Especialista forense digital
Grayshift
Matthew Fullerton es especialista en análisis forense digital en Grayshift y experto en análisis forense de dispositivos móviles. Antes de incorporarse a Grayshift, Matthew trabajó en las fuerzas del orden durante 13,5 años como agente y detective de policía. Más recientemente, Matthew se jubiló de un departamento de policía suburbano del área metropolitana de Denver, donde era detective de policía y examinador forense digital. Matthew posee varias certificaciones y es perito judicial en análisis forense digital.
In this post, Fullerton opens up about his previous life as a Police Detective, the difference data extraction tools make when working cases, and the sense of humor he brings everywhere he goes.
Es obvio que eres un #nerdcop. ¿Cuál es el tipo de tecnología que más le gusta utilizar a diario?
Con la constante evolución del Internet de las cosas (IoT), me encanta encontrar formas de hacer mi vida más fácil y eficiente. Tengo muchos objetos inteligentes por toda la casa: bombillas inteligentes, cámaras, etc. – que están conectados a mi pequeño ecosistema. Me encanta tener conectividad total y poder comprobar las cosas a medida que suceden. También me gusta encontrar formas de hacer que las tareas mundanas sean descerebradas.
Por ejemplo, siempre me olvidaba de apagar las luces exteriores por la mañana, así que inevitablemente estaban encendidas durante todo el día. Ahora tengo un ecosistema de bombillas inteligentes que puedo programar, desde horas de encendido y apagado hasta distintos colores para diferentes fiestas y funciones. También tengo un sistema de riego inteligente para los aspersores del césped, que utiliza datos meteorológicos para ayudar a planificar y cambiar el momento y la frecuencia en función de las condiciones. Estas pequeñas cosas garantizan que estas tareas mundanas se lleven a cabo de forma más eficiente, lo que ayuda a ahorrar algo de dinero en las facturas de los servicios públicos. Por supuesto, lo mejor para mí es que puedo comprobar y controlar todo esto con mi smartphone desde cualquier parte del mundo.
When you were a digital forensic investigator, what types of cases did you typically encounter?
Desde delitos contra la propiedad hasta homicidios. A lo largo de mi carrera, he trabajado para dos (2) Departamentos de Policía diferentes, que se encontraban en localidades distintas y prestaban servicio a grupos demográficos diferentes. Esto me expuso a todo tipo de delitos y a diferentes métodos de investigación. A medida que ganaba experiencia, aprendí que casi cualquier delito podía contener pruebas digitales, por lo que intentaba aplicarlas de cualquier forma posible. Por cada éxito hay al menos un fracaso. Así que, teniendo eso en cuenta, hubo algunos casos en los que intenté aprovechar las pruebas electrónicas y no funcionaron, pero como buen investigador, aprendí cómo y por qué no funcionaron y me propuse hacerlo mejor la próxima vez.
¿Hay algún ejemplo de caso que haya investigado con GrayKey? ¿Puede decirnos cómo podría haber ayudado GrayKey?
Si alguien que lea esto ha asistido a mi clase sobre cómo aprovechar el llavero y la lista de contraseñas, habrá oído esta historia. Trabajé en un caso antes de que existiera GrayKey que implicaba una acusación de acoso. La víctima trabajaba en un banco y sospechaba que la conducta la perpetraba un cliente concreto, pero no tenía pruebas. No obstante, el comportamiento era preocupante y estaba empezando a agravarse. En concreto, el sospechoso manipulaba el coche de la víctima de diversas maneras, así que pensé que identificar al autor era un buen punto de partida. Una vigilancia a distancia confirmó que la persona de la que sospechaba la víctima era probablemente el culpable. Un avance rápido hasta el punto en el que entrevisté al sospechoso y me incauté de su teléfono; pensé que sería justo la prueba que necesitaba para demostrar que esta persona había cometido todas las conductas de acoso y que tendría un caso sólido que presentar ante el Tribunal. Redacté una orden de registro del teléfono y, una vez aprobada, utilicé las herramientas disponibles para obtener la extracción de datos. En aquel momento, la única opción disponible era una extracción «lógica avanzada», básicamente una copia de seguridad de iTunes. La extracción de datos fue un éxito y empecé a analizarlos en una herramienta de extracción en cuanto terminó. Una vez iniciado el proceso, se me pidió que introdujera la «contraseña de cifrado de la copia de seguridad». No conocía esa contraseña, por lo que la extracción de datos era efectivamente inútil.
El Tribunal Supremo del Estado ya había dictaminado que las Fuerzas y Cuerpos de Seguridad no pueden obligar a una persona a proporcionar dicha contraseña, ni siquiera con un proceso legal, así que investigué diferentes formas de obtenerla. Aprendí que podía encontrar la contraseña en un ordenador a través de una PLIST, un archivo de texto especial que contiene datos en formato de lista de propiedades. Así que, siendo un detective diligente, obtuve una orden de registro para el ordenador del sospechoso. Tras analizar el ordenador, la PLIST que buscaba había desaparecido y era irrecuperable. Sin estas pruebas digitales, no podría construir un caso lo suficientemente sólido para acusar al sospechoso.
