-Sí, diga.
-Buenos días perito. Soy el Letrado de la Administración de Justicia del Tribunal de lo Penal N°X de Madrid. Contactamos para consultarle si podría realizar un peritaje a instancias del Juez. Es sobre su especialidad.
Y así comenzó este nuevo #CasoDeInformáticaForense
-Buenos días perito. Soy el Letrado de la Administración de Justicia del Tribunal de lo Penal N°X de Madrid. Contactamos para consultarle si podría realizar un peritaje a instancias del Juez. Es sobre su especialidad.
Y así comenzó este nuevo #CasoDeInformáticaForense
⚠️ADVERTENCIA⚠️
Como siempre aviso, se omitirán, modificarán o agregarán datos al caso narrado, a fin de que sea irreconocible y sus protagonistas no sean identificables.
Este hilo debe leerse como una ficción.
Como siempre aviso, se omitirán, modificarán o agregarán datos al caso narrado, a fin de que sea irreconocible y sus protagonistas no sean identificables.
Este hilo debe leerse como una ficción.
Viaje inesperado (afortunadamente en verano) y me presento al servicio de Su Señoría. Allí me facilitan el dossier del caso que, como siempre, es imposible de leer en el tiempo con el que cuento para decidirme si acepto el caso.
Para no hacerlo a ciegas, hago lo que todos:
Para no hacerlo a ciegas, hago lo que todos:
Salto a la sección de “Extremos sobre los que debe pronunciarse el perito”. Viendo qué se quiere descubrir, sabré hasta qué punto puedo ayudar y si soy competente para afrontarlo.
Un PC y un smartphone de un presunto agresor, un portátil presuntamente hackeado de una víctima, unos nudes difundidos sin consentimiento… los extremos no pueden ser más claros:
¿Puede confirmarse que el acusado es el responsable del hackeo del portátil de la víctima?
¿Puede confirmarse que el acusado es el responsable del hackeo del portátil de la víctima?
¿Puede confirmarse que el acusado es responsable de la difusión no consentida del material?
Afortunadamente, en este caso todos son mayores de edad (aunque por poco).
Afortunadamente, en este caso todos son mayores de edad (aunque por poco).
¿Solo dos extremos?
En mi experiencia, informes periciales con tan pocas preguntas significan que son fundamentales, que el caso se basará en gran medida en el resultado.
Son tan pocos requerimientos que Me da tiempo hasta de leer un poco más allá y darle contexto.
En mi experiencia, informes periciales con tan pocas preguntas significan que son fundamentales, que el caso se basará en gran medida en el resultado.
Son tan pocos requerimientos que Me da tiempo hasta de leer un poco más allá y darle contexto.
Fase de contexto:
Lola es una chica de 19 años.
Práctica sexting SOLO CON SU PAREJA, pero habitualmente desde los 14 años 😞.
Desde entonces ha tenido varías parejas relativamente estables.
La última de ellas, David, ha cortado con Lola.
Lola es una chica de 19 años.
Práctica sexting SOLO CON SU PAREJA, pero habitualmente desde los 14 años 😞.
Desde entonces ha tenido varías parejas relativamente estables.
La última de ellas, David, ha cortado con Lola.
Unas semanas después, Lola “detecta un mal funcionamiento en su portátil que es clara evidencia de estar siendo controlado por terceros [troyano]” (eso pone textualmente el dossier).
Lola se asusta. Ha estudiado CFGM de informática y detecta la supuesta intrusión.
Lola se asusta. Ha estudiado CFGM de informática y detecta la supuesta intrusión.
Es por ello que acude al servicio técnico de su portátil y solicita un borrado total y puesta a punto.
(😞 pruebas perdidas a cascoporro).
El mal funcionamiento parece haberse solucionado.
(😞 pruebas perdidas a cascoporro).
El mal funcionamiento parece haberse solucionado.
Tres semanas más tarde, una amiga de Lola se pone en contacto con ella:
“Tía! Mi hermano me ha enseñado una cosa que flipas. En su grupo de wa del gym han compartido fotos tuyas en bolas!”.
“Tía! Mi hermano me ha enseñado una cosa que flipas. En su grupo de wa del gym han compartido fotos tuyas en bolas!”.
Lola consigue que su amiga le mande las fotos.
No hay duda: son las que mandó a David (y solo a David) en su momento.
Pero hay algo más. Algo perturbador.
No hay duda: son las que mandó a David (y solo a David) en su momento.
