Y, para no importunar en mitad del hilo con publicidad, hago la promo ahora, para que los nuevos sepáis el enorme trabajo que algunos venimos realizando y por qué utilizaré Patreon sin afán de enriquecerme personalmente.
Recuerdo que la forma correcta de leer un #CasoDeInformáticaForense del Profesor Duchement es como una ficción.
Voy a a alterar muchísimo los datos para que el caso sea irreconocible (salvo la esencia delictiva) y proteger la identidad de los aludidos.
El objetivo es enseñar
Aún no había descolgado la llamada cuando, al ver el número del contacto en la pantalla de mi smartphone, supe lo que iba a ocurrir a continuación.
Supe que me esperaba otro viaje express a mi querida Málaga de luz... para enfrentarme a la cara oscura de la naturaleza humana.
Lo advertí.
Quería pensar que esta vez no ocurriría, pero años tratando con ese animal que tantos esconden tras la barrera del anonimato me habían enseñado una verdad lamentable:
En este mundo, si creen que no serán descubiertos, muchos dan rienda suelta a lo peor se sí mismos
La llamada de D. Juan fue descorazonadora.
Si alguien quiere leerla, la tiene aquí a su disposición:
En resumen, me comenta que ha encontrado una pequeña parte de los vídeos interceptados en el caso anterior rondando la WEB y que eso pone en peligro a su empresa.
Alquilo un laboratorio forense en Málaga, reservo los billetes y viajo hasta allí.
Fase de investigación:
D. Juan me recoge en el aeropuerto, pero le indico que no me lleve a su local de Modas AsenFlonhfli (quiero reiterar que Modas Asenflonhfli es una franquicia y que no es responsable de las decisiones de uno de sus franquiciados sobre su local).
¿A dónde le digo que me lleve?
Como siempre, Brais (que es el más avezado de mis lectores y se adelanta) da en el clavo con qué es lo primero.
Pero hay un detalle que se le escapa.
Para poder comparar los videos online con los vídeos del caso anterior, tengo que rescatarlos de mi repositorio blindado.
No puedo extraerlos rompiendo la cadena de custodia: todo debe quedar protegido y documentado.
Eso no puedo hacerlo en una WiFi abierta o en casa de D. Juan.
Tiene que ser en un entorno aséptico y muy controlado:
De cabeza al laboratorio.
Una vez protegidos, el laboratorio cuenta con jaula de Faraday y una conexión a la Red (desconectable) bien protegida. Me emplazo en uno de los puestos y accedemos a los enlaces de la web porno donde D. Juan ha localizado los vídeos.
Tras documentarlos, pido amablemente al cliente que salga del laboratorio:
Voy a tener que extraer las evidencias del caso anterior para comparar los clips (unos 500), y sería un atentado contra la privacidad de las víctimas que D. Juan los visionase.
Ni siquiera los he visto yo: afortunadamente, no fue necesario para el caso anterior (tan solo ver la información digital del primero de la tabla de direccionamiento de memoria de la SD). Ahora hay que comparar el contenido.
No es plato de buen gusto, pero hay que hacerlo.
"¿Por qué loo compara visualmente el profesor Duchement, si ya ha comentado en otras ocasiones que se pueden comparar por su huella digital y por SW de grado de similitud de imagen?"
Por dos motivos:
El grado de similitud de imagen es altísimo en todos (cámara fija, mismo ángulo, fondo anodino de los probadores...). Como mínimo, me va a dar una similitud de 70% (que es una barbaridad) EN TODOS.
Y ya que, sin querer, en este caso han salido las palabras "huella digital", es un buen momento para mencionar y promocionar la increíble labor didáctica que realizan l@s chic@s de @esmihuella sobre el uso de las RRSS 🥰 ¡un abrazo, compañer@s!
De todas formas, utilizo el SW de comparación de imagen y le subo la sensibilidad al 90%. Así solo veré los clips parecidísimos.
Gracias a este método, solo tengo que inmiscuirme en la privacidad de 47 víctimas (en lugar de las 500).
Puede parecer poca cosa, pero hay 453 mujeres que agradecerán (sin saberlo nunca) el haber optado por este medio respetando una ética profesional.
Confirmado:
Los vídeos presentes en la WEB, no solo son grabados desde la cámara perchero incautada en el caso anterior. Son de la remesa intervenida que, presuntamente, nunca vieron la luz ni fue recogida por la dueña del dispositivo espía.
Si habéis leído el caso anterior, seguro que ya tenéis sospechosos.
Haría una encuesta, pero no vale la pena. Seguro que Brais ya ha publicado la respuesta 😎
Salgo del laboratorio (tras actualizar la cadena de custodia y agregar las nuevas evidencias) con la pésima noticia para D. Juan, pero no lo encuentro.
Lo llamo por teléfono y descubro que el pobre hombre se había ido a rezar a una iglesia cercana para que no fueran los vídeos 😢
Llevo 3 horas encerrado en el lab y D. Juan ha estado todo ese tiempo rogando de rodillas que los clips difundidos no sean los intervenidos.
Lamento confirmarle que sus oraciones no han sido escuchadas en esta ocasión.
Todo apunta claramente a lo ocurrido en el primer caso:
Los vigilantes de Modas Asenflonhfli, tras incautar la cámara espía, extrajeron la tarjeta SD "para comprobar quién la había puesto", destruyendo la integridad de las pruebas y situándose en la diana de futuros sospechosos.
Salvo la encargada que se encontró el perchero espía, nadie más ha tocado la cámara. Solo los miembros del Equipo de Seguridad, y solo estos en un entorno íntimo (en su sala de control de seguridad).
Si alguien ha copiado el contenido de la SD, han tenido que ser ellos, y además en un plazo de tiempo inferior a un día, pues es lo que tardaron en cedérmela a mí.
Por suerte, ni siquiera son 24 horas, pues hay un horario laboral.
Tengo la ventana de sucesos acotadísima 😋
¿Pero cómo demostrar cuál o cuáles de los vigilantes decidieron cruzar la línea?
Interrogarlos sería levantar la liebre, y perseguir a los usuarios que compartieron el vídeo o el histograma de los clips sería una tarea ingente y duradera por los motivos técnicos que relato aquí: patreon.com/posts/expedien…
Así que el PC de la sala de control es la clave.
Se trata de una tarjeta SD, y dudo que los vigilantes de seguridad suelan ir a currar con un portátil en la mochila, así que, si duplicaron el contenido, tuvieron que utilizar el ordenador de la sala.
Me presento a las 3:00 en el local con D. Juan. Hemos quedado a esa hora para que la plantilla no sepa que hay investigación en curso.
Nos abre la sala de control y empiezo a investigar.
Sobre cómo confirmé que la SD se había duplicado, no puedo hablar (ni siquiera a mis mecenas)
Pero lo confirmé: no cabía duda.
Además, pude saber fácilmente en qué momento se hizo la copia.
Lamentablemente, la sala de control y de vigilancia del CCTV no es vigilada por el propio CCTV. No hay una cámara "vigilando a los vigilantes", así que, aunque sé cuando, no sé quién.
Y no se me ocurre cómo continuar.
¡Vamos! ¡Tienes que pensar como el culpable! ¡Sigue sus pasos!
-Me entero de que hay una cámara espía
-El material está en una SD
-Que el equipo de seguridad ha extraído
-En la privacidad de la sala de control
-A la que tengo acceso
-Con un PC
-Quiero una copia del material ilícito
-Porque soy un salido sin moral
-Y creo que nadie me va a pillar
-Entro en la sala
-Meto la SD en el PC
-Y para hacerme una copia y llevármela discretamente...
¡SACO MI PENDRIVE!
Tiene sentido: No iba a entrar en su correo (dejando evidencias) para mandarse 500 vídeos, ¿no?
Llevaba un pendrive en su bolsillo, en su cartera o en su llavero. Muchos los llevamos incluso sin pensar en usarlo ese día. ¡Ha visto la "oportunidad" y la ha "aprovechado"!
Si lo lleva encima como norma habitualmente, quizás lo lleve al trabajo mañana también...
¿Te cuento un secreto?
Sin herramientas profesionales, sin SW específico, en cualquier PC Windows y solo con saber las palabras mágicas, el Sistema Operativo nos puede proporcionar el historial de dispositivos USB que se le han conectado y sus propiedades.
Eso incluye UN IDENTIFICADOR ÚNICO PARA CADA PENDRIVE con el que podríamos reconocer unívocamente que se ha utilizado en el equipo.
Te muestro en primicia una imagen (con datos protegidos, claro) de la prueba.
Tengo el dispositivo identificado (es como una huella dactilar en la escena del crimen).
Ahora solo necesito encontrar la memoria USB (el dedo con el que comparar la huella).
Aquí es donde nos cae del cielo la lista que solicité al Director de Seguridad en la que debía constar todo vigilante que hubiera tenido acceso a la SD 😁
Sin avisar de para qué, al día siguiente son citados en la sala de control los vigilantes de la lista y el Director de Seguridad.
No sé con qué excusa, D. Juan los va haciendo pasar e indicando que introduzcan en su portátil algún pendrive que lleven encima para copiarles un PDF.
Tres no portaban pendrive. Podrían ser los culpables, pero no llevarlo encima ese día 🤦♂️
Entro a revisar el portátil de D. Juan y...
¡Premio!
El identificador del dispositivo en el que se copiaron los vídeos de la SD se ha conectado. Tiene el mismo identificador.
EL DE LA LLAVE.
Igual que le ocurrió a "la mirona", cuando el vigilante fue llevado a juicio tuvo que afrontar una consecuencia inesperada: sus delitos se vieron agravados por la presencia de menores entre los clips que duplico (lo supiera o no).
Y yo me cogí unos días de descanso, disfrutando de Málaga y de su buena gente 😊
En el juicio se descubrió que no fue el vigilante quien difundió el contenido por la WEB. Él se lo pasó "en privado" a un amigo y este a otro... al final dio el salto a la Red.
Hola.
Te voy a contar por qué no puedo:
Un perito que no respeta la confidencialidad de las víctimas o de sus clientes, es un pésimo perito (uno que se irá quedando sin trabajo poco a poco).
Por eso, aunque fricciono muchísimo los casos que divulgó y pido consentimiento...
cuando lo solicito doy una lista de detalles y datos que el aludido elegirá entre las siguientes opciones:
-Despistar con ficción
-Omitir
-Mencionar superficialmente
-Divulgar si restricciones
Para este caso, D. Juan (que no se llama D. Juan, claro) solicitó que omitiera totalmente la sentencia. Y yo lo respeto y le agradezco igualmente que me dejase contar su caso 😊
Pero por aquí hay mucho jurista tecnológico, y ellos (que son los expertos sobre legislación informática, yo solo soy el perito que aporrea el teclado 😜) pueden teorizar al respecto con total libertad 😊
🤩¡Bienvenid@s a mi Patreon, Javi, Jorge, David, Arantza, (wow! Arantza! Gracias!), Laura y Caro (Dios mío, Caro! #CiberProtecter hará mucho gracias a ti!)🤩
Cada vez que ayude a una familia con menores víctimas de las RRSS, vosotros también la estaréis auxiliando 🥰🥰🥰🥰🥰🥰🥰
Cada vez que enseño un dispositivo espía, siempre hay quien me incrimina estar dándole ideas “a los malos”.
La realidad es que los que buscan hacer el mal, ya los conocen todos. Mi labor de divulgación consigue que “los buenos”, cómo está profe, sepan identificar los peligros😊
PLOT: Desde un rinconcito de Andalucía, una famosa cadena de tiendas de moda contrata a un perito para averiguar quién ha instalado una cámara espía en sus probadores.
Ayer, a las 18:56 (todas las horas serán en uso horario canario) recibo un mensaje de @LaEtxebarria bastante amenazante (que incluye copy/paste del Código Penal, nombre y teléfono de su abogado y predisposición a denunciarme si no borro...
un tuit que, que yo sepa, nunca escribí). Estaba en un claustro de profesores y luego en un curso, sin usar el móvil.
No todos mis historias acaban bien (lo que ocurre es que es más fácil obtener consentimiento para divulgar aquellas que sí). Hoy os traigo un #NuevoCasoDeInformáticaForense que acabó mal... pero del que creo que muchos podremos aprender.
Juan es el padre de Ramón, un niño de 13 años que ha sido contactado por un groomer en TikTok.
Juan ha descubierto el intento porque Ramón le ha contado que un tipo le insiste en que le envíe “un pack” (para saber qué es, consulta este artículo). pduchement.org/2020/12/05/dif…
Juan ha puesto el grito en el cielo, claro.
Consulta a un profesional que le dice que solo hay un delito consumado (el asociado al grooming), porque el resto no ha conseguido llevarlo a cabo.
Me apetece sortear GRATUITAMENTE 5 de mis libros entre las donaciones que reciba hoy el fondo para familia con menores víctimas de agresiones en las RRSS y bullying. Por cada € donado, una posibilidad de que te mande un libro firmado y dedicado 🥰
Recuerda que todo lo aportado será para el fondo de familias con menores víctimas de agresiones en RRSS y bullying 🥰

Publicaré los ganadores el martes, en este mismo hilo 😊 (protegiendo datos personales, claro).
🥰Participan por ahora: MJL, VDC, PMC, IAM, JCP, EMS, DMS e ITJ 🥰
Y este... me sabe a gloria, porque es la típica agresión que hemos “normalizado” como sociedad, que no tiene nada de normal y que estamos acostumbrados a que acabe impune... pero que esta vez tuvo un final feliz 😊
¿Preparados?
Fase de contacto:
Me manda aquí una solicitud Rufino, el padre de una niña de 13 años con cuenta en IG.
“Estimado Profesor Duchement, le escribo preocupado.
Mi nombre es [Rufino] y quisiera poner en su conocimiento que [Lucía], mi hija de 13 años, ha recibido en su cuenta de IG una fotopolla.
Quisiera solicitar su ayuda para actuar al respecto.
Lamentablemente, no tenemos recursos”