de
comunicación, datos almacenados, interoperabilidad de la tarjeta, etc. La familia de la ISO 7816
contiene varios apartados al respecto y pueden consultarse en (39). Las tres primeras partes de
esta norma se centran en el hardware de la tarjeta y el chip. El resto especifica los mecanismos y
propiedades de aplicaciones y sistemas operativos para tarjetas inteligentes, además de los
aspectos informáticos asociados.
En este mismo sentido, el Instituto para estándares de telecomunicaciones europeas (ETSI),
formado por compañías e industrias de telecomunicaciones de Europa, ha hecho una contribución
significativa para el uso internacional de tarjetas inteligentes en el campo de los sistemas de
telefonía celular. Esta aportación ha dado lugar a la familia de estándares GSM 11.11, los cuales
especifican la interface entre la tarjeta inteligente (SIM en el sistema GSM) y el teléfono celular.
Esta familia de estándares se basan en los estándares ISO/IEC (39). La tarjeta SIM, utilizada en los
teléfonos GSM, permite la conexión a redes GSM (a través de procesos de cifrado), y mediante ella
es posible identificar en forma única al suscriptor en toda la red y de esta forma, pueda acceder a
los servicios correspondientes.
La independencia entre los componentes SIM y Estación Móvil (ME), de un teléfono celular
estipulado en los estándares GSM, ha generado una especie de portabilidad de datos del usuario.,
es decir, la migración de una SIM entre teléfonos compatibles produce una transferencia
automática de la identidad del suscriptor, la información asociada, así como de otras
características relativas a los servicios. Dicho de otra de forma, esta independencia produce una
portabilidad haciendo que sea posible cambiar la línea en un mismo Equipo Móvil simplemente
cambiando la tarjeta.
De la misma manera que para un equipo de cómputo, las tarjetas inteligentes utilizan un sistema
operativo para trabajar correctamente. En una tarjeta SIM las tareas primarias del sistema
operativo son:
Transferencia de datos desde/hacia la tarjeta inteligente. Controlar la ejecución de comandos. Administrar archivos y ejecutar algoritmos criptográficos.
41
Anatomía de la Tarjeta SIM.
Toda tarjeta SIM contiene un microprocesador, tres tipos de memoria (RAM, ROM y EEPROM27),
finalmente cierta lógica integrada para administrar los asuntos de la seguridad. La tarjeta SIM
puede ser considerada como una caja negra interactuando con el Equipo Móvil a través de una API
(Application Programming Interface).
Figura 3-6 Elementos básicos de una Tarjeta SIM
En general, una SIM contiene un procesador y de 16 a 128 KB de EEPROM; la cual sirve, entre otras
cosas, para almacenar datos de la RAM. La memoria RAM sirve de soporte para procesar
comandos. Mientras que la ROM es para el sistema operativo, algoritmos de cifrado de datos y
autenticación de usuario, y otras aplicaciones. El sistema de archivos de la SIM reside en la
memoria persistente y almacena objetos tales como nombres y entradas de números telefónicos,
mensajes de texto, y configuraciones de los servicios de la red. Dependiendo del modelo usado, la
memoria del teléfono pudiera guardar parte de la información que le corresponde a la SIM.
Alternativamente, la información pudiera residir completamente en la memoria del teléfono en
lugar de utilizar la memoria disponible de la tarjeta SIM.
La arquitectura de la tarjeta SIM (ver Figura 3-6) también es usada en sistemas 3G. Aquí es
conocida como tarjeta USIM28 y cumple un funcionamiento similar al realizado por la tarjeta SIM
pero está diseñada para sistemas de telefonía móvil UMTS29 .
Sistema de Archivos de la Tarjeta SIM.
Los estándares GSM indican aquellos datos que son posibles almacenar en la tarjeta SIM y son
tratados a detalle en GSM 11.11 y GSM 11.14 (40). El sistema de archivos está almacenado en la
27 EEPROM: Es un tipo de memoria ROM que puede ser programada, borrada y reprogramada eléctricamente. 28 USIM: Universal Subscriber Identity Module o Módulo de Identificación del Suscriptor. 29 UMTS: Sistema Universal de Telecomunicaciones móviles (Universal Mobile Telecommunications System) es una de las tecnologías usadas por los móviles de tercera generación (3G). Sucesor de GSM.
42
EEPROM y tiene una estructura jerárquica (de árbol) con una raíz llamada Archivo Maestro (MF,
Master File). Básicamente, hay dos tipos de archivos: directorios, llamados Archivos Dedicados
(Dedicated Files, DF), y archivos, llamados Archivos Elementales (Elementary Files, EF). La principal
diferencia entre estos dos tipos de archivos es que un DF contiene solamente una cabecera,
mientras que un EF contiene una cabecera y un cuerpo. La cabecera contiene toda la meta-
información que relaciona al archivo con la estructura del sistema de archivos (espacio disponible
bajo el DF, número de EFs y DFs los cuales son hijos directos, tamaño del registro, etc.) e
información de seguridad (condiciones de acceso a un archivo), mientras que el cuerpo contiene
información relacionada con la aplicación para la cual la tarjeta ha sido suministrada. La Figura 3-7
ilustra la estructura del sistema de archivos. Aunque el sistema de archivos de la SIM está
debidamente estandarizado, también se permite cierta flexibilidad de manera tal que su
contenido puede variar entre operadores y en los servicios de los proveedores. Los EFs bajo DFGSM
y DFDSC1800 contienen principalmente información relacionada con la red para las diferentes bandas
de operación de GSM 900 MHz y DCS (Digital Cellular System) de 1800 MHz. Los EFs bajo DFTELECOM
contienen información relacionada con el servicio de telecomunicaciones y que puede ser utilizada
por otras aplicaciones de telecomunicación.
Figura 3-7 Sistema de Archivos de una tarjeta SIM
En una tarjeta SIM común, existen tres tipos de archivos elementales (ver Figura 3-8):
EF transparente. Estos archivos están organizados como una secuencia de bytes. Es posible leer
todo o solo un intervalo de su contenido especificando un intervalo numérico.
EF lineal ajustado. La unidad mínima para estos archivos es el registro, en lugar del byte. Un
registro es un grupo de bytes que tienen una codificación conocida: cada registro del mismo
43
archivo representa el mismo tipo de información. En estos archivos, todos los registros tienen el
mismo tamaño.
EF cíclico. Estos archivos implementan un buffer circular en donde la unidad mínima que se puede
manipular es el registro. Por lo tanto, los conceptos de primero y último se sustituyen por anterior
y siguiente.
Figura 3-8 Tipos de Archivos Elementales (EF).
3.5. Fuentes de Evidencia Digital.
3.5.1. Evidencia en la Tarjeta SIM.
En una tarjeta SIM es posible encontrar varios elementos de evidencia digital (por ejemplo,
contactos, mensajes de texto, etc.). La evidencia puede estar dispersada sobre el sistema de
archivos en varios EFs localizados bajo el MF, así como en los DFs. A partir de estos archivos se
pueden identificar varias categorías de evidencia:
a) Información relacionada con el servicio. b) Información de Directorio y de llamadas. c) Información de Mensajería. d) Información de Localización.
a) Información relacionada con el servicio. Esta información se encuentra en los siguientes archivos:
ICCID (Integrated Circuit Card Identification). IMSI (International Mobile Subscriber Identity). MSISDN (Mobile Station International Subscriber Directory Number). SPN (Service Provider Name). SDN (Service Dialling Numbers).
44
El ICCID contiene un identificador numérico único para la SIM y su tamaño puede ser de hasta 20
dígitos. Puede ser leído de la tarjeta SIM sin proporcionar el código PIN y nunca puede ser
actualizado. Las partes que componen este archivo se pueden dividir en dos: a) Número de
identificación del emisor, el cual es un prefijo que contiene tres campos, el identificador de la
industria (89 es para telecomunicaciones), el código de país y el identificador de emisor. Este
último es de tamaño variable. Ambos, el código de país y el identificador de emisor pueden ser
utilizados para determinar el operador de red que está proporcionando el servicio y obtener datos
sobre los registros de llamadas del suscriptor. El número de identificación del emisor tiene una
longitud máxima de 7 dígitos. b) Identificación de la cuenta individual, se conforma del
identificador de cuenta y el dígito de verificación de paridad (parity check digit). Este campo es
variable, provocando que en ocasiones sea difícil de interpretar.
El IMSI es un identificador numérico único de 15 dígitos asignado al suscriptor. Tiene una
estructura similar al ICCID: un código de país móvil (MCC), identificador del operador de la red
(MNC), número de identificación del suscriptor (MSIN) asignado por el operador de la red. El MCC
consta de 3 dígitos, el MNC puede ser de 2 o 3 dígitos, mientras que el MSIN ocupa el resto de los
dígitos libres. Las redes utilizan a los IMSIs para identificar a cual red se suscribe un dispositivo de
un determinado usuario y, si no corresponde a su red, determinar si esos suscriptores pueden
acceder a los servicios.
El ICCID e IMSI pueden ser utilizados, de un modo fiable, para identificar al suscriptor y al operador
de la red que ofrece el servicio, Dado que estos identificadores pueden ser malinterpretados, es
recomendable consultar otros datos de la SIM para confirmar los hallazgos.
El MSISDN es un número que permite identificar de manera única una suscripción en el sistema
GSM, de manera simple, corresponde al número telefónico de la tarjeta SIM. A diferencia del ICCID
e IMSI, el MSISDN es un EF opcional. Si se encuentra presente, su valor puede ser modificado por
el suscriptor, haciéndolo una fuente de datos menos confiable, pues podría ser inconsistente con
el número real asignado.
El SPN es un EF opcional que contiene el nombre del proveedor de servicios. Si se encuentra
presente, puede ser actualizado sólo por el administrador (por ejemplo, acceso de administrador).
45
El SDN contiene números de servicios especiales tales como cuidados al usuario y, si se encuentra
presente, puede ayudar a identificar a cuál red la SIM está registrada.
b) Información de directorio y de llamadas. Esta información se encuentra en los siguientes archivos:
ADN (Abbreviated Dialling Numbers). LND (Last Numbers Dialled).
ADN (Abbreviated Dialling Numbers). Almacena una lista de nombres y números telefónicos
ingresados por el usuario. El almacenamiento permite comúnmente números telefónicos
marcados que serán seleccionados por nombre y actualizados o llamados usando un menú o
botones especiales del dispositivo, proporcionando operaciones de directorio básicas. La mayoría
de las SIMS proporcionan espacio para guardar hasta 100 entradas.
LND (Last Numbers Dialled). Es un EF que contiene una lista de los números más recientemente
marcados. Aunque el número aparezca en la lista, la conexión entre esos números podría no haber
sido exitosa, sino únicamente como un intento. La mayoría de las tarjetas SIM tienen espacio
limitado para almacenar estas entradas. Algunos teléfonos no almacenan los números marcados
en la SIM sino en su propia memoria.
c) Información de Mensajería. Esta información se encuentra en los siguientes archivos:
SMS (Short Message Service). EMS (Servicio de Mensajería Mejorado).
El servicio de mensajería es un medio de comunicación en el cual los mensajes recibidos por un
celular son enviados a otro a través de la red de telefonía móvil. El archivo elemental (Short
Message Service) contiene y parámetros asociados de los mensajes recibidos desde la red o
enviados o hacia ella. Las entradas SMS contienen otra información además del texto mismo, tal
como la hora en que un mensaje entrante fue enviado, de acuerdo a como se registró por la red te
telefonía móvil, el número del equipo que envió, la dirección de la Central de mensajería (SMS
Center), y el estado de la entrada. El estado de una entrada de mensaje puede ser marcado como
espacio libre o bien, ocupado por alguno de lo siguiente: un mensaje recibido listo para ser leído,
un mensaje que ha sido leído, un mensaje saliente listo para enviarse, un mensaje saliente que se
ha enviado.
46
Los mensajes eliminados a través de la interfaz del teléfono son a menudo simplemente marcados
como espacio libre y son retenidos en la SIM hasta que son sobre-escritos. Cuando un nuevo
mensaje es escrito en una posición libre, la porción que no es usada es rellenada (no se especifica
con qué se rellena), sobre-escribiendo cualquier remanente de los mensajes previos que pudiera
estar ahí.
La capacidad para almacenar mensajes varía entre SIMS. Muchos teléfonos celulares también
utilizan su propia memoria interna para almacenarlos. La opción elegida para almacenar los
mensajes puede variar dependiendo del software y configuraciones. Por ejemplo, un
comportamiento por defecto sería que, para todos los mensajes entrantes deben ser almacenados
en la memoria de la SIM antes que se use la memoria interna del teléfono, mientras que los
mensajes salientes se almacenan sólo si se hace una solicitud explícita.
El tamaño máximo de un mensaje SMS es de 160 caracteres de texto. Los mensajes que excedan
ese tamaño deben dividirse en segmentos más pequeños por el teléfono emisor y re-ensamblados
por el teléfono receptor. Un parámetro (número de referencia) identifica las entradas de aquellos
segmentos que requieren re-ensamblarse, tales mensajes se conocen como mensajes
concatenados. Los mensajes SMS pudieran originarse a través de otros medios tales como un
servidor SMS de Internet.
El Servicio de Mensajería Mejorado (EMS) fue definido como una manera de ampliar el contenido
de los mensajes SMS y así, permitir que los mensajes simples multimedia puedan ser enviados. Los
mensajes EMS pueden no sólo contener texto formateado con diferentes estilos de fuentes, sino
también con imágenes y cierto tipo de melodías. El contenido de los mensajes EMS reside en el
archivo EF para SMS junto con el contenido del mensaje SMS. El servicio de mensajería EMS se ha
diseñado para respetar la estructura general de los mensajes SMS y para trabajar con mensajes
concatenados.
d) Información de Localización. Esta información se encuentra en los siguientes archivos:
Información de Localización (LOCI).
LOCI (Location Information). Este archivo EF contiene al Identificador de área local (LAI), este
identificador se compone del MCC, el MNC del área de ubicación así como el código identificador
de área (LAC) , éste último es un identificador para un grupo de células. Cuando el teléfono es
47
apagado, el LAI es retenido, haciendo posible determinar la localidad general en donde fue la
última vez que el dispositivo estuvo operando. En resumen, este archivo es utilizado para manejar
comunicaciones de voz.
Como se puede notar, es importante contar con métodos que permitan extraer la información
almacenada en la tarjeta SIM. En este sentido, existen trabajos como el presentado por Willassen
(30), en donde menciona que el mejor procedimiento forense para analizar la tarjeta SIM es hacer
una imagen del contenido completo, guardarla en un archivo y calcular el hash de esta memoria.
Por otro lado, han empezado a surgir herramientas de software, que dicen ofrecer la capacidad de
recuperar datos eliminados de la tarjeta SIM (41).
3.5.2. Evidencia de un Equipo Móvil.
Los fabricantes de los equipos de telefonía celular normalmente ofrecen un conjunto de
características similares para el manejo de información, incluyendo aplicaciones orientadas a la
administración de información PIM, mensajería y correo electrónico, así como para el uso de
Internet. Estas características pueden variar según el modelo, la versión de firmware que está
ejecutándose, modificaciones realizadas por un proveedor de servicios determinado, y cualquier
tipo de modificaciones o aplicaciones instaladas por el usuario. De manera general, la evidencia
potencial de estos dispositivos incluye:
Identificadores del suscriptor y equipo.
Fecha-hora, idioma, y otras configuraciones.
Información de directorio.
Citas calendarizadas.
Correo electrónico. Fotos. Grabaciones de
audio y video. Mensajes
multimedia.
Mensajería instantánea y Web.
Documentos electrónicos.
Información de ubicación.
Además de los anteriores, existen datos adicionales en un teléfono móvil que pudieran corroborar
algunos aspectos de investigación. Por ejemplo, material que pareciera sin importancia tal como
tonos de teléfono pudieran tener cierta relevancia, dado que el usuario de un teléfono móvil a
menudo agrega tonos particulares para distinguirlos de otros equipos. Un testigo de algún
incidente podría recordar el haber escuchado un tono determinado del dispositivo de un
sospechoso, lo cual contribuiría a la identificación de un individuo. Incluso información relacionada
48
con la red encontrada en una tarjeta SIM aportaría datos útiles. Por ejemplo, si una red rechaza
una actualización de localización en un teléfono al intentar registrarse, la lista de entradas
prohibidas en el archivo elemental PLMNs Prohibidos (Forbidden PLMN) es actualizado con el
código del país y la red involucrada (42). El equipo de cierto usuario que se encuentre bajo
sospecha, si viajase a un área vecina puede ser confirmado a través de esta información. Los datos
presentes en un dispositivo son dependientes no solo de las características y posibilidades del
equipo, sino también de los servicios de voz y datos a los cuales el usuario se encuentra suscrito.
Por ejemplo, el servicio de prepago normalmente no incluye servicios de datos y elimina la
posibilidad el uso de mensajes multimedia, correo electrónico y la navegación de Internet. De
manera similar, mediante una suscripción por contrato se pudiera excluir selectivamente ciertos
tipos de servicios, aunque el equipo tenga la capacidad de soportarlos.
La Tabla 3-2 proporciona una correlación de fuentes de evidencia comunes encontradas en
equipos de telefonía celular así como la contribución pertinente para satisfacer los objetivos
anteriores. En muchas instancias, estas fuentes proporcionan datos que pudieran estar
involucrados en la investigación, convirtiéndolos en piezas clave para consolidar o refutar las
acusaciones sobre el sospechoso. La mayoría de las fuentes de evidencia provienen de los datos
PIM, datos de llamadas, mensajes e información relacionada con Internet. Algunas otras
aplicaciones instaladas en el dispositivo pudieran convertirse en fuentes de evidencia adicionales.
Los archivos de usuario, almacenados en el dispositivo con el fin de realizar diversas operaciones
sobre ellos (edición, visualización, etc.), también constituyen una fuente importante de evidencia.
Además de los archivos de gráficos, son importantes las grabaciones de audio y video, hojas de
cálculo, diapositivas para presentaciones, así como otros documentos electrónicos similares. Los
programas instalados, en ciertas circunstancias, también podrían ser importantes. Sin embargo,
los datos que podrían considerarse más importantes corresponden a aquellos que puedan vincular
al proveedor del servicio. Estos proveedores almacenan información mediante bases de datos, las
cuales utilizan para facturar o realizar cargos30 a cuentas de usuario basados en los registros de
llamadas, estas bases de datos pueden ser consultadas utilizando los datos del suscriptor o
mediante los identificadores del equipo. De forma similar, los mensajes de texto no entregados,
los mensajes de voz o multimedia también podrían recuperarse.
30 Por ejemplo, en México existe un servicio conocido como Nipper, el cual permite realizar pagos y/o compras por internet. Fuente: http://www.hsbc.com.mx/1/2/es/personas/tarjetas-de-credito/beneficios-y-servicios/nipper.
49
Tabla 3-2 Correlación entre Fuentes de Evidencia y Objetivos
Registros de suscriptor y llamadas.
Los registros preservados por el proveedor del servicio almacenan información requerida para
facturar adecuadamente la cuenta del suscriptor o, en caso de un plan de prepago, restar el saldo
correspondiente. A estos registros se les conoce los registros de llamada31, los cuales se generan
por el conmutador al momento de administrar una llamada o mensaje saliente de un teléfono
móvil. Mientras que el contenido y formato de estos registros pueden diferir ampliamente entre
proveedores, los datos fundamentales requeridos para identificar al suscriptor/dispositivo que
inicia la llamada se captura la célula inicial atendiendo la llamada, el número marcado, y la
duración de la llamada. A menudo, se incluyen otros datos tales como el identificador de la célula
(por ejemplo, BTS), y el sector involucrado. El periodo de retención para los registros de llamadas
varía entre los proveedores de servicio (43). Sin embargo, es muy común que el periodo sea
limitado, requiriendo acción inmediata para evitar pérdida de datos. Por ejemplo, en (44) se
menciona que un proveedor de servicio puede variar el periodo de retención que va desde los seis
años a sólo 45 días para los registros de llamadas, mientras que para los mensajes de texto o
correo de voz normalmente el periodo es de una semana o menos.
31 Registros de llamadas =Call Detail Record.
50
Además de los detalles de registros de llamadas, los registros del suscriptor mantenidos por un
proveedor de servicio pueden aportar información valiosa. Por ejemplo, en el sistema GSM, la
base de datos usualmente contiene la siguiente información de cada cliente:
1. Nombre y dirección del cliente. 2. Nombre y dirección para facturación (en caso que difiera de 1). 3. Nombre de usuario y dirección (en caso que difiera de 1). 4. Detalles de facturación de la cuenta. 5. Número de teléfono (MSISDN). 6. IMSI. 7. Número serial de la SIM. 8. PIN/PUK de la SIM. 9. Servicios disponibles.
3.6. Estructura de la Red.
Aunque el trabajo se limita al estudio de la evidencia almacenada localmente en los dispositivos de
telefonía celular es importante presentar la arquitectura general de una red de telefonía celular
del tipo GSM, que permita contar con el conocimiento sobre la manera en que opera esta red para
conocer como pudiera aportar evidencia adicional útil para el caso. Es importante señalar que, en
cuanto al estudio de la evidencia digital en telefonía celular, existe un área del conocimiento
conocida como Análisis de Sitio de Célula32 (Cell Site Analysis), la cual se define como la ciencia que
se encarga de localizar el área geográfica de un teléfono cuando suceden o han sucedido
actividades (llamadas, envío de mensajes SMS, descargas, etc.) entre el sistema de red y el equipo
móvil ya sea en tiempo real o históricamente.
Jerarquía de Identidad de la Red GSM.
GSM adoptó desde el inicio de sus operaciones una jerarquía de identidad, esto es, una estructura
jerárquica en donde existen diversos niveles de elementos con funciones específicas claramente
identificados. Esta estructura de identidades puede utilizarse para comprender el proceso de
interacción entre la red y la estación móvil y así, aproximar la ubicación geográfica de una estación
móvil. Los identificadores jerárquicos, por lo tanto, tienen un papel útil en el análisis de sitio de
célula. La Figura 3-9, ofrece una perspectiva abstracta del modelo jerárquico de la identidad de la
red. Con este modelo es posible hacer notar que todo aquel suscriptor que desee utilizar la red
32 Un Sitio de célula es un término utilizado para denominar el sitio en donde las antenas y equipo electrónico de comunicaciones son colocados para crear una célula en una red de telefonía móvil. Para redes GSM, el término correcto equivalente corresponde a una estación transceptora base (Base Transceiver Station).
51
para hacer y recibir llamadas debe estar acorde al plan de numeración de la red de
telecomunicaciones pública de un país. Si tales estructuras no estuvieran ordenadas la
interconexión a su propia y otras redes (así como aquellas internacionales) no podrían ser
posibles.
Figura 3-9 Modelo jerárquico de Identidad de una Red GSM
Mientras que la Figura 3-9 proporciona una panorámica abstracta útil, la Figura 3-10 presenta una
definición más clara sobre cómo está instalada y funcionando, en la práctica, una red de telefonía
celular GSM, ya que exhibe las entidades físicas involucradas.
Identidades físicas en el sistema GSM.
La Figura 3-10 presenta aquellas identidades físicas en la red GSM de telefonía móvil y las separa
en tres grupos diferentes: (1) Estación Móvil – (2) Subsistema de Estación Base - (3) Subsistema de
red.
52
Figura 3-10 Identidades físicas del sistema GSM
Estación Móvil.
Estación Móvil (Mobile Station, MS). Es el término utilizado para indicar que un equipo móvil y una
tarjeta SIM se han conectado entre sí y se encuentran operando en forma conjunta, como se
puede ver, la tarjeta SIM junto con el Equipo Móvil (el teléfono celular), constituyen la Estación
Móvil, esto es, el componente final y funcional que el usuario opera para interactuar con el
sistema GSM. La estación móvil está en posesión y es operada por el suscriptor. Toda interacción
entre la Estación Móvil y la red de telefonía celular ocurre vía un radioenlace, el cual utiliza el
operador de la red de telefonía celular para controlar la actividad de una Estación Móvil.
Tarjeta SIM. Contiene y transmite el perfil del suscriptor; este perfil se llama Identidad
internacional móvil del suscriptor (IMSI) en la red. El IMSI tiene un tamaño de 15 dígitos y contiene
información sobre el MCC, MNC y MSIN (ver Figura 3-9 Modelo jerárquico de Identidad de una
Red GSM). La red de telefonía celular utiliza la identidad del suscriptor para validar que el
suscriptor pertenezca a su red y corrobore los servicios que pueden ser utilizados por el usuario.
Equipo Móvil (Mobile Equipment). Cada uno tiene un único número serial asignado a ellos en el
momento de fabricación, llamado IMEI (Identidad Internacional de Equipo Móvil). El IMEI es
transmitido hacia la red para que ésta pueda determinar si un dispositivo puede ser utilizado (lista
53
blanca), si está bajo investigación (lista gris) o cancelado (lista negra). El ME no puede funcionar
completamente sin una SIM.
Interfaz de Aire (User mobile, Um). Define el radio enlace visto por la estación móvil que existe
entre ella y la red de telefonía celular, se le denomina interfaz de aire, sin embargo, es conocido
muy comúnmente como área de cobertura.
Subsistema de Estación Base (BSS).
Se refiere colectivamente a la estación base (BTS), la interfaz Abis y la estación controladora base
(BSC). La BTS es de hecho la célula sobre la cual se encuentran las antenas propagando las señales
de radio. LA BTS es un elemento clave en el análisis de sitio de célula pues proporciona una
posición geográfica fija, y a partir de su información de difusión junto con otros parámetros de
radio es posible detectar el área de cobertura de la célula. Ciertos datos importantes y asociados
con el uso de la célula por parte de la estación móvil se almacenan en la BTS por un lapso breve de
tiempo33. La interfaz Abis proporciona los enlaces de comunicación entre la BTS y la BSC. La BSC es
la encargada de administrar a un grupo específico de células. Es la responsable de administrar el
control de transferencia de una estación móvil de una célula a la siguiente bajo su control. La BSC
transmite una identidad importante vía BTS llamada Código de identidad de estación base (BSIC).
La identidad BSIC, junto con la identidad de BTS pueden confirmar un área de cobertura, y de esta
manera, es posible concretar el radio de área geográfica en la cual se localizaba el teléfono móvil.
Subsistema de Red.
Cinco elementos constituyentes del Subsistema de la red (ver Figura 3-10) comúnmente referidos
son: Mobile Services Switching Center (MSC), Visitor Location Register (VLR), Home Location
Register (HLR), Authentication Centre (AuC) y Equipment Identity Register (EIR).
Mobile services Switching Centre (MSC). Es, de hecho, la central telefónica encargada de realizar
las labores de conmutación dentro de la red y (área de cobertura); por lo tanto, controla todas las
comunicaciones dentro de la red y redes externas (nacionales/internacionales). La MSC es el
principal conducto de la red para manejar las comunicaciones desde y hacia las estaciones móviles
33 El periodo de tiempo que los datos son almacenados no se tiene perfectamente determinado. Para conocer estos detalles se aconseja apoyarse a través del proveedor del servicio para obtener datos respecto al tiempo de retención, o en su defecto, revisar los estándares GSM correspondientes.
54
a través de las estaciones base (BTSs) y las estaciones controladoras (BSCs) por un lado. Por el otro
lado, la MSC hace consultas a bases de datos.
VLR (Visitor Location Register): Se coloca usualmente dentro o junto a la MSC. Administra, entre
otras cosas, las peticiones de acceso solicitadas por las estaciones móviles que desean conectarse
a la red para obtener servicio y, que se encuentran dentro del área geográfica controlada por la
MSC. La base de datos VLR transfiere la petición a la MSC, la cual consulta a la Home Location
Register. La identidad del suscriptor, número de teléfono móvil, datos de seguridad entre otros
son entregados a la VLR. La base de datos VLR guarda información temporal de cada cliente que se
encuentra en el área de influencia de los MSC como el (IMSI o el TMSI).
HLR (Home Location Register). Es una base de datos separada en donde se encuentran
almacenados datos como la identidad del suscriptor, número de teléfono móvil, servicios
disponibles para esa cuenta, datos de localización y detalles de seguridad. Cada consulta sobre la
autenticación y validez de la estación móvil están estrictamente controladas para prevenir accesos
a servicios no autorizados. Todas las consultas que llegan de la MSC son enviadas de vuelta a la
MSC.
AuC (Authentication Centre): Se encuentra identificada de manera separada pero esta enlazada y
se comunica únicamente con la HLR. Su principal función es la de gestionar los datos de seguridad
y autenticación de los usuarios. Parte de la información generada por la AuC es almacenada en la
VLR para realizar alguna actualización en la autenticación del suscriptor o en el cifrado de
comunicaciones que se vayan requiriendo.
EIR (Equipment Identity Register). Es otra base de datos que la MSC utiliza para consultar el
número serial (IMEI) del dispositivo móvil, el cual es transmitido por éste dispositivo cuando utiliza
la red. La EIR permite al equipo ser registrado independientemente del suscriptor y su objetivo
consiste en evitar que se utilicen equipos móviles no autorizados en la red a través de listas
conocidas como blanca, gris y negras.
Comentarios Finales.
Para poder hacer un análisis forense, primero es necesario conocer las características del sistema y
a través de este conocimiento guiarse para lograr la extracción de aquella información que pueda
55
considerarse como evidencia. Por otro lado, muchas de las propuestas de metodologías carecen o
no presentan detalles del tipo de evidencia que se puede encontrar en un equipo de telefonía
celular GSM pues están orientadas al análisis forense de equipos de cómputo. Debido a lo
anterior, el presente capítulo se concentró en presentar información relacionada con las
características del sistema de telefonía celular para que sea posible identificar las fuentes de
evidencias más importantes y, de esta manera, comprender y agilizar el proceso de investigación
digital.
56
Capítulo 4 Fundamentos para proponer una Metodología Forense.
En este capítulo se presentan siete documentos de análisis forense de equipos de
cómputo y de comunicaciones que han propuesto organismos internacionales. De
cada uno de estos documentos se destaca sus ventajas, las cuales podrían
aprovecharse para la elaboración de una metodología de análisis forense de equipos
de telefonía celular. Adicionalmente, se describe la manera en que se debería
formalizar una metodología usando Procedimientos Operativos Estándar, la cual es
una estrategia común en otras áreas del conocimiento y aquí se aplica para el
proceso forense en equipos de telefonía celular. Al inicio de este capítulo se incluyen
definiciones, principios y mejores prácticas del proceso forense digital.
4.1. Antecedentes.
Los conceptos que sirven de soporte en este capítulo son: Metodología, Evidencia Digital, Cadena
de Custodia y Procedimientos Operativos Estándar. A continuación se da una definición de cada
uno de estos conceptos.
Metodología.
La palabra metodología proviene de los términos griegos método: <<meta>> (fin, objetivo),
<<odós>> (trayecto, senda), <<logos>> (tratado, ciencia o estudio); así, etimológicamente
metodología quiere decir “camino que debemos seguir para llegar a un fin”. Con ella, se hace
referencia a las etapas que deben seguirse para alcanzar una meta; es decir, está relacionada con
un conocimiento que permite alcanzar los objetivos planteados. Una metodología de acuerdo a la
Real Academia de la Lengua Española se define como: “El conjunto de métodos que se siguen en
una investigación científica o en una exposición doctrinal. Entendiéndose por método el
procedimiento que se sigue en la búsqueda del conocimiento y su enseñanza orientado a realizar
actividades intelectuales y experimentales de modo sistemático con el propósito de aumentar los
conocimientos sobre una determinada materia”. Dado que la definición anterior trata de métodos,
es conveniente aquí mencionar los pasos que constituyen el método científico:
Identificar e investigar sobre el problema. Formular una hipótesis. Probar la hipótesis de manera empírica y conceptual.
57
Evaluar la hipótesis con respecto a los resultados probados – si los resultados son dudosos, diseñar y efectuar nuevas pruebas.
Si la hipótesis es aceptable, evalúa su impacto.
Es necesario recordar que la utilización del método científico asegura los siguientes aspectos:
Propósito/objetivo claramente definido en conceptos comunes. Procedimiento enumerado para mantener continuidad. Diseño planeado cuidadosamente orientado a resultados objetivos. Facilidad para identificar y reportar errores. Adecuado análisis de datos con métodos apropiados de análisis. Revisión cuidadosa de datos para su validez y confiabilidad. Conclusiones limitadas a aquellas justificadas por los datos.
Evidencia Digital.
Como en cualquier área forense, uno de los conceptos más importantes y que se deben tener
claros es el concepto de evidencia. En esta tesis se han considerado las siguientes definiciones de
Evidencia Digital dada por distintos autores en el contexto del análisis forense en equipos de
cómputo y de telecomunicaciones.
Cualquier dato almacenado o transmitido utilizando una computadora que confirme o niegue una teoría sobre la manera en que ocurrió una ofensa (Chisum 1999).
Cualquier dato que puede establecer que un crimen ha sido cometido o que suministre un enlace entre el crimen y la víctima o entre el crimen y su perpetrador (Casey 2000).
Cualquier información de valor probatorio que sea almacenada o transmitida de manera digital. (SWGDE 1999).
Información almacenado o transmitida de manera binaria que pueda ser confiable en una corte. (IOCE 1999).
Las definiciones dadas por la SWGDE y por la IOCE no se limitan a aquella evidencia encontrada en
aquellos escenarios donde existen computadoras, sino que es posible incluir aquellos en donde
existan datos almacenados en dispositivos electrónicos tales como dispositivos de
telecomunicaciones, de contenido multimedia, etc. Además, en dichas definiciones se considera
que la evidencia digital tiene dos aspectos: los componentes físicos (periféricos y medios) y, los
datos contenidos en esos componentes; teniendo en cuenta que para ambos se debe cuidar la
cadena de custodia.
En cuanto al método científico, el término de Evidencia digital podría corresponder a cualquier
dato digital que contiene información confiable que sustente o refute una hipótesis relacionada
con el incidente. Un crimen o incidente es un evento que viola una ley o política. Un evento
corresponde a un suceso que cambia uno o más objetos.
58
En el manejo y administración de la evidencia digital se deben tener cuidados importantes que
garanticen su validez y vigencia en un caso específico, para ello, en esta tesis se han considerado
los principios de evidencia digital dados por la ACPO y la IOCE, los cuales han sido utilizados por el
NIST. Estos principios tienen como finalidad asegurar la integridad y brindar claridad en las
acciones o decisiones tomadas relacionadas con la evidencia digital durante el proceso de
investigación digital. Un correcto manejo de la evidencia digital es siempre esencial para que sea
admisible en procesos judiciales.
Cadena de Custodia.
Es el término que denota el proceso de garantizar la integridad de la evidencia durante su manejo
en el proceso de investigación. Para mantener la cadena de custodia se debe contar con la
documentación que respondan al tipo de preguntas ¿qué?, ¿por qué?, ¿quién?, ¿cuándo?,
¿dónde? y ¿cómo? Estas preguntas permitirán identificar claramente las operaciones realizadas
sobre la evidencia digital. Considera la elaboración de documentos que trasladen la
responsabilidad a quien tiene bajo su custodia la evidencia de un caso específico y en un tiempo
determinado.
4.2. Formalización de una metodología usando Procedimientos Operativos Estándar.
Tal como se comentó en el planteamiento del problema (ver sección 1.2), el análisis forense
presenta carencias en cuanto al desarrollo y aplicación de metodologías al momento de
enfrentarse con una investigación forense en nuestro país.
Para solventar la situación anterior, se han desarrollado trabajos internacionales que han
destacado la importancia de contar con una metodología formal y estandarizada al momento de
manejar la evidencia durante el proceso de investigación, tal como el desarrollado por Jim
McMillan en donde cita “Obedecer una metodología estándar es crucial para realizar un análisis
exitoso y efectivo en la informática forense. Tal como los programadores profesionales utilizan
una metodología minuciosa de programación, los profesionales forenses también deberían utilizar
una metodología de investigación detallada” y además agrega que “una metodología estándar
proporcionará protección y ciertos pasos comunes que deberán ser realizados durante el proceso
de investigación” (45). En el mismo sentido, la SWGDE en (46), resalta la necesidad de contar con
procesos estandarizados, para lo cual presenta un escenario en donde la aplicación de la ley se
59
enfrenta a un mundo global de transacciones económicas compuesto de dos características
principales: a) muchas de ellas son de carácter internacional y b) los criminales al momento de
actuar pudieran involucrar a naciones diferentes. Aclara que cada nación tiene su propio sistema
legal y que no es razonable esperar que cada una de las naciones conozca de manera precisa las
reglas y leyes que rigen a otros países. Por lo tanto, indica que es necesario encontrar un
mecanismo que permita el intercambio seguro y estandarizado de evidencia.
El mecanismo que se propone en esta tesis para la adquisición, análisis y manejo de la evidencia
digital se basa en el concepto de SOP (SOP: Standard Operating Procedure), el cual es un
procedimiento documentado, de manera formal, que incluye un conjunto de instrucciones que
describen la manera en que deben realizarse las tareas repetitivas en una organización. Los
Procedimientos Operativos Estandarizados (SOPs) constituyen un conjunto de instrucciones que
tienen el carácter de una directiva y se definen para asegurar y mantener la calidad de los
procesos que ocurren en un sistema y principalmente donde no existen procedimientos
propiamente establecidos. Así, los SOPs resultan ser elementos que contribuyen al desarrollo de
metodologías que puedan ser usadas en el proceso forense en equipos de telefonía móvil, los
cuales permitirán hacer compatibles, válidas y aceptables las actividades involucradas en el
manejo de la evidencia digital.
Los SOPs deben ser documentos formales, y por lo tanto, deben ser acatados (respetados). Los
SOPs pueden ser catalizadores efectivos para conducir mejoras en el desempeño de áreas
específicas de una organización, así como mejorar sus resultados organizacionales. De acuerdo con
la Royal Pharmaceutical Society of Great Britain (RPSGB), algunos de los beneficios que ofrece el
trabajar mediante SOPS, (47) son:
1. Aseguran la calidad y consistencia de un servicio. 2. Garantizan el uso y aplicación de las mejores prácticas en todo momento. 3. Proporcionan la oportunidad de utilizar la experiencia del personal involucrado en la
tarea a realizar. 4. Permiten segregar y delegar funciones, así como liberar tiempo del personal para otras
actividades. 5. Ayudan a evitar confusiones entre las funciones de las personas involucradas
(esclarecimiento de funciones). 6. Proporcionan consejo y orientación a suplentes y personal de medio tiempo. 7. Facilitan el entrenamiento de nuevos miembros del personal. 8. Contribuyen al proceso de auditoría.
60
Frecuentemente, los SOPs están conformados de componentes operacionales y técnicos. Cuando
los SOPs han sido diseñados de manera clara y efectiva se convierten en elementos esenciales
para el desarrollo y la implementación de cualquier solución. Todo buen sistema de calidad está
basado en SOPs. Por ejemplo, en investigaciones clínicas, los SOPS están recomendados por la
International Conference on Harmonisation (ICH) (48). Entre las tareas donde son utilizados los
SOPs dentro de la industria de la tecnología de la información se encuentran aquellas relacionadas
con mejores prácticas relacionadas con el mantenimiento y desarrollo de hardware y software (49).
Debido a la falta de metodologías específicas para el manejo de evidencia digital en telefonía
celular, en nuestro país, es posible que en este trabajo se considere la definición y uso de SOPs
que permitan el logro de los objetivos que se planteen sobre la adquisición, manejo y análisis de la
evidencia digital. Los SOPs frecuentemente se definen y utilizan como guías prácticas donde no
existe una doctrina oficial ó un marco legal ó institucional al respecto. Los SOPs se utilizan para
proporcionar detalles prácticos sobre el quehacer en una organización y para un área laboral
específica.
Existen pocos antecedentes relativos a la aplicación de los SOPs para el manejo de la evidencia
digital y solo se limitan a comentarlos sin realizar un estudio más a fondo en cuanto a su
estructura. Además del SWGDE, el NIJ (National Institute of Justice) propone en (50) el desarrollo
de los SOPs con el fin de preservar y procesar la evidencia digital. De acuerdo con la NIJ los SOPs
deben ser lo suficientemente generales para poder manejar los pasos básicos en una operación de
análisis forense, mientras que también debe proveer flexibilidad para responder a circunstancias
únicas que surjan de situaciones imprevistas.
Las metodologías forenses requieren que la documentación sea una tarea lo más completa
posible. La documentación debe estar presente en cada una de las posibles fases definidas en las
metodologías que aplican el proceso de investigación forense. Los SOPs pueden facilitar
claramente la documentación requerida por la cadena de custodia, pues ellos especifican de
manera escrita lo que se debe hacer, cuándo, dónde y por quién. Por eso, se ha considerado el uso
de los SOPs en el proceso forense de telefonía celular, teniendo en cuenta que deben basarse en
los lineamentos establecidos sobre el manejo de la evidencia digital.
61
Diseño de SOPs
Para iniciar el proceso de diseño de un SOP, es recomendable contestar las preguntas presentadas
en la Tabla 4-1 según (47):
Bosquejo para preparar un SOP Objetivos. ¿Qué es lo que el SOP está tratando de conseguir o de lograr? Campo de aplicación. ¿Qué áreas de trabajo serán cubiertas por este SOP? Escenarios del proceso.
