Diario de un perito informático: forense al móvil de Albert Rivera

Peritajes informáticos, OSINT y auditorías.

Diario de un perito informático: forense al móvil de Albert Rivera

febrero 7, 2022 Blog 1

Te levantas. Es por la mañana, temprano. Tienes ojeras y más legañas que abejas en un panal. Como un auténtico zombie, vuelcas un puñado de cereales con un chorretón de leche en una taza y enciendes la radio para desayunar. La voz del locutor de Cadena SER te cuenta las noticias del día. De repente, un titular hace que escupas el desayuno por la nariz: «Albert Rivera ha sufrido un hackeo de su WhatsApp». Puede parecer un titular de El Mundo Today, pero es real. Sucedió en 2019.

El pasado viernes, Albert Rivera denunció ante la Guardia Civil que su WhatsApp había sido hackeado. El líder de Ciudadanos fue víctima de un engaño mediante el que alguien consiguió hacerse con su cuenta en la app de mensajería instantánea, y, por tanto, también con una agenda de contactos y un historial de chats de semejante relevancia.

23//09/20219; El Confidencial

Aunque esta noticia es de hace algún tiempo, el modus operandi de los ciberdelincuentes sigue siendo el mismo a día de hoy: la aplicación, WhatsApp, funciona con un usuario que se genera con el número de teléfono. Sin embargo, no es necesario tener ninguna tarjeta SIM insertada en el dispositivo para poder usar la aplicación. El único requisito es conocer una clave de verificación de 6 caracteres que se envía por SMS o a través de una llamada telefónica al número de la cuenta. Evidentemente, WhatsApp confía en que tú tengas en posesión el smartphone y un servicio telefónico con el número con el que te has registrado. De igual manera, confía en que no le des ese PIN a nadie.

Notificación de WhatsApp al configurar otro dispositivo móvil con el mismo número

El caso del exlíder de Ciudadanos no me sorprendió nada. Es otro ejemplo más de que los políticos no están concienciados con la ciberseguridad; tampoco con invertir recursos en ella. En esta ocasión, la noticia tuvo un impacto tremendo por el cargo de la persona víctima, pero podría haberle pasado a cualquiera.

Es algo que, independientemente de tu estatus social, sucede en todas las casas. Todos los sabemos, no obstante, llama la atención que una persona con un cargo tan importante no recibiera asesoramiento e implementara medidas de seguridad.

¿Cómo podemos protegernos ante estos ataques?

Añade la verificación en dos pasos. Añadirás una barrera más que el ciberdelincuente tendrá que saltar. No solo tendrá que saber el PIN que te envía WhatsApp, como hemos comentado con anterioridad en este artículo, sino que también tendrá que saber una contraseña de 6 caracteres que nosotros introduzcamos. Lógicamente, si le damos ambas cosas a otra persona, estamos perdidos… ¡Un poco de sentido común, por favor!

Verificación en dos pasos de WhatsApp

Antes de los hechos

Por otro lado, me gustaría contaros cómo resolví un caso parecido de hackeo que me llegó.

Una mujer contacta con QuantiKa14 porque está siendo víctima, desde hace un día, de una posible intrusión en su dispositivo móvil por la que sus conversaciones habrían sido expuestas. Además, manifiesta sospechar de su exmarido. Un caso de violencia de género que, por desgracia, es más frecuente de lo que pensamos. El auge de la tecnología solo ha abierto una vera a la ciberdelincuencia de género. Una lacra que utiliza los dispositivos móviles para espiar, acosar y amenazar.

Esta situación se diferencia de Albert Rivera porque nadie ha expuesto públicamente la autoría de la intrusión, lo que la convierte una situación totalmente diferente y mucho más compleja. Particularmente y por suerte para nuestra clienta, no hemos tenido que realizar una investigación para buscar al autor porque el exmarido se ha ofrecido a realizar un forense con el objetivo de demostrar su inocencia. Y estos son los pasos que seguí:

Primera fase: la clonación de la evidencia digital

En muchos informes policiales hablan de vestigios (1. Señal o huella que queda de algo o de alguien que ha pasado o que ha desaparecido. «Los vestigios de una guerra; vestigios de la antigua civilización romana». 2. Indicio que nos permite inferir o deducir la existencia de algo). Nosotros seguiremos esta forma de nombrar a las evidencias digitales que vamos a analizar.

