Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.
DIARIO DE UN PERITO INFORMÁTICO:
PRUEBAS, EVIDENCIAS Y DELITOS
INFORMÁTICOS
JORGE CORONADO (@JORGEWEBSEC)
CEO DE QUANTIKA1...
¿QUIÉN ES JORGE CORONADO?
• CEO y socio fundador de QuantiKa14.
• Socio de la asociación de peritos tecnológicos e
informá...
600 LETRADOS EN LAS JORNADAS DE VIOLENCIA
DE GÉNERO
¡NO SOY EL TÉCNICO DE
SONIDO DEL CONGRESO QUE
SE REALIZO EN 2013 EN EL...
¿QUÉ ES QUANTIKA14?
• Empresa con un equipo
multidisciplinar técnico y jurídico.
También colaboran con psicólogos,
detecti...
INDICE
1. Datos QK14
2. Tipos de casos
1. ¿Cómo presentar un email como prueba? (caso real)
2. Recuperar conversaciones de...
1. DATOS CLIENTES 2015 QK14:
82%
18%
Datos
Particulares
Empresas
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 6
1. DATOS CLIENTES 2015 QK14
15%
2%
19%
3%1%
48%
12%
Gráfico de servicios realizados 2015
App Espias Android
App Espias Iph...
1. DATOS CLIENTES 2015 QK14
67%
33%
Por género
Mujeres
Hombres
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 8
2. TIPOS DE CASOS
1. El cliente es conocedor de que existen pruebas en un dispositivo informático
2. El cliente tiene indi...
2.1. TIPO 1: UN
FALSO EMAIL
1. Mi cliente dice no haber
enviado un email desde
su cuenta de Gmail con
injurias a la otra p...
2.1. UN EMAIL FALSO
1. En un procedimiento judicial se debe presentar la prueba en papel y en
digital autentificado que no...
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 12
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 13
2.2. TIPO 1: RECUPERACIÓN DE WHATSAPP
Preguntas que siempre hago:
- ¿El dispositivo es Android, Iphone, Windows phone?
- ¿...
2.2. ¿POR QUÉ PUEDEN SER RECUPERADOS?
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 15
2.3.DETENIDO POR INSTALAR APP ESPÍA A SU
PAREJA 20/07/2015
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 16
http://www.elpe...
2.3. TIPO 2: APLICACIONES ESPÍAS EN ANDROID
INDICIOS:
• La batería se agota rápidamente
• Consumo de datos
• Localización
...
¿CÓMO DENUNCIAR?
Comprar segundo
móvil y duplicado
de tarjeta sim
Dejar el
dispositivo para
su análisis
En caso de salir
p...
2.3. PROCESOS DE UN FORENSE EN SMARTPHONE
ANDROID
Entrega del
dispositivo
Clonado
parcial
Pre-análisis Rootear
Clonado
com...
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 20
A VECES NO SON
VÍCTIMAS DE
APLICACIONES ESPIAS SI
NO DE UN SEGUIMIENTO
DE ...
¿POR QUÉ ES IMPORTANTE LA CADENA DE
CUSTODIA?
• Procedimiento controlado que se aplica a las evidencias digitales asociada...
CLONADO BIT A BIT
• El clonado es una copia exacta de
un dispositivo informático de
almacenamiento a otro.
• Para verifica...
¿QUÉ ES UNA FIRMA HASH?
Es una firma del contenido de un archivo
informático que se obtiene con un
algoritmo matemático. E...
¿QUÉ PASO EN EL CASO DE ANONYMOUS?
• La sentencia de la magistrada
Asunción Domínguez Luelmo, titular del
Juzgado Penal nú...
¿QUÉ PASO EN EL CASO DE ANONYMOUS?
• Los tres jóvenes fueron
juzgados por pertenecer a la
"cúpula" de la organización
hack...
¿QUÉ FALLO?
• No se realizó una cadena de
custodia adecuada
• No se peritaron los servidores de la
Junta Electoral Central...
2.4. TIPO 3: SECUESTRO PARENTAL
• Gracias al rastro de la navegación
del menor pude averiguar su IP.
• La menor solía frec...
2.4. RASTREAR LA NAVEGACIÓN
• User-agent
• Resolución de pantalla
• Navegador
• Sistema operativo
• Cookies
• Historial
• ...
2.4. FOROS/BLOGS/REDES SOCIALES
• Tras la entrevista con la madre
hacemos un curriculum de la menor.
• Sabiendo todos los ...
3 CONCLUSIONES Y DATOS
1. Los peritos informáticos trabajamos en 3 tipos de casos.
2. Es importante no solo ser un perito ...
PARA HABLAR EL MISMO IDIOMA
1. Ambas partes debemos empezar a usar los 2 lenguajes.
2. Seguir haciendo talleres, jornadas ...
PREGUNTAS?
28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 32
¡MUCHAS GRACIAS!
Próxima SlideShare
Cargando en…5
×

Diario de un perito informático: pruebas, evidencias y delitos informáticos

353 visualizaciones

Publicado el

Presentación preparada para la charla de Legal Hacker Sevilla 2016 segunda edición.

