El misterioso caso de las manzanas podridas (II)

(Esta es una historia de ficción; los personajes y situaciones no son reales; lo único real es la parte tecnológica, que se basa en una mezcla de trabajos realizados, experiencias de otros compañeros e investigaciones llevadas a cabo.)

Según lo visto en la entrada anterior, teníamos a nuestra disposición las siguientes evidencias digitales:

  • Imagen forense (dd) de un GPS TomTom.
  • Volcado lógico de un iPhone5.
  • Volcado físico de un Samsung Galaxy S5.
  • Imagen forense de un Ultrabook HP Spectre.

Una buena forma de comprobar una coartada es verificando la localización GPS, así que vamos a empezar con el análisis forense del navegador, un TomTom One. Si analizamos los artefactos forenses que podemos recuperar, vemos que nos interesan principalmente dos datos:

  • Rutas programadas en el dispositivo: Queremos sobre todo la última ruta realizada, y la encontraremos en el fichero: MapSettings.cfg.
  • Última conexión a GPS realizada: TomTom guarda la última conexión con la red de satélites GPS, algo que nos puede servir para corroborar la exactitud de la última ruta. Deberemos hacernos con el fichero CurrentLocation.dat.

Hay muchas formas de leer la imagen forense, pero quizás la más sencilla sea empleando FTK Imager. Si accedemos a la imagen podemos ver todos los ficheros y acceder a su contenido sin problemas. Aunque estén en hexadecimal, el programa nos hace una conversión que nos deja ver los datos fácilmente: La ruta que lleva a R.G. a su casa, y las coordenadas de la última conexión GPS. Google es cada vez más listo, así que solo hay que meter las coordenadas GPS en el Maps para que nos muestre con más que razonable precisión la casa de R.G.

Sabemos que muchos GPS guardan su posición con una cierta periodicidad en lo que denominan trackpoints. Esta información es de bajo nivel, y no aparece en ningún menú de usuario, por lo que es muy resistente a posibles manipulaciones. Sin embargo, en los TomTom está información está cifrada dentro de la carpeta statdata, y no tenemos acceso al descifrado (hay otro producto de Cellebrite que sería capaz de hacerlo e incluso se podría ir a TomTom con una orden judicial, pero las FFCCSSE no lo estiman oportuno por el momento).

Da la sensación de que no vamos a poder sacar nada más del GPS, así que vamos a centrarnos en los teléfonos móviles. A priori nos interesaría obtener lo siguiente:

  • Llamadas realizadas y recibidas.
  • SMS enviados y recibidos.
  • Chats de Whatsapp (¿hay alguie que no lo tenga hoy en día?).
  • Otras apps de mensajería instantánea.
  • Fotos y vídeos enviados y recibidos.
  • Correos enviados y recibidos.
  • Historial de navegación.
  • Geolocalización del dispositivo.

Empecemos por el iPhone 5. En este caso estamos tratando de un volcado de sistema de ficheros, no una imagen física del terminal, por lo que tendremos las siguientes limitaciones:

  • No tendremos acceso a los correos.
  • No tendremos los datos de geoposicionamiento.
  • No podremos acceder a las cachés del navegador.

El análisis forense de iOS por desgracia carece de herramientas open source intuitivas para este tipo de análisis. Tenemos cosas muy interesantes como el iPhone Backup Analyzer para analizar los backups de iTunes, o iPhone Analyzer (que funciona muy parcialmente bajo iOS 7).

En este caso vamos a optar por el análisis forense tradicional, el de línea de comandos de toda la vida. Abrimos la carpeta del sistema de ficheros en Linux (en modo solo lectura, no olvidemos), y nos hacemos con dos herramientas básicas: un visor de ficheros .sqlite (las BD del dispositivo están en este formato) como SQLite Manager, y un visor de ficheros .plist (donde se guardan las preferencias) como plutil.pl o plistviewer. Estando en Linux el editor hexadecimal viene de serie, así que una vez bien armados podemos ponernos manos a la obra.

Recuperamos las llamadas pero no encontramos nada reseñable. No hay SMS (¿quién los usa hoy en día?), y tampoco hay fotos ni vídeos (tampoco lo esperábamos). No parecen haber otras apps de interés instaladas salvo una para comprobar la bolsa y punto. El tipo es indudablemente espartano en lo que a su móvil se refiere.

Solo nos queda su WhatsApp, así que recuperamos los ficheros Contacts.sqlite y ChatStorage.sqlite del volcado y se lo damos de comer a WhatsApp Xtract para que haga su magia. Nada de interés. Cero. Su Whatsapp es un erial de mensajes de trabajo, trabajo, y trabajo (y eso que es su móvil personal). Por no tener, no tiene mensajes ni de su madre.

