La Informática Forense en Dispositivos Android

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 15

See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/316427536

La informática forense en dispositivos Android

Article · May 2016

CITATIONS READS
3 2,084

2 authors:

Johan Smith Rueda-Rueda Dewar Rico-Bautista


Autonomous University of Bucaramanga Universidad Francisco de Paula Santander
17 PUBLICATIONS   26 CITATIONS    59 PUBLICATIONS   99 CITATIONS   

SEE PROFILE SEE PROFILE

Some of the authors of this publication are also working on these related projects:

Center of Excellence and Adoption on Internet of Things (CEA-IoT) View project

Smart Rural Life: Estrategias apoyadas en IoT para el desarrollo de zonas rurales orientadas a la construcción de paz. View project

All content following this page was uploaded by Johan Smith Rueda-Rueda on 23 April 2017.

The user has requested enhancement of the downloaded file.


La informática forense en dispositivos Android
Rico Bautista, Dewar; Rueda Rueda, Johan S.

REVISIÓN

LA INFORMÁTICA FORENSE EN DISPOSITIVOS ANDROID

THE COMPUTER FORENSIC IN ANDROID DEVICE

MSc. Dewar Rico Bautista a; Ing. Johan Smith Rueda Rueda b

a
Universidad Francisco de Paula Santander Ocaña, Grupo de Investigación INGAP, Vía
Acolsure Sede el Algodonal, Ocaña - Norte de Santander, Colombia, [email protected]
b
Universidad Francisco de Paula Santander Ocaña, Grupo de Investigación INGAP, Vía
Acolsure Sede el Algodonal, Ocaña - Norte de Santander, Colombia, [email protected]

Fecha de recepción: 05-04-2016 Fecha de aprobación: 11-05-2016

Resumen: En este artículo se estudian los principales conceptos de la informática forense. Qué
es la informática forense, cuáles son sus objetivos y sus principios. También se mencionan
algunas técnicas anti-forenses, el manejo de la evidencia digital, los modelos forenses y la
legislación colombiana relacionada con la evidencia digital. Se hace énfasis en las buenas
prácticas para la realización de un análisis forense.
Palabras clave: Análisis forense digital móvil, Dispositivos Android, Estado del arte,
Informática forense.

Abstract: In this state of the art the main concepts of computer forensic are studied. What is the
computer forensic, what are its target and principles. Some things mentioned below: anti-forensic
techniques, forensic models and Colombian legislation related to digital evidence. Emphasis on
good practices for conducting a forensic analysis is done.
Keywords: Android Device, Forensic Computer, Mobile Forensic Analysis, State of the Art.

1. INTRODUCCIÓN esta razón, las actividades cotidianas de las


personas como revisar correos
La evolución de los dispositivos móviles electrónicos, redes sociales, sitios de
ha aumentado considerablemente en los interés, incluso la banca online, han pasado
últimos años, ha pasado de ser simples a realizarse en dichos dispositivos. Éstos,
celulares a computadores de mano. Por se han convertido en una extensión de la

INGENIO UFPSO – Vol. 09 – Ene-Junio 2016 - p-ISSN 2011-642X e-ISSN 2389-864X 21


La informática forense en dispositivos Android
Rico Bautista, Dewar; Rueda Rueda, Johan S.

vida diaria de la personas, tanto personal riguroso de aplicaciones, lo que permitió el


como laboralmente. creciente volumen se software malicioso.
Android brinda mucho control a las
Con el aumento del uso del dispositivos aplicaciones sobre las funcionalidades del
móviles, el mercado destinado a estas dispositivo, y deja en manos del usuario la
terminales ha crecido fuertemente: los decisión de otorgarla o no los permisos, de
servicios ofrecidos, las aplicaciones cada esta forma el riesgo es mayor (Symantec
día son más numerosas. Ya se puede estar Corp., 2011).
conectado desde cualquier lugar, a la hora
que se desee. Pero estos beneficios no son Android sigue siendo la plataforma más
gratis. Esto ha traído grandes beneficios popular entre los usuario y también entre
para los usuarios por la comodidad; para los cibercriminales, siendo el principal
las empresas porque pueden ofrecer un blanco entre todas las plataformas móviles.
mejor servicio, pero también, llama la Según Kaspersky Security Network, el
atención de personas y cibercriminales que 99% de las muestras de malware actuales
han visto un gran mercado y que en los analizadas por dicho laboratorio de
últimos años su explotación ha estado en seguridad están dirigidas a dispositivos
aumento, sacando provecho para sus móviles se han desarrollado para esta
intereses personales o económicos a través plataforma. También aclara que hay dos
de los diferentes delitos informáticos razones principales por las que los
(Congreso de la República de Colombia, cibercriminales están interesados en
2009). Los dispositivos móviles están Android: su popularidad y su
expuestos a un sinnúmero de peligros, al funcionalidad (Kaspersky Lab, 2013).
igual que los computadores y otros equipos
Estudios realizados recientemente en
que estén conectados a la red. Pero el
hecho de estar desconectado no te blinda España por IAB Spain, da como resultados
de las amenazas informáticas (Jaramillo, que el 100% de los encuestados usan
teléfono móvil, que otros dispositivos
2011).
móviles van en aumento como las tabletas
Los peligros a los que están expuesto los (de 43 % en el 2013 a 57 % en 2014) y los
usuarios de un dispositivo móvil son los e-reader (se ha mantenido constante en los
mismos que para cualquier usuario de otro últimos dos años con el 23%). Cada vez se
equipo informático. Algunas de estas ve el uso de ‘smartphone’, con un 87 % del
amenazas son: malware, spam, phishing, uso total de móviles, los equipos móviles
robo o extravío físico del dispositivo (Eset 3G y los básicos van disminuyendo. Una
, 2012) - (Jakobsson & Ramzan, 2008). de las razones del aumento de los teléfonos
inteligentes es el bajo costo de muchos
Un informe de Symantec sobre modelos (IAB Spain, 2014).
plataformas móviles y su seguridad,
describe algunos problemas relacionados En Colombia, un estudio realizado por el
con el sistema operativo Android: Google Ministerio de las TIC afirma que el 42 %
no tiene un modelo de certificación de las personas cuenta con teléfono

