Tras un juicio en el que se demostró que su ex pareja no había sido quien había difundido sus nudes, el padre de Lola me contrata como perito de parte para localizar al responsable.
Es otro #CasoDeInformáticaForense, pero resúmanos el anterior, para no perdernos:
Es otro #CasoDeInformáticaForense, pero resúmanos el anterior, para no perdernos:
https://twitter.com/pduchement/status/1495840409809047554
✅Lola
✅19 años
✅Práctica sexting con sus parejas estables desde los 14
✅Corta con su último novio
✅Detecta un mal funcionamiento en su portátil
✅Lo diagnostica como una intrusión
✅Lo lleva al servicio técnico a formatearlo
✅19 años
✅Práctica sexting con sus parejas estables desde los 14
✅Corta con su último novio
✅Detecta un mal funcionamiento en su portátil
✅Lo diagnostica como una intrusión
✅Lo lleva al servicio técnico a formatearlo
✅A partir de entonces, los nudes que mandó a su último novio se difunden
✅Pero también fotos que no llegó a mandarle
✅Se demuestra (en el caso anterior) que no ha sido el chico
¿QUIEN HA SIDO?
✅Pero también fotos que no llegó a mandarle
✅Se demuestra (en el caso anterior) que no ha sido el chico
¿QUIEN HA SIDO?
Primero que nada, os recuerdo que altero, omito y añado tantos datos al caso (para que no sea identificable) que debéis leerlo como una ficción.
También aprovecho para recordaros que “Te espero a la salida, un manual para padres frente al acoso escolar”, está a la venta en Amazon, pero también en Librería Atlantic, C/Jericó, 46, 35018, Las Palmas de Gran Canaria.
amzn.to/3Kcqqcl
amzn.to/3Kcqqcl
Fase de investigación:
Dado que hay fotos de Lola que, teóricamente, nunca salieron de su poder, es presumible que, o sí que ha habido intrusión, o hay que buscar momentos en los que sus dispositivos hayan estado fuera de su control.
Dado que hay fotos de Lola que, teóricamente, nunca salieron de su poder, es presumible que, o sí que ha habido intrusión, o hay que buscar momentos en los que sus dispositivos hayan estado fuera de su control.
Tiene pinta de que va a ser fácil: en el caso anterior, ya pude investigar el portátil.
Intentando recuperar evidencias anteriores al borrado de datos, descubrí dos cosas:
Intentando recuperar evidencias anteriores al borrado de datos, descubrí dos cosas:
1️⃣ No había evidencias de intrusiones
2️⃣ El mal funcionamiento era debido a un fallo hardware
2️⃣ El mal funcionamiento era debido a un fallo hardware
Desde que publiqué el caso anterior, me habéis sepultado con la hipótesis de que, en el servicio técnico, se habían encontrado el material de Lola y que algún “listo” se lo había agenciado antes del formateo.
La verdad es que tiene toda la pinta.
El problema es…
La verdad es que tiene toda la pinta.
El problema es…
¿Cómo lo demostramos?
Os dejo 10 minutos para que respondáis y escucho propuestas 😊
Os dejo 10 minutos para que respondáis y escucho propuestas 😊
Estaba en el dispositivo, nada de clouds o repositorios 😌
https://twitter.com/R0martos/status/1499346915544162304
La falta de propuestas refleja lo complicado del asunto.
La verdad es que yo me vi igual.
Entonces el padre de Lola me trae la factura del servicio técnico, que incluye una especie de informe de la reparación.
Los ojos me hacen chiribitas cuando leo las palabras
La verdad es que yo me vi igual.
Entonces el padre de Lola me trae la factura del servicio técnico, que incluye una especie de informe de la reparación.
Los ojos me hacen chiribitas cuando leo las palabras
“Técnico encargado” seguido de un nombre y un apellido 😊
El proceso de recuperación de archivos del portátil de Lola me depara muchos sinsabores… pero dos sorpresas positivas: alguno de los nudes filtrados y la mayoría de los archivos del sistema.
¿Y con eso qué?
¿Y con eso qué?
Pues, dos cositas:
Primero, como introduce el crack de @andayatocatelos, podemos acceder a datos que implican acciones sobre los nudes en cuestión.
Para el caso, la fecha de última apertura es importantísimo, porque si la última vez que se visualizó es mientras estaba
Primero, como introduce el crack de @andayatocatelos, podemos acceder a datos que implican acciones sobre los nudes en cuestión.
