red.uao.edu.cored.uao.edu.co/bitstream/10614/10351/3/t08013.pdf · desarrollo de una guia...
TRANSCRIPT
DESARROLLO DE UNA GUIA METODOLÓGICA PARA ANÁLISIS FORENSE EN DISPOSITIVOS MÓVILES CON SISTEMA OPERATIVO ANDROID
LUIS FELIPE CARVAJAL RAMÍREZ CÓDIGO 2076790
RODERY FRANCISCO UROSA ZULUAGA
CÓDIGO 2065950
UNIVERSIDAD AUTÓNOMA DE OCCIDENTE
FACULTAD DE INGENIERÍA DEPARTAMENTO DE OPERACIONES Y SISTEMAS
PROGRAMA INGENIERÍA INFORMÁTICA SANTIAGO DE CALI
2018
DESARROLLO DE UNA GUIA METODOLÓGICA PARA ANÁLISIS FORENSE EN DISPOSITIVOS MÓVILES CON SISTEMA OPERATIVO ANDROID
LUIS FELIPE CARVAJAL RAMÍREZ CÓDIGO 2076790
RODERY FRANCISCO UROSA ZULUAGA
CÓDIGO 2065950
Proyecto de Grado para optar al título de Ingeniero en Informática
Director MIGUEL JOSÉ NAVAS JAIME
Ingeniero de Sistemas Magister en Ingeniería Telemática
UNIVERSIDAD AUTÓNOMA DE OCCIDENTE FACULTAD DE INGENIERÍA
DEPARTAMENTO DE OPERACIONES Y SISTEMAS PROGRAMA INGENIERÍA INFORMÁTICA
SANTIAGO DE CALI 2018
3
Nota de aceptación:
Aprobado por el Comité de Grado en cumplimiento de los requisitos exigidos por la Universidad Autónoma de Occidente para optar al título de Ingeniero en Informática Ing. Mario Wilson Castro Jurado Ing. Juan Carlos Valencia González Jurado
Santiago de Cali, julio 6 de 2018
4
A nuestros padres y esposas, a nuestra familia por su apoyo incondicional, a nuestros profesores por su formación personal y académica, a todos los que con su colaboración y apoyo posible lograr esta meta tan importante para nuestra vida y ante todo a Dios por guiar todos los días nuestro camino. Rodery Francisco Urosa Zuluaga, Luis Felipe Carvajal Ramírez
5
CONTENIDO
Pág.
GLOSARIO 12 RESUMEN 14 INTRODUCCIÓN 16
PLANTEAMIENTO DEL PROBLEMA 17
JUSTIFICACIÓN 18
ANTECEDENTES 19
MARCO TEÓRICO 20 4.1 ANDROID 20 4.1.1. ¿Qué es Android? 20 4.1.2. Aplicaciones nativas de Android 21 4.1.3. Arquitectura de Android 23 4.1.4. Sistemas de archivos Android 24 4.1.5. Software libre (Android) Vs. Software comercial (iOS) 24 4.2. ANÁLISIS FORENSE 27 4.2.1. ¿Qué es análisis forense? 27 4.2.2. Tipos de archivos 27 4.2.3. Metodología y fases de un análisis forense 27 4.2.4. Guías metodológicas para análisis forense dispositivos móviles con sistema operativo Android. 31 4.2.5. Herramientas para análisis forense 36 4.2.6. Marco legal colombiano 43 4.2.7. El tratamiento de la evidencia digital y las normas ISO/IEC 27037:2012 52
OBJETIVOS 54 5.1 OBJETIVO GENERAL 54 5.2 OBJETIVOS ESPECIFICOS 54
METODOLOGÍA 55 6.1 ETAPAS DEL PROYECTO 55
DESARROLLO DEL PROYECTO 56
6
7.1 GUIA METODOLÓGICA 56 7.2 DIAGRAMA GUIA METODOLÓGICA 72 7.3 EJECUCIÓN DE LA GUIA METODOLÓGICA PARA ANÁLISIS FORENSE. 73
CONCLUSIONES 126 BIBLIOGRAFÍA 127 ANEXOS 130
7
LISTA DE FIGURAS
Pág.
Figura 1. Arquitectura Android 23
Figura 2. Fases de un análisis forense. 27
Figura 3. Modelo Casey 32
Figura 4. Fases basadas en las fases de investigación forense digital 34
Figura 5. Diagrama de fases y pasos guía metodológica 72
Figura 6. Extracción de memoria externa. 78
Figura 7. Inserción memoria externa 78
Figura 8. Selección de tipo de recurso. 79
Figura 9. Selección physical drive. 79
Figura 10. Crear imagen memoria. 80
Figura 11. Selección tipo de imagen de disco. 80
Figura 12. Llenar información del caso. 81
Figura 13. Lugar de almacenamiento de imagen 81
Figura 14. Crear Imagen 82
Figura 15. Iniciar creación imagen 82
Figura 16. Finalizar creación imagen 83
Figura 17. Ejecución Dr. Phone 84
Figura 18 Seleccionar la opción Backup and Restore. 84
Figura 19. Seleccionar la opción BackUp. 85
Figura 20. Se selecciona los archivos que serán objetos del Backup. 85
Figura 21. Se selecciona la ruta en la que se guardara el archivo .bak donde se almacena el backup. 86
8
Figura 22. Comienza el Backup. 87
Figura 23. Se espera a que termine el BackUp. 87
Figura 24. Se termina el BackUp. 88
Figura 25. Archivo Bak. 89
Figura 26. Ejecución del Software y carga del archivo obtenido en el backUp. 93
Figura 27. Selección de imagen a cargar. 94
Figura 28. Visualizar información cargada. 95
Figura 29. Examinar archivos almacenados. 96
Figura 30. Ejecución del Software y carga del archivo obtenido en el BackUp. 98
Figura 31. Seleccionamos la opción Image File y cargamos el archivo que se encuentra guardado en la ruta donde se realizó el backUp. 99
Figura 32. Seleccionamos la opción Image File y cargamos el archivo que se encuentra guardado en la ruta donde se realizó el backUp. 99
Figura 33. Visualizar información almacenada en memoria interna. 100
Figura 34. Análisis de información almacenada. 101
Figura 35. Análisis de instaladores de aplicaciones. 107
Figura 36. Carpeta imágenes encontradas en la cámara el dispositivo móvil. 109
Figura 37. Imágenes encontradas en la cámara el dispositivo móvil. 109
Figura 38 Pantallazos encontradas en la cámara el dispositivo móvil. 110
Figura 39. Registro de audios. 111
Figura 40. Registro de pantallazos. 111
Figura 41. Propiedades de la evidencia. 119
Figura 42. Contenido evidencia 2. 121
LISTA DE TABLAS
Pág.
Tabla 1. Comparativo Android Vs iOS 25
Tabla 2. Comparativo guías metodológicas para análisis forense 36
Tabla 3. Comparativo técnicas y herramientas para análisis forense. 42
Tabla 4. Marco de leyes colombianas. 44
Tabla 5. Fase 1 Encontrar la evidencia 57
Tabla 6. Fase 2 Identificar, describir y extraer la evidencia 62
Tabla 7. Fase 3 Analizar la evidencia 65
Tabla 8. Fase 4 Documentar y presentar la evidencia 70
Tabla 9. Ejecución Fase 1 73
Tabla 10. Registro de la cadena de custodia 76
Tabla 11. Ejecución Fase 2 77
Tabla 12. Ejecución Fase 2 Paso 4 89
Tabla 13. Registro de la cadena de custodia. 91
Tabla 14. Ejecución Fase 3 92
Tabla 15. Analizar datos de memoria externa. 97
Tabla 16. Analizar datos de cuentas memoria interna. 101
Tabla 17. Analizar datos de aplicaciones de memoria interna. 102
Tabla 18. Analizar datos de calendario. 102
Tabla 19. Analizar llamadas. 103
Tabla 20. Analizar contactos. 103
Tabla 21. Analizar información de dispositivo. 104
10
Tabla 22. Analizar SMS. 106
Tabla 23. Analizar audios. 107
Tabla 24. Análisis de registro de aplicaciones. 108
Tabla 25. Registro de fotografías. 110
Tabla 26. Registro de pantallazos. 112
Tabla 27. Registro de imágenes de Whatsapp. 112
Tabla 28. Registro de miniaturas. 113
Tabla 29. Registro de cadena de custodia. 115
Tabla 30. Ejecución fase 4. 116
Tabla 31. Lista de elementos relevantes del dispositivo móvil. 117
Tabla 32. Presentación de evidencia 1. 118
Tabla 33. Contenido evidencia 1. 118
Tabla 34. Registro de evidencia. 120
Tabla 35. Registro de evidencia 2. 120
Tabla 36. Registro de evidencia 3. 121
Tabla 37. Registro de evidencia 4. 122
Tabla 38. Registro de evidencia 5. 122
Tabla 39. Registro de evidencia 6. 123
Tabla 40. Registro de evidencia 7. 123
Tabla 41. Registro de cadena de custodia. 125
LISTA DE ANEXOS
Pág.
Anexo A. Formulario 1. 130
Anexo B. Rotulo de evidencia. 133
Anexo C. Registro de cadena de custodia. 134
Anexo D. Formulario 2. 135
Anexo E. Formulario 3. 137
Anexo F. Analizar datos de memoria externa. 140
Anexo G. Analizar datos de memoria interna. 141
Anexo H. Formulario 4. 142
Anexo I. Documentación de eventos relevantes del dispositivo móvil (evidencia) 144
12
GLOSARIO
ANDROID: Sistema operativo basado en el kernel de Linux diseñado principalmente para dispositivos móviles con pantalla táctil, como teléfonos inteligentes o tabletas y también para relojes inteligentes, televisores y automóviles, inicialmente desarrollado por Android, Inc. Google respaldó económicamente y más tarde compró esta empresa en 2005. Android fue presentado en 2007 junto la fundación del Open Handset Alliance: un consorcio de compañías de hardware, software y telecomunicaciones para avanzar en los estándares abiertos de los dispositivos móviles.
DISPOSITIVO MÓVIL: Aparato de pequeño tamaño, con algunas capacidades de procesamiento, con conexión permanente o intermitente a una red, con memoria limitada.
GUÍA METODOLÓGICA: Documento técnico que describe el conjunto de normas, fases y pasos a seguir en los trabajos relacionados con los sistemas de información u otras áreas.
INFORMÁTICA FORENSE: Aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.
KERNEL: un núcleo o kernel es un software que constituye una parte fundamental del sistema operativo, y se define como la parte que se ejecuta en modo privilegiado (conocido también como modo núcleo). Es el principal responsable de facilitar a los distintos programas acceso seguro al hardware de la computadora o en forma básica, es el encargado de gestionar recursos, a través de servicios de llamada al sistema.
LIBRERÍA INFORMÁTICA: Es un Kit de herramientas de software pequeño y autónomo que ofrece una funcionalidad muy específica al usuario. Normalmente se usa junto con otras librerías y herramientas para hacer una aplicación completa, ya que por lo general las bibliotecas no son ejecutables, pero sí pueden ser usadas por ejecutables que las necesiten para poder funcionar.
MULTITAREA: La multitarea es la característica de los sistemas operativos modernos de permitir que varios procesos se ejecuten al parecer al mismo tiempo compartiendo uno o más procesadores. Los sistemas operativos multitarea son
13
capaces de dar servicio a más de un proceso a la vez para permitir la ejecución de muchos más programas.
PRIMER TERMINO: el término se escribe en mayúscula y la definición con minúscula, incluso la letra inicial. Se debe organizar alfabéticamente, para configurar el espaciado y el interlineado. Ver tutorial.
ROOT: En sistemas operativos del tipo Unix, el superusuario o root es el nombre convencional de la cuenta de usuario que posee todos los derechos en todos los modos (monousuario o multiusuario). Normalmente es la cuenta de administrador.
SMS: "Short Message Service" (servicio de mensajes cortos), sistema de mensajes de texto para teléfonos móviles.
SOFTWARE COMERCIAL: El Software Comercial, es aquel que es desarrollado específicamente para su venta. Puede contar o no contar con una licencia, de hecho puede ser libre o puede no serlo, dependiendo de cómo nos enfoquemos hacia el término libre. Sin embargo una de las cosas que realmente debes saber, es que el objetivo de desarrollar software comercial, siempre será el obtener ganancias con él.
SOFTFWARE LIBRE: es el software que respeta la libertad de los usuarios y la comunidad. A grandes rasgos, significa que los usuarios tienen la libertad de ejecutar, copiar, distribuir, estudiar, modificar y mejorar el software.
RESUMEN
Este proyecto tiene el objetivo principal realizar análisis forense sobre dispositivos móviles con sistema operativo Android y documentar sus resultados para ser utilizados en procesos judiciales o de auditoría, por esta razón hemos integrado herramientas existentes, una serie de fases, escenarios y pasos que permitan lograr este objetivo, el cual llamamos guía metodológica.
Esta guía metodológica enseña paso a paso como lograr extraer, identificar y analizar la información existente en un dispositivo móvil de sistema operativo Android, y presenta los resultados del análisis de manera clara para que las personas interesadas puedan utilizarlo como elementos con valor probatorio.
Palabras clave: Android, dispositivo móvil, guía metodológica, probatorio.
15
ABSTRACT
This project has the main objective to perform forensic analysis on mobile devices with android operating system and document their results to be used in judicial or audit processes, for this reason we have integrated existing tools, a series of phases, scenarios and steps to achieve this objective, which we call a methodological guide.
This methodological guide teaches step by step how to extract, identify and analyze the existing information in a mobile device of the operating system android, and presents the results of the analysis in a clear manner so that interested people can use it as elements with probative value.
Key Words: Android, evidential, mobile device, methodological guide.
16
INTRODUCCIÓN
Las prácticas de computación forense han venido avanzando y armonizándose de tal forma que los profesionales de esta disciplina consiguen cada vez resultados más confiables y tecnologías más efectivas1. Por esta razón el avance de las tecnologías de la información y las comunicaciones en el desarrollo de hardware y software ha propiciado que las prácticas forenses se direccionen hacia los dispositivos móviles, ya que estos son herramientas que se usan cotidianamente y que casi cualquier individuo tiene acceso fácil a ellos.
El sistema operativo Android se ha posicionado como el número uno en el mercado de los dispositivos móviles, por su versatilidad, cantidad de aplicaciones y la facilidad de descargarlas a costo cero o a precios muy bajos, esto ha ocasionado que la capacidad de adquirir y analizar información para casos forenses aumente exponencialmente.
Este proyecto se tiene como fin desarrollar una guía metodológica que permita integrar técnicas, herramientas, normas y estándares propios de la informática forense y válida ante la legislación colombiana, para ser aplicado en el análisis forense digital sobre dispositivos móviles con sistema operativo Android, para ser usado como elemento probatorio en las investigaciones desarrolladas por los organismos judiciales.
1 DAVIS, Chris; PHILLIPP, Aaron; COWEN, David. Hacking exposed: Computer forensics secrets and solutions. First Edition. New York: McGraw-Hill/ Osborne, 2005.p. 544
17
PLANTEAMIENTO DEL PROBLEMA
Los desarrollos que se han realizado en la informática forense acerca de metodologías que permitan análisis sobre dispositivos móviles con sistema operativo Android han sido varios en los últimos años, ya que existen muchas técnicas, herramientas y metodologías para realizarlos pero poca cohesión entre ellas. Por esta razón es importante desarrollar una guía metodológica que permita que las autoridades cuenten con una nueva guía metodológica que les permita explorar y analizar los datos contenidos en dispositivos móviles de una manera fácil y teniendo en cuenta las normas y lineamientos legales que implica esta tarea.
En la última década los dispositivos móviles se ha vuelto la herramienta informática fundamental para el acceso a los sistemas de información, aplicaciones e internet por esta razón son muy utilizados en todo tipo de escenario y para múltiples aplicaciones como el comercio, banca, educación, industria, etc. Convirtiéndose en una ventana para los delincuentes, lo que hace que sean piezas relevantes en las investigaciones judiciales o disciplinarias que se realizan en el mundo y en el país hoy en día.
Para lograr obtener un análisis forense sobre un dispositivo móvil es necesario desarrollar una guía metodológica que muestre un procedimiento claro y preciso desde que se tiene acceso al terminal móvil como evidencia de un delito hasta que se realiza el informe final que servirá como elemento probatorio ante las autoridades competentes, para esto existen normas legales y estándares que permiten manipular la información de forma precisa y segura con el fin de que no sea alterada después de tener acceso a la misma, como lo es la cadena de custodia también conocida con CdC que es uno de los protocolos de actuación que ha de seguirse con respecto a una prueba durante su periodo de vida o de validez, desde que esta se consigue o genera, hasta que se destruye, o deja de ser necesaria2.
Esto nos lleva a preguntar ¿Cómo una guía metodológica puede aportar al mejoramiento o a la creación de nuevos procedimientos que se presenten en las investigaciones o auditorias judiciales?
2 GARCIA, José A. La cadena de custodia aplicada a la informática: El Blog del Perito Informático Forense. [en línea]. Blog del Perito Informático 12, 6, 2013. [Consultado 18 de enero de 2017]. Disponible en internet: http://www.informaticoforense.eu/la-cadena-de-custodia-aplicada-a-la-informatica-i/
18
JUSTIFICACIÓN
La finalidad de este proyecto es contar con una guía ágil, clara y práctica que facilite a las autoridades judiciales el desarrollo de sus actividades en lo referente al análisis forense de dispositivos móviles con sistema operativo Android, tal que puedan obtener resultados significativos en las investigaciones judiciales.
Esta metodología permitirá encontrar y extraer la información clave contenida en los dispositivos móviles, para ser usada como prueba relevante en las investigaciones forenses, ayudando a esclarecer los procesos judiciales donde se vea implicado dicho dispositivo.
Así mismo es importante la consideración que incluye la metodología en el manejo de la cadena de custodia, las normas y leyes que se encargan de la preservación de la evidencia digital, vital para la integridad de la prueba.
ANTECEDENTES
A continuación se listan algunos de los trabajos de grado o adelantos académicos que sirvieron de antecedentes para este desarrollo de este proyecto de grado:
En el año 2009 en la universidad javeriana de Bogotá Colombia Andrea Ariza Díaz y Juan Camilo Ruiz caro desarrollaron un trabajo de grado llamado Iphorensics: Un Protocolo De Análisis Forense Para Dispositivos Móviles Inteligentes.
En el año 2010 el Ingeniero Argentino Gustavo Daniel Presman, realiza una presentación donde expone la introducción al Análisis Forense de Dispositivos Móviles.
En el año 2011 Estudiante de la Facultad de Ingenierías de la Universidad Francisco de Paula Santander de Ocaña junto con el Ingeniero Dewar Rico Bautista desarrollaron el documento de investigación llamado Análisis Forense Digital en Dispositivos móviles.
En el año 2012 en la universidad pontificia bolivariana Andrés E. León Zuluaga, Tatiana Echeverría Jiménez y Manuel Santander Peláez desarrollaron como proyecto de pregrado para optar al título de ingenieros de sistemas una Guía metodológica para la investigación forense en el navegador web Google Chrome.
En el año 2015 en la universidad católica de Colombia LARROTA, Luz Estella. MARTÍNEZ, Leydi Marcela. ORJUELA, Viviana Francenet desarrollaron un trabajo de grado llamado Diseño de una guía para auditoria de análisis forense en dispositivos móviles basados en tecnología android para la legislación colombiana.
MARCO TEÓRICO
4.1 ANDROID
4.1.1. ¿Qué es Android? Google describe a Android: la primera verdaderamente abierta y completa plataforma para dispositivos móviles, todo el software para ejecutar en un teléfono móvil, pero sin los obstáculos propios que han obstaculizado la innovación móvil3.
Android se compone de varias piezas necesarias y dependientes entre ellas las siguientes:
• Un diseño de referencia de hardware que describe las capacidades requeridas de un dispositivo móvil con el fin de apoyar la pila de software. • Un núcleo del sistema operativo Linux que proporciona la interfaz de bajo nivel con el hardware, gestión de memoria y control de procesos, todo optimizado para dispositivos móviles. • Librerías de código abierto para el desarrollo de aplicaciones que incluyen SQLite, WebKit, OpenGL, y un Administrador de medios. • Un tiempo de ejecución utilizado para ejecutar y alojar aplicaciones para Android, incluyendo la máquina virtual Dalvik y las bibliotecas del núcleo que proporcionan una funcionalidad específica Android. El tiempo de ejecución está diseñado para ser pequeño y eficiente para su uso en dispositivos móviles. • Un marco de aplicación que expone a los servicios del sistema agnóstico a la capa de aplicación, incluyendo el gestor de ventanas, proveedores de contenido, gerente de locación, telefonía y peer-to-peer servicios. • Un marco de interfaz de usuario que se utiliza para alojar y ejecutar aplicaciones. • Las aplicaciones preinstaladas enviados como parte de la pila.
3 RUBIN, Andy. ¿Where´s my Gphone? [en línea]. Google, Official Blog 5, 11, 2007. [Consultado 07 de septiembre de 2015]. Disponible en internet: https://googleblog.blogspot.com.co/2007/11/wheres-my-gphone.html.
21
• Un kit de desarrollo de software utilizado para crear aplicaciones, incluyendo las herramientas, plug-ins, y documentación.
En esta etapa, no toda la pila Android ha sido liberado como código abierto, aunque se espera a pasar por el tiempo de los teléfonos son liberados al mercado. Es también digno de mención que las aplicaciones que desarrollar para Android no tienen que ser de código abierto.
Lo que realmente hace Android convincente es su filosofía abierta, lo que garantiza que cualquier deficiencia en diseño de interfaz de usuario o aplicación nativa puede ser fijada por escrito una extensión o reemplazo. Android le proporciona, como desarrollador, la oportunidad de crear interfaces de telefonía móvil y aplicaciones diseñado para verse, sentirse y funcionar exactamente como la imagen de ellos.
4.1.2. Aplicaciones nativas de Android. Teléfonos Android normalmente vienen con un conjunto de aplicaciones preinstaladas, incluyendo, pero no limitado a:
• Un cliente de correo electrónico compatible con Gmail, pero sin limitarse a ella. • Una aplicación de gestión de SMS. • Un conjunto completo de PIM (gestión de información personal) que incluye una lista de calendarios y contactos, tanto estrechamente integrado con los servicios en línea de Google. • Una aplicación de Google Maps para móviles con todas las funciones incluyendo StreetView, buscador de negocios, direcciones conduciendo, vista satélite, y las condiciones del tráfico. • Un navegador web basado en WebKit. • Un cliente de mensajería instantánea. • Un reproductor de música y visor de imágenes. • El cliente de Android Marketplace para descargar aplicaciones de terceros. • El MP3 cliente de la tienda de Amazon para la compra de música libre de DRM.
