1 Investigación Penal La Tecnología Informática aplicada a la Investigación (búsqueda, obtención y bases de datos; cotejo, cruce y análisis). Córdoba, 09 de Mayo de 2013 Ing Arsenio Cardone - Ing. Gustavo Guayanes 1

2 Nuestro enfoque se hará sobre dos medios masivos de comunicación, computadoras y dispositivos móviles. ¿Porque? Porque permiten que los seres humanos puedan comunicarse de una manera rápida y eficaz. Dicha comunicación, puede ser con fines sociales, pero nada impide que puedan hacerlo con otros fines. En base a ello, se deben fijar parámetros en los elementos que conforman la evidencia física para que la misma sea útil después del secuestro en la I.P.P. al ser analizada por los peritos en la disciplina específica. 2

3 ¿ Por qué consideramos a estos elementos necesarios de secuestrar en procedimientos judiciales? Porque son de uso masivo y pueden contener información y ser utilizada para la resolución de un hecho delictual Cantidad de líneas móviles (telefonía celular) 3 Fuente: http://www.indexmundi.com/g/r.aspx?v=105&l=es

4 Según la C.N.C. Comisión Nacional de Comunicaciones http://www.cnc.gov.ar/ciudadanos/telefonia_movil/evolucion.asp#iconsumo 4 Según CICOMRA (Cámara Informática y Comunicaciones de la Republica Argentina) Julio 2012 Cantidad de Líneas Celulares 58.650.000 Cantidad de Llamadas realizadas 7.312.500 / mes Cantidad de SMS 10.183 millones / mes 265.000 SMS por minuto

5 5 Fuente: http://www.indexmundi.com/g/r.aspx?v=118&l=es Cantidad de Computadoras en Argentina: Fuente: Cámara Argentina de Máquinas de Oficina, Comerciales y Afines (Camoca). 16 millones de unidades 6 millones son portátiles Según el Censo Nacional del año 2010, el 40% de los hogares en Argentina tienen computadora, frente al 20,5 % que había en el 2001 Cantidad de computadoras en Argentina

6 Fuente: http://www.cicomra.org.ar

7 EVIDENCIA FISICA Ordenadores (de escritorio, portátiles) Medios de almacenamiento masivo Servidores Dispositivos Móviles Receptores G.P.S. Cámaras de Fotografía Cámaras de Video

8 ORDENADORES De escritorio Portátiles Medios de Almacenamiento Masivo

9 SERVIDORES Usos varios y específicos: Datos Servicios (DHCP, DNS) Archivos Correo Internet Telefonía IP 9

10 EQUIPOS DE COMPUTACION

11 ¿Qué se puede hacer? Computadoras, notebooks, netbooks, macbook, discos rígidos Imagen forense (copia bit a bit) Búsqueda en espacios eliminados Búsquedas por aproximación Búsquedas por vocablos Búsqueda por estructura de archivos Obtener línea de tiempo de archivos Virtualización de PC’, note, net y hd’s

12 ¿Qué se puede hacer? Tarjetas de memoria, pendrive, mpX, cámaras (filmadoras, fotográficas) Imagen forense (copia bit a bit) Búsqueda en espacios eliminados Búsquedas por aproximación Búsquedas por vocablos Búsqueda por estructura de archivos Obtener línea de tiempo de archivos * Con respecto a las cámaras se obtiene imagen forense de la memoria interna

13 ¿Qué es una imagen forense (copia bit a bit)? Imagen Forense (copia bit a bit)

14 ¿Para que sirve una imagen forense (copia bit a bit)? Réplica exacta del almacenamiento Prescindibilidad de la evidencia física Garantiza la inalterabilidad de la evidencia física y lógica Permite la reproducción de los actos Permite la ampliación de puntos de pericia

15 Búsqueda de archivos Tipos de Búsqueda Búsqueda en espacios eliminados Búsquedas por aproximación Búsquedas por vocablos Características: Se pueden encontrar fragmentos de archivos Se pueden localizar vocablos con escritura incierta (no modismos ni jergas) Consideraciones: Se deben disponer de precisiones Se pueden obtener “falsos positivos” y “notables”

