Cargando. Por favor, espere

Cadena de custodia y análisis forense...

Cadena de custodia y análisis forense de smartphones y otros dispositivos móviles en procesos judiciales

Javier Rubio Alamillo

Ingeniero Superior en Informática. Perito informático. Vocal de la Junta de Gobierno del Colegio Profesional de Ingenieros en Informática de la Comunidad de Madrid

Diario La Ley, Nº 22, Sección Ciberderecho, 25 de Octubre de 2018, Wolters Kluwer

Diario La Ley, Nº 9300, Sección Documento on-line, 16 de Noviembre de 2018, Wolters Kluwer

LA LEY 13206/2018

Jurisprudencia comentada
Ir a Jurisprudencia TS, Sala Segunda, de lo Penal, S 208/2014, 10 Mar. 2014 (Rec. 836/2013)
Comentarios
Resumen

Nuestra vida y relaciones personales y profesionales, ya no pueden entenderse sin la interacción diaria a través de los teléfonos móviles y las tabletas. En este contexto, prácticamente en todos los procesos judiciales se presenta alguna evidencia consistente en un dispositivo móvil, del que se pretende, habitualmente, aportar los mensajes y/o archivos intercambiados a través de alguna aplicación de mensajería, como WhatsApp o Telegram. En demasiadas ocasiones la aportación de estos contenidos o la prueba que corresponda (fotografía, audio, archivo informático, etc.), se realiza por medio de un simple documento en papel, sin que se haya realizado un análisis forense que determine la autenticidad e integridad de la información.

I. Definición de smartphone

Un smartphone o teléfono inteligente, es un aparato con el que una persona puede, además de llamar y recibir llamadas telefónicas, enviar y recibir mensajes SMS, intercambiar mensajes utilizando el protocolo XMPP (eXtensible Messaging and Presence Protocol, a través de aplicaciones como WhatsApp o Telegram), así como utilizar multitud de aplicaciones de todo tipo: redes sociales, correo electrónico, compras, juegos, video-llamadas, multimedia, etc. El smartphone tiene capacidades de proceso y memoria equivalentes a las de un computador, por lo que puede considerarse como un ordenador de bolsillo, pudiéndole llegar a reemplazar en algún caso.

El teléfono inteligente tiene, habitualmente, mayor conectividad que un teléfono convencional, pudiendo establecer comunicación a través de diversos protocolos de ídem, como por ejemplo WiFi y 3G/4G/5G, que le permiten conectarse a Internet. Los smartphones también vienen equipados, habitualmente, con tecnología de conexión Bluetooth, que les permiten establecer comunicación con dispositivos cercanos, como otros teléfonos móviles, el coche, el televisor, etc., estableciendo una red domótica. En un futuro no muy lejano, será también habitual que los móviles se conecten a dispositivos como la nevera u otros electrodomésticos, a fin de satisfacer las crecientes necesidades y comodidades de la vida moderna.

Estos dispositivos se manejan a través de pantallas táctiles, que permiten el acceso a las aplicaciones y la utilización de éstas. Los smartphones también poseen, generalmente, cámara (la mayoría de los mismos, tanto frontal —para las video-llamadas—, como trasera, más potente —para las fotografías y los vídeos—), así como un dispositivo GPS y una salida de audio (audio jack, conexión analógica de 3,5 milímetros). Todos estos componentes adicionales elevan las posibilidades multimedia de los terminales, puesto que con ellos se pueden capturar fotografías, pistas de audio y también grabar vídeos, que podrían llegar a ser utilizados como prueba en un procedimiento judicial.

Asimismo, la configuración tan variada de estos terminales, así como las enormes posibilidades que ofrecen las aplicaciones que se pueden instalar en los mismos, les hace propensos a almacenar o tener acceso (a través de Internet), a todo tipo de información privada (o pública), compartida con otros usuarios, como llamadas, mensajes SMsS, mensajes intercambiados a través de aplicaciones como WhatsApp o Telegram, fotografías, audios, vídeos, archivos informáticos de tipología Word, Excel o PDF, información obtenida de redes sociales como Facebook, Linked-In, Instagram, etc. Cualquier tipo de fichero informático es susceptible de ser creado y/o enviado a través de un dispositivo smartphone.

II. Tipología de dispositivos móviles inteligentes

Existen varias tipologías de dispositivos móviles inteligentes, divididas fundamentalmente en:

  • Teléfonos móviles inteligentes o smartphones propiamente dichos, con un tamaño de pantalla de hasta cinco pulgadas, aproximadamente.
  • Tabletas o tablets que, a efectos jurídicos, son idénticas a los smartphones, con la diferencia de que poseen una pantalla más grande, a partir de unas siete pulgadas.

Existen algunos tamaños en los que se difumina la definición entre smartphone y tablet, así como entre tablet y ordenador portátil.

III. Normativa nacional e internacional sobre análisis forense de evidencias informáticas

Los dispositivos móviles inteligentes son evidencias informáticas y como tal han de ser tratadas cuando se incorporan a un procedimiento judicial. Existe numerosa normativa técnica, nacional e internacional, de instituciones normativas como la ISO o la UNE, en las que se especifica el tratamiento que deben tener este tipo de evidencias.

Según las diferentes normativas, nacionales e internacionales, sobre análisis de evidencias informáticas, como por ejemplo la ISO/IEC 27037:2012, la UNE 71506:2013 o la RFC 3227, el proceso de análisis de una evidencia informática se divide, grosso modo, en los siguientes subprocesos: identificación de la evidencia, preservación de la evidencia, adquisición de la evidencia, análisis forense de la evidencia y presentación del análisis forense de la evidencia.

