Diario de un perito informático: pruebas, evidencias y delitos informáticos

DIARIO DE UN PERITO INFORMÁTICO: PRUEBAS, EVIDENCIAS Y DELITOS INFORMÁTICOS

JORGE CORONADO (@JORGEWEBSEC)

CEO DE QUANTIKA14

28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 1

¿QUIÉN ES JORGE CORONADO?

• CEO y socio fundador de QuantiKa14.

• Socio de la asociación de peritos tecnológicos e

informáticos de Andalucía (APTAN)

• Fundador y buscador en EXO Security

• Colaborador en Canal Sur Radio

• Twitter: @JorgeWebsec

• Web: peritosinformaticos.quantika14.com

• Email: [email protected]


600 LETRADOS EN LAS JORNADAS DE VIOLENCIA DE GÉNERO

¡NO SOY EL TÉCNICO DE

SONIDO DEL CONGRESO QUE

SE REALIZO EN 2013 EN EL

HOTEL MELIA!


¿QUÉ ES QUANTIKA14?

• Empresa con un equipo

multidisciplinar técnico y jurídico.

También colaboran con psicólogos,

detectives, etc.

• Facebook: /quantika14

• Twitter: @QuantiKa14

• Blog: blog.quantika14.com


INDICE

1. Datos QK14

2. Tipos de casos

1. ¿Cómo presentar un email como prueba? (caso real)

2. Recuperar conversaciones de Whatsapp

3. App espías en Android

4. Secuestro parental (caso real)

3. Conclusiones

[EXTRA] Cadena de custodia y Anonymous


1. DATOS CLIENTES 2015 QK14:

82%

18%

Datos

Particulares

Empresas


1. DATOS CLIENTES 2015 QK14

15%

2%

19%

3%1%

48%

12%

Gráfico de servicios realizados 2015

App Espias Android

App Espias Iphone

Whatsapp

Email

Intrusismo

Ransomware

Suplantación de identidad


1. DATOS CLIENTES 2015 QK14

67%

33%

Por género

Mujeres

Hombres


2. TIPOS DE CASOS

1. El cliente es conocedor de que existen pruebas en un dispositivo informático

2. El cliente tiene indicios de que existen pruebas en un dispositivo informático

3. El cliente te pide investigar


2.1. TIPO 1: UN FALSO EMAIL

1. Mi cliente dice no haber

enviado un email desde

su cuenta de Gmail con

injurias a la otra parte.

2. La otra parte presenta

una prueba en papel y

nada digital.


2.1. UN EMAIL FALSO

1. En un procedimiento judicial se debe presentar la prueba en papel y en

digital autentificado que no ha sido modificado. Es fundamental un peritaje

que certifique que los archivos digitales son reales y no han recibido ningún

cambio desde su creación, emisión y recepción.

2. Cualquier persona con pocos conocimientos en Paint puede hacer un email

falso


2.2. TIPO 1: RECUPERACIÓN DE WHATSAPP

Preguntas que siempre hago:

- ¿El dispositivo es Android, Iphone, Windows phone?

- ¿Los mensajes han sido borrados?¿O ha borrado la base de datos?¿O el

dispositivo ha sido formateado o dejado en modo fábrica?

- ¿Cuándo se borraron los mensajes?

- ¿Cuántos mensajes manda al día más de 10, 100,1000,etc?


2.2. ¿POR QUÉ PUEDEN SER RECUPERADOS?


2.3.DETENIDO POR INSTALAR APP ESPÍA A SU PAREJA 20/07/2015


http://www.elperiodico.com/es/noticias/sucesos-y-tribunales/detenido-jaen-joven-por-instalar-

aplicacion-espia-movil-pareja-4370283

2.3. TIPO 2: APLICACIONES ESPÍAS EN ANDROID

INDICIOS:

• La batería se agota rápidamente

• Consumo de datos

• Localización

• Fuga de conversaciones y archivos

privados


¿CÓMO DENUNCIAR?

