Álvaro García Ortiz: «Será difícil recuperar los datos de su móvil», según expertos en criminalidad informática

El Tribunal Supremo ha solicitado a la UCO de la Guardia Civil que intente recuperar los mensajes de los dos números de teléfono del fiscal general del Estado, Álvaro García Ortiz; y también ha solicitado a dos operadoras de telefonía móvil que faciliten los datos de tráfico de llamadas emitidas y recibidas, según indica un auto al que ha tenido acceso Economist & Jurist.

Sin embargo, expertos en criminalidad informática consultados por este medio de comunicación ven difícil que se puedan recuperar esas informaciones de WhatsApp si el fiscal general del Estado borró la información o se desinstaló la aplicación. Es previsible que la UCO emplee el software israelí Celebritte que ayuda a recuperar cierta información, aunque los expertos consultados creen que no será útil en esta ocasión.

En principio parece más sencillo acudir a alguno de los móviles que mensajearon con García Ortiz, como es el de la fiscal de la Comunidad de Madrid, Almudena Lastra; de la fiscal provincial, Pilar Rodríguez; o del exportavoz del PSOE en la Comunidad de Madrid, Juan Lobato (este último ya en poder de la justicia), o si no pedir por vía judicial la colaboración con Meta para que pudiera aportar los metadatos de esas comunicaciones, pero no siempre colaboran.

La petición se realiza cuatro días después de que los investigadores afirmaran que García Ortiz cambió de terminal una semana después de que el Alto Tribunal abriera una causa penal contra él por la presunta filtración sobre información del Alberto González Amador, la pareja de la presidenta de la Comunidad de Madrid, Isabel Díaz Ayuso.

Además de la recuperación de los mensajes y el tráfico de llamadas del fiscal general del Estado, el magistrado instructor del caso, Ángel Hurtado, también ha solicitado a dos operadoras los nombres de los titulares de las líneas que reciben y emiten los mensajes de esos móviles y los paquetes de datos emitidos y recibidos. Hoy el juez Hurtado tomará declaración como testigo a Miguel Ángel Rodríguez, jefe de gabinete de Isabel Díaz Ayuso.

Los investigadores de la UCO, tras analizar su teléfono móvil actual, dijeron haber encontrado “cero mensajes pertenecientes a cualquier tipo de aplicación de mensajería instantánea en el periodo analizado que comprende el periodo entre el 8 y el 14 de marzo de 2024”. Un análisis previo al registró de mensajes con Rodríguez que no estaban en ese móvil.

La Fiscalía afirmó que García Ortiz borró los mensajes como parte del protocolo de seguridad y protección de datos. Además, dijo que el fiscal general, «como cualquier otra persona, es libre de borrar de su móvil personal lo que le parezca oportuno». Sin embargo, la situación, tal y como han señalado algunos penalistas a este medio, está dañando la reputación de la institución.

Será difícil recuperar los mensajes

Lorenzo Martínez cree que las posibilidades de recuperar los mensajes son escasas; ahora son comunicaciones encriptadas de punto a punto. (Imagen: INCIBE)

Para Lorenzo Martínez, perito forense y director de Securizame, las posibilidades de recuperar esos mensajes de WhatsApp del fiscal general del Estado son escasas: “Una cosa es recuperar un fichero borrado del ordenador, que es distinto, y otra es cómo se eliminan los datos de una aplicación de móvil. Antiguamente si se podía recuperar, siempre y cuando no se hubiera sobrescrito. Ahora la probabilidad de encontrar algo es mínima”.

Este experto señala que la UCO, como unidad tecnológica, está bien dotada para todos estos fraudes digitales. Tienen herramientas forenses similares a las de otras empresas privadas. No es un tema de medios, la tecnología no hace milagros. Las técnicas de recuperación son las que son. Otra cosa es que haya alguna copia de seguridad en la nube. De un teléfono nuevo con copia en la nube si se puede sacar un token —cadena alfanumérica que sirve para identificar el dispositivo— y se puede localizar esa información, pero recuperar desde el terminal es complicado”.

