Los SMS (mensajes envidos a través del móvil) falsos son muy comunes y su empleo interesado muy frecuente en casos de litigio. Siendo tan fácil falsificar mensajes de texto y otros tipos de comunicaciones electrónicas, los tribunales deben ser extremadamente cautelosos a la hora de permitir tal evidencia en un juicio y confiar en ella exclusivamente. Además, los abogados deben ser cautos sobre el uso de tales comunicaciones como una prueba para evitar la presentación de pruebas falsas en los tribunales. Como mínimo, las alegaciones hechas en las que las comunicaciones electrónicas se utilizarán como evidencia de apoyo también deben tener métodos alternativos de prueba.
El mayor obstáculo para usar textos como evidencia es autentificar la fuente del mensaje, para que el juez determine si los textos fueron verdaderamente escritos, enviados o recibidos por las partes y que contienen la conversación completa. Los textos pueden ser autentificados por la otra parte admitiendo que son reales, un testigo que vio el mensaje creado o enviado, pruebas circunstanciales como registros de la compañía telefónica.
Que es un sms y como recuperar los borrados
Lo más común es usar la herramienta Cellebrite para comprender la estructura de los mensajes SMS, que también se puede aplicar a los fragmentos de SMS que se encuentran en el espacio no asignado y al archivo mmssms.db-journal.
La estructura del SMS puede variar entre los dispositivos Android y APPLE,
Para este ejemplo, utilizaremos un terminal SAMSUNG.
Donde se esconden los mensajes
Al trabajar con teléfonos móviles, se pueden tomar varios tipos de adquisiciones: lógico, sistema de archivos y físico.
Una adquisición lógica suele ser la información tal como la ve el usuario final. Mensajes de texto, registros de llamadas, etc. No incluye datos eliminados.
Una adquisición del sistema de archivos es el siguiente paso. Proporciona acceso al sistema de archivos.
Una adquisición física es una copia bit a bit de la memoria flash y, por lo tanto, incluye espacio no asignado o no visible al usuario.
Para recuperar mensajes de texto eliminados, una extracción física es lo mejor. Sin embargo, hay varias ubicaciones en una extracción de sistema de archivos que pueden generar mensajes de texto eliminados: la base de datos de SMS, el archivo de log de SMS y una base de datos de registro.
Base de datos SMS
Los mensajes de texto se almacenan en una base de datos SQLite llamada mmssms.db, típicamente en la ubicación /Root/data/com.android.providers.telephony/databases/. Estas bases de datos SQlite retienen datos eliminados. Si está utilizando un programa como Cellebrite, recuperará "automáticamente" los mensajes de texto eliminados de esta base de datos. Sin embargo, también compruebo manualmente los fragmentos utilizando un visor hexadecimal o un visor SQLite. Este visor muestra bloques de datos eliminados:
Archivo de log SMS
El archivo mmssms.db-journal es un archivo de log escrito por la base de datos SQLite. Si este archivo existe, estará en el mismo directorio que el archivo mmssms.db. Puede contener numerosos mensajes de texto eliminados. Los mensajes de texto encontrados aqui contienen la misma estructura que en la base de datos de SMS.
logs.db
Este archivo parece ser una base de datos que registra varias actividades en el teléfono, como llamadas y mensajes SMS. El campo que contiene los mensajes SMS parece contener los primeros 50 o más caracteres de un mensaje de texto. Debido a que es una base de datos SQLite, puede ver los datos eliminados como se explicó anteriormente.
Determinando la estructura del SMS
Dirección: El número de teléfono asociado con el mensaje.
Campo de fecha: Para determinar cómo se almacena la fecha, observamos la base de datos almacenado en formato Epoch. Convertimos el valor hexadecimal 01 3C 5D BC 32 76 a decimal, que es 1358782280310. Este valor coincide con el valor en la base de datos. La conversión a UTC produce el lunes 21 de enero de 2013 a las 15:31:20 UTC, que coincide con el valor mostrado por Cellebrite.
Leer / Ubicación
Leido:
00 = Mensaje no leído
01 = Se leyó el mensaje
Carpeta:
01 = Bandeja de entrada
02 = Enviado
Fecha: Valor hexadecimal 01 39 22 20 57 66 a decimal, que es 1344897308518. La conversión a UTC rinde Lunes, 13 de agosto de 2012 22:35:08 UTC
Tipo: 02 que significa el mensaje Enviado.
Es de mencionar que dentro de Cellbrite, puede ver un mensaje existente en el archivo mmssms.db en la vista hexadecimal.
Dependiendo del teléfono, la estructura del SMS puede ser totalmente diferente. Además, debido a que la información se almacena en una base de datos SQLite y los fragmentos eliminados pueden ubicarse fuera de una base de datos SQLite.
SMS spoofing:
A diferencia de lo que nos muestran las series de televisión (captura de Mr. Robot), falsificar un sms es trivial. Aquí un ejemplo de una charla detallada en el articulo de "SPAMLOCO"
"A continuación se puede ver el SMS recibido”:
Existe una gran variedad de aplicaciones y páginas web que ofrecen este tipo de servicios tanto para falsificar llamadas, como sms o incluso mesajes de redes sociales como whatsapp y telegram. Es por estas razones por la que es necesario el acceso al terminal de la demandante para poder recuperar y autentificar los mensajes en cuestión mediante prueba pericial.