Los archivos filtrados muestran el aspecto de un informe de extracción telefónica de Cellebrite
On octubre 27, 2021 by admin
(Imagen: foto de archivo)
A principios de este año, se nos enviaron una serie de archivos de gran tamaño y encriptados que supuestamente pertenecían a un departamento de policía de EE.UU. como resultado de una filtración en un bufete de abogados, que estaba sincronizando de forma insegura sus sistemas de copia de seguridad a través de Internet sin contraseña.
Entre los archivos había una serie de volcados telefónicos creados por el departamento de policía con equipos especializados, que fueron creados por Cellebrite, una empresa israelí que proporciona tecnología de rastreo telefónico.
La empresa de análisis forense digital se especializa en ayudar a la policía a atrapar a los malos con su gama de tecnologías. Saltó a la fama a principios de este año cuando fue erróneamente señalada como la empresa que ayudó a desbloquear el iPhone del tirador de San Bernardino, el mismo teléfono que involucró a Apple en un lío legal con el FBI.
Eso no quiere decir que Cellebrite no pudiera haber ayudado.
El trabajo de Cellebrite es en gran medida secreto, y la empresa se balancea en una fina línea entre la divulgación de sus capacidades para hacer negocio y la garantía de que sólo los «buenos» tienen acceso a su tecnología.
Se dice que la policía de EE.UU. ha gastado millones en este tipo de tecnología para descifrar teléfonos. Y no es de extrañar, porque Cellebrite obtiene resultados.
La empresa forense afirma que puede descargar casi todos los datos de casi cualquier dispositivo en nombre de las agencias de inteligencia de la policía en más de cien países. Para ello, coge un teléfono incautado por la policía, lo conecta y extrae mensajes, llamadas telefónicas, mensajes de voz, imágenes y mucho más del dispositivo utilizando su propia tecnología.
A continuación, genera un informe de extracción que permite a los investigadores ver de un vistazo dónde estaba una persona, con quién estaba hablando y cuándo.
Obtuvimos varios de estos informes de extracción.
Uno de los informes más interesantes, con diferencia, era de un iPhone 5 con iOS 8. El propietario del teléfono no utilizó un código de acceso, lo que significa que el teléfono estaba completamente sin cifrar.
Aquí está todo lo que se almacenó en ese iPhone 5, incluyendo algunos contenidos borrados.
(iOS 8 de Apple fue la primera versión del software del iPhone que vino con cifrado basado en un código de acceso. Habría sido suficiente para frustrar al ladrón de teléfonos medio, pero podría no haber obstaculizado a algunos crackers de teléfonos con el hardware adecuado. Cellebrite afirma que no puede descifrar las contraseñas del iPhone 4s y posteriores. Los teléfonos iPhone 5s y posteriores vienen con un coprocesador de enclave seguro en el chip del procesador principal del iPhone 5s, lo que dificulta considerablemente el descifrado del teléfono.)
El teléfono se conectó a un dispositivo UFED de Cellebrite, que en este caso era un ordenador dedicado en el departamento de policía. El policía realizó una extracción lógica, que descarga lo que hay en la memoria del teléfono en ese momento. (Motherboard tiene más información sobre cómo funciona el proceso de extracción de Cellebrite.)
En algunos casos, también contenía datos que el usuario había borrado recientemente.
Hasta donde sabemos, hay algunos informes de muestra flotando en la web, pero es raro ver un ejemplo del mundo real de cuántos datos pueden ser desviados de un dispositivo bastante moderno.
Publicamos algunos fragmentos del informe, con información sensible o identificable redactada.
Cubierta: la primera página del informe incluye el número de caso de la policía, el nombre del examinador y el departamento. También contiene información identificativa única del dispositivo.
Información del dispositivo:
Información del dispositivo: El informe detalla a quién pertenece el teléfono, incluyendo el número de teléfono, el ID de Apple registrado y los identificadores únicos, como el número IMEI del dispositivo.
Complementos del software de extracción:
Complementos: Esta parte describe cómo funciona el software y qué hace. Incluye la extracción de metadatos de Quicktime y la generación de análisis. El software también puede cruzar datos del dispositivo para construir perfiles a través de contactos, SMS y otras comunicaciones.
Localizaciones:
Localizaciones: el software de extracción registra la geolocalización de cada foto que se ha tomado y la visualiza en un mapa, lo que permite al investigador ver todos los lugares en los que ha estado el propietario del teléfono y cuándo.
Mensajes:
Mensajes: En esta vista de «conversación», un investigador puede ver todos los mensajes de texto en orden cronológico, lo que le permite ver exactamente lo que se dijo en un periodo de tiempo determinado.
Cuentas de usuario:
Cuentas de usuario: esta parte revela las cuentas de usuario del propietario del teléfono, dependiendo de cuántas aplicaciones estén instaladas. En este caso, solo se recopiló el nombre de usuario y la contraseña de Instagram.
Redes inalámbricas:
Redes inalámbricas: el software de extracción descargará una lista de todas las redes inalámbricas a las que se conectó el teléfono, incluyendo su tipo de cifrado y la dirección MAC del router de la red, así como la última vez que el teléfono se conectó a la red.
Registro de llamadas:
Registro de llamadas: El informe contiene una lista completa de registros de llamadas, incluyendo el tipo de llamada (entrante o saliente), la hora, la fecha y el número de teléfono de la llamada, y la duración de la misma. Este tipo de información es muy útil cuando la recogen las agencias de inteligencia.
Contactos:
Contactos: Los contactos del teléfono son aspirados por el software de extracción, incluyendo nombres, números de teléfono y otra información de contacto, como direcciones de correo electrónico. Incluso el contenido borrado puede ser recogido.
Aplicaciones instaladas:
Aplicaciones instaladas: Todas las apps instaladas, su versión y configuración de permisos son registradas por el software de extracción.
Notas:
Notas: Cualquier dato escrito en la app de Notas se descarga también. Aquí, hemos redactado lo que parece ser información de la cuenta bancaria.
Buzón de voz:
Buzón de voz: los mensajes de voz almacenados en el teléfono se pueden recopilar y descargar como archivos de audio. También incluye el número de teléfono de la persona que dejó el mensaje de voz y la duración.
Configuraciones y bases de datos
Configuraciones y bases de datos: las listas de propiedades («plist») almacenan los datos de las aplicaciones en los iPhones. Estos archivos individuales contienen una gran cantidad de información, como configuraciones, ajustes, opciones y otros archivos de caché.
Análisis de actividad:
Análisis de actividad: para cada número de teléfono, el motor de análisis calcula cuántas acciones asociadas han tenido lugar, como mensajes de texto o llamadas.
Deja una respuesta