16 ¿Qué es búsqueda por estructura de archivos? CABECERAPIE DE ARCHIVO CONTENIDO Ventajas: Busca en todos los espacios Permite encontrar archivos específicos aunque estén eliminados Desventajas: Tiempo empleado Espacio ocupado

17 ¿ Qué es línea de tiempo de archivos? Permite establecer segmentos con y sin actividad de archivos Permite saber la secuencia de ejecución de archivos. Ej.: accionar de un virus Permite saber la secuencia de uso de archivos

18 ¿Qué es virtualización de PC’s? Recrea el funcionamiento de la Pc, note, net, hd tomando la imagen forense Características: Permite relevar software instalado Permite recrear el comportamiento de malware (virus) Permite recrear el entorno original de configuración en funcionamiento

19 Sitios de Internet, Redes Sociales, Correo Electrónico Sitios de Internet Establecer responsable Resguardo de contenido Incorporación como evidencia para demostrar la distribución y publicación Objeto de ataque Conexiones a la red Internet Para establecer la ubicación de computadoras con remoteadores activos Análisis de redes P2P

20 Sitios de Internet, Redes Sociales, Correo Electrónico Redes Sociales Establecer responsable Resguardo de contenido Incorporación como evidencia para demostrar la distribución y publicación Establecer desde donde se creó y publicó

21 Sitios de Internet, Redes Sociales, Correo Electrónico Correo Electrónico Establecer responsable Establecer cuando y desde donde se creó una cuenta Registro de conexiones para establecer cuando y desde donde se conectó a internet Preservación de contenido Detección de mailers. Ej.:Mundoajax

22 Intervenciones de Campo ¿En que casos? Informe Técnico y Dictamen pericial Cooperación Técnica y Allanamiento En virtud de la envergadura del objeto de análisis Simultaneidad Cuando no se puede recrear funcionamiento y condiciones de entorno en laboratorio Consideraciones: Cotas de fechas Precisiones respecto a los elementos a buscar Planificar la interdisciplina Buen relevamiento previo. Ej.: Filiales Planificación y logística

23 ¿Cómo se debería solicitar? Computadoras, notebooks, netbooks, macbook, discos rígidos, tarjetas de memoria, pendrive, mpX, cámaras (filmadoras, fotográficas) “…efectuar imagen forense del contenido de…” “…establecer la presencia de los vocablos ‘123456’, ‘[email protected]’, tanto activos como eliminados…” “…establecer la presencia de archivos que contengan…” “…determinar la presencia de archivos de contenido sexual/pornográfico relacionados a menores (de que edad) / mayores…” “…obtener archivos que refieran al menor desaparecido…” (es necesario disponer datos filiatorios y/o fotografías del menor)

24 ¿Cómo se debería solicitar? Computadoras, notebooks, netbooks, macbook, discos rígidos, tarjetas de memoria, pendrive, mpX, cámaras (filmadoras, fotográficas) “…establecer la actividad de los archivos en fecha ‘dd/mm/aaaa’ entre las ‘hh1:mm1’ y ‘hh2:mm2’…”

25 ¿Cómo se debería solicitar? Computadoras, notebooks, netbooks, macbook, discos rígidos “…determinar el software instalado…” “…analizar el sistema…” “…establecer cuando fue instalado el sistema operativo…” “…indicar los hábitos de navegación…”

26 ¿Cómo se debería solicitar? Sitios de internet “…proceder al resguardo del contenido del sitio ‘http://aa.cl’ y establecer el responsable…” “…considerando la dirección IP (nnn.nnn.nnn.nnn) en fecha y hora ‘dd/mm/aaaa hh:mm zona horaria’, establecer la ubicación de la computadora…”

27 ¿Cómo se debería solicitar? Redes Sociales y Correo Electrónico “…relevar de la cuenta ‘a.ago’ de ‘facebook’ los mensajes sostenidos con el usuario ‘r.roc’ entre los días ‘dd1/mm1/aaa1’ y ‘dd2/mm2/aaaa2’…” “…determinar el origen de mail de fecha ‘dd/mm/aaaa’ con remitente [email protected]’...”[email protected] “…determinar titular de la casilla de mail [email protected]’...”

