El peritaje de Whatsapp y todo su contenido plantea importantes desafíos al sector de la Informática Forense independiente. Lidiar con evidencia digital almacenada en dispositivos móviles es cada día más frecuente y normal. Como enfrentamos los peritos informáticos el desafío de resguardar, recuperar, analizar y autenticar esta información.
Peritaje de WhatsApp cada vez más demandado
Cada vez es más frecuente encontrarnos con casos judiciales de los distintos fueros (civil, comercial, laboral y penal) en los que se aporta o intenta aportar evidencia digital proveniente de conversaciones, imágenes, audios y videos transmitidos a través del programa de mensajería instantánea Whatsapp. En muchos casos esto resulta clave para el proceso de preconstitución de prueba.
En Argentina, cuando la causa es penal el caso se deriva siempre o mayormente hacia las áreas forenses de las fuerzas de seguridad, llámese policía, gendarmería, prefectura o hacia los prestigiosos laboratorios forenses de algunas universidades como pueden ser la UBA o la UTN. Todas estas instituciones cuentan con profesionales de excelencia pero además tienen a su disposición una cantidad de recursos de hardware que no están al alcance de un perito informático independiente o de una pequeña empresa forense.
Así podemos ver como los grandes laboratorios forenses del país cuentan con herramientas como el UFED o las XRY. Resulta prohibitivo para el perito freelance hacerse con una de estas excelentes máquinas, la UDEF cotiza en dólares y tiene precios inalcanzables a los cuales hay que sumarles impuestos y costos de delivery que se pagan directamente a la empresa o los revendedores ya los incluyen en tu factura final. La XRY directamente aclara en su sitio web que ellos no venden a particulares y que solo trabajan con fuerzas de seguridad o clientes especiales.
Estas dos herramientas, por nombrar las más conocidas, realizar tres tipos de extracción: Física, lógica y de sistema de archivos. Replicar estas funcionalidades con software forense open source no es sencillo y en la mayoría de los casos solo nos permite “rascar” la superficie y pocas veces obtendremos toda la información buscada. El continuo e imparable avance de la tecnología de los dispositivos móviles provoca que las actualizaciones del software open source siempre corra por detrás de los nuevos modelos de celulares y sus sistemas operativos iOS y Android.
Dentro del universo del software libre, en los años 2020 y 2021, podemos nombrar Santoku Linux y Autopsy como las principales herramientas de software forense para celulares y tablets. No hay muchas más opciones en el mercado, por lo menos ninguna con tanto renombre como las anteriorer, que aunque limitadas en su capacidad de recuperación de información, son lo mejor disponible al día de hoy.
Santoku Linux es una distribución forense del sistema operativo GNU/Linux. Actualmente y desde hace mucho tiempo se encuentra en su versión 0.5, esto nos puede hacer pensar que la distro está abandonada o no tiene una comunidad muy activa de desarrollo. También hay que sumarle que no hay soporte disponible, no hay foros o lugares donde realizar consultas si uno tiene problemas o dudas con la instalación o utilización del sistema. Al no tener nuevas versiones disponibles, cada día que pasa su software queda más desactualizado independientemente que podamos bajar sus aplicaciones de forma independiente. La distro por sí misma se va quedando vieja.
Entre las principales aplicaciones encontramos el AF Logical OSE. Con ella podemos recuperar SMS libreta de contactos y registros de llamadas entrantes y salientes. El tema es que los SMS caen cada día más en el olvido y las comunicaciones pasan casi exclusivamente por las aplicaciones de mensajería instantánea, especialmente Whatsapp. Si queremos analizar el contenido de Whatsapp, debemos descargar el Software Development Kit que se corresponda con la versión de Android que estemos intentando analizar.
Hay 3 tipos de extracciones posibles a realizar en Whatsapp:
- Extracción física: es cuando se realiza una copia bit a bit de todo el contenido del disco de origen. El resultado es una copia idéntica a la original. El tema es que Whatsapp tiene sus bases de datos encriptadas.
- Extracción lógica: se copian los objetos mientras estos pueden estar todavía en ejecución. Se pueden utilizar herramientas de terceros o los propios mecanismos de back-up de la aplicación.
- Extracción de sistema de archivos: se copian todos los ficheros del sistema del dispositivo móvil. No son copiados archivos eliminados u ocultas.
La principal herramientas es el módulo Android Analyzer que se incluye con la última versión de Autopsy. Sin embargo se sigue teniendo el requisito obligatorio de que el celular se encuentre rooteado para que pueda ser leido al ser pasado por el módulo de análisis mencionado.Hay varias otras herramientas como Guasap Forensic, WhatsappXtract, etc. Todas sin embargo, necesitan que el dispositivo esté rooteado para poder hacer una correcta recuperación forense de sus datos y un posterior análisis de los mismos.
El proceso de rootear un dispositivo es peligroso, se corren riesgos de que el dispositivo resulte dañado y su información se pierda o se corrompa incluso cuando todos los pasos del proceso se lleven adelante correctamente. El visto bueno del juez es absolutamente necesario y debemos haberle informado a conciencia sobre los riesgos a los que será sometida la evidencia digital. De lo contrario habrá que conformarse con lo que pueda obtenerse mediante los mecanismos de backup del propio Android.
Lamentablemente el software open source ofrece soluciones muy limitadas si no se puede rootear el dispositivo. Ahora una vez rooteado con éxito entonces sí que es posible realizar una copia física integral y pasarla por las herramientas antes mencionadas y donde se obtendrán resultados muy completos y satisfactorios.
