martes, septiembre 27, 2016

Diana Quer puede que sí leyera los mensajes de WhatsApp. Cómo la Guardia Civil ha accedido a "algunos" de ellos.

Si vives en España es imposible que no hayas oído o leído alguna información sobre la chica que lleva desaparecida desde el 22 de Agosto en este país. Es un caso que está copando gran parte de las informaciones en medios de comunicación como la radio, la televisión y la prensa, pero también Internet. Recientemente las redes sociales hablaban sobre una de las noticias que salieron a la luz estos días en las que se informaba que la Guardia Civil había podido acceder a los mensajes de WhatsApp recibidos pero NO leídos de Diana Quer, la chica desaparecida.

Figura 1: Cómo la Guardia Civil ha accedido a "algunos" de ellos

Como os podéis imaginar, la pregunta que se hace mucha gente es "¿Cómo han accedido a esos mensajes de WhtasApp?" pensando más en si hay alguna implicación que pueda ser utilizada de alguna forma para que a alguien le puedan espiar su WhatsApp. Yo no tengo ninguna información más allá de las que se han publicado en los medios de comunicación, pero viendo lo que se ha compartido con la opinión pública os voy a dejar mis reflexiones de cómo lo han podido hacer y las suposiciones que hago en referente a los casos de qué situaciones se han podido dar y cómo se han podido dar.

Figura 2: Titular de El País sobre los mensajes de WhatsApp que Diana Quer

Si quieres saber más de todo esto, te recomiendo la serie de tres artículos que ya publiqué hace tiempo que se llama "Proteger tu WhatsApp a Prueba de balas" donde se recogen todas las medidas de seguridad que debes tomar para evitar que roben la cuenta de WhatsApp, evitar que te lean los mensajes o que utilicen WhatsApp para atacar a tu privacidad.

La orden judicial y los datos obtenidos

Para empezar a entender el caso, hay que comenzar por explicar que un juez está llevando la investigación y ha pedido toda la información y colaboración a la operadora de la línea de teléfono que utilizaba la chica desaparecida. Para ello, evaluando la situación concreta, el juez ha tenido que tomar la decisión que más beneficiase a la chica, haciendo premiar su derecho a la vida - ya que puede estar en una situación de peligro - antes que su privacidad, y ha solicitado que se le de toda la colaboración a la operadora de telecomunicaciones que para ayude a localizar a la persona.

Para ello, según explican los artículos, el juez ha accedido al historial de los mensajes SMS, el historial de las llamadas y el historial de posición del terminal, que se conoce por medio de las antenas de telefonía a las que está conectado el teléfono para tener cobertura. 

Con esta información se puede saber que el teléfono fue visto por última vez el día 22 de Agosto en una ubicación concreta, lo que quiere decir que la persona dueña del mismo no ha vuelto a encender ese dispositivo - por decisión propia, porque el terminal se ha destruido o porque se lo ha impedido algo o alguien -.

Con el historial de SMS se podría saber quién y a qué hora tuvo una comunicación vía este sistema con ese número de teléfono. Siendo una chica joven, no es de prever que hiciera mucho uso de este medio para enviar mensajes cortos, pero los SMS se siguen utilizando a día de hoy para muchas cosas, desde comunicaciones bancarias hasta recuperación de cuentas de servicios de Internet. El análisis de estos es importante para que los investigadores puedan entender un poco más los últimos días de actividad de la chica desaparecida.

¿Se puede acceder a los mensajes de WhatsApp?

Ahora viene la parte más llamativa para los usuarios medios de Internet. ¿Ha sido capaz la operadora de darle acceso a los mensajes de WhatsApp? No, ni mucho menos, pero sí que le ha dado algo que tiene mucho valor: Un duplicado de la SIM.

A día de hoy, clonar un SIM no es un tarea sencilla. Es verdad que las SIM antiguas - muy antiguas - se clonan con facilidad, pero las nuevas SIM no son tan sencillas. Unos investigadores de seguridad abrieron la puerta la clonado de SIMs modernas utilizando un leak, pero no ha habido muchos avances sobre esta investigación que hayan popularizado la clonación de SIMs. Sin embargo, la operadora guarda las claves que permiten solicitar un duplicado de SIM

Conseguir este duplicado de SIM permite que se puedan recuperar todas las cuentas de servicios en Internet que tengan como protección el número de teléfono. Es decir, que los mensajes SMS se conviertan en el primer factor de autenticación en lugar de ser el segundo como muchos creen. Con solo solicitar una recuperación de contraseña y que se envíe el código de recuperación vía SMS a la nueva SIM bastaría para poder acceder a las cuentas de Internet.

