Tras 20 años de comportamiento presuntamente delictivo por parte de Rodrigo Nogueira Iglesias, más de 60 Víctimas conocidas a través de redes sociales. Finalmente se ha ordenado búsqueda y detención. Nuestro objetivo, dar con él, ponerlo a disposición de las autoridades ¿cómo? Mediante técnicas OSINT, SOCMINT e ingeniería social y otras técnicas de hacking. El resultado, en directo, nada de DEMOS grabadas, necesitaremos la colaboración de los asistentes, búsqueda en vivo. Te encontraremos Mr. Ripley, oooosint nena!!
2. Puntos a tratar
1-Presentación de ponentes
2- ¿Quién es Rodrigo? (Exposición del caso a nivel general sin entrar en detalles pero
dejando la miel en los labios)
3- No sólo somos dos (Personas implicadas en el caso )
4-Exposición de puntos importantes del caso
5-Situación actual
6- Localización: OSINT y otros
7- Preparando el señuelo con Técnicas de Hacking y Fingerprinting Web
8- Cazando nuestra presa con Ingeniería Social
2
3. Eduardo Sánchez
Ingeniero Informática por la UGR. Máster Seguridad TIC por la UOC
Co-Fundador de la comunidad Hack&Beers y Hacking Solidario
Vicepresidente de la Asociación Nacional de Profesionales del Hacking Ético
Profesor de:
Formación Profesional en Sistemas y Aplicaciones Informáticas de la Junta de
Andalucía.
Experto Profesional en Derecho Tecnológico e Informática Forense de la UNEX
Título Especialista en Seguridad Informática y de la Información de la UCLM
Organizador de:
Hack&Beers
Hacking Solidario
Qurtuba Security Congress
Security High Schooll
3
4. Selva Orejón
4
● Perito judicial en identidad digital, imagen y reputación online
● Directora ejecutiva de onBRANDING y CELEBrandSEC
● Profesora de:
○ Análisis de inteligencia en fuentes abiertas en la Universidad de Barcelona,
para el Máster de Ciberseguridad
○ OSINT, Institut de Seguretat Pública de Catalunya
○ Identidad digital, EAE Business School
5. No somos sólo 2, somos un equipo sin ánimo de lucro
5
● Detectadas hasta febrero de 2017, 62 víctimas, de las cuales, constan:
○ 14 denuncias
○ 2 sentencias (1 civil y 1 penal)
○ las demás no denuncian por miedo a represalias, porque en
la fecha, no conocían su nombre real, han pasado muchos años y
ya han prescrito los presuntos delitos.
...
● Somos un equipo sin ánimo de lucro:
○ 5 abogados, muy en especial, Ruth Sala ;)
○ Psicólogo forense, perfilador criminal, Jorge Jiménez
○ Coordinadora y Perito judicial en identidad digital, Selva Orejón
○ Informático forense, Eduardo Sánchez
○ Detective privado, Elisenda Villena
○ Perito judicial en grafología, Deitze San Vicente
○ Analista de datos, Joaquín Espín
6. ¿Quién es Rodrigo Nogueira Iglesias?
¿Por qué lleva 20 años en libertad?
¿Cómo y contra quién actúa?
6
7. Tiene 39 años y no se le conocen estudios o trabajos estables. Se describe como un
hombre culto, con tatuajes en los brazos y cuerpo y de ojos grises. Su familia, de Marin,
Pontevedra, guarda silencio; fueron las primeras víctimas.
Desde como mínimo 1996 presuntamente ha engañado, estafado, sustraído bienes e
información personal, vendido documentos y destrozado la vida de al menos 62 víctimas
en España.
El psicólogo criminalista Jorge Jiménez Serrano ha perfilado a Rodrigo, a través del
testimonio de las víctimas y documentación del caso, para conocer su personalidad y
avanzarse a sus movimientos. Se ha determinado que posee un perfil psicológico de
psicópata parasitario, plenamente consciente del uso que hace de la mentira y cómo
ésta la usa siempre está al servicio de su beneficio personal.
Para llevar a cabo las estafas, se ha valido de identidades falsas, polifacéticas usadas en
la vida real y en redes sociales, ocultándose tras más de 35 alias conocidos.
7
Quién es: Rodrigo NOGUEIRA IGLESIAS
8. La mentira psicopática
La mentira, para el psicópata, es una herramienta de trabajo.
La mentira la usa para desvirtuar la verdad ex profeso, con un objetivo "en mente",
conseguir algo.
