Cómo la policía identifican a los delincuentes sin tecnología sofisticada 1

El ojo que todo lo ve

A menudo, la policía ni siquiera intentará piratear o interceptar algo, sino que simplemente hará una solicitud al operador celular, y este último devolverá no solo el historial de llamadas, sino también mucha otra información interesante. A modo de ejemplo: un artículo sobre un periodista australiano , que analiza la información recopilada sobre el periodista por su operador de telefonía móvil durante los últimos dos años (y solo eso).

Según la ley australiana, los operadores de telefonía celular deben almacenar cierta información sobre los usuarios de la red, la base de registro de detalles de llamadas , durante dos años . Esto incluye información sobre la ubicación del dispositivo en cada momento (por cierto, recientemente se estableció un precedente en Suecia: esta información por sí sola no es suficiente para emitir una oración), un registro de llamadas, que incluye información sobre otro suscriptor, y datos sobre sesiones de Internet.

En cuanto a los SMS, según la ley de privacidad australiana, sin autorización previa para escuchas telefónicas, el operador tiene el derecho (y está obligado) a guardar solo los metadatos: la hora de envío, el tamaño del mensaje y el destinatario. El contenido de los mensajes en sí (y mucho menos las llamadas de voz) no se guarda.

Así es como se ve la información recopilada por el operador sobre el periodista.

top contacts

Lugares visitados por el periodista.

surveillance

Lugares que visitó con más frecuencia durante un período de tiempo determinado.

heatmap

El enlace está disponible en la versión en línea de los datos.

Los metadatos incluyen información sobre a quién llamó el usuario y a quién escribió mensajes, sobre la duración de las llamadas y sobre a qué estaciones base se conectó el teléfono en qué momento (esta información le permite determinar con precisión la ubicación del dispositivo). En algunos países (no señalaremos con el dedo, pero esto es Estados Unidos), los operadores no solo brindan información sobre la ubicación del usuario de la policía, sino que también intercambian con gusto dichos datos .

Lo más interesante es que los operadores móviles tienen acceso (y se emiten a la policía, y también se venden a quien quiera) detalles sobre el uso de Internet, incluidas las direcciones de sitios web y la cantidad de datos transferidos.

Este es un tema de discusión completamente separado; los datos se recopilan mediante el seguimiento de solicitudes a los servidores DNS del proveedor. Los operadores también están felices de comerciar con estos datos; El canal es tan atractivo que los operadores incluso han intentado impedir que los clientes utilicen servidores DNS de terceros .

info icon
INFO

Por cierto, los dispositivos emitidos (impuestos) por proveedores de Internet estacionarios (generalmente un cable combinado o un módem ADSL + enrutador) a menudo no permiten cambiar el servidor DNS en el enrutador. Si lo desea, cámbielo en la computadora, en cada teléfono individual, televisor inteligente y altavoz, pero el usuario no podrá proteger su privacidad por completo simplemente configurando la configuración del enrutador.

Los operadores móviles de EE. UU. También deben mantener registros CDR. Además, en los Estados Unidos, los servicios de inteligencia mantienen una única base de datos MAINWAY , en la que los registros pueden almacenarse durante mucho más tiempo del que permite la ley a los propios operadores móviles.

En Rusia, se adoptó la llamada ley Yarovaya , que obliga a los operadores móviles a almacenar metadatos durante tres años (su lista coincide casi por completo con la versión australiana de la ley). Además, los operadores deben almacenar durante al menos 30 días (pero no más de seis meses) mensajes de texto, voz, video y otros mensajes de los usuarios. En consecuencia, en Rusia cualquier llamada debe ser grabada por un operador y entregada a la policía cuando lo solicite la ley.

No solo CDR

En el estudio anterior, el periodista Will Oakenden usó un iPhone. Una solicitud correctamente ejecutada a Apple (en la terminología de la compañía – Solicitud de dispositivo, es decir, una solicitud en la que la policía no tiene nada más que el identificador del dispositivo de hardware – IMEI) permitirá a la policía recibir los datos que se recopilan sobre el usuario de Apple, y esto incluye casi todo. con raras excepciones. Así es como se ven, por ejemplo, las estadísticas de solicitudes a Apple en Rusia.

apple transparency ru

A modo de comparación, en los Estados Unidos, en el mismo año, la policía solicitó información sobre 19,318 dispositivos (el 81% de las solicitudes tuvieron éxito). Google ofrece un gráfico interactivo, que se puede ver aquí .

Y a menos que Apple proporcione a la policía datos como contraseñas de usuario, estadísticas de uso del dispositivo, SMS / iMessages y datos de salud (el historial de actividad física del usuario, incluida la cantidad de pasos y la frecuencia cardíaca en un período de tiempo determinado, es lo más útil para detectar como delincuentes y cónyuges infieles), luego Google lo dará todo, incluidas las contraseñas (para ser completamente técnicamente correcto, agregaré que el cifrado de las copias de seguridad apareció en Android 9; en consecuencia, la policía no recibirá ni las copias de seguridad ni los SMS ni los registros almacenados en ellas. llamadas)

Teléfonos desechables

Los delincuentes que utilizan su teléfono principal para llamadas amenazantes, extorsión y otros actos delictivos son ahora casi inexistentes; arriba descubrimos en detalle por qué. ¿Qué le queda al criminal? Tarjetas SIM desechables (tal vez no discutiremos las formas en que los delincuentes adquieren tales tarjetas) y dispositivos desechables (generalmente de botón barato), preferiblemente completamente desprovistos de acceso a Internet.

Para obtener al menos alguna información sobre un sospechoso, la policía necesita al menos una pista: el IMEI es suficiente. Pero, ¿qué se puede determinar con el ID del dispositivo, que se encendió solo durante unos minutos? Después de leer las teorías de la conspiración (un ejemplo perfecto ), los delincuentes novatos retiran con reverencia la batería del teléfono, incluido el dispositivo, solo para hacer una llamada.

Eso sí, ninguno de ellos ni siquiera piensa en lo que sucede cuando el dispositivo se enciende y apaga (tanto de forma normal como de emergencia, con la batería extraída). Además, pocas personas piensan si los agentes de policía operativos conocen tal plantilla.

Confiado en su seguridad, el delincuente sale de la casa (si no sale, es muy probable que su ubicación se determine inmediatamente o después del hecho analizando los registros) y llama desde un teléfono desechable. ¿Dónde está su teléfono principal? Consideremos las opciones.

Método 1

Comencemos por considerar la situación más típica: una llamada “sospechosa” se realiza desde un teléfono “anónimo” de una sola vez, mientras que el delincuente se llevó su propio teléfono. No hay nada increíble en esto; basta leer los informes policiales para comprender que así actúa la mayoría.

La policía le pedirá al operador de telefonía celular los registros CDR durante el período especificado. Según el país y las leyes vigentes en él, el operador devuelve datos sin procesar o una lista anónima de dispositivos (cada identificador de hardware se reemplaza por una función hash). De hecho, la policía recibe una lista preparada de dispositivos conectados a la celda donde se registró el dispositivo desde el que se realizó la llamada. Se supone que entre estos dispositivos estará presente y el propio teléfono del delincuente.

Varios miles de suscriptores pueden conectarse simultáneamente a la misma celda, por lo que una sola solicitud dará poco a la policía. Sin embargo, si el perpetrador llama a la víctima nuevamente, ya sea desde la misma celda o desde una celda diferente (incluso mejor), la policía recibirá muestras adicionales. Además, se cruza el conjunto de dispositivos que se registraron en la misma celda en el momento de la llamada desde el dispositivo «anónimo»; como regla, solo quedan unas pocas docenas o incluso un solo identificador en la segunda o tercera muestra.

Eso sí, en la práctica todo es algo más complicado. Por ejemplo, no solo se tiene en cuenta la conexión a una torre concreta desde la que se realizó la llamada, sino también los datos de las torres vecinas. El uso de estos datos permite (y permitió, por cierto, incluso hace quince años) realizar la triangulación, determinando la ubicación del dispositivo con una precisión de varias decenas a varios cientos de metros. De acuerdo, es mucho más agradable trabajar con una muestra así.

Sin embargo, en las grandes ciudades con una alta densidad de población (las llamadas anónimas se hacen a menudo en lugares concurridos) el círculo de sospechosos, incluso como resultado de la tercera muestra, puede resultar demasiado amplio. En tales casos (no siempre, pero en casos especialmente importantes) entra en juego el análisis de «big data». Pude aprender más sobre esto hace dos años en mi discurso de apertura en el congreso de policía en Berlín.

