驴C贸mo recuperar mensajes borrados de WathsApp?

En la actualidad, muchos de los encargos recibidos por los peritos inform谩ticos expertos dedicados al an谩lisis de dispositivos inform谩ticos y tel茅fonos m贸viles聽son, en un alto porcentaje, peticiones de recuperaci贸n de mensajes o conversaciones de WathsApp.

EXTRACCI脫N Y CERTIFICACI脫N DE WHATSAPP

Un perito inform谩tico es la 煤nica figura capacitada para realizar la extracci贸n y certificaci贸n de los mensajes o conversaciones de WhatsApp que, intencionadamente o por error, han sido eliminados de un tel茅fono m贸vil y quieren ser recuperadas con el fin de poder presentarlas como prueba en procedimientos judiciales, independientemente del 谩mbito.

La extracci贸n forense de una conversaci贸n聽en聽la aplicaci贸n de Wathsapp requiere de un complejo conjunto de procesos que, sin un experto inform谩tico forense familiarizado en este tipo de procesos, pueden destruir la prueba o dejarla inservible de una forma definitiva y sin posibilidad de recuperaci贸n.

El perito inform谩tico conoce que se debe de tener acceso f铆sico al tel茅fono m贸vil para realizar los diferentes procesos forenses al dispositivo y a la memoria del mismo. Por lo tanto, la extracci贸n de mensajes o conversaciones de WhatsApp no es posible en remoto o a distancia en ning煤n caso, bajo ninguna circunstancia.

PROCEDIMIENTO DE RECUPERACI脫N DE WHATSAPP

Una vez se tiene f铆sicamente el dispositivo objeto de la extracci贸n de los mensajes o conversaci贸n de WhatsApp se debe realizar una correcta identificaci贸n del dispositivo.

Se identificar谩, de forma clara e inequ铆voca, su IMEI (Mobile Station Equipment Identity o Identidad Internacional de Equipo M贸vil) y si el tel茅fono en cuesti贸n tuviese la tarjeta SIM insertada, tambi茅n se identificar铆a esta con su n煤mero ICC (聽International Circuit Card o Identificaci贸n Internacional de Tarjeta)

Para realizar la recuperaci贸n de los mensajes de WhatsApp se debe de contar con un聽 hardware y聽software especifico.

En primer lugar se le realiza al dispositivo un proceso llamado ‘ROOT’ consistente en la聽 obtenci贸n de permisos privilegiados o de superusuario del tel茅fono. Cuando el dispositivo est茅 ‘rooteado’ se podr谩 acceder al sistema operativo del tel茅fono m贸vil y obtener la contrase帽a de acceso a las DATABASES DB.CRYPT. Esta base de datos es el lugar聽 donde se almacena la informaci贸n de las conversaciones de WathsApp mantenidas por el dispositivo m贸vil. Dependiendo聽 la configuraci贸n del tel茅fono esta base de datos tendr谩 copias de seguridad de esas conversaciones o no.

Es importante conocer que todas las conversaciones de la aplicaci贸n WathsApp est谩n encriptadas con un archivo llamado KEY聽y que sin tener permisos de superusuario no se puede acceder al mismo.

Una vez recuperadas las conversaciones objeto de la extracci贸n hay que realizar una certificaci贸n de las mismas. Esto solo puede realizarse mediante el correspondiente informe pericial por parte de聽 un perito inform谩tico. En este informe se plasmar谩 todo el trabajo realizado por el perito, dejando constancia de los pasos seguidos, la correspondiente cadena de custodia, la identificaci贸n del dispositivo, se incluir谩 la conversaci贸n o mensajes recuperados y se incluir谩n las conclusiones del perito inform谩tico sobre el trabajo realizado. Es importante que este informe pericial sea hecho por un profesional que tenga capacidad para acudir a ratificarlos ante los tribunales de justicia pertinentes.

Ver peritaje de dispositivos m贸viles