
La red social de mensajería instantánea WhatsApp ha tomado el relevo de muchas otras formas de comunicación llegando incluso a sustituirlas. Actualmente es la aplicación de mensajería instantánea más utilizada con más de 2000 millones de usuarios. Esto hace que conversaciones a través de esta aplicación sean evidencias que son aportadas diariamente a infinidad de procesos judiciales. El trabajo adjunto desarrolla un análisis del modelo de datos de la aplicación WhatsApp y de algunos de los artefactos con los que se relaciona para ver sus aplicaciones a la obtención de evidencias para un procedimiento judicial.
Este trabajo ha sido presentado como proyecto de fin del Máster Universitario en Seguridad de Tecnologías de la Información y de las Comunicaciones impartido por la Universidad Europea de Madrid y como refleja su título analiza todo el proceso del análisis forense del modelo de datos de WhatsApp en IOS y Android.
En el mismo se realiza un análisis del estado del arte en procedimientos y herramientas para la recuperación de información de dispositivos móviles. A partir de esto se desarrolla un análisis de la estructura de carpetas, su contenido y del modelo de datos en la plataforma IOS y Android analizando todas las bases de datos, la estructura de sus campos y el contenido de los mismos.
Se ha podido documentar las diferencias entre ambos modelos, mostrando que IOS ofrece un modelo de datos más estructurado y normalizado pero que al mismo tiempo aporta menos información desde el punto de vista forense ya que en Android al haber información repetida en varias tablas, permite la realización de comprobaciones cruzadas que dificultan la falsificación de datos.
Adicionalmente se realiza un análisis de los datos que la base de datos contiene, de cara a definir el comportamiento de la aplicación en aquellas funcionalidades que pueden tener interés desde el punto de vista forense. Se responden a preguntas como ¿Cómo se realiza una comunicación? ¿Qué usuarios participaron en la misma? ¿Se puede demostrar que un usuario recibió/envió un mensaje? ¿formaba un usuario parte de un grupo? ¿Se pueden recuperar mensajes borrados?
Para el desarrollo del trabajo se ha creado una infraestructura con dos terminales Apple con sistemas operativos IOS 12 e IOS 13 (última versión disponible en el momento de la realización del trabajo) y con dos máquinas virtuales con sistema Android sobre la que se han realizado pruebas de concepto de cara a analizar el comportamiento de la aplicación. Se han cubierto las funcionalidades de gestión de contactos, envío de mensajes, llamadas, gestión de grupos de usuarios, bloqueos, borrado de mensajes y uso de WhatsApp Web.
El desarrollo del trabajo permite tener una visión clara de cómo se realiza una comunicación, identificando el tipo de mensaje, verificando el tipo de contenido enviado (y accediendo y recuperando el mismo), desarrolla la forma de identificar el estado del mensaje (enviado, entregado, leído, etc.). Tanto a nivel mensaje individual, grupos, como listas de distribución. Se ha identificado la forma de detectar la fuente del envío del mensaje (WhatsApp Web o terminal). Incluso se analizan las distintas formas de recuperar información borrada de la base de datos. Además, el trabajo analiza la realización de llamadas permitiendo identificar información ellas (destinatarios, duración, tipo, etc.).
El trabajo ha permitido mostrar las diferencias entre ambas plataformas e identificar en el modelo de datos la implementación de funcionalidades que todavía no están desarrolladas y/o puestas a disposición del público, lo que aporta una base para la realización de trabajos futuros en funcionalidades como el pago, el uso de distintos terminales o el borrado diferido (que ya está activo actualmente pero no en el momento de redacción del trabajo, se está preparando un artículo al respecto que publicaremos en breve).
Este trabajo es de libre distribución, bajo licencia Creative Commons Reconocimiento 4.0 que permite el acceso, uso, modificación y libre distribución del contenido pero dando reconocimiento a la fuente y al autor original del mismo.
Puedes descargarlo aquí.