SlideShare une entreprise Scribd logo

Prueba digital y casos reales de peritaje informático

QuantiKa14
QuantiKa14

Jorge Coronado presenta una charla sobre la importancia de las pruebas digitales y casos reales de peritajes informáticos. Explica cómo su empresa QuantiKa14 resolvió un caso en el que un ex empleado robó la base de datos de clientes de una startup, identificando al culpable mediante el análisis de metadatos de imágenes y correos electrónicos. También analiza un caso de un grupo de pedofilia de WhatsApp, explicando cómo un peritaje del dispositivo puede revelar detalles como la hora de acceso al grupo y mens

Internet
1  sur  39
Télécharger pour lire hors ligne
La importancia de las pruebas digitales y casos reales JORGE CORONADO PERITO INFORMÁTICO Y FUNDADOR DE QUANTIKA14 WWW.QUANTIKA14.COM 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 1
Introducción 1. No ser la típica charla de peritaje informático 2. Hablar de casos reales 3. Enseñar metodologías de forense informático 4. Enseñar aplicaciones 5. Hacer demostraciones WWW.QUANTIKA14.COM | 954 96 55 51 2
Quién es Jorge Coronado Fundador y CEO de QuantiKa14 Colaborador de Canal Sur Radio desde 2015 Profesor en el curso de detectives de la Universidad Pablo Olavide de Sevilla en 2017 Co-autor del primer “Protocolo institucional en España ante la violencia de género en las redes sociales” Formación a cuerpos de seguridad en investigación a través de Internet desde la ESPA y otros cursos Director del curso de verano sobre la ciberdelincuencia de género en la Universidad de Pablo de Olavide Organizador del congreso internacional OSINTCITY Creador del protocolo de actuación para la búsqueda de personas desaparecidas a través de las tecnologías de la información y comunicación Vocal de la asociación de peritos tecnológicos de Andalucía (APTAN) Dinamizador del Hack&Beers Sevilla Autor del canal de Youtube Investiga Conmigo desde el Sü Creador de aplicaciones como: Guasap Forensic, Shodita, EO-Ripper, Dante Gates, Killo.io, etc 29/11/2019 WWW.QUANTIKA14.COM | 954 96 55 51 3 @JorgeWebsec
Empresa con más de 20 peritos en Madrid, Barcelona y Sevilla MADRID, SAN SEBASTIÁN DE LOS REYES, TEIDE 5 SEVILLA, CONDE DE CIFUENTES Nº6 LOCAL B 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 4
QuantiKa14 E-CRIMEN 5 Departamento especializado en investigaciones de crímenes informáticos. Gracias a nuestras aplicaciones creadas por QK14 no solo llegamos donde otros no pueden, también lo hacemos más rápido Aplicaciones de OSINT y Big Data Nuestros detectives están dotados de nuestra formación, conocimientos y dispositivos. Peritos informáticos Gracias a la experiencia de nuestros expertos en seguridad informática podemos usar herramientas y técnicas no utilizadas anteriormente en las investigaciones Expertos en seguridad informática y OSINT Contamos con abogados especialistas en las nuevas tecnologías, LOPD, violencia de género, etc Departamento Legal Síguenos en Facebook y Twitter www.quantika14.com | 954 96 55 51
Características fundamentales del peritaje informático ISO 27037 PROCESO AUDITABLE,REPRODUCIBLE Y DEFENDIBLE - Exposición clara de los resultados - Listado de aplicaciones utilizadas con su versión - Exposición la cadena de custodia - Se debe entregar los resultados en el informe papel y digitalmente - Si es necesario alguna aplicación para abrir los archivos adjuntarlos al informe WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 6
Fases de un peritaje informático estándar WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 7 Extracción y clonado ante notario Análisis Informe Ratificación
La extracción y clonado CUSTODIA NOTARIAL HASH 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 8 https://www.notariofranciscorosales.com/a cta-notarial-de-una-web-2/
Análisis Tradicional: ØCertificar/autentificar emails ØCertificar/autentificar WhatsApp Novedoso: ØApp espía ØCertificar captura de pantalla con ML y Big Data ØOSINT ØIdentificar fuga de información con ML y Big Data WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 9
SUMARIO ESTANDAR CERTIFICACIÓN EMAIL WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 10
Ratificación JUICIO ORAL (RATIFICAR INFORME DE 600 PÁGINAS) EL CAREO EN EL JUICIO ORAL 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 11
CASOS REALES • Una base de datos para gobernarlos a todos (fuga de información) • Yo solo estuve 5 minutos (peritaje informático en WhatsApp) • Autentificando webs de adjudicaciones WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 12
UNA BASE DE DATOS PARA GOBERNARLOS A TODOS LOS COMERCIALES MÁS LISTOS WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 13