INGENIO UFPSO – Vol. 09 – Ene-Junio 2016 - p-ISSN 2011-642X e-ISSN 2389-864X 22


La informática forense en dispositivos Android
Rico Bautista, Dewar; Rueda Rueda, Johan S.

inteligente, y que el 34 % accede a internet Por eso en necesario es la implementación


desde su dispositivo móvil. En cuanto al de políticas que ayuden a mitigar estos
tipo de dispositivo móvil que usan para ataques, la sensibilización a los usuarios y,
acceder a Internet, el computador conserva en caso tal que ocurra una intrusión poder
el primer lugar, procedido por la tableta establecer los hechos relevantes en la
(MinTIC & Ipsos Napoleón Franco, 2013). investigación, y esclarecer los hechos. Es
allí donde entra la informática forense.
En 2015, de los usuarios de Internet en
Colombia el 81 % se conecta a través de su
celular, teniendo un incremento del 41 %
con respecto al periodo 2012-2013. El 55 2. INFORMÁTICA FORENSE
% de los usuarios usan los teléfonos La computación o informática forense es
inteligentes y las tabletas, el 37 % solo usa un área que se ha venido desarrollando
teléfonos inteligente, el 4 % tabletas desde la última década del siglo XX. Esta
solamente y el 4 % de los usuarios solo área es el resultado de una necesidad:
utiliza las computadoras de escritorio obtener una nueva fuente de material
(HEADWAY Digital, 2015). probatorio. Las escenas criminales no solo
En cuanto a los sistemas operativos para se limitaba a pruebas balísticas, muestras
de sangre, sino que también, los elementos
dispositivos móviles, en el segundo
trimestre del 2015, el mercado a nivel electrónicos podrían brindar pistas, ayudar
mundial está dominado por Android con el a formalizar una hipótesis y llevar a
resolver un caso judicial.
82.8 %, seguido de los sistemas operativos
de Apple con un 13.9 %, seguido por Existen muchas definiciones en el tema de
Windows Phone y Blackberry OS (IDC la informática forense, y surgen a la par
Analyse the Future, 2015). En Colombia se términos que la describen de una manera
mantiene la tendencia mundial, Android más general y otras más específicas. La
tiene el 78 %, iOS con el 15 % y otros computación forense (Computer
sistemas operativos tienen el 7 % Forensics) se puede interpretar de dos
(HEADWAY Digital, 2015). maneras: «1. Disciplina de las ciencias
El amplio crecimiento de las aplicaciones forenses, que considerando las tareas
propias asociadas con la evidencia, procura
para este sistema operativo es uno de sus
puntos a favor, según Google Inc. son un describir e interpretar la información en los
medios informáticos para establecer los
poco más de 1,3 millones (Google Inc. ,
2015). hechos y formular las hipótesis
relacionadas con el caso; o 2. Como la
Con el aumento del mercado móvil, la disciplina científica y especializada que
cantidad y la importancia de la entendiendo los elementos propios de la
información que se confía a estos tecnologías de los equipos de computación
dispositivos también crecerán los ataques, forense ofrece un análisis de la
intrusiones y demás peligros informáticos.

INGENIO UFPSO – Vol. 09 – Ene-Junio 2016 - p-ISSN 2011-642X e-ISSN 2389-864X 23


La informática forense en dispositivos Android
Rico Bautista, Dewar; Rueda Rueda, Johan S.

información residente en dichos equipos» Independientemente del tipo de análisis, la


