Extrae datos de WhatsApp con Oxygen Forensic® Detective desde dispositivos móviles, la nube, copias de seguridad, el servidor de WhatsApp y tokens QR.
Con más de 2.24 mil millones de usuarios y más de 100 mil millones de mensajes enviados en 2020, WhatsApp es, sin duda, el mensajero más popular del mundo.
La popularidad de WhatsApp puede deberse a que es una de las plataformas de mensajería global más seguras. Todos los mensajes enviados a través de WhatsApp tienen cifrado de extremo a extremo y nunca se almacenan en el servidor de WhatsApp.
No es sorprendente que con este tipo de seguridad se pueda utilizar para cometer delitos.
Es importante que los investigadores tengan las herramientas necesarias para extraer datos de WhatsApp de múltiples tipos de dispositivos y versiones en todos los escenarios.
Tabla de Contenidos:
– Extracción de WhatsApp con Oxygen Forensic® Detective
– WhatsApp desde Dispositivos Móviles: iOS y Android
– Versiones Modificadas de WhatsApp
– WhatsApp desde la Nube
– Cifrado de Copias de Seguridad de WhatsApp
– WhatsApp en la Nube (Servidor)
– WhatsApp a través de Token QR desde PC
Extracción de WhatsApp con Oxygen Forensic® Detective
Con Oxygen Forensic® Detective, los investigadores pueden extraer datos de WhatsApp de dispositivos móviles, la nube, copias de seguridad encriptadas, el servidor de WhatsApp en la nube, tokens QR de una PC, y también de versiones modificadas de WhatsApp.
WhatsApp desde Dispositivos Móviles: iOS y Android
Con aplicaciones de mensajería como WhatsApp, los investigadores a menudo enfrentan bloqueos de pantalla y cifrado de dispositivos.
El cifrado de extremo a extremo implementado por WhatsApp solo ofrece seguridad contra un “ataque de intermediario” o simplemente una interceptación en vivo. Sin embargo, los datos en dispositivos Apple iOS o Android están disponibles en un formato descifrado.
En el caso de dispositivos iOS, todos los datos de WhatsApp se pueden extraer mediante un procedimiento básico de copia de seguridad de iTunes. Sin embargo, para dispositivos Android, a menudo recomendamos un método de extracción física para recuperar los archivos probatorios de WhatsApp.
Con Oxygen Forensic® Detective, los investigadores pueden elegir entre una variedad de métodos de colección física para dispositivos Android. Tenga en cuenta que, al examinar un dispositivo Android, siempre verifique la tarjeta SD en busca de una copia de seguridad de WhatsApp, ya que este archivo suele estar cifrado.
A continuación se muestra una imagen que muestra una extracción física de WhatsApp de un dispositivo Android.
Cuando la extracción física no es compatible con dispositivos Android, los investigadores pueden usar Android APK Downgrade o Android Agent para realizar una extracción lógica y recopilar una gran cantidad de datos valiosos. Android Agent se utiliza típicamente para adquirir artefactos básicos: contactos, llamadas, calendarios y mensajes.
También puede recopilar manualmente chats de WhatsApp y WhatsApp Business, contactos e información de la cuenta utilizando Android Agent.
Aprenda más sobre este método usando OxyAgent.
Versiones Modificadas de WhatsApp
Un APK mod de WhatsApp es una versión modificada de la aplicación WhatsApp. Están diseñadas por desarrolladores de terceros o individuos que desean incorporar funcionalidad adicional a la versión oficial de WhatsApp. Hay un total de 10 versiones modificadas, y Oxygen Forensic® Detective admite la extracción de 3 de estas versiones modificadas de dispositivos Android.
Oxygen Forensic® Detective puede extraer datos de:
– GB WhatsApp
– FM WhatsApp
– OB WhatsApp
WhatsApp desde la Nube
Un usuario de WhatsApp, utilizando un dispositivo iPhone o Android, puede optar por hacer una copia de seguridad de sus chats en iCloud o Google Drive.
