Recuperación de datos de un móvil roto en Lazarus Omicrono
Así se realiza un análisis forense de un móvil paso a paso: cómo se extraen mensajes borrados como el caso del fiscal general
"Hay tanta interacción entre dispositivos, que es prácticamente imposible no dejar rastro", destaca Manuel Huertas, CEO de Lazarus.
Más información: Qué información podría recuperar la Guardia Civil del móvil del fiscal general tras el borrado masivo de sus mensajes
A diario se usa el teléfono móvil para enviar y recibir vídeos, fotografías y mensajes, este tipo de dispositivos se han convertido en un elemento esencial en la vida de muchas personas y lo que en ellos queda guardado puede decir mucho de cada individuo. Los smartphones llevan años siendo pruebas clave en investigaciones policiales, desde asesinatos hasta casos como el actual juicio contra el fiscal general del Estado, Álvaro García Ortiz, cuyos mensajes borrados sigue tratando de recuperar la Guardia Civil.
La tecnología ha evolucionado para reforzar la privacidad de las comunicaciones, más en un mundo amenazado por la ciberdelincuencia y el espionaje digital. Esto ha complicado la labor de los investigadores que requieren de tecnología muy avanzada para realizar el peritaje informático. El caso de García Ortiz ha puesto de manifiesto la importancia de este proceso técnico.
En EL ESPAÑOL-Omicrono hemos visitado las instalaciones de Lazarus, empresa con más de 20 años de experiencia en España en la recuperación de datos de dispositivos, desde móviles, hasta servidores. "La gente es cada vez más consciente que en una situación judicial la huella electrónica puede ayudar a resolver un caso", explica a este medio Manuel Huertas, CEO de Lazarus.
Manuel Huertas, CEO de Lazarus Technology Omicrono
"A día de hoy hay tanta interacción entre dispositivos, servicios, nubes, registros y aplicaciones, que es prácticamente imposible hacer desaparecer una evidencia sin que quede algún rastro". Huertas explica que un pequeño porcentaje de los delincuentes han aprendido a hacerles el trabajo difícil, mientras que la gran mayoría sigue sin saber cómo borrar sus huellas, "al final lo que hacen es demostrar la intencionalidad", cómo ha terminado revelándose en el teléfono de García Ortiz.
Una evidencia digital
Los móviles llegan al laboratorio en una bolsa de Faraday, para asegurar las pruebas. Dentro de este estuche que muestra Huertas, el teléfono se queda automáticamente sin señal, no puede ni emitir ni recibir señales, así se aseguran que nadie va a interactuar en remoto mientras se investiga. Cuando llega a Lazarus, los técnicos convierten el dispositivo en una evidencia digital.
Se obtiene al completo el contenido del teléfono, la imagen forense de todo lo que almacena, para poder guardar el móvil en la caja fuerte. Hasta que no se dicta sentencia o se archiva el caso, el teléfono permanece ahí custodiado.
Bolsa de Faraday para proteger el teléfono Omicrono
El teléfono empieza a ser una evidencia digital cuando se obtiene un código o hashes, el equivalente al ADN humano. "En el caso del ADN humano, cada vez que haces un análisis, consumes una parte de esa muestra biológica, con lo cual se puede acabar". En la investigación forense digital, las pruebas se puede repetir mil veces.
La tecnología hash se utiliza también para catalogar el contenido ilegal o pedófilo de internet. Se convierte cada fotografía, documento o archivo en un número único que describe su contenido, como una huella dactilar digital o secuencia de ADN, sin necesidad de abrirlo o visualizarlo. El hash es imposible de comprender para cualquier persona a simple vista, pero identifica este elemento digital.
Informe con hashes en una investigación forense digital Omicrono
Da igual lo que hagas con la evidencia o las veces que lo analices. "En el momento en que tú cojas la imagen y vuelvas a verificar que esto está bien, sabes que la imagen conserva sus tres preceptos: integridad, garantía de conservación y repetibilidad", explica Huertas. La repetibilidad es lo más importante, para poder entregar esa evidencia digital a otros forenses en caso de que alguna de las conclusiones de tu informe se pongan en duda.
De esa evidencia se van extrayendo nuevos hashes de cualquier fichero o elemento que se encuentre en el teléfono, todo tiene su propio hash. "Sacas un hash de otros hashes y vuelves a verificar la integridad de cada una de esas pruebas", afirma. De esa minuciosa búsqueda se extraen no solo documentos o mensajes, también una actividad determinada, es decir, los movimientos de información que ha habido.
