Las repercusiones por el bloqueo y reseteo del celular de Sabag Montiel continúan, sobre todo teniendo en cuenta la magnitud del caso. Como informó Tiempo ayer, una perito de la Policía de Seguridad Aeroportuaria (PSA) explicó que el bloqueo se produjo por una conexión física del aparato cuando se intentó extraer su información. Ello descartaría un hackeo por vía remota. 

Para dilucidar cómo se trabaja en estos casos, Tiempo habló con el ingeniero electrónico Pablo Croci, perito informático de parte, consultor técnico judicial y especialista en criptografía, quien remarcó la posibilidad de un “error involuntario” y la necesidad de dotar de presupuesto y capacitaciones a las fuerzas para este tipo de operativos.

-¿Te sorprendió lo sucedido con el celular o es algo que suele ocurrir?

-Me interesa dejar en claro que conozco peritos tanto de la PFA como la PSA. Son peritos idóneos que trabajan como indican los protocolos y normas de la informática forense, por eso sí en este caso me sorprende. La investigación sumarial tendrá que dilucidar dónde pasó esto, ver actas, registros de cadena de custodia, es una investigación más saber en qué paso del proceso puede haber sucedido.

-¿Es posible que se pierdan datos en estos casos?

-Por supuesto es posible que se pierdan los datos almacenados en el teléfono. Todo va a depender de: la marca (en este caso Samsung), el modelo (hay numerosos modelos) y la versión de Sistema Operativo de Android que posea. A partir de una versión de sistema operativo de Android (la 9) el sistema operativo encripta la información del sistema de archivos. Entonces, si intentás recuperar información eliminada que estaba encriptada, con el tradicional «método de file carving» usado en la informática forense, vas a recuperar información encriptada. Como no tenés la clave para abrir ese encriptado, no vas a poder tener la información protegida por ese encriptado.

-¿Se puede resetear de forma remota?

-Sí se puede, Google te facilita una guía en su web y da instrucciones para que puedas hacerlo. Obviamente depende de la marca, modelo, y siempre la versión del sistema operativo, el cual hay que ver si fue actualizado o no por el usuario. En la época en que no existía encriptado del sistema operativo, había una serie de programas pagos que te descargabas en el market de Android, y programabas borrado a distancia, haciendo lo que se llama «wipe» o » borrado seguro». Estos borrados seguros son una serie de estándares de borrado de información, que con patrones que dependen de algoritmos matemáticos, van sobrescribiendo la información, con varias pasadas. El Departamento de Defensa de los Estados Unidos, generó varios estándares DOD 3 Pass o DOD 7 Pass, el número indica la cantidad de pasos de sobreescritura. Estos programas activaban el borrado a distancia. De todas maneras, cuando vas a peritar un teléfono que tiene patrón de bloqueo, te encontrás con una caja negra que no sabés si está programado o no el borrado seguro. Lo que sí tenés que tener en claro es que el modelo te puede dar una idea de a cuántos intentos fallidos el móvil se bloqueará, y por ahí tiene programado el reseteo automático.

Las Bolsas Faraday

-¿Es normal que llegue el celular en sobre abierto y modo avión?

-En las pericias que me toco actuar como perito de parte y presenciar lo que se llama la «intervención de efectos», siempre he visto sobres lacrados y cerrados, y por supuesto en Modo Avión. ¿Por qué en Modo Avión? Porque es lo único que a veces nuestras Fuerzas de Seguridad tienen para proceder, ya que no poseen las llamadas «Bolsas de Faraday», que son bolsas aislantes para traslado de móviles desde el lugar de los hechos. Cuestan 85 dólares. Imaginate en causas donde se secuestran muchos móviles, esto es un presupuesto que se debe prever, y la cantidad también. Con esta bolsa, metés el teléfono como lo encontrás en el allanamiento y lo llevás a Laboratorio, sin necesidad de Modo Avión. Las normas internacionales de la Informática Forense recomiendan eso, como lo recomienda la nueva IRAM/ISO 27037, recientemente publicada. Del mismo modo, para trabajar con el teléfono y tratar de efectuar la «extracción física» (popularmente y mediáticamente se le dice «abrir el teléfono»), se usan Bolsas de Faraday con ventana de trabajo. La ventana viene para que el perito operador interactúe con el teléfono en el proceso de extracción. La jueza tiene a mano, poder solicitar a la prestadora, en que momento el móvil puede haber estado activo luego del secuestro, y en qué celda. Ahí se puede saber si salió del Modo Avión y dónde.

-¿Para poner el celular en Modo Avión primero no se tiene que haber desbloqueado?

-Depende el modelo, sistema operativo (android, Iphone) y versión del mismo. Algunos sí, otros no. El Samsung Galaxy A50 ya tenía Android 10, y de ahí para arriba está encriptado, con lo cual requiere un patrón de bloqueo que cuida el encriptado, y que tiene números de intentos de fracaso para que puedas acceder. El encriptado es un default, y la recuperación, por más que la puedas hacer del reseteo de fábrica, te va a salir encriptada. Los patrones de bloqueo establecen la imposibilidad de poder peritarlo, o lo tenés o intentás el número de veces que te pueden permitir ciertos modelos. Algunos permitían inicialmente hasta 10 veces, y otros empiezan a ser más rigurosos, como el Iphone que con tres bloqueos se resetea de fábrica. Por eso existe la versión del aparato de la PSA, el UFED Premium de una empresa israelí. ¿Cuál es la diferencia con el UFED común? El UFED Premium hace un bypass de los patrones o códigos de acceso. Lo hace inyectándole un código malicioso, como un virus troyano, que está en relación a la vulnerabilidad que puede llegar a tener el sistema operativo. No todas las fuerzas lo tienen.

Las bolsas Faraday con ventanas de trabajo

–Cuando la jueza le preguntó a la perito si esa falla podía producirse de manera remota, la experta respondió: “No. Resulta necesario que el equipo de comunicaciones se encuentre conectado mediante cable de conexión a la herramienta utilizada. No es posible usar la herramienta de WIFI. La conexión sí o sí es con cable”. ¿Coincide con esto, y con la idea de descartar la hipótesis del hackeo?

–Coincido. Son cosas que pasan por no tener a nuestras Fuerzas con el presupuesto que hay que tener. Los peritos deben decirles a sus jefes qué hace falta tener; las bolsas de Faraday tienen que tenerlas, así terminamos con el tema del Modo Avión y toda esa historia, que puede ser desactivado con un error involuntario. Estas cosas pueden pasar con errores involuntarios. No sabés con lo que te podés encontrar con diferentes teléfonos, diferentes modelos, diferentes sistemas operativos y diferentes upgrade. Es la gran lotería y son las grandes barreras que tenemos los peritos informáticos. Este error involuntario nos pasa a los peritos por desconocimiento de variedad de cosas, lo que ocasionó haber vencido el patrón de bloqueo y estaba programado el reseteo de fábrica. Esto es por la falta de capacitación y presupuesto para comprar cosas grandes que demandan las causas grosas, y presupuesto adicional para upgrade de todas estas cosas, porque te comprás el UFED Premium y tenés que upgradearlo todos los años, y te sale como un producto nuevo. Si querés actuar como auxiliar de la ley tenés que destinar un presupuesto para eso, y decirle: ‘señor ministro, necesito un presupuesto para esto, sino no puedo actuar’.

-Según lo que informaron, sí obtuvieron los datos de la tarjeta SIM y de la de memoria

-Al menos está eso. Y también están las diferentes nubes a las que pudo haberse conectado el teléfono. Si tenía WhatsApp se puede pedir por requisitoria de la ley los datos de conexión, las IP de dónde se conectaron, fechas de creación de las cuentas que tuviera el sujeto, desde qué puntos se logueaba… Las grandes empresas como Facebook o Google, para estos casos, puede entregar estos datos privados. En mi opinión, se puede reconstruir mucha información.