¿Cómo se realizará la tarea? ¿Cuáles son los pasos que se tienen que realizar para completar la tarea?
Responsabilidad. ¿Quién es el responsable de efectuar cada etapa o escenario del proceso en condiciones normales o excepcionales?
Otra información útil.
¿Hay alguna otra información que pueda ser incluida en el SOP? ¿El SOP incluye mecanismos para auditoría?
Revisión. ¿Cómo te asegurarás de que el SOP continuará siendo útil, relevante y actualizado? Tabla 4-1 Preguntas recomendadas para diseñar un SOP
Un SOP típico, de acuerdo con (51), debe contener los siguientes elementos:
– Una cabecera: Indica el título, fecha original de expedición, fecha de revisión, número de páginas contenidas, el autor y la firma de aprobación.
– Objetivo y alcance. En donde se describe brevemente el propósito y alcance del procedimiento.
– Definiciones. Es una sección en donde se aclara cualquier término especial o inusual. – Materiales y equipo requerido. Especifica las herramientas de trabajo que serán usadas en
algún paso del procedimiento. – Consideraciones de seguridad. Especifican aquellas medidas que se deben tomar en
cuenta al momento de realizar el trabajo, y de esta manera efectuar el procedimiento de manera exitosa.
– Definición del responsable. Establece explícitamente la persona encargada de efectuar el procedimiento documentado.
– Procedimiento paso a paso con identificación y énfasis de “pasos críticos”. Es la sección que corresponde al cuerpo del SOP en donde se presentan los pasos que forman al procedimiento.
– Registros a ser almacenados. Indica los comentarios sobre los resultados obtenidos durante la realización de los pasos. Se deben incluir advertencias sobre los posibles efectos sobre la evidencia digital que pudieran presentarse en caso de que no se realice adecuadamente algún paso.
– Copias de formas a ser usadas. Se refiere a documentos adicionales para facilitar la realización del procedimiento.
– Referencias. Referencias a publicaciones originales, y otras publicaciones relevantes.
En resumen, los SOP se usan en diferentes contextos, como el de salud, educación, industrial y
militar. Dadas sus características, la alternativa de solución tiene como fortaleza tanto la calidad
62
de los documentos e informes que pueden generar como la aplicación de las mejores prácticas en
la materia. Asimismo, los SOPs son esenciales para mejorar la calidad procesos, mejorar su
implementación, mejorar la uniformidad de tales procesos, para que al momento de conducir
tareas forenses relacionadas con el manejo de evidencia digital, estas se consideren válidas y se
realicen de manera acertada.
4.3. Documentos de Soporte.
Dado que en México no se tienen claros avances de una metodología en la Informática Forense
(tal como se presentó en la sección 1.2), se dispuso a realizar una investigación a través de
Internet orientada a la exploración de documentos relacionados con el manejo de la evidencia
digital.
La investigación produjo resultados interesantes, pues mediante ella fue posible reconocer a
organizaciones trabajando en conjunto con diversos investigadores. Estos esfuerzos se han
orientado al desarrollo de trabajos que permitan establecer un marco de referencia coherente. En
el ámbito internacional se identifican algunos documentos cuya cualidad principal es que se
dedican a la investigación sobre el manejo de la evidencia digital. Algunas de estas organizaciones
son: RenewData, GIAC (Global Information Assurance Certification), SANS Institute, Lucent
Technologies, KPMG Australia, Universidad de Yale, etc. Sin embargo, destacan también
organismos como ACPO, IOCE, DFRW, NIJ y NIST por su trayectoria en la última década, ya sea por
haber establecido las bases para el manejo de la evidencia (ACPO), por abrirse a la comunidad
científica, por pertenecer a un organismo de carácter oficial y sobre todo, por el trabajo continuo
realizado sobre el manejo de la evidencia digital tratando de mantenerse a la vanguardia al
generar documentos actualizados y relacionados con la telefonía celular.
Los documentos que se han considerado son los siguientes:
Propuesta de DFRW (Digital Forensics Research Workshop). DFRW es una institución dedicada al
desarrollo de procesos forenses formada en el 2001. En el reporte técnico denominado “A Road
Map for Digital Forensics Research” publicado a finales del 2001 (17), indica que el análisis forense
debe involucrar las siguientes acciones: 1. Identificación, 2. Preservación, 3. Recolección, 4.
Inspección, 5. Análisis, 6. Presentación, 7. Decisión.
63
La cualidad sobresaliente de DFRW es que es uno de los primeros consorcios a gran escala
dirigidos por el ámbito académico. Esta característica es importante pues ayudará a definir y
enfocar la dirección de la comunidad científica hacia los desafíos del análisis forense digital.
Basada en esta propuesta, la comunidad científica podrá en el futuro desarrollar y definir
propuestas mejores.
Propuesta de SWGDE (Scientific Working Group on Digital Evidence). El SWGDE se estableció en
1998 por Federal Crime Laboratory Directors, y se considera un organismo auxiliar para los
estándares conducidos por la IOCE34. La SWGDE trata de reunir organizaciones que participen
activamente en el campo de la evidencia digital para promover la comunicación y cooperación
además de asegurar la calidad y consistencia en la comunidad forense. El SWGDE presenta en
1999 el documento “Proposed Standards for the Exchange of Digital Evidence” (46). Este
documento define ciertos estándares para el intercambio de evidencia digital entre países. El
documento ha sido adoptado por agencias legales de Estados Unidos de América como un diseño
preliminar (borrador) estándar. Una de las características más importantes de este documento es
la recomendación de la utilización de Procedimientos Operativos Estándar (SOP: Standard
Operating Procedures) como medida que compatibilice los procedimientos existentes entre
diferentes naciones.
Propuesta de NIJ (National Institute of Justice). NIJ es la agencia de investigación, desarrollo y
evaluación del Departamento de Justicia de los Estados Unidos. Está dedicada a investigar temas
de control de la delincuencia y de justicia, a través del conocimiento y herramientas orientados al
manejo de evidencias que permitan resolver los desafíos de la delincuencia y la aplicación de la
justicia. Las autoridades principales del NIJ se derivan de la Ley General para el Control de la
Delincuencia y la Seguridad en las Calles de 1968, (52). Este organismo presenta dos documentos
relacionados con el manejo de evidencia digital:
I. “Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition” (NCJ 219941) (53) presenta parte del proceso involucrado en una investigación digital: 1. Asegurar, evaluar y documentar la escena; 2. Recolectar la evidencia; 3. Empaquetar, trasladar y almacenar la evidencia.
34 La IOCE fue establecida en 1995 para proporcionar un foro para intercambio de información relacionada con la investigación de crímenes informáticos así como otros asuntos relacionados con la computación forense. En respuesta al comunicado G8 y plan de acción de 1997, IOCE fue encargada de desarrollar los estándares internacionales para el intercambio y recuperación de evidencia digital.
64
Como se puede ver, este documento va dirigido a personas que tengan que cumplir tareas de respuesta a incidentes; por lo que, su objetivo principal es el de proteger, reconocer, recolectar y salvaguardar la evidencia digital, esto evidentemente corresponde a una parte de la investigación forense. Ésta segunda versión fue liberada en abril de 2008.
II. “Forensic Examination of Digital Evidence: A Guide for Law Enforcement” (NCJ 199408) (50), en donde establece las siguientes fases para conducir una investigación: 1. Aseguramiento, 2. Adquisición, 3. Inspección, 4. Documentación, 5. Informe o Reporte.
Este documento fue liberado en abril de 2004 y ofrece un esquema mejorado del proceso de investigación, pues presenta etapas para conducir una investigación que van desde la aparición del delito hasta la finalización de la misma. En otras palabras, el reporte representa una serie de guías para el manejo de la evidencia digital para conducir y completar el proceso de investigación. Sin embargo, aclara que las recomendaciones ofrecidas no siempre serán adecuadas para todo tipo de circunstancias, que no son órdenes legales ni que representan la única forma correcta de proceder.
Propuesta de ACPO (Association of Chief Police Officers). ACPO es un organismo que dirige y
coordina el desarrollo del servicio policiaco en Inglaterra, Wales e Irlanda del norte, el cual ha
liberado la cuarta versión del documento “Good Practice Guide for Computer-Based Electronic
Evidence” (54). Esta guía, considerada un documento nacional para Reino Unido y adaptada ante
los avances tecnológicos, define principios importantes35 que deben ser respetados durante una
investigación digital. El documento centra sus esfuerzos en la fase de recolección y preservación
de evidencia digital, convirtiéndose en un documento importante para aquellos profesionales que
tengan que especializarse en estas fases iniciales. Sin embargo, el documento menciona que en el
análisis forense deben existir las fases de: 1. Recolección, 2. Inspección, 3. Análisis, 4. Reporte de
resultados; y al mismo tiempo aclara que no son las únicas ni que se debe limitarse a ellas. Un
aspecto sobresaliente es que incluye una sección sobre la guía para el aseguramiento e inspección
de un teléfono móvil.
Propuesta de CP4DF (Código de Prácticas para Digital Forensics) (55) . Es una iniciativa española
para el desarrollo de una metodología con procedimientos para análisis forense, la cual está
disponible al público en general. Los trabajos de esta propuesta están coordinados al menos por:
David González, David Barroso, José M. Duart y Jeimy Cano. En Barcelona se hizo pública la tercera
revisión v1.3 durante un evento sobre Digital Forensics en noviembre de 2003. La investigación la
divide en cuatro fases: 1. Aseguramiento de la escena, 2. Identificación de evidencia, 3.
Preservación de evidencias, 4. Análisis de evidencias, 5. Presentación y Reportes.
35 Ver Principios de la Evidencia Electrónica (sección 4.4)
65
El proyecto reconoce los efectos negativos producidos por la falta de estandarización en los
procesos forenses: “Toda evidencia digital es y debe ser convincente ante un Tribunal de Justicia, o
en donde haya alguna disputa. Para asegurarla, es importante la homogenización del protocolo de
admisibilidad de la prueba, además de una continua aproximación de lo que podría tratarse de
una prueba. Esta labor se hace muy difícil en circunstancias en donde no exista una metodología,
menos aún, cuando no exista un marco de trabajo“.
Propuesta del NIST (National Institute of Standards and Technology) (20) . El NIST ha desarrollado
éste documento en el cual presenta una amplia discusión sobre el proceso forense en equipos de
telefonía celular. Entre los diversos temas presenta un marco de trabajo para realizar el proceso
de investigación digital que involucre la participación de un equipo de telefonía móvil. Este marco
de trabajo ha sido adaptado a partir de tres propuestas mencionadas en el documento: “Electronic
Crime Scene Investigation: A Guide for First Responders”, “Incident Response Methodology” de
Kevin Mandia, y por último considera al trabajo desarrollado por el U.S. Air Force. El documento
menciona que todos los incidentes son distintos, que cada incidente cuenta con su propio
conjunto único de circunstancias. Sin embargo, muchas de esas propuestas abarcan áreas clave y
comunes. De esta manera, las partes que constituyen a la propuesta del NIST son: 1. Preservación,
2. Adquisición, 3. Inspección y Análisis, 4. Reporte.
El marco de trabajo presentado en el documento del NIST se resume en estas cuatro áreas, y en
donde la finalidad principal de cada una, respectivamente es la de: i) Obtener los dispositivos
relacionados con el incidente, ii) Realización de una copia forense de los contenidos almacenados
en los dispositivos, iii) Obtención de la evidencia a partir de la copia forense; y por último, iv)
Realizar el reporte de la evidencia obtenida así como de los métodos utilizados.
En la Tabla 4-2 se presentan las características relevantes que pudieran ser consideradas de los
documentos descritos para la elaboración de una metodología de análisis forense a equipos de
telefonía celular.
Institución Aportación DFRW Desarrolla un marco de trabajo a partir de las aportaciones de la
comunidad científica, y sus esfuerzos son dirigidos por académicos.
SWGDE Define ciertos estándares para el intercambio de evidencia digital entre países.
66
Institución Aportación Sus estándares se basan en el uso de Procedimientos Operativos
Estándar. NIJ El documento (NCJ 219941)
Está dirigido a profesionales que requieran efectuar labores de primeros actuantes en la escena del incidente.
Trata de manera detallada temas de protección, recolección de la evidencia digital. El documento (NCJ 199408)
Representa una serie de guías para el manejo de la evidencia digital.
Advierte que las recomendaciones no siempre serán las adecuadas para todo tipo de circunstancias y que no son órdenes legales.
ACPO. Define principios importantes que deben ser respetados durante una investigación digital.
Principalmente, trata temas relacionados con la recolección de la evidencia digital.
CP4DF. En esta organización participa abiertamente la comunidad en general.
Presenta las fases requeridas para realizar una investigación digital.
Trata brevemente las fuentes de evidencia en una red de telefonía celular.
NIST Genera una serie de documentos relacionados con el manejo de incidentes, manejo de la evidencia digital, análisis forense de datos, así como análisis forense de equipos de cómputo y de comunicación personal, tales como agendas electrónicas y teléfonos celulares.
El Documento 800-101 trata de manera exclusiva el tema del proceso forense en equipos de telefonía celular.
Propone un marco de trabajo para guiar el proceso de investigación digital en aquellos incidentes que estén relacionados con los equipos de telefonía celular.
o Identifica las fases comunes fundamentales de las propuestas para efectuar una investigación digital y las traslada al campo de la telefonía celular.
Tabla 4-2 Resumen de aspectos sobresalientes de las propuestas
Además de los aspectos sobresalientes, a continuación se presenta el resumen de actividades
requeridas para abordar el proceso de investigación digital, según cada una de las propuestas
revisadas:
67
Tabla 4-3 Actividades principales involucradas para realizar el proceso de investigación digital
Después de haber revisado la manera de manipular la evidencia digital por diversas
organizaciones, se procedió a revisar aquellas guías que se pueden relacionar con el análisis
forense de equipos de telefonía celular. A excepción del NIST que trata ampliamente el tema de
análisis forense a equipos de telefonía celular y de manera exclusiva, el resto de las guías
existentes sólo cuentan con breves secciones. En algunos casos únicamente mencionan la
evidencia potencial almacenada en equipos de telefonía celular de manera breve. Por ejemplo, el
documento “Best Practices for Seizing Electronic Evidence” emitido por el United States Secret
Service (USSS) (56) se refiere a los equipos de telefonía celular como “Teléfonos inalámbricos” en la
sección “Otros dispositivos de almacenamiento electrónico”. En este documento existe una regla
básica que dice que se debe dejar al equipo tal y como se ha encontrado, esto es, si el dispositivo
está encendido, no apagarlo, si está apagado no encenderlo. La misma agencia desarrolla el
documento “Best Practices For Seizing Electronic Evidence v.3: A Pocket Guide for First
Responders” (57), el cual contiene una sección denominada “PDA, Teléfono celular y cámara
digital”, en donde ofrece recomendaciones para asegurar y preservar a estos dispositivos. El NIJ
menciona brevemente a los equipos de telefonía celular dentro la sección denominada “Handheld
devices” en “Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition”
(53). Estos documentos proporcionan un método sencillo para el aseguramiento de la evidencia
digital, y se puede pensar que está diseñado para un usuario final y no un especialista forense. En
el documento del NIJ (53) se comenta que los equipos de telefonía celular, pueden contener
67
Tabla 4-3 Actividades principales involucradas para realizar el proceso de investigación digital
Después de haber revisado la manera de manipular la evidencia digital por diversas
organizaciones, se procedió a revisar aquellas guías que se pueden relacionar con el análisis
forense de equipos de telefonía celular. A excepción del NIST que trata ampliamente el tema de
análisis forense a equipos de telefonía celular y de manera exclusiva, el resto de las guías
existentes sólo cuentan con breves secciones. En algunos casos únicamente mencionan la
evidencia potencial almacenada en equipos de telefonía celular de manera breve. Por ejemplo, el
documento “Best Practices for Seizing Electronic Evidence” emitido por el United States Secret
Service (USSS) (56) se refiere a los equipos de telefonía celular como “Teléfonos inalámbricos” en la
sección “Otros dispositivos de almacenamiento electrónico”. En este documento existe una regla
básica que dice que se debe dejar al equipo tal y como se ha encontrado, esto es, si el dispositivo
está encendido, no apagarlo, si está apagado no encenderlo. La misma agencia desarrolla el
documento “Best Practices For Seizing Electronic Evidence v.3: A Pocket Guide for First
Responders” (57), el cual contiene una sección denominada “PDA, Teléfono celular y cámara
digital”, en donde ofrece recomendaciones para asegurar y preservar a estos dispositivos. El NIJ
menciona brevemente a los equipos de telefonía celular dentro la sección denominada “Handheld
devices” en “Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition”
(53). Estos documentos proporcionan un método sencillo para el aseguramiento de la evidencia
digital, y se puede pensar que está diseñado para un usuario final y no un especialista forense. En
el documento del NIJ (53) se comenta que los equipos de telefonía celular, pueden contener
67
Tabla 4-3 Actividades principales involucradas para realizar el proceso de investigación digital
Después de haber revisado la manera de manipular la evidencia digital por diversas
organizaciones, se procedió a revisar aquellas guías que se pueden relacionar con el análisis
forense de equipos de telefonía celular. A excepción del NIST que trata ampliamente el tema de
análisis forense a equipos de telefonía celular y de manera exclusiva, el resto de las guías
existentes sólo cuentan con breves secciones. En algunos casos únicamente mencionan la
evidencia potencial almacenada en equipos de telefonía celular de manera breve. Por ejemplo, el
documento “Best Practices for Seizing Electronic Evidence” emitido por el United States Secret
Service (USSS) (56) se refiere a los equipos de telefonía celular como “Teléfonos inalámbricos” en la
sección “Otros dispositivos de almacenamiento electrónico”. En este documento existe una regla
básica que dice que se debe dejar al equipo tal y como se ha encontrado, esto es, si el dispositivo
está encendido, no apagarlo, si está apagado no encenderlo. La misma agencia desarrolla el
documento “Best Practices For Seizing Electronic Evidence v.3: A Pocket Guide for First
Responders” (57), el cual contiene una sección denominada “PDA, Teléfono celular y cámara
digital”, en donde ofrece recomendaciones para asegurar y preservar a estos dispositivos. El NIJ
menciona brevemente a los equipos de telefonía celular dentro la sección denominada “Handheld
devices” en “Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition”
(53). Estos documentos proporcionan un método sencillo para el aseguramiento de la evidencia
digital, y se puede pensar que está diseñado para un usuario final y no un especialista forense. En
el documento del NIJ (53) se comenta que los equipos de telefonía celular, pueden contener
68
evidencia potencial y advierte que se podría perder. En cuanto a la recolección, únicamente hace
referencia al tipo de recolección física del dispositivo, dejando de lado la recolección de los datos
digitales. Sólo menciona que los equipos de comunicación deben ser asegurados y que se debe
prevenir la recepción y transmisión de datos una vez que son identificados y recolectados
(recolección física del dispositivo). Contiene un apartado de empaquetado ó embalaje, en el cual
se recomienda tener precauciones.
Tanto la guía del servicio secreto como la del NIJ no proporcionan suficientes detalles sobre los
métodos que permitan tratar correctamente a los equipos de telefonía celular, en cuanto a la
manera para asegurar y proteger la evidencia almacenada en estos dispositivos. Ambas guías no
mencionan que los equipos de telefonía celular podrían contener documentos electrónicos, notas
u información de ubicación. Las guías tampoco mencionan qué equipos de telefonía celular,
basados en aplicaciones más sofisticadas tales como Symbian, Linux y Windows Mobile, pueden
contener evidencias, en bitácoras de aplicaciones instaladas o en los registros de actividades
propios del sistema.
4.4. Principios de la Evidencia Digital de la IOCE/ACPO
4.4.1. Descripción.
El NIST en su documento para el análisis forense celular se apoya en los principios generales de la
computación forense, y los presenta como elementos auxiliares requeridos en cualquier
investigación digital para el manejo de la evidencia digital. De acuerdo con la guía de la ACPO (54), cuatro principios están involucrados con la Evidencia digital almacenada en computadoras:
1. Ninguna acción efectuada debe cambiar los datos contenidos en la computadora o medios de almacenamiento en la que, posteriormente, se pudiera confiar y presentar en una corte.
2. Los sujetos que accedan a los datos originales deben tener la capacidad para realizar esa operación, y tener la habilidad para explicar, tanto sus acciones como los efectos producidos por las mismas.
3. Se deben crear y preservar registros de todos los procesos aplicados a la evidencia digital. Una parte externa debe ser capaz de examinar esos procesos y obtener los mismos resultados.
4. La persona a cargo de la investigación tiene la completa responsabilidad de asegurarse de que las leyes correspondientes y estos principios se cumplan.
La IOCE en (46), también propone un conjunto principios para la recuperación de evidencia
almacenada en computadoras:
69
1. Al asegurar la evidencia digital, las acciones realizadas no deben modificar la evidencia. 2. Cuando una persona necesite acceder a la evidencia digital original, esa persona debe ser
un forense competente. 3. Toda actividad relacionada con el aseguramiento, acceso, almacenamiento o transporte
de la evidencia digital debe ser documentado de manera completa, preservada y disponible para revisión.
4. Un individuo es responsable de todas las acciones efectuadas sobre la evidencia digital mientras que ésta se encuentre en su posesión.
5. Toda agencia que sea responsable de asegurar, acceder, almacenar o transportar la evidencia digital también es responsable de cumplir con estos principios.
Dado que los principios de la IOCE como de la ACPO persiguen los mismos objetivos (proteger la integridad de la evidencia, crear la documentación para la cadena de custodia, etc.), es posible considerarlos como equivalentes.
4.4.2. Implementación.
El documento emitido por la ACPO (Good Practice Guide for Computer-Based Electronic Evidence)
presenta de una manera completa y estructurada la forma en que se puede proceder para el
manejo de los equipos de telefonía celular, y al mismo tiempo trata de cumplir con los principios
que ésta organización ha propuesto:
Cumpliendo con el principio 1. Aseguramiento/Preservación de la Evidencia. Aislar el dispositivo de la red. Esto puede ser cumplido a través de las siguientes
técnicas. Apagar el dispositivo al momento del aseguramiento. Almacenar el dispositivo en una bolsa/contenedor aislante.
Inspección. Aislar el dispositivo de la red36. Esto puede ser cumplido por alguna de las siguientes
técnicas: Utilizar un cuarto aislante (Recomendado). Utilizar una caja/contenedor aislante. Utilizar una “tarjeta de acceso” tipo SIM que simule la identidad de la tarjeta SIM
original y no permita el acceso a la red. Solicitar al proveedor del servicio desactivar la cuenta del suscriptor.
Utilizar software el cual sea diseñado para propósitos forenses siempre que sea posible.
Utilizar una interfaz que proporcione una conexión confiable y segura, la cual minimice los cambios en los datos del dispositivo.
Los inspectores deben aceptar que el proceso de lectura de cierto tipo de datos puede afectar su estado. Por ejemplo, la recuperación de un mensaje SMS no leído a través
36 A pesar de que el equipo fue asegurado en la parte de aseguramiento, es necesario tener la certeza de que el dispositivo permanecerá aislado durante el proceso de análisis y/o inspección, es por eso que se exige que se mantenga aislado aún en la etapa de inspección.
70
del sistema del dispositivo puede modificar el estado de propiedades a “Leído”. Esto pudiera ser inevitable y la acción debe ser registrada.
Planificar el proceso de inspección para evitar la pérdida de datos, el cual es muy importante para la investigación. La secuencia de la inspección dependerá de un número de factores. Se debe recordar que ésta secuencia debe minimizar la pérdida de datos. Además, ésta secuencia dependerá, en cierto sentido de los detalles específicos como la hora y fecha, así como de las herramientas disponibles y del ambiente en el que se desarrolla la inspección. Se debe considerar por ejemplo que: Extraer la SIM requiere, normalmente, de la extracción de la batería del equipo, lo
cual puede conducir a la pérdida de configuración de la fecha y hora. Encender el dispositivo con la tarjeta SIM presente puede conducir a cambio de
datos en la tarjeta SIM, por ejemplo, Información del Área de Localización. Toda inspección debe incluir algún grado de inspección manual (por ejemplo, navegar
a través de la estructura de menús del teléfono y capturar el contenido de la pantalla). Presentar una actitud cuidadosa cuando sean manejados datos de acceso tales como
las contraseñas/PIN para evitar daño permanente al dispositivo.
Cumpliendo con el Principio 2. Aseguramiento/Preservación de la evidencia. Se debe asegurar que el personal está entrenado para interactuar con equipos de
telefonía móvil y están equipados con las herramientas de aseguramiento apropiadas. El personal encargado del aseguramiento debe tener conciencia de que los equipos de
telefonía celular pudieran tener la habilidad de realizar el borrado seguro de datos y, por lo tanto, toda interacción manual con el dispositivo debe ser minimizada. Aunque, en la actualidad, lo anterior es más común que se presente en las computadoras.
Inspección. Asegurarse de que los inspectores han recibido entrenamiento apropiado y
actualizado sobre el manejo de herramientas y procedimientos que serán utilizados. Antes de asumir la responsabilidad de participación en un caso real, un inspector
deberá contar con experiencia reciente relacionada con la inspección de un dispositivo que tenga una funcionalidad similar a través del uso de procedimientos y herramientas previamente definidas. Lo anterior es especialmente relevante si se utilizan herramientas que no sean forenses, las cuales pudieran realizar la sincronización entre el dispositivo y computadora, y que pudieran realizar cambios a la evidencia almacenada en el dispositivo.
Respetar lo anterior resulta importante cuando se utilicen herramientas que no sean forenses, las cuales pueden realizar la sincronización entre el dispositivo y la PC pero que pudieran causar cambios a la evidencia almacenada en el equipo.
Cumpliendo con el Principio 3. Aseguramiento/preservación de la Evidencia. Realizar un uso adecuado de una cámara/videocámara para registrar el estado de la
escena. Se deben captar aquellos detalles de interés que surjan al momento de fotografiar la
escena en la cual el dispositivo fue asegurado. El estado exhibido al momento del aseguramiento del dispositivo debe ser registrado.
Cualquier información presentada por la pantalla debe ser registrada y/o fotografiada.
71
Inspección. Asegurarse que los registros de acciones sean asentados y resguardados.
Cualquier cambio a los datos que ocurran durante la inspección debe ser registrado. Por ejemplo, cambios durante una inspección manual, recepción de mensajes entrantes, etc.
Se deben registrar detalles para ser incluidos en los resultados de la inspección. Por ejemplo, a través del uso de fotografías o video, los cuales deberán ser incluidos en los reportes finales. Esto resulta de gran importancia cuando se realicen inspecciones manuales.
También se deben registrar los detalles de las herramientas y productos usados, incluyendo el número de versión.
Cumpliendo con el Principio 4. Aseguramiento /Preservación de la Evidencia.
El responsable designado debe asegurarse que el personal involucrado en el aseguramiento de los equipos de telefonía celular están adecuadamente entrenados.
Inspección. El oficial de investigación debe asegurarse que el personal involucrado en el
aseguramiento de equipos de telefonía celular está apropiadamente capacitado. Se debe establecer una comunicación efectiva entre el inspector y el oficial de la
investigación. En algunas situaciones, el proceso más apropiado de inspección deberá producir
cierta pérdida de información. Por ejemplo, pérdida de la fecha y hora por haber quitado la batería del equipo. Un diálogo claro y abierto entre el inspector y el oficial de la investigación se requiere para asegurarse de que no se pierdan aquellos datos que sean críticos para el caso.
El inspector forense debe recomendar una estrategia de inspección que sea apropiada a la naturaleza del caso y explicar las implicaciones resultantes al oficial de la investigación. En un nivel básico, las herramientas forenses estándar deberán ser capaces de
recuperar datos activos37 en el dispositivo y en la SIM. Por ejemplo, los que pueden ser vistos por el usuario a través del dispositivo.
En un nivel intermedio, el uso de ciertas técnicas pudieran recuperar datos eliminados o de otro tipo en el dispositivo, pero requiere de un especialista experimentado en hardware.
En el nivel más avanzado, es posible la extracción física del circuito de la memoria, pero requiere de un especialista en hardware con mayor experiencia y destreza. Tales técnicas pueden ser capaces de recuperar datos almacenados en el equipo móvil.
Este manejo de evidencia en equipos de telefonía celular, según la ACPO, considera sólo dos
etapas para el proceso forense: la etapa de Aseguramiento/Preservación de la evidencia y la etapa
de Inspección. Sin embargo, para propósitos de esta tesis se hace necesario al menos explicar
37 Un dato activo es aquella información que es visible y reconocida por el sistema.
72
cuatro etapas: Identificación del Problema, Búsqueda de la Evidencia, Generación y Validación de
la Hipótesis, Actividades post forenses. Por lo que, en la metodología que se proponga se debe
poner de manifiesto la aplicación de estos principios en estas cuatro etapas explícitamente.
Adicionalmente, en esta implementación de los principios de la ACPO se han considerado tres
especialistas involucrados en el proceso forense, cada uno con funciones específicas bien
definidas. Estos especialistas son: El Oficial de la investigación, El Inspector forense y El especialista
experimentado en hardware. Para propósitos de esta tesis, se deberá especificar en la
metodología que se proponga, los perfiles de los especialistas según las cuatro etapas del proceso
forense aquí especificadas incluyendo posiblemente un especialista en software.
4.5. Reconstrucción de Eventos.
Una de las labores más importantes en el proceso forense es el análisis de la evidencia y para ello
se requiere de un conjunto de herramientas que faciliten el trabajo de investigación y análisis. Con
el apoyo de estas herramientas será posible reconstruir los hechos que ocurrieron en un incidente
de seguridad informática, el cual eventualmente, según sea el caso, pudiera ser un delito.
Es necesario considerar que las “herramientas forenses” que existen en el mercado preservan el
estado de un sistema o inspecciona un sistema en busca de evidencia, pero no tratan de identificar
el por qué un objeto pudiera ser evidencia. Es interesante recolectar un objeto e inspeccionar sus
propiedades, pero para que la evidencia resulte útil, se debe identificar las causas que provocaron
que el objeto tenga esas propiedades.
La reconstrucción de eventos, o análisis de eventos, se encarga de inspeccionar a la evidencia para
identificar el por qué presenta ciertas características ó propiedades. En una escena de un crimen
ocurren muchos eventos, incluyendo aquellos que son considerados como crimen o una violación
de políticas. La etapa de reconstrucción identifica aquellos eventos por los cuales existe evidencia
que soporte la ocurrencia de los mismos. Conceptualmente, esta etapa añade una dimensión
adicional a la evidencia. En lugar de contar únicamente con información sobre el estado final de un
objeto, esta etapa pretende deducir los estados previos mediante la inspección de eventos en los
cuales un objeto pudo haber estado involucrado.
73
Un equipo de cómputo ó un equipo de comunicación personal que está siendo investigado, puede
ser considerado como escena del crimen digital y de esta forma, puede ser analizada como un
subconjunto de la escena del crimen física en donde se ubica. Puede existir evidencia física
alrededor de un servidor que fue atacado por un empleado. De igual manera, en un hogar puede
existir evidencia alrededor de un equipo de cómputo o un equipo de comunicación personal
relacionado con algún otro tipo de incidente. Además, el objetivo final de la mayoría de las
investigaciones digitales es identificar a la persona responsable y por lo tanto, la investigación
digital necesita estar vinculada a una investigación física.
Dentro de la investigación digital y del proceso forense una actividad muy importante, es entonces
la reconstrucción de eventos, por lo cual a continuación se mencionarán algunos trabajos
sobresalientes que se pudieron recopilar y que están relacionados con esta acción.
Trabajo previo sobre Reconstrucción.
Miller, según se describe en los artículos elaborados por James et. al. (58) y Lee et. al. (59), explica
un proceso de cinco fases para la reconstrucción de una escena de crimen físico, el cual considera
y refleja el método científico. Las fases están basadas en el proceso de formulación y refinamiento
de hipótesis y teorías relacionadas con el crimen y corresponden más a un proceso conceptual que
a un proceso real. La primera fase se encarga de la recolección de la evidencia en la escena del
crimen y la segunda fase crea una conjetura inicial respecto a los eventos en la escena del crimen.
La tercera fase formula hipótesis acerca del incidente conforme la evidencia es examinada y es
durante esta fase en donde, por ejemplo, la salpicadura de sangre es examinada y los objetos son
analizados en busca de rastros o pistas y patrones. La cuarta fase prueba la hipótesis con respecto
al incidente y la quinta fase formula la teoría final.
Rynearson (60) describe un método de “sentido común” para la reconstrucción. Rynearson se
centra en evaluar una escena del crimen y “reconocer los objetos individuales, las conexiones
entre objetos, u observaciones del medio ambiente o entorno” (60). Después es aplicado “un
razonamiento de sentido común” para determinar la manera en que los objetos llegaron a ese
estado. Cada objeto es interpretado para revelar pistas observables, incluyendo aquellas pistas
relacionales, pistas funcionales y pistas temporales. Las pistas relacionales provienen de la
orientación y ubicación de un objeto relativos a otros objetos. Las pistas funcionales provienen de
74
las condiciones operacionales del objeto y las pistas temporales provienen de “la interacción del
tiempo y ambiente con la evidencia”, tal como la temperatura corporal o la descomposición del
cuerpo (60). El procedimiento de Rynearson sirve para obtener una impresión inicial de la escena
del crimen y después comenzar a reconstruir cada uno de los eventos principales que pudieran
haber ocurrido y así desarrollar una hipótesis. Si resulta que la evidencia contradice la hipótesis,
entonces la reconstrucción necesita rediseñarse para explicar la contradicción. Chisum tiene un
enfoque similar al de Rynearson, pero no describe un proceso real en el libro de Turvey: Criminal
Profiling (61).
Bevel y Gardner (62) proporcionan un proceso formal para conducir la reconstrucción de una
escena de crimen. Ellos utilizan el término evento para describir una ocurrencia en un macro nivel,
y el término segmentos de evento para describir eventos en un micro nivel, los cuales son los que
conforman a un evento. Su modelo conceptual para el análisis de información inicia cuando la
información, o evidencia ha sido previamente recolectada. La segunda fase, evaluación, examina la
confiabilidad y credibilidad de la información para determinar si es fingida38 o ha sido causada por
los primeros actuantes. Después, la evidencia es sometida a una valoración en donde un
investigador inicia la búsqueda de evidencia relacionada con eventos e identifica la “naturaleza del
segmento y evidencia”, los “aspectos relacionables con otros segmentos y evidencia”, y los
“aspectos de tiempo y secuencia” (62). La fase final del procedimiento es la integración en donde
todo es combinado para encadenar eventos y dividir el crimen en grupos de eventos. El primer
paso en el procedimiento de reconstrucción de Bevel y Gardner es recolectar y examinar la
evidencia. Después, los segmentos de eventos son creados a partir de la evidencia y estos
segmentos son ordenados en secuencia y agrupados en eventos más grandes. Ciertos tipos de
incidentes tienen eventos conocidos, tal como la entrada y salida del edificio en donde ocurrió el
crimen, y estos eventos pueden ser utilizados para ordenar a los segmentos de manera secuencial.
Después de que los segmentos de eventos como su secuencia han sido determinados, es posible
crear un diagrama de flujo del incidente.
La reconstrucción también ha sido estudiada en el mundo digital. Casey y Turvey aplican los
principios de información temporal, relacional y funcional a la evidencia digital (63). Para el análisis
temporal utilizan la información existente de los archivos, bitácoras y entrevistas a testigos para
38 En este caso el término “Fingido” hace referencia a una situación en donde los datos entregados no correspondan a los hechos reales, sino que estos datos se hayan alterado para ocultar algún acontecimiento.
75
desarrollar líneas de tiempo. Estos autores proponen utilizar los aspectos relacionales del
sospechoso, víctima y otros elementos para identificar cuáles ataques pudieron haber ocurrido y
en dónde pudiera existir evidencia adicional. También proponen el uso del análisis funcional para
determinar si una computadora o usuario pudieron haber efectuado aquellos eventos que se
supone ocurrieron durante el crimen.
Stephenson ha desarrollado un modelo de red de Petri para probar la hipótesis de un incidente. El
modelo utiliza técnicas de “correlación de eventos” y “normalización” para transformar la
evidencia recolectada en un formato apropiado para el modelo, el cual mostrará si existe
evidencia para sustentar la hipótesis (64). Los detalles sobre estas técnicas no han sido publicados.
Un modelo de Reconstrucción de Eventos basado en Roles.
Las fases y procedimientos para la reconstrucción de una escena de crimen física pueden ser
aplicados a las escenas de crimen digitales, pero los resultados presentan algunas complicaciones
porque existe evidencia en la escena de crimen digital que no es usada comúnmente como
evidencia en un crimen físico. Por ejemplo, las leyes de la física Newtoniana no tienen que ser
consideradas evidencia en un caso que involucre un ataque físico y el investigador no necesita
medir la gravedad en cada escena de crimen para que pueda constatar la trayectoria de un objeto.
En un ambiente digital, las leyes que son equivalentes a la gravedad y fuerzas son las instrucciones
que conforman al software y sistema operativo. Estas instrucciones pueden ser únicas para cada
computadora y pudieran necesitarse como evidencia debido a que un atacante podría haberlas
modificado. Este modelo hace uso del concepto de objetos para llevar realizar una investigación
digital. Cada objeto cuenta con características propias, éstas mismas características son las que
ayudan a identificar a un objeto ya sea un objeto digital o un objeto físico. De esta manera, tanto
objetos físicos como características pueden constituir a la evidencia digital. El estado de un objeto
corresponde al valor de sus características, o bien, los datos contenidos en él. Los roles de los
objetos pueden ser divididos en dos categorías: causal y de efecto:
Causal: Un objeto desempeña el papel de una causa si sus características fueron utilizadas en el evento39. Un test para este papel consiste en identificar si el mismo efecto hubiera ocurrido si el objeto no existiera. Un objeto causal tiene una influencia sobre el efecto.
39 El término evento, bajo el contexto de Reconstrucción basada en Roles, corresponde a un suceso que cambia el estado de uno o más objetos.
76
De efecto: Un objeto desempeña el papel de un efecto si su estado fue cambiado por un objeto causal en el evento.
Los objetos causales pueden ser pasivos. Es decir, que son utilizados en el evento, pero no son
modificados por el evento. Si un objeto causal es cambiado por el evento, entonces corresponde a
un objeto tanto causal como de efecto. A partir de lo anterior, se deduce que si un objeto es un
efecto pero no una causa, entonces debió haber sido creado como resultado del evento. Los
cambios a las características de un objeto de efecto están relacionados a las características de uno
o más objetos causales. Los objetos causales pueden ser considerados como las herramientas y
leyes científicas que determinan la manera en que un evento ocurrió.
4.6. Herramientas de Análisis Forense en Celulares
Las herramientas forenses son fundamentales para la extracción de los datos de teléfonos móviles.
Son la interfaz a través de la cual un examinador puede conectarse a un dispositivo y revisar la
información disponible. Las herramientas consideradas en este trabajo son las siguientes: Device
Seizure, TULP 2G y MOBILedit! Forensic.
TULP 2G: Es un software considerada como una herramienta forense que no automatiza del todo
el proceso de análisis forense. El beneficio que otorga es el de poder extraer datos de equipos
móviles así como de la tarjeta SIM. El diseño de ésta herramienta asume que es usada por
analistas entrenados que conocen la forma de investigar un equipo. Es desarrollada por
Netherlands Forensic Institute (NIS) y se encuentra implementada en C#. Una de sus cualidades
particulares es que sigue la ideología de pertenecer al software libre.
MOBILedit! Forensic: Es una herramienta forense desarrollada por Laboratorios Compelson. Su
origen proviene de una aplicación diseñada para funcionar como administrador de equipos
móviles. De acuerdo con la empresa es considerada entre las mejores herramientas para realizar la
extracción de datos y puede trabajar con varios modelos de telefonía celular. Tiene una interfaz
simple y fácil de comprender y puede ser usada para extraer datos ya sea de las tarjetas SIM como
datos del equipo móvil.
Device Seizure: Desarrollada por la empresa Paraben Forensics. La empresa la define como una
herramienta que tiene la capacidad de extraer los datos contenidos en dispositivos de telefonía
móvil sin afectar la integridad de los datos. Entre los datos que puede extraer se encuentran los
77
números telefónicos, fechas, tiempos, fotos, registro de llamadas, etc. Fue diseñado tomando en
cuenta las marcas más comunes de teléfonos Nokia, Siemens, Motorola y SonyEricson. La interfaz
de Device Seizure es muy sencilla de usar y produce informes en formatos. Toda la salida se
verifica usando funciones MD5.
Aplicación de Herramientas a un Caso de Estudio
Las herramientas forenses descritas fueron aplicadas a un caso específico de estudio, en un
ambiente controlado de laboratorio. Se pudo acceder al sistema de archivos del teléfono y se
pudo extraer información relevante, la cual podría considerarse como evidencia digital. El modelo
del teléfono que se uso fue un Sony Ericsson K790i. A continuación se explican cuáles fueron los
elementos que lograron extraerse sin entrar en detalles por cuestiones de privacidad.
En cuanto al desempeño de las herramientas utilizadas en la investigación se puede decir que
Device Seizure y MobileEdit fueron las que producen mejores e interesantes resultados al
momento de efectuar la extracción de la evidencia utilizando diferentes equipos de telefonía
celular.
