Professional Documents
Culture Documents
PROTOCOLO
Contenidos
1. Pericias sobre telefona celular como parte de la especialidad de informtica forense
3. Uso de UFED como una de las herramienta de informtica forense aplicable en el marco del
procedimiento para pericias informticas sobre telefona celular
Las pericias sobre telefona celular forman parte de la actividad pericial informtica en lo que
refiere a extraccin de evidencia digital, tal lo indicado en el apartado 2.a) Descripcin
general de servicios de informtica forense del Protocolo de Actuacin para Pericias
Informticas1. Este tipo de pericias sobre telefona celular debe ser practicada por un
profesional de grado en Ciencias Informticas.
El origen de las pericias sobre telefona celular (Mobile Forensics) como parte de la
especialidad de informtica forense se remonta al ao 1984, ao en el que Federal Bureau of
Investigation (FBI) y otras agencias de investigacin y apoyo a la Justicia comenzaron a
desarrollar programas de especializacin para facilitar el anlisis de evidencia digital.
Actualmente, la especialidad de informtica forense se extiende a todas las reas donde exista
evidencia digital para ser presentada en carcter de prueba cientfica en el marco de un
proceso judicial.
A fin de reflejar cuestiones atinentes al estado del arte en esta temtica, se sealan algunas
particularidades propias de la especialidad pericial informtica sobre telfonos celulares:
1
Cfr. Protocolo de Actuacin para Pericias Informticas, Poder Judicial del Neuqun, aprobado por Acuerdo
N4908, protocolizado y publicado el Boletn Oficial, Neuqun, 2012.
2
Cfr. El tratamiento de la evidencia digital, GOMEZ, L., Simposio de Informtica y Derecho, Jornadas Argentinas
de Informtica, Crdoba, 2004.
En el mercado existe una inmensa variedad de modelos de telfonos celulares, con
sistemas operativos propietarios, sistemas de archivos embebidos, as como tambin
con disponibilidad de aplicaciones, servicios y perifricos. Se requiere conocimiento
especializado en informtica forense para poder contar el un mayor nmero de
opciones de anlisis sobre dichos dispositivos.
La creciente cantidad de modelos de telfonos celulares requiere que un perito
informtico cuente con la mayor cantidad posible de tcnicas y herramientas forenses
posible y las aplique en funcin de su experticia.
Los telfonos celulares estn diseados para comunicarse con la red de telefona
celular y con otras redes de datos mediante networking va Bluetooth, Infrarrojo y/o
Wi-Fi. La mejor forma de preservar los datos del telfono celular es aislarlo de las
redes cercanas, pero en algunos casos esto podra no ser posible.
Los telfonos celulares pueden contar con diversas funcionalidades de
almacenamiento de informacin digital e incluso sincronizar informacin con
repositorios de datos online. Por ello, resulta necesario aplicar ms de una
herramienta forense para extraer datos de un telfono celular y sus dispositivos de
almacenamiento asociados.
Existen situaciones en las que las herramientas forenses utilizadas para extraer la
informacin digital de dichos dispositivos podran tener incompatibilidades o bien
emitir reportes con informacin errnea. Es por ello que siempre que sea posible,
resulta esencial verificar la precisin de los datos extrados desde dichos dispositivos
utilizando o complementando las tcnicas con ms de una herramienta forense.
Pese a que la cantidad de datos almacenados por los telfonos celulares es pequea si
se la compara con la capacidad de almacenamiento de informacin digital que tienen
las computadoras, el volumen de informacin digital contenido en estos dispositivos
contina en aumento.
Los tipos de datos contenidos en los telfonos celulares y la forma en que stos son
utilizados est en evolucin constante. La popularidad de los llamados telfonos
inteligentes (smart phones) hacen que ya no sea suficiente la extraccin de agendas de
contactos, histricos de llamadas, mensajes de texto, fotografas digitales, entradas de
agenda personal, notas y otros archivos multimedia. Muchas aplicaciones instaladas en
dichos dispositivos deben ser analizadas, ya que pueden contener informacin sensible
como contraseas, datos de geolocalizacin o histricos de navegacin en Internet.
Las formas de extraer datos desde los telfonos celulares podran variar dependiendo
de las tcnicas que se utilicen para ello. Dependiendo de la finalidad y profundidad con
la que se requiera determinada informacin en el marco de una investigacin judicial
podran requerirse solamente algunos datos del telfono celular o bien una extraccin
completa del sistema de archivos embebido y/o de la memoria fsica del telfono.
El telfono celular es una fuente de evidencia digital sobre la que aplican procedimientos
operativos estndares (SOPs), al igual que en otras actividades periciales de informtica
forense. Los buenos SOPs no deben contener o mencionar el nombre del hardware/software,
ya que ello requiere de la experticia del perito informtico a la hora de seleccionar la
herramienta de informtica forense que le ofrece los mejores resultados para el caso.
