La ciencia forense de dispositivos móviles es una rama de la ciencia forense digital relacionada con la recuperación de evidencia digital o datos de un dispositivo móvil en condiciones forenses sólidas. La frase dispositivo móvil generalmente se refiere a teléfonos móviles ; sin embargo, también puede referirse a cualquier dispositivo digital que tenga memoria interna y capacidad de comunicación , incluidos dispositivos PDA , dispositivos GPS y tabletas .
Algunas de las compañías de telefonía móvil han intentado duplicar el modelo de sus teléfonos, lo cual es ilegal. Por eso, vemos que cada año aparecen muchos modelos nuevos, lo que supone un paso adelante para las próximas generaciones. El proceso de clonación de teléfonos y dispositivos móviles en el ámbito de los delitos ha sido ampliamente reconocido durante algunos años, pero el estudio forense de los dispositivos móviles es un campo relativamente nuevo, que data de finales de los años 90 y principios de los 2000. La proliferación de teléfonos (en particular, teléfonos inteligentes ) y otros dispositivos digitales en el mercado de consumo provocó una demanda de análisis forense de los dispositivos, que no podía satisfacerse con las técnicas de informática forense existentes . [1]
Los dispositivos móviles se pueden utilizar para guardar varios tipos de información personal, como contactos, fotos, calendarios y notas, mensajes SMS y MMS . Los teléfonos inteligentes también pueden contener videos, correo electrónico, información de navegación web, información de ubicación y mensajes y contactos de redes sociales.
Existe una creciente necesidad de análisis forense móvil debido a varias razones y algunas de las principales son:
La investigación forense de dispositivos móviles puede resultar especialmente complicada en varios niveles: [3]
Existen desafíos técnicos y de prueba. Por ejemplo, el análisis de la estación base a partir del uso de la cobertura de un teléfono móvil no es una ciencia exacta. En consecuencia, si bien es posible determinar aproximadamente la zona de la estación base desde la que se realizó o recibió una llamada, aún no es posible decir con cierto grado de certeza que una llamada de teléfono móvil provino de una ubicación específica, por ejemplo, una dirección residencial.
Como resultado de estos desafíos, existe una amplia variedad de herramientas para extraer evidencia de dispositivos móviles; ninguna herramienta o método puede adquirir todas las pruebas de todos los dispositivos. Por lo tanto, se recomienda que los examinadores forenses, especialmente aquellos que deseen calificar como testigos expertos en el tribunal, realicen una capacitación exhaustiva para comprender cómo cada herramienta y método adquiere evidencia; cómo mantiene los estándares de solidez forense; y cómo cumple con los requisitos legales como el estándar Daubert o el estándar Frye .
Como campo de estudio, el examen forense de dispositivos móviles data de finales de los años 1990 y principios de los años 2000. La función de los teléfonos móviles en la delincuencia ha sido reconocida desde hace mucho tiempo por las fuerzas del orden. Con la mayor disponibilidad de dichos dispositivos en el mercado de consumo y la gama más amplia de plataformas de comunicación que admiten (por ejemplo, correo electrónico, navegación web), la demanda de exámenes forenses aumentó. [1]
Los primeros intentos de examinar dispositivos móviles utilizaban técnicas similares a las de las primeras investigaciones forenses informáticas: analizar el contenido del teléfono directamente a través de la pantalla y fotografiar el contenido importante. [1] Sin embargo, esto resultó ser un proceso que consumía mucho tiempo y, a medida que el número de dispositivos móviles comenzó a aumentar, los investigadores pidieron medios más eficientes para extraer datos. Los examinadores forenses móviles emprendedores a veces utilizaban software de sincronización de teléfonos móviles o PDA para "hacer una copia de seguridad" de los datos del dispositivo en una computadora forense para obtener imágenes o, a veces, simplemente realizaban análisis forenses informáticos en el disco duro de una computadora sospechosa donde se habían sincronizado los datos. Sin embargo, este tipo de software podía escribir en el teléfono además de leerlo, y no podía recuperar los datos eliminados. [5]
Algunos peritos forenses descubrieron que podían recuperar incluso datos borrados utilizando cajas "flasher" o "twister", herramientas desarrolladas por los fabricantes de equipos originales para "flashear" la memoria de un teléfono con el fin de depurar o actualizar. Sin embargo, las cajas flasher son invasivas y pueden cambiar los datos; pueden ser complicadas de usar; y, como no están desarrolladas como herramientas forenses, no realizan ni verificaciones de hash ni (en la mayoría de los casos) registros de auditoría. [6] Por lo tanto, para los peritos forenses físicos, siguen siendo necesarias mejores alternativas.
