Celular, un testigo silencioso

1/40
Celular, un testigo
posible y silencioso
por María Andrea Vignau
Investigación de un caso de
femicidio, realizado con el uso de
tecnología forense.

2/40
Temas
Investigación judicial.
Pericia de dispositivos móviles
Decodificando los datos de OLX

3/40
Investigación judicial
● Febrero 2017
● Barranqueras, Chaco
● La madre deja a su hija
a las 4:00 AM viva
● A las 10:30, el padrastro
la encuentra muerta
● No se encuentra su
teléfono móvil.

4/40
● Se investiga el círculo
íntimo
● El fiscal no sabe en quién
confiar
● Se secuestran teléfonos
móviles
● Se conoce último
número de teléfono de la
víctima.

5/40
● Cursan oficios pidiendo
información sobre el
número de abonado a
todas las empresas de
telefonía celular

7/40
IMSI
●
International Mobile
Subscriber Identity.
●
Identificador único de un
usuario de telefonía móvil.
Formado por:
– MCC = Mobile Country Code
– MNC = Mobile Network
Code
– MSIN = Seq serial number.
ICCID
● Integrated Circuit
Card ID
● Identificador de la
tarjeta SIM misma, el
“chip”

8/40
● Obtenido el IMEI pudo
investigarse qué otros
números telefónicos
impactaron en el
dispositivo.
● Obtenida la
información, se tuvieron
2 sospechosos de
encubrimiento

9/40
● Una vez interrogados,
denunciaron haber
adquirido el aparato por
OLX, y brindan nombre
del usuario vendedor.
●
Por OSINT, se determinó
el domicilio del vendedor
del teléfono.

10/40
● Se produce
allanamiento
● Se secuestran 14
celulares.

11/40
Pericias dispositivos móviles
● Un dispositivo puede ser
borrado o bloqueado a
distancia o por una app.
● Si está encendido, se lo
deja así, para preservar
evidencia volátil y evitar
bloqueos.
● Si está apagado, se lo
deja así.

12/40
Jaula de Faraday
● Preserva la evidencia
evitando que se conecte
a las redes móviles o de
wifi.

13/40
● Se envuelve en papel
aluminio, al menos 3
capas.
● Efectiva y económica
Jaula de Faraday
● Existen bolsas
especiales, pero resultan
muy costosas.

14/40
●
Disponemos de UFED, de
la empresa israelí
Cellebrite, para extraer
información
● Hay alternativas como
XRY, Oxygen, Axiom, etc.
●
El sofware libre es escaso
y mal mantenido.

15/40
Jaula de Faraday
● Dentro del laboratorio
para asegurar la
contínua preservación
● Muchas alternativas
impagables.

16/40

17/40
Sin presupuesto
usamos:
1)Intentar extracción por
bootloader sin
encender el teléfono
2)Extraer la tarjeta SIM o
usar modo Avión.

18/40
Extracción Física
● Utiliza un usuario
administrador o ROOT
● Método que más registros
obtiene.
● Puede recuperar registros
borrados y contraseñas,
archivos eliminados no
sobrescritos, etc

19/40
Extracción de sistema
de archivos
● Utiliza el sistema de
resguardo del dispositivo.
● Puede recuperar registros
borrados y contraseñas.
● Pueden recuperarse
paquetes de resguardo de
la nube.

20/40
Extracción lógica
● Utiliza un programa
para extraer
● Extrae registros visibles
por un usuario común

21/40
Para asegurar la
integridad de los datos,
se utiliza funciones de
hash con la evidencia.
Función hash:
● Tiene como entrada un
conjunto de elementos,
que suelen ser cadenas, y
los convierte en un rango
de salida finito
● Actúa como una
proyección del conjunto
U sobre el conjunto M.

22/40
● Extracción física
● BD olxMsgDatabase
● Formato SQLite
● Tabla objects

23/40
● Sólo tres campos
● ObjectKey
● ObjectData
● ObjectDate

24/40
Campo objectKey
● Clave principal
● Similar a:
e4e7142f-04e7-4156-
a05c-d8c99d24e01e
● Sirvió para filtrar los
registros, determinando
los que son ítems
negociados
● Usamos la expresión
regular:
'....-..-..-..-....'

25/40
Campo objectDate
● Es fecha y hora de
creación del registro
● Es unix epoch* 1000,
localizado a UTC

26/40
Campo objectData
● Son todos los datos del
ítem negociable y los
chats asociados
● Está en formato JSON

27/40
● Descubrimos que
teníamos bien
identificadas:
– Latitud y longitud
– Fecha en formato ISO
– Título y descripción
– Varias imágenes

28/40
● Nos permitió ver los
mensajes.
● IsMine: significa que el
mensaje proviene del
celular donde está
instalada la app.

29/40
● Son los participantes de
las conversaciones.
● Nos permitió ver qué
usuarios estaban
conversando para
negociar un ítem.

30/40
● Las fechas de los
ítems estaban en
formato ISO
● Las de los mensajes
en enteros desde
unix epoch
● Y todo localizado en
UTC… no rescató la
biblioteca pytz

31/40
● Finalmente, para volcar
la información en
formato HTML,
creamos templates
usando JINJA2

32/40
● Finalmente, usando la
biblioteca pdfkit que
usa la aplicación
wkhtmltopdf,
pudimos generar un
reporte en formato
PDF.

33/40
Capturas de ejemplo del informe pericial conseguido

34/40

35/40

36/40
Denuncia del
homicidio
Obtención
del Nº abonado
de la víctima.
Oficio a telefónicas
Obtención del
IMEI
Informan
telefónicas
abonados con
este IMEI
Obtención
últimos
2 usuarios
Informan
usuario OLX
que les vendió
Allanamiento
del revendedor.
Secuestro de
14 teléfonos
móviles
Investigación
sobre cadena de
reventas

37/40
Secuestro de móviles
NO Encender
NO Apagar
Proteger con
Jaula de Faraday
Laboratorio
Herramientas forenses
UFED Cellebrite Axiom OxygenXRY
Poner modo avión
Extraer SIM
Intentar extracción
con bootloader Extracciones
posibles
Física
de Sistema de Archivos
Lógica{
Asegurar
con HASH

38/40
Extracción
Física
BBDD SQLite
olxMsgDatabase
Tabla
OBJECTS
3 campos
ObjectKeyObjectData ObjectDate
Selecciono
con
regexp
Convierto de
Unix Epoch a
LocalTime
JSON
Item
Messages
Senders
Conversión
de fechas
strptime
fromtimestamp
pytz.localize().
astimezone()
Genera HTML
usando Jinja2
Genera PDF con
wkhtmltopdf/pdftk
Python

39/40
Celular, un testigo
Agradecimientos por la
colaboración de mis compañeros:
- Facundo Martín Toledo
- Norma Alicia Lovey

40/40
Celular, un testigo
Ing en Sistemas de Información
Perito Informático Forense
Poder Judicial Chaco
Twitter: @mavignau
Telegram: @mavignau
GitHub: marian-vignau

Celular, un testigo silencioso

Recomendados

Recomendados

Más contenido relacionado

Similar a Celular, un testigo silencioso

Similar a Celular, un testigo silencioso (20)

Último

Último (20)

Celular, un testigo silencioso