Vamos con el #CasoDeInformáticaForense de hoy: una empleada que se siente acosada porque cree que su jefe ha hackeado su móvil y la intimida con datos que no debería conocer.
Como siempre, primero las advertencias:
Como siempre, primero las advertencias:
Obviamente, no puedo divulgar casos reales tal cual son. Lo que comparto en TW es una serie de datos reales que me permite la víctima, mezclados con datos alterados o incluso agregados para volver el caso irreconocible y proteger la identidad de los aludidos. Leedlo como ficción.
De hecho, si hay tres cosas interesantes que quiero divulgar o tres casos muy parecidos, no sería la primera vez que los mezclo y cuento como uno solo 🤷🏼♂️
La idea es informar sobre los peligros informáticos que nos acechan, no hacer un diario de bitácora.
La idea es informar sobre los peligros informáticos que nos acechan, no hacer un diario de bitácora.
Divulgo estos casos novelados para enseñar sobre autociberprotección y para pediros ayuda con @CiberProtecter, una iniciativa personal de ayuda gratuita a familia con hijos víctimas de acoso en el entorno escolar y/o digital.
pduchement.org/ciberprotecter/
pduchement.org/ciberprotecter/
Para echarme una mano con dicha iniciativa, tengo abierto un Patreon al que os podéis suscribir.
Algunos detalles de mis casos se reservan solo para mecenas, con el objetivo de animaros a suscribiros y para recompensar a quienes me dan soporte mes a mes 🥰
patreon.com/pduchement
Algunos detalles de mis casos se reservan solo para mecenas, con el objetivo de animaros a suscribiros y para recompensar a quienes me dan soporte mes a mes 🥰
patreon.com/pduchement
Hay quienes no quieren suscribirse y prefieren hacer un donativo puntual.
Toda ayuda es bienvenida 😊
pduchement.org/donaciones/
Toda ayuda es bienvenida 😊
pduchement.org/donaciones/
También os recuerdo que la parte que Amazon me destina de las ventas de mi libro “Te espero a la salida, un manual para padres frente al acoso escolar” se destina a esta iniciativa.
amzn.to/3BFOvHA
amzn.to/3BFOvHA
Y, sin más interrupciones, comienzo el hilo.
Eso sí, tengo muy mala vista y el autocorrector me la juega más que ayuda, así que disculpad las erratas 😳
Eso sí, tengo muy mala vista y el autocorrector me la juega más que ayuda, así que disculpad las erratas 😳
Fase de contacto:
Me pide ayuda Gemma, una chica administrativa que trabaja para una empresa familiar (que no es de su familia) que se dedica a la venta de muebles (pero a gran escala).
Gemma tiene la desgracia de tener que trabajar en uno de esos escenarios en los que,
Me pide ayuda Gemma, una chica administrativa que trabaja para una empresa familiar (que no es de su familia) que se dedica a la venta de muebles (pero a gran escala).
Gemma tiene la desgracia de tener que trabajar en uno de esos escenarios en los que,
como todos son familiares (hermanos, padres, primos…) no parece respetarse ningún tipo de jerarquía y TODOS se sienten “jefes”.
De hecho, desde el comienzo hay una persona que ni siquiera es del departamento de Gemma, pero, al ser hijo del dueño, se considera su superior.
De hecho, desde el comienzo hay una persona que ni siquiera es del departamento de Gemma, pero, al ser hijo del dueño, se considera su superior.
Desde el minuto esto, me cuenta Gemma, este tipo ha intentado establecer una especie de posición de poder sobre ella.
A pesar de no tener ni idea de administración, evalúa su trabajo (sin ser su competencia) e intenta darle órdenes.
Su trato es, demasiado agresivo y dominante
A pesar de no tener ni idea de administración, evalúa su trabajo (sin ser su competencia) e intenta darle órdenes.
Su trato es, demasiado agresivo y dominante
durante el horario de trabajo, pero excesivamente cercano y amable fuera del mismo.
La situación de Gemma se vuelve muy complicada seis meses antes de ponerse en contacto conmigo, cuando este (llamémoslo Cayetano) le pide salir.
Gemma lo rechaza.
A Cayetano no le sienta bien.
La situación de Gemma se vuelve muy complicada seis meses antes de ponerse en contacto conmigo, cuando este (llamémoslo Cayetano) le pide salir.
Gemma lo rechaza.
A Cayetano no le sienta bien.
De hecho, la situación laboral de Gemma se recrudece hasta casi volverse inaguantable.
Habla con sus (verdaderos) superiores para pedir ayuda… pero son familia.
Habla con sus (verdaderos) superiores para pedir ayuda… pero son familia.
Tres meses antes de nuestra primera entrevista, Gemma empieza a sentir miedo.
Según me cuenta, Cayetano empieza a demostrar a “saber cosas que no debería saber” y está convencida de que ha hackeado su móvil.
“Al principio pensé que solo era el PC de la empresa, pero fue a más”.
