Diario de un perito informático: cómo las redes wifi pueden demostrar que eres inocente

Peritajes informáticos, OSINT y auditorías.

Diario de un perito informático: cómo las redes wifi pueden demostrar que eres inocente

febrero 4, 2022 Blog 0

Cuando tenemos delante un Android y queremos hacer un forense con el objetivo de identificar algún tipo de anomalía o aplicación espía, seguramente se cruzará por nuestra mente la idea de usar Logcat. Sin embargo, si nuestra labor consiste en ubicar a nuestro cliente en un sitio concreto, quizás deberíamos abrir nuestro cerebro a otras líneas de investigación, como encontrar indicios de por dónde ha paseado el Android.

Pongamos un caso ficticio: por algún motivo, la Policía detiene a un inocente y la acusa de un delito que no tiene nada que ver con el mundo de la ciberseguridad (el atraco a una joyería en el sevillano barrio de Triana, por ejemplo). ¿Podría su móvil serle de utilidad para demostrar su inocencia? Vamos a verlo:

Google no solo ubica las coordenadas de tu ubicación a través del GPS: también rastrea las wifis de alrededor de tu dispositivo que ya tiene localizadas con anterioridad. Explicado de otra forma: si nosotros sabemos que la wifi HOTEL GRAN JARDIN está al lado de la Giralda en la C\ Constitución de Sevilla y también aparece otra wifi llamada RESTAURANTE GIRALDA, averiguar la ubicación del dispositivo es sencillo. Evidentemente, estará cerca de la fuente frente a la Giralda. Si además añadimos la intensidad de los puntos de acceso, lo hacemos todavía más fácil.

Croquis sencillo que muestra la ubicación de nuestro cliente

¿Qué datos guarda nuestro móvil que puedan ayudarnos a averiguar dónde hemos estado?

El forense a un Android está muy limitado. Los registros del sistema no suelen estar accesibles, excepto si somos root. Es decir, si el perito no quiere rootear el dispositivo, contará con unos recursos muy limitados. Además, pocas aplicaciones (de momento) analizan de forma automatizada y con« botón gordo» estos datos. No obstante, si conocemos los registros que guarda el sistema y aplicaciones podremos encontrar los datos que necesitamos.

Captura de pantalla del file manager de MobilEdit Forensic Express

En “Internal (raw0)”, encontraremos varias carpetas que contienen archivos del sistema; kernel, etc. En “External (raw3)”, podemos analizar copias de seguridad de aplicaciones como WhatsApp, Telegram, documentos, descargas, etc. En “Applications (applications0)”, veremos un listado de las aplicaciones que están instaladas en el dispositivo. Por último, en “Extra (applications1)”, encontraremos una carpeta llamada “DumpSys” donde se almacenan una gran cantidad de LOGs de gran interés para nuestro análisis.

Captura de pantalla de MobilEdit dentro de la carpeta «Extra», donde aparece «Dumpsys», que almacena los logs

Nuestra hipótesis de base puede ser interesante para demostrar que existe un indicio de que nuestro cliente no estuvo en el escenario del crimen. Si nuestro cliente es acusado de haber robado cierta joyería y muestra que su dispositivo móvil escaneó redes wifi localizadas en un lugar totalmente diferente como, por ejemplo, una carnicería en la otra punta de la ciudad, sería un indicio de inocenciaLógicamente, esto lo decidirá el juez, pues este dato puede ser insuficiente o «poco sólido» de forma aislada.

También se podría añadir actividad del usuario al peritaje, como, por ejemplo, conversaciones de WhatsApp, Wallapop, Telegram, etc. Es decir, si autentificamos unas conversaciones que el cliente estaba realizando a la misma hora y fecha mientras, supuestamente, atracaba la joyería, un magistrado podría entender que el sospechoso no cometió el crimen. No sé, ¿qué pensáis vosotros?

WIFI.log

Captura de pantalla donde se muestran los SSID, horas y fechas de las wifis escaneadas

El registro justamente nos mostrará los SSID escaneados con sus fechas y horas. Datos fundamentales para acreditar que nuestro cliente no estaba en ese lugar, indiciariamente.

Antes de continuar, debemos saber que estos datos son volátiles. Por ello, en el caso de que haya pasado un tiempo y nos interese obtener datos de fechas anteriores, es muy posible que no podamos con este método. En ese caso, deberemos hacer root y, con un poco de suerte, acceder a algunos de los siguientes archivos o rutas:

/misc/wifi
/data/com.google.android.server.checkin/databases
/data/com.google.android.gsf/databases
/data/com.google.android.location/files
/data/com.android.browser/databases
/dbdata/databases/

WIFISCANNER.log

Captura de pantalla de WIFISCANNER.log

Al final del log, se nos muestran las SSID, frecuencias, RSSI, Age, SSID y flags sobre la seguridad de las wifis escaneadas.

Por suerte…

En este caso — hipotético —, el cliente tomó la decisión en poco tiempo y se consiguió extraer todo la información para demostrar su inocencia. Por eso, con este artículo no solo tengo la intención de exponer los logs, sino que además quiero remarcar la importancia de solicitar un peritaje informático a tu dispositivo lo antes posible.

Si te acusan de un delito y estás totalmente convencido de tu inocencia, debes pedir cuanto antes un peritaje informático, porque con cada minuto que pase estarás perdiendo pruebas que podrían demostrar tu inocencia ante el crimen cometido.

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.