(Cano, 2009). informática forense tiene tres objetivos: 1.
La compensación de los daños causados
Otra definición que puede describir lo que por los criminales o intrusos; 2. la
es un análisis forense es: enfoque científico persecución y procesamiento judicial de
que aprovecha efectos electromagnéticos los criminales y 3, la creación y aplicación
para «recolectar, analizar, verificar y de medidas para prevenir casos criminales
validar todo tipo de información existente, (Zuccardi & Gutiérrez, 2006). Y para
o información que se considerada como lograr estos objetivos, la principal forma
borrada» usando un conjunto de es la recolección de evidencia (Wang,
herramientas y técnicas (Arias Chaves, Cannady, & Rosenbluth, 2005).
2006). Esta área, al tener un enfoque
científico cuenta con principios que rigen En el proceso del análisis forense, en las
la forma como se debe llevar dicho metodologías que se utilizan, se tienen en
análisis, para garantizar su veracidad e cuenta unas directrices que han sido el
integridad, ver Fig. 1. Para esta finalidad resultado de estudios para garantizar que el
se creó la IOCE (International proceso sea de calidad y cumpla con un
Organization of Computer Evidence) alto grado de integridad, veracidad e
(Rodríguez & Doménech, 2011). idoneidad. Para apoyar lo anteriormente
mencionado y, salvaguardando el objetivo
principal de la informática forense, que es
el de brindar pruebas ante un juzgado se ha
creado una principios generales que
pueden ser aplicadas en cualquier proceso
de informática forense. En la referencia
(Cano, 2006) define estos principios como:

1. Esterilidad de los medios


informáticos de trabajo
2. Verificación de las copias en medios
informáticos
3. Documentación de los
Figura. 1 Dominio de la informática forense.
procedimientos, herramientas y
Fuente: (Broucek & Turner, 2006) resultados sobre los medios
informáticos analizados.
Se puede encontrar diferentes tipos análisis 4. Mantenimiento de la cadena de
forenses: análisis forense de sistemas custodia de las evidencia digitales
(servidores, estaciones de trabajo), análisis 5. Informe y presentación de resultados
forense de redes (cableadas, wireless, de los análisis de los medios
informáticos.
Bluetooth, etcétera) y análisis forense de 6. Administración del caso realizado
sistemas embebidos (móviles, PDS, entre 7. Auditoría de los procedimientos
otros) (Rifà, Serra, & Rivas, 2009). realizados en la investigación.

INGENIO UFPSO – Vol. 09 – Ene-Junio 2016 - p-ISSN 2011-642X e-ISSN 2389-864X 24


La informática forense en dispositivos Android
Rico Bautista, Dewar; Rueda Rueda, Johan S.

2.1. Técnicas anti-forenses

Siguiendo con la referencia (Cano, 2006), Otro factor que incide en la informática
va más allá de describir dichos principios. forense, y hacen de esta un área de mucho
Afirma que, la informática forense sin las cuidado son una serie de técnicas que
herramientas es un contexto teórico de buscan obstruir la labor de los peritos
procedimientos y formalidades legales. El informáticos, las técnicas anti-forenses.
proceso forense debe ir acompañado de Para definir qué es una técnica anti-
dos elementos: las herramientas, se debe forense, en la referencia (Cano, 2007) se
validar la confiabilidad de los resultados propone la siguiente definición:
generados por las mismas y, como «Cualquier intento exitoso efectuado por
segundo, la formación y el conocimiento un individuo o proceso que impacte de
del investigador que las utiliza. manera negativa la identificación, la
disponibilidad, la confiabilidad y la
Unas de las situaciones que complica en relevancia de la evidencia digital en un
análisis forense en la heterogeneidad de proceso forense» se podría resumir en la
las características de los dispositivos siguiente frase: «Haz que sea difícil para
móviles, ya que sus fabricantes (de ellos encontrarte e imposible demostrar
hardware y software) determinan sus que te encontraron» (Berintato, 2007).
propias características como sistema
operativo, diseños de memoria y estructura Tradicionalmente las técnicas anti-forenses
de almacenamiento que van variando de se han clasificado en dos tipos: técnicas
una marca a otra, y de un modelo a otro anti-forenses transitorias y las técnicas
(Agualimpia & Rodrigo) - (Santes, 2009). anti-forenses definitivas. En la técnica anti-
Pero, así los cambios en los dispositivos y forense transitoria, se busca dificultar el
en las versiones de Android son muy análisis con una herramienta o
variados, la plataforma tiene características procedimiento específico, pero no lo hace
únicas (Jaramillo, 2011). imposible de analizar. Algunos ejemplos
son: fuzzing, abuso de los sistemas de
Otras características que varía en la ficheros con el fin de crear mal
diversidad de cables, interfaces y factores funcionamiento o para explotar
de forma. Este variabilidad ha generado vulnerabilidades de las herramientas
que sea difícil manejar una forma general usadas por el analista. La técnica anti-
de hacer el análisis, hoy en día, existen forense definitiva va más allá, busca
paquetes de herramientas con variedad de arruinar las pruebas por lo que es
cables, y otra clase se hardware y imposible adquirirlas. Algunos ejemplos
diferentes software para realizar dichos son: cifrado y borrado seguro (Maggi,
análisis (Vidas, Zhang, & Christin, 2011). Zanero, & Iozzo, 2008).

Ryan Harris, citado en (Botero, 2009),


propone la siguiente clasificación de las
técnicas anti-forenses:

INGENIO UFPSO – Vol. 09 – Ene-Junio 2016 - p-ISSN 2011-642X e-ISSN 2389-864X 25


La informática forense en dispositivos Android
Rico Bautista, Dewar; Rueda Rueda, Johan S.

