En los últimos años, los dispositivos móviles están adquiriendo una nueva dimensión y, sobre todo, una gran relevancia en las investigaciones forenses. Este hecho radica principalmente en la potencia y versatilidad que han alcanzado, así como en el uso que les damos.
Por un lado, desde que los dispositivos móviles se han vuelto inteligentes, es decir, han incorporado nuevas capacidades como el acceso a recursos corporativos (SAP, OneDrive, SharePoint, etc.), apenas existen diferencias funcionales con respecto a los ordenadores.
Y, por otro, la irrupción de la mensajería instantánea (WhatsApp, Telegram, WeChat, etc.), como competidor directo del correo electrónico corporativo, así como otras circunstancias como el COVID y, consecuentemente, el teletrabajo, han convertido el móvil en medio clave para compartir información, ideas, decisiones, o sencillamente, medio de contacto entre comercios y clientes.
Esta realidad no pasa por desapercibida para defraudadores o cibercriminales, con casos de estafas mediante WhatsApp, SMS o tramas de espionaje corporativo, haciendo para ello uso del spyware Pegasus. Y los organismos reguladores o supervisores también son conscientes de esta nueva realidad. Por ejemplo, en España, la Comisión Nacional de los Mercados y la Competencia (CNMC) recientemente renovó sus licencias de Cellebrite, software para análisis forense de dispositivos móviles.
Dicho esto, cabe preguntarse ¿en qué consiste un análisis informático-forense en dispositivos móviles corporativos? ¿Cuáles son los casos de uso? ¿Cómo se lleva a cabo ese tipo de investigación?
El análisis “informático-forense” consiste en analizar los registros, aplicaciones, ficheros de configuración, artefactos o metadatos almacenados en un dispositivo móvil en busca de indicios o evidencias que ayuden a determinar hechos según el objeto y alcance de la investigación.
Cada investigación es diferente, pudiendo tratarse de asuntos mercantiles, penales o laborales, entre otros. Durante las actividades de Planificación, la primera de las fases de una investigación de este tipo, podemos `identificar´ las fuentes de información dentro del alcance. Algunos ejemplos de casos donde un dispositivo móvil podría ser la pieza angular de la investigación incluyen:
Las fases de una investigación generalmente siguen el modelo de Planificación, Ejecución y Reporting. El análisis “informático – forense“ como tal se puede resumir en tres pasos que encajaríamos en la fase de Ejecución.
En muchas ocasiones leemos `rumores´ en prensa, pero este tipo de filtraciones de información confidencial pueden también incluir datos cuantitativos o información textual que han sido extraídos de un documento o presentación interna de la empresa objeto de la noticia. Por ejemplo, la compra/venta de activos donde se nombra el target o asesor, o la ampliación de capital donde se cuantifica el valor.
Además de las consecuencias reputacionales, si la empresa es cotizada, este tipo de filtraciones pueden tener impacto directo en la bolsa. En cualquier caso, el acceso a este tipo de información suele estar restringido a un grupo escaso de personas antes y durante su presentación.
Una vez acordado el objeto y alcance de la investigación durante la fase de Planificación, procederíamos con:
En este primer paso, llevamos a cabo la preservación y adquisición de los dispositivos mediante herramientas especializadas en este campo forense como AXIOM o XRY, entre otras. Estas herramientas cuentan con funcionalidades especializadas en la copia (clonado forense), procesamiento y revisión de imágenes forenses.
En el caso ejemplo, en la fase de Planificación habríamos determinado quiénes participaron en la creación, distribución de la información y -si aplicase- a los participantes de la reunión (los `Custodios´). También acordaríamos el listado de dispositivos informáticos en el alcance (`Perímetro´ o `Fuentes de Información´).
En función del número de dispositivos móviles a adquirir, capacidad y modelo elegiremos la herramienta más adecuada. También, según la herramienta, se podrían acotar los artefactos que deseamos copiar, es decir no copiar todo sino aspectos específicos del dispositivo.
Durante este segundo paso, las operaciones técnicas más importantes pueden incluir:
En nuestro caso de ejemplo, una línea de investigación podría ser identificar las actividades que se llevaron a cabo dentro del `marco temporal´, que podría considerar el momento en que se generó, distribuyó y publicó la información confidencial. Dentro de este ´marco temporal´ algunas de las cuestiones relevantes que pueden ser de interés incluyen:
Herramientas como AXIOM cuentan con una funcionalidad denominada “conexiones” que relaciona los artefactos y ficheros de un dispositivo entre ellos. En la práctica, esta funcionalidad nos permitiría determinar, por ejemplo, si durante la reunión se tomaron fotos y si estos ficheros fueron compartidos o incluso borrados dentro del marco temporal.
Finalmente llevamos a cabo la revisión de las evidencias procesadas. Una de las técnicas de revisión que aplicamos se basa en “búsquedas ciegas” mediante Key Words y cuyo objetivo es ceñirse únicamente al objeto de la investigación, dejando al margen el resto de los contenidos de la evidencia.
En el caso ejemplo, nuestro objetivo sería determinar si la información textual o los datos cuantitativos se filtraron (dentro del marco temporal). Para ello las Key Words podrían tomar en cuenta, entre otros:
Los móviles se han convertido en ordenadores de bolsillo desde los cuales, no solo podemos acceder a sistemas de información de la empresa como SAP o OneDrive, sino que adicionalmente podemos compartir esta información a través de herramientas o aplicaciones como Email, Teams, WhatsApp u otras.
Por su relevancia y volumen de uso, deberíamos de considerar su importancia para la consecución de los objetivos de una investigación interna, ya sea por denuncias o sospechas, o para responder adecuadamente a peticiones de un tercero o supervisor.
Si bien existen diversas herramientas que pueden facilitar la labor forense, el éxito de una investigación puede depender de factores como la experiencia del analista, las técnicas empleadas, y la preparación forense digital de la empresa.
Deja un comentario