22
• Todas las aplicaciones nativas están escritos en Java utilizando el SDK de Android y se ejecutan en Dalvik.
Los datos almacenados y utilizados por las aplicaciones nativas - como los datos de contacto - también están disponibles para terceros o aplicaciones de otros fabricantes. Del mismo modo, las aplicaciones pueden manejar eventos tales como una llamada entrante o un nuevo Mensaje SMS.
La distribución exacta de las aplicaciones disponibles en los nuevos teléfonos Android es probable que variará en función del fabricante de hardware y / o de la compañía de teléfono o distribuidor. Esto es especialmente cierto en los Estados Unidos, donde las compañías tienen una influencia significativa en el software incluido en los dispositivos fabricados.
23
4.1.3. Arquitectura de Android
Figura 1. Arquitectura Android
Fuente: Wiki. Android. Curso PDF. [en línea] Wiki.erikcrane. 22 abr 2014 [Consultado 07 de septiembre de 2016] Disponible en Internet: http://wiki.erikcrane.net/index.php/Android
En Android el flujo de datos se basa en las siguientes capas:
• Aplications.
Es la capa superior de Android. Las aplicaciones instaladas de fábrica o aplicaciones personales grabadas en el dispositivo se encuentran en esta.
• Framework Aplications.
En esta capa se encuentran los servicios y bibliotecas que utilizan las aplicaciones para llamar a sus funciones.
24
• Android Runtime.
Todas las aplicaciones, el código Java-Framework se ejecuta en una máquina virtual, el cual se convierte en código ejecutable.
• Libraries.
Bibliotecas nativas, demonios y servicios (escritos en C o C ++). Las Bibliotecas nativas no son más que parte del sistema operativo Android interna. Estas bibliotecas se utilizan cuando se llama a cualquier API de la capa de aplicación. Básicamente cuando se llama a cualquier API de capa de Java o de la capa superior, entonces se llama a la API de la capa nativa que está escrito en su mayoría en C / C ++, por lo que se pude decir que la API de Java se convierte en C / C ++ API.
• Linux Kernel.
Es la capa más compleja, incluye controladores para el hardware, redes, acceso al sistema de archivos procesos-comunicación. Cada instrucción que se ejecuta en la capa superior pasa a través del Kernel para obtener el resultado final.
4.1.4. Sistemas de archivos Android. Después de dar un enfoque general a la arquitectura de Android, se entiende que es un Sistema Operativo basado Linux, su estructura de sistema de archivos no es una excepción. Android emplea varias particiones para organizar los archivos-carpetas en el dispositivo cada uno con su funcionalidad. Principalmente existen seis particiones, sin embargo, se debe contar con la existencia de particiones adicionales que difieren entre un modelo y otro.
4.1.5. Software libre (Android) Vs. Software comercial (iOS). En el mercado de los dispositivos móviles existen diferentes tipos de sistemas operativos que han sido desarrollados bajo diferente tipo de licencias de desarrollo, los sistemas operativos que son los líderes del mercado son Android (Software Libre) y iOS Apple (Software Comercial). La principal diferencia entre ambos está en la facilidad de acceder al desarrollo y mejoramiento de aplicaciones y a los costos que implica acceder a las mismas por motivo de dichas licencias, a continuación se realizara un comparativo entre las características más importantes de estos sistemas operativos.
25
Tabla 1. Comparativo Android Vs iOS
Sistema Operativo Android iOS Desarrollador Google Apple, Inc.
Familia de sistema operativo Linux OS X, UNIX Personalización Mucha. Se puede
cambiar casi todo. Poca excepto cuando
se desbloquea Lanzamiento inicial 23 de septiembre de
2008 29 de julio de 2007
Programado en C, C++, Java C, C++, Objective-C Dependiente de una PC o Mac No No Transferencia fácil de medios Depende del modelo del
aparato Con aplicaciones de
Mac Tipo de modelo Abierto (open source) Cerrado (propiedad de
Apple), con elementos de código abierto
Código abierto Núcleo (kernel), interfaz y algunas aplicaciones
básicas
El núcleo (kernel) de iOS no es código abierto, pero está
basado en el código abierto llamado Darwin
OS Herramientas "widgets" Sí No, excepto en Centro
de Notificaciones Rasgos apoyados para
llamadas Auto-respuesta Auto-respuesta,
recordatorio de llamada de vuelta, modo "no
interrumpir" Búsqueda por Internet Usa Google Chrome o
buscador de Android en versiones más viejas;
otros buscadores (browsers) disponibles
Safari Móvil (otros buscadores disponibles)
26
Tabla 1. (Continuación)
Disponible para Muchos celulares y tabletas, incluyendo
Kindle Fire (usa Android modificado), Samsung,
Sony, Motorola, Nexus y otros, También Google
Glasses.
iPod Touch, iPhone, iPad, Apple TV (2da y
3ra generación)
Interfaz Pantalla táctil, reloj inteligente
Pantalla táctil
Mensajería Google Hangouts iMessage Comandos verbales Google Now (en
versiones más recientes) Siri
Mapas Google Maps Apple Maps Videochat Google Hangouts FaceTime
Tienda de aplicaciones Google Play Store--sobre 1 millón de aplicaciones.
Otras tiendas como Amazon y Getjar
distribuyen aplicaciones sin revisión ("unconfimed
APK")
Apple App Store--sobre 1 millón de
aplicaciones revisadas
Porcentaje del mercado 81% de los celulares, 3.7% de las tabletas en Norte América (hasta
enero 2013) y 44.4% de las tabletas en Japón
(ebero 2013). En los EU, 1er trimestre del 2013: 52.3 % de celulares y 47.7% de las tabletas
12.9% de celulares, 87% de las tabletas en Norte América
(hasta enero 2013) y 40.1% de las tabletas
en Japón (enero 2013)
Idiomas disponibles 32 idiomas 34 idiomas Versión estable más reciente Android 6.0 marsmallow
en noviembre 2016 iOS 8.1.3 (27 de enero de 2015)
Manufacturero(s) de aparatos Google, LG, Samsung, HTC, Sony, ASUS,
Motorola y muchos más
Apple, Inc.
Sitio web android.com apple.com Fuente: elaboración propia
27
4.2. ANÁLISIS FORENSE
4.2.1. ¿Qué es análisis forense? El análisis forense en un sistema informático es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este análisis puede determinar quién, desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad.
4.2.2. Tipos de archivos. Análisis forense de sistemas: en este análisis se tratarán los incidentes de seguridad acaecidos en servidores y estaciones de trabajo con los sistemas operativos: Mac OS, sistemas operativos de Microsoft (Windows 9X/Me, Windows 2000 server/workstation, Windows 2003 Server, Windows XP, Windows Vista, Windows 2008 Server, etc.), sistemas Unix (Sun OS, SCO Unix, etc.) y sistemas GNU/Linux (Debian, RedHat, Suse, etc.). Análisis forense de redes: en este tipo se engloba el análisis de diferentes redes (cableadas, wireless, bluetooth, etc.). Análisis forense de sistemas embebidos: en dicho tipo se analizaran incidentes acaecidos en móviles, PDA, etc. Un sistema embebido posee una arquitectura semejante a la de un ordenador personal.
4.2.3. Metodología y fases de un análisis forense
Figura 2. Fases de un análisis forense.
Fuente: elaboración propia
• Adquisición de datos: La adquisición de datos es una de las actividades más críticas en el análisis forense. Dicha criticidad es debida a que, si se realizase mal, todo el análisis e investigación posterior no sería válido debido a que la información
28
saldría con impurezas, es decir, la información que creemos que es del origen no lo es realmente.
Una vez que se ha detectado un incidente de seguridad, uno de los primeros problemas del analista en la recogida de datos se resume en decir si el equipo hay que apagarlo o no.
Otro de los problemas que nos encontraremos a veces y dependiendo del tipo de organización es la obtención de los siguientes datos: nombre y apellidos del responsable del equipo y usuario del sistema. Otros datos que se deben obtener como mínimo serían: modelo y descripción del sistema, número de serie, sistema operativo que está corriendo, así como el coste económico aproximado que tiene dicho incidente (por ejemplo, si ha sido atacado el sistema de gestión de un láser y para su equilibrado se precisa de técnicos que tienen que desplazarse, sería un coste axial como el tiempo de estar parado).
A continuación se deben localizar los dispositivos de almacenamiento que están siendo utilizados por el sistema: discos duros, memorias (USB, RAM, etc.).
Una vez que se han localizado, se debe recabar la siguiente información: marca, modelo, número de serie, tipo de conexión (IDE, SCSI, USB, etc.), conexión en el sistema (si está conectado en la IDE1 y si es el primario o el secundario, etc.).
Una vez localizadas todas las partes del sistema, es recomendable hacer fotografías de todo el sistema así como de su ubicación además de fotografiar los dispositivos de almacenamiento.
Cuando se hayan hecho las fotos se continúa con la clonación bit a bit de los dispositivos de almacenamiento del sistema. Dicha clonación tiene que ser realizada en un dispositivo que haya sido previamente formateado a bajo nivel, ya que este proceso garantiza que no queden impurezas de otro análisis anterior.
• Análisis e investigación: La fase de análisis e investigación de las evidencias digitales es un proceso que requiere obviamente un gran conocimiento de los sistemas a estudiar. Las fuentes de recogida de información en esta fase son varias:
o Registro de los sistemas analizados. o Registro de los detectores de intrusión.
29
o Registro de los cortafuegos.
o Ficheros del sistema analizado.
En el caso de los ficheros del sistema analizado, hay que tener cuidado con las carpetas personales de los usuarios. Dichas carpetas están ubicadas en el directorio /home en sistemas GNU/Linux y en c:\documents and settings\ en sistemas Windows con tecnología NT (Windows 2000, XP, etc.).
Hay que tener en cuenta que no se consideran personales aquellas carpetas que han sido creadas por defecto en la instalación del sistema operativo, por ejemplo, las cuentas de administrador. De todas formas, siempre es recomendable asesorarse con un jurista ante la realización de un análisis forense para prevenir posibles situaciones desagradables (por ejemplo: ser nosotros los denunciados por incumplir la legislación).
Cuando se accede a la información podemos encontrar dos tipos de análisis:
o Físico: información que no es interpretada por el sistema operativo ni por el de ficheros. o Lógico: información que sí que es interpretada por el sistema operativo. En este nivel, por tanto, podremos obtener: estructura de directorios, ficheros que se siguen almacenando así como los que han sido eliminados, horas y fechas de creación y modificación de los ficheros, tamaños, utilización de los HASH*, para reconocer los tipos de archivos, contenido en los sectores libres, etc.
En un dispositivo de almacenamiento nos encontraremos con tres tipos de datos recuperados:
o Allocated: inodo y nombre del fichero intactos, con lo que dispondremos del contenido íntegro. o Deleted/Reallocated: inodo y nombre del fichero intactos aunque han sido recuperados porque habían sido borrados, con lo que dispondremos del contenido íntegro.
30
o Unallocated: inodo y nombre de fichero no disponibles, con lo que no tendremos el contenido íntegro del archivo aunque sí algunas partes. A veces, realizando una labor muy laboriosa se puede obtener parte de la información e incluso unir las partes y obtener casi toda la información del archivo. o Una de las primeras acciones que vamos a tener que efectuar es determinar la configuración horaria del sistema. Con dicha opción podremos validar las fechas y las horas que podemos identificar para que no sean cuestionadas ante otro peritaje por ejemplo.
o Después de identificar la configuración horaria, podremos realizar el estudio de la línea de tiempo también conocida como timeline y conocer cuáles han sido las acciones realizadas desde la instalación hasta el momento que se ha clonado el disco.
• Redacción del informe: La redacción del informe es una tarea ardua a la par que compleja, porque no sólo hay que recoger todas las evidencias, indicios y pruebas recabados sino que, además, hay que explicarlos de una manera clara y sencilla. Hay que tener en cuenta que muchas veces dichos informes van a ser leídos por personas sin conocimientos técnicos y obviamente tiene que ser igual de riguroso y debe ser entendido, con lo que habrá que explicar minuciosamente cada punto.
Todo informe deberá tener perfectamente identificada la fecha de finalización de éste, así como a las personas involucradas en su desarrollo.
Aunque a continuación explicaremos los dos tipos de informes que hemos mencionado anteriormente (informe ejecutivo e informe técnico) en ciertas situaciones se pueden unificar en uno dependiendo del caso y de la situación, aunque no es recomendable.
o Informe ejecutivo
Los principales lectores de los informes ejecutivos son la alta dirección de las empresas, organismos, etc.; es decir, personas que no tienen un perfil técnico.
Por tanto, el lenguaje del informe no debe ser muy técnico y, si se utiliza alguna jerga técnica, tiene que ser explicada de una manera clara.
31
Este informe consta de los siguientes puntos:
Introducción: se describe el objeto del informe así como el coste del incidente acaecido. Descripción: se detalla que ha pasado en el sistema de una manera clara y concisa sin entrar en cuestiones muy técnicas. Hay que pensar que dicho informe será leído por personal sin conocimientos técnicos o con muy escasos conocimientos. Recomendaciones: se describen las acciones que se deben realizar una vez comprobado que se ha sufrido una incidencia para evitar otra incidencia del mismo tipo, así como si debe ser denunciado.
o Informe técnico
En este tipo de informe sus principales lectores son personas con un perfil técnico (ingenieros, técnicos superiores, etc.), siendo el objetivo del informe describir qué ha ocurrido en el sistema. El informe debe contener al menos los siguientes puntos:
Introducción: donde se describe el objeto principal del informe y se detallan los puntos fundamentales en que se disecciona el informe. Preparación del entorno y recogida de datos: se describen los pasos a seguir para la preparación del entorno forense, la adquisición y verificación de las imágenes del equipo afectado, etc. Estudio forense de las evidencias: en este punto se describe la obtención de las evidencias así como de su significado. Conclusiones: donde se describen de una manera detallada las conclusiones a las que se han llegado después de haber realizado el análisis.
4.2.4. Guías metodológicas para análisis forense dispositivos móviles con sistema operativo Android. El primer desarrollo sobre el que se investigo fue la presentación del Marco de referencia para el análisis forense de dispositivos
32
Android4 en este documento se propuso modelo de 5 etapas basadas en el modelo Casey5 que tiene 7 etapas como se muestra en la siguiente imagen.
Figura 3. Modelo Casey
Fuente: CASEY, Eoghan. Digital Evidence and Computer Crime. USA: Academic Press, 2011.
La etapa 1 propone la autorización y preparación: en esta etapa se realiza la revisión de la autorización y formalidades legales.
4 URETA, Walter Raúl. Presentación del Marco de referencia para el análisis forense de dispositivos Android [en línea]. Docplayer.es. Universidad Nacional de Matanza, Departamento de Ingeniería e Investigaciones Tecnológicas, 2016 [Consultado 15 de enero de 2017]. Disponible en Internet: https://docplayer.es/20360301-Presentacion-del-marco-de-referencia-para-el-analisis-forense-de-dispositivos-android.html 5 CASEY, Eoghan. Digital Evidence and Computer Crime. USA: Academic Press, 2011. P.840
33
La etapa 2 tiene un conjunto de 2 etapas del método Casey que son la identificación de hardware, software y la etapa de adquisición: en etapa se realizan las tareas de identificar la evidencia encontrada y de realizar la extracción de los datos encontrados en dicha evidencia.
La etapa 3 propone la conservación: se trata de la manera en la que se conservara y custodiara la evidencia obtenida, como se listara y se rotulara.
La etapa 4 tiene un conjunto de 2 etapas del método Casey que son Examen, análisis y reconstrucción: en esta etapa se verifica el alcance del análisis, se registran las inconsistencias, se recupera e identifica la información eliminada, se identifican los eventos del sistema, se analiza la información de la agenda android, de las aplicaciones, telefónicas, voip, mensajería, identificar elementos de imagen sonido o video, aplicaciones vinculadas a la información, repositorios de datos, analizar la información de las aplicaciones y documentación.
La etapa 5 propone presentar las publicaciones y conclusiones: En esta etapa se presentan 2 tipos de informe uno llamado reporte final el cual contiene toda la información técnica de las lo obtenido en los pasos anteriores de manera detallada y el reporte pericial el cual contiene la información que es relevante para el caso jurídico o investigativo y solo contiene la información solicitada por los fiscales y jueces del caso.
El segundo desarrollo sobre el que se investigo fue el análisis forense de dispositivos móviles ios y android6 en este modelo también se propone un modelo basado en 5 etapas o fases basadas en las fases de investigación forense digital que se expondrán a continuación:
6 ALVAREZ, Marco Antonio. Análisis Forense de dispositivos móviles iOS y Android [en línea]. Universitat Oberta de Catalunya, 04/01/2016. [Consultado 20 de enero de 2017]. Disponible en internet: http://openaccess.uoc.edu/webapps/o2/bitstream/10609/45641/6/malvarezmuTFG0116memoria.pdf
34
Figura 4. Fases basadas en las fases de investigación forense digital
Fuente: ÁLVAREZ, Marco Antonio. Análisis Forense de dispositivos móviles iOS y Android [En línea]. Universitat Oberta de Catalunya, 04/01/2016. [Consultado 20 de enero de 2017]. Disponible en internet: http://openaccess.uoc.edu/webapps/o2/bitstream/10609/45641/6/malvarezmuTFG0116memoria.pdf; p.14.
La etapa 1 es llamada asegurar la escena: Esta etapa está basada en asegurar que la escena no sea alterada, que los dispositivos o información encontrada se encuentren en el mismo estado que cuando ocurrió el evento que es pieza de la investigación.
La etapa 2 es llamada identificar la evidencia: En esta etapa se identifica y se rotula toda la evidencia encontrada en la escena, se solicitan datos relevantes a las personas que se encuentran en la escena, se realizan esquemas de la escena entre otras tareas.
La etapa 3 es llamada Adquisición de las evidencias: En esta etapa se identifican y se extraen los datos e información relevante que se encuentre en los dispositivos móviles que son objeto del posterior análisis.
La etapa 4 es llamada Análisis e investigación de la evidencia: En esta etapa se realiza un análisis exhaustivo de la información identificada en el dispositivo móvil como análisis de contactos, geolocalización, mensajes de comunicación como (MMS, correo electrónico, Whatsapp, Tango, Skype, etc.), registro de eventos, calendario, historial del navegador, aplicaciones de redes sociales, los archivos logs de actividades.
En esta etapa se realiza el uso de herramientas, análisis temporal, análisis virtualizado.
La etapa 5 es llamada Informe Pericial: Se documenta y se presentan las evidencias relacionadas con el caso, justificación de los procesos investigados, la conclusión.
35
El lenguaje utilizado debe ser formal pero no necesariamente técnico, el lector no tiene porqué conocer la parte técnica. Sin embargo el Analista Forense tiene que poseer habilidad para comunicar el resultado de la investigación de forma clara y concisa.
El tercer desarrollo sobre el que se investigo fue Diseño de una guía para auditoria de análisis forense en dispositivos móviles basados en tecnología android para la legislación colombiana7 esta auditoría está basada en 4 etapas o fases que son las siguientes Planear, Hacer, Verificar y actuar. Todo el proceso de auditoría de análisis forense se realiza dentro de las actividades de la cadena de custodia y bajo la definición de actores cada uno con un rol especifico y de 4 fases los cuales se presentan a continuación:
• Fases:
o Fase 1: Documentación inicial.
o Fase 2: Extracción lógica.
o Fase 3: Extracción física.
o Fase 4: Análisis de relaciones.
• Actores:
o Primer respondiente.
o Funcionario Policía Judicial.
o Custodio.
o Fiscal.
o Juez.
o Transportador.
o Analista.
7 LARROTA, Luz Estella; MARTINEZ, Leydi Marcela y ORJUELA, Viviana Francenet. Diseño de una guía para auditoria de análisis forense en dispositivos móviles basados en tecnología android para la legislación colombiana [en línea] Universidad Católica de Colombia: Facultad de Ingeniería. ESp. Ingeniería de Sistemas de Información, enero 2015. [Consultado 20 de enero de 2017]. Disponible en internet: http://repository.ucatolica.edu.co/handle/10983/1894
36
o Almacenista.
Cada uno de los actores listados anteriormente se encarga de realizar varias tareas específicas que permiten realizar un flujo de trabajo entre las actividades y los otros actores implicados en la escena.
Tabla 2. Comparativo guías metodológicas para análisis forense
METODOLOGÍA/FASES O ETAPAS
Marco de referencia para el análisis
forense de dispositivos
Android
Análisis forense de dispositivos móviles ios y
android
Diseño de una guía para auditoria de
análisis forense en dispositivos móviles
basados en tecnología android para la legislación
colombiana
Etapa o fase 1 Autorización y preparación Asegurar la escena Documentación inicial.
Etapa o fase 2 Identificación de
hardware, software y la etapa de adquisición
Identificar la evidencia Extracción lógica
Etapa o fase 3 Conservación Adquisición de las evidencias Extracción física
Etapa o fase 4 Examen, análisis y reconstrucción
Análisis e investigación de la
evidencia Análisis de relaciones
Etapa o fase 5 presentar las
publicaciones y conclusiones
Informe Pericial
Fuente: elaboración propia
4.2.5. Herramientas para análisis forense. Según la investigación realizada en el mercado hay una gran cantidad de herramientas de software tanto de código abierto
37
como de pago, que nos permiten realizar de manera similar las tareas necesarias para la ejecución de un análisis forense.
Las herramientas exploradas son las siguientes:
• Andriller (Smartphone Forensic Decoder)8
Es una utilidad de software con una colección de herramientas forenses para teléfonos inteligentes. Realiza adquisiciones no destructivas, de sólo lectura, forenses, desde dispositivos Android. Tiene otras características, tales como poderoso bloqueo Lockscreen para patrón, código PIN o contraseña; Decodificadores personalizados para datos de aplicaciones de Android (y algunas bases de datos Apple iOS) para las comunicaciones de decodificación. La extracción y los decodificadores producen informes en formatos HTML y Excel (.xlsx).
Andriller es una aplicación multiplataforma para Microsoft Windows y Ubuntu Linux. El instalador de Windows Lightweight Setup sólo requiere Microsoft Visual C ++ 2010 Redistributable Package (x86) instalado, los controladores USB para su dispositivo Android y un navegador web para ver los resultados. La versión de Ubuntu necesita el paquete "android-tools-adb" instalado. Sencillo.