En la charla tratamos casos reales de pruebas digitales: email falso, recuperación de whatsapp, secuestro parental...

Publicado en: Ingeniería
  • Sé el primero en comentar

Diario de un perito informático: pruebas, evidencias y delitos informáticos

  1. 1. DIARIO DE UN PERITO INFORMÁTICO: PRUEBAS, EVIDENCIAS Y DELITOS INFORMÁTICOS JORGE CORONADO (@JORGEWEBSEC) CEO DE QUANTIKA14 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 1
  2. 2. ¿QUIÉN ES JORGE CORONADO? • CEO y socio fundador de QuantiKa14. • Socio de la asociación de peritos tecnológicos e informáticos de Andalucía (APTAN) • Fundador y buscador en EXO Security • Colaborador en Canal Sur Radio • Twitter: @JorgeWebsec • Web: peritosinformaticos.quantika14.com • Email: jorge.coronado@quantika14.com 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 2
  3. 3. 600 LETRADOS EN LAS JORNADAS DE VIOLENCIA DE GÉNERO ¡NO SOY EL TÉCNICO DE SONIDO DEL CONGRESO QUE SE REALIZO EN 2013 EN EL HOTEL MELIA! 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 3
  4. 4. ¿QUÉ ES QUANTIKA14? • Empresa con un equipo multidisciplinar técnico y jurídico. También colaboran con psicólogos, detectives, etc. • Facebook: /quantika14 • Twitter: @QuantiKa14 • Blog: blog.quantika14.com 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 4
  5. 5. INDICE 1. Datos QK14 2. Tipos de casos 1. ¿Cómo presentar un email como prueba? (caso real) 2. Recuperar conversaciones de Whatsapp 3. App espías en Android 4. Secuestro parental (caso real) 3. Conclusiones [EXTRA] Cadena de custodia y Anonymous 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 5
  6. 6. 1. DATOS CLIENTES 2015 QK14: 82% 18% Datos Particulares Empresas 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 6
  7. 7. 1. DATOS CLIENTES 2015 QK14 15% 2% 19% 3%1% 48% 12% Gráfico de servicios realizados 2015 App Espias Android App Espias Iphone Whatsapp Email Intrusismo Ransomware Suplantación de identidad 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 7
  8. 8. 1. DATOS CLIENTES 2015 QK14 67% 33% Por género Mujeres Hombres 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 8
  9. 9. 2. TIPOS DE CASOS 1. El cliente es conocedor de que existen pruebas en un dispositivo informático 2. El cliente tiene indicios de que existen pruebas en un dispositivo informático 3. El cliente te pide investigar 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 9
  10. 10. 2.1. TIPO 1: UN FALSO EMAIL 1. Mi cliente dice no haber enviado un email desde su cuenta de Gmail con injurias a la otra parte. 2. La otra parte presenta una prueba en papel y nada digital. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 10
  11. 11. 2.1. UN EMAIL FALSO 1. En un procedimiento judicial se debe presentar la prueba en papel y en digital autentificado que no ha sido modificado. Es fundamental un peritaje que certifique que los archivos digitales son reales y no han recibido ningún cambio desde su creación, emisión y recepción. 2. Cualquier persona con pocos conocimientos en Paint puede hacer un email falso 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 11
  12. 12. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 12
  13. 13. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 13
  14. 14. 2.2. TIPO 1: RECUPERACIÓN DE WHATSAPP Preguntas que siempre hago: - ¿El dispositivo es Android, Iphone, Windows phone? - ¿Los mensajes han sido borrados?¿O ha borrado la base de datos?¿O el dispositivo ha sido formateado o dejado en modo fábrica? - ¿Cuándo se borraron los mensajes? - ¿Cuántos mensajes manda al día más de 10, 100,1000,etc? 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 14
  15. 15. 2.2. ¿POR QUÉ PUEDEN SER RECUPERADOS? 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 15
  16. 16. 2.3.DETENIDO POR INSTALAR APP ESPÍA A SU PAREJA 20/07/2015 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 16 http://www.elperiodico.com/es/noticias/sucesos-y-tribunales/detenido-jaen-joven-por-instalar- aplicacion-espia-movil-pareja-4370283
  17. 17. 2.3. TIPO 2: APLICACIONES ESPÍAS EN ANDROID INDICIOS: • La batería se agota rápidamente • Consumo de datos • Localización • Fuga de conversaciones y archivos privados 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 17
  18. 18. ¿CÓMO DENUNCIAR? Comprar segundo móvil y duplicado de tarjeta sim Dejar el dispositivo para su análisis En caso de salir positivo proceder a denunciar con el informe 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 18 2.3. TIPO 2: APLICACIONES ESPÍAS EN ANDROID