1. Identificación de la evidencia

Es necesario, dentro del escenario físico que va a ser investigado, identificar qué objetos se corresponden con evidencias informáticas, en el caso de estudio de este artículo, dispositivos móviles, al objeto de inventariarlas adecuadamente. Una opción muy interesante sería introducir todas y cada una de las evidencias móviles en bolsas especiales denominadas jaulas de Faraday. Las jaulas de Faraday impiden la transmisión, tanto al interior de la bolsa como al exterior de ésta, de ondas electromagnéticas y, por tanto, de ningún tipo de información o comunicación. Este tipo de enjaulado, impediría la activación de programas informáticos conocidos como «botones del pánico», desde el exterior, que pudieran eliminar la información que almacenan los terminales, aunque no siempre se dispone de ellas. Otra opción puede ser abrir el compartimento de la batería y extraerla, pero ya muchos terminales no permiten el acceso a la batería, lo que haría inviable esta opción y mucho más interesante la opción de utilizar la jaula de Faraday.

Es importante que, en las intervenciones judiciales, el letrado de la administración de justicia certifique el lacrado o precinto de la bolsa en la que se almacene cada evidencia, junto a su numeración, al objeto de mantener la cadena de custodia sobre la misma. Si es posible, en la diligencia, se debería reseñar, junto al número de bolsa en la que ha sido precintada la evidencia, la marca, el modelo y el número de serie del terminal, si aparece visible, o alguna fotografía identificativa del mismo en caso contrario.

Es esencial que el precinto de la bolsa tenga algún tipo de marca (como una o varias firmas cruzadas), que garantice lo que en la jurisprudencia se ha dado en llamar la «mismidad» de la prueba (STS 1190/2009 (LA LEY 247525/2009)), es decir, que la prueba se mantiene tal cual es, inalterada.

La identificación de la evidencia es esencial, como manifiesta la STS 372/2011 (LA LEY 71583/2011), en la que, tras haberse impugnando una evidencia informática por, presuntamente, no haberse identificado de manera adecuada cuando fue intervenida, se deniega dicha impugnación ya que, según recoge la sentencia, sin ningún género de dudas, el acta del secretario judicial identificaba adecuadamente el disco duro intervenido, con su marca, modelo, número de serie, capacidad y, de la misma manera, al disco duro inicialmente vacío en el que fue volcado in situ el disco original intervenido.

2. Preservación y cadena de custodia de la evidencia

La preservación de la evidencia tiene que ver, una vez más, con la cadena de custodia de la misma. La evidencia deberá ser custodia por funcionarios policiales o judiciales, siempre dentro de su bolsa lacrada, hasta el momento en que, ante el letrado de la administración de justicia, se proceda al desprecinto de la evidencia. Ningún funcionario policial o judicial está autorizado a abrir la bolsa contenedora de la evidencia, desprecintando la misma, si no es ante la presencia del letrado de la administración de justicia.

Las evidencias informáticas son manipulables y, en multitud de ocasiones, es imposible detectar una eventual manipulación. Por ejemplo, es muy sencillo modificar un mensaje enviado a través de WhatsApp, ya que, para ello, basta únicamente con alterar un registro de la base de datos en que se almacenan estos mensajes, sin que quede rastro alguno de su fecha de modificación o vestigio del mensaje anterior, tal y como fue demostrado por este profesional en un artículo técnico (1) publicado en su página web hace tres años, con una notable repercusión en los medios más importantes del país, tales como el diario El Mundo (2) , la cadena COPE (3) o el Telediario de Televisión Española (4) , así como en medios internacionales. Por impactante que parezca, tres años después, aún es posible manipular los mensajes de WhatsApp sin dejar rastro.

Todo ello convierte en imprescindible que la preservación de una evidencia informática móvil sea un aspecto crucial del proceso judicial en el que una evidencia de este tipo pueda llegar a convertirse en prueba de cargo. La STS 208/2014, de 10 de marzo de 2014 (LA LEY 26590/2014), abunda en la definición de cadena de custodia y considera que «se viene entendiendo por la doctrina como cadena de custodia el conjunto de actos que tienen por objeto la recogida, el traslado y la conservación de los indicios o vestigios obtenidos en el curso de una investigación criminal, actos que deben cumplimentar una serie de requisitos con el fin de asegurar la autenticidad, inalterabilidad e indemnidad de las fuentes de prueba».

3. Adquisición o volcado de la evidencia (aspectos procesales)

El proceso de adquisición o volcado forense de la prueba, es otra parte fundamental del procedimiento. El volcado consiste en el traslado de la información del soporte original (un dispositivo móvil inteligente), a un soporte informático como una memoria USB o un disco duro, garantizando que la información volcada y, por tanto, almacenada en el soporte de destino, sea una imagen espejo de la original, es decir, exactamente igual a ella, sin que se pueda añadir, eliminar o modificar información.

Este proceso, con tecnología móvil, es la parte de mayor criticidad. Cuando se trata del disco duro de un ordenador, es una tarea prácticamente trivial, puesto que, con cualquier clonadora forense estándar del mercado, se puede realizar una copia bit a bit, almacenando la misma en formato de disco o imagen, siendo preferible esta última modalidad (imagen), para evitar sorpresas en cuanto a la integridad de la prueba, puesto que la huella digital calculada para la copia destino, en caso de utilizar la modalidad de disco, podría llegar a ser distinta que para la copia origen (en función del modelo del disco destino), siendo distinta con total seguridad, si el disco destino se conecta, posteriormente, a un ordenador sin precauciones de bloqueo de escritura en este caso (independientemente del modelo del disco destino). La huella digital (5) , o código hash, es la que garantiza la «mismidad» de una evidencia informática, de tal suerte que, cualquier manipulación, por mínima que sea, que se realice sobre un archivo o conjunto de datos del que se ha calculado su código hash, originará un nuevo código hash para dicho archivo o conjunto de datos, que obviamente ya no será el mismo.