Características
o Extracción y decodificación automática de datos.
o Extracción de datos de dispositivos no arraigados sin dispositivos Android Backup (versiones de Android 4.x).
o Extracción de datos con permisos de root: demonio ADB de raíz, modo de recuperación CWM o binario de SU (Superusuario / SuperSU).
8 ANDRILLER. Android forensic tools [en línea] andriller. [consultado 20 de marzo de 2017]. Disponible en internet: http://andriller.com/
38
o Análisis y decodificación de datos para la estructura de carpetas, archivos Tarball (desde copias de seguridad nanddroid) y Backup de Android (archivos 'backup.ab').
o Selección de decodificadores de bases de datos individuales para Android y Apple.
o Descifrado de las bases de datos encriptados de WhatsApp (msgstore.db.crypt a * .crypt12).
o Lockscreen cracking for Pattern, PIN, Contraseña.
o Desembalaje de los archivos de copia de seguridad de Android.
o Capturas de pantalla de la pantalla del dispositivo.
• Autopsy9:
Autopsy es una plataforma forense digital y una interfaz gráfica para The Sleuth Kit y otras herramientas forenses digitales. Es utilizado por los encargados de hacer cumplir la ley, militares, y los examinadores corporativos para investigar qué sucedió en una computadora o dispositivo móvil.
Características
o Casos multiusuario : colabore con otros examinadores en casos grandes.
o Análisis de la línea de tiempo: Muestra los eventos del sistema en una interfaz gráfica para ayudar a identificar la actividad.
9 AUTOPSY.Digital forensic platform. [en línea] sleuthkit.org [consultado 20 de marzo de 2017]. Disponible en internet: https://www.sleuthkit.org/autopsy/
39
o Búsqueda por palabra clave: Los módulos de extracción de texto y de búsqueda de índice le permiten encontrar archivos que mencionan términos específicos y encontrar patrones de expresión regulares.
o Artefactos web: extrae la actividad web de los navegadores comunes para ayudar a identificar la actividad del usuario.
o Análisis del Registro: Utiliza RegRipper para identificar documentos y dispositivos USB recientemente accedidos.
o Análisis de archivos LNK: Identifica atajos y documentos accesados
o Análisis de correo electrónico: Analiza mensajes en formato MBOX, como Thunderbird.
o EXIF: Extrae la ubicación geográfica y la información de la cámara de los archivos JPEG.
o Clasificación del tipo de archivo: agrupe los archivos según su tipo para encontrar todas las imágenes o documentos.
o Reproducción de medios: ver vídeos e imágenes en la aplicación y no requieren un visor externo.
o Visor de miniaturas: muestra una miniatura de imágenes para ayudar a ver rápidamente las imágenes.
o Robust File System Analysis: Soporte para sistemas de archivos comunes, incluyendo NTFS, FAT12 / FAT16 / FAT32 / ExFAT, HFS +, ISO9660 (CD-ROM), Ext2 / Ext3 / Ext4, Yaffs2 y UFS del Kit Sleuth .
o Filtrado de Hash Set: Filtre los archivos conocidos con NSRL e identifique los archivos incorrectos conocidos utilizando hashsets personalizados en los formatos HashKeeper, md5sum y EnCase.
40
o Etiquetas: Etiquetar archivos con nombres de etiquetas arbitrarios, como "marcador" o "sospechoso", y agregar comentarios.
o Extracción de cadenas Unicode Extrae cadenas de espacio no asignado y tipos de archivo desconocidos en muchos idiomas (árabe, chino, japonés, etc.).
o Detección de tipo de archivo basada en firmas y detección de falta de coincidencia de extensión.
o Módulo de archivos interesantes marcará archivos y carpetas basándose en el nombre y la ruta.
o Android Support: Extrae datos de SMS, registros de llamadas, contactos, Tango, Palabras con amigos y mucho más.
• Forensic Toolkit (FTK):
Es un software informático forense hecho por Access Data. Escanea un disco duro buscando información variada. Puede, por ejemplo, localizar mensajes de correo electrónico eliminados y escanear un disco para las cadenas de texto para usarlos como un diccionario de contraseña para romper el cifrado.
El kit de herramientas también incluye un programa de imágenes de disco independiente llamado FTK Imager. El FTK Imager es una herramienta simple pero concisa. Guarda una imagen de un disco duro en un archivo o en segmentos que pueden reconstruirse posteriormente. Calcula los valores de hash MD5 y confirma la integridad de los datos antes de cerrar los archivos. El resultado es un archivo o archivos de imagen que se pueden guardar en varios formatos, incluyendo DD raw.
Características
o Crea imágenes de discos duros, disquets, discos Zip, CD-ROMs, DVD-ROMs, carpetas o ficheros individuales.
o Vista previa de los ficheros y carpetas en discos duros, disquets, discos Zip, CD-ROMs y DVD-ROMs.
41
o Monta la imagen para visualizar el contenido de la imagen exactamente como el usuario con la unidad original.
o Exportar ficheros y carpetas de imágenes de disco.
o Ver y recuperar ficheros que se han borrado desde la papelera de reciclaje, pero que aún no se han sobreescrito en la unidad.
o Crear hashes de ficheros mediante dos funciones: MD5 y SHA-1.
o Generar informes de hashes para fichero y para imágenes de disco para comprobar la integridad de los contenidos. El hash es la prueba de que los ficheros no se han alterado ni modificado en ningún caso.
• Dr. Phone
Dr.Fone kit de herramientas para recuperación de datos de Android es un superhéroe fascinante para aquellas personas que necesitan recuperar sus archivos importantes perdidos o eliminados de dispositivos Android.
Este software permite realizar una extracción de todos los datos almacenados en el equipo en el momento de obtener el dispositivo, es una herramienta robusta, intuitiva y de fácil manejo y permite extraer datos de memoria interna y externa, datos de aplicaciones internas y externas, directorio telefónico, llamadas, fotos, videos, y todo tipo de archivo utilizado o ejecutado en el dispositivo móvil.
A continuación se realiza un cuadro comparativo con las principales características de las herramientas citadas anteriormente, del que se puede abstraer cuales son las funcionalidades más importantes de cada uno de ellos y como se pueden complementar.
42
Tabla 3. Comparativo técnicas y herramientas para análisis forense.
HERRAMIENTAS/CARACTERÍSTICAS
Andriller (Smartphone
Forensic Decoder)
Autopsy
Forensic Toolkit (FTK)
Dr. Phone
Tipo de Licencia LICENCIA PAGO
LICENCIA LIBRE
LICENCIA PAGO
LICENCIA PAGO
Extracción de datos x X x Casos multiusuario x Desbloqueo de seguridad x x x Búsqueda por palabra clave x x x Análisis de aplicaciones internas x x x Análisis de aplicaciones externas x x x Análisis en línea de tiempo x Análisis de archivos x x x Análisis de fotos y videos x x x Análisis de correos electrónicos x x x Crear hashes de ficheros mediante dos funciones: md5 y sha-1.
x
Fuente: elaboración propia
Teniendo en cuenta la investigación y lo planteado anteriormente en el recorrido realizado a las herramientas que se consideran las más importantes para realizar extracción y análisis forense de datos e información, se tomó la decisión de probarlas y aquí expondremos el uso de 2 de ellas en conjunto como lo son Dr. Phone para realizar la extracción de los datos del dispositivo móvil para realizarle posteriormente análisis forense con la herramienta Autopsy, aquí aplicaremos las fases, escenarios y pasos planteados en la guía metodológica planteada en el punto anterior.
43
4.2.6. Marco legal colombiano
4.2.6.1. Documento Consejo Nacional de Política Económica y Social – CONPES 3701 – Lineamientos de política para ciberseguridad y ciberdefensa. Esta política busca generar lineamientos de política en ciberseguridad y ciberdefensa orientados a desarrollar una estrategia nacional que contrarreste el incremento de las amenazas informáticas que afectan significativamente al país. Adicionalmente, recoge los antecedentes nacionales e internacionales, así como la normatividad del país en torno al tema.
La problemática central se fundamenta en que la capacidad actual del Estado para enfrentar las amenazas cibernéticas presenta debilidades y no existe una estrategia nacional al respecto. A partir de ello se establecen las causas y efectos que permitirán desarrollar políticas de prevención y control, ante el incremento de amenazas informáticas. Para la aplicabilidad de la estrategia se definen recomendaciones específicas a desarrollar por entidades involucradas directa e indirectamente en esta materia. Así lo ha entendido el Gobierno Nacional al incluir este tema en el Plan Nacional de Desarrollo 2010-2014 “Prosperidad para Todos”, como parte del Plan Vive Digital.
• Marco Nacional
Como referentes de la normativa nacional en la materia, es importante hacer mención a los esfuerzos realizados por Colombia en su legislación de manera cronológica, tal como se observa a continuación:
44
Tabla 4. Marco de leyes colombianas.
Fuente: CONPES. Documento 3701: lineamientos de política para ciberseguridad y ciberdefensa. [en línea] Ministerio del Interior y de Justicia. Bogotá, 14 julio, 2011 [consultado 20 de marzo de 2017] Disponible en Internet: https://www.mintic.gov.co/portal/604/articles-3510_documento.pdf
45
4.2.6.2. Documento Consejo Nacional de Política Económica y Social CONPES 3854 – Política Nacional de Seguridad Digital. El creciente uso del entorno digital en Colombia para desarrollar actividades económicas y sociales, acarrea incertidumbres y riesgos inherentes de seguridad digital que deben ser gestionados permanentemente. No hacerlo, puede resultar en la materialización de amenazas o ataques cibernéticos, generando efectos no deseados de tipo económico o social para el país, y afectando la integridad de los ciudadanos en este entorno.
El enfoque de la política de ciberseguridad y ciberdefensa, hasta el momento, se ha concentrado en contrarrestar el incremento de las amenazas cibernéticas bajo los objetivos de (i) defensa del país; y (ii) lucha contra el cibercrimen. Si bien esta política ha posicionado a Colombia como una de los líderes en la materia a nivel regional, ha dejado de lado la gestión del riesgo en el entorno digital. Enfoque esencial en un contexto en el que el incremento en el uso de las TIC para realizar actividades económicas y sociales, ha traído consigo nuevas y más sofisticadas formas de afectar el desarrollo normal de estas en el entorno digital. Hecho que demanda una mayor planificación, prevención, y atención por parte de los países.
Es precisamente por esto que la política nacional de seguridad digital, objeto de este documento, cambia el enfoque tradicional al incluir la gestión de riesgo como uno de los elementos más importantes para abordar la seguridad digital. Esto lo hace bajo cuatro principios fundamentales y cinco dimensiones estratégicas, que rigen el desarrollo de esta política. De los primeros destaca que la política nacional de seguridad digital debe involucrar activamente a todas las partes interesadas, y asegurar una responsabilidad compartida entre las mismas. Principios que se reflejan en las dimensiones en las que esta política actuará, las cuales determinan las estrategias para alcanzar su objetivo principal: fortalecer las capacidades de las múltiples partes interesadas, para identificar, gestionar, tratar y mitigar los riesgos de seguridad digital en sus actividades socioeconómicas en el entorno digital. Para lograrlo, se implementarán acciones en torno a cinco ejes de trabajo.
En primer lugar, se establecerá un marco institucional claro en torno a la seguridad digital. Para esto, se crearán las máximas instancias de coordinación y orientación superior en torno a la seguridad digital en el gobierno, y se establecerán figuras de enlace sectorial en todas las entidades de la rama ejecutiva a nivel nacional. En segundo lugar, se crearán las condiciones para que las múltiples partes interesadas gestionen el riesgo de seguridad digital en sus actividades socioeconómicas y se genere confianza en el uso del entorno digital, mediante mecanismos de participación activa y permanente, la adecuación del marco legal y regulatorio de la materia y la capacitación para comportamientos responsables en el entorno digital. Como tercera medida, se fortalecerá la defensa y seguridad nacional en el entorno digital, a nivel nacional y trasnacional, con un enfoque de gestión de riesgos. Por
46
último, se generarán mecanismos permanentes para impulsar la cooperación, colaboración y asistencia en materia de seguridad digital, a nivel nacional e internacional, con un enfoque estratégico.
Para poner en marcha esta política, se ha construido un plan de acción que se ejecutará durante los años 2016 a 2019 con una inversión total de 85.070 millones de pesos. Las principales entidades ejecutoras de esta política son el Ministerio de Tecnologías de la Información y las Comunicaciones, el Ministerio de Defensa Nacional, la Dirección Nacional de Inteligencia y el Departamento Nacional de Planeación.
Se estima que la implementación de la política nacional de seguridad digital al año 2020 podría impactar positivamente la economía de Colombia, generándose durante los años 2016 a 2020 alrededor de 307.000 empleos y un crecimiento aproximado de 0,1% en la tasa promedio de variación anual del Producto Interno Bruto (PIB), sin generar presiones inflacionarias.
• Institucionalidad
• Grupo de respuesta a emergencias cibernéticas de Colombia (colCERT) del Ministerio de Defensa Nacional.
El Grupo de Respuesta a Emergencias Cibernéticas de Colombia - colCERT, tendrá como responsabilidad central la coordinación de la Ciberseguridad y Ciberdefensa Nacional, la cual estará enmarcada dentro del Proceso Misional de Gestión de la Seguridad y Defensa del Ministerio de Defensa Nacional. Su propósito principal será la coordinación de las acciones necesarias para la protección de la infraestructura crítica del Estado colombiano frente a emergencias de ciberseguridad que atenten o comprometan la seguridad y defensa nacional.
Objetivos del colCERT
o Coordinar y asesorar a CSIRT's y entidades tanto del nivel público, como privado y de la sociedad civil para responder ante incidentes informáticos. o Ofrecer servicios de prevención ante amenazas informáticas, respuesta frente a incidentes informáticos, así como a aquellos de información, sensibilización y formación en materia de seguridad informática.
47
o Actuar como punto de contacto internacional con sus homólogos en otros países, así como con organismos internacionales involucrados en esta técnica. o Promover el desarrollo de capacidades locales/sectoriales, así como la creación de CSIRT's sectoriales para la gestión operativa de los incidentes de ciberseguridad en las infraestructuras críticas nacionales, el sector privado y la sociedad civil. o Desarrollar y promover procedimientos, protocolos y guías de buenas prácticas y recomendaciones de ciberdefensa y ciberseguridad para las infraestructuras críticas de la Nación en conjunto con los agentes correspondientes y velar por su implementación y cumplimiento. o Coordinar la ejecución de políticas e iniciativas público-privadas de sensibilización y formación de talento humano especializado, relativas a la ciberdefensa y ciberseguridad. o Apoyar a los organismos de seguridad e investigación del Estado para la prevención e investigación de delitos donde medien las tecnologías de la información y las comunicaciones. o Fomentar un sistema de gestión de conocimiento relativo a la ciberdefensa y ciberseguridad, orientado a la mejora de los servicios prestados por el colCERT.
• CCP Centro Cibernético Policial de la Policía Nacional de Colombia
En el ciberespacio habitan un sin número de personas en busca de información, entretenimiento, negocios y otra clase de actividades. Sin embargo, también es una puerta abierta para que los criminales, depravados y terroristas cometan sus fechorías.
Con el objetivo de contrarrestar los delitos cibernéticos y combatir a los delincuentes en la red, nace el Centro Cibernético Policial que ofrece estrategias de prevención y atención ciudadana.
¿Cómo está dividido el Centro Cibernético Policial?
48
Está dividido en tres grandes grupos. El primero tiene que ver con todo el tema de fraudes electrónicos y lo relacionado con la protección de datos; el segundo es el ciberterrorismo y por último, el grupo contra la pornografía infantil.
¿Qué tipo de tecnología implementan para mitigar los delitos?
Nosotros contamos con diferentes equipos de análisis. Por ejemplo, manejamos un programa llamado ‘Cellebrite’ para extracción de datos única. Permite extracciones lógicas, físicas y de sistema de archivos de todos los datos y contraseñas, incluyendo datos eliminados, de la más amplia gama de dispositivos móviles. Por otro lado, contamos con los programas EnCase y FTK que nos permiten capturar, analizar y generar reportes sobre evidencia digital. Permiten recolectar datos desde cualquier actividad que se realice en internet: correo electrónico, documentos, gráficos, libretas de direcciones, etc.
• CCOC Comando Conjunto Cibernético del Comando General de las Fuerzas Militares de Colombia.
Durante el verano del 2012, el Gobierno colombiano se comprometió a ocuparse de la seguridad y la defensa cibernéticas para reforzar la seguridad de la información nacional, específicamente por medio de organizaciones oficiales que sentarían las bases, y crearían mecanismos para este fin. El documento, denominado CONPES 3701, estableció las directrices nacionales para la defensa y la seguridad cibernéticas de Colombia.
De esta forma, la nación sudamericana instituyó oficialmente un enfoque gubernamental conjunto para contrarrestar las amenazas cibernéticas y el delito. Colombia creó su unidad cibernética combinando tres organizaciones paralelas diseñadas para ejecutar responsabilidades específicas en el ciberespacio: el Comando Conjunto Cibernético (CCOC), el Centro Cibernético de la Policía Nacional (CCP) y el Equipo de Respuesta ante Emergencias Informáticas del ministerio de Defensa (colCERT).
El CCOC fue creado con un grupo inicial de 20 expertos en estudios en comunicaciones, ingeniería, aviación e inteligencia, procedentes de las tres ramas de las Fuerzas Armadas colombianas. Su objetivo es abordar la defensa cibernética del estado, responder a los ataques cibernéticos, asegurar la protección de infraestructuras críticas y defender las redes informáticas militares. Por otra parte, el personal operativo del CCP, que depende de la Dirección de Investigación Criminal de la Policía Nacional y la Interpol, busca garantizar la seguridad
49
cibernética por medio del cumplimiento de la ley, la investigación y la persecución de delitos relacionados con la cibernética. El colCERT se encarga principalmente de mitigar, prevenir y abordar incidentes cibernéticos, además de ofrecer experiencia técnica y concientización sobre la vulnerabilidad de la seguridad cibernética.
En diciembre de 2012, representantes del Comando Conjunto Cibernético del Comando Sur de los Estados Unidos (SOUTHCOM) y el Director de Información del Departamento de Defensa de los EE. UU. Viajaron a Colombia, para participar en un intercambio de expertos con miembros del CCOC y del colCERT. El director de información es la principal autoridad del Departamento de Defensa estadounidense en políticas y vigilancia de la gestión de recursos de información, incluidos los asuntos relacionados con tecnología de la información, y defensa y operaciones de redes.
4.2.6.3. Ley 1581 de 2012
• Los antecedentes normativos.
La información es el activo más importante en el mundo actual, es por ello que el 17 de octubre de 2012 el Gobierno Nacional expidió la Ley Estatutaria 1581 de 2012 mediante la cual se dictan disposiciones generales para la protección de datos personales, en ella se regula el derecho fundamental de hábeas data y se señala la importancia en el tratamiento del mismo tal como lo corrobora la Sentencia de la Corte Constitucional C – 748 de 2011 donde se estableció el control de constitucionalidad de la Ley en mención. La nueva ley busca proteger los datos personales registrados en cualquier base de datos que permite realizar operaciones, tales como la recolección, almacenamiento, uso, circulación o supresión (en adelante tratamiento) por parte de entidades de naturaleza pública y privada.
Como Ley Estatutaria (ley de especial jerarquía), tiene como fin esencial salvaguardar los derechos y deberes fundamentales, así como los procedimientos y recursos para su protección. La Jurisprudencia Constitucional trató desde el inicio el derecho al hábeas data como una garantía del derecho a la intimidad, de allí que se hablaba de la protección de los datos que pertenecen a la vida privada y familiar, entendida como la esfera individual impenetrable en la que cada cual puede realizar su proyecto de vida y en la que ni el Estado ni otros particulares pueden interferir. Actualmente el hábeas data es un derecho autónomo, compuesto por la autodeterminación informática y la libertad (incluida la libertad económica). Este derecho como fundamental autónomo, requiere para su efectiva protección
50
mecanismos que lo garanticen, los cuales no sólo han de depender pender de los jueces, sino de una institucionalidad administrativa que además del control y vigilancia tanto para los sujetos de derecho público como privado, aseguren la observancia efectiva de la protección de datos y, en razón de su carácter técnico, tengan la capacidad de fijar políticas públicas en la materia, sin injerencias de carácter político para el cumplimiento de esas decisiones.
Dentro de los contenidos mínimos que se desprenden del derecho de hábeas data se encuentra que las personas tienen la facultad de conocer – acceso – la información que sobre ellas están recogidas en bases de datos, lo que conlleva el acceso a las mismas donde se encuentra dicha información; tienen además, el derecho a incluir nuevos datos con el fin de que se provea una imagen completa del titular; derecho a actualizar la información, es decir, a poner al día el contenido de dichas bases de datos; derecho a que la información contenida en bases de datos sea rectificada o corregida, de tal manera que concuerde con la realidad; derecho a excluir información de una base de datos, bien porque se está haciendo un uso indebido de ella, o por simple voluntad del titular – salvo las excepciones previstas en la normativa.
La Ley obliga a todas las entidades públicas y empresas privadas a revisar el uso de los datos personales contenidos en sus sistemas de información y replantear sus políticas de manejo de información y fortalecimiento de sus herramientas, como entidad responsable del tratamiento (persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos) deben definir los fines y medios esenciales para el tratamiento de los datos de los usuarios y/o titulares, incluidos quienes fungen como fuente y usuario, y los deberes que se le adscriben responden a los principios de la administración de datos y a los derechos –intimidad y hábeas data – del titular del dato personal.
Luego de presentar los antecedentes jurídicos, es clave entender que la información hoy en día es el activo más importante que se utiliza en todas las actividades cotidianas, como podemos evidenciar, el flujo de información se ha multiplicado en los últimos años llevando a un crecimiento acelerado del mismo, lo que implica que a mayor información circulando por el mundo globalizado en que nos encontramos se deben proteger velozmente los datos personales.
• Obligaciones particulares a partir del Decreto 1377 del 27 de junio de 2013
El Decreto tiene como objetivo facilitar la implementación y el cumplimiento de la ley 1581 reglamentando aspectos relacionados con la autorización del titular de la
51
información para el tratamiento de sus datos personales, las políticas de tratamiento de los responsables y encargados, el ejercicio de los derechos de los titulares de la información, entre otros:
• 1). El anuncio como tal (y a los cinco días siguientes de la comunicación, enviar carta comunicándole al respecto a la Superintendencia de Industria y Comercio).
• 2). Formato de autorización para que si lo desean lo diligencien los titulares de datos recolectados previamente.
• 3). Determinación de canal electrónico y físico para recibir las autorizaciones.