Aunque la herramienta TULP 2G resulta ser prometedora por ser de código libre, su diseño y
utilización de complementos hace que la obtención de la evidencia no sea una tarea sencilla. No
obstante, resulta ser una herramienta útil para la comunidad científica pues como está basada en
código abierto es posible analizar con mayor detalle la herramienta, permitiendo en un momento
dado comprender el funcionamiento y verificar que los resultados son válidos y aceptados por los
procedimientos forense a diferencia del resto de las herramientas forenses que son propietarias.
Por otro lado, Device Seizure logró extraer registros de llamadas perdidas, llamadas recibidas,
números marcados y los últimos números marcados. En cuanto a mensajes, logró extraer todos los
mensajes recibidos y enviados. La lista de contactos fue extraída completamente y los datos se
obtuvieron de acuerdo a la organización original de los contactos almacenada en el equipo; esto
es, manteniendo la correspondencia entre los nombres y números telefónicos. Sin embargo,
Device Seizure no pudo obtener datos asociados como la dirección de correo electrónico ó las
notas adicionales. La herramienta no fue capaz de mostrar ni el calendario integrado ni las
actividades programadas en el mismo. Por otro lado, ésta herramienta logró obtener datos
adicionales del equipo como son: modelo del fabricante, nombre y número del modelo así como
78
versión del modelo, otra ventaja es que guarda la fecha y hora de ejecución del programa y
permite la generación de reportes. En cuanto a datos borrados como son mensajes, al menos la
versión utilizada no fue capaz de recuperar mensajes borrados, contactos eliminados, registros de
llamadas pérdidas en ninguna de sus variantes, lo mismo ocurre con contactos eliminados. En
general, no se logró recuperar datos eliminados con ésta herramienta.
La versión de MobileEdit! también se encuentra limitada en cuanto al número de modelos con los
que puede trabajar. Sin embargo, de las pruebas exitosas logró extraer los datos relativos a
llamadas y fue posible obtener datos adicionales que Device Seizure como son datos de correo
electrónico asociados a los contactos. A diferencia de la herramienta anterior, MobileEdit permitió
revisar y distinguir entre la memoria interna del teléfono y una tarjeta de memoria insertada,
logró extraer los mensajes, la versión permitió recuperar algunas imágenes y en cuanto a la
generación del reporte no fue posible por la versión de prueba. Además fue posible obtener el
registro IMSI de la tarjeta SIM. En general MobileEdit! permite una mayor adquisición de datos y
mejor organización en la exploración de evidencia superando las capacidades de Device Seizure.
Sin embargo, tampoco fue posible obtener datos eliminados. Algo que llama la atención es que
esta herramienta permite eliminar datos o modificarlos, lo cual va en contra de los principios del
proceso forense digital.
A continuación se resumen los resultados de las pruebas en las siguientes tablas. DS se refiere a la
herramienta Device Seizure, mientras que MED corresponde a MobilEdit!. La Tabla 4-4
corresponde a los datos extraídos que no se encuentran en la tarjeta SIM.
SMS Música Contactos Llamadas Tareas Imágenes Reporte Central de
SMS DS X --- X X --- -- X X MED X X X X X X -- --
Tabla 4-4 Datos extraídos del equipo de telefonía celular
La Tabla 4-5 corresponde a los datos obtenidos contenidos en la tarjeta SIM, cabe aclarar que no
se utilizo una lectora de tarjetas inteligentes compatible.
Datos Almacenados en la tarjeta SIM IMSI Llamadas Contactos SMS DS --- --- X X ME X X X X
Tabla 4-5 Datos que se lograron extraer de la tarjeta SIM
79
Por último, en la Tabla 4-6, se presenta la capacidad que tuvo la herramienta para acceder a
tarjetas de memoria externa:
Datos Almacenados en tarjeta multimedia adicional Música Imágenes SMS Video Sistema Juegos DS -- --- --- --- --- -- ME X X X X X X
Tabla 4-6 Datos extraídos de elementos externos
Perfil del Usuario.
De acuerdo con los datos obtenidos, se puede crear un perfil de usuario aunque no se expondrán
los datos exactos por cuestiones de privacidad. Primeramente se puede dar una descripción
técnica a partir de la información obtenida con las herramientas, tal como se presenta en la Tabla
4-7:
Características generales del equipo IMEI 352208011129403 Tipo de red de trabajo GSM Resolución de pantalla 240 x 320 Capacidad de colores 262144 Revisión de Software R1CC003 060621 1742 CXC1250477_GENERIC_EV
Nombre del modelo Sony Ericsson AAF-1022011-Bv
Fabricante del modelo Sony Ericsson
Tabla 4-7 Ficha técnica del equipo de telefonía celular.
Tomando en cuenta aquella información almacenada únicamente se pueden hacer las siguientes
aseveraciones: En cuanto al estilo de la administración de sus contactos, es un usuario que deja
claramente el tipo de contactos que tiene pues se distingue fácilmente aquellos que son familiares
(primos, hermanos, etc.), amigos, compañeros de escuela y de trabajo, incluso se logra identificar
acerca de cuál es el oficio o profesión de alguno de sus contactos, tal como algunos médicos y los
tratamientos que ofrece. De la misma forma, en sus actividades programadas define fechas de
pago de alguno de los servicios que debe realizar. En base, a los números de contactos se puede
conjeturar al menos la ciudad en donde radican o por lo menos, determinar la ciudad a la que
pertenecen esos números. Como se puede ver la relación entre equipo móvil y el usuario crece y
se personaliza conforme a la actividad entre estas dos entidades, relación que un momento puede
servir para culpar o deslindar a un sospechoso.
4.7. Reporte de Utilidad Legal.
80
En el marco de la Informática Forense y/o la Ciencia Forense Digital se hace necesario tener clara
la manera en que debe elaborarse un informe. Se debe tener presente que el informe elaborado
seguramente será un instrumento legal que estará a disposición de una autoridad administrativa,
civil, judicial o penal. Esto dependiendo del incidente o delito del que se trate y del objetivo que se
persiga al realizar una investigación forense: 1) Compensación de los daños causados por los
criminales o intrusos, 2) Persecución y procesamiento judicial de los criminales y 3) Creación y
aplicación de medidas para prevenir casos similares.
Debido a que este informe potencialmente será usado para fines legales y debido a que la
Informática Forense trata de reglas de manejo de la evidencia y procesos legales, es importante
considerar que debe contener una serie de requisitos para que sea realmente útil, teniendo en
cuenta aspectos relacionados con la cadena de custodia, integridad y continuidad de la evidencia,
y considerando también que su contenido debe ser información factual (hechos) y de calidad
probada. De esta manera, se propone que el cuerpo de un informe de utilidad legal debe de estar
formado por las siguientes secciones principales:
a) Detalles de la investigación. (Contexto de la investigación). Se consideran los siguientes aspectos: Nombre e información del analista forense. Detalles e información del equipo móvil. Un número de referencia del caso, en caso de ser aplicable. Personas ú organizaciones implicadas. Personas ú organizaciones participantes en la investigación. Hora y fecha de la notificación, dirección de la institución afectada (Es recomendable delimitar el área o departamentos afectados). Motivo de la investigación. Duración de la investigación. Problemática derivada del incidente de seguridad o del delito informático (daño causado y efecto sobre el negocio). Identificación de dispositivos implicados en la investigación (marca, modelo y número de serie, sistemas operativos y sistemas de archivos, aplicaciones instaladas y uso definido de acuerdo a los perfiles de los usuarios). Mecanismos y procedimientos para el manejo y custodia de la evidencia (documentación de la custodia y herramientas de cifrado y de firma digital).
b) Registro de históricos del uso del equipo celular. Los siguientes aspectos deben ser registrados: La fecha y hora de la ocurrencia del incidente alegado, además del tipo y circunstancias del incidente y definir la relación con el dispositivo, Obtener los últimos registros de actividad del sistema previo al incidente (si fuera posible), Presentar líneas de tiempo de la actividad del equipo. Esto es, se debe registrar en orden cronológico y contrastado con la fuente de información perfectamente identificada. Un buen historial es una de las mejores guías para un buen análisis y para tomar las posibles fuentes de información que sean más apropiadas.
c) Resumen de Hallazgos: Presentar un registro de los datos más importantes relacionados con el caso que fueron localizados durante el análisis al equipo móvil, excluyendo información no esencial o subjetiva. Considerar el uso de diagramas y fotografías fechadas para un mejor entendimiento de la evidencia obtenida y que corresponda con el reporte escrito.
81
d) Interpretación, Opiniones, Diagnóstico y Conclusiones: Se espera una interpretación y diagnóstico tanto de las posibles causas de los síntomas anormales como de los hallazgos. El reporte debe ser relativo a los hechos y solo expresa conclusiones u opiniones en relación a detalles técnicos del caso. Cuando los hallazgos del reporte se interpretan es necesario considerarlos en el contexto del histórico y resultados del análisis.
4.8. Aplicación del Método Científico.
Para la elaboración de una metodología de análisis forense a equipos de telefonía celular se hace
necesario aplicar, en estricto sentido, el método científico considerando todas las etapas del
proceso forense. Así, se deben considerar en el contexto del análisis forense los siguientes pasos
que definen al método científico:
a) Paso 1: Identificar e investigar sobre el problema. Ocurre cuando un incidente de seguridad informática ha ocurrido y está involucrado un equipo de telefonía móvil. Por lo tanto y dadas estas condiciones, es necesario identificar las fuentes de información que aporten datos sobre el incidente.
b) Paso 2: Formular una hipótesis. Corresponde al momento en que el investigador se responde las siguientes preguntas relacionadas con el incidente: ¿Quién?, ¿Qué?, ¿Dónde?, ¿Cuándo?, ¿Cómo?
c) Paso 3: Probar la hipótesis de manera empírica40 y conceptual. Una vez que se ha generado la hipótesis y se ha reconocido el escenario, se debe intentar empírica y conceptualmente probar la hipótesis a través de la búsqueda de información relacionada con el caso que provenga tanto de la experiencia como de fuentes imparciales que aporten datos sobre el incidente.
d) Paso 4: Evaluar la hipótesis con respecto a los resultados probados. Es necesario idear y realizar nuevas pruebas si los resultados no son contundentes. Es aquí donde se debe dar una interpretación a la evidencia encontrada con base en procedimientos contundentes que sean irrefutables y permitan la aceptación de la evidencia almacenada en los dispositivos de telefonía celular.
e) Paso 5: Si la hipótesis se confirma, evaluar su Impacto. Consiste en aquellas actividades contundentes (algo así como sentencias o toma de decisiones que se deben respetar) que se generan una vez que la investigación está completada. Estas actividades son producto de los resultados de la investigación, los cuales confirman o rechazan la hipótesis. Dependiendo de su aceptación o rechazo, ya es posible formalizar la evaluación del impacto basándose en los efectos producidos sobre la parte afectada y que se generaron debido a la realización de las acciones de quién resulte responsable.
Se debe notar que, tanto los pasos 3 y 4 constituyen un conjunto de procedimientos que
permitirán al investigador forense decidir si es posible aceptar o rechazar la hipótesis. En un nivel
más detallado, estos pasos son aplicados una y otra vez durante las etapas de búsqueda,
aseguramiento y descubrimiento de la evidencia.
40 Conocimiento Empírico: Conocimiento que fundamente sus conocimientos exclusivamente en la experiencia.
82
Marco de trabajo formal para el diseño de métodos. Diseño de Métodos.
Dentro de las ventajas que ofrece el trabajar con el método científico se encuentra un área de
estudio conocida como Diseño de métodos. Por lo tanto, aquellos métodos que requieran ser
desarrollados y posteriormente aplicados en el proceso forense para equipos de telefonía celular
serán diseñados bajo la aplicación del siguiente método general, el cual es congruente con el
método científico (ver Figura 4-1).
Figura 4-1 Método general para el diseño de métodos
Jones (65) utiliza los siguientes elementos basados en la teoría de diseño de métodos (ver Tabla
4-8), el cual es muy congruente con el diseño relacionado con los SOPs (Capítulo 4) y permite
observar la congruencia con el marco de trabajo en cuanto al diseño de métodos:
ELEMENTOS DESCRIPCIÓN Título. El título del método. Debe quedar claro el asunto a tratar por parte del
método. Metas Describen lo que son los resultados del método en una única sentencia
Esquema general
Descripción resumida de los pasos y acciones involucradas en el método diseñado.
Ejemplos Varios ejemplos mostrando el diseño del método en acción Comentarios Breve evaluación de la efectividad y usabilidad del método, incluyendo la
aplicación práctica. Aplicación Los tipos de situación en los cuales éste método puede ser utilizado
Aprendizaje La facilidad para aprender y usar el método. Tiempo y costo Cuánto tiempo se necesita para efectuar éste método, y cuál es el costo
asociado. Referencias Referencias a publicaciones originales, y otras publicaciones relevantes.
Tabla 4-8 Elementos requeridos para el diseño de métodos según Jones
83
Se debe recordar que además de utilizar el método anterior para la generación de los métodos, se
complementa con la utilización de los SOPS.
La construcción de la metodología aquí propuesta considera los siguientes aspectos:
Aplicación de los pasos anteriores del método científico a las fases de la metodología. Diseño de procedimientos operativos estandarizados definidos en el capítulo 2. Entre los
cuales, deberá desarrollarse al menos un procedimiento que integre la aplicación del método científico.
Clasificación de los incidentes de seguridad informáticos definidos por la Guía de Manejo de Incidentes de Seguridad Informática descritos en el capítulo 2.
Descripción de la arquitectura de los equipos de telefonía celular. Aplicación de los pasos del proceso forense al caso de teléfonos celulares.
Para que una organización, encargada de realizar una investigación digital, pueda utilizar e
implementar la metodología es necesario que se cumplan con los siguientes aspectos:
Asignación de cargos: La organización debe crear un grupo de investigadores para asignar las funciones (custodios, documentadores, etc.).
Políticas: Se deben crear políticas, las cuales se encargarán de orientar a los SOP de la organización.
Crear un sistema de control de calidad: Junto con los SOPs, se debe crear un documento para asegurar la calidad.
Recursos materiales: Obtener el software, hardware y accesorios adicionales que permitan auxiliar a los procesos requeridos en la investigación.
Tomando como base los documentos y recomendaciones presentados a lo largo de los capítulos
anteriores, se puede concluir que una propuesta de metodología se debe formular teniendo en
cuenta, al menos, los siguientes criterios:
La propuesta debe tener presente los principios propuestos por la ACPO o de la IOCE. (ver sección 4.4).
La metodología debe estar orientada a alcanzar los objetivos propuestos (ver sección 2.3) que persigue la Informática Forense.
Debe proporcionar una retroalimentación. Esto es, que la metodología debe contar con la capacidad de identificar aquellas partes que pueden mejorarse al final de cada aplicación. Similar al proceso recomendado por el documento del NIST relacionado a Respuesta a Incidentes (ver sección 2.2).
Debe descomponer el problema en partes más pequeñas que sean más fácil de manejar. En este caso, definir el proceso global de investigación digital a través de etapas o fases.
84
Los procedimientos desarrollados deben diseñarse mediante un protocolo para que sean considerados válidos y aceptables. En este caso el protocolo consiste en la utilización de la técnica de Diseño de Métodos (ver Figura 4-1) y combinarla con la técnica de SOPS.
Comentarios Finales.
Este capítulo se dedicó a establecer las bases para fundamentar y establecer una metodología de
análisis forense para equipos en telefonía celular. Para lo cual se revisaron los siguientes aspectos:
El método científico, del cual se ha considerado su aplicación en las fases de la propuesta y además, se considera un método para la creación y validación de hipótesis.
La manera de generar los métodos que serán utilizados en la metodología. El mecanismo para formalizar los métodos lo que permitirá: cuidar la cadena de custodia,
presentar los resultados del proceso de investigación digital a los equipos de telefonía celular de manera clara, y asegurar la admisibilidad de la evidencia por la parte correspondiente,
Diversos documentos emitidos por organismos internacionales dedicados al manejo de la evidencia digital y extraer los elementos compatibles para el análisis orense a los equipos de telefonía celular, aplicar los principios de la evidencia digital emitidos por la IOCE/ACPO al área del análisis orense de equipos de telefonía celular.
Toda vez que se han identificado estos elementos, es posible establecer la definición de la
propuesta. Dicha definición es desarrollada en el siguiente capítulo.
85
Capítulo 5 Metodología Propuesta
Este capítulo presenta la metodología de análisis forense a equipos de telefonía
celular, la cual se ha construido con base en la técnica de Diseño de métodos, los
procedimientos operativos estándar y siguiendo las recomendaciones y buenas
prácticas emitidas por el NIST, IOCE, ACPO. Además de presentar las características y
componentes que integran la metodología propuesta, se describen como un aspecto
importante, los roles del equipo de investigación forense. Finalmente, se describe
cada uno de los SOPs que conforman la metodología.
5.1. Antecedentes.
La metodología propuesta se basa principalmente en la aplicación del método científico y de las
mejores prácticas internacionales. Mediante la aplicación del método científico se logra la
obtención de nuevo conocimiento, mediante el estudio de evidencia observable y medible,
aplicando el razonamiento lógico, elaborando hipótesis, la cuales podrán ser corregidas y
mejoradas según se obtiene más evidencia. Al aplicar las mejores prácticas recomendadas
internacionalmente por NIST, NIJ y SWDGE se desarrolla un proceso formal de investigación digital
congruente con el criterio de la comunidad internacional para el manejo de la evidencia digital.
Específicamente, esta metodología se ha desarrollado con base en la aplicación de los
procedimientos operativos estándar, y considera cuatro de ellos, cada uno de los cuales
corresponde a cada una de las etapas del proceso forense.
5.2. Características de la Metodología.
Una metodología formal permite a un investigador abordar e investigar un delito informático de
manera racional y rápida, sin una pérdida de minuciosidad. Lo más importante es que a través de
ella se establece un protocolo mediante el cual la evidencia digital (física y lógica) es reunida y
manejada, contribuyendo a minimizar los casos en que la evidencia se contamine o sea alterada a
través de garantías de custodia. Sin tal metodología, será más difícil realizar una investigación
exitosa que sea reconocida como confiable en un proceso legal, administrativo o civil.
Cualquier proceso ó procedimiento de investigación usado para efectuar el análisis forense debe
exhibir las características de una metodología científica. Por ejemplo, un proceso válido debe
86
consistir de pasos racionales bien diseñados que puedan ser repetidos en todas las
investigaciones. En resumen, tales pasos deben ayudar a evitar que se generen resultados
inconsistentes o imparciales, mediante la aportación de un marco de trabajo racional dentro del
cual las actividades de investigación puedan llevarse a cabo. Sin una metodología formal y bien
dominada, un investigador no está efectuando correctamente la labor forense. La evidencia que se
reúne sin una metodología no será admitida como válida en las cortes. A continuación, se
enumeran algunas de las características que presenta la propuesta:
1. Basada en el método científico. Además de las etapas presentadas en la sección anterior que
permiten ver claramente cómo se apega al enfoque científico , la propuesta definida para la
generación de métodos se basa en una rama dentro del método científico conocida como
Diseño de métodos comentada en la sección anterior (65).
2. Congruente con lineamentos y metodologías internacionales. Los métodos definidos
cumplen con los principios y objetivos mencionados en las secciones 4.4 y 2.3, las cuales
aseguran la validez, admisibilidad e integridad mientras la evidencia es manejada. De esta
manera, la metodología estará construida con base en organizaciones internacionales,
especializadas en el área de la ciencia forense digital.
3. Es de aplicación limitada. Es complicado que una metodología pueda atender o resolver todas
las posibles circunstancias que pudieran generarse en un momento determinado. Por lo tanto,
la metodología propuesta también presenta limitaciones al momento de su aplicación.
4. Basada en SOP. Los SOP pueden contribuir a la ejecución fiel de los pasos que dicta el método
científico, pues definen procedimientos contundentes e irrefutables para la adquisición,
determinación y análisis de la evidencia digital encontrada en el contexto de la aplicación de
los pasos del proceso forense a equipos de telefonía móvil. Estos SOP permiten hacer que las
actividades involucradas en el manejo de la evidencia digital sean compatibles, válidas y
aceptables. Los SOP aseguran tanto la calidad de los documentos e informes que se pueden
generar, como la aplicación de las mejores prácticas en la materia. Los SOP constituyen un
conjunto de instrucciones que tienen el carácter de una directiva que se han definido para
asegurar y mantener la calidad de los procesos que ocurren en un sistema.
5. Define pre-requisitos para los profesionales. Esta metodología requiere que el recurso
humano que desee utilizarla, cuente con ciertos conocimientos previos (ver sección 5.6.1). En
general, está pensada para ser aplicada por aquellos profesionales que cuenten con
87
conocimientos relacionados con la informática, computación y tecnologías de la información o
de comunicaciones electrónicas.
6. Define Perfiles. La metodología debe ocuparse de la definición de funciones o roles (ver
sección ¡Error! No se encuentra el origen de la referencia.). En un incidente determinado, un
profesional puede desempeñar varios papeles, o un perfil puede estar asignado a varios
profesionales. La metodología debe especificar al responsable para cada tarea, y si fuera
necesario indicar también aquellos otros perfiles relacionados y que pudieran contribuir a la
conclusión de la tarea. Dentro de la definición de perfiles, es recomendable incluir en las
funciones a miembros de la parte afectada en el incidente en provecho del análisis forense. A
través de lo anterior, se puede obtener información útil de manera rápida proveniente de una
fuente confiable pues conoce el sistema mejor que alguien más. Para cada papel, una
metodología debe definir las habilidades, la experiencia, y el fondo que son relevantes.
7. Define requisitos de las herramientas que deberán usarse. Las herramientas que se utilicen
para hacer análisis forense a equipos en telefonía celular que sean capaces de recolectar la
memoria interna del dispositivo y de la tarjeta SIM deben cumplir con los requisitos señalados
en la metodología (ver sección 5.6.2). Adicionalmente, deberá existir un equipo de cómputo o
computadora, la cual que fungirá como una herramienta de uso general. Esta computadora
deberá de contar con la capacidad de interactuar entre el dispositivo que será analizado y las
herramientas forenses especializadas.
8. Define líneas de tiempo41. La creación de una línea de tiempo facilitará la comprensión del
caso, pues mediante ella es posible identificar la actividad del sistema. En el ámbito de la
Informática Forense, existen herramientas que permiten la creación de una línea temporal que
se vuelve útil cuando se intenta determinar qué archivos han sido modificados, creados o
accedidos recientemente. Más aún, debido a que muchos sistemas tienen gran cantidad de
archivos, la línea temporal puede mostrar los directorios donde el investigador debería centrar
su atención y no precisamente sobre cada uno de los cientos o miles de archivos que
componen a tal sistema. De esta forma, las líneas de tiempo generadas le permiten al
investigador forense obtener rápidamente una perspectiva de alto nivel acerca de la actividad
del sistema o usuarios, tal como determinar el momento de envío de mensajes ó la realización
de llamadas telefónicas, etc. La cantidad y descripción de información depende en el tipo de
sistema de archivos. En el proceso forense para equipos de telefonía celular, aún no existe
41 Normalmente los archivos y directorios residentes en un sistema operativo tienen tiempos asociados con ellos.
88
alguna herramienta que permita realizar la creación de líneas temporales. Por lo tanto, la
creación debiera realizarse de forma manual concentrándose en los tiempos registrados en los
archivos de usuario.
9. Cadena de custodia de los equipos. Esencialmente, este es un medio de justificar: ¿quién ha
entrado en contacto con la evidencia?, ¿cuándo entró en contacto? y ¿qué fue lo que hizo con
la evidencia? Es una manera de demostrar que la evidencia no ha sido dañada o alterada
mientras estuvo al cuidado del investigador. Un fallo en demostrar la cadena de custodia de la
evidencia puede conducir a serias cuestiones relativas a la autenticidad e integridad de la
evidencia y los análisis que dependen de ella. Un mal manejo en la cadena de custodia puede
arruinar el caso.
En resumen, una metodología debe incluir generación y ejecución de tareas, la aplicación de
técnicas, la definición de entregables, documentos, informes, etc. Así como la aplicación de
herramientas para realizar un análisis forense a equipos de telefonía celular del tipo GSM. Para
lograr cada una de esas tareas se recomienda desarrollar el SOP apropiado.
5.3. Alcance.
Existen diversas propuestas de metodologías para guíar el proceso forense digital en muchas
partes del mundo, tal como se presentó en el capítulo cuatro. Sin embargo, no se ha llegado a
ninguna conclusión sobre cuál es la más apropiada. A pesar de que, cada marco de trabajo podría
trabajar bien con un tipo de investigación particular, ninguna de ellas se centra en la información
específica que está involucrada en el análisis forense a equipos de telefonía celular. La
metodología propuesta ha sido desarrollado para ayudar a los practicantes forenses y oficiales en
la investigación de delitos o incidentes informáticos que involucren tales dispositivos. En donde
sea apropiado, se han incorporado aquellas prácticas y técnicas estándar existentes en el mundo
de la investigación física y digital. Este modelo intenta superar los principales deficiencias de los
modelos digitales forenses existentes discutidos en las secciones anteriores y enfatiza una
estrategia sistemática y metódica para una investigación forense digital.
Esta metodología ha quedado conformada de cuatro apartados, los cuales se muestran a
continuación: Objetivo, Limitaciones, Requisitos y Etapas Propuestas.
89
5.4. Objetivo.
El objetivo de la metodología es establecer un marco de trabajo válido, estándar y aceptado.
Deberá establecer procedimientos que permitan realizar un manejo adecuado de la evidencia
digital almacenada en equipos de telefonía celular. Estos procedimientos estarán basados en las
mejores prácticas definidas por distintos organismos internacionales reconocidas en el área de la
ciencia forense digital.
5.5. Limitaciones.
La metodología presenta las siguientes limitaciones:
El alcance de la metodología está limitada a dispositivos de telefonía celular del tipo GSM, esto se deriva del análisis de los elementos tecnológicos particulares de estos dispositivos.
Sólo se consideran algunos modelos. Esto se debe a la gran diversidad y evolución de modelos definidos por los distintos fabricantes, los cuales tienen características tecnológicas muy diferentes. Esta diversidad y evolución de los dispositivos celulares demanda del uso de herramientas con características específicas.
Las condiciones y facilidades que se deben tener sobre los equipos que se deben analizar con esta metodología. En general, para que las herramientas forenses puedan ser utilizadas, se requiere que el Equipo Móvil tenga por lo menos alguna de las siguientes opciones para establecer comunicación: Conectividad mediante cable, Conectividad vía Infrarrojos, o conectividad vía Bluetooth.
5.6. Requisitos.
5.6.1. Acerca del Personal.
A continuación se enumeran en las siguientes tablas, los conocimientos con los que deben contar
los profesionales que requieran utilizar la metodología. Estas características son las deseables, sin
embargo, la metodología se ha diseñado para que pueda ser comprendida por cualquier
profesional que tenga conocimientos fundamentales de la informática y comunicaciones.
Habilidades Personales Proceso Psicológico Características deseables
Atención Focalizada, que mantenga la concentración de la atención por largos periodos de tiempo.
Pensamiento Capacidad de reflexión, de análisis y de síntesis. Habilidad para pensar creativamente. Habilidad para la toma de decisiones. Pensamiento flexible.
Memoria Habilidad para organizar información en la memoria de corto y de largo plazo.
90
Comunicación y Lenguaje
Habilidad para expresar claramente sus ideas. Habilidad para comunicarse con personas no expertas y expertas en el área.
Trabajo independiente Habilidad para el trabajo independiente y autónomo. Habilidades sociales Habilidad para relacionarse con otros y para pedir ayuda cuando sea
necesario. Habilidad para trabajar en equipos reales y virtuales.
Previsión Habilidad para prever y solucionar conflictos. Conocimientos Persona con conocimientos de experto en el área de cómputo. Prioridades y toma de decisiones
Habilidad para organizar el trabajo y las decisiones.
Tabla 5-1 Perfil psicológico deseable para el manejo de cualquier investigación digital
Habilidades Profesionales Conocimientos y
experiencia mínimo Conocimientos y experiencia deseable
Estándar GSM Sistema de Archivos definidos por el estándar GSM para la tarjeta SIM. Sistemas operativos utilizados en los equipos
(Windows, Linux, Unix a nivel de usuario avanzado).
Infraestructura de red GSM
Elementos establecidos.
Estudio sobre el proveedor de la red GSM
Particularidades del sistema.
Manejo de herramientas forenses
Adquisición. Búsqueda de cadenas. Archivos Ocultos. Creación de líneas cronológicas.
Lenguajes de programación (C, C++)
Sistemas Operativos en equipos de telefonía celular.
Tecnologías Móvil Conocimiento básico de aplicaciones y hardware común utilizado en el campo de la telefonía celular GSM.
Tabla 5-2 Conocimientos mínimos recomendados para facilitar la aplicación de la metodología
Perfiles.
Independientemente del tipo de incidente, los distintos tipos de roles o funciones son similares.
Un conjunto genérico de roles y responsabilidades asociadas pueden ser identificadas. Ellas
incluyen a: Primeros actuantes, investigadores, técnicos, examinadores forenses y analistas
forenses. En una situación dada, una única persona podría efectuar más de una función. Sin
embargo, resulta útil la distinción de los diferentes roles y sus responsabilidades asociadas.
Primeros actuantes. (First Responders). Consiste en personal entrenado, el cual es el primero en llegar y atender la escena, proporciona una evaluación inicial, e inicia el nivel apropiado de reacción (response). Las responsabilidades de los primeros reactores son: asegurar la escena del incidente, solicitar el soporte apropiado requerido, y asistir en la tarea de recolección de evidencia.
Investigadores. Entre sus funciones se encuentran planear y administrar la preservación, adquisición, inspección, análisis y reporte de la evidencia digital. Es decir, se encargarán de
91
diseñar estrategia concretas basadas en la metodología, la cuales deberán estar listas para cuando haya surgido un incidente.
Líder de la Investigación. Se ha dicho que cada incidente se compone de circunstancias particulares. Debido a lo anterior, cada caso que se aborde con la metodología diseñada necesita tener un Líder de la investigación. Este líder deberá adaptar la metodología de acuerdo a las circunstancias del incidente. Esta adaptación deberá realizarse respetando los lineamientos internacionales y manteniendo la mejora continua de procesos considerando los posibles cambios tecnológicos en los equipos de telefonía celular. El Líder de la investigación está a cargo de asegurarse que las actividades en la escena de un incidente sean realizadas en el orden correcto y en el momento correcto. El Líder de la investigación será responsable de aplicar las estrategias diseñadas por el grupo de investigadores.
Técnicos. Efectúan acciones dirigidas por el Líder de la Investigación. Los técnicos son los responsables de identificar y recolectar la evidencia, además deben de documentar la escena del incidente. Ellos son personal entrenado especialmente para asegurar el equipo electrónico, otra de las tareas requeridas es la de adquirir los datos residentes en la memoria. Debido a las diferentes habilidades y conocimiento requerido, es recomendable solicitar la participación de más de un técnico. Debe estar disponible un nivel suficiente de experiencia en la escena para manejar todos los distintos dispositivos digitales involucrados en el incidente.
Custodios de evidencia. Son los encargados de proteger toda la evidencia reunida y almacenada en una ubicación central. Ellos reciben la evidencia recolectada por los Técnicos, se aseguran de que la evidencia esté etiquetada adecuadamente, supervisar los cambios en la posesión y protección de la evidencia, y mantener una estricta cadena de custodia.
Examinadores (o Inspectores) Forenses. Consiste en personal especialmente entrenado, el cual reproduce las imágenes adquiridas del equipo asegurado y recupera los datos digitales. Los Examinadores hacen visible la información almacenada en el dispositivo. Los examinadores pudieran obtener datos menos evidentes. Usando equipo altamente especializado, exhaustiva utilización de ingeniería inversa, u otro medio apropiado no disponible al alcance de los Técnicos Forenses.
Analista Forense. Evalúa el producto del Inspector Forense para determinar la significancia y valor probatorio relativo al caso.
Los roles del listado anterior no son todas las funciones que pudieran existir; sin embargo, se ha
hecho un intento por establecer un orden al momento de participar en la investigación y para que
pueda ser realizada de una manera más eficiente. Además, es necesario realizar una planeación
para definir la manera en que el personal existente se ajustará con estos roles al momento de
realizar el proceso de investigación.
5.6.2. Acerca de las Herramientas.
a. Requerimientos para interactuar con la Memoria Interna del equipo. Una herramienta forense orientada al análisis de equipos de telefonía celular debe tener la habilidad para:
92
i. Reconocer a los dispositivos soportados a través de interfaces soportadas por el fabricante (por ejemplo, Bluetooth, cable, Infrarrojo).
ii. Identificar dispositivos no soportados. Aunque no tenga la capacidad de interactuar con ellos, que proporcione detalles mínimos del dispositivo.
iii. Notificar al usuario errores de conectividad entre el dispositivo y la aplicación durante la adquisición.
iv. Proporcionar al usuario ya sea un panel de pre-visualización o la presentación de un reporte sobre los datos adquiridos.
v. Adquirir lógicamente todos los elementos de los datos soportados por la aplicación que se encuentren presentes en la memoria interna sin modificarlos.
b. Requerimientos para la SIM. Una herramienta forense celular debe tener la habilidad para:
i. Reconocer las tarjetas soportadas SIM a través de la interfaz soportada por el fabricante (por ejemplo, lectora PC/SC, lectora propietaria).
ii. Notificar al usuario errores de conectividad entre la lectora SIM y la aplicación durante la adquisición.
iii. Proveer al usuario la oportunidad de desbloquear una tarjeta SIM protegida con contraseña antes de que se realice la adquisición de datos.
iv. Proporcionar al usuario ya sea un panel de pre-visualización o la presentación de un reporte sobre los datos adquiridos.
v. Adquirir todos los datos soportados por la aplicación que estén presentes en la memoria de la SIM sin producir alguna modificación.
c. Requisitos para la computadora. Un ejemplo de propuesta42 , la cual indica aquellas características o especificaciones deseables para aquel equipo dedicado al análisis forense a equipos de telefonía celular, es aquella diseñada por The Training Services staff of SEARCH Group en cooperación con agencias legales de los Estados Unidos (66), la cual incluye:
i. Un equipo portátil con puertos USB 2.0 para conectar los cables del teléfono. FireWire para conectar una DVR (Digital video Recorder) a la computadora y capturar datos que no sea de otra forma recuperable.
ii. Cables (incluyendo Bluetooth e IR) son los componentes más importantes para conectar el teléfono celular a la computadora.
iii. Lectora USB para tarjetas SIM. Requerida para recuperar los datos de la tarjeta. iv. Logicube’s CellDek. Es un dispositivo portable que recolecta datos almacenados en los
teléfonos más populares. v. Contenedor de señal para telefonía celular: Bolsa de Faraday, papel de aluminio,
dispositivos de interrupción de señal de teléfonos celulares. vi. Capturador de audio y video.
5.7. Etapas de la Metodología Propuesta.
Debido a que cada investigación es distinta con su propio y único conjunto de circunstancias, un
enfoque de procedimiento definitivo es complicado de establecer. A pesar de todo, varias
42 Debido a los constantes avances tecnológicos, es necesario mantener actualizada este tipo de propuesta.
93
propuestas hacen referencia a las mismas áreas, aunque resaltan el grado de importancia en
aspectos diferentes.
La metodología aquí propuesta está orientada a ser empleada en aquellos incidentes o delitos en
los que se requiera obtener evidencia digital de un equipo de telefonía celular que estuviera
involucrado. La metodología se estructuró en 18 etapas. Las cuales fueron complementadas de tal
forma, que permitan incluir la mayor cantidad de puntos a considerar para realizar el proceso de
análisis forense a equipos de telefonía celular y se explican a continuación.
I. Fase 1: Identificación del Problema 1) Preparación. 2) Investigación Preliminar del Problema (Identificación del problema). 3) Aseguramiento de la Escena. 4) Exploración y Reconocimiento. 5) Protección de las comunicaciones. 6) Documentar el Estado de la Escena. 7) Recolección y Preservación Física. 8) SOP propuesto.
II. Fase 2: Búsqueda de la Evidencia. 1) Recolección de Evidencia Volátil. 2) Recolección de Evidencia No Volátil. 3) Validación de la Evidencia Recolectada 4) Aplicación de la cadena de custodia a la evidencia recolectada. 5) SOP propuesto.
III. Fase 3: Generación y Validación de la Hipótesis. 1) Inspección y Análisis de la Evidencia. 2) Clasificación de Roles. 3) Reconstrucción de Eventos y Pruebas. 4) Secuencia de Eventos. 5) Prueba de la Hipótesis. 6) SOP propuesto.
IV. Fase 4: Actividades post forenses. 1) Elaboración de un informe con validez legal. 2) Revisión del proceso forense. 3) SOP Propuesto.
Ahora que se cuenta con el listado de fases, es posible presentar una comparación entre las
actividades de la metodología propuesta con las actividades de los documentos descritos en el
capítulo 4. La Tabla 5-3 presenta los resultados de la comparativa, es necesario recordar todos los
documentos se crearon principalmente para el área de la Informática Forense a excepción del
trabajo emitido por el NIST.
94
Propuesta de Metodología Forense para equipos en telefonía celular
Propuestas de Instituciones Internacionales DFRW SWGDE ACPO NIJ
(219941) NIJ
(199408) CP4DF
NIST 800-101
Preparación X X Identificación del problema X Aseguramiento de la Escena X X X Exploración y Reconocimiento X X X Protección de las comunicaciones X X Documentar la Escena X X X Recolección y Preservación Física X X X X X Recolección de Evidencia Volátil. X X Recolección de Evidencia No Volátil X X Validación de la Evidencia Recolectada X X Aplicación de la cadena de custodia Inspección y Análisis de la Evidencia X X X X Clasificación de Roles Reconstrucción de Eventos Secuencia de Eventos Prueba de la Hipótesis Elaboración de un informe X X X X Revisión del proceso forense Implementa Su Aplicación Mediante SOPs X X43
Tabla 5-3 Comparación de actividades entre la metodología y los documentos de soporte
Una laguna presentada por los documentos revisados es la manera para generar la hipótesis. En
este sentido, existe otro aspecto sobresaliente muy importante y ventajoso, pues llena el vacío
que presentan aquellos documentos: ninguno muestra la manera en realizar la reconstrucción de
eventos. Este tema es tratado en la en tercera fase metodología propuesta y como se puede
confirmar mediante la tabla, la metodología es la única que presenta la manera para reconstruir
eventos y mantener la coherencia con el método científico.
Al final de las cuatro fases se indica que se debe aplicar la técnica de los SOPs. Es decir, para el
caso de la tesis se consideró efectuar el desarrollo de cuando menos un procedimiento para cada
fase. La finalidad del desarrollo del SOP es que permita apreciar la aplicación de ésta técnica. Sin
embargo, se debe aclarar que pudiera requerirse el diseño de más SOPs para cumplir de manera
completa con cada una de las etapas propuestas. Este queda como sigue:
– Una cabecera: Contiene el nombre de la institución y del departamento que diseña y utiliza al procedimiento. Además también se compone de: Título, número de SOP, número de revisión, fecha de vigencia, número de hojas.
– Objetivo. Que describe brevemente la finalidad del SOP. – Alcance. El procedimiento deberá indicar las restricciones de su aplicación. En otras
palabras, deberá especificar ya sea los elementos con los que puede trabajar o establecer las circunstancias en las que deberá detenerse.
43 En realidad no implementa los SOPs sino propone su utilización en el área de la Informática Forense (ver sección 4.3).
95
– Responsable. Establece explícitamente la persona encargada de efectuar el procedimiento documentado. Se debe incluir el papel en la investigación forense así como el nombre propio para evitar confusiones, en caso de que dos personas tengan la misma función.
– Definiciones. En donde se aclaran aquellos términos que se consideren convenientes. – Materiales: Hardware y software. Especifica los dispositivos físicos y aplicaciones que
serán utilizados en el procedimiento. – Aspectos de seguridad. Especifican aquellas medidas que se deben tomar en cuenta al
momento de realizar el trabajo, y de esta manera efectuar el procedimiento de manera exitosa.
– Procedimiento. Es la sección que corresponde al cuerpo del SOP en donde se presentan los pasos que forman al procedimiento.
– Referencias. Referencias a publicaciones originales, y otras publicaciones relevantes.
Una vez presentado el diseño establecido para los SOP. Ahora se procederá a describir cada una
de las partes de la metodología propuesta:
I. Fase 1: Identificación del Problema
I.1) Preparación. La fase de preparación ocurre antes de que se efectúe la investigación como tal.
