Si ha visto un programa de televisión sobre crímenes, probablemente haya visto a analistas extrayendo datos de un teléfono. ¿Qué tan realistas son estos procedimientos? ¿Puede la policía recuperar fotos, textos y archivos borrados de un teléfono?
Veamos qué puede hacer un analista forense con un teléfono.
Por qué ocurren las investigaciones forenses móviles
Una investigación forense móvil se lleva a cabo cuando los datos del teléfono son cruciales para un caso. En 2014, cuando desaparecieron dos niñas de Minnesota, el análisis forense digital ayudó a la policía a encontrar a su secuestrador . Muchos otros casos han sido abiertos por la información tomada del teléfono de la víctima o del perpetrador.
Incluso una simple pieza de información, como un solo mensaje de texto, podría ayudar a los investigadores a resolver un caso. Otras veces, es una imagen más complicada pintada por registros de llamadas eliminados, marcas de tiempo, datos de geolocalización y uso de aplicaciones.
El historial de búsqueda podría resultar incriminatorio. Muchos tipos de información podrían ayudar a la policía a resolver un crimen, y los teléfonos almacenan mucho de ese tipo de información.
Incluso si no eres el principal sospechoso, es posible que la policía quiera revisar tu teléfono. Los teléfonos que pertenecen a las víctimas de delitos pueden proporcionar a la policía datos valiosos, especialmente si esas víctimas están incapacitadas o desaparecidas.
¿Qué puede encontrar la policía forense?
Los analistas forenses pueden realizar diferentes tipos de adquisiciones de datos. La más simple se conoce como "adquisición manual", y consiste en buscar a través del teléfono normalmente. Esto no revela datos eliminados, por lo que no les dice mucho a los analistas.
Una "adquisición lógica" proporciona datos más detallados. Esto implica la transferencia de datos desde el teléfono a una PC. Esta transferencia facilita que los investigadores forenses trabajen con los datos, pero aún es poco probable que recuperen la información eliminada.
Cuando los investigadores quieren ver datos ocultos, utilizan una "adquisición del sistema de archivos". Los dispositivos móviles son grandes bases de datos y la adquisición de un sistema de archivos le da al investigador acceso a todos los archivos de la base de datos. Esto incluye archivos ocultos y raíz, pero aún no hay datos eliminados.
Finalmente, hay una "adquisición física". Este es el tipo de adquisición más difícil, ya que necesita herramientas especiales para volcar una copia del almacenamiento en un archivo. Sin embargo, esto deja todo al descubierto, incluso los archivos eliminados. Esto permite que se lleven a cabo procedimientos como la recuperación forense de mensajes de texto.
¿Puede la policía recuperar mensajes de texto y medios eliminados?
Quizás se pregunte cómo la policía puede leer los mensajes de texto que se han eliminado. En verdad, cuando eliminas algo de tu teléfono, no desaparece instantáneamente.
La memoria flash en los dispositivos móviles no elimina archivos hasta que necesita abrir espacio para algo nuevo. Simplemente lo "desindexa", esencialmente olvidando dónde está. Todavía está almacenado, pero el teléfono no sabe dónde ni qué es.
Si el teléfono no ha sobrescrito los datos eliminados, otra pieza de software podría encontrarlos. Identificarlo y decodificarlo no siempre es fácil, pero la comunidad forense tiene herramientas extremadamente poderosas que los ayudan con este proceso.
Cuanto más recientemente haya eliminado algo, es menos probable que se haya sobrescrito. Si eliminó algo hace meses y usa mucho su teléfono, es muy probable que el sistema de archivos ya lo haya sobrescrito. Si solo lo eliminó hace unos días, es más probable que todavía esté allí en alguna parte.
Algunos dispositivos iOS, como los iPhone más nuevos, dan un paso adicional. Además de desindexar los datos, también los cifran, y no hay una clave de descifrado conocida. Eso va a resultar extremadamente difícil (si no imposible) de eludir.
Muchos teléfonos realizan copias de seguridad automáticamente en la computadora del usuario o en la nube. Puede ser más fácil extraer los datos de esa copia de seguridad que del teléfono. La eficacia de esta estrategia depende de qué tan recientemente se realizó una copia de seguridad del teléfono y del servicio utilizado para almacenar los archivos.
¿Qué tipos de archivos se pueden recuperar?