Para el caso, la fecha de última apertura es importantísimo, porque si la última vez que se visualizó es mientras estaba
https://twitter.com/andayatocatelos/status/1499351965951791105
bajo custodia del servicio técnico, ya sabemos dónde se consiguieron.
Y… Efectivamente, los metadatos demuestran que los nudes fueron abiertos (y no pocos) mientras el dispositivo estaba en taller.
Y… Efectivamente, los metadatos demuestran que los nudes fueron abiertos (y no pocos) mientras el dispositivo estaba en taller.
Hagamos constar aquí que, para el encargo que hizo Lola (un reseteo a valores de fábrica), no solo no era necesario andar abriendo archivos, sino que no está justificado en absoluto ir husmeando por las carpetas personales e, incluso si abrió uno sin querer,
no tiene sentido técnico abrir los demás (de hecho, todos los que recuperé: el tío se pasó una tarde entretenida 😠).
Ya podemos demostrar que el último acceso al material difundido fue en el taller del SAT.
Además, tenemos en factura al técnico que reparó el portátil.
¿Hemos cogido a nuestro hombre?
Además, tenemos en factura al técnico que reparó el portátil.
¿Hemos cogido a nuestro hombre?
¿Qué opinas?
El @R0martos debe ser investigador o perito, porque lleva todo el hilo atinando.
Me explico:
Saber que se apropiaron de los archivos en el SAT y saber quién tenía la custodia del dispositivo, no implica que sea por fuerza ese técnico.
¿Y si se acercó otro y curioseó?
Me explico:
Saber que se apropiaron de los archivos en el SAT y saber quién tenía la custodia del dispositivo, no implica que sea por fuerza ese técnico.
¿Y si se acercó otro y curioseó?
https://twitter.com/R0martos/status/1499356429903347713
Necesitamos acotar.
Necesitamos colaboración de la empresa.
Me presento en el lugar y consigo hablar con el máximo encargado, que se muestra dispuesto a colaborar tras presentarme.
Entonces aparece un dato genial 😊
Necesitamos colaboración de la empresa.
Me presento en el lugar y consigo hablar con el máximo encargado, que se muestra dispuesto a colaborar tras presentarme.
Entonces aparece un dato genial 😊
Cada técnico dispone de su propio armario de herramientas (que, por supuesto, les facilita la empresa). Entre ellas, figura un pen drive para cada trabajador. Lo usan para copias puntuales, instalar pequeñas herramientas o trasladar archivos. La memoria ES DE LA EMPRESA.
Al sospechar de un técnico en concreto, el (vamos a llamarlo) jefazo sabe perfectamente a qué armario dirigirse y extrae el lápiz USB que le pertenece.
Le digo que si me permite analizarlo (le dejo claro que no tengo orden de registro ni estoy allí en calidad de perito JUDICIAL).
Le digo que si me permite analizarlo (le dejo claro que no tengo orden de registro ni estoy allí en calidad de perito JUDICIAL).
Se niega, pero por razones comprensibles: puede haber datos y archivos de otros clientes.
Entonces le pido el código identificador interno del pen.
Eso sí me lo da, y yo me marcho a mi laboratorio aplaudiendo con las orejas, porque, tal y como @R0martos lleva rato diciendo…
Entonces le pido el código identificador interno del pen.
Eso sí me lo da, y yo me marcho a mi laboratorio aplaudiendo con las orejas, porque, tal y como @R0martos lleva rato diciendo…
https://twitter.com/r0martos/status/1499354826496520200
Con los archivos de sistema recuperadnos, hay formas de recuperar el historial de dispositivos USB conectados al portátil de Lola.
Os dejo el método en este post solo para mecenas, para agradecerles su soporte a mi causa 🥰
patreon.com/posts/62876261
patreon.com/posts/62876261
¿Resultado del análisis?
La memoria USB asignada al técnico que reparó el portatil de Lola fue conectada (sus drivers autoinstalados y su código de identificación fichado por el registro) antes del formateo.
La memoria USB asignada al técnico que reparó el portatil de Lola fue conectada (sus drivers autoinstalados y su código de identificación fichado por el registro) antes del formateo.
Si la apertura de archivos ya era difícilmente justificable atendiendo un encargo de reseteo a parámetros de fábrica, la conexión de una memoria USB… ya ni os cuento.
