Es muy posible que en alguna ocasión hayáis vendido en Wallapop o plataformas similares algo que ya no os hacía papel y sacarle así algo de provecho económico.
Haciendo una simple búsqueda en Wallapop podemos encontrar cientos de productos electrónicos a buen precio. La duda que me asalta es… ¿Estas personas son conscientes de que muchos de estos dispositivos aún contienen su información personal? Hoy hablaremos del análisis forense. Como siempre, it’s a true story.
Disclaimer: En este artículo nos referimos a análisis forense como la recuperación de ficheros eliminados en sentido amplio, sin ahondar en el resto de características y procesos que también conforman los análisis forenses (cadena de custodia, análisis de memoria, procesos, actividad del usuario, etc.).
Un ejemplo entre muchos
La mayoría de la gente piensa que con eliminar los ficheros como normalmente hacemos y vaciar posteriormente la papelera de reciclaje es suficiente. Obviamente no, no es suficiente. Y para muestra, un botón:
El año pasado estuve de vacaciones en Ibiza. Como aficionado al snorkel y a la fauna submarina quise hacerme con una de esas cámaras deportivas que pueden grabar vídeos bajo el agua. Como no quería gastarme mucho dinero, dado que es algo que no iba a utilizar muchas más veces, acudí a Wallapop en busca de una unidad de segunda mano. Al instante me aparecieron cientos de ellas de diversas marcas y modelos. Me llamó la atención que en la mayoría anuncios se incluía la tarjeta de memoria como reclamo publicitario. Adquirí por 20 Euros una cámara bastante decente con una tarjeta micro SD de 32 GB incluida.
Lo primero que me vino a la mente fue el riesgo enorme que supone un borrado incorrecto de una tarjeta de memoria. Al fin y al cabo, lo normal es que hayamos hechos miles de fotos en la misma tarjeta de memoria. Lo mismo ocurre el día que decides jubilar tu ordenador, cámara o tarjeta y te planteas borrar tus archivos para que el nuevo propietario no pueda acceder a ellos -y opinar sobre ese bañador a cuadros que tan bien te quedaba-. ¿Cómo hacerlo?
Como prueba de concepto, realicé un análisis forense en menos de dos minutos a la -ahora mía- tarjeta de memoria que reveló más de 100 fotografías y vídeos privados del anterior propietario. Por supuesto, lo primero que hice fue hacerle un borrado seguro y plantearme que era necesaria una labor de concienciación dando forma a esta entrada.
¿Cómo se almacenan y borran los ficheros?
Lo cierto es que el borrado de ficheros no es tan sencillo como aparenta. Generalizando de una manera muy simplista, podemos decir que un disco duro, una memoria USB o una tarjeta de memoria disponen de celdas de almacenamiento (denominadas sectores) que contienen los datos de los ficheros (en nuestro ejemplo, fotografías y vídeos). Cuando copiamos las fotografías desde la tarjeta de memoria al disco duro, lo que estamos copiando son los datos en bruto de las celdas de origen a las celdas de destino. Este es el motivo por el cual copiar muchos ficheros tarda tanto tiempo, porque el sistema operativo está localizando las celdas libres y está escribiendo en ellas. El propio sistema operativo mantiene y actualiza un índice para saber en qué celdas se encuentra cada fichero. Cuando el sistema operativo quiere acceder al fichero X, consultará en el índice las celdas en las que se encuentra.
Cuando borramos un fichero -o un grupo de ellos- lo que el sistema operativo en realidad hace es eliminar la entrada de dicho fichero en el índice, de forma que las celdas que contenían la información la siguen conteniendo, pero al no figurar el nombre del fichero en el índice, las celdas estarán consideradas como libres y por tanto podrán ser utilizadas en próximas escrituras. Esto resulta evidente cuando observamos la diferencia de tiempo entre copiar un fichero y eliminar dicho fichero. La copia de ficheros generalmente tarda un tiempo considerablemente más elevado que la eliminación -que es casi instantánea-. Podemos decir que el borrado real se produce con la siguiente escritura del siguiente fichero que ocupe las celdas implicadas y así sucesivamente. De esta forma se ahorra bastante tiempo, dado que nos permite eliminar ficheros sin demorar largos periodos de tiempo, agilizando enormemente el trabajo del día a día.
