La información contenida en nuestros dispositivos móviles es tan valiosa como personal. Es por eso que en situaciones críticas, como investigaciones criminales o procesos legales, acceder a los datos de un celular bloqueado puede ser vital para que un caso avance y se resuelva.
Para esa tarea entran en juego los especialistas en peritaje forense digital, expertos capaces de desentrañar los secretos codificados de un dispositivo inaccesible.
Llamados también peritos informáticos, estos profesionales trabajan como auxiliares de la Justicia. Son quienes se encargan de ingresar en computadoras, teléfonos, discos rígidos y memorias digitales para recuperar información que asista, pruebe o tenga un valor significativo en un proceso legal.
La seguridad de los dispositivos móviles y la conciencia sobre prácticas de ciberseguridad por parte de los usuarios, crecieron exponencialmente en los últimos años. Actualmente, los peritos forenses digitales se enfrentan a un gran desafío: acceder y recuperar la información almacenada detrás de sistemas de bloqueo biométricos, códigos PIN y encriptación avanzada.
Además, como explicó a TN Tecno Gustavo Presman, experto perito forense, los dispositivos tienen medidas de contraseguridad que se obtienen cuando, por ejemplo, se ingresa un PIN o una contraseña equivocada repetidas veces. En el caso de los dispositivos Apple, el logueo se bloquea y pide esperar una cierta cantidad de minutos para volver a intentarlo. Si se sigue insistiendo con entradas incorrectas, la cantidad de tiempo va en aumento hasta bloquear por completo el dispositivo.
Como es el proceso de peritaje de un dispositivo bloqueado
El proceso de peritaje forense digital comienza con la identificación del tipo de bloqueo presente en el dispositivo. Dependiendo de la naturaleza del caso, los expertos utilizan una variedad de herramientas especializadas para sortear estas barreras digitales. Desde software de desbloqueo hasta hardware especializado, los peritos se valen de la última tecnología disponible en su arsenal.
“Si bien existen técnicas y herramientas especializadas que pueden intentar acceder a dispositivos bloqueados, como smartphones o tablets, estas técnicas varían su eficacia y legalidad dependiendo de varios factores”, dijo a TN Tecno Mario Micucci, investigador de Seguridad Informática en ESET. Y explicó: “Es relevante evaluar el modelo del dispositivo, el sistema operativo y la versión de ese sistema operativo que esté instalado. Y por supuesto, las medidas de seguridad activadas por el usuario: no es lo mismo un teléfono con la configuración de fábrica de su dispositivo a aquel que cuenta con diversas capas de seguridad”.
Luego, la tarea de desbloquear un celular, por ejemplo, empieza de la manera más simple. “La principal técnica para acceder a un dispositivo es a través de la llamada fuerza bruta”, expuso Micucci y agregó: “Básicamente, consiste en intentar loguearse al dispositivo de manera recurrente. Esto por supuesto no se hace de manera manual, sino con un software que va intentando acceder con patrones que se le indican o a partir de un diccionario”
El UFED Premium es un programa que se conecta al dispositivo y busca combinaciones sin parar. Así, dependiendo de lo complicada y fuerte que se la clave, el UFED podrá tardar minutos, días o inclusive meses para dar con la contraseña correcta. En dispositivos Apple, por sus medidas de contraseguridad, el proceso puede llevar años.
“El sistema tiene la opción de intentar las combinaciones manualmente o en forma automática. Si se elige automática, intentará una combinación cada 15 minutos. Esta forma es más segura porque si se intenta manualmente, aunque se puedan hacer más combinaciones en menos tiempo, se corre el riesgo de que Apple bloquee el dispositivo y lo borre como medida de seguridad”, explicó el fiscal de la UFECI de San Isidro, Alejandro Musso. Con un intento cada 15 minutos y las combinaciones posibles que se pueden hacer con seis dígitos, la cuenta máxima para lograr el desbloqueo es de 28 años. “Afortunadamente, siempre se logra antes, pero ese es el cálculo”, agregó Musso.
Una vez que consigue la contraseña se vuelve a conectar el aparato al UFED, se revela cuál es la contraseña y se puede proceder a la extracción total del contenido de cualquier dispositivo.
