¿Cómo obtienen los analistas forenses datos borrados de su teléfono?

Si ha visto CSI, NCIS y programas similares, es posible que haya visto cómo se pueden encontrar datos en un teléfono inteligente. Pero, ¿cómo se hace? ¿Se pueden extraer datos eliminados del almacenamiento?

Si ha visto CSI, NCIS y programas similares, es posible que haya visto cómo se pueden encontrar datos en un teléfono inteligente.  Pero, ¿cómo se hace?  ¿Se pueden extraer datos eliminados del almacenamiento?
Anuncio

Si ha visto CSI, Ley y orden, o cualquier otro procedimiento policial, es muy probable que haya visto una versión en pantalla de una investigación forense móvil. Por lo general, implica el clic de unos pocos botones y los mensajes de texto y el historial de llamadas de los usuarios aparecen instantáneamente en la pantalla.

La verdad es un poco diferente. Pero, ¿exactamente qué puede recuperarse de un examen forense de su teléfono? ¿Cómo se hace? ¿Por qué los datos eliminados pueden extraerse del almacenamiento? Hay muchas preguntas para responder, así que hicimos algunas investigaciones para encontrar las respuestas.

Por qué suceden las investigaciones forenses móviles

¿Por qué podría un teléfono o tableta someterse a una investigación forense? En muchos casos, la información que se saca de un teléfono puede ayudar a resolver un crimen. En 2014, cuando dos chicas de Minnesota desaparecieron, los análisis forenses digitales ayudaron a la policía a encontrar a su secuestrador. Muchos otros casos han sido abiertos por la información tomada del teléfono de la víctima o del perpetrador.

investigación de teléfono forense
Crédito de la imagen: Roman Yanushevsky a través de Shutterstock

Incluso una simple información, como un solo mensaje de texto, podría ayudar a los investigadores a resolver un caso. Otras veces, es una imagen más complicada. ¿Qué pueden decir las agencias gubernamentales de seguridad a partir de los metadatos de su teléfono? ¿Qué pueden decir las agencias de seguridad del gobierno a partir de los metadatos de su teléfono? Leer más pintado por registros de llamadas borradas, marcas de tiempo, datos de geolocalización y uso de la aplicación. El historial de búsqueda podría ser incriminatorio. Muchos tipos de información pueden ayudar a la policía a resolver un delito, y mucha de esa información se almacena en nuestros teléfonos.

Es importante tener en cuenta que su dispositivo móvil podría ser investigado incluso si no es sospechoso de un delito. Los teléfonos que pertenecen a las víctimas de delitos también pueden proporcionar a la policía datos muy valiosos, especialmente si esas víctimas están incapacitadas o desaparecidas.

Tipos de adquisición de datos

Hay una serie de estrategias de adquisición que los investigadores forenses pueden usar. El más simple se conoce como "adquisición manual" e implica pasar por la interfaz regular para examinar el contenido del dispositivo. Esto requiere mucho tiempo y, a menudo, no es muy útil, porque todo lo que se ha eliminado no está visible en la interfaz estándar.

Una adquisición lógica proporciona datos más detallados. Este tipo de adquisición implica transferir la mayor cantidad de datos posible a través de los canales de transferencia estándar, como los que se utilizarían para sincronizar un teléfono con una computadora. Este tipo de transferencia facilita que los investigadores forenses trabajen con los datos en el teléfono, pero es poco probable que recupere mucha información eliminada.

teléfono enchufado
Crédito de la imagen: Montri Thipsorn a través de Shutterstock

Cuando los investigadores deseen ver datos eliminados, se requiere una adquisición del sistema de archivos. Veremos cómo este tipo de adquisición puede recuperar elementos eliminados en un momento. Los dispositivos móviles son básicamente grandes bases de datos, y la adquisición de un sistema de archivos le da acceso a un investigador a todos los archivos en la base de datos. También hay muchas herramientas forenses que pueden analizar este tipo de datos, facilitando el trabajo del investigador.

Finalmente, hay una adquisición física. Esta es la adquisición más compleja y difícil, ya que implica leer los datos físicos en un chip y transferirlos a otro dispositivo donde se puede trabajar. Esto a menudo requiere herramientas sofisticadas como programadores de chips, y algunas veces incluso herramientas para eliminar el chip del teléfono. Es muy difícil, pero también les da a los investigadores la mayor cantidad de datos para trabajar.

¿Por qué pueden recuperarse los archivos eliminados?

Es posible que se pregunte cómo un software puede encontrar archivos que ha eliminado. Si sabe cómo funcionan las unidades de almacenamiento en computadora, estará familiarizado con los conceptos básicos. La memoria flash en dispositivos móviles en realidad no elimina archivos Cómo eliminar permanentemente datos de una unidad flash Cómo eliminar permanentemente datos de una unidad flash Si desea borrar su unidad flash para que no se pueda recuperar nada, tendrá que tomar acción. Aquí hay algunos métodos simples que puede usar que no requieren experiencia técnica. Lea más hasta que necesite abrir espacio para algo nuevo. Simplemente lo "desindexa", esencialmente olvidando dónde está. Todavía está almacenado, pero el teléfono no sabe dónde o qué es.

