Tcnicas Forenses en Medios Inalmbricos

Por: Mauren Alies <m-alies@uniandes.edu.co>,

Sergio Garca <serg-gar@uniandes.edu.co>,
Fabin Molina <fa-molin@uniandes.edu.co>,
Juan Felipe Montoya <juan-mon@uniandes.edu.co>,
Maria Isabel Serrano <ma-serra@uniandes.edu.co>
Abril del 2002

Resumen

El aumento en el mercado de ofertas de

dispositivos de comunicacin mvil, como
porttiles, PDAs1 y equipos celulares, y el
deseo por parte de los usuarios de conectarse
de forma continua a la red sin necesidad de
cables, a ocasionado un incremento en la
demanda de acceso inalmbrico a redes de
informacin (Internet, LAN, etc).
Segn
Cisco Systems [1], el nmero de dispositivos
mviles para el ao 2003 superar el billn y
el mercado de las LANs inalmbricas o
WLAN2 o WLAN, se proyecta crecer a ms
de US$2 billones en el presente ao.

Con el advenimiento de Internet y de las

posibilidades de conexin por parte de
usuarios y empresas a informacin que se
encuentra localizada en cualquier parte del
mundo, los administradores de red se han
enfrentado al reto de mantener las redes de las
compaas por encima de los niveles de
seguridad requeridos por las mismas, en
cuanto al tipo de informacin que poseen. Al
generarse una ruptura de seguridad, se cuenta
con la ayuda de los investigadores forenses,
cuyo trabajo consiste no solo en conocer el
tipo de informacin que fue comprometida,
sino tambin los daos colaterales que se
pudieron ocasionar y si es posible, la persona o
personas que ocasionaron dicha ruptura.

Pero con los nuevos avances, llegan nuevas

vulnerabilidades que implican riesgos para las
personas y las compaas ante la posibilidad
de ver expuestos datos sensibles, transmitidos
por stos medios.

Los nuevos desarrollos tecnolgicos en

comunicaciones inalmbricas, han trado
consigo, no solo la creacin de nuevos
aspectos de seguridad que se deben tener en
cuenta al administrar una red, sino tambin un
incremento en las posibles formas como
personas inescrupulosas, pueden atacar o robar
informacin de una compaa, ocasionando
con esto adems, un aumento en el nmero de
sitios en los que los investigadores forenses
deben buscar recuperar la informacin
determinante al caso.

Este documento busca constituirse en una gua

para
administradores,
gerentes
e
investigadores forenses, que se enfrentan al
reto del analizar las ventajas, desventajas y
puntos crticos de una red inalmbrica. En l
se especifican algunas de las vulnerabilidades
que afectan dichas redes, la forma de evitarlas
y algunos de los pasos que se deben seguir al
realizar una investigacin forense sobre una
red que ha sido vulnerada.

Como lo menciona Casey, en su libro

Handbook of Computer Crime Investigation,
La evidencia digital en redes inalmbricas
puede estar relacionada a puntos como:

Palabras Clave:
Artculo, Inalmbrico, Movilidad, Internet,
Investigacin, Forense, Hackers, PDA,
Porttiles, celulares, WLAN, Herramientas.

1
2

Introduccin

Intencin de cometer Crimen

El crimen mismo
Discusin acerca de un crimen
completado
Hora y fecha en la que se cometi el
crimen

PDA: Personal Digital Assitant

WLAN: Wireless Local Area Network

frecuencias del espectro electromagntico,

para su funcionamiento, en el cual establecen
una conexin entre los dos puntos que
requieren iniciar una llamada, manteniendo
dicha conexin por la duracin de la misma
[2]. Un ejemplo especfico es la red de
telefona celular. Usualmente, estas redes
permiten la interconexin del usuario mvil a
la red de su empresa, a travs de Internet.

Lugar donde el crimen fue cometido

La localizacin del criminal cuando el
crimen fue cometido
La localizacin de la vctima en el
momento de cometerse el crimen
La locaclizacin del criminal despus
de que el crimen fuera cometido.
Es por esto, que se hace necesario por parte de
los investigadores forenses, un conocimiento
profundo de el funcionamiento de las redes
inalmbricas, y de los riesgos que ellas
enfrentan, para poder prestarle a las empresas,
servicios de soporte preventivo y correctivo
ante fallas de seguridad.

Y en el segundo grupo, se analizarn las redes

LAN inalmbricas (WLAN), usadas para
comunicacin de rea local, e implementada y
administrada directamente por la compaa
usuaria.
Esta divisin obedece a las
diferencias en su funcionamiento, en sus
componentes constitutivos, en el cubrimiento,
entre otras.

El documento se dividir en tres partes. En la

primera se especificarn la estructura, el
funcionamiento y las vulnerabilidades para las
redes inalmbricas basadas en conmutacin de
circuitos y para las WLANs, proporcionando
adicionalmente, informacin acerca de las
reas y tipos de evidencia que se pueden
encontrar en ellas.
Posteriormente, se
proveer informacin acerca de las
herramientas que existen en el mercado que
colaboran en las investigaciones forenses en
redes inalmbricas. Y finalmente, se
desarrollar un demo que soporte la teora
descrita.

2.1

Estructura y Funcionamiento.

Existen diferentes tecnologas de telefona

celular, como son [3]:
Primera Generacin: con sistemas de
conmutacin de circuitos anlogos,
como AMPS
Segunda Generacin: con sistemas de
conmutacin de circuitos digitales,
como GSM, IS-136, IS-95
Generacin
2.5:
Sistema
de
conmutacin de paquetes digitales,
como GPRS / EGPRS
Tercera Generacin: Sistema de
conmutacin de paquetes digitales,
como UMTS y cdma2000

Redes Inalmbricas basadas en

conmutacin de Circuitos

Como punto de partida al proceso de

investigacin forense en redes inalmbricas, es
necesario conocer la arquitectura de dichas
redes, entendiendo su arquitectura y
funcionamiento, de forma que se pueda
establecer el mapa de conectividad. Con este
fin, se dividirn las redes inalmbricas en dos
grupos; En el primero, redes inalmbricas
basadas en conmutacin de circuitos, se
incluyen las redes que requieren asignacin de

La figura 1, ilustra los principales

componentes de la arquitectura del sistema
TDMA (IS-95), comnmente empleado en
Colombia.

AUC
BTS
MS

BTS

PSTN

MSC

BTS
HLR

Mobile Station

Base Station Subsystem

VLR

Network Subsystem

Figura 1. Arquitectura del sistema TDMA [3]

2.1.1
Componentes
Como se muestra en la figura 1, algunos de los
componentes
de
la
redes
digitales
inalmbricas, basadas en conmutacin de de
circuitos incluyen [2], [3], [4]:

destino. Adicionalmente, permite la

interconexin
de
llamadas
entre
dispositivos propios de su red, con otras
redes como Internet, PSTN3 y otras redes
inalmbricas.
Para el caso de
interconexin con redes de datos, la
conexin se realiza va un IWF o
Interworking Function como por ejemplo
un ISP4 externo. El IWF es esencialmente
un banco de mdems y equipos que
desarrollan los protocolos de conversin
para conectar el MSC a otras redes de
datos.

1. MS: Mobile Station o estacin mvil, es el

dispositivo
mvil
utilizado
para
comunicarse con la red; por ejemplo,
telfonos celulares, mdems inalmbricos
para uso con porttiles, o equipos de mano
(handsets). Usualmente, los dispositivos
mviles cuentan con un nmero de
identificacin nica del equipo, que para
el caso de TDMA, corresponde al ESN
(Electronic Serial Number) impreso en la
parte
posterior
del
equipo.
Adicionalmente, para IS-95, el dispositivo
mvil incluye el nmero de telfono
(Mobile Identification Number: MIN) y
las llaves de autenticacin.

4. AUC: authentication Center o centro de

autenticacin, es usado durante el acceso
inicial a la red, para autenticar un usuario
(dispositivo mvil), disminuyendo las
posibilidades de fraude. Aqu se emplean
llaves de cifrado o encripcin, que
proporcionan un nivel de seguridad para el
subscriptor en las comunicaciones en el
radio enlace.

2. BTS: Base Transceiver Station o estacin

base, es el elemento de red que permite la
comunicacin entre las estaciones mviles
y la red alambrada. Se encarga de las
tareas de administracin del radio-enlace.
Esta compuesta por las antenas de
transmisin/recepcin, traductores de
seal y equipo de soporte. En el caso de
redes inalmbricas de alto trfico, se
cuenta adicionalmente con una estacin
base controladora (BSC), encargada de
manejar un grupo de estaciones base y de
efectuar las tareas de conmutacin de
llamadas entre las mismas (handoff),
escalando as la red hacia las MSC
(Mobile Switching Center). Usualmente la
comunicacin entre las BTS y la BSC es
de forma inalmbrica y en algunos casos,
no encriptada, convirtindose as en un
punto vulnerable.

5. HLR : Home Location Register, contiene

informacin del subscriptor, referente a
sus capacidades mviles contratadas (clase
de servicio), la identificacin de la unidad
mvil, la ubicacin actual de la misma ya
sea en el rea de cubrimiento de la red
proveedora o de otras redes celulares
(roaming),
la
informacin
de
autenticacin, el nombre de la cuenta y la
direccin de facturacin.
6. VLR: Visitor Location Register, almacena
informacin fsica, electrnica y de radio,
acerca de todos los usuarios que estn
actualmente autenticados dentro de una
red particular del MSC, utilizada en la
inicializacin de una llamada; dicha
informacin incluye la localizacin actual
del dispositivo mvil y el estado del
mismo (activo, en espera, etc.). Cuando un
usuario est cruzando hacia una nueva
MSC, la VLR correspondiente pedir
informacin a la HLR del suscriptor, para
crearle un registro. Al mismo tiempo, el
HLR actualizar su registro con el nombre
de la VLR a la que el suscriptor est
actualmente asociado. El registro de la

3. MSC: Mobile Switching Center o centro

de conmutacin mvil, determina la
asignacin de canales, realiza el proceso
de inicializacin de llamadas, decide la
necesidad de efectuar conmutacin de
llamadas entre BTS (handoff) basada en la
informacin de medidas de potencia
proporcionada por las estaciones base y
realiza el proceso de transmisin de
mensajes de paging a la estacin base

3
4

PSTN: Public Switched Telephone Network

ISP: Internet Service Provider

VLR asociada a la MSC abandonada, es

borrado, y se notifica dicho proceso a la
HLR.

roaming; en caso de no encontrarse en la

red propia, se genera una comunicacin
entre las redes de los dos operadores, de
forma que se transfiere informacin de
servicio desde el HLR del suscriptor hacia
el VLR de la red visitada. Por ltimo, el
HLR del suscriptor es actualizado con el
nombre de la VLR en la que el suscriptor
esta actualmente registrado, ya sea propia
o de una red externa. El anterior proceso
no slo se cumple durante el encendido
del dispositivo, sino tambin cada vez que
el mvil cambia de celda (la seal de
control entre el mvil y la estacin base
primaria es dbil o tiene bits errados) o
cuando un temporizador peridico en la
estacin mvil reinicia el proceso de
bsqueda y registro.

Otros componentes de la red inalmbrica

incluyen,
7. OMC: Operation and Maintenance Center
o Centro de operacin y administracin,
que realiza tareas administrativas como
obtener datos de la MSC para propositos
de facturacin y administra los datos de la
HLR. Adems, proporciona una visin
del estatus de operacin de la red, la
actividad de red y las alarmas. A travs de
ste, es posible examinar una o rastrear
una llamada mvil particular en progreso
(mbile trace).
8. SM-SC: Short Message Service Center o
centro de servicio de mensajes cortos
(mximo 160 caracteres por ejemplo),
permite el envo de mensajes SMS desde
un dispositivo mvil a otro, o desde un PC
a un dispositivo mvil. Usualmente stos
mensajes se envan sobre canales de
control, por lo que no requieren el
establecimiento de una llamada y por lo
tanto no utilizan canales de trfico.