El analista examina los patrones de comportamiento del dispositivo, indicados por identificadores condicionales. Hablar por teléfono, el consumo de tráfico activo, el movimiento en el espacio, el tiempo de registro en el celular y una serie de parámetros adicionales permiten excluir una parte importante de los dispositivos, lo que reduce significativamente el número de sospechosos.

Conclusión: la forma más sencilla de detectar a un delincuente que lleva consigo un dispositivo personal (smartphone personal) y que se mueve al mismo tiempo. Hice una llamada anónima desde una celda; se describen muchos dispositivos. Hice una segunda llamada desde otra celda, y la lista de dispositivos que siguen la misma ruta se redujo en un orden de magnitud.

Por cierto, desacreditaré la popular plantilla cinematográfica. Para determinar con precisión la ubicación del teléfono, el tiempo que está en la red no juega el menor papel: la ubicación se determina instantáneamente cuando el teléfono se registra en la red y se guarda en los registros, desde donde se puede recuperar fácilmente.

Si se mueve el dispositivo, la ubicación se puede establecer con mayor precisión. Al mismo tiempo, repasemos los teóricos de la conspiración: el teléfono apagado no informa su ubicación, incluso si no le quitas la batería (bueno, el iPhone 11 puede comunicarse gracias al chip U1 , e incluso entonces no ahora, pero en algún momento en el futuro, cuando Apple active esta función en firmware).

En resumen: el delincuente encendió el dispositivo, hizo una llamada anónima o envió un SMS, apagó el dispositivo o quitó la batería. Al día siguiente volví a encenderlo, llamé desde otra parte de la ciudad, lo apagué. La lista de dispositivos que pueden pertenecer al delincuente se ha reducido a unas pocas piezas. La tercera llamada permitió identificar definitivamente al infractor, puede salir. Todo esto sin el uso de herramientas especiales, un simple análisis de registros para tres inclusiones.

Método 2

«¿Quién va a trabajar con el teléfono encendido?» – puede preguntar lógicamente. De hecho, un delincuente prudente puede apagar el teléfono principal antes de realizar una llamada desde un dispositivo anónimo. Muy bien: ahora la policía solo necesita mirar la lista de dispositivos que estaban apagados en el momento de la llamada anónima. En este caso, una iteración es suficiente.

Si el delincuente también enciende su teléfono principal después de una llamada anónima, puede enviarle un grupo de trabajo de manera segura.

¿Porqué es eso? El caso es que al desconectarse, el teléfono envía una señal al celular, y esto permite distinguir los dispositivos que se han desconectado de los que han salido del celular. Cuando está habilitado, se crea un nuevo registro en consecuencia. El seguimiento de dicha actividad es cuestión de unos pocos clics.

Método 3

«¿Quién se lleva su propio teléfono?» Curiosamente, llevan y llevan, y no solo teléfonos. Lleve teléfonos o deje su teléfono en casa, pero llévese un reloj inteligente; por cierto, esto permitió a la policía resolver muchos delitos. La mayoría de los delincuentes «telefónicos» están lejos de ser profesionales, y su conocimiento de cómo funciona la comunicación celular, qué datos se recopilan y cómo se analizan está en su infancia.

El factor humano permite a la policía resolver muchos delitos simplemente comparando los hechos.

Si un delincuente realmente nunca se lleva un teléfono con él (la práctica muestra que, por lo general, al menos una vez, pero todos están equivocados), entonces el análisis de big data puede ayudar a calcularlo. Mucho aquí dependerá de cuánto tiempo esté dispuesto a dedicar el atacante y cuánto esfuerzo esté dispuesto a hacer para realizar una llamada anónima, así como de cuántas llamadas de este tipo serán.

Si hay muchos dispositivos anónimos

¿Y si el delincuente es astuto y utiliza no uno, sino varios teléfonos anónimos, deshaciéndose de las pruebas cada vez que recibe una llamada? Esta práctica se muestra a menudo en películas. Después de leer las secciones anteriores, probablemente ya se haya dado cuenta de que todo lo que gana un delincuente al usar varios dispositivos diferentes son unos segundos extra de anonimato, los que preceden a la llamada real.

