Cómo las autoridades utilizan legalmente las tácticas de los cibercriminales para investigar delitos

Aunque obtener acceso a los datos de dispositivos cifrados podría parecer propio de una película de espías o cibercriminales, en la práctica constituye un desafío significativo para las fuerzas del orden.

A diferencia de lo que muestran las películas, el uso de fuerza bruta para descifrar claves AES u otros sistemas de cifrado modernos no es una opción viable, ya que estas tecnologías son altamente seguras. Entonces, ¿cómo logran las agencias de seguridad acceder a los dispositivos de los delincuentes en el marco de sus investigaciones? Paradójicamente, empleando métodos similares a los que utilizan los propios cibercriminales.

No hay duda de que acceder al teléfono móvil o a la computadora de un sospechoso es una prioridad para las fuerzas del orden. Cuando se confisca un dispositivo, las autoridades pueden solicitar el PIN, la contraseña o los datos biométricos del sospechoso si consideran que el equipo contiene información clave para una investigación. Sin embargo, obtener estos datos no siempre es sencillo, ya sea porque el sospechoso se niega a proporcionarlos o porque no está en condiciones de hacerlo, como en casos donde se encuentra herido, hospitalizado o presenta alguna afectación en sus facultades mentales, situación que, en muchos casos, puede estar directamente relacionada con el delito que lo ha convertido en sospechoso.

En estos casos, las fuerzas del orden recurren a diversas técnicas para acceder a dispositivos cifrados, ya sean computadoras u otros equipos. Algunas de estas estrategias incluyen:

El método más simple para las fuerzas del orden es incautar los dispositivos mientras aún están desbloqueados. También pueden realizar búsquedas en ubicaciones físicas para encontrar contraseñas anotadas o copias de datos almacenados sin cifrar.

Otra estrategia común es la vigilancia, que permite capturar contraseñas o claves de cifrado en el momento en que son ingresadas por el usuario.

Intentar adivinar la contraseña del dispositivo puede ser una opción viable o no, dependiendo de las restricciones por intentos fallidos y del tipo de mecanismo de seguridad implementado.

Para esto, pueden emplearse ataques de fuerza bruta, técnicas de diccionario (probando contraseñas frecuentes o filtradas en brechas de seguridad) o ingeniería social, como el robo de credenciales o el espionaje sobre el hombro. Otra alternativa es acceder a copias de seguridad en la nube, ya sea mediante ataques directos o a través de una orden judicial, lo que en muchos casos puede representar la vía más sencilla para obtener la información buscada, dependiendo del nivel de seguridad aplicado a dichos respaldos.

De igual forma, las fuerzas del orden pueden aprovechar las vulnerabilidades de los dispositivos para eludir el cifrado.

En algunos casos, las vulnerabilidades más antiguas, pero sólo parcialmente resueltas, aún pueden estar abiertas a la explotación, pues muchas veces el usuario no actualiza o instala los parches de seguridad en sus dispositivos cuando aparecen estas alertas, dejando estos equipos vulnerables a ataques.

La explotación de vulnerabilidades en computadoras y celulares consiste en aprovechar fallos de seguridad en software o hardware para obtener acceso no autorizado, ejecutar código malicioso o extraer información. Entre las técnicas más comunes están los exploits de día cero, que atacan fallos desconocidos sin parches disponibles, y la ingeniería inversa o fuzzing, que busca errores explotables en sistemas y aplicaciones. También se emplean ataques de ingeniería social, como phishing o smishing, para engañar a los usuarios y obtener credenciales.

Además, se pueden manipular firmware y bootloaders para lograr un control persistente, realizar ataques de fuerza bruta para descifrar contraseñas débiles o instalar malware y spyware para el robo de información. Otras tácticas incluyen la interceptación de datos en redes inseguras mediante ataques MitM y la explotación de fallos en aplicaciones y sistemas operativos que permiten ejecutar código malicioso con privilegios elevados.

Los fabricantes de teléfonos celulares han afirmado públicamente que no implementan puertas traseras para las fuerzas del orden. Sin embargo, persiste la especulación al respecto, y en múltiples ocasiones se han descubierto vulnerabilidades o accesos ocultos en sus sistemas.

Las autoridades han presionado a las empresas tecnológicas para desarrollar mecanismos de “acceso legal”, especialmente en teléfonos inteligentes. Además, buscan la cooperación de proveedores de servicios en la nube, ya que, si existen copias de seguridad accesibles, pueden eludir la necesidad de descifrar directamente un dispositivo.

La comunidad de ciberseguridad ha advertido reiteradamente sobre los riesgos de las puertas traseras, ya que crean vulnerabilidades que pueden ser explotadas por ciberdelincuentes. Cualquier método accesible para las autoridades eventualmente podría ser descubierto y utilizado con fines maliciosos. Esto también aplica a puertas traseras a nivel de hardware en dispositivos como teléfonos y computadoras, cuya implementación, si no se gestiona adecuadamente o llega a filtrarse, podría representar un riesgo significativo para la seguridad global.

Las fuerzas del orden pueden obtener acceso remoto a teléfonos y computadoras, siempre bajo orden judicial, para extraer datos y monitorear comunicaciones. Este acceso puede lograrse introduciendo software o hardware de manera encubierta en los dispositivos físicos y luego controlándolos a distancia.

Para lograrlo, primero deben identificar el número del sospechoso, lo cual puede hacerse mediante dispositivos que simulan estaciones base de telefonía celular. Estas falsas torres convencen a los teléfonos de que ofrecen la mejor conexión, permitiendo registrar los datos del dispositivo y del usuario. También pueden utilizar redes Wi-Fi maliciosas en espacios públicos para interceptar tráfico sin necesidad de acceder físicamente al equipo.

El uso de malware es una de las formas más efectivas para comprometer un dispositivo, a menudo mediante ataques dirigidos, como engañar a un sospechoso para que descargue software malicioso o dejar una memoria USB con una etiqueta provocativa, como “fotos secretas”, para inducirlo a conectarla.

Otra técnica consiste en explotar canales secundarios, como interferencias electromagnéticas o ataques acústicos, para extraer información sensible, incluyendo contraseñas. Incluso los teclados inalámbricos y otros dispositivos periféricos pueden ser vulnerables a este tipo de ataques sin que el usuario lo detecte.

Como hemos podido observar, las autoridades pueden recurrir a las mismas técnicas, tácticas y procedimientos que emplean los cibercriminales para acceder a los dispositivos e información de los sospechosos de un delito. Esto incluye el uso de malware para infiltrar dispositivos, la explotación de vulnerabilidades en software o hardware y ataques de ingeniería social para engañar a los usuarios.

También pueden recurrir a métodos de acceso remoto, como la instalación encubierta de software espía o la creación de redes Wi-Fi maliciosas para interceptar comunicaciones. Aunque estas técnicas son utilizadas para fines legales y bajo autorización judicial, generan preocupaciones sobre posibles riesgos de seguridad si se gestionan incorrectamente o si caen en manos equivocadas.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker | Líder del Capítulo Querétaro de OWASP.

Twitter: https://twitter.com/silikn

Instagram: https://www.instagram.com/silikn

YouTube: https://www.youtube.com/@silikn7599