Pero no solo con el clonado de la SIM, también con la portabilidad del número de una operadora a otra, con lo que la nueva operadora generaría una nueva SIM - con claves de seguridad distintas - pero válida en la red con el número de la chica desaparecida. Con cualquiera de estas posibilidades el juez se hubiera hecho con una SIM que tuviera el número de teléfono de Diana en ella.

Con esto, se dan dos posibles situaciones para que la Guardia Civil se haya hecho con los mensajes recibidos pero no leídos de WhatsApp, que os paso a detallar ahora.

Caso 1: De la nube de WhatsApp a la nueva SIM

Como os podéis imaginar, poseyendo el número de teléfono de la chica desaparecida en una nueva SIM, lo más fácil es pensar en registrar de nuevo la cuenta de WhatsApp. Para ello, se instala la app de WhatsApp en un nuevo terminal con la SIM clonada y se solicita el registro. WhatsApp enviará un mensaje SMS a ese número con el código OTP (One-Time Password) de registro y a partir de ese momento esa app será el end-point de WhatsApp para la cuenta asociada al número de teléfono que hay en esa SIM.

Una vez registrado se podrán enviar y recibir mensajes, pero hay que tener en cuenta que desde hace un tiempo las conversaciones de WhatsApp van cifradas extremo a extremo, por lo que desde los servidores de WhatsApp llegarán cifradas con la clave pública que la app de WhatsApp que la chica utilizara en su terminal intercambió en el primer mensaje que se envió con cada contacto antes de desaparecer.

Figura 3: Claves pública de cifrado intercambiada con un contacto

Es decir, supongamos que Diana tiene como contacto de WhatsApp a Persona1 y el 14 de Junio - por elegir un día tiempo atrás - se envía un mensaje por primera vez. En ese momento se produce el intercambio de claves públicas generadas por la app de WhtasApp de Diana y la Persona1. Si Persona1 envía un mensaje el día 23 de Agosto - cuando el terminal ya estaba apagado - este mensaje de WhatsApp irá cifrado con la clave pública que Persona1 tiene de Diana y solo la persona - y app - que tenga la clave privada de Diana podrá descifrarlo. De hecho, si hay un cambio de clave pública, los contactos recibirán una alerta.

Figura 4: Aviso de que se ha cambiado la clave de cifrado de un contacto

Esto quiere decir que, si los mensajes estaban aún en lo servidores de WhatsApp y no se habían enviado al terminal de Diana, entonces aunque se enviaran - que no lo hacen, ya que WhatsApp le dice al destinatario que solicite que se le vuelvan a enviar - no podrían ser descifrados por la app si no se dan otras circunstancias:
1.- Que los servidores de WhatsApp guarden las claves generadas en todas las apps: Esto no es así, porque el sistema está diseñado para que la gente de Facebook no pueda descifrar los mensajes. 
2.- Que los investigadores accedan a la app de WhatsApp en el terminal de la chica desaparecida y saquen de él la clave privada. Esto no es así, porque no se ha localizado el terminal. Si se tuviera el terminal, bastaría con poner la SIM clonada en el nuevo y listo. 
3.- Que los investigadores accedan a un backup del terminal en el que haya una copia de la app y saquen la clave privada. Podrían hacerlo si hubiera un backup en algún equipo Windows o Mac de la persona o en alguna nube.
Por supuesto, como el terminal no se ha localizado, la única opción posible sería la última, que además coincide con la información que se ha publicado. Sin embargo, no parece que haya sido la opción que se usado ya que al final parece que el resultado va por otro sitio, pero... es una de las opciones viables y tendría un significado de qué paso antes de que se apagara el terminal.

Si esta fue la opción, quiere decir que los mensajes se enviaron después de que se apagara el terminal, y nunca llegaron al teléfono de la chica, por lo que el dispositivo simplemente se apagó manualmente o se quedó sin batería - como parece que decía en alguno de los mensajes que tuvo con su madre -.

Caso 2: De la nube de iCloud al equipo

La chica desaparecida tenía un iPhone, lo que abre un nuevo abanico de posibilidades. Abre la posibilidad de que haya un backup en el equipo Windows o Mac que tuviera en su casa pareado con el dispositivo, por lo que se podrían sacar datos de él - no con el bug que afecta a los nuevos backups de iOS 10 ya que es de una fecha posterior al 22 de Agosto -.

