Diseño de Una Guía para La Auditoría de Análisis Forense en Dispositivos Moviles Basados en Tecnología Android para Legislación Colombiana
Diseño de Una Guía para La Auditoría de Análisis Forense en Dispositivos Moviles Basados en Tecnología Android para Legislación Colombiana
Diseño de Una Guía para La Auditoría de Análisis Forense en Dispositivos Moviles Basados en Tecnología Android para Legislación Colombiana
1
DISEÑO DE UNA GUIA PARA LA AUDITORÍA DE ANÁLISIS FORENSE EN
DISPOSITIVOS MOVILES BASADOS EN TECNOLOGIA ANDROID PARA
LEGISLACIÓN COLOMBIANA
Trabajo de Grado
Director
HOLMAN DIEGO BOLIVAR
Ingeniero de Sistemas
2
3
Nota de aceptación
________________________________
Ingeniero Holman Diego Bolívar
Director
________________________________
Ingeniero Jorge Carrillo
Revisor Metodológico .
4
A Dios y nuestra familia
Por su apoyo incondicional
5
AGRADECIMIENTOS
6
TABLA DE CONTENIDO
pág.
INTRODUCCIÓN 16
7
RÍA DEL ANÁLISIS FORENSE EN DISPOSITIVOS MÓVILES BASADOS
EN TECNOLOGÍA ANDROID 70
8. CONCLUSIONES 80
BIBLIOGRAFIA 81
8
LISTA DE TABLAS
pág.
9
LISTA DE IMAGENES
pág.
10
LISTA DE ANEXOS
pág.
11
GLOSARIO
BLACKBERRY OS: Sistema operativo móvil desarrollado por RIM para los
dispositivos BlackBerry. El sistema permite multitarea y tiene soporte para
diferentes métodos de entrada adoptados por RIM para su uso en computadoras
de mano, particularmente la trackwheel, trackball, touchpad y pantallas táctiles.
12
DISPOSITIVO MÓVIL: Aparato de pequeño tamaño, con algunas capacidades
de procesamiento, con conexión permanente o intermitente a una red, con
memoria limitada.
13
RESUMEN
Una vez desagregado los ítems descritos con anterioridad, se realiza una
propuesta materializada en una guía para el análisis forense en dispositivos
móviles en Colombia, en la que se ofrece como producto propio de la misma, los
aspectos y papeles de trabajo a tener en cuenta una vez aplicado el estudio
forense como una buena práctica y aseguramiento que lo realizado se efectúo
correctamente.
La guía propuesta si a bien lo tiene podría ser adoptada tanto por empresas de
carácter público como privado en Colombia, entre las que se encuentran las de
carácter regulatorio, de control e investigativo y de otra parte, empresas privadas
que ofrecen dentro de sus servicios la prestación del servicio de análisis forense
informatico.
14
ABSTRACT
This paper grade is raised by the authors in the context of the concern that arises
from the same applicability of the audit as a science that makes a check,
investigation, verification of compliance with the guidelines, regulations, records
and processes that are applicability to a forensic science applicable in Colombia
as it is computer forensics.
The proposed guide if either has it could be adopted by both public companies
private in Colombia, among which are the regulatory, control and research and
on the other hand, private companies offering their services within the service
delivery of computer forensics.
15
INTRODUCCIÓN
1 MARTINEZ, Barea Juan. El Mundo que viene. P16. Editorial Centro de Libros Grupo Planeta. ISBN 978-
84-9875- 374-5
2 INTERPOL.Los fenómenos delictivos están cambiando. [En Linea]. Bogotá: [citado septiembre 26 de
16
empleados instrumentos tecnológicos tales como el teléfono móvil, el
computador, el disco, etc.
5AUDITORIA GENERAL DE LA REPUBLICA. Auditoria. [En Linea]. Bogotá: [citado septiembre 26 de 2014].
Disponible en internet: <URL:http://www.auditoria.gov.co/index.php/procesos-misionales/participacion-
ciudadana/glosario>
17
1. PLANTEAMIENTO DEL PROBLEMA
En los cambios que la sociedad se ha visto avocada en los últimos años esta la
de afrontar los avances tecnológicos que han sufrido los dispositivos
electrónicos, entre ellos el que se migrado de ser un elemento estatico a uno
móvil.
Desde esa perspectiva, los dispositivos móviles se han convertido en uno de los
elementos más empleados por seres humanos, que no han sido ajenos, en ellos
se maneja información privada, se navega el mundo cibernético, accediendo a
múltiples fuentes de información desde pequeños dispostivos.
18
delito causó un daño económico al consumidor cercano a los 500 millones de
dólares durante lo corrido de 2013, acercándose así cada vez más a los país
que reciben mayores ataques cibernéticos en el mundo.
8 CANO, Jeimy José. Admisibilidad de la Evidencia Digital: De los conceptos legales a las características
técnicas. Derecho de Internet y Telecomunicaciones. Facultad de Derecho. Universidad de Los Andes.
Editorial Legis. 2003. Bogotá. Pag. 195. Basado en la definición dada por el autor Casey E. en: Digital
Evidence and Computer Crime, Academic Press, 2000.
9 CORTE CONSTITUCIONAL. Sentencia C-209 de 207. Descubrimiento de Pruebas. [En Línea]. Bogotá:
19
introduzcan pruebas en sede de juzgamiento sobre las cuales no se pueda
conformar un contradictorio adecuado, sobre todo para el acusado, que se
presenta en desventaja frente a la Fiscalía que ha contado con todas las
prerrogativas y medios para investigarlo. Por lo tanto es un medio de
equilibrio entre las partes para un correcto ejercicio del contradictorio y
obviamente del derecho a la defensa…”
20
1.1. ANTECEDENTES
12Según la Compañía Mobile World – SOTI Inc. el principal proveedor del mundo
de Enterprise Mobility Management (EMM), los dispositivos Android, están
liderando el mercado con más del 80% de la cuota de smartphone global.
Igualmente, señala el fundador de Mattica: "El reto más grande es que a pesar
que existe la Ley, pocos jueces la entienden y a veces los fiscales no logran
documentar los casos e identificar si realmente las conductas entran dentro de
la tipificación de los delitos o no"
12SOTI LATAM, Comunicados de Prensa. La Tecnología Android de SOTI MobiControl permite a más de
35 OEM superar los retos empresariales de Android [En Línea]. Bogotá: [citado noviembre 25 de 2014].
Disponible en internet: URL:<http://www.soti.net/es/sala-de-prensa/comunicados-de-prensa/2014/02/>
13PEREZ GARCIA, Camilo. En Colombia se investigan los delitos informáticos. [En Línea]. Bogotá: [citado
21
Adicionalmente, cada día es más aceptado en la sociedad culturalmente, el que
las cosas que se hagan se realicen de la mejor forma, no obstante, el papel del
auditor en ocasiones es el rol menos apreciando en las organizaciones, por
cuanto se crean conceptos desconocidos hacia esta profesión, olvidando que la
auditoría es la evaluación de normas, controles, técnicas y procedimientos que
se tienen establecidos para lograr confiabilidad, oportunidad, seguridad y
confidencialidad de la información que se procesa a través de los sistemas de
información.
Las razones por las cuales existe un enorme crecimiento de malware de Android
son por que la plataforma Android se ha vuelto el sistema operativo más usado
por los smarthphones nuevos con más de un 70% de la porción del mercado;
también por su tecnología abierta y la facilidad con que se pueden crear
aplicaciones y la amplia variedad de aplicaciones en el marcado hechas sobre
Android.
14KASPERSKY.Internet Security Center. Amenazas móviles. . [En Línea]. Bogotá: [citado octubre 20 de
2014]. Disponible en internet: <URL: http://latam.kaspersky.com/co/internet-security-center/threats/mobile>
22
2. OBJETIVOS DEL PROYECTO
Diseñar una guía para la auditoría del análisis forense para dispositivos móviles
basados en tecnología Android para la legislación colombiana.
