P. Duchement Profile picture
Sep 23, 2022 66 tweets 10 min read Read on X
Parece que esta noche toca tormenta ☔️
Es un buen momento para contaros un #CasoDeInformáticaForense que también comenzó una noche de tormenta:
Tras 4 meses recuperándose de la ruptura de una relación muy tóxica, Ángi se estaba preparando para salir de nuevo y rehacer su vida.
Había quedado con un chico al que no conocía, pero con el que había chateado mucho.
Estaba terminando de vestirse cuando le llegó un aviso de WhatsApp.
Ver el remitente… la puso nerviosa: Su ex. Después de tanto tiempo, ¿por qué ahora?
Mucho peor le sentó leer el texto.
“¿Se puede saber por qué te has depilado? ¿Qué estás pensando hacer esta noche?”.
Esta noche, nos sobrecogeremos todos juntos como Angi, pues, ciertamente, acababa de usar la cera.
Eso sí, a lo largo de esta semana, @CiberProtecter ha recibido dos casos que no puede atender por falta de recursos.
Os ruego que entendáis que parte del hilo estará disponible solo para mecenas en el Patreon y os animo a colaborar aquí:
Fase de contacto:

Me llama un buen amigo Guardia Civil de Granada. Al parecer, una chica se ha presentado a realizar una denuncia sobre “una historia de espionaje por el móvil” que no han sabido gestionar muy bien.
De hecho, la víctima tampoco ha sabido generar una denuncia
muy bien construida.
El relato es tan vago y ella estaba tan nerviosa, que casi no hay material para investigar.
“No sé exactamente cuál es la verdad de su testimonio, pero si algo nos quedó claro es que cree que su ex la espía por el móvil”.
Mi amigo me explica que tampoco disponen de recursos.
“Solo por hacer algo, hice una visita al ex. Le pregunté qué había hecho la noche de los actos. La verdad es que solo fui para que se asustase, pero no tengo más opciones para continuar”.
Debemos entender que, la mayoría de las veces, los miembros de las FFCCSE quieren actuar. Pero este tipo de caso requiere formación y recursos específicos que muchos no tienen, y la ambigüedad de los hechos, así como la aparente poca importancia y lo difícil que resulta dirimir
responsabilidades penales en estos escenarios, imposibilita en muchas ocasiones que los denunciantes puedan acudir a equipos especializados 😞
“Le he dado tu número. Espero que no te importe, pero no sabía qué más podía hacer”.

Dos semanas más tarde, me llama Angi.
Angi me cuenta una historia muy difícil de entender en un principio.

En este momento, voy a aprovechar para lanzar una propuesta a mis compañeros de profesión:
Peritos e investigadores privados, compañeros:

No es extraño recibir peticiones de ayuda que, en un principio, parecen formuladas por personas paranoicas con problemas que se lo están inventando todo. Gente que llegan a asegurar que las persiguen por la calle, o que la compañía
telefónica se ha aliado con su agresor. Personas que se sienten tan vigiladas que aseguran que las escuchan por el móvil, o que las ven por la webcam, o que leen sus correos…
Historias que, en un principio, son tan obtusas, están tan preladas de miedo y son tan inverosímiles que suenan a delirio.
Y, cuando alguien se siente en peligro, tampoco es que sepa expresarse de manera clara.
Si a eso le sumamos el desconocimiento de lo que se puede y no se
puede hacer con las TICs, tenemos todas las cartas para que nos resulte increíble.
Es fácil decidir en los cinco primeros minutos de balbuceos que el caso no es real o que no nos interesa.
Pero… dadles una oportunidad y escuchad.
Sentaos con ell@s y explicarles qué podría ser cierto y qué fruto del miedo.

A veces… solo es una persona asustada pidiendo ayuda como puede.
Me tomo mi tiempo y escucho lo que dice Angi.
De entre las conclusiones que ha sacado, hay algunas cosas que sí que suenan plausibles. Dirimimos juntos lo que puede estar pasando.
Hace meses que no sabía nada de su pareja, con la que había cortado.
Una persona muy manipuladora y controladora.

