En muchas ocasiones, un perito informático es requerido para realizar un informe pericial informático al objeto de verificar la autenticidad de un fichero de audio, de vídeo o de fotografía que se halla almacenado en un teléfono inteligente o una tableta. Ante esta tesitura, el perito informático debe tener en cuenta que el mejor análisis forense posible que puede realizarse a un fichero informático almacenado en un teléfono o tableta, es el que analiza los metadatos del mismo.
Los metadatos de un fichero son unas propiedades internas al propio fichero, que informan sobre el mismo y que corren el riesgo de desaparecer o de ser modificadas o alteradas por un sistema externo si se produce una copia no forense del fichero hacia el disco duro de un ordenador o hacia una memoria USB. De los metadatos de un fichero se puede extraer la fecha de creación del mismo, la fecha de su última modificación, la fecha de su última lectura, así como las coordenadas geográficas en las que fue tomada una fotografía, el tipo de dispositivo con el que fue grabado un fichero de audio o de vídeo, etc.
Al objeto de realizar una correcta obtención y posterior análisis de los metadatos de un fichero almacenado en un dispositivo móvil, el perito informático debe, en primer lugar, obtener una imagen forense del mismo. Esta imagen forense puede ser física o lógica. Una imagen o extracción física es una clonación exacta (bit a bit) del contenido de un teléfono móvil, incluso los mensajes, archivos y bases de datos que han sido previamente eliminados, lo que permite incluso realizar lo que en informática forense se denomina file carving. Una imagen o extracción lógica es el conjunto o listado completo de todos los archivos que, en el momento de la extracción, se hallan en el sistema de ficheros del dispositivo móvil, es decir, en el teléfono o tableta.
Para la realización de cualquiera de este tipo de extracciones, el perito informático debe utilizar una herramienta de extracción forense de información almacenada en dispositivos móviles y, posteriormente, una herramienta de análisis forense de dicha información. De las muchas herramientas de extracción de la información almacenada en dispositivos móviles existentes en el mercado, este perito informático dispone de la Cellebrite UFED Touch, la mejor y más utilizada, entre otros, por las Fuerzas y Cuerpos de Seguridad del Estado de todo el mundo, así como de la herramienta de análisis forense UFED Physical Analyzer, también de Cellebrite.
Como ejemplo para la realización del presente artículo, este perito informático ha utilizado el terminal LG X150 que, como se puede observar en la siguiente captura de pantalla, aparece conectado a la herramienta Cellebrite UFED Touch (propiedad de este perito informático), mientras dicha herramienta está realizando una extracción lógica del contenido del teléfono móvil, en el laboratorio de informática forense de este perito informático. La extracción lógica proporcionará, al objeto de realizar el ulterior peritaje informático, todos los archivos que, en el momento de la extracción, se encuentran en el terminal y que no han sido borrados por el propietario del teléfono.
La extracción lógica del contenido del terminal, a la izquierda de la imagen, se almacena en el disco duro que se observa a la derecha de la imagen, al objeto de poder ser analizada posteriormente por el perito informático. Una vez ha concluido la extracción lógica del terminal, es necesario desconectar, de la herramienta Cellebrite UFED Touch, el disco duro donde se ha almacenado la imagen. Conectando el disco duro al ordenador, se pueden observar, tal y como se aprecia en las dos siguientes capturas de pantalla, los ficheros correspondientes a la extracción lógica o imagen del terminal, que deberá ser utilizada por el perito informático para la realización del análisis forense de los metadatos del o de los ficheros, al objeto de elaborar posteriormente el informe pericial informático.
A continuación, es necesario cargar la imagen del terminal en el programa UFED Physical Analyzer, de Cellebrite, donde se podrán estudiar los metadatos del o de los ficheros que el perito informático desee analizar. La siguiente captura de pantalla muestra la imagen del terminal cargada en el programa UFED Physical Analyzer.
Una vez el perito informático ha cargado la imagen forense del terminal en el programa UFED Physical Analyzer, debe dirigirse al menú Imágenes, al objeto de comprobar todos los ficheros multimedia de imágenes incluidos en la extracción forense. En dicho menú, el perito informático podrá comprobar que puede obtener todas las fotografías almacenadas en el terminal y que no han sido previamente eliminadas, al objeto de poder analizar sus metadatos para elaborar el peritaje informático requerido. A modo de ejemplo, se ha seleccionado una fotografía tomada de la estatua del Oso y el Madroño de Madrid desde el mencionado terminal, tal y como se muestra a continuación.
El análisis de los metadatos EXIF de la fotografía, como se advierte en la siguiente captura de pantalla, revela que ésta fue tomada a las 14:28:25 horas del día 24 de abril de 2016 (propiedad DateTime), mediante el terminal móvil LG X150 (propiedad Modelo). Este análisis forense permite concluir que la fotografía no presenta indicios de manipulación, ya que el terminal con el que dicha fotografía fue tomada es el mismo que el analizado, las condiciones climatológicas son las correspondientes a las de las 14:28:25 horas del día 24 de abril de 2016 en Madrid y, además, no se puede observar en los metadatos de la fotografía el rastro de ningún programa de edición de imágenes y fotografías.
Asimismo, el programa UFED Physical Analyzer también proporciona al perito informático el código hash MD5 de la fotografía, que es 62614074826bd1de7f3fc52dfa17f42a. Dicho código hash puede observarse en la siguiente captura de pantalla procedente del UFED Physical Analyzer.
Así pues, el perito informático deberá incluir, en su informe pericial, una explicación del proceso de extracción lógica de los datos del terminal, los códigos hash correspondientes a los ficheros que conforman la mencionada imagen forense, el propio código hash de la mencionada la fotografía analizada, así como una explicación detallada del análisis de los metadatos del fichero multimedia en cuestión. Como colofón, el perito informático podrá concluir, tras la realización del análisis forense, que la fotografía no presenta indicios de manipulación y que, por tanto, se puede considerar como prueba a todos los efectos procesales.
Si en lugar de una fotografía, el perito informático tuviese que enfrentarse al análisis forense de un fichero de audio, vídeo o de cualquier otro tipo de formato (inclusive un PDF o un fichero de Microsoft Office), almacenado en un dispositivo móvil, el proceso para realizar el peritaje informático sería equivalente.