Adquisición y análisis de evidencias en la nube

Tiempo de lectura estimado: 6 minutos

Esta conferencia magistral pertenece al Módulo 10 “Análisis forense. Malware y técnicas de ocultación” de C1b3rWall Academy 2021/2022. El objetivo de la misma es mostrar de manera práctica el proceso de adquisición de evidencias en la nube.

Diferentes tipos de adquisición

Por un lado contamos con los datos públicos y los datos privados de la nube. A los públicos podemos acceder prácticamente sin permisos y desde cualquier lugar; a los privados es mucho más difícil acceder, como, por ejemplo, mensajes o correos entre usuarios.

Veremos tres herramientas útiles: UFED Cloud, Oxygen Forensics y Magnet Forensics

• UFED Cloud: Tiene dos tipos de adquisiciones: extractor de la fuente pública y privada.
• Oxygen Forensics: Trabaja con cuentas privadas y nos ofrece una gran cantidad de servicios para extraer muchos datos. 
• Magnet Axiom: Parecido a UFED, tenemos el perfil público y el privado.

En la masterclass en vídeo se muestran los ejemplos prácticos con detalle.

Cellebrite Physical Analyzer (UFED)

Gestionamos los avatares de cada red social y los validamos. En “Datos de la nube pública” extrae datos de Facebook, Instagram y Twitter; podemos buscar por ID, nombre de usuario, teléfono o email. Dicha información podemos descargarla por el intervalo de tiempo que deseemos.

En el caso de “Datos de la nube privada” tendremos que rellenar más información en la búsqueda. También es obligatorio adjuntar la autorización legal que tenemos para hacer la extracción.

Introducimos las credenciales o las importamos de un archivo .uccf. Si lo importamos, al llevar el token del teléfono puede que no nos pida la verificación de dos pasos al reconocer un dispositivo amigo. Para evitar que nos detecte que la ubicación de la IP es lejana se puede solucionar con una VPN que se encuentre cerca de donde se obtuvo el teléfono.

Validará las credenciales y nos permitirá filtrar por fechas. Aun así, tarda tiempo en extraer todo ya que se puede generar mucho contenido en redes sociales. Una vez extraído ya podemos analizar los datos.

Nos permite acotar aún más la búsqueda por fechas, buscar por emojis, nos indica el autor… Dependiendo del servicio del que los hayamos extraído las opciones pueden variar. También podemos hacer adquisiciones en cascada y ver si otras cuentas que se cruzan en la investigación son relevantes.

Oxygen Forensics

Al igual que antes, rellenamos los datos de la persona antes de proceder a la extracción. También podemos acceder con contraseña o con token y validar cada servicio. Una vez extraído lo pasamos por el analizador de la herramienta y nos muestra toda la información respectiva a cada publicación, mensaje, correo…

Magnet Axiom

También tenemos diferentes plataformas y la opción de sacar datos públicos o privados. Generamos el perfil del caso y seleccionamos en el menú la configuración de cada adquisición, y en el otro menú la fuente de la evidencia.

Ingresamos con un perfil para la adquisición pública y seleccionamos el perfil al que queremos acceder. Como siempre, podemos filtrar por fecha y por qué material queremos extraer.

En ocasiones las propias plataformas cambian aspectos de la seguridad por lo que se nos puede desactivar o complicar el acceso a algunas cuentas.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.

Ponente: Alberto Castro

Perito informático en OnRetrieval, responsable técnico del área forense y de ciberseguridad de recuperación de datos.