Para satisfacer estas demandas, aparecieron herramientas comerciales que permitían a los examinadores recuperar la memoria del teléfono con una interrupción mínima y analizarla por separado. [1] Con el tiempo, estas técnicas comerciales se han desarrollado aún más y la recuperación de datos eliminados de dispositivos móviles patentados se ha vuelto posible con algunas herramientas especializadas. Además, las herramientas comerciales incluso han automatizado gran parte del proceso de extracción, lo que hace posible que incluso los socorristas mínimamente capacitados (que actualmente tienen muchas más probabilidades de encontrarse con sospechosos con dispositivos móviles en su posesión, en comparación con las computadoras) realicen extracciones básicas para fines de triaje y vista previa de datos.
La investigación forense de dispositivos móviles es más conocida por su aplicación en investigaciones policiales, pero también es útil para la inteligencia militar , las investigaciones corporativas, las investigaciones privadas , la defensa civil y criminal y el descubrimiento electrónico .
A medida que avanza la tecnología de los dispositivos móviles , la cantidad y los tipos de datos que se pueden encontrar en un dispositivo móvil aumentan constantemente. La evidencia que se puede recuperar de un teléfono móvil puede provenir de varias fuentes diferentes, incluida la memoria del teléfono, la tarjeta SIM y las tarjetas de memoria adjuntas, como las tarjetas SD .
Tradicionalmente, la investigación forense de teléfonos móviles se ha asociado con la recuperación de mensajes SMS y MMS , así como registros de llamadas, listas de contactos e información IMEI / ESN del teléfono. Sin embargo, las nuevas generaciones de teléfonos inteligentes también incluyen una mayor variedad de información; desde navegación web, configuraciones de redes inalámbricas , información de geolocalización (incluidas las etiquetas geográficas contenidas en los metadatos de las imágenes ), correo electrónico y otras formas de medios de Internet enriquecidos, incluidos datos importantes, como publicaciones y contactos en servicios de redes sociales , que ahora se conservan en las "aplicaciones" de los teléfonos inteligentes. [7]
Hoy en día, en los dispositivos móviles se utilizan principalmente memorias flash de tipo NAND o NOR. [8]
Los dispositivos de memoria externa son tarjetas SIM , tarjetas SD (que se encuentran comúnmente en dispositivos GPS y teléfonos móviles), tarjetas MMC , tarjetas CF y Memory Stick .
Aunque técnicamente no forman parte de la investigación forense de dispositivos móviles, los registros de detalles de llamadas (y, ocasionalmente, los mensajes de texto) de los operadores inalámbricos suelen servir como evidencia "de respaldo" obtenida después de que el teléfono móvil ha sido incautado. Estos son útiles cuando el historial de llamadas y/o los mensajes de texto se han eliminado del teléfono, o cuando los servicios basados en la ubicación no están activados. Los registros de detalles de llamadas y los volcados de la estación base (torre) pueden mostrar la ubicación del propietario del teléfono y si estaba estacionario o en movimiento (es decir, si la señal del teléfono rebotó en el mismo lado de una sola torre o en diferentes lados de múltiples torres a lo largo de una ruta de viaje particular). [9] Los datos del operador y los datos del dispositivo juntos se pueden utilizar para corroborar información de otras fuentes, por ejemplo, imágenes de videovigilancia o relatos de testigos oculares; o para determinar la ubicación general donde se tomó una imagen o un video no geoetiquetado.
