Son muchas las personas que desconocen en qué consiste el trabajo de los peritos informáticos. Hoy queremos dar a conocer las herramientas para análisis forenses a dispositivos móviles. Este es uno de los servicios más comunes solicitados por nuestros clientes.
Metodología esencial para extraer pruebas en dispositivos móviles
1. Adquisición física:
Es el método más utilizado. Para llevarlo a cabo es necesario realizar una copia del original, para así prevenir los riesgos de dañar las pruebas y poder guardar todas las evidencias potenciales.
La adquisición física nos da el beneficio de poder obtener pruebas incluso que ya han sido borradas. La principal desventaja es su gran dificultad en comparación con los otros métodos y el tiempo que lleva realizarlo correctamente.
2. Adquisición lógica:
Se realiza una copia de los archivos almacenados en el dispositivo a analizar. Para llevarlo a cabo se seguirán las instrucciones del propio fabricante. Es decir, los mecanismos que se emplean para sincronizar el dispositivo con un ordenador. De esta forma se puede obtener la información deseada desde el propio sistema operativo del teléfono móvil.
Este proceso es mucho más sencillo que el anterior pero no permite obtener toda la información.
3. Adquisición de sistemas de ficheros:
Este proceso nos permite obtener todos los ficheros que sean visibles mediante el sistema de ficheros. No incluyen los que hayan sido eliminados o particiones ocultas.
Es un proceso eficaz dependiendo del tipo de investigación que tengamos que hacer. Es el que menos dificultad presenta entre los tres mecanismos.
Para poder realizarlo se aprovecharán los mecanismos propios del sistema operativo para hacer copias de los ficheros. Por ejemplo, para un análisis forense en Android se utilizará Android Device Bridge (ADB) para poder recuperar cierta información que anteriormente fue eliminada. Ya que este tipo de sistema operativo, al igual que iOS, se forman de una estructura que usa bases de datos SQLite para guardar casi toda la información.
Es por ello que, una vez eliminados los ficheros, tan solo se marcan como visibles en la sobrescritura, temporalmente seguirán estando disponibles y por ello recuperables.
¿Cómo seleccionar el método más adecuado para analizar un dispositivo móvil?
Al seleccionar el método más preciso para analizar los dispositivos móviles debemos tener en cuenta ciertos aspectos. Como por ejemplo: nivel de precisión exigido, tiempo del que disponemos para el análisis, qué información necesitamos obtener, la información con riesgo de perderse, información anteriormente eliminada, eliminación de aplicaciones, etcétera.
Para poder seleccionar de la forma más adecuada nos podemos ayudar de las siguientes pautas. Destacando diferentes aspectos necesarios como tener en cuenta si la depuración del USB esta activa, si el dispositivo se encuentra bloqueado o tenemos acceso al mismo, entre otros:
- El teléfono está encendido.
- ¿Está la depuración del USB encendida?
- No. ¿Está el terminal bloqueado?
- Sí, sin posibilidad de desbloquearlo: Utilizar el método de adquisición física.
- No: Activar depuración USB.
- Sí, es necesario autorizar al PC: poner el dispositivo en modo avión y utilizar el método de adquisición lógica.
- No. ¿Está el terminal bloqueado?
Para llevar a cabo un proceso de extracción necesitamos ciertas herramientas a tener en cuenta. Dependeremos de su funcionamiento interno para poder catalogarlas en diferentes grupos.
Siguiendo el esquema anterior, podemos clasificar las herramientas de análisis forense según criterios como: dificultad del procedimiento, tiempo necesario para realizar el análisis, riesgo de pérdida de pruebas y lo que se conoce con el nombre de forensically sound, que hace referencia al nivel de fiabilidad de la fuente. A mayor dificultad, más tiempo y forensically sound será necesario.
Para el análisis y certificaciones de conversaciones en WhatsApp, recurre a un perito informático de WhatsApp.
Herramientas para análisis forenses a dispositivos móviles
Gratuitas generales
Herramientas forenses para Android
-
- AFLogical OSE Open source Android Forensics app and framework
Una aplicación con formato APK que debe de instalarse en el terminal previamente. Una vez finalizado el proceso de instalación podremos extraer datos variados de la tarjeta SD. Pueden ser los registros de llamadas, contactos, aplicaciones, mensajes de texto o audiovisuales… Esta información será recuperada o bien conectada a una tarjeta en un dispositivo externo o a través del ADB.
-
- Open Source Android Forensics
Un framework que se emplea para la distribución a través de imágenes de una máquina virtual que recoge diversas herramientas que nos dan la posibilidad de analizar aplicaciones de dispositivos móviles. Los análisis disponibles sin tanto estáticos, dinámicos o forenses.
Herramientas forenses Linux
-
- Lime Linux Memory Extractor
Es un software que nos da la opción de obtener un volcado de información, de forma volátil, en dispositivos con base Linux. Como por ejemplo los teléfonos con sistema operativo de Android.
Este sistema tiene la ventaja de que puede ser ejecutado vía red.
Herramientas forenses para sistemas operativos Windows
-
- Andriller
Esta aplicación reúne diversas utilidades forenses. Nos permite obtener multitud de información necesaria relacionada con las redes sociales o programas de mensajería instantánea. Tal es el caso de WhatsApp, Skype, Tinder, etcétera. Además tiene otras funciones secundarias.
Otras herramientas
-
- FKT Imager Lite
Nos ofrece la posibilidad de poder trabajar con volcado de la memoria de dispositivos móviles. Así tener la oportunidad de poder analizarlos para obtener pruebas.
-
- NowSecure Forensics Community Edition
Se representa como una imagen virtual que tiene diversas herramientas para llevar a cabo un análisis forense. Dándonos así la opción de realizar diversos tipos de extracción de pruebas.
