Post on 08-Jan-2017
DIARIO DE UN PERITO INFORMÁTICO: PRUEBAS, EVIDENCIAS Y DELITOS INFORMÁTICOS
JORGE CORONADO (@JORGEWEBSEC)
CEO DE QUANTIKA14
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 1
¿QUIÉN ES JORGE CORONADO?
• CEO y socio fundador de QuantiKa14.
• Socio de la asociación de peritos tecnológicos e
informáticos de Andalucía (APTAN)
• Fundador y buscador en EXO Security
• Colaborador en Canal Sur Radio
• Twitter: @JorgeWebsec
• Web: peritosinformaticos.quantika14.com
• Email: jorge.coronado@quantika14.com
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 2
600 LETRADOS EN LAS JORNADAS DE VIOLENCIA DE GÉNERO
¡NO SOY EL TÉCNICO DE
SONIDO DEL CONGRESO QUE
SE REALIZO EN 2013 EN EL
HOTEL MELIA!
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 3
¿QUÉ ES QUANTIKA14?
• Empresa con un equipo
multidisciplinar técnico y jurídico.
También colaboran con psicólogos,
detectives, etc.
• Facebook: /quantika14
• Twitter: @QuantiKa14
• Blog: blog.quantika14.com
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 4
INDICE
1. Datos QK14
2. Tipos de casos
1. ¿Cómo presentar un email como prueba? (caso real)
2. Recuperar conversaciones de Whatsapp
3. App espías en Android
4. Secuestro parental (caso real)
3. Conclusiones
[EXTRA] Cadena de custodia y Anonymous
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 5
1. DATOS CLIENTES 2015 QK14:
82%
18%
Datos
Particulares
Empresas
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 6
1. DATOS CLIENTES 2015 QK14
15%
2%
19%
3%1%
48%
12%
Gráfico de servicios realizados 2015
App Espias Android
App Espias Iphone
Intrusismo
Ransomware
Suplantación de identidad
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 7
1. DATOS CLIENTES 2015 QK14
67%
33%
Por género
Mujeres
Hombres
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 8
2. TIPOS DE CASOS
1. El cliente es conocedor de que existen pruebas en un dispositivo informático
2. El cliente tiene indicios de que existen pruebas en un dispositivo informático
3. El cliente te pide investigar
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 9
2.1. TIPO 1: UN FALSO EMAIL
1. Mi cliente dice no haber
enviado un email desde
su cuenta de Gmail con
injurias a la otra parte.
2. La otra parte presenta
una prueba en papel y
nada digital.
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 10
2.1. UN EMAIL FALSO
1. En un procedimiento judicial se debe presentar la prueba en papel y en
digital autentificado que no ha sido modificado. Es fundamental un peritaje
que certifique que los archivos digitales son reales y no han recibido ningún
cambio desde su creación, emisión y recepción.
2. Cualquier persona con pocos conocimientos en Paint puede hacer un email
falso
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 11
2.2. TIPO 1: RECUPERACIÓN DE WHATSAPP
Preguntas que siempre hago:
- ¿El dispositivo es Android, Iphone, Windows phone?
- ¿Los mensajes han sido borrados?¿O ha borrado la base de datos?¿O el
dispositivo ha sido formateado o dejado en modo fábrica?
- ¿Cuándo se borraron los mensajes?
- ¿Cuántos mensajes manda al día más de 10, 100,1000,etc?
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 14
2.3.DETENIDO POR INSTALAR APP ESPÍA A SU PAREJA 20/07/2015
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 16
http://www.elperiodico.com/es/noticias/sucesos-y-tribunales/detenido-jaen-joven-por-instalar-
aplicacion-espia-movil-pareja-4370283
2.3. TIPO 2: APLICACIONES ESPÍAS EN ANDROID
INDICIOS:
• La batería se agota rápidamente
• Consumo de datos
• Localización
• Fuga de conversaciones y archivos
privados
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 17
¿CÓMO DENUNCIAR?
