El documento trata sobre la informática forense en telefonía móvil, abarcando la adquisición de información, medios de almacenamiento y los tipos de datos disponibles en dispositivos móviles. Se discuten herramientas y métodos para el análisis forense, así como los desafíos y complejidades que presentan los sistemas operativos móviles y la diversidad de aplicaciones. Además, se menciona la importancia de los dispositivos móviles como fuentes de evidencia y la evolución del software para su análisis.

1. Universidad Tecnológica de Panamá
Facultad de Ingeniería de Sistemas Computacionales
Maestría en Seguridad de la Información
Informática Forense
Profesor Carlos Munoz
Presentado por: Carlos Rodriguez y Jose Moreno
Forensia en Telefonía Móvil

2. Contenido
1 Forensia Móvil
3 Adquisión de la información
2 Medios de almacenamiento
4 Tipo de información
5 Artefactos Mobiles
6 Demo

3. Forensia Movil
Es un nuevo tipo de recopilación de pruebas digital basado en la extracción de pruebas
desde el interior de la memoria de un teléfono móvil cuando existe la capacidad de acceder
a los datos.
Se ha dado en los últimos años un alto desarrollo en el software para el análisis de
dispositivos móviles . Cada herramienta tiene su conjunto de ventajas y limitaciones.
Santoku Linux Oxygen suite Cellebrite suite

4. Diferencias
En forensia de dispositivos móviles, nos ocupamos de al menos tres principales sistemas
operativos "standard", así como varios otros propietarios, que no necesariamente son
"Imagen" de un dispositivo móvil como lo hacemos a un disco duro.
Los dispositivos de destino son "encendido" en lugar de "apagado". Es común, sin embargo,
al oír un investigador de informática forense decir que forensia de teléfonos celulares no
son "real forensia" porque no hacemos una imagen en el teléfono de la misma manera que
una imagen de disco duro.

5. Realidad Móvil
 Los teléfonos inteligentes se han convertido en parte esencial para nuestra vida diaria.
 Se utilizan como una oficina móvil o centro de entretenimiento.
 Se han hecho susceptibles a las mismas y mayores vulnerabilidades que las PC.
 Los datos en los teléfonos inteligentes, tales como imágenes, documentos, correos
electrónicos, videos y mensajes cortos (SMS) se puede acceder de forma remota si el
dispositivo está conectado a Internet.
 Hay muchas aplicaciones que pueden ejecutarse en un teléfono inteligente y más se
desarrollan todos los días.
 Teniendo en cuenta la variedad de vendedores, aplicaciones móviles y protocolos de red,
la tarea de análisis forense en los teléfonos móviles es cada vez un reto.

6. Almacenamiento de información
 Significa (Suscriber Identity Module) y es componente esencial
de un celular GSM (Global System Mobile Comunications) que
contiene información particular al usuario.
 Contiene típicamente entre 16 y 64 KB de memoria, un
procesador, y un sistema operativo. Un SIM identifica de forma
exclusiva el abonado, determina el número de teléfono, y
contiene los algoritmos necesarios para autenticar un abonado
a una red.
 Es portable entre dispositivos.
 El sistema de archivos se utiliza para almacenar los nombres y
números de teléfono, recibe y enviar mensajes textos e
información de configuración de red.
SIM Card

7. Almacenamiento de información
Contiene la data creada y almacenada por el usuario, MMS,
mensajes de textos, fotografías, media, además del sistema
operativo del smartphone.
Memoria del dispositivo
Tarjeta Micro SD
 Permite extender la capacidad de almacenamiento de un teléfono
celular.
 También proporcionan otra vía para el intercambio de información
entre los usuarios que tienen hardware compatible.
 Los medios extraíbles es de almacenamiento no-volátil, capaz de
retener datos grabados cuando se extraen de un dispositivo.

