La investigación de la Unidad Central Operativa (UCO) de la Guardia Civil en torno a los dispositivos del FGE, Álvaro García Ortiz, parece señalar cada vez más la intencionalidad del fiscal en eliminar todos los datos posibles de su teléfono. Especialmente, de su cuenta de WhatsApp, el mismo día que el Tribunal Supremo abrió causa contra él.
Un borrado que, según los expertos de Lazarus, no será tan fácil de recuperar.
«No se han encontrado mensajes anteriores al 16 de octubre de 2024 en la aplicación de mensajería WhatsApp del dispositivo». Así lo confirma el informe que la UCO entregaba al instructor del caso contra García Ortiz, Ángel Hurtado, en la causa de la filtración que afecta al novio de la presidenta de la Comunidad de Madrid, Isabel Díaz Ayuso.
Una falta de información del teléfono del FGE que ha sido analizada por los investigadores de la Benemérita. Ello, haciendo especial hincapié en el comportamiento inusual de García Ortiz con respecto a su teléfono.
El borrado de mensajes del FGE
Así pues, en apenas siete días, y en plena apertura de causa judicial contra él, Álvaro García Ortiz realizó varios movimientos inusuales con su teléfono. Movimientos que el propio FGE aseguró que eran una cuestión de seguridad propios de su cargo. «Los datos de mi terminal son ultra sensibles», destacaba.
El 16 de octubre, el FGE accedió a su historial de chats de WhatsApp. Y, según el informe de la UCO, sería el momento en el que el fiscal habría optado por eliminar los mensajes de sus conversaciones de la mensajería instantánta.
Apenas unos minutos más tarde, repetiría esta misma acción. Y, unos días más tarde, el 23 de octubre, el fiscal general del Estado llevaba a cabo un restablecimiento del dispositivo a valores de fábrica. Es decir, que dejó el teléfono móvil igual que como se compró.
Excesivas «molestias» para un proceso básico de seguridad, tal y como confirma a Confilegal Manuel Huerta, CEO de Lazarus Technology, empresa especializada en ciberseguridad, y en recuperación forense de datos de dispositivos, que acaba de estrenar en San Sebastián de los Reyes. localidad al norte de la Comunidad de Madrid, un centro integrado único en Europa, que incluye el mayor laboratorio forense del continente, un Centro de Operaciones de Seguridad SOC destinado a Ciberseguridad y un área de Legal.
«La excusa hace aguas», asegura el CEO de la compañía en referencia a lo afirmado por el FGE. «Las medidas con dos borrados previos a una restauración y eliminación de la cuenta de Google manejando los backups, no cuadran. El método más fácil para robar la información es acceder a los backups», destaca.
La recuperación de los datos, según los expertos de Lazarus
Así, Lazarus Technology, con más de 18 años de experiencia en el sector, explica a Confilegal cómo es el proceso de recuperación de la información de un dispositivo como el de Álvaro García Ortiz.
«Se entregan los dispositivos en un maletín de custodia, e introducidos en una bolsa faraday», destacan desde Larazus, en una demostración en vivo. Una funda que evita cualquier interacción con el dispositivo de forma externa.
Un dispositivo al que se le realiza una «copia» en digital, procediéndose al guardado en una caja fuerte del dispositivo físico. Y, posteriormente, se realiza el tratamiento forense de esos datos.
Un proceso en el que es sencillo recuperar datos desde el propio teléfono, ya que, a pesar de que se borre el documento en sí, la «huella» del mismo se mantiene en el teléfono.
«Un simple borrado es completamente recuperable» explica Huerta. Sin embargo, en el caso del FGE, la acción se complica.
Y es que la restauración del dispositivo complica el proceso de recuperación de datos claves en la causa judicial. «Del dispositivo, olvídate. Hay que acudir a la nube. Y es que la recuperación imposibilita la recuperación directa sobre el dispositivo. Lo que impide la recuperación de los ‘backups’. Así que es necesaria la colaboración de WhatsApp», explica el experto.
LA CADENA DE CUSTODIA NO ES SEGURA
El máximo responsable de esta compañía también llama la atención sobre un dato preocupante: Siete de cada diez casos judiciales ponen en riesgo el procedimiento debido a vulnerabilidades en la cadena de custodia de las pruebas, ya sea por los desafíos que implica su adquisición, traslado o por la multiplicidad de procesos y responsables involucrados.
De acuerdo con Lazarus, la alteración o generación artificial de pruebas es una práctica más habitual en los litigios de lo que se cabe esperar. Esto exige que los procesos de contextualización deban ser cada vez más rigurosos y seguros.
Máxime cuando el 99% de los casos tiene enfoques de investigación que podrían optimizarse, necesidad de una mayor contextualización, asesoramientos que pueden fortalecerse o informes que requieren una mayor precisión.