2. Estado de espera: Una vez cumplido el

registro y autenticacin del MS en la red
inalmbrica, se entra en un estado de
espera en el que la estacin mvil
permanece en contacto con la estacin
base (al monitorear continuamente el canal
de control), de forma que pueda responder
en caso de una llamada entrante o que
pueda generar una llamada saliente (el
usuario la inicia). Adicionalmente, y
como se mencion anteriormente, en este
estado el dispositivo mvil escana
automticamente la red, en bsqueda de
una seal de control ms potente (cambio
de celda) o se vuelve a registrar con la red,
a solicitud de la misma, para actualizarla
con su rea de localizacin y dejarle saber
que an se encuentra encendido. As, si
alguien desea llamar al suscriptor, la red
difunde la llamada a todas las estaciones
base reportadas en el rea de localizacin
y espera la respuesta de aquella que
concuerde con el nmero de identificacin
incluido en la llamada; una vez recibida la
respuesta, se inicia la negociacin de la
llamada (asignacin de un canal de trfico
para intercambio de informacin).

2.1.2
Funcionamiento
Una breve descripcin del proceso que tiene
lugar en la red inalmbrica, desde el momento
en que se enciende el dispositivo mvil, hasta
cuando se activa para realizar una llamada y se
da por terminada la misma, se realizar a
continuacin, teniendo como base la
descripcin de los elementos de la red
inalmbrica realizada anteriormente. [2], [4].
1. Encendiendo el dispositivo mvil: Una
vez que el dispositivo mvil es encendido,
se entra en un estado de no-conversacin,
en el cual el equipo busca con la estacin
base ms cercana, la frecuencia de control
o inicializacin para poder registrarse y
autenticarse con la red e informarle a la
misma de su rea de localizacin. Para
ello, el MSC correspondiente a dicha rea,
informa al VLR del rea de localizacin
del dispositivo mvil que se ha reportado,
y a la vez, verifica si el equipo pertenece a
su propia red o se encuentra en estado de

3. Proceso de Registro: En el ejemplo

siguiente para redes GSM, se muestran
algunas de las transacciones que ocurren
durante el registro del MS con las redes
celulares digitales modernas, o sistemas

PCS5. Hay que notar que el proceso de

encripcin no se lleva a cabo durante todo
el proceso de registro en los sistemas IS136 y es opcional en el tiempo de llamada.
MS

BS

4. Inicializacin de llamadas: Una llamada

con destino el mvil, es ms demorada de
inicializar que una originada por el mvil,
puesto que es necesario que el sistema
divulgue en el rea de localizacin
conocida del mvil, un llamado en busca
de la localizacin exacta del mismo. Una
vez establecida comunicacin entre la MS
y la BS, se generan registros temporales
en el MSC indicando dicha localizacin
(por mximo 72 horas, dependiendo del
operador de red) y se actualizan los datos
de el HLR y de los registros de facturas
(incluye
los
nmeros
telefnicos
transmisores y receptores, la hora de la
llamada y duracin de la tarifa, entre
otros). Es posible conocer una ubicacin
aproximada del mvil (100 metros a la
redonda, segn la tecnologa empleada),
durante el tiempo en que la llamada este
en progreso; esta es una caracterstica que
aprovechan los servicios basados en
ubicacin (durante el proceso de registro
normal, repetido o forzado, se puede
conocer
tambin
la
localizacin
aproximada del mvil, segn los acuerdos
entre el operador, el usuario y otras
empresas).

Mensaje
Solicitud de Canal
Asignacin de canal
(portadora, spot, etc.)
Solicita actualizacin de
localizacin (enva IMSI6)
Autentica solicitud
Autentica la respuesta
Solicita entrar en modo
cifrado
Reconoce modo cifrado7
Confirma actualizacin y
asigna TMSI8.
Acepta (Ack)
Libera el canal

5. Recepcin de mensajes cortos (SMS:

Short Messanging Service): con este
servicio, un suscriptor puede intercambiar
mensajes
alfanumricos
entre
el
dispositivo mvil, la red inalmbrica y
cualquier dispositivo capaz de enviar o
recibir mensajes (otro mvil o un
computador). Si el mvil esta reportado
como inactivo en el HLR, y dependiendo
del contrato existente con el suscriptor, los
mensajes pueden ser almacenados cierto
tiempo por la red, en el centro de servicio
de mensajes cortos (SM-SC), de forma
que se garantice la entrega al suscriptor.
Usualmente, la entrega de mensajes cortos
no requiere la asignacin de canales de
trfico (se hacen por el canal de control),
luego no se genera reporte de facturacin,
aunque si se debe realizar el proceso de
ubicacin del MS y actualizacin del VLR
y del HLR.

En GSM, cuando el modo de cifrado es

establecido, se acuerda una llave de
cifrado entre el mvil y la estacin base
(CKSN: Ciphering Key Sequence
Number). En contactos posteriores, el MS
enva un mensaje con el CKSN a la
estacin base, quien lo compara con el
valor que tiene almacenado, evitando as
que el proceso deba repetirse nuevamente
(si las llaves corresponden), al querer
enviar mensajes. Es importante notar que
tanto en GSM, como en IS-95 e IS-136,
existen durante la comunicacin, mensajes
que no se encuentran cifrados y que
pueden ser capturados para emplearlos en
la clonacin de celulares.
5

PCS: Personal Communication System

IMSI: Internacional Mobile Suscriber
Identity.
7
Mensajes en azul negrilla, estn encriptados.
8
TMSI: Temporary Mobile Suscriber Identity.
6

6. Envo de datos o faxes: Adicional al

servicio de voz, los sistemas celulares

digitales proporcionan el servicio de

circuitos conmutados de datos y FAX, que
permiten al suscriptor el envo de datos
por la red inalmbrica, empleando para
ello adaptadores especiales conectados o
incorporados a la MS, que se encargan de
la traduccin de seales 9. Actualmente
este servicio es ofrecido a velocidades de
22.4 kbps para GSM y 13 kbps para IS136, lo que limita las transmisiones de
imgenes o video.
Se espera que las redes inalmbricas de
tercera generacin, permitan a los
dispositivos mviles permanecer en un
estado de siempre encendido y
conectado a la red, listo para enviar o
recibir datos cuando sea necesario y con la
capacidad de distribuir el ancho de banda
de
forma
dinmica
segn
los
requerimientos. Esto ocasionara, en
cuanto a las investigaciones forenses, que
nuevos elementos de red deban ser
monitoreados
en
bsqueda
de
informacin, incluyendo dispositivos de
las redes alambradas como enrutadores,
que la bsqueda y localizacin de los
dispositivos mviles pueda ser ms
aproximada y que se puedan implementar
opciones para la intercepcin legal de
suscriptores, por parte del personal de la
fuerza pblica.

informacin de ubicacin es voltil en el

tiempo, dependiendo en muchos casos de
la batera del dispositivo.
Una vez se cuenta con el conocimiento bsico
de la estructura y el funcionamiento de las
redes inalmbricas, se puede proseguir en el
anlisis forense, con la bsqueda e incautacin
de evidencia y con el descubrimiento de
informacin dentro de un caso de
investigacin forense [5].
Para ello, se
indicar a continuacin el tipo de informacin
que almacena cada elemento en la red
inalmbrica y las vulnerabilidades que
contiene la misma.
2.2

Tipo de Informacin que contiene la

red y se encuentra en cada elemento.

En el caso de que se presente un incidente y

sea necesario llevar a cabo una investigacin o
para realizar auditorias en el sistema, se
requiere un previo conocimiento de dnde ir a
buscar la informacin requerida.
En una red inalmbrica de circuitos
conmutados la informacin se encuentra
distribuida, generalmente en tres reas: las
estaciones mviles y/o equipos en dnde se
encuentren conectados, los componentes que
conforman la red y, en algunos casos, las redes
a las que se acceden a travs de la red
inalmbrica.

7. Servicios basados en localizacin: Las

tecnologas de posicionamiento de equipos
permiten calcular la ubicacin y direccin
(si est en movimiento) de un suscriptor
con cierto grado de exactitud (usualmente
en un rango de 100 metros). Basado en
ello, los operadores pueden ofrecer a los
suscriptores,
servicios
basados
en
localizacin, como ofertas publicitarias
cercanas, informacin de trfico, de clima,
servicios de emergencia (911), etc. En
ste ltimo caso, el operador puede ayudar
en el proceso de socorrer a una vctima, al
proporcionar su ubicacin aproximada.
Hay que tener en cuenta que la

No est de ms recordar que el tiempo es una

variable esencial en la recoleccin de la
informacin, debido a los niveles de
volatilidad de la misma.
2.2.1

Estacin Mvil [2][35]

Las estaciones mviles pueden contener

evidencia asociada a las actividades del titular,
que puede estar siendo investigado. Se debe
evitar utilizar el aparato. Si es necesario
accederlo, todas las acciones asociadas con la
manipulacin del aparato deben ser
documentadas en orden y, adems, mantener el
documento de la cadena de custodia, para
pueda ser admitido en un juicio como prueba.

Los sistemas modernos (GPRS, CDPD,

CDMA2000, etc), se estn habilitando para
realizan conmutacin de paquetes, de forma
que emplean un enlace de radio compartido
por muchos usuarios, para las comunicaciones
de datos.

Algunas estaciones mviles incluyen la

funcionalidad de ser conectadas a otros

equipos, como porttiles y handheld (Palm o

Pocket PC). En estos equipos es factible
encontrar informacin como fechas, horas,
logs de sesin, contactos, entre otros. Por
ejemplo, al utilizar un mdem inalmbrico en
un porttil para conectarse a travs de una red
inalmbrica a otras redes de computadores, en
este ltimo reside informacin de la sesin con
la nueva red, nmero marcados para realizar la
conexin, etc. Esta informacin resulta til
para relacionar los eventos ocurridos en las
redes involucradas y los pasos realizados por
el usuario e informacin de sus actividades.

Apagarlo puede activar la opcin de

bloqueo.

Escriba toda la informacin en el

display del aparato, fotografelo si es
posible.

Verificar la carga antes de

transportarlo, recargarlo.
Si el aparato est apagado (OFF), djelo
apagado (OFF)
Encenderlo podra alterar la evidencia
en el aparato, al igual que en los
computadores.
Si no es un experto, llvelo a uno para
que realice el anlisis.
Es recomendable tener los manuales
correspondientes al aparato.

Por otro lado se encuentran la informacin en

las estaciones mviles. Dependiendo del tipo,
las estaciones mviles manejarn diferentes
datos que pueden resultar muy tiles al
momento de la investigacin. La informacin
es almacenada en la memoria de estos equipos,
alguna de ella es voltil. Evidencia potencial
encontrada en los equipos, dependiendo de su
funcionalidad,
se
descubren
llamadas
realizadas, recibidas y perdidas, listas de
telfonos, nmeros de marcado rpido,
informacin de acceso a Internet o e-mail,
calendario de citas, lenguaje preferido, nmero
de tarjetas prepagadas.

2.2.2

Componentes de la red [36][2]

Para la recoleccin y anlisis de informacin

en esta rea necesita un profundo
conocimiento de las redes inalmbricas, los
radio-enlaces, experticia en mtodos forenses.
Cada uno de los elementos que componen la
red son la ms valiosa fuente de informacin si
estn configurados para que registren los
eventos o existen herramientas o mecanismos
que lo hagan.

Otra informacin que se almacena en la

memoria es la llave de cifrado, nmero PIN
(Person Identification Number), IMSI y el
nmero del telfono. Con estos datos se
pueden obtener fcilmente la identificacin del
suscriptor (posiblemente el dueo del aparato),
ubicacin de dnde se hicieron las ltimas
llamadas, hacer un rastreo del suscriptor con
la
informacin
almacenada
en
los
componentes de la red inalmbrica.

Es de especial cuidado el tiempo; un da ms

en la recoleccin de la informacin puede
afectar toda la investigacin. El volumen de
los logs que generan los elementos de una red
crece a gran velocidad, por lo que la
informacin es almacenada a corto, mediano y
largo tiempo. Es necesario que los
administradores de la red definan los datos y el
tiempo que se van a mantener almacenados.
Otro aspecto delicado son las implicaciones
legales, se debe ser cuidadoso con la
informacin que se est monitoreando y
registrando. Esta informacin pertenece a los
usuarios y debera ser privada.

Los mensajes SMS ofrecen otra fuente de

informacin, generalmente en los equipos
mviles guardan los mensajes de entrada y los
enviados.
Existen herramientas en el mercado
especializada en la extraccin de la evidencia
de las estaciones mviles.