 Desctrucción de la evidencia tecnologías de la Comunicación de España


 Ocultar la evidencia como todos aquellos datos que «de manera
 Eliminación de las fuentes de digital se encuentran almacenados o fueron
evidencia transmitidos mediante equipos
 Falsificación de la evidencia informáticos y que son recolectados
mediante herramientas técnicas
Algunas de las técnicas que pueden ser especializadas empleadas por un perito en
usadas en cada fase la clasificación una investigación informática». Cuya
planteada por Harris: Destrucción de la funcionalidad es «servir como prueba
evidencia: eliminar o limpiar; Ocultar la física (por encontrarse dentro de un
evidencia: FIST (Filesystem Insertion & soporte) de carácter intangible (no
Subversion Technique), salck space, modificables) en las investigaciones
estenografía, cifrados y comprimidos y informáticas», Ver Fig. 2.
ADS (Alternate Data Streams);
Eliminación de las fuentes de evidencia:
sam juicer, syscall proxying, rexec, XSH
(the exploit shell), Ftrans, booteable live
CD & USB; Falsificación de la evidencia:
cambiar marcas de tiempo, file carving,
colisiones hash, rooted box (Cifuentes,
2010) (Garfinkel, 2007) (Jahankhani,
Anastasios, & Revett, 2007) .

Algunos de los objetivos que se busca


alcanzar con el uso de técnicas anti-
forenses son: limitar la detención de un
Figura. 2: Ciclo de la evidencia digital.
evento que ya ha ocurrido, distorsionar Fuente: (Ghosh, 2004)
información residente en el sitio,
incrementar tiempo requerido para
investigar el caso, generar dudas en Existen 4 criterios que determinan la
informe forense, engañar y limitar la admisibilidad de la evidencia: la
operación de herramientas forenses, autenticidad, la confiabilidad, la
eliminar rastros que pudieron haber completitud o suficiencia, y el apego y
quedado luego de los hechos realizados respeto por las leyes y reglas del poder
(Álvarez & Guamán, 2008). judicial (Zuccardi & Gutiérrez, 2006) -
(Torres D. R.). El perito informático debe
tener el mayor cuidado en la recolección,
el análisis, el tratamiento de la evidencia
2.2. Evidencia digital
digital, siguiendo la cadena de custodia ya
La evidencia digital o electrónica es que es fundamental en la ciencia forense;
definida por el Instituto Nacional de un error en el manejo de la evidencia

INGENIO UFPSO – Vol. 09 – Ene-Junio 2016 - p-ISSN 2011-642X e-ISSN 2389-864X 26


La informática forense en dispositivos Android
Rico Bautista, Dewar; Rueda Rueda, Johan S.

puede poner en duda toda la interpretación  Al manejar evidencia electrónica se


realizada, y como consecuencia su poca debe aplicar todos los principios
credibilidad en un proceso judicial. procedimentales y forenses
generales.
Unos de los principios que se tienen en  El proceso para obtener la evidencia
cuenta en la ciencia forense, es el principio no debe modificarla.
de Locard: «Cualquier contacto o  Quienes accedan a la evidencia
digital original deben ser
presencia deja algún vestigio y se lleva
especialistas, entrenados y
otros», ver Fig. 3. Este principio tiene calificados para dicho propósito.
validez en el ámbito informático y las  Toda actividad referente a la
evidencias electrónicas (Pagès López, adquisición, acceso, almacenamiento
2013). o transferencia de la evidencia
electrónica, debe ser totalmente
documentada, almacenada y debe
estar disponible para su revisión.
 Los peritos informáticos son los
responsables de las acciones que se
lleven a cabo respecto a la evidencia
electrónica siempre y cuando esta,
esté bajo su cuidado.

También la IOCE menciona una lista de


cualidades que se debe en poner en
práctica en el peritaje, estos son:
Figura.3: Principio de Locard, versión digital.
Fuente: (Calzada Pradas, 2004) objetividad, autenticidad, conservación,
legalidad, idoneidad, inalterabilidad y
documentación (Aguilar, 2013).
Por esta razón, uno de los muchos
cuidados o buenas prácticas que se debe En la legislación colombiana, le evidencia
tener en cuenta en el proceso del manejo digital es aceptada. Leyes como la ley 527
de pruebas es la etapa de recolección de la de 1999 «por medio de la cual se define y
evidencia. Por ejemplo, se recomienda reglamenta el acceso y uso delos mensajes
aislar el teléfono móvil de la red o vigilar de datos, del comercio electrónico y de las
no contaminar o perder registros firmas digitales, y se establecen las
importantes para su posterior análisis entidades de certificación y se dictan otras
(Curran et al., 2010). disposiciones» (Congreso de la República
de Colombia, 1999), y el decreto 2364 de
Con respecto a la evidencia electrónica la
2012 «por medio del cual se reglamenta el
IOCE define 5 principios que rigen las
artículo 7 de la Ley 527 de 1999, sobre la
acciones realizadas por los peritos
firma electrónica y se dictan otras
informáticos: (Aguilar, 2013).
disposiciones» (Congreso de la República
de Colombia, 2012), dan soporte legal a la