Vestigio 1#SOSPECHOSO. Dispositivo smartphone marca X, modelo X, con Android versión X y IMEI X.

Vestigio 2#CLIENTA. Dispositivo smartphone marca Z, modelo Z, con Android versión Z y IMEI Z.

Existen diferentes formas de realizar la clonación con diversas aplicaciones. En este artículo no vamos a centrarnos en esta fase. Por ello, vamos a seguir con las labores de análisis.

Segunda fase: ¿qué información guarda WhatsApp?

En las entrañas de WhatsApp podemos encontrar varios archivos diferentes, entre ellos, WhatsApp.log, del que ya hemos hablado anteriormente en nuestros cursos sobre Forense en WhatsApp.

Esta aplicación nos devolverá información sobre qué ha sucedido y si la cuartada que nos presenta el sospecho es cierta o falsa. Una limitación que vamos a encontrar es el poco tiempo que tendremos hasta que se sobrescriban los datos de este archivo. Solo tendremos 4 días.

Pero, antes de empezar, lo primero que vamos a hacer es obtener la fecha de creación de los diferentes directorios y archivos. En otras palabras, vamos a analizar cuándo se instaló WhatsApp.

Para ello, desde el propio report de MobilEdit podemos verlo, también desde ADB Shell o usando aplicaciones como “App Detective”. Sin embargo, recuerda que no puedes intoxicar las pruebas. Por lo cual, nosotros usaremos MobilEdit y los metadatos de los archivos.

¿Qué resultado dio? Que la aplicación fue creada con anterioridad de los hechos. Es decir, descartamos la posibilidad de que haya eliminado el WhatsApp dificultando el acceso a WhatsApp.log.

Antes de entrar a analizar el registro vamos a visualizar un archivo que nos dará información de si en ese móvil se ha configurado el teléfono de la cliente. Ese archivo se llama “registration.RegisterPhone.xml” y es donde almacena la aplicación información de gran relevancia para nuestro caso.

Captura de pantalla del archivo registration.RegisterPhone.xml

Algo ya no va bien. Efectivamente, encontramos el número de nuestra cliente. ¿Esto cómo puede pasar si el sospechoso en su lista de chats aparentemente no aparece ninguno de ella, y tampoco ha desinstalado WhatsApp?

Accedemos a whatsapp.log — es importante destacar que es necesario ser root para haber clonado este archivo — y vamos a clarificar qué ha sucedido.

¿Cómo sabemos si ha registrado otro teléfono en WhatsApp?

Buscamos dentro de WhatsApp.log el término «verifySMS».

Evidentemente, si aparece eso es que el sospechoso no está diciendo la verdad. En segundo lugar, la aplicación permite que el PIN se mande por SMS y por voz a través de una llamada telefónica. Para ello, vamos a buscar “verifyvoice”:

Buscamos dentro de WhatsApp.log la palabra «verifyvoice».

Otra forma sin usar WhatsApp.log

No siempre podemos tener acceso root sobre el dispositivo, por ello, os voy a enseñar otra forma de obtener esta información usando Logcat.

Ya he hablado con anterioridad de esta herramienta, pero nunca viene mal recordar qué es y porque es nuestro gran amigo a la hora de hacer un forense en Android:

Logcat es una herramienta de línea de comandos que vuelca un registro de mensajes del sistema, incluidos los seguimientos de pila, los casos de error del sistema y los mensajes que escribas desde tu app con la clase Log.

Captura de pantalla de Logcat

El comando que hemos usado es: adb logcat -b system -b events -v time –d | grep “whatsapp” > logcat.txt

En este punto, sabemos que a nuestro sospechoso, en el mismo intervalo horario que a la clienta le aparece en su móvil la imagen que hemos puesto arriba con un texto que dice: “Tu número de teléfono ya no está registrado con WhatsApp en este dispositivo”, WhatsApp le pide el PIN para el cambio de número. ¿Pero a qué número?

Vamos a buscar “registrarion/phone”:

Captura de pantalla de whatsapp.log buscando el número de teléfono registrado

Y de nuevo encontramos que aparece el número de teléfono de la cliente. Creo que ya no tenemos dudas. Sin embargo, justo cuando se registra la aplicación crea las tablas de la base de datos e importa la copia de seguridad. ¿Esto qué quiere decir?

Captura de pantalla de whatsapp.log importando la copia de seguridad de Google Drive

Es decir, el sospechoso tenía en su dispositivo Android asociado la cuenta de Google de la clienta y por eso se ha podido realizar la importación. De otra forma, en el caso de Albert Rivera, por ejemplo, para que la otra parte haya podido importar la copia de seguridad solo puede hacerlo de dos formas:

  • Cuenta asociada
  • Importar manualmente la copia de seguridad

Pero, claro, no hace falta porque en el momento en el que cualquier chat recibe un mensaje y se actualiza se crearía la conversación. Pero no tendrá acceso a otras conversaciones inactivas o al histórico de grupos y chats. Entiendo que el grupo llamado «La Manada» estaba activo en ese momento y por eso «Anonymous Catalonia» — que expusieron la autoría de la intrusión— han podido ver que Albert Rivera es miembro del grupo.

¿Cómo podemos saber si ha eliminado mensajes?

El sospechoso enseñó en varias ocasiones a nuestra clienta su listado de chats, pero ella nunca pudo verificar que efectivamente hubiera alguna conversación suya. Esto es por un motivo muy sencillo: las ha borrado.

Buscamos dentro de whatsapp.log ” msgstore/countmessagestodelete/count ” y nos dirá el nº de mensajes elimnados y las conversaciones

¿Un fallo de WhatsApp?

En este caso detecté un fallo de WhastApp a la hora de gestionar todo el asunto que hemos tratado en este artículo. Imaginemos la siguiente situación:

  1. En dos dispositivos móviles y dos números de teléfonos; uno lo llamaremos #NX y el otro #NZ. Procedemos hacer el cambio de número de #NZ a #NX e insertamos el PIN.
  2. Importamos la copia de seguridad de Google Drive o manualmente del #NX .
  3. Volvemos hacer un cambio de número al anterior, de #NZ a #NX e insertamos el PIN.

Bien. Ahora podemos ver los chats, archivos multimedia, entre otros del #NX desde el dispositivo que está registrado con #NZ. El problema surge cuando intentamos acceder a un grupo desde el #NX. No podrás. Te aparecerá un mensaje como el que aparece en la siguiente imagen:

Captura de pantalla de un móvil que sufrido una suplantación de su WhatsApp

«No puedes enviar mensajes a este grupo porque ya no formas parte del grupo», pero #NZ sí podrá. Es decir, en el caso de Albert Rivera, aunque haya recuperado su móvil o su cuenta, ya no podrá escribir en los grupos de WhatsApp, pero «Anonymous Catalonia» sí podrá hacerlo.

Lo más llamativo es que si miras el listado de integrantes del grupo seguirá apareciendo Albert Rivera, pero no lo es. WhatsApp mantiene a #NX pero ha sido suplantado o cambiado a otro, aunque sea otra cuenta. ¿Qué te parece?

Conclusión

Tras el análisis que se ha realizado pude concluir que:

PRIMERO.- El sospechoso había accedido físicamente al dispositivo de la clienta, había cambiado su número por el de la clienta en su dispositivo y al recibir el SMS con el PIN de verificación lo introdujo en su WhastApp, provocando que el cambio y registro se realizara exitosamente.

SEGUNDO.- El sospechoso conocía con anterioridad la clave de la cuenta de Google que asoció a su dispositivo móvil para descargar la copia de seguridad.

TERCERO.- Al terminar de importar la copia de seguridad realizó otra vez el cambio de número al suyo. El PIN de verificación se realiza a través del método de llamada telefónica.

CUARTO.- El sospechoso empezó posteriormente a borrar los chats, pero los chats de grupo no los consiguió eliminar, y actualmente aparecen en su lista de chats. Seguramente la clienta no los identificó cuando realizó su observación visual.

Sobre Albert Rivera… no concluyo nada.

Una respuesta

  1. PACO_IT dice:

    muy buen articulo, muy instructivo, he aprendido en la parte de los grupos despues de migrar el nº de whatsapp…
    no se me habia ocurrido esa prueba de concepto en laboratorio, anotado
    Gracias Jorge…

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.