Por cierto… un ingeniero informático 👨🏽‍💻
Especialista en ciberseguridad para una empresa telefónica 🙄
“Conoce a gente importante” me dice una y otra vez.

El caso es que, justo cuando va a salir por primera vez con un hombre, vuelve a recibir noticias de él: un WhatsApp en el que dice saber algo que no debería saber… salvo que la vigile.
Desde entonces, el tipo, llamémoslo Marcos, se ha puesto en contacto más veces con ella. En todas las ocasiones, ha presumido de saber algo que no debía conocer, provocando el terror en Angi como si de un niño cruel que se dedicara a arrancar las alas a las mariposas se tratase.
De ser cierto, no solo hay un control enfermizo.
Hay un uso de poder subordinados que disfruta provocando el miedo en su víctima.
Se nota en cada comunicación.
Me parece detectar que algunos de los datos que esgrime son faroles plausibles (lo suficientemente ambiguos para que pudieran ser correctos mandados a cualquier otra chica), pero sí que hay cosas que no debería saber.
Entre ellas, hay temas muy privados que nadie debería conocer.

Aquí dejo, para los mecenas, estos datos curiosos del caso:
patreon.com/posts/72391090…
Aunque hay muchos detalles de los vertidos por Angi que pueden responder a su imaginación… la realidad es que los WhatsApps de su móvil están ahí, escritos por su ex y acertando cuando no debería.
Me genera muchísima curiosidad.

Así que…
¡Acepto el caso!
¿Cómo empezamos?
Bueno, los peritos virtuales prefieren que empiece analizando el móvil.
Yo suelo ser de asegurar pruebas antes de buscar nuevas, pero hoy deciden ellos.
Vamos a por el móvil:
¿En qué me centro?
Los peritos virtuales han ido directos al meollo:

Listo las apps activas en background y me topo con una de la que Angi no sabe nada.

Pero no es un spyware… ES UNA APP DE CONTROL PARENTAL.
Documento la instalación.
Está funcionando desde hace 8 meses (en plena relación).

Angi se echa a llorar… pero de alivio: ya tenemos pruebas de que no está loca.

Lamentablemente, esto no explica el caso:
La app no puede ser la fuente de los datos vulnerados:

Está más orientada a la geolocalización de los hijos (y a otras funciones que comento en este post):
patreon.com/posts/72391090…
De cualquier modo, que el agresor tenga una forma de geolocalizar 24/7 a su víctima es… perturbador.
¿Y ahora?
Sigo con el móvil:

¿Qué hago?
Mientras esperamos los resultados de la encuesta 😞 siento ser pesado, pero hay dos familias cuyos casos tenemos parados en @CiberProtecter.

¿Una ayudita?
Vamos con las cuentas compartidas.
Estudio las que están activas en el teléfono y no parece que estén vulneradas.
Consulto el log de google (son de gmail) y todos los accesos son reconocibles para Angi.
Callejón sin salida.
¿Qué hacemos?
Seguimos con el móvil: está claro que el instinto os guía por aquí.
Me encanta que vayáis dejando vuestras hipótesis en los comentarios 🤗

Alguno da en el clavo y, cuando se descubre, menciono en el hilo al primero que acertó 😊
Dicen los peritos virtuales que vayamos a por los servicios de nube.

Lo mismo, consulto el log y solo interactúan dos dispositivos: el móvil de Angi y el PC de Angi.

Aunque…
Está un poco extrañada:

Aunque son desde su PC… NO RECONOCE TODOS LOS ACCESOS QUE FIGURAN 😱
Bueno, hay servicios que acceden a la nube sin avisar… podría ser eso 🤷🏼‍♂️

¿Y ahora?
Vaaaamos a por el PC.
Sigo diciendo que deberíamos verificar las pruebas que ya tenemos antes de buscar nuevas 🤷🏼‍♂️
Pero, en esta noche de tormenta, decidís vosotros.
¿Que busco?
Los peritos virtuales me piden que revise el software del PC.