Sabiendo lo que sé ahora, desearía desesperadamente haber tenido GrayKey entonces y este caso no se habría enfriado si hubiera podido usar GrayKey. Lamentablemente, la ley de prescripción hace tiempo que expiró, así que este conocimiento no me sirve de nada. Además, ¡ya no soy policía!
Nota del editor: Los cursos en vídeo de Fullerton están disponibles en el Rincón del Investigador (se necesitan credenciales de acceso para acceder a estos vídeos).
¿Qué le gustaría que la gente entendiera de este trabajo?
Es tedioso y lleva tiempo. El efecto CSI fue real, sobre todo al principio de Digital Forensics. La gente tendría expectativas poco realistas sobre qué tipo de datos podríamos encontrar y con qué rapidez. Esto es cierto en todos los aspectos de las pruebas electrónicas. Por ejemplo, una vez trabajé en el robo de una joyería de mucho dinero, durante el cual obtuvimos varios tipos de videovigilancia. Algunas eran de buena calidad; otras habrían quedado mejor como cinta VHS.
Aun así, pude localizar un vehículo sospechoso, pero no pudimos ver sus señas de identidad, y mucho menos una matrícula. Uno de mis superiores me dijo algo así como: «¡Pues haz esas cosas de empollón! ¡Mejóralo! Necesitamos un plato». En respuesta, les di una respuesta poco satisfactoria, que no era lo que querían oír. Entonces me di cuenta de que tenía que establecer las expectativas: identificar y educar sobre qué capacidades estaban disponibles y cuáles no. Esto facilitó mucho las cosas, porque la gente tenía unas expectativas y una comprensión más claras.
¿Cuál ha sido el crimen más difícil que ha resuelto con GrayKey?
No tenía una GrayKey cuando era detective en activo.
¿A qué retos se enfrenta habitualmente como examinador forense móvil?
Véanse las respuestas a las preguntas tres y cuatro.
¿Qué consejos daría a los nuevos especialistas en investigación forense digital para ayudarles a superar retos similares?
No temas meter la pata. La mayoría de la gente aprende mejor haciendo. Encuentra un dispositivo antiguo -compra uno barato en Internet si es necesario- y prueba algunas cosas. Intenta distintos métodos para extraer datos, desmóntalo y comprueba cómo funciona; intenta romperlo para aprender a no romper un dispositivo de pruebas. Cuando aparecieron las bombillas inteligentes, me enteré de que podían recopilar de forma pasiva los IMEI de los dispositivos que estuvieran a su alcance, pero para recoger los datos había que desmontar la bombilla, lo que la dejaba inservible. Pensé que esto podría ser útil en un caso de robo o algo así. Así que, naturalmente, compré un paquete de seis bombillas inteligentes y las escondí por toda la casa. Tras unos meses de «pruebas», intenté obtener datos de ellos. Pasé por cuatro bombillas antes de averiguar exactamente cómo desmontarlas para obtener el pequeño chip de su interior. Luego tuve que averiguar cómo obtener los datos. Al final, sólo obtuve datos parciales de uno de los chips, ¡pero funcionó! Todo esto para decir que no hay que tener miedo al fracaso, ya que siempre puede conducir al éxito.
¿Qué sabe ahora que le hubiera gustado saber cuando empezó?
¡Cuántas cosas! A nivel técnico, ojalá supiera aprovechar algunos de los datos como lo hago ahora. Creo que a lo largo de los años he pasado por alto algunas cosas que podrían haber marcado la diferencia.
¿Cuál es el secreto de uno de sus compañeros de equipo que la mayoría de la gente no conoce pero debería conocer?
Si has visto la película Resacón, conocerás la escena del juramento de sangre. Yo asistí a una ceremonia similar en la sede de Grayshift, así que he jurado guardar el secreto. Pista: el nombre del cabecilla rima con Schmosh Schmarder.
¿Qué superpoder aporta a Grayshift?
No me tomo la vida demasiado en serio, intento divertirme, ser humilde y siempre estoy dispuesta a aprender algo nuevo. Los que me conozcáis en persona sabréis que soy increíblemente alta y escandalosamente divertida. Aunque en realidad no soy tan alto, un periódico de la universidad me llamó una vez «gigante local», así que ahí está eso.
Fullerton’s digital forensics knowledge and personality shine anywhere he goes. If you’re interested in learning more about the technical capabilities of GrayKey, he has a host of how-to videos and on-demand webinars available in the Investigators Corner (IC). You can access the Investigators Corner here using your login credentials or contact us to request access.
Otras entradas que pueden interesarle:
- Desde el laboratorio: DFS Josh Carder sobre GrayKey y las reglas del club de la lucha
- Acceso completo a los especialistas forenses digitales de Grayshift: Josh Carder y Matt Fullerton
- Guía del investigador para la conservación de pruebas digitales
- Comprender GrayKey para el personal de mando
© 2023. Grayshift, LLC. Todos los derechos reservados. Reservado y confidencial.
