Tras el ataque con arma de fuego el pasado jueves 1 contra Cristina Fernández de Kirchner, la policía le secuestró al sospechoso, Fernando Sabag-Montiel, un teléfono Samsung Galaxy A50 alrededor de las 20.45.
Aproximadamente a las 22, el dispositivo ya había sido trasladado bajo custodia a la sede de los juzgados federales en la calle Comodoro Py de CABA. Según confirmó el ministro de Seguridad, Aníbal Fernández, el teléfono fue transportado en estado encendido dentro de lo que se conoce como “bolsa de Faraday”, la cual tiene por finalidad impedir comunicaciones desde y hacia el equipo (red móvil, WiFi, Bluetooh, NFC) utilizando el fenómeno físico conocido como “Jaula de Faraday”.
La utilización de la jaula de Faraday tiene por finalidad evitar cualquier señal entrante o saliente del teléfono que pudiera permitir la ejecución de algún comando en el mismo.
El riesgo más crítico es la posibilidad de que un tercero pueda remotamente enviarle un comando al teléfono para que éste comience un borrado total, algo que se conoce como “reseteo de fábrica”, eliminando toda la información y haciendo el procedimiento de extracción más complejo y con menor tasa de efectividad.
La juez María Eugenia Capuchetti solicitó casi en el cierre de ese día la colaboración del equipo experto en análisis forense informático de la Policía Federal, el cual se hizo presente para comenzar con las tareas de extracción de la información del teléfono cerca de las 2.30 del viernes 2.
Esta primera tarea de extracción de datos del celular de Sabag Montiel se realizó con un equipo denominado UFED (versión estándar) desarrollado por la empresa israelí Cellebrite. Dicho aparato cuenta con un puerto USB para conectar el celular a peritar y otro puerto USB para conectar el almacenamiento en que se guardará toda la información extraída.
Pero el equipo UFED, cuya versión es la estándar, no logró el objetivo exitosamente, motivo por el cual la jueza decidió darle intervención a la Policía de Seguridad Aeroportuaria (PSA), organismo que cuenta con la versión Premiun del UFED, la cual puede lidiar mejor con teléfonos bloqueados.
Sabag Montiel en horas de la tarde del viernes se negó a entregar la clave de desbloqueo de su celular, motivo por el cual la jueza decidió autorizar el traslado del equipo hasta la sede de la PSA en Ezeiza.
La PSA recibió el celular aproximadamente a las 22 en una bolsa de papel madera, encendido y mostrando en pantalla la leyenda “SAMSUNG GALAXY A50-WARNING: CMDLINE PARAMETER”, según consta en el acta labrada por el organismo de seguridad. También indica que se encontraban extraídas la tarjeta SIM de Movistar y una memoria Sandisk de 64gb de capacidad.
Finalmente, la PSA indicó que el teléfono se encontraba formateado de fábrica, como si fuera nuevo, sin datos guardados.
Sospechas e hipótesis
Si efectivamente el teléfono fue transportado desde la escena del hecho hasta el juzgado de Capuchetti en las condiciones óptimas de seguridad (bolsa de Faraday, encendido y en modo avión), entonces es probable que el borrado haya tenido lugar automáticamente por configuración expresa de su propietario tras varios intentos de extracción fallidos de los datos con el aparato UFED de la Policía Federal.
Aunque esto debería haber sido documentado adecuadamente en un acta judicial, algo que al parecer no ha sucedido, o al menos, no se ha informado públicamente.
Suponiendo entonces que el celular abandonó la sede judicial de Comodoro Py aún conteniendo información, pero con su acceso bloqueado, el siguiente punto débil es la cadena y condiciones de traslado hacia la sede la PSA en Ezeiza, trayecto que toma cuando menos 1 hora en completarse por la distancia entre ambos puntos.
La PSA afirmó haber recibido el teléfono en una bolsa de papel madera abierta, algo que claramente no tiene la eficacia necesaria para aislarlo de toda comunicación, como sucede con la bolsa Jaula de Faraday utilizada para el primer traslado. En esta condición, la única medida posible para que el equipo no reciba órdenes externas remotas es la activación del modo avión, algo que no consta en el acta de recepción labrada por la PSA.
Sin aislación física de las comunicaciones y sin la activación del modo avión, ¿es factible la interacción externa con el teléfono? La respuesta es sí, aunque poco probable, dado que sería necesario montar un despliegue tecnológico bastante complejo.
Entonces, si el error estuvo en el traslado, dichas condiciones podrían haber permitido que un atacante le brindase WiFi en movimiento desde las proximidades al celular de Sabag Montiel en su traslado desde Comodoro Py hasta Ezeiza. Esa conexión podría haber habilitado un canal para que el equipo tenga acceso a Internet y, en consecuencia, ser comandado a distancia para que se borre completamente toda la información.
¿Hace falta ser un hacker para borrar un teléfono Android a distancia? No. Todos los equipos Android cuentan con la herramienta “Encuentra mi dispositivo”, la cual permite varias acciones a distancia, como el borrado total, simplemente utilizando la cuenta Gmail configurada en un teléfono.
También existen otros métodos de acceso remoto a un Android mediante aplicaciones de terceros de dudosa procedencia dado que este OS es particularmente apto para las modificaciones y desarrollo de software a medida.
De todos modos, esta opción del borrado a distancia requiere de un montaje casi de película, con lo cual esta es la opción menos probable para justificar el borrado del teléfono de Sabag Montiel, aunque aún no se la descarta del todo.
Muchos expertos apuntan a lo realizado por la PFA en los primeros intentos de extracción de datos del teléfono. Algunos foros relacionados al mundo informático tienen temas similares al de este caso, con errores idénticos que aparecieron tras varios intentos de acceso a la información de teléfonos Android. Según puede leerse, éstos se atribuyen a una mala configuración o selección del modelo de teléfono en el aparato UFED lo que desencadena la falla que provoca el borrado general del teléfono. Si bien se sabe que los oficiales de la PFA y la PSA son expertos en el uso de los equipos UFED en sus dos versiones, la informática tiene caminos complicados que no siempre llevan a buen puerto, sobre todo cuanto se intenta violar la seguridad de un equipo de comunicaciones configurado para impedir precisamente el acceso a sus datos.
¿Qué otras opciones quedan para acceder a la información del celular de Sabag Montiel?
En primera instancia, las autoridades de seguridad argentinas seguramente se contactarán con la empresa creadora del equipo UFED para obtener nuevos procedimientos, algunos de los cuales suelen requerir el envío del teléfono a la sede de Cellebrite para su manipulación con equipamiento más especializado y con personal más entrenado.
Por otro lado, también es factible el contacto con los desarrolladores del sistema operativo Android, o sea Google, para tratar de lograr cooperación para la apertura del dispositivo en cuestión. Aunque este camino suele ser un tanto complicado y poco exitoso.
La tercera opción es recurrir a software de terceros para tratar de trabajar sobre las memorias físicas del celular. Vale mencionar que cuando se borra información de un equipo informático lo que en realidad sucede es que los espacios de almacenamiento cambian su estado de “escrito” a “libre”, de modo tal que cuando se procede a cargar nueva información, ésta se escribe sobre esos espacios libres terminando de borrar los contenidos anteriores. Este proceso suele ser reversible, aunque la tasa de éxito no es demasiado alta.
Sin dudas, un caso que seguirá dando mucho para analizar desde toda clase de punto de vista, no sólo el tecnológico.