• 4). Política de tratamiento de la información personal (pues esta se debe indicar en el anuncio).
• 5). Conducto regular y canales físicos y electrónicos definidos para que el titular ejerza sus derechos de acceso, rectificación y supresión.
Para datos recolectados a partir de la expedición del Decreto 1377 se necesita:
• 1). Aviso de Privacidad (que se puede hacer estratégicamente en el mismo formato de autorización de la captura).
• 2). Definir o crear un área o sujeto responsable de la protección de la información personal, según el tamaño empresarial del cliente (es decir aquí opera el criterio de responsabilidad demostrada consagrado en los arts. 26 y 27 del Decreto 1377).
• 3). Establecer cláusulas para transmisiones y transferencias de datos (si estas aplican).
• 4). Definir o conocer cuáles son los grupos de interés del cliente.
52
• 5). Definir las finalidades y los tratamientos genéricos en cada grupo de interés, pues esto se debe indicar en la política de tratamiento y en el formato de autorización.
4.2.7. El tratamiento de la evidencia digital y las normas ISO/IEC 27037:2012. La norma ISO/IEC 27037:2012 “Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence” viene a renovar a las ya antiguas directrices RFC 3227 estando las recomendaciones de la ISO 27037 más dirigidas a dispositivos actuales y están más de acorde con el estado de la técnica actual.
Esta norma ISO 27037 está claramente orientada al procedimiento de la actuación pericial en el escenario de la recogida, identificación y secuestro de la evidencia digital, no entra en la fase de Análisis de la evidencia.
Las tipologías de dispositivos y entornos tratados en la norma son los siguientes:
• Equipos y medios de almacenamiento y dispositivos periféricos.
• Sistemas críticos (alta exigencia de disponibilidad).
• Ordenadores y dispositivos conectados en red.
• Dispositivos móviles.
• Sistema de circuito cerrado de televisión digital.
Los principios básicos en los que se basa la norma son:
• Aplicación de Métodos
La evidencia digital debe ser adquirida del modo menos intrusivo posible tratando de preservar la originalidad de la prueba y en la medida de lo posible obteniendo copias de respaldo.
53
• Proceso Auditable
Los procedimientos seguidos y la documentación generada deben haber sido validados y contrastados por las buenas prácticas profesionales. Se debe proporcionar trazas y evidencias de lo realizado y sus resultados.
• Proceso Reproducible
Los métodos y procedimientos aplicados deben de ser reproducibles, verificables y argumentables al nivel de comprensión de los entendidos en la materia, quienes puedan dar validez y respaldo a las actuaciones realizadas.
• Proceso Defendible
Las herramientas utilizadas deben de ser mencionadas y éstas deben de haber sido validadas y contrastadas en su uso para el fin en el cual se utilizan en la actuación.
Para cada tipología de dispositivo la norma divide la actuación o su tratamiento en tres procesos diferenciados como modelo genérico de tratamiento de las evidencias:
o La identificación: es el proceso de la identificación de la evidencia y consiste en localizar e identificar las potenciales informaciones o elementos de prueba en sus dos posibles estados, el físico y el lógico según sea el caso de cada evidencia. o La recolección y/o adquisición: Este proceso se define como la recolección de los dispositivos y la documentación (incautación y secuestro de los mismos) que puedan contener la evidencia que se desea recopilar o bien la adquisición y copia de la información existente en los dispositivos. o La conservación/preservación: La evidencia ha de ser preservada para garantizar su utilidad, es decir, su originalidad para que a posteriori pueda ser ésta admisible como elemento de prueba original e íntegra, por lo tanto, las acciones de este proceso están claramente dirigidas a conservar la Cadena de Custodia, la integridad y la originalidad de la prueba.
OBJETIVOS
5.1 OBJETIVO GENERAL
Desarrollar una guía metodológica para realizar análisis forense en dispositivos móviles de sistema operativo Android, siguiendo los lineamientos de la legislación colombiana.
5.2 OBJETIVOS ESPECIFICOS
• Investigar el alcance del marco jurídico que cobija las investigaciones y análisis sobre la información contenida en dispositivos móviles según la legislación colombiana. • Investigar las diferentes técnicas y herramientas aplicadas en análisis forense de dispositivos móviles. • Investigar las metodologías existentes para realizar análisis forense a dispositivos móviles y la relación entre las herramientas, técnicas y estas metodologías existentes para realizar análisis forense a dispositivos móviles.
METODOLOGÍA
La metodología utilizada en este proyecto es el análisis de contenido como método de investigación, ya que permite articular las diferentes investigaciones realizadas con el fin de integrarlas. Además esta metodología nos permitirá determinar, medir, describir, identificar, analizar y comparar la información obtenida objeto de la investigación de las herramientas, técnicas y metodologías existentes en la informática forense orientada a los dispositivos móviles que nos dará como resultado el planteamiento de la metodología para análisis forense en estos dispositivos.
Todo proceso investigativo basado en esta metodología debe comprender o involucrar al menos cuatro etapas básicas: En primer lugar, el investigador tendrá que plantear con precisión el problema de investigación, identificando, analizando y evaluándolo con el objetivo último de darle una solución o una explicación. La segunda etapa de la investigación consiste en la elaboración de un diseño de investigación, un plan en el que se justifique el cómo se va a realizar la investigación, qué metodología se va a utilizar. Una tercera etapa, tiene que ver con las técnicas de recolección de información que se van a utilizar, con el fin de recoger los datos que se consideren necesarios y suficientes para poder dar respuesta a la hipótesis inicial. En una cuarta etapa, los datos recogidos se someterán a análisis e interpretación, de acuerdos a criterios teóricos y metodológicos definidos. Y, finalmente, las conclusiones constituirán el informe final.
6.1 ETAPAS DEL PROYECTO
• Planteamiento del problema y alcance de la investigación.
• Diseño de la investigación.
• Aplicación de técnicas de recolección de información.
• Análisis, interpretación y presentación de informe.
56
DESARROLLO DEL PROYECTO
7.1 GUIA METODOLÓGICA
La guía metodológica propuesta consta de 4 fases, encontrar la evidencia, identificar y extraer la evidencia, analizar la evidencia, documentar y presentar la evidencia.
Los actores que cumplen un rol en esta guía metodológica propuesta y que garantizan la cadena de custodia de la evidencia son los siguientes:
• Primer responsable.
• Agente de Policía.
• Custodio.
• Transportador.
• Almacenista.
• Analista.
• Fiscal.
• Juez.
Los roles expuestos pueden presentar algunas variaciones dependiendo del lugar y contexto en el que se desarrollen los hechos.
A continuación se describen las fases y pasos para la ejecución de la guía propuesta, se deben ejecutar de manera secuencial para obtener los resultados requeridos.
Fase uno F1: Encontrar la evidencia.
57
En esta fase se identifica la evidencia encontrada, se asocia a un caso de investigación y se trata para ser analizada.
En esta fase se diligencia los formularios del anexo a, b y c respectivamente.
Tabla 5. Fase 1 Encontrar la evidencia
FASE 1 ENCONTRAR LA EVIDENCIA PASO 1 IDENTIFICAR CASO DE ANÁLISIS
INFORMACIÓN DEL CASO DESCRIPCIÓN DEL CAMPO
NUMERO DE CASO DEBE SER UN NUMERO ENTERO DE MÁXIMO 3 DÍGITOS
FECHA DEL CASO FECHA FORMATO DD-MM-AAAA EN EL QUE SE REGISTRA EL CASO DE ANÁLISIS
HORA DEL CASO HORA FORMATO HH:MM (AM/PM) EN EL QUE SE REGISTRA EL CASO DE ANÁLISIS
DIRECCIÓN DEL CASO IDENTIFICAR CALLE, CARRERA, TRANSVERSAL, NUMERO DE CASA O PREDIO ETC.
CIUDAD IDENTIFICAR CIUDAD DONDE OCURRIÓ EL CASO.
DEPARTAMENTO IDENTIFICAR DEPARTAMENTO DONDE OCURRIÓ EL CASO.
DESCRIPCIÓN TEXTUAL DEL CASO
SE DEBE REALIZAR UN RELATO ESCRITO DONDE SE DESCRIBA LA ESCENA EN DONDE OCURRIÓ EL CASO QUE VA A SER OBJETO DE POSTERIOR ANÁLISIS.
INFORMACIÓN DEL PRIMER RESPONSABLE
IDENTIFICACIÓN RESPONSABLE NUMERO DE CEDULA DE LA PERSONA QUE LLEGO PRIMERO A LA ESCENA.
NOMBRE NOMBRE DE LA PERSONA QUE LLEGO PRIMERO A LA ESCENA.
CARGO CARGO DE LA PERSONA QUE LLEGO PRIMERO A LA ESCENA. (OPCIONAL)
58
Tabla 5. (Continuación)
INFORMACIÓN DEL AGENTE DE POLICÍA O CUSTODIO
IDENTIFICACIÓN RESPONSABLE NUMERO DE CEDULA DEL AGENTE DE POLICÍA O CUSTODIO JUDICIAL DE LA ESCENA
NOMBRE NOMBRE DEL AGENTE DE POLICÍA O CUSTODIO JUDICIAL DE LA ESCENA
CARGO CARGO DEL AGENTE DE POLICÍA O CUSTODIO JUDICIAL DE LA ESCENA
PASO 2 LISTAR Y FILTRAR EVIDENCIAS ENCONTRADAS
INFORMACIÓN DE LA EVIDENCIA
NUMERO DE EVIDENCIA DEBE SER UN NUMERO ENTERO DE MÁXIMO 2 DÍGITOS
TIPO DE EVIDENCIA
DEBE DEFINIR SI LA EVIDENCIA ENCONTRADAS SON COMPUTADORES, DISPOSITIVOS MÓVILES U OTRO TIPO DE EVIDENCIA, EN ESTE CASO SOLO NOS CONCIERNEN LOS DISPOSITIVOS MÓVILES DE SISTEMA OPERATIVO ANDROID.
DESCRIPCIÓN INICIAL DE LA EVIDENCIA
LA EVIDENCIA AQUÍ FILTRADA SON DISPOSITIVOS MÓVILES DE SISTEMA OPERATIVO ANDROID.
MARCA MARCA DEL DISPOSITIVO MÓVIL. MODELO MODELO DEL DISPOSITIVO MÓVIL COLOR COLOR DEL DISPOSITIVO MÓVIL IMEI IMEI DEL DISPOSITIVO MÓVIL PASO 3 TRATAR LA EVIDENCIA ESCENARIO 1 DISPOSITIVO MÓVIL APAGADO
EMBALAR DISPOSITIVO SE DEBE EMBALAR EL DISPOSITIVO EN UN RECIPIENTE DONDE NO SE PRESENTE DAÑO FÍSICO ALGUNO.
ROTULAR DISPOSITIVO NUMERO DE CASO, NUMERO DE EVIDENCIA, FECHA DE ROTULADO, HORA DE ROTULADO.
TRANSPORTAR AL LABORATORIO O ALMACÉN
SE DEBE LLEVAR EL DISPOSITIVO MÓVIL AL LABORATORIO DONDE SERA RECIBIDO POR EL ANALISTA PARA SU ANÁLISIS O AL ALMACÉN PARA SER GUARDADA Y ANALIZADA POSTERIORMENTE.
59
Tabla 5. (Continuación) INFORMACIÓN DEL TRANSPORTADOR
NUMERO DE IDENTIFICACIÓN NUMERO DE CEDULA DEL TRANSPORTADOR DE LA EVIDENCIA
NOMBRE NOMBRE DEL TRANSPORTADOR DE LA EVIDENCIA
INFORMACIÓN DEL ALMACENISTA O ANALISTA
NUMERO DE IDENTIFICACIÓN NUMERO DE CEDULA DEL ANALISTA O ALMACENISTA QUE RECIBE LA EVIDENCIA.
NOMBRE NOMBRE DEL ANALISTA O ALMACENISTA QUE RECIBE LA EVIDENCIA.
CARGO CARGO DEL ANALISTA O ALMACENISTA QUE RECIBE LA EVIDENCIA.
ESCENARIO 2 DISPOSITIVO MÓVIL ENCENDIDO
AISLAR EL EQUIPO SE DEBE EMBALAR EL DISPOSITIVO EN UN BOLSA QUE AÍSLA SEÑALES O JAULA DE FARADAY.
ROTULAR DISPOSITIVO NUMERO DE CASO, NUMERO DE EVIDENCIA, FECHA DE ROTULADO, HORA DE ROTULADO.
EXTRAER INFORMACIÓN VOLÁTIL
SE DEBE CONECTAR EL DISPOSITIVO A UN PC PARA VER SI ES POSIBLE POR MEDIO DE SOFTWARE DE ANÁLISIS FORENSE REALIZAR UNA BACKUP DE LA MEMORIA RAM DEL DISPOSITIVO.
PROPORCIONAR CARGA ELÉCTRICA
SE PROPORCIONA CARGA ELÉCTRICA AL DISPOSITIVO SI ES NECESARIO LLEVARLO ENCENDIDO AL LABORATORIO PARA INTENTAR EXTRAER LA INFORMACIÓN ALOJADA EN LA MEMORIA RAM.
TRANSPORTAR AL LABORATORIO O ALMACÉN
SE DEBE LLEVAR EL DISPOSITIVO MÓVIL AL LABORATORIO DONDE SERA RECIBIDO POR EL ANALISTA PARA SU ANÁLISIS O AL ALMACÉN PARA SER GUARDADA Y ANALIZADA POSTERIORMENTE.
INFORMACIÓN DEL TRANSPORTADOR
NUMERO DE IDENTIFICACIÓN NUMERO DE CEDULA DEL TRANSPORTADOR DE LA EVIDENCIA
60
Tabla 5. (Continuación)
NOMBRE NOMBRE DEL TRANSPORTADOR DE LA EVIDENCIA
INFORMACIÓN DEL ALMACENISTA O ANALISTA
NUMERO DE IDENTIFICACIÓN NUMERO DE CEDULA DEL ANALISTA O ALMACENISTA QUE RECIBE LA EVIDENCIA.
NOMBRE NOMBRE DEL ANALISTA O ALMACENISTA QUE RECIBE LA EVIDENCIA.
CARGO CARGO DEL ANALISTA O ALMACENISTA QUE RECIBE LA EVIDENCIA.
PASO 4 DESBLOQUEAR DISPOSITIVO ANDROID NORMALMENTE TIENE 4 OPCIONES PARA EL MANEJO DE LA SEGURIDAD DE LOS DISPOSITIVOS MÓVILES LAS CUALES LISTAMOS A CONTINUACIÓN EN ORDEN DE PRIORIDAD:
1. CUENTA DE GOOGLE. 2. PIN NUMÉRICO DE BLOQUEO (4 DÍGITOS) 3. PATRÓN DE BLOQUEO. 4. HUELLA (BLOQUEO BIOMÉTRICO)
EXISTEN HERRAMIENTAS COMO DR. PHONE Y ANDRILLER TIENEN MÓDULOS QUE PERMITEN QUITAR ESTOS PATRONES DE BLOQUEO PERO SON POCO EFECTIVAS YA QUE DEPENDE DE VARIAS VARIABLES PARA PODER REALIZAR ESTOS DESBLOQUEO COMO LO SON LA MARCA DEL DISPOSITIVO, EL MODELO DEL DISPOSITIVO, LA VERSIÓN DE ANDROID. SON HERRAMIENTAS EFECTIVAS EN EL CASO DE QUE LOS EQUIPOS SEAN MODELOS ANTIGUOS O DESACTUALIZADOS.
PASO 5
CADA VEZ QUE SE REALICE CUALQUIER MOVIMIENTO DE LA EVIDENCIA DEBE QUEDAR REGISTRADO EN EL FORMULARIO CADENA DE CUSTODIA.
FECHA DE REGISTRO FECHA FORMATO DD-MM-AAAA EN EL QUE SE REGISTRA EL EVENTO EN LA CADENA DE CUSTODIA.
61
Tabla 5. (Continuación)
HORA DE REGISTRO HORA FORMATO HH:MM (AM/PM) EN EL QUE SE REGISTRA EL EVENTO EN LA CADENA DE CUSTODIA.
IDENTIFICACIÓN NUMERO DE IDENTIFICACIÓN DEL RESPONSABLE DE LA CADENA DE CUSTODIA
NOMBRE DEL RESPONSABLE NOMBRE DEL RESPONSABLE DE LA CADENA DE CUSTODIA
CARGO DEL RESPONSABLE CARGO DEL RESPONSABLE DE LA CADENA DE CUSTODIA
NUMERO DE EVIDENCIA DEBE SER UN NUMERO ENTERO DE MÁXIMO 3 DÍGITOS
OBJETO DEL TRASLADO MOTIVO DEL TRASLADO DE LA EVIDENCIA
LUGAR DE ORIGEN LUGAR DONDE SE RECOGE LA EVIDENCIA.
LUGAR DE DESTINO LUGAR DE DESTINO DE LA EVIDENCIA.
FIRMA DEL ENCARGADO FIRMA DEL ENCARGADO DE LA EVIDENCIA.
Fuente: elaboración propia
Fase dos F2: Identificar, describir y extraer la evidencia.
En esta fase se identifica, describe y extrae los datos e información obtenida de los dispositivos móviles con sistema operativo Android que serán tratados como evidencia.
En esta fase se diligencia los formularios del anexo c y d.
62
Tabla 6. Fase 2 Identificar, describir y extraer la evidencia
FASE 2 IDENTIFICAR, DESCRIBIR Y EXTRAER LA EVIDENCIA PASO 1 IDENTIFICAR LA EVIDENCIA
IDENTIFICACIÓN DE LA EVIDENCIA DESCRIPCIÓN DEL CAMPO
NUMERO DE EVIDENCIA DEBE SER UN NUMERO ENTERO DE MÁXIMO 3 DÍGITOS.
FECHA REGISTRO FECHA EN FORMATO DD: MM: AAAA EN LA QUE SE REALIZO EL EJERCICIO DE IDENTIFICACIÓN DE LA EVIDENCIA ENCONTRADA.
HORA REGISTRO HORA EN FORMATO HH:MM (AM/PM) EN LA QUE SE REALIZO EL EJERCICIO DE IDENTIFICACIÓN DE LA EVIDENCIA ENCONTRADA.
LUGAR DE REGISTRO DIRECCIÓN DE LUGAR DONDE SE REALIZO LA IDENTIFICACIÓN DE LA EVIDENCIA ENCONTRADA (LABORATORIO-ESCENA DEL CASO)
IDENTIFICACIÓN DEL ANALISTA IDENTIFICACIÓN DEL ANALISTA NUMERO DE CEDULA DEL ANALISTA ENCARGADO.
NOMBRE ANALISTA NOMBRE DEL ANALISTA ENCARGADO.
PASO 2 EXTRAER COPIA DE DATOS BIT A BIT PARA MEMORIA EXTERNA
EXTRAER MEMORIA EXTERNA DEL DISPOSITIVO MÓVIL
SE DEBE EXTRAER FÍSICAMENTE LA MEMORIA EXTERNA DEL DISPOSITIVO MÓVIL PARA CONECTARSE A UN PC.
CONECTAR MEMORIA EXTERNA A UN PC SE DEBE CONECTAR LA MEMORIA EXTERNA AL PC.
EJECUTAR SOFTWARE PARA COPIA
SE DEBE EJECUTAR SOFTWARE PARA REALIZAR COPIA BIT A BIT DE LA MEMORIA EXTERNA EXTRAÍDA.
GUARDAR ARCHIVO Y REPORTE CON COPIA
SE ALMACENA EL ARCHIVO Y REPORTE CON COPIA PARA ANALIZARSE POSTERIORMENTE.
PASO 3 EXTRAER COPIA DE DATOS MEMORIA INTERNA CONECTAR DISPOSITIVO MÓVIL A UN PC POR MEDIO USB
SE DEBE CONECTAR EL DISPOSITIVO MÓVIL AL PC POR MEDIO DE CABLE USB.
EJECUTAR SOFTWARE PARA COPIA
SE DEBE EJECUTAR SOFTWARE PARA REALIZAR COPIA DE LOS DATOS DE LA MEMORIA INTERNA DEL DISPOSITIVO.
GUARDAR ARCHIVO CON COPIA
SE ALMACENA EL ARCHIVO OBTENIDO PARA ANALIZARSE POSTERIORMENTE.
63
Tabla 6. (Continuación)
PASO 4 DESCRIBIR LA EVIDENCIA
ESTADO EL DISPOSITIVO MÓVIL SE ENCUENTRA (ENCENDIDO-APAGADO)
PROTECCIÓN PIN LA TARJETA SIM TIENE NUMERO PIN ACTIVADO O DESACTIVADO.
BLOQUEO (PIN-PATRÓN) EL DISPOSITIVO ESTA BLOQUEADO POR PATRÓN O PIN NUMÉRICO DE BLOQUEO.
MARCA QUE MARCA ES EL DISPOSITIVO MÓVIL. MODELO QUE MODELO ES DISPOSITIVO MÓVIL. CAPACIDAD DE ALMACENAMIENTO
QUE CAPACIDAD DE ALMACENAMIENTO MÁXIMA TIENE EL DISPOSITIVO MÓVIL.
NUMERO DE SERIE QUE NUMERO DE SERIE TIENE EL DISPOSITIVO. NUMERO ICCID (SIM CARD)
QUE NUMERO DE ICCID TIENE LA MEMORIA SIM ASOCIADA AL DISPOSITIVO.
VERSIÓN FIRMWARE QUE VERSIÓN DEL FIREWARE TIENE EL DISPOSITIVO.
IMEI NUMERO DE 15 DÍGITOS CON EL QUE SE IDENTIFICA EL DISPOSITIVO.
NUMERO TELEFÓNICO NUMERO TELEFÓNICO DEL DISPOSITIVO. OPERADOR DE TELEFONÍA
EN QUE OPERADOR MÓVIL ESTA REGISTRADO EL DISPOSITIVO.
COBERTURA QUE COBERTURA TIENE EL DISPOSITIVO ASOCIADA (REGIONAL-NACIONAL-INTERNACIONAL)
CONEXIONES SOPORTADAS REDES 2G, 3G, 4G, MIXTAS ETC. DIRECCIÓN MAC WIFI NUMERO DE LA MAC DE LA TARJETA WIFI. DIRECCIÓN MAC BLUETOOTH NUMERO DE LA MAC DE LA TARJETA BLUETOOTH
NUMERO DE CANCIONES CANTIDAD DE CANCIONES Y AUDIOS ENCONTRADOS EN EL DISPOSITIVO.
NUMERO DE VIDEOS CANTIDAD DE VIDEOS ENCONTRADOS EN EL DISPOSITIVO.