Startup vulgarmente llamada “Un Pájaro pa’tu casa” DISPONE DE UN CALL CENTER Y UN EQUIPO COMERCIAL PARA LA VENTA Y DISTRIBUCIÓN DE “PAJARITOS” WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 14 TE LLEVAMOS EL PÁJARO A TU CASA
Situación: WWW.QUANTIKA14.COM | 954 96 55 51 29/11/2019 15 El cliente manifiesta haber perdido más de 200 clientes en una zona muy concreta y sospecha que un ex trabajador haya robado su base de datos El cliente nos envía más de 200 emails, donde siempre se envían desde 15 cuentas diferentes y aportando el DNI adjunto para darse de baja El cliente sospecha de su ex director commercial llamado “Cesar Cadaval”
Objetivos 1. Encontrar a los autores 2. Autentificar las evidencias digitales 3. Crear un informe 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 16 Metodología investigación OSINT y forense informático: 1. Identificar datos iniciales (nombres, Ips, emails, direcciones, etc) 2. Obtener los metadatos de las imágenes 3. Analizar los datos iniciales 4. Forense en los equipos 5. Detallar todas las actuaciones y resultados en el informe
Metadatos RESULTADOS Encontramos dos usuarios que han creado esas imágenes: - Cesar - Ulloa Urrea marketing ¿QUÉ SON LOS METADATOS? 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 17
Patrón en los emails El texto en los emails siempre es igual excepto los datos del cliente que se da de baja. Lo que nos hace sospechar que se está enviando de forma automática y puede ser las mismas personas. WWW.QUANTIKA14.COM | 954 96 55 51 29/11/2019 18
Analizamos los emails remitentes ¿QUÉ SON LOS LEAKS? Son base de datos o listas de credenciales que han sido extraídas sin autorización de empresas, aplicaciones y páginas webs y son publicadas en Internet. Los leaks más comunes son: LinkedIn Dropbox Badoo Hay miles de leaks. ¿QUÉ ES SPOOFEABLE? Significa que el correo electrónico no tiene suficiente medidas de seguridad y puede ser suplantado por cualquier persona. 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 19
EMAIL OSINT RIPPER (EO- RIPPER.PY) - Encuentra las redes sociales registradas con el email: ◦ Twitter ◦ Instagram ◦ Spotify ◦ Netflix ◦ Wordpress ◦ Pinterest - Leaks - Caso de uso: https://blog.quantika14.com/blog/2019/1 1/21/que-politicos-estan-registrados-en- spotify-con-el-correo-oficial-del-partido/ 29/11/2019 WWW.QUANTIKA14.COM | 954 96 55 51 20
DANTE’S GATES MOBILE (BETA) Formulario para acceso a la BETA: https://quantika14.com/dantes-gates-mobile-beta/ Manual para Android: https://quantika14.com/doc/Manual_DG%20Mobile_Android.pdf Descargar APK para Android: http://dg.qk14.tech/download/Dantes_Gates_Mobile.apk User: dantes | Pass: Dantes_Gates_14 Manuel para IOS: https://quantika14.com/doc/Manual_DG_Mobile_IOS.pdf Descargar IPA para IOS: https://i.diawi.com/BeAwui WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 21
Actuaciones y resultados ØHemos obtenido los metadatos de las imágenes y nos aparece: “Cesar” y “Ulloa Urrea Marketing” ØHemos analizado los emails remitentes desde el cual dan de baja a los clientes y encontramos: ◦ En solo un email aparece asociado una cuenta de Pinterest donde encontramos el nombre de “Cesar Urrea” ◦ Si buscamos en LinkedIn esta persona es el dueño de la empresa “Ulloa Urrea Marketing” 11/29/2019 WWW.QUANTIKA14.COM | 954 96 55 51 22
Situación actual El cliente nos manifiesta que “Cesar Ulloa” fue el director comercial de “Un pájaro pa’tu casa” hasta 2019 y que actualmente ha creado su propia empresa. Preguntamos si tenemos el PC de su antiguo puesto de trabajo. WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 23
Identificando fugas de información Podemos crear una línea del tiempo de toda la actividad del ordenador. También detectar y quizás recuperar la información que ha borrado. Inicio sesión con “Cesar” un domingo a las 11:00 Inserto un USB a las 11:05 Copió los archivos al USB de clientes a las 11:06 Quitó el USB a las 11:07 Cerró sesión a las 11:08 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 24
¡Yo me salí a los 5 minutos! UN GRUPO DE PEDOFILIA EN WHATSAPP WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 25
https://blog.quantik a14.com/blog/2019 /09/24/diario-de-un- perito-informatico- forense-al-movil-de- albert-rivera/ DIARIO DE UN PERITO INFORMÁTICO: FORENSE AL WHATSAPP DE ALBERT RIVERA WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 26
WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 27 REGISTRO AQUÍ: https://quantika14.com/curso-sobre- peritaje-informatico-en-whatsapp/ MÁS INFORMACIÓN 954 96 55 51
Situación y manifestaciones 1. El cliente reconoce haber estado en un grupo donde se compartía imágenes y vídeos donde aparece menores manteniendo relaciones sexuales. Sin embargo, dice haber entrado en contra de su voluntad y estar menos de 5 minutos 2. Manifiesta no haber compartido ningún contenido 3. Manifiesta no haber difundido ningún contenido, además, añade no haber visualizado ninguna imagen. Que al ver rápidamente de que iba se salió del grupo 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 28
Fases de la pericial 1. Extracción del dispositivo (ante notario recomendado) ◦ El notario añadirá en su acta las diligencias realizadas por el perito informático. Es decir, los procesos realizados de la extracción ◦ El notario se queda con un clonado en custodia notarial durante mínimo 2 años y se dará en caso de ser requerido judicialmente o por el cliente 2. Análisis de la evidencia digital: ◦ Hora del dispositivo ◦ Root ◦ Posible Root anteriormente ◦ Comprobar si hay modificación de las 7 formas posibles ◦ Obtener listado de mensajes eliminados 3. Crear informe con resultados 4. Ratificar informe 29/11/2019WWW.QUANTIKA14.COM 29
¿Qué preguntas debe hacer un abogado/a a un informe pericial de WhatsApp? 1. ¿La cadena de custodia se ha roto? ¿Hay cadena de custodia? ¿Dónde aparece en el informe? 2. ¿La integridad de las pruebas se ha roto? ¿El perito ha manipulado correctamente las evidencias digitales? ¿Se realizó la extracción ante notario? 3. ¿Qué aplicaciones ha utilizado? 4. ¿Es reproducible los procesos realizados? ¿Otro perito podría realizar los procesos realizados? 5. ¿Los resultados son objetivos y fáciles de entender? ¿Extrae conclusiones fuera de los datos? 6. ¿Se aporta toda la conversación o solo parcialmente? 29/11/2019WWW.QUANTIKA14.COM 30
¿Qué podemos saber de un forense de un grupo de WhatsApp? Fecha y hora de acceso Tipo de invitación y quién envió la invitación Mensajes enviados y borrados Imágenes, mensajes de voz, vídeos, audios y mensajes de texto Entrada (invitación) y salida de usuarios (quién lo ha expulsado) 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 31
Ejemplo de análisis de la DB de Android para un caso de un grupo de pedófilos 11/29/2019 Si el usuario estaba en un grupo podemos ver los miembros actuales, y también, quedarán almacenados los miembos que se van agregando y saliendo de dicho grupo. En la tabla “messages”, filtramos por el campo 'status’, y, de nuevo, lo filtramos por el valor 6 que indica que es un mensaje de control y luego en 'media_size’: - Valor 4 indica que se te ha añadido al grupo el campo ‘remote_resource’, indicará tu teléfono. - Valor de 5, indica que el usuario del campo ‘key_remote_resource’ ha salido del grupo. - Valor 12, es añadir alguien al grupo, 'remote_resource' es quien añade, y si miras en modo binario el campo 'thumb_image' aparece quien se añade al grupo. - Valor 14, Eliminar del grupo, 'remote_resource' es quien elimina, y si miras en modo binario el campo 'thumb_image' aparece a quien se echa de al grupo. - Valor 20, es XXXX: entró usando un enlace de invitación de este grupo. WWW.QUANTIKA14.COM 32
Resultado 1. Identificamos y listamos toda la actividad del grupo desde que nuestro cliente entró 2. Estuvo más de 5 minutos y visualizó varias imágenes 3. Durante el tiempo que estuvo entraron y salieron más usuarios 4. La mayoría entraron por invitación por el mismo usuario Entró en el grupo por invitación por el usuario +34 *** *** *** el 20/06/2019 a las 14:22:11 Descargó y visualizó una imagen X a las 14:23:44 Accedieron varios usuarios invitados por la misma persona a las 14:25 Descargó y visualizó una imagen Y a las 14:26:13 Durante todo este tiempo recibió X mensajes con Z contenido Se borraron X mensajes y a tal hora Se salió del grupo a las 15:55:43 del 20/06/2019 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 33
Guasap Forensic https://www.youtube.com/wat ch?v=AZaTOYx6ELA - Gratuito y open source - Requiere unos conocimientos técnicos básico/medio - Análisis automático y creación de informe WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 34
De empresario a concejal de mi empresa AUTENTIFICANDO WEBS WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 35
Situación (posible caso de corrupción) 1. El cliente manifiesta que tiene información no contrastada de que un concejal destina contratos menores y licitaciones a la empresa privada donde tenía un cargo de administrador y que actualmente están varios familiares 2. El cliente manifiesta que la información es real pero no tiene forma de demostrarlo 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 36
Demostración https://github.com/Quantika14/ osint-suite-tools WWW.QUANTIKA14.COM | 954 96 55 51 29/11/2019 37
¿PREGUNTAS? 29/11/2019 DEVFEST 2019 - GDG SEVILLA 38
¡Muchas gracias por su atención! www.quantika14.com 39

Recommandé

43 Extracción de la información de una laptop, Carlos Guanotasig
43 Extracción de la información de una laptop, Carlos Guanotasig43 Extracción de la información de una laptop, Carlos Guanotasig
43 Extracción de la información de una laptop, Carlos GuanotasigAcademia de Ciencias Forenses del Ecuador
 
Criminalística
CriminalísticaCriminalística
CriminalísticaAide Rodriguez
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseConferencias FIST
 
Digital forense y evidencia digital
Digital forense y evidencia digitalDigital forense y evidencia digital
Digital forense y evidencia digitalHéctor Revelo Herrera
 
Escena del crimen y cadena de custodia
Escena del crimen y cadena de custodiaEscena del crimen y cadena de custodia
Escena del crimen y cadena de custodiaJosé Pariona Minaya
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseafgt26
 
Understanding the Event Log
Understanding the Event LogUnderstanding the Event Log
Understanding the Event Logchuckbt
 
Cyber crime - and digital device.pptx
Cyber crime - and digital device.pptxCyber crime - and digital device.pptx
Cyber crime - and digital device.pptxAlAsad4
 

Recommandé

43 Extracción de la información de una laptop, Carlos Guanotasig
43 Extracción de la información de una laptop, Carlos Guanotasig43 Extracción de la información de una laptop, Carlos Guanotasig
43 Extracción de la información de una laptop, Carlos GuanotasigAcademia de Ciencias Forenses del Ecuador
 
Criminalística
CriminalísticaCriminalística
CriminalísticaAide Rodriguez
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseConferencias FIST
 
Digital forense y evidencia digital
Digital forense y evidencia digitalDigital forense y evidencia digital
Digital forense y evidencia digitalHéctor Revelo Herrera
 
Escena del crimen y cadena de custodia
Escena del crimen y cadena de custodiaEscena del crimen y cadena de custodia
Escena del crimen y cadena de custodiaJosé Pariona Minaya
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseafgt26
 
Understanding the Event Log
Understanding the Event LogUnderstanding the Event Log
Understanding the Event Logchuckbt
 
Cyber crime - and digital device.pptx
Cyber crime - and digital device.pptxCyber crime - and digital device.pptx
Cyber crime - and digital device.pptxAlAsad4
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseLeidy Johana Garcia Ortiz
 
METODOLOGIA DE INVESTIGACIÓN DEL DELITO Y LA ESCENA DEL CRIMEN
METODOLOGIA DE INVESTIGACIÓN DEL DELITO Y LA ESCENA DEL CRIMENMETODOLOGIA DE INVESTIGACIÓN DEL DELITO Y LA ESCENA DEL CRIMEN
METODOLOGIA DE INVESTIGACIÓN DEL DELITO Y LA ESCENA DEL CRIMENAcademia de la Magistratura
 
Check List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasCheck List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasÁlex Picón
 
Unidad n 2 procedimientos invs pj
Unidad n 2 procedimientos invs pjUnidad n 2 procedimientos invs pj
Unidad n 2 procedimientos invs pjRonny Ruíz Arévalo
 
Cyberconference - Evidencia digital
Cyberconference - Evidencia digital Cyberconference - Evidencia digital
Cyberconference - Evidencia digital Héctor Revelo Herrera
 
Criminalistica ii u1
Criminalistica ii u1Criminalistica ii u1
Criminalistica ii u1César Moyers
 
Sistemas Multimedial - VIDEO
Sistemas Multimedial - VIDEOSistemas Multimedial - VIDEO
Sistemas Multimedial - VIDEODieguess
 
13 Privacidad En La Red
13 Privacidad En La Red13 Privacidad En La Red
13 Privacidad En La Redmsma
 
Handling digital crime scene
Handling digital crime sceneHandling digital crime scene
Handling digital crime sceneSKMohamedKasim
 
Cadena de custodia Ecuador
Cadena de custodia EcuadorCadena de custodia Ecuador
Cadena de custodia EcuadorDiego Guerra
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informaticaCarlos Ledesma
 
Intro to cyber forensics
Intro to cyber forensicsIntro to cyber forensics
Intro to cyber forensicsChaitanya Dhareshwar
 
Manual de-cadena-de-custodia
Manual de-cadena-de-custodiaManual de-cadena-de-custodia
Manual de-cadena-de-custodiaCHARLI0428
 
10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemasHector Chajón
 
Webinar Gratuito: "Evidencia Volátil"
Webinar Gratuito: "Evidencia Volátil"Webinar Gratuito: "Evidencia Volátil"
Webinar Gratuito: "Evidencia Volátil"Alonso Caballero
 
Presentacion actas policiales 2013
Presentacion actas policiales 2013Presentacion actas policiales 2013
Presentacion actas policiales 2013Ali Castillo
 
El perfil criminológico
El perfil criminológicoEl perfil criminológico
El perfil criminológicotaurusspecial
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica ForenseKmilo Perez
 
ESCENA DEL CRIMEN ppt.ppt
ESCENA DEL CRIMEN ppt.pptESCENA DEL CRIMEN ppt.ppt
ESCENA DEL CRIMEN ppt.pptJona571
 
La necesidad de una buena seguridad de la información
La necesidad de una buena seguridad de la informaciónLa necesidad de una buena seguridad de la información
La necesidad de una buena seguridad de la informaciónQuantiKa14
 
Curso Virtual Forense de Redes 2019
Curso Virtual Forense de Redes 2019Curso Virtual Forense de Redes 2019
Curso Virtual Forense de Redes 2019Alonso Caballero
 

Contenu connexe

Tendances

NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
METODOLOGIA DE INVESTIGACIÓN DEL DELITO Y LA ESCENA DEL CRIMEN
METODOLOGIA DE INVESTIGACIÓN DEL DELITO Y LA ESCENA DEL CRIMENMETODOLOGIA DE INVESTIGACIÓN DEL DELITO Y LA ESCENA DEL CRIMEN
METODOLOGIA DE INVESTIGACIÓN DEL DELITO Y LA ESCENA DEL CRIMENAcademia de la Magistratura
 
Check List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasCheck List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasÁlex Picón
 
Criminalistica ii u1
Criminalistica ii u1Criminalistica ii u1
Criminalistica ii u1César Moyers
 
Sistemas Multimedial - VIDEO
Sistemas Multimedial - VIDEOSistemas Multimedial - VIDEO
Sistemas Multimedial - VIDEODieguess
 
13 Privacidad En La Red
13 Privacidad En La Red13 Privacidad En La Red
13 Privacidad En La Redmsma
 
Handling digital crime scene
Handling digital crime sceneHandling digital crime scene
Handling digital crime sceneSKMohamedKasim
 
Cadena de custodia Ecuador
Cadena de custodia EcuadorCadena de custodia Ecuador
Cadena de custodia EcuadorDiego Guerra
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informaticaCarlos Ledesma
 
Manual de-cadena-de-custodia
Manual de-cadena-de-custodiaManual de-cadena-de-custodia
Manual de-cadena-de-custodiaCHARLI0428
 
10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemasHector Chajón
 
Webinar Gratuito: "Evidencia Volátil"
Webinar Gratuito: "Evidencia Volátil"Webinar Gratuito: "Evidencia Volátil"
Webinar Gratuito: "Evidencia Volátil"Alonso Caballero
 
Presentacion actas policiales 2013
Presentacion actas policiales 2013Presentacion actas policiales 2013
Presentacion actas policiales 2013Ali Castillo
 
El perfil criminológico
El perfil criminológicoEl perfil criminológico
El perfil criminológicotaurusspecial
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica ForenseKmilo Perez
 
ESCENA DEL CRIMEN ppt.ppt
ESCENA DEL CRIMEN ppt.pptESCENA DEL CRIMEN ppt.ppt
ESCENA DEL CRIMEN ppt.pptJona571
 

Tendances (20)

NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
METODOLOGIA DE INVESTIGACIÓN DEL DELITO Y LA ESCENA DEL CRIMEN
METODOLOGIA DE INVESTIGACIÓN DEL DELITO Y LA ESCENA DEL CRIMENMETODOLOGIA DE INVESTIGACIÓN DEL DELITO Y LA ESCENA DEL CRIMEN
METODOLOGIA DE INVESTIGACIÓN DEL DELITO Y LA ESCENA DEL CRIMEN
 
Check List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasCheck List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y Sistemas
 
Unidad n 2 procedimientos invs pj
Unidad n 2 procedimientos invs pjUnidad n 2 procedimientos invs pj
Unidad n 2 procedimientos invs pj
 
Cyberconference - Evidencia digital
Cyberconference - Evidencia digital Cyberconference - Evidencia digital
Cyberconference - Evidencia digital
 
Criminalistica ii u1
Criminalistica ii u1Criminalistica ii u1
Criminalistica ii u1
 
Sistemas Multimedial - VIDEO
Sistemas Multimedial - VIDEOSistemas Multimedial - VIDEO
Sistemas Multimedial - VIDEO
 
13 Privacidad En La Red
13 Privacidad En La Red13 Privacidad En La Red
13 Privacidad En La Red
 
Handling digital crime scene
Handling digital crime sceneHandling digital crime scene
Handling digital crime scene
 