La informacin que se encuentra en una red

inalmbrica de circuitos virtuales se puede
encontrar encriptada en ciertos sectores, la
cual debe ser procesada para su posterior
interpretacin.

Reglas On/Off:
Si el aparato est encendido (ON), no
apagarlo (OFF)

Dependiendo de las caractersticas de los SBSC, como la capacidad de almacenamiento y/o

algn mecanismo de vaciado en disco (en otro

equipo), es posible mantener los mensajes
SMS por un corto periodo de tiempo para su
posterior recoleccin y anlisis. En este
componente se encuentran los mensajes que no
han sido recuperados por el suscriptor,
convirtindose en informacin potencial para
la investigacin.

de varios aos, dependiendo de las polticas de

la operadora.
Un aspecto importante en este proceso es la
facturacin de las llamadas que afectan varias
redes, por ejemplo el roaming. Se genera un
CDR en el primer MSC que recibe la llamada
y otro por cada MSC que pasa perteneciente a
otras operadoras.

Elementos como HLR, VLR, AuC contienen

informacin relevante al suscriptor. Se pueden
relacionar el contenido o la informacin que
generan estos componentes, relacionarla con
los valores de las estaciones mviles
encontradas y/o analizadas
y hacer el
seguimiento. Estos elementos y el resto dentro
de la red (MSC, BTS, etc) deben estar
conectados a un OMC o a un servidor para la
recoleccin de los datos de cada uno y reportar
eventos anormales y alarmas. Un operador
OMC o el servidor designado puede almacenar
estadsticas del sistema, informacin en tiempo
real de las actividades de un suscriptor,
conocer la ubicacin de este (los sitios dnde y
dnde no el aparato funciona) puede ser muy
til para la investigacin.

De los registros de facturacin se pueden

obtener patrones de comportamiento de los
usuarios, hacer seguimiento a las llamadas y
en que rea las realiza.
Registros de Fraudes:
El sistema que maneja las posibles actividades
fraudulentas, tambin recibe los CDR, los
analiza para detectar patrones inusuales o poco
normales en los suscriptores, como el nmero
de telfonos a los que usualmente marca
(menos de 20 nmeros) y el rea donde se
realizan las llamadas. De esta forma los
registros que indiquen comportamientos
extraos son retenidos y almacenados.
Registros de Seguridad:
Son recolectados en caso de requerimientos
solicitados
especialmente
por
ciertos
organismos, como entidades oficiales, polica,
o cualquier otra entidad competente
legalmente para hacerlo. Se debe supervisar
las acciones que se realicen en la recoleccin y
manejo y eliminacin de la informacin. Una
vez terminado el proceso de investigacin y
entregada la informacin requerida, este debe
ser borrada.

La mayora de la informacin es generada por

los MSC y otra informacin valiosa est
recopilada en los componentes conectados a
ellos.
La informacin es enviada a un sistema en
para analizar la informacin, la procesan y por
ltimo la registran. Esta informacin es
recolectada por cualquier operadora de
servicios de telefona celular y conforman una
buena fuente de datos. La informacin es
organizada en registros, en los que se incluyen
los registros de facturas, de fraudes, de
seguridad y de datos de operacin,
principalmente,

Registros de Datos de Operacin:

Son los registros de ms bajo nivel de
desagregacin, describen los detalles de las
operaciones en la red. Estos registros
contienen campos como intento de llamada al
telfono del suscriptor, si el intento fue
exitoso, si la llamada termin normal o
abruptamente, fecha y hora de la llamada,
potencia de la seal entre el aparato mvil y el
BTS, el sitio de la clula dnde fue realizada la
llamada, el canal utilizado, y mucha ms
informacin dependiendo del sistema [2].

Registros de Facturacin:
Los registros de facturacin CDR (Charging
Detail Records) son enviados al sistema que
maneja la facturacin en un dispositivo
externo. Estos registros contienen informacin
para cada llamada realizada como nmero que
se llam, el da de la llamada, duracin, entre
otros [2], organizados por clientes para efectos
de facturacin. Estos registros son archivados
y estn disponibles en un periodo aproximado

Tales niveles de detalle producen un alto

crecimiento en el espacio de almacenamiento,

ocasionando volatilidad de la informacin,

debido a que no puede estar siempre
almacenada y disponible. De aqu la fragilidad
del procedimiento, se necesita una rpida
reaccin del investigador, el tiempo es oro.
2.2.3
Redes visitadas

Tambin se hace importante el uso de este tipo

de redes con la implementacin de los nuevos
dispositivos porttiles con extensiones de
interconexin a WLANs. Actualmente este
mercado est teniendo gran aceptacin por
muchos motivos, como ser la movilidad, el
bajo costo y la facilidad de uso.

En algunas ocasiones cuando el usuario utiliza

estaciones mviles para conectarse a otras
redes, mucha de la informacin se encontrar
en estas. Esto tambin sucede, por ejemplo, en
las redes de telefona inalmbrica en caso de
roaming.

De todo esto, es claro que la tecnologa

inalmbrica (wireless) dar mucho que hablar
y cambiar la forma de acceder a la
informacin. Actualmente es necesario
sentarse frente a una computadora o una
mquina esttica dedicada a esta tarea. En un
futuro (ser hoy?) a dems de escuchar el
walkman se podrn leer las noticias, leer el
correo electrnico o configurar el servidor de
la empresa directamente desde una PDA o un
celular. [6]

La informacin en esta rea es, quizs, la ms

complicada de obtener, debido a que la red
visitada puede estar en otra ciudad, en otro
pas, adems de la distancia, existen obstculos
como la disponibilidad de la informacin por
falta de contacto entre las partes involucradas
(redes accedidas y la red en cuestin).

3.1

Tecnologa WLAN

Segn el diseo requerido se tienen distintas

tecnologas aplicables: [13]

Redes Inalmbricas de rea

Local o WLAN

WLAN son las siglas en ingls de Wireless

Local Area Network. Es un sistema de
comunicacin de datos flexible muy utilizado
como alternativa a la LAN cableada o como
una extensin de sta. Utiliza tecnologa de
radio frecuencia que permite mayor movilidad
a los usuarios al minimizarse las conexiones
cableadas. [6]
Una LAN inalmbrica es un sistema de
comunicacin flexible y dinmico que
transmite y recibe informacin por el aire.

Banda estrecha: Se transmite y recibe

en una especfica banda de frecuencia
lo ms estrecha posible para el paso
de informacin. Los usuarios tienen
distintas frecuencias de comunicacin
de modo que se evitan las
interferencias. As mismo un filtro en
el receptor de radio se encarga de
dejar pasar nicamente la seal
esperada en la frecuencia asignada.

Banda ancha: Es el usado por la

mayor parte de los sistemas sin cable.
Fue desarrollado por los militares
para una comunicacin segura, fiable
y en misiones crticas. Se consume
ms ancho de banda pero la seal es
ms fcil de detectar. El receptor
conoce los parmetros de la seal que
se ha difundido. En caso de no estar
en la correcta frecuencia el receptor,
la seal aparece como ruido de fondo.

Infrarrojos: No es una tcnica muy

usada, donde se usan frecuencias muy
altas para el transporte de datos.
Como la luz, los infrarrojos no
pueden traspasar objetos opacos.

Por lo general, las redes inalmbricas hacen

parte de redes ms grandes fijas (Cableadas).
Los Puntos de Acceso (AP) actan como
interfaz para la integracin con las redes LAN
cableadas. Las estaciones inalmbricas poseen
tarjetas de red (NIC) que funcionan como
interfaz entre las estaciones y los APs a travs
de transmisiones de frecuencias de radio (RF).
[7]
Cada da se reconocen ms este tipo de redes
en un amplio nmero de negocios y se augura
una gran extensin de las mismas y altas
ganancias.

Sistemas directos baratos se utilizan

en redes personales de rea reducida
y
ocasionalmente
en
LAN's
especficas.

3.3

Configuracin de WLANs

Pueden ser simples o complejas.

Se utilizan ondas de radio o infrarrojos para

llevar la informacin de un punto a otro sin
necesidad de un medio fsico. [6]

La ms bsica se da entre dos computadores

equipados con tarjetas adaptadoras para
WLAN, de modo que pueden poner en
funcionamiento una red independiente siempre
que estn dentro del rea que cubre cada uno.
Esto es llamado red de igual a igual o Punto Punto.

Las ondas de radio son normalmente referidas

a portadoras de radio ya que stas
nicamente realizan la funcin de llevar la
energa a un receptor remoto.

Cada cliente tendra nicamente acceso a los

recursos de otro cliente pero no a un servidor
central. Este tipo de redes no requiere
administracin o preconfiguracin. [7]

3.2

Funcionamiento

Los datos a transmitir se superponen a la

portadora de radio y de este modo pueden ser
extrados en el receptor final. Esto es llamado
modulacin de la portadora por la
informacin que est siendo transmitida.
Varias portadoras pueden existir en igual
tiempo y espacio sin interferir entre ellas, si las
ondas son transmitidas a distintas frecuencias
de radio. Para extraer los datos el receptor se
sita en una determinada frecuencia ignorando
el resto. En una configuracin tpica de LAN
sin cable, los puntos de acceso (transceiver)
conectan la red cableada de un lugar fijo
mediante cableado normalizado. El punto de
acceso recibe la informacin, la almacena y
transmite entre la WLAN y la LAN cableada.
Un nico punto de acceso puede soportar un
pequeo grupo de usuarios y puede funcionar
en un rango de al menos treinta metros y hasta
varios cientos.

Figura 2. Red Punto - Punto

Instalando un Punto de Acceso (APs) se puede
doblar el rango al cul los dispositivos pueden
comunicarse, pues actan como repetidores.
Una vez conectado el punto de acceso a la red
cableada, cualquier cliente tiene acceso a los
recursos del servidor y adems actan como
mediadores en el trfico de la red en la
vecindad ms inmediata. Cada punto de acceso
puede servir a varios clientes, segn la
naturaleza y nmero de transmisiones que
tienen lugar.
Los puntos de acceso tienen un rango finito,
del orden de 150m en lugares cerrados y 300m
en zonas abiertas. En zonas grandes como por
ejemplo un Campus Universitario o un edificio
es necesario ms de un punto de acceso. La
meta es cubrir el rea con clulas que solapen
sus reas de modo que los clientes puedan
moverse sin cortes entre un grupo de puntos de
acceso. Esto es llamado "Roaming". [6]

El punto de acceso (o la antena conectada al

punto de acceso) es normalmente colocado en
alto pero podra colocarse en cualquier lugar
en que se obtenga la cobertura de radio
deseada.
El usuario final accede a la red WLAN a
travs de adaptadores. Estos proporcionan una
interfaz entre el sistema operativo de red del
cliente (NOS: Network Operating System) y
las ondas, va una antena. La naturaleza de la
conexin sin cable es transparente al sistema
del cliente. [6] [8]

10

Figura 5. Uso de un Antenas de Direccin

Figura 3. Mltiples Puntos de Acceso
3.4

Para resolver problemas particulares de

topologa, el diseador de la red puede elegir
usar un Punto de Extensin (EPs) para
aumentar el nmero de puntos de acceso a la
red, de modo que funcionan como tales pero
no estn enganchados a la red cableada como
los puntos de acceso.

Ventajas de las WLANs

Es clara la alta dependencia en los negocios de

la actualidad de la redes de comunicacin. Por
ello la posibilidad de compartir informacin
sin que sea necesario buscar una conexin
fsica permite mayor movilidad y comodidad.
As mismo la red puede ser ms extensa sin
tener que mover o instalar cables.

Los puntos de extensin funcionan como su

nombre indica: extienden el rango de la red
retransmitiendo las seales de un cliente a un
punto de acceso o a otro punto de extensin.
Los puntos de extensin pueden encadenarse
para pasar mensajes entre un punto de acceso y
clientes lejanos de modo que se construye un
"puente" entre ambos. [6] [7]

Utilizando una WLAN se puede acceder a

informacin compartida sin necesidad de
buscar un lugar para enchufar el computador, y
los administradores de la red pueden poner a
punto o aumentar la red sin instalar o mover
cables. Veamos ms ampliamente sus
beneficios.
Frente a las redes tradicionales se tienen las
siguientes ventajas en cuanto a productividad,
comodidad y costes: [6] [13]

Movilidad: Permite el acceso a

informacin en tiempo real desde
cualquier lugar para todo usuario de
la
red.
Brindando
mayor
productividad y posibilidades de
servicio.

