Revictimización de Teléfonos Celulares Subastados por la Policía

Innumerables teléfonos inteligentes incautados en arrestos y búsquedas por parte de las fuerzas policiales en todo Estados Unidos se están subastando en línea sin borrar primero los datos, una práctica que puede llevar a que las víctimas de delitos vuelvan a ser victimizadas, según un nuevo estudio. En respuesta, el mayor mercado en línea de artículos incautados en investigaciones policiales de Estados Unidos dice que ahora se asegura de que todos los teléfonos vendidos a través de su plataforma sean borrados de datos antes de la subasta.

Investigadores de la Universidad de Maryland el año pasado compró 228 teléfonos inteligentes vendidos "tal cual" de PropertyRoom.com, que se anuncia a sí misma como la casa de subastas más grande para departamentos de policía en los Estados Unidos. De los teléfonos que ganaron en una subasta (a un promedio de $18 por teléfono), los investigadores encontraron que 49 no tenían PIN ni código de acceso; pudieron adivinar 11 de los PINES adicionales utilizando los 40 patrones de PIN o deslizamiento más populares.

Los teléfonos pueden terminar bajo custodia policial por varias razones, como que su propietario estuvo involucrado en el robo de identidad, y en estos casos el teléfono en sí fue utilizado como una herramienta para cometer el delito.

"Inicialmente esperábamos que la policía nunca subastara estos teléfonos, ya que permitirían al comprador volver a cometer los mismos delitos que el propietario anterior", explicaron los investigadores en un documento publicado este mes. "Desafortunadamente, esa expectativa ha demostrado ser falsa en la práctica.”

Los investigadores dijeron que si bien podrían haber empleado medidas tecnológicas más agresivas para calcular más PINES para los teléfonos restantes que compraron, concluyeron en base a la muestra que muchos de los dispositivos que ganaron en la subasta probablemente no habían sido borrados de datos y estaban protegidos solo por un PIN.

Más allá de lo que cabría esperar de los teléfonos de segunda mano sin limpiar: cada mensaje de texto, imagen, correo electrónico, historial del navegador, historial de ubicaciones,etc. — los 61 teléfonos a los que pudieron acceder también contenían cantidades significativas de datos relacionados con el crimen, incluidos los datos de las víctimas, encontraron los investigadores.

Algunos lectores pueden preguntarse en este punto: "¿Por qué deberíamos preocuparnos por lo que le sucede al teléfono de un delincuente?"En primer lugar, no está del todo claro cómo estos teléfonos terminaron a la venta en PropertyRoom .

"Algunas personas dicen:' Sí, lo que sea, estos son teléfonos criminales', pero ¿lo son?"dijo Dave Levin, profesor asistente de ciencias de la computación en la Universidad de Maryland.

"Comenzamos a analizar las leyes estatales sobre lo que se supone que deben hacer con la propiedad perdida o robada, y descubrimos que la mayor parte termina yendo por el mismo camino que la confiscación de activos civiles", continuó Levin. "Es decir, si no pueden averiguar quién es el propietario de algo, eventualmente se convierte en propiedad del estado y se envía a estos revendedores.”

Además, los investigadores encontraron que muchos de los teléfonos claramente tenían información personal sobre ellos con respecto a objetivos delictivos anteriores o previstos: Una docena de los teléfonos tenían fotografías de identificaciones emitidas por el gobierno. Tres de ellos estaban en teléfonos que aparentemente pertenecían a trabajadoras sexuales; sus teléfonos contenían comunicaciones con clientes.

Una descripción general de la funcionalidad del teléfono y la accesibilidad a los datos para los teléfonos comprados por los investigadores.

Un teléfono tenía archivos de crédito completos para ocho personas diferentes. En otro dispositivo encontraron una captura de pantalla que incluía 11 tarjetas de crédito robadas que aparentemente se compraron en una tienda de tarjetas en línea. En otro, el antiguo propietario aparentemente había estado activo en un chat grupal de Telegram que vendía tutoriales sobre cómo ejecutar estafas de robo de identidad.

El teléfono más interesante de los lotes que compraron en una subasta fue uno con una nota adhesiva adjunta que incluía el PIN del dispositivo y la notación "Teclado Gry, "sin duda una referencia a la Clave Gris software que a menudo utilizan las agencias de aplicación de la ley para forzar el PIN de un dispositivo móvil.

- Ese tenía el ALFILER en la espalda-dijo Levin -. "La cadena de mensajes en ese teléfono tenía 24 historiales de crédito de Experian y TransUnion".

El equipo de la Universidad de Maryland dijo que tuvieron cuidado en su investigación de no promover la victimización de las personas cuya información estaba en los dispositivos que compraron PropertyRoom.com. Eso implicó garantizar que ninguno de los dispositivos pudiera conectarse a Internet cuando estuviera encendido, y escanear todas las imágenes en los dispositivos contra hashes conocidos de material de abuso sexual infantil.

Es común encontrar teléfonos y otros productos electrónicos a la venta en plataformas de subastas como eBay que no han sido borrados de datos confidenciales, pero en esos casos eBay no posee los artículos que se venden. Por el contrario, plataformas como PropertyRoom obtienen dispositivos y los revenden en una subasta directamente.

PropertyRoom no respondió a múltiples solicitudes de comentarios. Pero los investigadores dijeron que en algún momento de los últimos meses PropertyRoom comenzó a publicar un aviso que indicaba que todos los dispositivos móviles serían borrados de sus datos antes de ser vendidos en una subasta.

"Les informamos de nuestra investigación en octubre de 2022 y respondieron que revisarían nuestros hallazgos internamente", dijo Levin. "Dejaron de venderlos por un tiempo, pero luego regresó lentamente, y luego nos aseguramos de ganar todas las subastas. Y todos los que obtuvimos de eso fueron borrados, excepto que había cuatro dispositivos que tenían tarjetas SD [de almacenamiento] externas que no fueron borradas.”

Una copia del estudio de la Universidad de Maryland es aquí (PDF).