TELEFONÍA MÓVIL

FUENTE DE EVIDENCIAS DIGITALES

Realizado por:
Francisco Javier Egea López
Armando Cebrian López
Alfredo Doménech Rosado

15/09/2008
 TELEFONÍA MÓVIL
FUENTE DE EVIDENCIAS DIGITALES

INTRODUCCIÓN
La telefonía móvil está formada por dos grandes partes: una red de comunicaciones
(o red de telefonía móvil) y los terminales (o teléfonos móviles) que permiten el acceso
a dicha red.

El teléfono móvil fue inventado en 1947 por la empresa norteamericana AT&T,

pero no se hizo portátil de manera práctica hasta 1983 cuando Motorola culmina el
proyecto DynaTAC 8000X, que es presentado oficialmente en 1984. El Motorola
DynaTAC 8000X, el primer teléfono móvil de la historia
en recibir el visto bueno de la FCC (Comisión Federal de
las Comunicaciones) fue lanzado en 1983.

El DynaTAC 8000X era un ladrillo de 793 gramos y

casi 25 centímetros. Como curiosidad, además de tener las
12 teclas que cualquier teléfono incorporaba otras nueve
con funciones como rellamada, mandar, guardar, función,
fin… Sus prestaciones eran bastante reducidas, una hora
de comunicación y ocho horas en stand-by, con pantalla de
LED y pese a que su precio se aproximaba a los 4.000
dólares de la época, apenas un año después de su puesta a
la venta, 300.000 usuarios habían comprado el terminal.

El teléfono móvil consiste en un dispositivo de comunicación electrónico con las

mismas capacidades básicas de un teléfono de línea telefónica convencional. Que
además de ser portátil es inalámbrico ya que no requiere cables conductores para su
conexión a la red telefónica.

La evolución del teléfono móvil ha permitido disminuir su tamaño y peso, desde

ese primer teléfono móvil en 1983 que pesaba 780 gramos, a los actuales más
compactos y con mayores prestaciones de servicio Se ha mejorado el tamaño de las
baterías, cada vez más pequeñas y con una mayor duración. Se ha aumentado el tamaño
de las pantallas, al igual que su resolución, con el objetivo de dotar al dispositivo de una
apariencia más amigable. Se ha desarrollado gran cantidad de software para dar más
utilidades a los terminales de telefonía. Todos estos avances han hecho del teléfono
móvil un elemento muy apreciado en la vida moderna.
 Los teléfonos móviles actuales han incorporado funciones como correo electrónico,
SMS, agenda electrónica PDA, fotografía digital y video digital, video llamada,
navegación por Internet y hasta Televisión digital. Funciones que tradicionalmente se
desarrollaban con otros dispositivos como Ordenadores personales o cámaras digitales.

A los teléfonos móviles que incorporan todas o algunas de estas funciones se les ha
denominado teléfonos inteligentes (Smart Phones)

TELEFONO INTELIGENTE (SMART PHONE)

Un Teléfono Inteligente (Smart phone) es un dispositivo electrónico que fusiona un

teléfono móvil con características similares a las de un computador personal. Casi todos
los teléfonos inteligentes soportan completamente un cliente de correo electrónico con
la funcionalidad completa de un organizador personal.

Los Smart phones se gestionan al igual que los ordenadores personales de

sobremesa mediante alguno de los siguientes Sistemas Operativos: Palm OS, Windows
Mobile, RIM, Symbian o Linux. Además, se han desarrollado gran cantidad de
aplicaciones para gestionar todas sus capacidades.

Pero lo más interesante, desde el punto de vista forense, es su capacidad para

almacenar información. Un teléfono inteligente está compuesto habitualmente de los
siguientes componentes con capacidad para almacenar información:

-Un terminal

-Una o varias tarjetas SIM

-Una o varias tarjetas de memoria adicional

Cada uno de estos componentes tiene unas características particulares que vamos a
desarrollar a continuación.

DISPOSITIVOS DE ALMACENAMIENTO

TERMINAL

Un terminal de telefonía móvil contiene dos tipos de memoria: memoria

volátil y memoria no volátil. La memoria volátil es similar a la que todos
conocemos como memoria RAM en los ordenadores personales. Es aquella
cuya información se pierde al interrumpirse el flujo de corriente eléctrica. La
no volátil es aquella cuyo contenido no se pierde al interrumpirse el flujo
eléctrico que la alimenta. Esta última es la memoria que nosotros vamos a
tener en consideración.

