No en pocas ocasiones pensamos que el trabajo de un analista forense informático consiste en pasarse varias horas al día delante de la pantalla de una ordenador con distintas consolas de comandos abiertas de fondo oscuro y letras verdes, mientras trata de averiguar que es lo que ha sucedido en un sistemas informático. La realidad difiere un poco de esta idea, hoy os voy a poner un ejemplo de alguna de las otras destrezas de las que tiene que disponer una analista forense informático.
El caso es el siguiente, un pendrive 3.0 de marca Kingston DataTravel con 32Gb que no da ninguna señal de funcionamiento al conectarlo al puerto USB y del que hay que extraer toda la información que contiene. Solo con está información ya es normal presuponer que el dispositivo tiene algún tipo de fallo físico que le impide funcionar correctamente. La única forma de recuperar la información que contiene es repararlo.
Lo primero será desmontar el pendrive para extraer los componentes del interior de la carcasa metálica, este modelo en concreto va pegado con una resina epóxica. Ayudados de una pequeña cuchilla y haciendo un poco de palanca con mucho cuidado se puede separar la carcasa metálica del resto de componentes. Al extraer la placa ya se puede ver que los pines de conexión del bus USB 3.0 (azules) están rotos, es decir, está separada una pieza de la otra y para que funcionen tienen que estar soldadas, así que ya tenemos claro que no pinta bien la cosa.

¿Y ahora que hacemos?, pues no nos queda otra que tratar de reparar el pendrive para poder acceder a la memoria interna del dispositivo. Existen diversos métodos para lograrlo, vamos a explicar el mas sencillo: tratar de restaurar las soldaduras del conector para poder conectarlo de nuevo.
Antes de nada, es necesario entender que un conector USB 2.0 y 3.0 no son exactamente iguales, aunque ambos son compatibles entre si, el 3.0 tiene cinco pines mas que el 2.0, pero para extraer la información del pendrive no tenemos que hacerlo necesariamente por el bus USB 3.0, lo podemos hacer por el 2.0, que aunque sea mas lento, solamente tendremos que restaurar cuatro pines en vez de nueve. En teoría se podría restaurar los 9 pines sin problema, incluso el pendrive se podría volver a utilizar de nuevo. Pero al estar tan juntos físicamente la operación se complica, es necesario tener herramientas de soldadura profesional. En la siguiente imagen, se pueden ver en la parte superior los 4 pines del bus USB 2.0 y en la parte inferior los 5 pines adicionales que convierten un USB 2.0 en 3.0. La genialidad, es que si a un USB 3.0 solamente se le conectan los pines del 2.0, funcionará igual, lo único que a una velocidad de transferencia inferior. Un ejemplo: la transferencia de un USB 2.0 es de unos 480 mbps, sin embargo el USB 3.0 rinde diez veces más.

Vamos a por la reparación, lo primero será limpiar y sanear los conectores, normalmente están expuestos a la suciedad y el óxido, con un poco de alcohol isopropilico y una dremel con un disco de pulido (a muy bajas revoluciones) los dejaremos como nuevos, eso si, con cuidado de no pasarnos y dañar lo poco que nos queda de los conectores visibles. Es muy importante que los pines no tengan continuidad eléctrica entre si, de lo contrario existiría un corto circuito que podría dañar definitivamente y sin posibilidad de recuperación la información del pendrive.

Una vez que todo esté bien limpio, presentamos los conectores sobre la placa del pendrive y comprobamos que todos los pines coinciden en su posición correctamente, es conveniente ayudarse de una lupa y un porta placas de pinzas, de este modo nos será mas sencillo poder soldar con precisión los nueve conectores de la placa. A continuación se puede ver la escasa separación que existe entre los pines, lo que implica que es necesario tener mucho pulso para dar los puntos de soldadura sin comunicar dos pines, lo que sería fatídico. Como ejemplo, en un milímetro prácticamente entran dos pines, imaginaos los difícil que es soldar un pin sin tocar el otro.

Para poder realizar esta soldadura, que es la parte mas critica de la operación, además de una lupa y unas pinzas de sujeción necesitaremos alguna otra herramienta, lo primero será disponer de un soldador de estaño con regulación de temperatura y punta extra fina. También necesitaremos un limpiador de puntas dónde ir depositando los restos de estaño que se vayan quedando pegados en la punta del estañador.

Otro elemento necesario será el FLUX, un liquido especial que nos ayudará a que el estaño fluya hacía los pines y no se interconecten entre ellos, su uso es muy sencillo, se aplica como un pinta uñas en los conectores justo antes de hacer la soldadura. Esto no es magia, aún así tendremos que tener mucha destreza a la hora de realizar las soldaduras.

Si la operación de soldadura se ha realizado correctamente, podremos ver en la lupa un resultado similar a este, los nueve pines quedan correctamente punteados y separados entre si, es importante fijarse muy bien en que no exista ninguna gota de estaño que comunique dos pines, también es necesario comprobar visualmente que los nueve pines están soldados al zócalo. En la siguiente foto, el tercer pin por la derecha ha quedado mal punteado, por lo que hay que volver a soldarlo. Por suerte, el resto de pines no se han interconectado, así que no ha ido mal la cosa, un poco mas de estaño y al siguiente paso.

