Perito Informático Forense

Artículos

Forensia en Dispositivos Móviles y Celulares

PorFabián Abel Rocha

Introducción

Los dispositivos móviles y celulares se han convertido en herramientas fundamentales en la vida cotidiana de las personas en la actualidad. Su versatilidad y capacidad para almacenar una gran cantidad de información personal y profesional los hacen objetos de interés en diversas áreas, incluyendo el ámbito legal y forense. En este contexto, los procedimientos específicos para la adquisición, preservación y análisis de datos de dispositivos móviles y celulares adquieren una relevancia crítica.

En este artículo, exploraremos un protocolo específico elaborado por el Ministerio de Seguridad de Argentina, diseñados para abordar la adquisición de potenciales elementos de prueba de dispositivos móviles y celulares. 

Es importante tener en cuenta que este protocolo proporciona una visión general de las acciones a seguir en la fase de adquisición de dispositivos móviles y celulares. Sin embargo, cada caso puede presentar particularidades que requieran ajustes en el procedimiento. Por lo tanto, el informático forense deberá adaptar y modificar estas pautas según las circunstancias específicas de la investigación y las necesidades del caso en cuestión.

Procedimiento de adquisición

  1. Es fundamental priorizar el aislamiento del dispositivo, impidiendo su conexión a la red móvil de telefonía y/o wifi, con el objetivo de evitar cualquier posible adulteración o borrado remoto de datos.
  2. Se subraya la importancia de no interactuar innecesariamente ni buscar información en los dispositivos móviles, salvo cuando sea requerido por la autoridad judicial. En tales casos, se debe documentar exhaustivamente el proceso realizado. Esto se debe a que los dispositivos registran todas las interacciones realizadas, y al obtener datos en el laboratorio, el equipo especializado reportará estas acciones.
  3. El primer interviniente, al verificar si el dispositivo está encendido (CALIENTE-AFU), debe abstenerse de apagarlo y seguir los procedimientos recomendados para garantizar la preservación adecuada, detallados a continuación. Todos estos pasos deben ser registrados en el acta del procedimiento:
    1. Realizar la extracción de la tarjeta SIM para evitar posibles accesos o modificaciones remotas a través de la red de telefonía celular (3G, 4G, 5G, etc.).
    2. Registrar el número y el logo visibles en el exterior de la tarjeta SIM (ICCID).
    3. Si hay más de un slot de SIM en el dispositivo, identificar y registrar en qué slot se encontraba colocada cada tarjeta SIM.
    4. Fijar la tarjeta SIM o tarjetas SIM con cinta transparente a la carcasa del equipo.
    5. Si es posible, identificar el IMEI del dispositivo telefónico. En caso de que no sea visible, registrar «IMEI no visible / ilegible». No se debe manipular el equipo para obtener el número de serie/IMEI mediante métodos como ingresar el código «*#06#» en el teclado o acceder a su menú de configuración.
    6. Si es posible, activar el modo avión del dispositivo.
    7. Si es posible, desactivar la opción de WIFI.
    8. Si es posible, identificar y registrar la marca o inscripción visible (que puede estar en la carcasa del dispositivo o impresa en la etiqueta de datos). En caso de que no sea visible, registrar «Marca o Inscripción No visible».
    9. De ser posible, se debe identificar y registrar el modelo técnico del dispositivo (visible en la carcasa o impreso en la etiqueta de datos). En caso de que no sea visible, registrar «Modelo Técnico No visible».
    10. De ser posible, identificar el Número de Serie (visible en la carcasa del dispositivo o impreso en la etiqueta de datos, generalmente debajo de la batería si es accesible). Si no se observa, no se debe manipular el equipo para obtener el número de serie mediante métodos como ingresar el código «*#06#» en el teclado o acceder a su menú de configuración.
    11. En caso de que exista una Tarjeta de Memoria, se debe consignar el tipo, capacidad e inscripción observada. Si no hay tarjeta de memoria, registrar «No Posee Tarjeta de Memoria».
    12. Registrar el estado de conservación del dispositivo a simple vista (Bueno, Regular, Malo), incluyendo una descripción de los detalles. Por ejemplo, si hay partes faltantes o la pantalla está fracturada, se considera un estado de conservación malo.
    13. Una vez completados los pasos anteriores, colocar el dispositivo en una bolsa Faraday o utilizar otro método no invasivo que asegure el aislamiento electromagnético de toda señal (por ejemplo, envolverlo con papel de aluminio haciendo al menos 5 vueltas alrededor del dispositivo).
  4. En aquellos casos en los que la autoridad judicial así lo determine y se cuenten con los medios necesarios, se procurará mantener el dispositivo encendido (CALIENTE-AFU), manteniendo su carga conectándolo a un powerbank (batería portátil). Este procedimiento se realizará utilizando el método de aislamiento electromagnético previamente mencionado, con el fin de remitir el dispositivo a las oficinas especializadas o al laboratorio correspondiente, evitando que se apague durante el traslado.