La Unión Europea exige a sus países miembros que conserven determinados datos de telecomunicaciones para su uso en investigaciones, entre ellos los datos sobre llamadas realizadas y recuperadas. Es posible determinar la ubicación de un teléfono móvil y estos datos geográficos también deben conservarse. Sin embargo, en los Estados Unidos no existe tal requisito y no hay normas que regulen durante cuánto tiempo deben conservar los operadores los datos o incluso qué deben conservar. Por ejemplo, los mensajes de texto pueden conservarse sólo una o dos semanas, mientras que los registros de llamadas pueden conservarse desde unas pocas semanas hasta varios meses. Para reducir el riesgo de pérdida de pruebas, los agentes de las fuerzas del orden deben presentar una carta de conservación al operador, que luego deben respaldar con una orden de registro . [9]
El proceso forense para dispositivos móviles coincide en líneas generales con otras ramas de la ciencia forense digital; sin embargo, existen algunas preocupaciones particulares. En general, el proceso se puede dividir en tres categorías principales: incautación, adquisición y examen/análisis. Otros aspectos del proceso forense informático, como la admisión, la validación, la documentación/informes y el archivo, siguen siendo aplicables. [3]
La incautación de dispositivos móviles está sujeta a las mismas consideraciones legales que la de otros medios digitales. Los móviles se suelen recuperar encendidos; como el objetivo de la incautación es preservar las pruebas, el dispositivo se suele transportar en el mismo estado para evitar que se apague, lo que cambiaría los archivos. [10] Además, el investigador o el primer interviniente correrían el riesgo de que se activara el bloqueo del usuario.
Sin embargo, dejar el teléfono encendido conlleva otro riesgo: el dispositivo puede seguir estableciendo una conexión de red/celular. Esto puede traer nuevos datos, sobrescribiendo la evidencia. Para evitar una conexión, los dispositivos móviles a menudo se transportan y examinan desde dentro de una jaula (o bolsa) de Faraday. Aun así, este método tiene dos desventajas. En primer lugar, la mayoría de las bolsas inutilizan el dispositivo, ya que no se puede utilizar su pantalla táctil ni su teclado. Sin embargo, se pueden adquirir jaulas especiales que permiten el uso del dispositivo con un vidrio transparente y guantes especiales. La ventaja de esta opción es la capacidad de conectarse también a otros equipos forenses mientras se bloquea la conexión de red, así como cargar el dispositivo. Si esta opción no está disponible, se recomienda aislar la red ya sea colocando el dispositivo en modo avión o clonando su tarjeta SIM (una técnica que también puede ser útil cuando el dispositivo carece por completo de su tarjeta SIM). [3]
Es importante tener en cuenta que si bien esta técnica puede evitar que se active un borrado remoto (o manipulación) del dispositivo, no hace nada contra un interruptor de hombre muerto local .
El segundo paso en el proceso forense es la adquisición , que en este caso suele referirse a la recuperación de material de un dispositivo (en comparación con la obtención de imágenes de copia de bits que se utiliza en la informática forense). [10]
Debido a la naturaleza patentada de los móviles, a menudo no es posible adquirir datos con el dispositivo apagado; la mayoría de las adquisiciones de dispositivos móviles se realizan en vivo. Con los teléfonos inteligentes más avanzados que utilizan una gestión avanzada de memoria, conectarlo a un cargador y colocarlo en una jaula de Faraday puede no ser una buena práctica. El dispositivo móvil reconocería la desconexión de la red y, por lo tanto, cambiaría su información de estado que puede hacer que el administrador de memoria escriba datos. [11]
La mayoría de las herramientas de adquisición para dispositivos móviles son de naturaleza comercial y constan de un componente de hardware y software, a menudo automatizado.
A medida que un número cada vez mayor de dispositivos móviles utilizan sistemas de archivos de alto nivel , similares a los sistemas de archivos de las computadoras, los métodos y herramientas se pueden tomar del análisis forense del disco duro o solo se necesitan cambios leves. [12]
El sistema de archivos FAT se utiliza generalmente en la memoria NAND . [13] Una diferencia es el tamaño de bloque utilizado, que es mayor a 512 bytes para discos duros y depende del tipo de memoria utilizado, por ejemplo, tipo NOR 64, 128, 256 y memoria NAND 16, 128, 256 o 512 kilobytes .
