Un teléfono móvil y una tarjeta SIM
Qué información podría recuperar la Guardia Civil del móvil del fiscal general tras el borrado masivo de sus mensajes
- Es posible recuperar datos borrados de un teléfono móvil incluso aunque se hayan eliminado los mismos manualmente, pero existen ciertas limitaciones.
- Más información: Cómo leer los mensajes de WhatsApp borrados: así los puedes recuperar fácilmente
La presunta filtración de datos confidenciales de Alberto Gómez Amador tiene en su foco, entre otros, al Fiscal General del Estado, Álvaro García Ortiz. Tras la actuación inicial de la Guardia Civil, en la que se registró y clonó el contenido de los dispositivos electrónicos del fiscal, nuevas diligencias del juez instructor pretenden rastrear lo que sucedió con su teléfono móvil y las dos tarjetas SIM que contenía.
Tras el registro del despacho del Fiscal General el pasado 30 de octubre, la Unidad Central Operativa (UCO) entregó un informe en el que señalaban haber encontrado "cero mensajes pertenecientes a cualquier tipo de aplicación de mensajería instantánea" entre los días 8 y 14 de marzo de 2024, fechas claves del caso. En el informe no se sugería la eliminación intencionada de los mensajes, pero desde 2019 existen recomendaciones en la institución para el borrado periódico de los dispositivos electrónicos por motivos de seguridad.
En esta guía de actuaciones en materia de protección de datos, además de la limitación del plazo de conservación e incluso la destrucción de dispositivos en desuso, se mencionaba medidas de seguridad relacionadas con los dispositivos electrónicos. Así, se refería a la limitación "al máximo" del "almacenamiento de información que contenga datos personales en soportes electrónicos portátiles (discos duros externos, memorias USB, etcétera)" y obligaba a "su encriptación en caso de que se utilicen".
En cualquier caso, al no hallar esos mensajes en el dispositivo móvil y las tarjetas SIM intervenidas, Hurtado ha solicitado a la UCO que averigüe los números de teléfono e IMSI/IMEI que les corresponden, además de la titularidad asociada a estos números de teléfono. Para ello tampoco se descarta que requiera información a compañías como Meta, matriz de WhatsApp, y se utilicen otros medios para intentar saber si las tarjetas fueron utilizadas en otros dispositivos móviles de momento no encontrados.
Investigaciones de este tipo suelen recaer en peritos forenses informáticos, que conocen al detalle hasta qué punto y con qué herramientas se puede recuperar información borrada de un dispositivo o una cuenta de una aplicación de mensajería. Por eso, en EL ESPAÑOL - El Androide Libre hemos querido contar con la participación de dos expertos en la materia para la elaboración de este reportaje.
Qué es el IMSI y el IMEI
Los dispositivos de comunicación pueden usar tarjetas de datos para poder enviar y recibir información o permitir hacer llamadas de teléfono. Para identificar los dispositivos que realizan esas llamadas se necesita un número asignado no solo a cada aparato, sino a cada ranura SIM. Antes de intentar recuperar información de mensajería de un dispositivo concreto, hay que saber su IMEI y su IMSI.
El IMSI (International Mobile Subscriber Identity) y el IMEI (International Mobile Equipment Identity) son códigos únicos que identifican cualquier dispositivo que pueda enviar y recibir mensajes y llamadas a través de una red móvil de telefonía. Es la manera que la infraestructura tiene de saber a quién queremos contactar y qué dispositivo físico está usando.
![](["https:\/\/s1.elespanol.com\/2024\/12\/26\/actualidad\/911669257_251951417_320x180.jpg"])
El IMSI es un número de 15 dígitos que identifica la tarjeta física, o la eSIM en el caso de usar una virtual. Es una suerte de DNI de la propia tarjeta vinculado al número de teléfono. El IMEI es un código único de 15 a 17 dígitos que identifica al dispositivo móvil en sí, independientemente de la tarjeta SIM. Los móviles que tienen dos ranuras SIM tienen también dos IMEI, ya que cada ranura tiene el suyo.
