El arte de buscar en los registros de un iPhone: entre sysdiagnose y grep

Apple no es mi fuerte -y hay miles de forenses mejor que yo- pero tengo un buen equipo y he realizado varios trabajos de peritaje sobre esta tecnología. Además, soy amante de los casos de actualidad, hoy quiero compartir contigo algunos datos curiosos y técnicamente útiles sobre cómo y dónde iOS guarda la información de los procesos de las aplicaciones. Sí, ese pequeño trozo de cristal y plástico no solo guarda tus selfies, también oculta un tesoro de datos, si sabes dónde buscar.

Yo siempre digo a mis compañeros más juniors:

"No sirve de nada tener la mejor aplicación de extracción si luego no sabes ni dónde ni qué estas buscando."

¿Dónde guarda iOS la información de procesos?

Primero, debes saber que iOS organiza estos datos según la naturaleza de los registros. Algunos sobreviven un reinicio; otros, como algunas promesas políticas, son más efímeros que una buena excusa. Aquí tienes los puntos clave:

1. Registros del sistema (¡el famoso sysdiagnose!)

Si alguna vez quieres tener conversación en un bar con un perito de Iphones, habla de "sysdiagnose". Este archivo se genera pulsando:

Volumen arriba + Volumen abajo + Botón de encendido (al mismo tiempo)        

El iPhone vibrará, y, como por arte de magia, habrá capturado un snapshot completo del sistema. Este archivo contiene:

• Detalles de los procesos activos.
• Uso de memoria.
• Registros de errores (para que entiendas por qué Safari se cierra cuando tienes 87 pestañas abiertas).

Eso sí, no te emociones mucho: iOS elimina los más antiguos para evitar que llenes la memoria con registros dignos de un novelista. ¿Sobre vive a un apagado? ¿Por qué no lo compruebas?

2. Jetsam Events (¡cuando el iPhone no aguanta más!)

Estos registros, alojados en /var/logs, documentan eventos en los que las aplicaciones fueron brutalmente terminadas por el sistema por pasarse de listas (es decir, consumir demasiados recursos). Si quieres saber por qué WhatsApp se cerró en plena videollamada con tu tía en Canada, este es el lugar indicado.

3. Crash Logs (¡porque todo falla, incluso las apps!)

Cuando una aplicación decide suicidarse (metafóricamente), iOS guarda sus últimas palabras en:

/Library/Logs/CrashReporter        

Pero recuerda, iOS tiene memoria selectiva y elimina estos registros de vez en cuando...

4. Registros de actividad energética (¿Qué tanto drena tu batería?)

Estos también están en el sysdiagnose y son ideales si te preguntas por qué tu iPhone se queda seco más rápido que una charla aburrida. Aporta detalles sobre:

• Uso de CPU.
• Consumo de memoria.
• Impacto en la batería.

Ideal para buscar apps "vampiro" que chupan la energía sin remordimientos.

5. Datos analíticos (¡el chismoso interno de iOS!)

Accede a ellos en:

Configuración > Privacidad > Análisis y Mejoras > Datos de Análisis        

Aquí encontrarás informes detallados de las aplicaciones. La duración de estos registros depende de tu configuración y del espacio disponible. Pueden quedarse contigo días o semanas, dependiendo de cuán generoso sea tu iPhone.

¡Manos al grep!

Ahora, lo divertido: imaginemos que has extraído todos estos registros al ordenador (¿Cellebrite o simplemente a mano?). Buscas algo específico, como "WhatsApp". Un comando grep puede ser tu mejor amigo:

grep -ri "whatsapp" . --color=auto -C 3        

¿Qué hace esto?

• -r: Busca de manera recursiva en subdirectorios.
• -i: Ignora mayúsculas y minúsculas (porque WhatsApp puede estar en modo discreto como "WHATSAPP").
• --color=auto: Resalta las coincidencias, para que las veas más rápido.
• -C 3: Muestra 3 líneas antes y después de cada coincidencia (contexto, baby).

Conclusión

Estos registros pueden responder en algunos casos:

1. ¿Cuándo se ha realizado el borrado? Porque por ejemplo, no es lo mismo que haya una política de borrar mensajes de una aplicación o directamente la aplicación de forma regular a justamente de forma eventual y sorpresiva antes de un registro policial.
2. Saber si ha habido alguna actividad sospechosa en un momento concreto y datos estadísticos sobre su uso que nos puedan ayudar, sobre todo si estamos buscando información en una fecha concreta. ¿Verdad?

Con esto artículo espero haber ayudado a todas las personas que me siguen y si tienen algún caso que pueda desatascar, tu vecino y amigo de Triana.