8. Adquisición de evidencias
Logico Archivo Sistema
1) Incluye información
activa a partir de datos
almacenados.
2) Cuenta con el apoyo de la
mayor parte dispositivos
de casi todas las
herramientas.
3) Reporte sencillo.
1) Incluye archivos, activos
y carpetas de sistema
de archivos
2) Puede contener restos
de Objetos eliminados.
3) Cuenta con el apoyo de
la mayor parte
dispositivos de casi
todas las herramientas.
4) Generación de informes
puede ser más
1) Incluye data activa y
borrada.
2) Absoluto vs. Registros.
3) No es compatible con
todos los dispositivos.
4) Los informes son
generalmente más
complejos.
1) El examinador se
desplaza a través de los
archivos contenidos en
el dispositivo.
2) Las fotografías o video
de datos mostrados.
3) Soporte para todos los
dispositivos a no ser que
este dañado físicamente.
4) Generación de informes
simple.
Fisico Manual

9. Unidad encendida y desbloqueada
Aislar el dispositivo de la red si es posible
Desactivar Wifi, hotspots. Activar modo avión. Clonación de ID de la SIM card.
Tomar los pasos necesarios para asegurar el acceso físico al dispositivo
Remover contraseñas, Habilitar modo debug, Habilitar la opción de mantenerse active, Deshabilitar los
bloqueos por tiempo de pantalla.
Adquisiones físicas
Conseguir medios de soporte, tarjeta SIM, tarjeta de memoria, comprobar medios de comunicación
asociados.
Adquisiones lógicas
Conseguir archivos del Sistema, backups del dispositivo.

10. Unidad encendida y bloqueada
Puede ser obtenido físicamente incluso si usa contraseña con Cargadores de Arranque personalizados
Aplica para iPhone 2G, 3G, 3GS, 4, iPod Touch 1,2,3,4Gen, iPad 1st Gen.
No pueden ser accedidos físicamente y no pueden ser accedidos si la contraseña es desconocida
Aplica a iPhone 4S, 5, 5S/ 5C, iPod touch 5Gen, iPad 2, 3, 4, mini.
Adquirir Medios de soporte
Tarjeta SIM.
Revisión de Computadoras y medios por backups del dispositivo
Búsqueda por archivos lockdown.plist, iTunes backups.
Apple

11. Unidad encendida y bloqueada
Acceso físico requiere que la opción de DEBUG del Usb este habilitada.
Con herramientas forense se puede bypasear la contrasenias con cargadores de arranque personalizados.
Adquirir medios de almacenamiento físicos
SIM Card y Micro SD cards.
Revisión de Computadoras y medios por backups del dispositivo
Computadoras y tarjetas de almacenamiento externo.
Android

12. Unidad encendida y bloqueada
Todos los medios para adquirir acceso requieren de contasenia
Adquirir medios de almacenamiento físicos
SIM Card y Micro SD cards.
Revisión de Computadoras y medios por backups del dispositivo
Revisar por archivos con extensión .bbb o .ipd. Buscar en tarjetas de almacenamiento por archivos info.mkf.
Intentar conseguir la contrasenia usando Elcomsoft Phone Password Breaker.
Blackberry

13. Tipo de información encontrada
Text messages (SMS/MMS) Search history
Contacts Driving directions
Call logs Facebook, Twitter, and other social media clients
E-mail messages (Gmail, Yahoo,
Exchange)
Files stored on the device
Instant Messenger/Chat Music collections
GPS coordinates Calendar appointments
Photos/Videos Financial information
Web history Financial information
Shopping history File sharing

14. Artefactos: Apple Mobile
ARCHIVOS DE INTERES DESCRIPCION
Mobile/library/DataAccess Informacion de cuenta para levanter aplicaciones (correo, etc)
Var/Mobile/Library/Keyboard Dynamic-text.dat (diccionario de palabras usadas)
DCIM/100APPLE Folder Fotos tomadas por el usuario
/private/mobile/var/applications Directorio de aplicaciones
Media/PhotoData/* Fotos
Library/Cookies/Cookies.binarycookies Actividad del navegador Safari
Library/Preferences/com.apple/assistant* Siri (Asistente de usuario)
Library/Preferences/com.apple/imservice* SMS, iMessage y Facetime
Media/Recordings/* Notas de Voz
Media/Voicemail/* Mensajes de Voz
Library/SprintBoard/LockBackgroundThumbnail.jpg Imagen
Library/SprintBoard/HomeBackground.cpbitmap Imagen

15. Artefactos: Apple Mobile
ARCHIVOS DE INTERES DESCRIPCION
Library/SprintBoard/HomeBackgroundThumbnail.jpg Imagen
Library/SprintBoard/LockBackground.cpbitmap Imagen
BASE DE DATOS Library/ DESCRIPCION
CallHistory/call_history.db Log de llamadas
Library/AddressBook/AddressBook.sqlitedb Contactos
AddressBook/AddressBookImages.sqlitedb Imagenes de contactos
SMS/sms.db Mensajes SMS
SMS/Attachments/* Archivos MMS
Calendar/Calendar.sqlitedb Calendario
Calendar/Extras.db Extras para calendario
Notes/notes.sqlite Notas

16. Artefactos: Apple Mobile
ARCHIVOS DE INTERES DESCRIPCION
Safari/* Actividad Safari
Accounts/Accounts3.sqlite Informacion de cuentas
BullitenBoard/ClearedSections.plist Log de notificaciones
Caches/com.apple.WebAppCache/ApplicationCache.
db
Cache de sitio web
Keyboard/UserDictionary.sqlite Diccionario de autocorreccion
Voicemail/voicemail.db Correo de voz

17. Artefactos: BlackBerry
ARCHIVOS DE INTERES DESCRIPCION
Address Book Contactos con imagenes (si se les ha agregado)
Attachment Data Adjuntos vistos en el dispositivo
Auto Text Diccionario de autocompletacion de texto
BBGroups Grupos de BlackBerry messenger
Browser Bookmarks Bookmarks de sitios web
Browser URLs URL’s ingresadas por el usuario
Folders Folders creados por el usuario
Location-Based Services Localizaciones mas utilizadas por el dispositivo
Messages Mensajes en el dispositivo
MMS Messages Historial de mensajes MMS
Phone Call Logs Historial de llamadas
Phone History Informacion de llamadas completadas

18. Artefactos: BlackBerry
ARCHIVOS DE INTERES DESCRIPCION
PIN Messages Mensajes de PIN
Purged Messages Informacion relacionada a mensajes borrados
RMS Databases Informacion relacionada a aplicaciones instaladas
Saved Email Messages Mensajes de correo guardados
SMS Messages Historial de mensajes SMS

19. Artefactos: Windows Phone
RUTA DESCRIPCION TIPO DE ARCHIVO
C:RESOURCE Application associated files .rsc
C:RESOURCEAPPS Application associated files .r, .rsc
C:RESOURCEPLUGINS Application associated files .r, .rsc
C:SystemInstall Application installer files .sis, .sisx
C:SystemInstallRegistry Application registry files .reg
C:DATALifeblogLifeblog.db Proprietary database containing lifeblog
data paths along with cell tower IDS and
geolocation information
.db
C:DATALifeblogDatabaseTextindex.db Proprietary database containing lifeblog data .db
C:DATALifeblogNotes “Notes” posted to Lifeblog application .txt
C:FavouritesBrowserBookmarks
Favourites.db
Web browsing bookmarks .db
C:DATAImages User images .3gp

20. Artefactos: Windows Phone
RUTA DESCRIPCION TIPO DE ARCHIVO
C:DATASOUNDSDIGITAL User audio .acc, .wav
z:resource Application associated files .r
z:resourceapps Application associated files .r, .rsc, .mif
z:resourcehelp Application associated files .h
z:resourcemessagingmtm Application associated files .r
z:resourceplugins Application associated files .r, .rsc, .dll55L
z:systeminstall Application installer files .sis, .sisx
z:DataSoundsDigital Application audio files .acc
z:systemsoundsDigital Application audio files .acc, .wav
C:Private100012a5DBS_100065FF_
Contacts.cdb
Database holding contacts in the form of
vcards (.vcf)
.cdb
C:Private1000484bMail Message database Folder
C:Private1000484bMail2 Message database (contains email, mms, Folder

21. Artefactos: Android
PARTITION FILE TABLE DESCRIPTION
Data Root/Property/persist.sys.timezone * Timezone
Data Root/Property/netpolicy.xml * Timezone
Data com.android.providers.contacts/contacts2.db calls Call logs
Data com.android.providers.contacts/contacts2.db accounts Login info
Data com.android.providers.contacts/contacts2.db contacts & raw contacts Contacts
Data com.android.providers.telephony/mmssms.db sms & part SMS/MMS
Data com.google .android.apps.maps/da_destination_history destination history Maps
Data com.google.android.apps.maps/search_history.db history & suggestions Maps
Data com.android.email/webviewCache.db *
Internet
History
Data com.android.browser/databases/Browser.db *
Internet
History
Data com.android.browser/databases/webview.db *
Internet
History
Data com.android.browser/databases/webviewCache.db *
Internet
History

