Estudio de los artefactos forenses generados por la aplicación WhatsApp Web en el entorno Chromium

Abstract

[ES] El estudio sobre la adquisición de evidencias y su significado en las aplicaciones de mensajería instantánea se ha enfocado, principalmente, en el ámbito de los dispositivos móviles. Sin embargo, el uso de estas aplicaciones se está extendiendo a los ordenadores a través del navegador o de una aplicación de escritorio. La documentación de los artefactos forenses que las aplicaciones de mensajería instantánea generan en estos equipos carece de un análisis profundo. Así pues, este trabajo pretende realizar un estudio de la información que se puede obtener, concretamente, de WhatsApp Web cuando se ejecuta en un navegador basado en Chromium. Se ha realizado una recopilación y actualización de toda la documentación y estudios relevantes en este ámbito. Se han estudiado los artefactos generados y se ha identificado y probado que los mensajes enviados y recibidos se almacenan en las bases de datos locales del equipo. Junto a estos, se ha llegado a obtener imágenes, vídeos y audios encriptados, los cuales se han descifrado y relacionado con sus respectivas conversaciones, así como con marcas de tiempo de envío y recepción. Por último, se ha profundizado en la extracción de estos artefactos de forma automática, creando una serie de scripts en Python, tanto para las versiones antiguas de WhatsApp Web como para las nuevas.

[EN] The study on the acquisition of evidence and its significance in instant messaging applications has mainly focused on the realm of mobile devices. However, the use of these applications is expanding to computers through web browsers or desktop applications. The documentation of forensic artifacts generated by instant messaging applications on these devices lacks in-depth analysis. Therefore, this work aims to conduct a study of the information that can be obtained specifically from WhatsApp Web when running on a Chromium-based browser. A compilation and update of all relevant documentation and studies in this field have been carried out. The generated artifacts have been examined, and it has been identified and tested that sent and received messages are stored in the local databases of the device. Additionally, encrypted images, videos, and audios have been obtained, which have been decrypted and linked to their respective conversations, along with timestamps of sending and receiving. Finally, the extraction of these artifacts has been further explored through automated means, creating a series of Python scripts for both old and new versions of WhatsApp Web.