  5. Si la autoridad judicial solicita un triage de dispositivos móviles, este será dirigido por personal especializado, ya sea de forma presencial o mediante asesoramiento remoto. Este proceso consistirá en un examen manual del dispositivo, sin utilizar herramientas forenses, aprovechando las funciones nativas del dispositivo dentro de las limitaciones establecidas. Todas las interacciones realizadas durante este proceso quedarán registradas en el dispositivo, por lo que deberán documentarse correctamente.
  6. Si el dispositivo se encuentra apagado (FRIO-BFU), se deben seguir los siguientes pasos:
    1. Realizar la extracción de la tarjeta SIM para prevenir el acceso o modificación remota a través de la red de telefonía celular (3G, 4G, 5G, etc.).
    2. Registrar la numeración y logo visibles en el exterior de la tarjeta SIM (ICCID).
    3. En caso de observarse más de un slot de SIM en el dispositivo, identificar y registrar el slot en el que se encontraban colocadas cada una de las tarjetas SIM.
    4. Adherir la o las tarjetas SIM con cinta transparente a la carcasa del equipo.
    5. De ser posible, identificar el IMEI del dispositivo telefónico. En el caso de que no se visualice, registrar “IMEI no visible / ilegible”.
    6. De ser posible, identificar y registrar marca o inscripción visible (se puede observar en la carcasa del dispositivo o impreso en la etiqueta de datos). En el caso que no se visualice, registrar “Marca o Inscripción No visible”.
    7. De ser posible, identificar y registrar modelo técnico (se puede observar en la carcasa del dispositivo o impreso en la etiqueta de datos). En el caso que no se visualice, registrar “Modelo Técnico No visible”.
    8. De ser posible, identificar Número de Serie (se puede observar en la carcasa del dispositivo, impreso en la etiqueta de datos ubicada generalmente bajo la batería cuando la misma sea accesible). En caso de no observarse, por ningún motivo se deberá manipular el equipo con la intención de obtener el número de serie con métodos tales como ingresando el código “*#06#” en el teclado o ingresando a su menú de configuración.
    9. De existir Tarjeta de Memoria consignar el tipo, capacidad e inscripción observada. En caso de no existir, registrar “No Posee Tarjeta de Memoria”.
    10. Registrar el estado de conservación a simple vista del dispositivo (Bueno, Regular, Malo) incluyendo descripción de detalles. Por ejemplo, cuando posea un faltante de partes o pantalla fracturada se considerará un estado de conservación malo.
    11. Finalizados los pasos anteriores, colocar el dispositivo en una bolsa Faraday o desplegar otro método no invasivo que se valga del mismo principio para lograr un aislamiento electromagnético de toda señal (Ej. papel aluminio. Utilizar como mínimo 5 vueltas sobre el dispositivo).
  7. Tanto para equipos encendidos o apagados, cuando sea posible, secuestrar cargador y cables de datos de los dispositivos.
  8. Previa coordinación y de acuerdo a lo que disponga la autoridad judicial, si al momento del secuestro, en conocimiento de sus derechos, algún usuario deseara informar, de forma espontánea y voluntaria, la/s clave/s de su dispositivo para evitar el entorpecimiento de la etapa de análisis forense, las mismas deberán ser plasmadas en el acta labrada oportunamente. Todo uso de las claves aportadas deberá ser acordado con la autoridad judicial y debidamente documentado.
  9. Una vez acondicionado técnicamente el dispositivo (bolsa de Faraday, papel aluminio, etc.) el mismo deberá ser preservado de forma individual en un sobre, caja u otro elemento contenedor que el primer interviniente disponga que garantice la medida. Es importante remarcar que se deben incorporar firmas de los intervinientes (quienes figuran en el acta, en especial los testigos) en los cierres y pliegues del sobre, de forma tal de no generar dudas sobre un posible acceso al dispositivo. Una vez finalizado el embalaje se procederá a la confección de una planilla de cadena de custodia para cada dispositivo en particular.

 

Diagrama de flujo

Primera Intervención – Dispositivos móivles y celulares.

Intervención Técnica Forense

En cuanto a los dispositivos móviles (como teléfonos y tablets), la extracción y procesamiento/decodificación de información se llevará a cabo mediante software, y se dejará claramente documentada la versión utilizada. Existen varios tipos de extracciones disponibles para los dispositivos móviles, que dependerán de factores como los sistemas operativos (versiones/actualizaciones/parches de seguridad), los componentes electrónicos variables (chipset), las medidas de seguridad implementadas (bloqueo de acceso por parte del usuario, etc.), y el nivel de acceso a los datos de usuario (rooteado, jailbreak).

Se podrán utilizar técnicas o métodos para adquirir datos del usuario escalando privilegios en el sistema operativo del dispositivo (root, jailbreak) con el fin de facilitar la obtención de los PEP digitales, manteniendo la integridad de los mismos. Sin embargo, cualquier aplicación de una técnica o método de extracción que implique procedimientos de escalamiento de los permisos del sistema operativo para obtener datos del usuario deberá ser autorizada previamente por la autoridad judicial. Además, se deberán informar los posibles riesgos y beneficios asociados con tales prácticas.