1. Verificar que el requerimiento judicial cumpla las pautas establecidas en el apartado d) del
Protocolo de Actuacin para Pericias Informticas (Del requerimiento judicial)
2. Priorizar el caso conforme los criterios detallados en el apartado e) del Protocolo de
Actuacin para Pericias Informticas (De la priorizacin de casos urgentes)
3. Dar ingreso al material probatorio siguiendo los lineamientos del apartado f) del Protocolo
de Actuacin para Pericias Informticas (Del traslado y recepcin del material secuestrado)
4. Determinar si el telfono celular est encendido o apagado
a. Si est apagado, debe quedar apagado
b. Si est encendido debe ser aislado de la red de telefona celular lo antes posible con
la opcin que se estime apropiada:
i) Configurando el modo Avin en el telfono celular, si lo permite
ii) Colocndolo en una caja de Faraday
iii) Encendiendo un inhibidor de seal en cercana del telfono celular
iv) Envolvindolo con tres o ms capas de papel de aluminio
v) Apagando el telfono y retirando la batera
5. Obtener informacin sobre el modelo del telfono celular y planificar la estrategia para la
extraccin de evidencia digital
a. Identificar la tecnologa general del telfono celular
b. Localizar cables, drivers y determinar el software o hardware forense a utilizar para
la pericia informtica. La seleccin de herramientas forenses para una pericia
informtica sobre telefona celular depende de diversos factores, como el nivel de
detalle requerido en los puntos de pericia, el modelo de telfono celular en cuestin y
la presencia de otras funcionalidades de almacenamiento externo del dispositivo
c. Determinar funcionalidades del telfono celular y posibles datos almacenados en el
mismo
d. Si el telfono celular no tiene puerto de datos, no se cuenta con el cable de datos, o
no existe software o hardware forense disponible para dicho modelo, se registra esta
situacin
6. Consultar las especificaciones tcnicas del telfono celular y sus capacidades de
almacenamiento de datos. Se recomienda los sitios web www.phonescoop.com o
www.mobileforensicscentral.com
7. Preservar y analizar las fuentes de evidencia digital siguiendo las pautas prescriptas en el
Protocolo de Actuacin para Pericias Informticas (Del anlisis forense)
a. Tarjeta de Memoria Externa
i. Realizar una imagen forense con la herramienta de informtica forense
apropiada
ii. Extraer la evidencia digital que resulte relevante conforme los puntos de
pericia que hayan sido indicados
b. Tarjeta SIM
i. Generar una SIM clonada o leer la informacin digital de dicho dispositivo
utilizando un lector de SIM protegido contra escritura
ii. Si el SIM est bloqueado por PIN, se deja constancia o se utiliza el PUK en
caso de estar disponible
iii. Si el SIM no est bloqueado, se extrae la informacin digital relevante al
caso
c. Equipo de telefona celular
i. Aislar el dispositivo de la red de telefona celular previamente a la extraccin
de informacin digital y si es posible, durante todo el proceso.
Sin perjuicio de los pasos indicados en la gua de procedimiento para pericias informticas
sobre telefona celular, el perito informtico debe aplicar los conocimientos especializados
sobre la materia y tener presente los aportes de otras guas de mejores prcticas y de
procedimiento a nivel internacional. Se detallan algunos de los documentos de referencia que
se utilizan en el Laboratorio Pericial Informtico para las pericias informticas sobre telefona
celular.
La herramienta de informtica forense UFED puede ser utilizada sobre dispositivos de telefona
celular para dar respuesta a los servicios ofrecidos a los operadores judiciales de Pericia sobre
telefona celular. Dicha actividad se encuentra indicada en el apartado denominado Catlogo
de Servicios del Protocolo de Actuacin para Pericias Informticas.
IMPORTANTE: Esta herramienta de informtica forense se aplica a criterio facultativo del Perito
Informtico en el punto 7) del Procedimiento para pericias informticas sobre telefona
celular. Si se requiere, puede utilizarse en dicho paso el manual de usuario de la herramienta
de informtica forense UFED.
UFED tiene como punto favorable una gran cobertura de modelos telefnicos, pero como toda
herramienta de informtica forense tiene limitaciones y no excluye la aplicacin de otras
tcnicas especializadas y herramientas de informtica forense durante la realizacin de una
pericia informtica sobre dispositivos de telefona celular.
Este dispositivo permite desbloquear algunos modelos de telfonos celulares que hayan sido
protegidos con una contrasea, pero no tiene capacidad de desbloquear las protecciones de la
tarjeta SIM mediante el uso de PIN (Personal Identification Number). En estos casos se puede
intentar hacer una clonacin de la tarjeta SIM para acceder a la evidencia digital contenida en
la memoria interna del dispositivo, pero si no es posible conocer a priori el PIN o el PUK
(Personal Unlocking Key) se pierde la posibilidad de extraer la informacin digital del SIM.