Herramientas para análisis forenses a dispositivos móviles.

Son muchas las personas que desconocen en qué consiste el trabajo de los peritos informáticos. Hoy
queremos dar a conocer las herramientas para análisis forenses a dispositivos móviles. Este es uno de
los servicios más comunes solicitados por nuestros clientes.

Metodología esencial para extraer pruebas en dispositivos

móviles
1. Adquisición física:
Es el método más utilizado. Para llevarlo a cabo es necesario realizar una copia del original, para así
prevenir los riesgos de dañar las pruebas y poder guardar todas las evidencias potenciales.
La adquisición física nos da el beneficio de poder obtener pruebas incluso que ya han sido borradas. La
principal desventaja es su gran dificultad en comparación con los otros métodos y el tiempo que lleva
realizarlo correctamente.

2. Adquisición lógica:
Se realiza una copia de los archivos almacenados en el dispositivo a analizar. Para llevarlo a cabo se
seguirán las instrucciones del propio fabricante. Es decir, los mecanismos que se emplean para
sincronizar el dispositivo con un ordenador. De esta forma se puede obtener la información deseada
desde el propio sistema operativo del teléfono móvil.
Este proceso es mucho más sencillo que el anterior pero no permite obtener toda la información.

3. Adquisición de sistemas de ficheros:

Este proceso nos permite obtener todos los ficheros que sean visibles mediante el sistema de ficheros.
No incluyen los que hayan sido eliminados o particiones ocultas.
Es un proceso eficaz dependiendo del tipo de investigación que tengamos que hacer. Es el que menos
dificultad presenta entre los tres mecanismos.
Para poder realizarlo se aprovecharán los mecanismos propios del sistema operativo para hacer copias
de los ficheros. Por ejemplo, para un análisis forense en Android se utilizará Android Device Bridge
(ADB) para poder recuperar cierta información que anteriormente fue eliminada. Ya que este tipo de
sistema operativo, al igual que iOS, se forman de una estructura que usa bases de datos SQLite para
guardar casi toda la información.
Es por ello que, una vez eliminados los ficheros, tan solo se marcan como visibles en la sobrescritura,
temporalmente seguirán estando disponibles y por ello recuperables.
¿Cómo seleccionar el método más adecuado para analizar un
dispositivo móvil?
Al seleccionar el método más preciso para analizar los dispositivos móviles debemos tener en cuenta
ciertos aspectos. Como por ejemplo: nivel de precisión exigido, tiempo del que disponemos para el
análisis, qué información necesitamos obtener, la información con riesgo de perderse, información
anteriormente eliminada, eliminación de aplicaciones, etcétera.
Para poder seleccionar de la forma más adecuada nos podemos ayudar de las siguientes pautas.
Destacando diferentes aspectos necesarios como tener en cuenta si la depuración del USB esta activa, si
el dispositivo se encuentra bloqueado o tenemos acceso al mismo, entre otros:

1. El teléfono está encendido.

2. ¿Está la depuración del USB encendida?
• No. ¿Está el terminal bloqueado?
1. Sí, sin posibilidad de desbloquearlo: Utilizar el método de adquisición física.
2. No: Activar depuración USB.
• Sí, es necesario autorizar al PC: poner el dispositivo en modo avión y utilizar el
método de adquisición lógica.
Para llevar a cabo un proceso de extracción necesitamos ciertas herramientas a tener en cuenta.
Dependeremos de su funcionamiento interno para poder catalogarlas en diferentes grupos.
Siguiendo el esquema anterior, podemos clasificar las herramientas de análisis forense según criterios
como: dificultad del procedimiento, tiempo necesario para realizar el análisis, riesgo de pérdida de
pruebas y lo que se conoce con el nombre de forensically sound, que hace referencia al nivel de
fiabilidad de la fuente. A mayor dificultad, más tiempo y forensically sound será necesario.

Herramientas para análisis forenses a dispositivos móviles

Gratuitas generales
Herramientas forenses para Android
• AFLogical OSE Open source Android Forensics app and framework
Una aplicación con formato APK que debe de instalarse en el terminal previamente. Una vez finalizado
el proceso de instalación podremos extraer datos variados de la tarjeta SD. Pueden ser los registros de
llamadas, contactos, aplicaciones, mensajes de texto o audiovisuales… Esta información será
recuperada o bien conectada a una tarjeta en un dispositivo externo o a través del ADB.
• Open Source Android Forensics
Un framework que se emplea para la distribución a través de imágenes de una máquina virtual que
recoge diversas herramientas que nos dan la posibilidad de analizar aplicaciones de dispositivos
móviles. Los análisis disponibles sin tanto estáticos, dinámicos o forenses.
Herramientas forenses Linux
• Lime Linux Memory Extractor
Es un software que nos da la opción de obtener un volcado de información, de forma volátil, en
dispositivos con base Linux. Como por ejemplo los teléfonos con sistema operativo de Android.
Este sistema tiene la ventaja de que puede ser ejecutado vía red.

Herramientas forenses para sistemas operativos Windows

• Andriller
Esta aplicación reúne diversas utilidades forenses. Nos permite obtener multitud de información
necesaria relacionada con las redes sociales o programas de mensajería instantánea. Tal es el caso de
WhatsApp, Skype, Tinder, etcétera. Además tiene otras funciones secundarias.

Otras herramientas
• FKT Imager Lite
Nos ofrece la posibilidad de poder trabajar con volcado de la memoria de dispositivos móviles. Así
tener la oportunidad de poder analizarlos para obtener pruebas.
• NowSecure Forensics Community Edition
Se representa como una imagen virtual que tiene diversas herramientas para llevar a cabo un análisis
forense. Dándonos así la opción de realizar diversos tipos de extracción de pruebas.

Herramientas forenses gratuitas específicas

Para Android
• Android Data Extractor Lite (ADEL)
Herramienta desarrollada por Python que nos da la posibilidad de sacar un flujograma forense derivado
de la base de datos del dispositivo móvil analizado. Para poder llevar a cabo este proceso necesitamos
que el móvil este rooteado o instalar previamente un recovery personalizado.

Para programas de mensajería instantánea

• WhatsApp Xtract
Nos da la posibilidad de visualizar las conversaciones de esta aplicación en el ordenador de manera
fácil. Para poder llevarlo a cabo debemos de obtener de forma previa las diferentes bases de datos que
tienen la información relacionada con los mensajes.
• Skype Xtractor
Entre los programas de análisis forense, esta aplicación es compatible tanto con el sistema Windows
como en Linux, que nos da la posibilidad de ver la información almacenada en el fichero main.db de
Skype. Este guarda la información sobre los contactos, las conversaciones, llamadas, ficheros
trasferidos, información eliminada, etcétera.
Herramientas de pago
Herramientas forenses para iOS
• Elcomosfot iOS Forensic Toolkit
Nos ofrece la posibilidad de adquirir de forma física información sobre los dispositivos con el sistema
operativo iOS: iPhone, iPad o iPod. También dispone de otras funciones de utilidad como por ejemplo
descifrar el fichero de almacenamiento de las contraseñas de usuario del dispositivo a analizar. Así
como registrar cada movimiento llevado a cabo durante todo el proceso para poder dejar constancia de
este.

Otras herramientas
• Cellebrite Touch

Es un dispositivo de los más populares del mercado, que se emplea para la extracción de pruebas. Nos
da la posibilidad de trabajar con más de 6 mil terminales con diferentes sistemas operativos móviles. A
pesar de parecer lo contrario, es uno de los sistemas más fáciles e intuitivos.
• Escase Forensics
Como la herramienta anterior, Cellebrite, es un gran ejemplo en el mundo del análisis forense. Dispone
de una gran capacidad de funcionalidades a la hora de identificar los ficheros cifrados y de poder
descifrarlos gracias a Passware Kit Forensic.
• MOBILedit! Forensic
Nos ofrece obtener toda la información y poder realizar operaciones avanzadas como por ejemplo la
obtención de un volcado completo de memoria, evitando las medidas de bloqueo del terminal móvil.
• Oxygen Forensic Suite
Puede conseguir la información de cerca de 10 mil tipos diferentes de dispositivos móviles. Incluso
puede llegar a obtener la información de servicios almacenados en la nube e importarla a backups o
imágenes.

Métodos para usar herramientas forenses para Android

Hay que seguir un procedimiento concreto para ser capaces de obtener las pruebas necesarias en
dispositivos móviles con sistema operativo Android. Lo primero a tener en cuenta es estar seguros que
la opción “Depuración de USB” se encuentra activa, preferentemente en la opción de “Permanecer
activado”. Después de esto debemos de deshabilitar todas las opciones de bloqueo de pantalla. Si el
dispositivo móvil tiene la opción de bloqueo configurada es necesario evitarla.
Las herramientas citadas anteriormente, principalmente las que son de pago, también incluyen formas
para saltarse estos métodos de protección. Por lo que deberemos seguir de forma previa los pasos
indicados, aunque este proceso no siempre se encuentran disponible.
Si realizamos los procedimientos de forma manual deberemos seguir alguna de las siguientes pautas:
• Muchos de los dispositivos están rooteados, por lo que debemos de intentar eliminar el fichero
que se encargue de gestionar la contraseña llamada key o key.pasword. Dependiendo del método
de protección que se establezca, los cuales estarán almacenados en /data/system/. También
podemos copiarlos y descifrar su patrón a través de algún diccionario, como por ejemplo
AndroidGestureSHA1. Esto se llevará a cabo a través de una herramienta como puede ser
Android Pattern Lock Craker.
• Podemos instalar algún recovery personalizado, como podría ser ClockWorkMod, Team Win
Recovery Protect (TWRP), etcétera. Para así poder desactivar el bloqueo que no nos permite
acceder al dispositivo.
• La fragmentación de datos en dispositivos móviles tiene un problema fundamental, es causante
de la gran mayoría de los movibles afectados y con fallos de vulnerabilidad que no pueden ser
solucionados en estos modelos. Por lo que dependen de la versión de Android, que nos puede
dar la opción de usar alguna de ellas para poder entrar en el dispositivo, como podría ser CVE-
2013-6271.
• El uso de la fuerza bruta. Hay casos donde nos encontramos con sistemas de cifrado de 4
números. Para poder desbloquear el dispositivo solo es cuestión de un periodo de tiempo que
ronda las 12 o 16 horas como mucho.
• También hay casos donde se han obtenido los patrones de desbloqueo mediante las huellas
dejadas en la pantalla. Es un método poco utilizado, sacado a la luz en la Universidad de
Pennsylvania, conocido con el nombre de Smudge Attack.