Solo las personas autorizadas expresamente por la autoridad judicial tendrán permiso para presenciar la intervención técnico-forense y la presentación de los resultados.

Presentación

Las presentaciones de los resultados se documentarán adecuadamente mediante:

  1. Un Informe Técnico-forense que cumpla con las formalidades legales vigentes.
  2. Los PEP digitales procesados que respalden el informe. Para su almacenamiento, se emplearán métodos de verificación para garantizar su integridad, como el cálculo de HASH para cada archivo individual, HASH de archivos comprimidos, el uso de blockchain Federal, entre otros.

Tratamiento de los objetos de estudio

Una vez completadas las tareas asignadas, se llevará a cabo la devolución de los objetos de estudio y se realizará el borrado seguro de todos los datos procesados, en estricto cumplimiento de los derechos y garantías correspondientes. A menos que exista una disposición judicial en contrario, la oficina especializada no retendrá los datos obtenidos en la intervención técnico-forense ni los elementos por un tiempo indefinido, y se informará de esto a la autoridad judicial solicitante. El resguardo de la información será temporal y estará limitado a la capacidad de almacenamiento de los servidores de la institución asignada.

Únicamente se conservarán las diligencias administrativas realizadas, los informes técnicos-forenses y cualquier documentación que dé cuenta de la entrega de los elementos procesados, de acuerdo con las políticas de seguridad de la información de cada institución.

Finalmente, se embalarán adecuadamente los efectos que contengan los PEP digitales, y se elaborará la correspondiente planilla de cadena de custodia.

Glosario de términos

  • AFU (After the first unlock – Después del primer desbloqueo): es el estado del dispositivo una vez que se ha ingresado el código de acceso por primera vez.
  • BFU (Before the first unlock – Antes del primer desbloqueo): es el estado inicial cuando se enciende el dispositivo.
  • Caliente (AFU)/ Frío (BFU): términos utilizados para describir el estado de la seguridad del dispositivo.
  • Cadena de Custodia: se entiende como toda aquella documentación que registre cronológicamente la trazabilidad del elemento desde su secuestro y durante todo el proceso judicial. En el proceso se identifican todas las personas que hayan tomado contacto con esos elementos y las observaciones sobre modificaciones en su estado, siendo responsables los funcionarios públicos y particulares intervinientes.
  • IMEI (International Mobile Station Equipment Identity): Es un código de 15 dígitos programado por  el fabricante para identificar cada equipo móvil a nivel mundial. Está compuesto por un código de identificación de marca y modelo otorgado a los fabricantes por la GSMA (Global System Mobile Association).
  • IMSI (International Mobile Subscriber Identitiy): Es un número único para identificar a un abonado móvil.
  • Potencial Elemento de Prueba (PEP): Se consideran Potenciales Elementos de Prueba (PEP) aquellos dispositivos susceptibles de contener información (representación física), los cuales almacenan potencial evidencia digital (representación lógica).
  • Triage: Proceso de selección de dispositivos o filtrado de información ordenado por la autoridad judicial, quien aporta los criterios de evaluación sobre los dispositivos electrónicos en el lugar del hecho, susceptibles a ser secuestrados para llevar a cabo un posterior análisis forense. Este proceso puede traer aparejada la alteración de datos informáticos, por lo que resulta necesario tomar recaudos y precauciones, analizar los riesgos inherentes a esta clase de intervenciones e informar a la autoridad judicial sobre los mismos, así como documentar adecuadamente las tareas realizadas. El proceso del Triage servirá para sustentar la decisión judicial de secuestro o no de los elementos, realización de imágenes o copias forenses, detenciones, entre otras posibles medidas procesales. El proceso de Triage deberá ser liderado por Personal Especialista.

Fuente: El Protocolo para la identificación, recolección, preservación, procesamiento y presentación de evidencia digital: (2023). fiscales.gob.ar. Retrieved February 28, 2023, from https://www.fiscales.gob.ar/wp-content/uploads/2023/04/MINSEG-MPFN-Protocolo-evidencia-digital-2.pdf

 

Por Fabián Abel Rocha

Entrada relacionada

Artículos

Análisis Forense de Video

Fabián Abel Rocha
Artículos

Cómo identificar a que zona geográfica pertenece un número de celular

Fabián Abel Rocha
Artículos

La Evidencia Digital: Una huella dactilar en el mundo digital

Fabián Abel Rocha

You missed

Servicios

Consultoría en Peritaje Informático Forense

Fabián Abel Rocha
Portfolio

Causa Judicial – Análisis Forense de Notebook y WhatsApp en Dispositivo Móvil

Fabián Abel Rocha
Caso de Estudio

Caso de Estudio: La cartera en el estacionamiento

Fabián Abel Rocha
Artículos

Análisis Forense de Video

Fabián Abel Rocha