Deben tomarse importantes precauciones a la hora de proceder al volcado de una evidencia móvil, ya que, como en la mayoría de las ocasiones es necesario encender el terminal, lo cual produce que el sistema operativo se ponga en marcha y modifique los archivos internos, por lo que una segunda y sucesivas extracciones o volcados forenses, no ofrecerán el mismo hash. Esta disertación es relevante en tanto en cuanto no se podrá determinar, en caso de que no se conserve la cadena de custodia, si los cambios en el hash vienen dados por acciones del sistema operativo (inocuas sobre la información sensible), o por manipulaciones de la propia información sensible que no pudieran ser detectadas (como una manipulación sobre WhatsApp). Obviamente, los agentes de la autoridad encargados de proceder al volcado y análisis forense de las evidencias, gozan de presunción de veracidad, pero no es jurídicamente asumible, a juicio de este profesional, que el justiciable, en modo alguno, haga descansar sus derechos fundamentales (especialmente, los recogidos en los artículos 18 (LA LEY 2500/1978) y 24 de la Constitución (LA LEY 2500/1978)), sobre la honorabilidad de los agentes de la ley, que no dejan de ser personas, corrompibles como cualquier otra. Es, por tanto, la propia Justicia la que debe ofrecerle al justiciable las debidas garantías de que las evidencias digitales que podrían servir para condenarle, han sido debidamente preservadas y volcadas, teniendo derecho a que un perito informático de parte realice un contra-análisis forense de las evidencias, constatándose de manera inequívoca que el perito está realizando el estudio sobre la misma información que fue, en primer lugar, intervenida y, posteriormente, volcada, por los agentes de la autoridad.

A este respecto, deberá ser el letrado de la administración de justicia el que otorgue veracidad al volcado de la evidencia mediante la inclusión, en el acta de volcado, de las huellas digitales o códigos hash, de cada uno de los ficheros informáticos resultantes del volcado de la evidencia. Es cierto que la jurisprudencia permite al fedatario judicial ausentarse mientras el volcado se encuentra en marcha (STS 1599/1999 (LA LEY 2501/2000), STS 256/2008 (LA LEY 68710/2008), STS 480/2009 (LA LEY 67225/2009)), ya que el letrado de la administración de justicia no es técnico y, por tanto, desconoce lo que se está realizando, pero obviamente, el funcionario deberá registrar el desprecinto de las evidencias certificando la inviolabilidad de la cadena de custodia y, cuando el volcado concluya, añadir al acta de volcado las huellas digitales o códigos hash de cada uno de los archivos del volcado, así como certificar el reprecinto de las evidencias por si hubiese que realizar volcados posteriores. Las casuísticas, como se comprobará a continuación, son muy variadas.

Si el fedatario constata que la evidencia se encontrare desprecintada, será imposible que un perito informático de parte, o un perito judicial independiente (insaculado judicialmente, es decir, no perteneciente a las Fuerzas y Cuerpos de Seguridad del Estado), puedan analizar con garantías el volcado de la evidencia, ya que no se podrá determinar de manera fehaciente si la prueba fue manipulada con anterioridad al volcado en caso de estar desprecintada. Por otra parte, si no se consigna en el acta de volcado la huella digital de los ficheros del mismo, no se podría determinar si el volcado fue realizado en el instante manifestado en el acta (podría haber sido realizado en cualquier momento posterior). Asimismo, si la evidencia se hallaba precintada, a falta de huella digital para el volcado, sería necesario, en tal caso, proceder a la realización de un segundo volcado adverado por el letrado de la administración de justicia (siempre y cuando el fedatario que realizó el primer volcado, hubiere consignado el desprecinto inicial de la evidencia y consignare el re-precinto de la misma al finalizar el proceso de volcado en el que no se consignó la huella digital).

Si, por otra parte, el fedatario no certifica el re-precinto de la evidencia y no existiera constancia de la huella digital de los archivos del volcado, no se podrá volver a realizar un segundo volcado con garantías de cadena de custodia, debido a lo ya expresado anteriormente, es decir, no se podría saber ni quién, ni cuándo, ni durante cuánto tiempo ha tenido acceso a las evidencias, con capacidad para poder manipularlas y enmascarar los cambios para que éstos no puedan detectarse en el análisis del perito informático de parte que solicita realizar un segundo volcado.