Comprar segundo móvil y duplicado

de tarjeta sim

Dejar el dispositivo para

su análisis

En caso de salir positivo proceder a denunciar con

el informe


2.3. TIPO 2: APLICACIONES ESPÍAS EN ANDROID

2.3. PROCESOS DE UN FORENSE EN SMARTPHONE ANDROID

Entrega del dispositivo

Clonado parcial

Pre-análisis Rootear

Clonado completo

Forense Informe

Juicio



A VECES NO SON

VÍCTIMAS DE

APLICACIONES ESPIAS SI

NO DE UN SEGUIMIENTO

DE DETECTIVES

PERITOSIFORMATICOS.QUANTIKA14.COM

¿POR QUÉ ES IMPORTANTE LA CADENA DE CUSTODIA?

• Procedimiento controlado que se aplica a las evidencias digitales asociadas

con un posible delito, desde su localización y extracción hasta su valoración

por el perito informático encargado de su análisis y que tiene como fin evitar

alteraciones, sustituciones, contaminaciones o destrucciones, certificando su

autenticidad.


CLONADO BIT A BIT

• El clonado es una copia exacta de

un dispositivo informático de

almacenamiento a otro.

• Para verificar que ambos

dispositivos son iguales se deben

sacar al menos 3 hash.


¿QUÉ ES UNA FIRMA HASH?

Es una firma del contenido de un archivo

informático que se obtiene con un

algoritmo matemático. Esto es muy útil en

informática forense para establecer la

cadena de custodia de una

evidencia digital, determinando que los

elementos digitales no se han modificado

durante el proceso forense.


¿QUÉ PASO EN EL CASO DE ANONYMOUS?

• La sentencia de la magistrada

Asunción Domínguez Luelmo, titular del

Juzgado Penal número 3 de Gijón, ha

declarado nulas todas las pruebas

derivadas de la entrada y registro en

los domicilios de los acusados, por

estimar que se rompió la cadena de

custodia de los soportes informáticos

intervenidos.


FUENTE: http://es.slideshare.net/pedrodelatorre1232/peritaje-informtico-errores-periciales-en-el-caso-anonymous?qid=6fc1638d-cda2-

46ff-8c77-7d8a7a886093&v=&b=&from_search=4

¿QUÉ PASO EN EL CASO DE ANONYMOUS?

• Los tres jóvenes fueron

juzgados por pertenecer a la

"cúpula" de la organización

hacktivista Anonymous y acusados

de haber llevado a cabo ataques

informáticos contra varias webs en

2011, entre ellas, la de la Junta

Electoral Central.




¿QUÉ FALLO?

• No se realizó una cadena de

custodia adecuada

• No se peritaron los servidores de la

Junta Electoral Central

• No se aportaron al proceso los

emails




2.4. TIPO 3: SECUESTRO PARENTAL

• Gracias al rastro de la navegación

del menor pude averiguar su IP.

• La menor solía frecuentar ciertos

foros y redes sociales.

• Usamos la técnica de Phishing.


2.4. RASTREAR LA NAVEGACIÓN

• User-agent

• Resolución de pantalla

• Navegador

• Sistema operativo

• Cookies

• Historial

• Flash/Java

• Ip

• Ip Local

• Panopticlick.eff.org


2.4. FOROS/BLOGS/REDES SOCIALES

• Tras la entrevista con la madre

hacemos un curriculum de la menor.

• Sabiendo todos los datos sabemos

que podemos llegar a identificarla.

• Usamos la técnica del Phishing con

comentarios.


3 CONCLUSIONES Y DATOS

1. Los peritos informáticos trabajamos en 3 tipos de casos.

2. Es importante no solo ser un perito informático si no, un profesional de la

seguridad informática.

3. Los peritos informáticos y los abogados seguimos hablando en leguajes

diferentes.


PARA HABLAR EL MISMO IDIOMA

1. Ambas partes debemos empezar a usar los 2 lenguajes.

2. Seguir haciendo talleres, jornadas y cursos sobre estos temas.


PREGUNTAS?


¡MUCHAS GRACIAS!

Diario de un perito informático: pruebas, evidencias y delitos informáticos

Engineering

Transcript of Diario de un perito informático: pruebas, evidencias y delitos informáticos