Es importante entender que las copias de seguridad de WhatsApp están cifradas por defecto y, para descifrarlas, un investigador forense necesita acceso a la tarjeta SIM. Con la SIM, un investigador puede recuperar y descifrar los datos de WhatsApp asociados a esa tarjeta.
Al extraer datos de WhatsApp de varios servicios en la nube, puede haber obstáculos adicionales como la autenticación de dos factores (2FA) o la verificación en dos pasos. El Oxygen Forensic® Cloud Extractor puede ayudar a superar estos desafíos.
La extracción de estos datos en la nube puede ser extremadamente importante para un caso en curso. Esta colección puede contener datos que se habían eliminado del dispositivo, lo cual puede ocurrir si la sincronización está configurada para cada semana o cada mes.
**Desencriptación de Copias de Seguridad de WhatsApp**
El método estándar de desencriptación de copias de seguridad de WhatsApp utilizado en toda la industria se basa en un archivo de clave. Con nuestros métodos innovadores, Oxygen Forensics ofrece un nuevo proceso de desencriptación que solo requiere un número de teléfono. Este método es una excelente alternativa al archivo de clave comúnmente utilizado.
Por ejemplo, si ha encontrado una copia de seguridad encriptada en la tarjeta SD de un Android sin acceso a la memoria interna del Android. ¿Qué hace?
Oxygen Forensic® Cloud Extractor le ofrece una oportunidad exclusiva para desencriptar esta copia de seguridad recibiendo un código al número de teléfono asignado a la tarjeta SIM recuperada.
No solo se pueden recuperar los datos del dispositivo, sino que Oxygen Forensic® Detective también puede recuperar un token especial de WhatsApp Cloud de extracciones físicas de dispositivos Android.
Este token se puede utilizar para desencriptar copias de seguridad de WhatsApp de dispositivos Android, Google Drive de WhatsApp y copias de seguridad de iCloud de WhatsApp asociadas con el mismo número de teléfono.
WhatsApp en la Nube (Servidor)
Se sabe que WhatsApp no almacena ninguna comunicación en su servidor que haya sido entregada. Los mensajes y las llamadas no respondidas que no pueden ser entregadas (por ejemplo, si no hay conexión a Internet o si está apagado) se almacenarán temporalmente en el servidor.
Oxygen Forensic® Detective tiene la capacidad única de acceder a estos datos desde la nube a través del número de teléfono o el token especial de WhatsApp Cloud extraído de dispositivos Android.
Recomendación:
Si tiene un dispositivo móvil bloqueado que no puede adquirir, pruebe esto: apáguelo, espere unos momentos, retire la tarjeta SIM y colóquela en otro teléfono que esté desbloqueado para un operador.
Seleccione el servicio de WhatsApp Cloud en nuestro Cloud Extractor, luego seleccione recibir un código a la tarjeta SIM.
Ahora tendrá acceso a los mensajes no entregados, las llamadas no respondidas y sus contactos.
WhatsApp a través de Token QR desde PC
Los usuarios de WhatsApp pueden comunicarse utilizando WhatsApp Desktop y WhatsApp Web desde una computadora. La investigación sobre dónde WhatsApp almacena estos datos ha revelado que WhatsApp no almacena ningún dato en la computadora que se está utilizando.
Sin embargo, la utilidad Oxygen Forensic® KeyScout, integrada en Oxygen Forensic® Detective, puede detectar un token QR de WhatsApp en una computadora donde se utilizó WhatsApp. El token QR permitirá a los investigadores extraer datos completos de WhatsApp en nuestro Cloud Extractor. La única condición es que el dispositivo móvil del propietario de WhatsApp debe tener una conexión a Internet activa.
Si el dispositivo móvil está bloqueado, el método del código QR de WhatsApp seguirá funcionando.
Si tiene un dispositivo móvil desbloqueado pero la extracción falla continuamente, escanee el código QR de WhatsApp desde el dispositivo del que desea obtener los datos de WhatsApp en nuestro Cloud Extractor para adquirir todos los datos.