También indica lo importante que es presentar bien la prueba digital en el juzgado para que no sea impugnada: “Es muy importante presentar bien las fuentes de evidencia para que no haya dudas de su veracidad. En algunas ocasiones los abogados siembran la duda comentando que esa prueba podría haberse alterado intencionadamente. Es importante no confundir a la opinión pública sobre estas cuestiones porque los márgenes de actuación en estos casos son escasos”.

Misma opinión comparte Cristina Muñoz-Aycuens, directora de Forensic de Grant Thornton, que recuerda que los mensajes de WhatsApp son bases de datos. No se elimina un fichero que luego puedas recuperar, sino que se elimina una línea de la base de datos. “La única forma de recuperar esa información es que estuviera en una copia de seguridad en otro lado. Es complicado que se encuentre nada de ese teléfono si se ha borrado la información previamente, pese a la solvencia tecnológica de la UCO, que no se puede poner en duda, porque ahí están sus resultados”, comenta la experta.

A su juicio “los teléfonos se comportan de forma distinta a lo que hace un ordenador. Otra cosa es que en este caso se hubiera hecho una copia de seguridad de la información del móvil y alojarla en el ordenador. A lo mejor ahí se puede recuperar esa información de WhatsApp. Los únicos mensajes que se pueden recuperar son los que se han borrador en el momento, pero recuperar conversaciones completas parece difícil lograrlo. Si se hubiera desinstalado el WhatsApp no habría forma de recuperarlo. Cuantas más medidas de ciberseguridad se instalan en estos aparatos más difícil es analizar esa información con posterioridad”.

Al mismo tiempo aclara que “cuando se hace una copia del ordenador se puede llegar a copiar el 100% del disco, sin embargo, un teléfono no copia ese total de la tarjeta de memoria que tiene este aparato. La capacidad de recuperación de información es bastante limitada, al mismo tiempo los elementos internos del teléfono no son ficheros que están sueltos, son base de datos. Cuando eliminas una línea de esa base de datos, se elimina el contenido y no se puede recuperar nada. Todo ha cambiado mucho; se cifraron los teléfonos y luego las aplicaciones. Ahí se complicó todo bastante”.

Ambos expertos coinciden en que habría que ir al otro lado de la conversación y a los interlocutores de esos mensajes del fiscal general del Estado: “Se trataría de ver si los mensajes se mantienen en esos teléfonos y no han sido borrados. Otra cuestión es ver si hay alguna copia de seguridad guardada en el ordenador o en la nube. Pero ha pasado mucho tiempo. Las fotos de la aplicación se pueden recuperar porque se guardan en la galería de fotos, pero poca utilidad tiene. La semana del 8 al 14 de marzo que se investiga es difícil que se recuperen esos mensajes”.

Cristina Muñoz-Aycuens considera que es más sencillo ir a los móviles receptores de los mensajes del fiscal general para intentar recuperarlos si no se borraron. (Imagen: Grant Thornton)

Hablar con el operador

Para Óscar Morales, socio del área penal económico de Cases & Lacambra, “hay información en los móviles que se depositan en la nube, y otra que transita por lugares que no está a disposición del móvil cancelarlos o borrarlos. En una conversación de WhatsApp no se puede borrar de ese servidor la existencia de esa conexión. En ese caso podría pedirse a esta aplicación, aunque se haya borrado, que facilitara una copia de su backup. No podría reproducir esa información pero sí que ha existido una comunicación de voz, una día y hora concreta”.

En cuanto a las llamadas telefónicas, Morales comenta que “puedes borrar tu registro de llamadas, pero si has hecho determinadas llamadas, la compañía telefónica lo conoce, qué día y a qué hora. Ese tipo de rastros se quedan. Hay un canal abierto de comunicación entre la Guardia Civil y las grandes tecnológicas como Microsoft o Meta. En España tienen una comunicación constante con las Fuerzas de Seguridad. A veces se producen debates entre las empresas y tribunales con las Fuerzas de Seguridad. En ocasiones el operador puede argumentar que no puede dar esa información y hay que pedírselo de otra manera”.