En la memoria no volátil de teléfono móvil es donde se almacenan todos

los datos relativos a sistema operativo y programas, pero también los datos de
usuario como pueden ser:

- Archivos de texto, imagen, sonido, vídeo.

- Entradas de la agenda telefónica, registros de llamadas, mensajes

SMS o multimedia

- Correos electrónicos, registros de visitas a páginas Web.

- Agenda personal, notas, citas, etc.

Todas estas categorías de datos pueden residir en la memoria del

terminal, pero dependiendo del fabricante y de las características del Sistema
Operativo, podrían ser almacenadas en la tarjeta SIM o en las tarjetas de
memoria adicional.

Las estructuras de estas memorias también varían entre fabricantes y

entre los distintos modelos y versiones de terminales de cada fabricante. No
existen estándares que definan la estructura de estas memorias y los mapas de
las mismas son propietarios de las distintas empresas desarrolladoras de
tecnología móvil. Ese es el mayor problema con el que nos encontramos para
poder acceder a los datos en ellas contenidos

TARJETA SIM

La tarjeta SIM es un componente

removible que contiene información esencial
sobre el abonado. La función principal de la
Tarjeta SIM implica la autenticación del
usuario del teléfono móvil a la red para obtener
acceso a los servicios que tiene contratados.
Pero la tarjeta SIM también proporciona un área para almacenar
información personal, habitualmente están dotadas de una capacidad de
almacenamiento de 512 Kbytes.
 Las tarjetas SIM están protegidas de acceso mediante un código de
identificación personal (PIN). Este código PIN (número de 4 cifras) puede ser
modificado por el abonado, de tal forma que sea la única persona que tenga
conocimiento del mismo. Para acceder a los servicios que presta la tarjeta
SIM se requiere la autentificación a través del número PIN, estando
establecido un número máximo de intentos, generalmente tres, para insertar el
código de identificación correcto. Una vez agotados estos tres intentos, sólo
mediante el suministro de una clave de desbloqueo de PIN te da la posibilidad
de insertar un nuevo número PIN, poniendo a cero el contador de intentos
para acceder a la tarjeta SIM.

El código de desbloqueo se denomina código PUK y es proporcionado

por las compañías telefónicas que gestionan la tarjeta SIM bloqueada. Para
que el proveedor del servicio te proporcione el código PUK de una
determinada tarjeta SIM, hay que suministrarle el ICC-ID (International
Circuit Card ID), “Identificador Internacional de la Tarjeta de Circuitos”. Los
ICC-IDs se almacenan en las tarjetas SIM y también se graban o imprimen
sobre el cuerpo de plástico de las mismas.

Si el número de tentativas para insertar un código PUK correcto excede

de un límite fijado, normalmente diez intentos, la tarjeta se bloquea
permanentemente.

Una tarjeta SIM es similar a un terminal de telefonía móvil, ya que posee

memoria volátil y memoria no volátil. El sistema de ficheros de una SIM se
ubica en la memoria no volátil y se estructura de una forma jerarquizada en
forma de árbol.

Se compone de tres tipos de elementos: Origen del sistema (MF),

Directorios de Ficheros subordinados (DF) y Ficheros conteniendo datos
(EF).

Sistema de
Ficheros de una
tarjeta SIM
 Varios tipos de pruebas digitales pueden existir en los ficheros de datos
(EF) dispersos a lo largo del sistema de ficheros de una Tarjeta SIM. Parte de
los datos contenidos en la memoria de la SIM pueden ser a su vez
almacenados en la memoria del terminal telefónico, otros sin embargo, sólo
permanecen en la memoria de la tarjeta.

Se podría establecer la siguiente clasificación sobre las categorías de

datos contenidos en una SIM:

Información relativa al servicio prestado por la compañía

telefónica. El número ICC-ID y el número IMSI 1 (International
Mobile Subscriber Identity) “Identidad Internacional del
Suscriptor Móvil”.

Agenda de teléfonos e información sobre llamadas, realizadas,

recibidas y perdidas, así como números abreviados de llamada

Información relativa a mensajes de texto, tanto SMS (mensajes de

texto), como EMS (SMS, mejorado con animaciones, melodías,
sonidos,…) y mensajes multimedia simples.

Información de localización, incluida la LAI 2 (Location Area

Identity) y la RAI (Routing Area Identification), para datos.

TARJETAS DE MEMORIA ADICIONAL

Las tarjetas de memoria adicional son sistemas de almacenamiento

informático de estado sólido para dispositivos portátiles como teléfonos
móviles, PDA,s, cámaras digitales, reproductores MP3, impresoras, consolas
de videojuegos y otros.

