Parece que esta noche toca tormenta ☔️
Es un buen momento para contaros un #CasoDeInformáticaForense que también comenzó una noche de tormenta:
Tras 4 meses recuperándose de la ruptura de una relación muy tóxica, Ángi se estaba preparando para salir de nuevo y rehacer su vida.
Había quedado con un chico al que no conocía, pero con el que había chateado mucho.
Estaba terminando de vestirse cuando le llegó un aviso de WhatsApp.
Ver el remitente… la puso nerviosa: Su ex. Después de tanto tiempo, ¿por qué ahora?
Mucho peor le sentó leer el texto.
“¿Se puede saber por qué te has depilado? ¿Qué estás pensando hacer esta noche?”.
Esta noche, nos sobrecogeremos todos juntos como Angi, pues, ciertamente, acababa de usar la cera.
Eso sí, a lo largo de esta semana, @CiberProtecter ha recibido dos casos que no puede atender por falta de recursos.
Os ruego que entendáis que parte del hilo estará disponible solo para mecenas en el Patreon y os animo a colaborar aquí:
Me llama un buen amigo Guardia Civil de Granada. Al parecer, una chica se ha presentado a realizar una denuncia sobre “una historia de espionaje por el móvil” que no han sabido gestionar muy bien.
De hecho, la víctima tampoco ha sabido generar una denuncia
muy bien construida.
El relato es tan vago y ella estaba tan nerviosa, que casi no hay material para investigar.
“No sé exactamente cuál es la verdad de su testimonio, pero si algo nos quedó claro es que cree que su ex la espía por el móvil”.
Mi amigo me explica que tampoco disponen de recursos.
“Solo por hacer algo, hice una visita al ex. Le pregunté qué había hecho la noche de los actos. La verdad es que solo fui para que se asustase, pero no tengo más opciones para continuar”.
Debemos entender que, la mayoría de las veces, los miembros de las FFCCSE quieren actuar. Pero este tipo de caso requiere formación y recursos específicos que muchos no tienen, y la ambigüedad de los hechos, así como la aparente poca importancia y lo difícil que resulta dirimir
responsabilidades penales en estos escenarios, imposibilita en muchas ocasiones que los denunciantes puedan acudir a equipos especializados 😞
“Le he dado tu número. Espero que no te importe, pero no sabía qué más podía hacer”.
Dos semanas más tarde, me llama Angi.
Angi me cuenta una historia muy difícil de entender en un principio.
En este momento, voy a aprovechar para lanzar una propuesta a mis compañeros de profesión:
Peritos e investigadores privados, compañeros:
No es extraño recibir peticiones de ayuda que, en un principio, parecen formuladas por personas paranoicas con problemas que se lo están inventando todo. Gente que llegan a asegurar que las persiguen por la calle, o que la compañía
telefónica se ha aliado con su agresor. Personas que se sienten tan vigiladas que aseguran que las escuchan por el móvil, o que las ven por la webcam, o que leen sus correos…
Historias que, en un principio, son tan obtusas, están tan preladas de miedo y son tan inverosímiles que suenan a delirio.
Y, cuando alguien se siente en peligro, tampoco es que sepa expresarse de manera clara.
Si a eso le sumamos el desconocimiento de lo que se puede y no se
puede hacer con las TICs, tenemos todas las cartas para que nos resulte increíble.
Es fácil decidir en los cinco primeros minutos de balbuceos que el caso no es real o que no nos interesa.
Pero… dadles una oportunidad y escuchad.
Sentaos con ell@s y explicarles qué podría ser cierto y qué fruto del miedo.
A veces… solo es una persona asustada pidiendo ayuda como puede.
Me tomo mi tiempo y escucho lo que dice Angi.
De entre las conclusiones que ha sacado, hay algunas cosas que sí que suenan plausibles. Dirimimos juntos lo que puede estar pasando.
Hace meses que no sabía nada de su pareja, con la que había cortado.
Una persona muy manipuladora y controladora.
Por cierto… un ingeniero informático 👨🏽💻
Especialista en ciberseguridad para una empresa telefónica 🙄
“Conoce a gente importante” me dice una y otra vez.
El caso es que, justo cuando va a salir por primera vez con un hombre, vuelve a recibir noticias de él: un WhatsApp en el que dice saber algo que no debería saber… salvo que la vigile.
Desde entonces, el tipo, llamémoslo Marcos, se ha puesto en contacto más veces con ella. En todas las ocasiones, ha presumido de saber algo que no debía conocer, provocando el terror en Angi como si de un niño cruel que se dedicara a arrancar las alas a las mariposas se tratase.
De ser cierto, no solo hay un control enfermizo.
Hay un uso de poder subordinados que disfruta provocando el miedo en su víctima.
Se nota en cada comunicación.
Me parece detectar que algunos de los datos que esgrime son faroles plausibles (lo suficientemente ambiguos para que pudieran ser correctos mandados a cualquier otra chica), pero sí que hay cosas que no debería saber.
Entre ellas, hay temas muy privados que nadie debería conocer.
Aunque hay muchos detalles de los vertidos por Angi que pueden responder a su imaginación… la realidad es que los WhatsApps de su móvil están ahí, escritos por su ex y acertando cuando no debería.
Me genera muchísima curiosidad.
Así que…
¡Acepto el caso!
¿Cómo empezamos?
Bueno, los peritos virtuales prefieren que empiece analizando el móvil.
Yo suelo ser de asegurar pruebas antes de buscar nuevas, pero hoy deciden ellos.
Vamos a por el móvil:
¿En qué me centro?
Los peritos virtuales han ido directos al meollo:
Listo las apps activas en background y me topo con una de la que Angi no sabe nada.
Pero no es un spyware… ES UNA APP DE CONTROL PARENTAL.
Documento la instalación.
Está funcionando desde hace 8 meses (en plena relación).
Angi se echa a llorar… pero de alivio: ya tenemos pruebas de que no está loca.
Lamentablemente, esto no explica el caso:
La app no puede ser la fuente de los datos vulnerados:
Está más orientada a la geolocalización de los hijos (y a otras funciones que comento en este post): patreon.com/posts/72391090…
De cualquier modo, que el agresor tenga una forma de geolocalizar 24/7 a su víctima es… perturbador.
¿Y ahora?
Sigo con el móvil:
¿Qué hago?
Mientras esperamos los resultados de la encuesta 😞 siento ser pesado, pero hay dos familias cuyos casos tenemos parados en @CiberProtecter.
Vamos con las cuentas compartidas.
Estudio las que están activas en el teléfono y no parece que estén vulneradas.
Consulto el log de google (son de gmail) y todos los accesos son reconocibles para Angi.
Callejón sin salida.
¿Qué hacemos?
Seguimos con el móvil: está claro que el instinto os guía por aquí.
Me encanta que vayáis dejando vuestras hipótesis en los comentarios 🤗
Alguno da en el clavo y, cuando se descubre, menciono en el hilo al primero que acertó 😊
Dicen los peritos virtuales que vayamos a por los servicios de nube.
Lo mismo, consulto el log y solo interactúan dos dispositivos: el móvil de Angi y el PC de Angi.
Aunque…
Está un poco extrañada:
Aunque son desde su PC… NO RECONOCE TODOS LOS ACCESOS QUE FIGURAN 😱
Bueno, hay servicios que acceden a la nube sin avisar… podría ser eso 🤷🏼♂️
¿Y ahora?
Vaaaamos a por el PC.
Sigo diciendo que deberíamos verificar las pruebas que ya tenemos antes de buscar nuevas 🤷🏼♂️
Pero, en esta noche de tormenta, decidís vosotros.
¿Que busco?
Los peritos virtuales me piden que revise el software del PC.
Supongo que han creído (como me pasó a mí), que podría tener funcionando algún programa legal de monitorización o de control parental, como ocurrió con el móvil.
Pero no 😞 no hay nada visible.
Vamos a por el tráfico en la r…
¡Ey! Hay un proceso desconocido que genera tráfico en la red.
Además, es un proceso con un nombre un poco raro: “svchosl.exe”.
¿Alguien sabe por qué es sospechoso?
Esto es:
Su nombre ha sido escogido para que pase desapercibido al listar los procesos: Si no estás atento, puedes creer que es el “svchost.exe”, un proceso que se encuentra activo en todo PC con Windows.
Voy al archivo que ejecuta el proceso. Bien oculto, claro, en la carpeta de archivos temporales.
El antivirus no detecta nada.
Hay que sacar la artillería pesada
Apago el PC y hago que arranque un SO portable que es una de las herramientas típicas de la ciencia forense.
Desde este SO aparte, accedo al archivo sospechoso y lo analizo.
¡Premio!
Oculta el server de un troyano.
Uno muy conocido.
Uno que permite monitorizar pantalla.
Uno que permite conectar la cam.
Uno que permite consultar el historial WEB.
Uno que incluye un keylogger.
¿Antigüedad del archivo?
8 meses.
Lo que no sabe todo el mundo es que la comunicación de un troyano va en dos direcciones y que se puede conseguir datos de direccionamiento 😊
Tenemos la IP del client del troyano (o del rebote de IP, si usa señuelo).
Sin orden judicial, no podemos saber a quién pertenece. Pero es importante, porque teniéndola y documentando la fecha y hora en la que está asignada, cuando se produzca un juicio se podrá requerir.
Aparte de todo esto, verifico los WhatsApps amenazantes, claro 😉
Y así llegamos al final de este caso que…
¡Ah no!
Hay algo que no ha salido en vuestra investigación 🧐
Yo siempre solicito a las compañías telefónicas datos, incluso aunque no tenga orden (a ver si les apetece colaborar).
Esta vez pasó algo muy curioso.
Por supuesto, la compañía se negó. Pero su respuesta fue, literalmente:
“Tal y como hemos respondido a las anteriores solicitudes relacionadas con esta línea y realizadas desde su compañía, nos vemos obligados a rechazarla, aunque en esta ocasión las realice de manera personal y en calidad de perito de parte”.
😱 Se han confundido.
Alguien ha solicitado en varias ocasiones, desde una compañía telefónica, datos a la compañía de la línea de Angi.
Ahora que se los he pedido yo, han creído que era la misma persona.
Por supuesto, desde una pericial de parte no podemos probar quién ha sido, pero la situación ha sido denunciada.
Este caso no ha acabado: sigue en juicios.
¿Que por qué lo he contado entonces?
Bueno, la investigación si que ha acabado, Angi me ha dado consentimiento y @CiberProtecter está en los huesos 😊
Sé que, siendo profe, lo que voy a decir a continuación es equivalente a inmolarse.
Pero otra compañera agredida (más) y un alumno sumido en una crisis de ansiedad es motivo como para no callarme:
Si tú hij@, por la condición que sea (incluidas las médicas), es un peligro extraordinario porque agrede a los demás, no puede estar en un aula ordinaria.
PUNTO.
El sistema no te da mejores opciones y buscas lo mejor para tu hij@.
Tienes toda mi simpatía. Tienes toda mi conmiseración. Tienes mi comprensión.
Pero hasta ahí.
Apelando a la vocación, no puedes exigir a los docentes que soporten patadas de tu hij@, día sí, día también.
Antes de estudiar el último, lista de cambios que Elon Musk ha perpetrado en Twitter y consecuencias:
⚠️La verificación de cuenta ya no requiere prueba de identidad, sino pagar (RESULTADO: Los ciberacosadores, haters, trolls y suplantadores consiguen apariencia de veracidad).
⚠️Amnistía a todas las cuentas canceladas y borradas (RESULTADO: Todos los ciberacosadores, haters, trolls y suplantadores que habían sido localizados y eliminados, vuelven a la red en masa).
⚠️ Los “me gusta” se vuelven anónimos (RESULTADO: Los ciberacosadores, haters, trolls y suplantadores que se limitaban a dar “me gusta” a las publicaciones que te perjudicaban para pasar desapercibido a tu radar, ahora son totalmente invisibles).
Al final, queda la sensación de que la gente que tiene razón debe callarse para no molestar a los equivocados 😞
No me quito de encima la sensación de que tuvimos mucha suerte con los agentes que atendieron la llamada.
Lamento las erratas del hilo, pero es que me ha puesto muy nervioso revivirlo: Durante todo el tiempo estuve recordando un caso que atendimos en @CiberProtecter hace 3 años de dos adolescentes que grabaron a una niña pequeña de fondo cuando bailaban en la piscina.
Si mañana se hace viral (más les vale que no) el vídeo de “un boomer increpando a tres pobres niñas que solo querían grabar un TikTok en la playa”, al menos ya sabéis la historia completa 🤷🏼♂️
Nadie del circo romano me dijo “pues tenía usted razón”. Ni disculpas.
Una señora se fue murmurando “pero tampoco tenía que haberse puesto así de gilipollas” (recuerdo que yo solo pedí que no se publicase la cara de mi hijo y, ante la agresividad, recordé que era ilegal 🤷🏼♂️).
Al final, queda la sensación de que la gente que tiene razón debe callarse para no molestar a los equivocados 😞
Recientemente he visto un debate/cara a cara que ha organizado un famoso influencer, en el que enfrentaba dialécticamente a influencers de la conspiración y el terraplanismo con divulgadores científicos.
Hay algo que me gustaría comentar:
Obviamente, los “argumentos” de los primeros no se sostenían, no ya a un análisis científico, sino a una conversación informal con mínimos de rigor científico. Hasta aquí, no hay sorpresas.
Pero ellos lo perciben: No hay sorpresas.
Entre ellos, los hay que quieren creer y los hay que quieren que los demás crean, así que, ya sea por autoprotección de su creencia (no se la vaya a desmontar la realidad) o de su chiringuito (no vaya a perder a sus consumidores), luchan, no por dirimir, sino por tener razón.
Hace tiempo pusieron un casino en mi barrio. Imagináoslo: el típico con la puerta y escaparates llenos de luces de neón.
Llamaba mucho la atención y, los críos que pasaban por allí, sentían curiosidad. ¿Qué niño no se siente atraído por lo prohibido?
El casino, que se llamaba Chanín, tenía una pésima reputación.
Además del juego, dentro se movía una gran cantidad de "negocios delicados": Strippers, alcohol, otras sustancias, prostitución...
El barrio lo sabía: Su dueño era un intocable jefecillo de los negocios turbios al que todos llamaban Big Fran y del que siempre se podía esperar que explotase este tipo de "actividades económicas".