Los datos eliminados son un aspecto crucial de la evidencia digital. Si bien los chats y archivos de los móviles brindan información de valor, descubrir lo que se eliminó puede ser fundamental para resolver un caso. En la ciencia forense digital, donde la adquisición física es una posibilidad poco común, la búsqueda de datos eliminados puede ser una tarea complicada tanto para las herramientas forenses como para los investigadores. La diversidad de aplicaciones móviles aumenta la complejidad: incluso la misma aplicación puede administrar el almacenamiento de datos de manera diferente en diferentes sistemas operativos.
Como muchas otras aplicaciones móviles, WhatsApp se basa en el formato SQLite para almacenar sus datos . Una de las claves es la posibilidad de recuperar registros eliminados de bases de datos SQLite. En particular, SQLite incorpora varias funciones para gestionar eliminaciones, que incluyen:
- Listas libres: una sección dedicada dentro de una base de datos SQLite que alberga datos eliminados recientemente
- Archivos de registro de diario y escritura anticipada (WAL): archivos transaccionales que pueden almacenar datos agregados recientemente, modificados o eliminados recientemente.
- Espacio no asignado: esta característica de SQLite permite encontrar datos eliminados incluso fuera de las listas libres
Para comprender si estas funciones pueden ayudar con los mensajes eliminados de WhatsApp, primero debemos explorar la base de datos de la aplicación en diferentes contextos del sistema operativo.