Así que, con el momento de última apertura del material ubicado en el SAT, con el nombre de técnico de la reparación y con un dispositivo de almacenamiento conectado sin sentido que estaba asignado al mismo, casi hemos resuelto el caso.
La defensa podrá asegurar que otro compañero cogería su pendrive y el dispositivo a reparar que le tocaba a él, pero es difícil de sostener:
El tiempo mínimo de “husmeo” que puedo probar (comparando el nude con fecha de última lectura más antigua que encuentro con la que menos)
El tiempo mínimo de “husmeo” que puedo probar (comparando el nude con fecha de última lectura más antigua que encuentro con la que menos)
supera los 47 minutos.
Es casi impensable que un compañero ocupe tu puesto o usurpe tu trabajo durante tres cuartos de hora y que tú no te enteres 🤷🏼♂️
Es casi impensable que un compañero ocupe tu puesto o usurpe tu trabajo durante tres cuartos de hora y que tú no te enteres 🤷🏼♂️
La mínima duda existe, pero Lola puede pedir un peritaje judicial a instancias de parte ante Su Señoría.
Con un nombre de sospechoso y una orden de registro, al compañero forense que se le asigne no le costará localizar los presuntos envíos no consentidos del material
Con un nombre de sospechoso y una orden de registro, al compañero forense que se le asigne no le costará localizar los presuntos envíos no consentidos del material
desde los dispositivos del técnico (o trazar el tráfico de los receptores colaboradores hasta él, que, sabiendo a quién buscas, es plausible conducir mejor por la traza, sin tener que estudiar todas las ramificaciones).
Conclusión: borra siempre tus archivos comprometedores antes de entregar tus dispositivos a nadie (incluido al servicio técnico).
⚠️Evidencias localizadas
⚠️Pruebas certificadas
⚠️Informe concluido
⚠️¡Caso cerrado!
⚠️Evidencias localizadas
⚠️Pruebas certificadas
⚠️Informe concluido
⚠️¡Caso cerrado!
Acabo recordándoos que si tenéis a un menor que esté sufriendo acoso en su entorno digital y/o escolar, #CiberProtecter os atenderá sin cobraros ni un € 😊
Igualmente, si la iniciativa te parece útil y quieres colaborar, puedes apoyarla dándole soporte🥰
pduchement.org/ciberprotecter/
Igualmente, si la iniciativa te parece útil y quieres colaborar, puedes apoyarla dándole soporte🥰
pduchement.org/ciberprotecter/
Vamos con los comentarios:
Esta incertidumbre es comprensible.
A veces, yo también la sufro.
Pero aclaremos algo:
1️⃣Los post para mecenas no suelen tener datos técnicos, solo estadísticos o curiosos
2️⃣Cuando son técnicos, son de utilidad “para los buenos”: en el post explico
Esta incertidumbre es comprensible.
A veces, yo también la sufro.
Pero aclaremos algo:
1️⃣Los post para mecenas no suelen tener datos técnicos, solo estadísticos o curiosos
2️⃣Cuando son técnicos, son de utilidad “para los buenos”: en el post explico
https://twitter.com/rfog42/status/1499363792161017864
cómo generar un listado de historial de USBs conectados, no cómo borrarlo o editarlo (que es un proceso muy diferente)
3️⃣Lamentablemente, “los malos” ya saben todas estas cosas. Que yo lo cuente, solo provoca que…
3️⃣Lamentablemente, “los malos” ya saben todas estas cosas. Que yo lo cuente, solo provoca que…
4️⃣Así “los buenos” nos informamos y sabemos cómo trincarlos y…
5️⃣Así esa gentuza se entera de una bendita vez que no son ni anónimos ni impunes, que solo se están aprovechando de la ignorancia de otros, pero que se les puede coger 😊
5️⃣Así esa gentuza se entera de una bendita vez que no son ni anónimos ni impunes, que solo se están aprovechando de la ignorancia de otros, pero que se les puede coger 😊
Quizás así se lo piensen dos veces antes de destruir la vida de una chica de 19 años aireando su imagen privada 🤷🏼♂️
Y con estas publicaciones, consigo soporte económico para mantener la causa:
https://twitter.com/pduchement/status/1499361764902846465
• • •
Missing some Tweet in this thread? You can try to
force a refresh