22. Artefactos: Android
PARTITION FILE TABLE DESCRIPTION
Data
com.android.browser/app_databases/http_www.google.com_0.locals
torage *
Internet
History
Data com.android.browser/app_geolocation/GeolocationPermissions.db *
Internet
History
Data /data/com.google.android.gm/databases/<mail-name>.db
conversations &
messages Gmail
cache * * Gmail 7

23. Artefactos: Android
PARTITION FILE TABLE DESCRIPTION
Data
com.android.browser/app_databases/http_www.google.com_0.locals
torage *
Internet
History
Data com.android.browser/app_geolocation/GeolocationPermissions.db *
Internet
History
Data /data/com.google.android.gm/databases/<mail-name>.db
conversations &
messages Gmail
cache * * Gmail 7

24. Artefactos: Android
PARTITION FILE TABLE DESCRIPTION
Data
com.android.browser/app_databases/http_www.google.com_0.locals
torage *
Internet
History
Data com.android.browser/app_geolocation/GeolocationPermissions.db *
Internet
History
Data /data/com.google.android.gm/databases/<mail-name>.db
conversations &
messages Gmail
cache * * Gmail 7

25. Bolsas de Faraday
Pensadas para agencias de gobierno, militares e investigadores,
estas bolsas de faraday están especialmente diseñadas para la
recolección, preservación, transporte y análisis de dispositivos
móviles e inalámbricos.
El material de estas bolsas forman un blindaje alrededor de
teléfonos celulares, GPS, netbooks, dispositivos bluetooth,
laptops, etc., bloqueando toda señal celular, WIFI o de radio.
Una vez dentro de la bolsa de faraday, el dispositivo no podrá
volver a conectarse con la red aunque se encuentre encendido,
asegurando que el mismo no pueda ser controlado, localizado o
bloqueado remotamente.

26. Bolsas de Faraday
Bloquea un amplio rango de dispositivo inalámbricos, como
teléfonos celulares (GSM/CDMA/3G/4G), PDA´s, radio de dos
vías, y bluetooth.
Gran durabilidad, gracias a su estructura de dos capas.
Instrucciones visibles para mitigar errores del usuario.
Posee tamaños distintos: para celulares, tablets o notebooks.

27. Proyector de teléfono móvil
Herramienta de Paraben para realizar exámenes de teléfonos
celulares manuales con un punto y disparar la cámara. Toma de
fotos o de vídeo de cada pantalla en un teléfono celular que luego
se puede compliar en un informe detallado.
Posee 8 megapíxeles, vídeo de alta definición, capaz de conectar
directamente a una PC para poder ver fácilmente exactamente lo
que cada imagen o video ha capturado durante el análisis que se
esta haciendo en ese momento.

28. Herramientas

29. Herramientas
Nota: Todas las herramientas anteriormente mencionadas, se les solicito una demo con a
20 días de antelación. Para algunos casos el proceso de registrar el demo y aprobar la
solicitud demora alrededor de 25 días. Se recuerda llenar la información datos reales de
preferencia un correo institucional si solicitan la demo académica.

30. Axiom
Primero debemos activar la licencia del software, la misma de llegar con el correo para la
descarga.

31. Axiom
Llenamos la información del casos, muy similar a herramientas como FTK, Winhex, etc.

32. Axiom
1-Cargamos la Evidencia y decimos si queremos un análisis completo o rápido.
2-Procedemos ha añadir la fuente.
1
2

33. Axiom
Verificamos que la Evidencia este lista y vamos a proceder al análisis
1

34. Axiom
1-Para el análisis seleccionamos la categorías de los artefactos que deseamos mostrar.
2-Procedemos a realizar el análisis de los artefactos seleccionados
2
1

35. Axiom
Proceso de análisis dependiendo de cual imagen seleccionamos al inicio puede demorar

36. Axiom
Parte del log del dispositivo, con información de la Tablet.

37. MOBILedit
La Primera vez que utilizamos la herramienta debemos darle click a Connnetct.

38. MOBILedit
Seleccionamos el dispositivo al le haremos el análisis forense, en nuestro caso fue android.

39. MOBILedit
Seleccionamos el tipo de conexión con nuestro dispositivo, por cable es la opción más

40. MOBILedit
Nos saldrá una indicación que debemos habilitar el modo de desarrollador en el
dispositivo.

41. MOBILedit
En el dispositivo nos debe salir un mensaje donde pide una confirmación que permite
comunicar el programa con el móvil.

