Download iPhorensics - Trabajos de Grado de la facultad de Ingeniería de

Document related concepts

Sistema operativo móvil wikipedia , lookup

Transcript
CIS0910SD01
IPHORENSICS: UN PROTOCOLO DE ANÁLISIS FORENSE PARA DISPOSITIVOS
MÓVILES INTELIGENTES
Autores:
ANDREA ARIZA DÍAZ
JUAN CAMILO RUÍZ CARO
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERÍA
CARRERA DE INGENIERÍA DE SISTEMAS
BOGOTÁ D.C.
Diciembre de 2009
1
IPHORENSICS: UN PROTOCOLO DE ANÁLISIS FORENSE PARA DISPOSITIVOS
MÓVILES INTELIGENTES
Autores:
ANDREA ARIZA DÍAZ
JUAN CAMILO RUÍZ CARO
Trabajo de grado presentado para optar el título de Ingeniero de Sistemas
Director:
Ingeniero Jeimy José Cano Martínez, PhD
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERÍA
CARRERA DE INGENIERÍA DE SISTEMAS
BOGOTÁ D.C.
Diciembre de 2009
2
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERÍA
CARRERA DE INGENIERÍA DE SISTEMAS
Rector Magnífico
Padre Joaquín Emilio Sánchez García S.J.
Decano Académico Facultad de Ingeniería
Ingeniero Francisco Javier Rebolledo Muñoz
Decano del Medio Universitario Facultad de Ingeniería
Padre Sergio Bernal Restrepo S.J.
Director Carrera de Ingeniería de Sistemas
Ingeniero Luis Carlos Díaz Chaparro
Director Departamento de Ingeniería de Sistemas
Ingeniero Germán Alberto Chavarro Flórez
3
Nota de Aceptación
______________________________________________________
______________________________________________________
______________________________________________________
______________________________________________________
________________________________________
Jeimy José Cano Martínez
Director del Proyecto
________________________________________
María Isabel Serrano Gómez
Jurado
________________________________________
Nelson Gómez de la Peña
Jurado
4
Diciembre de 2009
Artículo 23 de la Resolución No. 1 de Junio de 1946
“La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus
proyectos de grado. Sólo velará porque no se publique nada contrario al dogma y la moral católica y
porque no contengan ataques o polémicas puramente personales. Antes bien, que se vean en ellos el
anhelo de buscar la verdad y la Justicia”
5
CONTENIDO
ÍNDICE DE ILUSTRACIONES ......................................................................................................... 9
ÍNDICE DE TABLAS ...................................................................................................................... 11
ABSTRACT ...................................................................................................................................... 12
RESUMEN........................................................................................................................................ 12
INTRODUCCIÓN ............................................................................................................................ 13
1.
2.
DESCRIPCIÓN GENERAL DEL TRABAJO DE GRADO .................................................... 17
1.1.
Formulación .................................................................................................................. 17
1.2.
Justificación................................................................................................................... 17
1.3.
Objetivo general ............................................................................................................ 18
1.4.
Objetivos específicos..................................................................................................... 18
REVISIÓN DE LITERATURA ................................................................................................ 19
2.1.
¿Qué es el iPhone? ............................................................................................................ 19
2.1.1.
Conociendo el iPhone.................................................................................................... 22
2.1.2.
Especificaciones técnicas del iPhone ............................................................................ 23
2.1.3.
Estructura lógica y física del iPhone ............................................................................. 24
2.1.3.1.
Hardware del iPhone ............................................................................................. 25
2.1.3.2.
Software del iPhone .............................................................................................. 27
2.1.3.2.1.
El sistema operativo iPhone OS ............................................................................ 29
2.1.3.2.1.1.
Tecnología de capas del iPhone OS .................................................................. 29
El sistema de archivos HFS+ ................................................................................ 31
2.1.3.2.2.
2.1.3.2.2.1.
HFS+ Básico ..................................................................................................... 31
2.1.3.2.2.2.
Conceptos del núcleo......................................................................................... 32
2.1.3.2.2.3.
Estructura del volumen ...................................................................................... 32
2.1.3.2.2.4.
HFSX ................................................................................................................. 34
2.1.3.2.2.5.
Zona de Metadatos ............................................................................................ 34
2.2.
Problemas de seguridad en el iPhone 3G .......................................................................... 35
2.2.1.
Jailbreak .................................................................................................................... 35
2.2.2.
Phishing, Spoofing y Spamming ............................................................................... 36
2.2.3.
Ataque directo ........................................................................................................... 38
2.2.4.
Inyección de mensajes cortos en teléfonos inteligentes ............................................ 41
6
2.3.
Informática forense en teléfonos inteligentes .................................................................... 42
2.3.1.
Informática forense clásica........................................................................................ 42
2.3.1.1.
Evidencia digital .................................................................................................... 43
2.3.1.1.1.
Administración de evidencia digital ...................................................................... 44
2.3.1.1.1.1.
Diseño de la evidencia ....................................................................................... 44
2.3.1.1.1.2.
Producción de la evidencia ................................................................................ 44
2.3.1.1.1.3.
Recolección de la evidencia .............................................................................. 45
2.3.1.1.1.4.
Análisis de la evidencia ..................................................................................... 45
2.3.1.1.1.5.
Reporte y presentación ...................................................................................... 46
2.3.1.1.1.6.
Determinación de la relevancia de la evidencia ................................................ 46
2.3.1.1.2.
Consideraciones legales ........................................................................................ 46
2.3.1.2.
Modelos y procedimientos en una investigación forense digital........................... 47
2.3.1.2.1.
Cualidades de un modelo forense .......................................................................... 47
2.3.1.2.2.
Modelos forenses existentes .................................................................................. 48
2.3.1.2.2.1.
Departamento de Justicia de Estados Unidos (2001) ........................................ 48
2.3.1.2.2.2.
Modelo forense digital abstracto (2002)........................................................... 48
2.3.1.2.2.3.
Modelo forense Mandia (2003) ......................................................................... 49
2.3.1.2.2.4.
Modelo de investigación digital integrado – IDIP (2003) ................................. 50
2.3.1.3.
Roles y funciones en una investigación forense digital......................................... 53
2.3.1.4.
Usos de la informática forense .............................................................................. 54
2.3.2.
Informática forense en iPhone 3G ............................................................................. 54
2.3.2.1.
WOLF de Sixth Legion ......................................................................................... 57
2.3.2.2.
Cellebrite UFED.................................................................................................... 58
2.3.2.3.
Paraben Device Seizure (DS) ................................................................................ 59
2.3.2.4.
MacLockPick II (MLP) ......................................................................................... 60
2.3.2.5.
MDBackup Extract ................................................................................................ 60
2.3.2.6.
.XRY/.XACT 4.1 .................................................................................................. 61
2.3.2.7.
iLiberty+ ................................................................................................................ 61
2.3.2.8.
CellDEK ................................................................................................................ 62
2.3.2.9.
MEGA ................................................................................................................... 63
3. GUÍA METODOLÓGICA PARA REALIZAR ANÁLISIS FORENSE SOBRE
DISPOSITIVOS MÓVILES (Caso de estudio: iPhone 3G) ............................................................. 64
7
4.
3.1.
Etapa de preparación e implementación ............................................................................ 64
3.2.
Etapa de investigación física ............................................................................................. 64
3.3.
Etapa de investigación digital ........................................................................................... 67
3.4.
Etapa de presentación y revisión ....................................................................................... 69
VALIDACIÓN DE LA GUÍA METODOLÓGICA PROPUESTA ......................................... 70
4.1.
Escenario de prueba .......................................................................................................... 70
4.1.1.
4.2.
Definición del ataque y herramientas ........................................................................ 70
Aplicación guía metodológica ........................................................................................... 70
4.2.1.
Etapa de preparación e implementación .................................................................... 70
4.2.2.
Etapa de investigación física ..................................................................................... 71
4.2.3.
Etapa de investigación digital.................................................................................... 79
4.2.4.
Etapa de presentación y revisión ............................................................................... 80
5.
RETROALIMENTACIÓN DE LA GUÍA METODOLÓGICA .............................................. 81
6.
CONCLUSIONES .................................................................................................................... 83
7.
TRABAJOS FUTUROS ........................................................................................................... 84
8.
REFERENCIAS ........................................................................................................................ 85
8
ÍNDICE DE ILUSTRACIONES
Ilustración 1. Estado del Mercado Mundial de Dispositivos Móviles 2006-2007. Tomado de [3],
traducción libre de los autores ........................................................................................................... 13
Ilustración 2. Estado del Mercado Mundial de Dispositivos Móviles 2007-2008. Tomado de [4],
traducción libre de los autores ........................................................................................................... 14
Ilustración 3. Experiencia de Incidentes de Seguridad en las Organizaciones. Tomado de [7],
traducción libre de los autores ........................................................................................................... 15
Ilustración 4. Porcentaje de Incidentes al Año en Organizaciones. Tomado de [7], traducción libre
de los autores ..................................................................................................................................... 15
Ilustración 5. ROKR. Tomado de [19] .............................................................................................. 20
Ilustración 6. iPhone Linksys. Tomado de [101] .............................................................................. 21
Ilustración 7. iPhone 3G. Tomado de [24] ........................................................................................ 21
Ilustración 8. Partición del disco del iPhone. Tomado de [9], traducción libre de los autores ......... 28
Ilustración 9. Interacción iPhone OS. Tomado de [42] ..................................................................... 29
Ilustración 10. Tecnología de capas del iPhone OS. Tomado de [42], traducción libre de los autores
........................................................................................................................................................... 30
Ilustración 11. Estructura general del volumen HFS+. Tomado de [43], traducción libre de los
autores ............................................................................................................................................... 34
Ilustración 12. Recorte de URL en la aplicación iPhone Mail .......................................................... 36
Ilustración 13. Página falsa accedida por medio del iPhone 3G ....................................................... 37
Ilustración 14. Solicitud descarga de imágenes adjuntas cliente de correo Gmail desde portátil
Compaq V37l8LA [56] con sistema operativo Windows XP. .......................................................... 37
Ilustración 15. Descarga automática de imágenes adjuntas desde iPhone Mail ................................ 38
Ilustración 16. Escaneo de red y puertos abiertos con Zenmap ........................................................ 40
Ilustración 17. Ingreso datos para acceder al dispositivo por SSH ................................................... 40
Ilustración 18. Ingreso de usuario y contraseña WinCSP Login ....................................................... 40
Ilustración 19. Acceso a ficheros del iPhone usando WinSCP Login ............................................... 41
Ilustración 20. Modelo lógico del inyector SMS. Tomado de [90], traducción libre de los autores . 42
Ilustración 21. Ciclo administración de la evidencia digital [70] ...................................................... 44
Ilustración 22. Modelo respuesta a incidentes Kevin Mandia. Tomado de [80], traducción libre de
los autores.......................................................................................................................................... 49
Ilustración 23. Fases del modelo IDIP. Tomado de [37], traducción libre de los autores................. 51
Ilustración 24. Fases de investigación física de la escena del crimen. Tomado de [37], traducción
libre de los autores ............................................................................................................................ 51
Ilustración 25. Fases de investigación digital de la escena del crimen. Tomado de [37], traducción
libre de los autores ............................................................................................................................ 52
Ilustración 26. Desmontar iPhone desde iTunes ............................................................................... 65
Ilustración 27. Foto de estado general de la escena del crimen......................................................... 71
Ilustración 28. Foto computador portátil V3718LA no incautado .................................................... 73
Ilustración 29. Foto router Linksys no incautado .............................................................................. 73
Ilustración 30. Foto cable USB incautado ......................................................................................... 73
9
Ilustración 31. Foto adaptador de corriente incautado ...................................................................... 73
Ilustración 32. Foto iPhone 3G incautado ......................................................................................... 74
Ilustración 33. Foto de iPhone 3G aislado de la red 3G y Wi-Fi por medio de una bolsa anti estática
........................................................................................................................................................... 78
10
ÍNDICE DE TABLAS
Tabla 1. Porcentaje Anual de Incidentes Sobre Dispositivos Móviles. Tomado de [7], traducción
libre de los autores ............................................................................................................................ 16
Tabla 2. Especificaciones Técnicas del iPhone [21] ......................................................................... 24
Tabla 3. Hardware iPhone primeras generaciones. Tomado de [5], traducción libre de los autores 25
Tabla 4. Hardware iPhone 3G. Tomado de [23], traducción libre de los autores ............................. 26
Tabla 5. Características HFS+ [43], traducción libre de los autores ................................................. 31
Tabla 6. Asignación de roles ............................................................................................................. 70
Tabla 7. Formato actuación primer respondiente diligenciado ......................................................... 71
Tabla 8. Formato documentación escena del crimen diligenciado.................................................... 72
Tabla 9. Formulario de identificación del dispositivo vulnerado diligenciado ................................ 76
Tabla 10. Registro de cadena de custodia diligenciado..................................................................... 77
11
ABSTRACT
Now days, mobile telephony has become very popular world wide due to it’s wide range of
functionality, combined with its mobile capacity that offer to final users. In this scenario appears the
iPhone, which offers integrated services of cell phone, music player and Web browser features. It
has achieved great user acceptance for both, the common and the corporate users. As a consequence
of its popularity, the iPhone is now considered as a working tool, such as a computer, in which
sensitive information is stored. As its popularity grows, attacks to its vulnerabilities grow too.
Therefore this work, as a contribution to mobile forensics, presents an analysis protocol which helps
in the formalization of procedures in iPhone 3G forensic investigations.
RESUMEN
En la actualidad, la telefonía móvil ha adquirido gran popularidad en el mundo entero debido a las
características de portabilidad y usabilidad que ofrece a sus clientes. En este escenario se encuentra
el iPhone el cual, gracias a los servicios integrados de teléfono celular, reproductor de música y
navegador web, ha alcanzado gran aceptación tanto para el usuario común como para los usuarios
corporativos. Como consecuencia de su popularidad ha logrado convertirse en una herramienta de
trabajo en la cual se almacena información sensible, razón por la que igualmente, se han
incrementado los ataques a las vulnerabilidades que el dispositivo presenta. Por lo tanto este trabajo
de grado, presenta un aporte a la informática forense orientada a dispositivos móviles, proponiendo
un protocolo de análisis que ayude a formalizar los procedimientos al momento de realizar este tipo
de investigaciones en un iPhone 3G.
12
INTRODUCCIÓN
Según [1] en la actualidad, y desde hace aproximadamente diez años, el empleo de dispositivos
móviles se ha incrementado notablemente. “El uso de sistemas de telecomunicaciones móviles en
todo el mundo ha llegado a proporciones casi epidémicas”, principalmente por su facilidad de uso y
la propiedad de mantener en contacto permanente a sus usuarios, por lo cual se ha generado un
cambio significativo en la forma en que las personas se comunican, pero también por su
proliferación se ha incrementado su uso en actividades de orden delictivo.
Existe gran variedad de gamas de dispositivos móviles, dentro de los cuales el mayor crecimiento
en popularidad y uso se presenta en los dispositivos móviles inteligentes, debido a su capacidad
tanto para realizar llamadas como para navegar por Internet con el objetivo de intercambiar
información a través de diferentes enlaces y además porque permiten desarrollar y ejecutar
aplicaciones que no necesariamente son incluidas por el fabricante [2]. Canalys, empresa que realiza
análisis expertos de la industria de alta tecnología, realiza anualmente una investigación acerca del
estado del mercado de los dispositivos móviles inteligentes. En los dos últimos años (2007-2008) se
ha presentado el mayor crecimiento en el uso de estos dispositivos comparándolo con años
anteriores. Las investigaciones indican que en el 2007 los teléfonos móviles inteligentes
representaron el 10% del mercado mundial de telefonía móvil por unidades, con un crecimiento
anual del 60%, siendo así, uno de los segmentos de más rápido crecimiento en la industria de la
tecnología (Ver Ilustración 1) [3].
Ilustración 1. Estado del Mercado Mundial de Dispositivos Móviles 2006-2007. Tomado de [3], traducción libre de
los autores
De los resultados observados anteriormente cabe rescatar que Apple1 se introdujo en el mercado en
tercer lugar con el dispositivo móvil iPhone, esto gracias a la innovación en cuanto a diseño e
interfaz de usuario que soporta [3]. Canalys estimó que Apple en el 2007 tomó el 28% del mercado
de dispositivos móviles de EE.UU [3].
1
Empresa estadounidense de tecnología informática.
13
Las investigaciones realizadas en el 2008 indican que los teléfonos móviles inteligentes
representaron el 13% del mercado mundial de telefonía móvil por unidades (Ver Ilustración 2).
Ilustración 2. Estado del Mercado Mundial de Dispositivos Móviles 2007-2008. Tomado de [4],
traducción libre de los autores
De lo anterior, con la llegada del iPhone 3G al mercado, Apple se posicionó en el segundo lugar de
ventas de dispositivos móviles inteligentes [4]. De tal manera que el iPhone 3G se ha convertido
rápidamente en líder en el mercado de dispositivos móviles, gracias a su uso en organizaciones y al
uso de las personas en su vida cotidiana. Su amplio rango de funcionalidades, combinado con el
hecho de ser móvil permite que sea considerado como una oficina móvil o como un computador en
sí [5].
Al alcanzar tanta popularidad en el mercado mundial de dispositivos móviles y por la variedad de
funcionalidades que ofrecen los teléfonos inteligentes, también se han incrementado notablemente
los ataques a las vulnerabilidades que ellos presentan. Un tipo de estos ataques, son los llamados
ataques fuertes, los cuales son más fáciles de realizar y son más lucrativos para quienes los
desarrollan y llevan a cabo, no solo a nivel de dispositivos móviles sino a nivel de cualquier otro
sistema informático dentro de una organización [7]. Anualmente el Instituto de Seguridad
Informática CSI (Computer Security Institute) [6] publica reporte llamado CSI Computer Crime and
Security Survey [5] en el cual se realiza un análisis de la situación actual de la seguridad informática
y del crimen cibernético de las organizaciones participantes de la encuesta (alrededor de 522
organizaciones), y cuyo objetivo principal es conocer si las mejores prácticas de seguridad
informática implantadas producen resultados. La encuesta año tras año se encarga de preguntar qué
tipo de incidentes se presentan dentro de las organizaciones, los resultados que se obtuvieron en el
2008 se pueden ver en la Ilustración 3.
14
Ilustración 3. Experiencia de Incidentes de Seguridad en las Organizaciones. Tomado de [7], traducción
libre de los autores
Es rescatable que año tras año la cifra se reduce en una proporción considerable (Ver Ilustración 4)
debido a que las organizaciones advierten la necesidad de invertir presupuesto en la seguridad
informática. Pero aún así, el número de incidentes que se presentan sigue siendo grande, pues hay
gran cantidad de ellos que no son detectados [8].
Ilustración 4. Porcentaje de Incidentes al Año en Organizaciones. Tomado de [7], traducción libre de
los autores
Además, debido a la necesidad de movilidad dentro de las organizaciones y la necesidad de poder
tener la información necesaria disponible en cualquier lugar y en cualquier momento, el uso de
dispositivos móviles inteligentes dentro de estas se ha incrementado notablemente, una de las
razones por las cuales su popularidad ha aumentado al igual que los incidentes de inseguridad (robo
de información de propietarios y pérdida de datos de clientes) que ocurren sobre ellos (Ver Tabla 1)
[8].
Tabla 1
2004
2005
2006
2007
2008
Robo/Pérdida de
información de
propietarios
De dispositivos móviles
10%
9%
9%
8%
9%
4%
5%
De todas las otras fuentes
Robo/Pérdida de datos de
clientes
17%
17%
15
De dispositivos móviles
8%
De todas las otras fuentes
8%
Tabla 1. Porcentaje Anual de Incidentes Sobre Dispositivos Móviles. Tomado de [7], traducción libre de
los autores
“Gran porcentaje de los encuestados intenta realizar la identificación del perpetrador de los ataques.
Este es uno de los objetivos principales de la informática forense ya que ésta disciplina es la
encargada de recuperar y recolectar evidencia digital del sistema vulnerado para lograr identificar la
acción realizada y demás detalles del ataque efectuado” [8]. Es más fácil y debe ser más importante
para lograr la identificación de estos perpetradores, monitorear los terminales de comunicación que
la comunicación en si misma. Por ejemplo si un criminal utiliza un iPhone para llevar a cabo algún
tipo de ataque, su operación estará comprometida en cierto nivel [5], pues el hecho que haya
utilizado este dispositivo para cometer el ataque implicará que se siga un procedimiento estándar
establecido para la realizar la investigación.
En la actualidad existen una gran cantidad de proveedores y de fabricantes de dispositivos móviles
inteligentes lo que produce heterogeneidad en todo sentido en el campo de la informática forense,
especialmente en las herramientas que se utilizan para obtener evidencia de los dispositivos en una
investigación forense, de tal manera que los fabricantes crean sus propios protocolos para este
propósito [2]. Por tal razón las investigaciones forenses sobre este tipo de dispositivos es
considerada un área de investigación reciente, es decir, la legalidad y la admisibilidad del proceso
seguido para obtener evidencia puede variar de jurisdicción en jurisdicción [9], de proveedor a
proveedor, de analista a analista.
Como se mencionó anteriormente el iPhone 3G es uno de los teléfonos móviles más populares en el
mercado, convirtiéndose rápidamente en líder de ventas a nivel mundial. Es en esencia un
computador, y el personal de muchas organizaciones lo utiliza para manejar información sensible de
la misma, por su amplio rango de funcionalidades que hace que sea considerado como una oficina
móvil [5]. A diferencia de la informática forense clásica, el análisis forense sobre dispositivos
móviles inteligentes y específicamente sobre iPhone, es un campo relativamente nuevo y los
procedimientos y las normas no se han completado, por lo cual un análisis forense que se lleve a
cabo sobre un dispositivo como este, puede ser admitido o no, dependiendo de lo que considere el
juez que lleve el caso y la formalidad con que se desarrolle el procedimiento de recolección,
control, análisis y presentación de las evidencias.
16
1. DESCRIPCIÓN GENERAL DEL TRABAJO DE GRADO
1.1.
Formulación
Actualmente la información almacenada en cualquier computador y/o dispositivo móvil puede
considerarse como el activo de información más valioso para cualquier organización e incluso para
cualquier persona del común. Con los métodos de comunicación que existen actualmente como la
red wireless2 o tecnologías de corto alcance como Bluetooth3 se puede hacer uso de la información
y compartir la misma de manera eficiente sin necesidad de encontrarse en una estación de trabajo
fija conectada a algún medio físico.
Por consiguiente, el constante desarrollo de las tecnologías móviles ha permitido aumentar la
portabilidad de la información. Esto se ve reflejado con la llegada de la tercera generación de
telefonía móvil, donde podemos tener acceso a dispositivos móviles como el iPhone 3G, que en
esencia tiene las mismas características de un computador y permite almacenar y transferir varios
tipos de información en el momento y lugar deseado por el usuario [5] [16].
Por otra parte debido a su gran popularidad y la importancia de la información que almacenan y
transmiten, estos dispositivos pueden ser víctimas de ataques criminales que buscan afectar la
integridad, confiabilidad y disponibilidad de la información que estos administran, como mensajes
de texto, mensajes multimedia, historial de páginas web visitadas, contactos telefónicos, imágenes,
registro de llamadas, sonidos y correos electrónicos [12], información valiosa al momento de
realizar un análisis forense en una escena del crimen donde se encuentre un iPhone 3G [13].
En consecuencia uno de los retos que enfrenta actualmente la computación forense es realizar
análisis forense sobre dispositivos móviles y en el caso de esta investigación específicamente sobre
el iPhone 3G, esto debido a que se tiene como base los procedimientos realizados en la informática
forense clásica4, pero no existen procedimientos formalizados para realizar este tipo de análisis
específicamente sobre este dispositivo.
Por tanto, y teniendo en cuenta lo anterior, esta investigación trata de dar respuesta a la pregunta:
¿Qué pasos se deben seguir para realizar un análisis forense sobre un iPhone con tecnología 3G
luego de ser víctima de un ataque?
1.2.
Justificación
Se ha evidenciado que si bien el investigador forense tiende a seguir una metodología para realizar
un análisis, frecuentemente la aparición de nuevas tecnologías y la heterogeneidad que estas
presentan, no permiten que el seguimiento sea estricto y que varíen los procedimientos que se
2
Tecnología inalámbrica que provee a las computadoras y otros dispositivos comunicación sin tener que
estar conectadas a algún medio físico [10].
3
Tecnología que consiste en la comunicación entre dos o más dispositivos sin la intervención de cables
(Wireless), por medio de un transmisor RF, una banda base y una pila de protocolos [11].
4
La informática forense es una rama de las ciencias forenses, que involucra la aplicación de la metodología y
la ciencia para identificar, preservar, recuperar, extraer, documentar e interpretar [5] pruebas o evidencias
procedentes de fuentes digitales con el fin de facilitar la reconstrucción de los hechos encontrados en la
escena del crimen [36], para luego usar dichas evidencias como elemento material probatorio en un proceso
judicial [34] [14].
17
utilizan. Por otra parte, la variedad de herramientas de análisis de datos que existen, presentan
características particulares que facilitan o dificultan algunas actividades necesarias en el proceso de
análisis de datos.
Este documento establece un conjunto de elementos conceptuales y aplicados sobre el dispositivo
móvil iPhone 3G, perteneciente a una de las áreas que requiere hoy en día mas investigación y
profundización [14], debido a que los procedimientos y las normas para su análisis aún se
encuentran en desarrollo, y al crecimiento tecnológico y popularidad alcanzada. En la segunda fase
de la investigación se propondrá una guía metodológica donde se definirá el proceso especializado
en la obtención de detalles de incidentes ocurridos en un iPhone 3G, además de probar escenarios
reales en incidentes de seguridad informática sobre el dispositivo.
1.3.
Objetivo general
Desarrollar una guía metodológica para realizar análisis forense sobre dispositivos móviles luego de
ser víctima de un ataque (Caso de estudio: iPhone 3G).
Objetivos específicos
1.4.