Esto involucra un entendimiento inicial de la naturaleza del crimen y actividades, por ejemplo: la
preparación de herramientas requeridas para la investigación de dispositivos de telefonía celular,
la creación de un equipo apropiado, asignación de roles o funciones para cada personal,
preparación del equipo para el empaquetado de fuentes de evidencia, etc. Es muy importante
establecer una evaluación sobre las circunstancias relacionadas con el caso antes de proceder en
la escena del incidente. Es recomendable realizar las acciones adecuadas para contar con el
conocimiento sobre varios dispositivos móviles , accesorios, carácterísticas y temas específicos. Un
asunto crítico involucrado en la investigación de dispositivos de telefonía celular consiste en evitar
que la energía se agote antes de que la fase de recolección de evidencia se pueda concluir. Por lo
tanto, será escencial la preparación de un conjunto de herramientas que consista de cargadores
de energía y cables estándar. La investigación debe de respetar las diferentes imposiciones legales
y jurisdiccionales así como las restricciones organizacionales. Es en esta etapa en donde se
encuentran involucradas aquellas actividades que permitan obtener: ordenes de cateo, apoyo de
la administración, autorizaciones requeridas, etc. Se deben tomar en cuenta los derechos de
privacidad de las partes relacionadas con la investigación forense y, por lo tanto, se tendrá que
presentar y entregar las notificaciones legales pertinentes cuando sea necesario. En general,
ciertos factores tales como entrenamiento, educación y experiencia de los investigadores deberán
contribuir al éxito en esta fase. El contar con una minuciosa fase de preparación hará posible
96
incrementar la calidad de la evidencia y minimizar los riesgos y amenazas asociados con la
investigación. Como se puede ver, un objetivo importante de esta fase es la de desarrollar una
estrategia apropiada para la investigación, para lo cual es necesario tomar en cuenta la naturaleza
del incidente y varios factores técnicos, legales y empresariales.
I.2) Investigación Preliminar del Problema (Identificación del problema). Esta fase depende
mucho de la parte afectada, la cual es la que deberá descubrir la aparición o la ocurrencia del
incidente. Por lo tanto, esta etapa iniciará cuando el equipo de investigadores forenses reciba la
notificación de que ha ocurrido un incidente que involucre el uso de dispositivos de telefonía
celular. Parte de las acciones inciales involucrará la obtención de las características del evento:
¿cuál es el problema?, ¿cuáles son las posibles afectaciones?, si fuera posible obtener información
sobre las posibles causas, etc. Esta información servirá para crear un perfil sobre el estado inicial
del evento, el cual servirá para orientar las acciones posteriores. Otro tipo de datos útiles a
recolectar serían aquellos relacionados con la cantidad de dispositivos relacionados, el modelo y
demás características particulares.
I.3) Aseguramiento de la Escena. Esta fase se encarga principalmente de asegurar la escena del
crimen para evitar accesos no autorizados y que la evidencia sea contaminada. Debe existir un
protocolo formal para transferir a las personas encargadas la escena del crimen con el fin de
asegurarse de que se está cumpliendo adecuadamente con la cadena de custodia. Los
investigadores deben identificar la extensión del incidente y establecer un perímetro. Otros de los
objetivos en esta etapa deben ser el de garantizar la seguridad de la gente en la escena y la
protección de la integridad de toda la evidencia. Los investigadores deben tener absoluto control
de la escena y se debe evitar la posible intromisión de personas indeseadas; conforme el número
de personas en la escena del crimen se incremeta, de igual forma las posibilidades de
contaminación y de destrucción de la evidencia también aumentan. Sin embargo, no debe
realizarse un intento por determinar lo que está presente en el dispositivo o en medios de
almacenamiento externos. Los dispositivos deben dejarse en su estado actual hasta que se realice
una evaluación apropiada. Si el dispositivo está encendido, es mejor dejarlo encendido. De manera
similar, si el dispositivo esta apagado, nunca se debe de encender. A nadie se le debe permitir
entrar en contacto con algún dispositivo electrónico identificado en la escena del incidente. De
entre otras prioridades, la tarea de minimización de la corrupción o degradación de la evidencia se
debe convertir en la más sobresaliente. Cualquier objeto que pudiera convertirse en evidencia, no
97
debe ser alterado. Esta fase juega un papel trascendental dentro de todo el proceso de
investigación ya que aquí se establece la calidad de la evidencia.
I.4) Exploración y Reconocimiento. Esta etapa implica una exploración inicial conducida por los
investigadores para evaluar la escena, identificar las fuentes potenciales de evidencia y formular
un plan de búsqueda apropiado. En un entorno con condiciones complejas, esto podría no ser tan
sencillo. En el caso de equipos de telefonía celular, las principales fuentes de evidencia (después
del dispositivo mismo) son: el adaptador de poder, la base, tarjetas de memoria externas, cables y
otros accesorios. Debido a que la información presente en estos dispositivos puede ser fácilmente
sincronizada con computadoras, cualquier PC o computadora portátil en la escena del crimen
también pudiera contener evidencia. Para determinar si se requiere la intervención de algún
experto durante esta fase, se debe hacer una evaluación de los equipos electrónicos en la escena.
Es extremadamente importante identificar gente en la escena y conducir entrevistas preliminares.
Los propietarios de los dispositivos de telefonía celular pueden proporcionar información valiosa
tal como: esquemas básicos de seguridad (contraseñas PIN PUK), nombre del proveedor del
servicio, diversas aplicaciones presentes en los dispositivos, nombres de usuarios, etc. Los
investigadores deben tratar de obtener la mayor cantidad de información a partir de diversas
personas presentes en la escena o bien, relacionadas con el incidente. Si se requiriera buscar
elementos que no estén incluidos en la orden de cateo, se deben hacer los arreglos apropiados a
la orden existente o bien, se deberá obtener una nueva orden, la cual deberá incluir los elementos
adicionales. Al final de la fase de exploración y reconocimiento, debe ser desarrollado un plan
inicial para la recolección y análisis de la evidencia.
I.5) Protección de las comunicaciones. Este paso ocurre antes de la recolección de la evidencia.
Esta fase es importante, pues tal como ocurre en el análisis forense tradicional, hay un
requerimiento predominante que indica que todo elemento debe ser protegido de manera que la
interacción entre la posible fuente de evidencia y el analista durante el proceso de investigación
no altere la evidencia. En el caso de los equipos de telefonía celular, el analista enfrenta, al menos
dos escenarios generales: a) Aislar la posible comunicación entre el equipo de telefonía celular y
una computadora; y b) Aislar la interacción del dispositivo móvil con la red de trabajo inalámbrica.
Por lo tanto, es necesario encontrar técnicas o herramientas que le permitan al analista bloquear
la comunicación del dispositivo entre estos elementos (ya sea a una computadora y/o red de
trabajo).
98
I.6) Documentar el Estado de la Escena. Esta parte involucra la correcta documentación de la
escena del crimen mediante la toma de fotografías, esquematización y mapeo de la escena del
incidente. Se deben fotografiar todos los dispositivos electrónicos en la escena del crimen junto
con los adaptadores de poder, cables, bases y otros accesorios. Si el dispositivo móvil está
encendido, entonces se debe documentar lo que aparece en la pantalla. También se debe crear un
registro de todos los datos visibles que se pueda revisar en cualquier momento y, que ayude a
recrear la escena. Esto es particularmente importante cuando un especialista forense tenga que
presentar su testimonio en una corte, lo cual podría ocurrir varios meses después de iniciada la
investigación.
Se deben incluir las circunstancias que conciernen al incidente, tales como aquellas que permitan
identificar la persona que inicialmente reportó el incidente, así como la fecha y momento del
reporte. Es necesario mantener un registro de aquellas personas que estuvieron presentes en la
escena (las que llegaron, las que se fueron, etc.), junto con el resumen de sus actividades
desarrolladas mientras permanecieron en la escena. Es necesario clasificar a las personas en
grupos separados, tales como víctimas, sospechosos, espectadores, testigos, otros asistentes
personales, etc., y registrar su ubicación al momento de acceso. La documentación es una
actividad continua, requerida en todas las etapas y es definitivamente crítica para mantener una
correcta cadena de custodia.
I.7) Recolección y Preservación Física. Esta fase incluye el empaquetado, transporte y
almacenamiento de los dispositivos físicos identificados y asegurados. Se deben seguir
procedimientos apropiados y que estén documentados para asegurar que la evidencia digital
recolectada no sea alterada o destruida. Todas las fuentes potenciales de evidencia deben ser
identificadas y etiquetadas adecuadamente antes del empaquetado. El uso de bolsas ordinarias de
plástico podría causar electricidad estática. Por lo tanto, se vuelven esenciales mecanismos de
empaquetado anti-estático para la evidencia. Los dispositivos y accesorios deben ser colocados en
una envoltura y sellados antes de colocarlos dentro de las bolsas para evidencia. Las bolsas de
evidencia deben ser guardadas dentro de un contenedor que aísle las radiofrecuencias para evitar
comunicaciones posteriores con algún otro dispositivo. Todos los contenedores que guarden estas
bolsas de evidencias deben ser correctamente etiquetados. Se deben tomar precauciones
adecuadas pues la evidencia pudiera ser dañada fácilmente mientras es transportada debido a
diversos factores tales como golpes, presión excesiva, humedad o temperatura. Acto seguido, el
99
dispositivo puede ser trasladado a una ubicación segura en donde se pueda mantener una cadena
de custodia adecuada, y por lo tanto, se pueda iniciar el tratamiento e inspección de la evidencia.
La evidencia debe ser almacenada en un área segura y debe ser protegida de radiaciones
electromagnéticas, polvo, calor, humedad. Esta área debe ser restringida y solo personal
autorizado podrá acceder a la misma. La guía del NIST resalta la necesidad de procedimientos
adecuados para el almacenamiento y transporte de evidencia, y para mantener una correcta
cadena de custodia.
Número de SOP: 1 Título: Identificación del Problema Revisión número: Fecha de vigencia: Hoja 1 de 4
Procedimiento Operativo Estándar
APROBACIÓN
Elaboró Supervisó Autorizó Fecha: Fecha: Fecha:
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
a) Objetivo.
Minimizar los riesgos de que sea contaminada la evidencia que pudiera existir en una escena del
crimen para que puedan ser recolectados y transportados los dispositivos físicos a un lugar en el
que se pueda continuar con el proceso de investigación digital.
b) Alcance.
Este procedimiento inicia cuando se ha detectado el incidente y finaliza con el transporte de la
evidencia hacia el lugar designado; y de esta manera, continuar con el proceso de investigación
digital. Para poder realizar este procedimiento se asume que se ha creado un equipo responsable
de efectuar la investigación con la respectiva asignación de perfiles y, que se ha sometido al
entrenamiento adecuado para responder al incidente
c) Responsable(s).
1. Cargo: Líder de la investigación. Habilidad: Adaptar metodología. Nombre:
2. Cargo: Técnicos. Habilidad: Recolectar evidencia. Nombre:
3. Cargo: Primeros Actuantes Habilidad: Recolectar Evidencia. Nombre:
d) Definiciones. No Aplica.
Número de SOP: 1 Título: Identificación del Problema Revisión número: Fecha de vigencia: Hoja 1 de 4
Procedimiento Operativo Estándar
APROBACIÓN
Elaboró Supervisó Autorizó Fecha: Fecha: Fecha:
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
a) Objetivo.
Minimizar los riesgos de que sea contaminada la evidencia que pudiera existir en una escena del
crimen para que puedan ser recolectados y transportados los dispositivos físicos a un lugar en el
que se pueda continuar con el proceso de investigación digital.
b) Alcance.
Este procedimiento inicia cuando se ha detectado el incidente y finaliza con el transporte de la
evidencia hacia el lugar designado; y de esta manera, continuar con el proceso de investigación
digital. Para poder realizar este procedimiento se asume que se ha creado un equipo responsable
de efectuar la investigación con la respectiva asignación de perfiles y, que se ha sometido al
entrenamiento adecuado para responder al incidente
c) Responsable(s).
1. Cargo: Líder de la investigación. Habilidad: Adaptar metodología. Nombre:
2. Cargo: Técnicos. Habilidad: Recolectar evidencia. Nombre:
3. Cargo: Primeros Actuantes Habilidad: Recolectar Evidencia. Nombre:
d) Definiciones. No Aplica.
Número de SOP: 1 Título: Identificación del Problema Revisión número: Fecha de vigencia: Hoja 1 de 4
Procedimiento Operativo Estándar
APROBACIÓN
Elaboró Supervisó Autorizó Fecha: Fecha: Fecha:
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
a) Objetivo.
Minimizar los riesgos de que sea contaminada la evidencia que pudiera existir en una escena del
crimen para que puedan ser recolectados y transportados los dispositivos físicos a un lugar en el
que se pueda continuar con el proceso de investigación digital.
b) Alcance.
Este procedimiento inicia cuando se ha detectado el incidente y finaliza con el transporte de la
evidencia hacia el lugar designado; y de esta manera, continuar con el proceso de investigación
digital. Para poder realizar este procedimiento se asume que se ha creado un equipo responsable
de efectuar la investigación con la respectiva asignación de perfiles y, que se ha sometido al
entrenamiento adecuado para responder al incidente
c) Responsable(s).
1. Cargo: Líder de la investigación. Habilidad: Adaptar metodología. Nombre:
2. Cargo: Técnicos. Habilidad: Recolectar evidencia. Nombre:
3. Cargo: Primeros Actuantes Habilidad: Recolectar Evidencia. Nombre:
d) Definiciones. No Aplica.
Número de SOP: 1 Título: Identificación del Problema Revisión número: Fecha de vigencia: Hoja 2 de 4
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
e) Materiales: Hardware y Software.
Los requeridos para realizar el registro adecuado del estado de la escena del crimen. Algunos
materiales pudieran ser:
1. Etiquetas. 2. Rotuladores. 3. Cámara digital de fotografías. 4. Cámara digital de vídeo. 5. Medios de almacenamiento para los videos y fotografías. 6. Folios o PDA para realizar la documentación de evidencias y documentación de la cadena de
custodia. 7. Guantes de látex.
f) Aspectos de seguridad.
Cuando se establezca contacto con la escena del crimen se debe minimizar la posibilidad de
alteración del estado de la evidencia y tomar las precauciones adecuadas.
g) Procedimiento.
1. Preparación. 1.1. Preparar las herramientas y equipo requerido.
1.1.1. Obtener el equipo para empaquetado de la evidencia. 1.1.2. Preparar los recursos requeridos para prevenir el agotamiento de energía de los
equipos de telefonía celular. 1.2. (SI aplica) Preparar las órdenes de cateo u autorizaciones pertinentes.
2. Investigación Preliminar del Problema (Identificación del problema). 2.1. Obtener las características del evento mediante una entrevista con la parte afectada. 2.2. Si fuera posible, identificar los indicadores o precursores de los incidentes involucrados. 2.3. Crear un perfil sobre el estado inicial del evento.
3. Aseguramiento de la Escena. 3.1. Preservar toda huella digital, usar de guantes de látex. 3.2. Identificar la extensión del incidente, es decir, establecer un perímetro. 3.3. Restringir el acceso a la escena del delito.
Número de SOP: 1 Título: Identificación del Problema Revisión número: Fecha de vigencia: Hoja 2 de 4
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
e) Materiales: Hardware y Software.
Los requeridos para realizar el registro adecuado del estado de la escena del crimen. Algunos
materiales pudieran ser:
1. Etiquetas. 2. Rotuladores. 3. Cámara digital de fotografías. 4. Cámara digital de vídeo. 5. Medios de almacenamiento para los videos y fotografías. 6. Folios o PDA para realizar la documentación de evidencias y documentación de la cadena de
custodia. 7. Guantes de látex.
f) Aspectos de seguridad.
Cuando se establezca contacto con la escena del crimen se debe minimizar la posibilidad de
alteración del estado de la evidencia y tomar las precauciones adecuadas.
g) Procedimiento.
1. Preparación. 1.1. Preparar las herramientas y equipo requerido.
1.1.1. Obtener el equipo para empaquetado de la evidencia. 1.1.2. Preparar los recursos requeridos para prevenir el agotamiento de energía de los
equipos de telefonía celular. 1.2. (SI aplica) Preparar las órdenes de cateo u autorizaciones pertinentes.
2. Investigación Preliminar del Problema (Identificación del problema). 2.1. Obtener las características del evento mediante una entrevista con la parte afectada. 2.2. Si fuera posible, identificar los indicadores o precursores de los incidentes involucrados. 2.3. Crear un perfil sobre el estado inicial del evento.
3. Aseguramiento de la Escena. 3.1. Preservar toda huella digital, usar de guantes de látex. 3.2. Identificar la extensión del incidente, es decir, establecer un perímetro. 3.3. Restringir el acceso a la escena del delito.
Número de SOP: 1 Título: Identificación del Problema Revisión número: Fecha de vigencia: Hoja 2 de 4
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
e) Materiales: Hardware y Software.
Los requeridos para realizar el registro adecuado del estado de la escena del crimen. Algunos
materiales pudieran ser:
1. Etiquetas. 2. Rotuladores. 3. Cámara digital de fotografías. 4. Cámara digital de vídeo. 5. Medios de almacenamiento para los videos y fotografías. 6. Folios o PDA para realizar la documentación de evidencias y documentación de la cadena de
custodia. 7. Guantes de látex.
f) Aspectos de seguridad.
Cuando se establezca contacto con la escena del crimen se debe minimizar la posibilidad de
alteración del estado de la evidencia y tomar las precauciones adecuadas.
g) Procedimiento.
1. Preparación. 1.1. Preparar las herramientas y equipo requerido.
1.1.1. Obtener el equipo para empaquetado de la evidencia. 1.1.2. Preparar los recursos requeridos para prevenir el agotamiento de energía de los
equipos de telefonía celular. 1.2. (SI aplica) Preparar las órdenes de cateo u autorizaciones pertinentes.
2. Investigación Preliminar del Problema (Identificación del problema). 2.1. Obtener las características del evento mediante una entrevista con la parte afectada. 2.2. Si fuera posible, identificar los indicadores o precursores de los incidentes involucrados. 2.3. Crear un perfil sobre el estado inicial del evento.
3. Aseguramiento de la Escena. 3.1. Preservar toda huella digital, usar de guantes de látex. 3.2. Identificar la extensión del incidente, es decir, establecer un perímetro. 3.3. Restringir el acceso a la escena del delito.
Número de SOP: 1 Título: Identificación del Problema Revisión número: Fecha de vigencia: Hoja 3 de 4
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
3.4. Minimización la alteración de la evidencia. Es decir, dejar la escena del crimen en su estado actual.
4. Exploración y Reconocimiento. 4.1. Identificar las fuentes potenciales de evidencia. 4.2. Realizar una lista con los dispositivos involucrados en el delito e identificados en la
escena. 4.3. Identificar a propietarios de los dispositivos de telefonía celular. 4.4. (SI aplica) Obtener una nueva orden de cateo para autorizar las condiciones necesarias
para buscar elementos que no se encuentren en la orden actual. 4.5. Preparar un plan adecuado para la recolección y análisis de la evidencia.
5. Protección de las comunicaciones. 5.1. Aislar la posible comunicación entre el equipo de telefonía celular y una computadora. 5.2. Aislar la interacción del dispositivo móvil con la red de trabajo inalámbrica.
6. Documentar el Estado de la Escena. 6.1. Fotografiar, grabar y esquematizar la escena del delito. 6.2. Fotografiar todos los dispositivos electrónicos en la escena del crimen junto con los
adaptadores de poder, cables, bases y otros accesorios presentes en la escena. 6.3. Si el dispositivo móvil está encendido, entonces se debe documentar lo que aparece en la
pantalla. 6.3.1. Crear un registro de todos los datos visibles que se pueda revisar en cualquier
momento y, que ayude a recrear la escena. 6.4. Identificar y registrar los datos de la persona que inicialmente reportó el incidente. 6.5. Registrar la hora y fecha del reporte. 6.6. Mantener un registro de aquellas personas que estuvieron presentes en la escena (las
que llegaron, las que se fueron, etc.), junto con el resumen de sus actividades desarrolladas mientras que permanecieron en la escena.
6.7. Clasificar a las personas en grupos separados, tales como víctimas, sospechosos, espectadores, testigos, otros asistentes personales, etc., y registrar su ubicación al momento de acceso.
7. Recolección y Preservación Física. 7.1. Recolectar datos que no sean de una naturaleza electrónica:
7.1.1. Contraseñas escritas, manuales de hardware y software y documentos relacionados. 7.1.2. Accesorios del equipo de telefonía celular, tales como: los cables de poder, de
conexiones, etc. 7.2. Empaquetar aquellos dispositivos y materiales que han sido identificados. Los detalles
mínimos, que deben ser registrados de manera inequívoca y atribuidos a cada paquete son:
7.2.1. Identificador único.
Número de SOP: 1 Título: Identificación del Problema Revisión número: Fecha de vigencia: Hoja 3 de 4
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
3.4. Minimización la alteración de la evidencia. Es decir, dejar la escena del crimen en su estado actual.
4. Exploración y Reconocimiento. 4.1. Identificar las fuentes potenciales de evidencia. 4.2. Realizar una lista con los dispositivos involucrados en el delito e identificados en la
escena. 4.3. Identificar a propietarios de los dispositivos de telefonía celular. 4.4. (SI aplica) Obtener una nueva orden de cateo para autorizar las condiciones necesarias
para buscar elementos que no se encuentren en la orden actual. 4.5. Preparar un plan adecuado para la recolección y análisis de la evidencia.
5. Protección de las comunicaciones. 5.1. Aislar la posible comunicación entre el equipo de telefonía celular y una computadora. 5.2. Aislar la interacción del dispositivo móvil con la red de trabajo inalámbrica.
6. Documentar el Estado de la Escena. 6.1. Fotografiar, grabar y esquematizar la escena del delito. 6.2. Fotografiar todos los dispositivos electrónicos en la escena del crimen junto con los
adaptadores de poder, cables, bases y otros accesorios presentes en la escena. 6.3. Si el dispositivo móvil está encendido, entonces se debe documentar lo que aparece en la
pantalla. 6.3.1. Crear un registro de todos los datos visibles que se pueda revisar en cualquier
momento y, que ayude a recrear la escena. 6.4. Identificar y registrar los datos de la persona que inicialmente reportó el incidente. 6.5. Registrar la hora y fecha del reporte. 6.6. Mantener un registro de aquellas personas que estuvieron presentes en la escena (las
que llegaron, las que se fueron, etc.), junto con el resumen de sus actividades desarrolladas mientras que permanecieron en la escena.
6.7. Clasificar a las personas en grupos separados, tales como víctimas, sospechosos, espectadores, testigos, otros asistentes personales, etc., y registrar su ubicación al momento de acceso.
7. Recolección y Preservación Física. 7.1. Recolectar datos que no sean de una naturaleza electrónica:
7.1.1. Contraseñas escritas, manuales de hardware y software y documentos relacionados. 7.1.2. Accesorios del equipo de telefonía celular, tales como: los cables de poder, de
conexiones, etc. 7.2. Empaquetar aquellos dispositivos y materiales que han sido identificados. Los detalles
mínimos, que deben ser registrados de manera inequívoca y atribuidos a cada paquete son:
7.2.1. Identificador único.
Número de SOP: 1 Título: Identificación del Problema Revisión número: Fecha de vigencia: Hoja 3 de 4
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
3.4. Minimización la alteración de la evidencia. Es decir, dejar la escena del crimen en su estado actual.
4. Exploración y Reconocimiento. 4.1. Identificar las fuentes potenciales de evidencia. 4.2. Realizar una lista con los dispositivos involucrados en el delito e identificados en la
escena. 4.3. Identificar a propietarios de los dispositivos de telefonía celular. 4.4. (SI aplica) Obtener una nueva orden de cateo para autorizar las condiciones necesarias
para buscar elementos que no se encuentren en la orden actual. 4.5. Preparar un plan adecuado para la recolección y análisis de la evidencia.
5. Protección de las comunicaciones. 5.1. Aislar la posible comunicación entre el equipo de telefonía celular y una computadora. 5.2. Aislar la interacción del dispositivo móvil con la red de trabajo inalámbrica.
6. Documentar el Estado de la Escena. 6.1. Fotografiar, grabar y esquematizar la escena del delito. 6.2. Fotografiar todos los dispositivos electrónicos en la escena del crimen junto con los
adaptadores de poder, cables, bases y otros accesorios presentes en la escena. 6.3. Si el dispositivo móvil está encendido, entonces se debe documentar lo que aparece en la
pantalla. 6.3.1. Crear un registro de todos los datos visibles que se pueda revisar en cualquier
momento y, que ayude a recrear la escena. 6.4. Identificar y registrar los datos de la persona que inicialmente reportó el incidente. 6.5. Registrar la hora y fecha del reporte. 6.6. Mantener un registro de aquellas personas que estuvieron presentes en la escena (las
que llegaron, las que se fueron, etc.), junto con el resumen de sus actividades desarrolladas mientras que permanecieron en la escena.
6.7. Clasificar a las personas en grupos separados, tales como víctimas, sospechosos, espectadores, testigos, otros asistentes personales, etc., y registrar su ubicación al momento de acceso.
7. Recolección y Preservación Física. 7.1. Recolectar datos que no sean de una naturaleza electrónica:
7.1.1. Contraseñas escritas, manuales de hardware y software y documentos relacionados. 7.1.2. Accesorios del equipo de telefonía celular, tales como: los cables de poder, de
conexiones, etc. 7.2. Empaquetar aquellos dispositivos y materiales que han sido identificados. Los detalles
mínimos, que deben ser registrados de manera inequívoca y atribuidos a cada paquete son:
7.2.1. Identificador único.
Número de SOP: 1 Título: Identificación del Problema Revisión número: Fecha de vigencia: Hoja 4 de 4
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
7.2.2. Nombre de la persona y organización (fuerza de la policía, departamento, técnico, etc.) responsable de la recolección y empaquetado del material.
7.2.3. Breve descripción del material. 7.2.4. Localización desde dónde y a quién fue incautado. 7.2.5. Día y hora de la incautación.
7.3. Almacenar los dispositivos que lo requieran en bolsas antiestáticas. 7.4. Colocar las bolsas antiestáticas en cajas cuyo interior podamos rellenar con “plásticos
con burbujas” u otro material protector. 7.5. Transportar los dispositivos y materiales que contiene las evidencias. Toda evidencia debe
ser transportada a un lugar seguro y cerrado. 7.5.1. Mantener la cadena de custodia meticulosamente durante el transporte.
h) Referencias.
González, David, et. al. Código de prácticas para digital forensics. [Online] Noviembre 2003.
http://cp4df.sourceforge.net/.
Association of Chief Police Officers (ACPO), et. al. Good Practice Guide for Computer-Based
Electronic Evidence. [Online]
www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf.
Hagy W. David, et. al. (NIJ). Electronic Crime Scene Investigation: A Guide for First Responders,
Second Edition. [Online] Abril 2008. http://www.ojp.usdoj.gov/nij/pubs-sum/219941.htm.
Jansen, Wayne, et. al., NIST. Guidelines on Cell Phone Forensics. [Online] Mayo 2007. [Cited:
Agosto 20, 2007.] http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf.
Fin
Número de SOP: 1 Título: Identificación del Problema Revisión número: Fecha de vigencia: Hoja 4 de 4
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
7.2.2. Nombre de la persona y organización (fuerza de la policía, departamento, técnico, etc.) responsable de la recolección y empaquetado del material.
7.2.3. Breve descripción del material. 7.2.4. Localización desde dónde y a quién fue incautado. 7.2.5. Día y hora de la incautación.
7.3. Almacenar los dispositivos que lo requieran en bolsas antiestáticas. 7.4. Colocar las bolsas antiestáticas en cajas cuyo interior podamos rellenar con “plásticos
con burbujas” u otro material protector. 7.5. Transportar los dispositivos y materiales que contiene las evidencias. Toda evidencia debe
ser transportada a un lugar seguro y cerrado. 7.5.1. Mantener la cadena de custodia meticulosamente durante el transporte.
h) Referencias.
González, David, et. al. Código de prácticas para digital forensics. [Online] Noviembre 2003.
http://cp4df.sourceforge.net/.
Association of Chief Police Officers (ACPO), et. al. Good Practice Guide for Computer-Based
Electronic Evidence. [Online]
www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf.
Hagy W. David, et. al. (NIJ). Electronic Crime Scene Investigation: A Guide for First Responders,
Second Edition. [Online] Abril 2008. http://www.ojp.usdoj.gov/nij/pubs-sum/219941.htm.
Jansen, Wayne, et. al., NIST. Guidelines on Cell Phone Forensics. [Online] Mayo 2007. [Cited:
Agosto 20, 2007.] http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf.
Fin
Número de SOP: 1 Título: Identificación del Problema Revisión número: Fecha de vigencia: Hoja 4 de 4
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
7.2.2. Nombre de la persona y organización (fuerza de la policía, departamento, técnico, etc.) responsable de la recolección y empaquetado del material.
7.2.3. Breve descripción del material. 7.2.4. Localización desde dónde y a quién fue incautado. 7.2.5. Día y hora de la incautación.
7.3. Almacenar los dispositivos que lo requieran en bolsas antiestáticas. 7.4. Colocar las bolsas antiestáticas en cajas cuyo interior podamos rellenar con “plásticos
con burbujas” u otro material protector. 7.5. Transportar los dispositivos y materiales que contiene las evidencias. Toda evidencia debe
ser transportada a un lugar seguro y cerrado. 7.5.1. Mantener la cadena de custodia meticulosamente durante el transporte.
h) Referencias.
González, David, et. al. Código de prácticas para digital forensics. [Online] Noviembre 2003.
http://cp4df.sourceforge.net/.
Association of Chief Police Officers (ACPO), et. al. Good Practice Guide for Computer-Based
Electronic Evidence. [Online]
www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf.
Hagy W. David, et. al. (NIJ). Electronic Crime Scene Investigation: A Guide for First Responders,
Second Edition. [Online] Abril 2008. http://www.ojp.usdoj.gov/nij/pubs-sum/219941.htm.
Jansen, Wayne, et. al., NIST. Guidelines on Cell Phone Forensics. [Online] Mayo 2007. [Cited:
Agosto 20, 2007.] http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf.
Fin
104
II Fase 2: Búsqueda de la Evidencia.
II.1) Recolección de Evidencia Volátil. De acuerdo a lo presentado en el Capítulo 3, sección 3.3, en
aquellos teléfonos con herencia de PDAs, el usuario pudiera crear archivos que se almacenen
temporalmente en la RAM, para luego ser guardados en la ROM. Si el nivel de energía de la batería
se agota, la información de la RAM se puede perder. Para evitar lo anterior, se necesita mantener
el nivel adecuado de energía utilizando el cargador de corriente. En caso de que no fuera posible
garantizar el nivel adecuado de energía para mantener activo al dispositivo, se debe crear
entonces y lo más pronto posible, una imagen del contenido de la memoria usando las
herramientas apropiadas. Device Seizure de Paraben es una de las principales herramientas
forenses comerciales recomendadas, la cual puede ser utilizada para la adquisición de la memoria.
Aunque para obtener mejores resultados, se debe combinar el uso de varias herramientas.
II.2) Recolección de Evidencia No Volátil. Esta fase consiste de la recolección de la evidencia
almacenada, de por lo menos, los siguientes componentes: a) Memoria interna del equipo móvil
(ROM), b) Medios de almacenamiento externos soportados por estos dispositivos, tal como
tarjetas MMC, tarjetas Compact Flash (CF), memory sticks, tarjetas Secure Digital (SD), USB
memory sticks, etc., c) Evidencia almacenada en la tarjeta SIM. Además de los componentes
básicos anteriores, puede ser necesario realizar la recolección de evidencia almacenada en una
computadora, la cual pudiera estar sincronizada con el dispositivo móvil. Para realizar la
recolección se deben usar herramientas forenses apropiadas y, de esta manera, asegurar su
admisibilidad en una corte. A parte de los componentes que almacenan evidencia digital, también
se debe considerar la búsqueda de aquella evidencia que no sea de una naturaleza electrónica, tal
como contraseñas escritas, manuales de hardware y software y documentos relacionados,
impresiones de computadoras, etc. así como de los accesorios del equipo de telefonía celular,
tales como: los cables de poder, de conexiones, etc.
II.3) Validación de la Evidencia Recolectada. Aunque la validación de la evidencia digital
recolectada se presenta como una fase aparte, esta debe realizarse mientras es recolectada (tanto
para la evidencia volátil como no volátil). La integridad y autenticidad de la evidencia recolectada
debe ser asegurada a través de mecanismos como el hashing, protección de escritura, etc.
105
II.4) Aplicación de la cadena de custodia a la evidencia recolectada. Esta actividad se ha separado
dada su importancia. En la práctica se deberá realizar durante todo el proceso de investigación
digital. La cadena de custodia protegerá a la evidencia mediante una documentación apropiada. Lo
anterior evitará que se generen argumentos que proclamen que la evidencia ha sido modificada o
alterada durante el proceso de la investigación. Se recomienda utilizar un formulario que
identifique las acciones realizadas sobre la evidencia, el responsable de esas acciones y el
momento en que se realizaron. De esta manera, no deberán existir dudas sobre quién ha tenido
acceso a la evidencia y cuándo. Por ejemplo, cuando la evidencia es enviada para inspección y
regresada, la fecha, hora, nombre del investigador y otros detalles deben ser documentados para
cada uno de estos momentos. Se requiere probar que la evidencia no haya sido alterada después
de que haya estado en posesión del especialista forense. Por lo tanto, aquí también son usadas las
técnicas hashing para comprobar la integridad de los datos.
Número de SOP: 2 Título: Búsqueda de la Evidencia Revisión número: Fecha de vigencia: Hoja 1 de 6
Procedimiento Operativo Estándar
APROBACIÓN
Elaboró Supervisó Autorizó Fecha: Fecha: Fecha:
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
a) Objetivo.
Identificar las posibles fuentes de evidencia en los dispositivos asegurados. Una vez identificadas
se podrá realizar la recolección de datos para preservarlos y tenerlos preparados para la fase de
Generación y Validación de Hipótesis. Esta recolección de datos deberá lograrse a pesar de que el
dispositivo tenga o no la capacidad de establecer comunicación entre la computadora encargada
de extraer los datos.
b) Alcance. La recolección a través de la herramienta forense solo podrá realizarse cuando: a) El
equipo de telefonía celular tenga la capacidad de establecer comunicación con la computadora
encargada del análisis y, b) La herramienta forense pueda interactuar con el equipo de
telefonía celular. En caso contrario, deberán registrarse los datos mostrados en la pantalla del
equipo de telefonía celular con apoyo de cámaras digitales.
c) Responsable(s).
Cargo: Líder de la investigación. Habilidad: Adaptar metodología. Nombre:
Cargo: Técnicos. Habilidad: Recolectar evidencia. Nombre:
Cargo: Custodios. Habilidad: Vigilar, documentar evidencia. Nombre:
Cargo: Inspectores Habilidad: Localizar Evidencia. Nombre:
Número de SOP: 2 Título: Búsqueda de la Evidencia Revisión número: Fecha de vigencia: Hoja 1 de 6
Procedimiento Operativo Estándar
APROBACIÓN
Elaboró Supervisó Autorizó Fecha: Fecha: Fecha:
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
a) Objetivo.
Identificar las posibles fuentes de evidencia en los dispositivos asegurados. Una vez identificadas
se podrá realizar la recolección de datos para preservarlos y tenerlos preparados para la fase de
Generación y Validación de Hipótesis. Esta recolección de datos deberá lograrse a pesar de que el
dispositivo tenga o no la capacidad de establecer comunicación entre la computadora encargada
de extraer los datos.
b) Alcance. La recolección a través de la herramienta forense solo podrá realizarse cuando: a) El
equipo de telefonía celular tenga la capacidad de establecer comunicación con la computadora
encargada del análisis y, b) La herramienta forense pueda interactuar con el equipo de
telefonía celular. En caso contrario, deberán registrarse los datos mostrados en la pantalla del
equipo de telefonía celular con apoyo de cámaras digitales.
c) Responsable(s).
Cargo: Líder de la investigación. Habilidad: Adaptar metodología. Nombre:
Cargo: Técnicos. Habilidad: Recolectar evidencia. Nombre:
Cargo: Custodios. Habilidad: Vigilar, documentar evidencia. Nombre:
Cargo: Inspectores Habilidad: Localizar Evidencia. Nombre:
Número de SOP: 2 Título: Búsqueda de la Evidencia Revisión número: Fecha de vigencia: Hoja 1 de 6
Procedimiento Operativo Estándar
APROBACIÓN
Elaboró Supervisó Autorizó Fecha: Fecha: Fecha:
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
a) Objetivo.
Identificar las posibles fuentes de evidencia en los dispositivos asegurados. Una vez identificadas
se podrá realizar la recolección de datos para preservarlos y tenerlos preparados para la fase de
Generación y Validación de Hipótesis. Esta recolección de datos deberá lograrse a pesar de que el
dispositivo tenga o no la capacidad de establecer comunicación entre la computadora encargada
de extraer los datos.
b) Alcance. La recolección a través de la herramienta forense solo podrá realizarse cuando: a) El
equipo de telefonía celular tenga la capacidad de establecer comunicación con la computadora
encargada del análisis y, b) La herramienta forense pueda interactuar con el equipo de
telefonía celular. En caso contrario, deberán registrarse los datos mostrados en la pantalla del
equipo de telefonía celular con apoyo de cámaras digitales.
c) Responsable(s).
Cargo: Líder de la investigación. Habilidad: Adaptar metodología. Nombre:
Cargo: Técnicos. Habilidad: Recolectar evidencia. Nombre:
Cargo: Custodios. Habilidad: Vigilar, documentar evidencia. Nombre:
Cargo: Inspectores Habilidad: Localizar Evidencia. Nombre:
Número de SOP: 2 Título: Búsqueda de la Evidencia Revisión número: Fecha de vigencia: Hoja 2 de 6
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
d) Definiciones. No Aplica.
e) Materiales: Hardware y Software.
El siguiente equipo y materiales pudieran ser utilizados y su intervención queda a discreción del
inspector basado en la evidencia presentada:
Computadora para análisis. Cable para energizar el equipo. Adaptador de puerto serial a USB Cables propietarios adecuados. Cable para la comunicación de datos o base Lectora de Tarjeta SIM. Equipo para la aislar las comunicaciones. Software suministrado por el fabricante que esté relacionado con el dispositivo Software Forense (Paraben Device Seizure, Data Pilot, Data Pilot Secure View,
MobilEdit!,etc.)
f) Aspectos de seguridad.
Si los dispositivos electrónicos son conectados inapropiadamente pudiera producirse un corto
circuito. Lo anterior pudiera dañar al dispositivo y consecuentemente se pudiera perder
evidencia.
g) Procedimiento.
1. Realizar una inspección inicial del equipo de telefonía celular para identificar aquellos elementos que resulten de interés. 1.1. Documentar cualquier tipo de información sobre el fabricante (Por ejemplo, número de
modelo y número serial). 1.2. Documentar información relevante del sistema o del usuario. Si es necesario, se
recomienda consultar el manual de usuario del equipo de telefonía celular.
Número de SOP: 2 Título: Búsqueda de la Evidencia Revisión número: Fecha de vigencia: Hoja 2 de 6
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
d) Definiciones. No Aplica.
e) Materiales: Hardware y Software.
El siguiente equipo y materiales pudieran ser utilizados y su intervención queda a discreción del
inspector basado en la evidencia presentada:
Computadora para análisis. Cable para energizar el equipo. Adaptador de puerto serial a USB Cables propietarios adecuados. Cable para la comunicación de datos o base Lectora de Tarjeta SIM. Equipo para la aislar las comunicaciones. Software suministrado por el fabricante que esté relacionado con el dispositivo Software Forense (Paraben Device Seizure, Data Pilot, Data Pilot Secure View,
MobilEdit!,etc.)
f) Aspectos de seguridad.
Si los dispositivos electrónicos son conectados inapropiadamente pudiera producirse un corto
circuito. Lo anterior pudiera dañar al dispositivo y consecuentemente se pudiera perder
evidencia.
g) Procedimiento.
1. Realizar una inspección inicial del equipo de telefonía celular para identificar aquellos elementos que resulten de interés. 1.1. Documentar cualquier tipo de información sobre el fabricante (Por ejemplo, número de
modelo y número serial). 1.2. Documentar información relevante del sistema o del usuario. Si es necesario, se
recomienda consultar el manual de usuario del equipo de telefonía celular.
Número de SOP: 2 Título: Búsqueda de la Evidencia Revisión número: Fecha de vigencia: Hoja 2 de 6
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
d) Definiciones. No Aplica.
e) Materiales: Hardware y Software.
El siguiente equipo y materiales pudieran ser utilizados y su intervención queda a discreción del
inspector basado en la evidencia presentada:
Computadora para análisis. Cable para energizar el equipo. Adaptador de puerto serial a USB Cables propietarios adecuados. Cable para la comunicación de datos o base Lectora de Tarjeta SIM. Equipo para la aislar las comunicaciones. Software suministrado por el fabricante que esté relacionado con el dispositivo Software Forense (Paraben Device Seizure, Data Pilot, Data Pilot Secure View,
MobilEdit!,etc.)
f) Aspectos de seguridad.
Si los dispositivos electrónicos son conectados inapropiadamente pudiera producirse un corto
circuito. Lo anterior pudiera dañar al dispositivo y consecuentemente se pudiera perder
evidencia.
g) Procedimiento.
1. Realizar una inspección inicial del equipo de telefonía celular para identificar aquellos elementos que resulten de interés. 1.1. Documentar cualquier tipo de información sobre el fabricante (Por ejemplo, número de
modelo y número serial). 1.2. Documentar información relevante del sistema o del usuario. Si es necesario, se
recomienda consultar el manual de usuario del equipo de telefonía celular.
