Diario de un perito informático: pruebas, evidencias y delitos informáticos
2 recomendaciones•1,001 vistas
El documento presenta la experiencia de Jorge Coronado, CEO de Quantika14, en peritajes informáticos, abarcando la recuperación de evidencias digitales y la importancia de la cadena de custodia en casos de delitos informáticos. Se detallan distintos tipos de casos, incluyendo la falsificación de emails, la recuperación de mensajes de WhatsApp, y la detección de aplicaciones espías. Además, se destaca la necesidad de una comunicación efectiva entre peritos informáticos y abogados para mejorar la gestión de estos casos.
![INDICE
1. Datos QK14
2. Tipos de casos
1. ¿Cómo presentar un email como prueba? (caso real)
2. Recuperar conversaciones de Whatsapp
3. App espías en Android
4. Secuestro parental (caso real)
3. Conclusiones
[EXTRA] Cadena de custodia y Anonymous
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 5](https://image.slidesharecdn.com/diariodeunperitoinformtico-160928162904/85/Diario-de-un-perito-informatico-pruebas-evidencias-y-delitos-informaticos-5-320.jpg)
Diario de un perito informático: pruebas, evidencias y delitos informáticos
- 1. DIARIO DE UN PERITO INFORMÁTICO: PRUEBAS, EVIDENCIAS Y DELITOS INFORMÁTICOS JORGE CORONADO (@JORGEWEBSEC) CEO DE QUANTIKA14 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 1
- 2. ¿QUIÉN ES JORGE CORONADO? • CEO y socio fundador de QuantiKa14. • Socio de la asociación de peritos tecnológicos e informáticos de Andalucía (APTAN) • Fundador y buscador en EXO Security • Colaborador en Canal Sur Radio • Twitter: @JorgeWebsec • Web: peritosinformaticos.quantika14.com • Email: [email protected] 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 2
- 3. 600 LETRADOS EN LAS JORNADAS DE VIOLENCIA DE GÉNERO ¡NO SOY EL TÉCNICO DE SONIDO DEL CONGRESO QUE SE REALIZO EN 2013 EN EL HOTEL MELIA! 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 3
- 4. ¿QUÉ ES QUANTIKA14? • Empresa con un equipo multidisciplinar técnico y jurídico. También colaboran con psicólogos, detectives, etc. • Facebook: /quantika14 • Twitter: @QuantiKa14 • Blog: blog.quantika14.com 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 4
- 5. INDICE 1. Datos QK14 2. Tipos de casos 1. ¿Cómo presentar un email como prueba? (caso real) 2. Recuperar conversaciones de Whatsapp 3. App espías en Android 4. Secuestro parental (caso real) 3. Conclusiones [EXTRA] Cadena de custodia y Anonymous 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 5
- 6. 1. DATOS CLIENTES 2015 QK14: 82% 18% Datos Particulares Empresas 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 6
- 7. 1. DATOS CLIENTES 2015 QK14 15% 2% 19% 3%1% 48% 12% Gráfico de servicios realizados 2015 App Espias Android App Espias Iphone Whatsapp Email Intrusismo Ransomware Suplantación de identidad 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 7
- 8. 1. DATOS CLIENTES 2015 QK14 67% 33% Por género Mujeres Hombres 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 8
- 9. 2. TIPOS DE CASOS 1. El cliente es conocedor de que existen pruebas en un dispositivo informático 2. El cliente tiene indicios de que existen pruebas en un dispositivo informático 3. El cliente te pide investigar 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 9
- 10. 2.1. TIPO 1: UN FALSO EMAIL 1. Mi cliente dice no haber enviado un email desde su cuenta de Gmail con injurias a la otra parte. 2. La otra parte presenta una prueba en papel y nada digital. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 10
- 11. 2.1. UN EMAIL FALSO 1. En un procedimiento judicial se debe presentar la prueba en papel y en digital autentificado que no ha sido modificado. Es fundamental un peritaje que certifique que los archivos digitales son reales y no han recibido ningún cambio desde su creación, emisión y recepción. 2. Cualquier persona con pocos conocimientos en Paint puede hacer un email falso 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 11
- 14. 2.2. TIPO 1: RECUPERACIÓN DE WHATSAPP Preguntas que siempre hago: - ¿El dispositivo es Android, Iphone, Windows phone? - ¿Los mensajes han sido borrados?¿O ha borrado la base de datos?¿O el dispositivo ha sido formateado o dejado en modo fábrica? - ¿Cuándo se borraron los mensajes? - ¿Cuántos mensajes manda al día más de 10, 100,1000,etc? 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 14
- 15. 2.2. ¿POR QUÉ PUEDEN SER RECUPERADOS? 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 15
- 16. 2.3.DETENIDO POR INSTALAR APP ESPÍA A SU PAREJA 20/07/2015 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 16 http://www.elperiodico.com/es/noticias/sucesos-y-tribunales/detenido-jaen-joven-por-instalar- aplicacion-espia-movil-pareja-4370283
