¡A freír espárragos!
Está claro que no tengo madera de “influencer” 🤣
No voy a seguir manteniendo cautivo el caso hasta los 1️⃣5️⃣0️⃣0️⃣0️⃣ lectores.
Necesito contároslo y lo voy a hacer ya. ¡Aprendamos!
¿Preparados para un nuevo #CasoDeInformáticaForense de lo más espeluznante?
Está claro que no tengo madera de “influencer” 🤣
No voy a seguir manteniendo cautivo el caso hasta los 1️⃣5️⃣0️⃣0️⃣0️⃣ lectores.
Necesito contároslo y lo voy a hacer ya. ¡Aprendamos!
¿Preparados para un nuevo #CasoDeInformáticaForense de lo más espeluznante?
Me manda una solicitud de peritaje Silvia (las vuestras, aquí: pduchement.org/contact/), una chica de 27 años que me escribe desesperada: es víctima de acoso a muchos niveles por parte de un tipo que dice desearla.
Este tipo tiene acceso a toda su información: datos, cuentas... incluso a llegado a grabarla POR LA WEBCAM de su portátil.
Pero... ¿cómo creéis que ha llegado Silvia a saber que está siendo acosada?
Los #PeritosVirules tienen buen ojo.
Pues sí, con un rostro de cemento irrompible es el propio acosador el que se pone en contacto con ella y le hace saber que la tiene intervenida.
Es más... las alarmas de Silvia se activan cuando le llega un correo especialmente delicado.
Pues sí, con un rostro de cemento irrompible es el propio acosador el que se pone en contacto con ella y le hace saber que la tiene intervenida.
Es más... las alarmas de Silvia se activan cuando le llega un correo especialmente delicado.
Silvia ya había recibido mensajes del acosador identificándose, pero un día recibe uno con un vídeo adjunto grabado desde la cámara de su portátil. El asunto rezaba: “gracias por el momento que compartimos anoche”.
¿Qué había grabado la cam?
A Silvia...
¿Qué había grabado la cam?
A Silvia...
Pues ya me gustaría que hubieran acertado, pero no.
Ha conseguido grabar a Silvia masturbándose.
La chica está aterrada, pero no solo con que el tipo tenga ese contenido que podría divulgar, si no con el nivel de intrusión que ha alcanzado.
Ha conseguido grabar a Silvia masturbándose.
La chica está aterrada, pero no solo con que el tipo tenga ese contenido que podría divulgar, si no con el nivel de intrusión que ha alcanzado.
El caso es que el agresor...
¿Amenaza con publicar el vídeo?
¿Amenaza con publicar el vídeo?
Hoy los #PeritosVirtuales no están finos.
No: no es el caso de un sextorsionador del tres al cuarto.
Este tipo considera el vídeo suyo, valioso, privado y que Silvia se ha dejado grabar expresamente para él.
Solo amenaza con difundirlo en el caso de que Silvia pida ayuda.
No: no es el caso de un sextorsionador del tres al cuarto.
Este tipo considera el vídeo suyo, valioso, privado y que Silvia se ha dejado grabar expresamente para él.
Solo amenaza con difundirlo en el caso de que Silvia pida ayuda.
¡Tengo que ir con cuidado!
¡No puedo permitir que mi labor provoque semejante dolor en la muchacha!
¡No puedo permitir que mi labor provoque semejante dolor en la muchacha!
En cualquier caso, ¡comienza el juego!
Fase de entrevista:
Por razones obvias quedo con Silvia fuera de su casa y con instrucciones expresas de dejar el móvil en su hogar (por si acaso, puestos a ser paranoicos...).
Nos vemos en mi laboratorio para poder preguntarle lo ocurrido.
Por razones obvias quedo con Silvia fuera de su casa y con instrucciones expresas de dejar el móvil en su hogar (por si acaso, puestos a ser paranoicos...).
Nos vemos en mi laboratorio para poder preguntarle lo ocurrido.
Todo empezó seis meses atrás, cuando el técnico de Manolostar (nombre ficticio de compañía de teléfonos) acude a su casa para instalarle la fibra.
De él no detectó nada raro, a parte de las típicas miraditas de deseo que Silvia considera habituales por parte de todo hombre.
De él no detectó nada raro, a parte de las típicas miraditas de deseo que Silvia considera habituales por parte de todo hombre.
Pasaron 3 meses antes de que el infierno comenzase, de modo que Silvia no supo relacionar al técnico con su acoso incipiente.
Lo primero que descubrió fue un comentario de IG que no recordaba haber escrito ella. Respondía a una amiga y, curiosamente, ponía “Hola Silvia”.
Lo primero que descubrió fue un comentario de IG que no recordaba haber escrito ella. Respondía a una amiga y, curiosamente, ponía “Hola Silvia”.
La cosa se fue complicando: sus contactos de toda la vida (especialmente los masculinos) empezaron a desaparecer de sus listas. No solo “se borraban” de sus listas, si no que empezaron a cortar toda relación.
Silvia empezó a preocuparse, pero solo sintió miedo por primera vez el día que uno de sus amigos le explicó por qué se había alejado de ella: había recibido un correo de Silvia diciéndole algunas cosas terribles.
La intrusión en las RRSS de Silvia es máxima: las fotos que comparte y que el técnico considera “inadecuadas” (en bikini, en minifalda, con ropa de dormir, en actitud muy cercana hacia otros hombres...) desaparecen.
Está muy asustada.
Cambia todas sus contraseñas y eso parece funcionar... durante 4 días.
Pasado ese tiempo, las intrusiones regresan.
Cambia todas sus contraseñas y eso parece funcionar... durante 4 días.
Pasado ese tiempo, las intrusiones regresan.
Se crea nuevas cuentas, pero están intervenidas en cuestión de horas.
Un día recibe una llamada en su móvil:
-Hola, ¿cómo estás, amor?
-¿Quién eres?
-Soy Mario.
-¿Qué Mario?
-Venga, déjate de bromas. Tenías bien claro quién era yo cuando te tocaste para mí ante la cam. ¿Qué tienes pensado hacer hoy?
Silvia colgó aterrada.
-Hola, ¿cómo estás, amor?
-¿Quién eres?
-Soy Mario.
-¿Qué Mario?
-Venga, déjate de bromas. Tenías bien claro quién era yo cuando te tocaste para mí ante la cam. ¿Qué tienes pensado hacer hoy?
Silvia colgó aterrada.
Solo tras unas horas recordó quién se le había presentado como Mario hacía meses: el técnico de Manolostar.
EL ACOSADOR HA ESTADO EN SU CASA
EL ACOSADOR HA ESTADO EN SU CASA
Fase de investigación:
Debemos analizar... pero no revelar que estamos ayudando a Silvia. Aún no.
¿Qué hacemos primero?
Analiza...
Debemos analizar... pero no revelar que estamos ayudando a Silvia. Aún no.
¿Qué hacemos primero?
Analiza...
Pues lo primero a analizar es el vídeo de Silvia.
El vídeo ha sido grabado en destino, no en origen, así que por medio de los metadatos obtendremos info sobre el dispositivo de intrusión.
Eso sí, la evidencia es registrada bajo cadena de custodia y el contenido, que no...
El vídeo ha sido grabado en destino, no en origen, así que por medio de los metadatos obtendremos info sobre el dispositivo de intrusión.
Eso sí, la evidencia es registrada bajo cadena de custodia y el contenido, que no...
arrojaría ninguna información interesante para el caso, no es visionado por respeto a la cliente. Solo se estudian los metadatos del archivo.
Y, tal y como creía, revela info a priori nimia, pero que es más que pertinente.
Y, tal y como creía, revela info a priori nimia, pero que es más que pertinente.
Para hacérmelo llegar, Silvia trae su portátil a mi laboratorio.
Activo la jaula de Faraday y el inhibidor de señales de mi sala blanca y lo dejamos aislado electromagnéticamente del mundo antes de actuar.
De su gestor local de correo, extraigo el archivo del mail y el adjunto.
Activo la jaula de Faraday y el inhibidor de señales de mi sala blanca y lo dejamos aislado electromagnéticamente del mundo antes de actuar.
De su gestor local de correo, extraigo el archivo del mail y el adjunto.
No suelo llevar los clientes a mi lab, pero en esta ocasión me hacía falta. Hago el análisis de metadatos delante de Silvia y borro mi copia del vídeo delante de ella, para mayor seguridad. Aunque, para futuros usos judiciales, le hago una copia en un pendrive y se la entrego.
Bajo cadena de custodia quedan los metadatos y el correo, con sus cabeceras.
¿Y qué obtengo?
Pues resulta que el vídeo ha sido grabado con un capturador de escritorio y ha sido editado con un sw de vídeo para cortar principio y fin.
¿Conclusiones?
El SW de intrusión y de grabado
¿Y qué obtengo?
Pues resulta que el vídeo ha sido grabado con un capturador de escritorio y ha sido editado con un sw de vídeo para cortar principio y fin.
¿Conclusiones?
El SW de intrusión y de grabado
No son el mismo programa.
Por un lado accede, por el otro graba.
Eso me da una pista:
podemos ir descartando un...
Por un lado accede, por el otro graba.
Eso me da una pista:
podemos ir descartando un...
Un troyano no va a ser.
Es extraño hoy en día un troyano que permita visualizar la pantalla víctima y que no permita grabarla.
No: el agresor ha accedido al portátil de Silvia mediante un SW de acceso remoto y grabado lo que veía mediante otro de captura de escritorio propio.
Es extraño hoy en día un troyano que permita visualizar la pantalla víctima y que no permita grabarla.
No: el agresor ha accedido al portátil de Silvia mediante un SW de acceso remoto y grabado lo que veía mediante otro de captura de escritorio propio.
¿Y ahora?
😅 Hoy los peritos virtuales no dan una 😅
Tengo a Silvia y a su portátil en mi laboratorio. Digo yo que lo mejor es aprovechar y analizarlo, ¿no?
Tengo a Silvia y a su portátil en mi laboratorio. Digo yo que lo mejor es aprovechar y analizarlo, ¿no?
A todas estas, Silvia se ha puesto en contacto conmigo porque su tío es abogado y ya ha iniciado el proceso de denuncia.
Su tío la ha advertido sobre esto, claro:
pduchement.org/2020/11/20/wha…
Su tío la ha advertido sobre esto, claro:
pduchement.org/2020/11/20/wha…
Analizo el portátil del derecho y del revés.
Está como una patena.
Para no ser una usuaria con conocimientos de informática, hasta muy limpio está: no hay rastro de spyware.
¿Conclusión?
Está como una patena.
Para no ser una usuaria con conocimientos de informática, hasta muy limpio está: no hay rastro de spyware.
¿Conclusión?
Los #PeritosVirtuales empiezan a mejorar su puntería.
Ha accedido al portátil con SW de acceso remoto legítimo.
Analizo las opciones presentes en el equipo (no voy a revelarlas, para no dar ideas). Efectivamente, hay una sesión de acceso remoto que coincide con el día del vídeo.
Ha accedido al portátil con SW de acceso remoto legítimo.
Analizo las opciones presentes en el equipo (no voy a revelarlas, para no dar ideas). Efectivamente, hay una sesión de acceso remoto que coincide con el día del vídeo.
Pero hay algo más escalofriante...
TODAS
El tipo se pasa horas y horas, días y días vigilando a Silvia.
El último acceso, ese mismo día.
El tipo se pasa horas y horas, días y días vigilando a Silvia.
El último acceso, ese mismo día.
Documento y certifico las pruebas.
¿Y ahora por dónde continuo?
¿Y ahora por dónde continuo?
Vamos a amenizar la espera con un poco de promo 😅
Si quieres aportar a la causa, "Te espero a la salida, un manual para padres frente al #acosoescolar".
amazon.es/espero-salida-…
Si quieres aportar a la causa, "Te espero a la salida, un manual para padres frente al #acosoescolar".
amazon.es/espero-salida-…
Y, para aquellos que quieran dar soporte a mi trabajo, a petición de algunos lectores me he abierto un Patreon con el que poder seguir ayudando a tantas víctimas y familias de víctimas de agresiones en las #RRSS y de #bullying.
patreon.com/pduchement
patreon.com/pduchement
Sigamos con el sobremesa.
Al entrar en casa de Silvia voy con cuidado:
Si el Mario detecta que la estoy ayudando, podría meterla en un problema, y ya sabemos que ha estado en su casa.
No es la primera vez que me topo con cámaras espía de este tipo:
amazon.es/32GB-Vigilanci…
Al entrar en casa de Silvia voy con cuidado:
Si el Mario detecta que la estoy ayudando, podría meterla en un problema, y ya sabemos que ha estado en su casa.
No es la primera vez que me topo con cámaras espía de este tipo:
amazon.es/32GB-Vigilanci…
Una vez incluso me encontré cámaras ocultas en cargadores de móviles enchufados en los vestuarios de un instituto, pero, lamentablemente, ese es un caso del que no puedo hablar 😞
amazon.es/Supoggy-Port%C…
amazon.es/Supoggy-Port%C…
Como ya he tenido tantas malas experiencias con estos dispositivos (los que siguen mis hilos los recordarán), en mi maletín de herramientas viaja siempre un chisme de estos para localizar dispositivos espías:
amazon.es/Detector-UYIKO…
amazon.es/Detector-UYIKO…
Pero como no puedo dar el cante con el aparato en la mano por el piso a lo cazafantasma (por si nos están vigilando y descubren que Silvia ha pedido ayuda) me meto el extremo del detector por la manga y me voy moviendo por la casa dirigiendo mi mano como si estuviera señalando...
buscando excusas dentro de una conversación "normal" con la cliente para señalar diferentes puntos🤦♂️
La verdad es que hicimos el ridículo con aquella pantomima: ni una sola cámara espía. El detector solo leía actividad RF en las cercanías del sobremesa. Pero eso es normal. ¿O no?
La verdad es que hicimos el ridículo con aquella pantomima: ni una sola cámara espía. El detector solo leía actividad RF en las cercanías del sobremesa. Pero eso es normal. ¿O no?
Bueno: ya sabemos que no hay cámaras, el móvil está apagado, el portátil en mi lab en su jaula de Faraday y con su inhibidor.
¡Métamosle mano al PC!
¿Qué hago?
¡Métamosle mano al PC!
¿Qué hago?
El procedimiento habitual es clonar los discos.
Saco mi destornillador eléctrico.
Extraigo la torre.
Le soy la vuelta para desenroscar los tornillos y...
LO ENTIENDO TODO
Saco mi destornillador eléctrico.
Extraigo la torre.
Le soy la vuelta para desenroscar los tornillos y...
LO ENTIENDO TODO
Entiendo por qué el detector RF cante tanto cerca del PC apagado.
Entiendo cómo Mario conseguía las contraseñas y usuarios de Silvia.
Entiendo cómo lo lograba sin spyware.
Entiendo cómo había conseguido información suficiente para obtener acceso remoto al portátil sin infectarlo.
Entiendo cómo Mario conseguía las contraseñas y usuarios de Silvia.
Entiendo cómo lo lograba sin spyware.
Entiendo cómo había conseguido información suficiente para obtener acceso remoto al portátil sin infectarlo.
UN KEYGRABBER
Un dispositivo que se coloca al extremo del cable del teclado mediante un USB hembra y que, por el otro lado, tiene un USB macho que se enchufa al PC
Algunos son muy chatos y camuflables. Simplemente están en medio entre el teclado y el PC
amazon.es/KeyGrabber-For…
Un dispositivo que se coloca al extremo del cable del teclado mediante un USB hembra y que, por el otro lado, tiene un USB macho que se enchufa al PC
Algunos son muy chatos y camuflables. Simplemente están en medio entre el teclado y el PC
amazon.es/KeyGrabber-For…
Estos dispositivos guardan toda tecla presionada en el teclado en un log (archivo de texto de registro) para facilitársela a su dueño.
Tienen una memoria interna, que es donde lo graba sin necesidad de utilizar el PC espiado.
Sé lo que estáis pensando: ¿cómo saca luego el log?
Tienen una memoria interna, que es donde lo graba sin necesidad de utilizar el PC espiado.
Sé lo que estáis pensando: ¿cómo saca luego el log?
Algunos keygrabbers son capaces de ser puntos de acceso WIFI o de conectarse a otra WIFI (eso captaba mi detector).
El tipo utilizaba la WIFI del router que había instalado y configurado a Silvia para que el keygrabber le mandase CORREOS AUTOMÁTICOS 😱😱
amazon.es/USB-KeyLogger-…
El tipo utilizaba la WIFI del router que había instalado y configurado a Silvia para que el keygrabber le mandase CORREOS AUTOMÁTICOS 😱😱
amazon.es/USB-KeyLogger-…
No vayan a creerse que los de tecnología más antigua se salvan: Hay versiones de keygrabbers para conectores PS2.
amazon.es/PS-2-keylogger…
amazon.es/PS-2-keylogger…
Díganme la verdad:
"Profesor Duchement, entre el extremo del cable de mi teclado y el USB hembra de mi PC no hay un dispositivo. ¿Estoy libre de keygrabbers?".
Pues no. Los hay que son pequeños dispositivos que se colocan dentro de teclados normales, interviniéndolos.
amazon.es/KeyGrabber-Key…
Pues no. Los hay que son pequeños dispositivos que se colocan dentro de teclados normales, interviniéndolos.
amazon.es/KeyGrabber-Key…
Solo me he cruzado una vez con algo así, en un caso de espionaje al CEO de una empresa importante.
Lamentablemente, no puedo hablar de ese caso 😞
Decirles que estuve más de un mes investigando hasta localizar el keygrabber, abriendo el teclado y encontrándolo soldado a su placa.
Lamentablemente, no puedo hablar de ese caso 😞
Decirles que estuve más de un mes investigando hasta localizar el keygrabber, abriendo el teclado y encontrándolo soldado a su placa.
Lamentablemente para Mario, el keygrabber debe ser configurado para enviar sus reportes automáticos por correo 😈 tengo la cuenta de recepción con sus credenciales en el chisme. El keygrabber... ¡señala inequívocamente a su dueño!
Este caso es relativamente reciente y Silvia aún está a la espera de resolución
Pero yo identifiqué al culpable sin lugar a dudas y conseguí todas las pruebas en su contra
⚠️Cuentas securizadas
⚠️Evidencias localizadas
⚠️Pruebas documentadas
⚠️Informe concluido
⚠️¡Caso cerrado!
Pero yo identifiqué al culpable sin lugar a dudas y conseguí todas las pruebas en su contra
⚠️Cuentas securizadas
⚠️Evidencias localizadas
⚠️Pruebas documentadas
⚠️Informe concluido
⚠️¡Caso cerrado!
Respuestas a privados 1:
No, Silvia no es la única persona que ha entrado conmigo a mi laboratorio (he tenido peritos asistentes muchas veces). Pero si es verdad que, clientes, no he metido nunca salvo en dos ocasiones. Silvia (que no se llama Silvia) es una de esas excepciones.
No, Silvia no es la única persona que ha entrado conmigo a mi laboratorio (he tenido peritos asistentes muchas veces). Pero si es verdad que, clientes, no he metido nunca salvo en dos ocasiones. Silvia (que no se llama Silvia) es una de esas excepciones.
Respuestas a privados 2:
No se ha celebrado juicio aún, pero sí que hay declaraciones recogidas, e incluso hubo un registro.
En la confesión de Mario figuran las palabras "Ella quería. Si no hubiese querido, no me habría mirado así cuando fui a su casa. Ella quería".
No se ha celebrado juicio aún, pero sí que hay declaraciones recogidas, e incluso hubo un registro.
En la confesión de Mario figuran las palabras "Ella quería. Si no hubiese querido, no me habría mirado así cuando fui a su casa. Ella quería".
Respuestas a privados 3:
¿La pena? Los juristas podrán opinar mejor que yo. Solo tengo claro que el 197.1 del CP se lo va a comer sí o sí (3 meses a 1 año), y que se libró del 197.7 del CP porque no compartió el vídeo. Luego hay muchos otros ilícitos y a saber si antecedentes🤷♂️
¿La pena? Los juristas podrán opinar mejor que yo. Solo tengo claro que el 197.1 del CP se lo va a comer sí o sí (3 meses a 1 año), y que se libró del 197.7 del CP porque no compartió el vídeo. Luego hay muchos otros ilícitos y a saber si antecedentes🤷♂️
Respuesta a privados 4:
A ver... es cierto que el tipo no tenía antecedentes. Pero es un "señor" que toquetea equipos de muchas personas y que llevaba un keygrabber en el bolsillo por si una chica "lo miraba de una forma que significase que quería ser acosada" 🤷♂️ Dadle tiempo...
A ver... es cierto que el tipo no tenía antecedentes. Pero es un "señor" que toquetea equipos de muchas personas y que llevaba un keygrabber en el bolsillo por si una chica "lo miraba de una forma que significase que quería ser acosada" 🤷♂️ Dadle tiempo...
Respuestas a públicos 5:
La preg no es estúpida, es muy buena. Con el keygrabber registró todo lo escrito con el teclado, incluido contraseñas (con las que luego se metía en sus cuentas) y credenciales (que eran las mismas en el portátil): Acceso remoto.
La preg no es estúpida, es muy buena. Con el keygrabber registró todo lo escrito con el teclado, incluido contraseñas (con las que luego se metía en sus cuentas) y credenciales (que eran las mismas en el portátil): Acceso remoto.
https://twitter.com/Taoeris/status/1335978237512491009?s=20
Respuestas a privados 6:
Me dicen que si no me da miedo estar dando ideas a locos:
Siempre que cuento, pongo en la balanza el dar ideas "a los malos" y el informar a "los buenos" para que sepan protegerse. Cuando gana lo primero, no lo cuento. Cuando gana lo segundo, divulgo 😊
Me dicen que si no me da miedo estar dando ideas a locos:
Siempre que cuento, pongo en la balanza el dar ideas "a los malos" y el informar a "los buenos" para que sepan protegerse. Cuando gana lo primero, no lo cuento. Cuando gana lo segundo, divulgo 😊
Sin ir más lejos, tengo 7 privados de gente que, tras leer mi hilo, han descubierto keygrabbers en sus PC's. 3 eran padres de menores.
Poder haber brindado esa ayuda vale millones para mí 🥰
Y casi todos los perturbados ya conocían los keygrabbers. Nunca les desvelo "novedades".
Poder haber brindado esa ayuda vale millones para mí 🥰
Y casi todos los perturbados ya conocían los keygrabbers. Nunca les desvelo "novedades".
• • •
Missing some Tweet in this thread? You can try to
force a refresh
