Parece que esta noche toca tormenta ☔️
Es un buen momento para contaros un #CasoDeInformáticaForense que también comenzó una noche de tormenta:
Tras 4 meses recuperándose de la ruptura de una relación muy tóxica, Ángi se estaba preparando para salir de nuevo y rehacer su vida.
Había quedado con un chico al que no conocía, pero con el que había chateado mucho.
Estaba terminando de vestirse cuando le llegó un aviso de WhatsApp.
Ver el remitente… la puso nerviosa: Su ex. Después de tanto tiempo, ¿por qué ahora?
Mucho peor le sentó leer el texto.
“¿Se puede saber por qué te has depilado? ¿Qué estás pensando hacer esta noche?”.
Esta noche, nos sobrecogeremos todos juntos como Angi, pues, ciertamente, acababa de usar la cera.
Eso sí, a lo largo de esta semana, @CiberProtecter ha recibido dos casos que no puede atender por falta de recursos.
Os ruego que entendáis que parte del hilo estará disponible solo para mecenas en el Patreon y os animo a colaborar aquí:
Me llama un buen amigo Guardia Civil de Granada. Al parecer, una chica se ha presentado a realizar una denuncia sobre “una historia de espionaje por el móvil” que no han sabido gestionar muy bien.
De hecho, la víctima tampoco ha sabido generar una denuncia
muy bien construida.
El relato es tan vago y ella estaba tan nerviosa, que casi no hay material para investigar.
“No sé exactamente cuál es la verdad de su testimonio, pero si algo nos quedó claro es que cree que su ex la espía por el móvil”.
Mi amigo me explica que tampoco disponen de recursos.
“Solo por hacer algo, hice una visita al ex. Le pregunté qué había hecho la noche de los actos. La verdad es que solo fui para que se asustase, pero no tengo más opciones para continuar”.
Debemos entender que, la mayoría de las veces, los miembros de las FFCCSE quieren actuar. Pero este tipo de caso requiere formación y recursos específicos que muchos no tienen, y la ambigüedad de los hechos, así como la aparente poca importancia y lo difícil que resulta dirimir
responsabilidades penales en estos escenarios, imposibilita en muchas ocasiones que los denunciantes puedan acudir a equipos especializados 😞
“Le he dado tu número. Espero que no te importe, pero no sabía qué más podía hacer”.
Dos semanas más tarde, me llama Angi.
Angi me cuenta una historia muy difícil de entender en un principio.
En este momento, voy a aprovechar para lanzar una propuesta a mis compañeros de profesión:
Peritos e investigadores privados, compañeros:
No es extraño recibir peticiones de ayuda que, en un principio, parecen formuladas por personas paranoicas con problemas que se lo están inventando todo. Gente que llegan a asegurar que las persiguen por la calle, o que la compañía
telefónica se ha aliado con su agresor. Personas que se sienten tan vigiladas que aseguran que las escuchan por el móvil, o que las ven por la webcam, o que leen sus correos…
Historias que, en un principio, son tan obtusas, están tan preladas de miedo y son tan inverosímiles que suenan a delirio.
Y, cuando alguien se siente en peligro, tampoco es que sepa expresarse de manera clara.
Si a eso le sumamos el desconocimiento de lo que se puede y no se
puede hacer con las TICs, tenemos todas las cartas para que nos resulte increíble.
Es fácil decidir en los cinco primeros minutos de balbuceos que el caso no es real o que no nos interesa.
Pero… dadles una oportunidad y escuchad.
Sentaos con ell@s y explicarles qué podría ser cierto y qué fruto del miedo.
A veces… solo es una persona asustada pidiendo ayuda como puede.
Me tomo mi tiempo y escucho lo que dice Angi.
De entre las conclusiones que ha sacado, hay algunas cosas que sí que suenan plausibles. Dirimimos juntos lo que puede estar pasando.
Hace meses que no sabía nada de su pareja, con la que había cortado.
Una persona muy manipuladora y controladora.
Por cierto… un ingeniero informático 👨🏽💻
Especialista en ciberseguridad para una empresa telefónica 🙄
“Conoce a gente importante” me dice una y otra vez.
El caso es que, justo cuando va a salir por primera vez con un hombre, vuelve a recibir noticias de él: un WhatsApp en el que dice saber algo que no debería saber… salvo que la vigile.
Desde entonces, el tipo, llamémoslo Marcos, se ha puesto en contacto más veces con ella. En todas las ocasiones, ha presumido de saber algo que no debía conocer, provocando el terror en Angi como si de un niño cruel que se dedicara a arrancar las alas a las mariposas se tratase.