Estamos viendo que poco más vamos a sacar del iPhone (si tuviéramos un backup de iTunes a lo mejor podíamos sacar algo más en claro, pero ya nos han avisado que R.G. no lo tiene instalado en el ultrabook), así que vamos a pasar al Samsung S5.

[Nota: Si te interesa el análisis forense de iOS, este libro te va a poner al día en nada: “Learning iOS forensics” – Mattia Epifani, Packt Publishing].

Afortunadamente estamos entrando en territorio Android, donde tenemos una solución ganadora: Autopsy con el módulo Android Analyzer (irónicamente la v3.0 de Autopsy solo está disponible para Windows, así que tendremos que ir donde las buenas herramientas nos lleven…).

En este caso estamos tratando con un volcado físico, por lo que tenemos una partición ext4 con la que podemos trabajar con herramientas forenses como foremost o scalpel para recuperar ficheros borrados (algo que haremos si encontramos algo sospechoso, por ahora tenemos muchos caminos abiertos y hay que optimizar el esfuerzo).

Autopsy es una pequeña maravilla, ya que nos deja en nada acceder a casi toda la información que queríamos verificar. Montones de llamadas (todas de trabajo), ni un solo SMS, ni una triste foto o vídeo, multitud de correos de trabajo… Aquí sí que podemos acceder a los datos de geoposicionamiento, pero R.G. parece un robot: de casa al trabajo, del trabajo a casa y media docena de lugares del centro de Madrid que podríamos asociar con reuniones de trabajo. En la noche de autos tenemos la dirección de la casa de Chamberí de su compañera de trabajo S.P.G, y poca cosa más. Todo parece estar en orden, y concuerda con la declaración de R.G.

Analizar los Whatsapp en Android es un poco más complicado porque están cifrados. Sin embargo, podemos sacar la clave de descifrado del propio sistema de ficheros y junto con el msgstore.db usar Whatsapp Viewer (hay más métodos, pero este es el más sencillo).

Trabajo, trabajo y más trabajo. R.G. es sin duda alguna un adicto al trabajo de primera categoría. Y sus teléfonos móviles están tan limpios que se podría comer encima de ellos.

[Nota: Si quieres aprender más de forense en Android, te interesa este libro: “Android Forensics” – Andrew Hoog, Syngress].

Las FFCCSSE tienen el listado completo de llamadas de ambos móviles de la propia operadora, junto con el posicionamiento de celdas (quizás no tan exacto como el que tenemos del S5, pero con la ventaja de que no puede ser manipulado). Posiblemente hayan un hecho un análisis de tráfico de las llamadas (ver quién llama a quién, cuando lo hace, y detectar anomalías y patrones de interés). Solo por deporte hacemos el mismo análisis sobre los últimos meses de ambos teléfonos. Como era de esperar, no hay nada reseñable: infinitas llamadas desde/hacia su secretaria y otros ejecutivos, compañías de taxi y otros teléfonos que cruzamos con su agenda y descartamos.

Sin embargo, el análisis de tráfico se basa en fijarnos tanto en lo que vemos como en lo que echamos en falta. Es curioso, pero en todo ese tiempo solo hay dos llamadas a S.P.F. Y se supone que es una compañera de trabajo con la que está día a día, codo con codo. ¿No deberíamos ver llamadas, muchísimas llamadas entre ambos?

Hasta este momento R.G. parecía un tipo arrogante que se creía mejor que nadie. Y, aunque la tarea de un perito informático forense requiera de una imparcialidad completa, también somos personas. El instinto (que también es importante en un investigador) nos dice que se cree más listo que nadie, que es un tipo que se cree que siempre puede salirse con la suya.

Por ahora ya tenemos un indicio, leve pero indicio, de que algo no está bien. Y todavía nos queda su portátil. Ya veremos quién termina demostrando ser el más listo: nuestro amigo R.G.H.D.P. (a partir de ahora Realmente Grande Hijo De P… rotésico dental) o nosotros.

El análisis sin piedad del portátil, y alguna que otra sorpresa, en la siguiente entrega.

Comments

  1. Antonio, cómo de legal de cara a un juicio es el acceso a pelo a los mensajes de whatsapp? Hasta dónde yo sé en un análisis forense no se pueden ver conversaciones privadas de ningún tipo, eso incluye e-mail, sms, whatsapp, etc.
    En el caso de los correos sé que se debe trabajar en base a “busquedas ciegas”, supongo que en este caso será lo mismo. En el post se da a entender que se leen las conversaciones, pero por lo que tengo entendido, si lo haces así en una investigación real, lo que pudieras encontrar no sería admisible para el juez.