23
3. ESTADO DEL ARTE
Esta rama investigativa tuvo su origen desde el año 1984 cuando los laboratorios
del FBI y otras agencias de los Estados Unidos que persiguen el cumplimiento
de la ley empezaron a desarrollar programas para examinar evidencia
computacional. Se reconoce a Dan Farmer y Wietse Venema, los creadores del
Forensics Toolkit (software forense), como los pioneros de la informática forense
y actualmente, Brian Carrier, es probablemente uno de los mayores expertos
mundiales en el tema.15
15 NUMPAQUE FRANCO, Edgar Alexander. Informática Forense En Colombia. [En Línea]. Bogotá: [citado
octubre 20 de 2014]. Disponible en internet: <URL: http://glaxeanf.com/lecturas-de-interes/seguridad-
informatica
16 LOMBO, Mauricio. CTI: Avances en Tecnología - TRAS EL RASTRO DE LA EVIDENCIA DIGITAL. En:
Huellas de la Fiscalía General de la Nación. Julio 17 de 2007. No. 55. ISSN 1657 – 6829, Pag. 19. [en línea,
Consultado 5 de noviembre 2014].Disponible en Internet:<URL: http://www.fiscalia.gov.co/en/wp-
content/uploads/2012/02/Huellas-55.pdf >
17 POLICIA NACIONAL.Centro Cibernetico Policial. [En Línea]. Bogotá: [citado octubre 20 de 2014].
24
El número de delitos informáticos viene en aumento a medida que avanza la
tecnología, es por esto que el análisis forense viene aumentando su importancia,
ya que siempre innovan en la forma de atacar, y esto conlleva a que se deben
utilizar técnicas de análisis que estén acorde con la nueva tecnología. El análisis
forense se basa tres objetivos fundamentales:
Admisible
Autentica
Completa
Confiable
Creíble
25
La cadena de custodia debe:
3.2. AUDITORÍA
26
registros, procesos, circuitos, etc. Hoy en día, la palabra auditoría se
encuentra relacionada con diversos procesos de revisión o verificación
que, aunque todos ellos tienen en común el estar de una u otra forma
vinculados a la empresa, pueden diferenciarse en función de su finalidad
económica inmediata, de tal manera que según este criterio podemos
establecer una primera gran clasificación de la auditoría diferenciando
entre auditoría económica y auditorías especiales.
21 DE LA PEÑA GUTIERREZ, Alberto. Auditoría, un enfoque práctico. 1 ed. Madrid: Paraninfo, 2011. p 5.
ISBN:978-84-9732-667-4
22 TAMAYO ALZATE, Alfonso. Auditoría de sistemas una visión práctica. 1 ed. Manizales: Universidad
27
Debe quedar claro que si al ocurrir un hecho delictivo no existe la posibilidad
de obtener evidencia documental sobre tratos, convenios, negocios u
operaciones realizadas por la persona física o jurídica con otros
participantes en la actividad económica, no será posible la utilización de las
técnicas de auditoría para su comprobación y el investigador deberá
proceder por otras vías. Por otra parte, aunque en la mayoría de los delitos
financieros se involucran entidades con sistemas de control contable y
administrativo en mayor o menor grado formalmente establecidos, es
importante aclarar que también las personas físicas que han tenido alguna
relación con las partes de un proceso penal por delincuencia económica,
pueden tener en su poder evidencia comprobatoria de transacciones con
otras personas, sean estas físicas o jurídicas, aunque no necesariamente
sistematizada. Si existe evidencia documental de transacciones en manos
de personas físicas, también pueden llegar a ser útil la participación del
investigador financiero.”23
23 CHAVARRIA, Jorge. Auditoría Forense. 1 ed. San José: Universidad Estatal a Distancia, 2002. p 3 y 4.
ISBN: 9977-64-801-8
24 PINTO, Daniela. Revista Infoweek. Ganando una Ventaja Competitiva con aplicaciones comerciales
28
El Dr. Martín Cooper, fue el inventor del primero sistema de radio teléfono y fue
quien realizó la primera llamada por teléfono móvil25, ya en los años 80 fue
diseñado por él mismo el primer móvil lanzado al mercado, este fue conocido
con el nombre de DynacTAC 8000X de la empresa Nokia, pesaba 800 gramos,
su batería duraba tan solo 60 minutos, posteriormente, esta misma empresa
lanza el Mobira Talkman, el cual era incorporado a un maletín que facilitaba la
comunicación por varias horas, pasados los años, hacia 1989 Nokia lanza un
teléfono más pequeño e incorpora a su diseño una tapa, concebido como el
primer teléfono de bolsillo con batería de niquel Cadmio, siendo pesada este fue
conocido como MicroTAC 9800X.
Continuando con sus avances en la línea móvil, hacia los 90 innova con el
teléfono Motorola 2900 o Bag Phone, el cual podría ser adaptado al carro, su
diseño fue innovador, ya que su apariencia era la de un teléfono normal con
cable, pero que se portabilizaba a través de una bolsa que integraba el
transmisor, receptor y batería adaptable al automóvil.26 Y a su vez Nokia para el
año 1992 lanzo su primer telefónico bajo la referencia 1011 en GSM, un año más
tarde, IBM sorprende con el IBM Simon siendo el Primer SmartPhone.
Sin embargo, Nokia no desistía de sus avances tecnológicos para 1996 lanza su
modelo StarTAC, el cual era el teléfono móvil del momento que se podía doblar
en la mitad, siendo compacto y fácil para ser transportado; ya para 1997 lanza el
primer Smartphone con CPU que deriva de un Intel 386 y contaba con 8mbytes
de memoria RAM, fue bautizado como el Nokia 9000i, incorporando a este
modelo una pantalla y teclado, estando dentro de sus funcionabilidades el poder
recibir y enviar faxes , SMS, emails y su acceso a internet lo realizaba a través
de los SMS.
Para 1998 fue Nokia el que tras años de investigación rompe con la estética de
los ya conocidos modelos de teléfonos móviles y lanza su móvil el Nokia 8810,
25 COOPER, Martín. Biografía del Creador del primer teléfono móvil. [En Línea]. Bogotá: [citado septiembre
20 de 2014]. Disponible en internet: <URL: www.ingeniatic.eultt.upm.es/index.php/personajes/ítem/321-
cooper-martin>
26 SUAREZ, CARMEN. Evolución de Móviles. [En Línea]. Bogotá: [citado septiembre 26 de 2014].
29
su diseño fue lujoso y era el primer teléfono que incorporaba internamente su
antena; en 1999 Nolia lanza el modelo 3210 con más de 160 millones de
teléfonos vendidos, Samsung por su lado lanza el SPH-M100 primer teléfono con
soporte para música MPS y Beneffon Esc el primero con GPS Integrado.
Por otra parte en 1999 nace la empresa RIM, quien para el año 2002 lanza la
Blackberry 5810, primer modelo de la era de Blackberry que integra el soporte
de datos en un dispositivo, este al integrar su teclado y la característica de datos,
integra algunas funcionalidades de una agenda personal, este mismo año, Sprit
y Sanyo, lanzan su teléfono SCP 5300, el cual fue el primer móvil que incorporo
una cámara.28
Ya hemos hecho un recorrido por los modelos de los dispositivos móviles que
innovaron en la evolución digital y en la vida del hombre, para ello, veremos cada
una de las tecnología empleadas.
