Análisis forense de los dispositivos móviles

Desde que el móvil ha llegado a formar parte cotidiana de nuestras vidas, se ha convertido en un compañero del que difícilmente nos desprendemos.

Como si fuera una navaja suiza, lo usamos para todo: como cámara de fotos, como cámara de vídeo, como navegador GPS, para pedir citas online, para leer el periódico, para comprar entradas, como reproductor de música, como medio de comunicación con nuestro entorno, etc.

Y gracias al uso de estas aplicaciones, la información que guardan es muy relevante y en caso de que se cometa algún acto ilegal, en caso de amenazas o acceso no autorizado al dispositivo o para la ayuda en caso de urgencia (por ejemplo ante alguna catástrofe) podría ser de muchísima utilidad acceder a los datos de dichos dispositivos, lo que facilitaría enormemente algunos procesos judiciales y ayudando a los cuerpos de seguridad del Estado en su tarea.

Aquí entra el juego los análisis forenses de los dispositivos móviles que ponen a su disposición los peritos informáticos forenses.

¿Qué es lo que se puede obtener de un dispositivo móvil en caso de un análisis forense? Todos estos datos:

• Se pueden recuperar todas las llamadas, mensajes SMS, y de mensajería instantánea, emails, agenda de contactos, el historial de navegación, calendario, etc. incluso aunque estos se hayan borrado.
• Se pueden recuperar las fotos, vídeos y cualquier tipo de archivo que haya sido almacenado en el dispositivo (incluso aunque se hayan borrado), pudiendo extraer incluso información de en dónde se tomó dicha foto, o dicho vídeo gracias a los datos de ubicación GPS incrustados en forma de metadatos en dicho material multimedia.
• Se puede recuperar fácilmente los trayectos que efectuó dicha persona, gracias a:
  • los datos que pueden proporcionar los operadores de telefonía mediante los registros que ellos tienen de conexión del terminal a las diferentes antenas de telefonía;
  • los datos de posicionamiento que proporcionan las fotos y los vídeos que se han realizado con la cámara del dispositivo móvil;
  • los registros del GPS que usan algunas aplicaciones para su funcionamiento como Uber, Google Maps, Waze, Facebook, Telegram, WhatsApp, etc;
  • los datos compartidos por los relojes deportivos sincronizados con el dispositivo móvil;
  • los datos que proporcionan las aplicaciones para votar o realizar reservas en restaurantes;
  • los datos que proporcionan servicios en la nube pues pueden fácilmente averiguar desde que sitio se realizaron la subida de dichos ficheros;
• Se pueden reconstruir incluso las capturas de las últimas pantallas que aparecieron en el terminal antes de su análisis forense.
• Se puede acceder incluso a lo que se ha estado escribiendo desde dicho dispositivo si el teclado del dispositivo deja algún rastro.

La mayoría de terminales están cifrados con la contraseña o patrón, por ello lo primero que tienen que hacer las herramientas forenses es acceder a dicha contraseña y/o patrón de desbloqueo para poder acceder a dicho contenido. Para ello hacen lo siguiente:

• Clonan el dispositivo original para que, en el caso de que se llegue al límite de intentos impuesto por el fabricante al introducir la contraseña/patrón de desbloqueo, no se destruya el contenido de este.
• Se ha demostrado que para acceder a una contraseña de 4 dígitos, con un ataque de fuerza bruta (es decir probando todas las combinaciones) se tardan unas 16 horas en poder averiguarla.
• Hay técnicas que, tomando fotografías de la pantalla del dispositivo y aplicando posteriormente unos filtros a dichas imágenes, posibilitan ver con claridad el posible patrón gracias a las huellas que quedan.

Aunque hay herramientas gratuitas que permiten hacer la mayoría de análisis forenses, estos no tendrán validez legal si no han autorizados previamente por una autoridad judicial y realizados por un perito debidamente acreditado para ello.