¿Cómo recuperan la policía y los analistas forenses los datos borrados de los teléfonos?

Si ha visto un programa de televisión sobre crímenes, probablemente haya visto a analistas extrayendo datos de un teléfono. ¿Qué tan realistas son estos procedimientos? ¿Puede la policía recuperar fotos, textos y archivos eliminados de un teléfono?

Veamos qué puede hacer un analista forense con un teléfono.

Por qué ocurren las investigaciones forenses móviles

Una investigación forense móvil se lleva a cabo cuando los datos del teléfono son cruciales para un caso. En 2014, cuando dos niñas de Minnesota desaparecieron, el análisis forense digital ayudó a la policía a encontrar a su secuestrador . Muchos otros casos se han abierto por la información tomada del teléfono de la víctima o el agresor.

Incluso una simple información, como un solo mensaje de texto, podría ayudar a los investigadores a resolver un caso. Otras veces, es una imagen más complicada pintada por registros de llamadas eliminados, marcas de tiempo, datos de geolocalización y uso de aplicaciones.

El historial de búsqueda podría resultar incriminatorio. Muchos tipos de información podrían ayudar a la policía a resolver un crimen, y los teléfonos almacenan mucha de ese tipo de información.

Incluso si no eres un sospechoso principal, es posible que la policía quiera revisar tu teléfono. Los teléfonos pertenecientes a víctimas de delitos pueden proporcionar a la policía datos valiosos, especialmente si esas víctimas están incapacitadas o desaparecidas.

¿Qué puede encontrar la policía forense?

Los analistas forenses pueden realizar diferentes tipos de adquisiciones de datos. El más simple se conoce como "adquisición manual" e implica buscar a través del teléfono normalmente. Esto no revela datos eliminados, por lo que no les dice mucho a los analistas.

Una "adquisición lógica" proporciona datos más detallados. Esto implica transferir datos desde el teléfono a una PC. Esta transferencia facilita que los investigadores forenses trabajen con los datos, pero es poco probable que recuperen la información eliminada.

Cuando los investigadores quieren ver datos ocultos, utilizan una "adquisición del sistema de archivos". Los dispositivos móviles son grandes bases de datos y la adquisición de un sistema de archivos le da al investigador acceso a todos los archivos de la base de datos. Esto incluye archivos ocultos y raíz, pero aún no hay datos eliminados.

Finalmente, hay una "adquisición física". Este es el tipo de adquisición más difícil, ya que necesita herramientas especiales para volcar una copia del almacenamiento en un archivo. Sin embargo, esto deja todo al descubierto, incluso los archivos eliminados. Esto permite que se lleven a cabo procedimientos como la recuperación de mensajes de texto forenses.

¿Puede la policía recuperar mensajes de texto y medios eliminados?

Quizás se pregunte cómo la policía puede leer los mensajes de texto que se han eliminado. En verdad, cuando borras algo de tu teléfono, no desaparece instantáneamente.

La memoria flash de los dispositivos móviles no elimina archivos hasta que necesita abrir espacio para algo nuevo. Simplemente lo "desindexa", esencialmente olvidando dónde está. Todavía está almacenado, pero el teléfono no sabe dónde ni qué es.

Si el teléfono no ha sobrescrito los datos eliminados, otro software podría encontrarlos. Identificarlo y decodificarlo no siempre es fácil, pero la comunidad forense tiene herramientas extremadamente poderosas que los ayudan con este proceso.

Cuanto más recientemente haya eliminado algo, es menos probable que se haya sobrescrito. Si eliminó algo hace meses y usa mucho su teléfono, es muy probable que el sistema de archivos ya lo haya sobrescrito. Si solo lo eliminó hace unos días, es más probable que todavía esté allí en alguna parte.

Algunos dispositivos iOS, como los iPhones más nuevos, dan un paso adicional. Además de desindexar los datos, también los cifran, y no hay una clave de descifrado conocida. Eso va a resultar extremadamente difícil (si no imposible) de evitar.

Muchos teléfonos realizan copias de seguridad automáticamente en la computadora del usuario o en la nube. Puede ser más fácil extraer los datos de esa copia de seguridad que del teléfono. La eficacia de esta estrategia depende de qué tan recientemente se haya realizado una copia de seguridad del teléfono y del servicio utilizado para almacenar los archivos.

¿Qué tipos de archivos se pueden recuperar?

Los tipos de archivos recuperables pueden depender del dispositivo en el que esté trabajando un analista forense. Sin embargo, hay algunos tipos básicos que es probable que se recuperen:

  • Mensajes de texto e iMessages
  • Historial de llamadas
  • Correos electrónicos
  • Notas
  • Contactos
  • Eventos del calendario
  • Imagenes y videos

También es posible que los investigadores puedan rastrear los mensajes eliminados de WhatsApp, a menos que estén encriptados. Si usa su Android para el almacenamiento de archivos, es posible que esos archivos también estén almacenados.

¿Qué hay de cifrar los datos de su teléfono?

El cifrado de dispositivos móviles plantea un gran problema para el análisis forense. Si el usuario utilizó un cifrado seguro y no hay forma de obtener la clave de cifrado, será difícil o imposible obtener datos del teléfono. iTunes incluso les pide a los usuarios que cifren las copias de seguridad que hacen en sus computadoras.

Si bien esto hace que los teléfonos sean menos útiles para los investigadores forenses, existen algunas formas de superar el cifrado. Algunos teléfonos tienen puertas traseras integradas que permiten a los profesionales acceder a los archivos. Otros investigadores podrían adivinar o descifrar su contraseña.

Sin embargo, si no pueden, esos archivos cifrados causarán problemas graves. Si le preocupa el examen forense de su teléfono (por ejemplo, es un periodista con fuentes confidenciales), es una buena idea utilizar la configuración de cifrado más segura que pueda.

¿Alguna de su información está segura?

Al final, no hay garantías cuando se trata de una investigación forense móvil. No hay forma de proteger completamente todos los datos de su teléfono contra un investigador comprometido e inteligente. Al mismo tiempo, no hay forma de acceder a los datos en todos los teléfonos.

Sin embargo, existe una amplia variedad de herramientas en constante evolución. Estos tienen en cuenta el panorama siempre cambiante de la protección de datos. Y, por supuesto, también hay algo de suerte involucrado.

Relacionado: ¡ Ejemplos destacados de usuarios de redes sociales que ayudaron a la policía a resolver crímenes !

Como siempre, recomendamos lo mismo si desea mantener sus datos seguros. Cifre todo. Sea inteligente acerca de dónde y cómo retrocede. Utilice contraseñas seguras . Por último, no hagas nada que te ponga en el punto de mira de una investigación forense.

Cómo recuperar mensajes de texto eliminados

Si tiene ganas de realizar algunos análisis forenses de teléfonos celulares, puede recuperar los mensajes de texto eliminados en su teléfono. Hay algunas limitaciones que tendrás que superar, ¡pero es posible!

Los pasos involucrados son bastante largos, así que asegúrese de leer cómo recuperar mensajes de texto en Android o iPhone para ver la imagen completa.

Mantener sus datos seguros

Entonces, ¿puede la policía recuperar imágenes, textos y archivos borrados de un teléfono? La respuesta es sí: mediante el uso de herramientas especiales, pueden encontrar datos que aún no se han sobrescrito. Sin embargo, al utilizar métodos de cifrado, puede asegurarse de que sus datos se mantengan privados, incluso después de la eliminación.

Si no sabe qué es el cifrado y cómo puede ayudar, ahora es un momento fantástico para comenzar. Puede significar la diferencia entre ocultar sus datos y dejarlos expuestos para que otros los vean.