Pero hay algo más. Algo perturbador.
Entre las fotos difundidas, hay algunas de ellas pertenecientes a las colecciones que se hizo para David… pero que nunca le mandó (por desecharlas).
Es decir, adoptaba una postura, se hacía diez fotos y solo mandaba la que más le gustaba. Pues, algunas de las que
Es decir, adoptaba una postura, se hacía diez fotos y solo mandaba la que más le gustaba. Pues, algunas de las que
jamás envió (ojos cerrados, foto movida…) están en ese grupo de WhatsApp.
¡Alguien se las ha robado!
Es debido a que David es el único que ha tenido acceso legítimo a la mayoría de las fotos (y a su reciente saparición) que el padre de Lola (que es quien está impulsando todo el proceso instando a su hija para que consiga justicia) hace que denuncie a su ex.
¿Por dónde empezamos?
Claro, necesitamos más contexto.
Lamentablemente, este no es un peritaje de parte, y hablar con uno de los implicados es extremadamente complicado.
Habría que justificarlo mucho, solicitar el requerimiento a Su Señoría, que esta acceda, que se cite al implicado y su abogado…
Lamentablemente, este no es un peritaje de parte, y hablar con uno de los implicados es extremadamente complicado.
Habría que justificarlo mucho, solicitar el requerimiento a Su Señoría, que esta acceda, que se cite al implicado y su abogado…
Lo que sí que se puede hacer con un poco más de soltura es hacer una pregunta por escrito. Pero, en un peritaje judicial, no me puedo apartar ni un milímetro de la técnica y de las evidencias ya recogidas. Eso de localizar evidencias yo… aquí no.
Así que hago la solicitud de información que lanzo es clara y concisa:
“¿En qué consistía el mal funcionamiento detectado?”.
“¿En qué consistía el mal funcionamiento detectado?”.
¿Y ahora?
Vamos al portátil de Lola.
El técnico ha hecho un borrado a conciencia.
Me veo un equipo casi de fábrica 😞
Comienzo a analaizarlo y a intentar recuperar evidencias: esto va a llevar unos días.
¿Y mientras?
El técnico ha hecho un borrado a conciencia.
Me veo un equipo casi de fábrica 😞
Comienzo a analaizarlo y a intentar recuperar evidencias: esto va a llevar unos días.
¿Y mientras?
La información interna de los archivos revela poco: para compartirlos se ha utilizado una app que altera los archivos y machaca metadatos 😞
La buena noticia es que llega respuesta de Lola:
Al parecer, el mal funcionamiento que había detectado era que el puntero del ratón dejaba de responder a sus movimiento y empezaba a desplazarse solo por la pantalla, “como si lo moviese otro”.
🤔mmmm
Al parecer, el mal funcionamiento que había detectado era que el puntero del ratón dejaba de responder a sus movimiento y empezaba a desplazarse solo por la pantalla, “como si lo moviese otro”.
🤔mmmm
Esto, que tiene una pinta terrible (😱¡Otro está moviendo el puntero de mi ratón!🤯), sumado a la difusión posterior, es comprensiblemente confundible con un troyano. Lamentablemente, las pruebas fueron borradas en el servicio técnico a petición de Lola.
Pero podría no serlo 🤷🏼♂️
Pero podría no serlo 🤷🏼♂️
¿Escritorio remoto?
¿Virus troll?
¿Conexión a un segundo ratón?
¿Virus troll?
¿Conexión a un segundo ratón?
El equipo de Lola sigue en laboratorio, a ver si se recupera algo.
¿Qué hago?
¿Qué hago?
Trazar los envíos, si hay tres generaciones de reenvíos, es plausible.
A partir de ahí, se empieza a complicar una barbaridad: hace falta una orden judicial para requisar cada smartphone que ha participado de la cadena.
La difusión de estas cosas es… exponencial. Me explico:
A partir de ahí, se empieza a complicar una barbaridad: hace falta una orden judicial para requisar cada smartphone que ha participado de la cadena.
La difusión de estas cosas es… exponencial. Me explico:
Si cada eslabón de la cadena se lo manda (solo) a tres contactos, pasamos de 1 implicado en la generación cero (difusor original) a 3 en la primera, 9 en la segunda, 27 en la tercera, 81 en la cuarta… pero sin descartar las anteriores 81+27+9+3+1 = 121 implicados, así de fácil.