- 17. 2.3. TIPO 2: APLICACIONES ESPÍAS EN ANDROID INDICIOS: • La batería se agota rápidamente • Consumo de datos • Localización • Fuga de conversaciones y archivos privados 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 17
- 18. ¿CÓMO DENUNCIAR? Comprar segundo móvil y duplicado de tarjeta sim Dejar el dispositivo para su análisis En caso de salir positivo proceder a denunciar con el informe 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 18 2.3. TIPO 2: APLICACIONES ESPÍAS EN ANDROID
- 19. 2.3. PROCESOS DE UN FORENSE EN SMARTPHONE ANDROID Entrega del dispositivo Clonado parcial Pre-análisis Rootear Clonado completo Forense Informe Juicio 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 19
- 20. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 20 A VECES NO SON VÍCTIMAS DE APLICACIONES ESPIAS SI NO DE UN SEGUIMIENTO DE DETECTIVES PERITOSIFORMATICOS.QUANTIKA14.COM
- 21. ¿POR QUÉ ES IMPORTANTE LA CADENA DE CUSTODIA? • Procedimiento controlado que se aplica a las evidencias digitales asociadas con un posible delito, desde su localización y extracción hasta su valoración por el perito informático encargado de su análisis y que tiene como fin evitar alteraciones, sustituciones, contaminaciones o destrucciones, certificando su autenticidad. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 21
- 22. CLONADO BIT A BIT • El clonado es una copia exacta de un dispositivo informático de almacenamiento a otro. • Para verificar que ambos dispositivos son iguales se deben sacar al menos 3 hash. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 22
- 23. ¿QUÉ ES UNA FIRMA HASH? Es una firma del contenido de un archivo informático que se obtiene con un algoritmo matemático. Esto es muy útil en informática forense para establecer la cadena de custodia de una evidencia digital, determinando que los elementos digitales no se han modificado durante el proceso forense. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 23
- 24. ¿QUÉ PASO EN EL CASO DE ANONYMOUS? • La sentencia de la magistrada Asunción Domínguez Luelmo, titular del Juzgado Penal número 3 de Gijón, ha declarado nulas todas las pruebas derivadas de la entrada y registro en los domicilios de los acusados, por estimar que se rompió la cadena de custodia de los soportes informáticos intervenidos. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 24 FUENTE: http://es.slideshare.net/pedrodelatorre1232/peritaje-informtico-errores-periciales-en-el-caso-anonymous?qid=6fc1638d-cda2- 46ff-8c77-7d8a7a886093&v=&b=&from_search=4
- 25. ¿QUÉ PASO EN EL CASO DE ANONYMOUS? • Los tres jóvenes fueron juzgados por pertenecer a la "cúpula" de la organización hacktivista Anonymous y acusados de haber llevado a cabo ataques informáticos contra varias webs en 2011, entre ellas, la de la Junta Electoral Central. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 25 FUENTE: http://es.slideshare.net/pedrodelatorre1232/peritaje-informtico-errores-periciales-en-el-caso-anonymous?qid=6fc1638d-cda2- 46ff-8c77-7d8a7a886093&v=&b=&from_search=4
- 26. ¿QUÉ FALLO? • No se realizó una cadena de custodia adecuada • No se peritaron los servidores de la Junta Electoral Central • No se aportaron al proceso los emails 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 26 FUENTE: http://es.slideshare.net/pedrodelatorre1232/peritaje-informtico-errores-periciales-en-el-caso-anonymous?qid=6fc1638d-cda2- 46ff-8c77-7d8a7a886093&v=&b=&from_search=4
- 27. 2.4. TIPO 3: SECUESTRO PARENTAL • Gracias al rastro de la navegación del menor pude averiguar su IP. • La menor solía frecuentar ciertos foros y redes sociales. • Usamos la técnica de Phishing. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 27
- 28. 2.4. RASTREAR LA NAVEGACIÓN • User-agent • Resolución de pantalla • Navegador • Sistema operativo • Cookies • Historial • Flash/Java • Ip • Ip Local • Panopticlick.eff.org 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 28
- 29. 2.4. FOROS/BLOGS/REDES SOCIALES • Tras la entrevista con la madre hacemos un curriculum de la menor. • Sabiendo todos los datos sabemos que podemos llegar a identificarla. • Usamos la técnica del Phishing con comentarios. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 29
- 30. 3 CONCLUSIONES Y DATOS 1. Los peritos informáticos trabajamos en 3 tipos de casos. 2. Es importante no solo ser un perito informático si no, un profesional de la seguridad informática. 3. Los peritos informáticos y los abogados seguimos hablando en leguajes diferentes. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 30
- 31. PARA HABLAR EL MISMO IDIOMA 1. Ambas partes debemos empezar a usar los 2 lenguajes. 2. Seguir haciendo talleres, jornadas y cursos sobre estos temas. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 31