Vigilancia

Análisis forense automatizado: como funciona la intrusión de los Estados en nuestros dispositivos

Es recurrente leer notas sobre incautación, análisis y extracción de datos en relación a investigaciones judiciales. Cuando se trata del entorno digital, las herramientas de análisis forense son las más utilizadas para este fin; y las comercializadas por la empresa israelí Cellebrite han tenido particular adhesión en la región, principalmente la herramienta UFED (Universal Forensics Extraction Device). Considerando posibles usos abusivos desde la perspectiva de derechos humanos, examinamos el funcionamiento de dichas herramientas y exploramos algunas recomendaciones de como protegerse contra la eventual intrusión maliciosa.


Autoridades de varios países de América Latina han utilizado la herramienta de Cellebrite para investigaciones judiciales en lo últimos años. El sistema facilita el proceso de análisis de datos contenidos en aparatos móviles, considerando dispositivos que tienen cada vez mayor capacidad de almacenamiento – lo que se traduce en un problema a la hora de realizar una revisión manual.

Entre los casos de uso registrados por la prensa en los últimos años está el de Chile, donde la Fiscalía Nacional  recientemente lo ha utilizado en una investigación sobre tráfico de influencias sobre el dispositivo del abogado Luís Hermosilla; Perú; Argentina, en el contexto de la investigación del atentado contra la ex-Presidenta Cristina Kirchner; Brasil, donde estudios recientes apuntan a un uso indiscriminado de este tipo de herramientas, entre otros.

El uso de este tipo de software es conocido como una forma de hackeo gubernamental, toda vez que permite la vulneración de los recursos de seguridad de dispositivos o aplicaciones personales. El uso de técnicas de este tipo requiere un conjunto de salvaguardias para que sea legítima y genere pruebas válidas en un proceso judicial.

Si bien en Latinoamérica no hay reportes de uso de la herramienta fuera de un contexto supuestamente legal, sí existen varias denuncias en otras regiones respecto a abusos contra periodistas y la ciudadanía, según se declara en el portal especializado Segu Info. Además, muchas veces, la utilización se da en ausencia de reglas específicas que den cuenta de los criterios para la implementación de técnicas de hackeo gubernamental.

La arquitectura y funcionamiento de un dispositivo móvil

Los dispositivos móviles actuales, teléfonos inteligentes y tabletas, poseen una arquitectura muy similar a la de un computador. Dentro de sus componentes podemos encontrar algunos elementos centrales como lo son: contar con un procesador (CPU), memoria volátil (RAM) y almacenamiento interno. Además, cuentan con una serie de otros componentes que pueden ser opcionales en un computador como cámaras, GPS, entre otros.

Desde la arquitectura de software tenemos principalmente dos sistemas operativos: Android y iOS, ambos con raíces en sistemas Unix/Linux, pero al que se han añadido capas de componentes propietarios, además de aplicaciones de terceros conocidas comúnmente como “Apps”. Tanto el sistema operativo como las aplicaciones guardan información dentro del dispositivo con distintos niveles de detalle y en algunos casos adjuntando metadatos como fecha y geolocalización.

En términos generales, el funcionamiento de un dispositivo móvil se basa en la ejecución del sistema operativo, que controla las funciones base y gestiona el funcionamiento de las distintas aplicaciones. Al igual que en un computador, las aplicaciones están alojadas en la memoria interna, durante su ejecución se cargan en la RAM y funcionan por medio del procesador. Los archivos almacenados en el almacenamiento interno, al ser utilizados, también son cargados en la RAM.

Es importante mencionar que la RAM se utiliza como intermediaria entre al almacenamiento interno y el procesador pues es, en órdenes de magnitud, mil veces más rápida que el almacenamiento interno. Su característica es que no almacena los datos o archivos de forma permanente. Es por ello, por ejemplo, que cuando reabrimos una aplicación luego de reiniciar un dispositivo no volvemos al punto exacto donde estábamos, sino a su estado inicial.

Las herramientas de análisis forense digital: caso UFED

Junto a la aparición de sistemas computacionales se han desarrollado técnicas de investigación sobre los mismos, en particular buscando atender a las necesidades de autoridades policiales y judiciales. Más allá de la revisión manual a partir del acceso físico a un dispositivo, se han desarrollado herramientas para el análisis específico de los distintos espacios de memoria, permanentes y volátiles, en ciertos sistemas. Las herramientas de análisis forense actuales están un peldaño más arriba: ellas automatizan el proceso extracción de datos otorgando opciones para analizar muchos sistemas en sus distintos componentes de almacenamiento de datos.

Si bien tanto Android como iOS cuentan con medidas de seguridad ante un intento de intrusión, lo cierto es que las herramientas de análisis forense han ido generando métodos para poder lidiar con ellos. Esto resulta en una especie de guerra armamentista donde los desarrolladores de los sistemas operativos van mejorando la seguridad de los mismos mientras los desarrolladores de las herramientas de análisis forense las van derribando.

Actualmente, las herramientas UFED son capaces de desbloquear un dispositivo iOS o Android protegido con contraseña o PIN en la mayoría de los casos. Además tiene la capacidad de acceder a contenidos cifrados. La extracción de datos se puede realizar de distintas formas:

a. Extracción física: esta técnica consiste en generar una copia de todo el sistema de memorias sin detenerse a revisar el contenido en dicha etapa. Funciona como un respaldo total del sistema y puede ser utilizado para su posterior análisis.

b. Extracción lógica: se refiere a la extracción específica de datos almacenados en el dispositivo tales como contactos, registro de llamadas, mensajes de texto, imágenes, documentos, correos electrónicos, datos de geolocalización y conversaciones en sistemas de mensajería cifrada (como por ejemplo Whatsapp o Signal).

c. Extracción de respaldos: esta técnica consiste en la recuperación de copias de seguridad almacenadas en la nube y se puede aplicar a las distintas aplicaciones y sus distintas fuentes de almacenamiento de respaldos.

Dentro del proceso de extracción de datos, las UFED pueden recuperar archivos ocultos o eliminados. Cabe mencionar que cuando borramos un archivo este no se borra efectivamente desde el espacio de memoria, lo que sucede es que el sistema operativo genera la instrucción de marcar como disponibles para escritura los bloques de memoria que utilizaba el archivo y que, mientras dichos bloques no sean reescritos, el archivo será recuperable con las herramientas adecuadas.

Otra de las funcionalidades que poseen estas herramientas es la de poder hacer una copia de la memoria volátil. Con acceso al dispositivo encendido puede realizar una copia de todo aquello que está almacenado en dicha memoria, como aplicaciones, datos, imágenes, etc.

Luego del proceso de extracción, es posible generar análisis que van desde el ordenamiento, hasta el filtrado y clasificación de los datos, facilitando la identificación de información relevante. Desde una mirada general, las herramientas UFED permiten automatizar la extracción de datos e información de un dispositivo móvil.

A pesar de estas funcionalidades, las UFED han también estado sujetas a algunas gritas en su funcionamiento. En abril del 2021 Moxie Marlinspike, creador de Signal y reconocido criptógrafo, demostró que era posible explotar algunas vulnerabilidades de las herramientas de compañía Cellebrite generando que la aplicación deje de funcionar. Ya en 2023, en 2023 la empresa israelí sufrió un ataque que concluyó con la filtración de 1.7 TB de datos relacionados a sus productos.

¿Qué hacer ante el uso de este tipo de tecnologías?

Si bien el análisis forense de dispositivos puede estar amparado legalmente, es importante entender que estas herramientas también pueden ser utilizadas de forma incorrecta y que las normativas nacionales no siempre están alineadas a los estándares internacionales en la materia. Además, casos de intrusión estatal abusiva con técnicas más o menos refinadas a las comunicaciones de defensoras y defensores de derechos humanos y periodistas no son excepcionales en la región.

Por otra parte, la extracción o copia de datos y su almacenamiento por instituciones gubernamentales por largos periodos genera una ventana de ataque que puede terminar con la fuga de datos privados de las personas investigadas exponiendo así su vida íntima.

Ante esta inquietud, algunas medidas pueden ser tomadas con el fin de minimizar una intrusión excesiva a las comunicaciones por medio de herramientas de análisis forense:

  • Prevención: hay muchas medidas preventivas que se pueden adoptar, entre ellas compartimentar la información y, de ser posible, no utilizar un mismo dispositivo para almacenar todo, ya sean conversaciones por mensajería, imágenes o documentos.
  • Utilizar mensajes desvanecientes: las funciones disponibles tanto Signal como Whatsapp de configurar los chats individuales y grupales con mensajes desvanecientes ayuda a minimizar el almacenamiento de datos sensibles. Este tipo de mensaje tiene un tiempo de caducidad y luego se borra de forma automática.
  • Uso de contraseñas: el uso de contraseñas seguras de acceso al dispositivo puede frenar el acceso en algunos casos. Además aplicaciones como Signal o Whatsapp tienen la posibilidad de ser bloqueadas a través de contraseña, con lo que se genera una nueva barrera en caso de que la versión de tú teléfono no esté soportada en la versión de la herramienta forense.
  • Eliminar archivos de forma segura: para asegurarse de que un archivo fue eliminado efectivamente de un dispositivo es necesario utilizar una aplicación específica. Existen varias herramientas que cumplen esta función y sobreescriben los espacios de memoria liberados con datos aleatorios, de forma que no se puedan recuperar los contenidos. IShredder una de las más utilizadas.

Garantías necesarias

Más allá de las posibles medidas de protección, es difícil detectar un ataque de este tipo de herramienta. Además, sabemos que en la realidad mucha de nuestras comunicaciones personas y para fines de activismo dependen del uso de dispositivos móviles y sus aplicaciones – lo que no significa que entregamos con eso un permiso a las policías para acceder a toda nuestra vida privada. El uso de herramientas de análisis forense automatizado por parte de los Estados requiere un conjunto de procedimientos que aseguren su legalidad y legitimidad. En ningún caso ellas deben ser utilizadas sin un marco legal específico y que atienda a los estándares internacionales de derechos humanos.