Diferentes herramientas de software pueden extraer los datos de la imagen de memoria. Se pueden utilizar productos de software forense especializados y automatizados o visualizadores de archivos genéricos como cualquier editor hexadecimal para buscar características de los encabezados de archivo. La ventaja del editor hexadecimal es la comprensión más profunda de la gestión de la memoria, pero trabajar con un editor hexadecimal implica mucho trabajo manual y conocimiento del sistema de archivos, así como de los encabezados de archivo. Por el contrario, el software forense especializado simplifica la búsqueda y extrae los datos, pero es posible que no encuentre todo. AccessData , Sleuthkit , ESI Analyst y EnCase , por mencionar solo algunos, son productos de software forense para analizar imágenes de memoria. [14] Dado que no existe una herramienta que extraiga toda la información posible, es recomendable utilizar dos o más herramientas para el examen. Actualmente (febrero de 2010) no existe una solución de software para obtener todas las evidencias de las memorias flash. [8]
La extracción de datos de dispositivos móviles se puede clasificar según un continuo, a lo largo del cual los métodos se vuelven más técnicos y “forensemente sólidos”, las herramientas se vuelven más caras, el análisis lleva más tiempo, los examinadores necesitan más capacitación y algunos métodos pueden incluso volverse más invasivos. [15]
El examinador utiliza la interfaz de usuario para investigar el contenido de la memoria del teléfono. Por lo tanto, el dispositivo se utiliza de forma normal y el examinador toma fotografías del contenido de cada pantalla. Este método tiene la ventaja de que el sistema operativo hace innecesario el uso de herramientas o equipos especializados para transformar los datos brutos en información interpretable por humanos. En la práctica, este método se aplica a teléfonos móviles, PDA y sistemas de navegación . [16] Las desventajas son que solo se pueden recuperar los datos visibles para el sistema operativo; que todos los datos solo están disponibles en forma de imágenes; y el proceso en sí mismo requiere mucho tiempo.
La adquisición lógica implica una copia bit a bit de objetos de almacenamiento lógico (por ejemplo, directorios y archivos) que residen en un almacenamiento lógico (por ejemplo, una partición del sistema de archivos). La adquisición lógica tiene la ventaja de que las estructuras de datos del sistema son más fáciles de extraer y organizar para una herramienta. La extracción lógica adquiere información del dispositivo utilizando la interfaz de programación de aplicaciones del fabricante del equipo original para sincronizar el contenido del teléfono con una computadora personal . Una extracción lógica generalmente es más fácil de trabajar ya que no produce un gran blob binario . Sin embargo, un examinador forense experto podrá extraer mucha más información de una extracción física.
La extracción lógica no suele producir ninguna información eliminada, ya que normalmente se elimina del sistema de archivos del teléfono. Sin embargo, en algunos casos, en particular con plataformas basadas en SQLite , como iOS y Android , el teléfono puede mantener un archivo de base de datos de información que no sobrescribe la información, sino que simplemente la marca como eliminada y está disponible para sobrescribirla más tarde. En tales casos, si el dispositivo permite el acceso al sistema de archivos a través de su interfaz de sincronización, es posible recuperar la información eliminada. La extracción del sistema de archivos es útil para comprender la estructura de archivos, el historial de navegación web o el uso de aplicaciones, además de proporcionar al examinador la capacidad de realizar un análisis con herramientas forenses informáticas tradicionales. [17]
La adquisición física implica una copia bit a bit de todo un almacenamiento físico (por ejemplo, una memoria flash ); por lo tanto, es el método más similar al examen de un ordenador personal . Una adquisición física tiene la ventaja de permitir examinar archivos borrados y restos de datos. La extracción física adquiere información del dispositivo mediante el acceso directo a las memorias flash.
Generalmente, esto es más difícil de lograr porque el fabricante del equipo original del dispositivo necesita protegerlo contra la lectura arbitraria de la memoria; por lo tanto, un dispositivo puede estar bloqueado para un operador determinado. Para evitar esta seguridad, los proveedores de herramientas forenses móviles a menudo desarrollan sus propios cargadores de arranque , lo que permite que la herramienta forense acceda a la memoria (y, a menudo, también eluda las contraseñas del usuario o los bloqueos de patrones). [18]
Generalmente, la extracción física se divide en dos pasos: la fase de volcado y la fase de decodificación.