Reconstrucción de la actividad digital
"Si estás robando información con un pendrive, podemos averiguar en qué momento has conectado un pincho, qué número de serie tiene, qué modelo, qué capacidad y qué movimientos de información ha habido", explican en Lazarus. Así detalla uno de los informes de la Unidad Central Operativa (UCO) que el 16 de octubre de 2024 a las 15:00 se borraron mensajes del móvil de Garcia Ortíz, justo cuando se conoció el Alto Tribunal había abierto una causa contra él. "Borra todas las conversaciones el 16 de octubre, las borra en dos ocasiones, es decir, las vuelve a borrar estando borradas", explica Huertas que ha estudiado los informes.
También se realiza un restablecimiento del teléfono a fábrica el 23 de octubre y se realiza una reinstalación de ciertas aplicaciones como WhatsApp. "Tienes que tener una tarjeta SIM para recibir el SMS y ese SMS llega el día 24 para recuperar parte de los registros de WhatsApp", explica. Toda esta actividad sucede días antes de que se realice el registro del despacho del Fiscal General el pasado 30 de octubre.
La Unidad Central Operativa (UCO) entregó un informe en el que señalaban haber encontrado "cero mensajes pertenecientes a cualquier tipo de aplicación de mensajería instantánea" entre los días 8 y 14 de marzo de 2024, fechas claves del caso. En el informe no se sugería la eliminación intencionada de los mensajes, pero desde 2019 existen recomendaciones en la institución para el borrado periódico de los dispositivos electrónicos por motivos de seguridad.
Estos registros son un poco el cuaderno de bitácora de lo que ha sucedido en el móvil. Más difícil está resultando conseguir el contenido exacto de esos mensajes borrados.
Mensajes cifrados
Recuperar un simple mensaje borrado podría ser fácil, pero existe la forma de eliminar esa información de manera más contundente: reescribiendo encima o cambiando las claves del cifrado con un reseteo a fábrica. Este experto explica durante la visita a Lazarus, que al usar un teléfono, las llaves que abren estos documentos o mensajes cifrados como los de WhatsApp, traducen la información a mensajes legibles, comprensibles para las personas, dentro del teléfono.
Los chats de WhatsApp están cifrados de extremo a extremo Omicrono
Al resetear a fábrica, escribes unas nuevas llaves, con lo cual, para todo lo que se encuentra debajo, se han perdido las llaves para abrirlo. "Como sabemos que el teléfono ha hecho siete backups, copias de seguridad, si accedemos a la cuenta de Gmail, y tenemos acceso a la copia de seguridad, podemos restaurar en un teléfono, en ese o en otro, el contenido de esa copia", dice Manuel Huerta. Esta es una de las posibilidades que se barajan.
La UCO ha emitido un escrito dirigido al juez en el que subraya que podrían encontrar esos mensajes desaparecidos con la herramienta Cellebrite UDEF. No obstante, indican que precisan del apoyo de WhatsApp, ya solicitado por el juez, para acceder a los mensajes borrados del almacenamiento local del teléfono.
![El Fiscal General del Estado, Álvaro García Ortiz, junto a los logos de WhatsApp y Google.](["https:\/\/s3.elespanol.com\/2025\/01\/20\/elandroidelibre\/noticias-y-novedades\/917918863_252470649_320x180.jpg"])
Para Huertas es importante conservar el cifrado de extremo a extremo que aplicaciones como WhatsApp o Apple Messages ofrecen. "Creo que es un ataque a la privacidad bastante importante", indica, "ha nivel forense, ya se ha demostrado que es posible extraer lo que se busca, añade una capa de complejidad al proceso, pero no es problemático".
La empresa Lazarus colabora con la justicia en casos similares, en sus 21 años de trayectoria ha trabajado en investigaciones tan mediáticas como el asesinato de Diana Quer. Para Huertas uno de los más complicados fue la recuperación de los datos del F-18 estrellado el año pasado en Zaragoza, "la tarjeta estaba muy destruida y tenía una serie de requisitos bastante complejos".
También ha sido una de las empresas en recuperar equipos dañados por la DANA en Valencia y otras regiones de España. Las mesas de su laboratorio están llenas de móviles destrozados por accidentes y cuyos dueños necesitan recuperar la información, o servidores que sirven de prueba en la investigación de un ciberataque. Trabajan con cualquier equipo informático capaz de almacenar datos, hasta con un pendrive.
