Recientemente ha sido publicado en el Boletín Oficial del Estado (y que también ha reflejado Eduardo Archanco en Twitter), el gobierno español ha comprado 15 piezas de analizadores Cellebrite UFED Touch2 que podrá en poder de la Comisaría General de Extranjería y Fronteras de la Policía (CGEF).
Hablamos de una tecnología que es capas de extraer datos de móviles por fuerza bruta. Vamos a ver en detalle cómo funciona Cellebrite UFED Touch2.
[nextpage]
Quién es Cellebrite
La compañía Cellebrite se dedica a fabricar y vender dispositivos que son capaces de «extraer» todos los datos que hay en el interior de los dispositivos móviles que se conecten a ellos a través de una «solidez forense».
En total ha sido un gasto de más de 151.000 euros que corresponde a 10.000 euros por cada dispositivo.
[/nextpage]
[nextpage]
Se hizo famosa por colaborar con el FBI
Cellebrite comenzó a hacerse famoso rápidamente cuando colaboró junto al FBI a conseguir información de toda la información del iPhone de un terrorista, en concreto del que provocó el tiroteo de San Bernardino en diciembre de 2015.
En ese momento la compañía aseguraba poder sacar los datos del iPhone, y en concreto del nuevo iPhone 5s del momento del que no era posible, ya que tenía un chip adicional del que no consiguieron encontrar la forma de entrada. Pero al final lo consiguió.
[/nextpage]
[nextpage]
Cellebrite UFED Touch2 tiene rivales
Cellebrite tiene varios rivales en todo el mundo, cada uno de ellos con distintos puntos fuertes y débiles. Entre ellos se encuentra la empresa sueca MicroSystemation AB, también conocida como MSAB, cuya herramienta XRY es utilizada por el Departamento de Seguridad Nacional, el ejército estadounidense y otros.
También están las empresas estadounidenses Susteen, Paraben y BlackBag Technologies; Magnet Forensics, una empresa canadiense; y Oxygen Forensics, una empresa rusa entre cuyos clientes se encuentran, según su sitio web, el IRS, el ejército estadounidense, el Departamento de Defensa, el DHS y el Departamento de Justicia.
[/nextpage]
[nextpage]
Pero Cellebrite es la mejor opción
Pero Robert Osgood, agente supervisor del FBI durante más de 25 años hasta que se retiró de la oficina en 2011, dice que Cellebrite y MSAB son los líderes.»Son los dos gorilas de 800 kilos en el mundo de los dispositivos forenses móviles cuando se trata de extraer datos» tal y como indica este agente del FBI.
Aunque dice que el FBI compra otras herramientas forenses, estas se utilizan principalmente en nichos específicos: por ejemplo, el análisis de subconjuntos de datos, como los asociados a las aplicaciones de redes sociales, después de que se hayan extraído con una herramienta de Cellebrite o MSAB.
[/nextpage]
[nextpage]
Cellebrite UFED Touch2 es el modelo más completo
Heather Mahalik, que forma a unos 400 trabajadores de las fuerzas de seguridad federales y locales al año en análisis forense móvil avanzado para el SANS Institute, dice que incluso entre estos dos gigantes, Cellebrite ha ido superando a su competidor en los últimos dos años.
«Hay singularidades y pequeños trucos en ambos que realmente ayudan… pero mentiría si dijera que todavía está reñido [entre ellos], porque sé que Cellebrite UFED Touch2 funciona mejor pque sus rivales», dijo en una entrevista.
Mahalik dice que cada año hace una encuesta a sus estudiantes para ver qué herramientas utilizan en el trabajo. Hace dos años, Cellebrite y MSAB estaban casi empatados, pero hoy en día, dice que sus estudiantes solo mencionan Cellebrite. Un informe anual de 2020 de MSAB reconoce que Cellebrite penetró en el mercado estadounidense antes que ella, lo que le ayudó a obtener una ventaja.
[/nextpage]
[nextpage]
Herramientas de Cellebrite
Las herramientas forenses de Cellebrite incluyen el Universal Forensic Extraction Device (UFED), un hardware con software propio que adquiere, descodifica y analiza datos de teléfonos inteligentes, tabletas y dispositivos GPS portátiles; el UFED4PC, que es un software independiente para su uso en un PC; y el UFED Pro, un complemento del UFED que realiza algo llamado extracción física, que extrae datos directamente del chip de la memoria flash de un teléfono.
Esto puede incluir mensajes SMS borrados e historiales de llamadas, así como datos recogidos por el teléfono y las aplicaciones que el usuario no sabe que están siendo recogidos.
[/nextpage]
[nextpage]
Es una empresa especializada en análisis forense de móviles
La empresa no ayuda a los gobiernos a hackear a distancia los teléfonos para vigilarlos en tiempo real, como supuestamente hace NSO Group, otra empresa israelí; Cellebrite se centra únicamente en el análisis forense, es decir, en la recopilación de datos y artefactos ya creados y almacenados en los teléfonos. Para su trabajo es necesario el acceso físico al teléfono.
La ventaja de Cellebrite reside en su capacidad para extraer datos de más sistemas operativos y chips de móviles que sus competidores. Y a menudo produce soluciones más rápidas que estos. Cada vez que se lanza una nueva versión de un teléfono móvil o una actualización de un sistema operativo existente, el equipo de ingenieros inversos de Cellebrite se pone en modo de asalto para encontrar vulnerabilidades y otras vías ocultas que permitan a los ingenieros acceder a los datos que los fabricantes de teléfonos se han esforzado en bloquear.
[/nextpage]
[nextpage]
Tiene acuerdos con los grandes fabricantes de teléfonos
En algunos casos, ya están trabajando en los nuevos teléfonos antes de su lanzamiento. Esto se debe a que algunos proveedores -Cellebrite no dice cuáles, pero Apple no está entre ellos- envían una muestra de sus nuevos teléfonos a Cellebrite tres meses antes de que salgan al mercado. Lo que da a los ingenieros de Cellebrite una ventaja para descifrar los dispositivos. Se trata de una práctica que se remonta al negocio original de la empresa. Esta vendía equipos a las compañías de telefonía móvil para ayudar a sus clientes a migrar los contactos de un teléfono a otro.
En su momento Cellebrite UFED Touch2 intentaba diferentes formas de desbloqueo, así como restaurar copias de seguridad cuando algún bloqueo de seguridad se fuera a activar. Pero desde entonces las funciones han ido mejorando.
[/nextpage]
[nextpage]
Todo lo necesario para extraer datos de cualquier móvil
El modelo UFED Touch2 que ha sido comprado por el gobierno español ofrece conexiones USB 3.1 y transferencias de 5Gbps y un disco SSD para lograr un análisis de datos más eficiente. Incluye una versión especial de Windows 10, WiFi 5, lector de tarjetas multi-SIM y una batería externa por sí la extracción de datos se debe realizar en exteriores. También puede clasificar los datos por contactos, correo, fotografías y otros formatos.
La principal desventaja es que hoy en día los dispositivos cuentan con una seguridad mucho más potente. Y por ello el UFED Touch 2 no puede extraer información de prácticamente todos los dispositivos actuales si no están desbloqueados.
Los clientes de Cellebrite generalmente son gobiernos y agencias de inteligencia. Durante finales de 2020 la empresa incluso empezó a vender los dispositivos a escuelas de Estados Unidos. Con el objetivo de poder detectar cualquier tipo de relación inadecuada entre profesores y alumnos. Así como cualquier dato de especial relevancia de la que ya se ha detectado alguna polémica al respecto.
[/nextpage]
[nextpage]
Cellebrite UFED Touch2 no es invulnerable
Incluso durante el mes de abril de este año Cellebrite tuvo sus propios problemas de seguridad detectados por el CEO de Signal. Diferentes vulnerabilidades en su seguridad provocaron que la empresa tuviera que eliminar algunas funciones de sus dispositivos. Y esto también supuso una pérdida de confianza en su fiabilidad. Los datos que fueran extraídos ya no podían ser considerados fiables: así como comprobar que esa extracción de datos era o no fiable.
Por lo que esto seguirá siendo un círculo en el que se encuentran los fabricantes de dispositivos móviles mejorando la seguridad, cifrado y métodos de autenticación en sus dispositivos mientras que las compañías como Cellebrite siguen mejorando la función de extracción de datos en los dispositivos.
[/nextpage]
