Análisis Forense de Dispositivos iOS – Fase de Informes


Esta es la ultima entrega de la serie “Análisis Forense de Dispositivos iOS”, una iniciativa de La Comunidad DragonJAR que pretende aportar un poco de documentación en español sobre las metodologías y procedimientos forenses necesarios para llevar a cabo el análisis de un dispositivo móvil con sistema operativo iOS de Apple  (iPhone, iPad, iPod Touch, etc…).

Analisis Forense de iOS Análisis Forense de Dispositivos iOS – Fase de Informes

En la entrega anterior  de esta serie, comentábamos los procesos de análisis, se enumeraron algunos de los archivos mas importantes de los cuales podemos extraer información útil para nuestra investigación, también vimos el funcionamiento de las herramientas que permiten automatizar estos procesos y algunas herramientas adicionales que nos pueden ayudar en estos procesos.

El paso a seguir en nuestro análisis forense de dispositivos iOS, como lo indica el diagrama, es la fase de informes, en la cual debemos generar los informes que sustenten toda nuestra investigación, el producto final de un análisis forense son los informes tanto ejecutivo (con lenguaje común que explican puntualmente lo sucedido) como técnico (donde se detalla técnicamente los procesos realizados de tal forma que cualquiera pueda replicarlos), recordemos que en nuestra tarea como analistas no es realizar acusaciones, ya que esta es la tarea de los jueces o en su defecto de la persona que contrató el análisis, solo debemos proporcionar toda la información necesaria para puedan tomar una decisión acertada.

Analisis Forense de iOS 1 Análisis Forense de Dispositivos iOS – Fase de Informes

Análisis Forense de Dispositivos iOS – Fase de Informes

En esta fase se debe iniciar la organización de la información, para poder escribir los informes que sustentarán las pruebas en un proceso legal, para esto básicamente debemos tener en cuenta los siguientes pasos:

  • Recopilar y Organizar: En esta etapa retomamos toda la documentación generada en las fases anteriores, las notas, las bitácoras, los anexos y cualquier otra información generada, después identifiquemos lo mas importante y relevante para nuestra investigación, realizamos una lista de pruebas para presentar en el informe y unas conclusiones para ingresar en el.
  • Escribir el informe: Pasamos a escribir los informes, debemos tener en cuenta que tanto el informe debe tener los siguientes parámetros:
    • Propósito: Todo informe tiene que tener definido de forma clara cual es su propósito, a que publico va dirigido y cual es su objetivo.
    • Autor/Autores: En el informe debe estar detallado quien es el autor o autores de la investigación, cual fue su labor durante la investigación ademas de su responsabilidad en la misma y por ultimo debe tener la información de contacto para que puedan ubicarlos en caso de que sea necesario.
    • Resumen de Incidentes: Se debe explicar el incidente y su impacto, de forma concisa, escrita de tal manera que una persona sin conocimientos técnicos, como un juez o jurado pueda entender lo sucedido y cómo ocurrió.
    • Pruebas: Debes proporción una descripción de las pruebas adquiridas durante la investigación, las evidencias, cómo fueron adquiridas y quien las adquirió.
    • Detalles:  Debemos proporcionar una descripción detallada de lo que se analizó, los métodos que se utilizaron, explicar los resultados del análisis, listar los procedimientos que se llevaron a cabo durante la investigación y las técnicas de análisis que se utilizaron, también se deben incluir pruebas de sus resultados, los informes de servicios y las entradas de registro/logs del sistema.
    • Justificar: Cada conclusión que se extrae del análisis debe estar justificada, debemos adjuntar documentos justificativos que incluya cualquier información de antecedentes a que se refiere en todo el informe, tales como documentos que describen los procedimientos de investigación de equipos usados, panorama general de las tecnologías que intervienen en la investigación. Es importante que los documentos justificativos proporcionen información suficiente para que el lector del informe pueda comprender el incidente tanto como sea posible.
    • Conclusión: Las conclusiones deben ser lo más claras posibles y sin ambigüedades, en ellas debemos resumir los resultados de la investigación, debemos ser específicos y citar pruebas concretas para demostrar las conclusiones, pero sin dar muchos detalles sobre ellos para no ser redundantes  (ya que esta información esta en la sección “Detalles”).
    • Glosario: Se debe considerar la creación de un glosario de términos utilizados en el informe, este glosario es especialmente valioso si el organismo de aplicación de la ley no está bien informado sobre cuestiones técnicas o cuando un juez, jurado debe revisar los documentos.
  • El informe ejecutivo: Debe ser claro, conciso y no debe contener lenguaje técnico, por el contrario debe ser escrito para la gente del común ya que por lo general va dirigido a gerentes, jueces que poco están relacionados con la informática en general y los términos ingenieriles que solemos utilizar.
  • El informe técnico: Este informe contrario al informe ejecutivo, va dirigido por lo general al departamento de sistemas u otros investigadores forense, por tanto debemos detallar todos los procedimientos realizados, debemos utilizar información técnica que permita a cualquier persona que siga esos pasos conseguir los mismos resultados que conseguimos nosotros.