28 Ibíd., <http://dispositivosmobilesits.blogspot.com/2012/02/evolucion-de-moviles.html>.
29 REVISTA TÉCNOPASIÓN. Los Móviles más vendidos de la historia. [En Linea]. Bogotá: [citado
septiembre 30 de 2014]. Disponible en internet: <URL: www.tecnopasion.com/los-moviles-mas-vendidos-
de -la-historia-2736/ .>
30 GINVA INSPIRATION, DESING, FREEBIES. The Evolution Of The Cell Phone Between 1938-2011. [En
30
Tecnologías de los dispositivos móviles. Reflejada la historia de los dispositivos
móviles esta no es ajena de la evolución en las diferentes tecnologías que
permiten su funcionamiento, a continuación se describen aspectos relevantes de
cada una de ellas:
3.5.5. IOS. Es el Sistema operativo que incorpora Apple a sus dispositivos como
iPods touch, iPhones, iPad y singularmente también el Apple TV. Para el año
2007 la empresa fabricadora lanza el primer Iphone que incorporo este sistema,
31ARROYO NATALIA. Información en el Móvil. 1 ed. Editorial UOC, 2011. ISBN: 978-84-9029-847-3
32Op. Cit. ARROYO, Natalia.
33CULTURACIÓN. Blackberry OS; sistema operativo móvil de RIM. . [En Linea]. Bogotá: [citado septiembre
31
diferenciándose de los demás por haber incorporado Mapas, Mail, Fotos, iPod,
Calendario, Calculadora, lanzada esta primera versión empezaron a
incorporarse nuevas funcionabilidades como lo son el primer juego nativo no
oficial.
Android es una pila de software pensada inicialmente para teléfonos móviles que
incluye un sistema operativo, middleware y una capa aplicaciones para que el
teléfono pueda realizar funciones más allá de los dispositivos que se usaban
antaño34.
<URL: http://www.google.com/mobile/android/>
32
3.6.1.3. Conectividad. Este sistema operativo soporta muchas
conexiones: GSM/EDGE, IDEN, CDMA, EV-DO, UMTS, Bluetooth, Wi-Fi, LTE,
HSDPA, HSPA+, NFC, WiMAX, GPRS, UMTS y HSDPA+.
3.6.1.4. Mensajería. Android es compatible con los SMS y MMS, pero todo
queda reducido tras la existencia de la tienda de aplicaciones donde existen
aplicaciones de mensajería instantánea como por ejemplo WhatsApp o
Telegram.
3.6.1.11. Google Play Store. Android cuenta con una tienda de aplicaciones
donde los desarrolladores publican sus aplicaciones, que amplían el número de
funciones que realiza el sistema operativo de fábrica.
33
3.6.1.15. Multitarea. En Android, podemos dejar aplicaciones corriendo en
segundo plano sin gastar muchos recursos del teléfono.
34
del teléfono existe un controlador (o driver) dentro del kernel que permite utilizarlo
desde el software.
Cabe aclarar que Dalvik es una variación de la máquina virtual de Java, por lo
que no es compatible con el bytecode Java. Java se usa únicamente como
lenguaje de programación, y los ejecutables que se generan con el SDK de
Android tienen la extensión .dex que es específico para Dalvik, y por ello no
podemos correr aplicaciones Java en Android ni viceversa.
38
Op. cit. ROBLEDO y ROBLEDO. Programación en Android. p33-40
35
Activity Manager. Se encarga de administrar la pila de actividades de
nuestra aplicación así como su ciclo de vida.
Windows Manager. Se encarga de organizar lo que se mostrará en pantalla.
Básicamente crea las superficies en la pantalla que posteriormente pasarán
a ser ocupadas por las actividades.
Content Provider. Esta librería es muy interesante porque crea una capa
que encapsula los datos que se compartirán entre aplicaciones para tener
control sobre cómo se accede a la información.
Views. En Android, las vistas los elementos que nos ayudarán a construir las
interfaces de usuario: botones, cuadros de texto, listas y hasta elementos
más avanzados como un navegador web o un visor de Google Maps.
Notification Manager. Engloba los servicios para notificar al usuario cuando
algo requiera su atención mostrando alertas en la barra de estado. Un dato
importante es que esta biblioteca también permite jugar con sonidos, activar
el vibrador o utilizar los LEDs del teléfono en caso de tenerlos.
Package Manager. Esta biblioteca permite obtener información sobre los
paquetes instalados en el dispositivo Android, además de gestionar la
instalación de nuevos paquetes. Con paquete nos referimos a la forma en
que se distribuyen las aplicaciones Android, estos contienen el archivo .apk,
que a su vez incluyen los archivos .dex con todos los recursos y archivos
adicionales que necesite la aplicación, para facilitar su descarga e instalación.
Telephony Manager. Con esta librería podremos realizar llamadas o enviar
y recibir SMS/MMS, aunque no permite reemplazar o eliminar la actividad que
se muestra cuando una llamada está en curso.
Resource Manager. Con esta librería podremos gestionar todos los
elementos que forman parte de la aplicación y que están fuera del código, es
decir, cadenas de texto traducidas a diferentes idiomas, imágenes, sonidos o
layouts. En un post relacionado a la estructura de un proyecto Android
veremos esto más a fondo.
Location Manager. Permite determinar la posición geográfica del dispositivo
Android mediante GPS o redes disponibles y trabajar con mapas.
Sensor Manager. Nos permite manipular los elementos de hardware del
teléfono como el acelerómetro, giroscopio, sensor de luminosidad, sensor de
campo magnético, brújula, sensor de presión, sensor de proximidad, sensor
de temperatura, etc.
Cámara: Con esta librería podemos hacer uso de la(s) cámara(s) del
dispositivo para tomar fotografías o para grabar vídeo.
Multimedia. Permiten reproducir y visualizar audio, vídeo e imágenes en el
dispositivo.
36
3.6.1.21. Aplicaciones. En la última capa se incluyen todas las aplicaciones
del dispositivo, tanto las que tienen interfaz de usuario como las que no, las
nativas (programadas en C o C++) y las administradas (programadas en Java),
las que vienen preinstaladas en el dispositivo y aquellas que el usuario ha
instalado.
Versiones del Sistema Operativo Android. Las versiones del Sistema Android39,
dan inicio en el 2007 con su versión beta, para el siguiente año fue lanzada su
versión 1.0, a partir del año 2009 las actualizaciones y nuevas versión han sido
denominadas en orden alfabético:
Android Beta
39GIRONES. Jesús Tomás. El Gran Libro de Android. 3ra. Edición 2013. Editorial Marcambo S.A. IBSN
978.84.267.1976-8.
37
Android 4.3 Jelly Bean
40GONZALEZ, Angel. Sistema Operativo Android. [En Linea]. Bogotá: [citado septiembre 26 de 2014].
Disponible en internet: <URL: http://www.vinagreasesino.com/articulos/sistema-operativo-android.php>
38
teléfonos celulares y medios de comunicación electrónicos asociados. También
se destina a complementar las directrices existentes y profundizar en las
cuestiones relacionadas con los teléfonos celulares su examen y análisis.41
41 GOMEZ OCAMPO, Lizeth Marcela. Informática Forense Para Móviles. [En Linea]. Bogotá: [citado
septiembre 20 de 2014]. Disponible en internet: <URL:
<http://www.revistasbolivianas.org.bo/scielo.php?pid=S199740442009000200007&script=sci_arttext&tlng=
es>
42Unification of digital evidence from disparate sources (Digital Evidence Bags) [En Linea]. Bogotá: [citado
39
Developing Process For The Examination Of Cellular Phone Evidence. Las
razones para la extracción de datos de los teléfonos celulares pueden ser tan
variadas como las técnicas utilizadas para procesarlos. A veces sin embargo,
sólo se necesita ciertos datos. En otros casos es necesario de un examen
forense completo y el potencial completo de recuperación de datos borrados,
extracción del sistema de archivos integrado y la memoria física.
43
YNGVAR WILLASSEN Svein. Forensics and the GSM mobile telephone system.International Journal of
Digital Evidence. [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL:
http://www.utica.edu/academic/institutes/ecii/publications/articles/A0658858-BFF6-C537-
7CF86A78D6DE746D.pdf>
44 MURPHY Cindy. Developing Process For The Examination Of Cellular Phone Evidence. [En Linea].
Analysis. [En Linea]. Bogotá: [citado noviembre 15 de 2014]. Disponible en internet: <URL:
<http://eprints.ulster.ac.uk/20680/2/IJCDF10.pdf>
46CASADEI Fabio, SAVOLDI Antonio, Gubian Paolo. Forensics and SIM cards: an Overview. [En Linea].
40
el teléfono celular forma parte de la vida cotidiana de las personas y es por esta
razón que éstos pueden estar involucrados en diferentes tipos de delitos.
Publication 800-101 Revisión 1. [En Linea]. Bogotá: [citado noviembre 18 de 2014]. Disponible en internet:
<URL:http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-101r1.pdf>
41
Herramientas forenses para teléfono celular, la cual se enfoca en presentar
cambios que han sufrido las herramientas forenses, presenta nuevas
herramientas que no fueron reportadas anteriormente manteniendo la misma
estructura de trabajo que apoyen al análisis forense. El documento 7250
proporciona un panorama de las herramientas de software forense diseñadas
para la adquisición, análisis, y reporte de datos almacenados en dispositivos
móviles. La publicación conduce un estudio general sobre las capacidades y
limitaciones para cada herramienta en detalle a través de una metodología
basada en diferentes escenarios.49
49AYERS Rick, JANSEN Wayne, MOENNER Ludovic, AURELIEN Delaitre. NISTIR 7250 – Cell Phone
Forensic Tools: An Overview and Analysis can be accessed. [En Linea]. Bogotá: [citado noviembre 20 de
2014]. Disponible en internet: <URL: http://csrc.nist.gov/publications/nistir/nistir-7250.pdf>
42
3.8. ENFOQUE
50ANGULO LÓPEZ, Eleazar. Metodología Cualitativa. Universidad de Málaga. [En Linea]. Bogotá: [citado
octubre 20 de 2014]. Disponible en internet: <URL: http://www.eumed.net/tesis-
doctorales/2012/eal/metodologia_cualitativa.html#_ftn1>
43
(1986) propone cuatro tipos de estudios: exploratorios, descriptivos,
correlacionales y experimentales. Hay quienes prefieren denominar estos
últimos, estudios explicativos en lugar de experimentales pues consideran
que existen investigaciones no experimentales que pueden aportar
evidencias para explicar las causas de un fenómeno.
Se puede decir que esta clasificación usa como criterio lo que se pretende
con la investigación, sea explorar un área no estudiada antes, describir una
situación o pretender una explicación del mismo.
44
3.11. FASES DE LA INVESTIGACIÓN
Imagen 3 Diagrama de la metodología para la auditoría del análisis forense en dispositivos móviles
17. Revisar y
INICIO 16. Monitorear el
8. Inicio de la mejorar el
programa de
auditoria programa de
auditoria
auditoria
1. Identificar el
origen de la 9. Preparación de
auditoría actividades de FIN
auditoria
3. Establecer los
objetivos de la
10. Realización de
auditoria
las actividades de
auditoria
4. Determinar los
puntos que serán 11. Integrar los
evaluados. papeles de trabajo
resultados de la
auditoria
5. Elaborar planes,
programas y
presupuestos 12. Analizar la
información.
6. Identificar
métodos, 13. Elaborar
herramientas, informe de
instrumentos y hallazgos y
procedimientos recomendaciones
15. Elaborar el
ACTIVIDADES
informe ejecutivo
45
4. IDENTIFICACIÓN DE ACTIVIDADES EN EL ANÁLISIS FORENSE EN
DISPOSITIVOS MOVILES
Primer respondiente
Funcionario Policía Judicial
Custodio
Fiscal
Juez
Transportador
Analista
Almacenista
46
Tabla 1 Actividades Cadena de Custodia
47
Tabla 1: Actividades Cadena de Custodia (Continuación).
48
Imagen 4 Diagrama de procesos Cadena de custodia
CADENA DE CUSTODIA DISPOSITIVO MOVIL
FUNCIONARIO POLICIA
PRIMER RESPONDIENTE CUSTODIO FISCAL JUEZ TRANSPORTADOR ANALISTA ALMACENISTA
JUDICIAL
INICIO
1. Recolecta el
dispositivo
NO
4. Rotula el
dispositivo
2. Notifica a la
autoridad 8. Hace el registro
competente 5. Diligencia el como custodio
formato de la
cadena de custodia
7. Rinde informe
ante el fiscal
NO
¿El elemento
requiere
analisis?
SI
13. Realiza la
14. Traslada el
entrega al
dispositivo al 15. Recepción del
transportador para
almacen de dispositivo
envió al laboratorio
evidencias
forense
ANALISIS
FORENSE
21. Realiza la
entrega al
transportador para
el envió al almacén
de evidencias
22. Traslada el
dispositivo al 19. Recepción del
almacén de dispositivo
evidencias
20.
Almacenamiento
del dispositivo
ACTIVIDADES
FIN
49
El análisis forense del dispositivo móvil (imagen 5), se encuentra como un
subproceso del diagrama anterior de cadena de custodia, en este subproceso se
lleva a cabo la identificación, preservación, análisis y presentación de datos que
sean válidos dentro del proceso legal, a continuación se describen las actividades
que se identifican en este proceso de análisis forense.
50
Tabla 2 Actividades de análisis forense (Continuación).
51
Imagen 5 Diagrama análisis forense
ANALISIS FORENSE
FASE 1: Documentación
FASE 2: Extracción lógica FASE 3: Extracción fisica FASE 4: Análisis de relaciones
inicial
Mediante la
aplicación de Validar evidencia
análisis forense, recolectada
¿La NO Alistamiento
INICIO recolectar los datos
Aislar computadora de de la
almacenados en el
comunicaciones RF análisis esta computadora
dispositivo
lista? de análisis
Registra la cadena
de custodia Conectar el SI Crear un número
Recolaectar
dispositivo a la apropiado de copias
información de Inspección y análisis
computadora por de respaldo de la Inspección Análisis
memoria ROM de la evidencia
medio del cable de evidencia y trabajar
datos u otro medio en base a las copias
Por medio de
aceptado por el
fotografías genera
equipo Extraer SIM y
evidencia del estado Extraer información
en que fue recibido transferir los datos
relacionada con el
el dispositivo a la computadora
servicio
Creación de la de análisis
imagen del Reconstrucción de
contenido del eventos y pruebas
dispositivo Recolectar
Inspección inicial información de Extraer información
del dispositivo medios de de directorio y de
almacenamiento llamadas
NO Garantizar el nivel
¿el dispositivo Recolección de la externos
adecuado de
se apago? evidencia volátil
energia
Comparar Secuencia de
Documentar SI
visualmente los Información de eventos
información del
Suministre energía registros de usuario mensageria
fabricante
por medio del presentados en la
cargador o el pantalla del
dispositivo dispositivo con los
correspondiente transferidos a la
Documentar computadora
Información de
información localización
Extracción de
relevante del Extracción de
metadatos del Extracción de Extracción de Extracción de Prueba de hipótesis
sistema Recuperación de información a
Extracción lógica archivo presentes archivos protegidos archivos archivos
archivos eliminados examinar por tipo
en el sistema de con contraseña comprimidos encriptados
de archivo
archivos Busqueda de
palabras en el
bloque del
Búsqueda de dispositivo
Búsqueda de Continuar con la
Búsqueda de información en el Búsqueda de
Información en cadena de custodia
Búsqueda lógica determinado tipo área de paginado Información de
Procesos en de la evidencia
de archivo oculto del Sistema Configuración
Memoria recolectada
Operativo
Extracción de
archivos en espacio
desalojado
(marcado como
Recolección libre) y no
evidencia no volátil fragmentado
FIN
Extracción de
archivos en espacios
desalojados, que
puedan estar
documentar por fragmentados
medio de imagenes
(video y fotografia)
los datos
adicionales
relacionados con el
usuario que no
pudieron ser
tranferidos a través
de las herramientas
de software
forenses
Diligenciar formato
de análisis forense
con la información
ACTIVIDADES
recolectada
52
Dentro del diagrama del proceso del análisis forense se encuentra el subproceso de
alistamiento de la computadora de análisis, en este diagrama se describen las
características técnicas y la preparación previa que debe poseer el equipo de
computo con el que se va a realizar el proceso de análisis forense, esta preparación
se debe cumplir ya que de ello depende la integridad de la información recolectada.
HARDWARE SOFTWARE
INICIO
Discos duros
¿La computadora de
NO externos sometidos SISTEMA
análisis cumple con
Intel® Atom Mínimo 2 puertos Disco Duro mínimo a operaciones de OPERATIVO Parches de Sistema
las pruebas de 1 GB RAM
Processor 1.33 GHz USB 100 GB borrado seguro, la Microsoft Windows actualizados
verificación de
capacidad depende 7/ 8
desempeño?
de la necesidad.
SI Posee
componentes de
software para SI
interactuar FIN
correctamente
con el
dispositivo
NO
Instalar la
herramienta de
análisis forense
móvil
Device)
Con base a éstos diagramas se generan las siguientes matrices con las que se
realiza una comparación de los estándares actuales y existentes de la temática que
se aborda.
Iniciamos con lo que refiere el método inductivo de lo general a lo particular, por ello
para el proceso de estudio objeto de la presente investigación, se aborda la
normativa, leyes, procedimientos que interactúan y de las cuales se debe tener
conocimiento (ver tabla 3).
53
Tabla 3 Leyes Colombianas
54
Tabla 3 Leyes colombianas (Continuación).
55
Tabla 4 Normatividad de Framework vs. Actividad
NORMATIVA DE FRAMEWORK
56
Tabla 4 Normatividad de Framework vs. Actividad (continuación)
NORMATIVA DE FRAMEWORK
57
Tabla 4 Normatividad de Framework vs. Actividad (continuación)
NORMATIVA DE FRAMEWORK
ACTIVID
AD COBIT 5 ISACA ITIL edición 2011
58
Tabla 4 Normatividad de Framework vs. Actividad (continuación)
NORMATIVA DE FRAMEWORK
59
Tabla 4 Normatividad de Framework vs. Actividad (continuación)
NORMATIVA DE FRAMEWORK
60
Tabla 4 Normatividad de Framework vs. Actividad (continuación)
NORMATIVA DE FRAMEWORK
aislar comunicaciones RF Principio 4. Hacer posible un enfoque Holístico. Estándar de auditoría y aseguramiento de Diseño del servicio, Gestión de la seguridad de
Principios políticas y marcos de trabajo: Transmitir SI 1201 Planificación de la asignación la información: Disponibilidad garantizar que la
Conectar el dispositivo por medio la dirección e instrucciones de gestión del consejo Estándar de auditoría y aseguramiento de
del cable de datos u otro medio de información esté disponible y se pueda usar
administración. SI 1202 Evaluación de riesgo en cuando se necesite.
aceptado por el equipo Principio 4. Hacer posible un enfoque Holístico. planificación
Creación de la imagen del Procesos: Las dimensiones del catalizador son Estándar de auditoría y aseguramiento de
contenido del dispositivo Partes interesadas, Metas, Ciclo de vida y Buenas SI 1203 Desempeño y supervisión
practicas, ésta es la guía necesaria para alcanzar Estándar de auditoría y aseguramiento de
Garantizar el nivel adecuado de los objetivos del proceso SI 1204 Materialidad Diseño del servicio, Gestión de la seguridad de
energía Principio 4. Hacer posible un enfoque Holístico. Estándar de auditoría y aseguramiento de la información: Integridad garantizar que la
Estructuras organizativas: Principios operativos, SI 1205 Evidencia información sea completa, precisa y este
Recolección de la evidencia ámbito de control, nivel de autoridad, delegación protegida contra cambios no autorizados.
volátil de responsabilidad y procedimientos de
Suministrar energía por medio escalamiento.
del cargador o el dispositivo Principio 4. Hacer posible un enfoque Holístico. Estándar de auditoría y aseguramiento de
correspondiente Cultura, ética y comportamiento: Buenas prácticas SI 1203
para crear, fomentar y mantener el Desempeño y supervisión
Extracción lógica *Diseño del servicio, Gestión de la seguridad de
comportamiento deseado en toda la empresa. Estándar de auditoría y aseguramiento de
Recuperación de archivos Principio 4. Hacer posible un enfoque Holístico. SI 1204 la información: Confidencialidad garantizar que la
eliminados Información: Importancia de las categorías y Materialidad información esté disponible exclusivamente para
Extracción de información a dimensiones de la calidad de la información y Estándar de auditoría y aseguramiento de personas autorizadas
examinar por tipo de archivo criterios de la información: Eficacia, eficiencia, SI 1205 *Diseño del servicio, Gestión de la seguridad de
integridad, fiabilidad, disponibilidad, Evidencia la información: Integridad garantizar que la
confidencialidad, conformidad. Estándar de auditoría y aseguramiento de información sea completa, precisa y este
Principio 4. Hacer posible un enfoque Holístico. SI 1006 protegida contra cambios no autorizados.
Servicios, infraestructuras y aplicaciones: son Competencia *Diseño del servicio, Gestión de la seguridad de
pautas generales que gobiernan la Estándar de auditoría y aseguramiento de la información: Disponibilidad garantizar que la
Extracción de metadatos del información esté disponible y se pueda usar
implementación y uso de los recursos vinculados SI 1007
archivo presentes en el sistema cuando se necesite
a las TI dentro de la empresa como: Reutilización, Afirmaciones
de archivos *Diseño del servicio, Gestión de la seguridad de
comprar frente a construir, simplicidad, agilidad, Estándar de auditoría y aseguramiento de
apertura. SI 1008 Criterios la información: Autenticidad y no repudio
Principio 4. Hacer posible un enfoque Holístico. garantizar la confiabilidad de las transacciones y
Personas, Habilidades y competencias: Identificar el intercambio de seguridad entre empresas
las buenas practicas, habilidades para roles. asociadas
Fuente: Los autores
61
Tabla 4 Normatividad de Framework vs. Actividad (continuación)
NORMATIVA DE FRAMEWORK
62
Tabla 4 Normatividad de Framework vs. Actividad (continuación)
NORMATIVA DE FRAMEWORK
63
Tabla 4 Normatividad de Framework vs. Actividad (continuación)
NORMATIVA DE FRAMEWORK
64
Tabla 4 Normatividad de Framework vs. Actividad (continuación)
NORMATIVA DE FRAMEWORK
65
La matriz Tecnología Android X Actividad hace referencia a la revisión de la
tecnología Android que se puede utilizar al momento de hacer la referencia a cada
una de las actividades correspondientes al análisis forense.
Partición system contiene los programas y configuraciones Inspección inicial del dispositivo
que el fabricante u operador móvil suministra inicialmente con
el teléfono System Settings -> System Documentar información del
fabricante
Partición del kernel : Montada habitualmente a partir de la
carpeta sys, contiene el kernel del sistema, así como los Documentar información relevante
módulos y librerías asociados a éste y los datos y archivos de del sistema
cada uno de los dispositivos, tales como la propia CPU
Sistema E/S Debido a la flexibilidad de Android podemos Conectar el dispositivo por medio
conectarle dispositivos de entrada o salida muy fácilmente y del cable de datos u otro medio
por diversos medios. aceptado por el equipo
directorio app / aplicaciones de sistema, tales como el
lanzador de aplicaciones, las aplicaciones de contactos y de Recolección de la evidencia volátil
telefonía
Extracción lógica
recuperación de archivos
eliminados
Extracción de metadatos del
archivo presentes en el sistema de
archivos
El directorio etc. ubican en el directorio /system/media/audio : Extracción de archivos protegidos
contiene las configuraciones estáticas del sistema, así como con contraseña
los sonidos de notificaciones y tonos de llamada que se Extracción de archivos
incluyen por defecto comprimidos
Extracción de archivos encriptados
Extraer información de directorio y
de llamadas
Información de mensajería
Información de localización
Partición data o directorio / contiene Los programas que
instala el usuario y sus datos, así como los datos de las Recolección evidencia no volátil
aplicaciones de sistema
Mediante la aplicación de análisis
Partición sd-ext : permite la instalación de aplicaciones en la forense, recolectar los datos
tarjeta de memoria System Settings -> Apps almacenados en el dispositivo
Almacenamiento externo extraíble y no extraíble Ruta:
/sdcard/… o utilizar el método Recolectar información de medios
Environment.getExternalStorageDirectory() para que el de almacenamiento externos
sistema nos indique la ruta exacta.
Fuente: Los autores.
66
La matriz Documentos de análisis forense vs Actividad hace referencia a los
documentos en los cuales sirvieron como base para sustentar todo el proceso del
análisis Forense.
Manual Código de
LEY 906 Procedimientos prácticas
Guide for
DE 2004 Cadena de para digital
ACTIVIDAD First
Capitulo Custodia - forensics.
Responders
V Fiscalía General González,
de la Nación David,
Fase1: Documentación Inicial X X X
Fase4: Análisis de
Relaciones X
53 CONGRESO DE LA REPUBLICA DE COLOMBIA. Ley 906 DE 2004. (1, septiembre, 2004). Por la cual se
expide el Código de Procedimiento Penal. Bogotá: El Congreso, 2004. Capitulo V.
54 FISCALÍA GENERAL DE LA NACIÓN. Resolución 6394 de 2004. (22, diciembre, 2004). por medio de la cual
se adopta el manual de procedimientos del Sistema de Cadena de Custodia para el Sistema Penal Acusatorio.
Bogotá: El Fiscal General De La Nación, 2004. Artículo 254.
67
Este manual contempla las normas, el proceso y los procedimientos del sistema de
cadena de custodia que permitirán alcanzar niveles de efectividad para asegurar las
características originales de los elementos materia de prueba o evidencias físicas
desde su recolección hasta su disposición final, dentro de una dinámica constante
de mejoramiento y modernización, con el fin único de satisfacer las necesidades y
expectativas de la administración de justicia para lograr una pronta y cumplida
justicia.
Con la implementación del manual se optimizarán los recursos que cada actor
dispone para la realización de sus funciones y la responsabilidad que le compete en
el Sistema de Cadena de Custodia.
La guía Electronic Crime Scene Investigation: A Guide for First Responders, Second
Edition55 está destinada a ayudar a las autoridades estatales y locales y otros
socorristas que puedan ser responsables de la preservación de una escena de
crimen electrónico y por reconocer, recopilar y salvaguardar la evidencia digital. No
es todas las situaciones inclusivas, sino direcciones encontradas en la escena del
crimen y evidencia electrónica digital.
Todas las escenas de los crímenes son únicas y de la sentencia del primer nivel de
respuesta, los protocolos de la agencia, y la tecnología prevaleciente todos deben
ser considerados en la aplicación de la información en esta guía. Los primeros en
responder a la escena del crimen electrónico deben ajustar sus prácticas como las
circunstancias, incluyendo el nivel de experiencia, condiciones y disposición
equipos de orden.
Las circunstancias de cada escena del crimen y federales, estatales, y las leyes
locales pueden dictar actos o un orden determinado de acciones distintas de las
descritas en esta guía. Los primeros en responder deben estar familiarizados con
toda la información en esta guía y el cumplimiento de sus deberes y
responsabilidades como las circunstancias lo exijan.
68
para adquisición, análisis y reporte de evidencia, colaboración con otros grupos de
investigación, gestión de casos, soporte a la fuerza de la ley, desarrollo de políticas
de seguridad para respuesta a incidentes y plan preventivo y de continuidad.
69
5. ENTIDADES COLOMBIANAS QUE REQUIEREN DE LA AUDITORÍA DEL
ANÁLISIS FORENSE EN DISPOSITIVOS MÓVILES BASADOS EN
TECNOLOGÍA ANDROID
DE LA APLICACIÓN
TIPO DE
ENTIDADES QUIENES SON DEL ANÁLISIS URL
ENTIDAD
FORENSE
Es un organismo La Fiscalía General de LOMBO, Mauricio. CTI:
independiente la Nación cuenta con Avances en tecnología -
adscrito a la Rama el Grupo TRAS EL RASTRO DE
Judicial del Poder Especializado de LA EVIDENCIA
Público, es una Informática Forense DIGITAL. En: Huellas de
entidad que nació con adscrito a su Policía la Fiscalía General de la
la Constitución Judicial, es decir, el Nación. Julio 17 de
Política de 1991, está Cuerpo Técnico de 2007. No. 55. ISSN 1657
obligada a adelantar Investigación, para el – 6829, Pag. 19. [en
el ejercicio de la desarrollo de sus línea, Consultado 5 de
acción penal y actividades tienen noviembre
realizar la laboratorios de 2014].Disponible en
FISCALIA
investigación de los cómputo forense a Internet:<URL:
GENERAL
PÚBLICA hechos que revistan nivel nacional que http://www.fiscalia.gov.c
DE LA
las características de cuentan con la o/en/wp-
NACION
un delito que lleguen tecnología y el capital content/uploads/2012/0
a su conocimiento por humano necesario 2/Huellas-55.pdf >
medio de denuncia, para hallar evidencias
petición especial, digitales en procesos
querella o de oficio, judiciales en el que
siempre y cuando esté vinculado
medien suficientes cualquier dispositivo
motivos y que funcione
circunstancias digitalmente.
fácticas que indiquen
la posible existencia
del mismo.
Fuente: Las Autoras
70
Tabla Nº 7. Entidades que realizan Análisis Forense en Colombia (Continuación)
71
Tabla Nº 7. Entidades que realizan Análisis Forense en Colombia (Continuación)
DE LA APLICACIÓN
TIPO DE
ENTIDADES QUIENES SON DEL ANÁLISIS URL
ENTIDAD
FORENSE
Es el máximo La Procuraduría PROCURADURIA
organismo del General de la Nación, GENERAL DE LA
Ministerio Público, cuenta con una NACION. Contrato de
conformado además Dirección Nacional de Software y Hardware
por la Defensoría del Investigaciones que conforma el
Pueblo y las Especiales, presta laboratorio forense. [en
personerías. Es su asesoría y línea, Consultado 5 de
PROCURA obligación velar por el colaboración técnico- noviembre
-DURIA correcto ejercicio de científica que 2014].Disponible en
GENERAL PÚBLICA las funciones requieren las Internet : < URL:
DE LA encomendadas en la diferentes www.procuraduria.gov
NACIÓN Constitución y la Ley a dependencias de la .co/descargas/.../licitac
servidores públicos. entidad y demás ion102009_contrato06
órganos que 1.doc>
conforman en
Ministerio Público, a su
cargo se encuentra el
laboratorio de
informática forense.
Es la entidad SISTEMA
encargada de la ELECTRONICO DE
protección de los CONTRATACIÓN
derechos con los que Cuenta con un PÚBLICA. Detalle del
cuentan los Laboratorio forense Proceso Número SIC No
SUPERIN-
consumidores, que apoya las visitas 54 DE 2014 de la
TENDENCI
proteger la libre que practica la Superintendencia de
A DE Industria y Comercio.
competencia autoridad superintendencia, en
INDUSTRI PÚBLICA Consultado 12 de
nacional de la la verificación de la noviembre de 2014.
AY
propiedad industrial y información de los Disponible en Internet:
COMERCI
defiende los derechos equipos de cómputo <URL:
O
fundamentales de las entidades objeto https://www.contratos.go
relacionados con la de supervisión. v.co/consultas/detallePro
correcta ceso.do?numConstancia
administración de =14-9-390820>
datos personales.
ADALID Security,
ADALID es la única En su portafolio de Legal & Forensic
compañía de América servicios ofrece los de Corporation. Portafolio
ADALID Latina con un portafolio peritaje informático de Servicios Forenses.
Security, diversificado que para ello cuenta con [en línea, Consultado 5
Legal & incluye tres marcadas Laboratorio de de noviembre
PRIVADA
Forensic líneas de negocio: Informática Forense y 2014].Disponible en
Corporatio Seguridad de la la recolección, análisis, Internet : < URL:
n Información, Servicios recuperación, http://www.adalid.com/
Legales de Alta presentación y espanol/servicios_fore
Tecnología y Sistemas controversia de nses.html#book/page/
Forenses. pruebas digitales. 1>
Fuente: Las Autoras
72
Tabla Nº 7. Entidades que realizan Análisis Forense en Colombia (Continuación)
DE LA APLICACIÓN
TIPO DE
ENTIDADES QUIENES SON DEL ANÁLISIS URL
ENTIDAD
FORENSE
Digital Center es una DIGITAL CENTER.
empresa Colombiana Nuestros Servicios.
líder en la [en línea,
recuperación Cuentan con un Consultado 5 de
profesional de datos laboratorio de noviembre
perdidos así como en recuperación de datos 2014].Disponible en
el borrado de informáticos dentro de Internet : < URL:
DIGITAL información de sus principales http://www.digitalrec
PRIVADA
CENTER manera segura, servicios ofrece Back overy.com.co/servici
nuestra empresa está Up en sitio o remoto, os.htm>
ubicada en Medellín, Análisis Forense,
con 14 años de Borrado total y
experiencia permanente de
ofreciendo sus archivos, Peritaje
servicios para toda Informático y Reciclaje
Colombia y el mundo. de medios
Empresa nacional de Ofrecen la tecnología INVESTIGACIONES
alcance y el personal ESTRATEGIAS &
internacional, especializado para ASOCIADOS LTDA.
especializada en la realizar la Laboratorio Forense.
asesoría y recuperación, [en línea,
consultoría en preservación y Consultado 5 de
INVESTIGA- investigación decodificación de noviembre
CIONES criminal, fraude evidencia digital 2014].Disponible en
ESTRATEGI- empresarial, obtenible de equipos Internet : < URL:
PRIVADA
CAS & peritajes, auditoría de cómputo, teléfonos http://investigacione
ASOCIADOS contable e móviles, dispositivos sestrategicas.com/?
LTDA informática forense y de almacenamiento y page_id=340>
la usurpación de de contenidos en
marcas. servicios de Internet e
Intranet como correos
electrónicos, redes
sociales y páginas
web.
Fuente: Las Autoras
57ASOBANCARIA. Semana Económica. Ed. 809. 5 de julio de 2011. p.7. [en línea, Consultado 15 de noviembre
2014].
Disponible en Internet : < URL: http://www.asobancaria.com/portal/pls/portal/docs/1/1384048.PDF>
73
Tabla Nº 7. Entidades que realizan Análisis Forense en Colombia (Continuación)
TIPO DE DE LA APLICACIÓN DEL
ENTIDADES QUIENES SON
ENTIDAD ANÁLISIS FORENSE URL
Ejercer las funciones de Superintend
supervisión y encia de
jurisdiccionales sobre el sociedades[
sector real de la economía y en línea,
demás personas Consultado
La Superintendencia de
determinadas por la ley, en
Sociedades, conserva
atender la insolvencia, noviembre
información de sus
resolver los conflictos 2014].Dispo
usuarios (Ciudadano,
empresariales, los trámites nible en
SUPERIN- Proveedor, empleado);
societarios y expedir y Internet :
TENDENCIA esta información ha sido
DE PUBLICA
divulgar la doctrina jurídica y
recolectada en el http://www
contable, con el fin de .supersocie
SOCIEDA- desarrollo de sus
contribuir a la preservación dades.gov.c
DES funciones públicas, en el
del orden público
económico, aplicando los
momento que como o/superinte
usuario ha tenido contacto ndencia/mis
principios de transparencia,
con la Superintendencia ion-y-
de buen gobierno y
de Sociedades.
atendiendo los vision/Pagin
compromisos con el as/default.a
desarrollo sostenible
spx
propios del estado social de
derecho.
Adelantar los procesos de Superintend
intervención forzosa encia de
Ejerce la Inspección,
administrativa para salud[en
Vigilancia y Control sobre
administrar o liquidar las línea,
las actividades
entidades vigiladas que Consultado
concernientes a la
cumplen funciones de en
prestación de los Servicios
Entidades noviembre
de Salud en los Seguros
Administradoras de 2014].Dispo
Sociales Obligatorios,
Planes de Beneficios de nible en
asistencia pública, atención
SUPERIN- Salud - EAPB o las que Internet :
médica a cargo de
TENDENCIA PUBLICA hagan sus veces,
entidades creadas o
DE SALUD prestadores de servicios http://www
sostenidas por el estado; y
de salud de cualquier .supersalud.
sobre la liquidación, recaudo
naturaleza y monopolios
y transferencia de los gov.co/supe
rentísticos cedidos al
recursos fiscales que se rsalud/Defa
sector salud no asignados
aplican a tales actividades, ult.aspx?tab
a otra entidad, así como
ampliando los sujetos a los
Prestadores Públicos,
intervenir técnica y id=74
administrativamente las
Entidades de Asistencia.
Direcciones Territoriales
de Salud.
Fuente: Las Autoras
74
Tabla Nº 7. Entidades que realizan Análisis Forense en Colombia (Continuación)
DE LA APLICACIÓN
TIPO DE
ENTIDADES QUIENES SON DEL ANÁLISIS
ENTIDAD URL
FORENSE
La Superintendencia Superinten
Financiera de Colombia, es un dencia
organismo técnico adscrito al financiera[
Ministerio de Hacienda y en línea,
Crédito Público. Su misión es Consultad
Utiliza el análisis forense o en
preservar la confianza pública y
SUPERIN- para la intervención noviembre
la estabilidad del sistema
TENDENCIA financiera por medio de 2014].Disp
PUBLICA financiero; mantener la
FINANCIE- metodologías para las onible en
integridad, la eficiencia y la
RA Entidades Financieras Internet :
transparencia del mercado de
que así lo requieran. https://w
valores y demás activos
financieros; y velar por el ww.superfi
respeto a los derechos de los nanciera.g
consumidores financieros y la ov.co/jsp/i
debida prestación del servicio. ndex.jsf
Unidad de
La UIAF es la unidad de Informació
inteligencia financiera y n y Análisis
La UIAF se encarga de Financiero
económica de Colombia,
centralizar, sistematizar [en línea,
dedicada a la protección de la
y analizar datos Consultad
defensa y la seguridad nacional
relacionados con o en
desde una perspectiva
operaciones de Lavado noviembre
económica. La unidad cumple
de Activos, es decir, la 2014].Disp
UNIDAD DE su misión mediante la
Unidad es un filtro de onible en
INFORMA- realización de inteligencia
información que se Internet :
CIÓN Y estratégica y operativa, basada
PUBLICA apoya en tecnología https://w
ANÁLISIS en la tecnología y la innovación.
para consolidar y ww.uiaf.go
FINANCIE- Dirigido a prevenir y detectar
agregar valor a los datos
RO UIAF las actividades asociadas con
recolectados, esto le
v.co/index.
el lavado de dinero, sus delitos php?idcat
permite detectar
precedentes y la financiación egoria=12
operaciones que pueden
del terrorismo, en última
instancia, la generación y
estar relacionadas con el 042
delito de Lavado de
difusión de información útil para
Activos.
las autoridades para llevar a
cabo la confiscación de bienes.
75
6 GUÍA PARA LA AUDITORÍA DEL ANÁLISIS FORENSE EN DISPOSITIVOS
MÓVILES BASADOS EN TECNOLOGÍA ANDROID PARA LA
LEGISLACIÓN COLOMBIANA
76
7. VALIDACIÓN DE LA GUIA DE AUDITORÍA
NORMA ISO -
VALIDACIÓN GUIA DE AUDITORÍA
INTERNACIONAL 19011
Se diseña el papel de trabajo
77
Tabla 8 Validación de la guía (continuación)
78
Tabla 8 Validación de la guía (continuación)
79
8. CONCLUSIONES
80
BIBLIOGRAFIA
ARROYO NATALIA. Información en el Móvil. 1 ed. Editorial UOC, 2011. ISBN: 978-
84-9029-847-3
BRIAN BARRETT. Sprint's HTC Evo, the First Ever 4G Phone: Meet the New
Terrific. 23/03/2010. [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible
en internet: <URL: www.gizmodo.com/5500343/print-htc-the-firts-ever-4g-phone-
meet-the-new-terrific >
COOPER, Martín. Biografía del Creador del primer teléfono móvil. [En Línea].
Bogotá: [citado septiembre 20 de 2014]. Disponible en internet: <URL:
www.ingeniatic.eultt.upm.es/index.php/personajes/ítem/321-cooper-martin>
81
FRANKLIN. Yaqueline. Tesis de Investigación. Tomado de Dankhe. Diferentes
diseños. Tipos de investigación. Colombia: McGraw-Hill. (1986). [En Linea]. Bogotá:
[citado octubre 20 de 2014]. Disponible en internet: <URL:
http://tesisdeinvestig.blogspot.com/2011/05/tipos-de-
investigacion.html?showComment=1371610247620#c4929994189697217530>
GIRONES. Jesús Tomás. El Gran Libro de Android. 3ra. Edición 2013. Editorial
Marcambo S.A. IBSN 978.84.267.1976-8.
82
U.S. DEPARTMENT OF JUSTICE OFFICE OF JUSTICE PROGRAMS.
ELECTRONIC CRIME SCENE INVESTIGATION: A Guide for First Responders,
Washington DC: U.S. National Institute of Justice, 2001.
83
ANEXO A.
GUIA DE AUDITORÍA DEL ANALISIS FORENSE EN DISPOSITIVOS MOVILES
BASADOS EN TECNOLOGIA ANDROID PARA LA LEGISLACIÓN
COLOMBIANA
1. OBJETIVO
Estandarizar el procedimiento de auditoría que se realiza en el análisis forense
realizado a los dispositivos móviles de tecnología Android bajo la normatividad y
legislación colombiana.
2. ALCANCE
Aplica a los auditores que en un determinado momento deban poner en práctica sus
conocimientos frente al análisis forense.
3. DEFINICIONES
58 CONGRESO DE LA REPUBLICA DE COLOMBIA. Ley 600 DE 2000. (24, julio, 2000). Por la cual se expide
el Código de Procedimiento Penal. Bogotá: El Congreso, 2000. Articulo VII.
59 ANGULO ARANA, Pedro. 2006. La investigación del delito en el Nuevo Proceso Penal. Lima, Gaceta Jurídica
84
quien a través ha reglamentado la cadena de custodia, a través de un manual
en donde precisa el conjunto de técnicas que rodea la cadena de custodia.60
60 FISCALÍA GENERAL DE LA NACIÓN. Resolución 6394 de 2004. (22, diciembre, 2004). por medio de la cual
se adopta el manual de procedimientos del Sistema de Cadena de Custodia para el Sistema Penal Acusatorio.
Bogotá: El Fiscal General De La Nación, 2004. Artículo 254.
61 Congreso De La Republica De Colombia. Ley 600 DE 2000. (24, julio, 2000). Por la cual se expide el Código
85
Law Enforcement”, en la cual indica el manejo de la evidencia digital, bajo qué
procedimientos y técnicas, etc., donde se resaltan, entre muchas otras cosas,
tres principios esenciales en el manejo de la evidencia digital: Las acciones
tomadas para recoger la evidencia digital no deben afectar nunca la integridad
de la misma. Las personas encargadas de manejar y recoger evidencia digital
deben ser entrenadas para tal fin. Las actividades dirigidas a examinar,
conservar o transferir evidencia digital deben ser documentadas y reservadas
para una futura revisión.
Así mismo, nace como una rama de las ciencias forenses, una disciplina auxiliar
a la justicia, que consiste en la aplicación de técnicas que permiten adquirir,
validar, analizar y presentar datos que han sido procesados electrónicamente y
guardados en un medio computacional.
Para el Dr. Julio Téllez Valdés, el delito informático lo define como “una conducta
típica, antijurídica y culpable en que se tiene a las computadoras como
instrumento o fin”, es decir, como instrumento para cometer cualquiera de los
delitos ya tipificados, o como un fin en sí mismo. Por ejemplo, en una estafa a
través de sistemas informáticos, la informática es el medio; en cambio, en el
caso de la distribución de virus informáticos, la informática es el fin.
86
localización exacta, numeración dada según el contexto de la escena y todos
aquellos datos que puedan coadyuvar a identificar el elemento físico de prueba.
63FISCALÍA GENERAL DE LA NACIÓN. Resolución 2869 de 2002. (05, noviembre, 2002). Por medio de la cual
se adopta el manual de procedimientos del sistema de cadena de custodia. Bogotá: El Fiscal General De La
Nación, 2002.
87
4. DESARROLLO
DESARROLLO DE LA AUDITORIA
INICIO
Establecer el
programa de
auditoría
Programación de las
pruebas de
auditoria
Realización de las
actividades de
auditoria
Organización de los
papeles de trabajo
Analizar la
información
Elaboración del
Elaboración del
informe de
informe ejecutivo
hallazgos y
recomendaciones
ACTIVIDADES
FIN
88
Tabla1 Actividades Auditoría al análisis forense en dispositivos móviles
89
ANEXO B.
PAPEL DE TRABAJO 1. PLAN DE AUDITORÍA
90
ANEXO C.
PAPEL DE TRABAJO 2. CRONOGRAMA Y RECURSOS DE LA AUDITORÍA
91
92
ANEXO D.
PAPEL DE TRABAJO 3. MEMORANDO COMUNICADO DE AUDITORÍA
93
ANEXO E.
PAPEL DE TRABAJO 4. ACTA APERTURA AUDITORÍA
94
ANEXO F.
PAPEL DE TRABAJO 5. LISTA DE CHEQUEO DOCUMENTACION INICIAL
95
ANEXO G.
PAPEL DE TRABAJO 6. PROGRAMACION PRUEBAS AUDITORÍA
96
ANEXO H.
PAPEL DE TRABAJO 7. ENTREVISTA
97
ANEXO I.
PAPEL DE TRABAJO 8. DISEÑO PRUEBAS AUDITORÍA
98
ANEXO J.
PAPEL DE TRABAJO 9. PLANILLA DE PUNTOS MEJORABLES
99
ANEXO K.
PAPEL DE TRABAJO 10. INFORME DE AUDITORÍA
100