Además, no se manda solo a 3 contactos 😞
En resumen… una cantidad de órdenes de registro inviable “solo por unos nudes filtrados” (así es como se percibe).
No me las darán.
Si Lola fuera menor, las pelearía y, con mucha suerte, las conseguiría. Pero tratándose de una adulta, no lo harán.
Necesitamos otro camino 😞
No me las darán.
Si Lola fuera menor, las pelearía y, con mucha suerte, las conseguiría. Pero tratándose de una adulta, no lo harán.
Necesitamos otro camino 😞
Quedan pocas opciones:
La inspección de las imágenes no parece prometer arrojar luz sobre este caso en concreto y resultaría oneroso para la víctima.
Prefiero reservarlo como último recurso, si no encuentro más vías de investigación, y evitarlo si es posible. No parece necesario.
Prefiero reservarlo como último recurso, si no encuentro más vías de investigación, y evitarlo si es posible. No parece necesario.
¿Y ahora?
¡Ya estabais tardando!
(En el caso original, yo pasé por esta opción mucho antes que otras).
¡Si David realmente ha hackeado el portátil de Lola (primer extremo solicitado por Su Señoría), seguro que habrá pruebas en su equipo!
(En el caso original, yo pasé por esta opción mucho antes que otras).
¡Si David realmente ha hackeado el portátil de Lola (primer extremo solicitado por Su Señoría), seguro que habrá pruebas en su equipo!
Me llevo el clon del disco duro de David (al parecer, no se ha requisado el equipo entero) al laboratorio y empiezo el análisis.
O este tío es el asaltante informático más inteligente del mundo escondiendo pruebas, o no ha sido él:
O este tío es el asaltante informático más inteligente del mundo escondiendo pruebas, o no ha sido él:
No hay indicios del supuesto hackeo. Pero es que ni siquiera hay pruebas de un “jugueteo” con el lado oscuro de la informática.
De hecho, este tipo usa su equipo solo como herramienta de trabajo (ofimática), ver películas, navegar en sus redes y consumir porno (legal).
De hecho, este tipo usa su equipo solo como herramienta de trabajo (ofimática), ver películas, navegar en sus redes y consumir porno (legal).
Efectivamente, encuentro una carpeta (un tanto fuera de miradas indiscretas) que contiene las fotos de Lola.
Pero aquí hay dos cuestiones importantes que me hacen creer definitivamente que David no es el difusor original:
Pero aquí hay dos cuestiones importantes que me hacen creer definitivamente que David no es el difusor original:
Estos dos indicios están solo disponibles para mecenas en el siguiente enlace (y como agradecimiento a su soporte):
patreon.com/posts/62876261
patreon.com/posts/62876261
Pero vamos, que tiene toda la pinta de no haber sido él.
Voy a comenzar el análisis del smartphone de David cuando paso ante el portátil de Lola (aún en proceso de recuperación) y me fijo en algo extraño:
¡El cursor se está moviendo solo!
¡El cursor se está moviendo solo!
Quizás esto no os haya sorprendido lo bastante aún a los de la teoría del troyano o el escritorio remoto.
Eso se debe a que aún no conocéis la configuración de mi lab: está bajo el radio de acción del inhibidor de frecuencias de la (cercana) Comisaría Superior de Policía.
Eso se debe a que aún no conocéis la configuración de mi lab: está bajo el radio de acción del inhibidor de frecuencias de la (cercana) Comisaría Superior de Policía.
Además está completamente rodeado por una jaula de Faraday industrial.
No hay red, y ninguna señal puede entrar o salir del laboratorio.
🤷🏼♂️🤷🏼♂️🤷🏼♂️
No hay red, y ninguna señal puede entrar o salir del laboratorio.
🤷🏼♂️🤷🏼♂️🤷🏼♂️
Observó el movimiento:
-Errático
-A saltos
-Cambiando constantemente de dirección
-Detectando clicks aleatorios
Esto no es un troyano. Es una avería (además, una que conozco muy bien de esta marca de portátiles) en el trackpad por calentamiento.
-Errático
-A saltos
-Cambiando constantemente de dirección
-Detectando clicks aleatorios
Esto no es un troyano. Es una avería (además, una que conozco muy bien de esta marca de portátiles) en el trackpad por calentamiento.
Analizo el smartphone de David: cero evidencias de haber sido alterado y cero evidencias de haber difundido el material.
Me quedo sin vías de investigación que soporten la teoría de la acusación.