Facilidad de instalacin: Al evitar

obras para extensin de cables por
muros y techos.

Flexibilidad: Permite llegar donde el

cable no puede. Realizar cambios por
motivos de ergonoma o simplemente
decorativos sin necesidad de tener
que reestructurar o rehacer el
cableado.

Reduccin de costes: Cuando se dan

cambios frecuentes o el entorno es

Figura 4. Uso de un Punto de Extensin

Uno de los ltimos componentes a considerar
en el equipo de una WLAN es la Antena
Direccional. Por ejemplo: se quiere una LAN
sin cable a otro edificio a 1Km de distancia.
Una solucin puede ser instalar una antena en
cada edificio con lnea de visin directa. La
antena del primer edificio est conectada a la
red cableada mediante un punto de acceso.
Igualmente en el segundo edificio se conecta
un punto de acceso, lo cul permite una
conexin sin cable en esta aplicacin. [6]

11

muy dinmico el coste inicialmente

ms alto de la red sin cable es
significativamente ms bajo, adems
de tener mayor tiempo de vida y
menor gasto de instalacin.

3.5

Escalabilidad: Hacer cambios en la

topologa de red es sencillo, tratando
de forma igual tanto redes pequeas
como grandes.
Estndar IEEE 802.11

El rango de requerimientos de usuario

impedan el soporte simultneo de
estaciones fijas, mviles y estaciones
vehiculares.
El permitir mltiples medio de
transmisin, especialmente en la
tecnologa de radio frecuencia, la cual
requiere de complicadas estrategias
para cubrir la variacin del tiempo en
el canal de transmisin.

Debido a esto, las WLAN, nicamente son

compatibles con las LANs cableadas
existentes (incluyendo Ethernet) en la Subcapa
de Control de Enlaces Lgicos (LLC). [8]

El grupo IEEE, desarrollo el estndar 802.11

de LANS inalmbricas para asegurar
compatibilidad y disponibilidad en los
productos. [8]

Sin embargo por restricciones, el rango de

aplicaciones de stas, requieren estaciones
fijas y por reordenamiento, para la tecnologa
infrarroja, es posible rehusar cualquiera de las
Subcapas MAC. [8]

El estndar 802.11, se enfoca en las dos

ltimas capas del modelo OSI; la capa fsica y
la capa de enlace de datos.

Una LAN 802.11 est basada en una

arquitectura celular donde el sistema est
subdivido en celdas. Cada celda (llamada
Basic Service Set, o BBS en la nomenclatura
802.11) es controlada por una Base Station
(llamada Access Point).
Aunque una WLAN puede ser formada por
una simple celda, con un simple AP, muchas
instalaciones estarn formadas por varias
celdas, donde los APs son conectados a travs
de alguna clase de backbone (llamado
Distribution System o DS). Este backbone es
tpicamente Ethernet y en algunos casos, es la
wireless misma.
La
WLAN
completa
interconectada,
incluyendo las diferentes celdas, sus
respectivos APs y el DS, es visto como una
simple red 802 para las capas superiores del
modelo OSI y es conocido en el estndar como
el "Extended Service Set "(ESS). [7]

Figura 6. Estndar 802.11 Vs. Modelo OSI

La subcapa de Control de Acceso al Medio
(MAC) tiene capacidad de acceder varios
medios de transmisin y con un rango
aceptable para los requerimientos del usuario.
[6]
En sus comienzos el protocolo tuvo estos
inconvenientes, por parte del usuario:

12

Valor de identificacin programado en el

punto de acceso o grupo de puntos de acceso
para identificar un cliente en un segmento de
red.
La segmentacin de una red inalmbrica en
mltiples redes proporciona un mecanismo de
autenticacin. Si una estacin inalmbrica no
conoce el SSID, el acceso a un punto es
denegado. Cuando un cliente se conecta a un
punto de acceso, el SSID acta como
contrasea proporcionando un mecanismo
bsico de seguridad.

Figura 7. WLAN 802.11 Tpica

3.6

Por si solo, el SSID es un mecanismo de

seguridad bastante dbil ya que su valor es
conocido por todas las tarjetas de red y puntos
de acceso. Adicionalmente, porque es
transmitido a travs del aire y ondas de radio
sin encriptacin y puede ser capturado
fcilmente. Los puntos de acceso envan sus
SSIDs haciendo uso de multidifusin. Los
clientes reciben los SSIDs y los usan para
acceder a los Puntos de Acceso. [8]

Servicios de Seguridad

A medida que las WLANs se hacen ms

populares, la seguridad, el roaming y la
configuracin de estas se hacen cada vez ms
complicadas. Al igual que en redes LAN
(cableadas), las redes inalmbricas deben
poseer caractersticas de seguridad y
confiabilidad. El trfico inalmbrico es
transmitido a travs de un medio compartido
como es el aire o mas precisamente, sobre
ondas de radio. Debido a esto, la red es ahora
accesible no solo desde a dentro del edificio,
sino tambin desde afuera. Se deben
implementar nuevos esquemas de seguridad
para prevenir potenciales robos de datos.

3.6.1

El protocolo de seguridad WEP fue

desarrollado para garantizar la seguridad con
respecto a atributos fsicos de la red. El WEP
es el estndar de encriptacin especificado por
la arquitectura IEEE 802.11. WEP encripta los
paquetes y su contenido para garantizar la
privacidad de la informacin de los usuarios
autorizados. WEP hace uso de una llave
secreta (de 40 bits o de 104 bits) para llevar a
cado la autenticacin y la encriptacin. Esta
llave es concatenada con un vector de
inicializacin de 24 bits resultando en una
llave de 64 o 128 bits.

Algunos mtodos para asegurar el acceso a los

Puntos de Acceso (AP), son:

Algoritmo WEP

Configuracin de los Puntos de

Acceso IEEE 802.11 con un servicio de
identificacin
(SSID:
Service
Set
Identifier).
Haciendo uso del algoritmo WEP
(Wired Equivalent Privacy).
Filtraje de direcciones MAC.
Configuracin de VPNs (Virtual
Private Networks) a travs de LANs de
radio frecuencia.

Los puntos de acceso envan paquetes cifrados

de desafo a los clientes que se desean
conectar. Los clientes encriptan su respuesta y
las envan de regreso al punto de acceso para
autenticarse y obtener acceso a la red. La
estacin cliente y el punto de acceso usan la
misma llave para encriptar y desencriptar los
datos.

Nota: Se recomienda la implementacin de los

cuatro mtodos de control de acceso para
garantizar mayor robustez en la seguridad de
la arquitectura IEEE 802.11.
SSID

13

3.6.3
VPNs
Redes de alta seguridad deben incorporar
soluciones VPN en su comunicacin con redes
inalmbricas. Las VPNs proveen un canal
dedicado y seguro a travs de redes no seguras
como son el Internet y las redes inalmbricas.
Una VPN se conforma por un servidor VPN y
una VLAN entre puntos de acceso y el
servidor VPN. El servidor VPN acta como
una puerta de enlace a redes privadas,
proporcionando
autenticaron
y
total
encriptacin sobre la red inalmbrica. Se
puede obtener acceso a redes inalmbricas
IEEE 802.11 estableciendo conexiones seguras
VPN haciendo uso de protocolos de tunneling.
[8]
3.7

Figura 8. Intercambio de Llaves [13]

En una WLAN, todas las llaves WEP deben
ser administradas manualmente, ya que no
existen protocolos de administracin para la
distribucin de estas. Esto con lleva a una de
las debilidades de WEP; est es vulnerable a
ataques. Las llaves WEP son estticas, lo que
las hace susceptibles a ataques de respuesta de
contraseas, inyeccin de trfico y ataques
estadsticos. El cambiar las llaves WEP
regularmente puede reducir los riesgos en la
seguridad. Hackers pueden explotar la
vulnerabilidad al interceptar trfico, cambiar
bits e inyectar los paquetes modificados en la
red. [13]
3.6.2

Vulnerabilidades en la Seguridad de
WLANs

La tecnologa WLAN esta siendo adoptada por

infraestructuras corporativas de IT (Tecnologa
de Informtica), cada vez ms y ms;
convirtindose en una pieza clave de cada
organizacin.
Los
desarrolladores
de
dispositivos porttiles son los principales
responsables de la alta tasa de adopcin de esta
tecnologa an inmadura, al incorporar en sus
dispositivos con tarjetas de red inalmbricas.
La comunidad de usuarios esta respondiendo a
las tendencias del mercado al incluir en sus
redes fsicas acceso por medio de redes
inalmbricas.
Una vez pase la novedad de esta nueva
tecnologa, la mayora de corporaciones
comenzarn a tener en cuenta los riesgos que
pueden implicar el uso de un medio con tan
poco control.

Filtro de Direcciones MAC

Cada cliente posee una direccin MAC nica

en su tarjeta de red IEEE 802.11. Para asegurar
los Puntos de Acceso se puede hacer uso del
filtraje de direcciones MAC. Para ello, cada
punto de acceso debe tener una lista (Lista de
Control de Acceso) con direcciones MAC
autorizadas.

Tradicionalmente, los dispositivos de red

siempre se han conectado fsicamente a la red
antes de obtener acceso a sus recursos. Esto ha
permitido a las organizaciones el poder
restringir fsicamente el acceso a la red. Este
no es el caso cuando se trata con redes
inalmbricas. Debido a la inherente naturaleza
abierta de las redes inalmbricas y al
anonimato de sus conexiones; stas, cada da,
se estn convirtiendo ms y ms en puertas
traseras para acceso a las redes. Se debe tener
en cuenta que el rango efectivo de las redes
inalmbricas puede abarcar espacios fuera de

El filtraje de direcciones MAC es una tcnica

bastante efectiva pero consume tiempo ya que
las listas de control deben ser llenadas
manualmente; y el mantener actualizadas las
tablas puede llevar a una gran cantidad de
trabajo. [8]

14

los limites fsicos de una corporacin,

dificultando la restriccin de acceso a la red.
[9]

Debido a esto, cuando se usan redes

inalmbricas se deben tener en cuenta aspectos
como un fuerte esquema de encriptacin y
autenticacin.

Todos los sistemas de computacin y canales

de comunicacin se enfrentan diariamente a
amenazas de seguridad que comprometen
dichos
sistemas,
los
servicios
que
proporcionan y los datos almacenados o
transmitidos entre los sistemas. Las amenazas
ms comunes son para los sistemas
inalmbricos son:

Manipulacin
La manipulacin trata cuando se insertan,
eliminan o modifican datos en un sistema o
durante una transmisin. Este es un ataque a
la integridad de los datos almacenados en el
sistema o a las transmisiones de estos. Un
ejemplo de este tipo de ataque puede ser la
insercin de un Troyano o un Virus a un
dispositivo o a la red. Los mecanismos de
control de acceso proveen seguridad contra
estos tipos de ataque.

Visibilidad
Negacin del Servicio
Intercepcin
Manipulacin
Enmascarar

Enmascarar
Se refiere al acto de hacerse pasar por un
usuario legtimo para obtener acceso al sistema
o a la red inalmbrica.
[10] [14]

Visibilidad
El trfico de las redes inalmbricas puede ser
capturado y visualizado (Sniffed). Esto
significa, que se pueden capturar todos los
datos que viajan por la red inalmbrica y si
estos no se encuentran encriptados, estos
pueden ser ensamblados y ledos. A diferencia
con las redes cableadas donde un sniffer puede
ser detectado, en redes inalmbricas, un
atacante
visualizando
trfico
puede
permanecer completamente no detectado.

Las redes inalmbricas son inherentemente

inseguras.
Cuando se hace uso de redes
inalmbricas, se deben tener varios niveles de
defensa a travs de la red para prevenir
amenazas de seguridad. [15]
La mayora de corporaciones, por lo general,
poseen diferentes estrategias de defensa del
permetro. Alunas se limitan al simple uso de
un enrutador con NAT (Network Address
Translation) para las conexiones a Internet,
otras al uso de estrategias de defensa ms
robustas. La siguiente es una lista de puntos
mnimos que se deben tener en cuenta para el
desarrollo de una estratega de defensa:

Negacin del Servicio (Denial-Of-Service

(DOS))
Se presentan cuando un atacante trata de
demorar o interrumpir la prestacin de
servicios de un sistema al atentar contra la
disponibilidad del mismo. En medios
inalmbricos, un ejemplo de este tipo de
ataque puede ser el uso de una seal externa
para interferir el canal inalmbrico.

