Te has levantado esta mañana y como siempre, has puesto el canal de televisión de noticias 24 horas. “Albert Rivera ha sufrido un jackeo de su WhatsApp“. En ese momento escupes los cereales que estás acostumbrado a desayunar, como si un meme se tratara.

El pasado viernes, Albert Rivera denunció ante la Guardia Civil que su WhatsApp había sido ‘hackeado’. El líder de Ciudadanos fue víctima de un engaño mediante el que alguien consiguió hacerse con su cuenta en la ‘app’ de mensajería instantánea y, por tanto, también con una agenda de contactos y un historial de chats de semejante relevancia.

https://www.elconfidencial.com/tecnologia/2019-09-23/albert-rivera-hacker-whatsapp-phishing-ciudadanos-ciberseguridad-294_2247255/

El modus operandi no es nada complejo: la aplicación, WhatsApp, funciona con un usuario que se genera con el número de teléfono. Sin embargo, no es necesario tener ninguna tarjeta SIM insertada en el dispositivo para poder usar la aplicación. El único requisito es conocer una clave de verificación de 6 caracteres que se envía por SMS o a través de una llamada telefónica al número de la cuenta. Evidentemente, WhatsApp confía de igual forma que tú tengas en posesión el smartphone y un servicio telefónico con el número con el que te has registrado. Y de igual manera confía que no le des ese PIN a nadie. Pero si lo haces…

Notificación de WhatsApp al configurar otro dispositivo móvil con el mismo número.

El caso de Albert Rivera no me sorprende nada. Es otro ejemplo más de que los políticos no están concienciados no solo en la ciberseguridad, sino, también en invertir en ello. En esta ocasión, la noticia tiene un impacto tremendo por el cargo de la persona víctima…

Sucede en todas las casas, el eslabón más débil es el usuario. Todos los sabemos, no obstante, llama la atención que una persona con un cargo tan importante no reciba asesoramiento e implemente medidas de seguridad.

¿Cómo podemos protegernos ante estos ataques?

Añadir verificación en dos pasos. Añadirá una barrera más que afrontar. No solo tendrá que saber el PIN que se te enviará como hemos comentado con anterioridad en este artículo, sino, también tendrá que saber una contraseña de 6 caracteres que nosotros introduzcamos. Lógicamente, si le damos ambas cosas a otra persona, estamos perdidos…

Configuración de la “Verificación en dos pasos” de WhatsApp.

Por otro lado, me gustaría comentaros un caso parecido y cómo lo resolví.

Antes de hechos

Una mujer contacta con QuantiKa14 porque está siendo víctima desde hace un día, de una posible intrusión en su dispositivo móvil, y por el cual, sus conversaciones han sido expuestas, además manifiesta que sospecha de su exmarido.

Un caso de violencia de género que por desgracia no es la primera vez que vemos y que es más frecuente de lo que pensamos. El auge de la tecnología solo ha abierto una vera a la ciberdelincuencia de género. Una lacra que utiliza los dispositivos móviles para espiar, acosar y amenazar.

Volviendo al caso anterior. En esta situación se diferencia de Albert Rivera porque nadie había expuesto públicamente la autoría de la intrusión. Lo que convierte una situación totalmente diferente y más compleja.

Particularmente y por suerte para nuestra cliente no hemos tenido que realizar una investigación para buscar al autor porque el exmarido se ha ofrecido a realizar un forense con el objetivo de demostrar su inocencia. Y estos son los pasos que seguí:

Primera fase. La clonación de la evidencia digital

En muchos informes policiales hablan de vestigios (1. Señal o huella que queda de algo o de alguien que ha pasado o que ha desaparecido.”los vestigios de una guerra; vestigios de la antigua civilización romana”. 2. Indicio que nos permite inferir o deducir la existencia de algo), nosotros seguiremos esta forma de nombrar a las evidencias digitales que vamos a analizar.

Vestigio 1#SOSPECHOSO. Dispositivo smartphone marca X, modelo X, con Android versión X y IMEI X.

Vestigio 2#CLIENTA. Dispositivo smartphone marca Z, modelo Z, con Android versión Z y IMEI Z.