De ser cierto, no solo hay un control enfermizo.
Hay un uso de poder subordinados que disfruta provocando el miedo en su víctima.
Se nota en cada comunicación.
Me parece detectar que algunos de los datos que esgrime son faroles plausibles (lo suficientemente ambiguos para que pudieran ser correctos mandados a cualquier otra chica), pero sí que hay cosas que no debería saber.
Entre ellas, hay temas muy privados que nadie debería conocer.
Aunque hay muchos detalles de los vertidos por Angi que pueden responder a su imaginación… la realidad es que los WhatsApps de su móvil están ahí, escritos por su ex y acertando cuando no debería.
Me genera muchísima curiosidad.
Así que…
¡Acepto el caso!
¿Cómo empezamos?
Bueno, los peritos virtuales prefieren que empiece analizando el móvil.
Yo suelo ser de asegurar pruebas antes de buscar nuevas, pero hoy deciden ellos.
Vamos a por el móvil:
¿En qué me centro?
Los peritos virtuales han ido directos al meollo:
Listo las apps activas en background y me topo con una de la que Angi no sabe nada.
Pero no es un spyware… ES UNA APP DE CONTROL PARENTAL.
Documento la instalación.
Está funcionando desde hace 8 meses (en plena relación).
Angi se echa a llorar… pero de alivio: ya tenemos pruebas de que no está loca.
Lamentablemente, esto no explica el caso:
La app no puede ser la fuente de los datos vulnerados:
Está más orientada a la geolocalización de los hijos (y a otras funciones que comento en este post): patreon.com/posts/72391090…
De cualquier modo, que el agresor tenga una forma de geolocalizar 24/7 a su víctima es… perturbador.
¿Y ahora?
Sigo con el móvil:
¿Qué hago?
Mientras esperamos los resultados de la encuesta 😞 siento ser pesado, pero hay dos familias cuyos casos tenemos parados en @CiberProtecter.
Vamos con las cuentas compartidas.
Estudio las que están activas en el teléfono y no parece que estén vulneradas.
Consulto el log de google (son de gmail) y todos los accesos son reconocibles para Angi.
Callejón sin salida.
¿Qué hacemos?
Seguimos con el móvil: está claro que el instinto os guía por aquí.
Me encanta que vayáis dejando vuestras hipótesis en los comentarios 🤗
Alguno da en el clavo y, cuando se descubre, menciono en el hilo al primero que acertó 😊
Dicen los peritos virtuales que vayamos a por los servicios de nube.
Lo mismo, consulto el log y solo interactúan dos dispositivos: el móvil de Angi y el PC de Angi.
Aunque…
Está un poco extrañada:
Aunque son desde su PC… NO RECONOCE TODOS LOS ACCESOS QUE FIGURAN 😱
Bueno, hay servicios que acceden a la nube sin avisar… podría ser eso 🤷🏼♂️
¿Y ahora?
Vaaaamos a por el PC.
Sigo diciendo que deberíamos verificar las pruebas que ya tenemos antes de buscar nuevas 🤷🏼♂️
Pero, en esta noche de tormenta, decidís vosotros.
¿Que busco?
Los peritos virtuales me piden que revise el software del PC.
Supongo que han creído (como me pasó a mí), que podría tener funcionando algún programa legal de monitorización o de control parental, como ocurrió con el móvil.
Pero no 😞 no hay nada visible.
Vamos a por el tráfico en la r…
¡Ey! Hay un proceso desconocido que genera tráfico en la red.
Además, es un proceso con un nombre un poco raro: “svchosl.exe”.
¿Alguien sabe por qué es sospechoso?
Esto es:
Su nombre ha sido escogido para que pase desapercibido al listar los procesos: Si no estás atento, puedes creer que es el “svchost.exe”, un proceso que se encuentra activo en todo PC con Windows.
Voy al archivo que ejecuta el proceso. Bien oculto, claro, en la carpeta de archivos temporales.
El antivirus no detecta nada.
Hay que sacar la artillería pesada
Apago el PC y hago que arranque un SO portable que es una de las herramientas típicas de la ciencia forense.
Desde este SO aparte, accedo al archivo sospechoso y lo analizo.
¡Premio!
Oculta el server de un troyano.
Uno muy conocido.
Uno que permite monitorizar pantalla.
Uno que permite conectar la cam.
Uno que permite consultar el historial WEB.
Uno que incluye un keylogger.
¿Antigüedad del archivo?
8 meses.