Herramientas forenses gratuitas específicas
Para Android
-
- Android Data Extractor Lite (ADEL)
Herramienta desarrollada por Python que nos da la posibilidad de sacar un flujograma forense derivado de la base de datos del dispositivo móvil analizado. Para poder llevar a cabo este proceso necesitamos que el móvil este rooteado o instalar previamente un recovery personalizado.
Para programas de mensajería instantánea
-
- WhatsApp Xtract
Nos da la posibilidad de visualizar las conversaciones de esta aplicación en el ordenador de manera fácil. Para poder llevarlo a cabo debemos de obtener de forma previa las diferentes bases de datos que tienen la información relacionada con los mensajes.
-
- Skype Xtractor
Entre los programas de análisis forense, esta aplicación es compatible tanto con el sistema Windows como en Linux, que nos da la posibilidad de ver la información almacenada en el fichero main.db de Skype. Este guarda la información sobre los contactos, las conversaciones, llamadas, ficheros trasferidos, información eliminada, etcétera.
Herramientas de pago
Herramientas forenses para iOS
-
- Elcomosfot iOS Forensic Toolkit
Nos ofrece la posibilidad de adquirir de forma física información sobre los dispositivos con el sistema operativo iOS: iPhone, iPad o iPod. También dispone de otras funciones de utilidad como por ejemplo descifrar el fichero de almacenamiento de las contraseñas de usuario del dispositivo a analizar. Así como registrar cada movimiento llevado a cabo durante todo el proceso para poder dejar constancia de este.
Otras herramientas
-
- Cellebrite Touch
Es un dispositivo de los más populares del mercado, que se emplea para la extracción de pruebas. Nos da la posibilidad de trabajar con más de 6 mil terminales con diferentes sistemas operativos móviles. A pesar de parecer lo contrario, es uno de los sistemas más fáciles e intuitivos.
-
- Escase Forensics
Como la herramienta anterior, Cellebrite, es un gran ejemplo en el mundo del análisis forense. Dispone de una gran capacidad de funcionalidades a la hora de identificar los ficheros cifrados y de poder descifrarlos gracias a Passware Kit Forensic.
-
- MOBILedit! Forensic
Nos ofrece obtener toda la información y poder realizar operaciones avanzadas como por ejemplo la obtención de un volcado completo de memoria, evitando las medidas de bloqueo del terminal móvil.
-
- Oxygen Forensic Suite
Puede conseguir la información de cerca de 10 mil tipos diferentes de dispositivos móviles. Incluso puede llegar a obtener la información de servicios almacenados en la nube e importarla a backups o imágenes.
Métodos para usar herramientas forenses para Android
Hay que seguir un procedimiento concreto para ser capaces de obtener las pruebas necesarias en dispositivos móviles con sistema operativo Android. Lo primero a tener en cuenta es estar seguros que la opción “Depuración de USB” se encuentra activa, preferentemente en la opción de “Permanecer activado”. Después de esto debemos de deshabilitar todas las opciones de bloqueo de pantalla. Si el dispositivo móvil tiene la opción de bloqueo configurada es necesario evitarla.
Las herramientas citadas anteriormente, principalmente las que son de pago, también incluyen formas para saltarse estos métodos de protección. Por lo que deberemos seguir de forma previa los pasos indicados, aunque este proceso no siempre se encuentran disponible.
Si realizamos los procedimientos de forma manual deberemos seguir alguna de las siguientes pautas:
- Muchos de los dispositivos están rooteados, por lo que debemos de intentar eliminar el fichero que se encargue de gestionar la contraseña llamada key o key.pasword. Dependiendo del método de protección que se establezca, los cuales estarán almacenados en /data/system/. También podemos copiarlos y descifrar su patrón a través de algún diccionario, como por ejemplo AndroidGestureSHA1. Esto se llevará a cabo a través de una herramienta como puede ser Android Pattern Lock Craker.
- Podemos instalar algún recovery personalizado, como podría ser ClockWorkMod, Team Win Recovery Protect (TWRP), etcétera. Para así poder desactivar el bloqueo que no nos permite acceder al dispositivo.
- La fragmentación de datos en dispositivos móviles tiene un problema fundamental, es causante de la gran mayoría de los movibles afectados y con fallos de vulnerabilidad que no pueden ser solucionados en estos modelos. Por lo que dependen de la versión de Android, que nos puede dar la opción de usar alguna de ellas para poder entrar en el dispositivo, como podría ser CVE-2013-6271.
- El uso de la fuerza bruta. Hay casos donde nos encontramos con sistemas de cifrado de 4 números. Para poder desbloquear el dispositivo solo es cuestión de un periodo de tiempo que ronda las 12 o 16 horas como mucho.
- También hay casos donde se han obtenido los patrones de desbloqueo mediante las huellas dejadas en la pantalla. Es un método poco utilizado, sacado a la luz en la Universidad de Pennsylvania, conocido con el nombre de Smudge Attack.
Nuestros servicios en análisis forense de dispositivos móviles
Son muchos los años de experiencia que contamos con este tipo de procedimientos.
Garantizamos los mejores resultados a manos de peritos informáticos forenses, apoyados también por la agencia de Indicios Detectives, los cuales también han tenido numerosos casos donde ha sido necesario disponer de herramientas para análisis forenses a dispositivos móviles.
D. Eduardo García de la Beldad Sanchis
Experto Universitario en Análisis Forense Web y Redes Sociales en Ciberseguridad y Peritaje Informático Judicial, en Derecho Informático y Peritaciones Judiciales, en Hacking Ético de Sistemas y Redes de la UDIMA. Experto Universitario en Delegado de Protección de Datos LOPD. Master en Informática Forense y Delitos Informáticos (UDIMA).
