Así se abren los celulares Android o iPhone bloqueados en las investigaciones judiciales

Este fin de semana comenzó el peritaje de los celulares de los principales involucrados denuncia de coimas en la Agencia Nacional de Discapacidad (ANDIS). La Dirección General de Investigaciones y Apoyo Tecnológico a la Investigación Penal (DATIP), que depende de la Procuración General de la Nación, es la encargada de abrir y pesquisar el contenido de los teléfonos

Sin embargo, como informó TN, ninguno de los implicados entregó la contraseña de sus smartphones. Esto obliga a recurrir a métodos especiales para intentar desbloquear los dispositivos, especialmente los iPhone, que presentan mayores dificultades técnicas.

Leé también: Cómo funciona el Laboratorio de Informática Forense que recupera información de celulares rotos y realiza operativos con drones

Para esa tarea entran en juego los especialistas en peritaje forense digital, expertos capaces de desentrañar los secretos codificados de un dispositivo inaccesible.

Bajar la información almacenada en smartphones secuestrados por la Justicia puede ser vital para que un caso avance y se resuelva.

Llamados también peritos informáticos, estos profesionales trabajan como auxiliares de la Justicia. Son quienes se encargan de ingresar en computadoras, teléfonos, discos rígidos y memorias digitales para recuperar información que asista, pruebe o tenga un valor significativo en un proceso legal.

La seguridad de los dispositivos móviles y la conciencia sobre prácticas de ciberseguridad por parte de los usuarios, crecieron exponencialmente en los últimos años. Actualmente, los peritos forenses digitales se enfrentan a un gran desafío: acceder y recuperar la información almacenada detrás de sistemas de bloqueo biométricos, códigos PIN y encriptación avanzada.

Gustavo Presman, experto perito forense, explicó a TN Tecno que los dispositivos tienen medidas de contraseguridad que se obtienen cuando, por ejemplo, se ingresa un PIN o una contraseña equivocada repetidas veces. En el caso de los dispositivos Apple, el logueo se bloquea y pide esperar una cierta cantidad de minutos para volver a intentarlo. Si se sigue insistiendo con entradas incorrectas, la cantidad de tiempo va en aumento hasta bloquear por completo el dispositivo.

Así es el proceso de peritaje de un celular bloqueado

El proceso de peritaje forense digital comienza con la identificación del tipo de bloqueo presente en el dispositivo. De acuerdo a la naturaleza del caso, los expertos utilizan una variedad de herramientas especializadas para sortear estas barreras digitales. Desde software de desbloqueo hasta hardware especializado, los peritos se valen de la última tecnología disponible en su arsenal.

“Si bien existen técnicas y herramientas especializadas que pueden intentar acceder a dispositivos bloqueados, como smartphones o tablets, estas técnicas varían su eficacia y legalidad dependiendo de varios factores”, dijo a TN Tecno Mario Micucci, investigador de Seguridad Informática en ESET.

El especialista explicó: “Es relevante evaluar el modelo del dispositivo, el sistema operativo y la versión de ese sistema operativo que esté instalado. Y por supuesto, las medidas de seguridad activadas por el usuario: no es lo mismo un teléfono con la configuración de fábrica de su dispositivo a aquel que cuenta con diversas capas de seguridad”.

Luego, la tarea de desbloquear un celular, por ejemplo, empieza de la manera más simple. “La principal técnica para acceder a un dispositivo es a través de la llamada fuerza bruta”, expuso Micucci y agregó: “Básicamente, consiste en intentar loguearse al dispositivo de manera recurrente. Esto por supuesto no se hace de manera manual, sino con un software que va intentando acceder con patrones que se le indican o a partir de un diccionario”

El UFED Premium es un programa que se conecta al dispositivo y busca combinaciones sin parar. Así, dependiendo de lo complicada y fuerte que se la clave, el UFED podrá tardar minutos, días o inclusive meses para dar con la contraseña correcta. En dispositivos Apple, por sus medidas de contraseguridad, el proceso puede llevar años.

Alejandro Musso, fiscal de la UFECI, explicó a TN Tecno: “El sistema tiene la opción de intentar las combinaciones manualmente o en forma automática. Si se elige automática, intentará una combinación cada 15 minutos. Esta forma es más segura porque si se intenta manualmente, aunque se puedan hacer más combinaciones en menos tiempo, se corre el riesgo de que Apple bloquee el dispositivo y lo borre como medida de seguridad”.

Con un intento cada cuarto de hora y las combinaciones posibles que se pueden hacer con seis dígitos, el tiempo máximo para lograr el desbloqueo es de 28 años. “Afortunadamente, siempre se logra antes, pero ese es el cálculo”, agregó Musso.

Una vez que consigue la contraseña se vuelve a conectar el aparato al UFED, se revela cuál es la contraseña y se puede proceder a la extracción total del contenido de cualquier dispositivo.

Vale aclarar que estas herramientas son muy costosas y no todas están al alcance de cualquier usuario. Por lo elevadas que son sus licencias, generalmente son adquiridas por empresas o gobiernos. Lamentablemente, su precio no impide que ciberdelincuentes también pueden acceder a ellas y utilizarlas con fines maliciosos.

Cómo es la extracción física de datos

Por otra parte, la extracción física refiere a la obtención de una copia exacta y completa de todo lo almacenado en un dispositivo. Este proceso busca obtener una réplica forense bit a bit de todos los sectores y datos presentes en rígido o la memoria, e incluye data del sistema operativo, archivos del usuario, metadatos y cualquier otra información almacenada.

La extracción física es más intrusiva y profunda que otros métodos de extracción, como la extracción lógica, que se centra en la obtención de archivos y datos a nivel de sistema operativo sin necesariamente replicar todos los sectores del dispositivo.

Para realizar este tipo de proceso, los peritos forenses digitales usan herramientas especializadas y, en algunos casos, hardware dedicado. Estas herramientas permiten acceder directamente al almacenamiento del dispositivo, sortear medidas de seguridad, copiar cada bit de información presente, y asegurar así una copia forense completa.

“Básicamente, se abre el dispositivo para sacar la memoria y analizarla”, describió Micucci sobre el procedimiento. “También va a depender si el usuario tiene sus datos cifrados o no. En estos casos, por más que se acceda a la información, habrá que desencriptarla también”, agregó.

En un proceso judicial, con en este caso, que implica no destruir ni manipular las copias originales, se tiene que hacer una copia bit a bit del disco. “Nunca se trabaja sobre el disco original, sino sobre un clon del disco, para no manipular la información y evitar alterar el estado original del dispositivo y de la información que se encuentra allí dentro”, agregó Micucci.

“Las aplicaciones que se utilizan para extraer información traen algo que se llama bloqueador de escritura”, continuó el especialista. “Antes de clonar el disco se utiliza un bloqueador de escritura para evitar alterar la estructura de la unidad de almacenamiento y así poder hacer la copia para después poder trabajar sobre ella y evitar modificar el estado original”, contó. Este proceso es necesario porque cada vez que se trabaja sobre un disco, se altera su estructura interna y esto es lo que se debe evitar en materia de análisis forense.

Por último, existe también la opción de contar con la colaboración con los fabricantes. Esta cooperación, dentro del marco de un proceso judicial, puede facilitar el acceso a métodos exclusivos de cada marca para desbloquear dispositivos. Sin embargo, las empresas no siempre acceden a los requerimientos de las autoridades, ya que muchas buscan equilibrar la seguridad de sus productos con la privacidad de los usuarios. Es conocido un caso en el que el FBI pidió a Apple el desbloqueo de un iPhone y la compañía creada por Steve Jobs se negó al pedido de la agencia.

¿Es posible recuperar datos, archivos, mensajes borrados de un celular y aplicaciones como WhatsApp?
“Existen varios procedimientos para recuperar información borrada de discos y de perfiles o plataformas, pero tener éxito también dependerá de cómo se haya borrado esa información, del tiempo transcurrido de la eliminación, del tipo de teléfono, del tipo de sistema operativo, de si se realizó alguna acción posterior a la eliminación de los datos y el nivel de encriptación”, afirmó Micucci.

Aquí hay que determinar si los datos fueron eliminados de manera lógica, es decir, simplemente marcados como espacio libre para ser sobrescritos. En ese caso existe una mayor probabilidad de recuperación. Pero si los datos fueron eliminados de manera segura mediante un proceso que sobrescribe físicamente la información, la recuperación puede ser más difícil o incluso imposible.

Por último, Micucci explicó a TN Tecno este proceso: “Muchas veces, cuando borramos archivos, incluso desde la papelera, por cómo está constituida la arquitectura de una unidad de almacenamiento, en realidad no se elimina, sino que se va a borrar definitivamente cuando se pise por nueva información en el dispositivo”. Para tal fin, los especialistas cuentan con herramientas que analizan sector por sector y descubren cuáles aún no han sido pisados y así acceden a recuperar la información.