28 ¿Cómo se debería solicitar? Trabajo de Campo “…impresión y/o resguardo de …” “…resguardo (backup) de …” “…permitir el secuestro de computadoras ante la imposibilidad de efectuar resguardo…” “…obtener propiedades de correo electrónico…” “…obtener resguardo de carpetas o base de datos con contenido de la cuenta de correo…”

29 ¿Cómo se debería solicitar? Trabajo de Campo “…establecer origen de correo electrónico de fecha “dd/mm/yyyy hh:mm.ss zona horaria”, de la cuenta…” Consideraciones: Aportar vocablos de búsqueda no comunes Aportar ciertos datos de la causa. Ej.: Fuente de impresión Cotas de fecha Cotas de elementos. Ej.: Cuentas en particular, elementos a buscar Planificar la interdisciplina Aportar vocablos de búsqueda no comunes. Ej.: Búsqueda por vocablos Aportar ciertos datos de la causa

30 EQUIPOS MOVILES

31 DISPOSITIVO MOVIL Son aquellos de tamaño pequeño, con capacidad de procesamiento, conexión permanente o intermitente a una red, memoria limitada, fueron diseñados para una función determinada, y pueden realizar otras más generales. Ejemplos: Teléfonos celulares, PDA, Teléfonos inteligentes, cámaras de fotos digitales, otros. http://es.wikipedia.org/wiki/Dispositivo_m%C3%B3vil

32 TIPOS Smartphone o Teléfono Inteligente, funciona como teléfono móvil con características de un ordenador personal. Teléfono inalámbrico con o sin conexión a la red pública conmutada P.S.T.N.

33 PDA o Asistente digital personal: Se desempeñan como una agenda electrónica. Cámara Digital, es aquella que ha sido diseñada para tomar fotografías y almacenarlas mediante un dispositivo electrónico en un archivo con formato digital, Algunas cámaras pueden grabar imagen y sonido mediante el mismo dispositivo almacenarlas con formato digital, denominándose cámara filmadora digital.

34 CATEGORÍAS Dispositivo de datos limitados: En esta agrupación se citan los teléfonos móviles, Servicios de datos limitados, SMS, acceso WAP, pantalla pequeña. Dispositivo de datos básicos: de pantalla mediana, acceso a navegación mediante íconos acceso a sms, mails, y navegador web básico. Dispositivo de datos mejorados: de pantalla mediana a grande, ofrece herramientas de oficina móviles (Word, Excell, Powerpoint) En esta agrupación se citan los Teléfonos inteligentes, tipo blackberry, iphone, otros. Tamaño de pantalla mediano, acceso a e mails, SMS, navegación Web.

35 SISTEMA DE TELEFONIA CELULAR

36 Información: Información: Sistemas de comunicación celular nacen en la R.A. en el Año 1995, sistemas analógico, en el Año 2000 ingresa la Tecnología digital C.D.M.A y T.D.M.A. El terminal estaba ligado directamente con el prestador de servicio mediante parámetros que se almacenaban en el dispositivo móvil (número de abonado o NAM number assignment module, número de serie, otros). Sistemas de comunicación celular nacen en la R.A. en el Año 1995, sistemas analógico, en el Año 2000 ingresa la Tecnología digital C.D.M.A y T.D.M.A. El terminal estaba ligado directamente con el prestador de servicio mediante parámetros que se almacenaban en el dispositivo móvil (número de abonado o NAM number assignment module, número de serie, otros). En el año 2004, las prestatarias inician la migración de CDMA Y TDMA a la tecnología G.S.M. (Sistema Global de Comunicaciones Móviles), el terminal no está ligado al prestador de servicio. En el año 2004, las prestatarias inician la migración de CDMA Y TDMA a la tecnología G.S.M. (Sistema Global de Comunicaciones Móviles), el terminal no está ligado al prestador de servicio. En la R.A. En la R.A. Junio de 2011 hay 54.6 millones de líneas de las cuales 38.5 millones están activas. Fuente: IESonline.com.ar

37

38 Elementos claves para la identificación de un dispositivo para G.S.M IMEI: (International Mobile Equipment Identity o Número de Identificación Móvil Internacional), ligado directamente al fabricante del equipo, 2 tipos de identificaciones, antes y después de 01 Abril 2004. Tarjeta S.I.M. (Subscriber Identity Module o Módulo de Identificación de Abonado), ligado directamente con la empresa prestataria, otorga el número de abonado con código de área ej: 351 5 123456.

