Red Seguridad 84
56 red seguridad primer trimestre 2019 opinión forense monográfico è Almacenamiento en la nube: Existe una creciente cantidad de información almacenada en las nubes del fabricante del dispositivo o en las de cada App , a la vez que mucha de la información almace- nada en el aparato acaba borra- da, principalmente por problemas con el espacio de memoria. Por lo tanto, esas copias en la nube son de gran utilidad para tratar de recuperar información borrada o inaccesible desde el dispositivo. Sin embargo, recuperar dicha información no es inmediato, puesto que entran en juego meca- nismos alternativos de seguridad como el doble factor de autenti- cación, que envía un código de desbloqueo al número de teléfono o a una dirección de correo a los que podemos no tener acceso. A lo que hay que añadir las regu- laciones de privacidad de datos, tanto del país donde residan esos datos como desde el que se reali- ce la investigación. è Preservar la integridad de los datos: En realidad este es el obje- tivo primordial en cualquier inves- tigación forense, pero en el caso de los dispositivos móviles requiere especial cuidado por la volatilidad de todo lo que rodea al dispositivo. ¿Encendido o apagado? Un dis- positivo apagado y protegido con una contraseña que desconozca- mos requiere el uso de herramien- tas especializadas para manipu- larlo, con el consiguiente riesgo de daño físico o lógico. Sin embargo, un terminal encendido y con una tarjeta SIM instalada estará trans- mitiendo y recibiendo información constantemente. Por lo tanto, y para evitar posibles modificacio- nes y/o pérdidas de información, antes de realizar una copia habrá que desconectarlo de la red de datos y extraer la tarjeta SIM. Aunque esta tarea pueda conllevar el bloqueo del terminal. è Extracción de la información rele- vante: No siempre será posible extraer la información del disposi- tivo, aunque dispongamos de las herramientas adecuadas. Por lo tanto, hay que prever la necesidad de utilizar métodos alternativos. En el caso del iPhone, el principal método de extracción de datos es acceder a la copia de segu- ridad a través de la herramienta iTunes. Algo similar ocurre con los modelos de Android, en los que las herramientas de análisis foren- se utilizan el acceso a la copia de seguridad como método para extraer los datos. Sin embargo, hay información que no se alma- cena en las copias de seguridad, como, por ejemplo, el correo elec- trónico o los datos de ubicación, que tienen que ser adquiridos uti- lizando métodos alternativos (ser- vidores de correo y solicitudes al proveedor de comunicaciones). è Selección de la herramienta de análisis: Herramientas hay muchas, pero prácticamente ninguna es capaz de proporcionarnos acceso a todos los dispositivos del mer- cado, por lo que no queda más remedio que contar con varias de ellas. Control de la privacidad y datos personales : Aunque no es un condicionante téc- nico, es obligado conocer y respetar las implicaciones de las leyes y regu- laciones de privacidad, de forma que los resultados de nuestros análisis tengan una validez ante terceros. Ya hemos mencionado al principio del artículo que en muchas ocasio- nes se excluye de la investigación el teléfono móvil del empleado, aunque sea propiedad de la empresa, por la sensación que se percibe de intro- misión en la intimidad de la persona. Ocurría igualmente en los primeros análisis del correo electrónico, hace ya unos años, donde se presuponía una invasión de la intimidad del usua- rio porque no estaba claro donde estaba el límite entre el uso profe- sional y personal, y porque se des- confiaba de las técnicas de análisis. Técnicas que se basan, aquí también, en el principio de búsqueda ciega a partir de unas palabras o expresiones clave, escogidas por ser relevantes para la investigación. Es decir, que aunque el copiado de la información del dispositivo incluya datos persona- les (mensajes, fotos, vídeos...), estos solo deberían aparecer en el resulta- do de la investigación si coincidieran con las palabras clave. Evitando en todo momento una revisión exhaus- tiva del contenido al completo, y aplicando un principio de proporcio- nalidad a la investigación. Análisis profesional ¿Qué dispositivo, cuándo acceder a él y cómo hacerlo? Son las preguntas clave para llevar a cabo un análisis profesional y riguroso de un disposi- tivo móvil. Los principales aspectos a tener en cuenta son la gestión de inventarios de activos, comunicación entre departamentos y usuarios, pla- nificación del acceso al dispositivo, utilización de herramientas de análisis especializadas y control en el acceso y tratamiento de los datos. Que los dispositivos móviles y, sobre todo, los teléfonos contienen información valiosa para casi cual- quier investigación es algo que no se le escapa a nadie. Por ello, y a pesar de las dificultades técnicas que el análisis pueda representar o aun cuando el resultado final pueda ser nulo, merece la pena intentarlo. El análisis forense de un teléfono móvil no es trivial aun cuando tenemos conocimientos y herramientas especializadas
Made with FlippingBook
RkJQdWJsaXNoZXIy MzA3NDY=