Según me cuenta, Cayetano empieza a demostrar a “saber cosas que no debería saber” y está convencida de que ha hackeado su móvil.
“Al principio pensé que solo era el PC de la empresa, pero fue a más”.
Cayetano la visita con frecuencia en su puesto, y aunque no hay amenazas explícitas, sí que “juega” a asustarla contándole lo que sabe y lo que no.
“El primer indicio (y susto) fue cuando me dijo que sabía que había mandado mi cuerículo a otras empresas y que buscaba trabajo nuevo. Supo decirme la fecha de los correos. Cuando reunía fuerzas para preguntarle qué cómo sabía esas cosas, me decía que Palencia es muy pequeña
y que conoce a mucha gente que le cuentan cosas. Gente en cargos importantes. Que se enteraría de cualquier paso que diera. Me volví paranoica”.
Yo ya había atendido casos como este en ocasiones, y sé que estos autodenominados “hackers” no suelen serlo. En la mayoría de los casos son trileros que usan algún truco sacado de un tutorial de YouTube y poco más. El resto es “truco de magia”, una ilusión de poder. Faroles.
Por eso es necesario distinguir entre datos que realmente conoce el intruso y datos que no.
Así que vamos a la…
Así que vamos a la…
Fase de análisis:
A pesar de ser muchísimos datos sueltos que injustificadamente conoce Cayetano, tras sentarme con Gemma para analizar las posibles fuentes, se reduce a:
-Los datos derivados del envío de correos desde su cuenta
-La fecha recepción de correos en su cuenta
A pesar de ser muchísimos datos sueltos que injustificadamente conoce Cayetano, tras sentarme con Gemma para analizar las posibles fuentes, se reduce a:
-Los datos derivados del envío de correos desde su cuenta
-La fecha recepción de correos en su cuenta
Visto así, la verdad es que Gemma se tranquiliza. Solo son dos fuentes, y muy relacionadas.
“Había llegado a creer que me tenía sitiada. Estaba muerta de miedo. Llegué a un punto de inseguridad tal que incluso me planteé si mi vida no sería más fácil dándole lo que quería”.
“Había llegado a creer que me tenía sitiada. Estaba muerta de miedo. Llegué a un punto de inseguridad tal que incluso me planteé si mi vida no sería más fácil dándole lo que quería”.
Por favor, no juzguéis a Gemma por esta frase.
No sabéis el sentimiento de persecución y miedo que llegó a experimentar.
Ella solo merece nuestra comprensión y que compartamos su alivio al descubrir que las cosas no estaban tan mal.
No sabéis el sentimiento de persecución y miedo que llegó a experimentar.
Ella solo merece nuestra comprensión y que compartamos su alivio al descubrir que las cosas no estaban tan mal.
Hay otro dato personal que conoce (y no debería conocer) Cayetano y que justifica el miedo de Gemma.
Es personal y privado, por lo que es el que más le asusta.
Os lo dejó aquí, pero vamos, para los no suscriptores, tiene que ver con una foto.
patreon.com/posts/70142290…
Es personal y privado, por lo que es el que más le asusta.
Os lo dejó aquí, pero vamos, para los no suscriptores, tiene que ver con una foto.
patreon.com/posts/70142290…
Analizamos juntos y en profundidad los datos conocidos por Cayetano y llegamos a una coclusión clara.
-Conoce datos de ALGUNOS correos que Gemma ha recibido
-Conoce en qué momento Gemma abre los correos que él le manda
-Ha visto una foto personal de Gemma que no le ha enseñado
-Conoce datos de ALGUNOS correos que Gemma ha recibido
-Conoce en qué momento Gemma abre los correos que él le manda
-Ha visto una foto personal de Gemma que no le ha enseñado
Todavía es muy vago todo.
Seguimos discriminando datos.
Finalmente, transfórmanos las conclusiones en estas otras:
Seguimos discriminando datos.
Finalmente, transfórmanos las conclusiones en estas otras:
1º Conoce datos de correos que Gemma ha abierto en el PC de la empresa
2º Conoce en qué momento Gemma abre los correos que él le manda, sin importar desde eón de los abra
3º La foto personal de Gemma se explica con 1º, pues la recibió por correo y la abrió en el PC del trabajo
2º Conoce en qué momento Gemma abre los correos que él le manda, sin importar desde eón de los abra
3º La foto personal de Gemma se explica con 1º, pues la recibió por correo y la abrió en el PC del trabajo
A nivel técnico, las cosas se van aclarando.
1º El PC de la empresa puede estar intervenido
2º Los correos que Cayetano le manda, deben tener alguna especie de acuse de recibo
1º El PC de la empresa puede estar intervenido
2º Los correos que Cayetano le manda, deben tener alguna especie de acuse de recibo
Para 1º, pido a Gemma que, cuando acuda al trabajo, visualice los procesos abiertos y en ejecución. Para ello debe ir al administrador de tareas (os dejo un vídeo sobre qué es, el ctr+alt+supr) y sacarme unas capturas de los procesos que estén funcionando.
Cuando nos volvemos a ver, me facilita la lista.
Tardamos menos de 5 minutos en localizar un proceso de auditoría.
Lo conozco bien: lo instalo en las aulas de informática para que el profesor pueda visualizar desde su PC el trabajo que está haciendo cada alumno en el suyo 😊
Tardamos menos de 5 minutos en localizar un proceso de auditoría.
Lo conozco bien: lo instalo en las aulas de informática para que el profesor pueda visualizar desde su PC el trabajo que está haciendo cada alumno en el suyo 😊
Es decir, el PC del puesto de Gemma está bajo vigilancia desde otro PC.
Puede ver todo lo que hace Gemma.
Puede ver todo lo que hace Gemma.
Incluido visualizar el contenido privado que Gemma abra desde este dispositivo (lo cuál explica lo de la foto).
Pero esto no es trabajo nivel hacker, ni mucho menos 😊
Vamos a ver lo de que sepa el momento exacto de la apertura de sus correos sin importar el dispositivo desde el que acceda.
Esto sí que va a ser más interesante a nivel técnico 😎
Esto sí que va a ser más interesante a nivel técnico 😎
Pruebo con configuraciones habituales de acuse de recibo (y a bloquearlas).
Nada: sigue sabiéndolo.
Nada: sigue sabiéndolo.
¿Qué hago?
Vamos con el hipertexto:
¡Uy! Hay algo raro en los correos que manda Cayetano.
La imagen de su firma (ya sabéis, lo que se pone al final del correo con los datos del emisor, su cargo y el logo de la empresa) no es una imagen adjunta. Se carga desde la WEB.
¡Uy! Hay algo raro en los correos que manda Cayetano.
La imagen de su firma (ya sabéis, lo que se pone al final del correo con los datos del emisor, su cargo y el logo de la empresa) no es una imagen adjunta. Se carga desde la WEB.
Esto se hace mucho, sobre todo con la publicidad:
Para que el correo no sea muy pesado, en lugar de cargarlo de imágenes, las enlazan a un servidor y estas se cargan con la apertura del correo.
Claro, al hacerlo, se accede a un servidor (dejando la petición registrada).
Para que el correo no sea muy pesado, en lugar de cargarlo de imágenes, las enlazan a un servidor y estas se cargan con la apertura del correo.
Claro, al hacerlo, se accede a un servidor (dejando la petición registrada).
Hay mucho correo comercial que incluye imágenes de este tipo, para llevar un control de cuando (y cuantos) abren sus mails.
De hecho, hubo una época en la que esto empezó molestar mucho a los usuarios más entendidos, y se popularizó seguir haciéndolo, pero más discretamente
De hecho, hubo una época en la que esto empezó molestar mucho a los usuarios más entendidos, y se popularizó seguir haciéndolo, pero más discretamente
Empezaron a introducir imágenes de carga que solo median un pixel por un pixel 🤣 vamos, invisible y casi inexistente, súper rápidas de cargar.
Hay quien llama a esto el “pixel de seguimiento” o el “pixel espía”, y nos llegan docenas al día.
Hay quien llama a esto el “pixel de seguimiento” o el “pixel espía”, y nos llegan docenas al día.
Cada vez que alguien accede a una WEB (extrapolable a “descargar de una WEB”), el momento, el navegador y la IP de quien realiza la solicitud quedan registrados en el servidor.
Su propietario puede tener un log (un listado) a su servicio.
Su propietario puede tener un log (un listado) a su servicio.
Cayetano no estaba tan avanzado, pero sí que metía una imagen de descarga, no adjunta, en sus correos.
Al parecer, Cayetano tenía acceso a donde estaba alojada y podía consultar cuándo se cargaba.
Al parecer, Cayetano tenía acceso a donde estaba alojada y podía consultar cuándo se cargaba.
Consejo: si queréis evitar estas cosas, configurad vuestro correo para que no descargue por defecto contenido WEB.
Gemma dejó su trabajo y empleó el informe pericial en el proceso de arbitraje.
Me complace deciros que fue clave para cobrar la indemnización que le pertenecía e incluso prestación por desempleo hasta encontrar un nuevo puesto (evitando a toda costa empresas familiares 😉).
Me complace deciros que fue clave para cobrar la indemnización que le pertenecía e incluso prestación por desempleo hasta encontrar un nuevo puesto (evitando a toda costa empresas familiares 😉).
Y yo vi claro que las víctimas caen en un hoyo de desesperación que les lleva a creer que, el poder que el agresor tiene sobre ellas, muchas veces es una ilusión creada por el miedo.
⚠️Pruebas localizadas
⚠️Evidencias certificadas
⚠️Informe pericial concluido…
⚠️¡Caso cerrado!
⚠️Pruebas localizadas
⚠️Evidencias certificadas
⚠️Informe pericial concluido…
⚠️¡Caso cerrado!
• • •
Missing some Tweet in this thread? You can try to
force a refresh