39 Estructura de IMEI 15 dígitos Desde Abril de 2004, se solicita a un Organismo internacional GSM Estructura: xxxxxxxx-dddddd-e xxxxxxxxTAC (type allocation code – identifica a un modelo) dddddd número de serie del equipo e dígito verificador www.numberingplans.com

40 Identificación de un dispositivo para G.S.M Tarjeta S.I.M. (Subscriber Identity Module o Módulo de Identificación de Abonado), ligado directamente con la empresa prestataria, otorga el número de abonado con código de área ej: 351 5 123456.

41 Información factible de encontrar en un dispositivo móvil. Agenda de Contactos Nombre y/o apellido o alias según usuario, Nº de Teléfono, datos complementarios (smartphones), casillas de correo, domicilios, otros. Registros de Llamadas Nombre y/o apellido o alias según usuario, Nº de Teléfono, hora (UTC), fecha, tipo, tiempo de llamada. Mensajes de texto Nombre y/o apellido o alias según usuario, Nº de Teléfono, hora (UTC), fecha, tipo, datos de centro de mensajes. Archivos multimedia, fotografías digitales, filmaciones, grabaciones de audio

42 Información que pueden brindar las Telco´s Titularidad: Persona física / jurídica Nº celular, Nº de cuenta (adm. empresa), SIM, fecha activación, estado, apellido, nombre, dni, te, calle, nº, localidad, plan (adm. empresa) Tráfico Teléfono, período, fecha y hora, Nº llamado, Nº llamante, duración, celda SMS Fecha y hora (recibido/enviado), tipo de mensaje, origen, destino, estado, tasable (adm. empresa).

43 En Argentina desde Marzo de 2012, existe la portabilidad numérica entre las empresas de telefonía móvil.

44 Para efectuar el encaminamiento (ruteo) de llamadas en telefonía móvil, cada prestataria de servicio, emplea el número IMSI para construir el HLR (Home Location Register). Estructura de IMSI International Mobile Subscriber Identity 15 dígitos aaa - bb-cccccccccc aaa MCC (mobile country code)ARG 722 bbMNC (mobile network code) Claro 31, Personal 34 cccccccccc MSIN Mobile Subscriber Identity Number Se puede obtener en el análisis del contenido de la tarjeta S.I.M.

45

46

47 CONSIDERACIONES PARA INCORPORAR LA EVIDENCIA – MENSAJE DE TEXTO, CORREO ELECTRONICO- CONTENIDA EN UN DISPOSITIVO MOVIL El perito cuando actúa en el trabajo de campo y en laboratorio, confecciona un Acta e Informe Técnico para que sea incorporado a la causa judicial. Establece cadena de custodia del elemento de interés ( ej. mensaje de texto o de internet). Incorpora el elemento en un medio de preservación idóneo. Datos que se pueden solicitar a posterior por la parte investigativa: El número de abonado, datos del titular, períodos de tráfico de interés y datos estadísticos de transacciones de mensajes de texto. Se debe aportar el Número de Tarjeta SIM y/o Número de IMEI. La información solicitada debe fijarse en un rango de tiempo. Cuando el perito verifica que el número de IMEI no coincide entre el sticker y el relevado por teclado mediante *#06#, se hace constar para posteriores diligencias. Cuando la información de interés está relacionada con la intimidad de las personas, SIEMPRE debe ser autorizado el relevamiento por el Juez de Control que corresponda por Jurisdicción.

48 PRESERVACION EVIDENCIA FISICA Una vez que se ha tomado contacto y se han identificado los elementos del dispositivo móvil (cargador de batería, tarjeta SIM y contenedora de tarjeta SIM, se procederá a preservar los mismos en un sobre contenedor que sea preferentemente sólido en su arquitectura, ej. Caja o envoltorio de cartón, en conjunto con una bolsa de plástico termo sellada con bolsitas de silica gel en contacto con el dispositivo. No usar Usar

