(Continuación de la descripción de los contenidos de la norma ISO/EIC 27023:2012)

>> Ver contenido de la norma ISO/EIC 27032:2012 – Parte III

>> Ver Descripción de la norma ISO/EIC 27032:2012

Cap. 14 – Dispositivos móviles.

Se entiende genéricamente por dispositivos móviles a los teléfonos y PDA’s de conexión y comunicación inalámbrica y autónoma.

El tratamiento de estos dispositivos se refleja a continuación. Es este capítulo sólo se contemplan aquellos puntos que se han considerado más destacables y relevantes (no siendo el contenido completo ni literal de la norma).

Cap. 14.1 Identificación

Los dispositivos móviles están vistos como dispositivos informáticos de bolsillo. Funcionan de manera similar a los ordenadores, pero son más pequeños y portátiles.

Los dispositivos móviles en general, pueden conectarse a las redes y comunicarse con otros dispositivos digitales. Estos dispositivos proporcionan (incorporan) comunicaciones, fotografía digital, sistemas de navegación, entretenimiento, almacenamiento de datos y gestión de información personal. Dentro de la categorización de estos dispositivos se pueden incluir los “Asistentes Digitales Personales” (PDA), teléfonos móviles, teléfonos inteligentes y computadoras de bolsillo.

a) Debido en general al pequeño tamaño de los dispositivos móviles, el DEFR tiene que tener un cuidado especial para identificar (en el escenario) los tipos de dispositivos móviles que pueden ser relevantes para el caso. Tiene que asegurar la escena del incidente sospechoso y garantizar que ninguna persona retire los dispositivos móviles de la escena (es fácil de quitar – retirar o hacer desaparecer – los dispositivos móviles de la escena por su inclusión y ocultación en un bolso o un bolsillo de la chaqueta).

Ninguna persona no autorizada puede tener acceso a los dispositivos que pueden contener evidencia digital y los dispositivos de comunicación no deberían estar en situación (operativa y circunstancial) de ser capaz para recibir o transmitir datos.

Cap.14.1.1 Búsqueda de la ubicación física y la documentación

Las premisas para este apartado son las mismas que las que se han enunciado en el capítulo anterior dedicado a los “Equipos, medios de almacenamiento y dispositivos periféricos”, decidiendo por esta circunstancia que únicamente se van de añadir aquellos puntos que son específicos y relativos a la particularidad de la conectividad en red.

Todos los dispositivos móviles y sus elementos asociados, tales como tarjetas de memoria, tarjetas SIM, cargadores y cunas que se encuentren en la escena deben ser grabados (filmados), identificados y reconocidos.

Si el dispositivo móvil está encendido, entonces grabar y tomar fotografías de cualquier símbolo o indicadores en la pantalla como el icono del teleoperador, los SMS, llamadas pérdidas, hora/fecha del reloj frente al actual (de referencia) y el indicador de duración de la batería.

El estado de los dispositivos móviles debe permanecer como se encuentren. Si los dispositivos móviles están apagados, no los encienda. Si los dispositivos móviles están encendidos, no los apague.

Los dispositivos que estén funcionando se deben mantener la recarga eléctrica (powercharged) para asegurar que la información no se pierde (por falta de corriente eléctrica y de carga o por apagado).

Cap. 14.2 Recogida y/o adquisición

La recolección y/o adquisición de evidencias digitales en dispositivos móviles son complicadas y complejas.

No sólo es necesario considerar los estados básicos del dispositivo como el estar encendido o apagado, sino que también puede estar en un número variado de diferentes estados en los que ciertos modos de interacción (como Bluetooth, RF, pantalla táctil, IR) pueden estar activados o desactivados.

Algunos dispositivos móviles deben estar encendidos para acceder al módulo y extraer la información, mientras que otras adquisiciones de información se puede hacer directamente desde la tarjeta SIM sin necesidad de estar conectada o montada en el dispositivo original.