Comprar segundo móvil y duplicado
de tarjeta sim
Dejar el dispositivo para
su análisis
En caso de salir positivo proceder a denunciar con
el informe
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 18
2.3. TIPO 2: APLICACIONES ESPÍAS EN ANDROID
2.3. PROCESOS DE UN FORENSE EN SMARTPHONE ANDROID
Entrega del dispositivo
Clonado parcial
Pre-análisis Rootear
Clonado completo
Forense Informe
Juicio
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 19
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 20
A VECES NO SON
VÍCTIMAS DE
APLICACIONES ESPIAS SI
NO DE UN SEGUIMIENTO
DE DETECTIVES
PERITOSIFORMATICOS.QUANTIKA14.COM
¿POR QUÉ ES IMPORTANTE LA CADENA DE CUSTODIA?
• Procedimiento controlado que se aplica a las evidencias digitales asociadas
con un posible delito, desde su localización y extracción hasta su valoración
por el perito informático encargado de su análisis y que tiene como fin evitar
alteraciones, sustituciones, contaminaciones o destrucciones, certificando su
autenticidad.
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 21
CLONADO BIT A BIT
• El clonado es una copia exacta de
un dispositivo informático de
almacenamiento a otro.
• Para verificar que ambos
dispositivos son iguales se deben
sacar al menos 3 hash.
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 22
¿QUÉ ES UNA FIRMA HASH?
Es una firma del contenido de un archivo
informático que se obtiene con un
algoritmo matemático. Esto es muy útil en
informática forense para establecer la
cadena de custodia de una
evidencia digital, determinando que los
elementos digitales no se han modificado
durante el proceso forense.
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 23
¿QUÉ PASO EN EL CASO DE ANONYMOUS?
• La sentencia de la magistrada
Asunción Domínguez Luelmo, titular del
Juzgado Penal número 3 de Gijón, ha
declarado nulas todas las pruebas
derivadas de la entrada y registro en
los domicilios de los acusados, por
estimar que se rompió la cadena de
custodia de los soportes informáticos
intervenidos.
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 24
FUENTE: http://es.slideshare.net/pedrodelatorre1232/peritaje-informtico-errores-periciales-en-el-caso-anonymous?qid=6fc1638d-cda2-
46ff-8c77-7d8a7a886093&v=&b=&from_search=4
¿QUÉ PASO EN EL CASO DE ANONYMOUS?
• Los tres jóvenes fueron
juzgados por pertenecer a la
"cúpula" de la organización
hacktivista Anonymous y acusados
de haber llevado a cabo ataques
informáticos contra varias webs en
2011, entre ellas, la de la Junta
Electoral Central.
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 25
FUENTE: http://es.slideshare.net/pedrodelatorre1232/peritaje-informtico-errores-periciales-en-el-caso-anonymous?qid=6fc1638d-cda2-
46ff-8c77-7d8a7a886093&v=&b=&from_search=4
¿QUÉ FALLO?
• No se realizó una cadena de
custodia adecuada
• No se peritaron los servidores de la
Junta Electoral Central
• No se aportaron al proceso los
emails
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 26
FUENTE: http://es.slideshare.net/pedrodelatorre1232/peritaje-informtico-errores-periciales-en-el-caso-anonymous?qid=6fc1638d-cda2-
46ff-8c77-7d8a7a886093&v=&b=&from_search=4
2.4. TIPO 3: SECUESTRO PARENTAL
• Gracias al rastro de la navegación
del menor pude averiguar su IP.
• La menor solía frecuentar ciertos
foros y redes sociales.
• Usamos la técnica de Phishing.
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 27
2.4. RASTREAR LA NAVEGACIÓN
• User-agent
• Resolución de pantalla
• Navegador
• Sistema operativo
• Cookies
• Historial
• Flash/Java
• Ip
• Ip Local
• Panopticlick.eff.org
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 28
2.4. FOROS/BLOGS/REDES SOCIALES
• Tras la entrevista con la madre
hacemos un curriculum de la menor.
• Sabiendo todos los datos sabemos
que podemos llegar a identificarla.
• Usamos la técnica del Phishing con
comentarios.
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 29
3 CONCLUSIONES Y DATOS
1. Los peritos informáticos trabajamos en 3 tipos de casos.
2. Es importante no solo ser un perito informático si no, un profesional de la
seguridad informática.
3. Los peritos informáticos y los abogados seguimos hablando en leguajes
diferentes.
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 30
PARA HABLAR EL MISMO IDIOMA
1. Ambas partes debemos empezar a usar los 2 lenguajes.
2. Seguir haciendo talleres, jornadas y cursos sobre estos temas.
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 31