  2. Muy buenas tardes, xgusix

    En primer lugar, IANAL (I’m not a lawyer), por lo que contrasta lo que voy a contar con un profesional jurídico por si las moscas. Habiendo dicho eso, deja que arranque mi máquina virtual con el Antonio legal malv… digo con el que se lee toda la legislación y hable del tema.

    Para los que van a hacer un TL;DR, una respuesta corta: Si, pueden usarse datos personales en un juicio.

    Respuesta larga:

    Partimos de la base del derecho fundamental establecido en el artículo 18 de la Constitución española que dicta así en sus apartados 18.3 y 18.4:

    – Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.

    – La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

    De forma añadida, tenemos la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD para los amigos), de la que extraigo varios artículos:

    – 6.1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

    Como puede verse, los derechos existen … salvo en caso de actuación judicial. Si rebuscamos un poco más encontramos más legislación al respecto. La propia Constitución dicta en su artículo 24.2:

    – Asimismo, todos tienen derecho al Juez ordinario predeterminado por la ley, a la defensa y a la asistencia de letrado, a ser informados de la acusación formulada contra ellos, a un proceso público sin dilaciones indebidas y con todas las garantías, a utilizar los medios de prueba pertinentes para su defensa, a no declarar contra sí mismos, a no confesarse culpables y a la presunción de inocencia.

    Y la LOPD indica en el artículo 11.2, sección d):

    – El consentimiento exigido en el apartado anterior no será preciso cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

    Si analizamos desde un punto de vista legal los 5 textos mencionados, queda claro que, si bien los ciudadanos tenemos derecho a la intimidad y al secreto de las comunicaciones, también tenemos derecho a defendernos de posibles perjuicios y la LOPD contempla esos supuestos.

    Por lo que la respuesta larga sigue siendo la misma: Si, tanto la Constitución española como la legislación vigente ampara el uso de datos personales en un juicio.

    Esto, sin embargo, no implica que haya una libertad total para irrumpir en la intimidad de los ciudadanos. En toda acción judicial existe el principio de proporcionalidad, en la que un juez tiene que valorar cada petición de acceso a datos personales en función de su necesidad y de las consecuencias de la misma. Pero eso ya es un tema legislativo mucho más complejo en el que no pienso meterme…

    Un saludo,

    Antonio Sanz

  3. Y para los que no hayan tenido un BSOD leyendo el comentario anterior, un bonus extra:

    http://blog.sepin.es/2014/01/la-aportacion-de-datos-personales-como-medio-de-prueba-en-procesos-judiciales/

    Saludos,

    Antonio

  4. xgusix: Si un juez lo autoriza se puede intervenir, pero en una situación real dudo mucho que se contratara a una empresa privada para hacer algo tan delicado, sería el mismo caso que una escucha telefónica, que se puede autorizar por un juez, pero que solo haría el cuerpo policial correspondiente, y nunca una empresa privada (o no debería, yo desde luego denunciaría esa práctica e intentaría invalidar la prueba).

  5. http://Antonio%20Sanz says

    Muy buenas noches, José

    En lo relativo a estos temas de tratamiento de datos personales podríamos distinguir tres casos (aunque pueden existir más, recordad que IANAL):

    1) Intervención de comunicaciones y/o análisis de dispositivos de terceros: En estos casos tiene que existir forzosamente una orden judicial que autorice esta operación, que realizan las FCSE. Esta intervención se hace únicamente en los casos de especial gravedad por la interferencia que supone con los derechos fundamentales. Tienes un artículo estupendo al respecto aquí:

    http://noticias.juridicas.com/articulos/55-Derecho-Penal/201401-Intervencio-de-las-comunicaciones-y-escuchas-telefonicas-1.html

    2) Intervención de las comunicaciones en las que el implicado sea una de las partes: Aunque no sea muy conocido, un ciudadano puede grabar todas las comunicaciones en las que participe y usarlas como prueba en un juicio. No es necesario informar a la otra parte de este hecho, pero sí que es obligatorio ser una de las partes de la conversación (en caso contrario, estás violando la intimidad de las personas y cometiendo un delito). Otro enlace estupendo al respecto:

    http://derechoynormas.blogspot.com.es/2007/05/es-legal-grabar-las-conversaciones.html

    3) Análisis de dispositivos de terceros: Este caso se cumple cuando se realiza cualquier peritaje informático forense, tarea que pueden hacer empresas o profesionales que se dediquen a ello. Es completamente legal, ya que el uso de peritos expertos está totalmente amparado por la legislación vigente. Una fuente de información genial sobre el peritaje informático forense es el libro “Un forense llevado a juicio”, de Juan Luis García Rambla de @sidertia, que puedes encontrar aquí:

    http://www.sidertia.com/media/c492eb35-f4d9-4051-aaaf-706f4e46c820/Documentos/Un%20forense%20llevado%20a%20juicio.pdf

    Si me disculpas la autocita, otra fuente interesante es el artículo sobre peritos informáticos forenses que escribí en el blog:

    https://www.securityartwork.es/2014/09/09/peritos-informaticos-forenses-legislacion-verdades-y-mentiras/

    Un saludo,

    Antonio Sanz

  6. http://Manuel%20Benet says

    Jose, no puedo resistirme a señalar que tienes cierta fijación con que el caso se plantee desde el punto de vista de una empresa privada (dos veces en cuatro líneas).

    xgusix, no pierdas de vista que este es un post de ficción con un enfoque técnico, no legal (lo cual no quita para que la duda sean pertinentes). No obstante, hay que darle un contexto más o menos real; en un caso de asesinato los procedimientos policiales serían sin duda alguna mucho más complejos y garantistas (además de lo que sería un complejo contexto político y social, incluyendo los medios de comunicación, dada la posición de la asesinada y el principal sospechoso).

  7. Manolo: He pensado que era relevante. Hay una gran diferencia entre lo que un juez puede llegar a autorizar a una empresa privada o a un cuerpo policial, o al menos así lo he vivido yo en mi experiencia profesional. Tampoco sé como puedes ver una “fijación” en un texto de 4 lineas xD

    Con mi comentario solo quería responder a xgusix su duda (de hecho me dirigía a él) y de paso señalar que tampoco hay que hilar muy fino en esta serie de posts, ya que se ha señalado que son ficción. Es como la gente que se pone a discutir que cuando Superman agarrara a Lois Lane en la famosa escena en la que se cae desde un edificio y él la coge a pocos metros del suelo. Hay gente que dice que es una imprecisión física porque la desaceleración mataría a Lois, pero teniendo en cuenta que estamos hablando de una película sobre una persona que vuela, pues… ¿qué más da alguna otra imprecisión física?

  8. http://Manuel%20Benet says

    Cierto, ignora mi comentario :)

    Efectivamente, la idea es que el foco se centre en las herramientas utilizadas para el forense, más que en los aspectos legales del caso (que no obstante serían muy importantes en la realidad).

  9. NO creeis que se os esta yendo de las manos.. #NATO #INTA

  10. http://Manuel%20Benet says

    @secnight: no :) (¿#NATO, #INTA?)

  11. Uy, me llega ahora la notificación de la respuesta de Antonio (a las 09:40).

    Conozco muy bien los casos, recientemente estuve trabajando en una empresa especializada en forenses (si se me permite decirlo, de las 2 o 3 más potentes del país en este campo) y me curtí bastante en éste campo. Estoy de acuerdo con los casos 1 y 2 que comentas, pero el caso 3… es correcto, pero el dispositivo tiene que ser de la propiedad de la persona (o empresa) que solicita el análisis. En el caso de ordenadores o dispositivos de empresas que son usados por empleados, el empleado tiene que haber firmado el típico documento al entrar que señala que el dispositivo y toda la información contenida en éste son propiedad de la empresa, etc, y aún así no puedes hacer cosas como leer el correo de cabo a rabo. Si ese documento no está firmado por el empleado… la cosa se puede complicar, y si el equipo no es de la propiedad del que solicita el análisis o el propietario no lo aporta voluntariamente (para defenderse de una acusación o para acusar a otra persona)… pues entonces yo te diría que no se puede analizar.

  12. Muy buenos días, José

    Como bien dices, el caso 3 es … complejo, y sujeto a muchas situaciones e interpretaciones (posiblemente una por cada abogado al que consultemos).

    En el caso de una empresa, la forma más pulcra de hacer estos análisis sería:

    1) Existiendo una política de seguridad en la empresa que contemple los límites de uso de Internet, y estando dicho documento firmado por los trabajadores.
    2) Realizando la adquisición de datos con el trabajador y un miembro del sindicato mayoritario presentes, y documentando con precisión el procedimiento seguido.

