INTERNET I CIUDAD CON LEY

¿Qué información se puede obtener de un teléfono móvil para una investigación?

El Smartphone y la información que se puede obtener del mismo para las investigaciones policiales es cada vez más importante. No nos despegamos del móvil hasta que por algún motivo, nos despegan o nos vemos obligados a ello. Por tanto, el móvil lo sabe casi todo de nosotros y es la primera información de interés que se debe obtener ¿Qué información se puede obtener?

Teléfonos Silvia Barrera

No es cuestión de plantearse situaciones en las que nos podemos encontrar un móvil: si le ha caído un rayo, si el teléfono está chamuscado, si se ha mojado, si se hace un duplicado de tarjeta, etc. Principalmente, lo que debemos tener claro y entender, a grandes rasgos, es cómo funciona un móvil de forma básica y simple e intentar razonar el porqué se pueden o no realizar ciertas indagaciones y lo que se puede obtener a través del mismo. Vamos allá.

Lo primero es distinguir entre el tráfico de datos y el tráfico de red

Por una parte tenemos el trafico de red, esto es, tráfico de llamadas y SMS, número de abonado, tarjeta SIM, cuyo servicio nos lo facilita la operadora de telefonía que contratamos y que guarda (está obligada por Ley) toda la información relativa a la misma por período de 12 meses ampliable, según casos.

Por otra parte, tenemos el tráfico de datos, para lo que necesitamos una conexión a Internet, que también nos facilita la operadora de telefonía con la que lo hayamos contratado o podemos hacerlo de forma inalámbrica, sin depender de una operadora, por ejemplo, a través del famoso wifi, en un establecimiento comercial o lugar que lo ofrezca de forma “gratuita” (Danger, peligro).

Podemos tener tráfico de datos, es decir, whatsapear o publicar en Twitter sin tener tráfico de red, es decir, sin poder recibir o emitir llamadas. Si no tenemos tarjeta SIM del teléfono, no podremos realizar ni emitir llamadas pero si podemos conectarnos a redes WiFi y por tanto, mandar un WhatsApp o publicar fotos en Instagram.

Si se viaja al extranjero, esto se hace mucho para que no te crujan en la factura por la recepción o emisión de llamadas pero te vas a conectado a las redes wifi (con los riesgos que conlleva) sin gastar dinero y sigues conectado a Internet.

Para que te puedas conectar tanto al tráfico de red como de datos, necesitas recibir la señal de las antenas de un operador. Si tienes voz y recibes una llamada, tu móvil busca la antena más próxima con cobertura y en el momento que comienzas la conversación, la operadora te posiciona a cierta distancia aproximada de la antena. Así se puede ir marcando un recorrido de una persona siempre que haya señal.

Lo mismo ocurre con los datos. Necesitas conectarte a una antena por servicio 3G o 4G de tu móvil o por wifi. Si tienes conectado el wifi, tu móvil está buscando redes disponibles en todo momento así que te recomiendo que lo desactives sin no tienes una red conocida a la que conectarte por motivos de seguridad y porque consume recursos y batería.

Ambos sistemas, el tráfico de voz y datos se pueden interceptar.

Las llamadas de teléfono con voz, SMS y los datos como Whatsapp, correo electrónico, navegación, etc. se pueden interceptar. De forma ilegal, a través de escuchas radiofónicas no permitidas en el caso de voz o a través de los que se denomina un MITM (Man in the Middle). Un malhechor coloca una red inalámbrica maliciosa abierta y te conectas. En su servidor malicioso puede ver que recursos de Internet estás utilizando, webs, aplicaciones y contraseñas en texto plano, es decir, legible y apropiarse a posteriori, de lo que quiera.

También se pueden interceptar tanto llamadas como datos si se cuenta con una orden judicial motivada que justifique la vulneración del derecho del investigado al secreto de las comunicaciones por una investigación. Se hace a través del famoso sistema de interceptación de las comunicaciones, “SITEL” de la policía. De esta forma se podrán aportar a posteriori pruebas para un juicio que se obtengan a través de la interceptación pero siempre supervisado por el Juez.

Pero, a diferencia de las llamadas, la Red es un mundo y evoluciona como tal.

Surgió hace un tiempo, la solución para evitar caer en manos de malhechores pero también para cualquier otra interceptación y es el cifrado. Hasta hace un tiempo, las comunicaciones en Internet se hacían sin cifrar, el HTTP famoso y si alguien interceptaba, fuera quien fuera, sin excepciones, (en la Red no hay dioses ni todopoderosos, ni tan siquiera el FBI) las comunicaciones, el texto que nosotros introducíamos, claves de redes sociales, correos electrónicos, whatsapp, viajaba sin cifrar desde nuestro terminal a la web, se podían ver en texto plano, es decir, legible y pasaba lo que pasaba después, delitos.

Aparece el cifrado SSL+ http= HHTPS y las webs, aunque sean interceptada la comunicación por dioses o malhechores, el contenido ya no puede ser visto de forma legible. &%01..g& ¿Lo entiendes? Eso es lo que se ve con cifrado, texto ilegible cuando es interceptado. Fin.

Si queremos obtener de tráfico de red llamadas y SMS, a efectos policiales, da igual si tenemos o no la tarjeta duplicada, original o triplicada. Si esa línea está dada de alta una operadora española será cuestión de pedir el registro de llamadas por orden judicial sin necesidad de andar duplicando nada. El que se ande duplicando tarjeta era para saber si se recibían las últimas conversaciones de WhatsApp al conectarse a la red de datos, pero esas son gestiones que pueden ser infructuosas por lo siguiente.

Una cosa es la información que se guarda en la operadora, ya sea de telefonía (Movistar, p.e.), otra la que se almacena en la nube (sistema de ICLOUD de Apple, por ejemplo), que hace un backup de la información que contiene el teléfono (o no, depende) y que se puede recuperar desde el propio terminal físico o pidiéndolo a la proveedora de servicios, en este caso Apple, por ejemplo.

Y otra es la información que tenemos contenida en el mismo teléfono físico, a modo de dispositivo de almacenamiento, por ejemplo una conversación de Whatsapp, o las fotos descargadas de Facebook, etc. Una copia lógica/virtual de esa información también se encuentra en los servidores de las aplicaciones que utilizamos, por ejemplo Facebook, otra cosa es que después no se la quieran facilitar a los investigadores por el motivo que sea; o sí, depende.

No es el caso de Whatsapp (Facebook), donde se supone que las conversaciones no se almacenan en sus servidores así que si la conversación no está en el terminal físico, o en una copia de seguridad del móvil en la nube, no es posible recuperar. Se perdió. Fin.

Por tanto, la información que obtenemos o que nos descargamos o intercambiamos a través de las aplicaciones, también queda almacenada en el teléfono móvil. En el móvil sí es legible, se puede ver y se puede extraer, de forma legible mediante técnicas forenses. Otra cosa, es que la información esté cifrada en el terminal por el usuario, que tiene la opción o sea sistema IoS, que va cifrada si se obtiene a través de un proceso forense. Tampoco, si no se puede desbloquear el móvil, tampoco se puede acceder a la información de un terminal bloqueado salvo que se pueda bypassear o exista una herramienta forense ya actualizada que lo haga, incluso, con las últimas versiones de móvil.

Es diferente a la interceptación, al mismo proceso de comunicación y por lo tanto aunque no se pueda interceptar porque la comunicación va cifrada, si podremos acceder al contenido de una comunicación solo si podemos acceder a los datos de ese móvil que se contienen en memorias físicas en el propio móvil.

Ese dispositivo físico tiene contenida la información en una base de datos a la cual se accede a través de diferentes medios ya sea por una extracción física o lógica de la información. Aunque no se pueda acceder al contenido si el software del teléfono (es sistema operativo) está dañado, o no hay una forma de hacerlo con herramientas forenses, se puede a través de la extracción del método “chip off” de la memoria NAND del microprocesador del teléfono o circuito integrado. Es costoso, difícil y se dañar el chip pero se puede. Ese chip está comunicado con el teléfono y para acceder a su contenido, necesitas saber la clave de bloqueo y acceso al terminal. Si no lo sabes, has de probar con fuerza bruta y clonar (para que el original ni se estropee ni se bloquee, al superar el número de intentos) el chip tantas veces haga falta hasta que des con la clave.

Si se accede a la memoria NAND, se accede a la información del microprocesador, el texto está en plano, es legible ya que es el contenido que guarda el dispositivo y por lo tanto, como no forma parte del software (sistema operativo del móvil) ni de una comunicación en proceso, no está cifrado. Dependerá también de que la sal del agua del mar no haya dañado el chip del móvil ¿Será posible la extracción? Veremos.

Gracias a @ciberpoli_ES por su siempre sabiduría y aportación a este artículo.

TECNOXPLORA | INTERNET, CIUDAD CON LEY

Silvia Barrera

Me llamo Silvia Barrera y llevo trabajando en ciberseguridad más de 10 años. He luchado contra el cibercrimen durante muchos tiempo y he participado en investigaciones internacionales en INTERPOL y EUROPOL así que conozco muy bien cómo actúan los cibermalos. La gran mayoría de los ciberdelitos se podrían haber evitado si los usuarios conocieran los peligros reales de la RED. Prevenir siempre es mejor que ver sufrir a sus víctimas. Tienes a tu disposición el correo ciudadconley@atresmedia.com donde puedes hacerme llegar los casos más extraños o novedosos que conozcas.