Me quedo sin vías de investigación que soporten la teoría de la acusación.
Solo para concluir y cerrar todos los caminos, inspecciono las imágenes.
No aportan nada nuevo al caso.
No aportan nada nuevo al caso.
Mi informe se pronuncia en el siguiente sentido:
-¿Puede confirmarse que el acusado es el responsable del hackeo del portátil de la víctima?
-No se ha hallado ninguna señal de haberse realizado dicha operación desde el equipo del acusado.
Además, no hay indicios de que el equipo
-¿Puede confirmarse que el acusado es el responsable del hackeo del portátil de la víctima?
-No se ha hallado ninguna señal de haberse realizado dicha operación desde el equipo del acusado.
Además, no hay indicios de que el equipo
se haya utilizado en actividades del estilo en otras ocasiones.
Por otro lado, no se ha encontrado ninguna prueba en el portátil de la demandante que confirmen una infección y/o intrusión (claro que esto puede deberse a la puesta a modo de fábrica que solicitó al SAT).
Por otro lado, no se ha encontrado ninguna prueba en el portátil de la demandante que confirmen una infección y/o intrusión (claro que esto puede deberse a la puesta a modo de fábrica que solicitó al SAT).
Cabe destacar que el forense ha detectado una avería en el dispositivo que coincide con el mal funcionamiento que describe la demandante y que podría explicar su aparente pérdida de control en virtud de terceros.
-¿Puede confirmarse que el acusado es responsable de la difusión no consentida del material?
-El perito no ha localizado ninguna evidencia de que el acusado sea el difusor original del contenido.
Su dispositivo móvil no presenta pruebas de haber sido alterado, y sus
-El perito no ha localizado ninguna evidencia de que el acusado sea el difusor original del contenido.
Su dispositivo móvil no presenta pruebas de haber sido alterado, y sus
comunicaciones no han registrado dicha difusión original (ni ninguna secundaria).
En cuanto al material, aparece una copia en el disco duro del acusado junto con otro material afín. Analizando las carpetas, podría inferirse (sin confirmación absoluta, pero sí razonable) que
En cuanto al material, aparece una copia en el disco duro del acusado junto con otro material afín. Analizando las carpetas, podría inferirse (sin confirmación absoluta, pero sí razonable) que
el acusado no es el difusor del contenido en base a las siguientes dos evidencias:
patreon.com/posts/62876261
patreon.com/posts/62876261
Por todo esto, el forense dictamina que no hay indicios suficientes para confirmar el extremo con un positivo.
Mi trabajo está hecho 🤷🏼♂️
David, que estaba al borde de comerse un buen marrón (y del que parecía cantado que sería culpable), se libró de una buena.
⚠️Evidencias localizadas
⚠️Pruebas certificadas
⚠️Informe pericial concluido
⚠️¡Caso cerr…!
David, que estaba al borde de comerse un buen marrón (y del que parecía cantado que sería culpable), se libró de una buena.
⚠️Evidencias localizadas
⚠️Pruebas certificadas
⚠️Informe pericial concluido
⚠️¡Caso cerr…!
¡Oh, wait!
Puede que mi trabajo esté hecho.
Puede que David sea inocente.
Pero entonces…
Puede que mi trabajo esté hecho.
Puede que David sea inocente.
Pero entonces…
Si no fue David, ¿cómo se difundieron los nudes de Lola (y, además, entre ellos, algunos que jamás había enviado)?
Aquella fue exactamente la pregunta que me hizo su padre cuando me llamó a las semanas de que mi dictamen fuera concluyente en el proceso.
“Si usted ha hecho que el ex de Lola no lo pague, lo contrataré para que descubra quién lo hizo”.
😶
“Si usted ha hecho que el ex de Lola no lo pague, lo contrataré para que descubra quién lo hizo”.
😶
Y así termina este caso… y empieza el siguiente 😊
Para los ansiosos, os adelanto ya que sí que descubrimos lo ocurrido.
Pero eso queda pendiente para otro día, que estoy muerto.
Gracias por leerme y gracias por el apoyo a #CiberProtecter 😊
pduchement.org/ciberprotecter/
Para los ansiosos, os adelanto ya que sí que descubrimos lo ocurrido.
Pero eso queda pendiente para otro día, que estoy muerto.
Gracias por leerme y gracias por el apoyo a #CiberProtecter 😊
pduchement.org/ciberprotecter/
• • •
Missing some Tweet in this thread? You can try to
force a refresh