Por tanto, si el letrado de la administración de justicia no certifica el desprecinto inicial de la evidencia o, aunque se certifique el desprecinto de la evidencia, si ninguna de las dos siguientes premisas se cumple, es decir, si no existe código hash consignado en el acta de fedatario público para el volcado de la evidencia, ni tampoco consignación en dicho acta de que, la evidencia, una vez volcada, volvió a ser precintada como si hubiera sido intervenida por primera vez, dicha evidencia debería ser desechada. La razón descansa sobre la jurisprudencia. La STC 170/2003, de 29 de septiembre (LA LEY 10045/2004), señala que «la incorporación al proceso penal de los soportes informáticos» debe realizarse «con el cumplimiento de las exigencias necesarias para garantizar una identidad plena e integridad en su contenido con lo intervenido y, consecuentemente, que los resultados de las pruebas periciales» se llevan a cabo «sobre los mismos soportes intervenidos o que éstos no hubieran podido ser manipulados en cuanto a su contenido». Continúa la sentencia manifestando que los dispositivos informáticos no han estado «a salvo de eventuales manipulaciones externas», lo cual resulta de esencial trascendencia en «aquellos soportes que admitieran» (como, obviamente, un dispositivo móvil inteligente), «una manipulación por su carácter regrabable o simplemente por su naturaleza virgen en el momento de su incautación, e incluso su sustitución por otros», «lo que impide que pueda afirmarse que la incorporación al proceso penal de los soportes informáticos se diera con el cumplimiento de las exigencias necesarias para garantizar una identidad plena e integridad en su contenido con lo intervenido y, consecuentemente, que los resultados de las pruebas periciales se realizaran sobre los mismos soportes intervenidos o que éstos no hubieran podido ser manipulados en cuanto a su contenido».

La integridad del dispositivo móvil incorporado al proceso como pieza de convicción, debe ser, por tanto, inequívocamente preservada, siendo que, evidentemente, el tratamiento que requiere una evidencia informática no es del mismo tipo que el que puede requerir otro tipo de evidencia como un alijo incautado o un arma. La evidencia informática requiere de su propio tratamiento para que se conserve la cadena de custodia sobre la misma y, por tanto, que la «mismidad» de la evidencia sea preservada. Básicamente, este tratamiento se resume en la huella digital o hash, imprescindible para garantizar la integridad de la evidencia, junto a la fecha en que fue calculado y la certificación del precinto inicial, desprecinto y reprecinto.

4. Adquisición o volcado de la evidencia (aspectos técnicos)

Para realizar el volcado de las evidencias informáticas de telefonía móvil, se pueden utilizar diversas herramientas, tanto comerciales como de software libre. La herramienta más conocida a nivel mundial es Cellebrite, siendo ésta la utilizada por la práctica totalidad de las Fuerzas y Cuerpos de Seguridad del Estado del mundo (entre ellas, la Guardia Civil y el Cuerpo Nacional de Policía), así como por multitud de Servicios de Inteligencia. Cellebrite provee de una suite completa para la extracción y el análisis forense de dispositivos móviles, pero existen más herramientas, algunas de ellas de software libre (la jurisprudencia, en la SAN 25/2016, de 28 de septiembre (LA LEY 124497/2016), autoriza la utilización de software libre para el volcado de evidencias informáticas), que permiten la extracción y el análisis de dispositivos móviles inteligentes.

Habitualmente, existen tres tipologías (6) de extracción forense de una evidencia móvil, que se pueden concretar, por nivel de dificultad y completitud creciente, en:

  • Extracción lógica: consiste en realizar una copia de los ficheros almacenados en el dispositivo. Para ello, se utilizan los mecanismos implementados de manera nativa por el fabricante, es decir, aquellos que son utilizados de manera habitual para sincronizar el terminal con un ordenador, de modo que se solicita la información deseada al sistema operativo del dispositivo móvil. Presenta la ventaja de que es el proceso más sencillo de todos, si bien no permite acceder a multitud de información, especialmente a la información borrada que pueda ser recuperada.
  • Extracción del sistema de archivos: permite obtener todos los ficheros disponibles en el sistema de ficheros, lo que no incluye ficheros eliminados o particiones ocultas. La complejidad de esta técnica es mayor que la adquisición lógica y menor que la adquisición física. Para llevarla a cabo, se aprovechan los mecanismos integrados en el sistema operativo para realizar la copia de ficheros, es decir, el Android Device Bridge (ADB) en el caso de Android. Mediante este método es posible recuperar cierta información eliminada ya que algunos sistemas operativos, como es el caso de Android e iOS, se valen de una estructura que utiliza bases de datos SQLite para almacenar gran parte de la información. Así, cuando se eliminan registros de estos ficheros, únicamente se marcan como disponibles para sobreescritura, por lo que siguen estando disponibles y, por tanto, podría ser posible recuperarlos, de manera temporal.
  • Extracción física: es el método más complejo, aunque también es el que ofrece un resultado más próximo a la evidencia original. Consiste en realizar una réplica idéntica del original, bit a bit, es decir, unidad mínima de información a unidad mínima de información, conservando todos los archivos, incluso los borrados. Este procedimiento presenta la ventaja de que es posible buscar elementos eliminados en la evidencia. Su desventaja principal es su complejidad respecto a los otros métodos y el tiempo que lleva su ejecución, requiriendo, en la mayoría de las ocasiones, privilegios de súper-usuario, o técnicas avanzadas como chip-off (consistente, grosso modo, en la desoldadura del chip de memoria para ser extraído desde otro teléfono), o JTAG (consistente en la conexión directa de los pines de la memoria del terminal, mediante el protocolo TAP, para extraer la información en crudo). Es necesario tener en cuenta que los privilegios de súper-usuario, otorgan acceso a todas las bases de datos SQLite y, por tanto, permiten su manipulación, debido a lo cual, este tipo de acceso debe realizarse de manera muy restringida, siempre explicando al fedatario (letrado de la administración de justicia en caso de un procedimiento judicial y notario en caso de un procedimiento de parte), el motivo del mismo (imposibilidad de acceso a una base de datos deseada con otro tipo de extracción), y por supuesto, registrando todo el proceso en el acta de volcado de la evidencia firmada por el fedatario.