49 MANIPULACION DE EVIDENCIA FISICA En caso que el dispositivo se encuentre encendido, se procederá a resguardarlo en estado en que se encuentra, no operarlo o manosearlo por ningún motivo, ya que toda la información que se introduzca posterior al aislamiento de su propietario puede ser perjudicial para la investigación, ello significa por ejemplo, no hacer llamados para identificar el número de abonado, ello se pide posteriormente a la empresa prestataria del servicio de telefonía celular. De ser factible averiguar si el usuario le ha colocado claves de acceso personal, hacerlo constar en acta que la persona aporta la información en forma espontánea y por propia voluntad. En caso que el dispositivo se encuentre apagado, proceder al secuestro del elemento identificando el mismo por su número de IMEI, número de tarjeta SIM, rasgos característicos visuales, ej color de la carcasa, si se observan defectos o detalles hacer constar en el acta de secuestro, ej display o visor rasgado, ausencia de SIM, de batería, otros. Bajo ninguna circunstancia encenderlo, solo se deberá hacer constar que se procede al secuestro sin comprobar operatividad.

50 Herramientas de Hardware – Uso Forense U.F.E.D – Dispositivo Universal de Extracción de Datos Forenses – Fabricante Cellebrite Uso: Trabajo de campo y trabajo de laboratorio compatibilidad: CDMA, TDMA, IDEN, GSM + de 5000 modelos extracción lógica, 500 extracción física Conjunto de cables, organizador, fuente, autónomo y asistido con soft propio Neutrino + Encase – Fabricante Guidance Software Uso: Trabajo de campo y trabajo de laboratorio Compatibilidad: CDMA, TDMA, IDEN, GSM Extracción física y extracción lógica Conjunto de cables, organizador, bolsa de faraday, combinación Encase

51 Herramientas de Hardware – Uso Forense Device Seizure – Fabricante Paraben Uso: Trabajo de campo y trabajo de laboratorio compatibilidad: CDMA, TDMA, IDEN, GSM. Garmin GPS 2200 modelos. Extracción lógica, Extracción física Conjunto de cables, asistido con soft propio. Demo de 30 días 23 ejecuciones 30 Mb para PDAs. Precio u$s 1095. http://paraben-forensics.com/device-seizure.html.

52 Herramientas de Hardware – Uso Forense Herramientas de Hardware – Uso Forense.XRY SYSTEM – Fabricante Micro Systemation.XRY SYSTEM – Fabricante Micro Systemation Uso: Trabajo de campo y trabajo de laboratorio Uso: Trabajo de campo y trabajo de laboratorio compatibilidad: CDMA, TDMA, IDEN, GSM. Garmin GPS compatibilidad: CDMA, TDMA, IDEN, GSM. Garmin GPS 973 modelos. Extracción lógica 973 modelos. Extracción lógica Conjunto de cables, asistido con soft propio. Conjunto de cables, asistido con soft propio. http://www.msab.com/en/mobile-forensic-products/XRY-Mobile-Version- Forensic-Software/

53 Software uso personal no forense Motorola Phone Tools – Aplicación para conectar a Pc celular Motorola Uso: subir ringtones, fotos, videos, mandar SMS, sincronizar agenda, respaldo de contenido. compatibilidad: con unos 100 modelos, NO SOPORTA IDEN (i840, i870,..) Uso de cable o Bluetooth Plataforma: windows Nokia Pc Suite – Aplicación para conectar a Pc celular Nokia Uso: subir ringtones, fotos, videos, mandar SMS, sincronizar agenda, respaldo de contenido. compatibilidad: modelos Nokia Uso de cable o Bluetooth Plataforma: windows

54 Software uso personal no forense Sony Ericsson Pc Suite – Aplicación para conectar a Pc celular Sony Ericsson Uso: subir ringtones, fotos, videos, mandar SMS, editar imágenes, crear MMS. compatibilidad: modelos Sony Ericsson Uso de cable o Bluetooth Plataforma: windows ImTOO – conversor 3gp (videos originados en celulares) a AVI, MPEG Uso: convertir videos AVI y MPEG, VOB (DVD), DV caseros y ficheros MOV al formato 3GP. compatibilidad: Nokia, Motorola, Sony Ericsson Plataforma: windows Licencia de evaluación

55 Elementos necesarios para análisis de dispositivos móviles Banco de trabajo amplio. Bolsa de faraday para aislar dispositivo. Cargador de batería compatible en marca y modelo. Fuente de alimentación variable. Cables de datos para conexión dispositivo – Pc –software de uso forense. Receptor bluetooth y/o Irda, facilitan exploración y transferencia de archivos. Lupa con y sin fuente de iluminación, block anotador. Cámara de fotos para documentación visual. Computador con grabador de dvd y acceso a internet. Dispositivo de almacenamiento masivo.

56 Información que puede brindar un dispositivo móvil: Fecha y huso horario. U.T.C (Tiempo Universal Coordinado). Identificación I.M.E.I. y tarjeta S.I.M (abonado en prestataria). Solicitud de estadística de impacto de SIM´S en IMEI a prestataria. Agenda de contactos y de citas. Registros de llamadas recientes (perdidas, recibidas, hechas). Tracking con prestataria, ubicación de antenas. Registros de mensajes (recibidos, enviados). Fotografías, filmaciones, archivos conversaciones grabadas. Archivos de aplicaciones de escritorio para dispositivos móviles.

57 Cuerpos de mensajes en dispositivos de datos limitados : SMS de celular básico Mensaje 00 “Te dije que estoy con mi …, es decir,.,soloss,…mirando tele” De: 3511234567 (número de teléfono de emisor) 21:10fecha: (10/03/00) Datos claves para obtener el orígen Número de IMEI y tarjeta SIM del receptor Número de abonado emisor Fecha y hora del sms

58 Cuerpos de mensajes en dispositivos de datos limitados : Texto sms “mami a que hora vas a venir te estoy esperando” Remitente:+543511234567 Centro de mensajes:+541151740068 Enviado:10-03-200018:19:33 Datos claves para obtener el orígen Número de IMEI y tarjeta SIM del receptor Número de abonado emisor Fecha y hora del sms

59 Cuerpos de mensajes en dispositivos de datos limitados : Texto: Estoy en casa….esperando… que vengas Remitente: 3511234567 moni Enviado: 16:53:5224/10/2000 Datos claves para obtener el orígen Número de IMEI y tarjeta SIM del receptor Número de abonado emisor Fecha y hora del sms

60 Tarjeta SIM SMS 01: 54079000801 03511234567 fecha y hora (28-09-06 21:26:59 ) Veni que estoy aqui Datos claves para obtener el orígen Número de tarjeta SIM del receptor Número de abonado emisor Fecha y hora del sms

61 SMS recibido en dispositivo móvil, utilizando servicio de internet (prestataria o sitios públicos) “@detoke.com.ar:” “(yy) siempre te dijimos” Remitente: 6245 (servicio de internet) Enviado: Hora (22:15:23) Fecha: (10/03/2000) Datos claves para obtener el origen Número de IMEI y tarjeta SIM del receptor Servicio por el cual se ingreso el SMS Fecha y hora del sms Solicitar verificación de fecha y hora a la empresa prestataria de servicios de telefonía móvil y posibilidad de obtener IP de emisor Con el IP del emisor se deberá requerir a la empresa proveedora de servicio la localización física del mismo

62 Cuerpos de mensajes en dispositivos tipo smartphone Número: +5493511234567 Nombre (si esta en agenda) Fecha y hora: 20/03/200010:03:20 (GMT -3) caso Argentina Estado: enviado, recibido, almacenamiento (teléfono o sim) Tipo: saliente, entrante TEXTO – TEXTO Datos claves para obtener el origen Número de IMEI y tarjeta SIM del receptor Número de abonado emisor Fecha y hora del sms

63 ¿Cómo se debería solicitar? Dispositivos Móviles “…establecer la actividad de llamadas (recibidas, realizadas, perdidas), mensajes de texto (enviados, recibidos) en fecha ‘dd/mm/aaaa’ entre las ‘hh1:mm1’ y ‘hh2:mm2’…” -”… aportar imágenes digitales, filmaciones, en fecha ‘dd/mm/aaaa’ entre las ‘hh1:mm1’ y ‘hh2:mm2’…”

64 P REGUNTAS 64

65 Ing. Gustavo J. Guayanes [email protected] Ing. Arsenio A. Cardone: [email protected] [email protected] C ONTACTOS 65