Identificar las características físicas y funcionales del iPhone 3G.

Identificar los problemas de seguridad de la información del iPhone 3G.

Analizar los modelos actuales de la informática forense clásica orientada a dispositivos
móviles iPhone 3G.

Caracterizar los tipos de ataques y herramientas forenses orientadas a iPhone 3G existentes
hasta el momento.

Diseñar una guía metodológica, definiendo el proceso de análisis forense sobre iPhone 3G.

Probar la guía metodológica propuesta, luego de su aplicación en casos concretos de
ataques sobre iPhone 3G.
18
2. REVISIÓN DE LITERATURA
2.1.
¿Qué es el iPhone?
El iPhone es un dispositivo móvil creado por Apple5, caracterizado principalmente por combinar
tres productos en uno: un teléfono revolucionario, un iPod6 de pantalla ancha y un innovador
dispositivo de internet que permite navegar en la web, recibir correos electrónicos con HTML
enriquecido y navegación web completa [27]. En la actualidad existen 2 generaciones, la generación
más reciente de estos dispositivos es llamada iPhone 3G, la cual se diferencia de la segunda
principalmente por hacer uso de la tercera generación de telefonía móvil y por tener nuevas
funcionalidades como GPS7 [29] (Ver sección 2.1.1. Conociendo el iPhone).
Según [16], la historia del iPhone comienza en el año 2002 poco tiempo después de haber sido
lanzado al mercado el reproductor de música iPod (Ver Anexo 1), cuando el presidente de Apple,
Steve Jobs, vio la necesidad de crear un dispositivo que uniera las características propias de un
teléfono celular, un BlackBerry8 y un reproductor de música, con el objetivo de aumentar la
comodidad al momento de utilizar estos productos, debido a que hasta ese momento los usuarios
adquirían cada uno de estos por separado.
Para esa época la idea de Steve Jobs era buena, pero tenía algunos inconvenientes. La velocidad de
las redes no permitirían crear un dispositivo móvil que accediera de manera eficiente a internet, y
además Apple tuvo que crear un sistema operativo completamente nuevo, debido a que el sistema
operativo del iPod no era suficientemente sofisticado para manejar redes, gráficos y las funciones de
un teléfono celular; pero sin importar estos inconvenientes Apple comenzó a registrar la marca de
iPhone en varios países como Singapur y Australia [19].
En el 2004 la popularidad del iPod disminuyó, debido la llegada al mercado de los teléfonos
inteligentes que unían la posibilidad de tener un teléfono celular y escuchar música en el mismo
dispositivo [17], en este año Motorola había lanzado al mercado su teléfono celular RAZR. Al ver
la popularidad de este dispositivo Steve Jobs se alió con Motorola para crear un teléfono celular
innovador que uniera las funcionalidades del iTunes9 con un teléfono celular [16].
En septiembre de 2005, se lanzó al mercado el ROKR (Ver Ilustración 5), resultado de la alianza
entre Apple y Motorola, teléfono celular llamado “un iPod Shuffle en tu teléfono” por Steve Jobs
[18]; este producto no fue exitoso, ya que tenía problemas de capacidad al solo poder almacenar 100
5
Formalmente Apple Computer Inc., empresa norte americana que se caracteriza por producir
computadores, portátiles, impresoras, cámaras y sistemas operativos con tecnología innovadora por más de
30 años [9]
6
Reproductor de música creado por Apple Inc., caracterizado por ser una biblioteca multimedia digital [28]
7
Sistema de posicionamiento global, que permite determinar en todo el mundo la posición de un objeto,
una persona, un vehículo o una nave, con una precisión hasta de centímetros.
8
Inicialmente fueron una solución que se dio a la necesidad de interconexión entre personal de empresas
[20]
9
Aplicación para MAC y computadores personales, que reproduce música digital y sincroniza el contenido
del iPod, iPhone y Apple TV [22]
19
canciones, no se podían descargar canciones directamente desde iTunes y su apariencia física no era
agradable [17] [18].
Ilustración 5. ROKR. Tomado de [19]
En octubre de ese año, luego del fracaso del ROKR, Steve Jobs se reunió con los directivos de
Cingular (AT&T desde diciembre del 2006), dando a conocer que Apple tenía la tecnología
necesaria para construir un dispositivo revolucionario, y estaba dispuesto a considerar un acuerdo
de exclusividad con esta empresa de telefonía [17]. En ese momento Jobs estaba confiado de los
resultados que podría obtener, ya que los ingenieros de Apple habían trabajado aproximadamente
un año en la tecnología de pantalla táctil para los monitores de los computadores de escritorio MAC
y gracias al lanzamiento del microprocesador ARM, finalmente el procesador del teléfono podía ser
más eficiente para un dispositivo que tenía como objetivo combinar la funcionalidad de un teléfono
celular, un computador y un iPod [16].
El diseño y construcción del iPhone comenzó a mediados del 2006. Internamente en Apple, este
proyecto fue conocido como P2 (Purple 2), el software y hardware del iPhone se desarrolló en
diferentes equipos de trabajo, y faltando pocos meses para su lanzamiento, los equipos se reunieron
para unir estas dos partes [16]. En Noviembre del mismo año, Apple consiguió la patente del iPhone
y un mes después cuando los ingenieros de Apple seguían trabajando en el prototipo del iPhone,
Linksys adquirido por Cisco, lanzó al mercado su teléfono celular llamado iPhone (Ver Ilustración
6), nombre adquirido por ellos desde el año 2000 [19]. Por tal razón, a comienzos del 2007 Cisco
demandó a Apple por haber patentado el dispositivo con el nombre “iPhone”, pero luego de un mes
las dos partes llegaron a un acuerdo que consistía en compartir el nombre.
20
Ilustración 6. iPhone Linksys. Tomado de [101]
En enero de 2007, antes que Cisco instaurara la demanda contra Apple por el nombre del iPhone,
Steve Jobs anunció en el MacWorld10 de ese año, que en pocos meses sería el lanzamiento oficial de
la primera generación del dispositivo [19]. Luego de 6 meses de espera, el 29 de Junio de 2007 se
realizó el lanzamiento oficial del iPhone al mercado. Aunque el dispositivo tuvo gran acogida por
parte de los usuarios, tenía problemas al cargar la batería, se perdían las llamadas y no se podían
ejecutar programas hechos en Flash o Java, sin embargo, estos problemas se fueron solucionando a
través de las actualizaciones de software.
Durante la segunda mitad del 2007 Apple se dedicó a perfeccionar las aplicaciones del iPhone y a
crear varias gamas del mismo dispositivo, y finalmente el 11 de Julio de 2008 fue lanzado al
mercado la segunda generación de iPhone, dispositivo conocido como iPhone 3G [16] [19] (Ver
Ilustración 7), caracterizado por hacer uso de la tercera generación de tecnología móvil (Ver sección
2.1.1. Conociendo el iPhone).
Ilustración 7. iPhone 3G. Tomado de [24]
10
Evento usado por Apple para promocionar sus productos más importantes [16]
21
2.1.1. Conociendo el iPhone
Diferentes dispositivos móviles, incluyendo celulares, han podido hacer lo que el iPhone es capaz
de hacer desde hace mucho tiempo. Según [9], lo que lo diferencia de los demás y ha logrado
hacerlo tan popular en el mercado de la tecnología móvil, es su diseño de pantalla táctil con un
teclado virtual, lo cual permite que el tamaño de la pantalla sea superior a cualquier otro dispositivo
permitiendo que la visualización de películas, fotos y el navegar por la web se pueda realizar de
manera mas sencilla y cómoda.
Actualmente existen dos generaciones de iPhone. De la primera generación se lanzaron modelos
con capacidad de almacenamiento de 4 GB y 8 GB, el modelo de 4 GB fue descontinuado del
mercado dos meses después de su lanzamiento, por lo cual se lanzó el modelo de 16 GB de
capacidad de almacenamiento. De la segunda generación se lanzaron modelos con las mismas
capacidades, la diferencia radica en que el iPhone de segunda generación utiliza tecnología 3G
(dispositivo de comunicación celular de tercera generación), y añade mas funcionalidades [9].
Las principales funciones del primer iPhone fueron:





Comunicación celular
Acceso Web
Correo electrónico
Asistente personal de datos (PDA)
 Calendario
 Agenda
 Notas
Conexión con iTunes y YouTube11
La segunda generación de iPhone presenta más funcionalidades como servicios de GPS, que pueden
ser vinculados con Google Maps12 para indicarle al usuario su ubicación exacta. Debido a lo
anterior el iPhone puede actuar como cualquier dispositivo GPS, es decir, es capaz de manejar rutas
y localizar servicios a través de la función de Google Map. Cuando el iPhone 3G se introdujo en el
mercado presentaba problemas con esta funcionalidad, sin embargo, con la actualización 2.1 sobre
el software del mismo, estos problemas se resolvieron. Otra funcionalidad permitió el acceso a la
App Store13 tanto para iPhones de primera generación como para iPhones de segunda generación.
Existen 19 categorías diferentes de aplicaciones para descargar directamente al iPhone ya sea vía
App Store o iTunes, dichas aplicaciones pueden utilizar algunas características del iPhone como el
acelerómetro, el GPS14, video, audio, herramientas de productividad y juegos [9].
11
Sitio web diseñado para cargar y compartir videos en Internet a través de sitios web, dispositivos móviles,
blogs y correo electrónico. http://www.youtube.com/t/about
12
Servicio gratuito de Google que ofrece un servidor de aplicaciones de mapas web.
13
Mercado para aplicaciones con costo o gratis que se pueden ejecutar sobre el iPhone.
14
Sistema de Posicionamiento Global
22
2.1.2. Especificaciones técnicas del iPhone
La Tabla 2 muestra las especificaciones técnicas tanto del iPhone clásico como las del iPhone 3G.
Característica
Dimensiones y peso
Capacidad
Color
Pantalla
Audio
Telefonía y conectividad
inalámbrica
Video
GPS
Cámara y fotos
Soporte para idiomas
Conectores y entradas
/salidas
Especificación
 Alto: 115,5 mm / 115 mm*
 Ancho: 62,1 mm / 61 mm*
 Fondo: 12,3 mm / 11,6 mm*
 Peso: 133 g / 135 g*
Disco flash de 4GB*, 8GB o 16 GB
 Modelo de 8GB: Negro
 Modelo de 16GB: Negro* o Blanco
 Pantalla ancha de 3.5 pulgadas (diagonales) con Multi-Toque
 Resolución de 480x320 pixeles a 163 ppi
 Soporte para mostrar múltiples lenguajes y caracteres
simultáneamente
 Respuesta de frecuencia: 20Hz a 20,000Hz
 Formatos de audio soportados: AAC, AAC Protegido, MP3, MP3
VBR, Audible (formatos 2, 3, y 4), Apple Lossless, AIFF, y WAV
 Límite de volumen máximo configurable por el usuario
 UMTS/HSDPA (850, 1900, 2100 MHz) / No lo soporta*
 GSM/EDGE (850, 900, 1800, 1900 MHz)
 Wi-Fi (802.11b/g)
 Bluetooth 2.0 + EDR
Formatos de video soportados: video H.264, hasta 1.5 Mbps, 640 por 480
píxeles, 30 cuadros por segundo, versión de Baja Complejidad del H.264
Baseline Profile con audio AAC-LC de hasta 160 Kbps, 48kHz, audio
estéreo en formatos de archivo .m4v, .mp4 y .mov file; video H.264,
hasta 768 Kbps, 320 por 240 píxeles, 30 cuadros por segundo, Baseline
Profile hasta Nivel 1.3 con audio AAC-LC de hasta 160 Kbps, 48kHz,
audio estéreo en formatos de archivo .m4v, .mp4 y .mov; video MPEG-4,
hasta 2.5 Mbps, 640 por 480 píxeles, 30 cuadros por segundo, Simple
Profile con audio AAC-LC de hasta 160 Kbps, 48kHz, audio estéreo en
formatos de archivo .m4v, .mp4 y .mov
GPS Asistido / No lo soporta*
 2.0 Mega pixeles
 Rotulado geográfico de fotos
 Integración con aplicaciones del iPhone y de terceros
 Soporte de idiomas para inglés, francés, alemán, japonés, holandés,
italiano, español, portugués, danés, finés, noruego, sueco, coreano,
chino simplificado, chino tradicional, ruso, polaco, turco y
ucraniano.
 Soporte de teclado internacional y diccionario para inglés (Estados
Unidos), inglés (Reino Unido), francés (Francia), francés (Canadá),
alemán, japonés, holandés, italiano, español, portugués (Portugal),
portugués (Brasil), danés, finés, noruego, sueco, coreano (sin
diccionario), chino simplificado, chino tradicional, ruso, polaco,
turco y ucraniano.
 Conector base de 30 pines
 Mini-conector estéreo para auriculares de 3.3mm
 Altavoz incorporado
 Micrófono
23
Botones y controles
externos
Sensores
Energía y batería












Requerimientos de sistema
para Mac
Requerimientos de sistema
para Windows
Requerimientos
ambientales












Bandeja para tarjeta SIM
Volumen (subida/bajada)
Botón Home
Timbre/Silencio
Temporizador encendido y apagado
Acelerómetro
Sensor de proximidad
Sensor de luz ambiente
Batería de litio-ion recargable incorporada
Carga a través de un puerto USB de la computadora o del adaptador
de corriente
Tiempo de conversación:
 Hasta 5 horas con 3G / No lo soporta*
 Hasta 10 horas con 2G / Hasta 8 horas*
 Tiempo en espera activa: Hasta 300 horas / Hasta 250
horas*
Uso en Internet:
 Hasta 5 horas con 3G / No lo soporta*
 Hasta 6 horas con Wi-Fi / Hasta 6 horas*
Reproducción de Video: Hasta 7 horas
Reproducción de Audio: Hasta 24 horas
Computadora Mac con puerto USB 2.0
Mac OS X v10.4.10 o posterior
iTunes 7.7 o posterior
Computadora PC con puerto USB 2.0
Windows Vista; o Windows XP Home o Professional con Service
Pack 2 o posterior
iTunes 7.7 o posterior
Temperatura de funcionamiento: 0° a 35° C
Temperatura apagado: -20° a 45° C
Humedad relativa: 5% a 95% no condensada
Altitud de funcionamiento máxima: 10.000 pies (3000 m)
Tabla 2. Especificaciones Técnicas del iPhone [21]
*Características soportadas únicamente por el iPhone de primera generación
2.1.3. Estructura lógica y física del iPhone
Como se mencionó anteriormente, el iPhone es un teléfono inteligente que integra funcionalidades
de iPod y teléfono celular. Es en esencia un computador ejecutando una versión del sistema
operativo Leopard UNIX OS de Apple, diseñado principalmente para minimizar las escrituras sobre
la memoria flash, de forma tal que se puede conservar y preservar datos por periodos largos de
tiempo, incluso por mucho mas tiempo que lo que un computador de escritorio podría hacerlo [5].
El iPhone ejecuta una versión móvil de MAC OS X 10.5 (Leopard) que es similar a la versión del
sistema operativo MAC para computadores portátiles y de escritorio [5]. Las características
principales, aunque modelos diferentes se han lanzado, pero que aún conservan son:
24

Arquitectura ARM: el iPhone utiliza arquitectura de procesador ARM15 (Máquina RISC
avanzada)

Hardware: hardware especial fue añadido al iPhone. Sensores como el acelerómetro y el
sensor de proximidad, pantalla multi-toque, y varios radios incluyendo GSM, Wi-Fi16 y
Bluetooth.

Interfaz de usuario: Apple acondicionó controles amigables para el contacto, además de
interfaces que se acomodaran al hardware multi-toque implantado en forma de páginas y no
de ventanas como lo maneja la versión del sistema operativo de escritorio.

Kernel: usa un núcleo firmado diseñado para prevenir su manipulación.
2.1.3.1. Hardware del iPhone
Aunque los primeros modelos del iPhone tuvieron variaciones. Como cualquier dispositivo
electrónico complejo, el iPhone es una colección de módulos, chips y otros componentes
electrónicos de diferentes fabricantes [23]. Debido a la las múltiples características que este
dispositivo posee la lista de componentes es extensa como se puede ver en las siguientes tablas.
Los componentes que se muestran en la Tabla 3 se conservaron para todos los modelos de la
primera generación.
Función
Unidad central de
procesamiento (CPU)
EDGE17
GSM
Fabricante
Modelo
Samsung
ARM S5L890DB01 512 Mbit SRAM
Infineon
Infineon
Disco
Samsung
Amplificador
Tarjeta de red inalámbrica
Controlador en
Entrada/Salida
Skyworks
Marvell
PMB8876 S-Gold 2 EDGE Baseband Processor
M1817A11 GSM RF Transceiver
65-nm 8/16 GB (K9MCG08U5M), 4GB
(K9HBG08U1M) MLC NAND Flash
SKY77340-13 Signal Amplifier
90-nm 88W8686
Broadcom
BCM5973A
Memoria Flash
Intel
Procesador de audio
Bluetooth
Pantalla táctil
Wolfson
CSR
Phillips
PF38F1030W0YTQ2 (32 MB NOR + 16 MB
SRAM)
WM8758
BlueCore 4
LPC2221/02992
Tabla 3. Hardware iPhone primeras generaciones. Tomado de [5], traducción libre de los autores
Los componentes que se muestran en la Tabla 4 pertenecen al modelo 3G.
15
Familia de microprocesadores RISC
Es una marca registrada de Wi-Fi Alliance que pueden utilizarse con productos certificados que
pertenecen a una clase de red inalámbrica de área local inalámbrica (WLAN), los dispositivos basados en los
estándares IEEE 802.11 [95].
17
Es una tecnología compatible con versiones anteriores de tecnología digital de telefonía móvil, que
permite la mejora de transmisión de datos como una extensión en la parte superior de la norma GSM [96].
16
25
Función
Fabricante
Unidad central de
procesamiento (CPU)
Samsung
Aceleración Gráfica 3D
Tecnologías
Imagination
Amplificador de potencia
UMTS18
TriQuint
Transceptor UMTS
Infineon
Procesador Base
Infineon
Memoria base de apoyo
Numonyx
Amplificador de cuatro
bandas GSM / EDGE
Antena GPS, Wi-fi y BT
Gestor de comunicaciones
Gestor a nivel de sistema
Cargador de batería /
controlador USB
GPS
Flash NAND
Chip flash serial
Acelerómetro
Wi-Fi
Bluetooth
Codec de audio
Controlador de la pantalla
táctil
Interfaz de enlace con la
pantalla
Controlador de línea de
pantalla táctil
Modelo
S5L8900B01 – 412 MHz ARM1176Z(F)-S
RISC, 128 Mbytes of stacked, package-onpackage, DDR SDRAM
Power VR MBX Lite
TQM676031 – Band 1 – HSUPA
TQM666032 – Band 2 – HSUPA
TQM616035 – Band 5/6 - WCDMA/HSUPA
PA-duplexer
PMB 6272 GSM/EDGE and WCDMA PMB
5701
X-Gold 608 (PMB 8878)
PF38F3050M0Y0CE - 16 Mbytes of NOR flash
y 8 Mbytes of pseudo-SRAM
Skyworks
SKY77340 (824- to 915-MHz)
NXP
Infineon
NXP
OM3805, a variant of PCF50635/33
SMARTi Power 3i (SMP3i)
PCF50633
Tecnología Linear
LTC4088-2
Infineon
Toshiba
SST
ST
Microelectronics
Marvell
CSR
Wolfson
PMB2525 Hammerhead II
TH58G6D1DTG80 (8 GB NAND Flash)
SST25VF080B (1 MB)
Broadcom
BCM5974
National
Semiconductor
LM2512AA Mobile Pixel Link
Texas Instruments
CD3239
LIS331 DL
88W8686
BlueCore6-ROM
WM6180C
Tabla 4. Hardware iPhone 3G. Tomado de [23], traducción libre de los autores
A continuación se presenta una breve descripción del funcionamiento de dos de los componentes
más importantes del iPhone:

Unidad central de procesamiento (CPU): es una unidad de procesamiento RISC19 que
ejecuta el núcleo de los procesos del iPhone y trabaja conjuntamente con el coprocesador
PowerVR para la aceleración de gráficos. La CPU ejecuta a una tasa de reloj más baja que
la especificada por el fabricante, se ejecuta a 412 MHz de 667 MHz posibles, esto para
extender la vida útil de la batería [23].
18
Amplificador de señales UMTS
Es un tipo de microprocesador con las siguientes características fundamentales: Instrucciones de tamaño
fijo, presentadas en un reducido número de formatos. Sólo las instrucciones de carga y almacenamiento
acceden a la memoria por datos.
19
26

Procesador Base: es el componente del iPhone que gestiona todas las funciones que
requiere la antena (servicios celulares). El procesador base tiene su propia memoria RAM20
y firmware en flash NOR21, como recurso de la CPU principal. El Wi-Fi y el Bluetooth son
gestionados por la CPU principal a pesar que el procesador base almacena su dirección
MAC22 en su NVRAM23 [23].
2.1.3.2. Software del iPhone
Según [5] y [9], el esquema de partición del disco de un iPhone se asemeja al de un Apple TV24. Por
defecto, el iPhone está configurado con dos particiones de disco que no residen en una unidad de
disco física debido a que utiliza una NAND flash25 de estado sólido que es tratada como un disco de
almacenamiento. Allí se almacenan una tabla de particiones y un formato de sistema de archivos.
La primera partición se conoce como Master Boot Record26 (MRB) y es la responsable de cargar el
sistema operativo. Esta partición es de solo lectura para conservar el estado de fábrica durante todo
el ciclo de vida del iPhone, y es donde se encuentran todas las aplicaciones que vienen por defecto
en el iPhone. A continuación existe un área libre conocida como Apple_Free area, seguida de la
segunda partición que se divide en dos: una parte HFSX27 que en un principio almacena el sistema
operativo, otra área libre Apple_Free area, y la segunda parte HFSX que contiene todos los datos de
usuario, donde se almacena música, videos, fotos, información de contactos, entre otros.