La adquisición de fuerza bruta puede ser realizada por herramientas de fuerza bruta de código de acceso de terceros que envían una serie de códigos de acceso / contraseñas al dispositivo móvil. [19] El ataque de fuerza bruta es un método que consume mucho tiempo, pero no por ello deja de ser efectivo. Esta técnica utiliza prueba y error en un intento de crear la combinación correcta de contraseña o PIN para autenticar el acceso al dispositivo móvil. A pesar de que el proceso lleva una gran cantidad de tiempo, sigue siendo uno de los mejores métodos para emplear si el profesional forense no puede obtener el código de acceso. Con el software y hardware disponibles actualmente, se ha vuelto bastante fácil romper el cifrado en el archivo de contraseña de un dispositivo móvil para obtener el código de acceso. [20] Dos fabricantes se han hecho públicos desde el lanzamiento del iPhone5, [21] Cellebrite y GrayShift . Estos fabricantes están destinados a agencias de aplicación de la ley y departamentos de policía. La unidad Cellebrite UFED Ultimate [22] cuesta más de $ 40,000 dólares estadounidenses y el sistema Grayshifts cuesta $ 15,000. [23] Las herramientas de fuerza bruta se conectan al dispositivo y enviarán físicamente códigos a los dispositivos iOS, comenzando desde 0000 hasta 9999 en secuencia hasta que se ingrese correctamente el código correcto. Una vez que se ingresa correctamente el código, se otorga acceso total al dispositivo y se puede comenzar la extracción de datos.
Las primeras investigaciones consistieron en el análisis manual en vivo de los dispositivos móviles, en el que los examinadores fotografiaban o anotaban material útil para su uso como prueba. Sin equipos de fotografía forense como Fernico ZRT, EDEC Eclipse o Project-a-Phone, esto tenía la desventaja de correr el riesgo de modificar el contenido del dispositivo, además de dejar inaccesibles muchas partes del sistema operativo propietario.
En los últimos años han surgido varias herramientas de hardware y software para recuperar evidencia lógica y física de dispositivos móviles. La mayoría de las herramientas constan de partes de hardware y software. El hardware incluye una serie de cables para conectar el dispositivo móvil a la máquina de adquisición; el software existe para extraer la evidencia y, en ocasiones, incluso para analizarla.
Recientemente, se han desarrollado herramientas forenses para dispositivos móviles en este campo. Esto responde tanto a la demanda de las unidades militares de inteligencia antiterrorista rápida y precisa como a la demanda de las fuerzas del orden de capacidades de previsualización forense en la escena de un crimen, la ejecución de una orden de allanamiento o circunstancias apremiantes. Estas herramientas forenses móviles suelen estar reforzadas para entornos hostiles (por ejemplo, el campo de batalla) y un trato rudo (por ejemplo, caídas o inmersión en agua). [24]
En general, debido a que es imposible que una sola herramienta capture todas las evidencias de todos los dispositivos móviles, los profesionales forenses móviles recomiendan que los examinadores establezcan conjuntos de herramientas completos que consistan en una combinación de herramientas forenses comerciales, de código abierto, de amplio soporte y de soporte limitado, junto con accesorios como cargadores de batería, bolsas de Faraday u otros equipos de interrupción de señales, etc. [25]
Algunas herramientas actuales incluyen Belkasoft Evidence Center, Cellebrite UFED , Oxygen Forensic Detective, Elcomsoft Mobile Forensic Bundle, Susteen Secure View, MOBILEdit Forensic Express y Micro Systemation XRY .
También se han desarrollado algunas herramientas para abordar el creciente uso delictivo de teléfonos fabricados con chipsets chinos, entre los que se incluyen MediaTek (MTK), Spreadtrum y MStar . Entre estas herramientas se encuentran CHINEX de Cellebrite y XRY PinPoint .
La mayoría de las herramientas de código abierto para análisis forense de teléfonos móviles son específicas para cada plataforma y están orientadas al análisis de teléfonos inteligentes. Aunque originalmente no fue diseñada para ser una herramienta forense, BitPim se ha utilizado ampliamente en teléfonos CDMA, así como en los LG VX4400/VX6000 y muchos teléfonos celulares Sanyo Sprint. [26]
El último y más intrusivo método para obtener una imagen de la memoria, conocido comúnmente como técnica "Chip-Off" en la industria, consiste en desoldar el chip de memoria no volátil y conectarlo a un lector de chips de memoria. Este método conlleva el peligro potencial de destrucción total de los datos: es posible destruir el chip y su contenido debido al calor necesario durante la desoldadura. Antes de la invención de la tecnología BGA era posible conectar sondas a los pines del chip de memoria y recuperar la memoria a través de estas sondas. La técnica BGA une los chips directamente a la PCB a través de bolas de soldadura fundidas , de modo que ya no es posible conectar sondas.