La mentira siempre apunta a algo, miente para evitar un castigo, para conseguir una
recompensa, para engañar, es su propio rédito: satisfacer el ego.
Utiliza la mentira como una herramienta de trabajo más, está tan acostumbrado a
mentir que es difícil captar cuando miente.
Miente mirando a los ojos y con una actitud relajada.
Psicópata parasitario (rol cuidador - cuidado)
Primero te lo doy todo, seré quien tu quieres que sea cuando tu lo necesites, porque
luego te lo quitaré todo.
8
9. Rodrigo sabe que está mintiendo, pero no le importa, no tiene la resonancia o displacer
que uno siente cuando miente.
Le damos mucha importancia a las palabras y si estamos frente a un mentiroso y
sobrevaloramos las palabras, caemos fácilmente en el circuito psicopático.
El psicópata dice lo que conviene decir o lo que se espera que conteste. Si se quiere
evaluar al psicópata, lo importante es lo que hace, a través de la conducta.
El psicópata adapta la actuación a la persona que quiere captar.
9
La mentira como vehículo para la estafa
12. ¿Quiénes son las víctimas de Rodrigo?
12
Principalmente 2 tipos de víctimas, personas que:
ECONÓMICAS PSICOLÓGICAS
Tienen una vivienda
Un medio de transporte propio
Cuentan con un ordenador y un
smartphone, especialmente un mac,
un iphone, o un ipad
Tienen trabajo o medios económicos
Han sufrido mucho en el pasado, por
tanto no quieren el sufrimiento para
los demás y pueden ser más fáciles
de engañar (enfermedad)
Tienen presencia en redes sociales de
dating y buscan conocer nuevas
personas
Acaban de perder a un familiar o a un
ser querido
Están pasando por un momento vital
traumático
13. ¿Quiénes son las víctimas de Rodrigo?
13
Establecimientos hoteleros, casas rurales y restaurantes en los que para
hospedarse usa la identidad de un noble, empresario millonario, experto
en seguridad informática (y se gana la confianza hasta que accede a sus
sistemas informáticos con el pretexto de ayudarles):
Falsas identidades:
Carta de identidad italiana a nombre de un tercero
Falso DNI
Desaparece del alojamiento después de un medio o largo hospedaje con
víctimas, las víctimas sí aportan su DNI real y son las denunciadas
por el establecimiento y condenadas a pagar la factura final al ser
consideradas cómplices del engaño.
14. SENTENCIAS (PENAL Y CIVIL)
● Sentencia 1 (penal) 1997 por Estafa, Juzgado en rebeldía. Málaga
● Sentencia 2 (civil) , 22 de julio de 2014, Juzgado de Primera Instancia número 9
de Valencia
Juzgado en rebeldía. Notificación de la sentencia dictada en el procedimiento de
guarda y custodia número 877/2013. [2014/7063] El padre ingresará, en la cuenta
bancaria que designe la señora Cuenca, una pensión mensual de 200 euros
(doscientos euros) mensuales, cantidad que se verá modificada anualmente
conforme al índice de precios al consumo que publique el organismo estatal
competente. Los gastos extraordinarios necesarios o convenientes, si existe
acuerdo
o declaración judicial, serán abonados por mitad.
Don Rodrigo Nogueira Iglesias no ha ingresado ninguna de 28 las mensualidades que
debía haber ingresado.
14
Situación legal del caso
15. 15
● Denuncia 1, Delito: Robo con fuerza, 2001, Pontevedra
● Denuncia 2 (retirada por la víctima). Delito: Robo a la abuela de la madre de su
hijo (sentencia 2). La abuela, a petición de la madre, retiró la denuncia. Cuerpo:
Policia Nacional. Fecha: 2002. Ubicación: Valencia
● Denuncia 3, Fecha: 2015. Delito: Estafa. Cuerpo: Policia Nacional.
● Denuncia X, Fecha: 2015, Delito: Estafa. Cuerpo: Policia Nacional.
● Denuncia X. Fecha: 22/04/2013. Cuerpo: Guardia Civil.
● Denuncia X. Fecha: 14(02/2014. Delito: Estafa. Cuerpo: Mossos d’Esquadra. Nº
● Denuncia 4. Fecha: 2012. Delito: Estafa. Cuerpo: Jutjat de Pau de Lloret de Mar.
Situación legal del caso
16. 16
● Denuncia 5. Fecha: 2007. Delito: Estafa. Víctima: Cuerpo: Guardia Civil.
● Denuncia 6. Fecha: 2014. Delito: Estafa, acceso ilícito a las comunicaciones, robo.
