La manipulación de mensajes de WhatsApp

Emoticones_WhatsAppEn el momento de realizar el análisis de una conversación mantenida por WhatsApp, se ha de tener en cuenta que se está realizando el análisis de una conversación en el estado actual, es decir, que la misma podría haber sufrido cambios desde que fue realizada y registrada hasta el momento actual, en el cual, se examina y esto podría suscitar algún tipo de duda sobre si se corresponde o no con la conversación primigenia original.

Cuando se establece una conversación de mensajería instantánea con WhatsApp, las conversaciones respectivas quedan almacenadas en los propios dispositivos de los usuarios en una Base de Datos Local.

En el momento de realizar el examen o la certificación de originalidad de una conversación, normalmente, sólo se dispone del dispositivo de una de las partes que ha participado en una conversación de WhatsApp, puesto que suele existir la imposibilidad de poseer el resto de los diferentes dispositivos intervinientes o, al menos, no se dispone también del dispositivo de la otra parte en conflicto, esta circunstancia hace que sólo se posea la visión de la conversación de una de las partes.

Las conversaciones de WhatsApp son manipulables y se pueden identificar tres niveles diferentes de manipulación de los mensajes cada uno de ellos con un incremento sustancial de dificultad.

Manipulacion_WhatsApp

Nivel Usuario: El propio usuario desde el aplicativo de WhatsApp puede borrar mensajes tanto emitidos como recibidos, es una función que proporciona la propia herramienta con lo que puede hacer desaparecer parte de la conversación como mensajes enteros. Esta opción no permite cambiar el contenido del mensaje, ni borrarlo parcialmente, es decir, el mensaje se borra entero de la conversación y una vez hecho no se dispone de la posibilidad de la opción de recuperarlo por medio del aplicativo de WhatsApp.

Nivel Aplicativo: Existen aplicaciones (Apps) como por ejemplo “WhatsHack” o “WhatsApp Tool” que una vez descargadas e instaladas en el dispositivo permiten cambiar mensajes de las conversaciones.

Estos aplicativos acceden a la Base de Datos de WhatsApp del dispositivo con privilegios de usuario “Root” y modifican el contenido de la propia Base de Datos.

Este tipo de aplicativo requieren usarse con precaución y haber realizado previamente por mera precaución una copia de seguridad de resto de conversaciones pues es probable que se produzcan errores de “instalación” que dejen incoherente el dispositivo o el aplicativo de WhatsApp. 

Nivel Especialista: Un técnico especialista posee los medios para tomar el dispositivo (teléfono SmartPhone en cuestión) y desde un PC conectado, acceder a los ficheros del mismo con privilegios de “Root” (superusuario) y por medio de cambios aplicados directamente en la Base de Datos con herramientas tipo SQLite Editor (SQLiteStudio) se puede manipular el contenido de la Base de Datos de WhatsApp “msgstore.db” y con ello se modifica directamente el contenido de los mensajes.

En este caso, ya no se habla de borrar el registro (el mensaje) sino que se trata de modificar el contenido del texto de los propios registros, en inclusive el poder añadir registros inexistentes, aunque siempre es más efectivo modificar el texto del contenido sobre un mensaje existente porque se evita las posibles incoherencias que pudiera producir un nuevo mensaje intercalado en la conversación teniendo que crear un registro intermedio con respecto al mantenimiento del correlativo interno del número de secuencia y fecha del mismo. 

Cuando se certifica una conversación de WhatsApp, tal y como se ha comentado en otro post sobre “Las evidencias vía WhatsApp“, se ha de aplicar la proporcionalidad del examen en función del bien jurídico, la cuantía o coste en juego. Es por este motivo, que no siempre es necesario acudir al costoso análisis forense de la conversación y se suele aceptar por cierta la conversación con las verificaciones normales de autenticidad.

El hecho de presentar la conversación que en ese momento obra en el dispositivo certificada por un informe pericial obliga a la otra parte a que no pueda impugnar, sin más, los mensajes o la conversación.  Sino que para establecer una duda razonable, ha de presentar su propia conversación, certificada por un perito, que muestre y corrobore la discrepancia de contenido de la conversación motivo base de la impugnación o de la pretendida invalidez del contenido de la conversación presentada en el informe, dado que, en esta situación, es la otra parte la que pretende anular la conversación como prueba quien posee, en dicha situación, la obligación de la carga de la prueba al pretender invalidar el contenido del informe presentado.

En el supuesto de llevarse a cabo la manipulación de una conversación por una de las partes, esta manipulación siempre se realizará sobre uno de los dispositivos y no afectará al resto de los dispositivos intervinientes en la conversación, es decir, que el hecho de que se borre un mensaje de la conversación en un dispositivo, no hace que ese borrado se traslade al otro dispositivo de la conversación por lo que aquel permanece inalterado y, de darse el caso, por medio de la comparativa del contenido de las conversaciones extraídas desde ambos dispositivos se podría detectar la diferencia o discrepancias entre las respectivas conversaciones y, llegado a este punto, la única forma de identificar cuál de las conversaciones ha sido manipulada sería realizando un estudio forense de dichas conversaciones en los propios dispositivos para detectar cuál de las dos conversaciones ha sido manipulada.

Esta operación se debería llevar a cabo analizando de forma forense los propios dispositivos físicos que contienen la información y para tener garantías debería realizarse por un perito especialista, con los medios adecuados y, básicamente, entre otros elementos, centrándose en la información contenida y coherencia en las tablas de la Base de Datos  de WhatsApp (“msgstore.db“) siguientes:

“messages_fts_content” : Contienen sólo el texto del mensaje.

“messages” :   Contiene el texto del mensaje e información sobre la conversación y                                              parámetros internos.

y verificar los parámetros del fichero “msgstore.db” como son el usuario propietario del fichero (verificar que éste  no sea “root” y que el usuario coincida con el resto de programas de WhatsApp), así como  que la fecha-hora sea coherente con el resto de fecha-hora de los ficheros de WhatsApp.

Aún y así, teniendo en cuenta todas estas verificaciones, depende del nivel del técnico que haya hecho la manipulación, quizás, no se pudiera distinguir entre la manipulación y la original.   

Por otro lado, con independencia de lo anterior, tal y como se ha comentado, se ha de considerar que el hecho de que existan mensajes de la conversación que hayan sido borrados por uno de los participantes, esto no quiere decir que en la conversación de los dispositivos de los otros participantes se haya borrado, ya que el borrado es totalmente local, lo que quiere decir que en el resto de dispositivos continua estando el mensaje en cuestión, por lo que si se examinara esos dispositivos se podría identificar la existencia de dichos mensajes borrados.

Este extremo es importante ya que el perito, ante un posible careo se puede encontrar con “sorpresas” de que su cliente haya borrado cosas sin haberle informado.

Otra de las formas de detectar que existe una parte de la conversación borrada sería a través del examen forense del dispositivo por medio de hardware forense específico como, por ejemplo,  la UFED-Cellebrite, aunque no siempre se garantiza que se pueda encontrar rastro de los mensajes borrados ni que quede la parte la conversación borrada íntegra o legible, ni mucho menos, “utilizable” como prueba o evidencia.

Anuncios
Esta entrada fue publicada en Buenas Prácticas, Delitos Informáticos, Divulgación, Estándares y normas, Evidencias, Opinión, Peritaje Informático o Tecnológico, Privacidad, Todos, WhatsApp y etiquetada , , , , , , . Guarda el enlace permanente.