Los delincuentes a veces dañan sus teléfonos móviles en un intento de destruir pruebas. Pueden aplastar disparo, sumergir o cocinar sus teléfonos, pero los expertos forenses a menudo pueden recuperar la evidencia de todos modos. Ahora, Los investigadores del Instituto Nacional de Estándares y Tecnología (NIST) han probado qué tan bien funcionan estos métodos forenses.

Es posible que un teléfono dañado no se encienda, y es posible que el puerto de datos no funcione, por lo que los expertos utilizan herramientas de hardware y software para acceder directamente a los chips de memoria del teléfono. Estos incluyen herramientas de piratería, aunque aquellos que puedan ser utilizados legalmente como parte de una investigación criminal. Debido a que estos métodos producen datos que podrían presentarse como prueba en un tribunal, es importante saber si se puede confiar en ellos.

"Nuestro objetivo era probar la validez de estos métodos, "dijo Rick Ayers, el experto en forense digital del NIST que dirigió el estudio. "¿Producen de manera confiable resultados precisos?"

Los resultados del estudio NIST también ayudarán a los laboratorios a elegir las herramientas adecuadas para el trabajo. Algunos métodos funcionan mejor que otros, dependiendo del tipo de teléfono, el tipo de datos y el alcance del daño.

El estudio aborda métodos que funcionan con teléfonos Android. También, el estudio cubrió solo métodos para acceder a los datos, no descifrarlo. Sin embargo, aún pueden ser útiles con teléfonos encriptados porque los investigadores a menudo logran obtener el código de acceso durante su investigación.

Para realizar el estudio, Los investigadores del NIST cargaron datos en 10 modelos populares de teléfonos. Luego extrajeron los datos o hicieron que expertos externos los extrajeran por ellos. La pregunta era:¿Los datos extraídos coincidirían exactamente con los datos originales? sin cambios?

Para que el estudio sea preciso, los investigadores no podían simplemente transferir un montón de datos a los teléfonos. Tenían que agregar los datos de la forma en que una persona lo haría normalmente. Tomaron fotos, envió mensajes y usó Facebook, LinkedIn y otras aplicaciones de redes sociales. Ingresaron contactos con múltiples segundos nombres y direcciones con formato extraño para ver si alguna parte se cortaría o se perdería cuando se recuperaron los datos. Agregaron datos de GPS conduciendo por la ciudad con todos los teléfonos en el tablero.

Después de que los investigadores hubieran cargado datos en los teléfonos, utilizaron dos métodos para extraerlo. El primer método aprovecha el hecho de que muchas placas de circuitos tienen pequeños grifos de metal que brindan acceso a los datos de los chips. Los fabricantes usan esos grifos para probar sus placas de circuito, pero soldando cables sobre ellos, Los investigadores forenses pueden extraer datos de los chips. Esto se llama método JTAG, para el Grupo de Acción de Tarea Conjunta, la asociación de la industria manufacturera que codificó esta función de prueba.

Los chips se conectan a la placa de circuito a través de pequeños pines de metal, y el segundo método, llamado "chip-off, "implica conectarse a esos pines directamente. Los expertos solían hacer esto extrayendo suavemente los chips de la placa y colocándolos en lectores de chips, pero los alfileres son delicados. Si los daña, obtener los datos puede ser difícil o imposible. Hace unos pocos años, Los expertos descubrieron que, en lugar de sacar los chips de la placa de circuito, podían moler el lado opuesto del tablero en un torno hasta que los pasadores quedaran expuestos. Esto es como quitar el aislamiento de un cable, y permite el acceso a los pines.

"Parece tan obvio, ", dijo Ayers." Pero es una de esas cosas en las que todo el mundo lo hizo de una manera hasta que a alguien se le ocurrió una forma más fácil ".

Las extracciones de chips fueron realizadas por el Laboratorio Forense Digital del Departamento de Policía de Fort Worth y una empresa forense privada en Colorado llamada VTO Labs. quien envió los datos extraídos al NIST. La científica informática del NIST Jenise Reyes-Rodríguez hizo las extracciones de JTAG.

Una vez completadas las extracciones de datos, Ayers y Reyes-Rodríguez utilizaron ocho herramientas de software forense diferentes para interpretar los datos sin procesar, generando contactos, ubicaciones, textos, fotos, datos de redes sociales, etcétera. Luego los compararon con los datos cargados originalmente en cada teléfono.

La comparación mostró que tanto JTAG como chip-off extrajeron los datos sin alterarlos, pero que algunas de las herramientas de software eran mejores para interpretar los datos que otras, especialmente para datos de aplicaciones de redes sociales. Esas aplicaciones cambian constantemente lo que dificulta a los fabricantes de herramientas mantenerse al día.

Los resultados se publican en una serie de informes en línea disponibles gratuitamente. Este estudio, y los informes resultantes, son parte del proyecto de pruebas de herramientas informáticas forenses del NIST. Llamado CFTT, Este proyecto ha sometido una amplia gama de herramientas forenses digitales a una evaluación rigurosa y sistemática. Los laboratorios forenses de todo el país utilizan informes CFTT para garantizar la calidad de su trabajo.

"Muchos laboratorios tienen una carga de trabajo abrumadora, y algunas de estas herramientas son muy caras, ", Dijo Ayers." Para poder ver un informe y decir:esta herramienta funcionará mejor que esa para un caso particular, eso puede ser una gran ventaja ".