Llegamos a ustedes gracias a:



Conversando con...

Paul Luehr, ex fiscal federal y actual director general de Stroz Friedberg

¿Piensa que los mensajes de texto borrados se fueron para siempre? Piénselo de nuevo

[15/04/2014] Para la mayoría de los CIO, los mensajes de texto en el teléfono de tipo "traiga su propio dispositivo" de un empleado son un punto ciego. Es decir, los mensajes de texto no pasan a través de la red de la empresa y por lo tanto están sin control y presuntamente son irrecuperables cuando se suprimen. Incluso las compañías telefónicas supuestamente no almacenan el contenido de los mensajes de texto.
Es cierto que la mayoría de los departamentos de TI carecen de los conocimientos de cómo recuperar los mensajes [de texto] antiguos o eliminados, incluso si están en posesión de los dispositivos, pero ese no es el caso para los expertos forenses móviles armados con un arsenal de nuevas herramientas. Pueden hallar miles de mensajes de texto borrados en un pasado lejano, y desenterrar la evidencia que las aplicaciones de mensajes con autodestrucción, como Snapchat, dejan tras de sí.
Tal vez a causa de una falsa creencia de que los mensajes borrados de texto quedan enterrados, muchas personas confían en la mensajería de texto para llevar a cabo su trabajo sucio, como el robo de secretos comerciales y otra propiedad intelectual, violar acuerdos de no competencia y cometer fraude. Incluso las investigaciones de la Ley de Prácticas Corruptas en el Extranjero, que involucran el soborno y la fijación de precios, fluyen con regularidad hacia la mensajería de texto.
"Los mensajes de texto están ahora involucrados en la mayoría de los litigios o investigaciones que encontramos", señala Paul Luehr, ex fiscal federal y supervisor del programa de fraude en Internet de la Comisión Federal de Comercio y actual director general de Stroz Friedberg, una compañía global de gestión de riesgos de datos con un laboratorio de delincuencia cibernética.
CIO.com habló con Luehr, con la esperanza de arrojar un poco de luz sobre el mundo secreto de los mensajes de texto borrados y que los expertos forenses recuperan.
¿Se puede recuperar mensajes borrados de texto de cualquier teléfono?
La dificultad para recuperarlos dependerá de la marca y el modelo del teléfono. Los mensajes de texto están por lo general fuera de la supervisión normal del departamento de TI. Ellos pueden no estar pasando por el sistema en absoluto, y en lugar de ello pasan por el operador en una transacción de teléfono a teléfono. Necesita para tener acceso a uno o más dispositivos físicos.
En mi experiencia, el teléfono Android puede ser más fácil de conseguir en el plano físico, pero la copia de seguridad de iPhone tiende a ser más extensa y más frecuente. Tal vez debido a la naturaleza de iTunes, la gente tiende a hacer copias de seguridad en una computadora portátil. Así que no creo que haya una preferencia de un teléfono u otro. En términos forenses, tenemos posibilidades de ir detrás de los mensajes de texto después de borrados en cualquiera de ellos.
¿Qué debe hacer TI para recuperar estos mensajes?
En primer lugar, asegurar el teléfono y no encenderlo y hurgar. Los mensajes de texto eliminados están allí hasta que son sobrescritos. Con la creciente memoria en los teléfonos, no es raro tener miles de mensajes de texto. La mayoría de los sistemas de telefonía funcionan en una base de datos, por lo que los datos pueden estar todavía marcados con una bandera que dice eliminar. Una persona o usuario normal no será capaz de ver los mensajes eliminados, pero ahí es donde las herramientas forenses son útiles. Si hurga, puede comenzar a sobrescribir datos importantes.
En segundo lugar, asegure la computadora portátil o estación de trabajo que se haya podido utilizar para realizar copias de seguridad del teléfono.
En tercer lugar, es posible que tenga que llamar a expertos en informática forense que estén bien versados en una variedad de diferentes teléfonos y herramientas forenses. A diferencia de un disco duro, portátil o de escritorio, donde usted tiene tres sabores -Apple, Windows y Unix o Linux-, en los teléfonos celulares puede tener tal vez 150 sabores.
En cuarto lugar, asegúrese de tomar nota de la marca y el modelo del teléfono, ya que eso determinará si el experto forense puede manejarlo y qué tan difícil podría ser el trabajo. También necesitará proporcionar información sobre fechas específicas, direcciones y números de teléfono, lo que ayudará al experto forense a navegar a través de los miles de mensajes de texto.
Una cosa para la que debe estar listo con estimaciones de costos es que probablemente tendrá que pagar tanto, o un más, de lo que pagaría por el análisis de un disco duro para PC. Los teléfonos celulares son analizados, a menudo, con dos o tres herramientas diferentes.
¿Cuánto tiempo atrás se puede llegar?
Acabamos de tener un caso en el que pudimos recuperar ocho mil mensajes de texto. Se cubrieron entre 12 y 15 meses de actividad; el valor normal de mensajes de texto durante un año. El teléfono había sido recientemente limpiado y reformateado, pero encontramos más de mil mensajes de texto dentro de la copia de seguridad.
¿Fueron todos almacenados en el teléfono?
Hablamos de la base de datos, donde se encuentran los textos activos abiertos y los borrados que se pueden abrir usando herramientas forenses. Dependiendo del teléfono, también puede quizá bajar y obtener información de la capa física del teléfono, al igual que hacer una imagen forense de un disco duro.
En el espacio no asignado que existe en el fondo, vamos a ser capaces de recuperar fragmentos de mensajes de texto o mensajes de texto enteros si aún están allí. Con los teléfonos celulares como el iPhone más moderno, debido a los algoritmos de cifrado que utilizan, la información de fondo está todo revuelta.
Si el teléfono fue respaldado en cualquier lugar, puede existir una copia de seguridad de los mensajes de texto en el disco duro, tanto en forma activa como en forma de eliminados.
¿Qué pasa con los datos de las empresas de telefonía?
No he oído hablar de ningún investigador que vaya a la compañía de teléfonos por mensajes de texto. Según tengo entendido, a lo mucho, una compañía de teléfonos tiene los metadatos. Incluso podría estar a un nivel más alto y tener el número de mensajes que fueron enviados, tal vez tenga el hacia y desde, pero probablemente no el contenido en sí.
Es importante tener acceso al dispositivo y la copia de seguridad de la portátil. Con BYOD, se subraya la importancia de tener una estrategia de salida cada vez que un empleado se va. Si piensa que los mensajes de texto están en juego, es necesario tener algún acceso a ese dispositivo.
Si no tiene acceso al teléfono BYOD, puede buscar mensajes de texto borrados en la computadora portátil de propiedad corporativa en la que se realizan las copias de seguridad?
Teóricamente, se podría, pero eso es una propuesta peligrosa desde el punto de vista legal y ético. Si es verdaderamente el dispositivo personal de una persona y tienen una expectativa razonable de privacidad, puede estar cruzando la línea cuando se mira esa información personal, especialmente si es solo en un formato de copia de seguridad.
¿Puede obtener los mensajes borrados de Whatsapp, iMessage, Snapchat y los demás?
Tuvimos un caso que involucró a una conversación entre los diferentes jugadores en el juego Words With Friends. Los mensajes enviados de ida y vuelta dentro de ese ambiente de juego, terminaron siendo relevantes para el litigio. Depende de cómo se construye el software.
Muchos de ellos que tienen una función de mensajería tendrán dentro de su estructura, ya sea en el servidor o en la propia aplicación, algún tipo de base de datos -muchos de ellos utilizan una base de datos similar a SQL. Si esa base de datos existe, entonces es muy similar a la recuperación de información del sistema de mensajería del teléfono móvil.
Cada vez más, tenemos más casos de dispositivos móviles y aplicaciones. He aprendido que las aplicaciones se ejecutan continuamente. Se operan casi como el tipo de ambientes antiguos de terminal y mainframe, en los que la app es realmente un cliente muy delgado y no tiene mucha sustancia. Otras apps almacenan una cantidad significativa de información en el teléfono. Es solo una opción de programación, y vemos ambas formas.
Tom Kaneshige, CIO (EE.UU.)