Número de SOP: 2 Título: Búsqueda de la Evidencia Revisión número: Fecha de vigencia: Hoja 3 de 6
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
2. Se recomienda aislar las comunicaciones RF durante la inspección-análisis del equipo de telefonía celular. Si es posible, se recomienda someter al dispositivo a un equipo aislante de RF.
3. Asegurarse que la computadora para el análisis está apagada. 4. Encender la computadora para el análisis y asegurarse que pasa las pruebas de verificación de
desempeño. 5. Instalar los componentes de software para interactuar correctamente con el dispositivo. 6. Conectar el equipo de telefonía celular a la computadora encargada del análisis utilizando en
cable de datos u otro medio aceptado por el dispositivo. 7. Preparar las herramientas forenses de telefonía celular instaladas en la computadora. 8. Recolectar Evidencia Volátil.
8.1. Mediante las aplicaciones, recolectar los datos que pudieran perderse al apagarse el dispositivo.
8.2. Mantener el nivel adecuado de energía utilizando el cargador de corriente. 8.3. Si no es posible garantizar el nivel adecuado de energía del dispositivo. Crear
inmediatamente una imagen del contenido de la memoria usando las herramientas apropiadas (para obtener mejores resultados, se debe combinar el uso de varias herramientas).
9. Recolectar Evidencia No Volátil. 9.1. Mediante las aplicaciones, recolectar los datos del usuario almacenados en el dispositivo
Se debe recolectar los datos almacenados en: 9.1.1. Memoria interna del Equipo Móvil (ROM):
9.1.1.1. Identificadores del suscriptor y equipo. 9.1.1.2. Fecha-hora, idioma, y otras configuraciones. 9.1.1.3. Información de directorio. 9.1.1.4. Citas calendarizadas. 9.1.1.5. Correo electrónico. 9.1.1.6. Fotos. 9.1.1.7. Grabaciones de audio y video. 9.1.1.8. Mensajes multimedia. 9.1.1.9. Mensajería instantánea y Web. 9.1.1.10. Documentos electrónicos. 9.1.1.11. Información de ubicación.
9.1.2. (Si aplica) Extraer la tarjeta SIM y transferir los datos de usuario que estén almacenados en su memoria la computadora encargada del análisis. Esto se deberá realizar utilizando los elementos apropiados: Lectora de tarjeta SIM, así como el software y hardware adicional requerido para establecer la correcta comunicación entre estos componentes En una computadora, la cual pudiera
Número de SOP: 2 Título: Búsqueda de la Evidencia Revisión número: Fecha de vigencia: Hoja 3 de 6
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
2. Se recomienda aislar las comunicaciones RF durante la inspección-análisis del equipo de telefonía celular. Si es posible, se recomienda someter al dispositivo a un equipo aislante de RF.
3. Asegurarse que la computadora para el análisis está apagada. 4. Encender la computadora para el análisis y asegurarse que pasa las pruebas de verificación de
desempeño. 5. Instalar los componentes de software para interactuar correctamente con el dispositivo. 6. Conectar el equipo de telefonía celular a la computadora encargada del análisis utilizando en
cable de datos u otro medio aceptado por el dispositivo. 7. Preparar las herramientas forenses de telefonía celular instaladas en la computadora. 8. Recolectar Evidencia Volátil.
8.1. Mediante las aplicaciones, recolectar los datos que pudieran perderse al apagarse el dispositivo.
8.2. Mantener el nivel adecuado de energía utilizando el cargador de corriente. 8.3. Si no es posible garantizar el nivel adecuado de energía del dispositivo. Crear
inmediatamente una imagen del contenido de la memoria usando las herramientas apropiadas (para obtener mejores resultados, se debe combinar el uso de varias herramientas).
9. Recolectar Evidencia No Volátil. 9.1. Mediante las aplicaciones, recolectar los datos del usuario almacenados en el dispositivo
Se debe recolectar los datos almacenados en: 9.1.1. Memoria interna del Equipo Móvil (ROM):
9.1.1.1. Identificadores del suscriptor y equipo. 9.1.1.2. Fecha-hora, idioma, y otras configuraciones. 9.1.1.3. Información de directorio. 9.1.1.4. Citas calendarizadas. 9.1.1.5. Correo electrónico. 9.1.1.6. Fotos. 9.1.1.7. Grabaciones de audio y video. 9.1.1.8. Mensajes multimedia. 9.1.1.9. Mensajería instantánea y Web. 9.1.1.10. Documentos electrónicos. 9.1.1.11. Información de ubicación.
9.1.2. (Si aplica) Extraer la tarjeta SIM y transferir los datos de usuario que estén almacenados en su memoria la computadora encargada del análisis. Esto se deberá realizar utilizando los elementos apropiados: Lectora de tarjeta SIM, así como el software y hardware adicional requerido para establecer la correcta comunicación entre estos componentes En una computadora, la cual pudiera
Número de SOP: 2 Título: Búsqueda de la Evidencia Revisión número: Fecha de vigencia: Hoja 3 de 6
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
2. Se recomienda aislar las comunicaciones RF durante la inspección-análisis del equipo de telefonía celular. Si es posible, se recomienda someter al dispositivo a un equipo aislante de RF.
3. Asegurarse que la computadora para el análisis está apagada. 4. Encender la computadora para el análisis y asegurarse que pasa las pruebas de verificación de
desempeño. 5. Instalar los componentes de software para interactuar correctamente con el dispositivo. 6. Conectar el equipo de telefonía celular a la computadora encargada del análisis utilizando en
cable de datos u otro medio aceptado por el dispositivo. 7. Preparar las herramientas forenses de telefonía celular instaladas en la computadora. 8. Recolectar Evidencia Volátil.
8.1. Mediante las aplicaciones, recolectar los datos que pudieran perderse al apagarse el dispositivo.
8.2. Mantener el nivel adecuado de energía utilizando el cargador de corriente. 8.3. Si no es posible garantizar el nivel adecuado de energía del dispositivo. Crear
inmediatamente una imagen del contenido de la memoria usando las herramientas apropiadas (para obtener mejores resultados, se debe combinar el uso de varias herramientas).
9. Recolectar Evidencia No Volátil. 9.1. Mediante las aplicaciones, recolectar los datos del usuario almacenados en el dispositivo
Se debe recolectar los datos almacenados en: 9.1.1. Memoria interna del Equipo Móvil (ROM):
9.1.1.1. Identificadores del suscriptor y equipo. 9.1.1.2. Fecha-hora, idioma, y otras configuraciones. 9.1.1.3. Información de directorio. 9.1.1.4. Citas calendarizadas. 9.1.1.5. Correo electrónico. 9.1.1.6. Fotos. 9.1.1.7. Grabaciones de audio y video. 9.1.1.8. Mensajes multimedia. 9.1.1.9. Mensajería instantánea y Web. 9.1.1.10. Documentos electrónicos. 9.1.1.11. Información de ubicación.
9.1.2. (Si aplica) Extraer la tarjeta SIM y transferir los datos de usuario que estén almacenados en su memoria la computadora encargada del análisis. Esto se deberá realizar utilizando los elementos apropiados: Lectora de tarjeta SIM, así como el software y hardware adicional requerido para establecer la correcta comunicación entre estos componentes En una computadora, la cual pudiera
Número de SOP: 2 Título: Búsqueda de la Evidencia Revisión número: Fecha de vigencia: Hoja 4 de 6
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
estar sincronizada con el dispositivo móvil. Posibles datos que pueden ser recolectados son:
9.1.2.1. Información relacionada con el servicio: 9.1.2.1.1. ICCID (Integrated Circuit Card Identification). 9.1.2.1.2. IMSI (International Mobile Subscriber Identity). 9.1.2.1.3. MSISDN (Mobile Station International Subscriber Directory
Number). 9.1.2.1.4. SPN (Service Provider Name). 9.1.2.1.5. SDN (Service Dialling Numbers).
9.1.2.2. Información de Directorio y de llamadas: 9.1.2.2.1. ADN (Abbreviated Dialling Numbers). 9.1.2.2.2. LND (Last Numbers Dialled).
9.1.2.3. Información de Mensajería: 9.1.2.3.1. SMS (Short Message Service). 9.1.2.3.2. EMS (Servicio de Mensajería Mejorado).
9.1.2.4. Información de Localización: 9.1.2.5. Información de Localización (LOCI).
9.1.3. Medios de almacenamiento externos soportados por estos dispositivos, tal como: tarjetas MMC, tarjetas Compact Flash (CF), memory sticks, tarjetas Secure Digital (SD), USB memory sticks, etc.
9.1.4. (Si aplica) Conectar el extremo de un cable a la entrada del auricular del equipo de telefonía celular y el otro extremo al puerto de audio de entrada (line-in) de la computadora encargada del análisis. Esto servirá para grabar todo el audio de voz almacenado en el equipo de telefonía celular y salvarlo en la computadora.
9.1.5. Comparar visualmente los registros de usuario presentados en la pantalla del equipo de telefonía celular con los registros transferidos a la computadora (o en su caso, compararlos auditivamente, si aplica). Documentar la comparación en las notas de la inspección-análisis. Si la extracción de datos está incompleta puede ser necesario realizar nuevamente los pasos 6,7 y 8 o bien si existiera otro dispositivo diferente.
9.2. Guardar los archivos lógicos a un medio de almacenamiento que se encuentre vacío. Este medio tendrá que haber sido sometido tanto a operaciones apropiadas de formateo como de borrado seguro.
9.3. Si es necesario, se deberán realizar inspecciones-análisis adicionales a los archivos lógicos, los cuales deberán estar protegidos contra escritura.
10. Fotografiar o crear un video que grabe los datos adicionales relacionados con el usuario que no pudieron ser transferidos a través de las herramientas de software forenses.
11. Todos los datos recuperados deben quedar documentados a través de notas, que pueden realizarse de manera manual o a través de fotografías u hojas impresas.
Número de SOP: 2 Título: Búsqueda de la Evidencia Revisión número: Fecha de vigencia: Hoja 4 de 6
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
estar sincronizada con el dispositivo móvil. Posibles datos que pueden ser recolectados son:
9.1.2.1. Información relacionada con el servicio: 9.1.2.1.1. ICCID (Integrated Circuit Card Identification). 9.1.2.1.2. IMSI (International Mobile Subscriber Identity). 9.1.2.1.3. MSISDN (Mobile Station International Subscriber Directory
Number). 9.1.2.1.4. SPN (Service Provider Name). 9.1.2.1.5. SDN (Service Dialling Numbers).
9.1.2.2. Información de Directorio y de llamadas: 9.1.2.2.1. ADN (Abbreviated Dialling Numbers). 9.1.2.2.2. LND (Last Numbers Dialled).
9.1.2.3. Información de Mensajería: 9.1.2.3.1. SMS (Short Message Service). 9.1.2.3.2. EMS (Servicio de Mensajería Mejorado).
9.1.2.4. Información de Localización: 9.1.2.5. Información de Localización (LOCI).
9.1.3. Medios de almacenamiento externos soportados por estos dispositivos, tal como: tarjetas MMC, tarjetas Compact Flash (CF), memory sticks, tarjetas Secure Digital (SD), USB memory sticks, etc.
9.1.4. (Si aplica) Conectar el extremo de un cable a la entrada del auricular del equipo de telefonía celular y el otro extremo al puerto de audio de entrada (line-in) de la computadora encargada del análisis. Esto servirá para grabar todo el audio de voz almacenado en el equipo de telefonía celular y salvarlo en la computadora.
9.1.5. Comparar visualmente los registros de usuario presentados en la pantalla del equipo de telefonía celular con los registros transferidos a la computadora (o en su caso, compararlos auditivamente, si aplica). Documentar la comparación en las notas de la inspección-análisis. Si la extracción de datos está incompleta puede ser necesario realizar nuevamente los pasos 6,7 y 8 o bien si existiera otro dispositivo diferente.
9.2. Guardar los archivos lógicos a un medio de almacenamiento que se encuentre vacío. Este medio tendrá que haber sido sometido tanto a operaciones apropiadas de formateo como de borrado seguro.
9.3. Si es necesario, se deberán realizar inspecciones-análisis adicionales a los archivos lógicos, los cuales deberán estar protegidos contra escritura.
10. Fotografiar o crear un video que grabe los datos adicionales relacionados con el usuario que no pudieron ser transferidos a través de las herramientas de software forenses.
11. Todos los datos recuperados deben quedar documentados a través de notas, que pueden realizarse de manera manual o a través de fotografías u hojas impresas.
Número de SOP: 2 Título: Búsqueda de la Evidencia Revisión número: Fecha de vigencia: Hoja 4 de 6
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
estar sincronizada con el dispositivo móvil. Posibles datos que pueden ser recolectados son:
9.1.2.1. Información relacionada con el servicio: 9.1.2.1.1. ICCID (Integrated Circuit Card Identification). 9.1.2.1.2. IMSI (International Mobile Subscriber Identity). 9.1.2.1.3. MSISDN (Mobile Station International Subscriber Directory
Number). 9.1.2.1.4. SPN (Service Provider Name). 9.1.2.1.5. SDN (Service Dialling Numbers).
9.1.2.2. Información de Directorio y de llamadas: 9.1.2.2.1. ADN (Abbreviated Dialling Numbers). 9.1.2.2.2. LND (Last Numbers Dialled).
9.1.2.3. Información de Mensajería: 9.1.2.3.1. SMS (Short Message Service). 9.1.2.3.2. EMS (Servicio de Mensajería Mejorado).
9.1.2.4. Información de Localización: 9.1.2.5. Información de Localización (LOCI).
9.1.3. Medios de almacenamiento externos soportados por estos dispositivos, tal como: tarjetas MMC, tarjetas Compact Flash (CF), memory sticks, tarjetas Secure Digital (SD), USB memory sticks, etc.
9.1.4. (Si aplica) Conectar el extremo de un cable a la entrada del auricular del equipo de telefonía celular y el otro extremo al puerto de audio de entrada (line-in) de la computadora encargada del análisis. Esto servirá para grabar todo el audio de voz almacenado en el equipo de telefonía celular y salvarlo en la computadora.
9.1.5. Comparar visualmente los registros de usuario presentados en la pantalla del equipo de telefonía celular con los registros transferidos a la computadora (o en su caso, compararlos auditivamente, si aplica). Documentar la comparación en las notas de la inspección-análisis. Si la extracción de datos está incompleta puede ser necesario realizar nuevamente los pasos 6,7 y 8 o bien si existiera otro dispositivo diferente.
9.2. Guardar los archivos lógicos a un medio de almacenamiento que se encuentre vacío. Este medio tendrá que haber sido sometido tanto a operaciones apropiadas de formateo como de borrado seguro.
9.3. Si es necesario, se deberán realizar inspecciones-análisis adicionales a los archivos lógicos, los cuales deberán estar protegidos contra escritura.
10. Fotografiar o crear un video que grabe los datos adicionales relacionados con el usuario que no pudieron ser transferidos a través de las herramientas de software forenses.
11. Todos los datos recuperados deben quedar documentados a través de notas, que pueden realizarse de manera manual o a través de fotografías u hojas impresas.
Número de SOP: 2 Título: Búsqueda de la Evidencia Revisión número: Fecha de vigencia: Hoja 5 de 6
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
12. Validar la Evidencia Recolectada. 12.1. Generar un hash para los datos recolectados a través un programa que sea capaz de
calcularlo. 13. Aplicar la cadena de custodia a la evidencia recolectada.
13.1. Utilizar un formulario en el cual se puedan registrar, por lo menos, los siguientes aspectos:
13.1.1. Perfil. 13.1.2. Nombres completos de las personas involucradas. 13.1.3. Actividad realizada sobre la evidencia. 13.1.4. Fecha y hora de realización. 13.1.5. Código de caso. 13.1.6. Identificador de evidencia. 13.1.7. Firmas.
h) Referencias.
González, David, et. al. Código de prácticas para digital forensics. [Online] Noviembre 2003.
http://cp4df.sourceforge.net/.
Association of Chief Police Officers (ACPO), et. al. Good Practice Guide for Computer-Based
Electronic Evidence. [Online]
www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf.
Hagy W. David, et. al. (NIJ). Electronic Crime Scene Investigation: A Guide for First Responders,
Second Edition. [Online] Abril 2008. http://www.ojp.usdoj.gov/nij/pubs-sum/219941.htm.
Jansen, Wayne, et. al., NIST. Guidelines on Cell Phone Forensics. [Online] Mayo 2007. [Cited:
Agosto 20, 2007.] http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf.
Número de SOP: 2 Título: Búsqueda de la Evidencia Revisión número: Fecha de vigencia: Hoja 5 de 6
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
12. Validar la Evidencia Recolectada. 12.1. Generar un hash para los datos recolectados a través un programa que sea capaz de
calcularlo. 13. Aplicar la cadena de custodia a la evidencia recolectada.
13.1. Utilizar un formulario en el cual se puedan registrar, por lo menos, los siguientes aspectos:
13.1.1. Perfil. 13.1.2. Nombres completos de las personas involucradas. 13.1.3. Actividad realizada sobre la evidencia. 13.1.4. Fecha y hora de realización. 13.1.5. Código de caso. 13.1.6. Identificador de evidencia. 13.1.7. Firmas.
h) Referencias.
González, David, et. al. Código de prácticas para digital forensics. [Online] Noviembre 2003.
http://cp4df.sourceforge.net/.
Association of Chief Police Officers (ACPO), et. al. Good Practice Guide for Computer-Based
Electronic Evidence. [Online]
www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf.
Hagy W. David, et. al. (NIJ). Electronic Crime Scene Investigation: A Guide for First Responders,
Second Edition. [Online] Abril 2008. http://www.ojp.usdoj.gov/nij/pubs-sum/219941.htm.
Jansen, Wayne, et. al., NIST. Guidelines on Cell Phone Forensics. [Online] Mayo 2007. [Cited:
Agosto 20, 2007.] http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf.
Número de SOP: 2 Título: Búsqueda de la Evidencia Revisión número: Fecha de vigencia: Hoja 5 de 6
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
12. Validar la Evidencia Recolectada. 12.1. Generar un hash para los datos recolectados a través un programa que sea capaz de
calcularlo. 13. Aplicar la cadena de custodia a la evidencia recolectada.
13.1. Utilizar un formulario en el cual se puedan registrar, por lo menos, los siguientes aspectos:
13.1.1. Perfil. 13.1.2. Nombres completos de las personas involucradas. 13.1.3. Actividad realizada sobre la evidencia. 13.1.4. Fecha y hora de realización. 13.1.5. Código de caso. 13.1.6. Identificador de evidencia. 13.1.7. Firmas.
h) Referencias.
González, David, et. al. Código de prácticas para digital forensics. [Online] Noviembre 2003.
http://cp4df.sourceforge.net/.
Association of Chief Police Officers (ACPO), et. al. Good Practice Guide for Computer-Based
Electronic Evidence. [Online]
www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf.
Hagy W. David, et. al. (NIJ). Electronic Crime Scene Investigation: A Guide for First Responders,
Second Edition. [Online] Abril 2008. http://www.ojp.usdoj.gov/nij/pubs-sum/219941.htm.
Jansen, Wayne, et. al., NIST. Guidelines on Cell Phone Forensics. [Online] Mayo 2007. [Cited:
Agosto 20, 2007.] http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf.
Número de SOP: 2 Título: Búsqueda de la Evidencia Revisión número: Fecha de vigencia: Hoja 6 de 6
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
Adicionalmente, también se recomienda:
Hacer referencia al manual del usuario y manual del software para conocer la forma de operar del
equipo de telefonía celular, así como del material adicional que requiera para que pueda realizar
las funciones que ofrece el equipo de telefonía celular.
Fin
Número de SOP: 2 Título: Búsqueda de la Evidencia Revisión número: Fecha de vigencia: Hoja 6 de 6
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
Adicionalmente, también se recomienda:
Hacer referencia al manual del usuario y manual del software para conocer la forma de operar del
equipo de telefonía celular, así como del material adicional que requiera para que pueda realizar
las funciones que ofrece el equipo de telefonía celular.
Fin
Número de SOP: 2 Título: Búsqueda de la Evidencia Revisión número: Fecha de vigencia: Hoja 6 de 6
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
Adicionalmente, también se recomienda:
Hacer referencia al manual del usuario y manual del software para conocer la forma de operar del
equipo de telefonía celular, así como del material adicional que requiera para que pueda realizar
las funciones que ofrece el equipo de telefonía celular.
Fin
112
III Fase 3: Generación y Validación de la Hipótesis.
III.1) Inspección y Análisis de la Evidencia
Inspección.
Esta fase involucra la inspección del contenido de la evidencia recolectada por especialistas
forenses y la extracción de la información, lo cual es crítico para probar el caso. Antes de proceder
con la inspección de la evidencia, se deben crear un número apropiado de copias de respaldo de la
evidencia. Esta fase se centra en hacer que la evidencia sea visible, mientras se explica su
originalidad y significancia. Grandes volúmenes de datos recolectados durante las fases de
recolección de evidencia volátil y no volátil necesitan convertirse a una forma y tamaño manejable
para futuro análisis. Algunos de los pasos principales efectuados durante esta etapa son: Filtrado
de datos, validación y reconocimiento de patrones, búsqueda de palabras clave específicas que
estén relacionadas con la naturaleza del crimen o incidente, recuperar datos eliminados, etc.
Información personal del teléfono celular tales como la lista de direcciones, citas, calendario,
horario programado, mensajes de voz, documentos así como correos electrónicos son fuentes
comunes de evidencia, los cuales tienen que ser examinados con detalle. Una tarea que se puede
volver muy tediosa pero también muy importante es la detección y recuperación de información
eliminada o escondida. Las capacidades de las herramientas forenses utilizadas por el inspector
forense juegan un papel importante en la inspección.
Análisis.
Este paso consiste de una revisión técnica más detallada la cual será conducida por el equipo de
investigación en base a los resultados de la inspección de la evidencia. Algunas de las actividades a
ser efectuadas son: identificar la relación entre fragmentos de datos, analizar datos ocultos, etc.
Dentro de las guías del NIJ recomiendan realizar el análisis de las líneas de tiempo, análisis de
datos ocultos, análisis de archivos y aplicaciones. Los resultados de esta fase pueden indicar la
necesidad de realizar pasos adicionales en los procesos de extracción y análisis. Utilizar una
combinación de herramientas durante el análisis producirá mejores resultados. Los resultados del
análisis deberán estar, de una manera lo más completa y minuciosa posible, documentados.
113
A través de la inspección y análisis, se habrá identificado toda la información relacionada con
aquellos objetos considerados sobresalientes. De igual forma, se habrán identificado cuáles son las
características que presentan esos objetos. Al final de esta fase y por consecuencia, se deberá
contar con una lista de características para cada pieza de información que resulte de interés.
III.2) Clasificación de Roles
Después de que cada objeto ha sido analizado, y por lo tanto, ya se cuenta con la información que
contiene, es posible empezar a analizar las razones por las que cuenta con esa información. Esta
fase se encargará de traducir el estado de un objeto a los posibles eventos bajo los cuales tal
objeto estuvo involucrado. El objetivo de esta fase consiste en identificar las características que
están relacionadas con el incidente y que corresponden al efecto de un evento o la causa de un
evento. El resultado de esta fase será una lista de roles y eventos en los cuales algunos objetos
pudieran estar involucrados. Esta fase requiere de una mente abierta y creativa pues el
investigador tendrá que identificar los posibles eventos que afectaron a un objeto; o en su lugar,
aquellos eventos que fueron originados por un objeto. Es en esta fase, en donde se revisan las
características que proporcionen información temporal, relacional o funcional. Cuando un rol
potencial es identificado, el investigador debe identificar las características de los otros objetos
causales u objetos de efecto relacionados con el evento.
III.3) Reconstrucción de Eventos y Prueba
Después de que se ha clasificado la evidencia con respecto a los roles que participaron en los
eventos, ya es posible construir eventos utilizando a otros objetos y, si es posible, realizar pruebas
de los eventos. Esta fase iniciará con una colección de objetos junto con sus roles y características
y terminará con una colección de eventos desordenados o parcialmente ordenados que pudieron
haber ocurrido.
Durante este proceso, podría presentarse la necesidad de acudir a la escena del crimen para
obtener evidencia adicional. Si son recolectados objetos adicionales, ellos tendrán que someterse
a los procedimientos de las etapas anteriores para cumplir con los principios internacionales y
lineamientos establecidos por la metodología propuesta.
114
Cada evento debe tener al menos, un objeto causal y un objeto de efecto; y esta fase trata de
encontrar la correspondencia entre parejas. Los cambios producidos a las características de un
objeto de efecto debieron haber ocurrido debido a las características de un objeto causal. Por lo
tanto, si se conocen cuáles características fueron cambiadas por un evento, es posible hacer
búsquedas regresivas para localizar a un objeto causal. De manera similar, se puede realizar la
búsqueda de objetos de efecto utilizando las características de un objeto causal. Se debe recordar
que se deben integrar aquellos roles identificados previamente que pudieran estar involucrados
en un evento particular su reconstrucción. En algunos casos, las características de un objeto causal
involucradas en un evento pudieran no existir cuando la investigación ocurra, en tal escenario no
puede ser determinado un vínculo directo hacia un efecto.
Cada posible evento debe ser probado y es posible asignarle un valor de confianza. Este valor
dependerá de la cantidad de información que exista en la escena del crimen para mostrar que ha
ocurrido.
III.4) Secuencia de Eventos
Después de que se han construido eventos individuales, es posible unirlos y vincularlos para crear
cadenas de eventos. En muchos casos, no será posible hacer una cadena de evento grande que
abarque el incidente de manera completa o que utilice toda la evidencia recolectada. En su lugar,
se tendrán varios eventos individuales o pequeñas cadenas de eventos, y ya sea eventos o cadenas
requerirán ser enlazados y secuenciados.
Si un objeto contiene información temporal confiable y el valor del tiempo real de un evento es
conocido, entonces puede ser fácilmente secuenciado en relación a los otros eventos cuyos
tiempos son también conocidos. Sin embargo, en muchos casos, los tiempos exactos de los
eventos no se conocen, y por lo tanto es necesario auxiliarse en otras técnicas de secuencia.
Supóngase que existen dos eventos, e(i) y e(j), y que e(i) ocurrió antes que e(j). Si un efecto de e(i)
también fue una causa de e(j) y e(j) utiliza las características que cambiaron en e(i), entonces es
posible determinar la secuencia de eventos utilizando el estado final de los objetos y las reglas y
leyes respecto a e(i) y e(j).
115
La información obtenida a través de esta técnica es denominada como relacional. Esto se debe a
que la información añadida al objeto (producto del segundo evento) puede ser examinada en
relación a la información perteneciente al primer evento. Un buen ejemplo en el mundo físico
consiste de una pieza rota de vidrio con sangre sobre ella. Si la sangre está por debajo de la
superficie del vidrio, entonces el evento que causó la sangre es muy probable que ocurriera antes
de que el vidrio fuera roto (o el vidrio sufriera un giro de manera repentina). Si el vidrio está a la
mitad de un charco de sangre y no hay sangre debajo del vidrio, probablemente el vidrio se
rompió primero.
En algunos casos, esta técnica de ordenación utiliza información funcional de un objeto porque el
objeto debió haber permanecido en un estado determinado para que ocurriera un evento. Por
ejemplo, el evento para cargar un arma debe ocurrir antes del evento para dispararla. En un
sistema digital, una aplicación cliente de red necesita conectarse al servidor antes de que pueda
ser usada en el sistema local.
Una variación de esta técnica de secuencia es usada cuando las fases de un tipo de incidente son
conocidas. Por ejemplo, un incidente que conste de un asalto a una casa, el atacante debió haber
entrado a la casa, entrado en contacto con la víctima, y haber salido de esa casa. Por lo tanto, es
posible utilizar estas fases generales o comunes en los incidentes para identificar los eventos que
los componen y mediante estas fases, establecer la secuencia de eventos a través de la evidencia
recolectada.
Después de que los eventos han sido secuenciados, habrá una o más cadenas de eventos. Para dar
una explicación satisfactoria a las lagunas de eventos, se deben crear hipótesis para los eventos
que ocurrieron entre las cadenas de eventos conocidos.
Una vez que los eventos han sido determinados, los límites de la escena del crimen pueden ser
definidos y, para lograrlo, es necesario utilizar las características de ubicación de los objetos
involucrados en los eventos. Si se diagnostica que pudieron ocurrir eventos adicionales fuera de la
escena del crimen original, será necesario realizar una nueva búsqueda para obtener la evidencia
adicional.
116
III.5) Prueba de la Hipótesis
Después de que los eventos han sido secuenciados, la hipótesis respecto al incidente puede ser
validada. A estas alturas, se tendrán cadenas de eventos y una o más hipótesis respecto a los
eventos para los cuales no fue encontrada evidencia. La teoría final, si es que fue encontrada una,
debe ser soportada por la evidencia y debe ofrecer una justificación satisfactoria para los eventos
en donde no existan objetos causales y de efecto. Cualquier valor de confianza que haya sido
asignado durante la reconstrucción de eventos debe ser tomado en cuenta al momento de evaluar
la hipótesis.
En este momento de la investigación, se ha llegado a la teoría final, la cual deberá ser: a) la que se
encuentre más sustentada mediante la evidencia suficiente para ser aceptada y, b) la que permita
someterse a pruebas para confirmar la validez que brinda la evidencia.
Número de SOP: 3 Título: Procedimiento para la Generación y Validación de la Hipótesis. Revisión número: Fecha de vigencia: Hoja 1 de 5
Procedimiento Operativo Estándar
APROBACIÓN
Elaboró Supervisó Autorizó Fecha: Fecha: Fecha:
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
a) Objetivo. Este procedimiento es utilizado para establecer la teoría definitiva que deberá
contestar a las siguientes interrogantes:
Reunir información acerca de los individuos involucrados (¿quién?). Determinar la naturaleza exacta de los eventos que ocurrieron (¿qué?). Construir una línea cronológica sobre los eventos (¿cuándo?). Revelar información que explique los motivos del ofensor (¿por qué?). Descubrir las herramientas o mecanismos que fueron utilizados (¿cómo?).
b) Alcance. En procedimiento dejará de ejecutarse cuando se haya llegado a la teoría final, la cual
deberá presentar las siguientes características: a) Deberá ser la que se encuentre más
sustentada mediante la evidencia suficiente para ser aceptada, b)Deberá ser la que permita
someterse a pruebas para confirmar la validez que brinda la evidencia.
c) Responsable(s).
d) Cargo: Líder de la investigación. Habilidad: Adaptar y dirigir metodología. Nombre:
e) Cargo: Custodios. Habilidad: Vigilar, documentar evidencia. Nombre:
f) Cargo: Inspectores Habilidad: Localizar Evidencia. Nombre:
g) Cargo: Analistas Habilidad: Interpretar evidencia. Nombre:
Número de SOP: 3 Título: Procedimiento para la Generación y Validación de la Hipótesis. Revisión número: Fecha de vigencia: Hoja 1 de 5
Procedimiento Operativo Estándar
APROBACIÓN
Elaboró Supervisó Autorizó Fecha: Fecha: Fecha:
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
a) Objetivo. Este procedimiento es utilizado para establecer la teoría definitiva que deberá
contestar a las siguientes interrogantes:
Reunir información acerca de los individuos involucrados (¿quién?). Determinar la naturaleza exacta de los eventos que ocurrieron (¿qué?). Construir una línea cronológica sobre los eventos (¿cuándo?). Revelar información que explique los motivos del ofensor (¿por qué?). Descubrir las herramientas o mecanismos que fueron utilizados (¿cómo?).
b) Alcance. En procedimiento dejará de ejecutarse cuando se haya llegado a la teoría final, la cual
deberá presentar las siguientes características: a) Deberá ser la que se encuentre más
sustentada mediante la evidencia suficiente para ser aceptada, b)Deberá ser la que permita
someterse a pruebas para confirmar la validez que brinda la evidencia.
c) Responsable(s).
d) Cargo: Líder de la investigación. Habilidad: Adaptar y dirigir metodología. Nombre:
e) Cargo: Custodios. Habilidad: Vigilar, documentar evidencia. Nombre:
f) Cargo: Inspectores Habilidad: Localizar Evidencia. Nombre:
g) Cargo: Analistas Habilidad: Interpretar evidencia. Nombre:
Número de SOP: 3 Título: Procedimiento para la Generación y Validación de la Hipótesis. Revisión número: Fecha de vigencia: Hoja 1 de 5
Procedimiento Operativo Estándar
APROBACIÓN
Elaboró Supervisó Autorizó Fecha: Fecha: Fecha:
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
a) Objetivo. Este procedimiento es utilizado para establecer la teoría definitiva que deberá
contestar a las siguientes interrogantes:
Reunir información acerca de los individuos involucrados (¿quién?). Determinar la naturaleza exacta de los eventos que ocurrieron (¿qué?). Construir una línea cronológica sobre los eventos (¿cuándo?). Revelar información que explique los motivos del ofensor (¿por qué?). Descubrir las herramientas o mecanismos que fueron utilizados (¿cómo?).
b) Alcance. En procedimiento dejará de ejecutarse cuando se haya llegado a la teoría final, la cual
deberá presentar las siguientes características: a) Deberá ser la que se encuentre más
sustentada mediante la evidencia suficiente para ser aceptada, b)Deberá ser la que permita
someterse a pruebas para confirmar la validez que brinda la evidencia.
c) Responsable(s).
d) Cargo: Líder de la investigación. Habilidad: Adaptar y dirigir metodología. Nombre:
e) Cargo: Custodios. Habilidad: Vigilar, documentar evidencia. Nombre:
f) Cargo: Inspectores Habilidad: Localizar Evidencia. Nombre:
g) Cargo: Analistas Habilidad: Interpretar evidencia. Nombre:
Número de SOP: 3 Título: Procedimiento para la Generación y Validación de la Hipótesis. Revisión número: Fecha de vigencia: Hoja 2 de 5
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
h) Definiciones.
Evento: El término evento, bajo el contexto de Reconstrucción basada en Roles, corresponde a un
suceso que cambia el estado de uno o más objetos.
Objeto Causal: Un objeto desempeña el papel de “causa” si sus características fueron utilizadas en
el evento. Una prueba para este papel consiste en identificar si el mismo efecto hubiera ocurrido si
el objeto no existiera. Un objeto causal tiene una influencia sobre el efecto.
Objeto de efecto: Un objeto desempeña el papel “de efecto” si su estado fue cambiado por un
objeto causal en el evento.
i) Materiales: Hardware y Software.
Los requeridos para realizar satisfactoriamente la generación y validación de la hipótesis. Algunos
pudieran ser:
1. Herramientas forenses para equipo de telefonía celular. 2. Copias de evidencias digitales. 3. Computadora para análisis. 4. Modelos de equipos celulares similares a los asegurados para hace pruebas.
j) Aspectos de seguridad.
Cuidar la cadena de custodia para asegurar la validez de los procesos usados.
Número de SOP: 3 Título: Procedimiento para la Generación y Validación de la Hipótesis. Revisión número: Fecha de vigencia: Hoja 2 de 5
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
h) Definiciones.
Evento: El término evento, bajo el contexto de Reconstrucción basada en Roles, corresponde a un
suceso que cambia el estado de uno o más objetos.
Objeto Causal: Un objeto desempeña el papel de “causa” si sus características fueron utilizadas en
el evento. Una prueba para este papel consiste en identificar si el mismo efecto hubiera ocurrido si
el objeto no existiera. Un objeto causal tiene una influencia sobre el efecto.
Objeto de efecto: Un objeto desempeña el papel “de efecto” si su estado fue cambiado por un
objeto causal en el evento.
i) Materiales: Hardware y Software.
Los requeridos para realizar satisfactoriamente la generación y validación de la hipótesis. Algunos
pudieran ser:
1. Herramientas forenses para equipo de telefonía celular. 2. Copias de evidencias digitales. 3. Computadora para análisis. 4. Modelos de equipos celulares similares a los asegurados para hace pruebas.
j) Aspectos de seguridad.
Cuidar la cadena de custodia para asegurar la validez de los procesos usados.
Número de SOP: 3 Título: Procedimiento para la Generación y Validación de la Hipótesis. Revisión número: Fecha de vigencia: Hoja 2 de 5
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
h) Definiciones.
Evento: El término evento, bajo el contexto de Reconstrucción basada en Roles, corresponde a un
suceso que cambia el estado de uno o más objetos.
Objeto Causal: Un objeto desempeña el papel de “causa” si sus características fueron utilizadas en
el evento. Una prueba para este papel consiste en identificar si el mismo efecto hubiera ocurrido si
el objeto no existiera. Un objeto causal tiene una influencia sobre el efecto.
Objeto de efecto: Un objeto desempeña el papel “de efecto” si su estado fue cambiado por un
objeto causal en el evento.
i) Materiales: Hardware y Software.
Los requeridos para realizar satisfactoriamente la generación y validación de la hipótesis. Algunos
pudieran ser:
1. Herramientas forenses para equipo de telefonía celular. 2. Copias de evidencias digitales. 3. Computadora para análisis. 4. Modelos de equipos celulares similares a los asegurados para hace pruebas.
j) Aspectos de seguridad.
Cuidar la cadena de custodia para asegurar la validez de los procesos usados.
Número de SOP: 3 Título: Procedimiento para la Generación y Validación de la Hipótesis. Revisión número: Fecha de vigencia: Hoja 3 de 5
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
k) Procedimiento.
1. Inspección y Análisis de la Evidencia. 1.1. Crear un número apropiado de copias de respaldo de la evidencia y trabajar en base a
copias. 1.2. Inspección
1.2.1. Filtrar de datos. 1.2.2. Efectuar la validación y reconocimiento de patrones.
1.2.2.1. Realizar la clasificación de documentos. 1.2.3. Realizar búsqueda de palabras clave específicas relacionadas con la naturaleza del
crimen o incidente. 1.2.4. Realizar la búsqueda de fuentes comunes de evidencia digital:
1.2.4.1. Lista de direcciones. 1.2.4.2. Citas. 1.2.4.3. Calendario. 1.2.4.4. Horario programado. 1.2.4.5. Mensajes de voz. 1.2.4.6. Documentos: correo electrónico.
1.2.5. Detectar y recuperar información eliminada o escondida. 1.3. Análisis.
1.3.1. Identificar la relación entre fragmentos de datos. 1.3.2. Analizar datos ocultos. 1.3.3. Analizar las líneas de tiempo, análisis de archivos y aplicaciones.
2. Reconstrucción de Eventos y prueba. 2.1.1. Seleccionar un objeto que haya sido un efecto de un evento, el cual sea el más
importante a las necesidades actuales de la investigación y que sea el que más se acerque al cambio de una característica distintiva del resto de los objetos.
2.1.2. Conducir una búsqueda retrospectiva/regresiva de todos los objetos causales para localizar un objeto con una o más características que pudieron haber cambiado la característica del objeto de efecto y que pueda satisfacer las funciones que se ubicaron en su rol. Si se necesita y es posible, buscar en la escena del crimen objetos adicionales, o bien, buscar esos objetos adicionales en la copia de datos recolectados.
2.1.3. Por cada objeto causal posible que sea encontrado, inspeccionarlo y analizarlo para identificar otros roles causales sobre ese mismo objeto que tendrían que haber existido para que ocurriera el evento y, de esta manera, identificar si el objeto debiera de haberse encontrado en un estado particular. Añadir los roles causales adicionales a los requerimientos del evento. Los objetos causales son revisados,
Número de SOP: 3 Título: Procedimiento para la Generación y Validación de la Hipótesis. Revisión número: Fecha de vigencia: Hoja 3 de 5
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
k) Procedimiento.
1. Inspección y Análisis de la Evidencia. 1.1. Crear un número apropiado de copias de respaldo de la evidencia y trabajar en base a
copias. 1.2. Inspección
1.2.1. Filtrar de datos. 1.2.2. Efectuar la validación y reconocimiento de patrones.
1.2.2.1. Realizar la clasificación de documentos. 1.2.3. Realizar búsqueda de palabras clave específicas relacionadas con la naturaleza del
crimen o incidente. 1.2.4. Realizar la búsqueda de fuentes comunes de evidencia digital:
1.2.4.1. Lista de direcciones. 1.2.4.2. Citas. 1.2.4.3. Calendario. 1.2.4.4. Horario programado. 1.2.4.5. Mensajes de voz. 1.2.4.6. Documentos: correo electrónico.
1.2.5. Detectar y recuperar información eliminada o escondida. 1.3. Análisis.
1.3.1. Identificar la relación entre fragmentos de datos. 1.3.2. Analizar datos ocultos. 1.3.3. Analizar las líneas de tiempo, análisis de archivos y aplicaciones.
2. Reconstrucción de Eventos y prueba. 2.1.1. Seleccionar un objeto que haya sido un efecto de un evento, el cual sea el más
importante a las necesidades actuales de la investigación y que sea el que más se acerque al cambio de una característica distintiva del resto de los objetos.
2.1.2. Conducir una búsqueda retrospectiva/regresiva de todos los objetos causales para localizar un objeto con una o más características que pudieron haber cambiado la característica del objeto de efecto y que pueda satisfacer las funciones que se ubicaron en su rol. Si se necesita y es posible, buscar en la escena del crimen objetos adicionales, o bien, buscar esos objetos adicionales en la copia de datos recolectados.