Pero lo más importante es que, con el duplicado de la SIM se podría solicitar recuperar la cuenta de iCloud y acceder al backup del terminal en la nube. La idea es tan sencilla como solicitar recuperar la cuenta asociada a iCloud y pedir la confirmación vía SMS. Si Diana no tuviera activada la Verificación en Dos Pasos se podría haber intentado responder a las preguntas secretas para acceder a una nueva contraseña y, si Apple quisiera colaborar, acceder directamente al backup de iCloud.
Descartando la colaboración de Apple, con la tarjeta SIM clonada o respondiendo a las preguntas secretas se podría haber accedido al backup, donde se ha informado que había 5 GBs de copias de seguridad. Este límite es el máximo gratuito que da Apple, así que sería una cuenta estándar de iCloud que copia datos en la nube. Además, como sabéis, la base de datos de WhatsApp en iPhone está totalmente descifrada, así que los mensajes están en claro.

Figura 6: Una Base de Datos de WhatsApp en iPhone que está en texto claro

Por defecto no se suben las apps ahí, pero sí las fotos, los documentos y, por supuesto, la base de datos de WhatsApp si lo ha configurado así. De hecho, puedes revisar tu cuenta iCloud para saber si está copiando los datos de WhatsApp o no. Descargar este backup se puede hacer tal y como lo hice yo en la demo de el programa de televisión El Hormiguero usando una herramienta comercial, o directamente con un script de iLoot OpenSource que te descarga todos los ficheros.


Figura 7: Demo de descargar ficheros de backup de iPhone en El Hormiguero

Si Diana, que parece que sí, tenía una copia de su base de datos de WhatsApp en iCloud con mensajes NO leídos, entonces quiere decir muchas cosas:
1.- El mensaje salió de los servidores de WhatsApp y llegó a la app de WhatsApp de Diana donde se descifró. 
2.- La app de WhatsApp hizo copia de seguridad en iCloud antes de que Diana lo viera. 
3.- Puede que Diana después de se hiciera la copia de seguridad lo viera, pero que no se subiera una copia de seguridad de la base de datos a iCloud más actualizada.
Esto es importante, porque lo más probable es que se dieran estas tres circunstancias, lo que implica que, si el terminal tenía las opciones de iCloud por defecto, Diana tuviera una conexión WiFi cuando se hizo la copia de seguridad, o lo que es lo mismo, que estuviera en una ubicación de la que conocía la clave de la WiFi o una zona con WiFi abierta a la que se conectó voluntariamente. Si no, iCloud no hace copia de seguridad por 3G/4G para no gastar datos en copias de seguridad.

Figura 8: Opciones de copia de seguridad de WhatsApp. Solo con WiFi por defecto

También es importante que los mensajes sí que pudieron ser vistos por Diana y lo más importante, pudo recibir más mensajes después.

Reflexión final sobre WhatsApp

Con esta información, lo que a mí me parece es que, para recomponer la historia de los mensajes de WhatsApp hay cuatro periodos que se deben abordar de tres maneras distintas.
1.- Mensajes recibidos antes del último backup: Esta fase ya está resuelta con la recuperación de la base de datos de WhatsApp del backup de iCloud recuperando la cuenta de Apple con el duplicado de la SIM. 
2.- Mensajes recibidos después de conseguir la SIM: Con el registro de la cuenta de WhatsApp con la nueva SIM, todas las apps de WhatsApp de todos los contactos de Diana recibirían la nueva clave pública y si alguien envía un mensaje en cualquier momento se podrá descifrar. 
3.- Mensajes que van entre el último backup y el apagado del terminal: Estos mensajes salieron de Facebook, llegaron a la app del terminal y el sistema no hizo Backup. Facebook podría tener un registro de quién y cuándo los envió y si fueron o no recibidos.
4.- Mensajes que van desde el apagado del terminal al registro de la nueva App: Ahí se puede obtener solo quién envío algún mensaje, pero no el contenido de ellos ni cuántos fueron. Estos se puede garantizar que son mensajes que nunca llegaron a destino y por tanto no fueron leídos.
El punto 4 es importante, pues si siguen en los servidores y aparece el terminal, se podrían recuperar. Además, WhatsApp no sabe el contenido del mensaje, pero sí quién se lo ha enviado a quién, tal y como hemos visto que utiliza para establecer relaciones de amistad en Facebook, así que la colaboración de Facebook con la justicia podría ayudar a esclarecer algunos puntos.

Saludos Malignos!