Es decir, el IMSI identifica al número de teléfono a través de la SIM, y el IMEI identifica el teléfono en sí mismo. En declaraciones a este periódico, David del Olmo, perito informático forense especializado en dispositivos móviles, indica que estos datos "son esenciales para garantizar la trazabilidad y autenticidad de la evidencia digital en la cadena de custodia. Permiten la identificación, localización, vinculación de dispositivos y usuarios involucrados en actividades sospechosas o ilícitas".
El experto señala que hay varias formas de recuperar información borrada de un dispositivo móvil. En el caso de buscar información de WhatsApp, el proceso es más completo porque la información "se encuentra en la parte física del dispositivo, no siendo visible ni accesible para un usuario. En la tarjeta microSD (si la tiene) sería la opción más sencilla con un programa de recuperación de datos". Otras opciones están relacionadas con las copias de seguridad, como el "backup de iTunes o aplicaciones propias como Samsung Kies".
Javier Rubio Alamillo, perito informático y Decano del Colegio Profesional de Ingenieros Técnicos en Informática de la Comunidad de Madrid, nos indica que lo habitual es intentar recuperar la información "a través de la realización de un volcado, que recupera las bases de datos de las aplicaciones. Mediante su análisis, se podrían llegar a recuperar los mensajes". Sin embargo, tras "los últimos cambios en las tecnologías SQLite, la tipología de bases de datos donde almacenan sus mensajes la mayoría de las aplicaciones impiden esta recuperación".
Recuperación de datos en el terminal
Cuando se ha borrado la información de un dispositivo informático es posible que sea viable recuperar todos o parte de esos datos incluso tras el formateo. Esto es así porque cuando se restaura un dispositivo, o cuando se borran ciertos elementos, en realidad no siempre se borra el código asociado a los mismos, sino que sólo se elimina el inicio de este código.
Esto es así porque es mucho más rápido y, con el paso del tiempo, el propio sistema operativo irá guardando información encima de la antigua, eliminando la anterior. Sería algo parecido a tapiar una puerta: no se ha derribado el edificio, pero no se puede entrar sin permiso. Pero sería viable entrar en algunas habitaciones colándose por una ventana. Esto es lo que hacen algunos programas de recuperación de datos, capaces de rescatar parte de la información que teóricamente se ha borrado.
![](["https:\/\/s1.elespanol.com\/2024\/12\/26\/actualidad\/911669259_251951475_320x180.jpg"])
Otra cuestión es si la información que se ha logrado rescatar está o no encriptada. En el caso de que así sea, los datos que hayamos conseguido recuperar estarían enmascarados de manera que no sería fácil su lectura. El sistema de cifrado varía de una aplicación a otra y de un sistema operativo a otro. Hay programas capaces de romper esa encriptación, pero se necesita abundante tiempo y recursos.
Por otro lado, hay sistemas de borrado que lo que hacen es eliminar toda la información. Esto lleva mucho más tiempo, pero garantiza que no se puede rescatar nada, ya que se ha sobrescrito encima de toda la información. Esto se suele aplicar cuando se realiza el borrado de todo un disco duro o una memoria interna, pero no suele ser el caso cuando se borran ciertos mensajes en fechas concretas, como es el caso del móvil del Fiscal General.
Intentar recuperar mensajes puntuales es mucho más complicado, como relata el decano. "Debido a cambios en la tecnología, cada vez es más complejo. Las copias de seguridad sustituyen a la original. Y si se borra un mensaje en la copia original, la nueva copia de seguridad ya no tendrá ese mensaje".
Copia de seguridad de la app
Interfaz de la copia de seguridad de WhatsApp en un smartphone El Androide Libre
Eso sí, debido al cifrado que suelen tener estas aplicaciones, se necesita que sea el propio usuario el que restaure esa información. Cada servicio tiene diferentes métodos de identificación, como la vinculación con un número de teléfono, con un email de recuperación de contraseña, etc. Rubio Alamillo asegura que intentar romper el cifrado "es muy complejo".