Intercepcin
Tipo de ataque que presenta varias
definiciones. La identidad de un usuario puede
ser interceptada para ser usada por un atacante
en una instancia de tiempo posterior,
hacindose pasar por el usuario legitimo.
Tambin se puede interceptar y desencriptar
informacin, violando la confidencialidad,
integridad y privacidad de la anterior. Los
sistemas inalmbricos hacen uso de
frecuencias de radio para la transmisin de
informacin, Estas pueden ser interceptadas.

Filtraje de los puertos del Firewall.

Hacer uso de conexiones encriptadas.
Autenticacin Doble (Para acceso
remoto).
Hacer uso de IDS's (a ambos lados
del firewall).

La estrategia de defensa debe ser

implementada haciendo uso de componentes y
tecnologa que sea compatible entre s. Una
caracterstica importante en el diseo es que se
debe tener en cuenta la modularidad ya que se
trata de una tecnologa en proceso de
maduracin la cual, en un futuro no muy

15

lejano, puede ser bastante cambiante

y llevar al rediseo completo de la
estrategia. [9]
Una posible solucin de seguridad
sera:
Ubicar los puntos de acceso dentro
de
la
zona
desmilitarizada,
asegurando que todo tenga que pasar
por el firewall.
Se deben incorporar soluciones VPN
desde los clientes a los puntos de
acceso. Los computadores de los
clientes deben estar equipados con
firewalls personales y con sistemas
de deteccin de intrusos (IDSs).
Los IDSs deben estar instalados
entre los puntos de acceso y el
firewall para denegar cualquier
conexin
no
autorizada.
Adicionalmente, se deben cambiar
las contraseas administrativas por
defecto de los puntos de acceso,
cambiar el valor de los SSIDs 10,
deshabilitar la multidifusin de
SSIDs, habilitar la encriptacin en
los puntos de acceso y evitar la
instalacin de estos puntos cerca de
paredes y ventanas donde las seales
puedan ser interceptadas fcilmente.
[8]
Figura 9. Ejemplo de una implementacin de
Seguridad para una WLAN. [15]
3.8

Tipo de Informacin que contiene la

red.

Las WLAN requieren el mismo tipo de

tratamiento de la informacin , su recoleccin,
anlisis y documentacin que para cualquier
LAN, se deben utilizar herramientas
especializadas para redes inalmbricas pero
con las mismas funciones que para las redes
cableadas.

10

SSID: Service Set Identifier: Carcter de 32

bits incluido en la cabecera de los paquetes
enviados sobre una WLAN, que actua como
un password cuando un dispositivo mbil trata
de conectarse a la estacin base. Tomado de
Webopedia.com

Para la recoleccin de la informacin en las

WLAN se debe tener amplio conocimiento en
ellas, conocer los elementos con los que se
cuentan, la arquitectura de la red, las

16

herramientas disponibles y conocimientos en

computacin forense para el proceso de la
investigacin y la manipulacin de la
evidencia.

documentacin del procedimiento utilizado,

paso por paso, con el fin de, en caso de ser
necesario, sea admitida la evidencia como
prueba ante una corte.

Hay que anotar que el estndar 802.11b

WLAN cuenta con ms datos en el paquete, es
decir, ms campos que analizar que cualquier
otro miembro de la familia de protocolos 802 y
son pocos los especialistas en este rea. Las
WLAN son ms sencillas con respecto a las
redes inalmbricas de circuitos conmutados en
canto a componentes que la integran.

3.8.3

3.8.1

La informacin en esta rea aplica igual que en

las
redes
inalmbricas
de
circuitos
conmutados. Es decir que el usuario puede
conectarse a otras redes a travs de la WLAN
en la que se encuentra y en estas redes
accedidas es muy posible encontrar
informacin relevante para la investigacin
que reflejen el comportamiento del usuario
como son los logs de sesiones de red.

Porttiles y tarjetas WLAN

De igual forma que en las redes inalmbricas

de circuitos conmutados , la informacin que
se puede obtener de un porttil es informacin
personal del usuario, como las actividades,
contactos,
calendario,
cookies,
redes
accedidas, etc.
3.8.2

Redes visitadas

Estas redes se pueden encontrar en cualquier

lugar del mundo, desde una Intranet hasta
Internet y desde redes locales hasta redes en
otros pases.
En el caso de que la red sea local, es posible
que existan servidores web, firewalls,
servidores de DHCP (Dynamic Host
Configuration Protocol), entre otros. En este
caso obtener los registros o logs de sesin es
sencillo si se conoce la arquitectura de la red y
se aplican tcnicas de logging. En los
servidores de firewall y DHCP se pueden
encontrar relacionadas las direcciones IP y
MAC asignadas a los equipos mviles
posibilitando el seguimiento de las actividades
de un usuario.

Puntos de Acceso

Un Punto de Acceso debe registrar logs de los

usuarios y el trfico en su dominio,
asociaciones basadas en la direccin MAC,
debe permitir o negar trficos especficos y
conceder permisos a usuarios. Dependiendo de
la marca de los Puntos de Acceso pueden
registrar el trfico por direccin IP o mtodos
de autenticacin utilizados en la comunicacin
establecida con la red.
El estudio de los logs son crticos en una
investigacin para establecer relaciones y
rastrear el comportamiento
establecer
patrones de comportamiento de la red [38][2].

PDA (Personal Digital Assistant)

Las PDAS son una herramienta de uso

personal que se dividen en dos categoras
principalmente: de tipo hand-held y tipo
Palm [11], la diferencia fundamental radica
en el tamao que posee cada una de ellas. A
continuacin se dar una breve descripcin de
cmo se encuentran conformadas:

Es til la utilizacin de herramientas

especializadas para el anlisis y recoleccin
automtico de trfico. Herramientas como
AirSnort y Airopeek son ampliamente
utilizadas,
permite
monitorear
las
transmisiones que utilicen el protocolo WEP y
anlisis del trfico transmitido por los canales,
para detectar problemas y detectan problemas
dela red y emiten alarmas, respectivamente.

Microprocesador: Es el cerebro de la
PDA, el microprocesador coordina todas
las funciones internas y externas de
acuerdo
con
las
instrucciones
programadas. EL microprocesador que
utilizan actualmente todas las PDA es el
Motorola DragonBall MC68328-family,
dentro de esta familia se pueden destacar

Se debe aplicar las tcnicas forenses para la

preservar la integridad de los datos, la
recoleccin de la informacin y la

17

los
siguientes
microprocesadores:
DragonBall, DragonBall EZ, DragonBall
VZ, DragonBall MX1.

apaga, los datos se mantienen debido a las

bateras. Todos los PDA tienen 2
megabytes de memoria adicional.

Sistema de archivos: El OS de la palma no

utiliza un sistema de archivos "plano" al
igual que muchos sistemas operativos
tradicionales. RAM Battery-backed es
utilizada
para
el
almacenamiento
permanente y esta es dividida lgicamente
en: rea
dinmica y rea
de
almacenamiento, en la Figura 10 se puede
observar
como
se
muestra
el
funcionamiento de estas.

Figura 10. Vista conceptual de la localizacin

en el vector de interrupcin del rea dinmica
y del rea de almacenamiento [12].

Memoria: Los PDA no suelen tener disco

duro en el dispositivo, se almacenan
programas bsicos, como agenda de
direcciones, calendario o el sistema
operativo gracias a una memoria de solo
lectura (ROM) Los datos o programas que
agregues posteriormente, se almacenarn
en la memoria RAM del dispositivo, esto
tiene gran ventaja ya que cuando
enciendes tu PDA tienes tu informacin
disponible y al instante sin tener que
esperar que carguen las aplicaciones.
Cuando hacemos cambio en un archivo las
modificaciones
quedan
almacenadas
automticamente, sin necesidad salvar tu
informacin y cuando el dispositivo se

18

Existen procedimientos para retornar los

PDA encontrados a la compaa?

Sino
se
posee
alguna
de
estas
recomendaciones, este podra ser un buen
comienzo para implementar una poltica de
seguridad de la compaa o pueden convertirse
en pautas propias para el manejo de su propio
dispositivo PDA.
Una poltica de seguridad en un sentido amplio
cubre probablemente el cuidado y la
alimentacin de los PDAs. Si su compaa
tiene polticas especficas el Hardware, se
deben modificar y tener en cuenta este tipo de
dispositivos. La gente tiende a ser ms
responsable de sus acciones cuando estn a
cargo de stos. S en algn momento la PADs
es extraviada, unas simples practicas pueden
hacer que esta sea devuelta, se debe contener
un mnimo de informacin, cada dispositivo
debe incluir el nombre de la compaa,
direccin y un nmero telefnico. stos se
pueden escribir en los campos del propietario
en la opcin de preferencias que viene incluida
en las PDAs. El habilitar la caracterstica de
la utilizacin de la palabra clave cuando la
PDA es activada. Crear copias de seguridad
del dispositivo y guardarlas en un lugar
seguro. La clave es tener un proceso, utilizarlo
rigurosa y constantemente y informar al as
personas de su responsabilidad.

Figura 11. Direcciones de memoria base

relevantes dependiendo del procesador [12].
4.1

Seguridad en PDA.

El principal segmento en el que se esta

implantando el uso de las PDA es en el de
apoyo en los negocios, es por esto que se
deben implantar unas estrategias de seguridad
para el manejo de esta informacin.
4.1.1

Polticas Bsicas y algunas prcticas

a tener en cuenta

4.1.2

Si se utilizan dispositivos PDAs en su

compaa, y si se maneja informacin
relevante para la misma, es importante
plantearle la importancia de implantar unas
polticas de seguridad sobre los dispositivos y
las conexiones que estos realizan, a
continuacin se enumerar una lista de
preguntas que servirn de base para determinar
que sugerencias se deben realizar al sistema
actual de seguridad implantado por la
compaa.
La compaa debe sustituir un PDA
perdido o el empleado debe hacerlo?
Si el dispositivo contiene la informacin
sensible de la compaa, esta tiene
estndares mnimos de seguridad?
Existen procedimientos para informar la
perdida de las PDA?

Copias de respaldo y opciones de

seguridad

Modifique los programas para incluir

recomendaciones especificas para los PDAs.
Un comportamiento es el de realizar una
sincronizacin de la informacin diariamente.
Las sincronizaciones diarias se realizan para
dos cosas: primero, esto no es solo salvar los
datos que son creados, sino cualquier cosa que
a sucedido en la PDA, en la mayora de los
casos, usted solamente ha perdido la
informacin de un solo da. Segundo,
estableciendo una rutina, se va entrenando a
los usuarios de la importancia de la
informacin que se esta almacenando en estos
dispositivos. El reto ms grande en la
seguridad es para las personas que utilizan los
PDAs de manera aislada, estos pueden ver
ste dispositivo como un juguete de alta

19

tecnologa, esto puede traducirse en descuido

en la utilizacin de los mismos.

UInt8 userLen;
UInt8 passwordLen;
UInt8 username[userLen+1];
UInt8 password[passwordLen+1];

S no se puede realizar la sincronizacin diaria,

existen unas herramientas que permites hacer
copias de seguridad en los dispositivos PDAs,
entre las cuales podemos nombrear:
BackUpBuddy, BackupPro y JackBack. [19]
4.1.3

};
Figura 12. Estructura enviada durante el
proceso de la sincronizacin, conteniendo el
bloque de codificacin de la palabra clave

Claves y software de encripcin

Palabras claves de 4 caracteres o menos:

comparando los bloques de codificacin de
varias palabras claves con estas caractersticas,
se puede determinar que la constante de 32
bytes (Figura 14) es solamente un XOR al
bloque de la palabra clave:

La palabra utilizada como clave es fijada por

el dueo con la aplicacin de seguridad del
dispositivo. La longitud mxima de la palabra
clave en caracteres ASCII es de 31. Sin
importar la longitud de la clave, el bloque
codificado resultante es siempre de 32 bytes.
Dos mtodos se utilizan para codificar la
clave, estos mtodos dependen de la longitud
de la misma. Para las claves que poseen una
longitud de cuatro caracteres o menos, un
ndice es calculado basado en la longitud de la
palabra clave y se realiza un XOR con un
bloque de memoria de 32 bytes. Para las
palabras claves de ms de cuatro caracteres, la
cadena se completa hasta obtener los 32 bytes,
ejecutndose a travs de cuatro redondeos de
la funcin y se realiza un XOR con un bloque
constante de 64 bytes. Entendiendo el esquema
de codificacin, es posible ejecutar las rutinas
al revs para decodificar la palabra clave.

A = Palabra Clave
B = Bloque constante de 32 bytes
C = Bloque codificado con la palabra clave
El ndice de inicio (j) dentro del bloque de
codificacin constante donde la operacin del
XOR debe iniciar, es calculado de la siguiente
manera: [16]
j = (A[0] + strlen(A)) % 32;
El bloque de codificacin que contiene la
palabra clave es creado de la siguiente forma:
for (i = 0; i < 32; ++i, ++j)
{
if (j == 32)
{
j = 0;
}
C[i] = A[i] XOR B[j];
}

El software de escritorio de una Palm hace uso

del SLP (Serial Link Protocol) para transferir
la informacin entre este y la Palm. Cada
paquete SLP esta conformado por un
encabezado de paquete, Informacin del
cliente de un tamao variable, y un pie de
paquete [23]. Durante el proceso de
negociacin de la sincronizacin, un paquete
SLP en particular de informacin contenida en
la Palm del cliente esta formado por una
estructura que contiene el bloque de
codificacin de la palabra clave (Figura 12).

56 8C D2 3E 99 4B 0F 88 09 02 13 45 07 04
13 44 0C 08 13 5A 32 15 13 5D D2 17 EA D3
B5 DF 55 63
Figura 13. Bloque codificado con la palabra
clave test. [16]

struct {

09 02 13 45 07 04 13 44 0C 08 13 5A 32 15 13
5D D2 17 EA D3 B5 DF 55 63 22 E9 A1 4A
99 4B 0F 88
Figura 14: Bloque constante de 32 bytes que
es usado en la codificacin de la palabra
clave [16].

UInt8 header[4];
UInt8 exec_buf[6];
Int32 userID;
Int32 viewerID;
Int32 lastSyncPC;
time_t successfulSyncDate;
time_t lastSyncDate;

Palabras claves mayores a 4 caracteres:

20

A = Palabra Clave
B = Bloque constante de 64 bytes
C = Bloque codificado con la palabra clave

18 0A 43 3A 17 7D A3 CA D7 9D 75 D2 D3
C8 A5 CF F1 71 07 03 5A 52 4B B9 70 2D B2
D1 DF A5 54 07
Figura 16. Bloque codificado con la palabra
clave testa.

Primero, la palabra utilizada como clave es

transformada a una cadena de 32 bytes de la
siguiente manera: [16]
j = strlen(A);
while (len < 32)
{
for (i = j; i < j * 2; ++)
A[i] = A[i - j] +j;
j = j * 2;
}

Despus de la descripcin dada anteriormente,

se realizar una breve descripcin de alguna
variedad de software que ayudan al
aseguramiento de tu dispositivo PDA y la
informacin que se maneja en los mismos.
PDABOMB ($20,00): realza la proteccin
invalidando todas las transferencias de datos
hasta que se proporcione la palabra clave.
OnlyMe ($10.00): bloquea la Palm cuando se
va apagar. La palabra clave es requerida para
acceder a los datos.
TealLock ($17.00): Tiene en cuenta las
configuraciones personales, Incluye la
activacin, la costumbre de bloquear la
pantalla, el texto e imgenes, la opcin de
bloqueo automtico. Capacidad de ocultar
archivos para ser vistos.
JotLock ($12.00): proteccin a travs del
reconocimiento de la palabra clave.
MemoSafe ($7.00): reemplaza los memos de
las aplicaciones por los mismos encriptados.
MaxSecret
($20.00):
Aplicacin
con
encripcin PGP.
JAWZSDataGator
($40.00-$50.00.):
Encripcin de datos dependiente de la
aplicacin.

El bloque de la palabra clave resultante es de

32 bytes. A, es pasado a travs de los cuatro
redondeos de la funcin y se realiza el XOR
con un bloque constante de 64 bytes (Figura
15). k es un ndice
que empieza en
{2,16,24,8} para cada uno de los cuatro
redondeos. [16]
j = (A[k] + A[k+1]) & 0x3F;
shift = (A[k+2] + A[k+3]) & 0x07;
for (i = 0; i < 32; ++i, ++j, ++k)
{
if (j == 64) j = 0;
if (k == 32) k = 0;
temp = B[j];
temp <<= 8;
temp |= B[j]
temp >>= shift;
C[k] XOR= (unsigned char) temp;
}

4.2

El bloque resultante de la palabra calve de 32

bytes (Figura 16) no tiene ninguna
caracterizacin
inmediatamente
visible
referente al bloque constante como s lo hace
la codificacin del bloque de la palabra clave
para las palabras claves de menos de 4
caracteres. Sin embargo, este es reversible con
unos mnimos recursos computacionales.

Virus y Trajanos en PDAs

Ahora en este momento no se encuentran

muchos virus y Trojanos para este tipo de
dispositivos, pero debido al auge de esta
tecnologa, se puede observar que en el futuro
existirn ms virus o Trojanos para este tipo de
dispositivos. En la actualidad se conoce el
PalmOS/Phage que es uno de los primeros
virus para el sistema operativo de una Palm,
adems se conoce el Trojano Liberty.

B1 56 35 1A 9C 98 80 84 37 A7 3D 61 7F 2E
E8 76 2A F2 A5 84 07 C7 EC 27 6F 7D 04
CD 52 1E CD 5B B3 29 76 66 D9 5E 4B CA
63 72 6F D2 FD 25 E6 7B C5 66 B3 D3 45 9A
AF DA 29 86 22 6E B8 03 62 BC
Figura 15: Bloque constante de 64 bytes que
es usado en la codificacin de la palabra
clave. [16]

El virus PalmOS/Phage sobrescribe la parte

inicial de los programas ejecutables del
dispositivo. Los archivos host son destruidos
en el proceso. Una vez que el archivo PRC
infectado, se transfiere a la Palm, el virus
comienza a copiarse a los dems programas
infectndolos, hasta que todos quedan

21

infectados y despus de ser infectados todos

son destruidos.
En la figura 17 se muestra como se ha
infectado el Phage que es el virus de la Palm.

Al activarse infecta y destruye todas las

aplicaciones, pero no se ha encontrado que
dae los archivos de datos.
LIBERTY es un trojano que es muy engaoso
para aquellas personas que les encanta utilizar
cracks, es conocido tambin como Palm
trojan, PALM/Liberty,
Liberty Crack,
PalmOS/Liberty Warez.prc, Crack 1.1.
LIBERTY es un trojano muy simple escrito
para la plataforma del PALM de 3COM.
Cuando se activa, borra todas las aplicaciones
del dispositivo.
El trojano pretende ser una crack para el
emulador 1.1 de GameBoy. En la Figura 18 se
muestra el icono del programa que corre el
trojano Liberty.

Figura 17. Visualizacin de una Palm

infectada [24]
Este virus no hace otra cosa que replicarse y
destruir el host infectado y contiene los
siguientes textos:
FindVictim
PhageMain
Es factible reconocer los sntomas, ya que al
ejecutar una aplicacin infectada la pantalla
aparece en blanco por algunos segundos y el
programa finaliza inmediatamente, durante
este proceso el programa infecta ms archivos
del sistema.
Figura 18. Icono de cmo se muestra el
Trojano para ser ejecutado en la Palm [25]
En la Pc el troyano aparece como un archivo
llamado "liberty_1_1_crack.prc" que mide
2,663 bytes. Cuando el usuario trata de
ejecutar la aplicacin se activa liberty y
comienza a borrar la aplicaciones para luego
re-iniciar el sistema.
Para removerlo, slo hay que eliminar el
archivo: "liberty_1_1_crack.prc" .

Despus de replicarse este virus por toda la

Palm, esta queda sin ninguno de los programas
instalados.
No ha sido encontrado todava en forma
comn entre los usuarios y por lo tanto no se le
da el grado de amenaza. Sin embargo es
prudente tomar precauciones

22

 Realizar copias de seguridad de la Palm

Un virus o un trajano se pueden instalar en

nuestro dispositivo de muchas formas, a
continuacin se muestra una lista de las
posibles fuentes donde se puede obtener algo
de este tipo: [25]
Descargado de la computadora durante la
operacin de sincronizacin. Esto permite
una manera fcil para introducir cdigo
malicioso.
Puede ser enviado de un dispositivo Palm
a otro por va infla roja durante una sesin
de intercambio de informacin. Usando la
comunicacin infrarroja, los programas
maliciosos pueden potencialmente hablar
con
el
dispositivo
infectado,
intercambiando informacin sin su propio
conocimiento.
Es posible por comunicaciones satelitales
inalmbricas para usuarios de Internet
recibir el trojano a travs de un archivo
adjunto de un correo electrnico. Esto
significa la introduccin del virus o
trojano directamente a tu PDA.
Usando el protocolo estndar TCP/IP, una
PDA conectada a una red puede establecer
conexin con otro dispositivo conectado
en la red. Este cdigo malicioso puede
abrir puertos que escuchen y permitan un
acceso remoto.

antes de realizar cualquier tipo de

instalacin.
4.3

Herramientas Forenses

Se disea en el OS de la Palm un depurador,

que proporciona y pone a punto de fuente y a
nivel de ensamblador los ejecutables del OS de
la Palm en el dispositivo fsico. Al introducir
la combinacin (Figura 19) que cambia la
Palm al modo de depuracin. El depurador de
la Palm, una vez que est permitido, escucha
en el serial RS232 y en el USB las
comunicaciones del ordenador principal. Una
restauracin del software de la Palm permitir
al dispositivo salir del depurador de la Palm.
El consumo de energa se aumenta
perceptiblemente cuando se permite el modo
de depuracin de la Palm, as que se asegura
de que el dispositivo de la Palm tiene
capacidad completa de las bateras antes de
comenzar el proceso de adquisicin.

Figura 19. Informacin a introducir para

iniciarse el modo de depuracin. [12]

Cmo prevenir que esto nos pase a nosotros,

y/o se ha mas complicado en un futuro
cercano? [25]
Obtener el Software legtimamente.
Registrar su software libre y use
solamente los cdigos de registro de las
versiones.
Obtener tu software legtimamente.
Registrar las versiones libres y use
solamente los cdigos de registro o el
software registrado directamente de los
desarrolladores.
Los sitios que distribuyen software,
generalmente prueban las aplicaciones
antes de que sean distribuidas al pblico.
Probar las aplicaciones en un emulador de
la Palm (POSE) antes de instalarla y
correrla en tu Palm.

Herramientas Forenses

Aunque en el mercado actual el nmero de

herramientas para el anlisis forense en redes y
dispositivos wireless es muy limitado con
respecto a las existentes para el anlisis de
redes cableadas comunes, es posible encontrar
algunas casas de software o grupos de
investigacin que han adelantado desarrollos
importantes enfocados hacia la construccin
de herramientas de este tipo. A continuacin se
presentan algunas de las ms importantes que
ya se encuentran en distribucin y que son
actualmente empleadas por los investigadores
forenses para efectuar los anlisis necesarios
en medios inalmbricos:
5.1

Airopeek

Este software para plataformas Windows

desarrollado por la empresa WildPackets,
permite efectuar anlisis de paquetes en redes

23

inalmbricas de rea local WLANs basadas

en IEEE 802.11b y soportadas por cualquiera
de los protocolos de red de alto nivel ms
comunes como TCP/IP, AppleTalk, NetBEUI
e IPX.
5.1.1

5.1.2

informacin detallada contenida en cada

paquete. Adems incluye caractersticas
adicionales del paquete que permiten
identificar y resolver anomalas en la red, entre
las que se encuentran:
Longitud y estampilla de tiempo
(timestamp).
Velocidad de transmisin.
Fuerza de la seal de la transmisin
en la que fue enviado.