Es esencial tener en cuenta que, a diferencia de lo que ocurre en el volcado de un disco duro de tipo HDD, donde el código hash será siempre el mismo, se ejecute la clonación las veces que se ejecute (si es un disco duro de tipo SSD, esta premisa ya no se cumpliría, por lo que sería necesaria una clonación previa del disco SDD a un HDD), cuando se realiza el volcado de una evidencia móvil, el código hash o huella digital habitualmente siempre va a ser distinto, salvo que se esté trabajando con la técnica JTAG, o a partir de un chip de memoria extraído vía chip-off. Las evidencias, por tanto, deben ser preservadas de manera muy escrupulosa, al objeto de que el procedimiento sea forense (7) , es decir, público, repetible.

5. Análisis forense de aplicaciones móviles

La extracción forense o volcado de la evidencia que, como se ha indicado, podrá realizarse también con una herramienta comercial o de software libre, proporcionará una imagen relativamente parecida (o incluso idéntica, dependiendo de la técnica), al contenido del terminal, que podrá analizarse, una vez más, con herramientas comerciales o de software libre. La suite Cellebrite, utilizada por las Fuerzas y Cuerpos de Seguridad del Estado, proporciona una herramienta denominada UFED Physical Analyzer, que posee una ingente multitud de herramientas que permiten extraer, de manera sencilla, toda la información del terminal, como los mensajes de WhatsApp u otras aplicaciones de mensajería, mensajes SMS, llamadas entrantes, salientes y perdidas, fotografías, ficheros de audio, historial de Internet, etc. Asimismo, se puede determinar, mediante el estudio de las bases de datos internas, habitualmente implementadas en la tecnología SQLite (8) , cuándo fueron éstas modificadas por última vez, estableciendo líneas temporales muy útiles para conocer la actividad última del terminal. Existen, asimismo, otras herramientas comerciales muy utilizadas, aunque menos conocidas que Cellebrite, como Oxygen o MobilEdit.

Obviamente, también existen herramientas de software libre que permiten el estudio forense de una extracción o volcado de un dispositivo móvil inteligente. En el caso de una extracción física realizada desde ADB con la herramienta «DD», se podrá utilizar cualquier herramienta capaz de analizar sistemas de ficheros completos, como FTK Imager.

Cellebrite y el resto de herramientas comerciales no son infalibles, ya que no son capaces de detectar posibles manipulaciones en las bases de datos que almacenan la información, es decir, no analizan la información, si no que realizan una presentación amigable de ésta, siendo trabajo del perito el practicar un análisis forense, ayudado de la amigabilidad de la herramienta, que dé con las posibles manipulaciones si es que las hubiera. Éste es el motivo de que se insista en el cumplimiento de la cadena de custodia de manera totalmente escrupulosa, a partir del cálculo de la huella digital o código hash del volcado ante el fedatario del juzgado (el secretario judicial), o el notario, anotando dicha huella en el acta de volcado convenientemente fechada. Sin la huella digital, o sin la fecha, no se podrá determinar con certeza cuándo se realizó el volcado (aunque herramientas como Cellebrite fechan los volcados, pero esta fecha puede cambiarse con anterioridad a la ejecución del volcado), y por tanto, no se podrá saber si las bases de datos del terminal fueron alteradas. La huella digital del volcado y la fecha en que se obtuvo, establecen una marca temporal a partir de la cual es imposible que se haya manipulado el volcado, puesto que si ejecuta cualquier mínima manipulación sobre el mismo, se obtendría otra huella digital.

Este perito que, en su laboratorio, posee una de estas unidades, ha probado, en multitud de ocasiones, a modo de ensayo, a realizar estas manipulaciones en bases de datos SQLite, obteniendo como resultado la no detección de las mismas por parte de la suite de análisis, puesto que, como se insiste, las herramientas únicamente extraen la información, la decodifican y la presentan de manera amigable al investigador; no realizan análisis, simplemente transforman la información para que se pueda comprender. Es imposible determinar si una base de datos de tipo SQLite ha sido alterada o no ha sido alterada únicamente a partir de una extracción forense con una herramienta comercial o de software libre, sin realizar un análisis en profundidad (pero no sólo usando las herramientas, porque como se insiste, éstas no proveen de ese tipo de funciones, sino a partir de los conocimientos y la experiencia profesional del perito en casos parecidos).

Para que el lector pueda comprender la facilidad con la que se puede manipular una base de datos de tipo SQLite, baste con imaginar un archivo de tipo Excel, con celdas, filas y columnas, a los que seguro el lector está más habituado. Pues bien, una base de datos de tipo SQLite, que es la tecnología donde las aplicaciones como WhatsApp u otras almacenan la información, es muy similar, teniendo también una estructura de celdas, filas y columnas, pero con múltiples tablas interrelacionadas y con algunas funcionalidades adicionales, como la optimización, la indexación, etc. Si el lector puede imaginarse ante una tabla de tipo Excel, podrá comprender que manipular una celda, o sea, cambiar su valor y, en lugar de poner «100», cambiarlo a «1000», es algo muy sencillo, siendo que, una vez que se pulsa en «Guardar», la tabla Excel ya queda modificada. Si se cierra y otro usuario abre el fichero Excel, comprobará que, en la celda donde antes aparecía el número «100», ahora aparece el número «1000», siendo imposible determinar, para este nuevo usuario ajeno al archivo y que es la primera vez que lo abre, que en la celda aparecía anteriormente el número «100». Pues bien, con una base de datos de tipo SQLite ocurre exactamente lo mismo, ya que el funcionamiento es, salvando las distancias tecnológicas ya reseñadas, equivalente: celdas, filas y columnas que pueden editarse en pocos minutos, intercambiando la base de datos alterada por la original y, para más inri, modificando después las fechas en las que el nuevo archivo fue copiado, utilizando para ellos instrucciones propias del sistema operativo.