Primera Partición: el tamaño de la primera partición está generalmente entre los 300MB y
los 500MB, y usa el sistema de archivos HFSX. Los orígenes del iPhone provienen del iPod
y del Apple TV, que cuentan con dos particiones: una únicamente para operación y otra
únicamente para almacenamiento (Ver Ilustración 8). Aunque el esquema de partición es
diferente, los sistemas de archivos son similares en su estructura [9].
20
Memoria de acceso aleatorio desde donde el procesador recibe las instrucciones y guarda los resultados.
Memoria que permite que múltiples posiciones de memoria sean escritas o borradas en una misma
operación de programación mediante impulsos eléctricos.
22
Es un identificador de 48 bits que corresponde de forma única a un dispositivo.
23
La memoria de acceso aleatorio no volátiles un tipo de memoria que no pierde la información almacenada
al cortar la alimentación eléctrica.
24
El Apple TV permite escuchar los temas de iTunes, visualizar fotos en HD y visualizar podcasts gratuitos.
http://www.apple.com/es/appletv/whatis.html
25
Memorias que usan un túnel de inyección para la escritura y para el borrado un túnel de ‘soltado’.
Permiten acceso secuencial (más orientado a dispositivos de almacenamiento masivo).
26
Sector de almacenamiento de datos que contiene código de arranque de un sistema operativo
almacenado en otros sectores del disco.
27
Es un sistema de archivos desarrollado por Apple Inc.
21
27
Ilustración 8. Partición del disco del iPhone. Tomado de [9], traducción libre de los autores
Esta partición es la encargada de cargar el sistema operativo del iPhone, el iPhone OS, el
cual es una variante del núcleo del sistema operativo OS X de Apple. Basado en el mismo
núcleo MACH28 y compartiendo algunos elementos básicos con el OS X 10.5 (Leopard), el
iPhone se compone de 4 capas, incluyendo el sistema operativo básico, el núcleo API de
servicios, los medios de comunicación y una capa resistente denominada Cocoa Touch [23].

Segunda Partición: en un iPhone de 16 GB esta partición es de 14.1 GB, en uno de 8 GB
es de 7.07 GB. Esta contiene el sistema de archivos HFSX y un volumen llamado “Data”.
En esta partición es donde la mayoría de la información y de datos de valor se aloja y puede
ser localizada [9]. Según [5], otro tipo de datos que se almacenan además de la música,
videos, fotos y contactos son:
 Caches de teclado, nombres de usuario, contraseñas, términos de búsqueda y
fragmentos de documentación tecleada.
 Pantallazos del último estado de una aplicación son preservados cuando el botón
Home es presionado o cuando se cierra alguna aplicación.
 Fotos eliminadas de la librería y de la memoria.
 Direcciones, contactos, eventos de calendario y otros datos personales.
 Historial de llamadas, además de las que se despliegan, las últimas 100 llamadas y
entradas eliminadas.
 Imágenes de mapas de mapas de Google Maps y búsquedas por longitud/latitud de
coordenadas.
 Cache del buscador y objetos eliminados del buscador que identifican que sitios
web fueron visitados.
 Correos electrónicos eliminados, mensajes de texto, marcas de tiempo y banderas
de comunicación (con quien y en que dirección la comunicación tuvo lugar).
 Grabaciones de correo de voz eliminadas.
 Información entre el dispositivo y el computador relacionado.
28
Es un sistema operativo a nivel de micro núcleo desarrollado como soporte tanto para computación
paralela como distribuida http://www2.cs.cmu.edu/afs/cs/project/mach/public/www/mach.html.
28
2.1.3.2.1.
El sistema operativo iPhone OS
El iPhone OS es el sistema operativo que se ejecuta sobre los dispositivos iPhone y iPod Touch. Se
encarga principalmente de la gestión del hardware del dispositivo, y provee las tecnologías básicas
para implementar aplicaciones nativas en el teléfono [41].
Como se mencionó anteriormente, la arquitectura del iPhone OS es similar a la arquitectura base del
Mac OS X, compartiendo la mayoría de tecnologías y características provenientes de él. En un alto
nivel, el iPhone OS actúa como un intermediario entre el hardware del dispositivo, y las
aplicaciones que aparecen en la pantalla (Ver Ilustración 9). Las aplicaciones no interactúan
directamente con el hardware, en su lugar, utilizan interfaces que interactúan con los controladores
asociados, para proteger de cambios subyacentes en el hardware [42].
Ilustración 9. Interacción iPhone OS. Tomado de [42]
El iPhone OS utiliza una pila de software sencilla. En la parte inferior de esta pila, se encuentran el
núcleo MACH y los controladores de hardware, que gestionan la ejecución de aplicaciones en el
dispositivo. En la parte superior, se encuentran capas adicionales que contienen las tecnologías
básicas e interfaces asociadas a los controladores hardware. Y, aunque el iPhone OS no expone el
núcleo o las interfaces de los controladores, si expone las tecnologías (Ver sección Tecnología de
capas del iPhone OS) en los niveles superiores de la pila [42].
2.1.3.2.1.1.
Tecnología de capas del iPhone OS
Según [42], en el iPhone OS la arquitectura del sistema, y la mayoría de las tecnologías son
similares a las que se encuentran en el Mac OS X. El núcleo o kernel, se basa en una variante del
kernel MACH que se encuentra en dicho sistema operativo.
La implementación de las tecnologías del iPhone OS se puede representar como un conjunto de
capas (Ver Ilustración 10). Las capas inferiores contienen los servicios fundamentales en los que
todas las aplicaciones se basan, mientras las capas superiores contienen servicios y tecnologías más
sofisticados.
29
Ilustración 10. Tecnología de capas del iPhone OS. Tomado de [42], traducción libre de los autores
La capa del Núcleo OS y la capa de Servicios del Núcleo contienen las interfaces fundamentales del
iPhone OS. Estas incluyen aquellas usadas para acceder a los archivos, tipos de datos de bajo nivel,
servicios Bonjour29, sockets de red, entre otros. La mayoría de estas interfaces se encuentran
desarrolladas bajo el lenguaje de programación C, e incluyen tecnologías como CoreFunction,
CFNetwork30, SQLite31, acceso a hilos POSIX32 y sockets UNIX33 [41].
A medida que se sube de capa, se encontrarán tecnologías más avanzadas, desarrolladas bajo una
mezcla entre el lenguaje de programación C y Objective-C34. Por ejemplo, la capa de medios de
comunicación contiene tecnologías fundamentales usadas para soportar gráficos 2D y 3D, audio y
video. Incluye tecnologías bajo C como OpenGL ES35, Quartz36, Audio Core37 y un motor de
animación llamado Animación Core que está basado en Objective-C [41].
En la capa superior Cocoa Touch, la mayoría de tecnologías están desarrolladas en Objective-C, y
los frameworks que la componen proveen la infraestructura fundamental necesaria para ejecutar las
aplicaciones. Por ejemplo, uno de los frameworks contenidos en esta capa es conocido como
Foundation. Éste provee soporte para colecciones orientadas a objetos, manejo de archivos,
operaciones de red, entre otros. Otro framework, es el UIKit que provee la infraestructura para la
aplicación, es decir, incluye clases para ventanas, vistas, controles y controladores que manejan esos
objetos. Otros marcos de trabajo a este nivel dan acceso a la información de contactos y fotos del
usuario, al acelerómetro y otras características de hardware del dispositivo [41].
29
Los servicios Bonjour, también son conocidos como servicios de configuración de red, que permiten el
descubrimiento automático de computadores, dispositivos y servicios en redes IP [94].
30
Es un framework de los servicios básicos, que ofrece una colección de abstracciones de protocolos de red
[97].
31
Sistema de gestión de bases de datos.
32
Código multihilo portable.
33
Es un punto final de comunicaciones de datos que es similar a un socket de Internet, pero no utiliza un
protocolo de red para la comunicación.
34
El Objective-C es un lenguaje simple, diseñado para permitir programación orientada a objetos sofisticada
[98].
35
Es una plataforma cruzada para permitir funciones de gráficos 2D y 3D en sistemas embebidos incluyendo
las consolas, teléfonos, aparatos y vehículos.
36
Quartz 2D es un avanzado motor de dibujo de dos dimensiones para el desarrollo de aplicaciones del
iPhone y para todos los entornos Mac OS X fuera de la aplicación del núcleo [99].
37
Es una API de bajo nivel para tratar con el sonido en el sistema de Apple Mac OS X.
30
2.1.3.2.2.
El sistema de archivos HFS+
Como se mencionó anteriormente, el disco del iPhone utiliza un sistema de archivos HFSX, que es
una variante del sistema de archivos HFS+ de Apple. En general, HFSX es casi idéntico en su
totalidad a HFS+, pero se diferencian por ciertas características, que mas adelante serán
mencionadas. Para entender su estructura es necesario conocer en detalle el sistema de archivos
HFS+ y mencionar las características que lo diferencian.
2.1.3.2.2.1.
HFS+ Básico
HFS+ es un formato de volumen para Mac OS. Fue introducido con el Mac OS 8.1, y es
arquitectónicamente muy similar a HFS, aunque ha presentado una serie de cambios importantes,
que se muestran en la Tabla 5 [43].
Característica
Nombre de usuario
visible
Número de asignación
de bloques
Nombres de archivos
largos
Codificación de nombres
de archivos
Atributos de archivos /
carpetas
Soporte de inicio del SO
Tamaño del catálogo de
nodo
Tamaño máximo de
archivo
HFS+
Mac OS Extendido
32 bits
255 caracteres
Unicode
Permite futuras extensiones
de metadatos
También soporta un archivo
dedicado de inicio
4KB
263 bytes
Tabla 5. Características HFS+ [43], traducción libre de los autores

Uso del Disco: HFS+ utiliza valores de 32 bits para identificar bloques de asignación. Esto
permite hasta 232 (4’294.967.296) bloques de asignación en un volumen. Más bloques de
asignación significan un menor tamaño del bloque, especialmente en volúmenes de 1 GB o
mayores, que a su vez significa menos espacio desperdiciado. Por tal razón, se puede
almacenar un mayor número de archivos, ya que el espacio de disco disponible se puede
distribuir de mejor manera.

Nombres de archivos: HFS+ utiliza hasta 255 caracteres Unicode para almacenar nombres
de archivos. Esto permite tener nombres largos descriptivos, lo cual es útil cuando el
nombre es generado por el computador automáticamente. El nombre de un archivo puede
ocupar hasta 512 bytes (incluyendo el campo de longitud). Y, como el árbol B de índices
debe almacenar al menos dos llaves, además de los apuntadores y descriptor de nodo, el
catálogo de HFS+ debe usar un tamaño de nodo mayor. Generalmente el tamaño del nodo
para el catálogo del árbol B es de 4 KB.
31
Las llaves en un nodo deben ocupar una cantidad de espacio variable determinada por el
tamaño actual de la llave. Esto permite que no se desperdicie mucho espacio en los nodos
ya que se crea un factor de mayor ramificación en el árbol, es decir, se requiere un menor
número de accesos para encontrar algún registro.
2.1.3.2.2.2.
Conceptos del núcleo
HFS+ utiliza estructuras interrelacionadas para la gestión de los datos en el volumen [43]. Estas
estructuras incluyen:






Cabecera del volumen
Archivo del catálogo
Archivo de grados de desbordamiento
Archivo de atributos
Archivo de asignaciones
Archivo de inicio
A continuación se describirá cómo estas estructuras se relacionan entre sí, y se definen los tipos de
datos primitivos usados por HFS+. Cada una de las estructuras se describirá con mayor detalle en
las siguientes secciones.
HFS+ es una especificación de cómo un volumen (archivos que contienen datos de usuario, así
como la estructura para obtener esos datos) existe en el disco (el medio en el que los datos de
usuario son almacenados). El espacio de almacenamiento en el disco está dividido en unidades
llamadas sectores. Un sector es la mínima parte que puede ser escrita o leída en una sola operación
por el controlador del disco, y su tamaño se basa en la forma en que es establecido físicamente (para
discos duros los sectores son de 512 bytes, para medios ópticos son de 2048 bytes) [43].
HFS+ asigna espacio en unidades llamadas bloques de asignación, que son simplemente un grupo
de bytes consecutivos. El tamaño de estos bloques, se establece cuando el volumen es inicializado,
y puede ser superior o igual a 512 bytes. La forma de identificación de estos bloques, se hace
mediante un número de 32 bits, de forma tal que pueden existir 232 bloques de asignación en un
volumen.
Todas las estructuras del volumen, incluyendo la cabecera, son parte de uno o más bloques de
asignación. Para promover la contigüidad de archivos y evitar la fragmentación, estos son asignados
a grupos de bloques. El tamaño de estos grupos siempre es múltiplo del tamaño de un bloque de
asignación y se define en la cabecera del volumen.
2.1.3.2.2.3.
Estructura del volumen
Los primeros 1024 bytes de un volumen, y los últimos 512 son espacios reservados. Cada volumen
debe tener una cabecera, la cual ocupa 1024 bytes después del primer espacio reservado. Contiene
información descriptiva y atributos del volumen, como fecha y hora de creación, el número de
archivos que contiene, la ubicación de las otras estructuras dentro de él, versión, tamaño del bloque
de asignación e información para localizar metadatos de los archivos [43] [44]. Además, antes de
los 512 bytes reservados al final del volumen, se encuentra una copia de la cabecera, conocida como
32
la cabecera alterna del volumen, que ocupa de igual manera 1024 bytes, y es utilizada únicamente
para funciones de reparación del disco [43].
Un volumen contiene cinco archivos especiales, los cuales almacenan las estructuras requeridas
para acceder a la carga útil del sistema de archivos, es decir, carpetas, archivos de usuario, y
atributos. Estos archivos especiales contienen una única bifurcación ó fork de datos, y su extensión
también está descrita en la cabecera del volumen [43].
El archivo de catálogo es un tipo de archivo especial, que describe la jerarquía de carpetas y
archivos en un volumen. Contiene la mayoría de los metadatos de los mismos, e información vital
de todos los archivos y carpetas dentro de un volumen, así como la información del catálogo, para
archivos y carpetas que se almacenan allí. Se encuentra organizado en un árbol-B, para permitir
búsquedas rápidas y eficientes a través de una jerarquía extensa de carpetas, almacenando allí los
nombres de los archivos y carpetas (255 caracteres Unicode, nombrados anteriormente).
El archivo de atributos es otro tipo de archivo especial, el cual contiene datos adicionales para un
archivo o carpeta. Al igual que el archivo de catálogo, se organiza en un árbol-B. En un futuro, se
usará para almacenar información adicional sobre los forks, es decir, metadatos extensibles, listas de
control y tiempos de máquina [43] [44].
HFS+ hace un seguimiento acerca de cuáles bloques pertenecen a un fork manteniendo una lista de
las extensiones de los forks. Una extensión es un rango contiguo de asignaciones de bloques para un
fork específico, representado por un par de números: el número del primer bloque de asignación y el
número de bloques de asignación. Para un archivo de usuario, las primeras ocho extensiones se
almacenan en el archivo de catálogo. Las extensiones adicionales se almacenan en el archivo
especial de grados de desbordamiento, el cual se organiza también en un árbol-B.
El archivo de asignación es otro archivo especial, qué específica cuales bloques de asignación están
siendo utilizados y cuáles no.
El archivo de inicio es otro archivo especial, que facilita el arranque del volumen HFS+ en
computadores que no son Mac.
Finalmente, el archivo de bloques defectuosos previene al volumen de usar ciertos bloques debido a
que el medio que los almacena se encuentra defectuoso [43].
El volumen HFS+ consiste de siete tipos de información o áreas:
1.
2.
3.
4.
5.
6.
7.
Archivos forks de usuario
Archivo de asignación (mapa de bits)
Archivo de catálogo
Archivo de grados de desbordamiento
Archivo de atributos
Archivo de inicio
Espacio no usado
La estructura general del volumen HFS+ se ilustra a continuación:
33
Ilustración 11. Estructura general del volumen HFS+. Tomado de [43], traducción libre de los autores
La cabecera del volumen se encuentra siempre en una ubicación fija. Sin embargo, los archivos
especiales pueden aparecer en cualquier ubicación entre el bloque de la cabecera del volumen y el
bloque de la cabecera alterna del volumen. Estos archivos pueden aparecer en cualquier orden y no
necesariamente están contiguos [43].
La información en el volumen HFS+ está organizada exclusivamente en bloques de asignación. El
tamaño de un bloque de asignación es potencia de dos, es de al menos 512 bytes, y se fija cuando el
volumen es inicializado como un parámetro de la cabecera [43].
2.1.3.2.2.4.
HFSX
Según [43], HFSX es una extensión para HFS+, que permite características adicionales
incompatibles con HFS+. La única de esas características que está definida actualmente es la
distinción de mayúsculas y minúsculas en los nombres de archivos. Significa que se puede tener dos
objetos, cuyos nombres se diferencian sólo en letras, en el mismo directorio al mismo tiempo. Por
ejemplo, se podría tener "Bob", "Bob", y "bob" en el mismo directorio.
El volumen HFSX tiene una firma de "HX" (0x4858) en el campo de firma de la cabecera. En el
campo de versión se identifica la versión HFSX usada en el volumen, actualmente solo está
definido el valor de 5. Si se añaden funciones incompatibles con versiones anteriores (es decir,
versiones anteriores no podrán modificar o tener acceso al volumen), un número nuevo de versión
se utilizará.
2.1.3.2.2.5.
Zona de Metadatos
Mac OS X versión 10.3 introdujo una nueva política para determinar cómo distribuir el espacio para
los archivos, lo cual mejora el rendimiento. Esta política sitúa el volumen de metadatos y pequeños
archivos de uso frecuente ("archivos calientes") cerca unos de otros en el disco, lo que reduce el
34
tiempo de búsqueda de accesos típicos. Esta área en el disco se conoce como la zona de metadatos
[43].
2.2.
Problemas de seguridad en el iPhone 3G
Según [45], gracias al iPhone, Apple aumentó su participación en el mercado mundial de teléfonos
inteligentes de un 2.8 % a un 13.3 %. Aumento debido a la “experiencia de usuario” que este
dispositivo ofrece a sus compradores, y a su incorporación en ambientes empresariales. En
principio, este dispositivo era visto como una herramienta de entretenimiento, pero con el paso del
tiempo y la aparición de aplicaciones corporativas se ha ido convirtiendo en una herramienta
empresarial.
Según lo anterior, la información que se maneja en este tipo de dispositivos cada vez es más
sensible, por lo tanto, puede llegar a ser objeto de ataque de agentes malintencionados (Hackers)
con el fin de afectar la integridad, confiabilidad y disponibilidad de esta. En la actualidad no existe
una taxonomía detallada que especifique que tipo de ataques puede sufrir un iPhone 3G, sin
embargo, se han identificado algunos ataques, los cuales se describirán a continuación.
2.2.1. Jailbreak
A través del Jailbreak, el propietario del iPhone es consciente y en algunos casos responsable de
realizar este tipo de ataque, con el objetivo de liberar a dicho dispositivo de las limitaciones
impuestas por Apple y los operadores de telefonía celular como AT&T en Estados Unidos, los
cuales tienen contratos exclusivos para la venta de este tipo de dispositivos [46].
Este tipo de ataque ha logrado adquirir popularidad debido a los beneficios económicos y
funcionales que ofrece, tales como la configuración del dispositivo para lograr su funcionamiento
con cualquier otro operador de telefonía celular. Así mismo, personalizar su apariencia e instalar
aplicaciones ofrecidas en el Apple Store de Apple sin ningún costo [46].
Actualmente existen varias herramientas como Pwnage Tool [30] y Redsn0w [10] desarrolladas por
el iPhone Dev Team38 [48], las cuales permiten realizar el Jailbreak sobre el iPhone que se pretende
atacar, sacando provecho de una vulnerabilidad descubierta en el gestor de arranque de estos
dispositivos [49] [50].
Según [50], las herramientas nombradas anteriormente inician arrancando desde un dispositivo de
memoria (disco RAM) en un entorno “seguro", para evitar que el núcleo desactive las llaves de
cifrado. Además, añade otro dispositivo de memoria, apuntando al espacio de direcciones del
núcleo, que permite aplicar parches sobre el núcleo (kernel). Después de arrancar, se aplica un
parche sobre la verificación de la firma en la extensión AppleImage2NorAccess, y se continúa con
la implantación de los nuevos archivos de instalación (iBoot, LLB, DeviceTree, y fotos). Debido a
que se aplica un parche sobre la comprobación de la firma, y las claves de cifrado están disponibles,
38
Grupo de Hackers dedicados a desarrollar soluciones orientadas al desbloqueo de los productos móviles
de Apple [48].
35
el AppleImage2NORAccess las escribe en el lugar adecuado del disco. Después de eso, el
dispositivo puede ser reiniciado, y aceptará cualquier archivo sin ningún tipo de complicación.
2.2.2. Phishing39, Spoofing40 y Spamming41
Actualmente, los usuarios del iPhone 3G pueden gestionar y ver el correo electrónico como si lo
estuvieran haciendo desde un computador, por medio de la aplicación iPhone Mail o a través del
navegador Safari el cual viene por defecto en este dispositivo [52].
Las aplicaciones nombradas anteriormente son vulnerables al URL spoofing, por medio del cual se
pueden realizar ataques de phishing contra los usuarios de este dispositivo [53]. Con respecto a lo
anterior, debido al tamaño de su pantalla este dispositivo tiene un problema al momento de mostrar
direcciones electrónicas muy largas, ya que no las muestra en su totalidad si no que por el contrario
oculta por medio de puntos suspensivos el centro de dicha dirección (Ver Ilustración 12) [55].
Ilustración 12. Recorte de URL en la aplicación iPhone Mail
Por lo tanto, es posible que un atacante construya un URL muy largo y lo envíe por medio de un
correo electrónico, en donde la primera parte, la cual es visualizada en el iPhone, parezca un
dominio de confianza, con esto, la victima solo verá la parte conocida y hará clic sobre el enlace
malicioso (Ver Ilustración 13).
39
Capacidad de duplicar una página web para hacer creer al visitante que se encuentra en el sitio web
original, en lugar del falso. Normalmente se usa con el objetivo de robar información confidencial del
usuario como contraseñas, números de tarjetas de crédito y datos financieros o bancarios [51].
40
Tipo de ataque que tiene como objetivo engañar al sistema de la víctima para ingresar al mismo.
Generalmente este engaño se realiza tomando las sesiones ya establecidas por la víctima u obteniendo su
nombre de usuario y contraseña [84].
41
Capacidad de enviar mensajes no solicitados, habitualmente de tipo publicitario, enviados de forma
masiva. La vía mas utilizada es basada en el correo electrónico pero también se puede presentar por
programas de mensajería instantánea o por telefonía celular [57].
36
Ilustración 13. Página falsa accedida por medio del iPhone 3G
Cabe resaltar que el ataque nombrado anteriormente hasta el momento puede ser realizado en los
iPhone con firmware 2.0.1, 2.0.2, 2.1, 3.0 y 3.01, ya que no ha salido ninguna actualización donde
se corrija esta vulnerabilidad por parte de Apple [54].
Por otro lado, la aplicación iPhone Mail también es vulnerable debido a la forma cómo gestiona las
imágenes adjuntas a los correos electrónicos [55]. Actualmente la mayoría de clientes de correo
electrónico requieren autorización para realizar la descarga de imágenes desde un servidor remoto
(Ver Ilustración 14), si estas imágenes se descargarán automáticamente, el spammer42 que controla
el servidor remoto sabrá que el usuario leyó el mensaje, y luego marcará su cuenta de correo como
una cuenta activa con el fin de enviar mas spam43 [54].
Ilustración 14. Solicitud descarga de imágenes adjuntas cliente de correo Gmail desde portátil Compaq V37l8LA
[56] con sistema operativo Windows XP.
42
Persona dedicada a enviar spam [57].
Mensajes no solicitados, habitualmente de tipo publicitario, enviados en forma masiva. La vía más
utilizada es la basada en el correo electrónico pero puede presentarse por programas de mensajería
instantánea o por teléfono celular [93]
43
37
Con respecto a lo anterior, la vulnerabilidad de la aplicación iPhone mail, radica en que la descarga
de imágenes es realizada automáticamente, y no hay forma de desactivar esta característica (Ver
Ilustración 15) [54].
Ilustración 15. Descarga automática de imágenes adjuntas desde iPhone Mail
2.2.3. Ataque directo
Según [58], una de las maneras más peligrosas en las que un dispositivo móvil puede ser atacado es
por un ataque directo, en el cual el Hacker encuentra el dispositivo y toma acciones deliberadas para
vulnerarlo. Para realizar este ataque en primera instancia el hacker tiene que encontrar e identificar
el dispositivo, esto se puede hacer de varias formas, una de ellas consiste simplemente en
observarlo. Si alguien está revisando su correo electrónico desde su dispositivo móvil o realizando
una llamada en un espacio público, lo único que necesita el atacante es identificar el tipo de
dispositivo que está siendo usado y determinar el tipo de exploit44 que puede ejecutar sobre este.
Otra forma de realizar este ataque es ubicando al dispositivo mientras se encuentre conectado a una
red, en este escenario no es necesario ver al dispositivo o al usuario físicamente. Si el dispositivo
móvil se encuentra conectado a internet implica que tiene asignada una dirección IP 45 perteneciente
a alguna red, por lo tanto, cualquier persona que pueda obtener una dirección IP de dicha red podrá
localizar el dispositivo.
Con respecto a lo anterior, luego que el dispositivo móvil sea encontrado por el hacker las acciones
que se pueden realizar sobre éste varían según el tipo de dispositivo y la tecnología que éste use. A
continuación se muestran algunas acciones que se pueden tomar:


Extracción de información almacenada en el dispositivo.
Modificación de información almacenada en el dispositivo.
44
Programa o código que "explota" una vulnerabilidad del sistema o de parte de él para aprovechar esta
deficiencia en beneficio del creador del mismo [85].
45
Número que identifica de manera lógica y jerárquica a una interfaz de un dispositivo dentro de una red
que utilice el protocolo IP (Internet Protocol).
38




Cargar información al dispositivo (incluyendo Malware46).
Modificación de la configuración del dispositivo.
Hacer uso de este de forma no autorizada.
Dejar sin uso el dispositivo.
Según [59], este tipo de ataque puede ser realizado sobre un iPhone 3G luego que el usuario realice
Jailbreak sobre éste (Ver sección Jailbreak), ya que una de las acciones habituales al momento de
desbloquear el dispositivo es instalar OpenSSH47 a través de Cydia48, con el objetivo de poder
transferir aplicaciones de Apple sin pagar desde un computador al dispositivo. OpenSSH es un
demonio que se inicia automáticamente al momento de encender el iPhone y se mantiene a la
escucha de peticiones por el puerto 22 (por defecto). A continuación se muestran los pasos
necesarios para realizar un ataque directo sobre un iPhone 3G:
1. Conseguir contraseña root
Como se explicó en capítulos anteriores el iPhone es en esencia un computador el cual tiene
sistema operativo, por lo tanto tiene cuentas de acceso de usuario. En este dispositivo
existen dos cuentas de usuario, root y mobile, el problema de estas contraseñas es que son
públicas y conocidas por todos los iPhone 3G. Cómo necesitamos ingresar con todos los
privilegios usaremos la cuenta root que tiene como contraseña alpine.
2. Identificar el dispositivo y encontrar puertos abiertos
Para lograr conocer la dirección IP que tiene asignada el dispositivo es necesario realizar
una búsqueda de todos los dispositivos activos dentro de la red que estamos usando, para
esto existen gran variedad de herramientas como Nmap [60] y Netcat [61].
Las herramientas nombradas anteriormente son usadas para realizar exploración sobre
redes, por medio de estas herramientas se puede conocer la dirección IP de los dispositivos
que se encuentren conectados en una red, los puertos abiertos y el tipo de sistema operativo
que usan.
Con respecto a lo anterior, al momento de realizar la búsqueda del iPhone objetivo es
necesario explorar la red en la cual se encuentra la máquina atacante, buscando algún
dispositivo que tenga abiertos los puertos 22 (OpenSSH) y 62078, este último usado por
dicho dispositivo para poder sincronizarse con iTunes (Ver Ilustración 16).
46
También conocido como Virus Informáticos, es cualquier tipo de software dañino que puede afectar un
sistema [86].
47
Versión libre del paquete de herramientas de comunicación segura del protocolo SSH/SecSH para redes
[87].
48
Aplicación que permite instalar cualquier tipo de aplicación que no sea fabricada por APPLE en dispositivos
iPod e iPhone.
39
Ilustración 16. Escaneo de red y puertos abiertos con Zenmap
Una vez encontrado el dispositivo, se procede a acceder al dispositivo por medio del
programa WinSCP Login49 usando como datos la dirección IP encontrada y el puerto 22
como se muestra en la Ilustración 17.
Ilustración 17. Ingreso datos para acceder al dispositivo por SSH
Si el dispositivo está escuchando por el puerto 22, el programa por el cual se está realizando
la conexión pedirá el nombre de usuario y la contraseña, en este caso se debe ingresar root
y alpine respectivamente (Ver Ilustración 18).
Ilustración 18. Ingreso de usuario y contraseña WinCSP Login
Luego de confirmar la contraseña, se obtienen todos los derechos de acceso sobre la
información contenida en el iPhone como se muestra en la Ilustración 19.
49
Cliente SFTP gráfico para Windows que emplea SSH
40
Ilustración 19. Acceso a ficheros del iPhone usando WinSCP Login
2.2.4. Inyección de mensajes cortos en teléfonos inteligentes
El servicio de mensajes cortos (SMS), es un servicio que se creó exclusivamente para el servicio de
telefonía móvil. Es usado principalmente para el envío de mensajes de texto por parte de los
usuarios, así como para algunos servicios ocultos del teléfono móvil.
Según [90] y [91], la seguridad en este servicio es crítica, debido a que, algunos ataques se pueden
llevar a cabo remotamente sin necesidad de tener algún tipo de interacción con el usuario, y además
porque al servicio no se le pueden aplicar filtros de contenido o desactivarlo. A continuación, se
presenta un método que aprovecha una vulnerabilidad en implementaciones SMS. Es un
acercamiento que fue capaz de identificar problemas de seguridad no conocidos previamente, y que
se pueden usar principalmente para la denegación de servicios (DoS) en teléfonos inteligentes.
Uno de los problemas que presenta este servicio, es la incertidumbre de recepción del mensaje
original, puesto que los operadores de telefonía móvil pueden filtrar y modificar el contenido de los
mensajes durante su entrega. En segundo lugar, es un servicio poco fiable, ya que mensajes
importantes pueden retrasarse o ser descartados por razones no determinísticas. Debido a lo
anterior, llevar a cabo pruebas de ataques utilizando este servicio puede tomar mucho tiempo y estas
pueden llegar a ser difíciles de reproducir. Es por esto, que el acercamiento nombrado anteriormente
elimina la necesidad de la red telefónica móvil a través de la inyección de mensajes cortos a nivel
local en el teléfono inteligente, mediante un software que requiere acceso únicamente a nivel de
aplicación en el teléfono inteligente. La inyección se realiza por debajo de la pila software del
teléfono móvil, de forma tal que es posible analizar y probar todos los servicios que están basados
en SMS que se ejecutan en dicha pila.
En el iPhone, la pila de telefonía consiste principalmente de una aplicación binaria llamada
CommCenter. Esta aplicación se comunica directamente con el módem, usando un número de líneas
seriales, de las cuales dos son utilizadas para transmisiones SMS. Maneja la recepción de mensajes
por sí solo, sin la necesidad de otro tipo de procesos, además del de notificación de mensajes
41
entrantes. La aplicación de usuario SMS se usa exclusivamente para la lectura de mensajes SMS
almacenados en la base de datos, y para la composición de nuevos mensajes.
El método de inyección de mensajes se basa en la adición de una capa entre la capa de las líneas
seriales y la capa del multiplexor (la capa más baja en la pila de telefonía). A esta nueva capa se le
da el nombre de inyector, y su propósito es realizar un ataque de hombre en el medio (man in the
middle) en la comunicación entre el módem y la pila de telefonía. Su funcionalidad básica es leer
comandos del multiplexor y reenviarlos al módem, y en el sentido contrario, leer los resultados del
módem y reenviarlos al multiplexor.
Para inyectar un mensaje SMS en la capa de aplicación, el inyector genera un nuevo resultado
CMT50 y lo envía al multiplexor, como si se reenviara un mensaje SMS real desde el módem.
Además se encarga de gestionar los comandos de acuse de recibo enviados por el multiplexor (Ver
Ilustración 20).
Ilustración 20. Modelo lógico del inyector SMS. Tomado de [90], traducción libre de los autores
En el iPhone 3G, los mensajes SMS son gestionados por el proceso CommCenter. La interfaz para
el CommCenter consiste de 16 líneas seriales virtuales /dev/dlci.spi-baseband [0-15]. La
implementación en el iPhone OS está separada en dos partes: una librería y un demonio. La librería
es inyectada en el proceso CommCenter mediante la pre-carga de la librería. Si los archivos
respectivos son abiertos, la librería reemplaza el archivo descriptor con uno conectado al demonio.
La única función de la librería es re direccionar las líneas seriales al demonio. El demonio
implementa la inyección del mensaje actual y registra su funcionalidad.
2.3.
Informática forense en teléfonos inteligentes
La informática forense aplicada a dispositivos móviles y especialmente a teléfonos inteligentes, es
un área de investigación relativamente nueva. Es por esto que existe poca literatura sobre el tema, y
más aún en lo relacionado con la atención de incidentes [14]. A continuación explicaremos que es la
informática forense y la importancia de su aplicación en dispositivos móviles como el iPhone 3G.
2.3.1. Informática forense clásica
El constante aprovechamiento de fallas sobre los sistemas de computación por parte de agentes mal
intencionados, ofrece un escenario perfecto para que se cultiven tendencias relacionadas con
50
Reenvío de un mensaje SMS recibido recientemente al computador
42
intrusos informáticos [32], estos agentes malintencionados varían según sus estrategias y
motivaciones, que abarcan desde lucro monetario hasta satisfacción personal, y en algunos casos es
un estilo de vida [33].
Con respecto a lo citado anteriormente, según [32], la criminalística ofrece un espacio de análisis y
estudio sobre los hechos y las evidencias que se identifican en el lugar donde se llevaron a cabo las
acciones criminales, por lo tanto, es necesario establecer un conjunto de herramientas, estrategias y
acciones que ayuden a identificar estos hechos y evidencias dentro del contexto informático [65].
La informática forense es una rama de las ciencias forenses, que involucra la aplicación de la
metodología y la ciencia para identificar, preservar, recuperar, extraer, documentar e interpretar [5]
pruebas o evidencias procedentes de fuentes digitales con el fin de facilitar la reconstrucción de los
hechos encontrados en la escena del crimen [36], para luego usar dichas evidencias como elemento
material probatorio en un proceso judicial [34] [14].
2.3.1.1. Evidencia digital
Según [32], es importante anotar que la informática forense al ser un recurso importante para las
ciencias forense modernas, asume dentro de sus procedimientos las tareas propias a la evidencia
física en la escena del crimen como son: identificación, preservación, extracción, análisis,
interpretación, documentación y presentación de las pruebas en el contexto de la situación bajo
inspección.
Con respecto a lo anterior, según [32], se puede considerar la evidencia como “cualquier
información, que sujeta a la intervención humana u otra semejante, ha sido extraída de un medio
informático”. La evidencia digital tiene como características principales el hecho de ser volátil,
anónima, duplicable, alterable y eliminable, en consecuencia, a diferencia de la evidencia física en
un crimen clásico, la evidencia digital es un desafío para aquellas personas que la identifican y
analizan debido a que se encuentran en un ambiente cambiante y dinámico [67] [68].
Según [32], la evidencia digital puede ser dividida en 3 categorías:
51

Registros almacenados en el equipo de tecnología informática: correos electrónicos,
imágenes, música, archivos de aplicaciones de ofimática51, etc.

Registros generados por los equipos de tecnología informática: registros de auditoría,
registros de eventos, registros de transacciones, etc.

Registro generados y almacenados parcialmente en los equipos de tecnología informática:
hojas de cálculo financieras, consultas especializadas en bases de datos, vistas parciales de
datos, documentos informativos, etc.
Conjunto de técnicas, aplicaciones y herramientas informáticas que se utilizan en funciones de oficina.
43
2.3.1.1.1.
Administración de evidencia digital
A continuación se muestra el ciclo de vida de la evidencia digital (Ver Ilustración 21), el cual se
expone en las buenas prácticas de evidencia digital establecidas en el Handbook Guidlines for the
Management of IT [70] y consta de 6 fases.
Ilustración 21. Ciclo administración de la evidencia digital [70]
2.3.1.1.1.1.
Diseño de la evidencia
Según [70], el objetivo principal de esta fase es fortalecer la admisibilidad y relevancia de la
evidencia producida por las tecnologías de información, a continuación se muestran cinco objetivos
que deben ser considerados para el diseño de la evidencia digital:

Asegurar la relevancia de los registros electrónicos, que sean identificados, estén
disponibles y sean utilizables.

Los registros electrónicos deben tener un autor claramente identificado.

Los registros electrónicos cuentan con una hora y fecha de creación o modificación.

Los registros electrónicos cuentan con elementos que permiten validar su autenticidad.

Verificar la confiabilidad de la producción o generación de los registros electrónicos por
parte del sistema de información.
2.3.1.1.1.2.
Producción de la evidencia
Según [70], el objetivo de ésta fase consiste en producir la mayor cantidad de información posible
con el fin de aumentar las probabilidades de identificar y extraer la mayor cantidad de evidencia
digital relacionada con el incidente. Por lo tanto, es necesario que el sistema de información
produzca los registros electrónicos, identificar el autor de los registros electrónicos almacenados,
identificar la fecha y hora de creación de estos, verificar que la aplicación esté operando
44
correctamente al momento de generar o modificar registros, y finalmente verificar la completitud de
los registros generados.
Con respecto a lo anterior, es necesario tener en cuenta las siguientes prácticas:

Desarrollar y documentar un plan de pruebas formal para validar la correcta generación de
registros electrónicos.

Diseñar mecanismos de seguridad basados en certificados digitales para validar que es la
aplicación en cuestión la que genera los registros electrónicos.

De ser posible, establecer un servidor contra los cuales se pueda verificar la fecha y hora de
creación de los registros electrónicos.

Contar con pruebas y auditorias frecuentes alrededor de confiabilidad de los registros.

Diseñar y mantener el control de integridad de los registros electrónicos, que permita
identificar cambios que hayan sido realizado sobre ellos.
2.3.1.1.1.3.
Recolección de la evidencia
El objetivo de esta fase es localizar toda la evidencia digital y asegurar que todos los registros
electrónicos originales no han sido alterados [70]. Dicha recolección debe realizarse empezando por
la información más volátil hasta la menos volátil, es importante que al momento de realizar la
inspección del (los) equipo (s) se evite alterar cualquier variable, ya que un cambio insignificante a
la vista podría invalidar todo el proceso de investigación en un proceso judicial. Por otro la
recolección debe ser realizada mediante herramientas especializadas y certificadas con el objetivo
de evitar modificaciones en las fechas de acceso y en la información del registro del sistema [38]
[39] [40].
2.3.1.1.1.4.
Análisis de la evidencia
El objetivo de esta fase es lograr identificar como fue efectuado el ataque, cual fue la vulnerabilidad
explotada y en lo posible identificar al atacante [40], para lograr lo anterior es necesario reconstruir
la secuencia temporal del ataque, para lo cual se debe recolectar la información de los archivos
asociados, marcas de tiempo, permisos de acceso y estado de los archivos.
Según [70], es recomendable tener en cuenta las siguientes actividades al momento de realizar el
análisis de la evidencia:

Realizar copias autenticadas de los registros electrónicos originales sobre medios forenses
estériles.

Capacitar y formar en aspectos técnicos y legales a los profesionales que adelantaran las
labores de análisis de datos.
45

Validar y verificar la confiabilidad y limitaciones de las herramientas de hardware y
software utilizadas para adelantar los análisis de los datos.

Establecer el rango de tiempo de análisis y correlacionar los eventos en el contexto de los
registros electrónicos recolectados y validados previamente.

Mantener la perspectiva de los análisis efectuados sin descartar lo obvio, desentrañar lo
escondido y validando las limitaciones de las tecnologías o aplicaciones que generaron los
registros electrónicos.
2.3.1.1.1.5.
Reporte y presentación
El objetivo de esta fase es presentar los resultados por parte del investigador sobre su búsqueda y
análisis de los medios, lo que se encontró en la fase de análisis de la evidencia, así como
información puntual de los hechos y posibles responsables [83]. Debido al rigor que requiere una
investigación de este tipo, cada movimiento por parte del investigador o su equipo de trabajo se
debe documentar hasta que se resuelva o se dé por concluido el caso. Esta documentación se debe
llevar a cabo por medio de formularios que hacen parte del proceso estándar de investigación, entre
los cuales se encuentran el documento de custodia de la evidencia nombrado en el numeral 5 de esta
sección, el formulario de identificación de equipos y componentes, el formulario de incidencias
tipificadas, el formulario de recolección de evidencias y el formulario de medios de
almacenamiento [14].
2.3.1.1.1.6.
Determinación de la relevancia de la evidencia
Según [70], el objetivo de esta fase es valorar las evidencias de tal manera que se identifiquen
aquellas que sean relevantes y que permitan presentar de manera clara y eficaz los elementos que se
desean aportar en el proceso y en el juicio que se lleve a cabo. Con respecto a lo anterior, se
sugieren dos criterios para tener en cuenta:

Valor probatorio: establece aquel registro electrónico que tenga signo distintivo de
autoría, autenticidad y que sea fruto de la correcta operación y confiabilidad del sistema.

Reglas de la evidencia: establece que se han seguido los procedimientos y reglas
establecidas para la adecuada recolección y manejo de la evidencia.
2.3.1.1.2.
Consideraciones legales
Según [5] y [35], la evidencia digital debe cumplir con las siguientes características para poder ser
usada en procesos judiciales:

Admisibilidad: toda evidencia recolectada debe ajustarse a ciertas normas jurídicas para
poder ser presentadas ante un tribunal.

Autenticidad: la evidencia debe ser relevante al caso, y el investigador forense debe estar
en capacidad de representar el origen de la misma.
46

Completitud: la evidencia debe contar todo en la escena del crimen y no una perspectiva en
particular.

Fiabilidad: las técnicas usadas para la obtención y análisis de la evidencia deben gozar de
credibilidad y ser aceptadas en el campo en cuestión, evitando dudas sobre la autenticidad y
veracidad de las evidencias.

Entendimiento y Credibilidad: se debe explicar con claridad y pleno consentimiento, que
proceso se siguió en la investigación y como la integridad de la evidencia fue preservada,
para que esta sea comprensible y creíble en el tribunal.
2.3.1.2. Modelos y procedimientos en una investigación forense digital
Debido a las características de la evidencia digital (Ver sección Evidencia digital), es preciso
extremar las medidas de seguridad y control que los investigadores deben tener a la hora de realizar
sus labores, pues cualquier imprecisión en los procedimientos relacionados con esta puede llegar a
comprometer el proceso, ya sea legal u organizacional [32].
2.3.1.2.1.
Cualidades de un modelo forense
En algunos casos, los procedimientos forenses empleados están constituidos de manera informal, lo
cual puede afectar la efectividad y la integridad de la investigación [65], por lo tanto un modelo
forense debe tener las siguientes cualidades [69].

Habilidad de realizar un registro de todo.

Disposición de métricas automatizadas, como la longitud de una ruta de un archivo dentro
de un sistema, y un parámetro de ajuste que permita a un analista forense decidir qué tipo
de información es importante.

Capacidad de registrar datos en varios niveles de abstracción, incluyendo los que no
pertenecen explícitamente al sistema que se está analizando.

Capacidad de poner límites a, y recopilar datos
ataques anteriormente desconocidos y métodos de ataques.

Habilidad de registrar información sobre las condiciones de antes y después de la ocurrencia
del incidente.

Habilidad de modelar ataques en múltiples escenarios.

Capacidad de traducir uno a uno los datos registrados con los acontecimientos que se
produzcan.
acerca
de,
porciones
de
47
2.3.1.2.2.
Modelos forenses existentes
Con respecto a lo citado anteriormente, se hace necesaria la aplicación de procedimientos estrictos y
cuidadosos, desde el momento en que se realiza la recolección de la evidencia, hasta que se
obtienen los resultados posteriores a la investigación [14] [38]. Por tal razón, a continuación se
muestra una descripción de varios modelos de investigación forense, existentes hasta el momento.
2.3.1.2.2.1.
Departamento de Justicia de Estados Unidos (2001)
Según [37], el Departamento de Justicia de Estados Unidos publicó un modelo sobre investigación
de crímenes electrónicos. La guía hace referencia a un primer nivel de respuesta a distintos tipos de
evidencia e incluye procedimientos para la manipulación segura de esta [71]. Consta de las
siguientes 4 fases:

Preparación: preparar los equipos y las herramientas para realizar las tareas necesarias
dentro de la investigación.

Recolección: buscar y recolectar la evidencia electrónica
 Asegurar y evaluar la escena: asegurar la escena para garantizar la seguridad de las
personas y la integridad de la evidencia. La evidencia potencial debe ser definida en
esta fase.
 Documentar la escena: documentar los atributos físicos de la escena incluyendo
fotografías del computador.
 Recolección de evidencia: recolectar el sistema físico o realizar una copia de los
datos del sistema.

Examinación: revisión técnica de la evidencia encontrada en el sistema, esta fase está
diseñada para facilitar la visibilidad de las pruebas, al explicar su origen y significado.

Análisis: el equipo de investigación revisa los resultados de la fase anterior para darle un
valor al caso.

Presentación de informes: escribir informe sobre el proceso de examinación y los datos
recuperados en la investigación forense en general.
2.3.1.2.2.2.
Modelo forense digital abstracto (2002)
Según [36] [37] [71], investigadores de la Fuerza Aérea de Estados Unidos identificaron las
características comunes en varios procesos de modelos e incorporaron otros en un modelo de
procesos abstracto. Este modelo consta de 9 componentes:

Identificación: reconocimiento del incidente para indicar y determinar el tipo de incidente
o crimen.
48

Preparación: preparación de herramientas, técnicas, órdenes de registro y autorizaciones
de seguimiento y apoyo a la gestión.