NUMERO DE FOTOS CANTIDAD DE CANCIONES Y AUDIOS ENCONTRADOS EN EL DISPOSITIVO.
NUMERO DE APLICACIONES
CANTIDAD DE APLICACIONES ENCONTRADOS EN EL DISPOSITIVO.
NUMERO DE CONTACTOS CANTIDAD DE CONTACTOS ENCONTRADOS EN EL DISPOSITIVO.
NUMERO DE CORREOS ELECTRÓNICOS
CANTIDAD DE CORREOS ELECTRÓNICOS ENCONTRADOS EN EL DISPOSITIVO.
64
Tabla 6. (Continuación)
DIMENSIONES FÍSICAS LARGO, ANCHO Y ESPESOR DEL DISPOSITIVO MÓVIL.
PASO 5 CADA VEZ QUE SE REALICE CUALQUIER MOVIMIENTO DE LA EVIDENCIA DEBE QUEDAR REGISTRADO EN EL FORMULARIO CADENA DE CUSTODIA. ANEXO 3
FECHA DE REGISTRO FECHA FORMATO DD-MM-AAAA EN EL QUE SE REGISTRA EL EVENTO EN LA CADENA DE CUSTODIA.
HORA DE REGISTRO HORA FORMATO HH:MM (AM/PM) EN EL QUE SE REGISTRA EL EVENTO EN LA CADENA DE CUSTODIA.
IDENTIFICACIÓN RESPONSABLE
NUMERO DE IDENTIFICACIÓN DEL RESPONSABLE DE LA CADENA DE CUSTODIA
NOMBRE DEL RESPONSABLE
NOMBRE DEL RESPONSABLE DE LA CADENA DE CUSTODIA
CARGO DEL RESPONSABLE
CARGO DEL RESPONSABLE DE LA CADENA DE CUSTODIA
NUMERO DE EVIDENCIA DEBE SER UN NUMERO ENTERO DE MÁXIMO 3 DÍGITOS
OBJETO DEL TRASLADO MOTIVO DEL TRASLADO DE LA EVIDENCIA LUGAR DE ORIGEN LUGAR DONDE SE RECOGE LA EVIDENCIA. LUGAR DE DESTINO LUGAR DE DESTINO DE LA EVIDENCIA. FIRMA DEL ENCARGADO FIRMA DEL ENCARGADO DE LA EVIDENCIA.
Fuente: elaboración propia
• Fase Tres F3: Analizar la evidencia.
En esta fase analiza la evidencia extraída en herramientas que permitan desplegar la información para poder conocer el contenido del dispositivo móvil.
En esta fase se diligencia los formularios del anexo c, e, f y g.
65
Tabla 7. Fase 3 Analizar la evidencia
FASE 3 ANALIZAR LA EVIDENCIA PASO 1 CARGAR Y ANALIZAR DATOS
MEMORIA EXTERNA IDENTIFICACIÓN DEL ANALISTA DESCRIPCIÓN DEL CAMPO
IDENTIFICACIÓN DEL ANALISTA NUMERO DE CEDULA DEL ANALISTA ENCARGADO.
NOMBRE ANALISTA NOMBRE DEL ANALISTA ENCARGADO. IDENTIFICACIÓN DEL FISCAL
IDENTIFICACIÓN DEL FISCAL NUMERO DE CEDULA DEL FISCAL ENCARGADO.
NOMBRE FISCAL NOMBRE DEL FISCAL ENCARGADO. CARGA Y ANÁLISIS DE DATOS DE
MEMORIA EXTERNA DESCRIPCIÓN
CARGAR DATOS EN HERRAMIENTA DE ANÁLISIS FORENSE.
SE DEBEN CARGAR LOS DATOS EXTRAÍDOS DE LA MEMORIA EXTERNA DEL DISPOSITIVO.
ANALIZAR LISTA DE CONTACTOS
SE DEBEN REVISAR UNO A UNO LOS CONTACTOS ENCONTRADOS Y FILTRAR LOS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR HISTORIAL DE LLAMADAS
SE DEBEN REVISAR UNO A UNO EL HISTORIAL DE LLAMADAS ENCONTRADAS Y FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR HISTORIAL DE MENSAJES
SE DEBEN REVISAR UNO A UNO EL HISTORIAL DE MENSAJES ENCONTRADOS Y FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
66
Tabla 7. (Continuación)
ANALIZAR FOTOS IMÁGENES Y VIDEOS
SE DEBEN REVISAR UNO A UNO EL HISTORIAL DE FOTOS Y VIDEOS ADEMÁS DE LOS METADATOS ASOCIADOS A LOS MISMOS PARA LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR CORREO ELECTRÓNICO
SE DEBEN REVISAR UNO A UNO LOS CORREOS ELECTRÓNICOS Y SU CONTENIDO PARA LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR EVENTOS DE CALENDARIO
SE DEBEN REVISAR UNO A UNO LOS EVENTOS DE CALENDARIO ENCONTRADOS Y SU CONTENIDO PARA LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR DATOS DE APLICACIONES
SE DEBEN REVISAR UNO A UNO LOS EVENTOS DE LAS APLICACIONES INSTALADAS Y SU CONTENIDO PARA LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR INFORMACIÓN DE CUENTAS
SE DEBEN REVISAR UNO A UNO LOS EVENTOS DE LAS CUENTAS INSCRITAS Y LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
67
Tabla 7. (Continuación)
ANALIZAR INFORMACIÓN DE DOCUMENTOS
SE DEBEN ANALIZAR UNO A UNO LOS DOCUMENTOS ENCONTRADOS EN EL DISPOSITIVOS (ARCHIVOS DE TEXTO, HOJAS DE CÁLCULO, PRESENTACIONES ETC.)
PASO 2 CARGAR Y ANALIZAR DATOS MEMORIA INTERNA
CARGAR DATOS EN HERRAMIENTA DE ANÁLISIS FORENSE.
SE DEBEN CARGAR LOS DATOS EXTRAÍDOS DE LA MEMORIA INTERNA DEL DISPOSITIVO.
ANALIZAR LISTA DE CONTACTOS
SE DEBEN REVISAR UNO A UNO LOS CONTACTOS ENCONTRADOS Y FILTRAR LOS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR HISTORIAL DE LLAMADAS
SE DEBEN REVISAR UNO A UNO EL HISTORIAL DE LLAMADAS ENCONTRADAS Y FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR HISTORIAL DE MENSAJES
SE DEBEN REVISAR UNO A UNO EL HISTORIAL DE MENSAJES ENCONTRADOS Y FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR FOTOS IMÁGENES Y VIDEOS
SE DEBEN REVISAR UNO A UNO EL HISTORIAL DE FOTOS Y VIDEOS ADEMÁS DE LOS METADATOS ASOCIADOS A LOS MISMOS PARA LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
68
Tabla 7. (Continuación)
ANALIZAR CORREO ELECTRÓNICO
SE DEBEN REVISAR UNO A UNO LOS CORREOS ELECTRÓNICOS Y SU CONTENIDO PARA LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR EVENTOS DE CALENDARIO
SE DEBEN REVISAR UNO A UNO LOS EVENTOS DE CALENDARIO ENCONTRADOS Y SU CONTENIDO PARA LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR INFORMACIÓN ENTRE EL DISPOSITIVO Y EL COMPUTADOR RELACIONADO
SE DEBEN REVISAR UNO A UNO LAS CONEXIONES A OTROS DISPOSITIVOS QUE TENGA REGISTRADO NUESTRO DISPOSITIVO MÓVIL.
ANALIZAR DATOS DE APLICACIONES
SE DEBEN REVISAR UNO A UNO LOS EVENTOS DE LAS APLICACIONES INSTALADAS Y SU CONTENIDO PARA LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR INFORMACIÓN DE CUENTAS
SE DEBEN REVISAR UNO A UNO LOS EVENTOS DE LAS CUENTAS INSCRITAS Y LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR INFORMACIÓN DE DOCUMENTOS
SE DEBEN ANALIZAR UNO A UNO LOS DOCUMENTOS ENCONTRADOS EN EL DISPOSITIVOS (ARCHIVOS DE TEXTO, HOJAS DE CÁLCULO, PRESENTACIONES, PDF ETC.)
69
Tabla 7. (Continuación)
PASO 3
CADA VEZ QUE SE REALICE CUALQUIER MOVIMIENTO DE LA EVIDENCIA DEBE QUEDAR REGISTRADO EN EL FORMULARIO CADENA DE CUSTODIA. ANEXO 3
FECHA DE REGISTRO FECHA FORMATO DD-MM-AAAA EN EL QUE SE REGISTRA EL EVENTO EN LA CADENA DE CUSTODIA.
HORA DE REGISTRO HORA FORMATO HH:MM (AM/PM) EN EL QUE SE REGISTRA EL EVENTO EN LA CADENA DE CUSTODIA.
IDENTIFICACIÓN RESPONSABLE NUMERO DE IDENTIFICACIÓN DEL RESPONSABLE DE LA CADENA DE CUSTODIA
NOMBRE DEL RESPONSABLE NOMBRE DEL RESPONSABLE DE LA CADENA DE CUSTODIA
CARGO DEL RESPONSABLE CARGO DEL RESPONSABLE DE LA CADENA DE CUSTODIA
NUMERO DE EVIDENCIA DEBE SER UN NUMERO ENTERO DE MÁXIMO 3 DÍGITOS
OBJETO DEL TRASLADO MOTIVO DEL TRASLADO DE LA EVIDENCIA
LUGAR DE ORIGEN LUGAR DONDE SE RECOGE LA EVIDENCIA.
LUGAR DE DESTINO LUGAR DE DESTINO DE LA EVIDENCIA.
FIRMA DEL ENCARGADO FIRMA DEL ENCARGADO DE LA EVIDENCIA.
Fuente: elaboración propia
• Fase Cuatro F4: Documentar la evidencia.
En esta fase se relacionan los elementos extraídos y analizados con respectos al tiempo, se documenta la información y/o datos recaudados como evidencia.
En esta fase se diligencia los formularios del anexo c, g, h, i.
70
Tabla 8. Fase 4 Documentar y presentar la evidencia
FASE 4 DOCUMENTAR Y PRESENTAR LA EVIDENCIA IDENTIFICACIÓN DEL ANALISTA DESCRIPCIÓN DEL CAMPO
IDENTIFICACIÓN DEL ANALISTA NUMERO DE CEDULA DEL ANALISTA ENCARGADO.
NOMBRE ANALISTA NOMBRE DEL ANALISTA ENCARGADO. IDENTIFICACIÓN DEL FISCAL
IDENTIFICACIÓN DEL FISCAL NUMERO DE CEDULA DEL FISCAL ENCARGADO.
NOMBRE FISCAL NOMBRE DEL FISCAL ENCARGADO.
PASO 1 LISTAR EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL EN EL TIEMPO
LISTADO CON RESPECTO AL TIEMPO DE LOS EVENTOS
RELEVANTES ENCONTRADOS DESCRIPCIÓN DEL CAMPO
LISTAR DE MANERA LINEAL DE ACUERDO AL TIEMPO LA INFORMACIÓN RELEVANTE DE CONTACTOS ENCONTRADOS.
SE DEBE LISTAR CON RESPECTO AL TIEMPO TODOS LOS EVENTOS RELEVANTES DE LOS CONTACTOS.
LISTAR DE MANERA LINEAL DE ACUERDO AL TIEMPO LA INFORMACIÓN RELEVANTE DE HISTORIAL DE LLAMADAS.
SE DEBE LISTAR CON RESPECTO AL TIEMPO TODOS LOS EVENTOS RELEVANTES DEL HISTORIAL DE LLAMADAS.
LISTAR DE MANERA LINEAL DE ACUERDO AL TIEMPO LA INFORMACIÓN RELEVANTE DE FOTOS Y VIDEOS.
SE DEBE LISTAR CON RESPECTO AL TIEMPO TODOS LOS EVENTOS RELEVANTES DEL HISTORIAL FOTOS Y VIDEOS.
LISTAR DE MANERA LINEAL DE ACUERDO AL TIEMPO LA INFORMACIÓN RELEVANTE DE CORREO ELECTRÓNICO.
SE DEBE LISTAR CON RESPECTO AL TIEMPO TODOS LOS EVENTOS RELEVANTES DEL HISTORIAL DE CORREO ELECTRÓNICO.
LISTAR DE MANERA LINEAL DE ACUERDO AL TIEMPO LA INFORMACIÓN RELEVANTE DE EVENTOS DE CALENDARIO.
SE DEBE LISTAR CON RESPECTO AL TIEMPO TODOS LOS EVENTOS RELEVANTES DEL HISTORIAL DE CALENDARIO.
LISTAR DE MANERA LINEAL DE ACUERDO AL TIEMPO LA INFORMACIÓN RELEVANTE DE LAS APLICACIONES INSTALADAS
SE DEBE LISTAR CON RESPECTO AL TIEMPO TODOS LOS EVENTOS RELEVANTES DEL HISTORIAL DE APLICACIONES INSTALADAS.
71
Tabla 8. (Continuación)
LISTAR DE MANERA LINEAL DE ACUERDO AL TIEMPO LA INFORMACIÓN RELEVANTE DE LAS CUENTAS ENCONTRADAS.
SE DEBE LISTAR CON RESPECTO AL TIEMPO TODOS LOS EVENTOS RELEVANTES DE LAS CUENTAS INSTALADAS.
LISTAR DE MANERA LINEAL DE ACUERDO AL TIEMPO LA INFORMACIÓN RELEVANTE DE LOS DOCUMENTOS ENCONTRADOS.
SE DEBE LISTAR CON RESPECTO AL TIEMPO TODOS LOS EVENTOS RELEVANTES DE LOS DOCUMENTOS DE TEXTO, HOJAS DE CALCULO, PRESENTACIONES, PDF ETC.
PASO 2 PRESENTAR EVIDENCIAS Y CONCLUSIONES.
PASO 3 CADA VEZ QUE SE REALICE CUALQUIER MOVIMIENTO DE LA EVIDENCIA DEBE QUEDAR REGISTRADO EN EL FORMULARIO CADENA DE CUSTODIA. ANEXO 3
FECHA DE REGISTRO FECHA FORMATO DD-MM-AAAA EN EL QUE SE REGISTRA EL EVENTO EN LA CADENA DE CUSTODIA.
HORA DE REGISTRO HORA FORMATO HH:MM (AM/PM) EN EL QUE SE REGISTRA EL EVENTO EN LA CADENA DE CUSTODIA.
IDENTIFICACIÓN RESPONSABLE NUMERO DE IDENTIFICACIÓN DEL RESPONSABLE DE LA CADENA DE CUSTODIA
NOMBRE DEL RESPONSABLE NOMBRE DEL RESPONSABLE DE LA CADENA DE CUSTODIA
CARGO DEL RESPONSABLE CARGO DEL RESPONSABLE DE LA CADENA DE CUSTODIA
NUMERO DE EVIDENCIA DEBE SER UN NUMERO ENTERO DE MÁXIMO 3 DÍGITOS
OBJETO DEL TRASLADO MOTIVO DEL TRASLADO DE LA EVIDENCIA LUGAR DE ORIGEN LUGAR DONDE SE RECOGE LA EVIDENCIA. LUGAR DE DESTINO LUGAR DE DESTINO DE LA EVIDENCIA. FIRMA DEL ENCARGADO FIRMA DEL ENCARGADO DE LA EVIDENCIA.
Fuente: elaboración propia.
7.2 DIAGRAMA GUIA METODOLÓGICA
Figura 5. Diagrama de fases y pasos guía metodológica
Fuente: elaboración propia
73
7.3 EJECUCIÓN DE LA GUIA METODOLÓGICA PARA ANÁLISIS FORENSE.
Tabla 9. Ejecución Fase 1
FASE 1 ENCONTRAR LA EVIDENCIA PASO 1 IDENTIFICAR CASO DE ANÁLISIS
INFORMACIÓN DEL CASO
NUMERO DE CASO 001
FECHA DEL CASO LUNES, 2 DE ABRIL DE 2 018
HORA DEL CASO 09:46
DIRECCIÓN DEL CASO CL. 25 #115-85
CIUDAD CALI DEPARTAMENTO VALLE DEL CAUCA
DESCRIPCIÓN TEXTUAL DEL CASO
En las instalaciones de la universidad autónoma de occidente en aulas 2 piso 2 salón 1 se encuentra un dispositivo móvil olvidado por uno de sus alumnos de la materia física i después de finalizada la clase uno de sus alumnos le notifica al profesor sobre el dispositivo y este procede a notificar al departamento de tecnologías de la información de la universidad debido a las sospechas de que en los últimos días por medio de este tipo de dispositivos fueron alteradas las notas del segundo parcial de la materia, y fueron reportados casos en algunas otras materias dictadas en la facultad.
INFORMACIÓN DEL PRIMER RESPONSABLE IDENTIFICACIÓN RESPONSABLE 1.090.427.627
NOMBRE EDWIN YAMIT ARCHILA REYES CARGO DOCENTE MATERIA FÍSICA I INFORMACIÓN DEL AGENTE DE POLICÍA O CUSTODIO (EN ESTE CASO ESTE ROL LO ASUMIRÁ EL DIRECTOR DE TECNOLOGÍA DE LA INFORMACIÓN UAO) IDENTIFICACIÓN RESPONSABLE 1.090.450.726
74
Tabla 9. (Continuación)
NOMBRE KELLY JOHANA BLANCO GONZALES
CARGO DIRECTOR DE TECNOLOGÍA DE LA INFORMACIÓN UAO.
PASO 2 LISTAR Y FILTRAR EVIDENCIA ENCONTRADAS
INFORMACIÓN DE LA EVIDENCIA NUMERO DE EVIDENCIA 001
TIPO DE EVIDENCIA DISPOSITIVO MÓVIL CON SISTEMA OPERATIVO ANDROID
DESCRIPCIÓN INICIAL DE LA EVIDENCIA
SE ENCUENTRA UN DISPOSITIVO MÓVIL APAGADO EN UNA DE LAS AULAS 2 PISO 2 SALÓN 1, DONDE ESTE DISPOSITIVO SE DEJO ABANDONADO Y ES ENCONTRADO POR EL DOCENTE.
MARCA MOTOROLA MODELO MOTO C COLOR NEGRO IMEI 355671081356478-355671081356486 PASO 3 TRATAR LA EVIDENCIA ESCENARIO 1 DISPOSITIVO MÓVIL APAGADO
EMBALAR DISPOSITIVO
SE DEBE EMBALAR EL DISPOSITIVO EN UN RECIPIENTE DONDE NO SE PRESENTE DAÑO FÍSICO ALGUNO.
75
Tabla 9. (Continuación)
ROTULAR DISPOSITIVO
NUMERO DE CASO, NUMERO DE EVIDENCIA, FECHA DE ROTULADO, HORA DE ROTULADO. - ANEXO 2 ROTULO DE LA EVIDENCIA
ROTULO DE EVIDENCIA NUMERO DE CASO 001 NUMERO DE EVIDENCIA 001
FECHA DE ROTULADO LUNES, 2 DE ABRIL DE 2018
HORA DE ROTULADO 11:47
TRANSPORTAR AL LABORATORIO O ALMACÉN
SE LLEVA AL LABORATORIO PARA SER ANALIZADA LA EVIDENCIA.
INFORMACIÓN DEL TRANSPORTADOR (ASISTENTE DE DPTO. TI) NUMERO DE IDENTIFICACIÓN 13.490.889
NOMBRE GABRIEL ARCÁNGEL CÁRDENAS CÁCERES
INFORMACIÓN DEL CUSTODIO (INGENIERA ESPECIALISTA EN SEGURIDAD INFORMÁTICA)
NUMERO DE IDENTIFICACIÓN 1.090.423.115
NOMBRE MARIANELLA CÁRDENAS GONZÁLEZ
CARGO (ALMACENISTA O ANALISTA)
ANALISTA
Fuente: elaboración propia
76
Tabla 10. Registro de la cadena de custodia
REGISTRO DE CADENA DE CUSTODIA
No. REGISTRO
FECHA DE REGISTRO
HORA DE
REGISTRO
IDENTIFICACIÓN
NOMBRE DEL RESPONSABLE
CARGO DEL RESPONSAB
LE
NUMERO DE
EVIDENCIA
OBJETO DEL TRASLADO
LUGAR DE
ORIGEN
LUGAR DE
DESTINO
FIRMA ENCARGADO
1
LUNES, 2 DE ABRIL DE 2018 08:00 1.090.427
.627 EDWIN YAMIT
ARCHILA REYES
DOCENTE MATERIA
FÍSICA I(PRIMER
RESPONSABLE)
001 TRASLADO A ENCARGADO
UNIVERSIDAD AUTÓNOMA DE OCCIDE
NTE.
ESCENA EDWIN ARCILA
2
LUNES, 2 DE ABRIL DE 2018 09:46 1.090.450
.726 KELLY JOHANA
BLANCO GONZÁLEZ
DIRECTOR DE TI
(CUSTODIO) 001 ANÁLISIS EN
LABORATORIO
UNIVERSIDAD AUTÓNOMA DE OCCIDENTE.
ESCENA KELLY BLANCO
3
LUNES, 2 DE ABRIL DE 2018 11:47 13.490.88
9 GABRIEL ARCÁNGEL
CÁRDENAS
ASISTENTE DE
DEPARTAMENTO DE TI
(TRANSPORTADOR)
001 TRASLADO AL LABORATORIO
UNIVERSIDAD AUTÓNOMA DE OCCIDENTE.
LABORATORI
O
GABRIEL CADENA
4 LUNES, 2 DE ABRIL DE 2018 13:12 1.090.423
.115
MARIANELLA CÁRDENAS GONZÁLEZ
INGENIERA ESPECIALIST
A EN SEGURIDAD INFORMÁTICA (ANALISTA)
001 ANÁLISIS EN LABORATORIO
UNIVERSIDAD AUTÓNOMA DE OCCIDENTE.
LABORATORI
O
MARIANELLA CÁRDENAS
Fuente: elaboración propia
77
Tabla 11. Ejecución Fase 2
FORMULARIO 2
FASE 2 IDENTIFICAR, DESCRIBIR Y EXTRAER LA EVIDENCIA
PASO 1 IDENTIFICAR LA EVIDENCIA IDENTIFICACIÓN DE LA EVIDENCIA
NUMERO DE EVIDENCIA 001
FECHA REGISTRO LUNES, 2 DE ABRIL DE 2018 HORA REGISTRO 13:12 LUGAR DE REGISTRO UNIVERSIDAD AUTÓNOMA DE OCCIDENTE
IDENTIFICACIÓN DEL ANALISTA IDENTIFICACIÓN DEL ANALISTA 1.090.423.115
NOMBRE ANALISTA MARIANELLA CÁRDENAS GONZÁLEZ
Fuente: elaboración propia
• Paso 2 extraer copia de datos bit a bit para memoria externa
Se realiza la extracción de los datos de la memoria externa con el software de FTK imager el cual primero se realiza una copia bit a bit de la memoria MicroSD como se muestra a continuación.
• Se extrae la memoria MicroSD del dispositivo móvil.
78
Figura 6. Extracción de memoria externa.
Se conecta al PC mediante un adaptador de memoria MicroSD.
Figura 7. Inserción memoria externa
Se procede con el backup de la memoria externa mediante la herramienta FTK imager.
79
Figura 8. Selección de tipo de recurso.
Fuente: pantallazos FTK Imager
Se selecciona la opción Physical Drive y se presionas siguiente.
Figura 9. Selección physical drive.
Fuente: Pantallazos FTK Imager
80
2.5 Se selecciona la memoria externa para proceder con el backup y se presiona Finish.
Figura 10. Crear imagen memoria.
Fuente: Pantallazos FTK Imager
En esta ventana seleccionamos las opciones Add para crear la imagen de disco.
Figura 11. Selección tipo de imagen de disco.
Fuente: Pantallazos FTK Imager
81
En esta ventana seleccionamos la opción Raw (dd)
Figura 12. Llenar información del caso.
Fuente: Pantallazos FTK Imager
En esta ventana deberemos de diligenciar el formato que nos aparece con el fin de identificar la evidencia y poder examinar con detalla el contenido de esta.
Figura 13. Lugar de almacenamiento de imagen
Fuente: Pantallazos FTK Imager
82
Se diligencia esta ventana que nos aparece después de previamente llenar el formato aquí especificamos la ruta donde deseamos que nuestro archivo que almacenado y le daremos un nombre a la imagen de disco que se va a crear.
Figura 14. Crear Imagen
Fuente: Pantallazos FTK Imager
Finalmente presionamos Start para comenzar con el backup.
Figura 15. Iniciar creación imagen
Fuente: Pantallazos FTK Imager
83
Al finalizar el backup debe aparecer la siguiente ventana que nos indica que el proceso ha finalizado y podemos realizar la inspección del archivo.
Figura 16. Finalizar creación imagen
Fuente: Pantallazos FTK Imager
• Paso 3. Extraer Copia De Datos Bit A Bit Para Memoria Interna
Se realiza la extracción de los datos de la memoria interna con el software Dr. Phone el cual se debe primero realizar un backup del dispositivo como se muestra a continuación.
Descargar el software y ejecutarlo.
84
Figura 17. Ejecución Dr. Phone
Fuente: Pantallazos Dr. Phone
Seleccionar la opción Backup and Restore.
Figura 18 Seleccionar la opción Backup and Restore.
Fuente: Pantallazos Dr. Phone
85
Seleccionar la opción BackUp.
Figura 19. Seleccionar la opción BackUp.
Fuente: Pantallazos Dr. Phone
Se selecciona los archivos que serán objetos del Backup.
Figura 20. Se selecciona los archivos que serán objetos del Backup.
Fuente: Pantallazos Dr. Phone
86
Se selecciona la ruta en la que se guardara el archivo .bak donde se almacena el backup.
Figura 21. Se selecciona la ruta en la que se guardara el archivo .bak donde se almacena el backup.
Fuente: Pantallazos Dr. Phone
Comienza el Backup.
87
Figura 22. Comienza el Backup.
Fuente: Pantallazos Dr. Phone
Se espera a que termine el backUp.
Figura 23. Se espera a que termine el BackUp.
Fuente: Pantallazos Dr. Phone
88
Se termina el backUp.
Figura 24. Se termina el BackUp.
Fuente: Pantallazos Dr. Phone
Se observa el Archivo BAK que genera Dr. Phone el que posteriormente se cargara en la herramienta para la presentación de la misma.
89
Figura 25. Archivo Bak.
Fuente: Pantallazos Dr. Phone
Tabla 12. Ejecución Fase 2 Paso 4
PASO 4 DESCRIBIR LA EVIDENCIA ESTADO DISPOSITIVO MÓVIL APAGADO
PROTECCIÓN PIN NO BLOQUEO (PIN-PATRÓN) NO
MARCA MOTOROLA MODELO MOTO G PLAY CAPACIDAD DE ALMACENAMIENTO
16GB
NUMERO DE SERIE ZY223XDZ6W NUMERO ICCID (SIM CARD) 2
VERSIÓN FIRMWARE 1.0 IMEI 355671081356478-355671081356486
90
Tabla 12. (Continuación)
NUMERO TELEFÓNICO 3163908958 OPERADOR DE TELEFONÍA MOVISTAR
COBERTURA 4G CONEXIONES SOPORTADAS SOPORTA CONEXIONES DE REDES 2G, 3G Y 4G
NUMERO DE AUDIOS 2
NUMERO DE VIDEOS 6
NUMERO DE FOTOS 7
NUMERO DE APLICACIONES
10
NUMERO DE CONTACTOS
20
NUMERO DE CORREOS ELECTRÓNICOS
2
DIMENSIONES FÍSICAS
ANCHO: 7.00 MM ALTO: 9.20 MM ESPESOR: 1.40 MM
PASO 5 DILIGENCIAR REGISTRO DE CADENA DE CUSTODIA DILIGENCIAR ANEXO 3
Fuente: elaboración propia
91
Tabla 13. Registro de la cadena de custodia.
REGISTRO DE CADENA DE CUSTODIA
No. REGISTRO
FECHA DE REGISTRO
HORA DE
REGISTRO
IDENTIFICACIÓN
NOMBRE DEL RESPONSABLE
CARGO DEL RESPONSAB
LE
NUMERO DE EVIDENCIA
OBJETO DEL TRASLADO
LUGAR DE
ORIGEN
LUGAR DE
DESTINO
FIRMA ENCARGADO
4 LUNES, 2 DE ABRIL DE 2018 13:12 1.090.423
.115
MARIANELLA CÁRDENAS GONZÁLEZ
INGENIERA ESPECIALIST
A EN SEGURIDAD INFORMÁTICA (ANALISTA)
001 ANÁLISIS EN LABORATORIO
UNIVERSIDAD AUTÓNOMA DE OCCIDENTE.
LABORATORI
O
MARIANELLA CÁRDENAS
Fuente: elaboración propia
92
• FASE 3
Tabla 14. Ejecución Fase 3
FORMULARIO 3 FASE 3 ANALIZAR LA EVIDENCIA
IDENTIFICACIÓN DEL ANALISTA (INGENIERA ESPECIALISTA EN SEGURIDAD INFORMÁTICA)
IDENTIFICACIÓN DEL ANALISTA 1.090.423.115
NOMBRE ANALISTA MARIANELLA CÁRDENAS GONZÁLEZ IDENTIFICACIÓN DEL FISCAL (DIRECTOR DEPARTAMENTO DE TI UAO)
IDENTIFICACIÓN DEL FISCAL 1.090.450.726
NOMBRE FISCAL KELLY JOHANA BLANCO GONZÁLEZ
• Paso 1 Cagar Y Analizar Datos Memoria Externa
En este paso se va a utilizar el software de FTK imager para la extracción de la información obtenida en el backUp para esto debemos de cargar el archivo y proceder con el análisis de la información.
Ejecución del Software y carga del archivo obtenido en el backUp.
93
Figura 26. Ejecución del Software y carga del archivo obtenido en el backUp.
Fuente: pantallazos KFT Imager
Seleccionamos la opción Image File y cargamos el archivo que se encuentra guardado en la ruta donde se realizó el backUp.
94
Figura 27. Selección de imagen a cargar.
Fuente: Pantallazos KFT Imager
Después de seleccionar la ruta cargamos el archivo en la herramienta y procedemos con el análisis de la información.
En la herramienta se pueden visualizar toda la información almacenada en la memoria externa del dispositivo móvil con estos datos procedemos a diligenciar los formularios.
95
Figura 28. Visualizar información cargada.
Fuente: Pantallazos KFT Imager
Se procede a examinar los archivos almacenados en la memoria externa y esto es lo que se encuentra.
96
Figura 29. Examinar archivos almacenados.
Fuente: Pantallazos KFT Imager
En la memoria externa se lograron encontrar 3 carpetas principales que son la carpeta root, unllocated space y la carpeta orphan.
A continuación listaremos en el formulario anexo los archivos encontrados en las carpetas anteriormente mencionadas.
97
Tabla 15. Analizar datos de memoria externa.
ANALIZAR DATOS DE MEMORIA EXTERNA
No. REGISTRO
FECHA DE
REGISTRO
HORA DE
REGISTRO
TIPO DE REGISTRO
OBSERVACIONES RELEVANTE
CARPETA ARCHIVO
1
03/01/2018
10:32 pm
METADATOS root $Bad NO
2 03/01/2018
10:32 pm
METADATOS
Root/$extend/$rmdata/$txf $TXF_DATA NO
3 03/01/2018
10:32 pm
METADATOS
Root/$extend/$rmdata/$txf $CONFIG NO
4 03/01/2018
10:32 pm
METADATOS
Root/$extend/$rmdata/$txflog $I30 NO
5 03/01/2018
10:32 pm
METADATOS
Root/$extend/$rmdata/$txflog $TOPS NO
6 03/20/2018
11:53 pm
METADATOS
Root/$extend/$rmdata/$txflog $TXFLOG.BLF NO
7 03/20/2018
11:53 pm
METADATOS
Root/$extend/$rmdata/$txflog
$TXFLOG.BLFCONTAINER00000000000000000001 NO
8 03/01/2018
10:32 pm
METADATOS
Root/$extend/$rmdata/$txflog
$TXFLOG.BLFCONTAINER00000000000000000002 NO
9 03/01/2018
10:32 pm
METADATOS
Root/$extend/$rmdata/$txflog
$TXFLOG.BLFCONTAINER00000000000000000002 NO
10 03/01/2018
10:32 pm
METADATOS Root/Secure $SDH NO
11 03/01/2018
10:32 pm
METADATOS Root/Secure $SDS NO
12 04/06/2018
8:28pm
METADATOS
Root/Credenciales para loguearse $I30 NO
13 04/06/2018
12:37 am
HOJA DE CALCULO
Root/Credenciales para loguearse Control De Notas.xlsx SI
14 04/05/2018
11:52 pm
ARCHIVO DE TEXTO
Root/Credenciales para loguearse Credenciales.txt SI
15 04/05/2018
11:53 pm FOTO Root/Credenciales
para loguearse Image1.png NO
16 Root/unallocated 000041 NO
17 Root/unallocated 002605 NO
18 Root/unallocated 028205 NO
19 Root/unallocated 053805 NO
20 Root/unallocated 079405 NO
21 Root/unallocated 105005 NO
22 Root/unallocated 130605 NO
23 Root/unallocated 156205 NO
24 Root/unallocated 181805 NO
25 Root/unallocated 207405 NO
26 Root/unallocated 233005 NO
Fuente: elaboración propia
98
• Paso 2 Cargar Y Analizar Datos Memoria Interna (Se Diligencia Anexo 7)
En este paso se va a utilizar el software de FTK imager para la extracción de la información obtenida en el backUp para esto debemos de cargar el archivo y proceder con el análisis de la información.
Ejecución del Software y carga del archivo obtenido en el backUp.
Figura 30. Ejecución del Software y carga del archivo obtenido en el BackUp.
Fuente: Pantallazos KFT Imager
Seleccionamos la opción Image File y cargamos el archivo que se encuentra guardado en la ruta donde se realizó el backUp.
99
Figura 31. Seleccionamos la opción Image File y cargamos el archivo que se encuentra guardado en la ruta donde se realizó el backUp.
Fuente: Pantallazos KFT Imager
Después de seleccionar la ruta cargamos el archivo en la herramienta y procedemos con el análisis de la información.
Figura 32. Seleccionamos la opción Image File y cargamos el archivo que se encuentra guardado en la ruta donde se realizó el backUp.
Fuente: Pantallazos KFT Imager
100
En la herramienta se pueden visualizar toda la información almacenada en la memoria interna del dispositivo móvil con estos datos procedemos a diligenciar los formularios.
Figura 33. Visualizar información almacenada en memoria interna.
Fuente: Pantallazos KFT Imager
Se procede a analizar la información de cada uno de los elementos empezaremos primero por el número de cuentas.
101
Figura 34. Análisis de información almacenada.
Fuente: Pantallazos KFT Imager
Tabla 16. Analizar datos de cuentas memoria interna.
ANALIZAR DATOS DE MEMORIA INTERNA
No. REGISTRO
FECHA DE
REGISTRO
HORA DE
REGISTRO
TIPO DE REGISTRO OBSERVACIONES RELEVA
NTE
1 CUENTAS Service Dialing Numbers (SIM 1)-
com.motorola.ServiceDialingNumbers NO
2 CUENTAS 530635697-org.telegram.messenger NO
3 CUENTAS [email protected] NO 4 CUENTAS Messenger-com.facebook.messenger NO 5 CUENTAS Facebook-com.facebook.auth.login NO 6 CUENTAS WhatsApp-com.whatsapp NO
Fuente: elaboración propia
Se procede a analizar la información de las aplicaciones instaladas.
102
Tabla 17. Analizar datos de aplicaciones de memoria interna.
ANALIZAR DATOS DE MEMORIA INTERNA
No. REGIST
RO
FECHA DE
REGISTRO
HORA DE REGISTRO
TIPO DE REGISTRO OBSERVACIONES RELEVAN
TE
1
2018-03-2 01:28:50Z APLICACIO
NES TELEGRAM 4.8.5 NO
2 2018-03-31 16:28:51Z APLICACIO
NES WhatsApp 2.18.92 NO
3 2018-03-23 19:48:35Z APLICACIO
NES Wordbit 0.8.5 NO
4 2018-03-21 03:35:03Z APLICACIO
NES Waze 4.36.0.1 NO
5 2018-03-26 20:20:00Z APLICACIO
NES Google Play services for
Instant Apps NO
6 2018-03-21 03:36:46Z APLICACIO
NES Rappi NO
7 2018-04-03 18:09:03Z APLICACIO
NES Uber 4.203.10006 NO
8 2018-03-31
2018-03-3116:20:21Z
APLICACIONES Facebook NO
9 2018-03-28 18:02:59Z APLICACIO
NES Tinder NO
10 2018-03-17 17:37:49Z APLICACIO
NES WiFi Warden NO
Fuente: elaboración propia
Se analiza la información del calendario.
Tabla 18. Analizar datos de calendario.
ANALIZAR DATOS DE MEMORIA INTERNA
No. REGIST
RO
FECHA DE
REGISTRO
HORA DE
REGISTRO
TIPO DE REGISTRO OBSERVACIONES RELEVAN
TE
1 N/A N/A CALENDA
RIO [email protected] NO
2 N/A N/A CALENDARIO
[email protected] en Colombia NO
Fuente: elaboración propia
El siguiente elemento a analizar será el registro de llamadas del dispositivo móvil.
103
Tabla 19. Analizar llamadas.
ANALIZAR DATOS DE MEMORIA INTERNA
No. REGISTRO FECHA DE REGISTRO HORA DE
REGISTRO TIPO DE
REGISTRO OBSERVACIONES RELEVANTE
1 2018-03-08 19:21:28Z LLAMADA *123 NO
2 2018-03-08 19:25:12Z LLAMADA 3104082281 NO
3 2018-03-08 19:27:00Z LLAMADA 3146435003 NO
4 2018-03-08 23:03:18Z LLAMADA *123 NO
5 2018-03-09T17:19:46Z 17:19:46Z LLAMADA *123 NO
6 2018-03-09T17:53:05Z 17:53:05Z LLAMADA 3155233245 NO
7 2018-03-09T17:19:46Z 19:19:46Z LLAMADA 315 3027204 SI 8 2018-03-09T18:03:23Z 18:03:23Z LLAMADA 3222242171 NO
El siguiente elemento a examinar son la lista de contactos.
Tabla 20. Analizar contactos.
ANALIZAR DATOS DE MEMORIA INTERNA
No. REGISTRO
FECHA DE REGISTRO
HORA DE REGISTRO
TIPO DE REGISTRO OBSERVACIONES RELEVANTE
1 CONTACTO Fernando 310
4015317 NO
2 CONTACTO Camila Carvajal 316 6910616 SI
3 CONTACTO Carlos 317 7138328 NO
4 CONTACTO Catalina 315 2727071 NO
5 CONTACTO Claudia 316 6943888 NO
6 CONTACTO Daniel 318 8731556 NO
7 CONTACTO Danny 312 7418465 NO
8 CONTACTO David 321 7700111 NO
104
Tabla 20. (Continuación)
No. REGISTRO
FECHA DE REGISTRO
HORA DE REGISTRO
TIPO DE REGISTRO OBSERVACIONES RELEVANTE
9 CONTACTO Diana González 320 4512702 SI
10 CONTACTO Diego Pérez 315 3027204 SI
11 CONTACTO Edith Schromm +49 1578 2763756 NO
12 CONTACTO Estefany Gómez 318 8754496 NO
13 CONTACTO Felipe 316 4700779 NO
14 CONTACTO Jenny 313 6101960 NO
15 CONTACTO Jhon NO
16 CONTACTO Jhonny 317 7533783 NO
17 CONTACTO Sin nombre 3155233245 NO
18 CONTACTO Sin nombre 3104082281 NO
19 CONTACTO Sin nombre 3146435003 NO
20 CONTACTO Sin nombre 3222242171 NO
El siguiente elemento a examinar la información del dispositivo.
Tabla 21. Analizar información de dispositivo.
ANALIZAR DATOS DE MEMORIA INTERNA No.
REGISTRO
FECHA DE
REGISTRO
HORA DE REGISTR
O TIPO DE
REGISTRO OBSERVACIONES RELEVANTE
1 INFO
DISPOSITIVO DISPLAY NAME MOTOROLA MOTO G
PLAY NO
2 INFO DISPOSITIVO CUSTOM NAME
MOTOROLA MOTO G
PLAY NO
3 INFO DISPOSITIVO
MANUFACTURER
MOTOROLA NO
4 INFO DISPOSITIVO BRAND MOTOROL
A NO
105
Tabla 21. (Continuación)
No. REGISTR
O
FECHA DE
REGISTRO
HORA DE REGISTRO TIPO DE REGISTRO OBSERVACIONES
RELEVANT
E
5 INFO DISPOSITIVO MODEL MOTO G PLAY NO 6 INFO DISPOSITIVO CARRIER CLARO NO
7 INFO DISPOSITIVO SERIAL NUMBER ZY223XDZ6W NO
8 INFO DISPOSITIVO WIFI ADDRESS NO OBTENIDO NO
9 INFO DISPOSITIVO IMEI 355671081356478 NO
10 INFO DISPOSITIVO IMSI NO OBTENIDO NO 11 INFO DISPOSITIVO OSPlatform 1 NO 12 INFO DISPOSITIVO OSVersion 6.0.1 NO
13 INFO DISPOSITIVO OSVersionCode 6.0 NO
14 INFO DISPOSITIVO FirmwareVersion NO OBTENIDO NO
15 INFO DISPOSITIVO ScreenSize 720, 1184 NO 16 INFO DISPOSITIVO Language English NO 17 INFO DISPOSITIVO Country United States NO
18
INFO DISPOSITIVO
Baseband
M8916_20250106.08.05.14.02R
HARPIA_LATAM_DSDS_CUST
NO
19 INFO DISPOSITIVO Bootloader 0x810A NO
20 INFO DISPOSITIVO BatteryLevel 100% NO
21 INFO DISPOSITIVO HasRoot FALSE NO 22 INFO DISPOSITIVO TimeZone America/Bogota NO
23 INFO DISPOSITIVO CreationTime
2018-04-03T22:38:54Z NO
24 INFO DISPOSITIVO LastWriteTime
2018-04-03T22:39:04Z NO
2.9 El siguiente elemento a examinar son la lista de mensajes.
106
Tabla 22. Analizar SMS.
ANALIZAR DATOS DE MEMORIA INTERNA No.
REGISTR
O
FECHA DE REGISTRO
HORA DE
REGISTRO
TIPO DE REGISTRO OBSERVACIONES RELEVA
NTE
1 2018-03-08
2018-03-
0819:14:27Z
SMS
Usted recibió 8 llamada(s) de:+573146435003 12:01:25
2018/03/08.Servicio Gratuito de Claro.</
80200 NO
2 2018-03-11 18:07:22Z SMS
Bienvenido a TODO EN UNO Semana. Recarga $6000 para disfrutar 175MB
de Facebook y Twitter+150MB de WhatsApp+120MB+2100 Seg+10SMS
80200 NO
3 2018-03-12 18:14:31Z SMS
Buenas tardes Andrés Me puedes indicar De qué empresa me estas
comunicando 3006523850 NO
4 2018-03-12 17:14:58Z SMS
Es Andrés Echeverry, ahora en la reunión, voy a pregunta por la
verificación del sftp 3006523850 NO
5 2018-03-12 17:15:13Z SMS Para que no te cosa por sorpresa 3006523850 NO
6 2018-03-12 18:05:00Z SMS En el informe voy a poner que ya lo
estás haciendo 3006523850 NO
7 2018-03-15 18:21:24Z SMS
Bancolombia le recuerda que estar al dia siempre trae cosas buenas.
Comuniquese desde su cel al 034-4025158 o 018000936666 para brindarle alternativas de pago.</
87134 NO
8 2018-03-17 22:09:52Z SMS
De acuerdo con su solicitud, el dÃa 17/03/2018 se realizó cambio de
NOMBRE, TELÉFONO a LUIS FELIPE CARVAJAL RAMIREZ, 0, Movistar. </
80200 NO
9 2018-03-17 22:09:52Z SMS
De acuerdo con su solicitud, el dÃa 17/03/2018 se realizó cambio de
NOMBRE, TELÉFONO a LUIS FELIPE CARVAJAL RAMIREZ,0, Movistar.</
80200 NO
10 2018-03-17 22:09:52Z SMS Cómo va la diligencia? 316 6910616 SI
Fuente: elaboración propia
El siguiente elemento a examinar son la lista de música o audios.
107
Tabla 23. Analizar audios.
ANALIZAR DATOS DE MEMORIA INTERNA
No. REGISTR
O
FECHA DE REGISTR
O
HORA DE REGISTR
O
TIPO DE REGISTR
O OBSERVACIONES RELEVANT
E
1
03/14/2018 4:32 pm AUDIO AUD-20180314-
WA0005.mp3 NO
2 03/14/2018 4:36 pm AUDIO AUD-20180314-WA0006.mp3 NO
Fuente: elaboración propia
A continuación realizamos una inspección de las carpetas de la memoria interna del dispositivo.