Supongo que han creído (como me pasó a mí), que podría tener funcionando algún programa legal de monitorización o de control parental, como ocurrió con el móvil.
Pero no 😞 no hay nada visible.
Vamos a por el tráfico en la r…

¡Ey! Hay un proceso desconocido que genera tráfico en la red.

Además, es un proceso con un nombre un poco raro: “svchosl.exe”.

¿Alguien sabe por qué es sospechoso?
Esto es:

Su nombre ha sido escogido para que pase desapercibido al listar los procesos: Si no estás atento, puedes creer que es el “svchost.exe”, un proceso que se encuentra activo en todo PC con Windows.
Voy al archivo que ejecuta el proceso. Bien oculto, claro, en la carpeta de archivos temporales.
El antivirus no detecta nada.
Hay que sacar la artillería pesada
Apago el PC y hago que arranque un SO portable que es una de las herramientas típicas de la ciencia forense.
Desde este SO aparte, accedo al archivo sospechoso y lo analizo.

¡Premio!
Oculta el server de un troyano.

Uno muy conocido.

Uno que permite monitorizar pantalla.

Uno que permite conectar la cam.

Uno que permite consultar el historial WEB.

Uno que incluye un keylogger.
¿Antigüedad del archivo?

8 meses.
Lo que no sabe todo el mundo es que la comunicación de un troyano va en dos direcciones y que se puede conseguir datos de direccionamiento 😊
Tenemos la IP del client del troyano (o del rebote de IP, si usa señuelo).

Sin orden judicial, no podemos saber a quién pertenece. Pero es importante, porque teniéndola y documentando la fecha y hora en la que está asignada, cuando se produzca un juicio se podrá requerir.
Aparte de todo esto, verifico los WhatsApps amenazantes, claro 😉
Y así llegamos al final de este caso que…

¡Ah no!

Hay algo que no ha salido en vuestra investigación 🧐
Yo siempre solicito a las compañías telefónicas datos, incluso aunque no tenga orden (a ver si les apetece colaborar).

Esta vez pasó algo muy curioso.

Por supuesto, la compañía se negó. Pero su respuesta fue, literalmente:
“Tal y como hemos respondido a las anteriores solicitudes relacionadas con esta línea y realizadas desde su compañía, nos vemos obligados a rechazarla, aunque en esta ocasión las realice de manera personal y en calidad de perito de parte”.
😱 Se han confundido.

Alguien ha solicitado en varias ocasiones, desde una compañía telefónica, datos a la compañía de la línea de Angi.

Ahora que se los he pedido yo, han creído que era la misma persona.
Por supuesto, desde una pericial de parte no podemos probar quién ha sido, pero la situación ha sido denunciada.
Este caso no ha acabado: sigue en juicios.

¿Que por qué lo he contado entonces?

Bueno, la investigación si que ha acabado, Angi me ha dado consentimiento y @CiberProtecter está en los huesos 😊

Así que…
⚠️Evidencias localizadas
⚠️Pruebas certificadas
⚠️Informe pericial concluido…

⚠️¡Caso cerrado!
Solo un dato más.

Tras la entrega del informe, Angi dejó de temblar cada noche de tormenta, cuando recordaba cómo de expuesta se sintió al recibir el primer Whatsapp.
Lamentable. En esta TL te entendemos.
A ver si va a ser un modus operandi habitual:
El uso del espionaje a la pareja como argumento judicial.

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with P. Duchement

P. Duchement Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @PDuchement

Dec 21
¿Sabes cuando oyes un mito toda tu vida, dando por sentado que es falso, y un día te topas con una prueba inequívoca de que siempre fue cierto?

Me acaba de pasar.

¿Has oído eso de que no pongas el portátil sobre tus muslos, que el calor puede causar problemas graves de salud?
Pues es cierto.