Como las llamadas de todos los dispositivos anónimos se agregarán al caso, la policía tiene pistas adicionales: la fuente de las tarjetas SIM «anónimas» y, posiblemente, el lugar de compra de los teléfonos desechables. La llamada fue realizada desde el mismo dispositivo o desde varios diferentes, no afectará el curso de la investigación.

Terrorismo telefónico: ¿y si la llamada fuera realmente una?

¿Y si realmente solo hubiera una llamada? Para informar sobre la explotación minera de una escuela o aeropuerto, no se necesita una segunda llamada: un terrorista telefónico solo necesita hacer una llamada, después de la cual el dispositivo “encendido” puede ser desechado o destruido junto con la tarjeta SIM.

Sorprendentemente, estos delincuentes a menudo son capturados utilizando medidas de búsqueda operativa, elaboradas incluso durante el tiempo de llamadas desde teléfonos públicos de la calle. Si un delincuente tiene un teléfono inteligente permanente, entonces el círculo de sospechosos puede limitarse drásticamente mediante la realización de un análisis utilizando el primero de los métodos descritos en el artículo.

Por lo tanto, incluso en una ciudad con una población de más de un millón, el círculo de sospechosos se reduce a varios cientos (rara vez miles) de suscriptores. Si estamos hablando de la «minería» de la escuela, entonces muchos suscriptores «sospechosos» se cruzan con muchos estudiantes de la escuela. Bastará con que el operativo se limite a hablar con los que quedan.

El hecho de que tales delincuentes, por regla general, tengan poca idea de las posibilidades y peculiaridades del trabajo de los operativos y traten de protegerse de peligros inventados, inexistentes, ignorando por completo lo obvio, ayuda a descubrir el terrorismo telefónico.

Hace dos años, la oficina de nuestros colegas (casualmente también los desarrolladores de software para la policía) fue evacuada en una llamada de una persona desconocida que informó sobre un artefacto explosivo en el edificio.

Menos de unas horas después, la policía ya había detenido al criminal. La culpable resultó ser una abuela loca que quería molestar a los vecinos, pero se equivocó en la dirección.

Ni un teléfono de botón, comprado especialmente por una anciana vengativa, ni una tarjeta SIM «anónima» (o más bien, registrada a un nombre inexistente) ayudaron.

¿Qué pasa con las llamadas VoIP usando una VPN?

Si se te ocurrió que se puede hacer una llamada realmente anónima a través del servicio de VoIP (preferiblemente gratis, para no brillar en el medio de pago), e incluso a través de un servicio de VPN que no almacena logs, enhorabuena, piensas como un auténtico bandido.

Por supuesto, siempre existe la posibilidad de «pinchar» olvidándose de controlar la conexión con el servidor VPN o ingresando accidentalmente con sus propios datos, no «anónimos» para las llamadas. Para evitar que esto suceda, los grupos criminales incurren en grandes gastos y ordenan la fabricación de teléfonos modificados (a nivel de software).

El caso del arresto del director general de una empresa que produce este tipo de dispositivos basados ​​en viejos teléfonos BlackBerry, mostró la escala de operaciones. A pesar de que la policía logró cerrar esta red criminal (y obtener el control sobre la infraestructura de comunicaciones encriptadas utilizada por los delincuentes), la policía entiende que este es solo el primer paso.

“Los delincuentes inevitablemente migran a otros servicios, e imaginamos cuáles. No señalaré con el dedo, pero tarde o temprano llegaremos a ellos ”(Subcomisionado de la AFP, Gogan).

Cómo funciona el análisis

El informe , publicado por la UIT (República de Guinea), describe con cierto detalle los métodos y herramientas utilizados por los analistas. En general, el proceso se puede representar de la siguiente manera.

CDR Workflow

Y con un poco más de detalle.

CDR Analysis ITU

Todo lo que la policía necesita son los datos CDR «sin procesar» y el software con el que se pueden descargar y analizar (los datos «sin procesar» no son muy útiles para el análisis manual, pero los datos filtrados se pueden mostrar en forma de texto o impresos).

La popularidad de este método de investigación se evidencia por el hecho de que los registros CDR están respaldados por casi todos los paquetes forenses serios.