El cálculo de la huella digital es esencial porque, si se tiene una tabla Excel con una celda al azar en la que aparece el número «100», se guarda y se calcula su código hash, una vez se abre el archivo y se borra la celda, o se cambia el número a otro, o se cambia el mismo número a otra celda, o se realiza cualquier acción, o incluso no se realiza nada pero se vuelve a guardar el documento, la huella digital cambiaría totalmente y, por tanto, se sabría que el fichero Excel ha sido manipulado. Pero claro, como se insiste, también es necesario conocer en qué fecha se realizó el cálculo de la huella digital, para delimitar el momento a partir del cual el fichero Excel fue alterado.

Insistiendo, ocurriría exactamente lo mismo con una base de datos SQLite en la que se manipulase cualquier mínimo campo, haciendo indetectable esta manipulación para un perito informático si no se dispone de la huella digital y de la fecha de cálculo de la misma. Asimismo, extendiendo el razonamiento, ocurriría lo mismo para el conjunto completo de la extracción forense de un terminal móvil, con decenas o centenares de bases de datos SQLite, así como decenas, centenares o miles de archivos como pistas de música, fotografías, mensajes de diversas aplicaciones, correos electrónicos, etc., de tal manera que, si se produce un mínimo cambio en cualquiera de estos archivos pertenecientes al conjunto total, la huella digital del conjunto, calculada posteriormente, sería totalmente distinta.

Así pues, es necesario, además de calcular la huella digital o hash (siempre por supuesto con el mismo algoritmo, que puede ser por ejemplo el SHA-512, el SHA-256, o una combinación del MD5 y el SHA-1), disponer además de un documento fehaciente en el que se recoja la fecha del cálculo de la misma. Esta disertación es muy relevante porque, si una evidencia se manipula, aunque se disponga de la huella digital, si no se dispone de la fecha en que ésta se calculó, no se podrá saber si la evidencia fue manipulada antes o después del cálculo de la huella digital.

Llegados a este punto, el lector se preguntará que, si es tan sencillo manipular una base de datos SQLite, tecnología en la que se almacenan los mensajes de WhatsApp y de centenares de aplicaciones, por qué las empresas que proveen estos servicios no implementan un cifrado para almacenar, de manera segura, dentro de los terminales, los mensajes. Parece lógico, en principio, pensar, que cifrando las bases de datos SQLite se solventaría el problema de la facilidad de que unos mensajes puedan ser manipulados, de tal suerte que, ni usando las mejores herramientas del mercado, sea posible detectar la manipulación.

Este perito informático ha determinado, debido a su trabajo diario, en sus conversaciones con distintos profesionales de la Justicia, que muchos de estos profesionales confunden el cifrado de extremo a extremo (que cifra las comunicaciones mientras son enviadas por el canal, para que nadie pueda espiarlas, no pudiendo ser siquiera, en principio, descifradas por plataformas como SITEL y, por tanto, fuera del alcance teórico de piratas informáticos y Gobiernos), con el cifrado de la base de datos en la que se almacenan los mensajes enviados y recibidos. Es necesario aclarar que una cosa no tiene nada que ver con la otra. El cifrado de extremo a extremo proporciona teórica seguridad a la hora de que nadie pueda espiar lo que el usuario comparte (con salvedades que deberían ser abordadas en otro artículo), mientras que el almacenamiento en el terminal de los mensajes enviados y recibidos, directamente no está cifrado, al menos en WhatsApp.

Para hacerse una idea, si los datos se almacenasen cifrados en las bases de datos y no en texto claro (eres decir, sin cifrar), cada vez que alguien quisiera consultar mensajes o archivos multimedia antiguos (como fotografías, audios o vídeos), al ir hacia atrás en las aplicaciones, tendría que esperar a que el sistema descifrase la información. Esto, obviamente, es muy incómodo por ineficiente y, los usuarios, en un mercado libre, podrían decantarse por aplicaciones que no les hiciesen esperar para consultar sus mensajes ya enviados o recibidos.

Por otra parte, para que este cifrado fuera seguro, las claves tendrían que ser distintas para cada mensaje o sesión y, por supuesto, almacenarse fuera del terminal, bien se use criptografía simétrica o bien se use criptografía asimétrica (es decir, de dos claves), porque si las claves de descifrado se almacenasen en el terminal, esta capa de seguridad añadida ya no serviría de nada, puesto que cualquier experto podría tener acceso a ellas y descifrar y manipular los mensajes y luego volverlos a cifrar ya manipulados, con lo cual se estaría en el punto de partida. Por tanto, en cualquiera de los dos casos (cifrado de una o de dos claves), la aplicación tendría que buscar las claves de descifrado fuera del terminal y, una vez el usuario haya consultado la información, volver a cifrarla usando la misma clave (simétrica), o una clave distinta (asimétrica), borrándolas en ambos casos, pero debiendo permanecer éstas en los servidores, para futuros descifrados. En cualquiera de los dos casos habría que estar permanentemente conectado a Internet, para descargar las claves, con un consumo muy elevado tanto de datos como de ciclos de microprocesador (el cerebro del ordenador), ya que las operaciones de cifrado y descifrado son costosas a nivel computacional. Todo ello nos da la idea de que no es computacionalmente muy rentable cifrar la información una vez se ha enviado o recibido, aunque ya hay algunas aplicaciones que implementan estos tipos de cifrado.