La desoldadura de los chips se realiza con cuidado y lentamente, para que el calor no destruya el chip ni los datos. Antes de desoldar el chip, la placa de circuito impreso se cuece en un horno para eliminar el agua restante. Esto evita el llamado efecto palomitas de maíz, en el que el agua restante volaría el encapsulado del chip al desoldar.
Existen principalmente tres métodos para fundir la soldadura: aire caliente, luz infrarroja y vapor. La tecnología de luz infrarroja funciona con un haz de luz infrarroja enfocado sobre un circuito integrado específico y se utiliza para chips pequeños. Los métodos de aire caliente y vapor no pueden enfocar tanto como la técnica infrarroja.
Después de desoldar el chip, se realiza un proceso de re-balling que limpia el chip y le agrega nuevas bolas de estaño. El re-balling se puede realizar de dos maneras diferentes.
Un tercer método hace innecesario todo el proceso de re-balling. El chip se conecta a un adaptador con resortes en forma de Y o pines pogo con resorte . Los resortes en forma de Y necesitan tener una bola sobre el pin para establecer una conexión eléctrica, pero los pines pogo se pueden usar directamente en las almohadillas del chip sin las bolas. [11] [12]
La ventaja de la desoldadura forense es que no es necesario que el dispositivo esté en funcionamiento y que se puede hacer una copia sin realizar cambios en los datos originales. La desventaja es que los dispositivos de re-balling son caros, por lo que este proceso es muy costoso y existen algunos riesgos de pérdida total de datos. Por lo tanto, la desoldadura forense solo debe ser realizada por laboratorios experimentados. [13]
Las interfaces estandarizadas existentes para leer datos están integradas en varios dispositivos móviles, por ejemplo, para obtener datos de posición de equipos GPS ( NMEA ) o para obtener información de desaceleración de unidades de airbag. [16]
No todos los dispositivos móviles ofrecen una interfaz estandarizada ni existe una interfaz estándar para todos los dispositivos móviles, pero todos los fabricantes tienen un problema en común. La miniaturización de las piezas de los dispositivos plantea la cuestión de cómo comprobar automáticamente la funcionalidad y la calidad de los componentes integrados soldados. Para este problema, un grupo industrial, el Joint Test Action Group (JTAG), desarrolló una tecnología de prueba denominada escaneo de límites .
A pesar de la estandarización, hay cuatro tareas antes de que la interfaz del dispositivo JTAG pueda usarse para recuperar la memoria. Para encontrar los bits correctos en el registro de escaneo de límites, uno debe saber qué procesador y circuitos de memoria se usan y cómo están conectados al bus del sistema. Cuando no se puede acceder a ellos desde el exterior, uno debe encontrar los puntos de prueba para la interfaz JTAG en la placa de circuito impreso y determinar qué punto de prueba se usa para qué señal. El puerto JTAG no siempre está soldado con conectores, de modo que a veces es necesario abrir el dispositivo y volver a soldar el puerto de acceso. [12] Se debe conocer el protocolo para leer la memoria y, finalmente, se debe determinar el voltaje correcto para evitar daños al circuito. [11]
El escaneo de límites produce una imagen forense completa de la memoria volátil y no volátil . Se minimiza el riesgo de cambio de datos y no es necesario desoldar el chip de memoria . La generación de la imagen puede ser lenta y no todos los dispositivos móviles están habilitados para JTAG. Además, puede resultar difícil encontrar el puerto de acceso de prueba. [13]
Los dispositivos móviles no ofrecen la posibilidad de ejecutarse o arrancar desde un CD , conectándose a una red compartida u otro dispositivo con herramientas limpias. Por lo tanto, los comandos del sistema podrían ser la única forma de salvar la memoria volátil de un dispositivo móvil. Con el riesgo de los comandos del sistema modificados, se debe estimar si la memoria volátil es realmente importante. Un problema similar surge cuando no hay conexión de red disponible y no se puede conectar una memoria secundaria a un dispositivo móvil porque la imagen de la memoria volátil debe guardarse en la memoria interna no volátil , donde se almacenan los datos del usuario y lo más probable es que se pierdan los datos importantes eliminados. Los comandos del sistema son el método más económico, pero implican algunos riesgos de pérdida de datos. Cada uso de comando con opciones y salida debe documentarse.
