Cómo es el proceso para hacer un análisis forense de un celular como el que tenía Sabag Montiel

Peritar un teléfono celular es parte del proceso de obtención de pruebas que necesita una investigación judicial. Son datos importantes, porque de sus resultados pueden derivar distintas conclusiones. En el caso particular de Fernando Sabag Montiel, dilucidar, por ejemplo, si es que actuaba solo o hubo una planificación en el intento de asesinato de Cristina Kichner. Pero más allá de estas dudas, LA NACION consultó a distintos especialistas para explicar cómo es el procedimiento que se lleva a cabo para desbloquear un teléfono que tiene clave, patrón o algún elemento biométrico que impide su acceso.

Faraday en cualquiera de sus formas

Lo primero en el operativo es la captura del celular, que idealmente debe mantenerse encendido y ser depositado en una bolsa faraday (por Michael Faraday, el científico inglés que durante el siglo XIX dedicó gran parte de su actividad a investigar el electromagnetismo y la electroquímica). Se trata de una bolsa (o sobre) especial que funciona como una barrera electromagnética, e impide que el dispositivo se conecte a internet por Wi-Fi, datos móviles o que se vincule con otro aparato mediante Bluetooth. “Cualquier conectividad permite programas de acceso remoto, que hacen que el teléfono pueda seguir recibiendo información y esa información puede ir borrando información anterior”, alerta un especialista.

En rigor, sin embargo, por una cuestión presupuestaria suele haber pocos insumos de este tipo, señala otra fuente que está en permanente actividad. Algunos suelen reemplazar la caja Faraday por algún tipo de material que impida las comunicaciones, como papel aluminio (con dos vueltas alrededor del dispositivo). Incluso se ha visto en el ámbito judicial un paquete de papas fritas de tubo, cuyo interior es de cartón metalizado. El objetivo es el mismo: evitar la comunicación con el exterior aún con métodos de dudosa efectividad. Hoy en día, aclara un reconocido perito, “se utiliza mucho el modo avión porque en la mayoría de los dispositivos se puede realizar incluso estando el celular bloqueado”.

Mantener el encendido también puede ser clave porque evitaría lo que en la jerga se conoce como BFU (Before First Unlock; una clave que pide el teléfono cuando se acaba de encender) que le agrega una capa de complejidad mayor al intento de desbloqueo, porque puede ser una clave numérica diferente al patrón, PIN, huella digital o registro facial que se usa para desbloquear el teléfono cuando está en uso convencional. Pero, claro, obliga también a una acción más inmediata de los peritos que deberán actuar mientras el aparato tenga batería. En ocasiones se le suele adicionar una batería externa.

Llegó el momento de la UFED

Con el teléfono protegido de intrusiones externas, llega el momento del análisis en laboratorio. En algunos laboratorios se utiliza un jammer (un inhibidor de señal) para poder tener el celular fuera de la caja Faraday y trabajar más cómodos, sin temor a que el teléfono reciba una instrucción externa que destruya el contenido, o que envíe su ubicación u otro dato al exterior. Pero no se recomienda estar expuesto muchas horas a este tipo de accesorios. Otros lo conectan directamente desde la bolsa al software forense.

Ahí, llegará el instante mismo de conectarlo a una computadora con el software creado por la empresa israelí Cellebrite, cuyas licencias varían. La más “popular” es UFED 4PC, que incluye una valija con cables, memorias, que va a necesitar el perito en función de lo que el proceso le pida. Pero también está la versión Premium. Esta última tiene una alta tasa de efectividad de desbloqueo respecto a la otra, y eso impacta en el precio. Mientras la primera cuesta alrededor de US$ 25.0000 por cada equipo por año, la segunda viene con un equipamiento especial y puede llegar a costar 400.000 dólares. Aunque hay versiones en la nube (modalidad software-as-a-service) que son más baratas.

Entonces, empieza el proceso de extracción que definirá el éxito de la operación. Al conectarlo a la computadora, se verá el primer éxito: si reconoce el equipo (el Samsung A50 está en la lista de los compatibles con UFED). Si no lo hace, habrá que hacer algún tipo de configuración manual. Pero, en todo caso, si salió bien empieza el camino de extracción, que puede ser de distinto tipo.

Tres opciones, de más a menos

Si la opción de extracción es “física”, culminará en el proceso más exitoso posible porque es la que se hace sobre la totalidad el almacenamiento interno del dispositivo, incluido todo lo que está adentro de las aplicaciones, como por ejemplo los chats de WhatsApp. La de “sistema de archivos” funciona como una especie de agente en el teléfono, que cumplirá la tarea de sacar la información que pueda, pero traerá menos información que la “física”. Por último, si es “lógica” obtendrá funcionalidades del dispositivo, como una copia de seguridad del teléfono, pero solo transferirá fuera del teléfono lo que cada desarrollador decidió que traiga; aquí la obtención de datos puede ser acotada.

El éxito dependerá de cada dispositivo. Cada teléfono será una experiencia distinta. El software ya trae precargados algunos modelos cuyo éxito está prácticamente garantizado (extracción física), pero hay otros que se pueden cargar manual y lograr similares resultados. La versión premium (es la que tenía la PSA -honor que comparte con Gendarmería- y por eso recurrieron a ellos) es la que se acerca al 100 por ciento de los casos. La UFED 4PC tiene una tasa de efectividad que ronda el 65 por ciento, según la propia empresa.

“La buena práctica es hacer todas las extracciones que puedas, aunque quizás dupliques algunos archivos”, señala alguien familiarizado con el software. Todo el proceso puede durar -dependiendo de la capacidad del teléfono- unas siete horas. Luego, esos datos obtenidos se almacenan o en equipos propios, servidores en la nube, “y cuando son causas sensibles las guardamos en discos externos”, aseguran especialistas.

Después viene lo último: toda esa “imagen” obtenida de la extracción, llevarla a un programa que interprete lo obtenido y organizarlo. Cellebrite tiene el Physical Analyzer, pero existen muchos otros. Ese software devuelve un árbol de clasificación de contenido, con carpetas como “comunicaciones”, “multimedia”, “correos electrónicos”, etc. Por ejemplo, de la primera categoría, aparecerán los chats de WhatsApp, de Instagram, de Facebook, con la posibilidad de realizar búsquedas de palabras clave. Podrían obtener también sus búsquedas en Google, suscripciones, usuarios de redes sociales, Mercado Pago, etc. El perito entrega esa información al juzgado, o también pueden exportar información a pedido (chats entre fechas, por citar alguna función). Otra clave: la herramienta también puede interpretar contenido borrado. Todo en una interfaz amigable. Entonces, en caso de no mediar problemas, la tarea del perito estaría finalizada.

Rootear o no rootear, esa es la cuestión

Otra posibilidad es que antes de ofrecer opciones de extracción de la información, el software mismo pida permisos de super administrador, lo que en la jerga se conoce como hacer un root en Android o jailbreak en iPhone. “Eso es un momento malo, porque significa utilizar aplicaciones no forenses para rootear y agrega alteraciones en el teléfono, lo que también debería hacerse frente a la defensa, el juez o el fiscal”. Este permiso adicional podría complicar el proceso, incluyendo el borrado de la información. Una fuente aclara que “siempre hay peligro de que eso suceda cuando hacés maniobras de este tipo”.

¿Quién manipuló el celular del atacante de Cristina Kirchner?