Ejemplos: Penlink , HAWK Analytics , GeoTime , CSAS , Russian Oxygen Forensic Suite de Oxygen Software , Advanced Cell Tracking y muchos otros. Sin embargo, también tuvimos que comunicarnos con agentes de policía que utilizan con éxito una combinación de Google Maps y Microsoft Excel en su trabajo.

Sin duda, los servicios especiales cuentan con equipos especiales en servicio que les permite suprimir comunicaciones celulares, reemplazar una estación base o falsificar coordenadas GPS. Sin embargo, la policía no utiliza la mayor parte de esta técnica, al menos en la investigación de delitos rutinarios de terroristas telefónicos y extorsionadores.

Caro, quisquilloso, lento y, en general, no es necesario y, a veces, ineficaz. Analizar los registros de CDR (Call Detail Record) es una inversión mucho más eficiente de tiempo y esfuerzo.

Un caso que ocurrió hace unos años en Gran Bretaña es indicativo. La policía estaba monitoreando a uno de los jefes del cartel de la droga.

La detención no es un problema, pero no hay pruebas, el caso se habría derrumbado en la corte.

Según la policía, el teléfono del criminal (usó un iPhone) podría contener evidencia vital, pero no fue posible descifrar el código de bloqueo de un modelo suficientemente nuevo en ese momento.

Como resultado, se desarrolló una operación; el perpetrador estaba bajo vigilancia. Tan pronto como tomó el teléfono, lo desbloqueó y comenzó a escribir, el capo de la droga fue detenido y literalmente le arrebataron el teléfono de las manos.

Lo interesante aquí no es el fondo, sino un detalle tan insignificante: para llevar el iPhone del criminal al laboratorio en estado desbloqueado, se nombró a un policía especial, cuyo trabajo se redujo a pasar periódicamente el dedo por la pantalla, evitando que el dispositivo se durmiera.

(No hace falta pensar en la policía como idiotas: todo el mundo sabe que hay una configuración que controla el tiempo después del cual se apaga la pantalla del teléfono, y el propio teléfono se bloquea. Pero que en el teléfono es fácil, en un par de clics, puedes instalar un perfil de configuración que prohíbe deshabilitando el bloqueo automático, no todo el mundo ya lo sabe.)

El teléfono se llevó con éxito al laboratorio, se extrajeron los datos, se obtuvo la evidencia necesaria.

De alguna manera todo es … ¡poco confiable!

Si, después de leer este artículo, tiene la impresión de que de alguna manera no es del todo correcto basar el veredicto en los datos recibidos de los operadores celulares, me apresuro a estar de acuerdo.

Además, la Corte Suprema de Dinamarca está de acuerdo con usted, que restringió el uso de datos de ubicación de los registros CDR por parte de la fiscalía.… La prohibición no apareció de la nada: de 10,700 condenas basadas en estos datos (que es mucho para un país pequeño y tranquilo), 32 personas ya han sido declaradas inocentes como resultado de controles adicionales.

Según el director de la Asociación de la Industria de las Telecomunicaciones, «esta infraestructura fue creada para brindar servicios de comunicación, y no para espiar a los ciudadanos». «Intentar interpretar estos datos conduce a errores» y «la evidencia que parece estar basada en mediciones técnicas precisas no es necesariamente de gran valor en los tribunales».

La mayoría de los cursos de actualización para oficiales de policía deben decir que no se puede confiar completamente en las pruebas digitales, independientemente de la forma en que se obtuvieron. Hablan de casos en los que la ubicación de un sospechoso se determinó en función de los metadatos de fotos que se sincronizaron a través de la nube y no fueron tomadas por el propio dispositivo.

Indicativo es el caso cuando la respuesta a una llamada entrante se interpretó como «distracción durante la conducción», lo que provocó una emergencia.

De hecho, el entonces teléfono de botón estaba tranquilamente en el bolsillo del conductor, pero debido al botón presionado accidentalmente, el teléfono “respondió” la llamada, que fue registrada por el operador.

La defensa pudo absolver al conductor al interrogar al segundo suscriptor, quien demostró que la conversación no se produjo (por cierto, se desconoce lo que había allí «en realidad», pero el tribunal se puso del lado del imputado).

Estoy seguro de que este no es el único caso. Los datos CDR son una excelente herramienta en manos de un operativo, pero no son confiables como base de evidencia.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: