–Mi marido es infiel. Necesito pruebas
–No soy investigador privado
–Están en este portátil
–Yo vigilo que se cumpla la LOPD, no la transgredo
–Soy la propietaria
–No es el tipo de caso que yo...
–Ella tiene 13 años
–Caso aceptado
Así empezó este nuevo #CasoDeInformáticaForense
–No soy investigador privado
–Están en este portátil
–Yo vigilo que se cumpla la LOPD, no la transgredo
–Soy la propietaria
–No es el tipo de caso que yo...
–Ella tiene 13 años
–Caso aceptado
Así empezó este nuevo #CasoDeInformáticaForense
Acompáñame en este #revival de mi investigación y resuelve conmigo el que fue el caso más kármico al que me he enfrentado (con un final poético y, lo creas o no, que te sacará una sonrisa).
[Recuerda que altero, elimino y añado datos para proteger el anonimato del expediente]
[Recuerda que altero, elimino y añado datos para proteger el anonimato del expediente]
Aquél diálogo fue el que mantuve con Sonia, una mujer de 43 años (muy bien situada económicamente) y que estaba convencida de que su marido (Rafa, un tipo de 35) tenía secretos que podrían condicionar mucho el proceso de divorcio que estaba a punto de empezar.
Fase de consulta:
Sonia quiere que investigue un portátil de su propiedad que tiene en su casa. Rafa es la persona que más lo utiliza, así que está convencida de que, sin una orden judicial que nos permita requisar su móvil (nunca pasará), es la mejor fuente de pruebas.
¿Ahora?
Sonia quiere que investigue un portátil de su propiedad que tiene en su casa. Rafa es la persona que más lo utiliza, así que está convencida de que, sin una orden judicial que nos permita requisar su móvil (nunca pasará), es la mejor fuente de pruebas.
¿Ahora?
La gente va votando "que te cuente más", así que eso haremos.
Sonia me cuenta que cree que su marido acosa a una niña de 13 años llamada Cris porque, en las notificaciones de pantalla bloqueada del móvil de Rafa, vio una vez la previsualización de un WhatsApp que se lo hizo creer
Sonia me cuenta que cree que su marido acosa a una niña de 13 años llamada Cris porque, en las notificaciones de pantalla bloqueada del móvil de Rafa, vio una vez la previsualización de un WhatsApp que se lo hizo creer
Como el portátil es de su propiedad, lo pone a mi disposición para que investigue los datos y archivos que contenga.
Pero... ¿puedo?
Pero... ¿puedo?
Pues no es sencillo (y se va notando en las respuestas de la encuesta).
El dispositivo es de Sonia, por lo que es propietaria de sus archivos.
Los datos son de Rafa, por lo que tiene derecho a la privacidad sobre sus datos.
¿Entonces?
Tenemos que recurrir a la jurisprudencia.
El dispositivo es de Sonia, por lo que es propietaria de sus archivos.
Los datos son de Rafa, por lo que tiene derecho a la privacidad sobre sus datos.
¿Entonces?
Tenemos que recurrir a la jurisprudencia.
Y encontramos que, dado que el dispositivo es de uso común para la familia, todos los usuarios dan su consentimiento tácito (dejando los datos y archivos a disposición de los demás) para acceder a la información, salvo aquella que esté protegida explícitamente.
Dicho de otra manera: si pintas en la pared de tu casa el contenido de tu diario, no puedes culpar de revelación de secretos a las personas que viven contigo por ver tus interioridades. Y, menos que eso, al dueño de la casa.
¿Pero qué significa "que esté protegido explícitamente"?
Para ahorrar tuits... que requiera de una contraseña privada e individual, patrón, reconocimiento de huella o de cara.
Para ahorrar tuits... que requiera de una contraseña privada e individual, patrón, reconocimiento de huella o de cara.
Pero... ¿y borrar los archivos?
Está claro que si los borra es para que eliminar su acceso. Luego, no quiere que la gente los vea. ¿Debemos preservar su intimidad?
Está claro que si los borra es para que eliminar su acceso. Luego, no quiere que la gente los vea. ¿Debemos preservar su intimidad?
Aquí hay más indecisión entre mis lectores, por lo que veo.
La respuesta es que no es necesario preservar la intimidad de estos archivos (a pesar de que sea la intención tácita de Rafa al borrarlos).
Esto se debe a que, un archivo borrado, no es un archivo que desaparezca 😎
La respuesta es que no es necesario preservar la intimidad de estos archivos (a pesar de que sea la intención tácita de Rafa al borrarlos).
Esto se debe a que, un archivo borrado, no es un archivo que desaparezca 😎
Muchos preguntan si, ante la sospecha de Sonia, no sería oportuno "llevar el portátil a comisaría".
Oportuno es denunciar de inmediato (y se hizo), pero su intuición sobre la edad de la Cris no está confirmada y llegó a esa conclusión espiando.
Necesitamos fundamento.
Oportuno es denunciar de inmediato (y se hizo), pero su intuición sobre la edad de la Cris no está confirmada y llegó a esa conclusión espiando.
Necesitamos fundamento.
Conclusión de lo anterior:
No podemos acceder a las cuentas de RRSS de Rafa (aunque tengamos sus contraseñas guardadas en caché).
Pero... con los archivos no encriptados... ¡Hay buffet libre!
No podemos acceder a las cuentas de RRSS de Rafa (aunque tengamos sus contraseñas guardadas en caché).
Pero... con los archivos no encriptados... ¡Hay buffet libre!
Y, os pregunto a todos vosotros, mis tuiteros peritos asistentes ¿qué hacemos ahora?
Fase de extracción de evidencias:
Centrémonos en los archivos del portátil.
¿Cómo lo hago?
Centrémonos en los archivos del portátil.
¿Cómo lo hago?
Cuando el peritaje es judicial, suelo clonar los discos para molestar lo menos posible a sus propietarios. No es el caso.
Desmontar el disco para llevármelo o ponerme a analizar allí mismo los datos, me harán estar más tiempo en casa de Sonia, que no me apetece por si llega Rafa.
Desmontar el disco para llevármelo o ponerme a analizar allí mismo los datos, me harán estar más tiempo en casa de Sonia, que no me apetece por si llega Rafa.
Me llevo el portátil.
¿Alguna consideración a tener en cuenta, peritos tuiteros?
¿Alguna consideración a tener en cuenta, peritos tuiteros?
Todas:
El portátil es introducido en una bolsa antiestática (para proteger los datos), y cerrada con un sello de cadena de custodia que especifica quién está presente y cuándo se clausura. El sello es firmado por Sonia.
A partir de ahora, cada vez que se saque, sello.
El portátil es introducido en una bolsa antiestática (para proteger los datos), y cerrada con un sello de cadena de custodia que especifica quién está presente y cuándo se clausura. El sello es firmado por Sonia.
A partir de ahora, cada vez que se saque, sello.
En el laboratorio empiezo a husmear.
¿Por dónde empiezo?
¿Por dónde empiezo?
Historial de internet.
La verdad es que el marido entra en muchas zonas y redes sociales de chateo con desconocidos.
Y hay mucho porno.
Porno gay.
La verdad es que el marido entra en muchas zonas y redes sociales de chateo con desconocidos.
Y hay mucho porno.
Porno gay.
Tanto (y una total ausencia de pornografía heterosexual), que empiezo a preguntar si Cris no será Cristian, en vez de Cristina.
Flipo con que ni siquiera use la pestaña de incógnito para el materia para adultos: en esa casa hay menores.
Flipo con que ni siquiera use la pestaña de incógnito para el materia para adultos: en esa casa hay menores.
No me ha dado información relevante para el caso.
¿Ahora?
¿Ahora?
¿Parece que los peritos tuiteros quieren saltarse los pasos más fáciles antes de meterse a recuperar los datos?
Yo los di (y aconsejo darlos), pero la verdad es que ni la fototeca ni los archivos presentes me proporcionaron la más mínima información.
Recuperemos archivos.
Yo los di (y aconsejo darlos), pero la verdad es que ni la fototeca ni los archivos presentes me proporcionaron la más mínima información.
Recuperemos archivos.
Habéis tenido una buena intuición.
Encuentro fotos de Cris.
✅ Es un chico
✖️ No es un menor
✅ Sí que hubo una relación
✅ Hay sexting entre ellos
✖️ La relación se cortó meses antes que el WhatsApp que vio Sonia
✅ La comunicación ha continuado
Encuentro fotos de Cris.
✅ Es un chico
✖️ No es un menor
✅ Sí que hubo una relación
✅ Hay sexting entre ellos
✖️ La relación se cortó meses antes que el WhatsApp que vio Sonia
✅ La comunicación ha continuado
Rafa lo borró todo el día que Sonia le confesó su intención de separarse.
Pero aquí... tenemos un tesoro de prueba 👿
Rafa ha recogido TODOS sus mensajes con Cris y los ha copiado, uno detrás de otro, en un archivo de Word (que borró).
Sonia ya tiene la infidelidad demostrada.
Pero aquí... tenemos un tesoro de prueba 👿
Rafa ha recogido TODOS sus mensajes con Cris y los ha copiado, uno detrás de otro, en un archivo de Word (que borró).
Sonia ya tiene la infidelidad demostrada.
Pero yo no entiendo las respuestas.
¿Por qué iba Rafa a recoger todas sus conversaciones con Cris (la mayoría muy íntimas) en un archivo de texto?
El documento es enorme.
Hago scroll hasta el final para ver cuánto se prolonga y ME LLEVO LA SORPRESA DE MI VIDA
¿Por qué iba Rafa a recoger todas sus conversaciones con Cris (la mayoría muy íntimas) en un archivo de texto?
El documento es enorme.
Hago scroll hasta el final para ver cuánto se prolonga y ME LLEVO LA SORPRESA DE MI VIDA
Lo último que ha copiado Rafa en ese archivo (el de sus conversaciones con Cris) son MIS datos de contacto.
Mi nombre, mis apellido, mi dirección de corre profesional...
¡¿Pero qué?!
¡¿Pero qué?!
Las últimas tres palabras del escrito son "Perito Judicial Informático".
Cuando me recupero de la impresión, comprendo que Rafa ha estado buscando a un informático forense y que ha encontrado mis datos en internet.
¿Pero por qué me busca y por qué lo copia en ese archivo?
Cuando me recupero de la impresión, comprendo que Rafa ha estado buscando a un informático forense y que ha encontrado mis datos en internet.
¿Pero por qué me busca y por qué lo copia en ese archivo?
Buena intuición, peritos tuiteros.
Efectivamente, Rafa estaba siendo chantajeado por Cris con contar su relación.
De hecho, encuentro pruebas de transferencias bancarias que tienen toda la pinta de constituir el pago.
Pero eso, aunque lo recojo, ya no es asunto mío.
Efectivamente, Rafa estaba siendo chantajeado por Cris con contar su relación.
De hecho, encuentro pruebas de transferencias bancarias que tienen toda la pinta de constituir el pago.
Pero eso, aunque lo recojo, ya no es asunto mío.
No preguntéis por la sentencia de divorcio, que yo, a esas cosas, no les hago seguimiento
Solo diré que Sonia se sintió muy feliz de haberme contratado
Tanto... que no puedo evitar plantearme si, lo de que Cris era menor, fue una mentira porque sabía que yo me especializo en eso
Solo diré que Sonia se sintió muy feliz de haberme contratado
Tanto... que no puedo evitar plantearme si, lo de que Cris era menor, fue una mentira porque sabía que yo me especializo en eso
Tras la experiencia, decidí no volverme a inmiscuir en casos de infidelidades (salvo petición judicial).
✅Pruebas localizadas
✅Evidencias documentadas
✅Informe concluido
✅¡Caso cerrado!
✅Pruebas localizadas
✅Evidencias documentadas
✅Informe concluido
✅¡Caso cerrado!
Disculpen la errata: correo.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