Aunque visualmente ya lo hemos comprobado, es conveniente comprobar con un multímetro en la posición de medición de resistencia que no existe continuidad entre los pines, como solamente vamos a utilizar los cuatro pines del bus USB 2.0, los otros cinco pines nos dan igual mientras no se comuniquen eléctricamente con los cuatro anteriores, ni entre ellos.

Como curiosidad, si tenéis que comprar un pendrive y no os importa mucho la velocidad de escritura/lectura, es recomendable que este sea 2.0, ya que al solamente disponer de cuatro pines físicos, la posibilidad de rotura se reduce, incluso en muchos casos como el ejemplo siguiente, los pines de un pendrive 2.0 van integrados en la propia placa recubiertos de un polímero que los protege contra cualquier tipo de rotura.

Continuamos con el proceso forense, ahora que ya tenemos los conectores soldados de nuevo, podremos conectar la placa con los pines a un cable USB hembra que estará conectado a nuestro equipo forense, eso si, siempre con un bloqueador de escritura para salvaguardar la integridad de la información que contenga el pendrive, así no existirá posibilidad de alterarla. Ojo, alterarla desde el punto de vista de modificar algún dato, si alguna soldadura ha quedado mal realizada, al conectarlo podemos quemar el pendrive al introducir tensión por alguno de los pines de datos o incluso dañar el ordenador al que lo conectemos.
Si todo ha ido bien, una vez conectado será como una un pendrive mas en nuestro ordenador. Ahora ya podremos utilizar nuestro software forense para realizar la imagen forense (valga la redundancia), clonado o copiado selectivo de ficheros. En este caso, por desgracia no ha sido así, el pendrive analizado además del fallo en los pines de conexión del bus USB, tenía una fisura en el polímero de la placa, lo que significa que los distintos circuitos internos del mismo no funcionan correctamente. En este caso concreto, también se podría recuperar la información con técnicas de laboratorio mas complejas como un chip-off. Esta técnica consiste en separar físicamente el chip de la memoria NAND del resto de componentes del pendrive, una vez fuera, lo conectaremos a un lector especial que permitirá leer de forma manual el contenido de la memoria. En el siguiente video se puede ver todo el equipamiento que se necesita para realizar el chip-off de una memoria NAND de un smartphone.
Para no dejaros con un mal sabor de boca, os voy a poner otro ejemplo con un pendrive que no tiene daños físicos en la placa. Antes de esto hay que tener claro, que aunque una técnica forense se puede llevar a cabo, nunca existen garantías totales de poder tener éxito, ya que existirán un sinfín de variables que no podremos controlar, eso sí, cuanta mas experiencia, herramientas y conocimientos se tenga, las probabilidades de conseguir nuestro objetivos aumentarán.
Para este segundo ejemplo, lo vamos a hacer de una forma distinta, en vez de utilizar un conector estándar USB 3.0 macho, vamos a soldar directamente a los pines de la placa unos conectores dupont. Como dije anteriormente, no es necesario soldar los nueve pines, con soldar el segundo, el tercero, el quinto y el séptimo será suficiente para tener conectividad mediante 2.0.

En la imagen anterior se puede ver un conector USB tipo A versión 2.0, de cuatro pines, los dos mas anchos de los laterales no son pines eléctricos de conexión, simplemente son los soportes metálicos del zócalo para poder fijarlo físicamente a la placa. Los que nos importan son los cuatro conectores centrales. Si fuese un conector tipo 3.0 las conexiones serían como las de la siguiente imagen, se puede ver que la separación entre pines es bastante inferior al caso anterior, ya que el fabricante tiene que colocar nueve pines, dónde antes solamente ponía cuatro.

Las fotos anteriores corresponden al conector macho, pero nosotros tendremos que soldar directamente sobre la placa, lo que es un poco mas difícil ya que si se nos va la mano podemos quemar algún componente dejándolo inutilizado. A la lupa se verían así las soldaduras terminadas, en este caso los pines que nos interesan son el primero, el cuarto, el sexto y el noveno. Esto ya depende de cada pendrive, en caso de duda podemos descargarnos su datasheet para ver cual es el diseño de las conexiones eléctricas.

Ya expliqué antes que en este ejemplo estaba utilizando pines dupont para facilitar la tarea de conectarlos después al adaptar USB. Cuando hay que hacer soldaduras de mas precisión, en vez de pines dupont es mejor utilizar alambres de cobre esmaltados, estos tienen un pequeño recubrimiento que los aísla eléctricamente, pero a su vez son tan finos que se pueden soldar en una superficie mínima, como se puede ver en la siguiente foto.

Sobre todo es muy importante no equivocarse en la posición de los conectores de los dos extremos, ya que son los que lleva la tensión, positivo y negativo. Un error así supondría quemar el pendrive, y posiblemente parte de la placa base del ordenador al que lo conectéis.