2.1.3. Por cada objeto causal posible que sea encontrado, inspeccionarlo y analizarlo para identificar otros roles causales sobre ese mismo objeto que tendrían que haber existido para que ocurriera el evento y, de esta manera, identificar si el objeto debiera de haberse encontrado en un estado particular. Añadir los roles causales adicionales a los requerimientos del evento. Los objetos causales son revisados,
Número de SOP: 3 Título: Procedimiento para la Generación y Validación de la Hipótesis. Revisión número: Fecha de vigencia: Hoja 3 de 5
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
k) Procedimiento.
1. Inspección y Análisis de la Evidencia. 1.1. Crear un número apropiado de copias de respaldo de la evidencia y trabajar en base a
copias. 1.2. Inspección
1.2.1. Filtrar de datos. 1.2.2. Efectuar la validación y reconocimiento de patrones.
1.2.2.1. Realizar la clasificación de documentos. 1.2.3. Realizar búsqueda de palabras clave específicas relacionadas con la naturaleza del
crimen o incidente. 1.2.4. Realizar la búsqueda de fuentes comunes de evidencia digital:
1.2.4.1. Lista de direcciones. 1.2.4.2. Citas. 1.2.4.3. Calendario. 1.2.4.4. Horario programado. 1.2.4.5. Mensajes de voz. 1.2.4.6. Documentos: correo electrónico.
1.2.5. Detectar y recuperar información eliminada o escondida. 1.3. Análisis.
1.3.1. Identificar la relación entre fragmentos de datos. 1.3.2. Analizar datos ocultos. 1.3.3. Analizar las líneas de tiempo, análisis de archivos y aplicaciones.
2. Reconstrucción de Eventos y prueba. 2.1.1. Seleccionar un objeto que haya sido un efecto de un evento, el cual sea el más
importante a las necesidades actuales de la investigación y que sea el que más se acerque al cambio de una característica distintiva del resto de los objetos.
2.1.2. Conducir una búsqueda retrospectiva/regresiva de todos los objetos causales para localizar un objeto con una o más características que pudieron haber cambiado la característica del objeto de efecto y que pueda satisfacer las funciones que se ubicaron en su rol. Si se necesita y es posible, buscar en la escena del crimen objetos adicionales, o bien, buscar esos objetos adicionales en la copia de datos recolectados.
2.1.3. Por cada objeto causal posible que sea encontrado, inspeccionarlo y analizarlo para identificar otros roles causales sobre ese mismo objeto que tendrían que haber existido para que ocurriera el evento y, de esta manera, identificar si el objeto debiera de haberse encontrado en un estado particular. Añadir los roles causales adicionales a los requerimientos del evento. Los objetos causales son revisados,
Número de SOP: 3 Título: Procedimiento para la Generación y Validación de la Hipótesis. Revisión número: Fecha de vigencia: Hoja 4 de 5
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
tratando de identificar aquellos que cumplan con el papel desempeñado en el evento, y aquellos que coincidan son añadidos al evento.
2.1.4. Si uno o más objetos causales son hallados durante la búsqueda retrospectiva/regresiva, entonces se debe realizar una búsqueda progresiva para localizar los objetos de efecto. Esta búsqueda se realizará sobre todos los objetos con una o más características que pudieran haber sido un efecto del mismo evento. Esto pudiera involucrar una nueva búsqueda en la escena del crimen, o bien, sobre los datos recolectados sobre objetos que no hayan sido considerados de interés inicialmente.
2.1.5. Si fueron encontrados objetos de efecto adicionales, entonces se debe regresar al paso 2 para efectuar otra pasada que consista en una nueva búsqueda retrospectiva/regresiva.
2.1.6. Si no fue posible encontrar objetos causales y de efecto adicionales para el evento, entonces el evento debe ser sometido a una prueba. Si existieran roles faltantes en el evento. Entonces se debe crear una hipótesis que permita establecer cuáles son esos roles y por qué no se han encontrado o por qué están ausentes.
2.1.7. Si la prueba no es pasada, entonces el evento no es utilizado. Si la prueba es pasada, entonces debe ser considerado como un posible evento del incidente. A este evento se le debe asignar un valor de confianza. Este valor de confianza dependerá de: a) la cantidad de evidencia existente para sustentar al evento y, b) de la cantidad de evidencia ausente y para la cual la hipótesis tuvo que ser creada.
2.1.8. Una vez que el evento anterior ha sido sometido a prueba, nuevamente se inicia el proceso de búsqueda para encontrar otros objetos que pudieron haber producido el mismo efecto. Por consiguiente, se descartan todos los objetos excepto al objeto de efecto original. De esta manera, es necesario regresar al paso 2. A partir de este momento se deben elegir objetos totalmente diferentes para que no se caiga en la situación de recrear un evento que ya ha sido probado.
2.1.9. Después de que se ha investigado y probado los posibles eventos para ese objeto de efecto, es necesario repetir el proceso para encontrar otro objeto de efecto adicional en el paso 1.4.1.
3. Secuencia de Eventos. 3.1. Unir y vincular cada uno de los eventos individuales construidos en el paso 2 para crear la
cadena de eventos. Enlazarlos o secuenciarlos mediante: 3.1.1. Técnica Temporal: Los eventos se enlazan considerando la información temporal.
Para esto la información temporal (tiempos) es conocida con certeza para cada evento.
3.1.2. Técnica Relacional: Los eventos se enlazan considerando la información añadida a un objeto, producto de la ocurrencia de un evento previo.
Número de SOP: 3 Título: Procedimiento para la Generación y Validación de la Hipótesis. Revisión número: Fecha de vigencia: Hoja 4 de 5
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
tratando de identificar aquellos que cumplan con el papel desempeñado en el evento, y aquellos que coincidan son añadidos al evento.
2.1.4. Si uno o más objetos causales son hallados durante la búsqueda retrospectiva/regresiva, entonces se debe realizar una búsqueda progresiva para localizar los objetos de efecto. Esta búsqueda se realizará sobre todos los objetos con una o más características que pudieran haber sido un efecto del mismo evento. Esto pudiera involucrar una nueva búsqueda en la escena del crimen, o bien, sobre los datos recolectados sobre objetos que no hayan sido considerados de interés inicialmente.
2.1.5. Si fueron encontrados objetos de efecto adicionales, entonces se debe regresar al paso 2 para efectuar otra pasada que consista en una nueva búsqueda retrospectiva/regresiva.
2.1.6. Si no fue posible encontrar objetos causales y de efecto adicionales para el evento, entonces el evento debe ser sometido a una prueba. Si existieran roles faltantes en el evento. Entonces se debe crear una hipótesis que permita establecer cuáles son esos roles y por qué no se han encontrado o por qué están ausentes.
2.1.7. Si la prueba no es pasada, entonces el evento no es utilizado. Si la prueba es pasada, entonces debe ser considerado como un posible evento del incidente. A este evento se le debe asignar un valor de confianza. Este valor de confianza dependerá de: a) la cantidad de evidencia existente para sustentar al evento y, b) de la cantidad de evidencia ausente y para la cual la hipótesis tuvo que ser creada.
2.1.8. Una vez que el evento anterior ha sido sometido a prueba, nuevamente se inicia el proceso de búsqueda para encontrar otros objetos que pudieron haber producido el mismo efecto. Por consiguiente, se descartan todos los objetos excepto al objeto de efecto original. De esta manera, es necesario regresar al paso 2. A partir de este momento se deben elegir objetos totalmente diferentes para que no se caiga en la situación de recrear un evento que ya ha sido probado.
2.1.9. Después de que se ha investigado y probado los posibles eventos para ese objeto de efecto, es necesario repetir el proceso para encontrar otro objeto de efecto adicional en el paso 1.4.1.
3. Secuencia de Eventos. 3.1. Unir y vincular cada uno de los eventos individuales construidos en el paso 2 para crear la
cadena de eventos. Enlazarlos o secuenciarlos mediante: 3.1.1. Técnica Temporal: Los eventos se enlazan considerando la información temporal.
Para esto la información temporal (tiempos) es conocida con certeza para cada evento.
3.1.2. Técnica Relacional: Los eventos se enlazan considerando la información añadida a un objeto, producto de la ocurrencia de un evento previo.
Número de SOP: 3 Título: Procedimiento para la Generación y Validación de la Hipótesis. Revisión número: Fecha de vigencia: Hoja 4 de 5
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
tratando de identificar aquellos que cumplan con el papel desempeñado en el evento, y aquellos que coincidan son añadidos al evento.
2.1.4. Si uno o más objetos causales son hallados durante la búsqueda retrospectiva/regresiva, entonces se debe realizar una búsqueda progresiva para localizar los objetos de efecto. Esta búsqueda se realizará sobre todos los objetos con una o más características que pudieran haber sido un efecto del mismo evento. Esto pudiera involucrar una nueva búsqueda en la escena del crimen, o bien, sobre los datos recolectados sobre objetos que no hayan sido considerados de interés inicialmente.
2.1.5. Si fueron encontrados objetos de efecto adicionales, entonces se debe regresar al paso 2 para efectuar otra pasada que consista en una nueva búsqueda retrospectiva/regresiva.
2.1.6. Si no fue posible encontrar objetos causales y de efecto adicionales para el evento, entonces el evento debe ser sometido a una prueba. Si existieran roles faltantes en el evento. Entonces se debe crear una hipótesis que permita establecer cuáles son esos roles y por qué no se han encontrado o por qué están ausentes.
2.1.7. Si la prueba no es pasada, entonces el evento no es utilizado. Si la prueba es pasada, entonces debe ser considerado como un posible evento del incidente. A este evento se le debe asignar un valor de confianza. Este valor de confianza dependerá de: a) la cantidad de evidencia existente para sustentar al evento y, b) de la cantidad de evidencia ausente y para la cual la hipótesis tuvo que ser creada.
2.1.8. Una vez que el evento anterior ha sido sometido a prueba, nuevamente se inicia el proceso de búsqueda para encontrar otros objetos que pudieron haber producido el mismo efecto. Por consiguiente, se descartan todos los objetos excepto al objeto de efecto original. De esta manera, es necesario regresar al paso 2. A partir de este momento se deben elegir objetos totalmente diferentes para que no se caiga en la situación de recrear un evento que ya ha sido probado.
2.1.9. Después de que se ha investigado y probado los posibles eventos para ese objeto de efecto, es necesario repetir el proceso para encontrar otro objeto de efecto adicional en el paso 1.4.1.
3. Secuencia de Eventos. 3.1. Unir y vincular cada uno de los eventos individuales construidos en el paso 2 para crear la
cadena de eventos. Enlazarlos o secuenciarlos mediante: 3.1.1. Técnica Temporal: Los eventos se enlazan considerando la información temporal.
Para esto la información temporal (tiempos) es conocida con certeza para cada evento.
3.1.2. Técnica Relacional: Los eventos se enlazan considerando la información añadida a un objeto, producto de la ocurrencia de un evento previo.
Número de SOP: 3 Título: Procedimiento para la Generación y Validación de la Hipótesis. Revisión número: Fecha de vigencia: Hoja 5 de 5
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
3.1.3. Técnica de Fases Comunes: Los eventos son enlazados cuando las fases para un tipo de incidente determinado son conocidas. Por lo tanto, es posible utilizar estas fases generales o comunes en los incidentes para identificar los eventos que los componen y mediante estas fases, establecer la secuencia de eventos a través de la evidencia recolectada.
3.2. Pasar al paso 4, siempre y cuando se haya logrado la secuencia de eventos. En este momento pudieran existir una o más cadenas de eventos.
3.3. Crear hipótesis para las cadenas de eventos. 3.3.1. Considerar que la o las hipótesis que deberán ofrecer una explicación satisfactoria
para las lagunas de eventos existentes entre cada una de las cadenas de eventos. 4. Prueba de Hipótesis.
4.1. Validar la(s) hipótesis para los eventos que han sido secuenciados.
Referencias.
González, David, et. al. Código de prácticas para digital forensics. [Online] Noviembre 2003.
http://cp4df.sourceforge.net/.
Association of Chief Police Officers (ACPO), et. al. Good Practice Guide for Computer-Based
Electronic Evidence. [Online]
www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf.
Hagy W. David, et. al. (NIJ). Electronic Crime Scene Investigation: A Guide for First Responders,
Second Edition. [Online] Abril 2008. http://www.ojp.usdoj.gov/nij/pubs-sum/219941.htm.
Jansen, Wayne, et. al., NIST. Guidelines on Cell Phone Forensics. [Online] Mayo 2007. [Cited: Agosto 20, 2007.] http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf.
Fin
Número de SOP: 3 Título: Procedimiento para la Generación y Validación de la Hipótesis. Revisión número: Fecha de vigencia: Hoja 5 de 5
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
3.1.3. Técnica de Fases Comunes: Los eventos son enlazados cuando las fases para un tipo de incidente determinado son conocidas. Por lo tanto, es posible utilizar estas fases generales o comunes en los incidentes para identificar los eventos que los componen y mediante estas fases, establecer la secuencia de eventos a través de la evidencia recolectada.
3.2. Pasar al paso 4, siempre y cuando se haya logrado la secuencia de eventos. En este momento pudieran existir una o más cadenas de eventos.
3.3. Crear hipótesis para las cadenas de eventos. 3.3.1. Considerar que la o las hipótesis que deberán ofrecer una explicación satisfactoria
para las lagunas de eventos existentes entre cada una de las cadenas de eventos. 4. Prueba de Hipótesis.
4.1. Validar la(s) hipótesis para los eventos que han sido secuenciados.
Referencias.
González, David, et. al. Código de prácticas para digital forensics. [Online] Noviembre 2003.
http://cp4df.sourceforge.net/.
Association of Chief Police Officers (ACPO), et. al. Good Practice Guide for Computer-Based
Electronic Evidence. [Online]
www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf.
Hagy W. David, et. al. (NIJ). Electronic Crime Scene Investigation: A Guide for First Responders,
Second Edition. [Online] Abril 2008. http://www.ojp.usdoj.gov/nij/pubs-sum/219941.htm.
Jansen, Wayne, et. al., NIST. Guidelines on Cell Phone Forensics. [Online] Mayo 2007. [Cited: Agosto 20, 2007.] http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf.
Fin
Número de SOP: 3 Título: Procedimiento para la Generación y Validación de la Hipótesis. Revisión número: Fecha de vigencia: Hoja 5 de 5
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
3.1.3. Técnica de Fases Comunes: Los eventos son enlazados cuando las fases para un tipo de incidente determinado son conocidas. Por lo tanto, es posible utilizar estas fases generales o comunes en los incidentes para identificar los eventos que los componen y mediante estas fases, establecer la secuencia de eventos a través de la evidencia recolectada.
3.2. Pasar al paso 4, siempre y cuando se haya logrado la secuencia de eventos. En este momento pudieran existir una o más cadenas de eventos.
3.3. Crear hipótesis para las cadenas de eventos. 3.3.1. Considerar que la o las hipótesis que deberán ofrecer una explicación satisfactoria
para las lagunas de eventos existentes entre cada una de las cadenas de eventos. 4. Prueba de Hipótesis.
4.1. Validar la(s) hipótesis para los eventos que han sido secuenciados.
Referencias.
González, David, et. al. Código de prácticas para digital forensics. [Online] Noviembre 2003.
http://cp4df.sourceforge.net/.
Association of Chief Police Officers (ACPO), et. al. Good Practice Guide for Computer-Based
Electronic Evidence. [Online]
www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf.
Hagy W. David, et. al. (NIJ). Electronic Crime Scene Investigation: A Guide for First Responders,
Second Edition. [Online] Abril 2008. http://www.ojp.usdoj.gov/nij/pubs-sum/219941.htm.
Jansen, Wayne, et. al., NIST. Guidelines on Cell Phone Forensics. [Online] Mayo 2007. [Cited: Agosto 20, 2007.] http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf.
Fin
122
Fase 4: Actividades post forenses
1) Elaboración de un informe con validez legal.
Después de extraer, inspeccionar y analizar la evidencia recolectada, podría ser necesario
presentar los resultados ante cierto tipo de audiencia. Dependiendo de la naturaleza del incidente,
los hallazgos deben ser presentados en una corte de justicia si se trata de una investigación legal, o
ante la parte administrativa de una corporación si se trata de una investigación interna en una
empresa, etc. Como resultado de esta fase, debe ser posible confirmar o descartar las acusaciones
concernientes a un crimen en particular o sospecha de incidente.
2) Revisión del proceso forense. La parte final de la propuesta consiste en una revisión. La cual
involucra la valoración de los pasos en la investigación e identificar aquellas áreas que pueden ser
mejoradas. Como parte de la fase de revisión, los resultados y su subsecuente interpretación
pueden ser utilizados para ayudar en el perfeccionamiento del manejo, inspección y análisis de la
evidencia en investigaciones futuras. La revisión proporcionará información que auxiliará a
establecer mejores políticas/guías y procedimientos en el futuro en donde se considere adecuado.
Número de SOP: 4 Título: Actividades post forenses. Revisión número: Fecha de vigencia: Hoja 1 de 3
Procedimiento Operativo Estándar
APROBACIÓN
Elaboró Supervisó Autorizó Fecha: Fecha: Fecha:
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
a) Objetivo
Este procedimiento es utilizado para cumplir con la tarea de realización de: a) Creación de un
informe de calidad legal, b) Revisión del proceso de investigación realizado para la resolución
del incidente.
b) Alcance.
Realizar las labores que concluyan la investigación digital, tal como reporte, presentación de
resultados y mejora continua de la metodología utilizada.
c) Responsable(s).
1. Cargo: Líder de la investigación. Habilidad: Adaptar y dirigir metodología. Nombre:
2. Cargo: Custodios. Habilidad: Vigilar, documentar evidencia. Nombre:
3. Cargo: Inspectores Habilidad: Localizar Evidencia. Nombre:
4. Cargo: Analistas Habilidad: Interpretar evidencia. Nombre:
d) Definiciones. No aplica.
e) Materiales: Hardware y Software. Documentación generada a lo largo de todo el proceso.
f) Aspectos de seguridad. Custodia de la evidencia y del informe
Número de SOP: 4 Título: Actividades post forenses. Revisión número: Fecha de vigencia: Hoja 1 de 3
Procedimiento Operativo Estándar
APROBACIÓN
Elaboró Supervisó Autorizó Fecha: Fecha: Fecha:
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
a) Objetivo
Este procedimiento es utilizado para cumplir con la tarea de realización de: a) Creación de un
informe de calidad legal, b) Revisión del proceso de investigación realizado para la resolución
del incidente.
b) Alcance.
Realizar las labores que concluyan la investigación digital, tal como reporte, presentación de
resultados y mejora continua de la metodología utilizada.
c) Responsable(s).
1. Cargo: Líder de la investigación. Habilidad: Adaptar y dirigir metodología. Nombre:
2. Cargo: Custodios. Habilidad: Vigilar, documentar evidencia. Nombre:
3. Cargo: Inspectores Habilidad: Localizar Evidencia. Nombre:
4. Cargo: Analistas Habilidad: Interpretar evidencia. Nombre:
d) Definiciones. No aplica.
e) Materiales: Hardware y Software. Documentación generada a lo largo de todo el proceso.
f) Aspectos de seguridad. Custodia de la evidencia y del informe
Número de SOP: 4 Título: Actividades post forenses. Revisión número: Fecha de vigencia: Hoja 1 de 3
Procedimiento Operativo Estándar
APROBACIÓN
Elaboró Supervisó Autorizó Fecha: Fecha: Fecha:
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
a) Objetivo
Este procedimiento es utilizado para cumplir con la tarea de realización de: a) Creación de un
informe de calidad legal, b) Revisión del proceso de investigación realizado para la resolución
del incidente.
b) Alcance.
Realizar las labores que concluyan la investigación digital, tal como reporte, presentación de
resultados y mejora continua de la metodología utilizada.
c) Responsable(s).
1. Cargo: Líder de la investigación. Habilidad: Adaptar y dirigir metodología. Nombre:
2. Cargo: Custodios. Habilidad: Vigilar, documentar evidencia. Nombre:
3. Cargo: Inspectores Habilidad: Localizar Evidencia. Nombre:
4. Cargo: Analistas Habilidad: Interpretar evidencia. Nombre:
d) Definiciones. No aplica.
e) Materiales: Hardware y Software. Documentación generada a lo largo de todo el proceso.
f) Aspectos de seguridad. Custodia de la evidencia y del informe
Número de SOP: 4 Título: Actividades post forenses. Revisión número: Fecha de vigencia: Hoja 2 de 3
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
g) Procedimiento.
1. Elaborar de un informe con validez legal. 1.1. Incluir en el reporte los siguientes datos:
1.1.1. Identidad de la agencia encargada de la investigación. 1.1.2. Identificador del caso. 1.1.3. Personal asignado a la investigación. 1.1.4. Fecha de reporte. 1.1.5. Lista descriptiva de los objetos inspeccionados y analizados. 1.1.6. Firma del Líder de la Investigación. 1.1.7. Descripción resumida de los pasos realizados durante la investigación. Por ejemplo,
búsqueda de mensajes, búsqueda de imágenes, etc. 1.1.8. Conclusiones/ resultados.
1.2. Desarrollar la sección dedicada al “Resumen de Hallazgos”: 1.2.1. Generar la síntesis de los resultados que produjo la investigación digital. Todos los
hallazgos listados en este resumen deben ser incluidos en el siguiente punto (Detalles de Hallazgos).
1.3. Desarrollar la sección “Detalles de Hallazgos”: 1.3.1. Describir a detalle los resultados de la investigación digital. Es decir, especificar:
1.3.1.1. Archivos encontrados relacionados con el caso 1.3.1.2. Resultados de búsquedas (mensajes de texto, archivos de audio, video,
etc.) 1.3.1.3. Detalles del equipo de telefonía celular analizado 1.3.1.4. Detalles de la cuenta de usuario. 1.3.1.5. Detalles de la tarjeta SIM.
1.4. Listar el material de soporte: 1.4.1. Incluir al reporte aquellos elementos de interés particular que puedan sustentar a los
hallazgos: copia digital de la evidencia, documentación de la cadena de custodia, impresiones, archivos de audio, video, etc.
1.5. Definir una sección para glosarios: 1.5.1. Recopilar y explicar aquellos términos que puedan facilitar la revisión del reporte
1.6. Realizar la presentación del Reporte. 2. Desarrollar la Revisión y valoración de la metodología.
2.1. Definir un plan de trabajo para evaluar, por lo menos: 2.1.1. Procedimientos utilizados en la investigación. 2.1.2. Herramientas y recursos. 2.1.3. Modelo y estructura del equipo. 2.1.4. Entrenamiento y capacitación del personal.
Número de SOP: 4 Título: Actividades post forenses. Revisión número: Fecha de vigencia: Hoja 2 de 3
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
g) Procedimiento.
1. Elaborar de un informe con validez legal. 1.1. Incluir en el reporte los siguientes datos:
1.1.1. Identidad de la agencia encargada de la investigación. 1.1.2. Identificador del caso. 1.1.3. Personal asignado a la investigación. 1.1.4. Fecha de reporte. 1.1.5. Lista descriptiva de los objetos inspeccionados y analizados. 1.1.6. Firma del Líder de la Investigación. 1.1.7. Descripción resumida de los pasos realizados durante la investigación. Por ejemplo,
búsqueda de mensajes, búsqueda de imágenes, etc. 1.1.8. Conclusiones/ resultados.
1.2. Desarrollar la sección dedicada al “Resumen de Hallazgos”: 1.2.1. Generar la síntesis de los resultados que produjo la investigación digital. Todos los
hallazgos listados en este resumen deben ser incluidos en el siguiente punto (Detalles de Hallazgos).
1.3. Desarrollar la sección “Detalles de Hallazgos”: 1.3.1. Describir a detalle los resultados de la investigación digital. Es decir, especificar:
1.3.1.1. Archivos encontrados relacionados con el caso 1.3.1.2. Resultados de búsquedas (mensajes de texto, archivos de audio, video,
etc.) 1.3.1.3. Detalles del equipo de telefonía celular analizado 1.3.1.4. Detalles de la cuenta de usuario. 1.3.1.5. Detalles de la tarjeta SIM.
1.4. Listar el material de soporte: 1.4.1. Incluir al reporte aquellos elementos de interés particular que puedan sustentar a los
hallazgos: copia digital de la evidencia, documentación de la cadena de custodia, impresiones, archivos de audio, video, etc.
1.5. Definir una sección para glosarios: 1.5.1. Recopilar y explicar aquellos términos que puedan facilitar la revisión del reporte
1.6. Realizar la presentación del Reporte. 2. Desarrollar la Revisión y valoración de la metodología.
2.1. Definir un plan de trabajo para evaluar, por lo menos: 2.1.1. Procedimientos utilizados en la investigación. 2.1.2. Herramientas y recursos. 2.1.3. Modelo y estructura del equipo. 2.1.4. Entrenamiento y capacitación del personal.
Número de SOP: 4 Título: Actividades post forenses. Revisión número: Fecha de vigencia: Hoja 2 de 3
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
g) Procedimiento.
1. Elaborar de un informe con validez legal. 1.1. Incluir en el reporte los siguientes datos:
1.1.1. Identidad de la agencia encargada de la investigación. 1.1.2. Identificador del caso. 1.1.3. Personal asignado a la investigación. 1.1.4. Fecha de reporte. 1.1.5. Lista descriptiva de los objetos inspeccionados y analizados. 1.1.6. Firma del Líder de la Investigación. 1.1.7. Descripción resumida de los pasos realizados durante la investigación. Por ejemplo,
búsqueda de mensajes, búsqueda de imágenes, etc. 1.1.8. Conclusiones/ resultados.
1.2. Desarrollar la sección dedicada al “Resumen de Hallazgos”: 1.2.1. Generar la síntesis de los resultados que produjo la investigación digital. Todos los
hallazgos listados en este resumen deben ser incluidos en el siguiente punto (Detalles de Hallazgos).
1.3. Desarrollar la sección “Detalles de Hallazgos”: 1.3.1. Describir a detalle los resultados de la investigación digital. Es decir, especificar:
1.3.1.1. Archivos encontrados relacionados con el caso 1.3.1.2. Resultados de búsquedas (mensajes de texto, archivos de audio, video,
etc.) 1.3.1.3. Detalles del equipo de telefonía celular analizado 1.3.1.4. Detalles de la cuenta de usuario. 1.3.1.5. Detalles de la tarjeta SIM.
1.4. Listar el material de soporte: 1.4.1. Incluir al reporte aquellos elementos de interés particular que puedan sustentar a los
hallazgos: copia digital de la evidencia, documentación de la cadena de custodia, impresiones, archivos de audio, video, etc.
1.5. Definir una sección para glosarios: 1.5.1. Recopilar y explicar aquellos términos que puedan facilitar la revisión del reporte
1.6. Realizar la presentación del Reporte. 2. Desarrollar la Revisión y valoración de la metodología.
2.1. Definir un plan de trabajo para evaluar, por lo menos: 2.1.1. Procedimientos utilizados en la investigación. 2.1.2. Herramientas y recursos. 2.1.3. Modelo y estructura del equipo. 2.1.4. Entrenamiento y capacitación del personal.
Número de SOP: 4 Título: Actividades post forenses. Revisión número: Fecha de vigencia: Hoja 3 de 3
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
2.1.5. Documentación de las actividades. 2.1.6. Diseño de reportes y presentación. 2.1.7. Establecer reuniones.
h) Referencias.
González, David, et. al. Código de prácticas para digital forensics. [Online] Noviembre 2003.
http://cp4df.sourceforge.net/.
Association of Chief Police Officers (ACPO), et. al. Good Practice Guide for Computer-Based
Electronic Evidence. [Online]
www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf.
Hagy W. David, et. al. (NIJ). Electronic Crime Scene Investigation: A Guide for First Responders,
Second Edition. [Online] Abril 2008. http://www.ojp.usdoj.gov/nij/pubs-sum/219941.htm.
Jansen, Wayne, et. al., NIST. Guidelines on Cell Phone Forensics. [Online] Mayo 2007. [Cited:
Agosto 20, 2007.] http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf.
Grance, Tim, et. al., NIST. Computer Security Incident Handling Guide. [Online] 2004 Enero. [Cited:
2007 23, Enero.] http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf
Fin
Número de SOP: 4 Título: Actividades post forenses. Revisión número: Fecha de vigencia: Hoja 3 de 3
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
2.1.5. Documentación de las actividades. 2.1.6. Diseño de reportes y presentación. 2.1.7. Establecer reuniones.
h) Referencias.
González, David, et. al. Código de prácticas para digital forensics. [Online] Noviembre 2003.
http://cp4df.sourceforge.net/.
Association of Chief Police Officers (ACPO), et. al. Good Practice Guide for Computer-Based
Electronic Evidence. [Online]
www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf.
Hagy W. David, et. al. (NIJ). Electronic Crime Scene Investigation: A Guide for First Responders,
Second Edition. [Online] Abril 2008. http://www.ojp.usdoj.gov/nij/pubs-sum/219941.htm.
Jansen, Wayne, et. al., NIST. Guidelines on Cell Phone Forensics. [Online] Mayo 2007. [Cited:
Agosto 20, 2007.] http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf.
Grance, Tim, et. al., NIST. Computer Security Incident Handling Guide. [Online] 2004 Enero. [Cited:
2007 23, Enero.] http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf
Fin
Número de SOP: 4 Título: Actividades post forenses. Revisión número: Fecha de vigencia: Hoja 3 de 3
Procedimiento Operativo Estándar
INSTITUTO POLITÉCNICO NACIONAL ESIME CULHUACÁN
Laboratorio de Seguridad Informática
2.1.5. Documentación de las actividades. 2.1.6. Diseño de reportes y presentación. 2.1.7. Establecer reuniones.
h) Referencias.
González, David, et. al. Código de prácticas para digital forensics. [Online] Noviembre 2003.
http://cp4df.sourceforge.net/.
Association of Chief Police Officers (ACPO), et. al. Good Practice Guide for Computer-Based
Electronic Evidence. [Online]
www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf.
Hagy W. David, et. al. (NIJ). Electronic Crime Scene Investigation: A Guide for First Responders,
Second Edition. [Online] Abril 2008. http://www.ojp.usdoj.gov/nij/pubs-sum/219941.htm.
Jansen, Wayne, et. al., NIST. Guidelines on Cell Phone Forensics. [Online] Mayo 2007. [Cited:
Agosto 20, 2007.] http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf.
Grance, Tim, et. al., NIST. Computer Security Incident Handling Guide. [Online] 2004 Enero. [Cited:
2007 23, Enero.] http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf
Fin
126
5.8. Aplicación de la Metodología y Resultados.
Escenario44.
Un vehículo sospechoso, el cual se le ha solicitado que se detenga al costado del camino por ir a
exceso de velocidad. El oficial que ha detenido al vehículo, nota que el conductor está actuando
extrañamente conforme se acerca al vehículo. Mientras dialoga con el conductor, el oficial nota
que el conductor mueve rápidamente la mirada a una bolsa que está mal encubierta debajo del
asiento del copiloto. El oficial solicita al sospechoso salir del auto, y revisa la bolsa. De esta
revisión, se logra determinar que existe una gran cantidad de drogas en la bolsa. Además, también
se logra identificar que el sospechoso trae consigo un teléfono celular.
Resultados Obtenidos.
Los resultados son presentados a continuación mediante tablas. Cada tabla muestra los productos
obtenidos al ejecutar las Fases de la Metodología a través de los SOPs diseñados. La Tabla 5-4
contiene los pasos relacionados con la primera fase de la metodología. Una premisa importante es
que se cuenta con el personal y equipo para llevar a cabo la aplicación de la metodología.
Productos del Primer SOP
Investigación Preliminar. Después de un cuestionamiento, se piensa que el sospechoso actúo únicamente como un
portador; sin embargo, él no proporciona información a los investigadores. Se piensa que él es un contacto que actúa con algún distribuidor, el cual a la policía le gustaría aprehender.
Una vez puesto al sospechoso bajo arresto por posesión de drogas, se le confiscó su teléfono celular (Sony Ericcson), el cual fue enviado para su análisis y determinar quién es el contacto y cuándo se suponía que el conductor debía reunirse con él.
Aseguramiento de la Escena. Se identificó que la extensión y perímetro del incidente se reducía al espacio ocupado por
un automóvil. Se evitó que personas ajenas a la escena entraran en contacto con ella. No se realizó un
acordamiento de área. Exploración y Reconocimiento
Solo se encontró un equipo de telefonía celular en el automóvil. Protección de las comunicaciones
No se protegieron las comunicaciones. Documentar el Estado de la Escena
Se tomaron fotografías digitales y video sobre el estado de la escena, además se generó una esquematización sobre el estado de la escena.
Recolección y Preservación Física
44 Este escenario ha sido fabricado para propósitos del trabajo de investigación
127
Productos del Primer SOP
El teléfono celular se guardó en una bolsa antiestática, el cual muestra datos básicos sobre el dispositivo para llevarlo a un laboratorio para su análisis posterior.
Resumen: Se ha detenido a una persona que transportaba droga dentro de un vehículo. El detenido además traiga consigo un equipo de telefonía celular. Documentos/Archivos: Actuación del Primer Respondiente, Croquis_Escena. Imágenes digitales. Los documentos se encuentran bajo la carpeta “SOP Uno”.
Tabla 5-4 Aplicación de la primera fase diseñada para la metodología
La Tabla 5-5 resume los resultados obtenidos al efectuar la segunda fase de la metodología
propuesta. Debido a que no se cuenta con el equipo para aislar las comunicaciones se tuvo que
buscar una alternativa para mantener al equipo aislado de la red, activar la característica de
“Modo al vuelo”.
Productos del Segundo SOP
Inspección. Búsqueda de palabras clave.
Se elaboró un conjunto de palabras para realizar la búsqueda de información relacionada con el incidente: droga, entrega, reunión, encargo, dinero, agenda, reunirse, movilizarse, escapar, huir, ocultar.
Inspección Inicial. El equipo de telefonía celular solo muestra el nombre de la marca Sonny Ericcson. El equipo presentaba un estado que presumía estar apagado.
Aislar las comunicaciones RF durante la inspección-análisis. Debido a que no se cuenta con el equipo necesario no es posible realizar este paso tal
como lo recomienda el SOP en este punto. Sin embargo, una posterior revisión sobre las funcionalidades del equipo asegurado, se logró determinar que cuenta con la característica denominada “Modo al Vuelo”, la cual aísla al equipo de telefonía celular de la red de trabajo.
Instalar los componentes de software Se instaló el programa del proveedor denominado SonyEricsson PC. Este programa
permite que el sistema operativo pueda identificar correctamente al dispositivo. Además, mediante esta aplicación fue posible obtener la evidencia que se encontraba almacenada en la tarjeta externa, las herramientas forenses utilizadas en este caso no pudieron acceder a estos elementos.
Preparar las herramientas forenses de telefonía celular Se instalaron las aplicaciones para la extracción de los datos. Además, se revisó que los
programas MobilEdit! y Device Seizure se instalaran correctamente. Recolectar Evidencia Volátil
En este modelo, no se detectaron datos que pudieran perderse mientras se manipulaba al equipo de telefonía celular.
Recolectar Evidencia No Volátil Se obtuvieron datos almacenados en la memoria interna del equipo. Es en donde se
encontró mayor información sobre la actividad del equipo de telefonía celular. En cuanto a la tarjeta SIM no fue posible obtener toda la información respecto a sus
características. Sin embargo, se obtuvieron datos generados por el usuario. Información de Directorio. Información de mensajería. Información de llamadas.
Datos almacenados en medios de almacenamiento externos. El equipo cuenta con una
128
Productos del Segundo SOP
tarjeta externa, la cual cuenta con una capacidad de cuatro GBytes, los elementos almacenados solo se pudieron acceder mediante el programa del proveedor denominado PC Suite.
Se compararon los datos extraídos por las herramientas con los datos existentes en el equipo de telefonía, no existió ninguna inconsistencia con los datos, por lo tanto no fue necesario realizar documentación sobre esta revisión.
Todos los archivos guardados fueron guardados en una unidad de memoria externa nueva, bajo una carpeta denominada SOP Dos. Además se hicieron copias de respaldo en CD grabables y en el disco duro de la computadora se creó un directorio en donde se guardaron todos los archivos.
Validación de la evidencia recolectada Se realizó la generación de hash para los cada uno de los archivos electrónicos generados
mediante la aplicación denominada md5summer. Aplicar la cadena de custodia a la evidencia recolectada. Además de calcular los hash, también se creó un documento en el cual se registran los
principales eventos que involucran la participación del equipo de telefonía celular y las personas que intervinieron.
Resumen: Se obtuvo la información necesaria para poder trabajar correctamente con el dispositivo, esto es, se identificó el modelo, y de esta manera, sus características técnicas principales. Además se identificaron las posibles fuentes de evidencia, se realizó la recolección y preservación de datos mediante las herramientas forenses, aplicaciones del fabricante y se recurrió a las fotografías digitales para aquellos elementos que no pudieron extraerse mediante éstas aplicaciones. Pasos realizados no descritos en el SOP: a) Obtención del modelo del equipo de telefonía celular. b) Obtención del manual correspondiente al equipo de telefonía celular. Se recomienda agregar los siguientes pasos al SOP:
1.3 Obtener el modelo del equipo de telefonía celular. 1.4 En base al modelo obtener el manual del equipo.
Ausencia de ejecución de actividades: Tarea: Aislar la comunicación al momento del aseguramiento. Motivo: Indisponibilidad de equipo especializado. Alternativa propuesta: Activación de modo al vuelo de las comunicaciones. Documentos/ Archivos Digitales: Manuales digitales, Aplicaciones del fabricante (Sony Ericsson PC Suite_4.006.00_XL), Imágenes digitales. Archivos digitales de audio (mp3). Contenido de mensajes, registro de llamadas. Reportes sobre la evidencia extraída.
Tabla 5-5 Resultados al ejecutar la segunda fase de la metodología.
La Tabla 5-6 resume los resultados obtenidos al aplicar la tercera fase. Esta parte es la que mayor
influencia del método científico presenta pues es aquí en donde se propone la manera de
establecer la reconstrucción de eventos, creación y prueba de hipótesis basada mediante la
evidencia identificada mediante la inspección y análisis de los datos.
Productos del Tercer SOP.
Inspección. Búsqueda de palabras clave.
Se diseñó un conjunto de palabras para realizar la búsqueda de información relacionada con el incidente: droga, entrega, reunión, encargo, dinero, agenda,
129
Productos del Tercer SOP.
reunirse, movilizarse, escapar, huir, ocultar. Búsqueda de Fuentes comunes.
Device Seizure Directorio. En cuanto a la información sobre el directorio almacenado en el
equipo de telefonía celular modelo w850. Se tiene el siguiente resumen: Presenta 25 contactos almacenados en la memoria interna del equipo. Presenta 77 contactos almacenados en la tarjeta SIM.
Registro de Llamadas. En cuanto al registro de llamadas el equipo presenta al momento de la extracción de datos poca actividad. El programa solo recuperó un registro correspondiente a las llamadas perdidas.
Tareas Programadas. Respecto a tareas programadas el programa no encontró ningún evento programado.
Historial SMS. El programa logró extraer datos relacionados con la actividad de mensajes SMS. El historial se compone de 264 mensajes de texto.
Detalles del equipo w850. Además de haberse identificado el modelo comercial del equipo (w850), el programa logró identificar diferentes clasificaciones de modelo del equipo asegurado.
MobilEdit! Directorio.
Presenta 25 contactos almacenados en la memoria interna del equipo. Presenta 78 contactos almacenados en la tarjeta SIM. Esta herramienta obtuvo un contacto más que Device Seizure.
Registro de Llamadas. Similar al programa Device Seizure pues solo se pudo extraer información sobre una llamada perdida.
Tareas Programadas. No se encontraron datos sobre esta categoría. Historial SMS. MobilEdit! logró extraer información sobre mensajes SMS. Al igual
que Device Seizure, el historial está compuesto de 264 mensajes de texto. Detalles del equipo w850. MobilEdit también logró identificar diferentes
clasificaciones de modelo del equipo asegurado. PC Suite. Con esta aplicación se accedió a una tarjeta de memoria externa que
acompañaba al dispositivo. Se obtuvieron los siguientes elementos. Se obtuvo un álbum de imágenes digitales. El álbum se compone de 54 archivos Imágenes adicionales. Una carpeta que contiene 9 imágenes. Archivos de audio.
Archivos de tipo mp3: Se encontraron, en total 45. Archivos de tipo (m4a): Se encontraron en total 8. Archivos de tipo (.mid): Se encontró 1 archivo.
Archivo de tipo (thm). Se encontraron 6 archivos. Archivos de tipo (3gp): Se encontró 1 archivo.
Detectar información eliminada u escondida. Las herramientas utilizadas para la extracción de datos (MobilEdit y Device Seizure)
no permitieron realizar recuperación de datos eliminados. Análisis.
Como no se recuperaron archivos eliminados no se realizó el paso de análisis de fragmentos de archivos.
En cuanto a datos ocultos se realizó una inspección básica mediante la herramienta denominada stegdetect-06 para determinar si existen datos ocultos en los archivos de imágenes. La herramienta detectó posibles datos ocultos mediante técnicas esteganográficas. Aquí es donde se es necesario contar con algún profesional especializado que domine este tipo de cuestiones y mejorar el proceso de analisis.