6. Análisis forense de ficheros multimedia contenidos en teléfonos móviles

El análisis forense de ficheros multimedia, como fotografías, o archivos de audio o de vídeo, es teóricamente más sencillo que el análisis de las bases de datos de las aplicaciones. El análisis forense de ficheros multimedia, suele consistir en la investigación y certificación de los metadatos asociados a cada uno de estos archivos, bien se trate de metadatos intrínsecos al archivo, o de información del archivo indexada en el sistema de ficheros. Un metadato es una propiedad del archivo, como las relacionadas con las fechas en que ha sido creado, accedido por última vez o modificado (conocidas como «MAC», del inglés Modified, Accessed, Created), el nombre del fichero, el autor del mismo, etc.

El estudio en profundidad y, sobre todo, en conjunción o en suma, de estas propiedades, determinará la viabilidad de que uno de estos ficheros haya podido ser alterado.

7. Presentación del informe

La presentación es la parte en la que el perito informático expone, en un informe pericial, el proceso de identificación y preservación de la evidencia, así como el procedimiento de volcado de la misma y el resultado del análisis forense, resumiendo todo el procedimiento en unas conclusiones. Estas conclusiones deben ser lo más claras y concisas posible, para no aturdir técnicamente a los juristas ni despistarles del objetivo primordial de su labor, que es proporcional Justicia al justiciable mediante la verosimilitud de las evidencias recolectadas, convertidas ya en pruebas.

El perito informático ratificará en Sala, ante Su Señoría, la Fiscalía (si procede) y las partes (acusación o demandante y, defensa o demandado), las conclusiones del informe, sometiéndose a las posibles preguntas de todos ellos. En el caso del análisis forense de un dispositivo móvil, es importante que todas las partes entiendan perfectamente la exposición del perito y preguntas realizadas al perito, ya que la comprensión de los conceptos relacionados con la tecnología, en muchas ocasiones, es muy compleja.

Por otra parte, es fundamental que el informe pericial informático esté firmado por un perito informático con titulación oficial de informática. Ya se han emitido sentencias, como la STSJ M 531/2017 (LA LEY 136597/2017), en la que se pone de relieve que un título expedido tras realizar un cursillo de una asociación, no es un título oficial de informática que habilite para realizar un informe pericial informático con las debidas garantías. Existen, en el mercado, numerosos pseudo-profesionales carentes de titulación oficial, realizando presuntos informes periciales informáticos. Si bien la tecnología (y, especialmente, la tecnología móvil), es algo muy cambiante y que no se estudia de manera directa en las titulaciones oficiales de informática, no es menos cierto que en estas titulaciones oficiales sí estudian absolutamente todas las bases en las que se fundamentan dichas tecnologías, como protocolos de comunicaciones, sistemas de ficheros, diferentes tecnologías de bases de datos, lenguajes de programación, sistemas operativos como UNIX en los que se fundamentan tanto Android como iOS (las principales plataformas del mercado), interfaces de usuarios, etc. Es una situación, por tanto, equivalente, a cuando aparece un nuevo tratamiento médico; obviamente, el médico, en un principio, no lo conoce, pero con el tiempo y la práctica debido a su titulación y experiencia, conseguirá dominarlo, pues estudió y, por tanto, es experto en los fundamentos y la anatomía del cuerpo humano y todos sus componentes.

III. Limitaciones legales y jurisprudenciales a la hora de realizar el análisis forense a un dispositivo móvil

En general, salvo que medie una orden judicial dentro del marco de un procedimiento penal, habrá muchos aspectos de un dispositivo móvil que no puedan analizarse. Por ejemplo, si un perito informático está analizando un terminal en el marco de un procedimiento laboral, nunca se podrán analizar correos electrónicos personales, únicamente corporativos y con ciertas limitaciones (consistentes en analizar únicamente los correos corporativos previamente leídos por el trabajador —STS 528/2014, de 16 de junio (LA LEY 84992/2014)—, y siempre y cuando se hubiera avisado por escrito al trabajador con antelación, mediante un reglamento interno —STS de 26 de septiembre de 2007 y STS de 6 de octubre de 2011—, o a través del convenio colectivo —STC 170/2013, de 7 de octubre (LA LEY 145700/2013)—).

Asimismo, es muy importante reseñar que, en caso de que la pericial sea encargada a un perito informático de parte, por ejemplo, sobre las posibles actividades ilícitas presuntamente cometidas por una tercera persona, utilizando un dispositivo informático, se debe ejecutar sin posibilidad de interferir sobre ningún otro tipo de actividad realizada por esa persona, especialmente si se trata de actividades enmarcadas en el ámbito personal. La técnica utilizada para ello, en informática forense, es la denominada «búsqueda ciega» (9) , habiendo sido avalada por el Tribunal Supremo en la STS 698/2012. La búsqueda ciega, como su propio nombre indica, busca un patrón concreto en toda la evidencia. Por ejemplo, si se desea encontrar la cadena «farmacia Ramírez», porque el usuario investigado ha realizado tratos de manera ilícita con dicha farmacia, se buscará dicho patrón con la utilidad de búsqueda ciega de la herramienta forense elegida, mostrando ésta todas las ocurrencias de la cadena en la evidencia, es decir, todos los archivos en los que se encuentre dicho patrón (correos electrónicos, archivos ofimáticos de Word o Excel, etc.), sin mostrar ningún otro archivo que pudiera albergar información de índole personal del usuario.

