Pruebas digitales en dispositivos móviles

14 de febrero de 2017 Autor: Antonio Salmerón

 

Los dispositivos móviles como teléfonos móviles y teléfonos inteligentes, smart phones, se han convertido en parte integrante de la vida cotidiana de las personas:

  • Por ello, también son actualmente una herramienta habitual en cualquier delito o, simplemente, estar involucrados en la comisión de delitos por el mero hecho de estar presentes en el escenario.
  • Por otro lado, casi es imposible pensar en un dispositivo tan personal como el móvil, mucho más que el propio computador personal. Mientras que los computadores, portátiles, servidores o máquinas de juego pueden tener varios usuarios, en la gran mayoría de los casos los dispositivos móviles pertenecen a un único individuo.
  • Finalmente, el número de dispositivos móviles para la comunicación y la organización personal, muchos de ellos con acceso a Internet, alcanza cifras tan elevadas como que en la Unión Europea de los 27, en 2010, el número total de líneas de telefonía móvil contratadas superaba los 642 millones, lo que supone una penetración del 128% sobre la población, es decir, muchos habitantes tienen más de una línea y más de un dispositivo móvil.

Estas 3 observaciones hacen que sean una fuente usual de pruebas digitales y es el objetivo de este módulo su estudio desde el punto de vista de la informática forense y pericial ya que, aunque de pequeño tamaño, los móviles suelen contener importante información personal como:

  • el historial de llamadas,
  • mensajes de texto,
  • correos electrónicos,
  • fotografías digitales,
  • videos,
  • entradas de calendario,
  • notas,
  • agenda con nombres, teléfonos, empresas y direcciones de contacto,
  • contraseñas o
  • números de tarjetas de crédito.

Pueden contener todo lo anterior porque estos aparatos:

  • además de utilizarse como terminal de telefonía,
  • también se emplean para intercambiar fotografías, acceder a internet, conectarse a redes sociales, mantener blogs personales, tomar notas, grabar y consumir video y audio, etc.

El avance de la tecnología y el aumento del caudal de transmisión de datos están permitiendo el intercambio de elementos cada vez más grandes, como por ejemplo vídeo digital a la vez que, por su gran capacidad de computación, ofrecen una funcionalidad cada vez más próxima a la que prestaban en la década anterior los computadores portátiles.

Por su portabilidad los móviles se llevan a todas partes y pueden servir para determinar la ubicación de las personas a lo largo del tiempo:

  • Con información interna del móvil, por ejemplo, como los metadatos de fecha, hora, latitud, longitud y altitud que pudieran contener las fotografías realizadas con el móvil, con los pequeños error de su GPS.
  • Con información externa al móvil, por ejemplo, mediante la secuencia de antenas móviles a las que se ha ido conectando, si bien, con una mayor imprecisión, pudiendo establecerse zonas más que posiciones concretas.
[Móvil; Figura mpa]: Posicionamiento de un móvil de Movistar a las 10:47, en un radio de 1.244 metros alrededor de una antena, en un mapa de Microsoft Bing.

Por tanto, el desarrollo vertiginoso de la computación móvil y de las tecnologías de las comunicaciones abre oportunidades a la delincuencia pero también a la investigación en informática forense.

La información contenida en los dispositivos móviles o la relacionada con ellos puede ayudar al informático forense o al perito a responder preguntas cruciales revelando con quién se ha comunicado un individuo, sobre qué han estado comunicando y dónde han estado. Por ejemplo:

  • Los agresores sexuales pueden usar un dispositivo móvil para iniciar sus contactos con las víctimas, intercambiar fotos o vídeos y preparar a las víctimas creando una cibertrayectoria que puede ser seguida por el informático forense.
  • Los usan los terroristas en tareas de reconocimiento y coordinación o para la activación de explosivos.
  • Los utilizan en los contrabandistas para fijar o avisar de entregas.
  • Los miembros de los clanes de la delincuencia organizada para coordinar actividades y compartir información incluso estando en prisión, lo que puede ayudar a los investigadores a entender el funcionamiento de estos grupos.

Por ello los dispositivos móviles están sirviendo para resolver delitos y la información contenida en ellos puede utilizarse también en crímenes graves cuando los implicados no se dan cuenta de que portan un dispositivo móvil o no piensan en el mismo como fuente de información digital incriminante.

[Móvil; Figura mbr]: 2 móviles en una bolsa para pruebas del Reino Unido.

La creciente potencia computacional de los dispositivos móviles está permitiendo usos antes impensables y, con ello, se ha elevado su capacidad para usos indeseables. Por ejemplo, algunos dispositivos móviles están optimizados para la adquisición de datos en tareas como el escaneo de tarjetas de crédito o la toma de mediciones técnicas, por ejemplo, voltaje, temperatura, aceleración. Esta funcionalidad tiene ramificaciones más allá de las intenciones de los fabricantes como emplearse para robar tarjetas de crédito e iniciar la explosión de bombas [Wilson, C.; 2006].

El objetivo de este módulo, siguiendo a [Casey, E.; 2011], es estudiar cómo los dispositivos móviles pueden ser fuente de pruebas digitales, describir la operación básica de estos dispositivos y presentar herramientas y técnicas para recoger y examinar las pruebas extraídas. En particular, los móviles son sólo una clase de sistemas informáticos embebidos y existen enfoques avanzados para extraer información de ellos, como el acceso JTAG y la extracción de datos de sus circuitos integrados, chip-off. Se puede encontrar un tratamiento más detallado de los sistemas embebidos en [Casey, E.; 2009; Capítulo 8] desarrollado por Ronald van der Knijff y en el sitio web de los [cmdLabs].

Administrador de web: Administrador responsable del desarrollo, mantenimiento y administración de un servidor de web o de alguno de los sitios web albergados en él. | Bibliografía: Salmerón, A.; et ál.; 1996

Informática forense en redes e internet

14 de febrero de 2017 Autor: Antonio Salmerón

 
[Redes; Figura dds]: Estructura de un ataque distribuido de denegación de servicio, DDOS, con la herramienta Stachledraht.

El objetivo de este módulo es el estudio y la práctica de la informática forense tanto en redes de computadores como en internet. Comprende los conceptos básicos de redes desde el punto de vista de la informática forense, la aplicación de esta a las pruebas digitales en redes, en internet y en las diferentes capas o niveles de los sistemas de comunicación y, en especial, en el físico, el de enlace de datos, el de red y el de transporte.

La estructura de este módulo es la siguiente:

  • Desarrollo de las redes informáticas.
  • Tecnologías de las redes.
  • Protocolos de Internet y modelo de referencia OSI.
  • Aplicación de la informática forense a las redes.

Codificación redundante: Codificación que protege la información frente a errores de almacenamiento o manipulación. Necesita más bits de los necesarios, redundancia. Se basa en que todas las representaciones válidas cumplen una determinada ley y los errores se detectan por el incumplimiento de esa ley. Dependiendo de la redundancia hay códigos detectores, que sólo detectan los errores, y códigos capaces de corregir cierto nivel de error. Por ejemplo, la codificación de las cuentas bancarias con 20 caracteres, 4 para el banco, 4 para la sucursal, 2 de dígitos de control y 10 para la cuenta, es una codificación redundante, el primer dígito de control permite detectar errores en la codificación del código del banco y la sucursal y el segundo dígitos de control detecta errores en la codificación de la cuenta. | Plural: Codificaciones redundantes | Bibliografía: Salmerón, A.; et ál.; 1996

Esteganografía, criptografía y técnicas antiforense

8 de febrero de 2017 Autor: Antonio Salmerón

 

El objetivo de este módulo es estudiar las diferentes disciplinas y técnicas que pueden plantear problemas durante la investigación en informática forense y pericial, como son la esteganografía, para la ocultación de la información, la criptografía, como proceso de codificación o de cifrado para mantener en secreto datos e informaciones y otras técnicas denominadas antiforenses, por ejemplo, para la limpieza u ofuscación de la información:

  • La esteganografía estudia y aplica técnicas para la ocultación de información, mensajes u objetos, dentro de otros, llamados portadores, de modo que no sea fácil percibir su existencia.
  • La criptografía tiene por objetivo mantener en secreto datos, informaciones, mensajes, etc. durante su almacenamiento o su transmisión y para ello se utilizan 2 técnicas:
    • La codificación que es la sustitución directa de cada elemento del texto en lenguaje origen por un elemento de texto codificado. La correspondencia entre los elementos de texto en el lenguaje origen y los elementos de texto codificado quedan definidos por una tabla conocida como clave del código.
    • El cifrado que es la transformación de texto en un lenguaje origen a un texto cifrado mediante un algoritmo que, en cada proceso de cifrado, se particulariza mediante una clave o un conjunto de claves. El cifrado es más robusto que la codificación, que es sólo una sustitución directa.

No ha de confundirse esteganografía y criptografía, si bien, ambas intentan proteger la información, son distintas:

  • mientras que la esteganografía oculta la información de modo que no sea advertido el hecho de su existencia o envío,
  • la criptografía cifra la información para que no sea comprensible a los ajenos a las claves, incluso aunque conozcan la existencia de esa información.

Otra forma de expresar sus diferencias es que, se podría decir que:

  • la 1ª línea de defensa de la información es el desconocimiento de su existencia y para ello está la estenografía y
  • la 2ª línea, frente al conocimiento o descubrimiento de la información, sería su encriptación.

Por tanto, ambas técnicas son complementarias, proporcionando mayor seguridad, por ejemplo, que el mensaje a esteganografiar se cifre de forma previa.

[Esteganografía; Figura asc]: Imagen portadora [Trithemius, J.; 1621] a la izquierda, la función de filtro en el centro y la imagen con el mensaje en rosa a la derecha.

Otras técnicas y herramientas antiforenses pueden tener por objetivo dificultar el análisis en un escenario digital, por ejemplo, mediante:

  • la eliminación de la información,
  • la ofuscación de la información haciendo compleja su localización,
  • la generación de incertidumbre durante la investigación,
  • etc.

Es necesario hacer notar que, la aplicación en un computador por sus usuarios o administrador de esteganografía, criptografía e incluso de técnicas antiforense no implica necesariamente el empleo de ese equipo en algo ilegal o delictivo, pues pueden haber sido utilizadas como una medida adicional de protección de información, lo que es especialmente cierto en el caso de la criptografía que incluso puede haber normas legales que obliguen a su aplicación.

Criptografía: Proceso cuyo objetivo es mantener en secreto datos, informaciones, mensajes, etc. durante su almacenamiento o su transmisión. Se utilizan 2 técnicas: a) La codificación que es la sustitución directa de cada elemento del texto en lenguaje origen, por ejemplo, en lenguaje natural el carácter, la palabra, etc. por un elemento de texto codificado. La correspondencia entre los elementos de texto en el lenguaje origen y los elementos de texto codificado quedan definidos por una tabla conocida como clave del código. b) El cifrado que es la transformación de texto en un lenguaje origen a un texto cifrado mediante un algoritmo que, en cada proceso de cifrado, se particulariza mediante una clave o un conjunto de claves. El cifrado es más robusto que la codificación, que es sólo una sustitución directa. | Inglés: Cryptography | Alias: Codificación; Cifrado; Encriptación | Bibliografía: Salmerón, A.; et ál.; 1996

Caso de investigación completo

14 de febrero de 2017 Autor: Antonio Salmerón

 

El objetivo de este módulo es la realización de un caso práctico completo de investigación en informática forense y pericial. Se dispondrá de libertad y amplio margen de actuación para seleccionar el caso de su interés, la metodología que crea más apropiada y así demostrar sus conocimientos y su profesionalidad.

[Disco duro; Figura hdc]: Clonadora de discos duros denominada HiSpeed HDD Cloning modelo WLX-876.

Dentro de este módulo se describe los aspectos fundamentales para la selección, realización y presentación del caso práctico con su informe final:

  • Selección del enfoque metodológico que se crea conveniente. Esta selección puede hacerse dentro de las metodologías estudiadas, pudiendo ser también una metodología de trabajo propia o de otras fuentes, siempre que su adecuación esté justificada.
  • Selección del caso práctico, circunstancias que han de tenerse en cuenta en esta selección.
  • Realización del informe pericial del caso resuelto y presentación mediante su envío por correo electrónico en formato PDF.
  • Confidencialidad de todos los datos personales y de otros datos sensibles y consideraciones sobre la posible difusión del informe final.
  • Estructura de la propuesta de caso práctico: título del caso, breve descripción, objetivos de la investigación, propuesta razonada de la metodología que se va a seguir, advertencias sobre los posibles problemas de confidencialidad de los datos, etc.
[Anexos; Figura eap]: Momento y forma de propuesta o petición de un caso final por parte del alumno.

Honeynet Project: Organización internacional de investigación en seguridad que de forma continua investiga los últimos ataques y desarrolla herramientas de seguridad de código abierto para la seguridad en Internet. Fundada en 1999, es una organización sin ánimo de lucro formada por voluntarios. A partir de ataques reales, ofrece una serie de retos para difundir el conocimiento obtenido de su análisis. | Url: * http://www.honeynet.org/about * http://www.honeynet.org/challenges * http://honeynet.org.es

Base documental para informática forense y pericial

3 de febrero de 2017 Autor: Antonio Salmerón

 

El objetivo de este módulo es proporcionar una base documental formada por el material de referencia básico para el estudio de la Informática Forense y Pericial.

Este material incluye la descripción de la organización de los programas de formación en áreas de conocimiento con sus módulos y sus temas, las diferentes clases de documentación incluidas, la bibliografía, legislación, autores, entidades, herramientas, ilustraciones, tablas y glosario.