10 comentarios:

  1. Interesante. Con respecto al punto 3.- Mensajes que van entre el último backup y el registro de la nueva cuenta de WhatsApp: Ahí hay... Creo que los mensajes se envían aunque la clave haya cambiado, corrígeme si me equivoco, pero muchas veces, sobre todo en los grupos, hay mensajes que se quedan esperando a cargar con el letrero de la aplicación diciendo que puede tardar unos minutos y pienso que puede ser debido a ello. Lo dicho, interesante análisis, aquí podría surgir el debate sobre los beneficios o inconvenientes de que estas "aplicaciones-compañías-RRSS" vulneren nuestra privacidad.

    Un saludo.

    ResponderEliminar
  2. Lo triste es que no dejen trabajar a la policia dando datos..

    ResponderEliminar
  3. Estaba pensando que en un procedimiento habitual si clonas una SIM, por ejemplo, en caso de perdida de terminal la SIM antigua deja de funcionar.
    Espero que no lo hayan hecho así, porque si ha sido así, han dejado incomunicado el telefono que se supone lleva la chica. Quizas sea el motivo de que no haya vuelto a haber actividad del telefono, logicamente no se ha podido registrar en la red.


    Saludos.

    ResponderEliminar
    Respuestas
    1. Quizás con el servicio multi-sim... No se si hay que cambiar todas las sim o simplemente añade una nueva sim y sigue funcionando la anterior.

      Eliminar
  4. Fede: El teléfono se registra en la red igual, en la red GSM pero no en la red del operador, de modo que el IMEI lo transmite (seguro que está en seguimiento) así como el IMSI y este último es rechazado para su uso comercial, pero sigue registrado en la red GSM pudiendo llamar a emergencias, (que es lo que necesitaría) incluso sin SIM en el terminal.

    Sobre lo de los whatsapp no entregados imagino que en el servidor central el mensaje estará encriptado sólo con la clave del emisor y en el momento de la entrega se encripta con la del receptor por el hecho de que en cada mensaje se produce un intercambio de claves. La comprobación es fácil, cambias la SIM de terminal, desde otro número envías un whatsapp, lo activas en el nuevo terminal y debería de llegarte el mensaje. Si no llega te has perdido mensajes y serían irrecuperables (no creo que les interese). Lo de que la SIM sea un clon o no es lo de menos.

    ResponderEliminar
  5. Es muy importante tener conocimiento que es una actividad imei o actividad de imsi con esa información puedes llegar al objetivo (numberingplans) posteriormente a esta información que la suministre la empresa de telefonía debes que solicita una sábana de llamadas entrantes y salientes y mensajes de texto entrantes y salientes, cuando tengas esa información podemos determinar la ubicacion, con el originado y el receptores hay un programa muy bueno que se llama IBM i2 Analyst’s Notebook

    ResponderEliminar
  6. Es muy importante tener conocimiento que es una actividad imei o actividad de imsi con esa información puedes llegar al objetivo (numberingplans) posteriormente a esta información que la suministre la empresa de telefonía debes que solicita una sábana de llamadas entrantes y salientes y mensajes de texto entrantes y salientes, cuando tengas esa información podemos determinar la ubicacion, con el originado y el receptores hay un programa muy bueno que se llama IBM i2 Analyst’s Notebook

    ResponderEliminar
  7. Lo he comprobado yo personalmente. Los mensajes de WhatsApp que llegan pero la clave no coincide te sale un mensaje en el propio chat diciéndote que le pidas al emisor que te escriba el mensaje de nuevo...

    ResponderEliminar
  8. No entiendo el objetivo de este blog,si es ayudar a criminales,asesinos en serie,violadores o qué porque personalmente no le veo el sentido a bloquear a prueba de balas mi whatsapp,¿para qué?,nunca entenderé a los paranoicos que bloquean lo de la última hora de conexión por ejemplo,¿el motivo es que podrían controlar la hora para deducir cuándo estaba haciendo algo sexual?,cómo si participa en una orgía,ya ves o como si participo yo y alguien me controla,me la suda.Si lo que estás ayudando ya es a los delincuentes sin comentarios,a buen entendedor pocas palabras bastan.
    Personalmente ni bloqueo ni bloquearé ni protegeré nada a prueba de bomba nunca,no tengo nada que oculta,como si rastrean los geox mi móvil,a mí plin.
    Lo que va a pasar ya lo sabemos todos,los ciminales saldrán sin móvil y la policía no tendrá de donde tirar

    ResponderEliminar
  9. lo que no entiendo es como la guardia civil no contacta con hacker de verdad y que encuentren toda la informacion....pero si hay hacker que se han metido en el pentagono

    ResponderEliminar