Análisis y extracciones forense de dispositivos móviles con UFED Cellebrite. Cellebrite es una de las dos aplicaciones de extracción de móviles forense más famosas del mercado, liderando su nicho. La razón por la que es tan buena es por el volumen de clientes y el mantenimiento que tiene por detrás. Hay varias versiones de la Cellebrite, una de uso militar y otra de uso civil. En concreto la que usamos en IP peritos informáticos es la versión civil.
Fuente de donde se obtuvo la imagen: www.cellebrite.com
¿Cuáles son las ventajas de UFED Cellebrite?
Cellebrite es un programa de botón gordo. Tiene en su base de datos diferentes extracciones de terminales móviles, y cada una de ellas saca un tipo de información. Para el acceso al terminal no hace falta que este esté *rooteado (aunque también existe la opción). Por lo que es más segura la extracción frente a otros software que he utilizado, como por ejemplo Doctor Phone o Mobile edit Forensic. Que el primero intenta rootear el terminal móvil con su base de datos propia, Mobile edit Forensic directamente hay que rootearlo con un software externo.
*EL rooteo de un terminal consiste en obtener los permisos de superusuario para utilizar todas las capacidades del dispositivo, accediendo a todas las funciones del sistema operativo, permitiendo al usuario descargar aplicaciones, extensiones y temas que no están disponibles a través de la App oficial y acceder a ficheros o modificarlos que no están permitidos para un usuario normal.
Cadena de custodia
Cellebrite es una garantía de cadena de custodia, porque identifica el ID de extracción, y una vez realizada la extracción esta tiene que ser cargada por el UFED ANALYZER, en el caso de que se intente cambiar la extracción para cargarla en el Ufed Analyzer, esta va a fallar. En otras palabras, realiza un contenedor forense de evidencias.
Fuente de donde se obtuvo la imagen: www.cellebrite.com
Una vez realizada la extracción del UFED y cargada en el Analyzer todas las evidencias están cargadas en RAM, lo que ralentiza el ordenador. Por lo que se hace un tercer paso, generando un Informe con el que trabajar que tiene la misma operativa que el Analyzer.
Ventaja de usar Cellebrite frente a otros programas
La cantidad de datos almacenada en un teléfono móvil son mucho, Cellebrite está programada para hacer una recopilación de dichos datos de diferentes archivos en diferentes secciones. Estas secciones facilitan el análisis de eventos, y los datos cruzados. SI bien, hay que tener en cuenta que no todo lo que sale en estos apartados son los únicos datos que existen y en ocasiones hay que ir a un archivo en concreto y abrirlo con el programa adecuado. (que suelen instalarse junto con la Cellebrite).
Por ejemplo, se puede ver la base de datos SQL de WhatsApp desde el Analyzer de Cellebrite.
Por tanto, si bien la Cellebrite ayuda a investigar, es recomendable tener conocimientos de el sistema operativo del móvil y la relación entre sus App para llegar a dominar el tema.
¿Para que puede servir una extracción de Cellebrite?
La Cellebrite se utiliza para garantizar la cadena de custodia, y extraer los datos de una forma sencilla. Por ejemplo, es recurrente el tema de certificaciones de WhatsApp. En base a una extracción se puede obtener más datos que complementen a la certificación de WhatsApp, por ejemplo, ubicación del móvil en el mapa, llamadas, SMS…
Fuente de donde se obtuvo la imagen: www.cellebrite.com
Si bien, el verdadero potencial de esta herramienta es para comprender sucesos y interacciones del usuario o terceros. Por ejemplo, para determinar que realizó una persona en las últimas horas de su fallecimiento. O , el muy recurrido análisis de terminal móvil por intromisión en las telecomunicaciones o espionaje. Puede usarla un perito informático WhatsApp.