Caractersticas principales [28]

Decodificacin total de todos los
protocolos inalmbricos 802.11b as
como de todos los protocolos de red
de alto nivel
Scanning de canales y seleccin de
canales por frecuencia (numero de
canal), BSSID, o ESSID.
Soporte para un gran nmero de
adaptadores de red entre los cuales
figuran Nortel, Cisco y 3Com entre
otros.
Captura de todas las tramas de
control, datos y manejo de 802.11b.
Soporte para tiempo real y para poscaptura del desciframiento de WEP.
Visualizacin de la tasa de datos, del
canal, y de la fuerza de la seal para
cada paquete.
Resolucin
de
problemas
en
complejas instalaciones de WLAN
incluyendo mltiples estaciones base
y
sistemas
de
distribucin
inalmbricos.
Identificacin
de
transmisores
intrusos incluyendo puntos de acceso
y usuarios.
Anlisis estadstico de trfico y de
conjuntos filtrados de paquetes
capturados.
Tabla de nombres avanzada (nombres
almacenados en grupos, listado de
puertos y sockets, tipos de nodos).
Alarmas, triggers y notificaciones
definibles por el usuario.
Formatos de salida de portes
estadsticos personalizables (HTML,
XML, texto).

Filtrado de paquetes
La configuracin de filtros sobre un nodo o
protocolo sospechoso permite aislar y enfocar
un trfico anormal. Un filtro restringe el flujo
de paquetes con base en algn parmetro del
paquete
especificado
como
direccin,
protocolo, puerto, valor o longitud.
Bsqueda y seleccin de canales

Funcionalidades destacadas [29]

Resolucin de problemas en WLANs

El analizador de protocolos establece
claramente la fuente de los problemas de la red
y de las fallas de seguridad revelando la

24

Esta herramienta permite efectuar una

bsqueda o scanning de canales sobre una
WLAN y detectar cuales canales se encuentran
en uso y cuales son los ms activos. Una vez
seleccionado un canal (preferiblemente con
alta actividad) Airopeek permite efectuar la
captura del trfico. Alternativamente permite

seleccionados para reconstruir fragmentos de

comunicaciones en la red.

Figura 20. Panel de visualizacin [29]

seleccionar BSSID (Basic Service Set) o
ESSID (Extended Service Set) para la captura
de paquetes.
Decodificacin y visualizacin de paquetes
Airopeek puede decodificar todos los
protocolos 802.11b, as como tambin, todos
los protocolos de red alto nivel, visualizando
paquetes de administracin, control y datos.
Por medio de un panel de visualizacin
permite desplegar una lista de paquetes
capturados, la decodificacin de un paquete
sencillo o su codificacin hexadecimal (Ver
figura 20). Adems ofrece la posibilidad de
navegar a travs de mltiples paquetes

25

almacenado en forma anterior (desencripcin

pos-captura).

Estadsticas en tiempo real

Por medio de componentes estadsticos esta
herramienta permite analizar el desempeo de
una red inalmbrica, tomado como base
informacin recolectada a partir de una amplia
variedad de fuentes tales como: nodos, datos
histricos, tamaos, errores y protocolos.
Airopeek permite adems visualizar el
comportamiento de toda la red y el porcentaje
de utilizacin de la misma. En la figura 21 se
puede observar un indicador estadstico en el
que se despliega el porcentaje actual de
utilizacin de la red y el trfico promedio en
paquetes por segundo.

5.2
AirSnort
Herramienta de libre distribucin (GPL) que
permite obtener llaves de encripcin en
WLANs. El desarrollo del software original
fue efectuado por Jerremy Bruestle y Bloque
Hederle, Ojee Weiss y el equipo de
BeSecure.com han continuado con esta labor
desde entonces [31].
El modo de operacin de este programa se
basa principalmente en monitorear de forma
pasiva transmisiones inalmbricas realizadas a
travs del protocolo WEP y una vez que ha
recolectado suficientes paquetes calcula la
llave de encripcin. Para esto aprovecha la alta
vulnerabilidad del protocolo WEP empleado
por 802.11b en su capa de enlace, para redes
wireless
de
rea
local,
explotando
principalmente las debilidades del algoritmo
de generacin de llaves RC4 usado por el
estndar WEP con algunos errores de diseo
[31].
El equipo de desarrollo afirma que AirSnort
necesita capturar aproximadamente de 5 a 10
millones de paquetes encriptados, para obtener
la llave de encripcin en menos de un segundo
[30].

Figura 21. Indicador estadstico [29]

Seguridad en redes inalmbricas
Esta herramienta permite a los administradores
de redes inalmbricas identificar problemas de
seguridad potenciales a travs de continuos
mecanismos de
scannings de eventos
sospechosos, por ejemplo: mltiples intentos
fallidos de autenticacin podran detectarse y a
travs del trfico capturado intercambiado
durante los diferentes intentos, sera posible
identificar a un potencial atacante.
Airopeek permite adems que los usuarios
puedan especificar el conjunto de llaves
compartidas WEP de una red, lo cual habilita a
la herramienta para que decodifique y
desencripte paquetes cifrados con dichas llaves
y pueda identificar transmisores maliciosos
incluyendo sus Access Points y cuentas de
usuario.
Empleando un sistema de filtrado avanzado es
posible tambin monitorear trfico WEP
cifrado a 128-bits o desde cualquier direccin
MAC para las cuales existan usuarios
asociados desconocidos por el sistema.
Otra opcin importante que se ofrece, es la de
poder descifrar trfico WEP capturado y

Este software funciona bajo plataforma Linux

con Kernel 2.4, aunque los desarrolladores
indican que es posible (pese a no estar
probado) que funcione tambin con Kernel 2.2
[31].
AirSnort usa el chipset Prism2, slo en ste
puede efectuar el sniffing necesario. Las
tarjetas de red wireless que actualmente
utilizan este chipset son las siguientes [30]:
Addtron AWP-100
Bromax Freeport
Compaq WL100
D-Link DWL-650
GemTek (Taiwan) WL-211
Linksys WPC11
Samsung SWL2000-N
SMC 2632W
Z-Com XI300
Zoom Telephonics ZoomAir 4100

26
Figura 1. Panel de visualizacin

LeArtery
LN101

Solutions

operandos efectuar las labores de recuperacin

y almacenamiento de la informacin contenida
en
la memoria de un dispositivo PDA.

SyncbyAir

Actualmente AirSnort se encuentra en la

versin 2.0, la cual posee algunas mejoras con
respecto a la versin inicial. Algunas de estas
caractersticas nuevas son presentadas a
continuacin [31]:
Los paquetes son ordenados con base en
el SSID del Access Point asociado,
permitiendo que paquetes de varios
APs
puedan
ser
capturados
simultneamente sin la molestia de la
operacin de Crack.
La operacin de Cracking es
efectuada en paralelo con la operacin
de captura. No es necesario adivinar si
se tienen suficientes paquetes para
efectuar un Crack exitoso. La captura
de un AP especificado termina cuando
un AP es Crackeado. Algunos
parmetros para el Crackeo son
configurables desde un cuadro de
preferencias.
AirSnort establece el canal para efectuar
el sniffing a travs de comunicacin
directa con la tarjeta de interfaz de red.
No hay necesidad de colocar la tarjeta
en modo promiscuo antes de iniciar
AirSnort. Tambin tiene incorporada la
capacidad de scanning de canales.
Es posible iniciar una sesin con una
tarjeta Prism2, pausar, cambiar a una
tarjeta Orinoco, y continuar la sesin sin
necesidad de cerrar AirSnort.
5.3

La sintaxis de pdd es similar a el del comando

dd en Unix, en el cual una entrada de
informacin y una salida se especifican junto
con operandos opcionales (e.j., nmero de
tarjeta y tipo de memoria en vez del tamao de
bloque, del tipo de datos, y de otras variables
de dd.). Puesto que pdd no tiene actualmente
ayuda del USB, el dispositivo Palm debe estar
conectado con un PC a travs de la base del
dispositivo via cable serial.
Una vez que la Palm se encuentra conectada,
por lnea de comandos se solicita la ejecucin
del proceso, el cual inicialmente extrae y
escribe la informacin bsica del dispositivo
en un archivo llamado pda.txt. En la figura 22
puede observarse un ejemplo de los datos
almacenados en este archivo luego de ejecutar
el proceso en un PDA de prueba.

@Stake Pdd

Pdd (Palm dd) es una herramienta basada en

Windows para efectuar imgenes de la
memoria de Palm OS y realizar recoleccin de
informacin relevante para procesos forenses
[32] desarrollada por la firma @Stake.

Figura 22. Informacin del archivo pda.txt

[33]
Una vez que la informacin inicial es
guardada, el proceso pdd comienza a extraer
todos los datos de la regin de memoria de la
Palm, especificada a travs de la lnea de
comandos con los operandos card= y type=.
La imagen de la memoria es guardada en el
archivo especificado por medio del operando
of=. De esta manera pdd extrae todos los datos
de la memoria hasta que toda la regin es
completada. Una vez que toda la informacin

Para obtener la informacin de la tarjeta de

memoria y crear una imagen bit a bit de la
regin de memoria seleccionada, es empleado
el modo consola de Palm OS [32].
5.3.1

Detalles [33]

Pdd es una herramienta de lnea de comandos

basada en Windows que permite por medio de

27

es
recolectada
satisfactoriamente
la
herramienta pdd automticamente reinicia el
dispositivo con el fin de salir del modo debug
en el que realiza las operaciones. La figura 23
muestra el diagrama de flujo del proceso que
sigue la herramienta pdd para garantizar la
exitosa recoleccin de toda la informacin
contenida en la memoria del dispositivo Pda.
5.4

reportes con el fin de facilitar la labor de los

analizadores forenses [34]. La figura 24

Parabens Pda Seizure

Figura 23. Diagrama de flujo del proceso efectuado por la funcin pdd() [12]
muestra la interfaz principal de esta
herramienta, en la cual se puede observar el
resultado de un proceso de recoleccin de
archivos.

Esta herramienta desarrollada por la casa de

software Paraben como parte de su lnea de
herramientas forenses, esta diseada para
capturar y analizar datos de un dispositivo Pda
y presentar reportes con base en esta
informacin. Por medio de este software es
posible efectuar el proceso de recoleccin de
evidencia almacenada en Pdas, necesaria para
procesos forenses, ya que permite recuperar
toda la informacin contenida en cada uno los
componentes de almacenamiento de este tipo
de dispositivos [34].

5.4.1

Parabens Pda Seizure esta desarrollada para

ambientes Windows y a travs de una interfaz
grfica permite adquirir, visualizar y generar

28

Caractersticas principales [34]

Adquisicin de informacin desde un
dispositivo PDA en dos pasos a saber:
Paso 1: Recolectar todos los
archivos en su estructura original.
Paso 2: Extraccin de toda la
informacin de la tarjeta de
memoria.
Interfaz de fcil uso.

Bsqueda y referenciacin de
informacin a partir de los resultados
de la extraccin.
Visualizacin de datos en formatos de
texto o hexadecimal.
Generacin de reportes en HTML.

29

Verificacin de integridad de las

imgenes
Visualizacin interna de archivos de
datos.
Funciona en Pdas de los fabricante
Palm y Visor.

Figura 24. Interfaz gr ica [34]

usuarios maliciosos, que por medio de

mltiples tcnicas de intrusin que explotan
las innumerables vulnerabilidades de los
protocolos existentes para la comunicacin de
este tipo de redes,
tienen la enorme
posibilidad tanto de obtener informacin vital
y clasificada de las compaas, como de
atentar contra sus infraestructuras de red o
contra alguno de sus componentes, pudiendo
causarles muy graves daos.

Demo

Ver Anexo 1

Conclusiones

La ventaja competitiva que brindan las redes

inalmbricas y que radica en sus inmejorables
condiciones de flexibilidad, movilidad e
interoperabilidad con redes convencionales
existentes, hace que este tipo de tecnologas
sea cada da mas atractiva y tenga mayor
acogida dentro del mercado, no slo para uso
personal, como son ampliamente empleados
los dispositivos Pdas en la actualidad, sino
para uso empresarial, en la construccin y
ampliacin de redes corporativas.

Es aqu donde las ciencias de la seguridad

informtica y la computacin forense entran a
jugar un papel muy importante en la
proteccin de la informacin y de las
infraestructuras, as como tambin en la
deteccin,
rastreo,
identificacin
e
inculpamiento de intrusos, con base en
evidencias digitales recolectadas y analizadas
en forma clara y con procedimientos
legalmente vlidos. Este proceso mencionado
anteriormente, bsicamente hace referencia al
trabajo de un investigador forense.

