The Smoking Gun IV: cuando la evidencia se encuentra en el móvil

Análisis forense en dispositivos móviles

El análisis “informático-forense” consiste en analizar los registros, aplicaciones, ficheros de configuración, artefactos o metadatos almacenados en un dispositivo móvil en busca de indicios o evidencias que ayuden a determinar hechos según el objeto y alcance de la investigación.

Casos de Uso

Cada investigación es diferente, pudiendo tratarse de asuntos mercantiles, penales o laborales, entre otros. Durante las actividades de Planificación, la primera de las fases de una investigación de este tipo, podemos `identificar´ las fuentes de información dentro del alcance. Algunos ejemplos de casos donde un dispositivo móvil podría ser la pieza angular de la investigación incluyen:

• Descubrimiento y revelación de secretos: de la intimidad, de empresa o de la propiedad intelectual.
• Falsedades, amenazas y coacciones: como el ciberbullying.
• Estafa: de banca online, fiscal y phishing entre otros.

¿Cómo se lleva a cabo?

Las fases de una investigación generalmente siguen el modelo de Planificación, Ejecución y Reporting. El análisis “informático – forense“ como tal se puede resumir en tres pasos que encajaríamos en la fase de Ejecución.

En muchas ocasiones leemos `rumores´ en prensa, pero este tipo de filtraciones de información confidencial pueden también incluir datos cuantitativos o información textual que han sido extraídos de un documento o presentación interna de la empresa objeto de la noticia. Por ejemplo, la compra/venta de activos donde se nombra el target o asesor, o la ampliación de capital donde se cuantifica el valor.

Además de las consecuencias reputacionales, si la empresa es cotizada, este tipo de filtraciones pueden tener impacto directo en la bolsa. En cualquier caso, el acceso a este tipo de información suele estar restringido a un grupo escaso de personas antes y durante su presentación.

Una vez acordado el objeto y alcance de la investigación durante la fase de Planificación, procederíamos con:

1- Preservación y Adquisición

En este primer paso, llevamos a cabo la preservación y adquisición de los dispositivos mediante herramientas especializadas en este campo forense como AXIOM o XRY, entre otras. Estas herramientas cuentan con funcionalidades especializadas en la copia (clonado forense), procesamiento y revisión de imágenes forenses.

En el caso ejemplo, en la fase de Planificación habríamos determinado quiénes participaron en la creación, distribución de la información y -si aplicase- a los participantes de la reunión (los `Custodios´). También acordaríamos el listado de dispositivos informáticos en el alcance (`Perímetro´ o `Fuentes de Información´).

En función del número de dispositivos móviles a adquirir, capacidad y modelo elegiremos la herramienta más adecuada. También, según la herramienta, se podrían acotar los artefactos que deseamos copiar, es decir no copiar todo sino aspectos específicos del dispositivo.

2- Procesamiento y Análisis Preliminar

Durante este segundo paso, las operaciones técnicas más importantes pueden incluir:

• Parseo (convertir en formato legible) de los diferentes registros alojados en el dispositivo móvil.
• Aplicación de OCR para convertir a caracteres legibles.
• Deduplicado e Indexación de toda la información.
• Transcripción de audios.

En nuestro caso de ejemplo, una línea de investigación podría ser identificar las actividades que se llevaron a cabo dentro del `marco temporal´, que podría considerar el momento en que se generó, distribuyó y publicó la información confidencial. Dentro de este ´marco temporal´ algunas de las cuestiones relevantes que pueden ser de interés incluyen:

• Actividades: en base a los registros y metadatos identificamos las actividades, particularmente de creación o borrado de ficheros, que se llevaron a cabo en el dispositivo en el marco temporal.
• Navegación: identificamos posibles accesos, dentro del marco temporal, a correos web o plataformas de almacenamiento en la nube a partir de la cual se haya podido compartir información.
• Comunicaciones: identificamos, dentro del marco temporal, llamadas o envío de mensajes que hayan tenido lugar desde el dispositivo.

Herramientas como AXIOM cuentan con una funcionalidad denominada “conexiones” que relaciona los artefactos y ficheros de un dispositivo entre ellos. En la práctica, esta funcionalidad nos permitiría determinar, por ejemplo, si durante la reunión se tomaron fotos y si estos ficheros fueron compartidos o incluso borrados dentro del marco temporal.

3- Revisión

Finalmente llevamos a cabo la revisión de las evidencias procesadas. Una de las técnicas de revisión que aplicamos se basa en “búsquedas ciegas” mediante Key Words y cuyo objetivo es ceñirse únicamente al objeto de la investigación, dejando al margen el resto de los contenidos de la evidencia.

En el caso ejemplo, nuestro objetivo sería determinar si la información textual o los datos cuantitativos se filtraron (dentro del marco temporal). Para ello las Key Words podrían tomar en cuenta, entre otros:

• Datos cuantitativos: supongamos que en prensa se filtró “CAPEX de $5m” o “Aumento salarial de 27.7% mensual”; y/o
• Información Textual: en este supuesto nos interesa “Proyecto Abanico” o “Joint Venture con Aceros del Alcalá”.

Los móviles se han convertido en ordenadores de bolsillo desde los cuales, no solo podemos acceder a sistemas de información de la empresa como SAP o OneDrive, sino que adicionalmente podemos compartir esta información a través de herramientas o aplicaciones como Email, Teams, WhatsApp u otras.

Por su relevancia y volumen de uso, deberíamos de considerar su importancia para la consecución de los objetivos de una investigación interna, ya sea por denuncias o sospechas, o para responder adecuadamente a peticiones de un tercero o supervisor.

Si bien existen diversas herramientas que pueden facilitar la labor forense, el éxito de una investigación puede depender de factores como la experiencia del analista, las técnicas empleadas, y la preparación forense digital de la empresa.