A juicio de este abogado que lideró en el seno de la Universidad Oberta de Cataluña un programa de investigación europeo donde coordinó la formación para los cuerpos de seguridad en materia de criminalidad informática de países como España, Alemania e Italia, entre 1998 a 2003 —ampliable luego a la policía de Moscú—, y que luego siguió investigando sobre estos temas, “al final lo que queda claro es que la conexión existió y lo que hay que saber realmente es a quién se pide. De esa forma se puede saber a quién se ha llamado y durante cuánto tiempo. A partir de ahí las investigaciones de la UCO se impulsarán”.

Óscar Morales cree que la opción es pedirle a Meta, en cuestión, una copia de su ‘backup’ para saber si hubo esas llamadas. (Imagen: Cases & Lacambra)

Una investigación judicial compleja

Fuentes judiciales explican a Economist & Jurist que un WhatsApp es una comunicación encriptada de punto a punto, pero existen varias formas de conocer el contenido. Una es interceptándolo mediante mandamiento judicial. La operadora renuncia a almacenarlo, primero por espacio, y luego por cuestiones de privacidad. En este caso son comunicaciones del pasado, ya no se puede hacer nada. Por eso las otras dos opciones son la ocupación del dispositivo emisor o se ocupa el receptor. En este caso hay uno de ellos, el emisor, que borrado será imposible recuperar; igual si se hubiera formateado”.

“También es importante saber que hay otros terminales —como el de Pilar Rodriguez, fiscal jefe de Madrid; Almudena Lastra, fiscal superior de Madrid; y Juan Lobato, exportavoz del PSOE en la CAM—, que aunque el almacenamiento en el terminal de origen ya se haya borrado, en el de los receptores siguen ahí. En estos receptores no solo se guarda el contenido de lo que se dijo, estos terminales ya los tiene el juez con lo cual ha sido difícil modificarlos. Ahí están los mismos mensajes que se borrador del terminal de García Ortiz. Sirve de prueba no solo el contenido, sino también los metadatos; esto es, se trata de conocer el día de la comunicación y la hora. Lo más importante son las fechas para saber a quién creer, si al jefe del gabinete de Ayuso, Miguel Ángel Rodríguez, o al fiscal general del Estado, para saber quién filtró esos mensajes”.

Las mismas fuentes señalan que hay un tema jurídico interesante: “Al estar en un delito de descubrimiento de secretos, lo que se tiene que debatir es cuál es el objeto del secreto porque lo que está indicado el equipo del PSOE para confundir es que Miguel Ángel Rodríguez dijo que había un acuerdo entre las partes, pero el acuerdo no es un secreto; el secreto es el texto del acuerdo. La UCO tiene herramientas potentes para este tipo de información, al igual que las empresas de forensic, pero va a ser complicado que puedan recuperar esas comunicaciones, por lo menos en el móvil de García Ortiz”.

Otra cuestión que indica nuestra fuente es saber con qué móvil el fiscal general del Estado presuntamente hizo la filtración de esa información del novio de Ayuso: “En ese móvil lo que nos podríamos encontrar es a qué políticos se filtró esa información. Según el contenido del móvil de Juan Lobato hubo más gente implicada. El delito no solo lo comete quien inicia la cadena de filtración, sino todos los que lo llevan y genera publicidad a terceros. Habrá que ver los autores de la filtración”.

En cuanto a la presentación de estas pruebas, la fuente judicial indica que se hace “con peritos técnicos vinculados a la Guardia Civil. Ese informe técnico que ahora se hace de urgencia, se convierte en pericial tras la auditoria de un perito externo que corrobora dicho informe con otro. El informe técnico vale en la fase de investigación, pero el día del juicio debe acudir un perito para que confirme lo que dijo ese informe técnico. Ese primer informe lo realiza la UCO con sus ingenieros informáticos, pero si viene otro perito que ratifica estos temas le da mayor validez”, subraya este magistrado.