Noticias
¿Qué está ralentizando realmente tus extracciones? (Pista: no son tus herramientas)
En informática forense digital invertimos en herramientas de última generación… y luego conectamos todo con el primer cable que encontramos en un cajón.
Mala idea.
Durante nuestras pruebas, la diferencia entre utilizar distintos cables con el mismo dispositivo significó terminar una extracción en minutos… o perder horas. La clave está en lo que realmente hay dentro del cable. Si tus extracciones son lentas, inconsistentes o eternamente largas, esta podría ser la razón.
En un laboratorio forense digital solemos obsesionarnos con la elección del procesador, la marca de los bloqueadores de escritura y las licencias de software que cuestan más que un automóvil pequeño (o incluso una casa, en algunos casos). Sin embargo, conectamos todo eso mediante un cable de 3 libras esterlinas sacado de un cajón y luego nos preguntamos por qué la extracción tarda tanto que da tiempo a terminar una novela.
El cable importa mucho más de lo que debería. Y no por el ancho de banda que aparece impreso en el revestimiento, sino por la ingeniería que lleva en su interior, la cual suele ser bastante peor de lo que imaginamos.
Los números
Un teléfono Android moderno de 128 GB. La misma estación de trabajo. El mismo software. Cuatro cables distintos.
Entre el peor y el mejor resultado, se ahorraron más de 70 minutos en una extracción física y potencialmente más de dos horas en una extracción completa del sistema de archivos (Full File System o FFS).
Cuando se trabaja con una cola de evidencias, eso no equivale a una pausa para el café o al almuerzo. Es medio día perdido en un solo dispositivo.
Si te preguntas por qué las extracciones FFS suelen ser más lentas que las físicas, incluso cuando extraen menos datos, la respuesta es sencilla: una extracción FFS no consiste en una única lectura secuencial. Implica cientos de miles de operaciones sobre pequeños archivos, cada una con su propia sobrecarga de protocolo y, cuando el cable es deficiente, con múltiples oportunidades para que se produzcan reintentos silenciosos.
Los malos cables no compensan sus deficiencias a lo largo de una transferencia continua. Sus problemas se multiplican en cada límite de archivo, cada base de datos, cada miniatura almacenada en caché y cada archivo adjunto de una conversación.
El ancho de banda no es la respuesta
La conclusión más evidente sería pensar que los cables más rápidos aprovecharon su mayor capacidad de ancho de banda. Ojalá fuera tan simple.
La mayoría de los smartphones actuales están limitados a USB 3.2 Gen 1 (5 Gbps) o USB 3.2 Gen 2 (10 Gbps), y ninguno negocia conexiones Thunderbolt o USB4 v2.0.
Tu teléfono no tiene idea de lo que es la señalización ternaria PAM-3 y, francamente, tampoco le importa.
Los dos mejores cables de esta prueba operaban exactamente a la misma velocidad de enlace negociada. La diferencia de rendimiento se produjo dentro de una misma conexión de 5 Gbps.
En ambos casos, el ancho de banda anunciado en el exterior del cable era simplemente decorativo.
La certificación es la verdadera señal
Ambos cables con mejor rendimiento superaron las pruebas USB4 realizadas mediante un lector de eMarker. Sin embargo, solo uno de ellos aprobó las pruebas de certificación Thunderbolt.
El cable de 40 Gbps falló las certificaciones Thunderbolt 3, Thunderbolt 4 y Thunderbolt 5 en todos los casos: una serie completa de cruces rojas que parecían el boletín de notas de un estudiante en serios problemas.
La certificación Thunderbolt es considerablemente más exigente que la certificación USB4. Requiere un blindaje más riguroso, una mejor adaptación de impedancias, menores pérdidas de inserción y un chip eMarker que no “exagere” sus capacidades.
Un cable que no supera las pruebas Thunderbolt puede seguir anunciando velocidades de 40 Gbps en su eMarker, de la misma forma que un pequeño local de comida rápida puede proclamarse “famoso en todo el mundo”.
Cuando la calidad de la conexión es deficiente, el host y el dispositivo pasan una parte significativa del tiempo reintentando silenciosamente la transmisión de paquetes corruptos. La velocidad negociada permanece igual, pero el rendimiento efectivo se desploma.
En una extracción física, ahí es donde se pierde buena parte de la mañana. En una extracción Full File System (FFS), ahí es donde desaparece prácticamente toda la jornada.
Recomendaciones prácticas
Verifique los cables antes de utilizarlos
Utilice un lector de eMarker para comprobar los cables antes de incorporarlos a su laboratorio.
Los cables pueden ser engañosos: la información impresa en la funda puede decir una cosa, mientras que la electrónica interna cuenta una historia completamente distinta.
Además, los cables se degradan con el uso, por lo que conviene volver a evaluarlos periódicamente.
Considere la certificación Thunderbolt como un indicador de calidad
Ningún smartphone que analice negociará una conexión Thunderbolt durante una extracción forense.
La certificación no es importante por el estándar en sí, sino por el nivel de ingeniería necesario para obtenerla.
Compre según la certificación, no según el ancho de banda
Las etiquetas “Thunderbolt 4” (TBT4) o “Thunderbolt 5” (TBT5) implican una validación formal por parte de Intel.
Por el contrario, una caja que promete “80 Gbps” simplemente refleja lo que el fabricante decidió imprimir en el embalaje.
Evite cuellos de botella en el resto de la cadena
Utilice puertos USB traseros directamente conectados a la placa base de la estación de trabajo, unidades NVMe como destino de adquisición y, cuando sea posible, ventilación adicional para evitar que el teléfono reduzca su rendimiento por temperatura.
Un excelente cable conectado a un adaptador USB-A de baja calidad sigue siendo un cuello de botella.
Conclusión
El ancho de banda de un cable es un dato de marketing.
La certificación de un cable es un dato de ingeniería.
La diferencia entre ambos, en un dispositivo real sometido a análisis forense, puede representar más de una hora en una extracción física y gran parte de una tarde en una extracción completa del sistema de archivos.
Si dispone de un comprobador de cables, utilícelo.
Y si un cable no supera las pruebas de certificación Thunderbolt, probablemente seguirá funcionando. Simplemente tardará lo suficiente como para que recuerde exactamente qué cable utilizó… y termine desarrollando cierta antipatía hacia él.
Evítese ese problema.
Compre un cable de calidad.
Su cola de evidencias se lo agradecerá.