INGENIO UFPSO – Vol. 09 – Ene-Junio 2016 - p-ISSN 2011-642X e-ISSN 2389-864X 27


La informática forense en dispositivos Android
Rico Bautista, Dewar; Rueda Rueda, Johan S.

evidencia digital. Otra base legal es la y el software de dicho dispositivo


resolución No. 0-6394 que adopta el (Abdulla, Jones, & Anthony, 2011).
“Manual de procedimiento del sistema de
cadena de custodia” para el sistema penal Es importante determinar cómo se ha a
acusatorio (Fiscalia General de la Nación, recolectar la evidencia, ya que si se hace
correctamente, es mucho más fácil
2004).
aprehender al atacante, y hay mayor
Uno de los obstáculos para la aceptación probabilidad que la evidencia sea
de la evidencia digital en Colombia es la admisible en el caso de un proceso judicial
carencia de normas especializadas (Brezinski & Killalea, 2002).
destinadas a salvaguardar la cadena de
custodia y admisibilidad de la evidencia La evidencia de sebe tomar en orden de
volatilidad, de la más volátil a la menos
digital (Álvarez, Marín, & Victoria, 2012).
volátil, en ese orden de ideas sería:
Aunque en Colombia la evidencia
electrónica es aceptada, el delito  Registros, caché
 Tabla de enrutamiento, Caché ARP,
informático no estaba explícito en el
tabla de procesos, estadísticas del
código penal (Torres D. A., 2006), la kernel, memoria
legislación colombiana dio un paso  Sistema de archivo temporales
importante con la Ley 1273 de 2009 «por  Disco
medio del cual se modifica el Código  Registro de datos y la monitorización
Penal, se crea un nuevo bien jurídico remota que sea relevante para el
tutelado – denominado “De la Protección sistema en cuestión
de la información y de los datos”- y se  Configuración física, topología de
preservan integralmente los sistemas que red
 Los medios de comunicación de
utilicen las tecnologías de la información y
archivos
las comunicaciones, entre otras
disposiciones» (Congreso de la República
de Colombia, 2009) - (Santos & Flórez, 2.3. Modelos forenses
2012).
Desde sus inicios hasta convertirse en una
Hablando un poco más de la práctica, la ciencia, la informática forense sido descrita
potencial evidencia que se puede encontrar por una serie de modelos que buscan guiar
en un dispositivo móvil es: el historial de este proceso. Estos modelos son similares,
llamadas, la lista de contactos, mensajes de varían en cuanto a algunas fases, unos más
texto y correos electrónicos, multimedia detallados que otros.
(imágenes, videos, audio), historial de
Algunos de estos modelos son: modelo
navegación, registro de chat, cuentas de
Casey, año 2000, ver Fig. 4, el modelo
redes sociales, notas y calendarios, las
publicado por el U.S Dep. of Justice, año
conexiones (red móvil, wi-fi, Bluetooh), la
2001; el modelo Lee, año 2001; modelo
información con respecto a la localización
Reith, Carr y Gunsch, año 2002; el modelo

INGENIO UFPSO – Vol. 09 – Ene-Junio 2016 - p-ISSN 2011-642X e-ISSN 2389-864X 28


La informática forense en dispositivos Android
Rico Bautista, Dewar; Rueda Rueda, Johan S.

integrado de Brian Carrier y Eugene procedimiento forense, y por ende, no es


Spafford, año 2003; el modelo mejorado posible definir una metodología única para
propuesto por VenansiusBaryamureeba y abordar este tipo de investigación. Las
FlerenceTuchabe, año 2004 y el modelo aproximaciones metodológicas que puedan
extendido de SéamusÓCiardhuáin, año resultar para realizar el proceso forense
2004 (Arquillo, 2007) (De León, 2009). buscan minimizar los errores humanos que
se pueden cometer por omisión y/o
El modelo de Casey ha evolucionado desconociendo, asegurar que la
desde su primera aparición en el 2000, que herramienta usada es confiable y garantizar
consta de las siguientes fases (Casey , que los procedimientos que se siguen son
2011): los adecuados (Torres D. R.).
 Autorización y preparación
 Identificación
 Documentación, Adquisición y
Conservación
 Extracción de información y Análisis
 Reconstrucción
 Publicación de conclusiones