El estudio de este módulo corre en paralelo al resto de los módulos.

[Prueba digital; Figura dvd]: Pruebas digitales frente a pruebas físicas.

A continuación se enumera en más detalle el contenido de esta base documental:

  • La motivación y estructuración en áreas de conocimiento de los diferentes módulos de las áreas de conocimiento, la explicación sobre cómo se organizan internamente los documentos de cada módulo, las normas de escritura que se siguen y cómo se han de entender las diferentes claves para: la bibliografía y la legislación, los autores, las entidades, y las herramientas, las figuras y tablas, los términos del glosario, etc.
  • Toda la bibliografía estructurada según su tipología: la específica de informática forense y pericial, subdividida alfabéticamente para su mejor localización, y la bibliografía complementaria sobre legislación y sentencias, temas de derecho, la ciencia forense, temas generales, incluyendo temas de informática básica y de divulgación como, por ejemplo, publicaciones en los medios.
  • Referencias a los principales autores citados, a las entidades y las herramientas y, también, el índice de figuras y tablas incluidas en la documentación de los diferentes módulos de cada área de conocimiento.
  • Finalmente, también se incluye un glosario con varios centenares de términos sobre informática forense y pericial e informática en general. El objetivo de esto último es ayudar a aquellas personas con un menor conocimiento de informática. El glosario se subdivide alfabéticamente e incluye muchos términos en inglés para facilitar la lectura de los artículos y publicaciones en este idioma, que son las más comunes. En general se han primado los términos en español, salvo en aquellos casos en los que los términos en inglés están ampliamente difundidos y aceptados frente a sus posibles equivalentes en español como, por ejemplo, es el caso de hardware, software o World wide web.
[Kleiman, D.; et ál.; 2007; Figura 7]: Roles del computador en el delito informático desde el punto de vista del perito o del informático forense.

Rootkit: programa que permite un acceso de modo privilegiado y continuo a un computador y que se mantiene oculto al control de los administradores del sistema operativo. El término proviene del inglés root, raíz, nombre clásico de la cuenta de usuario privilegiada en los sistemas operativos Unix y de kit, conjunto de herramientas. Su uso en delitos informáticos suele ser para apropiarse de los recursos del computador o robar contraseñas u otra información sensible. Para su detección puede ser necesario utilizar un sistema operativo alternativo y fiable y para su eliminación, en los casos en que el rootkit resida en propio núcleo del sistema operativo, puede ser necesaria la reinstalación del sistema operativo. Son usadas con frecuencia por los crackers que consiguen acceder ilícitamente a un sistema informático y mantener así un acceso continuo al sistema, existiendo rootkits para muchos de los sistemas operativos, como Linux, Solaris o Windows. | Plural: Rootkits | Bibliografía: López Delgado, M.; 2007

Índice de contenidos de Informática Forense y Pericial

28 de julio de 2017 Autor: Antonio Salmerón

 

Índice del contenido de este sitio web Forense.info, dedicado a la formación en Informática Forense y Pericial. Este índice está organizado por sus principales categorías y sus áreas de conocimiento. Nótese que si un artículo pertenece a varias de estas categorías se clasifica dentro de todas las categorías a las que pertenece.


Presentación del contenido:


Área de conceptos del Derecho para informáticos forenses y peritos:


Área de conceptos fundamentales de informática forense y pericial:


Área de investigación en sistemas informáticos:


Área de investigación avanzada en informática forense:


Área del caso práctico personal y de la base documental:


Áreas de conocimiento:


Módulos de informática forense y pericial:


Bibliografía seleccionada:


Contacto:

[Kleiman, D.; et ál.; 2007; Figura 8]: Reglas de la informática forense.

RedIRIS: Red española de investigación y académica que proporciona servicios de comunicaciones a las universidades y comunidades científicas nacionales. El Ministerio de Economía y Competitividad la financia y el Ministerio de Industria, Energía y Turismo, a través de la entidad pública empresarial Red.es, la gestiona. Cuenta con cientos de instituciones afiliadas, fundamentalmente universidades y centros públicos de investigación. RedIRIS presta especial atención a la seguridad de las redes informáticas y de los servidores conectados a través de ellas. Para responder a los incidentes que se produzcan en la red, su equipo de seguridad, IRIS-CERT, realiza trabajos preventivos y está coordinado con las instituciones afiliadas. Adicionalmente, RedIRIS proporciona certificados de seguridad, servicios para mejorar la calidad del correo electrónico y asesoraría en seguridad de redes telemáticas. | Url: * http://www.rediris.es * http://www.rediris.es/rediris; http://www.rediris.es/servicios/seguridad