130
Productos del Tercer SOP.
Archivo: SOP Tres - Generación y Validación de la Hipótesis.xlsx. También se realizó un análisis para determinar si los archivos presentados a simple vista
correspondían al tipo mostrado por el sistema y no que hubiesen sido camuflajeados. Mediante el análisis se llegó a la conclusión de que no existió algún intento por ocultar los tipos de archivos extraídos. Archivo: SOP Tres - Generación y Validación de la Hipótesis.xlsx.
Reconstrucción de Eventos y Prueba Se identificaron seis objetos: Tres son objetos de efecto y tres son causales. Uno de los
objetos de efecto no aparece, sin embargo, esta identificado y considerado para que el evento pueda existir (Objeto C).
Se logró identificar la aparición de tres eventos: a) Recepción de un mensaje de texto. b) Creación de un mensaje de texto. c) el envío de un mensaje de texto.
Se creó hipótesis para los tres eventos relacionados con el incidente. Secuencia de Eventos
Se crearon hipótesis en donde ciertos eventos identificados se lograron secuenciar, para el caso se unieron los eventos E3 y E2.
Prueba de la Hipótesis. La prueba y validez de la hipótesis se basa en la existencia de los objetos encontrados
durante la inspección y análisis del equipo de telefonía celular y se considera que no es necesario realizar alguna prueba para que se considere válida. Si se requiriera hacer alguna prueba adicional, estas deberían de consistir en probar que: El equipo sea capaz de enviar mensajes El equipo es capaz de recibir mensajes El equipo ha tenido comunicación adicional con el número con el cual existió el
intercambio de estos mensajes. Resumen: En esta etapa se han analizado los objetos de interés para identificar los eventos relacionados con el incidente. Estos objetos han permitido también generar y validar la hipótesis respecto al caso. Pasos realizados no descritos en el SOP: Obtener información de la cuenta de usuario de la red GSM Consultar al proveedor del servicio sobre la actividad del equipo. Documentos/Archivos Digitales: SOP Tres - Generación y Validación de la Hipótesis.xlsx. Tipo_de_archivos.txt.
Tabla 5-6 Resultados obtenidos al ejecutar la tercera fase de la metodología
En la Tabla 5-7, se presentan los principales resultados obtenidos al llevar a cabo la aplicación de la
última fase de la metodología propuesta.
Productos del Cuarto SOP.
Elaborar de un informe con calidad legal. Se realizó un documento que presenta los elementos propuestos en el SOP.
Desarrollar la Revisión y valoración de la metodología. Procedimientos utilizados en la investigación.
Se revisaron cada uno de los procedimientos operativos propuestos y que fueron aplicados durante el proceso de investigación. Los resultados se encuentran en el archivo “Revisión del Proceso Forense.docx”.
Valoración de la metodología. Para realizar esta revisión mediante un formulario en donde se consideran los
131
Productos del Cuarto SOP.
comentarios del personal involucrado y que aplicó la metodología. considerando los siguientes aspectos:
Herramientas y recursos, Modelo y estructura del equipo, Entrenamiento y capacitación del personal, Diseño.
Resumen: Se realizaron dos actividades fundamentales: a) Reporte de resultados y, b) Revisión de la metodología. Ausencia de ejecución de actividades: Tarea: Definir un plan de trabajo para evaluar la metodología. Motivo: Este punto es algo que la metodología propone hacer, sin embargo, no propone mecanismos, parámetros u criterios para poder evaluarla. Por lo tanto, aún queda como tarea pendiente establecer claramente la manera de evaluar los puntos especificados en el SOP: Herramientas y recursos, Modelo y estructura del equipo, Entrenamiento y capacitación del personal, Diseño de Reportes y Presentación, Establecer reuniones. Pasos realizados no descritos en el SOP: Creación de un formulario en donde se consideran las opiniones del personal que aplicó la metodología. Documentos/Archivos Digitales: SOP Cuatro - Reporte.xlsx. Revisión del Proceso Forense.docx. Revisión del Proceso Forense.docx.
Tabla 5-7 Resultados obtenidos al ejecutar la última fase de la metodología.
5.9. La Metodología como Sistema Auxiliar para Control de Delitos.
Parte del objetivo general planteado consiste en que la metodología desarrollada sea aplicada por
alguna entidad que tenga la necesidad de controlar diversos incidentes. Los resultados obtenidos
al haberse aplicado la metodología muestran la aportación de elementos para controlar aquellos
incidentes en los que existe la participación de la tecnología de telefonía celular. De esta manera,
se puede apreciar que la metodología se puede convertir en un elemento clave para resolver este
tipo de incidentes.
El periódico “La Opinión” (67), presenta datos interesantes que pueden justificar la aplicación de la
metodología:
En el 2001 las ganancias por este ilícito alcanzaron 249 millones de pesos. Cada 24 horas a nivel nacional se reciben 4 mil llamadas de extorsión y en un 34% de las
ocasiones la extorsión resulta un éxito. Existen 296 grupos delictivos que se dedican a la extorsión telefónica. Estos grupos utilizan
unos 55 mil 600 teléfonos celulares. El 40% de ellos radicados en el Distrito Federal. Para recibir el dinero de sus víctimas usan casi 23 mil diferentes cuentas y en un 90% de
los casos se trata de agencias de envío, en 8% son cuentas bancarias y sólo en un 2% el cobro se hace personalmente.
Todos estos datos han sido obtenidos a través de un organismo existente conocido como el
“Centro Estatal de Control, Comando, Comunicaciones y Cómputo (C-4)”. Los Centros C-4
132
funcionan para realizar acciones efectivas de manera oportuna para la prevención, disuasión y
persecución de delitos, así como la atención de emergencias gracias a la infraestructura
tecnológica y física (68). Al menos debe existir un C-4 para cada estado de la República Mexicana.
De acuerdo con las funciones que deben realizar los Centros C-4, es posible pensar en que la
metodología desarrollada se puede convertir en un sistema fundamental que aporte elementos
que permitan alcanzar la misión encomendada a cada unos de los C-4.
Además de los C-4, existe un programa del gobierno federal denominado Plataforma México.
Plataforma México o Sistema Único de Información Criminal es un proyecto de interconexión
electrónica para comunicar la procuración de justicia, la seguridad pública y el sistema
penitenciario de todo el país. Fue presentado el 7 de marzo de 2007 por el Secretario de Seguridad
Pública, Genaro García Luna, en el gobierno de Felipe Calderón, como parte del Sistema Nacional
de Seguridad Pública (69). Plataforma México es un concepto avanzado que integra todas las
tecnologías de la información y las pone accesibles al profesional de la seguridad pública, con la
finalidad de que cuente con todos los elementos de información para el combate al delito.
Ambos organismos pueden requerir de la utilización de la metodología debido a la naturaleza de
sus funciones. La aplicación de la propia metodología (orientada al análisis forense a equipos de
telefonía celular) y la aplicación de la teoría45 que la integra pueden auxiliar al desarrollo e
instrumentación de protocolos y metodologías personalizadas. De esta manera, estos organismos
podrán cumplir con el requisito de operar de forma homologada y sistemática a través de todas las
instancias policiales y de procuración de justicia del país.
45 Es necesario aclarar que, en este contexto, el término teoría hace referencia a: los procedimientos operativos
estandarizados, el método científico y el diseño de métodos. Los cuales pueden ser orientados, utilizados y aprovechados
en otras áreas independientes del análisis forense digital
133
Conclusiones
A través de este trabajo de tesis se ha puesto de manifiesto que existen muchos documentos
generados por organismos internacionales, documentos que sirven para la definición y puesta en
operación de una metodología de análisis forense de equipos de comunicación personal, como lo
son los teléfonos celulares. Estos documentos fueron revisados y analizados para obtener
características relevantes que pudieran integrarse en la metodología final propuesta.
Para la definición formal de la metodología propuesta, tomando como base los documentos
analizados, se consideró el uso del método científico. Para ello, se aplicó el uso de los
procedimientos operativos estandarizados, los cuales han sido muy poco usados en esta área del
conocimiento, pero han mostrado tener efectividad y congruencia en la documentación de un
caso.
Para la conformación técnica de la metodología, fue fundamental el uso de los principios para el
manejo de la evidencia digital propuestos por la IOCE/ACPO, los cuales están reflejados en los
procedimientos operativos estandarizados definidos para esta metodología. De la misma forma,
fue importante el uso de la guía de manejo de incidentes dada por el NIST, ya que los precursores
e indicadores ayudan a identificar los incidentes de seguridad informática que ocurridos como
parte de un caso en investigación. Esto quedó reflejado en el primer procedimiento operativo
estandarizado, en la etapa de investigación preliminar.
La metodología propuesta satisface las siguientes condiciones:
Universal, dado que se ha conformado a través de la consideración de las mejores
prácticas internacionales.
Autocontenida, dado que contiene todos los elementos necesarios para que personas con
el perfil de especialista en seguridad informática pueda realizarla si sigue cada uno de los
pasos incluidos en los procedimientos operativos estándar. Pudiera exigir una mayor
preparación ó entrenamiento para la fase 3, que es la más especializada de las cuatro
fases.
134
Formal, dado que se ha conformado con base en el método científico. Esto garantiza que
los resultados serán reproducibles en caso de que se requiriera su validación y
admisibilidad ante una corte de justicia.
Confiable, ya que incluye en sus procedimientos operativos estándar garantías de
custodia sobre la evidencia que se adquiere y analiza. Adicionalmente, define los perfiles
profesionales específicos que habrán de realizar las tareas indicadas por la metodología.
Mejora continua, ya que sus procedimientos operativos estándar incluyen procesos de
retroalimentación que promueven la identificación de puntos críticos y/o débiles que son
susceptibles de ser cambiados o mejorados.
Procesos documentados, ya que en todos y cada uno de los procedimientos operativos
estándar considera la documentación de las actividades que se realizan e incluye la
evidencia de segundo orden generada al analizar la evidencia adquirida de un caso en
cuestión.
Entonces, por lo anterior, esta metodología se considera que puede tener aplicación nacional. Esto
ayudará a resolver la carencia de control existente en el manejo de incidentes que conforman un
caso de orden legal donde haya intervenido el uso de tecnología móvil en nuestro país.
La capacidad que brinda la metodología como auxiliar en la resolución de incidentes puede ser
aprovechada por aquellas organizaciones establecidas por el Gobierno Mexicano, como pudiera
ser en los Centros Estatales de Control, Comando, Comunicaciones y Cómputo (C-4) de la
Secretaría de Seguridad Pública y; de igual manera, resultaría de utilidad que fuera utilizada por el
programa federal contra la delincuencia denominado “Plataforma México”.
El trabajo realizado en esta tesis pone de manifiesto que el objetivo planteado inicialmente ha
quedado satisfecho, debido a que:
a. Se ha propuesto una metodología para el análisis forense de equipos de telefonía celular.
La cual considera las recomendaciones tanto del NIST (National Institute of Standards and
Technology) como de otros organismos internacionales (ACPO, SWGDE, CP4DF, NIJ).
b. La metodología permite la recolección, manejo y análisis de evidencia digital almacenada
en dispositivos de telefonía celular que pertenezcan al sistema GSM:
135
i. En cuanto a la recolección, se hace una distinción entre la recolección física del
dispositivo (la cual es tratada en la primera fase) y la recolección de evidencia
lógica (la cual se efectúa en la segunda fase).
ii. En cuanto al manejo de la evidencia; la metodología considera la aplicación de la
cadena de custodia, los principios de la ACPO/IOCE y la documentación de la
evidencia. Por consiguiente, se ha asegurado la presencia de estos tres aspectos,
durante todo el proceso de investigación digital, mediante los procedimientos
operativos. Asimismo, entre las tareas de los procedimientos, se considera la
creación de formatos para registrar la actividad a la que ha sido sometida la
evidencia.
iii. En cuanto al análisis, la metodología amplía el proceso de análisis de evidencia
(tercera fase) y lo vincula con el método científico. El proceso es dirigido por un
procedimiento operativo que añade la reconstrucción de eventos mediante
objetos de efecto y objetos causales.
c. La metodología propuesta permite establecer informes claros y útiles en la resolución de
delitos en los que se involucre esta tecnología. Esto se logra al realizar el cuarto
procedimiento pues presenta una guía para el diseño del informe. Este diseño considera
las fuentes de evidencia características de la tecnología GSM, los hallazgos obtenidos del
tecer SOP y de la documentación generada durante toda la investigación.
De igual manera, los objetivos específicos planteados han quedado satisfechos debido a que:
a. Se lograron comprender tanto los fundamentos del análisis forense a equipos de telefonía
celular así como los procedimientos relacionados con el manejo de la evidencia digital.
Este objetivo se logró mediante el desarrollo de diversas secciones tal como: Aplicación
del proceso forense (sección 2.1), la investigación digital (sección 2.3), investigaciones
sobre evidencia digital en telefonía celular (sección 2.4 y 2.5), fuentes de evidencia digital
en los equipos de telefonía celular (sección 3.5), evidencia digital y cadena de custodia
(sección 4.1), descripción de los principios de la evidencia digital (sección 4.4.1).
b. Se analizaron los procedimientos del análisis forense a computadoras y se aplicaron
aquellos que resultaron válidos para el proceso forense en telefonía celular. Este objetivo
se logró principalmente con la implementación de los principios de la ACPO sobre la
evidencia digital almacenada en los equipos de telefonía celular (sección 4.4.2) y a la
136
revisión de los documentos que tratan sobre el manejo de evidencia digital almacenada
en computadoras (sección 4.3).
c. Se comprendieron los mecanismos de almacenamiento de la información digital en los
dispositivos de telefonía celular. Esto se logró gracias a la descripción funcional y
electrónica de un teléfono celular (sección 3.1 y 3.2), a la descripción de los sistemas
operativos de teléfonos celulares (sección 3.3), a la descripción de la tarjeta SIM y sus
sistema de archivos (sección 3.4).
d. Se utilizaron ciertas herramientas diseñadas para extraer la evidencia digital presente en
los dispositivos de telefonía celular. Se obtuvo información sobre ciertas herramientas
para realizar la extracción de evidencia digital en equipos de telefonía celular y se
realizaron pruebas con estas herramientas concluyendo que, para un mejor análisis se
requiere aplicar más de una herramienta (sección 4.6).
Además de los objetivos, se ha logrado responder a las interrogantes presentadas en el
planteamiento del problema:
a. Mediante la metodología propuesta es posible obtener, manejar y analizar adecuadamente la
evidencia digital almacenada en los dispositivos de telefonía celular a través de
Procedimientos Operativos Estandarizados. Estos procedimientos han quedado diseñados de
manera general para poder manejar los pasos requeridos en el proceso de investigación
forense.
b. A pesar de que el desarrollo de la tesis no contempla la estructura del sistema legal, la
metodología propuesta es capaz de auxiliar a aquellos organismos dedicados al control de
delitos, pues permite: guiar el proceso de investigación digital, mantener la cadena de
custodia y establecer un informe para presentar los resultados de manera clara y concisa.
c. Sólo el NIST ha publicado un trabajo extenso para atender aquellos incidentes en donde estén
involucrados los equipos de telefonía celular. La aportación principal de esta institución es
haber identificado aquellas fases comunes entre diversas propuestas y aplicarlas al análisis
forense a equipos de telefonía celular.
d. Se identificaron ciertas herramientas que permiten extraer la evidencia digital almacenada en
los equipos de telefonía celular. Sin embargo, ninguna de ellas resulta ser mejor que otra.
Incluso, presentan deficiencias para interactuar con los celulares. Por lo tanto, es importante
utilizar varias de ellas para mejorar el proceso de investigación digital.
137
Trabajo a Futuro
En este apartado se engloban una serie de propuestas de continuación al trabajo iniciado en esta
tesis. Estas propuestas, quedan definidas mediante los siguientes puntos:
Evaluación. Un aspecto importante que complementará el desarrollo de la metodología
propuesta consistirá en someter la metodología a una evaluación formal. Esta evaluación
deberá ser guiada a través de criterios o mecanismos establecidos por algún modelo
existente o bien, desarrollar la adaptación del modelo para que pueda ser aplicado. Los
resultados de la evaluación deberán proporcionar información que permita detectar
puntos débiles de la metodología, y de esta manera, mejorar los procesos de la propuesta.
Sistemas Operativos. Desarrollar un trabajo de investigación que se dedique al estudio
específico y amplio relacionado con la arquitectura y técnicas de diseño de aquellos
elementos que se encargan de la administración de sistema de archivos (por ejemplo, en
sistemas Linux para equipos de cómputo los archivos son administrados a través de
Inodos, etc.).
Evidencia en la red. El presente trabajo presenta una revisión de la infraestructura y
funcionamiento de la de red con tecnología GSM. Una propuesta de trabajo a futuro,
puede consistir en un proyecto que estudie o proponga el desarrollo de métodos y
técnicas para efectuar un Análisis de Sitio de Célula a la red GSM.
Tecnologías de comunicación. Adaptar la propuesta para aplicar la metodología a aquellos
equipos de telefonía celular que no utilicen la tecnología GSM, esto es, desarrollar una
investigación para realizar el análisis forense a: a) A modelos de telefonía móvil que
utilicen tecnologías actuales, b) A tecnologías que se aplicarán en el futuro, tal como
UMTS, b) A la arquitectura de red para efectuar el análisis de Sitio de Célula para este tipo
de tecnologías.
Imagen del sistema. Las herramientas utilizadas solo recuperan archivos activos que el
sistema propietario puede detectar; en otras palabras, estas herramientas no crean una
imagen a nivel físico. Por lo tanto, se deberán establecer procedimientos para que se
pueda realizar la copia bit a bit tal como lo recomiendan las mejores prácticas requeridas
por las ciencias forenses digitales.
138
Vinculación con organizaciones contra la delincuencia. Establecer comunicación al menos
con los Centros Estatales de Control, Comando, Comunicaciones y Cómputo (C-4) y con
“Plataforma México”. Realizar los trámites y ajustes necesarios para que la metodología se
adapte a posibles estándares definidos por estas entidades y, de esta manera, pueda ser
aceptada como parte de sus mecanismos auxiliares contra aquellos delitos o incidentes
que requieran atender y resolver.
139
Publicaciones
“ANÁLISIS FORENSE DE EQUIPOS DE TELEFONÍA CELULAR”. Santes Galván Lucio, Vázquez Medina, Rubén; Ramos Toxtle, Ramos. Congreso Iberoamericano de Seguridad Informática. Noviembre 2007.
FUENTES DE EVIDENCIA DIGITAL EN TARJETAS SIM DE TELÉFONOS GSM. Lucio Santes Galván, Alberto Ramos-Toxtle. Rubén Vázquez Medina. Congreso de Investigación Politécnica. Octubre 2007.
APLICACIÓN DE LA FORENSIA INFORMÁTICA EN AGENDAS ELECTRÓNICAS PORTÁTILES. Valdespino Alejandro, Vázquez Rubén, Santes Lucio. Congreso Internacional “Tendencias Tecnológicas en Computación” 2008.
140
Análisis Forense de Equipos de Telefonía Celular.
Lucio Santes-Galván1 y Rubén Vázquez-Medina1
1Instituto Politécnico Nacional Escuela Superior de Ingeniería Mecánica y Eléctrica
Unidad Culhuacán Av. Santa Ana No. 1000 Col. San Francisco Culhuacán, C. P. 04480
MEXICO D. F. [email protected] [email protected]
Alberto Ramos Toxtle2.
2Secretaría de Marina, Armada de México. Comisión de Seguridad de la Información.
[email protected] MEXICO D. F.
Eje 2 Ote. Tramo H. Escuela Naval Militar 861, Col. Los Cipreses, Del. Coyoacán, México D. F. 04830
Resumen: A partir de una panorámica del proceso forense y de las metodologías reportadas en la literatura especializada, en este artículo se analizan los componentes de un equipo de telefonía celular, de los cuales se puede obtener evidencia digital que contribuya a la solución de un delito informático. Después, se describen y comparan las herramientas existentes que permiten obtener, manejar y analizar la evidencia digital en estos dispositivos. Finalmente, con la evidencia analizada se propone la estructura de informes de utilidad legal.
Palabras Clave: telefonía celular, informática forense, herramientas, informe.
1 Antecedentes.
Actualmente, los alcances de la telefonía celular han rebasado las expectativas de la sociedad, pues NO solamente son considerados equipos de comunicación. También permiten la transmisión de voz y datos, y sirven como instrumentos auxiliares de apoyo a diferentes actividades humanas, convirtiéndolos en un medio efectivo para administrar información (directorios, agendas, etc.). Estos equipos permiten la creación, procesamiento y almacenamiento de datos en diversos formatos electrónicos, junto con la posibilidad de utilizar el servicio de Internet [1].
Esta condición tecnológica existente en los celulares otorga beneficios económicos y sociales, pero también pueden producir condiciones que ponen en riesgo la seguridad de los usuarios y las instituciones.
Bajo este escenario, y partiendo de la premisa de que en un delito fue utilizado un teléfono celular como instrumento activo, indudablemente existe evidencia digital que debe considerarse para ser analizada como parte de un proceso forense. Por ello, se requiere de profesionales que cuenten con la habilidad técnica suficiente para identificar y analizar las diferentes fuentes de evidencia digital, en función del objetivo que se persiga en la labor forense.
Antes de continuar abordando este tema es conveniente tomar en cuenta los siguientes datos estadísticos en México (Ver fig. 1). Estos datos son proporcionados por la Dirección General Adjunta de Tecnologías de la Información y Comunicaciones de la Comisión Federal de las Telecomunicaciones (COFETEL) [2] y permiten reconocer la conveniencia de generar especialistas que cuenten con la capacidad técnica para enfrentar este tipo de problemas.
“… En lo que respecta al número de usuarios, al cierre del junio se registraron 51.18 millones de usuarios de telefonía celular, lo que significa un incremento de 19.5% respecto al mismo periodo de 2005. Con este
141
valor, la teledensidad en telefonía celular/PCS se ubica en aproximadamente 48.8 líneas por cada 100 habitantes. Durante el trimestre de análisis la adición neta de usuarios fue de 2.23 millones.”
Por otro lado, la misma fuente indica que el número de llamadas de voz y de datos también se ha incrementado, véase la fig. 2 [2]. Esta fuente cita lo siguiente: “En lo que respecta a telefonía celular/PCS, sigue como uno de los subsectores más dinámicos del sector telecomunicaciones, tanto por el crecimiento de sus usuarios como del tráfico. Sin embargo, en este último rubro se ha generado una desaceleración a pesar de la reducción de las tarifas en términos reales. En este sentido, la creciente popularidad y el uso del servicio de mensajes cortos ayudan a explicar el citado fenómeno, así como el perfil de los nuevos usuarios de telefonía móvil que privilegian la recepción de tráfico sobre la generación de llamadas.”
Como puede notarse, este universo de usuarios de la telefonía celular presume la posibilidad de una importante cantidad de delitos que involucran a las tecnologías de información y las telecomunicaciones (TICS). Estos datos estadísticos justifican abordar el problema del análisis forense en equipos de telefonía celular en México, ya que la telefonía celular, al usarse de forma delictiva, demanda de un mecanismo auxiliar en un proceso legal, civil y/o administrativo.
Por otro lado, sin saber los detalles técnicos del funcionamiento de los dispositivos celulares, no es posible identificar y manejar adecuadamente la evidencia digital que permita resolver un el delito cometido. Ante esto, se puede identificar las siguientes interrogantes: ¿Cómo es posible obtener, manejar y analizar adecuadamente la evidencia digital almacenada en los dispositivos de telefonía celular que han sido utilizados para cometer un delito? A partir de la evidencia analizada, ¿Es posible auxiliar a los sistemas legales en contra de estos delitos? ¿Existe alguna metodología para tratar la evidencia digital almacenada en los dispositivos de telefonía celular? ¿Cuáles son las herramientas existentes para el manejo de evidencia almacenada en los dispositivos de la telefonía celular? Gradualmente se dará respuesta en este trabajo a cada una de estas interrogantes.
142
2. El Proceso Forense.
El término forense proviene del latín forensis (sitio donde los tribunales juzgan las causas) e implica un ejercicio y aplicación de procedimientos utilizando ciencias relacionadas que estudian y resuelven casos ligados normalmente a situaciones legales. Entonces, el término forense se refiere a cualquier aspecto de una determinada ciencia relacionada con el derecho; o aquello relativo a los tribunales y administración de justicia, o relacionado con ellos.
Después de analizar lo propuesto por DIBS [3] y la FBI de los EUA [4], se puede establecer la siguiente definición: La informática forense permite establecer y seguir una metodología confiable para la identificación, recolección, análisis, preservación, documentación, interpretación y presentación de evidencia digital, en investigaciones de orden civil, criminal o administrativo.
Fases del Proceso Forense Las fases del proceso forense constituyen una metodología que considera desde el aseguramiento de la escena del delito hasta la presentación de evidencias ante un tribunal (en caso de ser necesario). Esta metodología se basa en el Código de prácticas para forensia digital [5]. Este código es un proyecto o iniciativa que se encuentra coordinada al menos por: David González, David Barroso, José M Duart, Jeimy Cano. La última versión del documento es la 1.3, la cual fue liberada en noviembre del 2003 y considera que la evidencia digital es y debe ser convincente ante procesos legales. Para asegurarla, es importante la homogenización del protocolo de admisibilidad de la prueba. Esta labor se hace muy difícil en circunstancias en donde no exista una metodología, menos aún, cuando no exista un marco de trabajo.
Las fases propuestas para el proceso forense según instituciones como: Guidance Software [6], NTI New Technologies [7] y Scientific Working Group on Digital Evidence [8], así como de profesionales relacionados con la evidencia digital son:
Fase I: Aseguramiento de la Escena
Se refiere a asegurar (restringir el acceso a la zona del delito para no modificar evidencias) la escena del delito informático. La idea central de las primeras personas en enfrentarse al delito es no afectar la escena y por consiguiente la evidencia digital.
143
Fase II: Identificación de las Evidencias Digitales
Consiste en familiarizarse y comprender el entorno en el cual ocurrió el delito informático. Esto es, se deben reconocer los datos útiles en el proceso forense en función del objetivo que se persiga. Se debe identificar dónde se encuentran localizados dichos datos y la manera en que se hallan almacenados. Así, el investigador forense tendrá una perspectiva acerca del lugar en donde pueden existir evidencias potenciales.
Fase III: Preservación de las Evidencias Digitales.
Muchos autores consideran que esta es la fase más importante y crítica del proceso, ya que de ella depende la credibilidad de los resultados. Si se pierde la evidencia generada por un delito, los objetivos de la informática forense simplemente no podrán lograrse. Por lo tanto, se requiere de la existencia íntegra de las evidencias digitales junto con su credibilidad y de acuerdo a las leyes vigentes. Este proceso de preservación se debe realizar tan pronto como sea posible.
Fase IV: Análisis de las Evidencias Digitales.
Consiste en interpretar los datos extraídos para determinar su impacto en el caso. Algunos ejemplos de análisis son búsqueda de datos de aplicaciones o archivos, de datos ocultos, de datos eliminados, creación de líneas de tiempo, etc.
El análisis requiere un conocimiento amplio y profundo de lo que se está buscando y como obtenerlo. La persona que analiza la evidencia debe estar totalmente instruida para ese fin. Basándose en estas evidencias el investigador debe intentar contestar a las siguientes preguntas en la fase de análisis. ¿Quién? Se debe reunir información sobre el/los individuo/s involucrados en el caso. ¿Qué? Es necesario determinar la naturaleza exacta de los eventos ocurridos. ¿Cuándo? Se refiere a la reconstrucción temporal de los hechos. ¿Cómo? Se deben descubrir las herramientas y métodos que se usaron para cometer el delito.
Fase V: Generación y presentación de Informe de Utilidad Legal
El investigador es completamente el responsable de entregar un informe preciso de sus hallazgos y resultados del análisis a la evidencia digital, el cual contenga información factual y de valor probado. Es importante registrar, en forma precisa, los pasos efectuados durante éste análisis, de manera que los resultados pudieran reproducirse en caso de ser necesario. El informe debe reflejar que cada fase fue certificada con testigos, notarios o corredores públicos que puedan corroborar lo realizado por el experto forense. Esta acción de certificación debe intentarse en las fases de asegurar la escena del delito, identificación y preservación de las evidencias.
Una labor adicional importante, que se encuentra implícita dentro del proceso forense, es la de documentación de cada acción del proceso. El objetivo de esta actividad es la de comunicar el significado de la evidencia digital, los hechos, sus conclusiones y justificar el procedimiento empleado.
Estas fases serán secuenciales, aunque dependiendo del tipo de evidencias que se tengan en escena (volátiles o no volátiles) habrá un tratamiento distinto, esencialmente en cuestión de rapidez de la recolección de las evidencias digitales, en las dos primeras fases.
3. Análisis Forense a Dispositivos Celulares, Ejemplos.
La gran aceptación del uso de la tecnología celular en la sociedad ha dado paso a la generación de actividades adversas que afectan la seguridad de los usuarios. Estas actividades, inevitablemente, generan datos almacenados electrónicamente, lo que potencialmente representa evidencia digital. En este punto es donde converge la Informática forense con la telefonía celular. Por lo tanto, el análisis forense en equipos celulares debe utilizar metodologías y principios fundamentales de la Informática Forense.
144
Existen muchas anécdotas de casos reales en los que se ha requerido de la intervención de un informático forense y/o la aplicación del proceso forense. En los casos que se mencionan a continuación se describen los tipos de evidencia digital que fue utilizada exitosamente en la investigación.
Mensajes de texto y datos de llamada. El caso en Knutby, Suecia[9]. Un pastor de una congregación en una comunidad pequeña fue sentenciado a prisión por el resto de su vida por persuadir a una de sus amantes para que matara a su esposa, y a su vez por tratar de matar al esposo de otra de sus amantes. Dos días después del asesinato, “Sara S.” amante del pastor confesó haberlo hecho. A pesar de sus confesiones, la policía creyó que tenía un cómplice. La evidencia más convincente contra el pastor fue la gran comunicación a través de mensajes de texto y llamadas entre él y su amante el día del asesinato, y justo antes de ese día. Lo que ellos no sabían era que sus mensajes de texto, cuidadosamente borrados, podían ser recuperados. Así los mensajes SMS han emergido como evidencia de importancia considerable.
Datos de correos electrónicos [10] El caso contra Dan Kincaid fue contundente. El dueño de una casa al norte de Boise, Idaho, había identificado a Mr. Kincaid como la persona que había irrumpido en su casa. Pero el testimonio del observador no era tan sólido. La policía requería más. Así, que buscaron en el celular de Kincaid datos electrónicos encontrando toda la evidencia que se necesitaba. Al tratar de encontrar la manera de alejarse de su vecino sin ser atrapado, Kincaid escribió a su novia el 1 de agosto del 2005, justo después de ser sorprendido: “Los perros ladran si estoy entre o detrás de las casas….” “Los policías saben que traigo puesta una playera azul”, el continúo: “Necesito salir de aquí antes de que me encuentren.” Confrontado con su admisión implícita en su e-mail, Kincaid aceptó negociar con los afectados en aquel crimen y otros más.
Localización [11] Ian Huntley fue culpado por el asesinato de dos menores: Holly Wells y Jessica Chapman. El caso utilizó entre otras, evidencia de un teléfono móvil, la cual ahora es muy útil para la policía tal como huellas digitales o el ADN. El último registro de señal del celular de Jessica la localizaba en la casa de Huntley (1846 BST), la tarde en que fueron vistas por última vez.
Los ejemplos anteriores justifican el por qué abordar el tema de la informática forense en equipos de
telefonía celular, ya que como se ha notado contienen información relevante que se debe recolectar, preservar, identificar y analizar. Además, con estos ejemplos se entiende y reconoce la necesidad de formar profesionales que conozcan de las técnicas de la informática forense, y en particular aquellas relacionadas con su aplicación a teléfonos celulares. De esta manera, surge entonces la necesidad del manejo de nuevas herramientas y técnicas para la investigación de delitos en los que están relacionados dispositivos móviles.
Es importante constituir grupos de profesionales especializados en el tema que sean capaces de enfrentarse a escenarios nuevos que demandan tareas de investigación cada vez más complejas. Considérese que sin un marco coherente de trabajo la labor se hace más complicada. Una investigación forense en equipos de telefonía celular siguiendo un procedimiento permite administrar adecuadamente la evidencia digital encontrada, y de esta manera, es posible apoyar a quien resulte afectado por el delito. Así, es posible proveer pruebas necesarias que permitan emprender acciones legales contra quien resulte responsable de haber cometido el delito. Es importante hacer notar que la aplicación de las ciencias forenses en dispositivos móviles no se limita al área de seguridad pública, sino también puede ayudar en la seguridad nacional y federal.
145
4. Evidencia Digital en Sistemas de Telefonía Celular
Los sistemas para la comunicación móvil alcanzaron una escala mundial con la aparición y uso de la tecnología GSM. Debido a que GSM se ha convertido en el sistema de comunicación móvil más popular en el mundo entero, debe considerarse qué fuentes de evidencia digital se encuentran disponibles en esta tecnología. Por ello, se deben estudiar los fundamentos y componentes del sistema de GSM, incluyendo la tarjeta SIM y la red de comunicación celular.
En este sentido, la buena noticia es que existen diversas herramientas que permiten extraer la evidencia digital de los componentes del sistema. Sin embargo, existe la necesidad de desarrollar procedimientos forenses depurados y el marco legal pertinente que permita a los dueños del sistema de comunicaciones proporcionar la información necesaria, y/o la intervención de sus sistemas por un especialista en informática forense.
Uno de los componentes del sistema GSM es la estación móvil (MS), la cual corresponde al equipo del usuario en el sistema. La MS es lo que el usuario puede ver del sistema GSM. La estación consta de dos entidades, el equipo móvil (ME), y el módulo de identidad del suscriptor (SIM). Los ME se producen por diferentes fabricantes, y casi siempre habrá un amplio rango de MEs diferentes en una red móvil.
Es posible recuperar los registros existentes en un ME y su contenido puede tener valor como evidencia. Un ME contiene la siguiente información útil como: IMEI (Identidad Internacional de Equipo Móvil), Números de marcación rápida, Mensajes de texto, Ajustes (idioma, la fecha/hora, el tono/volumen, etc), Grabaciones almacenadas de audio, Archivos electrónicos almacenados, Registró de llamadas entrantes y números marcados, Programas ejecutables almacenados, Eventos de calendario registrados, GPRS, WAP y ajustes de Internet.
Tarjetas SIM
Lo primero que hay que reconocer es que una tarjeta SIM es una tarjeta inteligente (smart card). Los estándares internacionales para estas tarjetas están regulados por la ISO/IEC a través de la familia de normas 7816. Estos estándares definen las propiedades básicas de las tarjetas inteligentes denominadas de contacto, tales como: características físicas, características de comunicación, datos almacenados, interoperabilidad de la tarjeta, etc. La familia de la ISO 7816 contiene varios apartados al respecto y pueden consultarse en [12]. Las tres primeras partes de esta norma se centran en el hardware de la tarjeta y el chip. El resto especifica los mecanismos y propiedades de aplicaciones y sistemas operativos para tarjetas inteligentes, además de los aspectos informáticos asociados.
En este mismo sentido, el Instituto para estándares de telecomunicaciones europeas (ETSI), formado por compañías e industrias de telecomunicaciones de Europa, ha hecho una contribución significativa para el uso internacional de tarjetas inteligentes en el campo de los sistemas de telefonía celular. Esta aportación ha dado lugar a la familia de estándares GSM 11.11, los cuales especifican la interfase entre la tarjeta inteligente (referida como “Modulo de identidad del suscriptor” en el sistema GSM) y el teléfono celular. Esta familia de estándares se basan en los estándares ISO/IEC [13].
De la misma manera que para un equipo de cómputo, las tarjetas inteligentes utilizan un sistema operativo para trabajar correctamente. En una tarjeta SIM las tareas primarias del sistema operativo son: Transferencia de datos desde/hacia la tarjeta inteligente, Controlar la ejecución de comandos, Administrar archivos y Administrar y ejecutar algoritmos criptográficos.
El sistema de archivos usado para las tarjetas inteligentes es jerárquico, está definido por el estándar 7816-4 y soporta tres tipos de archivos: 1) Archivo Maestro (MF), el cual es la raíz del sistema de archivos y contiene archivos dedicados y archivos elementales; 2) Archivo Dedicado (DF), que se refiere al directorio de la tarjeta inteligente y contiene todos los archivos que incluye dedicados y elementales; y 3) Archivo elemental (EF), el cual contiene otros archivos que pueden, a su vez, ser clasificados en: a) Archivos transparentes, los cuales consisten de secuencias estructuradas de bytes; b)Archivos varios, los cuales consisten en una secuencia individual identificable de registros y por su estructura pueden considerarse como: i) Archivo lineal ajustado, el cual contiene registros de tamaño ajustado, ii) Archivo variable, el cual contiene registros de tamaño variable y iii) Archivo cíclico, el cual consiste en archivos organizados como una estructura de anillo.
146
La SIM contiene información que puede ser valiosa como evidencia. Primero, la SIM por sí sola puede tener valor como evidencia, ya que generalmente el nombre del proveedor de la red está impreso sobre la SIM y cuenta con un número de identificación único. Con este identificador único es posible conseguir con el proveedor información relativa al nombre y dirección de suscriptor, así como el número de teléfono relacionado con la SIM. La tarjeta SIM, entre otra información, almacena:
Identificación internacional de la tarjeta (ICCID). Es un número de serie de la tarjeta SIM que la
identifica de manera internacional. Identidad Internacional del Suscriptor Móvil (IMSI). Un número de identificación único asociado
con cada equipo móvil y utilizado por la red del sistema. El número se compone de un código de país, código de proveedor de red y un número de suscriptor.
Números de marcación rápida (ADN). Lista definida por el usuario en donde establece aquellos números que asociará un número corto para su rápida localización y marcación
Últimos números marcados. Corresponde a la lista de aquellos números más recientemente marcados por el usuario, cabe aclarar que no todos los teléfonos almacenan estos registros en la tarjeta SIM.
Números de servicios de marcado (SDN). Una lista conteniendo aquellos números que permiten acceder a servicios especiales.
Nombre del proveedor del servicio (SPN). Tabla de servicios SIM. Relación de registros en donde se resume todos los servicios que una
tarjeta SIM puede soportar. Mensajes sms: historial de mensajes, estado y parámetros Información de ubicación
Los métodos forenses para la extracción y análisis de evidencia en teléfonos celulares se encuentran en
desarrollo, no existen métodos definitivos ni específicos y existe la necesidad por desarrollar aquellos que manejen la evidencia en una forma adecuada [14].
Todos los procedimientos que actualmente existen se basan en la aplicación de las fases generales de la informática forense y proponen pasos específicos, y se deben evitar ambigüedades en cuanto a criterios. Prueba de ello es la manera de preservar la evidencia, en la metodología propuesta por la empresa CCL-Forensics [15] y por Williamson, B, et al. [16]. En resumen, CCL-Forensics dice que si el equipo esta encendido no se debe interactuar con el dispositivo y para su transporte el equipo debe ser apagado, de la misma forma Williamson en su artículo recomienda apagar el equipo cuanto antes. Sin embargo, existe una diferencia en cuanto al motivo de apagar el equipo, mientras que la empresa recomienda apagar el equipo para conservar la energía de la batería Williamson recomienda apagarlo para evitar la contaminación de la evidencia.
Otra manera de evitar que el equipo se contamine es aislarlo electromagnéticamente, pues al dejar al equipo en interacción con el sistema celular se pueden insertar, eliminar o modificar datos en el teléfono móvil.
Por otro lado, una tercera metodología mencionada y descrita brevemente en el artículo de Marwan AlZarouni [17] denominada “Mejores Prácticas para el aseguramiento de la evidencia digital” perteneciente al Servicio Secreto de los Estados Unidos (USSS), indica que el teléfono se debe dejar en el estado en el que se encontró ya sea apagado o encendido.
5. Herramientas de Análisis Forense en Celulares
Las herramientas forenses son fundamentales para la extracción de los datos de teléfonos móviles. Son la interfaz a través de la cual un examinador puede conectarse a un dispositivo y revisar la información disponible. Las herramientas consideradas en este trabajo son las siguientes: Device Seizure, TULP 2G y MOBILedit! Forensic. TULP 2G: Es un software considerada como una herramienta forense que no automatiza del todo el proceso de análisis forense. El beneficio que otorga es el de poder extraer datos de equipos móviles así como de la
147
tarjeta SIM. El diseño de ésta herramienta asume que es usada por analistas entrenados que conocen la forma de investigar un equipo. Es desarrollada por Netherlands Forensic Institute (NIS) y se encuentra implementada en C#. Una de sus cualidades particulares es que sigue la ideología de pertenecer al software libre.
MOBILedit! Forensic: Es una herramienta forense desarrollada por Laboratorios Compelson. Su origen proviene de una aplicación diseñada para funcionar como administrador de equipos móviles. De acuerdo con la empresa es considerada entre las mejores herramientas para realizar la extracción de datos y puede trabajar con varios modelos de telefonía celular. Tiene una interfaz simple y fácil de comprender y puede ser usada para extraer datos ya sea de las tarjetas SIM como datos del equipo móvil.