  19. 19. 2.3. PROCESOS DE UN FORENSE EN SMARTPHONE ANDROID Entrega del dispositivo Clonado parcial Pre-análisis Rootear Clonado completo Forense Informe Juicio 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 19
  20. 20. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 20 A VECES NO SON VÍCTIMAS DE APLICACIONES ESPIAS SI NO DE UN SEGUIMIENTO DE DETECTIVES PERITOSIFORMATICOS.QUANTIKA14.COM
  21. 21. ¿POR QUÉ ES IMPORTANTE LA CADENA DE CUSTODIA? • Procedimiento controlado que se aplica a las evidencias digitales asociadas con un posible delito, desde su localización y extracción hasta su valoración por el perito informático encargado de su análisis y que tiene como fin evitar alteraciones, sustituciones, contaminaciones o destrucciones, certificando su autenticidad. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 21
  22. 22. CLONADO BIT A BIT • El clonado es una copia exacta de un dispositivo informático de almacenamiento a otro. • Para verificar que ambos dispositivos son iguales se deben sacar al menos 3 hash. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 22
  23. 23. ¿QUÉ ES UNA FIRMA HASH? Es una firma del contenido de un archivo informático que se obtiene con un algoritmo matemático. Esto es muy útil en informática forense para establecer la cadena de custodia de una evidencia digital, determinando que los elementos digitales no se han modificado durante el proceso forense. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 23
  24. 24. ¿QUÉ PASO EN EL CASO DE ANONYMOUS? • La sentencia de la magistrada Asunción Domínguez Luelmo, titular del Juzgado Penal número 3 de Gijón, ha declarado nulas todas las pruebas derivadas de la entrada y registro en los domicilios de los acusados, por estimar que se rompió la cadena de custodia de los soportes informáticos intervenidos. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 24 FUENTE: http://es.slideshare.net/pedrodelatorre1232/peritaje-informtico-errores-periciales-en-el-caso-anonymous?qid=6fc1638d-cda2- 46ff-8c77-7d8a7a886093&v=&b=&from_search=4
  25. 25. ¿QUÉ PASO EN EL CASO DE ANONYMOUS? • Los tres jóvenes fueron juzgados por pertenecer a la "cúpula" de la organización hacktivista Anonymous y acusados de haber llevado a cabo ataques informáticos contra varias webs en 2011, entre ellas, la de la Junta Electoral Central. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 25 FUENTE: http://es.slideshare.net/pedrodelatorre1232/peritaje-informtico-errores-periciales-en-el-caso-anonymous?qid=6fc1638d-cda2- 46ff-8c77-7d8a7a886093&v=&b=&from_search=4
  26. 26. ¿QUÉ FALLO? • No se realizó una cadena de custodia adecuada • No se peritaron los servidores de la Junta Electoral Central • No se aportaron al proceso los emails 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 26 FUENTE: http://es.slideshare.net/pedrodelatorre1232/peritaje-informtico-errores-periciales-en-el-caso-anonymous?qid=6fc1638d-cda2- 46ff-8c77-7d8a7a886093&v=&b=&from_search=4
  27. 27. 2.4. TIPO 3: SECUESTRO PARENTAL • Gracias al rastro de la navegación del menor pude averiguar su IP. • La menor solía frecuentar ciertos foros y redes sociales. • Usamos la técnica de Phishing. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 27
  28. 28. 2.4. RASTREAR LA NAVEGACIÓN • User-agent • Resolución de pantalla • Navegador • Sistema operativo • Cookies • Historial • Flash/Java • Ip • Ip Local • Panopticlick.eff.org 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 28
  29. 29. 2.4. FOROS/BLOGS/REDES SOCIALES • Tras la entrevista con la madre hacemos un curriculum de la menor. • Sabiendo todos los datos sabemos que podemos llegar a identificarla. • Usamos la técnica del Phishing con comentarios. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 29
  30. 30. 3 CONCLUSIONES Y DATOS 1. Los peritos informáticos trabajamos en 3 tipos de casos. 2. Es importante no solo ser un perito informático si no, un profesional de la seguridad informática. 3. Los peritos informáticos y los abogados seguimos hablando en leguajes diferentes. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 30
  31. 31. PARA HABLAR EL MISMO IDIOMA 1. Ambas partes debemos empezar a usar los 2 lenguajes. 2. Seguir haciendo talleres, jornadas y cursos sobre estos temas. 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 31
  32. 32. PREGUNTAS? 28/09/2016PERITOSINFORMATICOS.QUANTIKA14.COM 32 ¡MUCHAS GRACIAS!

×