Existen diferentes formas de realizar la clonación y con diversas aplicaciones. En este artículo no vamos a centrarnos en esta fase. Por ello, vamos a seguir con las labores de análisis.

Segunda fase. ¿Qué información guarda WhatsApp?

En las entrañas de WhatsApp podemos encontrar varios archivos diferentes, y entre ellos, WhatsApp.log, del que ya hemos hablado anteriormente en nuestros cursos sobre Forense en WhatsApp.

Esta aplicación nos devolverá información sobre qué ha sucedido y si la cuartada que nos presenta el sospecho es cierta o mentira. Una limitación que vamos a encontrar es el poco tiempo que tendremos hasta que se sobrescriba los datos de este archivo. Solo tendremos 4 días.

Pero antes de empezar, lo primero que vamos a hacer es obtener la fecha de creación de los diferentes directorios y archivos. En otras palabras, vamos a analizar cuándo se instaló WhatsApp.

Para ello, desde el propio report de MobilEdit podemos verlo, también desde ADB Shell o usando aplicaciones como “App Detective”. Sin embargo, recuerda que no puedes intoxicar las pruebas. Por lo cual, nosotros usaremos MobilEdit y los metadatos de los archivos.

¿Qué resultado dio? Que la aplicación fue creada con anterioridad de los hechos. Es decir, descartamos la posibilidad de que haya eliminado el WhatsApp dificultando el acceso a WhatsApp.log.

Antes de entrar a analizar el registro vamos a visualizar un archivo que nos dará información si en ese móvil se ha configurado el teléfono de la cliente. Ese archivo se llama “registration.RegisterPhone.xml” donde almacena la aplicación información de gran relevancia para nuestro caso.

Captura de pantalla del archivo registration.RegisterPhone.xml.

Algo ya no va bien. Efectivamente, encontramos el número de nuestra cliente. ¿Esto cómo puede pasar si el sospechoso en su lista de chats aparentemente noa parece ninguno de ella, y tampoco ha desinstalado WhatsApp?

Accedemos a whatsapp.log – es importante destacar que es necesario ser root para haber clonado este archivo- y vamos a clarificar qué ha sucedido.

¿Cómo sabemos si ha registrado otro teléfono en WhastApp?

Buscamos dentro de WhatsApp.log la palabra “verifySMS”.

Evidentemente, si aparece eso es que el sospechoso no está diciendo la verdad. En segundo lugar, la aplicación permite que el PIN se mande por SMS y por voz a través de una llamada telefónica. Para ello, vamos a buscar “verifyvoice”:

Buscamos dentro de WhatsApp.log la palabra “verifyvoice”.

Otra forma sin WhatsApp.log

No siempre podemos tener acceso root sobre el dispositivo por ello, os voy a enseñar otra forma de obtener esta información usando Logcat.

Ya he hablado con anterioridad de esta herramienta, pero nunca viene mal recordar qué es y porque es nuestro gran amigo a la hora de hacer un forense en Android

Logcat es una herramienta de línea de comandos que vuelca un registro de mensajes del sistema, incluidos los seguimientos de pila, los casos de error del sistema y los mensajes que escribas desde tu app con la clase Log.

https://developer.android.com/studio/command-line/logcat?hl=es-419
Captura de pantalla de Logcat.

El comando que hemos usado es:

adb logcat -b system -b events -v time –d | grep “whatsapp” > logcat.txt

En este punto, sabemos que nuestro sospechoso curiosamente y aproximadamente en el mismo intervalo horario que a la clienta le aparece en su móvil la imagen que hemos puesto arriba, con un texto que dice: “Tu número de teléfono ya no está registrado con WhatsApp en este dispositivo”, el WhatsApp del sospechoso pide el PIN para el cambio de número. ¿Pero qué número?

Vamos a buscar “registrarion/phone”:

Captura de pantalla de whatsapp.log buscando el número de teléfono registrado.

Y de nuevo encontramos que aparece el número de teléfono de la cliente. Creo que ya no tenemos dudas. Sin embargo, justo cuando se registra la aplicación crea las tablas de la base de datos e importa la copia de seguridad. ¿Esto qué quiere decir?