Acercamiento a la estrategia: formular dinámicamente un procedimiento basado en el
impacto potencial y la tecnología en cuestión. El objetivo de la estrategia debe ser
maximizar la obtención de pruebas no contaminadas, mientras que se minimiza el impacto a
la víctima.

Preservación: aislar, asegurar y preservar el estado de la evidencia física y digital.

Recolección: registrar la escena física y realizar una copia de la evidencia digital usando
procedimientos estandarizados y aceptados.

Examinación: búsqueda en profundidad sistemática de la evidencia relativa a la sospecha
del crimen. Esta fase se centra en la identificación y localización de la evidencia potencial,
posiblemente en lugares no convencionales. Construir la documentación detallada para el
análisis.

Análisis: determinar el significado, reconstruir los fragmentos de datos y plantear
conclusiones teniendo en cuanta la evidencia encontrada.

Presentación: resumir y proporcionar una explicación sobre las conclusiones obtenidas.

Retorno de la evidencia: garantizar que la evidencia física sea devuelta al propietario, así
como la determinación y pruebas penales sobre la evidencia que fue removida.
2.3.1.2.2.3.
Modelo forense Mandia (2003)
Kevin Mandia propone un modelo de respuesta a incidentes simple y preciso compuesto por 7
componentes (Ver Ilustración 22) [80].
Ilustración 22. Modelo respuesta a incidentes Kevin Mandia. Tomado de [80], traducción libre de los autores
49

Preparación al incidente: involucra la preparación de la organización como tal, así como
del personal de investigación, para dar inicio a la respuesta al incidente ocurrido.

Detección del incidente: esta fase es uno de los aspectos más importantes en la respuesta a
incidentes. Normalmente los incidentes de seguridad se identifican cuando alguien sospecha
que un evento no autorizado, inaceptable o ilegal se ha producido, y la participación de
redes informáticas de la organización o equipo de procesamiento de datos se ve
involucrada.

Respuesta inicial: uno de los primeros pasos en cualquier investigación, es obtener
información suficiente para determinar la respuesta adecuada que se debe dar al incidente.
La fase de respuesta inicial implica la recolección de datos de la red, la determinación del
tipo de incidente que ha ocurrido, y evaluar el impacto del incidente. La idea es reunir
suficiente información para comenzar la siguiente fase, que es desarrollar una estrategia de
respuesta.

Formular estrategia de respuesta: el objetivo de esta fase es determinar la estrategia de
respuesta más adecuada, dadas las circunstancias del incidente. La estrategia debe tener en
cuenta aspectos políticos, técnicos, jurídicos, comerciales y de factores que rodean el
incidente. La solución final depende de los objetivos del grupo o individuo con la
responsabilidad de la selección de la estrategia.

Investigar el incidente: consiste en determinar el quién, el qué, el cuándo, el dónde, el
cómo y el por qué, alrededor de un incidente. Se llevará a cabo la recolección de datos y se
realizara la investigación de la evidencia recolectada.

Presentación de informes: esta puede ser la etapa más difícil del proceso de respuesta a
incidentes. El desafío es crear los informes que describen con precisión los detalles de un
incidente, de forma tal que sean comprensibles para el personal que toma decisiones, que
puedan soportar la barrera del análisis y escrutinio jurídico, y que se produzcan en el
momento oportuno.

Resolución: el objetivo de esta fase, es poner en práctica las medidas y procedimientos
determinados, para evitar que un incidente cause más daños. De forma tal, que se retorne a
una situación estable, operativa y saludable. En otras palabras, en esta fase, se contiene el
problema, se resuelve el problema, y se toman medidas para evitar que el problema ocurra
de nuevo.
2.3.1.2.2.4.
Modelo de investigación digital integrado – IDIP (2003)
Según [37], Brian Carrier y Eugene Spafford proponen un modelo que organiza el proceso de
investigación forense en 5 grupos con un total de 17 fases (Ver Ilustración 23).
50
Ilustración 23. Fases del modelo IDIP. Tomado de [37], traducción libre de los autores

Fases de preparación: el objetivo de esta fase es garantizar que las operaciones y la
infraestructura están en condiciones para apoyar la investigación.
 Fase de preparación de operaciones: asegura que el insumo humano está capacitado
y equipado para enfrentar el incidente.
 Fase de preparación de la infraestructura: asegura que la infraestructura subyacente
es suficiente para hacer frente a los incidentes futuros.

Fases de implementación: el objetivo de esta fase es proporcionar mecanismos para
identificar y confirmar un incidente.
 Fase de detección y notificación: dónde se detectó el incidente y avisar a las
personas apropiadas.
 Fase de confirmación y autorización: se confirma el incidente y se obtiene una
autorización legal para llevar a cabo la búsqueda de evidencia.

Fases de investigación física de la escena del crimen: el objetivo de esta fase es
reconstruir y analizar las pruebas físicas, para poder reconstruir las acciones que se
realizaron durante el incidente (Ver Ilustración 24).
Ilustración 24. Fases de investigación física de la escena del crimen. Tomado de [37], traducción libre de los autores
 Fase de preservación: preservar la escena del crimen con el fin de posteriormente
poder identificar la evidencia.
51
 Fase de encuesta(s): requiere un investigador que "entre" en la escena del crimen
para identificar piezas de evidencia física.
 Fase de documentación: consiste en tomar fotografías, dibujos y videos de la escena
del crimen y de la evidencia.
 Fase de búsqueda y recolección: implica la búsqueda en profundidad de evidencia
física adicional.
 Fase de reconstrucción: organización de los resultados de los análisis realizados
para poder desarrollar una teoría sobre el incidente.
 Fase de presentación: presentación de la evidencia física o digital ante un tribunal.

Fases de investigación digital de la escena del crimen: el objetivo de esta fase es recoger
y analizar la evidencia digital que se ha obtenido en la fase de investigación física (Ver
Ilustración 25).
Ilustración 25. Fases de investigación digital de la escena del crimen. Tomado de [37], traducción libre de los
autores
 Fase de preservación: preservar la escena del crimen digital, de manera que
posteriormente puedan ser sincronizadas y analizadas para realizar otras pruebas.
 Fase de encuesta: el investigador transfiere los datos relevantes a un lugar
controlado.
 Fase de documentación: consiste en documentar adecuadamente la evidencia
digital, esta información es útil en la fase de presentación.
 Fase de búsqueda y recolección: implica la búsqueda en profundidad de evidencia
digital. Las herramientas de software usadas revelan datos escondidos, eliminados,
modificados o corruptos.
 Fase de reconstrucción: la cual incluye poner juntas las piezas de un rompecabezas
digital y desarrollar hipótesis investigativas.
52
 Fase de presentación: que involucra la presentación de la evidencia digital
encontrada, al equipo de investigación.

Fase de revisión: el objetivo de esta fase es realizar una revisión de todo el proceso de
investigación, para identificar mejoras en el mismo.
2.3.1.3. Roles y funciones en una investigación forense digital
El proceso de recolección de evidencia digital en un caso determinado, usualmente involucra
diferentes tipos de roles [82]. Independientemente del tipo de incidente, los roles son similares [81].
Dentro de un proceso investigativo de tipo forense, es importante definir una serie de roles con el
objetivo de definir responsabilidades entregadas al personal correspondiente. Además de esto, es
importante para generar la cadena de custodia52 de la evidencia, debido a que dependiendo del rol,
la persona puede o no tener acceso a la evidencia asegurando en cierta forma la admisibilidad de la
evidencia y su preservación. El NIST (National Institute of Standards and Technology Special
Publication) hace distinción de una serie de roles genéricos, para identificar responsabilidades
asociadas y asegurar que el alcance de las actividades sea completo y suficiente [8] [81] [82]:

Personal de primera respuesta: personal entrenado para llegar en primer lugar a la escena,
proveer una evaluación inicial y empezar con el primer nivel de respuesta del incidente. Las
responsabilidades de este rol son identificar la escena del incidente, asegurar la escena del
incidente, acudir al personal de apoyo adecuado, y asistir en la recolección y preservación
de evidencia.

Investigadores: personal encargado de planear y manejar la preservación, adquisición,
exanimación, análisis y reporte de la evidencia electrónica. El investigador líder es quién
está a cargo de asegurar que las actividades que se llevan a cabo en la escena del crimen se
ejecutan en el orden y momento correcto. Su responsabilidad es establecer la cadena de
mando, la realización de la búsqueda en la escena del crimen, desarrollar la evidencia,
preparar el reporte del caso, e informar cualquier hallazgo o determinación a los oficiales
asignados.

Técnicos: personal encargado de llevar a cabo tareas bajo la supervisión del investigador
líder. Son responsables de identificar y recolectar evidencia, así como de documentar la
escena del incidente. Son entrenados especialmente para incautar los equipos electrónicos y
obtener imágenes digitales de ellos y preservar los datos volátiles, es por esto que
generalmente son expertos en computación forense, o simplemente se cuenta con técnicos
expertos en diferentes áreas. Otras responsabilidades que tienen son, identificar, registrar,
aislar, transportar y procesar la evidencia.

Custodios de la evidencia: personal encargado de proteger toda la evidencia reunida y
almacenada en una ubicación central. Ellos aceptan la evidencia recolectada por los
52
Actividad por la cual se hace constar las particularidades de los elementos materia de prueba, de los
custodios, el lugar, sitio exacto, fecha y hora de los traspasos y traslados del elemento materia de prueba o
evidencia física, entre otros [89].
53
técnicos, se aseguran que esté correctamente identificada, y mantienen una estricta cadena
de custodia.

Examinadores forenses: personal especialmente entrenado para reproducir las imágenes
obtenidas de los dispositivos incautados y recuperar datos digitales, haciendo visible la
potencial evidencia digital en el dispositivo. Además, pueden encontrar más datos,
utilizando equipos altamente especializados, ingeniería inversa, entre otros medios.

Analistas forenses: personal encargado de evaluar el resultado obtenido por el examinador
forense, de acuerdo a su significancia y valor probatorio.
2.3.1.4. Usos de la informática forense
Según [66], la informática forense puede ser aplicada en varios ámbitos, de los cuales muchos
provienen de la vida diaria y no tienen que estar directamente relacionados con la informática
forense.

Prosecución criminal: casos que tratan de usar evidencia incriminatoria con el objetivo de
procesar gran variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y
venta de estupefacientes, evasión de impuestos o pornografía infantil.

Litigación civil: casos relacionados con fraude, discriminación, acoso y divorcio pueden
ser resueltos con ayuda de la informática forense.

Investigación de seguros: la evidencia digital encontrada en computadores, puede ayudar a
las compañías de seguros a disminuir costos en los reclamos por accidentes y
compensaciones.

Temas corporativos: casos que tratan de usar evidencia incriminatoria para procesar
incidentes relacionados con acoso sexual, mal uso o apropiación de información
confidencial y espionaje industrial.

Mantenimiento de la ley: la informática forense puede ser usada en la búsqueda inicial de
órdenes judiciales, así como en la búsqueda de información digital una vez se tiene la orden
judicial para hacer la búsqueda exhaustiva de evidencia.
2.3.2. Informática forense en iPhone 3G
El objetivo principal de la informática forense aplicada a dispositivos móviles, al igual que el
objetivo de la informática forense clásica como se mencionó anteriormente, es la búsqueda y
recolección de información relacionada con un incidente en el cual se pueda encontrar posible
evidencia digital incriminatoria, y esta sea utilizada como elemento material probatorio en un
proceso judicial [14]. Actualmente, el 80% de los casos en procesos judiciales contienen algún tipo
de evidencia digital [2], razón por la cual el proceso de recolección y el valor de la evidencia resulta
ser de vital importancia.
54
Sin embargo, y debido a que el mercado de la telefonía móvil inteligente se ha incrementado
primordialmente por la variedad de fabricantes y modelos de teléfonos que existen, la
heterogeneidad que se presenta tanto en su configuración de hardware, su sistema operativo y tipo
de aplicaciones que manejan, como en las herramientas adoptadas para recuperar contenidos que se
puedan utilizar en una investigación forense, es bastante significativa [12] [62]. En la mayoría de
los casos, los fabricantes de dispositivos móviles optan por crear y aplicar sus propios protocolos
para uso de sus sistemas operativos y cables, ocasionando que para los analistas forenses sea más
difícil realizar una investigación por la variedad de herramientas que existen para cada tipo de
dispositivo [2] [14].
Es por esto que para que se logre un análisis forense digital confiable, y la evidencia que se recoja
logre ser admisible, auténtica, completa, fiable, entendible y creíble, es importante conservar los
lineamientos presentados en la sección Consideraciones legales (Ver sección Evidencia digital)
parámetros concernientes a la manipulación de teléfonos móviles celulares, y los puntos que pueden
variar dependiendo del fabricante y modelo [13].
Hoy en día, como ya se ha mencionado, existe poca literatura sobre el análisis forense en
dispositivos móviles y específicamente sobre el iPhone. Sin embargo, se han desarrollado
herramientas y algunas técnicas forenses no formales para llevar a cabo dicho proceso.
Como en cualquier investigación forense, existen variedad de enfoques que se pueden utilizar para
la recolección y análisis de información [13]. Un aspecto clave para ello, por no decir el más
importante, es que el procedimiento que se siga, no modifique la fuente de información de ninguna
manera, o que de ser esto absolutamente necesario, el analista esté en la capacidad de justificar por
qué realizó esta acción [23].
Según [23], existen tres técnicas diferentes para la recolección de evidencia sobre un iPhone:
1. Obtener datos directamente del iPhone: este enfoque es preferible a la recuperación
archivos desde el computador con el que el iPhone se sincronizó. Sin embargo, el analista
forense debe entender cómo ocurrió la adquisición de información, si el iPhone fue
modificado en algún aspecto y qué tipo de información no se logró adquirir.
2. Obtener una copia de respaldo o una copia lógica del sistema de archivos del iPhone
utilizando el protocolo de Apple: ésta aproximación consiste en la lectura de archivos del
iPhone, mediante el protocolo de sincronización de Apple, el cual solo es capaz de obtener
archivos explícitamente sincronizados a través de el. Piezas claves de información son
almacenadas en bases de datos de tipo SQLite, las cuales son soportadas por el protocolo.
Hacer consultas sobre estas bases de datos generará la recuperación de información como
mensajes de texto y correos electrónicos eliminados del dispositivo.
3. Una copia física bit a bit: este proceso crea una copia física bit a bit del sistema de archivos
del iPhone, de manera similar al procedimiento que se sigue sobre computadores personales.
Este proceso, de todos los anteriores, es el que más potencial tiene para recuperar
información, incluyendo los datos eliminados, pero resulta ser complicado pues requiere que
se modifique la partición del sistema del iPhone.
55
Según [5], el proceso técnico que se debe seguir para realizar un análisis forense sobre un iPhone,
debe seguir fuertemente los lineamientos nombrados en la sección Consideraciones legales (Ver
sección Evidencia digital), y consta de cuatro pasos que se describen a continuación:
1. Manipulación física: Es el paso más importante antes de examinar el dispositivo, ya que se
debe contar con el equipo adecuado para mantener el dispositivo cargado y conectado. Se
debe retirar la tarjeta SIM o bloquear cualquier tipo de comunicación o alteración que pueda
sufrir el dispositivo mediante una jaula de Faraday que bloquee los campos eléctricos
alrededor de él, incluyendo las transmisiones celulares [12].
2. Establecer comunicación: este paso consiste en organizar las conexiones físicas y de red
apropiadas para instalar una herramienta forense y realizar la recuperación de información.
3. Recuperación forense: extraer la información original para crear una copia y trabajar sobre
ella. Esto requiere revisiones de integridad para evitar alteraciones de datos.
4. Descubrimiento electrónico: es el proceso en el cual toda la información extraída es
procesada y analizada. Durante esta etapa, los archivos eliminados son recuperados y el
sistema de archivos es analizado, para la recolección de evidencia.
Para llevar a cabo el proceso anteriormente descrito, se han desarrollado de igual manera
herramientas que permiten la extracción de información del dispositivo, y se ha hecho un enfoque
del equipo necesario que se requiere para ello [15]:

Un computador ejecutando el sistema operativo Mac OS X Leopard ó Windows XP. Algunas
de las herramientas que existen hasta el momento funcionan sobre Mac OS Tiger y Windows
Vista pero no han sido probadas en su totalidad sobre estos sistemas, por lo cual no se
garantiza que la extracción de datos sea completa.

Un cable de tipo USB para instalar las herramientas de recuperación, y mantener el
dispositivo cargado.

Una implementación de SSH en el computador incluyendo ssh y scp, para establecer
comunicación con el dispositivo.

Una instalación en el computador de iTunes 7.6 o 7.7 dependiendo del firmware del iPhone
en cuestión. De igual manera versiones superiores deberían funcionar correctamente.

Espacio adecuado en el computador, para almacenar las copias del sistema de archivos del
iPhone. Se recomienda reservar un espacio de mínimo tres veces la capacidad del iPhone en
cuestión.
La situación con las herramientas forenses para teléfonos celulares es considerablemente diferente a
los computadores personales. Si bien los computadores personales se han diseñado como sistema de
propósito general, los teléfonos celulares están diseñados como dispositivos específicos que realizan
un conjunto de tareas predefinidas. Los fabricantes de teléfonos celulares también tienden a basarse
en una variedad de sistemas operativos en lugar del enfoque más uniforme que se da con los
56
computadores personales. Debido a esto, la variedad de kits de herramientas para dispositivos
móviles es diversa [8].
Por lo anterior, una vez se cree un ambiente más confiable que limite la contaminación cruzada
sobre las copias del sistema de archivos obtenidas, se debe contar con una herramienta para su
análisis. Existen variedad de herramientas para este propósito cada una con características y
propiedades diferentes. A continuación describiremos algunas de las que existen en la actualidad
según [23] [45].
2.3.2.1. WOLF de Sixth Legion
Según [73], es una herramienta forense diseñada específicamente para el iPhone. Soporta todos los
modelos, 2G y 3G, que ejecutan cualquier versión de firmware desde la 1.0 hasta la 2.2. Este
software solo se puede ejecutar sobre el sistema operativo Mac OS X (10.4.11 o mayor), aunque
existe una versión compatible con Windows llamada Beowulf. Es capaz de eludir el código de
seguridad tanto del dispositivo como el de la tarjeta SIM, si se tiene acceso al computador en el que
fue usado el iPhone, sin necesidad de realizar el Jailbreak . WOLF afirma ser la única herramienta
forense orientada a iPhone que no realiza modificaciones sobre él, ya que la adquisición de
información se hace sobre una copia de la lógica de datos. Sin embargo, una desventaja de la
herramienta es que no recupera contenido suprimido del dispositivo. La siguiente información es
recolectada:








Información del teléfono
Contactos
Registro de llamadas
Mensajes
Información de internet
Fotos
Música/Videos
Historiales
La realización de la adquisición forense con WOLF es bastante intuitiva, luego de realizar la
activación, se solicitará la información correspondiente al caso que se desea investigar, además de
presentar las siguientes características al momento de realizar la adquisición de evidencia:

Almacena el historial de las investigaciones realizadas. Dentro de los datos que almacena se
encuentran:





Nombre de los investigadores
Nombre del caso
Numero del caso
Estado del iPhone (Bloqueado/Desbloqueado)
Permite seleccionar el tipo de datos que se desea analizar. Contiene las siguientes opciones:
 Datos del teléfono
57
 Fotos
 Medios del iPod
 Recuperación total de datos
Al terminar la adquisición de información, se podrán ver los resultados por medio de la aplicación,
o se pueden guardar los informes en formato HTML.
2.3.2.2. Cellebrite UFED
Según [74], el sistema forense Cellebrite UFED es un dispositivo autónomo (stand-alone), capaz de
adquirir datos desde dispositivos móviles y almacenar la información en una unidad USB, tarjeta
SD53 o computador. UFED incorpora un lector y generador de copias de tarjetas SIM. La
posibilidad de clonar una tarjeta SIM es una potente característica que puede crear e insertar un clon
de la tarjeta SIM original y el teléfono funcionará con normalidad. Sin embargo, no se registrará
con el operador de telefonía móvil de la red, eliminando la necesidad de bolsas que no permitan
cualquier tipo de conexión usando los principios de la jaula de Faraday54, y la posibilidad de que los
datos del teléfono sean actualizados o eliminados. El paquete viene con alrededor de 70 cables para
conectar a la mayoría de los dispositivos móviles disponibles en la actualidad. Incluyen protocolos
de conexión serial, USB, infrarrojos y Bluetooth. Permite extraer información de contactos,
mensajes de texto, historial de llamadas, mensajes de texto eliminados, grabaciones, video, fotos y
detalles del teléfono entre otros. Usando Cellebrite UFED se puede extraer los siguientes datos:









Agenda telefónica
Mensajes de Texto
Historial de llamadas (marcadas, recibidas, perdidas)
Clonación SIM ID
Mensajes de texto eliminados
Grabaciones de audio
Videos
Fotos
Detalles del teléfono
La adquisición forense en un iPhone 3G se puede realizar de dos formas, una es la estándar y la otra
es mediante el volcado de memoria. Este proceso es rápido y simple con esta herramienta. Después
de encender el dispositivo, se deben seguir los siguientes pasos:





53
54
Seleccionar Extract Phone Data
Seleccionar Apple
Seleccionar iPhone 2G/3G
Seleccionar unidad destino
Seleccionar los tipos de contenido (registros de llamadas incluidas, agenda, SMS, fotos,
videos y audio/música)
Es un formato de tarjeta de memoria flash utilizado en dispositivos portátiles.
Es un tipo de blindaje de campo eléctrico.
58

Conectar el iPhone al puerto origen con el cable de conexión 110 y la memoria USB en el
puerto destino.
Cellebrite también incluye UFED Report Manager, el cual provee una interfaz intuitiva para realizar
reportes sobre las investigaciones y además permite exportar dichos reportes en Excel, MS Outlook,
Outlook Express y CSV o simplemente imprimirlo.
2.3.2.3. Paraben Device Seizure (DS)
Según [75], es una herramienta forense que sirve para la adquisición de información en más de 2700
dispositivos (incluidos los teléfonos, PDAs y dispositivos GPS) y es compatible con Microsoft
Windows. El paquete está diseñado para apoyar la adquisición completa de información, y el
proceso de investigación, destacándose por la capacidad para realizar adquisición física, lo cual
permite recuperar datos eliminados. Usando esta herramienta se pueden extraer los siguientes datos:




Historial de mensajes de texto
Mensajes de texto eliminados
Agenda telefónica (Almacenados en la memoria del dispositivo o en la tarjeta SIM)
Registro de llamadas
 Recibidas
 Realizadas
 Perdidas



Datos sobre las llamadas y duraciones
Calendario
Sistema de archivos (Volcados de memoria):






Sistema de archivos
Archivos multimedia
Archivos Java
Archivos eliminados
Notas rápidas
Correo electrónico
Como la mayoría de las herramientas, DS puede almacenar la información de cada caso y de los
investigadores relacionados con él. Presenta dos opciones para realizar la adquisición de
información del iPhone, una es iPhone advanced (logical) y la otra es iPhone Jailbroken (si el
iPhone en cuestión tiene Jailbreak).
Cuando la adquisición es finalizada, DS presenta al investigador una interfaz de usuario consistente,
donde se muestran las propiedades de los datos adquiridos (MD5 y SHA1, categoría y descripción),
además de mostrar el contenido de forma clara.
59
2.3.2.4. MacLockPick II (MLP)
Según [76], esta herramienta tiene un enfoque único para la adquisición forense. El objetivo de
MLP es proporcionar una solución de plataforma cruzada forense que realiza una adquisición en
vivo de una máquina sospechosa. La información se almacena en un dispositivo USB y el software
se proporciona para analizar los resultados. MLP no funciona directamente en el iPhone, en su lugar
se centra en el directorio de copia de seguridad MDBACKUP donde se almacenan la gran mayoría
de los archivos. Entre los datos que son recuperables se encuentran:









