Tipos de Evidencia

Varios tipos de evidencia digital pueden ser recuperados de una tarjeta SIM. La evidencia puede ser encontrada dispersa a través del sistema de archivos en varios Elementary Files ubicados por debajo del Master File, al igual que por debajo de los mismos Dedicated Files. Se puede identificar varias categorías de evidencia, como a continuación se mencionan, de acuerdo a lo expuesto por Rick Ayersy Wayne Jansen [18]:

Información Relativa al Servicio.

Información de Llamadas y Directorio Telefónico. Información de Mensajes.

Información de Ubicación.

A. Información Relativa al Servicio.

La información relativa al servicio se encuentra en el ICCID, IMSI, los cuales pueden ser usados para identificar al suscriptor y al operador de la red que provee el servicio telefónico, como ya se vio previamente

5 _{APDU es la unidad de comunicación existente entre la tarjeta SIM y el lector de ésta, existen 2 categorias:}

en los puntos 2.2.1. Características Físicas y 2.2.5. Información contenida en la tarjeta SIM.

El Mobile Station International Subscriber Directory Number (MSISDN) transporta el número telefónico asignado al suscriptor para recibir llamadas en el equipo móvil, a diferencia del ICCID y el IMSI, el

MSISDN es un Elementary File opcional. Si se encuentra presente, su valor puede ser actualizado (lo cual ya es una modificación) por el suscriptor, haciéndolo una fuente de información poco confiable, dada la posible inconsistencia con el número actual asignado.

El Elementary File, Service Provider Name (SPN) es un archivo opcional que contiene el nombre del proveedor del servicio. Si éste se encuentra presente, puede ser actualizado por el administrador. De igual manera, el Elementary File Service Dialling Numbers (SDN)

contiene números de servicios especiales tales como apoyo a usuarios y si se encuentra presente, puede ayudar a identificar en que red se encuentra registrada la tarjeta SIM.

B. Información de Llamadas y Directorio Telefónico.

El Elementary File Abbreviated Dialling Numbers (ADN) retiene una lista de nombres y números telefónicos introducidos por el suscriptor. El almacenamiento permite seleccionar los números telefónicos marcados más comunes, por nombre y actualizarlos o llamarles, usando un menú o botones especiales en el dispositivo móvil, ofreciendo una operación de directorio telefónico rudimentario. La mayoría de las tarjetas SIM proveen alrededor de 100 entradas para ADN.

El Elementary File Last Numbers Dialled (LND) contiene una lista de los números telefónicos más recientemente marcados por el

dispositivo. Un nombre puede estar asociado con una entrada y almacenada con un número. Si bien un número puede aparecer en la lista, la conexión puede no haber sido exitosa, solo se pudo haber tratado de un intento de conexión. La mayoría de las tarjetas SIM, proveen un número limitado para éstas entradas.

C. Información de Mensajes.

El envío de mensajes es un medio de comunicación en el cual los mensajes entrantes en un teléfono celular son enviados a otro vía la red telefónica móvil. El Elementary File Short Message Service (SMS) contiene texto y parámetros asociados para mensajes recibidos desde o enviados a la red o, son enviados como mensajes MS originados. Las entradas SMS contienen otra información además del texto mismo, tales como la hora en que un mensaje entrante fue enviado, al igual que la hora en la que fue registrado por la red telefónica móvil éste número, el número telefónico del remitente, la dirección del centro SMS y el estatus de la entrada. El estatus de la entrada puede ser marcado como espacio libre u ocupado por uno de los siguientes eventos:

a. Un mensaje recibido para ser leído.

b. Un mensaje recibido que ya ha sido leído. c. Un mensaje saliente para ser enviado.

d. Un mensaje saliente que ya ha sido enviado.

Los mensajes eliminados por medio de la interfaz del teléfono son a menudo simplemente marcados como espacios libres y retenidos en la SIM hasta que son sobrescritos. Cuando un mensaje nuevo es escrito en una entrada disponible, la parte que no se llegó a utilizar, es entonces rellenada, sobrescribiendo cualquier remanente de algún mensaje previo que pudiera estar ahí.

La capacidad de almacenamiento de mensajes varía dependiendo la tarjeta SIM. Muchos teléfonos celulares también hacen uso de su propia memora interna para el almacenamiento de mensajes de texto. La elección de la memoria en la que los mensajes serán almacenados, ya sea en la tarjeta SIM o la memoria del teléfono, puede variar dependiendo del software del equipo móvil y la configuración del usuario.

D. Información de Ubicación.

Una red GSM consiste de distintas células de radio usadas para establecer comunicación con los teléfonos móviles. Las células están agrupadas en áreas definidas para administrar las comunicaciones. Los Equipos Móviles mantienen un registro del área bajo la cual establecen comunicación de voz y datos.

El Elementary File, Location Information (LOCI) contiene la información de Location Area Information (LAI _– Información de la Ubicación del Área) para las comunicaciones de voz.

El LAI se compone del MCC6 y el MNC7 de la ubicación de área y el

Location Area Code (LAC _– Código de Ubicación de Área), el cual es un identificador para un grupo de células. Cuando el Equipo Móvil

es apagado, el LAI es retenido, haciendo posible determinar la ubicación general en donde el dispositivo estuvo operando al último. Dado que una ubicación de área puede contener cientos o más de células, la localidad puede ser bastante amplia. Sin embargo, puede ser de mucha ayuda estrechar la región en donde ocurrió el evento.

6 _{MCC= Mobile Country Code} 7 _MNC

Similarmente, el Elementary File GPRS Location Information (LOCIGPRS) contiene la Routing Area Information (RAI) para las comunicaciones de datos sobre el General Packet Radio Service

(GPRS - Servicio General de Paquete de Radio). El RAI se compone del MCC y el MNC del área de enrutamiento y el LAC (Location Area Code) al igual que el Routing Area Code (RAC), el cual es un identificador del enrutamiento de área en conjunto con el LAC. Las áreas de enrutamiento pueden ser definidas igual que las áreas de ubicación o pueden involucrar a unas pocas células, ofreciendo con esto una gran resolución.

Por otro lado, de acuerdo con Lars Wolleschensky en su trabajo de seminario para la Universidad Ruhr-Universität Bochum existen los siguientes tipos de evidencia [19]:

Libreta de direcciones. Registro de llamadas. Servicio de Mensajería. Calendario.

Otro tipo de medio. A. Libreta de direcciones.

La libreta de direcciones almacena información de contacto. Con la ayuda de ésta es posible obtener una vista al interior de la red social del usuario del Equipo Móvil. Se puede usar para relacionar a un Equipo Móvil con algún evento acaecido.

B. Registro de llamadas.

El registro de llamadas ofrece una visión interna más profunda de las actividades del propietario del Equipo Móvil antes de que la adquisición forense formal de la información del equipo se dé. Se pueden ver las últimas llamadas que entraron y salieron al igual que su duración.

C. Short Message Service.

Los mensajes SMS al igual que los de correo electrónico proporcionan información concreta en contraste con la que proporciona el registro de llamadas y la libreta de direcciones, los cuales solo proporcionan información indirecta. Estos mensajes pueden contener palabras escritas por el propietario del dispositivo o intenciones escritas.

D. Calendario.

El Calendario ofrece un vistazo a las actividades pasadas y planeadas del propietario del dispositivo. Puede ser usado para ligar o relacionar ciertas ubicaciones y tiempos al igual que para indicar posible atestiguamiento de eventos.

E. Otro tipo de medio.

Los teléfonos más nuevos pueden contener otro tipo de información también. La cámara, las imágenes o películas pueden contener evidencia, no solo en su contenido sino también en el formato, como lo es el Exchangeable Image Format, exif (formato con información extra incorporada).

Por ejemplo, de una fotografía se puede extraer la fecha y hora exacta en la que fue tomada y en algunos casos incluso la ubicación, puesto que algunos teléfonos cuentan con receptor GPS, este receptor puede almacenar información acerca de las ubicaciones y fechas independientemente de las aplicaciones que se estén ejecutando en el teléfono.