En este artículo te mostraremos en qué consiste el análisis forense de dispositivos Android y cuáles son algunas de sus generalidades.
A grandes rasgos, el análisis forense de dispositivos Android es el proceso de recolección, preservación, análisis e interpretación de datos almacenados en un dispositivo móvil que utiliza el sistema operativo Android de Google. El objetivo de este análisis forense es identificar y recuperar datos relevantes para una investigación o un caso legal.
Análisis forense de dispositivos Android
El análisis forense de dispositivos Android puede incluir la recuperación de diferentes tipos de datos, como mensajes de texto, registros de llamadas, correos electrónicos, archivos multimedia, contactos, calendarios, historial de navegación o datos de ubicación, entre otros. Los investigadores pueden utilizar herramientas especializadas en extracción de datos para extraer y preservar datos de un dispositivo sin alterar o dañar el contenido.
El proceso de análisis forense de dispositivos Android se puede dividir en tres fases principales: adquisición, análisis y presentación.
- En la fase de adquisición, se utiliza una herramienta de extracción de datos especializada para recopilar datos del dispositivo.
- En la fase de análisis, se examinan los datos recuperados y se identifican los patrones, las relaciones y las evidencias relevantes.
- Por último, en la fase de presentación, se organizan y documentan los resultados del análisis para su presentación en un informe.
¿Dónde localizar los datos?
En el análisis forense de dispositivos Android podemos localizar datos en diferentes ubicaciones. Veamos:
- Shared preferences: encontramos información sensible en ficheros con formato XML dentro de la carpeta shared_pref de la App.
En Android, las SharedPreferences son un mecanismo de almacenamiento de pares clave-valor que se pueden utilizar para almacenar datos de forma persistente. Estas se emplean de forma habitual para almacenar datos simples, como configuraciones de usuario o preferencias de la aplicación. La lectura y escritura de las SharedPreferences es fácil de implementar y no requiere conocimientos avanzados de programación. - Almacenamiento interno: el acceso a la información en el almacenamiento interno es privado, salvo que seas un usuario con privilegios.
- Almacenamiento externo: el acceso a la información localizada en la sdcard es público; por tanto, todos los datos que estén situados aquí no cumplen el modelo de seguridad de Android.
- SQLite Databases: Android utiliza el SGBD SQLite por defecto y, por lo general, cada app almacena en su directorio de aplicación las BBDD en /data /data /AppName /databases.
Extracción y extracción lógica
Antes de entender el análisis forense de dispositivos Android, debemos entender qué son la extracción y la extracción lógica.
Extracción
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaLa extracción de imagen forense, también conocida como clonación de imagen forense, es el proceso de copiar todos los datos de un dispositivo o medio de almacenamiento, como un disco duro o un dispositivo USB, en una imagen forense. Esta se utiliza en el análisis forense para examinar los datos del dispositivo original sin modificarlos.
La extracción de imagen forense implica hacer una copia exacta del dispositivo original, incluyendo el sistema de archivos y los datos almacenados en él. La copia se realiza utilizando herramientas especializadas en extracción de datos forenses, que se aseguran de que la copia es idéntica al original.
Extracción lógica
La extracción lógica hace referencia a cualquier método que requiera comunicación con el sistema operativo base del dispositivo, a diferencia de una copia bit a bit. Es el proceso que obtiene los datos visibles para el usuario y puede incluir datos que han sido marcados para su eliminación.
Algunos datos que se pueden recuperar de manera lógica para el análisis forense de dispositivos Android son:
- Contactos.
- Registros de llamadas.
- SMS/MMS.
- Datos de la aplicación.
- Registros e información del sistema.
Ya hemos visto cómo hacer análisis forense de dispositivos Android, algunas de las herramientas que podemos usar y qué elementos básicos debemos tener en cuenta a la hora de ejecutar este procedimiento. Si quieres seguir formándote sobre las fases del análisis forense en informática, ya sea para dispositivos móviles Android, iOS u otros dispositivos, no te pierdas nuestro Bootcamp Ciberseguridad. Con esta formación intensiva lograrás destacar en el mercado laboral IT en cuestión de meses. ¡Solicita más información ahora y atrévete a impulsar tu futuro!