El presente es una guía orientativa para la realización de la peritación y no reviste carácter de taxativa. Siendo el responsable por la decisión de peritación remota o presencial el propio perito oficial de la causa.
A fines de poder realizar el peritaje informático a distancia es necesario contar con las siguientes constancias del expediente en formato digital.
a. El texto de la demanda y el memorial de contestación de demanda
b. Los puntos periciales
c. Las copias acompañadas como prueba (de haberlas)
d. Cualquier otra constancia relacionada con la prueba informática ofrecida.
1.2. Descargar en la computadora del perito las herramientas Zoom y Teamviewer en su versión portable o instalable.
1.3. Iniciar sesión de Zoom y solicitar que se comparta la pantalla del celular a fines de supervisar todo lo ocurrido con el mismo. Solicitar que se marque el siguiente código:
*#06#
Aparecerá por pantalla en número de IMEI y el SN del dispositivo. Realizar una captura de pantalla del mismo y oprimir Aceptar para que el mensaje desaparezca. Corroborar número de IMEI con la información obtenida a partir de Teamviewer Quicksupport.
Herramientas
Airdroid, cámara web, WhatsApp, YouWave, Gmail, Virtual Box o VMWare.
3.1. El perito instalará en su computadora un emulador de celular Android (v.gr. VmWare con Android https://www.osboxes.org/android-x86/)
3.2. En dicho emulador se configurará la cuenta de Gmail asociada a la cuenta de WhatsApp ofrecida como prueba.
3.3. Se realizará la instalación del aplicativo WhatsApp y se procederá a configurar el número de línea de WhatsApp del teléfono a peritar. Para ello el sistema solicita un código de verificación para iniciarlo. La persona o abogado que tiene el celular, recibe un sms con el código de autenticación.
3.4. Una vez configurada correctamente la cuenta de WhatsApp se realizará el recupero de los mensajes desde el servidor.
3.5. Se deben transferir las bases de datos del servidor hacia el sistema operativo en el cual serán peritadas. Elegir entre las siguientes opciones.
b) En caso de que el paso anterior presente inconvenientes, instalar un servidor de FTP en el emulador (v.gr. Servidor FTP, The Olive Tree https://play.google.com/store/apps/details?id=com.theolivetree.ftpserver&hl=es ). Una vez instalada la app, enceder el servidor mediante el botón de power. Figurarán allí las credenciales de conexión.
c) Alternativamente es posible instalar un aplicativo TFTP cliente en el emulador (v.gr. TFTP CS de
colucci-web.it, https://play.google.com/store/apps/details?id=it.colucciweb.tftpcs&hl=es_AR)
3.6. a) En la computadora destino se instalará o descargará un cliente de FTP (v.gr. Filezilla portable https://portableapps.com/apps/internet/filezilla_portable). Conectar a las credenciales de conexión provistas por la app en el punto 3.5.a.
b) Alternativamente se instalará un servidor TFTP (v.gr. Serva Community Edition, https://www.vercot.com/~serva/download.html)
3.7. En el celular, copiar las bases de datos desde la carpeta /data/data/com.whatsapp/databases a una carpeta pública dentro de DCIM. Desde allí transferirlas a la computadora.
Una vez transferidas las bases de datos, se continúa el peritaje sobre las bases de datos de WhatsApp de la manera en que habitualmente se realizaba.
Herramientas:
Airdroid, Teamviewer, Zoom, cámara web, WhatsApp.
2.4. Si no fueron hallados indicios de acceso con usuario privilegiado mediante los análisis efectuados en los puntos 1.1. al 1.3., utilizar la herramienta de exportación de Chats propia de WhatsApp a fines de realizar un respaldo de dichos mensajes.
Requisitos previos
A fines de poder realizar el peritaje informático a distancia es necesario contar con las siguientes constancias del expediente en formato digital.
a. El texto de la demanda y el memorial de contestación de demanda
b. Los puntos periciales
c. Las copias acompañadas como prueba (de haberlas)
d. Cualquier otra constancia relacionada con la prueba informática ofrecida.
1. Relevamiento preliminar
1.1. Solicitar la instalación en el dispositivo las siguientes apps: Zoom, para compartir la pantalla y Teamviewer Quicksupport para acceder al contenido del celular o para tomar control remoto del dispositivo (en caso de estar la opción disponible). O bien control remoto para PC Anydesk.1.2. Descargar en la computadora del perito las herramientas Zoom y Teamviewer en su versión portable o instalable.