Estas tarjetas suelen tener una memoria de tipo flash, aunque en algunos
casos se les puede incluir un mini disco duro (caso de las Compact Flash).

1 Las tarjetas SIM se identifican en sus redes móviles individuales mediante un IMSI único. Los
operadores de telefonía móvil conectan las llamadas a teléfonos móviles y se comunican con
sus tarjetas SIM comercializadas usando su IMSI.

2 Este identificador único internacional está compuesto por una serie de tres dígitos decimales

donde se almacena el Código de país (CC), de dos dígitos donde se almacena el Mobile
Network Code (MNC), y un Código de Área o celda que puede ser 5 dígitos decimales. El LAI es
transmitido regularmente por el Broadcast Control Channel (BCCH). El terminal de telefonía móvil
reconoce el LAI y lo almacena en la tarjeta SIM. El cambio de Ubicación de Zona da lugar a la
solicitud de actualización de la ubicación transmitiendo un nuevo LAI.
 Las memorias flash son de tipo no volátil, esto es, la información que
almacena no se pierde en cuanto se desconecta de la corriente. Las
capacidades de almacenamiento pueden variar desde los 64 Mb. o incluso
menos capacidad, de las primeras tarjetas, hasta los 8 GB o más de las
actuales, con unas velocidades de transferencia que han ido aumentando de
manera exponencial.

Su bajo coste en comparación con memorias de similares características,

su gran resistencia a los golpes, su bajo consumo y su forma silenciosa de
trabajar hacen que, junto con un reducido tamaño, se hayan convertido en el
dispositivo de almacenamiento estrella para su uso en un dispositivo portátil.

Las tarjetas de memoria flash tienen una vida limitada, permiten un

número de escrituras y borrados, generalmente entre 10.000 y un millón.
Están fabricadas con puertas lógicas NOR y NAND para almacenar los ceros
y unos correspondientes.

Los sistemas de archivos para estas memorias están en pleno desarrollo

aunque en la práctica se emplea un sistema de archivos FAT3 por
compatibilidad.

El sistema de archivos FAT está organizado en clusters y se compone de

cuatro secciones:

El sector de arranque: Siempre es el primer sector de la partición

(volumen), incluye información básica.

La región FAT: Contiene dos copias de la tabla de asignación de

archivos (por motivos de seguridad). La tabla de asignación de
archivos consta de una lista de entradas con información sobre los
clusters.

La región del directorio raíz: Es el índice principal de carpetas y

ficheros.

La región de datos: Es el lugar donde se almacena el contenido de
ficheros y carpetas. Ocupa casi toda la partición. El tamaño de
cualquier archivo o carpeta puede ser ampliado siempre que
queden suficientes clusters libres. Cada cluster está enlazado con
el siguiente mediante un puntero. Si un determinado cluster no se
ocupa por completo, su espacio remanente se desperdicia.

3 File Allocation Table (FAT), en español Tabla de Asignación de Archivos,es un sistema de

archivos desarrollado para el Sistema Operativo MS-DOS y que ha sido utilizado en las primeras
versiones de Windows. Es un formato para estructurar los archivos sencillo y popular.
 Las tarjetas de memoria adicional que habitualmente se usan en
dispositivos de telefonía móvil son:

NOMBRE IMAGEN NOMBRE IMAGEN

CompactFlash Memory
I y II (CF-I y Stick Duo
CF-II) (MSD)

Reduced
Size
Memory Stick
Multimedia
(MS)
Card
(RS-MMC)

Memory Stick Secure

Micro M2 (M2) Digital
Card (SD)

MMCmicro
miniSD
Card
Card
(MMCmicro)
(Mini SD)

Multimedia
microSD
Card
Card
(MMC)
(microSD)
INTRODUCCIÓN ANÁLISIS FORENSE

El análisis forense de teléfonos móviles es la ciencia que trata de la recuperación de

pruebas digitales de los elementos de telefonía móvil, bajo condiciones forenses
utilizando métodos legalmente aceptados.

Los terminales de telefonía móvil varían en diseño y están sometidos a cambios

continuamente, a medida que las tecnologías existentes mejoran y que nuevas
tecnologías son descubiertas.

Se hace necesario desarrollar procedimientos paso a paso para llevar a cabo todas
las actividades rutinarias para la intervención, conservación, examen y análisis, así
como la realización de informes de las pruebas digitales encontradas en los terminales
de telefonía móvil y dispositivos multimedia a ellos asociados.