Es as como este auge de las redes

inalmbricas o wireless no slo ha llamado la
atencin
de
los
administradores
de
infraestructuras tecnolgicas y directivos de
las empresas, sino tambin de aquellos

30

Hay que tener muy en cuenta que como paso

preliminar a toda investigacin forense, es
necesario
conocer
la
estructura
y
funcionamiento general de la red a investigar,
de forma que los procesos de bsqueda,
aseguramiento e incautamiento de evidencia,
puedan realizarse de forma gil y cuidadosa.
Este requerimiento, como se especific en el
artculo, es an ms importante en las redes
inalmbricas, puesto que las caractersticas de
movilidad de la red, pueden conducir al xito o
fracaso de una investigacin, segn se actu a
tiempo o no; adems, y como sucede en
muchas redes, la informacin almacenada
tanto por la red, como la generada durante una
comunicacin, es voltil y no permanece por
periodos de tiempo prolongados (segn el tipo
de informacin) en los registros de lo equipos.

Referencias

[1] Cisco Systems Inc, Wireless LAN

Security, 2001
[2] Casey E., Handbook of Computer Crime
Investigation, 2001.
[3] David Watkins, Wireless Networks,
Noviembre del 2001.
[4] Richard Levine, Digital Switching, Abril
del 2001.
[5] Timothy E. Wright, The Field Guide for
Investigating Computer Crime, Enero del
2000.
[6] Redes Inalmbricas http://www.
jeuazarru.com/html/wireless_lan.html, 2002

Adicionalmente, el conocimiento de las

vulnerabilidades que atacan a la red, tanto por
parte de los administradores como de los
investigadores forenses, pueden ayudar a
evitar posibles fraudes o delitos y a guiar una
investigacin en bsqueda de evidencia.

[7] Daryl Stargel, Wireless Lans and 802.1X,

Diciembre
12,
2001
http://rr.sans.org/wireless/8021X.php
[8] Alicia Laing, The Security Mechanism For
Ieee 802.11 Wireless Networks, Noviembre 24
de 2001, http://rr.sans.org/wireless/netsec.php

Con base en el artculo presentado podemos

concluir que las ciencias de la computacin
forense, las cuales en un momento
determinado pueden efectuar este tipo de
anlisis, an se encuentran en evolucin para
estas nuevas tecnologas inalmbricas y que
hace falta mucho camino por recorrer antes de
alcanzar el alto grado de madurez que hoy en
da tienen los procedimientos, tcnicas y
herramientas empleados para el control y
anlisis de las redes convencionales cableadas.

[9] Daniel Owen ,Wireless Networking

Security: As Part Of Your Perimeter Defense
Strategy,
Enero
23,
2002,
http://rr.sans.org/wireless/IEEE_80211.php
[10] Robert E. Mahan, Security In Wireless
Networks,
Noviembre
14,
2001,http://rr.sans.org/wireless/wireless_net3.
php

El reto para todos aquellos que hacen parte del

mundo de la seguridad informtica an es
grande y se refiere principalmente en disear y
desarrollar ms y mejores tcnicas y
herramientas de las que hoy en da se
encuentran para las computacin forense en
medios wireless, y construir con base en una
investigacin seria y dedicada un discurso
metodolgico procedimental, que sirva como
base para todos aquellos analistas que en un
futuro tengan que afrontar anlisis forenses
sobre infraestructuras tecnolgicas basadas en
medios o componentes inalmbricos.

[11] Gloria Soto Prez, De qu esta hecha tu

PDA?
http://microasist.com.mx/
noticias/mo/gspmo0711.shtml
[12] Joseph Grand, pdd: Memory Imaging and
Forensic Analysis of Palm OS Devices,
http://www.atstake.com/research/reports/pdd_
palm_forensics.pdf
[13] Katholieke Universiteit Leuven, Greles
LAN,
2001,
http://www.esat.kuleuven.ac.be/~brodiers/h23
9/

31

[14] Asma Jamsin, Known Vulnerabilities in

WLANS Security, Noviembre 10 de 1999,
http://www.tml.hut.fi/Studies/Tik110.300/1999/Wireless/vulnerability_4.html

[25] Francisco Ramos OReilly, LIBERTY, un

troyano
para
PALM
http://microasist.com.mx/noticias/mo/fromo23
08.shtml

[15] Gerg Redder, , Octubre 29,

Implementation of a Secure Wireless Network
on
a
University
Campus
2001,
http://rr.sans.org/wireless/wireless_univ.php

[26] Allan Hollowell, A Virus in the Palm of

My
Hand,
September
,
2000
http://rr.sans.org/PDAs/virus_in_hand.php
[28] Airopeek,
http://www.wildpackets.com/products/airopee
k

[16] KingPing y Mudge, Security of the Palm

Operating System and its Weaknesses Agaunst
Malicious
Code
Threats,
http://www.atstake.com/research/reports/securi
ty_analysis_palm_os.pdf

[29]
Airopeek,
http://www.wildpackets.com/elements/AiroPe
ek_Quick_Tour.pdf

[17] Gloria Soto Prez, De qu esta hecha tu

PDA?,
http://microasist.com.mx/noticias/mo/gspmo07
11.shtml

[30] AirSnort,
http://airsnort.sourceforge.net/
[31] AirSnort,
http://www.be-secure.com/airsnort.html

[18] Matthew McDermott, PDA (Personal

Digital Assistant) Security, Abril 2002
http://its.med.yale.edu/security/PDA/
[19]
PDAs

[32]
@Stake
Pdd,
http://www.atstake.com/research/tools/index.h
tml

Susan
Guerrero
A
Security
Primer
Mayo
2001
http://rr.sans.org/PDAs/sec_primer.php
-

[33]
@Stake
Pdd,
http://www.atstake.com/research/reports/pdd_
palm_forensics.pdf

[20] Davin Czukoski, Palm Security,

http://palmtops.about.com/library/weekly/aa06
042000a.htm

[34] Paraben,
http://www.paraben-forensics.com/pda.html

[21] Kingpin, Palm OS Password Lockout

Bypass,
Marzo
2001,
http://www.@stake.com/research/advisories/2
001/a030101-1.txt

[35] International Association of Chiefs of

Police and the United States Secret Service,
Best Practices for Seizing Electronic Evidence,
http://www.netconcept.com/forensics/electroni
c_evidence.htm

[22] Kingpin, PalmOS Password Retrieval and

Decoding,
Septiembre
2000,
http://www.atstake.com/research/advisories/20
00/a092600-1.txt

[36] John Scourias, Overview of the Global

System
for
Mobile
Communications,
http://ccnga.uwaterloo.ca/~jscouria/GSM/gsmr
eport.html

[23] Palm OS Programmer's Companion, pg.

255

[37] Michel Barbeau, Wireless LAN (WLAN)

Protocol

[24] Francisco Ramos OReilly, EL PRIMER

VIRUS
REAL
PARA
PALM
http://microasist.com.mx/noticias/mo/fromo13
04.shtml

[38] Intel, IEEE 802.11b High Rate Wireless

Local Area Networks
[39] WildPackets, WildPackets Guide
Analysis to Wireless LAN

32

Autores

Mauren Alies, Ingeniera de Sistemas,

Estudiante de Magster en Ingeniera de
Sistemas con nfasis en Ingeniera de
Informacin.
Sergio Garca, Ingeniero de Sistemas,
Estudiante de Magster en Ingeniera de
Sistemas con nfasis en Redes.
Fabin Molina, Ingeniero de Sistemas,
Estudiante de Magster en Ingeniera de
Sistemas con nfasis en Ingeniera de
Informacin.
Juan Felipe Montoya, Ingeniero de Sistemas,
Estudiante de Magster en Ingeniera de
Sistemas con nfasis en Informtica Grfica
Maria Isabel Serrano, Ingeniera Electrnica,
Estudiante de Magster en Ingeniera de
Sistemas con nfasis en Redes.

33

ANEXO I.
Herramienta para realizar imgenes de memoria en dispositivos Palm para anlisis forense.
Para la realizacin del demo se selecciono la herramienta pdd (palm dd) la cual es una herramienta
para Windows que realiza imgenes de la memoria de una Palm para la adquisicin de evidencia para
una investigacin Forense. El modo de consola se utiliza para adquirir informacin de la tarjeta de
memoria y para la creacin de una imagen bit a bit de la regin de memoria seleccionada.
Adems de la informacin contenida en la memoria, pdd recupera y despliega la siguiente informacin
sobre el dispositivo:
Nombre del archivo de salida
Hora actual
Nmero de tarjeta
Nombre del productor
Versin de la tarjeta
Fecha de creacin
Tamao de la ROM, RAM
Bytes disponibles en RAM
Versin del sistema operativo
Tipo de procesador
Identificacin de la Flash (Si hay)
Listado 1: Informacin sobre la PDA
Proceso
Inicialmente Pdd recupera y escribe la informacin sobre el dispositivo en un archivo llamado Pdd.txt
(Listado 1), durante el proceso los errores crticos son enviados al error estndar. La imagen en bruto
de la memoria es escrita en un archivo de salida estndar a menos que se especifique un nombre de
archivo en la lnea de comando. Pdd contina recibiendo la informacin hasta que la memoria es
copiada por completo. Solamente cuando la imagen se ha completado, el software pdd
automticamente reinicia el dispositivo para salir del modo de depuracin. El comando <ctrl>C se
puede utilizar para finalizar en cualquier momento la copia de la informacin, cuando se utiliza este
mtodo, es necesario salir del modo de depuracin, ya que el dispositivo contina en este modo.
Una re-arrancada del software es el nico mtodo para deshabilitar el modo de consola de la Palm una
vez este es permitido. Esto puede ser un problema en algunas instancias, ya que una re-arrancada del
software reinicia el rea dinmica, variables globales y limpia y compacta el rea de almacenamiento.
Potencialmente, registros eliminados de la base de datos pueden ser destruidos. Debido a esto se tiene
nicamente una oportunidad para obtener una captura limpia, por lo tanto se debe tener mucho cuidado
al llevar a cabo la descarga inicial de memoria para que la captura y el anlisis de los resultados sean
los esperados.
Haciendo uso de una funcin hash para encriptar la informacin tal como MD5 o SHA-1, sobre la
imagen de memoria generada por el Pdd proporciona una huella digital y una verificacin de
integridad; si se realiza otra imagen de la ram de la Pda, y al utilizar alguna de las funciones descritas
anteriormente para verificacin, podemos determinar que son diferentes debido a que la Palm tubo que
ser re-arrancada cuando se finalizo la primera adquisicin de la imagen de sta. En el caso de la
memoria ROM el valor del hash siempre ser idntico (a menos que el usuario all realizado cambios).
Diagrama de flujo de la funcionalidad del Pdd
La figura 22 ilustra las rutinas internas que se ejecutan al utilizar el programa Pdd

34

El software Pdd se puede ejecutar con las siguientes opciones, si ninguna es definida, el opta por
realizar las opciones que son declaradas por defecto.
Las opciones son las siguientes:
-c cardno: Numero de la tarjeta de la Palm [por defecto = 0 para la tarjeta incorporada]
-d displaytype: 1 = informacin o 2 = tranquila [por defecto = 0 para normal]
-h: ayuda en recursos adicionales
-o filename: la imagen de salida al archivo [por defecto = a.out]
-p port: nombre del puerto serial de comunicaciones [por defecto = COM1]
-t memorytype: RAM o ROM [por defecto = RAM]
A continuacin se puede encontrar una serie de ejemplos que pueden ilustrar la ejecucin y el retorno
realizado por el programa Pdd.
Ejemplo 1:
pdd o outfile.bin d 2
Imagen que contiene toda la informacin contenida en la RAM usando la definicin
de los valores por defecto, escribe la imagen binaria al archivo outfile.bin, El tipo
en que se muestra la informacin es en modo tranquilo, la informacin no es enviada
a la salida estndar.
Ejemplo 2:
pdd -p COM2 -c 1 -d 1
Muestra la tarjeta y la informacin para la tarjeta nmero 1, adems el dispositivo se
encuentra conectado al puerto Com2.
Ejemplo 3:
pdd -t ROM > outfile.txt
Realiza una imagen de la informacin contenida en la ROM, la salida estndar es escrita a el
archivo outfile.txt.

35