Agravante: abuso de confianza. Cuerpo: Mossos d’Esquadra)
● Denuncia 7. Fecha: 2013. Delito: Estafa, robo, acceso ilícito a las comunicaciones,
revelación y descubrimiento de secretos. Agravante: abuso de confianza, revelación
de información comercial. Cuerpo: ERTZAINTZA.
● Denuncia 8. Fecha: 2014. Delito: Estafa. Agravante: abuso de confianza, Cuerpo:
Policia Nacional.
Situación legal del caso
17. 17
Situación legal del caso
● Denuncia 9. Fecha: Desconocida. Delito: Estafa. Agravante: abuso de confianza.
Cuerpo: Juzgado de Pontevedra.
● Denuncia 10. Fecha: 2015. Delito: Estafa, falsificación documental. Propietario
del hotel Quinta de San Amaro. Cuerpo: Juzgado de Pontevedra. Orden de
detención y presentación ante juzgado.
● Denuncia 11. Fecha: 17/11/2016. Delito: Estafa, Robo, Acceso ilícito a las
comunicaciones. Cuerpo: Policia Nacional.
● Denuncia 12. Fecha: noviembre de 2016. Motivo: Desaparición. Cuerpo:Policia
Nacional.
● Denuncia 13. Fecha:
18. 18
Y ahora, la gran pregunta:
¿Pero 21 años en activo y...
¿Cómo es que no le han cogido ya?
19. ● Existe una orden de detención y si le para un cuerpo policial en un control le
debería detener pero:
○ NO conduce, no tiene carnet de conducir, viaja en blablacar y socialcar.
○ NUNCA usa un nombre propio en las redes sociales.
○ NO usa dispositivos a su nombre.
○ USA tarjetas prepago a nombre de terceros
○ Sustrae los dispositivos de las víctimas y los usa con sus siguientes víctimas.
○ NO tiene WIFI a su nombre.
○ NO extrae dinero desde sus cuentas, usa las tarjetas de las víctimas.
○ NO tiene domicilio fijo, usa airbnb y couchsurfing con identidades falsas.
● Al llevarse los dispositivos de las víctimas, las pruebas de la presunta estafa se
van con éstos.
○ Ejemplo: solicita un crédito en La Caixa a nombre de la víctima, es
contratado desde la propia cuenta de la banca online de la víctima y su
dispositivo.
● Las imágenes de las cámaras de los cajeros duran 1 mes, siempre se llega tarde
19
¿Por qué 21 años para dar con él? y seguimos
20. ● Ufff... las bases de datos policiales y judiciales no están tan conectadas, ni
actualizadas...
● Un juzgado pierde las diligencias.
● Un juzgado pierde la hoja de firmas (orden de firma cada 15 días en 2 juzgados).
● Se sobresee la causa por falta de pruebas.
20
Mala suerte y malas coincidencias...
21. 21
Y ahora, la gran pregunta:
¿Pero 21 años en activo y...
¿Cómo es que no le han cogido ya?
22. No hay derecho, sí se puede hacer algo y es un reto
Hace 2 años y medio, una de las víctimas nos pidió ayuda, había denunciado, la había
presuntamente desvalijado y no tenía recursos. Firmamos los acuerdos de
confidencialidad, documentamos el caso, creamos el equipo e iniciamos el trabajo.
OSINT
Detección de las multi identidades digitales de Rodrigo en la red.
Detección de las anteriores víctimas de Rodrigo
PENAL TIC
Resumen de la situación legal del caso
PSYCRIME
Transcripción del testimonio de todas las víctimas
Perfil criminal de Rodrigo
COMUNICACIÓN
Blog para la prevención de nuevas posibles víctimas y la identificación de
Rodrigo con su nombre real
Asistencia a Medios de Comunicación
GAS, GAS , GAS
22
23. OSINT: ¿Qué tenemos?
Identidades falsas usadas con las víctimas offline:
Roy Pérez Alonso, Roi González Iglesias, Roi Nogueira González, Roy Pérez Alonso, Leto
Scorssi Delarco Montero, Genou, Geneau Alex Bethancourt, Alex MacLoud, Adrián
Genou Montero Saint Claire, Leto Scorssi Delarco, SCORSSI Montero, LETO SCORSSI,
ALEX Bethancourt, ALEX MacLoud, ADRIAN GENOU, ADRIAN Montero, MONTERO Saint
Claire...