42. MOBILedit
El programa comenzará a instalar una aplicación en el dispositivo.

43. MOBILedit
Debemos seleccionar el dispositivo que hemos conectado a nuestra pc.

44. MOBILedit
Debemos seleccionar el dispositivo que hemos conectado a nuestra pc.

45. MOBILedit
Luego que se establece la conexión observamos información general del dispositivo y al
lado derecho los artefactos que podemos conseguir del mismo.

46. MOBILedit
Luego que se establece la conexión observamos información general del dispositivo y al
lado derecho los artefactos que podemos conseguir del mismo.

47. MOBILedit
Recolectamos la información de los contactos del dispositivo

48. MOBILedit
Información de imágenes y archivos del usuario. Esta sección se puede ver de dos formas
como artefactos del sistema o con los medios conectados al dispositivo.

49. MOBILedit
Observamos dos imágenes recolectadas de la memoria interna del dispositivo.

50. MOBILedit
Artefactos de registros de llamadas perdidas, salientes y entrantes. La mismas se pueden
exportar en formato csv.

51. MOBILedit
Artefactos de aplicaciones instaladas en el sistema, como el sistema es un custom rom,
cuenta con varias aplicaciones instaladas por defecto.

52. MOBILedit
Entra las opciones que tenemos en la sección de artefactos de aplicaciones, encontramos el
respaldo de la información de las mismas.

53. MOBILedit
En esta sección Procedimos a realizar una copia de imagen del dispositivo para su posterior
análisis.

54. MOBILedit
De igual manera podemos realizar desde la herramienta una copia de la memoria micro sd.

55. MOBILedit
Podemos obtener un reporte en diversos formatos de la evidencia encontrada en el
dispositivo.

56. MOBILedit FORESIC xpress
La versión express permite extraer archivos directamente desde los archivos del sistema

57. MOBILedit FORESIC xpress
Nota: usando esta versión debemos conocer la ubicación de los artefactos, para poder
extraer información valiosa.

58. Santoku Linux
Este Sistema operative Linux basado en Debian esta especializado en analisis forense
movil. Entre las herramientas que trae esta AF-Logical OSE Edition.

59. Santoku Linux
Esta herramienta abre el shell de Santoku con opciones de ejecución de AFLogical, para
ellos debemos tener el dispositivo móvil por analizar conectado al PC por USB y habilitar el
modo programador y transferencia por USB en el dispositivo móvil.

60. Santoku Linux
El comando ejecutado crea
una aplicación y la manda al
dispositivo móvil para que
esta sea ejecutada y pueda
colectar la información del
dispositivo.

61. Santoku Linux
En este pantallazo vemos la herramienta
colectando y creado el folder y los
archivo de la data colectada por el
AFLogical.

62. Santoku Linux
En el directorio marcado en amarillo esta
la información colectada con el AFLogical
entre ellas el log de llamadas, los
contactos, la mensajería MMS o SMS.

63. Santoku Linux
En el directorio creado lo podemos mover a una carpeta mas fácil de llegar como
/home/<usuario> y ver el contenido como se muestra en la imagen.

64. Bibliografía
1. Android Forensics Referencia
Consultado el 20 de junio de 2016
http://simson.net/ref/2011/2011-07-12%20Android%20Forensics.pdf
2. Poster de Forensia en dispositivos mobiles
Consultado el 20 de junio de 2016
https://digital-forensics.sans.org/media/DFIR-Smartphone-Forensics-Poster.pdf
3. Hadadi, Mubarak Al y Shidhani Ali Al (2013), "Smartphone Forensics Analysis: A case Study", International Journal
of Computer and Electrical Engineering, Vol. 5, No. 6
4. Ayers, Rick., Jansen, Wayne., Cilleros, Nicaolas., Daniellou, Ronan (2005), "Cell Phone Forensic Tools:
An Overview and Analysis", Computer Security Division Information Technology Laboratory National
Institute of Standards and Technology.
5. Valle, Shawn. Android Forensics & Security Testing. Consultado el 3 de julio de 2016. Disponible en:
http://opensecuritytraining.info/AndroidForensics.html

65. GRACIAS !