En el 2006, el National Institute of


Standards and Technology dio algunas
Figura. 4: Modelo de Casey
recomendaciones en la una guía para la Fuente: (Arquillo, 2007)
integración de técnicas forenses en
respuestas a incidentes. En esta guía un Los análisis forenses sufren variaciones
describe un proceso de cuatro fases: dependiendo a que sistema de cómputo se
Recopilación de datos, Examinación, realice. Existe una clara diferencia entre
Análisis y presentación de informes (Kent , computadores, laptop, etcétera
Chevalier , Grance , & Dang , 2006). Este (informática forense convencional) y los
es un modelo estándar. El detalle de cada dispositivos móviles, estas diferencias
fase puede variar dependiendo de la como: arquitectura, funcionamiento del
situación específica, de las políticas sistema, capacidad de memoria o de
organizacionales, de gobierno, entre otros almacenamiento.
(León, Echeverría, & Santander). En ambos técnicas (convencional y
Es importante mencionar que los modelos dispositivos móviles) se puede realizar
anteriormente mencionados son guías, y se análisis en vivo o caliente y análisis post-
debe estudiar cuál es el más adecuado en el mortem. La diferencia radica en que, en un
entorno que se va a trabajar. Cada análisis en vivo los dispositivos móviles
investigación es única, siendo imposible permanecen activos contantemente, lo que
conocer a priori los aspectos que se deben produce que su contenido se actualice
tener en cuenta al realizar un periódicamente. El reloj del dispositivo

INGENIO UFPSO – Vol. 09 – Ene-Junio 2016 - p-ISSN 2011-642X e-ISSN 2389-864X 29


La informática forense en dispositivos Android
Rico Bautista, Dewar; Rueda Rueda, Johan S.

altera su contenido en memoria 4. Modo PDA


constantemente, imposibilitando una copia 5. Bloquear comunicación externa
completa bit a bit de un teléfono 6. Recolección de evidencia volátil
7. Recolección de evidencia no volátil
inteligente (Ayers , Jansen , Cilleros, &
8. Buscar evidencia almacenada fuera
Daniellou, 2005). También puede haber del dispositivo, información en la
variaciones en el análisis post-mortem ( nube.
Guidelines on Mobile Device Forensics, 9. Análisis de la posición del teléfono
2014). (pasada y presente)
10. Preservación de la evidencia
11. Examinación de la evidencia
12. Análisis de la evidencia
13. Presentación de los resultados del
análisis de la evidencia.
14. Revisión

3. DISCUSIÓN

La informática forense es un área de


mucha importancia y a su vez de mayor
cuidado. Para cumplir sus objetivos
interactúa con evidencia, que puede ser
presentada ante un juzgado para como
soporte probatorio, o también, a cualquier
empresa que solicite sus servicios para
resolver un problema interno. Alrededor de
la evidencia interactúan dos elementos
importantes: Las herramientas y el perito
Figura. 5: Modelo de investigación forense para teléfonos informático.
inteligentes.
Fuente: (Goel, 2012)
Los autores mencionados anteriormente
coinciden en lo importante que es
Anteriormente, se mencionan algunos salvaguardar las leyes, garantizar el
modelos usados en el análisis forense principio de admisibilidad, guardar y
convencional. En la referencia (Goel, seguir la cadena de custodia. También, que
2012) se propone un modelo para el el conocimiento técnico, y el cómo se
proceso de investigación forense en realiza el procedimiento forense es
teléfonos inteligentes, que consta de 14 imprescindible. Cómo se recolecta la
fases, ver Fig. 5: evidencia, cómo se preserva, su análisis y
la forma en que se presentan el informe
1. Preparación forense es fundamental, ya que garantiza
2. Asegurar la escena
en un porcentaje mucho mayor el éxito y
3. Documentación de la escena

INGENIO UFPSO – Vol. 09 – Ene-Junio 2016 - p-ISSN 2011-642X e-ISSN 2389-864X 30


La informática forense en dispositivos Android
Rico Bautista, Dewar; Rueda Rueda, Johan S.

su solidez ante las entidades


correspondientes.
5. REFERENCIAS
Estos temas se pueden trabajar a nivel
Guidelines on Mobile Device Forensics.
académico, usando herramientas con
(2014). National Institute of
licencias GPL, pero en un entorno laboral Standards and Technology.
se deben contar con las herramientas
hardware y software certificados por las Abdulla, K., Jones, A., & Anthony, T.
autoridades pertinentes. El perito (2011). Guidelines for the digital
forensic processing of
informático también debe certificar sus
smartphones. Edith Cowan
conocimientos, no basta con ser bueno en University - Research Online.
las ciencias computacionales. Cualquier
duda o error en estos dos puntos puede Agualimpia, C., & Rodrigo, H. (s.f.).
poner en duda el soporte entregado por el Universidad del Cauca. Obtenido
de
perito informático y por ende que el caso
http://artemisa.unicauca.edu.co/~rh
se caiga. ernandez/articulos/Articulo_UPM-
Criptored_Symbian_OS_Forensics
_UJaveriana.pdf
4. CONCLUSIONES Aguilar, K. J. (2013). Principios jurídicos
aplicables para la valoración de
La informática forense digital móvil es un
evidencia electrónica en el campo
área interesante y de mucha relevancia en del despido laboral. H-TICs, I(1).,
el contexto actual. Con el crecimiento de 1(1).
los peligros informáticos a la par del
mercado móvil, se abre un importante Álvarez, A., Marín, O., & Victoria, J.
(2012). Framework para la
camino investigativo y profesional. computación forense en Colombia.
Ing. USBMed, 3(2).
Android, por su popularidad tanto para
clientes y cibercriminales, a la par de las Álvarez, M. D., & Guamán, V. A. (Febrero
políticas actuales manejadas por Google de 2008). Universidad Politécnica
Inc. es unos de los sistemas operativos Salesiana. Obtenido de
móviles más interesante para trabajar. http://dspace.ups.edu.ec/handle/123
456789/546
Con la evolución de los dispositivos
Arias Chaves, M. (2006). Panorama
móviles, la recolección de evidencia se general de la informática forense y
hace más compleja, cada vez habrá más de los delitos informáticos en Costa
información por analizar, más complejidad RIca. InterSedes: Revista de las
en los dispositivos irá creciendo. Está sedes regionales, VII(12), 141-154.
evolución, conlleva a que cada día se
Arquillo, J. (Septiembre de 2007).
confíe más información a dichos Universidad de Jaén. Obtenido de
dispositivos, lo que crea un mayor interés http://www.portantier.com/bibliote
por dichas terminales. ca/seguridad/analisis-forense.pdf