Por otra parte, la instalación en un dispositivo móvil de cualquier tipo de programa espía sin autorización, será absolutamente ilegal, salvo si el teléfono móvil fue entregado por la empresa al empleado y éste firmó un protocolo de uso responsable o en su convenio colectivo se recoge dicho protocolo (sentencias ya señaladas), así como también en el caso de unos padres o tutores que deseen vigilar a su hijo o tutorando menor de edad, avalando la STS 864/2015 (LA LEY 218893/2015) esta actuación.

IV. Conclusiones

Como el lector ha podido comprobar, una evidencia móvil es un elemento muy sensible, sobre todo si se encuentra como pieza de convicción en el marco un procedimiento penal. Si el contenido de la evidencia ha de servir como prueba de cargo para condenar a un acusado, ésta deberá ser precintada cuando es intervenida, siendo identificada tanto la propia evidencia como la bolsa en que se precinta. En cada volcado, asimismo, el letrado de la administración de justicia deberá consignar el desprecinto y reprecinto de la evidencia, así como la huella digital para cada uno de los archivos que conformen el volcado forense y la fecha en que se realizó el volcado.

Las herramientas forenses más utilizadas del mercado transforman la información almacenada en la evidencia, la procesan y la muestran en un formato amigable y vistoso, pero no son capaces de detectar posibles manipulaciones y alteraciones en las bases de datos que utilizan las aplicaciones más usadas actualmente, siendo muy complicado para el perito informático o analista forense, encontrar este tipo de manipulaciones, ya que, resumiendo mucho, una base de datos SQLite es equivalente a una hoja de cálculo de Microsoft Excel, siendo imposible como todo el mundo sabe, determinar si una celda de dicha hoja de cálculo, contenía tal o cual dato en cada momento. Manipular una base de datos de tipología SQLite es extremadamente sencillo para cualquier profesional de la informática forense, sin que se pueda detectar rastro alguno de manipulación, por tanto, es esencial que la cadena de custodia de las evidencias se preserve.

Parece evidente, por tanto, que las evidencias informáticas deberán tener un trato equivalente a cualquier otro tipo de evidencia. Cuando un arma blanca o un arma de fuego se hallan en la escena de un crimen, este tipo de evidencias no se tratan de cualquier manera, sino que existe un procedimiento para su identificación, recogida, etiquetado, almacenamiento y análisis. Es lógico pensar que el forense no va a tomar la evidencia con sus propias manos, sino que se pondrá un guante para no contaminarla y la introducirá en una bolsa de plástico, fotografiando todo el proceso, para posteriormente etiquetarla y almacenarla, al objeto de que el laboratorio la analice cuando el juez lo ordene.

Una evidencia informática no puede ser alterada por el contacto con el cuerpo humano, es decir, puede ser intervenida sin miedo alguno y tomada con las manos, pero debe precintarse adecuadamente, en bolsas imposibles de recomponer tras ser rotas o desprecintadas y, una vez se haya producido el volcado de la misma, la huella digital de dicho volcado debe ser anotada en la diligencia y la evidencia debe ser re-precintada, dejando constancia en el acta del procedimiento, del código de la bolsa desechable original y de que ésta se hallaba precintada, de la fecha del volcado, de la huella digital del mismo y del re-precintado de la evidencia anotando el código de la nueva bolsa de precinto desechable en que se almacene la evidencia para futuros volcados.

(1)

Rubio Alamillo, Javier — http://peritoinformaticocolegiado.es/vulnerabilidad-en-whatsapp-falsificacion-de-mensajes-manipulando-la-base-de-datos/

Ver Texto
(2)

http://www.elmundo.es/tecnologia/2015/10/01/560d531a22601d40448b459b.html

Ver Texto
(3)

http://www.cope.es/player/ponedores-whatsapp-rastro-Javier-Rubio-121015&id=2015101205040001&activo=10

Ver Texto
(4)

http://www.rtve.es/alacarta/videos/telediario/telediario-21-horas-13-10-15/3322221/

Ver Texto
(5)

Rubio Alamillo, Javier — Conservación de la cadena de custodia de una evidencia informática, Diario la Ley, número 8859

Ver Texto
(6)

https://www.incibe-cert.es/blog/herramientas-forense-moviles

Ver Texto
(7)

Del latín forensis, relativo al Foro. En la Antigua Roma, los asuntos públicos y que afectaban al pueblo y al mismo Estado, se debatían en el Foro. Por tanto, forense significa público. Un procedimiento forense es un procedimiento público, es decir, repetible, de tal forma que, tras practicar un análisis a una evidencia, con los mismos condicionantes, deben obtenerse siempre los mismos resultados y conclusiones.

Ver Texto
(8)

SQLite es un sistema de gestión de bases de datos relacional compatible con ACID (atomicidad, consistencia, aislamiento y durabilidad), contenida en una relativamente pequeña (~275 KB) biblioteca escrita en el lenguaje de programación C. SQLite es un proyecto de dominio público creado por Dwayne Richard Hipp, inspirado en el modelo relacional propuesto por Edgar Frank Codd en 1970 (en el que se basan la inmensa mayoría de los sistemas gestores de bases de datos modernos).

Ver Texto
(9)

Rubio Alamillo, Javier — https://peritoinformaticocolegiado.es/blog/peritaje-informatico-utilizando-busquedas-ciegas-para-evitar-acceder-a-informacion-privada/

Ver Texto
Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioWolters Kluwer no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar

Últimos tweets

NÚMEROS DISPONIBLES

Scroll