Como se puede ver a continuación se procede analizar la información de las los instaladores de las aplicaciones del dispositivo.
Figura 35. Análisis de instaladores de aplicaciones.
Fuente: Pantallazos KFT Imager
108
Tabla 24. Análisis de registro de aplicaciones.
ANALIZAR DATOS DE MEMORIA INTERNA
No. REGISTRO
FECHA DE REGISTRO
HORA DE REGISTRO
TIPO DE REGISTRO OBSERVACIONES RELEVANTE
1 03/31/2018 11:20 am APK Facebook NO
2 03/26/2018 03:20 pm APK Google Play NO
3 03/31/2018 11:24 am APK Messenger NO 4 03/24/2018 4:36 pm APK One Locker NO 5 03/20/2018 10:36 pm APK Rappi NO 6 3/24/2018 4:34 pm APK Romaster NO 7 03/26/2018 8:28 pm APK Telegram NO 8 03/28/2018 1:02 pm APK Tinder NO 9 03/12/2018 5:18 pm APK Tunes Go NO 10 04/03/2018 1:09 pm APK Uber NO 11 03/20/2018 10:35 pm APK Waze NO 12 03/31/2018 11:28 am APK Whatsapp NO 13 03/17/2018 12:37 pm APK Wifi Wardem NO 14 03/23/2018 2:48 pm APK Word Bit NO
Fuente: elaboración propia
A continuación se listan las imágenes encontradas en el dispositivo móvil.
109
Figura 36. Carpeta imágenes encontradas en la cámara el dispositivo móvil.
Fuente: Pantallazos KFT Imager
Figura 37. Imágenes encontradas en la cámara el dispositivo móvil.
Fuente: Pantallazos KFT Imager
110
Figura 38 Pantallazos encontradas en la cámara el dispositivo móvil.
Fuente: Pantallazos KFT Imager
Tabla 25. Registro de fotografías.
ANALIZAR DATOS DE MEMORIA INTERNA
No. REGISTRO
FECHA DE REGISTRO
HORA DE REGISTRO
TIPO DE REGISTRO OBSERVACIONES RELEVANTE
1
abril 03 2018 8:40:19 PM FOTO IMG_20180401_122020948 NO
2 marzo 10 2018 12:10:46 PM FOTO Screenshot_20180310-171046 NO
Fuente: elaboración propia
A continuación se listan los audios encontradas en el dispositivo móvil.
111
Figura 39. Registro de audios.
Fuente: Pantallazos KFT Imager
A continuación se listan las imágenes encontradas en el dispositivo móvil.
Figura 40. Registro de pantallazos.
Fuente: Pantallazos KFT Imager
112
Tabla 26. Registro de pantallazos.
ANALIZAR DATOS DE MEMORIA INTERNA
No. REGISTRO
FECHA DE REGISTRO
HORA DE REGISTRO
TIPO DE REGISTRO OBSERVACIONES RELEVANTE
1 marzo 10 2018 12:10:46 PM IMAGEN Screenshot_20180310-171046 NO
Fuente: elaboración propia
A continuación se listan las imágenes encontradas en la aplicación Whatsapp.
Tabla 27. Registro de imágenes de Whatsapp.
ANALIZAR DATOS DE MEMORIA INTERNA
No. REGISTRO
FECHA DE REGISTRO
HORA DE REGISTRO
TIPO DE REGISTRO OBSERVACIONES RELEVANTE
1 abril 04, 2018 12:10:46 PM ANIMACIONES GIF VID-20180309-WA0000 NO
2 abril 04, 2018 12:10:46 PM ANIMACIONES GIF VID-20180309-WA0000 NO
3 marzo 23, 2018 12:10:46 PM ANIMACIONES GIF VID-20180323-WA0001 NO
4 marzo 24, 2018 12:10:46 PM ANIMACIONES GIF VID-20180324-WA0004 NO
5 abril 01, 2018 12:10:46 PM ANIMACIONES GIF VID-20180401-WA0004 NO
6 marzo 08, 2018 12:10:46 PM FOTO IMG-20180308-WA0042 NO 7 marzo 08, 2018 12:10:46 PM FOTO IMG-20180308-WA0041 NO 8 marzo 08, 2018 12:10:46 PM FOTO IMG-20180308-WA0040 NO 9 marzo 08, 2018 12:10:46 PM FOTO IMG-20180308-WA0038 NO 10 marzo 08, 2018 12:10:46 PM FOTO IMG-20180308-WA0003 NO 11 marzo 08, 2018 12:10:46 PM FOTO IMG-20180308-WA0040 12 marzo 08, 2018 12:10:46 PM VIDEO VID-20180311-WA0003 NO 13 marzo 08, 2019 12:10:46 PM VIDEO VID-20180309-WA0021 NO 14 marzo 21, 2018 12:10:46 PM VIDEO VID-20180321-WA0004 NO 15 marzo 16, 2018 12:10:46 PM VIDEO VID-20180316-WA0010 NO 16 marzo 15, 2018 12:10:46 PM VIDEO VID-20180315-WA0027 NO 17 marzo 21, 2018 5:18 pm VIDEO VID-20180315-WA0002 NO 18 marzo 21, 2018 8:40:19 PM VIDEO VID-20180313-WA0012 NO
Fuente: elaboración propia
A continuación se listan las imágenes en miniatura.
113
Tabla 28. Registro de miniaturas.
ANALIZAR DATOS DE MEMORIA INTERNA
No. REGISTRO
FECHA DE REGISTRO
HORA DE REGISTRO
TIPO DE REGISTRO OBSERVACIONES RELEVANTE
marzo 08, 2018 12:10:46 PM FOTO
NO
marzo 08, 2018 12:10:46 PM FOTO
NO
marzo 08, 2018 12:10:46 PM FOTO
NO
114
Tabla 28. (Continuación)
ANALIZAR DATOS DE MEMORIA INTERNA
No. REGISTRO
FECHA DE REGISTRO
HORA DE REGISTRO
TIPO DE REGISTRO OBSERVACIONES RELEVANT
E
marzo 08, 2018 12:10:46 PM FOTO
NO
marzo 08, 2018 12:10:46 PM FOTO NO
marzo 08, 2018
NO
Fuente: elaboración propia
115
Tabla 29. Registro de cadena de custodia.
REGISTRO DE CADENA DE CUSTODIA
No. REGISTRO
FECHA DE REGISTRO
HORA DE REGISTRO
IDENTIFICACIÓN
NOMBRE DEL RESPONSABLE
CARGO DEL RESPONSA
BLE
NUMER
O DE EVIDENCIA
OBJETO DEL TRASLADO
LUGAR DE
ORIGEN
LUGAR DE
DESTINO
FIRMA ENCARGADO
4 LUNES, 2 DE ABRIL DE 2018 13:12 1.090.423
.115
MARIANELLA CÁRDENAS GONZÁLEZ
INGENIERA ESPECIALIS
TA EN SEGURIDAD INFORMÁTIC
A (ANALISTA)
001 ANÁLISIS EN LABORATORIO
UNIVERSIDAD AUTÓNOMA DE OCCIDENTE.
LABORATORI
O
MARIANELLA CÁRDENAS
5
LUNES, 2 DE ABRIL DE 2018 13:12 1.090.450
.726 KELLY JOHANA
BLANCO GONZÁLEZ
DIRECTOR DE TI
(FISCAL)
}001
ANÁLISIS EN LABORATORIO
UNIVERSIDAD AUTÓNOMA DE OCCIDENTE.
ESCENA KELLY BLANCO
Fuente: elaboración propia
116
Tabla 30. Ejecución fase 4.
FASE 4 DOCUMENTAR LA EVIDENCIA Y PRESENTAR LA EVIDENCIA IDENTIFICACIÓN DEL ANALISTA DESCRIPCIÓN DEL CAMPO
IDENTIFICACIÓN DEL ANALISTA INGENIERA ESPECIALISTA EN SEGURIDAD INFORMÁTICA (ANALISTA)
IDENTIFICACIÓN DEL ANALISTA 1.090.423.115 NOMBRE ANALISTA MARIANELLA CÁRDENAS GONZÁLEZ
IDENTIFICACIÓN DEL FISCAL (DIRECTOR DE TI) IDENTIFICACIÓN DEL FISCAL 1.090.450.726
NOMBRE FISCAL KELLY JOHANA BLANCO GONZÁLEZ
IDENTIFICACIÓN DEL JUEZ (DIRECTOR COMITÉ DE ÉTICA UAO) IDENTIFICACIÓN DEL JUEZ 14.562.321
NOMBRE JUEZ DR. GUSTAVO PERDOMO Fuente: elaboración propia
117
PASO 1 LISTAR EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL EN EL TIEMPO
Tabla 31. Lista de elementos relevantes del dispositivo móvil.
DOCUMENTACIÓN DE EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL (EVIDENCIA) No.
EVIDENCIA
No. REGISTRO
FECHA DE REGISTRO
HORA DE REGISTR
O TIPO DE REGISTRO OBSERVACIONES
1 13 04/06/2018 12:37 am HOJA DE CALCULO Root/Credenciales para loguearse/Control De Notas.xlsx
2 14 04/05/2018 11:52 pm ARCHIVO DE TEXTO Root/Credenciales para loguearse/ Credenciales.txt
3 7 2018-03-09T17:19:46Z 19:19:46Z LLAMADA 315 3027204
4 2 CONTACTO Camila Carvajal- 316 6910616 5 9 CONTACTO Diana González-320 4512702 6 10 CONTACTO Diego Pérez-315 3027204 7 10 2018-03-17 22:09:52Z SMS Cómo va la diligencia? - 316 6910616
Fuente: elaboración propia
118
• Paso 2 Presentar Evidencias Y Conclusiones
Evidencia 1:
Tabla 32. Presentación de evidencia 1.
No. EVIDEN
CIA
No. REGIST
RO
FECHA DE REGISTRO
HORA DE
REGISTRO
TIPO DE REGISTRO OBSERVACIONES
1 13 04/06/2018 12:37 am
HOJA DE CALCULO
Root/Credenciales para loguearse/Control De Notas.xlsx
Fuente: elaboración propia
Tabla 33. Contenido evidencia 1.
notas definitivas del curso física 1
Control De Notas
Nombre Apellido Nota 1 Nota 2 Nota 3 Nota Definitiva Nota Final
Nota Para
Cambio DOSTIN HURTADO 3 2 5 3.3 APROBÓ N/A CAMILA CARVAJAL 1 4 2 2.3 REPROBÓ 3.7 POLO ISAAC 3 4 1 2.7 REPROBÓ N/A GIOVANNY RODRÍGUEZ 5 2 3 3.3 APROBÓ N/A MARTIN JOSÉ CARDOZO MORA 2.1 2.9 4 3.0 APROBÓ N/A DIANA GONZALES 2.5 2.3 3 2.6 REPROBÓ 4 SERGIO CASTILLO 5 3.5 3.1 3.9 APROBÓ N/A FERNANDO CASTILLO 3 3.9 2.1 3.0 APROBÓ N/A SIBONEY DAZA 2.2 2.7 5 3.3 APROBÓ N/A AIDÉ DUARTE 1 2.3 2.7 2.0 REPROBÓ N/A FERNANDO MONSALVE 4 3.5 1 2.8 REPROBÓ N/A ALEJANDRO MOROS 2.8 3.1 2.7 2.9 REPROBÓ N/A LUIS FELIPE GONZÁLEZ 5 4 3 4.0 APROBÓ N/A DIEGO PÉREZ 1 2.2 2.9 2.0 REPROBÓ 4.2 LIZETH SÁENZ 2.1 3.5 2.9 2.8 REPROBÓ N/A
Fuente: elaboración propia
119
Es archivo tiene información sobre los estudiantes matriculados en el curso de física 1 del profesor Edwin Yamit en donde se logran ver el número de estudiantes matriculados con sus respectivas notas definitivas los con están subrayadas con color amarillo son lo que se les modificaron las notas ya que como se puede ver en el archivo estos estudiantes reprobaron y en el sistema aparecen como aprobados este archivo muestra los cambios que se hicieron en las notas finales.
De igual manera estos registros permiten relacionar la lista de notas de la materia física 1 con varios de los contactos del dispositivo móvil.
Figura 41. Propiedades de la evidencia.
Fuente: Pantallazos KFT Imager
120
También se puede observar que la última modificación del archivo de datos de las notas fue realizada por Luis Felipe, que remitiéndonos a dicha lista de notas nos asocia este nombre con el registro del estudiante Luis Felipe González el cual tiene una de las mejores notas del curso y gran cercanía con el docente de la materia física 1.
Tabla 34. Registro de evidencia.
LUIS FELIPE GONZÁLEZ 5 4 3 4.0 APROBÓ N/A
Evidencia 2:
Tabla 35. Registro de evidencia 2.
DOCUMENTACIÓN DE EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL (EVIDENCIA)
No. EVIDEN
CIA
No. REGISTRO
FECHA DE REGISTRO
HORA DE REGISTR
O
TIPO DE REGISTRO OBSERVACIONES
2 14 04/05/2018 11:52 pm ARCHIVO DE TEXTO
Root/Credenciales para loguearse/ Credenciales.txt
Fuente: elaboración propia
121
Figura 42. Contenido evidencia 2.
Fuente: pantallazos KFT Imager
En este archivo de texto se logra ver las credenciales de acceso al sistema con el que se pudieron cambiar las notas de los estudiantes de la materia física 1, en este se pueden ver el usuario y contraseña que el docente utiliza para ingresar al sistema de notas.
Evidencia 3:
Tabla 36. Registro de evidencia 3.
DOCUMENTACIÓN DE EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL (EVIDENCIA)
No. EVIDENCI
A
No. REGISTRO
FECHA DE
REGISTRO
HORA DE
REGISTRO
TIPO DE REGISTRO OBSERVACIONES
3 7 2018-03-09T17:19:
46Z
19:19:46Z LLAMADA 315 3027204- Diego Pérez
Fuente: elaboración propia
122
Se evidencia comunicaciones telefónicas entre el dueño del dispositivo y el estudiante Diego Pérez, el cual se vio beneficiado por el cambio de nota de reprobado ha aprobado.
Evidencia 4:
Tabla 37. Registro de evidencia 4.
DOCUMENTACIÓN DE EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL (EVIDENCIA)
No. EVIDEN
CIA
No. REGISTRO
FECHA DE REGISTRO
HORA DE REGISTRO
TIPO DE REGISTRO OBSERVACIONES
4 2 CONTACTO Camila Carvajal- 316 6910616
Fuente: elaboración propia
Esta evidencia se logra extraer de la lista de contactos del dispositivo el cual se puede evidenciar que está relacionado con la lista de contactos en los cuales están registrados los estudiantes del curso y Camila Carvajal es uno de los estudiantes a las cuales se les modifico su nota en el sistema.
Evidencia 5:
Tabla 38. Registro de evidencia 5.
DOCUMENTACIÓN DE EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL (EVIDENCIA)
No. EVIDENCI
A
No. REGISTRO
FECHA DE REGISTRO
HORA DE
REGISTRO
TIPO DE REGISTRO OBSERVACIONES
5 9 CONTACTO Diana González-320 4512702
Fuente: elaboración propia
Esta evidencia se logra extraer de la lista de contactos del dispositivo el cual se puede evidenciar que está relacionado con la lista de contactos en los cuales están
123
registrados los estudiantes del curso y Diana González es una de los estudiantes a las cuales se les modifico su nota en el sistema.
Evidencia 6:
Tabla 39. Registro de evidencia 6.
DOCUMENTACIÓN DE EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL (EVIDENCIA)
No. EVIDENCIA
No. REGISTRO
FECHA DE
REGISTRO
HORA DE REGISTRO
TIPO DE REGISTRO OBSERVACIONES
6 10 CONTACTO Diego Pérez-315 3027204
Fuente: elaboración propia
Esta evidencia se logra extraer de la lista de contactos del dispositivo el cual se puede evidenciar que está relacionado con la lista de contactos en los cuales están registrados los estudiantes del curso y Diego Pérez es uno de los estudiantes a las cuales se les modifico su nota en el sistema.
Evidencia 7:
Tabla 40. Registro de evidencia 7.
DOCUMENTACIÓN DE EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL (EVIDENCIA)
No. EVIDENC
IA No. REGISTRO FECHA DE
REGISTRO HORA DE
REGISTRO TIPO DE
REGISTRO OBSERVACIONES
8 10 2018-03-17 22:09:52Z SMS Cómo va la diligencia? - 316 6910616-Camila Carvajal
Fuente: elaboración propia
Esta evidencia se logra extraer de la lista de mensajes de texto del dispositivo, es de Camila Carvajal preguntando posiblemente por la ejecución del cambio de la nota de la materia.
124
Conclusión 1: En el dispositivo móvil encontrado efectivamente se movieron archivos en los cuales se evidencia el cambio de las notas de la materia.
Conclusión 2: Podemos asociar 4 implicados en el fraude del cambio de las notas que son los estudiantes:
• Luis Felipe Gonzales (Estudiante del curso de Física 1, Dueño del dispositivo móvil y autor de los documentos con las notas y credenciales de acceso a sistema de notas). • Diego Pérez (Beneficiado por el cambio de nota). • Camila Carvajal (Beneficiado por el cambio de nota). • Diana González (Beneficiado por el cambio de nota).
Conclusión 3: El acceso al sistema de notas y a la información de las credenciales de acceso se dio debido a la cercanía del estudiante Luis Felipe Gonzales con el docente de la materia, lo que le facilito acceder a sus credenciales y montar un negocio fraudulento para el cambio de notas de dicha asignatura al parecer por dinero.
125
• Paso 3
Tabla 41. Registro de cadena de custodia.
REGISTRO DE CADENA DE CUSTODIA
No. REGISTR
O
FECHA DE REGISTRO
HORA DE REGISTR
O
IDENTIFICACIÓ
N NOMBRE DEL
RESPONSABLE CARGO DEL RESPONSABLE
NUMERO DE
EVIDENCI
A
OBJETO DEL TRASLADO LUGAR DE ORIGEN
LUGAR DE
DESTINO
FIRMA ENCARGAD
O
6 LUNES, 2 DE
ABRIL DE 2018
15:24 1.090.423.115
MARIANELLA CÁRDENAS GONZÁLEZ
INGENIERA ESPECIALISTA EN SEGURIDAD INFORMÁTICA
(ANALISTA) 001
ANÁLISIS EN LABORATORI
O
UNIVERSIDAD AUTÓNOMA DE
OCCIDENTE.
ESCENA
MARIANELLA
CÁRDENAS
7 LUNES, 2 DE
ABRIL DE 2018
16:40 14.562.321
GUSTAVO PERDOMO
DIRECTOR COMITÉ DE ÉTICA UAO (JUEZ) 001
ANÁLISIS EN LABORATORI
O
UNIVERSIDAD AUTÓNOMA DE
OCCIDENTE.
ESCENA
GUSTAVO PERDOMO
Fuente: elaboración propia
126
CONCLUSIONES
El análisis forense sobre dispositivos móviles es una gran herramienta para la justicia al momento de obtener material probatorio en casos judiciales.
En la industria y las empresas con este tipo de guías metodológicas también se pueden realizar auditorías sobre este tipo de dispositivos móviles que permitan identificar información para tomar decisiones internas que permitan tomar decisiones cruciales.
Las metodologías de análisis forenses existentes cuentan con muchas similitudes que permiten que sean altamente efectivas en el momento de tener que indagar y obtener resultados de la información contenida en esos dispositivos móviles.
Hay gran variedad de herramientas para realizar análisis forense para dispositivos móviles, a medida del paso de los años se han vuelto el objeto que todos tienen y siempre se puede encontrar información relevante en ellos.
Las aplicaciones de análisis forenses de código abierto existentes son bastante competitivas con respecto a las aplicaciones de pago, en ocasiones como en este proyecto se puede usar de manera conjunta para lograr un buen análisis.
127
BIBLIOGRAFÍA
ALBA, Enrique. Cómo escribir un documento técnico [en línea]. Málaga, lcc.uma.es 2002 [Consultado 12 de agosto de 2016]. Disponible en internet: http://www.lcc.uma.es/~eat/pdf/sw-spanish.pdf. ÁLVAREZ, Marco Antonio. Análisis Forense de dispositivos móviles iOS y Android [en línea]. Universitat Oberta de Catalunya, 2016. [Consultado 20 de enero de 2017]. Disponible en internet: http://openaccess.uoc.edu/webapps/o2/bitstream/10609/45641/6/malvarezmuTFG0116memoria.pdf
ANDRILLER. Android forensic tools [en línea] andriller. [consultado 20 de marzo de 2017]. Disponible en internet: http://andriller.com/
ANDROID VS IOS [en línea] [consultado 20 de abril de 2018]. Disponible en internet: https://es.diffen.com/tecnologia/Android-vs-iOS
AUTOPSY. Digital forensic platform. [En línea] sleuthkit. [consultado 20 de marzo de 2017]. Disponible en internet: https://www.sleuthkit.org/autopsy/
CASEY, Eoghan. Digital Evidence and Computer Crime. USA: Academic Press, 2011. 840 p.
CASTAÑEDA, Peña, Camilo. Así funciona el Centro Cibernético Policial [en línea]. Bogotá D.C. Tecnosfera, 2016 [consultado 28 de septiembre de 2016].Disponible en internet: http://www.eltiempo.com/tecnosfera/novedades-tecnologia/conozca-como-funciona-el-centro-cibernetico-policial/16573927. CERTICÁMARA, ABC para proteger los datos personales, Ley 1581 de 2012 Decreto 1377 de 2013 [en línea]. Bogotá D.C. Filial Cámara de Comercio de Bogotá, 2013 [Consultado 30 de septiembre de 2016]. Disponible en internet: https://colombiadigital.net/actualidad/articulos-informativos/item/5543-abc-para-proteger-los-datos-personales-ley-1581-de-2012-decreto-1377-de-2013.html.
128
DAVIS, Chris; PHILLIPP, Aaron; COWEN, David. Hacking exposed: Computer forensics secrets and solutions. First Edition. New York: McGraw-Hill/ Osborne, 2005. 544 p.