El proceso de recolección y adquisición se complica más aún porque los diferentes fabricantes de dispositivos móviles utilizan diferentes tipos de sistemas operativos que requieren diferentes métodos de adquisición de datos. También existe una amplia gama de dispositivos de memoria que se utilizan en combinación con los dispositivos móviles, tales como MicroDrives y tarjetas SD.

Generalmente, los dispositivos móviles han de estar encendidos con el fin de permitir al perito forense realizar una copia o clonación. Estos dispositivos si están encendidos no pueden ser apagados sin pérdida de datos, mientras que permanecer encendido el dispositivo de forma continua siempre va a alterar su funcionamiento y/o la información contenida, por ejemplo, la actualización del temporizador del reloj.

El problema asociado es que para dos imágenes completas, copia idéntica del mismo dispositivo, se muestran diferentes valores de hash (debido a las actualizaciones internas del sistema como puedan ser, por ejemplo, la diferencia entre la hora en que se hizo cada una de las copias).

Existen dos escenarios en los que el DEFR debe decidir qué acciones a tomar son las más apropiadas: cuando el dispositivo móvil está encendido y cuando el dispositivo esté apagado, y decidir entre la realización de una copia íntegra o la manipulación para la extracción parcial de las evidencias digitales contenidos en los dispositivos móviles.

Cap. 14.2.1 Acciones en el dispositivo móvil

Si el móvil está encendido…

a) Para aislar un dispositivo móvil encendido sin tener que apagarlo, el DEFR debe usar una caja de Faraday o una caja blindada para impedir que el dispositivo obtenga conexión a la red.

Tened en cuenta que la conexión a una red inalámbrica puede dar lugar al deterioro de las posibles pruebas digitales, debido a las posibles llamadas y mensajes entrantes.

b) Si el dispositivo continúa mucho rato encendido la vida de la batería se reducirá debido a la pérdida de energía porque el dispositivo intenta continuamente conectarse a una red. Por lo tanto, se recomienda la entrega inmediata del dispositivo móvil al laboratorio para su análisis.

c) Si el dispositivo se sabe que contiene una memoria volátil, tenga en cuenta la carga del dispositivo a intervalos apropiados para asegurar que los datos no se pierde.

Si el móvil está apagado…

a) Si el dispositivo móvil está apagado, con cuidado (precaución) se realizan las acciones de empaquetado, precintado y etiquetado del dispositivo. Evite en este proceso cualquier funcionamiento (accionamiento) accidental o deliberado de las teclas o botones. Como medida de precaución, también el DEFR debería considerar el uso de una caja de Faraday o cajas blindadas.

b) También se han de recopilar todos los elementos asociados a los dispositivos móviles, como son el cargador, tarjeta de memoria (adicionales), la tarjeta SIM, cuna, etc., para cada uno de los dispositivos móviles.

Cap. 14.3 Preservación

Toda evidencia potencial y las fuentes de las posibles pruebas deben ser protegidas de la posible pérdida, daño o deterioro.

La actividad más importante en el proceso de conservación es documentar todas las acciones y mantener la Cadena de Custodia.

Las siguientes recomendaciones son algunas directrices relativas a la preservación de posibles pruebas:

a) El DEFR debe ser consciente de que los dispositivos móviles pueden tener la capacidad para limpiar (borrar) los datos y por lo tanto cualquier interacción manual con el dispositivo debe ser minimizada.

b) La Cadena de Custodia del dispositivo móvil recogido (incautado o secuestrado) y sus elementos asociados debe mantenerse desde el inicio.

c) Antes del empaquetado, etiquetado, sellado y de apagar el dispositivo móvil, el DEFR deben verificar y registrar el número de serie, el tipo y marca del dispositivo.

d) El dispositivo móvil debe ser envuelto o colocado en envases adecuados, tales como una caja de Faraday o una caja de Shilded. Se deben utilizar embalajes a prueba de choques para evitar el daño físico a cualquiera de los componentes del dispositivo.