Captura de pantalla de whatsapp.log importando la copia de seguridad de Google Drive.

Es decir, el sospechoso tenía en su dispositivo Android asociado la cuenta de Google de la clienta y por eso se ha podido realizar la importación. De otra forma, en el caso de Albert Rivera para que la otra parte haya podido importar la copia de seguridad, solo exista 2 formas de hacerlo:

  • Cuenta asociada
  • Importar manualmente la copia de seguridad

Pero claro, no hace falta porque en el momento que cualquier chat recibe un mensaje y se actualiza se crearía la conversación. Pero no tendrá acceso a otras conversaciones, inactivas o el histórico de grupos y chats. Entiendo que el grupo llamado “La Manada” es activo actualmente, y por eso “Anonymous Catalonia” -que han expuesto la autoría de la intrusión- han podido ver que Albert Rivera es miembro del grupo.

¿Cómo podemos saber si ha eliminado mensajes?

El sospechoso enseñó en varias ocaciones a nuestra clienta su listado de chats pero ella nunca pudo verificar que efectivamente haya alguna conversación suya. Por un motivo muy sencillo.

Los ha borrado:

Buscamos dentro de whatsapp.log ” msgstore/countmessagestodelete/count ” y nos dirá el nº de mensajes elimnados y las conversaciones.

¿Un fallo de WhatsApp?

En este caso detecté un fallo de WhastApp a la hora de gestionar todo el asunto que hemos tratado en este artículo. Imaginemos la siguiente situación:

  1. En dos dispositivos móviles y dos números de teléfonos; uno lo llamaremos #NX y el otro #NZ. Procedemos hacer el cambio de número de #NZ a #NX e insertamos el PIN.
  2. Importamos la copia de seguridad de Google Drive o manualmente del #NX .
  3. Volvemos hacer un cambio de número al anterior, de #NZ a #NX e insertamos el PIN.

Bien. Ahora podemos ver los chats, archivos multimedia, entre otros del #NX desde el dispositivo que está registrado con #NZ. El problema surge cuando intentamos acceder a un grupo desde el #NX. No podrás. Te aparecerá un mensaje como el que aparece en la siguiente imagen:

Captura de pantalla de un móvil que sufrido una suplantación de su WhatsApp.

Captura de pantalla que no permite acceder al usuario legítimo acceder a los grupos.

“No puedes enviar mensajes a este grupo porque ya no formas parte del grupo” pero #NZ si podrá. Es decir, en el caso de Albert Rivera, aunque haya recuperado su móvil o su cuenta, ya no podrá escribir en los grupos de WhatsApp pero “Anonymous Catalonia” si podrá hacerlo.

Lo más llamativo es que si miras el listado de integrantes del grupo seguirá apareciendo Albert Rivera, pero no lo es. WhatsApp mantiene a #NX pero ha sido suplantado o cambiado a otro, aunque sea otra cuenta. ¿Qué te parece?

Conclusión

Tras el análisis que se ha realizado pude concluir que:

PRIMERO.- El sospechoso había accedido físicamente al dispositivo de la clienta, había cambiado de número por el de la clienta en su dispositivo y al recibir el SMS con el PIN de verificación lo introdujo en su WhastApp, provocando que el cambio y registro se realizara exitosamente.

SEGUNDO.- El sospechoso conocía con anterioridad la clave de la cuenta de Google que asoció a su dispositivo móvil para descargar la copia de seguridad.

TERCERO.- Al terminar de importar la copia de seguridad realizó otra vez el cambio de número al suyo. El PIN de verificación se realizan a través del método de llamada telefónica.

CUARTO.- El sospechoso empezó posteriormente a borrar los chats pero los chats de grupo no puedo y actualmente aparecen en su lista de chats. Seguramente la clienta no los identificó cuando realizó su observación visual.

Sobre Albert Rivera no concluyo nada…

3 thoughts on “DIARIO DE UN PERITO INFORMÁTICO: FORENSE AL MÓVIL DE ALBERT RIVERA”

  1. Muy interesante el artículo, solo mencionar que en la imagen del log de mensajes borrados se ven números de teléfono que creo que deberías ocultar.

    Un saludo.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.