Parece que esta noche toca tormenta ☔️
Es un buen momento para contaros un #CasoDeInformáticaForense que también comenzó una noche de tormenta:
Tras 4 meses recuperándose de la ruptura de una relación muy tóxica, Ángi se estaba preparando para salir de nuevo y rehacer su vida.
Es un buen momento para contaros un #CasoDeInformáticaForense que también comenzó una noche de tormenta:
Tras 4 meses recuperándose de la ruptura de una relación muy tóxica, Ángi se estaba preparando para salir de nuevo y rehacer su vida.
Había quedado con un chico al que no conocía, pero con el que había chateado mucho.
Estaba terminando de vestirse cuando le llegó un aviso de WhatsApp.
Ver el remitente… la puso nerviosa: Su ex. Después de tanto tiempo, ¿por qué ahora?
Mucho peor le sentó leer el texto.
Estaba terminando de vestirse cuando le llegó un aviso de WhatsApp.
Ver el remitente… la puso nerviosa: Su ex. Después de tanto tiempo, ¿por qué ahora?
Mucho peor le sentó leer el texto.
“¿Se puede saber por qué te has depilado? ¿Qué estás pensando hacer esta noche?”.
Esta noche, nos sobrecogeremos todos juntos como Angi, pues, ciertamente, acababa de usar la cera.
Eso sí, a lo largo de esta semana, @CiberProtecter ha recibido dos casos que no puede atender por falta de recursos.
Os ruego que entendáis que parte del hilo estará disponible solo para mecenas en el Patreon y os animo a colaborar aquí:
Os ruego que entendáis que parte del hilo estará disponible solo para mecenas en el Patreon y os animo a colaborar aquí:
https://twitter.com/CiberProtecter/status/1556694873528475657
Fase de contacto:
Me llama un buen amigo Guardia Civil de Granada. Al parecer, una chica se ha presentado a realizar una denuncia sobre “una historia de espionaje por el móvil” que no han sabido gestionar muy bien.
De hecho, la víctima tampoco ha sabido generar una denuncia
Me llama un buen amigo Guardia Civil de Granada. Al parecer, una chica se ha presentado a realizar una denuncia sobre “una historia de espionaje por el móvil” que no han sabido gestionar muy bien.
De hecho, la víctima tampoco ha sabido generar una denuncia
muy bien construida.
El relato es tan vago y ella estaba tan nerviosa, que casi no hay material para investigar.
“No sé exactamente cuál es la verdad de su testimonio, pero si algo nos quedó claro es que cree que su ex la espía por el móvil”.
El relato es tan vago y ella estaba tan nerviosa, que casi no hay material para investigar.
“No sé exactamente cuál es la verdad de su testimonio, pero si algo nos quedó claro es que cree que su ex la espía por el móvil”.
Mi amigo me explica que tampoco disponen de recursos.
“Solo por hacer algo, hice una visita al ex. Le pregunté qué había hecho la noche de los actos. La verdad es que solo fui para que se asustase, pero no tengo más opciones para continuar”.
“Solo por hacer algo, hice una visita al ex. Le pregunté qué había hecho la noche de los actos. La verdad es que solo fui para que se asustase, pero no tengo más opciones para continuar”.
Debemos entender que, la mayoría de las veces, los miembros de las FFCCSE quieren actuar. Pero este tipo de caso requiere formación y recursos específicos que muchos no tienen, y la ambigüedad de los hechos, así como la aparente poca importancia y lo difícil que resulta dirimir
responsabilidades penales en estos escenarios, imposibilita en muchas ocasiones que los denunciantes puedan acudir a equipos especializados 😞
“Le he dado tu número. Espero que no te importe, pero no sabía qué más podía hacer”.
Dos semanas más tarde, me llama Angi.
Dos semanas más tarde, me llama Angi.
Angi me cuenta una historia muy difícil de entender en un principio.
En este momento, voy a aprovechar para lanzar una propuesta a mis compañeros de profesión:
En este momento, voy a aprovechar para lanzar una propuesta a mis compañeros de profesión:
Peritos e investigadores privados, compañeros:
No es extraño recibir peticiones de ayuda que, en un principio, parecen formuladas por personas paranoicas con problemas que se lo están inventando todo. Gente que llegan a asegurar que las persiguen por la calle, o que la compañía
No es extraño recibir peticiones de ayuda que, en un principio, parecen formuladas por personas paranoicas con problemas que se lo están inventando todo. Gente que llegan a asegurar que las persiguen por la calle, o que la compañía
telefónica se ha aliado con su agresor. Personas que se sienten tan vigiladas que aseguran que las escuchan por el móvil, o que las ven por la webcam, o que leen sus correos…
Historias que, en un principio, son tan obtusas, están tan preladas de miedo y son tan inverosímiles que suenan a delirio.