Sin las claves, explica, "es muy difícil, y la única opción sería la fuerza bruta u otras técnicas que consisten en infiltrarse en los terminales para leer los mensajes en tiempo real mediante troyanos". Pero "estas operaciones deberían ser autorizadas por un magistrado", precisa.
David del Olmo explica que, en el caso de WhatsApp, la información "se almacena en la base de datos locales en el dispositivo, por lo que recuperar mensajes eliminados sin acceso a la copia de seguridad es técnicamente posible en algunos casos". Todo dependerá "de las herramientas adecuadas, del nivel de cifrado y de las posibles limitaciones físicas o lógicas del dispositivo".
Pero en el caso de otras aplicaciones, como Telegram, puede ser incluso más complejo. En el caso de que sea un chat secreto "no tenemos forma de recuperarlo ya que utiliza un cifrado de extremo a extremo. En algún caso he podido recuperar chats completos, no secretos, porque el usuario tenía una copia de seguridad previa realizada con Telegram Desktop, la versión de escritorio, en su equipo".
Copia de seguridad del sistema
La tercera manera de recuperar datos de un móvil borrado es recurrir a las copias de seguridad de los sistemas operativos. Tanto iOS como Android disponen de copias de seguridad que pueden ser automatizadas, y que permiten restaurar la información de un móvil en otro completamente diferente.
En este caso es importante por los SMS, que no dependen de aplicaciones de terceras empresas como puede pasar en el caso de apps de mensajería como Telegram o WhatsApp. En el caso de Android, por ejemplo, los SMS los gestiona la aplicación de Mensajes de Google, y todos los que tenemos en el móvil se replican en la copia de seguridad de nuestro móvil en los servidores de la empresa.
Copias de seguridad de Android El Androide Libre
David del Olmo nos indicaba que recuperar los datos de un dispositivo Android "siempre va a depender de la marca y modelo del móvil, el parche de seguridad de Android que tenga en ese momento, la herramienta forense que utilicemos y el tiempo que ha trascurrido desde que fue borrado el o los mensajes, ya que normalmente los datos son sobrescritos y esto dificulta la tarea".
De hecho, cuando se está configurando un dispositivo nuevo con Android, el propio sistema nos pregunta si queremos restaurar la copia de seguridad de nuestra cuenta, vinculada a nuestro correo. En esa restauración se pueden seleccionar elementos como aplicaciones, correos electrónicos o imágenes, pero también el historial de llamadas o los SMS que hemos recibido en el móvil antiguo.
Peticiones judiciales
Las fuerzas de seguridad del estado tienen potestad para pedir a las empresas copias de la información de chats que estén relacionados con alguna investigación en curso. Sin embargo, "el acceso a estas empresas que suelen operar o tener sus datos en fuera de la unión europea está muy limitado", según Del Olmo.
Las solicitudes de comisiones rogatorias y las autorizaciones judiciales suelen ser lentas, y según el perito, "en muchos casos solo obtendremos datos de acceso, pero no el contenido de los mensajes, que se encuentra cifrado". En ese caso habría que "realizar un análisis forense al dispositivo móvil y luego cotejar los datos con el operador, si este quiere colaborar".
Dispositivo de recuperación de datos de la marca Cellebrite Omicrono
Ese análisis se suele realizar con herramientas de hardware diseñadas a tal efecto. "Un análisis forense con la herramienta Cellebrite puede llegar no solo a recuperar mensajes borrados sino que va a determinar desde dónde se borraron", señala el perito informático.
Se pueden extraer datos como el tipo de aplicación, si era móvil o de escritorio, si estaba o no conectado a una red WiFi, la geolocalización del dispositivo, etc. Este tipo de herramientas son tan potentes que "pueden recopilar informes de 500.000 páginas a partir de un teléfono habitual de cualquiera de nosotros".
Javier Rubio coincide en que Cellebrite es la herramienta más conocida, pero hay otras como XRY u Oxygen que también podría utilizar la UCO para tratar de recuperar los mensajes borrados de García Ortiz o para deducir el uso de otros terminales no incluidos en las primeras diligencias.