Vale aclarar que estas herramientas son muy costosas y no todas están al alcance de cualquier usuario. Por lo elevadas que son sus licencias, generalmente son adquiridas por empresas o gobiernos. Lamentablemente, su precio no impide que ciberdelincuentes también pueden acceder a ellas y utilizarlas con fines maliciosos.
La extracción física de datos
Por otra parte, la extracción física en el contexto del peritaje forense digital refiere a la obtención de una copia exacta y completa de todo lo almacenado en un dispositivo. Este proceso busca obtener una réplica forense bit a bit de todos los sectores y datos presentes en rígido o la memoria, e incluye data del sistema operativo, archivos del usuario, metadatos y cualquier otra información almacenada.
La extracción física es más intrusiva y profunda que otros métodos de extracción, como la extracción lógica, que se centra en la obtención de archivos y datos a nivel de sistema operativo sin necesariamente replicar todos los sectores del dispositivo.
Para realizar una extracción física, los peritos forenses digitales utilizan herramientas especializadas y, en algunos casos, hardware dedicado. Estas herramientas permiten acceder directamente al almacenamiento del dispositivo, sortear medidas de seguridad, copiar cada bit de información presente, y asegurar así una copia forense completa.
“Básicamente, se abre el dispositivo para sacar la memoria y analizarla”, describió Micucci sobre este proceso. “También va a depender si el usuario tiene sus datos cifrados o no. En estos casos, por más que se acceda a la información, habrá que desencriptarla también”, agregó.
En un proceso judicial, que implica no destruir ni manipular las copias originales, se tiene que hacer una copia bit a bit del disco. “Nunca se trabaja sobre el disco original, sino sobre un clon del disco, para no manipular la información y evitar alterar el estado original del dispositivo y de la información que se encuentra allí dentro”, añadió Micucci a TN Tecno.
“Las aplicaciones que se utilizan para extraer información traen algo que se llama bloqueador de escritura”, continuó el especialista. “Antes de clonar el disco se utiliza un bloqueador de escritura para evitar alterar la estructura de la unidad de almacenamiento y así poder hacer la copia para después poder trabajar sobre ella y evitar modificar el estado original”, contó. Este proceso es necesario porque cada vez que se trabaja sobre un disco, se altera su estructura interna y esto es lo que se debe evitar en materia de análisis forense.
Por último, existe también la opción de contar con la colaboración con los fabricantes. Esta cooperación, dentro del marco de un proceso judicial, puede facilitar el acceso a métodos exclusivos de cada marca para desbloquear dispositivos. Sin embargo, las empresas no siempre acceden a los requerimientos de las autoridades, ya que muchas buscan equilibrar la seguridad de sus productos con la privacidad de los usuarios. Es conocido un caso en el que el FBI pidió a Apple el desbloqueo de un iPhone y la compañía creada por Steve Jobs se negó al pedido de la agencia.
¿Es posible recuperar datos, archivos, mensajes borrados de un celular y aplicaciones como WhatsApp?
“Existen varios procedimientos para recuperar información borrada de discos y de perfiles o plataformas, pero tener éxito también dependerá de cómo se haya borrado esa información, del tiempo transcurrido de la eliminación, del tipo de teléfono, del tipo de sistema operativo, y de si se ha realizado alguna acción posterior a la eliminación de los datos y el nivel de encriptación”, afirmó Micucci.
Lo primero que se busca cuando se quiere recuperar información es la copia de seguridad. Plataformas como WhatsApp tienen backups en la nube por ejemplo.
Aquí hay que determinar si los datos fueron eliminados de manera lógica, es decir, simplemente marcados como espacio libre para ser sobrescritos. En ese caso existe una mayor probabilidad de recuperación. Pero si los datos fueron eliminados de manera segura mediante un proceso que sobrescribe físicamente la información, la recuperación puede ser más difícil o incluso imposible.
Mario Micucci, investigador de Seguridad Informática, explicó a TN Tecno el proceso: “Muchas veces, cuando borramos archivos, incluso desde la papelera, por cómo está constituida la arquitectura de una unidad de almacenamiento, en realidad no se elimina, sino que se va a borrar definitivamente cuando se pise por nueva información en el dispositivo”. Para tal fin, los especialistas cuentan con herramientas que analizan sector por sector y descubren cuáles aún no han sido pisados y así acceden a recuperar la información.