Sus alias en redes sociales:
letito, lost in winter, Winter, Sdk/Md, RazorSiete, Wintermute, Voivoda, Redhood,
Vander, Shrapnel77, windreevolution, Jasmine Bennett, Eckochef, Raiju Alpha,
Remedios Lobos Pastor, Winter, Sdk/Md, RazorSiete, Wintermute, Voivoda, Redhood,
Vander
Emails y teléfonos usados:
dyschordya@hotmail.com, scarwanger@gmail.com, wardogyelmundo@gmail.com,
reaper.rat@gmail.com, lostinwinter@gmail.com, info@insolencia.es,
varafinder@gmail.com, tokarevmokba@gmail.com, eldiosdealba@gmail.com,
lokienelmundo@icloud.com, deviant176176@gmail.com, 661171991, 648052078, 23
24. ¿ Qué tenemos ?
Logs con las IP de conexión de las últimas víctimas
Poco uso de VPNs o Proxies
Geolocalización
Las IP nunca provienen de líneas propias, siempre es en casa de víctimas o WIFI
públicas
Dispositivos y navegadores de conexión
Imágenes, videos
Documentación
24
26. Rastreando el navegador con HTML5
Geolocalización con la API de HTML5
Depende de la versión del navegador.
Requiere permiso del usuario (Inconveniente).
Uso del GPS del dispositivo.
Uso de la IP.
26
28. Rastreando el navegador con HTML5
28
Los datos de geolocalización los saca:
Del GPS si es un dispositivo móvil.
De la información de redes inalámbricas, usando Google Location Services.
Comunicación Navegador-Google:
Se comparte información del punto de acceso (token de acceso) y la IP del usuario.
Política de privacidad de Google Location Services:
Si permite que un sitio Web obtenga su ubicación a través de este servicio, nosotros recogeremos la
información en función de las características de su dispositivo: la información sobre los routers
inalámbricos cerca de usted, el ID del móvil de las torres de telefonía más próximas, y la intensidad de tu
wifi o la señal de celular. Esta información se utiliza para devolver una ubicación estimada al navegador
que la solicita. Además en cada solicitud recopilamos también la dirección IP, el User-Agent y el ID único de
su cliente. Esta información se utiliza para para diferenciar las solicitudes, no para identificarlo.
30. Rastreo del usuario con PHP y más
Utilización de PHP para que sea transparente al usuario.
Identificador único de petición (basado en la hora)
Dirección IP
User-Agent
Tipo de Sistema Operativo
Modelo de Dispositivo (si es posible)
etc
Uso de la PHP GeoIPLocation Library.
Nombre y Código de la Ciudad
Uso de BBDD de Geolocalización privadas → MaxMind
Información de coordenadas de Longitud, Altitud basadas en BBDD privadas.
Otra información: localización de negocio, detección de nodos TOR, etc.
30
31. 31
POC PHP + MaxMind
AFINANDO LA PUNTERÍA SIN HACER RUIDO
36. Uso de la Google Maps Geolocation API
La API nos devuelve información sobre la Ubicación y radio de
precisión en función de:
Información de torres celulares al alcance del cliente.
Puntos de acceso WiFi al alcance del cliente.
Dirección IP del cliente.
Peticiones y respuestas vía HTTPS usando el método POST.
Solicitudes y respuestas a la API se realizan en formato JSON.
36
37. 37
POC GOOGLE MAP GEOLOCATION API
OBTENIENDO INFORMACIÓN DEL QUE MÁS SABE !!
47. Fingerprinting Web
Identificación de usuarios por las características de su navegador.
Generación de un hash como huella del navegador.
47
User-Agent
Language
color_depth
pixel_ratio
hardware_concurrency
resolution
available_resolution
timezone_offset
session_storage
local_storage
indexed_db
open_database
cpu_class
navigator_platform
regular_plugins
canvas
js_fonts
...
50. ¿Por qué hay que ponerlo a disposición judicial?
● Para que no haya más víctimas
● Ha dejado embarazada a como mínimo 2 mujeres, y una de ellas ha tenido un hijo
con él, de quien no se ha hecho responsable.
● Ha estafado y robado a menores
● Ha sido una lacra para su família y cada nueva víctima es volver a victimizar a sus
miembros.
● Ha puesto en riesgo la salud de sus víctimas compartiendo los mismos juguetes
sexuales.
Denuncia para:
● Encarcelar a tu agresor, un delincuente.
● Apoyar al resto de víctimas (pasadas, presentes y futuras)
50
¿Tú también ha sido víctima de Rodrigo NOGUEIRA
IGLESIAS?