¿Se pueden recuperar los mensajes del fiscal general? Muy difícil, aunque no imposible
Es importante señalar que el informe evacuado por la UCO no refiere que los mensajes hayan sido borrados
En estas últimas semanas se habla mucho en los medios de comunicación sobre el teléfono móvil del fiscal general del Estado, Álvaro García Ortiz, y, específicamente, sobre los presuntos mensajes de WhatsApp que habrían sido borrados del mismo, así como sobre la eventual recuperación de aquellos.
En primer lugar, es necesario señalar que el proceso de recuperación de mensajes de WhatsApp era un procedimiento habitual en la informática forense y en el peritaje informático, tanto en el efectuado por las fuerzas y cuerpos de seguridad del Estado, como por parte de los peritos informáticos colegiados judiciales y de parte. En los últimos años, la tecnología en la que se almacenan los mensajes, denominada SQLite (una versión ligera del estándar ANSI SQL), ha sufrido modificaciones, con objeto de mejorar su rendimiento y de maximizar recursos como el espacio en memoria, impidiendo, en la mayoría de los casos, la recuperación efectiva de los mensajes previamente borrados.
Es importante señalar que el informe evacuado por la UCO no refiere que los mensajes hayan sido borrados. La literalidad del informe es que se han encontrado la cantidad de cero mensajes de cualquier aplicación de mensajería en el periodo comprendido entre el 8 y el 14 de marzo de 2024.
Esta afirmación no necesariamente implica la absoluta certeza de que se haya producido un borrado de esos presuntos mensajes concretos, sino que podría encerrar otras casuísticas, como que puede haberse entregado un terminal que en aquel periodo temporal no se estaba usando (es decir, un terminal nuevo), o que puede haberse producido la restauración a valores de fábrica del terminal, o que pueden haberse desinstalado las aplicaciones de mensajería (para instalarse, por ejemplo, en otro terminal), o que pueden haberse borrado todos los mensajes, incluyendo los recibidos anterior y posteriormente al intervalo buscado (es decir, no sólo los mensajes del periodo referido), o que pueden incluso no haberse recibido los mensajes (aunque esto parezca improbable).
Esta última casuística podría verificarse, en cualquier caso, con el análisis forense de los volcados del resto de los terminales involucrados en la causa, siendo posible determinar dentro del periodo referido, en caso de que existan mensajes enviados al terminal del fiscal general del Estado desde dichos terminales, el motivo de que existan cero mensajes encontrados durante el citado periodo en el móvil de García Ortiz.
Como señalaba anteriormente, hace unos años la tecnología funcionaba de manera un poco distinta. Cuando se eliminaba un mensaje, éste se marcaba como disponible y se modificaba el índice para que no apuntara a ese registro, por lo que ya no se mostraba en la conversación, pero seguía estando, durante un tiempo, en la base de datos de mensajes, cuyo formato es el referido SQLite, hasta que se producía la denominada compactación, momento en el cual se eliminaba de forma definitiva.
Es en ese periodo en el cual se podían recuperar y, de hecho, se recuperaban, los mensajes. Actualmente, los mensajes se borran directamente y ya no es posible recuperarlos, salvo casos muy excepcionales de recuperación de mensajes del conocido como fichero de journal o de operaciones. Este es el fichero que registra las inserciones de registros en la base de datos, de donde pueden llegar a rescatarse algunos mensajes aleatorios bajo circunstancias muy excepcionales y en un estado mayoritariamente corrupto. Es decir, no coincidente de forma exacta con el mensaje original (que está conformado por el mensaje propiamente dicho, su fecha de envío, su fecha de recepción, su fecha de lectura y otros muchos campos).
Una de las líneas de investigación actuales de la UCO, según desvelan ciertas informaciones periodísticas muy recientes, es que el fiscal general habría entregado, durante la entrada y registro ordenada en su despacho después de su imputación, un terminal recién estrenado, que no contenía los mensajes del periodo buscado, porque con toda probabilidad no se realizó un traspaso de la base de datos del terminal antiguo al terminal nuevo, sino que se creó una nueva base de datos al instalar WhatsApp en el nuevo terminal. La realidad es que, si el terminal antiguo aparece, en caso de que los mensajes hayan sido borrados y la base de datos haya sido compactada, nos encontraríamos en la situación ya descrita anteriormente.
En caso de que este terminal antiguo hubiera sido restaurado a los valores de fábrica y, si se trata de un terminal Android o iPhone relativamente moderno (de menos de cinco años de antigüedad), será prácticamente imposible recuperar los presuntos mensajes, pues la herramienta Cellebrite UFED Touch no podrá realizar un volcado físico. Lo único que se podrá realizar será un volcado lógico o un volcado lógico avanzado del terminal, que solamente copia el sistema de ficheros, es decir, los archivos y carpetas que aparecen registrados en el índice del sistema operativo (los archivos borrados no están indexados), sin poder realizar un volcado completo (físico) de la memoria, por estar la misma cifrada, en cuyo espacio aún no utilizado, se almacenan los archivos cuyo índice se pierde al restaurar a valores de fábrica un terminal y crearse un nuevo índice. Estos archivos, en teoría, permanecen en memoria hasta que el sistema operativo decide reutilizar el espacio no indexado que ocupan. Sin embargo, al estar la memoria cifrada, si se realizara un volcado físico, éste sería totalmente ilegible y no podría recuperarse información eliminada.
Si el teléfono fuera un Android relativamente antiguo (de más de cinco años de antigüedad) y no estuviera actualizado, sí existirían posibilidades de recuperar los presuntos mensajes, al no hallarse la memoria cifrada.
Por otra parte, es importante recordar que WhatsApp, perteneciente a Meta Platforms (Facebook), no proporciona los mensajes solicitados mediante orden judicial, porque alega que no los almacena. Las únicas copias de los mensajes, por tanto, serán las almacenadas en los terminales emisor y receptor y, en cualquier caso, en la copia de seguridad que de la base de datos de WhatsApp se almacena, bien en iCloud si se trata de un Apple iPhone, bien en Google Drive si se trata de un Android. Las nuevas copias de seguridad sustituyen a las anteriores, por tanto, si se eliminan los mensajes en la base de datos local (la del teléfono), la copia realizada en cualquiera de las nubes de Apple o de Google quedará sobrescrita y ya no tendrá los mensajes eventualmente borrados, una vez se lleve a cabo dicha copia de seguridad (que suele producirse una vez al día, de madrugada, en los teléfonos que tienen configurada esta funcionalidad).
Así pues, el volcado del terminal del fiscal general del Estado ya ha sido realizado, utilizando para ello, las fuerzas y cuerpos de seguridad del Estado, la herramienta Cellebrite UFED Touch, que también utiliza en su laboratorio este perito informático que suscribe. Esta herramienta, al realizar un volcado, ya captura toda la información que es posible capturar del terminal que se está volcando, de tal forma que, al analizarse dicho volcado con la herramienta Cellebrite UFED Physical Analyzer, este software forense es capaz de procesar y revelar toda la información eventualmente borrada que haya podido recuperarse al realizarse el volcado. Por tanto, si el informe de la UCO recoge que se han encontrado cero mensajes en el periodo buscado, es que ya, con toda probabilidad y salvo sorpresas excepcionales, no van a encontrarse mensajes en dicho periodo en el terminal analizado, porque ya no existen técnicas forenses más avanzadas que la utilizada, al encontrarse la memoria del terminal cifrada y no poderse aplicar técnicas de file carving en la citada memoria física.
Si, por otra parte, es cierta la versión de que el fiscal general entregó un móvil recién estrenado a la UCO y el antiguo móvil apareciera, la situación sería muy similar, tanto si los mensajes hubieran sido borrados como si el terminal hubiera sido restaurado a los valores de fábrica, en el primer caso por la compactación de la base de datos y, en el segundo caso, por el hecho de que la memoria estaría cifrada, de tal manera que sería, en cualquiera de los dos casos, muy difícil encontrar los mensajes presuntamente eliminados.
* Javier Rubio es perito informático y decano del colegio de ingenieros técnicos en Informática de la Comunidad de Madrid.