Entonces, si esa información no ha sido sobrescrita, otra pieza de software podría encontrarla. Identificar y decodificar no siempre es fácil, pero la comunidad forense cuenta con herramientas extremadamente poderosas que los ayudan con este proceso.

Cuanto más recientemente haya eliminado algo, es menos probable que se haya sobrescrito. Si eliminó algo hace meses y usa mucho su teléfono, es muy probable que el sistema de archivos ya lo haya sobrescrito. Si solo lo eliminaste hace unos días, hay más posibilidades de que todavía esté allí.

Algunos dispositivos iOS, como iPhones más nuevos, dan un paso adicional. Además de desindexar los datos, también los encriptan, y no hay una clave de descifrado conocida. Eso resultará extremadamente difícil (si no imposible) de evitar.

Una de las formas en que los analistas forenses pueden obtener datos eliminados se está salteando el teléfono y buscando copias de seguridad. Muchos teléfonos se respaldan automáticamente en la computadora del usuario o en la nube. Puede ser más fácil extraer los datos de esa copia de seguridad que el teléfono. Obviamente, la eficacia de esta estrategia depende de la frecuencia con la que se hizo una copia de respaldo del teléfono y del servicio utilizado para almacenar los archivos.

¿Qué tipos de archivos se pueden recuperar?

Los tipos de archivos recuperables pueden depender del dispositivo en el que esté trabajando un analista forense. Sin embargo, hay algunos tipos básicos que probablemente se recuperarán:

  • Mensajes de texto e iMessages
  • Historial de llamadas
  • Correos electrónicos
  • Notas
  • Contactos
  • Eventos de calendario
  • Imágenes y videos

También es posible que los mensajes de servicios alternativos de mensajería como WhatsApp o Viber también puedan recuperarse. (Si estos mensajes están encriptados, Cómo habilitar el cifrado de seguridad de WhatsApp Cómo habilitar el cifrado de seguridad de WhatsApp El llamado protocolo de cifrado de extremo a extremo promete que "solo usted y la persona con la que se está comunicando pueden leer lo que se envía". Nadie, ni siquiera WhatsApp, tiene acceso a su contenido. Sin embargo, los investigadores no podrán leerlos. Si usa su Android para el almacenamiento de archivos, esos archivos aún podrían estar almacenados.

¿Qué pasa con el cifrado?

Cifrado de dispositivo móvil 7 razones por las que debe cifrar los datos de su teléfono inteligente 7 razones por las que debe cifrar los datos de su teléfono inteligente ¿Está encriptando su dispositivo? Todos los principales sistemas operativos de teléfonos inteligentes ofrecen cifrado de dispositivos, pero ¿debería usarlos? He aquí por qué el cifrado de teléfonos inteligentes vale la pena y no afectará la forma en que usa su teléfono inteligente. Leer más plantea un gran problema para el análisis forense. Si se utilizó un cifrado fuerte y no hay forma de obtener la clave de cifrado, será difícil o imposible obtener datos del teléfono. iTunes incluso pide a los usuarios que cifren las copias de seguridad que hacen en sus computadoras.

Si bien esto hace que los teléfonos sean menos útiles para los investigadores forenses, existen algunas maneras de pasar el cifrado. Algunos teléfonos tienen puertas traseras incorporadas que permiten a los profesionales acceder a los archivos. Otros investigadores podrían adivinar o descifrar su contraseña.

Sin embargo, si no pueden, esos archivos cifrados causarán serios problemas. Si le preocupa el examen forense de su teléfono (por ejemplo, usted es un periodista con fuentes confidenciales), es una buena idea usar la configuración de cifrado más segura que pueda.

¿Alguna de tu información es realmente segura?

Al final, no hay garantías cuando se trata de investigación forense móvil. Para cualquier lado. No hay forma de proteger completamente cada pieza de datos en su teléfono contra un investigador comprometido e inteligente. Y no hay forma de acceder a los datos en cada teléfono.

Pero existe una amplia variedad de herramientas en constante evolución. Están diseñados específicamente para contrarrestar el panorama siempre cambiante de la protección de datos. Y, por supuesto, también hay algo de suerte involucrado.

Como siempre, recomendamos las mismas cosas si desea mantener sus datos seguros. Encripta todo. Sea inteligente sobre dónde y cómo realizar una copia de seguridad. Use contraseñas seguras Cómo generar contraseñas seguras que combinen con su personalidad Cómo generar contraseñas seguras que combinen con su personalidad Sin una contraseña segura, puede encontrarse rápidamente en el extremo receptor de un cibercrimen. Una forma de crear una contraseña memorable podría ser hacerla coincidir con su personalidad. Lee mas . Y, si es posible, no haga nada que lo ponga en el punto de mira de una investigación forense.

Encriptas tu teléfono? ¿Le preocupa la investigación forense de sus dispositivos móviles? ¡Comparte tus pensamientos en los comentarios a continuación!

In this article