Y, cuando alguien se siente en peligro, tampoco es que sepa expresarse de manera clara.
Si a eso le sumamos el desconocimiento de lo que se puede y no se
Y, cuando alguien se siente en peligro, tampoco es que sepa expresarse de manera clara.
Si a eso le sumamos el desconocimiento de lo que se puede y no se
puede hacer con las TICs, tenemos todas las cartas para que nos resulte increíble.
Es fácil decidir en los cinco primeros minutos de balbuceos que el caso no es real o que no nos interesa.
Pero… dadles una oportunidad y escuchad.
Es fácil decidir en los cinco primeros minutos de balbuceos que el caso no es real o que no nos interesa.
Pero… dadles una oportunidad y escuchad.
Sentaos con ell@s y explicarles qué podría ser cierto y qué fruto del miedo.
A veces… solo es una persona asustada pidiendo ayuda como puede.
A veces… solo es una persona asustada pidiendo ayuda como puede.
Me tomo mi tiempo y escucho lo que dice Angi.
De entre las conclusiones que ha sacado, hay algunas cosas que sí que suenan plausibles. Dirimimos juntos lo que puede estar pasando.
Hace meses que no sabía nada de su pareja, con la que había cortado.
De entre las conclusiones que ha sacado, hay algunas cosas que sí que suenan plausibles. Dirimimos juntos lo que puede estar pasando.
Hace meses que no sabía nada de su pareja, con la que había cortado.
Una persona muy manipuladora y controladora.
Por cierto… un ingeniero informático 👨🏽💻
Por cierto… un ingeniero informático 👨🏽💻
Especialista en ciberseguridad para una empresa telefónica 🙄
“Conoce a gente importante” me dice una y otra vez.
El caso es que, justo cuando va a salir por primera vez con un hombre, vuelve a recibir noticias de él: un WhatsApp en el que dice saber algo que no debería saber… salvo que la vigile.
El caso es que, justo cuando va a salir por primera vez con un hombre, vuelve a recibir noticias de él: un WhatsApp en el que dice saber algo que no debería saber… salvo que la vigile.
Desde entonces, el tipo, llamémoslo Marcos, se ha puesto en contacto más veces con ella. En todas las ocasiones, ha presumido de saber algo que no debía conocer, provocando el terror en Angi como si de un niño cruel que se dedicara a arrancar las alas a las mariposas se tratase.
De ser cierto, no solo hay un control enfermizo.
Hay un uso de poder subordinados que disfruta provocando el miedo en su víctima.
Se nota en cada comunicación.
Hay un uso de poder subordinados que disfruta provocando el miedo en su víctima.
Se nota en cada comunicación.
Me parece detectar que algunos de los datos que esgrime son faroles plausibles (lo suficientemente ambiguos para que pudieran ser correctos mandados a cualquier otra chica), pero sí que hay cosas que no debería saber.
Entre ellas, hay temas muy privados que nadie debería conocer.
Aquí dejo, para los mecenas, estos datos curiosos del caso:
patreon.com/posts/72391090…
Aquí dejo, para los mecenas, estos datos curiosos del caso:
patreon.com/posts/72391090…
Aunque hay muchos detalles de los vertidos por Angi que pueden responder a su imaginación… la realidad es que los WhatsApps de su móvil están ahí, escritos por su ex y acertando cuando no debería.
Me genera muchísima curiosidad.
Así que…
Me genera muchísima curiosidad.
Así que…
¡Acepto el caso!
¿Cómo empezamos?
Bueno, los peritos virtuales prefieren que empiece analizando el móvil.
Yo suelo ser de asegurar pruebas antes de buscar nuevas, pero hoy deciden ellos.
Vamos a por el móvil:
¿En qué me centro?
Yo suelo ser de asegurar pruebas antes de buscar nuevas, pero hoy deciden ellos.
Vamos a por el móvil:
¿En qué me centro?
Los peritos virtuales han ido directos al meollo:
Listo las apps activas en background y me topo con una de la que Angi no sabe nada.
Pero no es un spyware… ES UNA APP DE CONTROL PARENTAL.
Listo las apps activas en background y me topo con una de la que Angi no sabe nada.