Análisis Forense de Dispositivos iOS – Fase de Informes – Parte técnica

Los procedimientos realizados en la etapa de informes, son tramites que poco tienen que ver con procesos técnicos, sino mas bien documentales, debemos recopilar y organizar la información para después escribir los informes requeridos; Realizar estos informes por primera vez es algo laborioso, por eso siempre es bueno contar con documentos de referencia para realizar nuestros informes y tener una base sobre la cual partir en vez de empezar de cero.

Por tal motivo les dejo algunas buenos informes forenses de nuestros pasados retos, para que te bases en ellos y generar los tuyos, te recomiendo leerlos todos ya que se complementan entre si y puedes sacar una idea mas general de como presentar los informes de un análisis forense:

Informes de nuestro primer reto sobre análisis forense:

Informes de nuestro segundo reto sobre análisis forense:

Informes de nuestro tercer reto sobre análisis forense:

Los informes del tercer reto forense realizado por la RedIRIS (España) y UNAM-CERT (México) no tienen ningún pierde y representan una buena referencia para aprender a realizar un informe forense.

Lugar Nombre(s) Reporte Ejecutivo Reporte Técnico País
1 Germán Martín Boizas r3_ejecutivo1.pdf r3_tecnico1.pdf España
2 José Antonio Valero r3_ejecutivo2.doc r3_tecnico2.doc España
3 Juan Ángel Hurtado r3_ejecutivo3.pdf r3_tecnico3.pdf México
4 Fernando Gozalo r3_ejecutivo4.pdf r3_tecnico4.pdf España
5 Juan Garrido Caballero r3_ejecutivo5.pdf r3_tecnico5.pdf España
6 José Salvador González r3_ejecutivo6.pdf r3_tecnico6.pdf México
7 Hugo Eduardo Escobedo r3_ejecutivo7.doc r3_tecnico7.doc México
8 Rubén Recabarrén
Rossana Ludeña
Leandro Leoncini
r3_ejecutivo8.doc r3_tecnico8.doc Vene

Los informes de nuestro cuarto reto realizado para la Campus Party Colombia 2011, no se publicarán vía web (a petición de la CP), nuestro cuarto reto forense llamado “Analiza un iPad y GANATELO” lo realizaremos en el transcurso de la EKOParty 2011 y los analistas se enfrentarán precisamente al Análisis Forense de Dispositivos iOS para ganar un iPad, si deseas participar en este reto y no sabes nada sobre forense en iOS, tendremos también un workshop sobre esta temática de forma gratuita, para tener una buena cantidad de participantes en nuestro reto.

Este articulo hace parte de una serie titulada Análisis Forense de Dispositivos iOS, conformada por cuatro entregas:


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Co-Fundador del ACK Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo