¿Cómo los analistas forenses obtienen datos eliminados de su teléfono?
Si has visto CSI, La Ley y el orden, o cualquier otro procedimiento policial, es muy probable que haya visto una versión en pantalla de una investigación forense móvil. Por lo general, implica el clic de unos pocos botones y los mensajes de texto y el historial de llamadas de los usuarios que aparecen instantáneamente en la pantalla..
La verdad es un poco diferente. Pero, ¿qué, exactamente, puede recuperarse un examen forense de su teléfono? Como se hace ¿Por qué se pueden extraer datos eliminados del almacenamiento? Hay muchas preguntas que responder, así que investigamos para encontrar las respuestas..
¿Por qué suceden las investigaciones forenses móviles?
¿Por qué podría un teléfono o tableta someterse a una investigación forense? En muchos casos, la información extraída de un teléfono puede ayudar a resolver un delito. En 2014, cuando desaparecieron dos niñas de Minnesotan, los análisis forenses digitales ayudaron a la policía a encontrar a su secuestrador. Muchos otros casos se han roto debido a la información tomada del teléfono de la víctima o del perpetrador..
Incluso una simple información, como un solo mensaje de texto, podría ayudar a los investigadores a resolver un caso. Otras veces, es una imagen más complicada. ¿Qué pueden decir las agencias de seguridad del gobierno a partir de los metadatos de su teléfono? ¿Qué pueden decir las agencias de seguridad del gobierno a partir de los metadatos de su teléfono? Lea más, pintado por registros de llamadas, marcas de tiempo, datos de geolocalización y uso de aplicaciones eliminados. El historial de búsqueda podría resultar incriminatorio. Muchos tipos de información podrían ayudar a la policía a resolver un delito, y mucha de esa información se almacena en nuestros teléfonos.
Es importante tener en cuenta que su dispositivo móvil podría ser investigado incluso si está no sospechoso de un delito. Los teléfonos que pertenecen a víctimas de delitos también pueden proporcionar a la policía datos muy valiosos, especialmente si esas víctimas están incapacitadas o desaparecidas.
Tipos de adquisición de datos
Hay una serie de estrategias de adquisición que los investigadores forenses pueden usar. El más simple se conoce como “adquisición manual” e implica pasar por la interfaz regular para examinar los contenidos del dispositivo. Esto requiere mucho tiempo y, a menudo, no es muy útil, ya que todo lo que se ha eliminado no está visible en la interfaz estándar.
Una adquisición lógica proporciona datos más detallados. Este tipo de adquisición implica transferir la mayor cantidad de datos posible a través de los canales de transferencia estándar, como los que se usarían para sincronizar un teléfono con una computadora. Este tipo de transferencia facilita a los investigadores forenses trabajar con los datos del teléfono, pero es poco probable que recupere mucha información eliminada.
Cuando los investigadores desean ver los datos eliminados, se requiere una adquisición del sistema de archivos. Vamos a ver cómo este tipo de adquisición puede recuperar los elementos eliminados en un momento. Los dispositivos móviles son básicamente grandes bases de datos, y la adquisición de un sistema de archivos le da al investigador acceso a todos los archivos en la base de datos. También hay muchas herramientas forenses que pueden analizar este tipo de datos, lo que facilita el trabajo del investigador.
Finalmente, hay una adquisición física. Esta es la adquisición más compleja y difícil, ya que implica leer los datos físicos en un chip y transferirlos a otro dispositivo donde se pueda trabajar. Esto a menudo requiere herramientas sofisticadas como programadores de chips y, en ocasiones, incluso herramientas para eliminar el chip del teléfono. Es muy difícil, pero también proporciona a los investigadores la mayor cantidad de datos para trabajar.
¿Por qué se pueden recuperar los archivos eliminados??
Tal vez se esté preguntando cómo una pieza de software puede encontrar archivos que ha eliminado. Si sabe cómo funcionan las unidades de almacenamiento de computadora, estará familiarizado con lo básico. La memoria flash de los dispositivos móviles no elimina los archivos. Cómo eliminar datos de una unidad flash de forma permanente Cómo eliminar datos de una unidad flash de forma permanente Si desea borrar su unidad flash para que no se pueda recuperar nada, deberá llevar acción. Aquí hay algunos métodos simples que puede utilizar que no requieren experiencia técnica. Lea más hasta que necesite abrir espacio para algo nuevo. Simplemente “desindexes” Esencialmente, olvidando dónde está. Todavía está almacenado, pero el teléfono no sabe dónde ni qué es.
Entonces, si esos datos no se han sobrescrito, otro software podría encontrarlos. Identificarlo y decodificarlo no siempre es fácil, pero la comunidad forense tiene herramientas extremadamente poderosas que los ayudan en este proceso..
Cuanto más recientemente haya eliminado algo, menos probable será que se haya sobrescrito. Si eliminó algo hace meses y usa mucho su teléfono, es muy probable que el sistema de archivos ya lo haya sobrescrito. Si solo lo eliminó hace unos días, es más probable que aún esté allí en algún lugar..
Algunos dispositivos iOS, como los iPhones más nuevos, dan un paso adicional. Además de desindexar los datos, también los cifran, y no se conoce ninguna clave de descifrado. Eso va a ser extremadamente difícil (si no imposible) de pasar por alto.
Una de las formas en que los analistas forenses pueden obtener datos eliminados es, en realidad, saltarse el teléfono y dirigirse hacia las copias de seguridad. Muchos teléfonos realizan copias de seguridad automáticamente en la computadora del usuario o en la nube. Puede ser más fácil extraer los datos de esa copia de seguridad que el teléfono. Obviamente, la eficacia de esta estrategia depende de cuán recientemente se hizo una copia de respaldo del teléfono y del servicio utilizado para almacenar los archivos..
Qué tipos de archivos se pueden recuperar?
Los tipos de archivos recuperables pueden depender del dispositivo en el que esté trabajando un analista forense. Sin embargo, hay algunos tipos básicos que probablemente se recuperarán:
- Mensajes de texto e iMessages
- Historial de llamadas
- Correos electronicos
- Notas
- Contactos
- Eventos del calendario
- Imagenes y videos
También es posible que los mensajes de servicios de mensajería alternativos como WhatsApp o Viber también puedan recuperarse. (Si estos mensajes están cifrados, cómo habilitar el cifrado de seguridad de WhatsApp Cómo habilitar el cifrado de seguridad de WhatsApp El denominado protocolo de cifrado de extremo a extremo promete que "solo usted y la persona con la que se está comunicando pueden leer lo que se envía". Nadie, ni siquiera WhatsApp, tiene acceso a su contenido. Sin embargo, lea más, los investigadores no podrán leerlos.) Si usa su Android para el almacenamiento de archivos, es posible que esos archivos aún estén en el almacenamiento..
¿Qué pasa con el cifrado??
Cifrado del dispositivo móvil 7 Razones por las que debe cifrar los datos de su teléfono inteligente 7 Razones por las que debe cifrar los datos de su teléfono inteligente ¿Está cifrando su dispositivo? Todos los principales sistemas operativos de teléfonos inteligentes ofrecen cifrado de dispositivos, pero ¿debería usarlo? Este es el motivo por el cual la encriptación de teléfonos inteligentes vale la pena y no afectará la forma en que usa su teléfono inteligente. Leer más plantea un gran problema para el análisis forense. Si se usó un cifrado fuerte y no hay forma de obtener la clave de cifrado, será difícil o imposible obtener datos del teléfono. iTunes incluso les pide a los usuarios que cifren las copias de seguridad que hacen en sus computadoras.
Si bien esto hace que los teléfonos sean menos útiles para los investigadores forenses, hay algunas formas de superar el cifrado. Algunos teléfonos tienen puertas traseras incorporadas que permiten a los profesionales acceder a los archivos. Otros investigadores podrían adivinar o descifrar su contraseña.
Sin embargo, si no pueden, esos archivos cifrados causarán serios problemas. Si le preocupa el examen forense de su teléfono (por ejemplo, es un periodista con fuentes confidenciales), es una buena idea usar la configuración de cifrado más segura que pueda..
¿Alguna de su información es realmente segura??
Al final, no hay garantías cuando se trata de investigación forense móvil. Por cualquier lado. No hay manera de asegurar completamente cada pieza de datos en su teléfono contra un investigador inteligente y comprometido. Y no hay manera de acceder a los datos en todos los teléfonos.
Pero hay una gran variedad de herramientas en constante evolución. Están diseñados específicamente para contrarrestar el panorama siempre cambiante de la protección de datos. Y, por supuesto, también hay algo de suerte..
Como siempre, le recomendamos lo mismo si desea mantener sus datos seguros. Encripta todo. Sé inteligente sobre dónde y cómo retrocedes. Use contraseñas seguras Cómo generar contraseñas seguras que coincidan con su personalidad Cómo generar contraseñas seguras que coincidan con su personalidad Sin una contraseña segura, podría encontrarse rápidamente en el extremo receptor de un ciberdelito. Una forma de crear una contraseña memorable podría ser hacerla coincidir con su personalidad. Lee mas . Y, si es posible, no hagas nada que te ponga en la mira de una investigación forense.
¿Cifras tu teléfono? ¿Está preocupado por la investigación forense de sus dispositivos móviles? Comparte tus pensamientos en los comentarios a continuación!
Explorar más sobre: Seguridad de teléfonos inteligentes, vigilancia.