Lo que no sabe todo el mundo es que la comunicación de un troyano va en dos direcciones y que se puede conseguir datos de direccionamiento 😊
Tenemos la IP del client del troyano (o del rebote de IP, si usa señuelo).
Sin orden judicial, no podemos saber a quién pertenece. Pero es importante, porque teniéndola y documentando la fecha y hora en la que está asignada, cuando se produzca un juicio se podrá requerir.
Aparte de todo esto, verifico los WhatsApps amenazantes, claro 😉
Y así llegamos al final de este caso que…
¡Ah no!
Hay algo que no ha salido en vuestra investigación 🧐
Yo siempre solicito a las compañías telefónicas datos, incluso aunque no tenga orden (a ver si les apetece colaborar).
Esta vez pasó algo muy curioso.
Por supuesto, la compañía se negó. Pero su respuesta fue, literalmente:
“Tal y como hemos respondido a las anteriores solicitudes relacionadas con esta línea y realizadas desde su compañía, nos vemos obligados a rechazarla, aunque en esta ocasión las realice de manera personal y en calidad de perito de parte”.
😱 Se han confundido.
Alguien ha solicitado en varias ocasiones, desde una compañía telefónica, datos a la compañía de la línea de Angi.
Ahora que se los he pedido yo, han creído que era la misma persona.
Por supuesto, desde una pericial de parte no podemos probar quién ha sido, pero la situación ha sido denunciada.
Este caso no ha acabado: sigue en juicios.
¿Que por qué lo he contado entonces?
Bueno, la investigación si que ha acabado, Angi me ha dado consentimiento y @CiberProtecter está en los huesos 😊
Voy a explicar un concepto informático para que se entienda una crítica educativa que voy a hacer.
Es una introducción larga… pero sin ella, me faltaría la palabra clave.
De paso, os cuento un secreto oscuro de los programadores 😉
Un algoritmo es una serie de instrucciones ordenadas, organizadas y estructuradas que establecen cómo llevar a cabo un proceso (en educación, su equivalente sería un protocolo).
Los algoritmos se escriben un lenguaje de programación. Suele ser parecido a un lenguaje humano (generalmente, el inglés) pero está centrado en el manejo de la información, más que en su comunicación. Al resultado escrito se lo llama código fuente.
El cambio más radical en mis hábitos alimenticios ha sido el cese total e inmediato de consumo de refrescos (en concreto, CocaCola), y quiero contarte qué cambios ha habido.
Pero, para que entiendas que esto no es un hilo contra Coca Cola, he de explicarte que mi consumo estaba muy lejos de lo normal.
Al menos 66cl diarios.
Al menos.
Durante algunas rachas (largas, a veces de años), el consumo de Coca Cola era muy superior al del agua. En algunas etapas de mi vida, podría decirse que la sustituyó totalmente 😥
Hola, @antoniorozco.
No sé si eres consciente de la incomparable obra de arte que es esta canción, pero quiero compartir contigo una pequeña historia, una muy corriente, pero que creo que puede explicar hasta qué punto has tocado el alma de muchos.
Esta canción habla de las cosas rutinarias de estar con alguien, que no se valoran hasta que descubres que te has quedado sin ellas.
Hace un tiempo casi pierdo a mi mujer. Un quiebro tonto del destino la llevó a una camilla con un pronóstico fatal que duró más de un mes.
La suerte, la fe y, sobre todo, los ángeles con bata del Hospital Universitario de Gran Canaria Doctor Negrín la salvaron contra todo pronóstico.
Salvaron un trocito de mi corazón que estaba sentenciado.
Imagina un lugar del mundo al que llamaremos 🅰️ y en el que algunos han utilizado los números para cosas tan dañinas que sus habitantes han cogido miedo a las matemáticas.
En ese lugar, se llega al extremo de restringir la enseñanza de esta ciencia.
En 🅰️, los niños de 5º y 6º de Primaria solo pueden hacer cálculos 2 horas a la semana, y, además, tienen prohibido hacerlos individualmente: Solo pueden realizar ejercicios grupales. Los de 3º y 4º, también, pero reducido a una hora y media. Los de 1º y 2º, solo una hora.
En 🅰️, los profesores tienen prohibido enseñar cálculo a los niños de Infantil.
Es una locura, pero se puede entender a 🅰️: Al fin y al cabo, se ha sufrido por culpa de los números.
He tenido que borrar mi último tuit: Estaba generando demasiada difusión para un caso que aún no está cerrado.
Pero he de decir algo para aquellos que respondieron que tenía que ser mentira porque es imposible que en OnlyFans hubiera cuentas de menores bbc.com/mundo/noticias…