Los comandos AT son antiguos comandos de módem , por ejemplo, el conjunto de comandos Hayes y los comandos AT de los teléfonos Motorola, y por lo tanto solo se pueden utilizar en un dispositivo que tenga soporte para módem. Con estos comandos solo se puede obtener información a través del sistema operativo , de modo que no se pueden extraer datos eliminados. [11]
Para la memoria externa y la unidad flash USB, se necesita un software adecuado, por ejemplo, el comando Unix dd , para realizar la copia a nivel de bits. Además, las unidades flash USB con protección de memoria no necesitan hardware especial y se pueden conectar a cualquier computadora. Muchas unidades USB y tarjetas de memoria tienen un interruptor de bloqueo de escritura que se puede utilizar para evitar cambios en los datos mientras se realiza una copia.
Si la unidad USB no tiene interruptor de protección, se puede utilizar un bloqueador para montar la unidad en modo de solo lectura o, en un caso excepcional, se puede desoldar el chip de memoria . Las tarjetas SIM y de memoria necesitan un lector de tarjetas para realizar la copia. [29] La tarjeta SIM se analiza minuciosamente, de modo que es posible recuperar datos (borrados) como contactos o mensajes de texto. [11]
El sistema operativo Android incluye el comando dd. En una publicación de blog sobre técnicas forenses de Android, se muestra un método para crear una imagen en vivo de un dispositivo Android utilizando el comando dd. [30]
Una herramienta flasher es un hardware y/o software de programación que se puede utilizar para programar (flashear) la memoria del dispositivo, por ejemplo, EEPROM o memoria flash . Estas herramientas se originan principalmente en el fabricante o en los centros de servicio para servicios de depuración, reparación o actualización. Pueden sobrescribir la memoria no volátil y algunas, según el fabricante o el dispositivo, también pueden leer la memoria para hacer una copia, originalmente pensada como respaldo. La memoria se puede proteger de la lectura, por ejemplo, mediante un comando de software o la destrucción de fusibles en el circuito de lectura. [31]
Tenga en cuenta que esto no impediría que la CPU escriba o utilice la memoria internamente . Las herramientas de flasheo son fáciles de conectar y usar, pero algunas pueden cambiar los datos y tienen otras opciones peligrosas o no hacen una copia completa. [12]
En general, no existe ningún estándar que determine qué constituye un dispositivo compatible en un producto específico. Esto ha llevado a una situación en la que los distintos proveedores definen un dispositivo compatible de forma diferente. Una situación como esta hace que sea mucho más difícil comparar productos en función de las listas de dispositivos compatibles proporcionadas por el proveedor. Por ejemplo, un dispositivo en el que la extracción lógica con un producto solo produce una lista de llamadas realizadas por el dispositivo puede aparecer como compatible con ese proveedor, mientras que otro proveedor puede generar mucha más información.
Además, los distintos productos extraen distintas cantidades de información de distintos dispositivos, lo que genera un panorama muy complejo a la hora de intentar obtener una visión general de los productos. En general, esto lleva a una situación en la que se recomienda encarecidamente probar un producto exhaustivamente antes de comprarlo. Es bastante habitual utilizar al menos dos productos que se complementen entre sí.
La tecnología de los teléfonos móviles está evolucionando a un ritmo rápido. La investigación forense digital relacionada con los dispositivos móviles parece estar estancada o evolucionando lentamente. Para que la investigación forense de los teléfonos móviles se ponga al día con los ciclos de lanzamiento de los teléfonos móviles, se debe desarrollar un marco más completo y profundo para evaluar los kits de herramientas forenses para móviles y se deben poner a disposición de manera oportuna los datos sobre las herramientas y técnicas adecuadas para cada tipo de teléfono. [32]
La investigación forense anti-informática es más difícil debido al pequeño tamaño de los dispositivos y la accesibilidad restringida a los datos por parte del usuario. [13] Sin embargo, existen avances para asegurar la memoria en hardware con circuitos de seguridad en la CPU y el chip de memoria, de modo que el chip de memoria no pueda leerse incluso después de desoldar. [33] [34]
{{cite web}}
: Falta o está vacío |url=
( ayuda )