Device Seizure: Desarrollada por la empresa Paraben Forensics. La empresa la define como una herramienta que tiene la capacidad de extraer los datos contenidos en dispositivos de telefonía móvil sin afectar la integridad de los datos. Entre los datos que puede extraer se encuentran los números telefónicos, fechas, tiempos, fotos, registro de llamadas, etc. Fue diseñado toma en cuenta las marcas más comunes de teléfonos Nokia, Siemens, Motorola y SonyEricson. La interfaz de Cell Seizure es muy sencilla de usar y produce informes en formatos. Toda la salida se verifica usando funciones MD5.
6. Aplicación de Herramientas a un Caso de Estudio
Las herramientas forenses descritas fueron aplicadas a un caso específico de estudio, en un ambiente controlado de laboratorio. Se pudo acceder al sistema de archivos del teléfono y se pudo extraer información relevante, la cual podría considerarse como evidencia digital. El modelo del teléfono que se uso fue un Sony Ericsson K790i. A continuación se explican cuáles fueron los elementos que lograron extraerse sin entrar en detalles por cuestiones de privacidad.
En cuanto al desempeño de las herramientas utilizadas en la investigación se puede decir que Device Seizure y MobileEdit fueron las que producen mejores e interesantes resultados al momento de efectuar la extracción de la evidencia utilizando diferentes equipos de telefonía celular.
Aunque la herramienta TULP 2G resulta ser prometedora por ser de código libre, su diseño y utilización de complementos hace que la obtención de la evidencia no sea una tarea sencilla. No obstante, resulta ser una herramienta útil para la comunidad científica pues como está basada en código abierto es posible analizar con mayor detalle la herramienta, permitiendo en un momento dado comprender el funcionamiento y verificar que los resultados son válidos y aceptados por los procedimientos forense a diferencia del resto de las herramientas forenses que son propietarias.
Por otro lado Device Seizure logró extraer registros de llamadas perdidas, llamadas recibidas, números marcados, últimos números marcados. En cuanto a mensajes logró extraer todos los mensajes recibidos y enviados. La lista de contactos fue extraída completamente y los datos se obtuvieron de acuerdo a la organización original de los contactos almacenada en el equipo. Esto es, manteniendo la correspondencia entre los nombres y números telefónicos. Sin embargo, Device Seizure no pudo obtener datos asociados como la dirección de correo electrónico ó las notas adicionales. La herramienta no fue capaz de mostrar ni el calendario integrado ni las actividades programadas en el mismo. Por otro lado, ésta herramienta logró obtener datos adicionales del equipo como son: modelo del fabricante, nombre y número del modelo así como versión del modelo, otra ventaja es que guarda la fecha y hora de ejecución del programa y permite la generación de reportes. En cuanto a datos borrados como son mensajes, al menos la versión utilizada no fue capaz de recuperar mensajes borrados, contactos eliminados, registros de llamadas pérdidas en ninguna de sus variantes, lo mismo ocurre con contactos eliminados. En general, no se logró recuperar datos eliminados con ésta herramienta.
La versión de MobileEdit! también se encuentra limitada en cuanto al número de modelos con los que puede trabajar. Sin embargo, de las pruebas exitosas logró extraer los datos relativos a llamadas y fue posible obtener datos adicionales que Device Seizure como son datos de correo electrónico asociados a los contactos. A diferencia de la herramienta anterior, MobileEdit permitió revisar y distinguir entre la memoria interna del teléfono y una tarjeta de memoria insertada, logró extraer los mensajes, la versión permitió recuperar algunas imágenes y en cuanto a la generación del reporte no fue posible por la versión de prueba. Además fue posible
148
obtener el registro IMSI de la tarjeta SIM. En general MobileEdit! permite una mayor adquisición de datos y mejor organización en la exploración de evidencia superando las capacidades de Device Seizure. Sin embargo, tampoco fue posible obtener datos eliminados. Algo que llama la atención es que esta herramienta permite eliminar datos o modificarlos, lo cual va en contra de los principios de la forensia digital.
A continuación se resume los resultados de las pruebas en las siguientes tablas. DS se refiere a la herramienta Device Seizure, mientras que MED corresponde a MobilEdit!. La primera tabla corresponde a los datos extraídos que no se encuentran en la tarjeta SIM.
SMS Música Contactos Llamadas Tareas Imágenes Reporte Central de SMS
DS X --- X X --- -- X X MED X X X X X X -- --
Tabla 1. Datos extraídos del teléfono
La tabla 2 corresponde a los datos obtenidos contenidos en la tarjeta SIM, cabe aclarar que no se utilizo
una lectora de tarjetas inteligentes compatible.
Datos Almacenados en la tarjeta SIM IMSI Llamadas Contactos SMS DS --- --- X X ME X X X X
Tabla 2. Datos que se lograron extraer de la tarjeta SIM
Por último, en la tercera tabla se presenta la capacidad que tuvo la herramienta para acceder a tarjetas de memoria externa
Datos Almacenados en tarjeta multimedia adicional Música Imágenes SMS Video Sistema Juegos DS -- --- --- --- --- -- ME X X X X X X
Tabla 3. Elementos extraídos de elementos externos
Perfil del Usuario.
De acuerdo con los datos obtenidos, se puede crear un perfil de usuario aunque no se expondrán los datos exactos por cuestiones de privacidad.
Primeramente se puede dar una descripción técnica a partir de la información obtenida con las herramientas, tal como se presenta en la siguiente tabla:
IMEI 352208011129403 Tipo de red de trabajo GSM Resolución de pantalla 240 x 320 Capacidad de colores 262144 Revisión de Software R1CC003 060621 1742 CXC1250477_GENERIC_EV Nombre del modelo Sony Ericsson AAF-1022011-Bv Fabricante del modelo Sony Ericsson
Tabla 4. Detalles técnicos del equipo móvil
Tomando en cuenta aquella información almacenada únicamente se pueden hacer las siguientes aseveraciones: En cuanto al estilo de la administración de sus contactos, es un usuario que deja claramente el tipo de contactos que tiene pues se distingue fácilmente aquellos que son familiares (primos, hermanos, tíos, etc.), amigos, compañeros de escuela y de trabajo, incluso se logra identificar acerca de cuál es el oficio o profesión de alguno de sus contactos, tal como algunos médicos y los tratamientos que ofrece. De la misma forma, en sus actividades programadas define fechas de pago de alguno de los servicios que debe realizar. En base, a los números de contactos se puede conjeturar al menos la ciudad en donde radican o por lo menos, determinar la ciudad a la que pertenecen esos números. Como se puede ver la relación entre equipo móvil y el
149
usuario crece y se personaliza conforme a la actividad entre estas dos entidades, relación que un momento puede servir para culpar o deslindar a un sospechoso.
7. Reporte de Utilidad Legal.
En el marco de la Informática Forense y/o la Forensia Digital se hace necesario tener clara la manera en que debe elaborarse un informe. Se debe tener presente que el informe elaborado seguramente será un instrumento legal que estará a disposición de una autoridad administrativa, civil, judicial o penal. Esto dependiendo del incidente o delito del que se trate y del objetivo que se persiga al realizar una investigación forense: 1) Compensación de los daños causados por los criminales o intrusos, 2) Persecución y procesamiento judicial de los criminales y 3) Creación y aplicación de medidas para prevenir casos similares.
Debido a que este informe potencialmente será usado para fines legales y debido a que la informática forense tratan de reglas de manejo de la evidencia y procesos legales, es importante considerar que debe contener una serie de requisitos para que sea realmente útil, teniendo en cuenta aspectos relacionados con la cadena de custodia, integridad y continuidad de la evidencia, y considerando también que su contenido debe ser información factual (hechos) y de calidad probada. De esta manera, se propone que el cuerpo de un informe de utilidad legar debe de estar formado por las siguientes secciones principales:
A. Detalles de la investigación. (Contexto de la investigación). Se consideran los detalles aspectos: Nombre e información del analista forense. Detalles e información del equipo móvil. Un número de referencia del caso, en caso de ser aplicable. Personas ú organizaciones implicadas. Personas ú organizaciones participantes en la investigación. Hora y fecha de la notificación, dirección de la institución (Es recomendable delimitar el área o departamentos afectados). Motivación de la investigación. Duración de la investigación. Problemática derivada del incidente de seguridad o del delito informático (daño causado y efecto sobre el negocio). Identificación de dispositivos implicados en la investigación (marca, modelo y número de serie, sistemas operativos y sistemas de archivos, aplicaciones instaladas y uso definido de acuerdo a los perfiles de los usuarios). Mecanismos y procedimientos para el manejo y custodia de la evidencia (documentación de la custodia y herramientas criptográficas y de firmado digital).
B. Registro de históricos del uso del equipo celular. Los siguientes aspectos de la historia deben ser registrados: La fecha y hora de la ocurrencia del incidente alegado, además del tipo y circunstancias del incidente y definir la relación con el dispositivo, Obtener los últimos registros de actividad del sistema previo al incidente (si fuera posible), Presentar líneas de tiempo de la actividad del equipo. Esto es, se debe registrar en orden cronológico y contrastado con la fuente de información perfectamente identificada. Un buen historial es una de las mejores guías para un buen análisis y para tomar las posibles fuentes de información que sean más apropiadas
C. Relación de hallazgos producto del análisis: Presentar un registro de los datos más importantes relacionados con el caso que fueron localizados durante el análisis al equipo móvil, excluyendo información no esencial o subjetiva. Considerar el uso de diagramas y fotografías fechadas para un mejor entendimiento de la evidencia obtenida y que corresponda con el reporte escrito.
D. Investigaciones Especiales. Las investigaciones especiales complementan el análisis forense por decir “básico”. Esto es, someter algún dato a técnicas avanzadas para obtener mayor información que no sea fácilmente detectable. La cadena de custodia es suma importancia y crítica en el manejo de la evidencia. A menos que una investigación especial sea crítica para los hallazgos forenses, el reporte no deberá estar detenido hasta que el resultado de la prueba esté disponible. El reporte inicial o provisional debe estar disponible a la brevedad posible. Un reporte posterior con mayor precisión siempre debe ser requerido, y que cumpla con un formato específico de declaración oficial una vez que los resultados de la investigación especial estén concluidos.
E. Interpretación, Opiniones, Diagnóstico y Conclusiones: Una interpretación y diagnóstico de las posibles causas de los síntomas anormales y de los hallazgos se espera. El reporte debe ser relativo a los hechos y solo expresa conclusiones u opiniones en relación a detalles técnicos del caso. Cuando
150
los hallazgos del reporte se interpretan es necesario considerarlos en el contexto del histórico y resultados del análisis.
Conclusiones
La forensia en telefonía se encuentra en crecimiento, cada día aparecen herramientas para el análisis de equipos que se esfuerzan en cumplir con los principios de la informática forense. El análisis en telefonía celular presenta grandes retos: Las herramientas son limitadas pues existen diversos fabricantes, los cuales elijen la forma en que trabajarán y, por otro lado, en los equipos móviles se organizan los archivos con criterios diferentes sin seguir exactamente algún estándar. Esta es la razón por la cual solo pueden trabajar con ciertos modelos. Dada esta diversidad, las herramientas diseñadas para el manejo de evidencia digital deben basar su funcionamiento en estándares definidos por el sistema GSM para comunicarse mediante sus protocolos y comandos para poder extraer la información del equipo relativa a archivos.
Además de lo anterior, las herramientas deben comprender el sistema de archivos de las tarjetas SIM para poder extraer la información descrita anteriormente.
A partir del caso de estudio considerado para este trabajo se puede determinar que no existe alguna herramienta que garantice resultados satisfactorios a la hora de extraer la información de un celular. Ninguna tiene la capacidad de trabajar con todos los modelos existentes en el mercado y, por tanto, existe la necesidad de creación de más herramientas y metodologías en el campo de la forensia en telefonía celular para que se puedan resolver o apoyar a aquellos delitos que se han valido del uso de ésta tecnología.
Referencias
1. David Espinosa, Enrique; Tecnológico de Monterrey. Nuevos medios inalámbricos para hacer negocios en México, 2005. Sitio:
http://actualizacion.itesm.mx/proevent/jsp/publico/WebsiteJava/articulos/Paper%20wireless%20en%20Mexico.pdf 2. Dirección General Adjunta de Tecnologías de la Información y Comunicaciones (Cofetel), 2006. Sitio:
http://www.cft.gob.mx/wb2/COFETEL/COFE_Indice_de_Produccion_del_Sector_3er_2006 3. The DIBS® Methodology, 2007. Sitio: http://www.dibsusa.com/methodology/methodology.asp, 4. Federal Bureau of Investigation, http://www.fbi.gov/homepage.htm 5. Código de prácticas para digital forensics, 2003. Sitio: http://cp4df.sourceforge.net/ 6. Guidance Software, 2007. Sitio: http://www.guidancesoftware.com 7. NTI New Technologies, 2007. Sitio: http://www.forensics-intl.com/ 8. Scientific Working Group on Digital Evidence. 2007. Sitio: http://68.156.151.124/ 9. Lundback, Karin. Historia de sexo, crimen, Dios y SMS acapara atención en Suecia, 2004. Sitio: http://www.absurddiari.com/s/llegir.php?llegir=llegir&ref=4567 10. Shachtman, Noah; Fighting Crime With Cellphones Clues, 2006. Sitio: http://www.nytimes.com/2006/05/03/technology/techspecial3/03cops.html 11. Summers, Chris. BBC News Online. Mobile phones - the new fingerprints. 2003. Sitio: http://news.bbc.co.uk/1/hi/uk/3303637.stm 12. Information Technology Standars ISO/IECJTC1/SC17. Sitio: http://www.sc17.com. 13. The GSM Technical Specification, http://www.ttfn.net/techno/smartcards/gsm11-11.pdf 14. Svein Yngvar Willassen, Forensics and the GSM mobile telephone system. 2003. Sitio: http://www.utica.edu/academic/institutes/ecii/publications/articles/A0658858-BFF6-C537-7CF86A78D6DE746D.pdf 15. CCL-FORENSICS, Mobile Phone Seizure Guidelines, www.ccl-forensics.com 16. Williamson, B. Forensic Analysis of the Contents of Nokia Mobile Phones, 2006. Sitio: http://scissec.scis.ecu.edu.au/wordpress/conference_proceedings/2006/forensics/Williamson%20et%20al%2020Forensic%20Analysis%20of%20the%20Contents%20of%20Nokia% 20Mobile%20Phones.pdf 17. Mobile Handset Forensic Evidence: a challenge for Law Enforcement, Marwan AlZarouni, 2006. Sitio: http://scissec.scis.ecu.edu.au/wordpress/conference_proceedings/2006/forensics/Al-Zarouni%20%20Mobile%20Handset %20Forensic%20Evidence%20-%20a%20challenge%20for%20Law%20Enforcement.pdf
151
FUENTES DE EVIDENCIA DIGITAL EN TARJETAS SIM DE TELÉFONOS GSM.
Lucio Santes-Galván1, Rubén Vázquez-Medina1, y Alberto Ramos-Toxtle2.
1Instituto Politécnico Nacional Escuela Superior de Ingeniería Mecánica y Eléctrica
Unidad Culhuacán Av. Santa Ana No. 1000 Col. San Francisco Culhuacán, C. P. 04480
MEXICO D. F. [email protected] [email protected]
2Secretaria de Marina, Armada de México. Comisión de Seguridad de la Información.
[email protected] MEXICO D. F.
Eje 2 Ote. Tramo H. Escuela Naval Militar 861, Col. Los Cipreses, Del. Coyoacán, México D. F. 04830
Palabras Clave: SIM, Telefonía GSM, Evidencia digital.
Resumen: A partir de la estructura de una tarjeta SIM, típica, empleada en sistemas de telefonía celular del tipo GSM, se identifican los registros que pueden proporcionar información relevante en un proceso forense y que puede constituir la evidencia digital de un incidente de seguridad informático. Además se describen algunas herramientas de software aplicables a tarjetas SIM que ayudan a documentar el proceso forense en un incidente que involucra teléfonos celulares. Finalmente, se presentan las consideraciones que se deben tener para un caso de estudio en el que se aplique el proceso forense. 1 Antecedentes.
Los equipos de telefonía celular se han convertido en una herramienta de uso cotidiano y muy frecuente, por ello, se hace necesario considerarlos como una fuente importante de evidencia digital, cuando los celulares estén involucrados en un incidente de seguridad informática y por lo tanto, sean objeto de estudio en un proceso de análisis forense. En este sentido, se debe tener presente que los teléfonos celulares NO solamente son considerados equipos de comunicación, sino que también sirven como instrumentos auxiliares de apoyo a diferentes actividades, convirtiéndolos en un medio efectivo para administrar información a través de directorios, agendas, organizadores, etc. Se debe tener presente que en estos equipos es posible la creación, procesamiento y almacenamiento de datos en formatos específicos de acuerdo con el sistema de archivos establecido. Además, estos equipos tienen la posibilidad de utilizar el servicio de Internet. Así, un teléfono celular es un sistema de comunicación que ofrece suficiente información del usuario, ya que crea un perfil del usuario que establece hábitos de uso, comportamiento, actividad e intenciones del propietario del equipo. Toda esta información residente en el equipo se puede usar como evidencia en un proceso
forense. La pregunta que surge en este momento es ¿Qué componentes de un teléfono celular contienen información que puede constituirse como evidencia digita? Y ¿Cómo es posible acceder a esta información sin alterarla? En particular, en este trabajo solo se revisa lo relacionado a la tarjeta SIM de un teléfono celular que opera en el sistema GSM. Esto no quiere decir que existan otras fuentes de información importantes para conformar la evidencia digital completa de un proceso forense, pero el alcance de este trabajo solo son las tarjetas SIM. Otro componente evidente es la memoria del teléfono celular y la memoria externa (MM2, por ejemplo), o aquella que puede ofrecer la propia red, a través del proveedor del servicio. La tarjeta SIM es una tarjeta inteligente y su uso es obligatorio para sistemas de telefonía celular GSM. En una tarjeta SIM existen tres tipos de memoria: ROM, aquella en la que se almacena el sistema operativo; RAM, que se refiere a la memoria temporal, y la EEPROM, que se refiere a la memoria en la que se almacenan datos de la RAM. Se debe considerar que en la tarjeta SIM se almacenan datos personales y de la cuenta del suscriptor. Una tarjeta SIM es portable, ya que puede retirarse de un equipo móvil para ser
152
insertado en uno diferente y seguir trabajando normalmente. Por lo tanto, se puede considerar la tarjeta SIM como un elemento permanente e independiente del teléfono celular, haciendo efectivo el hecho de que un individuo puede contar con un equipo de comunicación personal. De este modo, resulta conveniente conocer el lugar donde se encuentra toda la información que existe en una tarjeta SIM y para ello se debe describir cual es su estructura y constitución internas. Así, será posible identificar, encontrar y extraer esta información que puede convertirse en evidencia digital en un proceso forense. Se ha realizado una revisión de los trabajos de investigación que se han desarrollado alrededor de este tema, y uno de los más completos es el desarrollado por F. Casadei et al. de Italia [1]. Casadei propone el desarrollo de una herramienta basada en código abierto cuyo objetivo es la extracción del contenido de la memoria de tarjetas SIM. Otro trabajo relevante es el desarrollado por Svein Yngvar Willassen, denominado “Forensia y el sistema de telefonía móvil GSM”, el cual incluye un apartado que trata sobre los datos que se pueden ser recolectados de la tarjeta SIM. Tomando como base estos dos trabajos a continuación se describe la estructura de una tarjeta SIM para entender de donde se puede extraer información relevante. 2. Tarjetas SIM Una tarjeta SIM es una tarjeta inteligente (smart card). Los estándares internacionales para estas tarjetas están regulados por la ISO/IEC a través de la familia de normas 7816. Estos estándares definen las propiedades básicas de las tarjetas inteligentes denominadas de contacto, tales como: características físicas, características de comunicación, datos almacenados, interoperabilidad de la tarjeta, etc. La familia de la ISO 7816 contiene varios apartados al respecto y pueden consultarse en [2]. Las tres primeras partes de esta norma se centran en el hardware de la tarjeta y el chip. El resto especifica los mecanismos y propiedades de aplicaciones y sistemas operativos para tarjetas inteligentes, además de los aspectos informáticos asociados.
En este mismo sentido, el Instituto para estándares de telecomunicaciones europeas (ETSI), formado por compañías e industrias de telecomunicaciones de Europa, ha hecho una contribución significativa para el uso internacional de tarjetas inteligentes en el campo de los sistemas de telefonía celular. Esta aportación ha dado lugar a la familia de estándares GSM 11.11, los
cuales especifican la interfase entre la tarjeta inteligente (referida como “Modulo de identidad del suscriptor” en el sistema GSM) y el teléfono celular. Esta familia de estándares se basan en los estándares ISO/IEC [3].
De la misma manera que para un equipo de cómputo, las tarjetas inteligentes utilizan un sistema operativo para trabajar correctamente. En una tarjeta SIM las tareas primarias del sistema operativo son:
Transferencia de datos desde/hacia la tarjeta inteligente
Controlar la ejecución de comandos Administrar archivos Administrar y ejecutar algoritmos
criptográficos El sistema de archivos usado para las tarjetas inteligentes consiste en un sistema de archivos jerárquico y soporta tres tipos de archivos, está definido por el estándar 7816-4 y se puede resumir de la siguiente manera: 1) Archivo Maestro (MF), el cual es la raíz del sistema de archivos y contiene archivos dedicados y archivos elementales; 2) Archivo Dedicado (DF), que se refiere al directorio de la tarjeta inteligente y contiene todos los archivos que incluye dedicados y elementales; y 3) Archivo elemental (EF), el cual contiene otros archivos que pueden, a su vez, ser clasificados en: a) Archivos transparentes, los cuales consisten de secuencias estructuradas de bytes; b) Archivos varios, los cuales consisten en una secuencia individual identificable de registros y por su estructura pueden considerarse como: i) Archivo lineal ajustado, el cual contiene registros de tamaño ajustado, ii) Archivo variable, el cual contiene registros de tamaño variable y iii) Archivo cíclico, el cual consiste en archivos organizados como una estructura de anillo. De acuerdo con Svein Yngvar, los siguientes registros pueden ser encontrados en una tarjeta SIM es:
SST SIM Service table ICCID Serial Number PL Preferred Languages SPN Service Provider name MSISDN Subscriber phone number AND Short Dial Number FDN Fixed Numbers LND Last Dialled Numbers EXT1 Dialling Extensión 1 EXT2 Dialling Extensión 2 GID1 Groups 1 GID2 Groups 2 SMS Text Messages
153
SMSP Text Messager parameters SMSS Text message status CBMI Preferred netwowrk messages PUCT Charges per unit ACM Charge counter ACMmax Charge limit HPLMNSP HPLMN search period FPLMN Forbidden selector CCP Capabilityconfiguration parameter ACC Access control class IMSI IMSI LOCI Location information BCCH Broadcast control channels Kc Ciphering key AD Administrative data
Todos los datos almacenados pueden llegar a tener un valor potencial que pueda considerarse como evidencia. Sin embargo, la mayoría de los archivos referidos al funcionamiento interno de la red nunca se utilizan por el usuario, por ésta razón no representan evidencia en el uso del teléfono como tal. Por lo tanto, a continuación se describe los archivos y registros que típicamente representan evidencia relevante en el uso del teléfono. 3. Información como Evidencia Digital Existen tres fuentes de información en una tarjeta SIM de un teléfono GSM que pueden llegar a formar parte de la evidencia digital de un incidente de seguridad informática. A continuación se describen: Información de la Ubicación: El archivo LOCI contiene entre otros datos el Identificador de ubicación de área en donde el equipo está actualmente localizado. Este valor será retenido en la tarjeta SIM hasta que sea apagado. Así, es posible para un investigador determinar el área de Ubicación en donde el equipo estaba operando por última vez. El operador de la red puede asistir al investigador para identificar la correspondencia entre el área y su identificador. Debe ser notado que el área de ubicación puede contener centenas o incluso miles de células. Sin embargo, en la tarjeta SIM no se almacena, ni se tiene registrado el identificador de la célula en la que por última vez se encontraba operando el equipo. Información acerca del suscriptor: El número serial, IMSI y MSISDN proporcionan una identificación para el cliente. La SIM almacena el IMSI, el cual es un único identificador para cada suscriptor en el sistema y éste puede ser obtenido sin proveer el PIN. La información acerca de los idiomas preferidos puede ayudar en el caso de que se requiera determinar la nacionalidad del suscriptor. El archivo MSISDN puede utilizarse para
recuperar las llamadas originadas por el usuario hacia otros números telefónicos. El IMSI identifica a la SIM mientras que el MSISDN corresponde al número telefónico del equipo.
Mensajes de texto. La SIM proporciona espacio para almacenar mensajes de texto. Muchas tarjetas SIM tienen 12 ranuras para los mensajes de texto. En resumen, muchos teléfonos modernos también permiten al usuario almacenar estos mensajes en la memoria del equipo móvil (ME). Depende del software del ME y de la configuración del usuario cuál memoria se usará y cuáles mensajes son almacenados. Una configuración común es que todos los mensajes entrantes son almacenados automáticamente, y los mensajes salientes son almacenados únicamente por petición explicita del usuario. La mayoría de los MEs usan primero la tarjeta SIM, antes de utilizar la memoria interna del equipo. Además, de lo anterior se puede encontrar información como la siguiente: Información acerca de la lista de amigos del suscriptor, Información acerca del trafico, Información acerca del suscriptor, Llamadas, Proveedor del servicio, De las tarifas y relativa al propio sistema.
Existen diversas herramientas que permiten acceder a la información antes descrita. A continuación se describen algunas de ellas que se pueden utilizar para el manejo y extracción de información de tarjetas SIM. BitPim: Es un programa que permite manipular, en un nivel lógico, muchos teléfonos CDMA pertenecientes a las marcas LG, Samsung, Sanyo y de otros fabricantes. Simbrush: Es una herramienta basada en código abierto que puede utilizarse en plataformas tanto en Linux como en Windows. Esta herramienta puede extraer los datos contenidos en el sistema de archivos de las tarjetas SIM. SIM Card Seizure, Paraben: Software orientado al análisis forense de equipos móviles. TUL2 PG: Es una herramienta desarrollada por NIS (Netherlands Institute of Forensics), implementada en C# y la utilidad que proporciona es la de recuperar datos desde el equipo móvil accediendo directamente a la tarjeta SIM. 4. Conclusiones
154
Los teléfonos celulares GSM requieren de una tarjeta inteligente denominada SIM, que funciona como un contenedor de datos seguros. Sin embargo, independientemente de la seguridad, su diseño interno proporciona registros de actividad del usuario que en un momento dado pueden aportar evidencia en la resolución de un caso. Es por ello que es importante conocer su diseño interno: El sistema de archivos y la manera en que se puede acceder a esos datos (herramientas forenses).
Referencias 1. A. Savoldi F. Casadei and P. Gubian. Simbrush: An open
source tool for gsm and umts forensics analysis. In Proceedings of Systematic Approaches to Digital Forensic Engineering, First International Work-shop, Proc. IEEE, pages 105–119, 2005.
2. Sitio SC17 de ISO IEC (Information Technology Standars), http://www.sc17.com. 3. The GSM Technical Specification GSM 11.11,
http://www.ttfn.net/techno/smartcards/gsm11-11.pdf
155
Bibliografía
1. Comisión Federal de Telecomunicaciones. Indice de Producción del Sector Telecomunicaciones 2do. Trimestre 2006. [En línea] Julio de 2006. http://www.cofetel.gob.mx/wb/COFETEL/COFE_Indice_de_Produccion_del_Sector_2_2006.
2. La Nacion. Crece la preocupación por el uso indebido de los celulares con cámara. [En línea] 3 de Marzo de 2004. http://www.lanacion.com.ar/Archivo/Nota.asp?nota_id=577718.
3. Comisión Nacional para la Protección y Defensa de los Usuarios y Servicios Financieros (Condusef). Inicia Inscripción al Registro Público de Usuarios. [En línea] 29 de Noviembre de 2007. http://www.condusef.gob.mx/sala_de_prensa/comunicados_2007/comunicado_46.html.
4. Ricardo Gómez, El Universal. Van 17 mil intentos de extorsión por celular. [En línea] 22 de Agosto de 2008. [Citado el: ] http://www.el-universal.com.mx/nacion/161825.html.
5. Aquino, Rubén. Departamento de Seguridad en Cómputo UNAM-CERT. Experiencias de análisis forense en México. [En línea] Septiembre de 2005. [Citado el: ] http://www.rediris.es/cert/doc/reuniones/af05/Experiencias_analisis_forense_en_mexico.pdf.
6. Asociación Internacional de Auditores en Sistemas de Información (ISACA). ¿Qué es un forense informático? [En línea] http://www.e-mexico.gob.mx/wb2/eMex/eMex_1ee88_not533_que_es_un_fo.
7. The GSM Association (GSMA). GSM Facts and Figures. [En línea] 8 de Mayo de 2008. http://www.gsmworld.com/news/statistics/index.shtml.
8. Jennifer Hill. International Herald Tribune. Mobile phone payments "pose huge fraud risk". [En línea] 19 de Mayo de 2008. [Citado el: ] http://www.iht.com/articles/reuters/2008/05/19/business/OUKBS-UK-BRITAIN-CONTACTLESS.php.
9. Hilton, Kelvin. An Example of Mobile Forensics. [En línea] 2006. [Citado el: ] http://blog.kangkang.org/wordpress/wp-content/uploads/2006/06/miei_lec_3.ppt.
10. Discovery Channel. Matando al rey de la cocaína. [En línea] Diciembre de 1993. http://www.tudiscovery.com/horacero/series2/rey_cocaina/index.shtml.
11. Shactman, Noah. Police using suspects' personal electronic devices to collect evidence. [En línea] Junio de 2006. http://www.signonsandiego.com/.
12. IDC. IDC Finds Global Mobile Worker Population Will Increase. [En línea] Octubre de 2005. http://findarticles.com/p/articles/mi_m0EIN/is_2005_Oct_12/ai_n15685458.
156
13. Lundback, Karin. A tale of infidelity, murder, God and SMSes. [En línea] Junio de 2004. http://www.iol.co.za/index.php?click_id=24&art_id=qw1086860342466B235&set_id=1.
14. Shachtman, Noah. The New York Times. Fighting Crime With Cellphones' Clues. [En línea] Mayo de 2006. http://www.nytimes.com/2006/05/03/technology/techspecial3/03cops.html.
15. Summers, Chris. BBC News Online.Mobile phones - the new fingerprints. [En línea] Diciembre de 2003. http://news.bbc.co.uk/1/hi/uk/3303637.stm.
16. The Internet Crime Complaint Center (IC3). “2007 Internet Crime Report”. [En línea] http://www.ic3.gov/media/annualreport/2007_IC3Report.pdf.
17. Digital Forensic Research Workshop. A Road Map for Digital Forensic Research. [En línea] Noviembre de 2001. [Citado el: ] http://www.dfrws.org/.
18. Sansurooah, Krishnun. Taxonomy of computer forensics methodologies and procedures for digital evidence seizure. [En línea] Diciembre de 2006. http://scissec.scis.ecu.edu.au/wordpress/conference_proceedings/2006/forensics/Sansurooah%20-%20Taxonomy%20of%20computer%20forensics%20methodologies%20and%20procedures%20for%20digital%20evidence%20seizure.pdf.
19. Pierce, Matt. Detailed Forensic Procedure for Laptop Computers. [En línea] http://www.sans.org/rr/whitepapers/casestudies/1141.php .
20. Jansen, Wayne, et. al., NIST. Guidelines on Cell Phone Forensics. [En línea] Mayo de 2007. http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf.
21. Ayers, Rick, et. al., NIST. Cell Phone Forensic Tools: An Overview and Analysis Update. [En línea] Marzo de 2007. http://csrc.nist.gov/publications/nistir/nistir-7387.pdf.
22. Cilleros, Nicolas, et. al., NIST. Cell Phone Forensic Tools: An Overview and Analysis. [En línea] Octubre de 2005. [Citado el: 18 de Febrero de 2007.] http://csrc.nist.gov/publications/nistir/nistir-7250.pdf.
23. Wikipedia. La Enciclopedia Libre. Instituto Nacional de Estándares y Tecnología. [En línea] Enero de 2007. http://es.wikipedia.org/wiki/Instituto_Nacional_de_Est%C3%A1ndares_y_Tecnolog%C3%ADa.
24. Chin, Joannie, et. al. NIST. What is NIST? [En línea] Enero de 2007. http://www.nist.gov/public_affairs/overview_video/overview_video.html.
25. Kensium. Cell phone forensics today is better than ever no other tool. [En línea] Abril de 2008. http://www.datatriage.com/blog/cell-phone-forensics-today-is-better-than-ever-no-other-tool.html.
157
26. Grance, Tim, et. al., NIST. Computer Security Incident Handling Guide. [En línea] 2004 de Enero. http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf.
27. Matthew Meyers, Marc Rogers. Computer Forensics:The Need for Standardization and Certification. [En línea] Otoño de 2004. http://www.utica.edu/academic/institutes/ecii/publications/articles/A0B7F51C-D8F9-A0D0-7F387126198F12F6.pdf.
28. Goode, Amanda. Forensic extraction of electronic evidence from Gsm Mobile Phones. [En línea] 2001. http://www2.theiet.org/oncomms/sector/communications/Library.cfm?Download=09C65D8E-6B83-4F15-BC15FB921247754E..
29. Casadei, Fabio y Savoldi, Antonio. Forensics and SIM cards an Overview. [En línea] Octubre de 2006. http://www.utica.edu/academic/institutes/ecii/publications/articles/EFE3EDD5-0AD1-6086-28804D3C49D798A0.pdf.
30. Willassen, Svein Yngvar. Forensics and the GSM mobile telephone system. [En línea] Abril de 2003. www.utica.edu/academic/institutes/ecii/publications/articles/A0658858-BFF6-C537-7CF86A78D6DE746D.pdf.
31. Naavi.org. Mobile Forensics..A New Challenge. http://www.naavi.org/. [En línea] 22 de Noviembre de 2004. http://www.naavi.org/cl_editorial_04/edit_nov_22_04_01.htm.
32. AlZarouni, Marwan. Mobile Handset Forensic Evidence: a challenge for Law Enforcement. Edith Cowan University. [En línea] 2006. [Citado el: ] http://scissec.scis.ecu.edu.au/wordpress/conference_proceedings/2006/forensics.
33. European Telecommunications Standards Institute (ETSI). The GSM Technical Specification GSM 11.11. [En línea] Enero de 2007. http://www.ttfn.net/techno/smartcards/gsm11-11.pdf.
34. Paraben Corporation. Device Seizure. [En línea] Enero de 2007. http://www.paraben-forensics.com/catalog/.
35. Netherland Forensics Institue. Tulp2G, Forensic Framework for Extracting and Decoding Data. [En línea] Diciembre de 2006. http://tulp2g.sourceforge.net/.
36. National Institute of Standards and Technology. PDA Forensics Tools: An Overview and Analysis. [En línea] http://csrc.nist.gov/publications/nistir/nistir-7100-PDAForensics.pdf.
37. Mobile Arsenal. Mobile operating systems: Series 40. [En línea] Junio de 2007. http://mobilearsenal.com/review/mobile_operating_systems_series_40/history.html.
38. CardWerk. The ISO 7816 Smart Card Standard. [En línea] Agosto de 2007. http://www.cardwerk.com/smartcards/smartcard_standard_ISO7816.aspx.
158
39. ISO/IEC JC1 Sub-Committee 17 (SC17) . Information Technology Standards. [En línea] http://www.sc17.com/.
40. Mobile Device Forensics. General Characteristics of the Subscriber Identity Module File System. [En línea] Junio de 2007. http://mobileforensics.files.wordpress.com/2007/02/sim-file-system.pdf.
41. Data Doctor. Sim Card Data ecovery Software. [En línea] http://www.datadoctor.org/partition-recovery/knw-sim-crd-overview.html.
42. 3GPP (2005a),. Specification of the Subscriber Identity Module - Mobile Equipment (SIM - ME) interface. 3rd Generation Partnership Project. TS 11.11 V8.13.0 (Release 1999), Technical Specification, (2005-06). [En línea] http://www.3gpp.org/FTP/Specs/html-info/1111.htm.
43. GSM Europe, GSM Association. GSME Position On Data Retention – Implications for The Mobile Industry. [En línea] 2005 de Agosto de 23. http://www.gsmworld.com/gsmeurope/documents/positions/2005/gsme_position_data_retention.pdf#search=%22GSME%20POSITION%20ON%20DATA%20RETENTION%22H.
44. Miller, Christa. The other side of mobile forensics. [En línea] Julio de 2008. http://www.officer.com/print/Law-Enforcement-Technology/The-other-side-of-mobile-forensics/1$42397.
45. Jim McMillan . Importance of a Standard Methodology in Computer Forensics. Information Security Reading Room. [En línea] http://www.sans.org/infosecFAQ/methodology.htm.
46. Scientific Working Group on Digital Evidence (SWGDE). Proposed Standards for the Exchange of Digital Evidence. [En línea] Octubre de 1999. http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm.
47. The Royal Pharmaceutical Society of Great Britain (RPSGB). Developing and implementing standard operating procedures for dispensing. [En línea] Noviembre de 2007. http://www.rpsgb.org.uk/pdfs/sops.pdf.
48. Barking, Havering and Redbridge Hospitals NHS. What is a Standard Operating Procedure (SOP). [En línea] 27 de Julio de 2006. http://www.bhrhospitals.nhs.uk/aboutus/pdfs/rdsop.pdf.
49. Chi-Hung Chou, et al. Standard Operating Procedures for embedded Linux Systems. [En línea] 1 de Agosto de 2007. [Citado el: ] http://www.linuxjournal.com/article/9686.
50. Hart V, Sarah, et. al. National Institute of Justice (NIJ). Forensic Examination of Digital Evidence: A Guide for Law Enforcement. [En línea] [Citado el: ] www.ncjrs.gov/pdffiles1/nij/199408.pdf.
51. Mispagel, Michael. University of Georgia. The SOP. [En línea] Enero de 2002. [Citado el: ] http://www.hawaii.edu/ehso/bio/theSOP.htm.
159
52. US Department of Justice. DOJ en Español: Instituto Nacional de Justicia. [En línea] http://www.usdoj.gov/spanish/nij_spanish.html.
53. Hagy W. David, et. al. (NIJ). Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition. [En línea] Abril de 2008. http://www.ojp.usdoj.gov/nij/pubs-sum/219941.htm.
54. Association of Chief Police Officers (ACPO), et. al. Good Practice Guide for Computer-Based Electronic Evidence. [En línea] www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf.
55. González, David, et. al. Código de prácticas para digital forensics. [En línea] Noviembre de 2003. http://cp4df.sourceforge.net/.
56. United States Secret Service, et. al. Best Practices for Seizing Electronic Evidence. [En línea] 2002. [Citado el: ] http://www.ustreas.gov/usss/electronic_evidence.shtml.
57. U.S. Secret Service. Best Practices For Seizing Electronic Evidence v.3: A Pocket Guide for First Responders. [En línea] [Citado el: ] http://www.forwardedge2.com/pdf/bestPractices.pdf.
58. James S., Nordby J. Forensic science: an introduction to scientific and investigative techniques. Boca Raton, Florida. Estados Unidos : CRC Press., 2003.
59. Lee H, Palmbach T, Miller M. Henry Lee’s crime scene handbook. Londres, Inglaterra. : Academic Press., 2001.
60. J., Rynearson. Evidence and crime scene reconstruction. Sexta Edicion. Redding, California. Estados Unidos. : National Crime Investigation and Training, 2002.
61. B., Turvey. Criminal profiling: an introduction to behavioral evidence analysis. Segunda Edición. Londres, Inglaterra. : Academic Press, 2002.
62. Bevel T, Gardner RM. Bloodstain pattern analysis: with an introduction to crime scene reconstruction. Segunda Edición. Boca Raton, Florida, Estados Unidos. : CRC Press, 2002.
63. E., Casey. Digital evidence and computer crime: forensic science, computers and the internet. Segunda Edición. Londres, Inglaterra. : Academic Press, 2004.
64. Stephenson, Peter. Modeling of post-incident root cause analysis.International Journal of Digital Evidence. [En línea] 2003. [Citado el: ] http://www.utica.edu/academic/institutes/ecii/publications/articles/.
65. Jones, John Chris. Design Methods. [En línea] http://degraaff.org/attic/design-methods.html.
66. SEARCH The National Consortium or Justice Information and Statistics. Creating a Cell Phone Investigation Toolkit:Basic Hardware y Software Specifications. [En línea] Septiembre de 2008. http://www.search.org/files/pdf/CellDeviceInvestToolkit-0908.pdf.
160
67. La Opinión de Poza Rica. Crece la extorsión telefónica. La Opinión. 2009.
68. Consejo Estatal de Seguridad Pública. Funcionamiento C4. www.aguascalientes.gob.mx. [En línea] [Citado el: 25 de Febrero de 2009.] http://www.aguascalientes.gob.mx/ssp/cesp/funcionamientoc4.aspx.
69. Indymedia México. Plataforma México. [En línea] 28 de Marzo de 2008. [Citado el: 25 de Febrero de 2009.] http://indy.espora.org/Plataforma_M%C3%A9xico.