Los tipos de archivos recuperables pueden depender del dispositivo en el que esté trabajando un analista forense. Sin embargo, hay algunos tipos básicos que es probable que se recuperen:
- Mensajes de texto e iMessage
- Historial de llamadas
- Correos electrónicos
- notas
- Contactos
- Eventos del calendario
- Imágenes y videos
También es posible que los investigadores puedan rastrear los mensajes de WhatsApp eliminados, a menos que estén encriptados. Si usa su Android para el almacenamiento de archivos, es posible que esos archivos también estén almacenados.
¿Qué pasa con el cifrado de los datos de su teléfono?
El cifrado de dispositivos móviles plantea un gran problema para el análisis forense. Si el usuario usó un cifrado seguro y no hay forma de obtener la clave de cifrado, será difícil o imposible obtener datos del teléfono. iTunes incluso les pide a los usuarios que cifren las copias de seguridad que hacen en sus computadoras.
Si bien esto hace que los teléfonos sean menos útiles para los investigadores forenses, existen algunas formas de superar el cifrado. Algunos teléfonos tienen puertas traseras integradas que permiten a los profesionales acceder a los archivos. Otros investigadores podrían adivinar o descifrar su contraseña.
Sin embargo, si no pueden, esos archivos encriptados causarán serios problemas. Si le preocupa el examen forense de su teléfono (por ejemplo, es un periodista con fuentes confidenciales), es una buena idea utilizar la configuración de cifrado más segura que pueda.
¿Qué pasa con WhatsApp?
WhatsApp hace un gran caso para la privacidad, con sus servicios de encriptación de extremo a extremo y buenas prácticas de privacidad. Pero, ¿se puede rastrear una llamada de WhatsApp? ¿Y cómo recupera la policía los mensajes de WhatsApp borrados?
Al momento de escribir este artículo, la página de Seguridad de WhatsApp tiene buenas noticias para los entusiastas de la privacidad:
Esto significa que romper las defensas de WhatsApp sería un desafío difícil para alguien que quiera tener en sus manos tu información.
No solo eso, sino que en el Centro de ayuda de WhatsApp para obtener información para las autoridades encargadas de hacer cumplir la ley , establece que WhatsApp no almacena mensajes en sus servidores. La empresa cumplirá con las solicitudes de la policía, pero solo "antes de que un usuario haya eliminado ese contenido de nuestro servicio".
Sin embargo, no es perfecto. Por ejemplo, Ars Technica informó que, si alguien informa que el contenido no es adecuado para la plataforma, el servicio descifrará algunos de los registros de chat y los enviará a los moderadores para que los revisen. Y las fuerzas del orden se han interesado en observar los metadatos de las comunicaciones para atrapar a los delincuentes.
¿Cualquiera de su información es segura?
Al final, no hay garantías cuando se trata de investigación forense móvil. No hay manera de asegurar completamente cada pieza de información en su teléfono contra un investigador comprometido e inteligente. Al mismo tiempo, no hay forma de acceder a los datos en todos los teléfonos.
Sin embargo, existe una amplia variedad de herramientas en constante evolución. Estos tienen en cuenta el panorama siempre cambiante de la protección de datos. Y, por supuesto, también hay algo de suerte involucrado.
Como siempre, recomendamos lo mismo si desea mantener sus datos seguros. Cifrar todo. Sea inteligente acerca de dónde y cómo realiza copias de seguridad. Utilice contraseñas seguras . Por último, no haga nada que lo ponga en el punto de mira de una investigación forense.
Cómo recuperar mensajes de texto eliminados
Si tiene ganas de realizar algunos análisis forenses de teléfonos celulares por su cuenta, puede recuperar los mensajes de texto eliminados en su teléfono. Hay algunas limitaciones que tendrás que superar, ¡pero es posible!
Los pasos involucrados son bastante largos, así que asegúrese de leer cómo recuperar mensajes de texto en Android o iPhone para ver el cuadro completo.
Mantener sus datos seguros
Entonces, ¿puede la policía recuperar imágenes, textos y archivos eliminados de un teléfono? La respuesta es sí: mediante el uso de herramientas especiales, pueden encontrar datos que aún no se han sobrescrito. Sin embargo, al usar métodos de encriptación, puede asegurarse de que sus datos se mantengan privados, incluso después de eliminarlos.