GARCIA, José A. La cadena de custodia aplicada a la informática: El Blog del Perito Informático Forense. [en línea]. Blog del Perito Informático 2013. [Consultado 18 de enero de 2017]. Disponible en internet: http://www.informaticoforense.eu/la-cadena-de-custodia-aplicada-a-la-informatica-i/
GRUPO DE RESPUESTA A EMERGENCIAS CIBERNETICAS DE COLOMBIA. Acerca de colCERT [en línea]. Bogotá D.C. colcert., 2013 [Consultado 13 de noviembre de 2015]. Disponible en internet: http://www.colcert.gov.co/?q=acerca-de. LARROTA, Luz Estella; MARTINEZ, Leydi Marcela y ORJUELA, Viviana Francenet. Diseño de una guía para auditoria de análisis forense en dispositivos móviles basados en tecnología android para la legislación colombiana [en línea] Universidad Católica de Colombia: Facultad de Ingeniería. ESp. Ingeniería de Sistemas de Información, enero 2015. [Consultado 20 de enero de 2017]. Disponible en internet: http://repository.ucatolica.edu.co/handle/10983/1894
MEIER, Reto. Professional Android Application Development. USA, Indianapolis, Indiana: Wiley Publishing, Inc, 2009. 409. p
PERITO INFORMATICO. Nueva forma para la recopilación de evidencias. [en línea] Peritoit, 2012. [Consultado 20 de abril de 2017]. Disponible en internet: https://peritoit.com/2012/10/23/isoiec-270372012-nueva-norma-para-la-recopilacion-de evidencias/https://peritoit.com/2012/10/23/isoiec-270372012-nueva-norma-para-la-recopilacion-de-evidencias.
RAMOS, Alejandro. Historia de la informática forense [en línea]. Bogotá D.C. Securitybydefault.com, 2011 [Consultado 02 de septiembre de 2015]. Disponible en internet: http://www.securitybydefault.com/2011/03/historia-de-la-informatica-forense.html#disqus_thread. RIVAS LOPEZ, José Luis. Análisis forense de sistemas informáticos. Barcelona: FUOC, 2009. 94 p.
129
RUBIN, Andy. ¿Where´s my Gphone? [en línea]. Google, Official Blog 5, 11, 2007. [Consultado 07 de septiembre de 2015]. Disponible en internet: https://googleblog.blogspot.com.co/2007/11/wheres-my-gphone.html.
SANCHEZ BUSTAMANTE, Claudia. Colombia asume el desafío cibernético [En línea]. En: Revista Militar Digital, 2013 [consultado 28 de septiembre de 2016]. Disponible en internet: https://dialogo-americas.com/es/articles/colombia-asume-el-desafio-cibernetico.
OKHOSTING. Software comercial [en línea] okhosting.c [consultado 20 de abril de 2018]. Disponible en internet: https://okhosting.com/blog/software-comercial/
GNU. Software libre [en línea] .gnu.org/[consultado 20 de abril de 2018]. Disponible en internet: https://www.gnu.org/philosophy/free-sw.es.html
--------. Presentación del Marco de referencia para el análisis forense de dispositivos Android [en línea]. Docplayer.es. Universidad Nacional de Matanza, Departamento de Ingeniería e Investigaciones Tecnológicas, 2016 [Consultado 15 de enero de 2017]. Disponible en Internet: https://docplayer.es/20360301-Presentacion-del-marco-de-referencia-para-el-analisis-forense-de-dispositivos-android.html
130
ANEXOS
Anexo A. Formulario 1.
FASE 1 ENCONTRAR LA EVIDENCIA PASO 1 IDENTIFICAR CASO DE ANÁLISIS
INFORMACIÓN DEL CASO
NUMERO DE CASO
FECHA DEL CASO
HORA DEL CASO
DIRECCIÓN DEL CASO CIUDAD DEPARTAMENTO DESCRIPCIÓN TEXTUAL DEL CASO
INFORMACIÓN DEL PRIMER RESPONSABLE IDENTIFICACIÓN RESPONSABLE
NOMBRE CARGO
INFORMACIÓN DEL AGENTE DE POLICÍA O CUSTODIO IDENTIFICACIÓN RESPONSABLE NOMBRE CARGO
PASO 2 LISTAR Y FILTRAR EVIDENCIA ENCONTRADAS
INFORMACIÓN DE LA EVIDENCIA NUMERO DE EVIDENCIA
TIPO DE EVIDENCIA
DESCRIPCIÓN INICIAL DE LA EVIDENCIA MARCA MODELO COLOR IMEI
131
PASO 3 TRATAR LA EVIDENCIA ESCENARIO 1 DISPOSITIVO MÓVIL APAGADO
EMBALAR DISPOSITIVO SE DEBE EMBALAR EL DISPOSITIVO EN UN RECIPIENTE DONDE NO SE PRESENTE DAÑO FÍSICO ALGUNO.
ROTULAR DISPOSITIVO
NUMERO DE CASO, NUMERO DE EVIDENCIA, FECHA DE ROTULADO, HORA DE ROTULADO. - ANEXO 2 ROTULO DE LA EVIDENCIA
TRANSPORTAR AL LABORATORIO O ALMACÉN
SE DEBE LLEVAR EL DISPOSITIVO MÓVIL AL LABORATORIO DONDE SERA RECIBIDO POR EL ANALISTA PARA SU ANÁLISIS O AL ALMACÉN PARA SER GUARDADA Y ANALIZADA POSTERIORMENTE.
INFORMACIÓN DEL TRANSPORTADOR
NUMERO DE IDENTIFICACIÓN
NOMBRE
INFORMACIÓN DEL ALMACENISTA O ANALISTA
NUMERO DE IDENTIFICACIÓN
NOMBRE
CARGO (ALMACENISTA O ANALISTA)
ESCENARIO 2 DISPOSITIVO MÓVIL ENCENDIDO
AISLAR EL EQUIPO SE DEBE EMBALAR EL DISPOSITIVO EN UN BOLSA QUE AÍSLA SEÑALES O JAULA DE FARADAY.
132
ROTULAR DISPOSITIVO
NUMERO DE CASO, NUMERO DE EVIDENCIA, FECHA DE ROTULADO, HORA DE ROTULADO. - DILIGENCIAR ANEXO 2 ROTULO DE LA EVIDENCIA
EXTRAER INFORMACIÓN VOLÁTIL
SE DEBE CONECTAR EL DISPOSITIVO A UN PC PARA VER SI ES POSIBLE POR MEDIO DE SOFTWARE DE ANÁLISIS FORENSE REALIZAR UNA BACKUP DE LA MEMORIA RAM DEL DISPOSITIVO.
PROPORCIONAR CARGA ELÉCTRICA
SE PROPORCIONA CARGA ELÉCTRICA AL DISPOSITIVO SI ES NECESARIO LLEVARLO ENCENDIDO AL LABORATORIO PARA INTENTAR EXTRAER LA INFORMACIÓN ALOJADA EN LA MEMORIA RAM.
TRANSPORTAR AL LABORATORIO O ALMACÉN
SE DEBE LLEVAR EL DISPOSITIVO MÓVIL AL LABORATORIO DONDE SERA RECIBIDO POR EL ANALISTA PARA SU ANÁLISIS O AL ALMACÉN PARA SER GUARDADA Y ANALIZADA POSTERIORMENTE.
INFORMACIÓN DEL TRANSPORTADOR
NUMERO DE IDENTIFICACIÓN
NOMBRE
INFORMACIÓN DEL ALMACENISTA O ANALISTA
NUMERO DE IDENTIFICACIÓN
NOMBRE
CARGO ALMACENISTA O ANALISTA
PASO 4 DILIGENCIAR REGISTRO DE CADENA DE CUSTODIA DILIGENCIAR ANEXO 3
133
Anexo B. Rotulo de evidencia.
ROTULO DE EVIDENCIA NUMERO DE CASO NUMERO DE EVIDENCIA FECHA DE ROTULADO HORA DE ROTULADO
134
Anexo C. Registro de cadena de custodia.
REGISTRO DE CADENA DE CUSTODIA
No. REGISTRO
FECHA DE
REGISTRO
HORA DE
REGISTRO
IDENTIFICACIÓN
NOMBRE DEL
RESPONSABLE
CARGO DEL
RESPONSABLE
NUMERO DE
EVIDENCIA
OBJETO DEL TRASLADO
LUGAR DE ORIG
EN
LUGAR DE
DESTINO
FIRMA ENCARG
ADO
135
Anexo D. Formulario 2.
FORMULARIO 2
FASE 2 IDENTIFICAR, DESCRIBIR Y EXTRAER LA EVIDENCIA
PASO 1 IDENTIFICAR LA EVIDENCIA IDENTIFICACIÓN DE LA EVIDENCIA
NUMERO DE EVIDENCIA FECHA REGISTRO HORA REGISTRO LUGAR DE REGISTRO
IDENTIFICACIÓN DEL ANALISTA IDENTIFICACIÓN DEL ANALISTA NOMBRE ANALISTA PASO 2 DESCRIBIR LA EVIDENCIA ESTADO PROTECCIÓN PIN BLOQUEO (PIN-PATRÓN) MARCA MODELO CAPACIDAD DE ALMACENAMIENTO NUMERO DE SERIE NUMERO ICCID (SIM CARD) VERSIÓN FIRMWARE IMEI NUMERO TELEFÓNICO OPERADOR DE TELEFONÍA COBERTURA CONEXIONES SOPORTADAS DIRECCIÓN MAC WIFI DIRECCIÓN MAC BLUETOOTH NUMERO DE CANCIONES NUMERO DE VIDEOS NUMERO DE FOTOS NUMERO DE APLICACIONES NUMERO DE CONTACTOS NUMERO DE CORREOS ELECTRÓNICOS
DIMENSIONES FÍSICAS
136
PASO 3 EXTRAER COPIA DE DATOS BIT A BIT PARA MEMORIA EXTERNA
EXTRAER DEL DISPOSITIVO MÓVIL
SE DEBE EXTRAER FÍSICAMENTE LA MEMORIA EXTERNA DEL DISPOSITIVO MÓVIL PARA CONECTARSE A UN PC.
CONECTAR MEMORIA EXTERNA A UN PC
SE DEBE CONECTAR LA MEMORIA EXTERNA AL PC.
EJECUTAR SOFTWARE PARA COPIA
SE DEBE EJECUTAR SOFTWARE PARA REALIZAR COPIA BIT A BIT DE LA MEMORIA EXTERNA EXTRAÍDA.
GUARDAR ARCHIVO Y REPORTE CON COPIA
SE ALMACENA EL ARCHIVO Y REPORTE CON COPIA PARA ANALIZARSE POSTERIORMENTE.
PASO 4 EXTRAER COPIA DE DATOS MEMORIA INTERNA
CONECTAR DISPOSITIVO MÓVIL A UN PC POR MEDIO USB
SE DEBE CONECTAR EL DISPOSITIVO MÓVIL AL PC POR MEDIO DE CABLE USB.
EJECUTAR SOFTWARE PARA COPIA
SE DEBE EJECUTAR SOFTWARE PARA REALIZAR COPIA DE LOS DATOS DE LA MEMORIA INTERNA DEL DISPOSITIVO.
GUARDAR ARCHIVO CON COPIA SE ALMACENA EL ARCHIVO OBTENIDO PARA ANALIZARSE POSTERIORMENTE.
PASO 5 DILIGENCIAR REGISTRO DE CADENA DE CUSTODIA DILIGENCIAR ANEXO 3
137
Anexo E. Formulario 3.
FASE 3 ANALIZAR LA EVIDENCIA IDENTIFICACIÓN DEL ANALISTA
IDENTIFICACIÓN DEL ANALISTA NOMBRE ANALISTA
IDENTIFICACIÓN DEL FISCAL IDENTIFICACIÓN DEL FISCAL NOMBRE FISCAL
PASO 1 CARGAR Y ANALIZAR DATOS MEMORIA EXTERNA (SE DILIGENCIA ANEXO 6)
CARGAR DATOS EN HERRAMIENTA DE ANÁLISIS FORENSE.
SE DEBEN CARGAR LOS DATOS EXTRAÍDOS DE LA MEMORIA EXTERNA DEL DISPOSITIVO.
ANALIZAR LISTA DE CONTACTOS
SE DEBEN REVISAR UNO A UNO LOS CONTACTOS ENCONTRADOS Y FILTRAR LOS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR HISTORIAL DE LLAMADAS
SE DEBEN REVISAR UNO A UNO EL HISTORIAL DE LLAMADAS ENCONTRADAS Y FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR HISTORIAL DE MENSAJES
SE DEBEN REVISAR UNO A UNO EL HISTORIAL DE MENSAJES ENCONTRADOS Y FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR FOTOS IMÁGENES Y VIDEOS
SE DEBEN REVISAR UNO A UNO EL HISTORIAL DE FOTOS Y VIDEOS ADEMÁS DE LOS METADATOS ASOCIADOS A LOS MISMOS PARA LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR CORREO ELECTRÓNICO
SE DEBEN REVISAR UNO A UNO LOS CORREOS ELECTRÓNICOS Y SU CONTENIDO PARA LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
138
ANALIZAR EVENTOS DE CALENDARIO
SE DEBEN REVISAR UNO A UNO LOS EVENTOS DE CALENDARIO ENCONTRADOS Y SU CONTENIDO PARA LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR DATOS DE APLICACIONES
SE DEBEN REVISAR UNO A UNO LOS EVENTOS DE LAS APLICACIONES INSTALADAS Y SU CONTENIDO PARA LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR INFORMACIÓN DE CUENTAS
SE DEBEN REVISAR UNO A UNO LOS EVENTOS DE LAS CUENTAS INSCRITAS Y LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR INFORMACIÓN DE DOCUMENTOS
SE DEBEN ANALIZAR UNO A UNO LOS DOCUMENTOS ENCONTRADOS EN EL DISPOSITIVOS (ARCHIVOS DE TEXTO, PRESENTACIONES ETC.)
PASO 2 CARGAR Y ANALIZAR DATOS MEMORIA INTERNA (SE DILIGENCIA ANEXO 7)
CARGAR DATOS EN HERRAMIENTA DE ANÁLISIS FORENSE.
SE DEBEN CARGAR LOS DATOS EXTRAÍDOS DE LA MEMORIA INTERNA DEL DISPOSITIVO.
ANALIZAR LISTA DE CONTACTOS
SE DEBEN REVISAR UNO A UNO LOS CONTACTOS ENCONTRADOS Y FILTRAR LOS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR HISTORIAL DE LLAMADAS
SE DEBEN REVISAR UNO A UNO EL HISTORIAL DE LLAMADAS ENCONTRADAS Y FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR HISTORIAL DE MENSAJES
SE DEBEN REVISAR UNO A UNO EL HISTORIAL DE MENSAJES ENCONTRADOS Y FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR FOTOS IMÁGENES Y VIDEOS
SE DEBEN REVISAR UNO A UNO EL HISTORIAL DE FOTOS Y VIDEOS ADEMÁS DE LOS METADATOS ASOCIADOS A LOS MISMOS PARA LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR CORREO ELECTRÓNICO
SE DEBEN REVISAR UNO A UNO LOS CORREOS ELECTRÓNICOS Y SU CONTENIDO PARA LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
139
ANALIZAR EVENTOS DE CALENDARIO
SE DEBEN REVISAR UNO A UNO LOS EVENTOS DE CALENDARIO ENCONTRADOS Y SU CONTENIDO PARA LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR INFORMACIÓN ENTRE EL DISPOSITIVO Y EL COMPUTADOR RELACIONADO
SE DEBEN REVISAR UNO A UNO LAS CONEXIONES A OTROS DISPOSITIVOS QUE TENGA REGISTRADO NUESTRO DISPOSITIVO MÓVIL.
ANALIZAR DATOS DE APLICACIONES
SE DEBEN REVISAR UNO A UNO LOS EVENTOS DE LAS APLICACIONES INSTALADAS Y SU CONTENIDO PARA LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR INFORMACIÓN DE CUENTAS
SE DEBEN REVISAR UNO A UNO LOS EVENTOS DE LAS CUENTAS INSCRITAS Y LUEGO FILTRAR LOS REGISTROS QUE SEAN RELEVANTES DE ACUERDO AL CASO INVESTIGADO PARA POSTERIORMENTE SER DOCUMENTADOS Y PRESENTADOS.
ANALIZAR INFORMACIÓN DE DOCUMENTOS
SE DEBEN ANALIZAR UNO A UNO LOS DOCUMENTOS ENCONTRADOS EN EL DISPOSITIVOS (ARCHIVOS DE TEXTO, HOJAS DE CÁLCULO, PRESENTACIONES, PDF ETC.)
PASO 3 DILIGENCIAR REGISTRO DE CADENA DE CUSTODIA DILIGENCIAR ANEXO 3
140
Anexo F. Analizar datos de memoria externa.
ANALIZAR DATOS DE MEMORIA EXTERNA No.
REGISTRO FECHA DE REGISTRO
HORA DE REGISTRO
TIPO DE REGISTRO OBSERVACIONES RELEVANTE
141
Anexo G. Analizar datos de memoria interna.
ANALIZAR DATOS DE MEMORIA INTERNA No.
REGISTRO FECHA DE REGISTRO
HORA DE REGISTRO
TIPO DE REGISTRO OBSERVACIONES RELEVANTE
142
Anexo H. Formulario 4.
FASE 4 DOCUMENTAR LA EVIDENCIA IDENTIFICACIÓN DEL ANALISTA DESCRIPCIÓN DEL CAMPO
IDENTIFICACIÓN DEL ANALISTA NUMERO DE CEDULA DEL ANALISTA ENCARGADO.
NOMBRE ANALISTA NOMBRE DEL ANALISTA ENCARGADO. IDENTIFICACIÓN DEL FISCAL
IDENTIFICACIÓN DEL FISCAL NUMERO DE CEDULA DEL FISCAL ENCARGADO.
NOMBRE FISCAL NOMBRE DEL FISCAL ENCARGADO.
PASO 1 LISTAR EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL EN EL TIEMPO
LISTADO CON RESPECTO AL TIEMPO DE LOS EVENTOS RELEVANTES
ENCONTRADOS DESCRIPCIÓN DEL CAMPO
LISTAR DE MANERA LINEAL DE ACUERDO AL TIEMPO LA INFORMACIÓN RELEVANTE DE CONTACTOS ENCONTRADOS.
SE DEBE LISTAR CON RESPECTO AL TIEMPO TODOS LOS EVENTOS RELEVANTES DE LOS CONTACTOS.
LISTAR DE MANERA LINEAL DE ACUERDO AL TIEMPO LA INFORMACIÓN RELEVANTE DE HISTORIAL DE LLAMADAS.
SE DEBE LISTAR CON RESPECTO AL TIEMPO TODOS LOS EVENTOS RELEVANTES DEL HISTORIAL DE LLAMADAS.
LISTAR DE MANERA LINEAL DE ACUERDO AL TIEMPO LA INFORMACIÓN RELEVANTE DE FOTOS Y VIDEOS.
SE DEBE LISTAR CON RESPECTO AL TIEMPO TODOS LOS EVENTOS RELEVANTES DEL HISTORIAL FOTOS Y VIDEOS.
LISTAR DE MANERA LINEAL DE ACUERDO AL TIEMPO LA INFORMACIÓN RELEVANTE DE CORREO ELECTRÓNICO.
SE DEBE LISTAR CON RESPECTO AL TIEMPO TODOS LOS EVENTOS RELEVANTES DEL HISTORIAL DE CORREO ELECTRÓNICO.
LISTAR DE MANERA LINEAL DE ACUERDO AL TIEMPO LA INFORMACIÓN RELEVANTE DE EVENTOS DE CALENDARIO.
SE DEBE LISTAR CON RESPECTO AL TIEMPO TODOS LOS EVENTOS RELEVANTES DEL HISTORIAL DE CALENDARIO.
LISTAR DE MANERA LINEAL DE ACUERDO AL TIEMPO LA INFORMACIÓN RELEVANTE DE LAS APLICACIONES INSTALADAS
SE DEBE LISTAR CON RESPECTO AL TIEMPO TODOS LOS EVENTOS RELEVANTES DEL HISTORIAL DE APLICACIONES INSTALADAS.
LISTAR DE MANERA LINEAL DE ACUERDO AL TIEMPO LA INFORMACIÓN RELEVANTE DE LAS CUENTAS ENCONTRADAS.
SE DEBE LISTAR CON RESPECTO AL TIEMPO TODOS LOS EVENTOS RELEVANTES DE LAS CUENTAS INSTALADAS.
143
FASE 4 DOCUMENTAR LA EVIDENCIA LISTAR DE MANERA LINEAL DE ACUERDO AL TIEMPO LA INFORMACIÓN RELEVANTE DE LOS DOCUMENTOS ENCONTRADOS.
SE DEBE LISTAR CON RESPECTO AL TIEMPO TODOS LOS EVENTOS RELEVANTES DE LOS DOCUMENTOS DE TEXTO, HOJAS DE CALCULO, PRESENTACIONES, PDF ETC.
PASO 2 PRESENTAR EVIDENCIAS Y CONCLUSIONES.
PASO 3
CADA VEZ QUE SE REALICE CUALQUIER MOVIMIENTO DE LA EVIDENCIA DEBE QUEDAR REGISTRADO EN EL FORMULARIO CADENA DE CUSTODIA. ANEXO 3
FECHA DE REGISTRO FECHA FORMATO DD-MM-AAAA EN EL QUE SE REGISTRA EL EVENTO EN LA CADENA DE CUSTODIA.
HORA DE REGISTRO HORA FORMATO HH:MM (AM/PM) EN EL QUE SE REGISTRA EL EVENTO EN LA CADENA DE CUSTODIA.
IDENTIFICACIÓN RESPONSABLE NUMERO DE IDENTIFICACIÓN DEL RESPONSABLE DE LA CADENA DE CUSTODIA
NOMBRE DEL RESPONSABLE NOMBRE DEL RESPONSABLE DE LA CADENA DE CUSTODIA
CARGO DEL RESPONSABLE CARGO DEL RESPONSABLE DE LA CADENA DE CUSTODIA
NUMERO DE EVIDENCIA DEBE SER UN NUMERO ENTERO DE MÁXIMO 3 DÍGITOS
OBJETO DEL TRASLADO MOTIVO DEL TRASLADO DE LA EVIDENCIA
LUGAR DE ORIGEN LUGAR DONDE SE RECOGE LA EVIDENCIA.
LUGAR DE DESTINO LUGAR DE DESTINO DE LA EVIDENCIA.
FIRMA DEL ENCARGADO FIRMA DEL ENCARGADO DE LA EVIDENCIA.
Anexo I. Documentación de eventos relevantes del dispositivo móvil (evidencia)
DOCUMENTACIÓN DE EVENTOS RELEVANTES DEL DISPOSITIVO MÓVIL (EVIDENCIA)
No. EVIDENC
IA
No. REGISTRO
FECHA DE
REGISTRO
HORA DE REGISTRO
TIPO DE REGISTRO OBSERVACIONES