Seguritecnia 482

Ciberseguridad 54 SEGURITECNIA Enero 2021 que se escala en ella, las técnicas de las herramientas y las de los investigadores son más invasivas, el nivel de formación técnica debe ser más alto y el tiempo a emplear para la adquisición es mayor. Métodos no invasivos Manual: el investigador analiza el dis- positivo utilizando la pantalla táctil o el teclado. La evidencia de interés es docu- mentada fotográficamente. Para este fin existen herramientas como XRY Camera o UFED Camera. Ambas permiten tomar fotografías del contenido de la pantalla del teléfono y agregar comentarios que permitan respaldar el caso. Lógica: esta técnica necesita esta- blecer algún tipo de conexión entre el dispositivo y el software forense. Puede ser a través de un cable USB, Bluetooth, infrarrojos o RJ-45. Es sopor- tada por un gran número de soluciones como: MobilEdit, UFED 4PC Logical de Cellebrite, XRY Logical de MSAB, Oxygen Forensics Suite y MD Next de Hancom, entre otras. Hex Dump/JTAG: extrae todos los datos del teléfono haciendo una copia bit a bit del contenido. Este proceso requiere que el equipo se conecte a los puertos de acceso de prueba del equipo (TAP). El resultado es un archivo binario que requiere de un perfil técnico que pueda interpretarlo. Las herramientas disponibles para esta técnica son más sofisticadas. Algunas son: UFED Ultimate de Cellebrite, XRY Complete de MSAB, MD Box de Hancom, Riff Box, Moorc o Easy JTag plus. Métodos invasivos Chip-off: consiste en extraer los chips de memoria del teléfono. Se utiliza un lector para acceder a la información y extraer una copia bit a bit de la memo- ria. El nivel de dificultad de este pro- cedimiento es elevado; cualquier error puede ocasionar la pérdida definitiva de los datos. Algunas herramientas dis- ponibles para esto son MD Reader de Hancom, Microscopio, Riff Box, etc. Micro Read: Este proceso implica inter- pretar los datos del chip de memoria. Se debe utilizar un microscopio de alta potencia para analizar las puertas físicas de los chips , leer las puertas binarias y convertirlas en ASCII. Un procedimien- to caro y que requiere mucho tiempo (Ayers, Brothers, Jansen, 2014). Sea cual sea la metodología o la herra- mienta de adquisición que se utilice, parece que la realidad es que los telé- fonos móviles deben incluirse en las investigaciones. Su gran capacidad de almacenamiento de datos y su nivel de usabilidad hacen que estos dispositivos sean una fuente relevante de evidencia. Buscar un balance entre la protección de la información y la privacidad del usuario es un reto que las organizacio- nes deben afrontar en el corto plazo. o protegidos. Los sistemas de archivo pueden contener información que no es visible en una extracción lógica. Extracción física: este método es el más invasivo. En algunos casos, para poder hacer este tipo de extracción es necesario manipular el terminal. Hace una copia bit a bit de todo el contenido de la memoria flash del equipo, inclu- yendo el espacio sin asignar. De este modo se puede acceder a información que haya sido borrada recientemen- te. Proporciona un mayor número de datos que las anteriores, aunque es el menos soportado por los dispositivos. En Ondata International recomenda- mos a los clientes a los que suministra- mos este tipo de soluciones que, antes de proceder con una metodología de extracción u otra, establezcan políticas donde se enumeren los pasos a seguir para llevar a cabo la adquisición de evi- dencias de móviles. En base a nuestra experiencia, recomendamos que estos pasos vayan desde las metodologías no invasivas a invasivas, pues las primeras suelen garantizar en mayor medida la integridad de la evidencia. La figura que aparece en esta página clasifica las herramientas forenses de adquisición de datos móviles en función de lo invasivas que son. En la base de la pirámide están las soluciones que utili- zan técnicas menos invasivas. A medida Clasificación de herramientas forenses de dispositivos móviles.