INGENIO UFPSO – Vol. 09 – Ene-Junio 2016 - p-ISSN 2011-642X e-ISSN 2389-864X 31


La informática forense en dispositivos Android
Rico Bautista, Dewar; Rueda Rueda, Johan S.

Ayers , R., Jansen , W., Cilleros, N., & Cano, J. (2009). Computación forense -
Daniellou, R. (2005). Cell Phone Descubriendo los rastros
Forensic Tools: An Overview and informáticos. Almaomega.
Analysis . Gaithersburg, MD:
National Institute of Standards and Casey , E. (2011). Digital Evidence and
Technology . Computer Crime: Forensic
Science, Computers, and the
Berintato, S. (8 de Junio de 2007). The Internet (3rd ed.). Academic Press.
Rise of Anti-Forensic. (CSO)
Obtenido de Cifuentes, J. (2010). Trabajos de grado
http://www.csoonline.com/article/2 Ingenieria de Sistemas. (Pontificia
122329/investigations- Universidad Javeriana) Obtenido
forensics/the-rise-of-anti- de
forensics.html http://pegasus.javeriana.edu.co/~CI
S0930SD01/files/AntiForenseZFS.
Botero, A. C. (2009). Criptored. Obtenido pdf
de
http://www.criptored.upm.es/cibsi/ Congreso de la República de Colombia.
cibsi2009/docs/Papers/CIBSI- (18 de Agosto de 1999). Archivo
Dia3-Sesion6(3).pdf General de la Nación Colombia.
Obtenido de
Brezinski, D., & Killalea, T. (Febrero de http://www.archivogeneral.gov.co/s
2002). Guidelines for Evidence ites/all/themes/nevia/PDF/Transpar
Collection and Archiving. Network encia/LEY_527_DE_1999.pdf
Working Group . Obtenido de
http://www.rfc- Congreso de la República de Colombia. (5
editor.org/rfc/rfc3227.txt de Enero de 2009). En TIC confío.
Obtenido de
Broucek, V., & Turner, P. (2006). Winning http://www.enticconfio.gov.co/ima
the battles, losing the war? ges/stories/normatividad/Ley_1273
Rethinking methodology for _de_2009%20.pdf
forensic computing research.
Journal in Computer Virology, 3- Congreso de la República de Colombia. (5
12. de Enero de 2009). Ministerio de
las TIC. Obtenido de
Calzada Pradas, R. (2004). Análisis http://www.mintic.gov.co/portal/60
forense de sistemas. II Foro de 4/articles-3705_documento.pdf
Seguridad RedIRIS.
Congreso de la República de Colombia.
Cano, J. (2006). Introducción a la (22 de Noviembre de 2012).
infomática forense. Sistemas, 64- Archivo General de la Nación
73. Colombia. Obtenido de
http://www.archivogeneral.gov.co/s
Cano, J. (9 de Septiembre de 2007). alfa- ites/all/themes/nevia/PDF/Transpar
redi. (Derecho y Nuevas encia/DECRETO_2364_DE_2012.
Tecnologías) Obtenido de pdf
http://www.alfa-redi.org/node/8946

INGENIO UFPSO – Vol. 09 – Ene-Junio 2016 - p-ISSN 2011-642X e-ISSN 2389-864X 32


La informática forense en dispositivos Android
Rico Bautista, Dewar; Rueda Rueda, Johan S.