Las guías y procedimientos deberían incluir la admisión de las pruebas en los

procedimientos judiciales, cumpliendo todos los requisitos legalmente exigidos. Se debe
incluir la intervención y la manipulación de la prueba de una manera adecuada, el
mantenimiento de la cadena de custodia, el almacenamiento de las pruebas de una forma
apropiada, el mantenimiento de la integridad del equipo y las herramientas digitales y la
demostración de la integridad de éstos a través de logs, registros y ficheros asociados al
caso

HERRAMIENTAS FORENSES PARA ANÁLISIS

Las herramientas forenses para dispositivos de telefonía móvil son

considerablemente diferentes de aquellas que se utilizan para los Ordenadores
Personales.

Mientras que los Ordenadores Personales están diseñados como sistemas de

propósito general, con definidos Sistemas Operativos, dotados de abundante
documentación y dispositivos de almacenamiento diseñados bajo unos estándares, los
teléfonos móviles se diseñan como elementos propietarios, con Sistemas Operativos
propios, escasos o nulos en documentación accesible al examinador forense y sistemas
de almacenamiento de los que no se dispone de mapas de memoria.

Como ya hemos comentado anteriormente, un dispositivo de telefonía móvil puede

componerse de tres elementos: Terminal, tarjeta SIM y tarjetas de memoria adicional.
 Cada uno de estos elementos se analiza de una forma diferente. En este artículo nos
vamos a dedicar a la descripción de las herramientas más utilizadas para analizar
Terminales de Telefonía y Tarjetas SIM.

TERMINALES DE TELEFONÍA

El desarrollo de las herramientas para análisis de terminales de telefonía es lento y

dificultoso y en la actualidad se ha dividido en dos vertientes dependiendo de la forma
de adquisición de los datos de la memoria: Adquisición lógica o Adquisición física.

La adquisición lógica implica una copia bit a bit de la estructura de ficheros

almacenada en el dispositivo, es decir, de aquello que puede ser interpretado por el
Sistema Operativo, lo que se ve en el terminal cuando navegamos a través de sus
distintas opciones.

Esta adquisición extraería todos los datos que se encuentran activos, sería como una
copia de seguridad de los datos contenidos en el terminal.

La adquisición física implica una copia bit a bit de toda la memoria física del
dispositivo, desde el primer bit hasta el último, con independencia de lo que haya
almacenado en ellos.

Para la realización de la adquisición física se utilizan unos dispositivos hardware

denominados “Cajas de Flasheo” que obtienen la imagen de la memoria, para
posteriormente utilizar una aplicación software que interprete esa imagen y la convierta
en datos legibles.
Esta adquisición presenta ventajas con respecto a la adquisición lógica, ya que
permitiría la recuperación de datos que hubieran sido borrados previamente pero que
aún no han sido sobreescritos por el Sistema Operativo.

Las herramientas más utilizadas para la recuperación lógica son:

Software: PDA Seizure de la empresa Paraben, UME-36 forensic de Cellebrite y

XRY de Micro Systemation.

Las herramientas más utilizadas para la recuperación física son:

Cajas de Flasheo: UFS Tornado, Red Box, Ultimate Box.

Software: Cell Phone Analizer, Pandora’s Box

 TARJETAS SIM

Para la adquisición de los datos de la tarjeta SIM debemos de poseer acceso a la

misma, ya porque ésta esté desprovista de código de acceso ya porque tengamos el PIN
o PUK para acceder a ella.

Las herramientas más comúnmente utilizadas son las aplicaciones software tales
como: SIMCon y Sim Card Seizure.

Este software, utilizado conjuntamente con un dispositivo lector de tarjetas SIM y

con los accesos adecuados (conocimiento del número PIN o PUK si la tarjeta estuviera
protegida), es suficiente para recuperar la totalidad de los datos lógicos contenidos en la
tarjeta. Incluso se pueden recuperar algunos mensajes de texto borrados.

CONCLUSIONES

Con la elaboración de este artículo se ha pretendido dar una visión resumida del
amplio campo que ocupan los dispositivos de telefonía móvil en la sociedad actual, de
la gran cantidad de información que almacenan estos dispositivos en su conjunto y de
las dificultades que presenta su análisis forense.

Aún queda mucho por trabajar, las compañías de telefonía móvil ya están pensando
en nuevos modelos, en nuevas aplicaciones, en nuevos servicios y los examinadores
forenses en como descifrar toda la información que se aloja en estos dispositivos tan
comúnmente utilizados.