Juan Manuel Martínez Alcalá, profesor del Máster Indra en Ciberseguridad de U-tad y experto en Digital Forensics, impartirá una conferencia sobre ‘Extracción de evidencias en dispositivos Android’ en Mundo Hacker Academy, evento que tendrá lugar el 19 de octubre en MEEU (Espacio Filme), Madrid. Su ponencia será a las 15h00 en la Sala 1. Nuestro profesor Eduardo Arriols también estará en este encuentro dando una conferencia sobre ‘Elevación de privilegios y movimiento lateral en ejercicios Red Team’, en el Auditorio a las 10h30.
Este viernes Juan Manuel Martínez Alcalá estará en Mundo Hacker Academy dando una conferencia sobre extracción de evidencias en dispositivos Android. Martínez Alcalá es especialista en Digital Forensics en IhackLab y profesor del Máster Indra en Ciberseguridad en U-tad. Hemos hablado con él para saber en qué consistirá su charla.
¿Qué vas a explicar el viernes?
La charla consistirá en explicar las principales técnicas de adquisición de evidencias en dispositivos Android. En otras palabras: cómo acceder a la información de un dispositivo. Cuando te entregan un dispositivo, un teléfono Android, ves que tiene unas contramedidas de seguridad y que, para acceder a su información, extraerla y que tenga validez judicial, hay que saltarlas.
Cuando haces un análisis forense y obtienes información luego se lo tienes que explicar a su señoría de tal manera que lo entienda y que sepa que ha sido la última de las técnicas que has utilizado, porque el procedimiento más intrusivo para obtener la información tiene que hacerse al final.
La problemática que tenemos en Android es que, como cada fabricante de cada modelo implementa una serie de medidas de seguridad, el abanico de técnicas que hay que emplear para obtener información es muy grande. Entonces, tienes que estar jugando con los distintos procedimientos para saber lo que tienes que hacer, con un orden, y luego dejarlo todo bien explicado, documentado y registrado por si el día de mañana el caso se va a judicializar.
La charla se centra en Android porque es muy novedoso y en mayo de 2017 había 2 billones de dispositivos con este sistema operativo. Hoy en día un dispositivo Android es un ordenador muy potente, con una capacidad de cómputo muy grande, donde se guarda muchísima información y es susceptible de analizarse en cualquier tipo de caso.
¿Qué proceso se sigue al extraer evidencias de un dispositivo?
Cuando se hace todo este procedimiento de extracción de datos lo primero que hay que hacer es incautar el dispositivo y seguir un procedimiento que luego te permita extraer la mayor cantidad de información posible. La fase de incautación es muy importante, porque en función de cómo te entreguen el terminal tú tienes que hacer una serie de pasos para que esas posibilidades de extraer la información del terminal aumenten.
Durante la charla haré un repaso general sobre la distinción entre ciertas marcas – como Samsung, Huawei, LG…- haré una suerte de ‘estado del arte’, de cómo se encuentran las técnicas de extracción de evidencias, de los modelos y contramedidas de seguridad. Si me da tiempo también enseñaré un pequeño caso forense donde iremos sacando artefactos e interpretándolos. Además, el dispositivo hay que protegerlo, conectarlo a alguna batería para que no se apague…etc.
¿Tú has participado en casos reales con fuerzas y cuerpos de seguridad del estado para intentar resolver algún caso o con algún cliente que haya necesitado tus servicios para presentar pruebas en un juicio?
En ambas situaciones.
¿Cómo se enfrenta una persona a ese trabajo y qué le lleva a alguien a trabajar en este sector?
Respecto a lo último, vista la cantidad de incidentes electrónicos que se espera que se vayan a producir, se necesitan expertos forenses digitales para poder cubrir la demanda de este tipo de profesionales. Hoy en día mucha gente de seguridad se decanta por esta rama de la ciberseguridad cuyo auge va a aumentar.
¿Cómo enfrentarte a estos casos? Depende del tipo de caso. Uno sencillo, por ejemplo, sería la certificación de los mensajes de WhatsApp: decir si el mensaje que está contenido en un dispositivo electrónico es verdadero o alguien lo ha manipulado, comprobar que nadie ha conectado ese dispositivo móvil al ordenador, ni lo ha modificado ni lo ha vuelto a guardar ni lo ha manipulado. Otro de los tipos de casos a los que me he enfrentado es a saltar las medidas de seguridad, es decir, saltar el patrón de bloqueo, el cifrado… Eso depende ya mucho de cómo te entreguen el teléfono y del objetivo de la investigación que se vaya a realizar.
La investigación también puede hacerse en un ordenador. Imagina que tenemos un trabajador en una compañía que creemos que le está pasando información a la competencia… pues en ese momento el trabajador tiene ordenador de la compañía para trabajar, seguramente tenga terminal móvil. Ya tienes dos fuentes de información para analizar y verificar si de verdad ocurre lo que sospechas.
¿Cuál es la mayor dificultad a la que te has enfrentado cuando has tenido que trabajar en algún caso de este tipo?
En determinadas situaciones lo primero que debes tener en cuenta con este tipo de dispositivos pueden necesitar un tratamiento especial, necesitarán una técnica de extracción más invasiva porque probablemente no funcione el conector USB, la pantalla esté rota… así que necesitas otras técnicas. Luego súmale que el dispositivo tal vez tiene bloqueo o está cifrado. Hay que jugar con todas las posibilidades para ver si se puede o no se puede extraer la información y eso es difícil.