Pero no es un spyware… ES UNA APP DE CONTROL PARENTAL.
Documento la instalación.
Está funcionando desde hace 8 meses (en plena relación).
Angi se echa a llorar… pero de alivio: ya tenemos pruebas de que no está loca.
Lamentablemente, esto no explica el caso:
Está funcionando desde hace 8 meses (en plena relación).
Angi se echa a llorar… pero de alivio: ya tenemos pruebas de que no está loca.
Lamentablemente, esto no explica el caso:
La app no puede ser la fuente de los datos vulnerados:
Está más orientada a la geolocalización de los hijos (y a otras funciones que comento en este post):
patreon.com/posts/72391090…
Está más orientada a la geolocalización de los hijos (y a otras funciones que comento en este post):
patreon.com/posts/72391090…
De cualquier modo, que el agresor tenga una forma de geolocalizar 24/7 a su víctima es… perturbador.
¿Y ahora?
Sigo con el móvil:
¿Qué hago?
¿Qué hago?
Mientras esperamos los resultados de la encuesta 😞 siento ser pesado, pero hay dos familias cuyos casos tenemos parados en @CiberProtecter.
¿Una ayudita?
¿Una ayudita?
https://twitter.com/ciberprotecter/status/1556695176223113216
Vamos con las cuentas compartidas.
Estudio las que están activas en el teléfono y no parece que estén vulneradas.
Consulto el log de google (son de gmail) y todos los accesos son reconocibles para Angi.
Callejón sin salida.
¿Qué hacemos?
Estudio las que están activas en el teléfono y no parece que estén vulneradas.
Consulto el log de google (son de gmail) y todos los accesos son reconocibles para Angi.
Callejón sin salida.
¿Qué hacemos?
Seguimos con el móvil: está claro que el instinto os guía por aquí.
Me encanta que vayáis dejando vuestras hipótesis en los comentarios 🤗
Alguno da en el clavo y, cuando se descubre, menciono en el hilo al primero que acertó 😊
Alguno da en el clavo y, cuando se descubre, menciono en el hilo al primero que acertó 😊
Dicen los peritos virtuales que vayamos a por los servicios de nube.
Lo mismo, consulto el log y solo interactúan dos dispositivos: el móvil de Angi y el PC de Angi.
Aunque…
Lo mismo, consulto el log y solo interactúan dos dispositivos: el móvil de Angi y el PC de Angi.
Aunque…
Está un poco extrañada:
Aunque son desde su PC… NO RECONOCE TODOS LOS ACCESOS QUE FIGURAN 😱
Aunque son desde su PC… NO RECONOCE TODOS LOS ACCESOS QUE FIGURAN 😱
Bueno, hay servicios que acceden a la nube sin avisar… podría ser eso 🤷🏼♂️
¿Y ahora?
¿Y ahora?
Vaaaamos a por el PC.
Sigo diciendo que deberíamos verificar las pruebas que ya tenemos antes de buscar nuevas 🤷🏼♂️
Pero, en esta noche de tormenta, decidís vosotros.
¿Que busco?
Sigo diciendo que deberíamos verificar las pruebas que ya tenemos antes de buscar nuevas 🤷🏼♂️
Pero, en esta noche de tormenta, decidís vosotros.
¿Que busco?
Los peritos virtuales me piden que revise el software del PC.
Supongo que han creído (como me pasó a mí), que podría tener funcionando algún programa legal de monitorización o de control parental, como ocurrió con el móvil.
Supongo que han creído (como me pasó a mí), que podría tener funcionando algún programa legal de monitorización o de control parental, como ocurrió con el móvil.
Pero no 😞 no hay nada visible.
Vamos a por el tráfico en la r…
¡Ey! Hay un proceso desconocido que genera tráfico en la red.
Además, es un proceso con un nombre un poco raro: “svchosl.exe”.
¿Alguien sabe por qué es sospechoso?
¡Ey! Hay un proceso desconocido que genera tráfico en la red.
Además, es un proceso con un nombre un poco raro: “svchosl.exe”.
¿Alguien sabe por qué es sospechoso?
Esto es:
Su nombre ha sido escogido para que pase desapercibido al listar los procesos: Si no estás atento, puedes creer que es el “svchost.exe”, un proceso que se encuentra activo en todo PC con Windows.
Su nombre ha sido escogido para que pase desapercibido al listar los procesos: Si no estás atento, puedes creer que es el “svchost.exe”, un proceso que se encuentra activo en todo PC con Windows.
https://twitter.com/luismi_pr/status/1573439132004765697
Voy al archivo que ejecuta el proceso. Bien oculto, claro, en la carpeta de archivos temporales.
El antivirus no detecta nada.
Hay que sacar la artillería pesada
El antivirus no detecta nada.
Hay que sacar la artillería pesada
Apago el PC y hago que arranque un SO portable que es una de las herramientas típicas de la ciencia forense.
Desde este SO aparte, accedo al archivo sospechoso y lo analizo.
¡Premio!
Desde este SO aparte, accedo al archivo sospechoso y lo analizo.
¡Premio!
Oculta el server de un troyano.
Uno muy conocido.
Uno que permite monitorizar pantalla.
Uno que permite conectar la cam.
Uno que permite consultar el historial WEB.
Uno que incluye un keylogger.
Uno muy conocido.
Uno que permite monitorizar pantalla.
Uno que permite conectar la cam.
Uno que permite consultar el historial WEB.
Uno que incluye un keylogger.
¿Antigüedad del archivo?
8 meses.
8 meses.
Lo que no sabe todo el mundo es que la comunicación de un troyano va en dos direcciones y que se puede conseguir datos de direccionamiento 😊
Tenemos la IP del client del troyano (o del rebote de IP, si usa señuelo).
Sin orden judicial, no podemos saber a quién pertenece. Pero es importante, porque teniéndola y documentando la fecha y hora en la que está asignada, cuando se produzca un juicio se podrá requerir.
Sin orden judicial, no podemos saber a quién pertenece. Pero es importante, porque teniéndola y documentando la fecha y hora en la que está asignada, cuando se produzca un juicio se podrá requerir.
Aparte de todo esto, verifico los WhatsApps amenazantes, claro 😉
Y así llegamos al final de este caso que…
¡Ah no!
Hay algo que no ha salido en vuestra investigación 🧐
¡Ah no!
Hay algo que no ha salido en vuestra investigación 🧐
Yo siempre solicito a las compañías telefónicas datos, incluso aunque no tenga orden (a ver si les apetece colaborar).
Esta vez pasó algo muy curioso.
Por supuesto, la compañía se negó. Pero su respuesta fue, literalmente:
Esta vez pasó algo muy curioso.
Por supuesto, la compañía se negó. Pero su respuesta fue, literalmente:
“Tal y como hemos respondido a las anteriores solicitudes relacionadas con esta línea y realizadas desde su compañía, nos vemos obligados a rechazarla, aunque en esta ocasión las realice de manera personal y en calidad de perito de parte”.
😱 Se han confundido.
Alguien ha solicitado en varias ocasiones, desde una compañía telefónica, datos a la compañía de la línea de Angi.
Ahora que se los he pedido yo, han creído que era la misma persona.
Alguien ha solicitado en varias ocasiones, desde una compañía telefónica, datos a la compañía de la línea de Angi.
Ahora que se los he pedido yo, han creído que era la misma persona.
Por supuesto, desde una pericial de parte no podemos probar quién ha sido, pero la situación ha sido denunciada.
Este caso no ha acabado: sigue en juicios.
¿Que por qué lo he contado entonces?
Bueno, la investigación si que ha acabado, Angi me ha dado consentimiento y @CiberProtecter está en los huesos 😊
Así que…
¿Que por qué lo he contado entonces?
Bueno, la investigación si que ha acabado, Angi me ha dado consentimiento y @CiberProtecter está en los huesos 😊
Así que…
⚠️Evidencias localizadas
⚠️Pruebas certificadas
⚠️Informe pericial concluido…
⚠️¡Caso cerrado!
⚠️Pruebas certificadas
⚠️Informe pericial concluido…
⚠️¡Caso cerrado!
Solo un dato más.
Tras la entrega del informe, Angi dejó de temblar cada noche de tormenta, cuando recordaba cómo de expuesta se sintió al recibir el primer Whatsapp.
Tras la entrega del informe, Angi dejó de temblar cada noche de tormenta, cuando recordaba cómo de expuesta se sintió al recibir el primer Whatsapp.
Lamentable. En esta TL te entendemos.
A ver si va a ser un modus operandi habitual:
A ver si va a ser un modus operandi habitual:
https://twitter.com/karmenhache/status/1573665120181489667
Tenemos que parar esto:
https://twitter.com/cariocagalega/status/1573576773287256064
El uso del espionaje a la pareja como argumento judicial.
https://twitter.com/Niv_arien/status/1573661703111327745
• • •
Missing some Tweet in this thread? You can try to
force a refresh
