Las barreras del análisis forense en dispositivos móviles

En análisis de dispositivos telefónicos móviles puede ser, en muchas ocasiones, una labor ardua. Bajo muchas circunstancias, el estudio se puede volver incluso imposible.

Dificultades en la seguridad

La imposibilidad no siempre viene determinada por la capacidad técnica, sino por los requisitos legalmente exigibles a las evidencias que procedan de este tipo de dispositivos. Por ejemplo, una de las condiciones clave en la recolección de evidencias es la asepsia, práctica que asegura que las pruebas recogidas no están contaminadas, y que por tanto, son válidas para ser utilizadas en procesos judiciales. En otras ocasiones, las dificultades sí están causadas por aspectos técnicos, ya que para poder conservar adecuadamente una prueba, ésta ha tenido que ser previamente recolectada con éxito.

Las primeras señales de alarma sobre estas problemáticas técnicas fueron las que el investigador de Cambridge Tyler Moore volcó en un “white paper”, sobre procedimientos policiales a la hora de gestionar los dispositivos móviles en tareas de análisis forense. En un amplio y elaborado estudio titulado “Economics of digital forensics”, Moore realizó un completo barrido por las limitaciones presupuestarias a las que se enfrentan las Fuerzas de Seguridad.

Este estudiante de postgrado resaltó en su documento que existen infinidad de modelos de móviles, con diversos sistemas operativos, y que no existen herramientas de análisis suficientes para cubrir para todas las variedades. Pese a que siempre es posible la inspección forense manual, el estudio determinó que el modus operandi de las fuerzas de seguridad incluía mayoritariamente el uso de herramientas automatizadas de análisis, con lo que la opción de analizar manualmente los dispositivos sólo podía aplicarse en determinadas condiciones, y no siempre.

El empleo de herramientas automatizadas para este tipo de tareas puede tener diversas justificaciones: tiempo disponible para analizar, cantidades de unidades a inspeccionar de modo preliminar, formación y capacidad de los agentes e incluso, la responsabilidad en la manipulación de las pruebas, ya que muchos productos policiales de análisis automatizado están certificados para cumplir determinados aspectos legislativos, y por tanto, son preferibles ante la inspección manual. No menos importante es el factor económico, ya que los presupuestos siempre son limitados y por tanto, el número de horas de auditoría no automatizada lo es también.

Otros inconvenientes

Partiendo de esta premisa, lo más lógico era pensar que las Fuerzas de Seguridad en general tenían en esta falta de medios técnicos un talón de Aquiles de considerable envergadura. Este extremo ha sido confirmado oficialmente por Kevin Mansell, formador del CENTREX británico, la autoridad encargada de la formación de los efectivos policiales en el Reino Unido.

Mansell apunta a la escasa estandarización de sistemas operativos como la causa fundamental del problema. Ante tanta heterogeneidad, los fabricantes de productos analíticos optan por los sistemas mayoritarios, quedando muchas soluciones móviles desatendidas. A este factor se añade el hecho de que los fabricantes de telefonía móvil tampoco contemplan estándares a la hora de almacenar y tratar la información contenida en los dispositivos, lo que añade aún más dificultad a la extracción de evidencias, muy mermada cuando se emplean formatos propietarios que, por ejemplo, pueden contener métodos de cifrado exclusivos que no han sido suficientemente investigados ni documentados.

El creciente uso de aparatos de telefonía móvil los está convirtiendo en piezas clave en las investigaciones policiales. Sin embargo, las dos curvas principales quedan claramente desequilibradas: el aumento de modelos comercializados es directamente proporcional a la baja de rendimiento en técnicas forenses de los mismos, lo que resulta en un problema bastante serio para los investigadores. Adicionalmente, lo que para las autoridades es un problema, es una ventaja para los usuarios finales, que ven en la diversificación una reducción probabilística de que se puedan recuperar datos de dispositivos móviles sustraídos o perdidos. Esta ventaja es aprovechada por los criminales, muchos de los cuales son conocedores de estas limitaciones y las aprovechan para entorpecer al máximo las trazas de sus actividades delictivas.

Una balanza difícil de equilibrar y que tiende, cada día más, a un mayor desequilibrio. La privacidad, la estandarización, los intereses contrapuestos de operadores de telefonía, fabricantes, autoridades y usuarios convierten a este cóctel en una bebida poco miscible.

Aquellos lectores que estén interesados en experimentar este tipo de análisis, pueden recurrir a alguna aplicación de forensia de tarjetas SIM, como por ejemplo, TULP2G, un desarrollo del Netherlands Forensic Institute y que se ofrece en modalidad de código abierto, para ser bien descargado directamente como ejecutable, bien como código compilable con .NET 2.0 Framework SDK.