Curran, K., Robinson, A., Peacocke, S., & IAB Spain. (2014). VI Estudio Andual
Cassidy, S. (2010). Mobile Phone Mobile Marketing.
Forensic Analysis. International
Journal of Digital Crime and IDC Analyse the Future. (2015).
Forensics, 2(2). Smartphone OS Market Share,
2015 Q2. Framingham, MA: IDC.
De León, F. J. (Diciembre de 2009). Obtenido de
Instituto Polotécnico Nacional. http://www.idc.com/prodserv/smart
Obtenido de phone-os-market-share.jsp
http://tesis.bnct.ipn.mx:8080/jspui/
bitstream/123456789/7879/1/2386_ Jahankhani, H., Anastasios, B., & Revett,
tesis_Diciembre_2010_933405487. K. (2007). Digital Anti Forensics:
pdf Tools and Approaches. The 6th
European Conference on
Eset . (2012). Guía de seguridad para Information Warfare and Security.
usuarios de smartphone. Shrivenham, UK.
Fiscalia General de la Nación. (22 de Jakobsson, M., & Ramzan, Z. (2008).
Diciembre de 2004). Alcaldía de Crimeware. Understanding New
Bogotá. Obtenido de attacks and Defenses (First ed.).
http://www.alcaldiabogota.gov.co/s Addison-Wesley Professional.
isjur/normas/Norma1.jsp?i=15634
Jaramillo, G. E. (2011). Técnicas de
Garfinkel, S. (2007). Cite Seer X. (The análisis forense digital aplicadas a
Pennsylvania State University) dispositivos y sistemas móviles.
Obtenido de Apuntes de Ciencia & Sociedad,
http://citeseerx.ist.psu.edu/viewdoc 167-171.
/download?doi=10.1.1.109.5063&r
ep=rep1&type=pdf Kaspersky Lab. (2013). Kaspersky Lab
Latinoamérica. (Octubre) Obtenido
Ghosh, A. (2004). Guidelines for the de
Management of IT Evidence. Hong http://latam.kaspersky.com/mx/sob
Kong, China: APEC re-kaspersky/centro-de-
Telecommunications and prensa/comunicados-de-
Information Working Group. prensa/m%C3%A1s-de-la-mitad-
de-usuarios-de-android-no-pro
Goel, A. T. (2012). Smartphone Forensic
Investigation Process Model. Kent , K., Chevalier , S., Grance , T., &
International Journal of Computer Dang , H. (2006). Guide to
Science & Security, VI(5), 322-341. Integrating Forensic Techniques
into Incident Response .
Google Inc. . (2015). Android.com. Gaithersburg, MD : National
Obtenido de Institute of Standards and
http://www.android.com/ Technology - NIST.
HEADWAY Digital. (2015). Tendencias León, A., Echeverría, T., & Santander, M.
del consumo en móviles Colombia. (s.f.). Guía metodológica para la
investigación forense en el

INGENIO UFPSO – Vol. 09 – Ene-Junio 2016 - p-ISSN 2011-642X e-ISSN 2389-864X 33


La informática forense en dispositivos Android
Rico Bautista, Dewar; Rueda Rueda, Johan S.

navegador web Google Chrome. bout/news/release/article.jsp?prid=


Kosmos - Universidad Pontificia 20110823_01
Bolivariana, 246-255.
Torres, D. A. (17 de Noviembre de 2006).
Maggi, F., Zanero, S., & Iozzo, V. (2008). Asociación Colombiana de
Seeing the invisible: Forensic Uses Ingeniería de Sistemas - ACIS.
of Anomaly Detection and Obtenido de
Machine Learning. Newsletter, 42, http://www.acis.org.co/index.php?i
51-58. d=856
MinTIC & Ipsos Napoleón Franco. (2013). Torres, D. R. (s.f.). PennState. Department
Ministerio TIC . Obtenido de of Computer Science and
http://www.mintic.gov.co/portal/60 Engineering. Obtenido de
4/w3-article-6048.html http://www.cse.psu.edu/~ruedarod/
papers/recsi04.pdf
Pagès López, J. (2013). Temas Avanzados
en Seguridad y Sociedad de la Vidas, T., Zhang, C., & Christin, N.
Información. IX Ciclo de (2011). Toward a general collection
conferencias UPM - TASSI. methodology for Android devices.
Madrid, España. Digital Inventigation, S14-S24.
Rifà, H., Serra, J., & Rivas, J. (2009). Wang, Y., Cannady, J., & Rosenbluth, J.
Análsisis forense de sistemas (2005). Foundations of computer
informáticos. Barcelona: forensics: A technology for the
Universitat Oberta de Catalunya. fight against computer crime.
Computer Law & Security Review,
Rodríguez, F., & Doménech, A. (2011). La 21, 119-127.
informática forense: el rastro digital
del crimen. Quadernos de Zuccardi, G., & Gutiérrez, J. D.
Criminología. Revista de (Noviembre de 2006). Trabajos de
Criminología y Ciencias grado de Ingenieria de Sistemas.
Forenses(14), 14-21. Pontificia Universidad Javeriana.
Obtenido de
Santes, L. (Marzo de 2009). Instituto http://pegasus.javeriana.edu.co/~ed
Politécnico Nacional - México. igital/Docs/Informatica%20Forense
Obtenido de /Informatica%20Forense%20v0.6.p
http://tesis.ipn.mx:8080/dspace/bits df
tream/123456789/3730/1/PROPUE
STAMETODFORENSE.pdf
Santos, L. M., & Flórez, A. S. (2012).
Metodología para el análisis
forense en Linux. Revista
Colombiana de Tecnologías de
Avanzada, 2(20), 90-96.
Symantec Corp. (23 de Agosto de 2011).
Symantec . Obtenido de
http://www.symantec.com/es/mx/a

INGENIO UFPSO – Vol. 09 – Ene-Junio 2016 - p-ISSN 2011-642X e-ISSN 2389-864X 34

View publication stats

También podría gustarte