1.3. Iniciar sesión de Zoom y solicitar que se comparta la pantalla del celular a fines de supervisar todo lo ocurrido con el mismo. Solicitar que se marque el siguiente código:
*#06#
Aparecerá por pantalla en número de IMEI y el SN del dispositivo. Realizar una captura de pantalla del mismo y oprimir Aceptar para que el mensaje desaparezca. Corroborar número de IMEI con la información obtenida a partir de Teamviewer Quicksupport.
3. Procedimiento Avanzado
Para los casos el celular ofrecido como prueba se encuentre ruteado puede ser necesario realizar un análisis en detalle de los mensajes de WhatsApp. Para ello, de ser posible, se solicita a la parte proponente realizar un respaldo de los mensajes WhatsApp en los servidores de Google Drive. Una vez realizado esto se procederá como sigue.1. Revisar que titular del celular posee un respaldo WhatsApp efectuado en Google Drive con una cuenta de gmail. Identificar la cuenta de Gmail.
WhatsApp > (Tres puntos) > Ajustes > Chats > Copia de Seguridad
Si no está creada la copia de WhatsApp en Gmail, generar una copia nueva.
2. Verificar que el usuario del celular recuerda la contraseña de Gmail.
3. Configurar la tablet virtual como se indica en el siguiente paso.
4. Iniciar Gmail y en la tablet configurar la cuenta de Gmail del usuario dueño del celular.
5. Dirigirse a Google Drive, descargar e instalar WhatsApp messenger o bien WhatsApp empresas. El mismo que el que se encuentra instalado en el celular del requirente.
6. Colocar el número de línea de celular del actor comenzando por +54 9 y luego solicitarle los seis dígitos de validación de WhatsApp al titular del celular y colocarlos en el dispositivo.
7. Recuperar los mensajes de la nube.
1. Si es presencial, copiar la carpeta whatsapp en el apartado anterior y pegarla en la carpeta raíz del celular. Las bases de datos msgstore.db.cryptXX deben quedar en ROOT\WhatsApp\Databases (para el caso de maquina virtual utilizar la carpeta sdcard\WhatsApp\Databases
o bien sdcard\Android\media\com.whatsapp\WhatsApp\Databases
Herramientas
Airdroid, cámara web, WhatsApp, YouWave, Gmail, Virtual Box o VMWare.
3.1. El perito instalará en su computadora un emulador de celular Android (v.gr. VmWare con Android https://www.osboxes.org/android-x86/)
3.2. En dicho emulador se configurará la cuenta de Gmail asociada a la cuenta de WhatsApp ofrecida como prueba.
3.3. Se realizará la instalación del aplicativo WhatsApp y se procederá a configurar el número de línea de WhatsApp del teléfono a peritar. Para ello el sistema solicita un código de verificación para iniciarlo. La persona o abogado que tiene el celular, recibe un sms con el código de autenticación.
3.4. Una vez configurada correctamente la cuenta de WhatsApp se realizará el recupero de los mensajes desde el servidor.
3.5. Se deben transferir las bases de datos del servidor hacia el sistema operativo en el cual serán peritadas. Elegir entre las siguientes opciones.
a)
a.1) Dentro de la tablet: Abrir una terminal y ejecutar ifconfig. Obtener la dirección IP de la tablet. Asegurarse de que está conectada al mismo router que la computadora, o bien a la misma conexión de WIFI. Suponiendo que la IP devuelta por el comando ifconfig es 192.168.100.180 ejecutar el siguiente paso:
a.2) Dentro de la computadora: Abrir un terminal y ejecutar:
adb connect 192.168.100.180
b) En caso de que el paso anterior presente inconvenientes, instalar un servidor de FTP en el emulador (v.gr. Servidor FTP, The Olive Tree https://play.google.com/store/apps/details?id=com.theolivetree.ftpserver&hl=es ). Una vez instalada la app, enceder el servidor mediante el botón de power. Figurarán allí las credenciales de conexión.
c) Alternativamente es posible instalar un aplicativo TFTP cliente en el emulador (v.gr. TFTP CS de
colucci-web.it, https://play.google.com/store/apps/details?id=it.colucciweb.tftpcs&hl=es_AR)
3.6. a) En la computadora destino se instalará o descargará un cliente de FTP (v.gr. Filezilla portable https://portableapps.com/apps/internet/filezilla_portable). Conectar a las credenciales de conexión provistas por la app en el punto 3.5.a.
b) Alternativamente se instalará un servidor TFTP (v.gr. Serva Community Edition, https://www.vercot.com/~serva/download.html)
3.7. En el celular, copiar las bases de datos desde la carpeta /data/data/com.whatsapp/databases a una carpeta pública dentro de DCIM. Desde allí transferirlas a la computadora.
