iOS 26 presenta varios artefactos forenses nuevos y actualizaciones a los existentes que los investigadores forenses digitales deben tener en cuenta al analizar dispositivos y copias de seguridad. Estos artefactos proporcionan información clave sobre la actividad del usuario, los eventos del sistema, las comunicaciones y más, pero también vienen con complejidades relacionadas con las estructuras de datos y las políticas de retención del sistema operativo.
Descripción general de iOS 26 artefactos forenses
El salto de iOS 18 a iOS 26 trajo cambios significativos en la arquitectura del sistema, la experiencia del usuario y cómo se administran y almacenan los datos. Esto incluye sistemas de mensajería renovados, nuevas características de inteligencia artificial y un cambio general de UX llamado Vidrio líquido. Estos cambios impactan las ubicaciones de los datos, el formato y la accesibilidad para fines forenses.
Artifactos de mensajería nuevos y actualizados
iOS 26 mejora el sistema de mensajería, reteniendo hilos de mensajes complejos y varios tipos de contenido. Los especialistas forenses han identificado:
- Metadatos expandidos y contexto de mensajes almacenados en formatos estructurados, que contienen más detalles sobre la entrega de mensajes, el estado de lectura y los participantes de los hilos.
- Registros o restos de fantasmas de mensajes eliminados y hilos de chat. Estos pueden incluir rastros de conversaciones que los usuarios han eliminado de sus dispositivos, pero aún pueden tener metadatos o datos residuales en registros o copias de seguridad del sistema.
- Las políticas de retención en los mensajes tienen un efecto crítico. Desde iOS 8, los usuarios pueden establecer la retención de mensajes a 30 días, 1 año o para siempre. Cambiar la configuración de retención impacta la presencia o ausencia de cuerpos de mensajes y metadatos asociados en dispositivos y en copias de seguridad de iCloud.
- La evidencia del mensaje eliminado aún puede estar presente en las copias de seguridad o mediante registros del sistema, lo que permite la reconstrucción parcial de comunicaciones anteriores.
Artifactos y desafíos de respaldo
iOS 26 continúa dependiendo en gran medida de las copias de seguridad de iTunes (ya sea encriptadas o sin cifrar) para la extracción de datos forenses:
- Las copias de seguridad cifradas ofrecen acceso a más categorías de datos, como registros de llamadas, datos de salud de Apple e historial de navegadores.
- Las contraseñas de cifrado pueden requerir grietas, aunque dado que iOS 11 restableciendo la contraseña de copia de seguridad es posible con una acción de reinicio de todas las configuraciones, que pierde algunas configuraciones.
- Apple ha implementado la aspiradora automatizada de la base de datos SQLite durante la copia de seguridad, lo que afecta la forma en que los datos eliminados o residuales se pueden recuperar de las bases de datos de copia de seguridad.
- Las copias de seguridad pueden incluir artefactos relacionados con aplicaciones de usuario que comparten documentos y archivos multimedia.
Sistema y artefactos de registro
Los registros del sistema y los archivos de diagnóstico en iOS 26 se han convertido en fuentes vitales de datos forenses:
- Los registros unificados introducidos desde que iOS 10 ahora son aún más completos, proporcionando actividades detalladas del sistema y la aplicación, incluidos eventos de seguridad, intentos de autenticación e interacciones del usuario.
- Sysdiagnose Files Archive Resultes y datos del sistema para un análisis en profundidad.
- Live Syslog captura eventos de dispositivos en tiempo real hasta que se interrumpe el registro, útil para correlacionar los eventos.
- Los registros de bloqueo pueden no contener datos del usuario, pero ayudar a comprender los plazos de ejecución de aplicaciones y detectar la actividad de malware.
Características de inteligencia de IA e inteligencia
iOS 26 incorpora características impulsadas por IA que dejan nuevos trazas de metadatos y artefactos:
- El uso de IA en el seguimiento de mensajes y comportamiento del usuario genera metadatos adicionales sobre interacciones y contexto que pueden aparecer en las bases de datos de aplicaciones.
- Apple Intelligence Frameworks almacena rastros de actividades asistidas por AI-AI más allá de los puntos de datos de comunicación típicos.
Consideraciones de extracción física y lógica
Las herramientas de extracción de datos forenses como Magnet Graykey y Verakey se han actualizado para admitir iOS 26, asegurando que los investigadores puedan acceder a los últimos dispositivos y versiones sin problemas. Los puntos de extracción críticos incluyen:
- Rutas de servicio AFC (Apple File Connection) como `/private/var/mobile/medios/` que contiene datos de aplicaciones multimedia y fotos del usuario.
- Servicio de bloqueo que proporciona información del dispositivo (nombre, versión iOS, identificadores).
- Documentos compartidos "Carpetas de aplicaciones para datos específicos de aplicaciones.
- Extracciones lógicas a través de copias de seguridad de iTunes o acceso AFC a archivos a nivel de usuario.
Implicaciones forenses de retención y eliminación
Un desafío importante en el forense de iOS es la configuración de retención de datos:
- Cuando la retención de mensajes se establece en otra cosa que no sea â para siempre, los datos de mensajes más antiguos se eliminan sistemáticamente tanto del dispositivo como de iCloud, reduciendo la evidencia forense disponible.
- Los registros de fantasmas indican la sombra de los datos eliminados o alterados y pueden señalar los intentos de ofuscar o destruir evidencia.
- Se recomienda a los investigadores que verifiquen la disponibilidad de copias de seguridad, ya que las copias de seguridad pueden contener datos históricos más extensos a pesar de las deleciones en el dispositivo en sí.
Resumen de artefactos clave por categoría
- Mensaje: metadatos de mensajes mejorados, restos de mensajes fantasmas, metadatos de IA.
- copias de seguridad: copias de seguridad de iTunes cifradas/no cifradas; Impactos de aspiración de base de datos.
- Registros: registros de sistemas unificados, archivos de diagnóstico de sysdia, registros de bloqueos, syslogs en vivo.
- Datos del usuario: archivos multimedia, documentos de la aplicación compartida.
- Información del sistema: salidas de servicio de bloqueo, incluidos los identificadores de dispositivos.
- Características de IA: Nuevos metadatos contextuales del uso de AI.
Estos artefactos revelan comunicaciones de usuarios, interacciones de dispositivos, eventos del sistema y proporcionan rutas de rastreo para investigaciones que abarcan casos penales, incidentes de ciberseguridad y consultas corporativas que involucran a iOS 26 dispositivos. Comprender y extraer adecuadamente estos artefactos requiere herramientas forenses actualizadas y atención a la estructura evolutiva que Apple emplea en iOS 26.
Las referencias para estas actualizaciones provienen de contribuciones recientes de expertos forenses y organizaciones como Magnet Forensics, N1 Discovery y Hexordia, que han realizado extensas investigaciones y compartieron hallazgos sobre las técnicas y artefactos de análisis forense iOS 26.