Qué duda cabe que la tecnología forense es una de las fuentes de obtención de información dentro de la Ciberinteligencia que, debido a su carácter multidisciplinar y una vez recopiladas todas las pruebas disponibles, permite a los analistas descubrir todos los indicios y evidencias necesarias en la resolución de casos de secuestros y desapariciones.
Cuando imparto clases a los chavales en los centros educativos sobre el empleo de las Tecnologías de la Información y Comunicación, les insisto en que las TIC se han creado partiendo de la base del conocimiento de la naturaleza humana y que es posible, con los medios y la pericia adecuada, recuperar cualquier información existente en un dispositivo tecnológico, haya sido borrada o no. Es más, que haya sido eliminada es el primer síntoma para mirar por qué se ha borrado. Personalmente me encanta mirarlos a los ojos y ver sus caras de asombro, como si pudiera leerles las mentes de todo lo que han hecho con sus móviles, portátiles, ordenadores… Desde ese momento creo que es cuando más atención me prestan.
La localización del dispositivo queda fuera de la finalidad de este artículo, centrándonos en el análisis forense del mismo una vez se halle en nuestro poder. En función de cómo haya interactuado con el medio que lo rodea, el estado del terminal o las protecciones que se le hayan implementado, se deberá proceder de una u otra forma. Cada caso es un mundo, en ocasiones
depende hasta del modelo y versión del smartphone y lo aprendido para otro terminal no es aplicable al que tengamos entre manos.
Recordemos que, para añadir complejidad a la técnica, los programas de mensajería llevan un cifrado adicional para evitar la recuperación de mensajes, como por ejemplo WhatsApp (empleado por el 99% de la población española), que utiliza un método de cifrado de extremo a extremo, es decir, todos los mensajes enviados hacia otro usuario irán cifrados con una clave que sólo podrá ser descifrada por su destinatario; no así ocurre en los grupos de WhatsApp, cuyos mensajes enviados no van cifrados y, por tanto, son fácilmente accesibles para un Perito experto. Para la aplicación de Telegram, sólo en el caso que se active la opción de chat secreto se contará con un tipo de cifrado, por defecto desactivado, pero tiene la característica de enviar mensajes autodestructivos, cuyo borrado es efectuado después de un cierto tiempo. Y eso por mencionar a las dos aplicaciones de mensajería instantánea más utilizadas del mercado, también podrían incorporarse Line, Hangouts, Skype, Slax… y un largo etcétera.
El caso fácil
Es el que nunca ocurre, aquel dispositivo que arranca, no tiene pin de desbloqueo, no está cifrado, lo conectas a un equipo de extracción y puedes acceder a todo su contenido, hacerle una imagen forense y trabajar directamente sobre ella.
El caso más complejo.
Centrándonos en los casos más habituales, podremos tener terminales húmedos, quemados, mojados, parcialmente destruidos… Sólo en la situación que encontremos «virutas tecnológicas» del dispositivo completo podremos darnos por vencidos, para todo lo demás, tenemos a nuestra disposición herramientas, experiencias y conocimientos de los que más han avanzado en este campo, la mayoría de las ocasiones accesibles mediante cursos, eventos o Papers publicados, aunque el 95% de ellos se encuentren en la lengua de Shakespeare.
Sam Brothers, en la U.S. Cybercrime Conference de 2011, nos presentó su ya
famosa «pirámide de clasificación de herramientas de análisis forense para
dispositivos móviles», en la cual, si ascendemos por las distintas fases de
la misma, nos encontramos un procedimiento más invasivo, con un nivel de pericia necesariamente más elevado, un mayor tiempo de análisis y el empleo de muchísimos más recursos técnicos. Sin embargo, el costo no es proporcional a la técnica empleada.
El caso más complejo, que ya lo he sufrido en mis carnes y gracias al cual la alopecia hizo su aparición, fue el de extraer directamente la información necesaria de un dispositivo mediante el procedimiento “Micro Read”, actuando sobre la memoria NAND del mismo (fue providencial un taller al que asistí en la Cybercamp de Incibe en 2018, en el que supe ver de inmediato el camino a seguir). Esto se tradujo en desmontar completamente el terminal, localizar el chip de memoria donde se guarda toda la información sensible que el sistema operativo “inteligente” almacena, proceder a su extracción física de su ubicación en la placa de circuito impreso y recuperar su contenido. El smartphone se había quemado parcialmente y presentaba una fusión de pantalla, placa base, componentes, chasis, batería y plástico. Se tuvo que utilizar un conector específico para la lectura del patillaje del chip de memoria junto a un microscopio de un centro de investigación y al cabo de unos 40 minutos de conexión, se deterioró la superficie, quemándose sin remedio, aunque hubo tiempo suficiente para clonar su contenido. No es una situación apta para cardíacos y menos aún para profesionales sin experiencia (a todos los que nos dedicamos a esto les recomiendo encarecidamente que «practiquen, practiquen, y… ¿he dicho que practiquen?», incluso casos tan complejos y difíciles como el descrito).
En casos más accesibles, los que se pueden dar en las periciales que se nos presenten, mediante el empleo de herramientas hoy día al alcance de cualquiera, como Encase Forensic, Oxigen Forensic, MOBILedit Forensic o la archiconocida Cellebrite Touch, nos pueden proporcionar toda la información contenida en el terminal sin apenas despliegue tecnológico. La inmensa mayoría de las veces, se conectan al puerto de carga del mismo con conectores específicos de cada modelo y, salvo dificultad extra añadida, no necesita siquiera estar rooteado (desprovisto de una pequeña protección
de fábrica que evita que los usuarios cometan errores completamente destructivos).
Con la información obtenida, se producirá el llamado ciclo de inteligencia en el cual los Analistas, presentes en todo equipo multidisciplinar, podrán evaluar, compilar, analizar y difundir sus informes concluyentes para la resolución de la circunstancia por la que los hayan invocado.