Una vez transferidas las bases de datos, se continúa el peritaje sobre las bases de datos de WhatsApp de la manera en que habitualmente se realizaba.
2. Procedimiento básico
Este es un procedimiento más liviano y puede utilizarse sólo en caso de que los mensajes hayan sido cursados en el celular ofrecido como prueba y que no se detecten signos de ruteo ni de recovery personalizado. Para que este procedimiento sea válido, deben estar todas las constancias incorporadas al informe pericial.Herramientas:
Airdroid, Teamviewer, Zoom, cámara web, WhatsApp.
Termux, Qute
App Detective, Gerente de Smart App
2.1. Solicitar el arranque del celular en modo bootloader encendiendo el celular simultáneamente mediante los botones power, volumen bajo y de existir, también oprimiendo el botón de menú. Revisar el número de instalaciones. En caso de ser cero, guardar una captura como evidencia. En caso de que sea superior a cero este procedimiento no puede continuar y se debe realizar el segundo procedimiento.
2.2. Solicitar el arranque del celular en modo recovery encendiendo el celular simultáneamente mediante los botones power, volumen alto y de existir, también oprimiendo el botón de menú. Revisar que no posea un recovery personalizado. En caso de que el recovery sea el de fábrica, guardar una captura como evidencia. En caso de que no sea el recovery de fábrica este procedimiento no puede continuar y se debe realizar el segundo procedimiento.
2.3. Revisar que el celular no se encuentre ruteado mediante Zoom, Airdroid o Teamviewer Quicksupport o bien utilizando otra metodología. Tomar una captura de pantalla y guardarla como registro.
2.1. Solicitar el arranque del celular en modo bootloader encendiendo el celular simultáneamente mediante los botones power, volumen bajo y de existir, también oprimiendo el botón de menú. Revisar el número de instalaciones. En caso de ser cero, guardar una captura como evidencia. En caso de que sea superior a cero este procedimiento no puede continuar y se debe realizar el segundo procedimiento.
2.2. Solicitar el arranque del celular en modo recovery encendiendo el celular simultáneamente mediante los botones power, volumen alto y de existir, también oprimiendo el botón de menú. Revisar que no posea un recovery personalizado. En caso de que el recovery sea el de fábrica, guardar una captura como evidencia. En caso de que no sea el recovery de fábrica este procedimiento no puede continuar y se debe realizar el segundo procedimiento.
2.3. Revisar que el celular no se encuentre ruteado mediante Zoom, Airdroid o Teamviewer Quicksupport o bien utilizando otra metodología. Tomar una captura de pantalla y guardarla como registro.
Aplicación Termux o Qute:
Instalar la aplicación.
Otorgarle permisos.
Buscar ubicación de archivos multimedia WhatsApp en el dispositivo.
Ejecutar su y sudo
En Samsung
cd /sdcard/Android/Media/com.whatsapp
ls -lRa > /sdcard/Download/listaDetalleArchivos.txt
find . -type f -exec stat {} + > /sdcard/Download/listaDetalleArchivosStat.txt
En Motorola
cd /sdcard/Android/media/com.whatsapp
ls -lRa > /sdcard/Download/listaDetalleArchivos.txt
find . -type f -exec stat {} + > /sdcard/Download/listaDetalleArchivosStat.txt
Otro comando trae mayor cantidad de informacion:
find . -type f -exec stat {} + > /sdcard/Download/listaDetalleArchivosStat.txt
WhatsApp Business:
cd /sdcard/Android/Media/com.whatsapp.w4b
En Qute /sdcard es equivalente a /storage/emulated/0
Las siguientes aplicaciones no poseen permisos para acceder a los archivos necesarios.
TermOne Plus
UserLAnd
Dirigirse al administrador de archivos:
Ir a la carpeta: /Almacenamiento Interno/Android/Media/com.whatsapp/WhatsApp/Media/WhatsApp Voice Notes
Ir a la carpeta más antigua v.gr. 201901 (Enero de 2019)
Abrirla y observar la fecha de creación de los archivos. En caso de no coincidir con la fecha del nombre del archivo, es posible que haya sido efectuada una recuperación de los mensajes de WhatsApp.
En este último caso, la fecha consignada será idéntica para todos los archivos de audio y se corresponderá con la fecha en la que fue recuperado el backup.
2.4. Si no fueron hallados indicios de acceso con usuario privilegiado mediante los análisis efectuados en los puntos 1.1. al 1.3., utilizar la herramienta de exportación de Chats propia de WhatsApp a fines de realizar un respaldo de dichos mensajes.