El análisis forense se basa en este principio, en la recuperación de evidencias de aquellas celdas que, habiéndose marcado para ser escritas de nuevo, aún contienen la información original. Como hemos visto en el ejemplo de la cámara que compré en Wallapop, esto puede suponer una fuga muy importante de datos privados. Las consecuencias de un borrado no efectivo de los datos pueden ser muy importantes. Nunca infravaloréis el análisis forense.
Importancia en casos judiciales
Tal es la relevancia del análisis forense que, en determinados casos judiciales, los análisis forenses de dispositivos electrónicos son absolutamente determinantes para esclarecer lo sucedido. Así ocurrió por ejemplo con el iPhone de Diana Quer, cuando en 2017 se consiguió acceder al dispositivo incluso tras permanecer 9 semanas bajo el mar, o con el caso del tiroteo de San Bernardino (Estados Unidos) en 2016, donde el mismísimo Tim Cook (CEO de Apple) se negó a ayudar al FBI a desbloquear el iPhone del tirador, pero gracias a la empresa israelí de análisis forense Cellebrite -y mediante un millón de dólares-, el FBI consiguió igualmente acceder al dispositivo.
Existen multitud de herramientas gratuitas para hacer un análisis forense rápido y sencillo a cualquier dispositivo de almacenamiento, aunque para casos más complicados (por ejemplo, para terminales dañados como el de Diana, en muy mal estado a causa del salitre) se requiere el uso de un laboratorio profesional como el de Cellebrite con un coste de varios cientos de miles de euros.
¿Hay algo que podamos hacer al respecto para protegernos de un análisis forense que alguien pueda hacer a nuestro dispositivo (bien porque lo hayamos vendido, bien porque lo hayamos prestado o bien porque hayan accedido a escondidas)? Desde luego. Para ello tenemos que considerar lo siguiente:
- Proteger el acceso físico a los dispositivos
- Proteger el acceso lógico a los dispositivos
- Realizar un borrado seguro de los ficheros que sean sensibles
Proteger el acceso físico a los dispositivos
La primera medida que se debe aplicar siempre es proteger el acceso físico a los dispositivos. Esto puede parecer una obviedad, pero ¿cuántas veces vemos en oficinas y en casas particulares dispositivos USB encima de la mesa al alcance de cualquiera? Debemos guardarlos siempre bajo llave, o al menos en un lugar que no esté a la vista.
No es infrecuente viajar en tren y ver cómo estudiantes y ejecutivos dejan un pendrive USB enchufado y el portátil encendido -bloqueado, pero desatendido- mientras van al vagón cafetería a reponer fuerzas. Cualquier persona puede, literalmente, extraer el USB y hacer un análisis forense rápido mucho antes de que la persona regrese del vagón cafetería. Nunca hay que perder de vista los dispositivos, especialmente si son extraíbles.
Proteger el acceso lógico a los dispositivos
Es un hecho que no podamos mantener la vigilancia visual de nuestros dispositivos las 24 horas. Por ello tenemos que asumir que, tarde o temprano, algún atacante podrá sentarse delante de nuestros dispositivos y tendrá tiempo para intentar analizarlos y extraer información. Esto es especialmente cierto, por ejemplo, en los hoteles -donde seguro que al menos el personal de limpieza accederá a la habitación mientras pasamos toda la jornada en la playa-, en pisos compartidos o en tiendas de informática.
Éstas son algunas medidas básicas para protegernos de un análisis forense malicioso:
- Configurar el ordenador para que solicite una contraseña al arranque y otra distinta para acceder a la configuración de la BIOS. Esto garantiza que no se podrá iniciar el dispositivo -ni acceder a la BIOS para cambiar este comportamiento- si no se dispone de la contraseña. Para una tablet aplica el mismo principio.