    Todo esto suponiendo que estemos hablando de derecho civil (el caso más común, el de un empleado que se pega todo el día viendo vídeos de YouTube). En caso de que hablemos de derecho penal (por ejemplo, pornografía infantil), yo no me complicaría la vida y llamaría a las FCSE. Hay miles de recursos al respecto, pero yo me quedo con esta consulta hecha a la AEPD:

    http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/cesion_datos/common/pdfs/2008-0247_Acceso-por-el-empresario-al-correo-electr-oo-nico-de-los-trabajadores.pdf

    En el caso de que el equipo no sea de la propiedad del que lo presenta, coincido contigo en que, a menos que se tenga el consentimiento del propietario (siempre por escrito), no se podría realizar el análisis.

    En esos casos lo mejor sería solicitar al juez el análisis, que encargaría vía judicial a las FCSE (que sí tienen la autorización pueden hacer el mismo). Un ejemplo podría ser un empleado que demanda a su empresa por despido improcedente y solicita al juez que se revise su antiguo ordenador en busca de documentos necesarios para organizar su demanda.

    La verdad es que la casuistica termina siendo enorme en estos casos, por lo que siempre hay que seguir procedimientos estrictos, conocerse las leyes lo mejor posible y tener al abogado con el que te trabajas en marcación rápida… :)

    Un saludo,

    Antonio Sanz

  13. Antonio: Estoy de acuerdo, por eso le comentaba a xgusix que en realidad algo así lo haría directamente el cuerpo policial pertinente previa autorización del juez.

  14. Muy buenos días, José

    En realidad no siempre es necesaria dicha autorización, la casuística es tan variada que hay ejemplos para todos los colores. Imaginemos que la empresa A presenta una demanda contra la empresa B porque no le ha prestado unos servicios correctamente (un caso típico es de incumplimiento de SLA en hostings).

    En este caso tendríamos varias posibles fuentes de evidencia:

    1) Las capturas de pantalla, documentos y otras evidencias que la empresa A presenta ante el juez como prueba (todo ello con un informe pericial presentado por un perito de parte que apoya la demanda).

    2) Las evidencias que la empresa B quiera aportar ante el juez como defensa (todo ello con otro informe pericial realizado por otro perito de parte).

    En este caso si nadie dice nada, las FCSE no tienen porqué estar implicadas. Pero si rizamos un poco el rizo, podría darse el caso de que la empresa A solicitar al juez obtener los logs del servidor de la empresa B ya que aducen que esa es una prueba determinante para la demanda. Si el juez lo estimara oportuno, entonces sí que alguien de las FCSE (posiblemente la policía judicial) se encargaría de realizar la adquisición de esos logs.

    Estos logs podrían ser analizados por las FCSE … o podría ser facilitados a las partes para que realizaran nuevos informes periciales.

    Esto termina siendo un mundo en el que, aunque exista legislación, cada caso es un mundo (pero muy interesante, eso sí).

    Un saludo,

    Antonio Sanz

  15. Pero la empresa A tendría que proporcionar suficientes indicios como para que el juez autorizara esa adquisición. Quiero decir, que si mañana me denuncias tú a mi por un motivo X y solicitas un registro en mi casa para analizar mi ordenador, un juez no te lo va a autorizar “porque si”. Tienes que aportar un gran número de indicios que hagan que el juez valore que “anular” mi derecho a la privacidad es necesario para este caso, y que la gravedad del caso sea alta, claro. No te lo van a autorizar porque me denuncies por robarte el almuerzo en el recreo ;)

    Lo más normal es que si tú denuncias a alguien por un caso de SLA (usando tu ejemplo), tú aportes tus pruebas, y el denunciado aporta (si quiere) las pruebas para defenderse. Digo si quiere, porque si está claro que no hay bastantes evidencias por la parte acusadora, la parte acusada puede no aportar ninguna evidencia de su inocencia (no lo necesita, es la otra parte la que tiene que demostrar su culpabilidad, y así evita que le cotilleo sus registros, porque si las aporta la otra parta tiene derecho a tener acceso a ellas).

    Como dices, los casos son complejos, y siempre hay que hablar con abogados especializados en estas cosas, o sino te puedes encontrar con una sorpresa desagradable, pero yo al menos tengo claro que, de forma general, no se puede leer conversaciones de WhatsApp “a saco” de un teléfono del que estás haciendo un forense, a no ser que seas policía y tengas la autorización adecuada.

  16. http://seguridadJuridica says

    Antonio,

    Fantastico articulo sobre informatica forense (Miremos a la luna y no al dedo).

    Asimismo, compadezcamos al inocente que supone que en derecho dos mas dos son cuatro, y recomendemosle que estudie como se ha formado la doctrina y la jurisprudencia en esta materia (y hacia donde nos lleva el legislador).

    “Compren su boleto para la loteria de la seguridad juridica”.

    Un saludo,