Historial de llamadas
Mensajes de texto
Contactos
Notas
Fotos
Cuentas de correo sincronizadas
Favoritos – Marcación rápida
Estado, historial y bookmarks del navegador
Detalles del teléfono
Luego de actualizar y licenciar la herramienta, la adquisición de datos es muy simple. Se conecta el
dispositivo en el equipo destino Windows XP, se inicia la reproducción automática, y la
herramienta se encarga de realizar la adquisición.
Al momento de iniciar la herramienta, se pide seleccionar un archivo keylog. Luego de seleccionar
el archivo se presenta la pantalla principal donde se permite examinar los resultados obtenidos. La
interfaz de usuario es sencilla y permite hacer búsquedas rápidas, aunque la información extraída es
mostrada como archivo de texto y solo se puede exportar en formato HTML.
2.3.2.5. MDBackup Extract
Según [77], es una herramienta forense de BlackBag Technologies, compatible únicamente con
computadores Mac. Analiza los datos, desde el directorio de respaldo del sincronizador móvil
iTunes. La herramienta está actualmente en una versión beta y la producción de información es
limitada. Como es una utilidad solo de Mac, se debe copiar el directorio de respaldo desde un
computador Windows a un Mac para poder realizar el análisis.
Al iniciar la aplicación se debe seleccionar la carpeta donde se encuentra almacenada la copia de
seguridad del iPhone que se desea analizar. En el momento de seleccionar la carpeta, se debe
ingresar la ruta donde se van a extraer los resultados.
La ventana principal permite ver los resultados de la extracción y analizar la información. Allí, se
encuentra cada archivo extraído en el directorio, y una subcarpeta denominada Original_Files que
permite abrir / analizar los archivos extraídos y aún conservar una copia original. Si se hace clic
sobre la información del dispositivo, se presenta el archivo Info.plist principal con la información
básica del dispositivo.
60
Las imágenes se pueden visualizar haciendo clic en las vistas en miniatura presentadas en la
pantalla principal, las imágenes son almacenadas en un documento con formato HTML.
Esta herramienta ofrece las búsquedas por palabra clave, basta con seleccionar el botón de búsqueda
y aparece una ventana nueva con los resultados. Además tiene visualizados de bases de datos
SQLite.
2.3.2.6. .XRY/.XACT 4.1
Según [78], es una herramienta forense orientada a dispositivos móviles que realiza adquisición
lógica de datos, así como volcados físicos de memoria. El sistema viene en un maletín pequeño que
incluye: una unidad de comunicación USB 2.0, un adaptador de licencias, cables de corriente, lector
de tarjetas SIM, sistema para clonar tarjetas SIM, lector de tarjetas de memoria y un CD con el
software.
La adquisición de información con esta herramienta es sencilla. Inicialmente pregunta a qué tipo de
dispositivo se le va a hacer la extracción. Los siguientes son los datos que se pueden extraer con
.XRY:








Registros de llamadas
Contactos
Calendario
Notas
Mensajes de texto
Fotos
Coordenadas GPS
Otros documentos (archivos XML, HTML, Plist, etc.)
Al final del proceso se muestra un resumen con el tipo de información recuperada. Es importante
señalar que los estados de información en pantalla y los mensajes de correo electrónico no se
recuperarán a menos que el teléfono esté desbloqueado.
2.3.2.7. iLiberty+
Según [5] [79], es una herramienta libre, diseñada por Youssef Francis y Pepij Oomen, que permite
desbloquear el iPod/iPhone e instalar en él varias cargas útiles. iLiberty+ se aprovecha de una
vulnerabilidad en el firmware v1.x, de para que el iPhone de inicie desde un disco RAM sin firma,
permitiendo que cualquier tipo de software sea instalado en el dispositivo.
iLiberty+ fue mejorado para permitir que se instale de forma segura el paquete de investigación
forense en el iPhone, y se pueda acceder a el por medio de la interfaz de usuario. El paquete de
investigación forense contiene:




Un entorno Unix básico
OpenSSH (Shell seguro)
Netcat (herramienta para enviar datos a través de la red)
MD5 (compendio criptográfico para la creación de la imagen del disco)
61

Herramienta de copia/imagen dd (para acceder al disco)
Inicialmente esta herramienta al reconocer el iPhone, despliega información como:





Firmware
Tipo de dispositivo
Estado
Particiones
Sistema de archivos
Una vez activado el paquete de investigación forense, es necesario ejecutar el Jailbreak que la
misma herramienta realiza sobre el dispositivo o hacerlo utilizando alguna otra herramienta, para
aceptar conexiones SSH. Sin embargo, si alguno de los dos tipos de bloqueo que tiene el iPhone
(SIM o código a nivel de sistema operativo) está activo, el paquete de investigación no podrá ser
instalado, y será necesario deshabilitar el bloqueo activo. iLiberty+ proporciona una característica
para desbloquear el dispositivo llamada Bypass Passcode,pero, también se puede hacer
manualmente utilizando una herramienta llamada iPhone Utility Client. Una vez se lleva a cabo el
proceso anterior, se podrá empezar la recuperación de datos, dentro de los cuales se pueden
encontrar:













Diccionarios dinámicos
Mensajes de voz
Listas de propiedad
Bases de datos SQLite
Correos electrónicos
Páginas web
Otro tipo de archivos (PDF, Microsoft Word)
Bloques PGP
Imágenes
Historial de llamadas
Mensajes SMS
Notas
Calendario
2.3.2.8. CellDEK
Esta herramienta es compatible con hasta 1600 teléfonos celulares, PDAs, y dispositivos de
navegación satelital. Permite al usuario identificar dispositivos de acuerdo a la marca, número del
modelo, dimensiones y/o fotografías del mismo. Inicialmente se seleccionará el tipo de dispositivo
en el cual se llevará a cabo el análisis, y posteriormente, una característica llamada smart adapter,
iluminará el adaptador USB correspondiente (entre 40) para realizar la extracción de información.
Igualmente la conexión mediante infrarrojo o Bluetooth viene integrada.
62
CellDEK captura los datos almacenados en el dispositivo, en aproximadamente cinco minutos, y
automáticamente, lleva a cabo la extracción forense de los datos que se listan a continuación
desplegándolos por pantalla.









Hora y fecha del teléfono
Número de serie (IMEI,IMSI)
Llamadas marcadas y/o recibidas
Agenda telefónica (tanto del dispositivo como se la SIM)
Mensajes MMS (no disponible en todos los teléfonos móviles)
Mensajes SMS eliminados de la SIM
Calendario
Recordatorios
Imágenes, videos y sonidos
Para realizar la adquisición de información de un iPhone, es necesario instalar iTunes en el equipo
en que dicha adquisición se va a llevar a cabo. Una vez se cumple este requisito, se seguirán los
pasos nombrados anteriormente para la extracción de datos. Posterior a ello, el reporte es generado
y desplegado por pantalla automáticamente, permitiendo al usuario seleccionar el tipo de
información que desea ver.
2.3.2.9. MEGA
Las herramientas de informática forense para equipos Mac se han centrado tradicionalmente en los
detalles de bajo nivel del sistema de archivos. El sistema operativo Mac OS X y las aplicaciones
comunes en la plataforma Mac proporcionan abundante información sobre las actividades del
usuario en la configuración de archivos, directorios, y registros. MEGA es un conjunto de
herramientas extensibles para el análisis de archivos sobre imágenes de disco con Mac OS X. Esta
herramienta, proporciona un acceso sencillo al sistema de indexación de metadatos Spotlight
mantenida por el sistema operativo, con un rendimiento eficiente de búsqueda de contenido de
archivos y la exposición de. También puede ayudar a los investigadores para evaluar los directorios
cifrados del FileVault55. Herramientas de apoyo a MEGA se están desarrollando para interpretar los
archivos escritos por aplicaciones comunes del Mac OS, como Safari, Mail, e iTunes [64].
55
Herramienta que permite cifrar la información de la carpeta de inicio en Mac OS X.
63
3. GUÍA METODOLÓGICA PARA REALIZAR ANÁLISIS FORENSE
SOBRE DISPOSITIVOS MÓVILES (Caso de estudio: iPhone 3G)
El objetivo principal de esta investigación, es proponer formalmente una guía metodológica para
realizar análisis forense sobre dispositivos móviles, específicamente en iPhone 3G, luego de ser
víctima de un ataque. La guía mencionada anteriormente consta de 4 etapas con un total de 11
fases, basada en el modelo de investigación digital integrado (Ver sección 2.3.1.2.2.4. Modelo de
investigación digital integrado – IDIP (2003)). Posteriormente, dicha guía será evaluada en un
escenario con el objetivo de validarla y realizar las correcciones correspondientes.
3.1.
Etapa de preparación e implementación
El objetivo de esta etapa es seleccionar el personal adecuado para realizar la investigación y
proporcionar mecanismos para identificar y confirmar la ocurrencia de un incidente.
1. Fase de identificación de roles y funciones: asignar el equipo de investigadores
forenses (Ver sección Roles y funciones en una investigación forense digital).
2. Fase de detección: identificar el lugar dónde se presentó el incidente y diligenciar el
formulario de actuación del primer respondiente (Ver Anexo 5).
3.2.
Etapa de investigación física
El objetivo de esta etapa, es realizar la identificación física de la escena del crimen, diligenciando el
formulario de documentación escena del crimen (Ver Anexo 6), y decidir qué tipo de elementos se
utilizarán para llevar a cabo la investigación.
1. Fase de identificación de la escena: el objetivo de esta fase es realizar la identificación
y documentación de todos los elementos encontrados en la escena del crimen.
1.1. Identificación y documentación de los componentes electrónicos que no van a
ser incautados: es necesario realizar la identificación y documentación de todos
los componentes electrónicos que se encuentren en la escena del crimen, diferentes
al equipo que fue vulnerado, debido a que en el momento de realizar la búsqueda
de evidencia, se puede encontrar alguna conexión asociada a alguno de los
dispositivos mencionados anteriormente. Los datos que deben ser recolectados por
cada dispositivo son los siguientes.
 Tipo de dispositivo
64
 Marca
 Modelo
 Número serial
 Estado (Encendido/apagado)
1.2. Identificación y documentación de los componentes electrónicos que van a ser
incautados: es necesario realizar la identificación y documentación de todos los
componentes electrónicos relacionados con el dispositivo, que más adelante
faciliten el acceso y uso del mismo dentro de la investigación. Dichos
componentes pueden ser los siguientes:





Manuales del dispositivo
Cargadores
Memorias extraíbles
Códigos de acceso PIN56 y PUK57
Accesorios del dispositivo (manos libres, audífonos, entre otros)
1.3. Realización de entrevista al usuario del dispositivo vulnerado: es necesario
realizar una entrevista al usuario del dispositivo vulnerado con el objetivo de
recolectar toda la información posible sobre este. Dentro de la información que se
desea recolectar, están los códigos de seguridad, el uso que se le daba al
dispositivo y si el equipo ha sufrido algunas modificaciones físicas o lógicas con
respecto a su estado de fábrica (Ver Anexo 2).
1.4. Identificación y documentación del dispositivo vulnerado: para realizar esta
actividad es necesario tener en cuenta los siguientes pasos y diligenciar el
formulario de identificación del dispositivo vulnerado (Ver Anexo 8).

Verificar si el dispositivo se encuentra conectado a algún computador o
cargador, pues al desconectarlo, se pueden ejecutar en él, comandos de
eliminación de archivos.

En caso de estar conectado a un computador, verificar si el dispositivo se
encuentra montado58, de ser así, se debe desmontar desde iTunes (Ver
Ilustración 26 ) antes de desconectarlo, pues el disco puede fallar o presentar
daños.
Ilustración 26. Desmontar iPhone desde iTunes
56
Es un código personal de 4 cifras que permite acceder o bloquear el uso del teléfono móvil.
Es un código de 8 cifras que sirve para desbloquear el PIN cuando éste ha sido previamente bloqueado.
58
Acción de integrar un sistema de archivos alojado en un determinado dispositivo dentro del árbol de
directorios de un sistema operativo.
57
65

Identificar y documentar los siguientes ítems sobre el dispositivo vulnerado, se
deben tener en cuenta los siguientes datos:
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)
k)
l)
m)
n)
o)
p)
q)
r)
s)
t)
Estado (prendido/apagado)
Estado de protección PIN (activado/desactivado)
Estado de protección código de seguridad (activado/desactivado)
Modelo (número/generación)
Capacidad de almacenamiento
Número de Serie
Número ICCID59
Versión Firmware
IMEI60
Número de teléfono
Operador de telefonía celular
Cobertura
Conexiones soportadas
Dirección MAC Wi-Fi
Dirección MAC Bluetooth
Número de canciones
Número de videos
Número de fotos
Número de Aplicaciones
Dimensiones
2. Fase de aseguramiento y preservación de la evidencia física: el objetivo de esta fase
es preservar la escena del crimen con el fin de posteriormente identificar la evidencia
digital.
2.1. Creación registro de cadena de custodia: el objetivo de esta actividad es iniciar
la documentación de la cadena de custodia, la cual debe ser diligenciada durante
toda la investigación de manera estricta.
2.2. Aislamiento del dispositivo: es necesario aislar el dispositivo de cualquier tipo de
red (3G, Wi-Fi, GSM, Edge, GPRS) con la cual pueda iniciarse o existir alguna
conexión.
2.3. Aseguramiento de la evidencia física: es necesario aislar y etiquetar el dispositivo
y los demás elementos electrónicos incautados como evidencia, teniendo en cuenta
que no debe ser almacenado cerca a medios magnéticos debido a que esto puede
llegar a alterar la evidencia.
3. Fase de elección de herramienta(s) forenses: el objetivo de esta fase es realizar la
elección de la(s) herramienta(s) forense(s) que va(n) a ser utilizada(s) durante la
investigación, dichas herramientas serán seleccionadas dependiendo del nivel de
59
Número de identificación internacional de la tarjeta SIM.
Código de 15 o 17 dígitos que identifica de manera individual a cada estación móvil en la red GSM o
UMTS [88].
60
66
análisis que se quiera tener en la investigación o el contexto en el cual haya sido
vulnerado el dispositivo. Esta elección se puede llevar a cabo teniendo en cuenta las
herramientas nombradas en la sección Informática forense en iPhone 3G (Ver sección
2.3.2. Informática forense en iPhone 3G).
3.3.
Etapa de investigación digital
El objetivo de esta etapa, es llevar a cabo la recolección y análisis de la evidencia digital obtenida
en la fase anterior, diligenciando el formulario de Documentación evidencia digital (Ver Anexo 7).
Se debe tener especial cuidado en la preservación de la integridad y admisibilidad de la evidencia
digital.
1. Fase de documentación: consiste en la creación y aseguramiento de un documento, ya
sea físico o electrónico, que permita llevar a cabo un historial de todas las actividades
que se llevan a cabo durante el proceso de adquisición de evidencia [92]. Esta
información es útil en la fase de presentación de la evidencia.
2. Fase de búsqueda y recolección de evidencia digital: el objetivo de esta fase es
realizar la búsqueda en profundidad de evidencia digital. La(s) herramienta(s) de
software escogida(s) para ello, revelan datos escondidos, eliminados, modificados o
corruptos. Para realizar esta actividad es necesario seguir los siguientes pasos:
2.1. Verificación de Jailbreak: esta actividad consiste en verificar si el dispositivo
incautado ha sido liberado mediante el proceso de Jailbreak (Ver sección 2.2.1.
Jailbreak). Es importante tener conocimiento de esto, debido a que la adquisición
física requiere que el iPhone esté liberado.

Verificación: para verificar que el iPhone se encuentre liberado
mediante el proceso de Jailbreak, es necesario que el investigador
tenga acceso físico al dispositivo y se asegure que la aplicación Cydia
se encuentre disponible.

iPhone liberado: en caso que el iPhone esté liberado, es importante
verificar que la aplicación Cydia, Icy o RockYourPhone instalada en el
iPhone funcione correctamente, pues esta aplicación es la encargada de
descargar los programas que se necesitaran instalar en el iPhone
(Netcat, dd) para realizar la adquisición física de la imagen.

iPhone no liberado: en caso que el iPhone no esté liberado, es
importante seguir una serie de pasos, de forma tal que se haga
Jailbreak en el iPhone sin pérdida de información. Los pasos que se
deben seguir son los siguientes:
a) En un computador instalar y ejecutar alguna herramienta que
realice Jailbreak, preferiblemente PwnageTool.
67
b) Utilizar una herramienta para crear un paquete de firmware
personalizado, que actualizará el NOR (caché del kernel) sin
destruir datos en tiempo real.
c) Utilizar la herramienta anterior para crear un paquete de
firmware personalizado, que instalará el paquete de
herramientas de recuperación en el iPhone. O, utilizar la
aplicación Cydia, Icy o RockYourPhone, para descargar las
aplicaciones Netcat y dd desde el dispositivo.
d) Con el iPhone en modo DFU61, instalar el firmware
personalizado a través de iTunes, para ganar acceso al
dispositivo
2.2. Adquisición física: esta actividad consiste en llevar a cabo el volcado de memoria
tanto volátil como no volátil de memoria. Esto consiste en tomar la imagen binaria
bit a bit de la memoria del dispositivo comprometido, con sus respectivos
compendios criptográficos. Es recomendable obtener una imagen de la tarjeta SIM
debido a que es posible que se encuentren rastros del incidente en dicho medio de
almacenamiento.
2.3. Adquisición lógica: consiste en llevar a cabo la obtención de información del tipo:
a)
b)
c)
d)
e)
f)
g)
Lista de contactos
Historial de llamadas
Historial de mensajes
Fotos imágenes y videos
Correo electrónico
Eventos de calendario
Información entre el dispositivo y el computador relacionado
3. Fase de aseguramiento y preservación de la evidencia digital: el objetivo de esta
fase es preservar y asegurar toda la evidencia digital recolectada para conservar su
integridad. Con respecto a lo anterior, es necesario verificar la integridad de cada
imagen recolectada usando MD5, generar varias copias de la evidencia recolectada,
asegurarlas en un lugar restringido y trabajar siempre con una copia de respaldo
exactamente igual a la original para prevenir alteraciones sobre su contenido durante la
fase de análisis de evidencia digital.
4. Fase de análisis de la evidencia digital: el objetivo de esta fase es realizar el análisis
de los datos obtenidos en la recolección de evidencia, identificando principalmente
datos físicos y lógicos, para construir una línea de tiempo, de forma tal que los eventos
61
Es una forma de sobrepasar el iBoot del iPhone de forma tal que se pueda alterar el firmware del
dispositivo.
68
se puedan correlacionar y a partir de esto reconstruir la escena y obtener la mayor
cantidad de detalles del incidente. Para ello, se deben realizar las siguientes acciones:












Identificar propiedades generales de la adquisición
Estructura de la adquisición
Identificación de las particiones actuales y anteriores (las que sea posible
recuperar)
Identificación del sistema de archivos
Identificación de archivos existentes
Determinación del sistema operativo
Recuperación de archivos eliminados
Identificación de información oculta
Identificación de archivos protegidos
Identificación de aplicaciones instaladas
Consolidación de archivos potencialmente analizables
Análisis de datos [8]:
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)
k)
l)
m)
n)