- Configurar en la BIOS el orden de arranque con el disco duro como primera opción. Esto evita que el equipo pueda ser arrancado con una imagen live CD o USB.
- Utilizar cifrado de disco completo con una contraseña fuerte para que, si se extrae el disco duro, no puedan realizarle un análisis forense rápido al estar los datos cifrados. Windows 10 Pro dispone de BitLocker para este cometido. En Linux se puede configurar LUKS en la mayoría de distribuciones durante el proceso de instalación. Esto no prevendrá de un ataque por fuerza bruta contra la partición cifrada, pero lo mitigará dado que el acceso por fuerza bruta requerirá de enormes cantidades de tiempo.
- Utilizar un contenedor cifrado como Veracrypt para almacenar los ficheros más sensibles, como documentos personales y fotografías. Además, debemos usarlo siempre en dispositivos extraíbles como discos externos y pendrives USB, con independencia de la naturaleza de los ficheros que incluya. Esto nos cubre las espaldas ante un extravío o la sustracción maliciosa del dispositivo.
Es importante notar que todas estas medidas son preventivas. Son medidas que dificultan el análisis forense offline, aquél que se lleva a cabo sin la presencia del interesado y con tiempo suficiente por parte del atacante. Es importante notar que, dependiendo de la jurisdicción en que nos encontremos, si nuestros equipos pueden contener evidencias en un proceso judicial, no facilitar la clave de cifrado a un juez para que se descifren los ficheros es considerado un delito. En otros países, como Estados Unidos, existe el derecho a no auto inculparse -la famosa quinta enmienda- lo que convierte este hecho en un hecho no punible, aunque puede aumentar el nivel de sospecha sobre el acusado.
Realizar un borrado seguro de los ficheros que sean sensibles
Esta es la consideración más importante. Un fichero que ha sido correctamente borrado, se fue para siempre. Cuando queramos eliminar un fichero y que éste no sea recuperable debemos proceder a realizar un borrado seguro. Este borrado consiste, básicamente, en sobrescribir las celdas que contenían la información original. Una vez rescritas, no es posible acceder a lo que había escrito con anterioridad. De esto se desprende que, antes de vender un dispositivo que haya contenido información sensible, debe realizarse un borrado seguro del disco duro.
En Linux, una herramienta habitual para este menester es Shred. Esta aplicación permite eliminar ficheros efectuando varias iteraciones de escritura sobre las celdas afectadas. También permite concluir el borrado con una escritura aleatoria para evitar que se pueda saber que se ha realizado un borrado seguro.
En Windows disponemos de herramientas similares, como Eraser y BleachBit.
No obstante, siempre es recomendable, a poder ser, vender el dispositivo sin el disco duro. De esta forma, podemos optar por destruir físicamente el disco de forma que la información sea irrecuperable.
Comprobando que el borrado es exitoso
Una buena práctica que debemos hacer siempre es comprobar si realmente hemos borrado toda la información que pretendíamos. Para ello es recomendable hacer un análisis forense nosotros mismos a nuestros propios dispositivos una vez que hemos realizado el borrado seguro. Ponerse en el papel del atacante es siempre una buena forma de validar que el borrado es exitoso.
No es necesario utilizar herramientas de corte profesional como las que normalmente utilizamos en las técnicas de análisis forense avanzado porque son muy complejas y exceden con mucho el ámbito de la prueba. Para la comprobación que queremos hacer podemos echar mano de aplicaciones más sencillas, únicamente enfocadas a la recuperación de ficheros borrados por accidente.
Para Windows una utilidad que suele funcionar bastante bien para estos menesteres es Recuva. En Linux, la aplicación que más garantías y mejores resultados me ha dado es Testdisk.
Con ambas herramientas podremos, de una forma rápida, analizar nuestro dispositivo de almacenamiento y observar si aparecen ficheros que hayamos borrado de forma segura.
Si te ha interesado este POST te invitamos a que leas también: