Entradas

Han eliminado un contenido que necesitaba como prueba

En algunas ocasiones nos encontramos con contenidos en internet que son delito, bien porque algún usuario vierte insultos en redes sociales, bien porque hay publicidad engañosa, bien por difamaciones o robo de contenido… con las nuevas tecnologías son ya muchas las ocasiones en las que necesitamos que un determinado contenido nos sirva como prueba.

El problema viene cuando vamos a acceder a ese contenido y este ha sido eliminado.

Actualmente hay varias técnicas que nos permiten acceder a esa información ya borrada y es en esos momentos cuando se nos hace necesario contactar con personal cualificado. Un perito informático puede comprobar si hay alguna manera de recuperar esa información borrada, además si así fuera podrá extraerla y certificarla para que sirva como prueba.

Si te encuentras en esa situación no lo dudes y contacta con un perito informático.

Señor letrado no me deje para el final

Tras varios años ya de ejercicio como Perito Informático he de resaltar una práctica muy habitual en los casos en los que participo. En la mayoría de las ocasiones contacta conmigo el letrado o directamente el cliente para que realice la extracción de la evidencia.

Son muchas las ocasiones en las que con los nervios de los vencimientos en los plazos para presentar los escritos los letrados o los clientes deciden reforzar su caso con la acción del perito informático.  Sin embargo estás prácticas dificultan mucho nuestro trabajo, cuando no impide directamente obtener los resultados esperados.

Las evidencias digitales tienen la ventaja de que podemos extraerlas y conservarlas indefinidamente sin alterar la prueba y mostrarlas tal y como se generaron en su momento, sin embargo aumentan las probabilidades de que las pruebas desaparezcan sin haberlas extraído a medida que pasa el tiempo.

En internet las pruebas o los contenidos pueden ser eliminados en cualquier momento (aunque muchas veces aún eliminados se pueden rescatar) y en los dispositivos electrónicos donde se almacenan las evidencias (imágenes, conversaciones, notas, posiciones GPS…) pueden ser eliminadas por el propio dispositivo ya que estos eliminan información antigua a medida que van necesitando almacenar nueva información.

Es por eso que en el momento que nos enfrentemos a una situación que requiera la extracción de una evidencia digital hagamos la extracción lo más rápido posible y lo más próximo en el tiempo al momento en el que se produjo la evidencia. Los peritos informáticos podemos extraer dichas evidencias y almacenarlas tal y como se produjeron, manteniendo la cadena de custodia y de forma que no puedan perderse.

Por todo ello, señor letrado: ¡no me deje para elfinal!

Necesitas recuperar datos de tu movil

¿Necesitas recuperar datos de tu móvil?

¿has borrado por error algún dato de tu teléfono? Recuperamos datos de los teléfonos tanto de android como de IOS.

Podemos recuperar fotos, videos o grabaciones de audio, mensajes de whatsapp… podemos recuperarlas siempre que no se hayan sobreescrito.

Si has sufrido alguna perdida de datos recomendamos reducir en la medida de lo posible el uso del teléfono y contactar con nosotros tan pronto como se pueda para poder aumentar las opciones de poder recuperar los datos perdidos.

Contacta con nosotros en el 683 371 608

El extraño caso de los tickets borrados

El extraño caso de los tickets borrados

Uno de los últimos casos en los que he participado se circunscribía en el ámbito laboral. Por razones obvias omitiré datos concretos para no revelar identidades. Uno de los empleados de un comercio local tenía la mala costumbre de vender productos tickandolos en el ordenador y por tanto en la caja registradora de la empresa, procediendo una vez que el cliente abandona el local a borrar el ticket y quedándose con el dinero.

La empresa se da cuenta cuando varios clientes se presentan a devolver productos que no aparecen como vendidos en el historial del software de venta y sin embargo si tiene ticket. Cuando el encargado revisa el stock descubre que faltan numerosos artículos por valor de cientos de euros. El empleado es despedido por este motivo y lleva a juicio a la empresa alegando no estar de acuerdo con el motivo del mismo y solicitando una indemnización por despido mayor a la que le corresponde.

El abogado de la empresa me requiere para ver de que forma podemos demostrar que esto ha ocurrido ya que no se dispone de cámaras de vigilancia en el local.

Me presento en el local en cuestión y mediante herramientas forenses extraigo dos copias exactas e inalteradas del disco duro del ordenador donde está instalado el software. Una queda precintada obteniendo el código hash del contenido y otra la utilizo para realizar los distintos análisis sobre el dispositivo.

El software que utiliza la empresa está soportado por una base de datos encriptada de forma que a priori no se puede acceder a su información. Mediante un algoritmo de desencriptación se obtiene la base de datos totalmente accesible pudiendo así estudiar uno a uno todos los registros. La base de datos cuenta internamente con una tabla de log donde se registran todas las acciones realizadas en el sistema pudiendo extraer los logs de borrado de tickets con fecha y hora.

Finalmente se extraen todas las evidencias y se redactan en un informe pericial legible y entendible por todas las partes aportando como anexo los ficheros digitales, extracciones y certificando su inalterabilidad.

Tan solo fue necesario cotejar los logs extraídos con el cuadrante de turnos de trabajo para poder asociar dichos borrados con el empleado.

El empleado llegó a un acuerdo con la empresa en la misma puerta del juzgado aceptando el finiquito que la empresa le ofrecía inicialmente.

¿qué son los códigos hash?

¿Qué son los códigos Hash?

Una de las herramientas indispensables para un perito informático son los códigos Hash. Como informático el cuerpo me inclina a dar una explicación técnica de los mismos pero ese no es el objetivo de estos artículos. Voy a intentar explicar lo que significan de forma que el público en general puede entenderlo.

La suerte que tenemos los informáticos es que podemos preservar una prueba extraída sin alterar en el tiempo simplemente preservando bit a bit el contenido en cuestión. Además podemos aplicar a ese conjunto de bits un número determinado de algoritmos por el cual obtendremos un código único calculado a partir de ese número de bits. De esta forma si alguien alterase un solo bit del contenido al aplicar de nuevo el algoritmo el código se vería alterado de forma que podríamos autenticar que la prueba ha sido alterada o de igual forma si el código es el mismo podemos certificar que el contenido se mantiene tal y como se obtuvo.

Estos algoritmos nos permiten certificar que la prueba se mantiene inalterada en el tiempo y por tanto la cadena de custodia no ha sido corrompida en ningún momento. Además permite a una contrapericial poder comprobar que se está tratando con la misma información que en su momento se extrajo.

Geolocalización con un click

Cómo geolocalizar a cualquiera con un click

Desde que tenemos smartphones en nuestras manos llevamos todo el internet en la palma de nuestra mano, sin ser muchas veces conscientes que esta relación con el mundo conectado es biunívoca y por tanto no solo recibimos información de la red de redes sino que además nosotros enviamos información a internet. De mucha de esa información enviada no somos conscientes.

Hace ya mucho tiempo que los teléfonos inteligentes cuentan con herramientas que le permiten saber en que posición está el móvil (horizontal y vertical), y en que posición esta ubicado (con el GPS). Además a través de la conexión de datos (3G, 4G y ya casi 5G) estamos continuamente conectados a las antenas de telefonía, dejando rastro de nuestra posición física a pesar de tener el GPS desactivado, si bien no con la misma precisión que un GPS pero si con la precisión suficiente para ubicar un dispositivo (y por tanto a nosotros mismos) en el mapa.

Últimamente nos estamos encontrando casos donde enmascarando un simple enlace un usuario «controlador» puede geolocalizar a otra persona tan solo mandándole dicho enlace y que este haga click.

PASO 1.- El usuario controlador enmascara un enlace de una noticia o artículo en internet que cree de interés para su victima.

PASO 2.- El usuario controlador envía el enlace enmascarado a la victima por whatsapp, correo electrónico o cualquier red social.

PASO 3.- La victima ve el titulo del enlace, ve que es un tema que le interesa y hace click, de esta forma accede primero a un sistema de captación de IP y geolocalización y cargando acto seguido la información de interés real para la victima.

De esta manera la victima ve una noticia o artículo que le interesa sin sospechar que al hacer click le ha dado su posición y su IP al usuario controlador. Además de la IP se facilita el sistema operativo del dispositivo móvil de la victima (información importante si el usuario controlador desea realizar un ataque o instalar alguna aplicación no autorizada en el dispositivo de la victima).

PD.- Se omite la técnica exacta para evitar difundir esta posibilidad. Aquellos que quieran profundizar en el tema pueden ponerse en contacto conmigo sin ningún tipo de compromiso.

 

Problemática certificar correos electrónicos reenviados

Son varias las consultas que me hacen acerca de como certificar correos electrónicos reenviados. Sin embargo no son pocos los que cometen errores que invalidan la prueba y que hacen que no podamos certificar la autenticidad de un correo electrónico.

Es importante destacar que para certificar un correo no nos vale un reenvío del mismo o un corta y pega de su contenido en otro correo. Necesitamos acceso al correo original al que o bien fue enviado o bien fue recibido pero en su versión original. Si un correo es reenviado a otro podemos certificar que un determinado contenido ha sido enviado, que no reenviado, pues cuando reenviamos un contenido por mail podemos editarlo sin problema alguno.

En alguna ocasión ocurre que no podremos volver a tener acceso a la cuenta de correo (en el caso de un trabajo donde estamos usando una cuenta de correo de la empresa y en caso de despido no podremos acceder nunca más a esa cuenta). En estos casos tenemos que guardar el correo que queremos certificar como fichero.

En el caso de querer guardar un correo de gmail podemos hacerlo así:

 

Como mostrar código original de email

Mostrar código original de email

 

 

En el caso de un gestor de correo como outlook o thunderbird:

 

Guardar código original de correo electrónico

Guardar código original de correo electrónico

Y ese fichero es el que tenemos que reenviar ya que contiene toda la información del correo original.

Ver web Perito Informático Judicial

Autenticidad e integridad de las pruebas

Autenticidad e integridad de las pruebas

Nos enfrentamos en varias ocasiones a pruebas informáticas presentadas en una denuncia. Estas pruebas pueden ser facilmente manipulables. Es responsabilidad de la parte demandante garantizar la autenticidad e integridad de las pruebas presentadas. La documentación presentada en papel impreso no tiene validez alguna salvo que dicha documentación venga avalada por una actuación que garantice la autenticidad e integridad de las mismas.

Por autenticidad entendemos que se garantiza que las pruebas proceden de las fuentes originales y por integridad entendemos que estas pruebas no han sido alteradas o manipuladas.

En el caso de las acciones electrónicas, informáticas, telemáticas…  que realizamos dejan diferentes rastros, es por ello que identificar y recopilar las evidencias es una actuación fundamental ante un delito informático. Al estudiar las evidencias las someteremos a herramientas y procesos de búsqueda que pueden alterararlas por lo que el perito informático debe preservar las evidencias en su estado original de forma que estas puedan ser estudiadas con posterioridad y lo que es también importante, que puedan ser repetidas para comprobar su veracidad.

En el caso de las evidencias informáticas existe una gran ventaja y es la posibilidad de clonar las evidencias desde el primer momento. De esta forma todas las actuaciones que se realizan se realizaran sobre el clon de las evidencias manteniendo inalteradas las mismas.

Por ello no vale solo con presentar una captura de pantalla o un correo electrónico impreso. Se deben recopilar las pruebas en soporte informático, demostrar su autenticidad y mantenerlas inalteradas en todo el proceso.

 

 

 

Edad mínima de whatsapp

Edad mínima de whatsapp

El próximo 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD) de la unión europea lo que obliga a la mayoría de las empresas tecnológicas a modificar las condiciones del servicio que ofrecen a los ciudadanos europeos.

Es por ello que ultimamente muchas aplicaciones estan solicitándonos que aceptemos las nuevas condiciones del servicio que nos están ofreciendo. Entre ellas Whatsapp ha tenido que cambiar la edad mínima exigible para la utilización de dicha aplicación de mensajería a los 16 años.

Sin embargo a efectos reales estas actuaciones se van a reducir a que se reconozca mediante un «checkbox» (casilla de aceptación) que se tiene 16 o más años, siendo esta información veraz o no. El nuevo reglamento establece en 16 años la edad mínima de acceso a redes sociales y aplicaciones de mensajería PERO permite a cada país miembro de la Unión Europea fijar otra edad siempre que esta sea superior a los 13 años.

Así pues, todo parece indicar que en España la edad mínima de uso de whatsapp seguirá siendo los 14 años que es la que actualmente está vigente en el Estado Español.

Pericial Correo Electrónico

¿Quieres recibir un correo de la Casa Real?

Hoy he recibido un correo de Casa Real invitándome a un evento en Palacio.

¿un correo de casa real? ¿seguro? cuando lo abro compruebo la dirección del remitente y oh sorpresa es un correo de felipevi@casareal.es

Pues al menos el remitente es correcto…. vamos a ver el codigo fuente

Definitivamente es un correo de casa real…

PUES NO, realmente se trata de un correo FAKE enviado desde esta página web https://emkei.cz/

La única forma de demostrar si un correo es verídico es realizando una pericial informática. Ni que decir tiene que la mera presentación de unos correos electrónicos impresos en papel no tienen validez alguna cuando incluso mails como este que parecen totalmente verídico no lo es.

Ya habéis visto que se puede enviar un correo de parte de cualquiera sin tener conocimiento alguno de informática.