Acabo de descubrir que un compañero, a base de un par de días de trabajar en cama con el portátil sobre los muslos, se “cocinó” un vaso sanguíneo importante 😱

El tejido se quedó rígido (para siempre) dificultando el flujo y tuvo una estenosis/trombosis 😮
Para tranquilidad de quien lo lea, se trata de algo ocurrido hace mucho (con un portátil potente de los de antes, con una radiación de calor muy alta). Además, tuvo la mala suerte de que tapaba sin querer la rejilla de ventilación, lo que empeoraba el calentamiento.
Read 4 tweets
Nov 21
Sé que, siendo profe, lo que voy a decir a continuación es equivalente a inmolarse.

Pero otra compañera agredida (más) y un alumno sumido en una crisis de ansiedad es motivo como para no callarme:
Si tú hij@, por la condición que sea (incluidas las médicas), es un peligro extraordinario porque agrede a los demás, no puede estar en un aula ordinaria.

PUNTO.
El sistema no te da mejores opciones y buscas lo mejor para tu hij@.

Tienes toda mi simpatía. Tienes toda mi conmiseración. Tienes mi comprensión.

Pero hasta ahí.

Apelando a la vocación, no puedes exigir a los docentes que soporten patadas de tu hij@, día sí, día también.
Read 16 tweets
Nov 5
Antes de estudiar el último, lista de cambios que Elon Musk ha perpetrado en Twitter y consecuencias:

⚠️La verificación de cuenta ya no requiere prueba de identidad, sino pagar (RESULTADO: Los ciberacosadores, haters, trolls y suplantadores consiguen apariencia de veracidad).
⚠️Amnistía a todas las cuentas canceladas y borradas (RESULTADO: Todos los ciberacosadores, haters, trolls y suplantadores que habían sido localizados y eliminados, vuelven a la red en masa).
⚠️ Los “me gusta” se vuelven anónimos (RESULTADO: Los ciberacosadores, haters, trolls y suplantadores que se limitaban a dar “me gusta” a las publicaciones que te perjudicaban para pasar desapercibido a tu radar, ahora son totalmente invisibles).
Read 6 tweets
Jul 20
Al final, queda la sensación de que la gente que tiene razón debe callarse para no molestar a los equivocados 😞
No me quito de encima la sensación de que tuvimos mucha suerte con los agentes que atendieron la llamada.
Lamento las erratas del hilo, pero es que me ha puesto muy nervioso revivirlo: Durante todo el tiempo estuve recordando un caso que atendimos en @CiberProtecter hace 3 años de dos adolescentes que grabaron a una niña pequeña de fondo cuando bailaban en la piscina.
Read 12 tweets
Jul 20
Si mañana se hace viral (más les vale que no) el vídeo de “un boomer increpando a tres pobres niñas que solo querían grabar un TikTok en la playa”, al menos ya sabéis la historia completa 🤷🏼‍♂️
Nadie del circo romano me dijo “pues tenía usted razón”. Ni disculpas.
Una señora se fue murmurando “pero tampoco tenía que haberse puesto así de gilipollas” (recuerdo que yo solo pedí que no se publicase la cara de mi hijo y, ante la agresividad, recordé que era ilegal 🤷🏼‍♂️).
Al final, queda la sensación de que la gente que tiene razón debe callarse para no molestar a los equivocados 😞
Read 14 tweets
Jul 7
Recientemente he visto un debate/cara a cara que ha organizado un famoso influencer, en el que enfrentaba dialécticamente a influencers de la conspiración y el terraplanismo con divulgadores científicos.

Hay algo que me gustaría comentar:
Obviamente, los “argumentos” de los primeros no se sostenían, no ya a un análisis científico, sino a una conversación informal con mínimos de rigor científico. Hasta aquí, no hay sorpresas.
Pero ellos lo perciben: No hay sorpresas.
Entre ellos, los hay que quieren creer y los hay que quieren que los demás crean, así que, ya sea por autoprotección de su creencia (no se la vaya a desmontar la realidad) o de su chiringuito (no vaya a perder a sus consumidores), luchan, no por dirimir, sino por tener razón.
Read 20 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us!

:(