Como hemos utilizado cables con conectores dupont, podemos utilizar un adaptar USB a dupont para hacer el puente entre los pines que hemos soldado a un conector USB macho. Estos adaptadores se venden ya montados y cumpliendo con el estándar de colores de los cables USB, que es el siguiente:
– Rojo: +5V
– Blanco: Data +
– Verde: Data –
– Negro: Tierra o negativo.
Si todo va bien, al conectar el adaptador USB a nuestra bloqueadora de escritura ya podremos ver el contenido del pendrive en nuestro ordenador forense, además si el pendrive dispone de algún tipo de led de funcionamiento, en este momento veremos como se enciende, ya que es como si lo tuviéramos conectado de forma normal.

¿Y ahora qué?. Si lo que necesitábamos era simplemente recuperar un par de ficheros del pendrive, ya los podemos copiar y salvaguardar. Pero como estamos haciendo un trabajo forense, lo normal será realizar una imagen del contenido integro del pendrive, para posteriormente realizar el correspondiente análisis. En este caso, no es buena idea realizar el análisis leyendo en tiempo real la memoria del pendrive, ya que al estar nosotros conectados al pendrive por un sistema de cables y adaptadores, en cualquier momento alguna conexión puede fallar y nos quedaríamos a medias.
Para realizar una imagen forense del pendrive podemos hacer un clonado bit a bit con el comando DD de Linux, pero a nivel forense no es lo mas recomendable. DD está pensando para administradores de sistemas o tareas de recuperación informática, pero a nivel forense el sistema de imagen recomendado es el EWF (Expert Witness Format). Aunque es conocido como el sistema de Encase (ahora OpenText), en realidad es compatible con cualquier software forense. Sus ventajas son varias respecto al mítico DD, una de las principales mejoras que tiene este formato es que se puede comprimir sin alterar el HASH de la imagen, otra característica es que si alguno de los segmentos de la imagen está dañada, se podría recuperar mediante el uso del resto de segmentos. Además permite el uso de metadatos sobre la imagen.
En Linux la herramienta para realizar una adquisición o imagen forense se llama: “ewfacquire”. También necesitaremos la herramienta “fdisk” para averiguar el nombre de la partición o unidad de disco que vamos a volcar, el ejemplo de uso se muestra a continuación. Un truco si tenemos muchos discos conectados a ese ordenador, es hacer un “grep” al nombre del pendrive para que solamente nos muestre la unidad que estamos buscando.

Ewfacquire permite insertar un gran número de metadatos sobre el caso y el examinador dentro de la imagen (sin comprometer su HASH), a continuación se muestra algunos de estos metadatos:

Cuando el proceso de creación de la imagen forense termina, obtendremos un log con el resultado y nos mostrará su HASH por pantalla, en este caso para hacerlo rápido he seleccionado un HASH tipo MD5, lo recomendable es mínimo utilizar SHA1.

Una vez tengamos la imagen creada, con nuestro HASH copiado, la podremos montar mediante cualquier software forense para visualizar su contenido, en Linux podemos utilizar la herramientas “ewfmount”, pero para que no digáis luego que solo utilizo programas de Linux, para montar y ver el contenido de la imagen E01 vamos a utilizar el programa “FTK Imager” en Windows. “FTK Imager” es un software gratuito que entre muchas de sus bondades es la de montar tanto en modo live como en modo forense, cualquier tipo de imagen de disco.

Ahora solo nos queda navegar por el sistema de archivos de nuestra imagen para ir recuperando los ficheros que necesitemos.

Si este método forense os pareció rocambolesco, nos os hablaré del sistema para recuperar datos de una tarjeta MicroSD dañada, consistente en lijarla con ácido hasta llegar al propio chip de memoria y luego puntearla con agujas en los pines de la memoria para extraer sus datos como si fuese un USB.
¿Te ha gustado este artículo? Si quieres, puedes ayudarme a escribir el siguiente artículo de GLIDER invitándonme a un rico café.
Pulsa Aquí para invitarme a un café con hielo.
Salu2.
Fernando
Hola. Para un ignorante de estos términos y trabajos me he quedado con la boca abierta. Ya sé qué decirle a los «listillos» que suelen soltar: «pues sí que cobran por poner un pendrive y pasar la información a un ordenador». Les pasaré tu artículo en el caso de que quieran leer claro. Un saludo.
Manuel Guerra
Jejeje, me parece muy buena idea que hagas eso. Esto es como el chiste de no me pagan por apretar un tornillo, me pagan por saber que tornillo hay que apretar.
Un saludo
Manuel Guerra
Hola Juan.
Es un tema commplejo el que comentas, se puden dar varias circunstancias:
1.) Que alguien utilice tu Whatsapp desde el modo Web, puede ver las la sesiones iniciadas en los ajustes de tu cuenta.
2.) Que alguien te hubiera secuestrado temporalmente tu Whatsapp, para ello has tenido que compartir el PIN de inicio de sesión de Whatsapp con otra personas.
3.) Que alguien cogiera tu telefono y enviara los mensajes fisicamente desde tu dispositivo.
Un saludo