Identificadores del dispositivo y del proveedor de servicio
Fecha/hora
Lenguaje
Información de la lista de contactos
Información del calendario
Mensajes de texto
Registro de llamadas (recibidas, perdidas, marcadas)
Correo electrónico
Fotos /Videos / Audio
Mensajes multimedia
Mensajería instantánea y navegación web
Documentos electrónicos
Revisar los registros del sistema
Identificar rastros de conexiones (Bluetooth, Infrarrojo, cable)
Consolidación de archivos sospechosos
Análisis de los archivos sospechosos
Determinación de los archivos comprometidos con el caso
Obtención de la línea de tiempo definitiva
5. Fase de presentación de la evidencia digital: involucra la presentación de la evidencia
digital encontrada, y los resultados del análisis de la misma al equipo de investigación.
3.4.
Etapa de presentación y revisión
El objetivo de esta etapa es documentar todas las acciones, eventos y hallazgos obtenidos durante el
proceso de investigación. Todo el personal está involucrado en ésta etapa y es vital para asegurar la
69
cadena de custodia de la evidencia. Los reportes de resultados generalmente, son generados por la
herramienta que se utiliza para efectuar el análisis. Además, se realiza una revisión de todo el
proceso de investigación, para identificar mejoras en el mismo.
4. VALIDACIÓN DE LA GUÍA METODOLÓGICA PROPUESTA
4.1.
Escenario de prueba
4.1.1. Definición del ataque y herramientas
Para llevar a cabo el escenario de prueba con el cual será validada la guía metodológica propuesta
en el capitulo anterior (Ver sección 3. GUÍA METODOLÓGICA PARA REALIZAR ANÁLISIS
FORENSE SOBRE DISPOSITIVOS MÓVILES (Caso de estudio: iPhone 3G)), es necesario
realizar un ataque sobre el iPhone 3G destinado para dicha prueba (Ver Anexo 9).
4.2.
Aplicación guía metodológica
A continuación se presentan los resultados de la guía metodológica propuesta, aplicada al caso de
estudio (Ver sección 4.1. Escenario de prueba).
4.2.1. Etapa de preparación e implementación
1. Fase de identificación de roles y funciones: para el desarrollo de la presente investigación
se realizará la asignación de roles según lo mencionado anteriormente (Ver sección 2.3.1.3.
Roles y funciones en una investigación forense digital), sin embargo al no contar con el
suficiente personal y recursos económicos, la totalidad de los roles serán asignados a los
autores de la investigación (Ver Tabla 6).
Rol
Personal de primera respuesta
Investigador
Técnico
Custodio de la evidencia
Examinador forense
Analista forense
Nombre
Andrea Ariza Díaz
Juan Camilo Ruiz
Andrea Ariza Díaz
Juan Camilo Ruiz
Andrea Ariza Díaz
Juan Camilo Ruiz
Identificación
1018405780
1019007331
1018405780
1019007331
1018405780
1019007331
Tabla 6. Asignación de roles
2. Fase de detección: a continuación se muestra la documentación del lugar de los hechos
(Ver Tabla 7) y el estado general de la escena del crimen (Ver Ilustración 27).
2
1 0
7
Día
Mes
Bogotá DC
Departamento
Carrera 20 # 52 - 50
Dirección
Observación del lugar de los hechos
Año
2
11:55
0
9 Hora(Militar)
Bogotá DC
Barrio
Teléfono 345 55 31
El dispositivo fue encontrado en un apartamento
0
70
ubicado en una zona residencial de Galerías y se encuentra la presencia de varias redes
inalámbricas públicas
Personas encontradas en el lugar de los hechos
Nombres y Apellidos
Identificación
Paola Isabel Ruiz Caro
Juan Camilo Ruiz Caro
1019007331
Victimas
Identificación
1019007331
Nombres y Apellidos
Juan Camilo Ruiz Caro
Primer respondiente
Ariza Díaz
Apellidos
1018405780
Pontificia Universidad Javeriana
Personal de primera respuesta
Andrea
Nombres
Número de identificación
Entidad
Cargo
Firma
Tabla 7. Formato actuación primer respondiente diligenciado
Ilustración 27. Foto de estado general de la escena del crimen
4.2.2. Etapa de investigación física
1. Fase de identificación de la escena
1.1. Identificación y documentación de los componentes electrónicos que no van a ser
incautados: en la escena del crimen se identificaron los componentes electrónicos listados
en la sección de elementos no incautados del formulario de documentación de la escena del
crimen (Ver Tabla 8)
1.2. Identificación y documentación de los componentes electrónicos que van a ser
incautados: en la escena el crimen se identificaron y recolectaron los componentes
electrónicos listados en la sección de elementos incautados del formulario de
documentación de la escena del crimen (Ver Tabla 8).
Código único del caso
Día 2 7
Mes
1
0
Año
2
0
0
9
I-001
Hora(Militar)
11:56
71
Tipo dispositivo
Computador portátil (Ver
Ilustración 28)
Router
(Ver Ilustración 29)
Tipo dispositivo
Marca
Elementos no incautados
Marca
Modelo
Numero Serial
COMPAQ
V3718LA
2CE8224KV1
Linksys
Numero
Serial
WRT54G V8
CDFG1H51513
1
Propietario
Juan Camilo Ruiz
Caro
Juan Camilo Ruiz
Caro
Elementos incautados
Modelo
Descripción
Cable USB (Ver
Ilustración 30)
Apple
N/A
N/A
Adaptador de
corriente (Ver
Ilustración 31)
Apple
1X83024
57ZJ3
A1265
iPhone 3G (Ver
Ilustración 32)
Apple
868312F
4Y7H
A1241
Cable que puede ser
usado para conectar el
dispositivo a un
computador o para
conectar el adaptador
de corriente
correspondiente a la
evidencia numero E002, con el objetivo de
cargar la batería de este
o sincronizarlo.
Adaptador que puede
ser conectado al
dispositivo usando el
cable USB identificado
con el código E-001,
con el objetivo de
recargar la batería de
este
Dispositivo vulnerado
Estado
Código
evidencia
N/A
E-001
N/A
E-002
Encendid
o
E-003
Accesorio del
dispositivo por medio
Audífonos
del cual se puede
Apple
N/A
N/A
N/A
E-004
(manos libres)
escuchar música y
tener conversaciones
telefónicas.
Observaciones: El equipo se encontró encendido, por tal razón no es necesario obtener el número PIN y
PUK, sin embargo se encuentra protegido con código de seguridad.
Por otro lado no se encontraron los manuales físicos del dispositivo, por lo tanto de ser necesario se hará
uso de los manuales electrónicos obtenidos desde el portal web del fabricante (Apple).
Tabla 8. Formato documentación escena del crimen diligenciado
72
Ilustración 28. Foto computador portátil V3718LA no incautado
Ilustración 29. Foto router Linksys no incautado
Ilustración 30. Foto cable USB incautado
Ilustración 31. Foto adaptador de corriente incautado
73
Ilustración 32. Foto iPhone 3G incautado
1.3. Realización de entrevista al usuario del dispositivo vulnerado
1. Nombres y Apellidos
Respuesta: Juan Camilo Ruiz Caro.
2. Número de identificación
Respuesta: 1019007331
3. ¿Desde cuándo es propietario del dispositivo?
Respuesta: Aproximadamente 6 meses.
4. ¿Lo compró nuevo o usado?
Respuesta: Nuevo
5. ¿En cuál operador de telefonía celular está inscrito el dispositivo?
Respuesta: Comcel
6. ¿Cuál es el número de teléfono celular asociado con el dispositivo?
Respuesta: 320 840 60 41
7. ¿Usualmente que uso le da a su teléfono celular?
Respuesta: Lo uso principalmente para escuchar música, revisar mis correos
electrónicos y para recibir y realizar llamadas.
8. ¿Al dispositivo se le ha realizado Jailbreak?
Respuesta: Si
9. Si la respuesta anterior es si, ¿Con cuál herramienta fue realizado?
Respuesta: Pwnage
10. ¿El dispositivo está protegido con código de seguridad?
Respuesta: Si
11. Si la respuesta anterior es si, ¿Podría facilitar el código de seguridad?
Respuesta: 1946
12. El dispositivo está protegido con número PIN?
Respuesta: Si
13. Si la respuesta anterior es si, ¿Podría facilitar el número PIN?
Respuesta: 1945
14. ¿Tiene habilitada la tecnología Bluetooth?
Respuesta: No
15. Si la respuesta anterior es si, ¿Utiliza frecuentemente la tecnología Bluetooth?
74
16. Además de las conexiones con las manos libres, ¿Ha utilizado últimamente
Bluetooth con algún otro dispositivo?
Respuesta: No
17. ¿Sincroniza el contenido de su teléfono con algún computador en especial
(Windows, Mac)? ¿Cómo realiza este procedimiento?
Respuesta: Si, con un computador Compaq V3718LA. El procedimiento que hago es
conectarlo por medio del cable USB y automáticamente iTunes sincroniza los datos.
18. ¿Qué sucesos extraños le indicaron que su teléfono había sido vulnerado?
Respuesta: Algunas aplicaciones que tenía instaladas no servían de un momento a otro,
los mensajes de texto y la lista de contactos desaparecieron
19. ¿Dentro de los últimos días alguien más ha tenido acceso a su dispositivo?
Respuesta: No
20. ¿Ha notado la ausencia de algún tipo de información (fotos, videos, mensajes,
contactos, documentos) que se encontraba almacenada en su teléfono celular?
Respuesta: Mensajes de texto y contactos
21. ¿Ha algún tipo de modificación de información (fotos, videos, mensajes, contactos,
documentos) que se encontraba almacenada en su teléfono celular?
Respuesta: No
22. ¿Realiza alguna otra conexión con su teléfono celular distinta a las ya
mencionadas? (WAP,3G, Wi-fi)
Respuesta: El dispositivo se conecta normalmente a la red 3G de Comcel y cuando
estoy en mi casa o en la universidad se conecta automáticamente a las redes Wi-Fi de
estos sitios.
1.4. Identificación y documentación del dispositivo vulnerado: a continuación se muestra la
información correspondiente al dispositivo vulnerado (Ver Tabla 9).
Código único del caso
Día 2 7
Mes
I-001
11:58
Año 2 0 0 9 Hora(Militar)
Estado del dispositivo
Estado de conexión (conectado/desconectado)
Desconectado
Estado (encendido/apagado)
Encendido
Estado de protección PIN (activado/desactivado)
Activado
Estado de protección código de seguridad
Desactivado
(activado/desactivado)
Información general
Modelo (número/generación)
MB489LA / 3G
Capacidad de almacenamiento
8 GB
Número de serie
868312F4Y7H
Número ICCID
8957 1010 0081 3199 4597
Versión Firmware
3.1 (7C144)
IMEI
01 161400 991961 9
Número de teléfono
320 8406041
Operador de telefonía celular
Comcel 5.0
Cobertura
UMTS/HSDPA (850, 1.900, 2.100 MHz);
1
0
75
Conexiones soportadas
Dirección MAC Wi-Fi
Dirección MAC Bluetooth
Canciones
Videos
Fotos
Aplicaciones
Peso
Alto
Ancho
Grosor
Navegador de internet
Mensajería
GSM/EDGE (850, 900, 1.800 y 1.900 MHz);
Wi-Fi (802.11b/g)
Bluetooth, Wi-Fi, USB 2.0
00:21:E9:13:A2:6B
00:21:E9:13:A2:6A
718
1
12
11
Dimensiones
135 gramos
115,5 mm
62,1 mm
12,3mm
Navegación y Mensajería
HTML
SMS, MMS62, correo electrónico (IMAP,
POP,SMTP)
Tabla 9. Formulario de identificación del dispositivo vulnerado diligenciado
2. Fase de aseguramiento y preservación de la evidencia física:
2.1. Creación registro de cadena de custodia: a continuación se muestra el registro de cadena
de custodia diligenciado (Ver Tabla 10).
I-001
Código único del caso
2 7
1
0
2 0 0 9
Día
Mes
Año
Hora(Militar)
Fecha
Hora
Identificación y
Código
Propósito del traspaso o
(dd/mm/aa)
cargo de quien
evidencia
traslado
recibe la evidencia
27/10/09
11:56
1018405780 /
E-001,
Identificación de la escena del
Personal de primera
E-002,
crimen.
respuesta
E-003,
Recolección y aseguramiento de
E-004
la evidencia física
27/10/09
11:58
1018405780 /
E-003
Manipulación física del
Personal de primera
dispositivo con el objetivo de
respuesta
obtener información general de
este.
27/10/09
11:59
1018405780 /
E-003
Aislamiento de las redes 3G y
Personal de primera
Wi-Fi
respuesta
27/10/09
11:59
1018405780 /
E-001,
Almacenamiento de evidencia
Técnico
E-002,
física en un lugar seguro
E-003,
E-004
27/10/09
12:00
1019007331 /
E-001,
Adquisición de la evidencia
62
11:56
Firma
Servicio de mensajería multimedia (fotos, audio, video)
76
Examinador Forense
E-002,
E-003,
E-005,
E-006,
E-007,
E-008
E-005,
E-006,
E-007,
E-008
E-001,
E-002,
E-003,
E-005,
E-006,
E-007,
E-008
E-007
27/10/09
20:15
1019007331 /
Examinador Forense
27/10/09
20:17
1019007331 /
Examinador Forense
27/10/09
20:19
1018405780 /
Custodio de la
evidencia
28/10/09
14:00
1019007331 /
Examinador Forense
28/10/09
15:00
E-007
28/10/09
16:15
1018405780 /
Custodio de la
evidencia
1019007331 /
Examinador Forense
24/11/09
21:21
1018405780 /
Custodio de la
evidencia
E-005,
E-006,
E-008
E-005,
E-006,
E-008
digital
Identificación de imágenes
obtenidas del dispositivo
Aseguramiento de la evidencia
digital
Entrega de evidencia física usada
para obtener la evidencia digital.
Entrega de evidencia digital
Se realizo una copia de la imagen
lógica con el objetivo de iniciar
con el análisis de la misma, dicha
copia será devuelta cuando se
termine su análisis.
Entrega de la copia analizada con
sus respectivos resultados.
Se realizo una copia de las
adquisiciones físicas con el
objetivo de iniciar con el análisis
de las misma, dichas copias serán
devueltas cuando se termine su
análisis.
Entrega de la evidencia, reporte y
resultados del análisis realizado.
Tabla 10. Registro de cadena de custodia diligenciado
2.2. Aislamiento del dispositivo: el dispositivo vulnerado fue aislado de las redes 3G y Wi-Fi
introduciéndolo en una bolsa anti estática (Ver Ilustración 33).
77
Ilustración 33. Foto de iPhone 3G aislado de la red 3G y Wi-Fi por medio de una bolsa anti estática
2.3. Aseguramiento de la evidencia física: la totalidad de la evidencia incautada fue etiquetada
y almacenada en sobres de manila (Ver Ilustración 30, Ver Ilustración 31, Ver Ilustración
32), a los cuales solo los investigadores pueden tener acceso luego de realizar el debido
trámite de registro de cadena de custodia (Ver Tabla 10).
3. Fase de elección de herramienta(s) forenses:
Para la investigación en curso, fue necesario realizar un Toolkit forense compuesto por varias
herramientas hardware y software provenientes de distintos fabricantes y desarrolladores
respectivamente, debido a que hasta el momento aunque existen herramientas forenses
enfocadas a este tipo de dispositivos, todavía tienen falencias, algunas son licenciadas y otras
por el contrario todavía no soportan iPhone 3G con firmware superior al 2.1 como es el caso de
Paraben Device Seizure. Con respecto a lo anterior, a continuación se muestra la lista de
herramientas utilizadas en esta investigación.

Computador MacBook 5.1 con sistema operativo Mac OS X Leopard: computador
necesario para poder acceder a las imágenes adquiridas en la etapa de investigación
digital. Con respecto a la anterior, es recomendable usar este tipo de computadores, ya
que al ser un producto Apple tiene características similares a las del dispositivo
vulnerado y al momento de realizar el análisis se tiene un ambiente nativo.

Hiddenfiles: widget63 instalado en el MacBook nombrado anteriormente, con el
objetivo de tener acceso a los archivos ocultos y protegidos que se encuentran dentro de
las imágenes que se van a analizar.
63
Un término genérico para la parte de una GUI que permite al usuario interactuar con la aplicación y
sistema operativo. Incluyen botones, ventanas pop-up, menús desplegables, iconos, entre otros.
78

MAC Marshal: herramienta necesaria para identificar el sistema operativo y el tipo de
sistema de archivos y usado en el dispositivo vulnerado.

Netcat: herramienta de red necesaria para transferir las particiones desde el dispositivo
vulnerado hacia el computador donde se va a realizar el análisis.

MobileSyncBrowser: herramienta necesaria para tener acceso visual a la información
contenida en la adquisición lógica.

SQLite Browser: administrador de bases de datos SQLite, necesario para acceder a la
información almacenada en el dispositivo vulnerado.
4.2.3. Etapa de investigación digital
A continuación, se muestra una descripción global de cada una de las fases pertenecientes a esta
etapa. Para ver entrar en más detalle de lo realizado en estas fases consultar el Anexo 10.
1. Fase de documentación: se realizó el registro paso a paso del proceso realizado para
obtener la evidencia digital.
2. Fase de búsqueda y recolección de evidencia digital
2.1. Verificación de Jailbreak: para realizar esta verificación fue necesario que los
investigadores tuvieran acceso directo al dispositivo vulnerado, con el objetivo de
identificar si en este se encontraba disponible la aplicación Cydia, la cual es
instalada por defecto al momento de realizar la liberación del dispositivo por
medio del proceso de Jailbreak.
2.2. Adquisición física: para realizar la adquisición física se utilizó el enfoque de
Jonathan Zdziarski (Ver sección 2.3.2.7 iLiberty+), el cual consiste en realizar la
extracción de la imagen física del dispositivo vulnerado por medio de una red
inalámbrica haciendo uso del servicio SSH, red inalámbrica a la cual solo tienen
acceso el dispositivo mencionado anteriormente y el computador en el cual va a ser
almacenada la imagen.
2.3.
Adquisición lógica: para realizar la adquisición lógica, se hizo uso del gestor de
música iTunes desarrollado por Apple, el cual permite realizar una copia de
respaldo del dispositivo en la que principalmente se almacenan los contactos,
mensajes de texto, historial de llamadas e información de los datos almacenados
como música y fotos.
3. Fase de aseguramiento y preservación de la evidencia digital: la totalidad de la
evidencia fue almacenada en el computador portátil perteneciente a uno de los
investigadores. Cabe resaltar, que a cada evidencia recolectada se le asigno un número
único de identificación, el cual debe ser usado por los investigadores al momento de
diligenciar el registro de cadena de custodia cuando sea necesario.
79
4. Fase de análisis de la evidencia digital
4.1. Análisis de adquisición lógica: como se mencionó anteriormente, iTunes permite
realizar una copia de respaldo. Esta consiste en una carpeta que la aplicación
genera, donde se encuentra información general del dispositivo y los datos que
contiene. Para su análisis se utilizó la herramienta MobileSyncBrowser, la cual
permitía ver la información anteriormente nombrada.
4.2. Análisis de adquisición física: para realizar este análisis, fue necesario utilizar un
MacBook el cual es capaz de montar las imágenes físicas, y permite ver el
contenido con facilidad, pues el sistema de archivos HFSX del iPhone es nativo
para el MacBook que utiliza HFS+. El contenido se despliega en forma de
directorios, dentro de los cuales se encuentran archivos descriptivos de la
información y bases de datos con la misma. Además se utilizó una herramienta
llamada Mac Marshal, para determinación de sistema operativo e información
general del dispositivo.
Una vez realizado el análisis, se determinaron en primer lugar los archivos
sospechosos, en segundo lugar los archivos comprometidos con el caso, para así,
poder realizar la obtención de la línea de tiempo definitiva.
5. Fase de presentación de la evidencia digital: después de realizar el análisis de la
evidencia digital, se obtuvieron resultados a partir de los archivos comprometidos con
el caso y la línea de tiempo, los cuales se describen en esta fase. Así mismo, se pudo
concluir la fecha en la cual se perpetró el ataque contra el dispositivo.
4.2.4. Etapa de presentación y revisión
Para el desarrollo de la presente investigación, la totalidad de reportes fueron creados manualmente
por los investigadores. Lo anterior debido a que por falta de presupuesto y actualización en algunas
herramientas, no fue posible hacer uso de estas. A continuación se muestra el listado de reportes
realizados para tener en cuenta al momento de presentar esta investigación en un proceso judicial.









Formato actuación primer respondiente (Ver Tabla 7).
Formato documentación escena del crimen (Ver Tabla 8).
Entrevista al usuario del dispositivo vulnerado (Ver fase de identificación de la escena
en la sección Etapa de investigación física).
Formulario de identificación del dispositivo vulnerado (Ver Tabla 9).
Registro de cadena de custodia (Ver Tabla 10).
Formulario documentación evidencia digital (Ver Tabla 1 en Anexo 10)
Consolidación archivos potencialmente analizables (Ver Tabla 3 y Tabla 4 en Anexo
10).
Análisis de datos (Ver Tabla 5 a Tabla 122 en Anexo 10)
Determinación archivos comprometidos en el caso (Ver etapa de determinación de los
archivos comprometidos en el caso en la sección Etapa de investigación digital).
80


Línea de tiempo definitiva (Ver Ilustración 57 en Anexo10Error! Reference source
not found.).
Conclusiones de la investigación (Ver Fase de presentación de la evidencia digital en la
sección Etapa de investigación digital en Anexo 10).
5. RETROALIMENTACIÓN DE LA GUÍA METODOLÓGICA
Después de llevar a cabo la aplicación de la guía metodológica propuesta en la presente
investigación, se presentaron ciertas mejoras en ella, las cuales se exponen a continuación, así como
las conclusiones a las cuales se llegaron.

La fase de identificación de roles y funciones es vital durante el desarrollo de una
investigación forense digital. Sin embargo, dependiendo del tipo de investigación que
se esté realizando, no es necesario asignar la totalidad de los roles. De ser así, se debe
argumentar y documentar el porqué de la decisión.

La fase de identificación de la escena durante la aplicación de la guía se realizó bajo
supuestos, debido a que tanto el escenario planteado para el ataque como la aplicación
de la guía la llevaron a cabo las mismas personas. Sin embargo, en una situación real se
deben incautar y documentar todos los componentes electrónicos relacionados con la
investigación bajo ningún supuesto.

En la fase de identificación de la escena en el paso número 3, se propone realizar una
entrevista al propietario del iPhone en cuestión. Sin embargo, esta entrevista puede
variar según la investigación que se esté llevando a cabo. Además si esta guía es
utilizada para llevar a cabo una investigación sobre otro modelo del iPhone se puede
ajustar a las necesidades que se requieran.

Lo ideal en una investigación forense digital es preservar la escena del crimen para
posteriormente identificar evidencia digital. El iPhone a diferencia de cualquier otro
81
tipo de dispositivo móvil celular, puede hacer parte de varias redes como lo son la red
3G, GSM, Edge, GPRS, o la Wi-Fi, por tal razón es indispensable aislarlo de todas
estas redes, para evitar cualquier alteración en la escena del crimen.

Es recomendable que el registro de cadena de custodia esté sujeto a un formato estándar
sugerido por los entes de control del país en que se lleva a cabo la investigación. Ya que
de esta manera la presentación del caso puede ser admitida en la corte.

La tercera fase de la etapa de investigación física planteada en la guía metodológica
consiste en realizar la elección de herramientas forenses que se van a utilizar durante la
investigación. Durante la aplicación de la guía se desarrolló un cuadro comparativo con
las herramientas que soportan análisis en iPhone. Sin embargo, dentro de las
herramientas gratuitas que se encontraron, ninguna logró cumplir con los requisitos
mínimos para ser utilizada en la investigación.

La etapa de investigación digital tiene como objetivo llevar a cabo la recolección y
análisis de evidencia digital, preservando la integridad y admisibilidad de la evidencia
digital. Actualmente no existe ninguna forma de obtener una copia bit a bit del iPhone
3G, sin tener que llevar a cabo el proceso de Jailbreak sobre el dispositivo. Con
respecto a lo anterior, se dificulta presentar este tipo de casos en un proceso judicial
debido a la alteración de datos en el dispositivo.

Durante la fase de análisis de la evidencia digital, la recuperación de archivos
eliminados no se pudo llevar a cabo, debido a que no se utilizó una herramienta
especializada en la obtención de este tipo de archivos.

La línea de tiempo es útil para plasmar de forma gráfica los hechos y sucesos
importantes ocurridos, y determinar cuáles fueron las acciones tomadas por el atacante
sobre el dispositivo.
82
6. CONCLUSIONES
Uno de los campos que requiere más investigación y profundización, es el de la informática forense
en dispositivos móviles. En primera instancia, este trabajo de grado, pretende contribuir
conceptualmente en cada uno de los aspectos relacionados con la informática forense clásica y los
procedimientos para realizar este tipo de investigaciones en dispositivos móviles como el iPhone
3G. Para llevar a cabo lo mencionado anteriormente, fue necesario realizar una exhaustiva
recolección de información con el objetivo de formalizar el estado del arte de cada una de las
variables presentes en la investigación como lo son el iPhone 3G, los problemas de seguridad en
este y la informática forense tanto clásica como orientada a dispositivos móviles, campo que aún
está en crecimiento. Lo anterior, con el objetivo de presentar la guía metodológica basada en dichos
conceptos, para realizar análisis sobre dispositivos móviles como el iPhone.
En segunda instancia, además de proponer la guía metodológica, se presentó un escenario de prueba
de la misma, bajo un ataque controlado, de forma tal que los resultados se utilizaron para verificar
su eficacia, efectividad y viabilidad de aplicación en un caso dado. Una vez aplicada la guía se llegó
a lo siguiente:

Actualmente las herramientas forenses para dispositivos móviles se encuentran
desactualizadas, es por esto que llevar a cabo análisis sobre dispositivos como el iPhone
3G que constantemente presenta actualizaciones en el firmware, requiere de otro tipo de
herramientas y métodos (como el Jailbreak) que pueden llegar a ser no del todo
admisibles en una investigación dada.
83

Se concluye que la aplicación de la guía es viable para un caso real, sin embargo se
recomienda ajustar la guía de acuerdo a lo planteado en la retroalimentación de la
misma.

Debido a los avances tecnológicos que se presentan en la actualidad, es necesario
actualizar la guía de acuerdo a los cambios que se presentan en el dispositivo iPhone,
realizando pruebas y retroalimentación de la misma.

Es indispensable que Apple Inc. proporcione algún tipo de ayuda en el campo de la
informática forense orientada a este tipo de dispositivos, ya sea brindando algún tipo de
libración en el dispositivo o desarrollando una herramienta forense que permita realizar
análisis sobre este dispositivo sin necesidad de realizar algún proceso extra para poder
liberarlo como se hace en la actualidad, con lo cual se puede poner en riesgo una
investigación completa al momento de ser presentada en un proceso judicial.
7. TRABAJOS FUTUROS
A continuación se presentan los trabajos futuros sugeridos una vez culminada la presente
investigación:

La presente investigación se hizo orientada al dispositivo móvil iPhone 3G, por lo tanto
la guía metodológica propuesta en este documento se realizó enfocada únicamente al
análisis de dicho dispositivo. Por lo tanto, se propone realizar un caso de estudio más
profundo donde además de realizar la investigación sobre el dispositivo, también pueda
ser analizada la tecnología de red que usa dicho dispositivo (3G).

El análisis de la presente investigación fue desarrollado usando como herramienta
forense un MacBook. Lo anterior debido a la falta de presupuesto para poder utilizar
alguna herramienta licenciada y a la falta de actualización de las herramientas freeware
que no soportaban análisis de iPhone 3G con firmware superior a 2.1. Con respecto a lo
anterior, se propone ejecutar la guía metodología propuesta haciendo uso de alguna
herramienta actualizada con el objetivo de comparar resultados y de ser el caso realizar
la retroalimentación pertinente a la guía metodológica.

Con respecto a lo anterior, para poder realizar el análisis del dispositivo era necesario
que este estuviera previamente liberado por medio del proceso de Jailbreak. En caso
contrario es responsabilidad del investigador realizar este proceso, lo cual puede poner
en riesgo el resultado de la investigación cuando esta sea presentada en un proceso
84
judicial. Por lo tanto, se propone la ejecución de la guía metodológica propuesta en un
escenario de prueba en el cual es dispositivo no esté liberado y no haya necesidad de
realizar dicho proceso, utilizando alguna herramienta forense que soporte análisis sobre
este tipo de dispositivos sin Jailbreak como Paraben Device Seizure, la cual
lastimosamente solo soporta este tipo de análisis para iPhone 3G con firmware inferior
al 2.1.

La presente investigación fue realizada enfocada a un dispositivo de última tecnología
como lo es el iPhone 3G, pero debido a la gran rapidez con que evoluciona la
tecnología, en estos momentos existe el sucesor del iPhone 3G llamado iPhone 3GS, y
gracias a la popularidad que han adquirido este tipo de dispositivos, con el tiempo
existirán nuevos sucesores que mejoren su rendimiento, usabilidad y amplíen los
servicios que presta actualmente el dispositivo. Con respecto a lo anterior, se propone
realizar la ejecución de la guía metodológica propuesta en el iPhone 3GS y de darse el
caso, en sus posteriores actualizaciones con el objetivo de mantener actualizada la guía
metodológica.
8. REFERENCIAS
[1] B Mellar. “Forensic examination of mobile phones”. Digital Investigation - Elsevier, United
Kingdom,
2004,
http://faculty.colostatepueblo.edu/dawn.spencer/Cis462/Homework/Ch4/Forensic%20examination%20of%20mob
ile%20phones.pdf Última consulta: Febrero de 2009.
[2] M Rossi. “Internal forensic acquisition for mobile equipments”. Dipartimento di
Informatica, Sistemi e Produzione, Università di Roma “Tor Vergata”, 2008.
[3] Canalys. Expert Analysis for High-tech Industry. “Smart mobile device shipments hit 118
million in 2007, up 53% on 2006”. Singapore and Reading (UK) – Tuesday, 5 February
2008, http://www.canalys.com/pr/2008/r2008021.htm, Última consulta: Febrero 2009.
[4] Canalys. Expert Analysis for High-tech Industry. “Global smart phone shipments rise
28%”.
Reading
(UK)
–
Thursday,
6
November
2008,
http://www.canalys.com/pr/2008/r2008112.htm, Última consulta: Febrero 2009.
[5] J Zdziarski. “iPhone Forensics, Recovering Evidence, Personal Data & Corporate Assets”,
2008.
[6] CSI. Computer Security Institute. http://www.gocsi.com/. Última consulta: Enero de 2009.
[7] CSI. “Computer Crime and Security Survey, The latest results from the longest-running
project of its kind”. 2008. http://i.cmpnet.com/v2.gocsi.com/pdf/CSIsurvey2008.pdf,
Última consulta: Enero de 2009.
85
[8] C. Castillo, R. Ramírez, “Guía metodológica para el análisis forense orientado a incidentes
en dispositivos móviles GSM”, Pontificia Universidad Javeriana, Dic. 2008.
[9] M. Varsalone, J. Kubasiak, “Mac Os X, iPod and iPhone Forensic Analysis DVD Toolkit”,
Syngress Publishing Inc, 2009, pp. 355-475.
[10] Dev-Team Blog, redsn0w in june, http://blog.iphone-dev.org/post/126908912/redsn0w-injune , Última consulta: 13/09/09.
[11] Bluetooth,
“Descripción
general
del
funcionamiento”,
http://spanish.bluetooth.com/Bluetooth/Technology/Works/Default.htm
2009,
[12] Forensic
analysis
of
mobile
phone
internal
memory,
http://digitalcorpora.org/corpora/bibliography_files/Mobile%20Memory%20Forensics.pdf.
[13] C. Agualimpia, R. Hernández, “Análisis forense en dispositivos móviles con Symbian OS”,
Documento de maestría, Dept. Ingeniería electrónica, Pontifica Universidad Javeriana,
http://www.criptored.upm.es/guiateoria/gt_m142e1.htm.
[14] C. Castillo, A. Romero, J. Cano, “Análisis forense orientado a incidentes en teléfonos
celulares GSM: Una guía metodológica”, Conf. XXXIV Conferencia Latinoamericana de
Informática, Centro Latinoamericano de Estudios en Informática (CLEI), Sept. 2008,
http://www.clei2008.org.ar/
[15] I Baggilo, R Milan, M Rogers. “Mobile Phone Forensics Tool Testing: A Database Driven
Approach”. International Journal of Digital Evidence, Purdue University, Volume 6 Issue 2,
Fall 2007; http://www.utica.edu/academic/institutes/ecii/publications/articles/1C33DF76D8D3-EFF5-47AE3681FD948D68.pdf
[16] Fred Vogelstein, “The Untold Story: How the iPhone Blew Up the Wireless Industry”,
WIRED,
Wired
Magazine:
issue
16.02,
Enero
2008,
http://www.wired.com/gadgets/wireless/magazine/16-02/ff_iphone?currentPage=all, Última
consulta: 23/03/09.
[17] Javier
Penalva,
“Historia
del
iPhone”,
Xataca,
Jun.
http://www.xataka.com/moviles/historia-del-iphone, Última consulta: 23/03/09
2008,
[18] “The Apple iPhone Story: 1999 to 2008”, ProductReviews, Ago. 2008, http://www.productreviews.net/2008/08/01/the-apple-iphone-story-1999-to-2008/, (no tiene autor), Última
consulta: 23/03/09.
[19] Danny Dumas, “iPhone Timeline Highlights the Handset Through The Ages”, WIRED,
Gadget
Lab:
hardware
that
rocks
your
world,
Jul.
2008,
http://blog.wired.com/gadgets/2008/07/iphone-timeline.html, Última consulta: 23/03/09.
[20] Ashton Applewhite, “The BlackBerry Business”, IEEE, Persasive Computing, Volume 1,
Issue 2, Abr./Jun. 2002, http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=1012329,
Última consulta: 23/03/09.
[21] Apple
Inc.,
“Especificaciones
iPhone
3G”,
http://www.apple.com/es/iphone/specs.html, Última consulta: 26/01/09
2009,
[22] Apple Inc., “Qué es iTunes”, 2009, http://www.apple.com/es/itunes/whatis/, Última
consulta: 24/03/09.
[23] Andrew Hoog, “iPhone Forensics: Annual Report on iPhone Forensic Industry”, Chicago
Electronic Discovery, Mar. 2009
86
[24] Apple Inc., “iPhone 3G: Gallery”, 2009, http://www.apple.com/iphone/gallery/, Última
consulta: 24/03/09
[25] Michael Macedonia, “iPhones Target the Tech Elite”, Entertainment Computing, Pags. 9495, Jun. 2007.
[26] Lev Grossman, “Invention Of the Year: The iPhone”, TIME in partnership with CNN,
http://www.time.com/time/specials/2007/article/0,28804,1677329_1678542,00.html,
Última consulta: 24/03/09.
[27] Apple Inc., “iPhone 3G: Caracteristicas”, 2009, http://www.apple.com/la/iphone/features/,
Última consulta: 24/03/09.
[28] Apple Inc, “iPod Classic”, 2009, http://www.apple.com/la/ipodclassic/features.html, Última
consulta: 25/03/09.
[29] Apple Inc., “Apple introduce el Nuevo iPhone 3G: dos veces más rápido y a mitad de
precio”, Sala de prensa, 2009, http://latam.apple.com/pr/articulo/?id=1486, Última consulta:
25/03/09.
[30] T. Espiner, “Crackers claim iPhone 3G hack”, ZDNet
http://news.zdnet.co.uk/security/0,1000000189,39446756,00.htm
UK
Jul.
[31] J.
Pastor,
“El
iPhone
vulnerable
al
Phishing”,
Jul.
http://www.theinquirer.es/2008/07/25/el_iphone_vulnerable_al_phishing.html,
consulta: 14/04/2009.
2008,
2008,
Última
[32] Jeimy J. Cano, “Introducción a la informática forense: Una disciplina técnico-legal”,
Revista Sistemas, Asociación Colombiana de Ingenieros de Sistemas (ACIS), Vol.96, pp.
64-73, Jun. 2006, http://www.acis.org.co/fileadmin/Revista_96/dos.pdf, Última consulta:
14/04/2009.
[33] Jeimy J. Cano, “Computación Forense: Conceptos Básicos”, May. 2002.
[34] Del Pino Santiago, “Introducción a la informática forense”, Pontificia Universidad Católica
del
Ecuador,
Oct.
2007,
Disponible
en:
http://www.criptored.upm.es/guiateoria/gt_m592b.htm.
[35] D. Brezinski, T. Killalea, Guidelines for Evidence Collection and Archiving, IETF RFC
3227, February 2002; http://www.ietf.org/rfc/rfc3227.txt
[36] Reith Mark, Carr Clint, Gunsch Gregg, “An Examination of Digital Forensic Models”,
International Journal of Digital Evidence, Air Force Institute of Technology, Volume 1
Issue
3,
Fall
2002,
www.utica.edu/academic/institutes/ecii/publications/articles/A04A40DC-A6F6-F2C198F94F16AF57232D.pdf.
[37] Baryamureeba Venansius, Tushabe Florence, “The Enhanced Digital Investigation Process
Model”, Institute of Computer Science, Makerere University, May. 2004.
[38] M. Meyers, M. Rogers, “Computer Forensics: The Need for Standardization and
Certification”, International Journal of Digital Evidence, CERIAS, Purdue University,
Volume
3
Issue
2,
Fall
2004,
www.utica.edu/academic/institutes/ecii/publications/articles/A0B7F51C-D8F9-A0D07F387126198F12F6.pdf.
[39] International Organization on Computer Evidence, “Guidelines for best practice in the
forensic examination of digital technology”, IOCE Best Practice Guide V1.0, May. 2002,
http://www.ioce.org/fileadmin/user_upload/2002/ioce_bp_exam_digit_tech.html
87
[40] M. Delgado, “Análisis Forense Digital”, Hackers y Seguridad, 2nd ed., Jun. 2007,
http://www.criptored.upm.es/guiateoria/gt_m335a.htm
[41] iPhone
OS
Overview,
http://developer.apple.com/iphone/gettingstarted/docs/iphoneosoverview.action
[42] iPhone
OS
Technology
Overview,
Oct.
2009,
http://developer.apple.com/iphone/library/documentation/Miscellaneous/Conceptual/iPhone
OSTechOverview/Introduction/Introduction.html.
[43] Technical
Note
TN1150
HFS
Plus
http://developer.apple.com/technotes/tn/tn1150.html#HFSX
Volume
Format
[44] A. Burghardt, A. Feldman, “Using the HFSD journal for deleted file recovery”, Digital
Forensic Research Workshop, 2008,
http://www.dfrws.org/2008/proceedings/p76burghardt.pdf
[45] A. Sandoval, “El iPhone está disparado a nivel mundial”, El Tiempo, Ago. 2009,
http://m.eltiempo.com/detail/key/86380/Tec/1;jsessionid=2E69ADA8DC4483AACF825D6
FE1778B9E.eltiempo2, Última consulta: 25/08/09
[46] L. Cassavoy, “What Does It Mean to Jailbreak an iPhone?”, About.com,
http://smartphones.about.com/od/glossary/f/jailbreak_faq.htm, Última consulta: 27/08/09
[47] K. Higgins, “Metasploit Adds iPhone Hacking Tools”, Dark Reading, Sep. 2006,
http://www.darkreading.com/security/perimeter/showArticle.jhtml?articleID=208804751,
Última consulta: 27/08/09.
[48] Dev-Team Blog, 2009, http://blog.iphone-dev.org/, Última consulta: 25/08/09.
[49] iPhone Dev Team, “Pwnage Project”, Mar. 2008, http://wikee.iphwn.org/news:pwnage,
Última consulta: 28/08/09
[50] iPhone
Dev
Team,
“How
Pwnage
Works”,
http://wikee.iphwn.org/s5l8900:pwnage, Última consulta: 28/08/09
[51] SeguInfo:
Seguridad
de
la
información,
Phishing,
info.com.ar/malware/phishing.htm, Última consulta: 28/08/09
Jun.
2008,
http://www.segu-
[52] Apple Inc, “Mail”, 2009, http://www.apple.com/es/iphone/iphone-3g/mail.html, Última
consulta: 28/08/09
[53] Aviv
Raff
On,
“iPhone
is
Phishable
and
SPAMable”,
Jul.
2008,
http://aviv.raffon.net/2008/07/23/iPhoneIsPhishableAndSPAMable.aspx, Última consulta:
28/08/09
[54] Aviv
Raff
On,
“Happy
New
Year”,
Oct.
http://aviv.raffon.net/2008/10/02/HappyNewYear.aspx, Última consulta: 28/08/09
2008,
[55] Thomas Claburn, “Apple iPhone Vulnerabilities Disclosed”, InformationWeek | the
business
value
of
technology,
Oct.
2009,
http://www.informationweek.com/news/personal_tech/iphone/showArticle.jhtml?articleID=
210605451, Última consulta: 28/08/09
[56] Compaq,
“Compaq
V3718LA”
http://search.hp.com/query.html?lang=en&hps=Compaq.com&la=en&hpn=Return+to+Co
mpaq.com&qp=web_section_id%3Ar163+site%3Ashopping.hp.com&cc=us&hpr=/country
/index.html&h_audience=hho&qt=compaq+v3718la, Última consulta: 28/08/09.
88
[57] SeguInfo:
Seguridad
de
la
información,
info.com.ar/malware/spam.htm, Última consulta: 30/08/09
Spam,
http://www.segu-
[58] Daniel V. Hoffman, “Blackjacking: Security Threats to BlackBerrys, PDAs, and Cell
Phones in the Enterprise”, Wiley Publishing Inc, 2007, pp. 3-13
[59] Crackea tu iPhone, “Hackers pueden entrar a tu iPhone mediante OpenSSH”, 2008,
http://crackeatuiphone.com/2008/09/hackers-pueden-entrar-a-tu-iphone-mediante-openssh/,
Última consulta: 01/09/09
[60] Insecure.org, http://nmap.org/, Última consulta: 06/09/09.
[61] The GNU Netcat project, http://netcat.sourceforge.net/, Nov. 2006, Última consulta:
06/09/09.
[62] Adelstein. F.: MFP: The Mobile Forensic Platform. International Journal of Digital
Evidence.
Volume
2.
Issue
1.
(2003).
http://www.utica.edu/academic/institutes/ecii/publications/articles/A066554D-DCDD75EE-BE7275064C961B5D.pdf
[63] Geiger, M.: Evaluating Commercial Counter-Forensic Tools. Carnegie Mellon University.
Digital
Forensic
Research
Workshop
(DFRWS).
(2005).
http://dfrws.org/2005/proceedings/geiger_couterforensics.pdf
[64] R. Joyce, J. Powers, F. Adelstein, “MEGA: A tool for Mac OS X operating system and
application forensics”, Digital Investigation, 2008
[65] R. Leigland, “A Formalization of Digital Forensics”, International Journal of Digital
Evidence,
University
of
Idaho,
Volume
3,
Issue
2,
Fall
2004,
http://www.utica.edu/academic/institutes/ecii/publications/articles/A0B8472C-D1D2-8F988F7597844CF74DF8.pdf.
[66] O. López, H. Amaya, R. León, B. Acosta, “Informática forense: generalidades, aspectos
técnicos
y
herramientas”,
Universidad
de
los
Andes,
2002,
http://www.criptored.upm.es/guiateoria/gt_m180b.htm
[67] DFRWS, “A Road Map for Digital Forensic Research”, Report From the First Digital
Forensic Research Workshop (DFRWS), 2001, http://www.dfrws.org/2001/dfrws-rmfinal.pdf
[68] IOCE, “Guidelines For Best Practice in the Forensic Examination of Digital Technology”,
draft
v1.0,
http://www.ioce.org/fileadmin/user_upload/2002/ioce_bp_exam_digit_tech.html.
[69] S. Peisert, M. Bishop, S. Karin, K. Marzullo, “Toward Models for Forensic Analysis”,
http://www.cs.ucdavis.edu/~peisert/research/PBKM-SADFE2007-ForensicModels.pdf.
[70] J. Cano, “Buenas prácticas en la administración de la evidencia digital”, Universidad de los
Andes, 2006.
[71] B. Carrier, E. Spafford, “Getting Physical with the Digital Investigation Process”,
International Journal of Digital Evidence, University of Idaho, Volume 2, Issue 2, Fall
2003,
http://www.utica.edu/academic/institutes/ecii/publications/articles/A0AC5A7AFB6C-325D-BF515A44FDEE7459.pdf
[72] N. Beebe, J. Clark, “A Hierarchical, Objectives-Based Framework for the Digital
Investigations Process”, Digital Investigations Process Framework, Digital Forensics
Research Workshop (DFRWS), Ag. 2004.
89
[73] A. Hook, K. Gaffaney, “iPhone Forensics - WOLF”, ViaForensics, Jun. 2009,
http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-wolf.html,
Última consulta: 06/09/09.
[74] A. Hook, K. Gaffaney, “iPhone Forensics - Cellebrite UFED (3.0/5.0)”, ViaForensics, Jun.
2009,
http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paperufed.html, Última consulta: 06/09/09.
[75] A. Hook, K. Gaffaney, “iPhone Forensics - Paraben Device Seizure”, ViaForensics, Jun.
2009,
http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paperparaben-device-seizure.html, Última consulta: 06/09/09
[76] A. Hook, K. Gaffaney, “iPhone Forensics - MacLock Pick”, ViaForensics, Jun. 2009,
http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-maclockpick.html, Última consulta: 06/09/09
[77] A. Hook, K. Gaffaney, “iPhone Forensics - MDBackup Extract”, ViaForensics, Jun. 2009,
http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-md-backupextract.html, Última consulta: 06/09/09
[78] A. Hook, K. Gaffaney, “iPhone Forensics - .XRY”, ViaForensics, Jun. 2009,
http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-papermicrosystemation-xry.html, Última consulta: 07/09/09
[79] A. Hook, K. Gaffaney, “iPhone Forensics - Zdziarski Technique”, ViaForensics, Jun. 2009,
http://viaforensics.com/iphone-forensic-software/iphone-forensics-white-paper-zdziarskitechnique.html, Última consulta: 07/09/09
[80] K. Mandia, C. Prosise, M. Pepe, “Incident Response & Computer Forensics ”, Segunda
Edición, McGraw-Hill, 2003, pp. 11-32
[81] R Ayers, W Jansen. “Guidelines on CellPhone Forensics”, National Institute of Standards
and
Technology
Special
Publication
800-101;
http://csrc.nist.gov/publicati
ons/nistpubs/800-101/SP800-101.pdf . Última consulta: Septiembre de 2009.
[82] D. Shinder, Scene of the Cybercrime Computer Forensic Handbook, Syngress Publishing,
Inc, 2002.
[83] D. Bem, E. Huebner, “Computer Forensic Analysis in a Virtual Environment”, International
Journal
of
Digital
Evidence,
Volume
6,
Issue
2.
2007,
http://www.utica.edu/academic/institutes/ecii/publications/articles/1C349F35-C73B-DB8A926F9F46623A1842.pdf.
[84] SeguInfo: Seguridad de la información, Amenazas Lógicas - Tipos de Ataques - Ataques de
Autenticación, http://www.segu-info.com.ar/ataques/ataques_autenticacion.htm, Última
consulta: 13/09/09.
[85] SeguInfo:
Seguridad
de
la
información,
Exploit,
info.com.ar/malware/exploit.htm, Última consulta: 13/09/09.
http://www.segu-
[86] SeguInfo: Seguridad de la información, Tipos
info.com.ar/malware/, Última consulta: 13/09/09.
http://www.segu-
de
Malware,
[87] OpenSSH, http://www.openssh.com/es/index.html, Última consulta: 13/09/09.
[88] GSM Security, “What is an IMEI?”, http://www.gsm-security.net/faq/imei-internationalmobile-equipment-identity-gsm.shtml, Última consulta: 13/09/09
90
[89] Fiscalía General de la Nación, “Manual de procedimientos para cadena de custodia”,
http://happymundo.com/segob/MANUALES/manual%20de%20procedimientos%20para%
20cadena%2029%20de%20enero.pdf.
[90] C. Mulliner, C. Miller, “Injecting SMS Messages into Smart Phones for Security Analysis”,
Ago. 2009 http://www.usenix.org/events/woot09/tech/full_papers/mulliner.pdf.
[91] C. Mulliner, C. Miller, “Fuzzing the Phone in your Phone”, Ago. 2009, BlackHat
Conference,
http://www.blackhat.com/presentations/bh-usa-09/MILLER/BHUSA09Miller-FuzzingPhone-PAPER.pdf
[92] J. Cano, “Computación Forense: descubriendo los rastros informáticos”, Alfaomega, 2009,
p. 180
[93] SeguInfo:
Seguridad
de
la
información,
info.com.ar/malware/spam.htm, Última consulta: 23/11/09.
Spam,
http://www.segu-
[94] Developer
Connection,
“Networking
Bonjour”,
Apple
http://developer.apple.com/networking/bonjour/, Última consulta: 29/11/09.
[95] Carnegie
Mellon
University,
“Wi-Fi
http://www.cmu.edu/homepage/computing/2009/summer/wi-fi-origins.shtml,
consulta: 29/11/09.
Inc.,
Origins”,
Última
[96] ERICSSON,
“The
evolution
of
EDGE”,
Feb.
2007,
http://www.ericsson.com/technology/whitepapers/3107_The_evolution_of_EDGE_A.pdf
,Última consulta: 29/11/09.
[97] Developer Connection, “Introduction to CFNetwork Programming Guide”, May. 2009,
http://developer.apple.com/mac/library/DOCUMENTATION/Networking/Conceptual/CFN
etwork/Introduction/Introduction.html, Última consulta: 29/11/09.
[98] Developer Connection, “Introduction to The Objective-C Programming Language”, Oct.
2009,
http://developer.apple.com/mac/library/documentation/cocoa/Conceptual/ObjectiveC/Introd
uction/introObjectiveC.html, Última consulta: 29/11/09.
[99] Developer
Connection, “Quartz
2D
Programming Guide”,
May.
2009,
http://developer.apple.com/IPhone/library/documentation/GraphicsImaging/Conceptual/dra
wingwithquartz2d/Introduction/Introduction.html, Última consulta: 29/11/09.
[100] Arnotify, “On the Origins of .DS_Store”, http://arno.org/arnotify/2006/10/on-the-origins-ofds_store/, Última consulta: 29/11/09.
[101] The
Sydney
Morning
Herald,
“Surprise
iPhone
http://www.smh.com.au/news/phones--pdas/surprise-iphonelaunch/2006/12/18/1166290484620.html, Última consulta: 30/11/09.
launch”,
[102] World Time Zone, “World Time Zone Abbreviations, Description and UTC Offset”,
http://www.worldtimezone.com/wtz-names/wtz-cot.html, Última consulta: 30/11/09.
91