Cadena de custodia Ecuador
Cadena de custodia EcuadorCadena de custodia Ecuador
Cadena de custodia Ecuador
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informatica
 
Intro to cyber forensics
Intro to cyber forensicsIntro to cyber forensics
Intro to cyber forensics
 
Manual de-cadena-de-custodia
Manual de-cadena-de-custodiaManual de-cadena-de-custodia
Manual de-cadena-de-custodia
 
10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas
 
Webinar Gratuito: "Evidencia Volátil"
Webinar Gratuito: "Evidencia Volátil"Webinar Gratuito: "Evidencia Volátil"
Webinar Gratuito: "Evidencia Volátil"
 
Presentacion actas policiales 2013
Presentacion actas policiales 2013Presentacion actas policiales 2013
Presentacion actas policiales 2013
 
El perfil criminológico
El perfil criminológicoEl perfil criminológico
El perfil criminológico
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
 
ESCENA DEL CRIMEN ppt.ppt
ESCENA DEL CRIMEN ppt.pptESCENA DEL CRIMEN ppt.ppt
ESCENA DEL CRIMEN ppt.ppt
 

Similaire à Prueba digital y casos reales de peritaje informático

La necesidad de una buena seguridad de la información
La necesidad de una buena seguridad de la informaciónLa necesidad de una buena seguridad de la información
La necesidad de una buena seguridad de la informaciónQuantiKa14
 
Curso Virtual Forense de Redes 2019
Curso Virtual Forense de Redes 2019Curso Virtual Forense de Redes 2019
Curso Virtual Forense de Redes 2019Alonso Caballero
 
Curso Virtual de OSINT Open Source Intelligence 2019
Curso Virtual de OSINT Open Source Intelligence 2019Curso Virtual de OSINT Open Source Intelligence 2019
Curso Virtual de OSINT Open Source Intelligence 2019Alonso Caballero
 
Webinar Gratuito: Consejos para Iniciar una Investigación OSINT
Webinar Gratuito: Consejos para Iniciar una Investigación OSINTWebinar Gratuito: Consejos para Iniciar una Investigación OSINT
Webinar Gratuito: Consejos para Iniciar una Investigación OSINTAlonso Caballero
 
Curso Virtual de OSINT - Open Source Intelligence
Curso Virtual de OSINT - Open Source IntelligenceCurso Virtual de OSINT - Open Source Intelligence
Curso Virtual de OSINT - Open Source IntelligenceAlonso Caballero
 
Forense Digital a un Fraude Electrónico Bancario
Forense Digital a un Fraude Electrónico BancarioForense Digital a un Fraude Electrónico Bancario
Forense Digital a un Fraude Electrónico BancarioAlonso Caballero
 
Curso Virtual de Informática Forense 2019
Curso Virtual de Informática Forense 2019Curso Virtual de Informática Forense 2019
Curso Virtual de Informática Forense 2019Alonso Caballero
 
Curso Virtual Forense de Redes
Curso Virtual Forense de RedesCurso Virtual Forense de Redes
Curso Virtual Forense de RedesAlonso Caballero
 
Control de inventario rancho j&n
Control de inventario rancho j&nControl de inventario rancho j&n
Control de inventario rancho j&nluis villacis
 
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informática
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informáticaPrácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informática
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informáticaQuantiKa14
 
Curso de Informática Forense 2020
Curso de Informática Forense 2020Curso de Informática Forense 2020
Curso de Informática Forense 2020Alonso Caballero
 
Buscando personas desaparecidas con osint y dante's gates
Buscando personas desaparecidas con osint y dante's gatesBuscando personas desaparecidas con osint y dante's gates
Buscando personas desaparecidas con osint y dante's gatesQuantiKa14
 
Hacer prácticas en QuantiKa14 - ETSII 2020
Hacer prácticas en QuantiKa14 - ETSII 2020Hacer prácticas en QuantiKa14 - ETSII 2020
Hacer prácticas en QuantiKa14 - ETSII 2020QuantiKa14
 
Cómo detectar que nos espían en nuestros móviles
Cómo detectar que nos espían en nuestros móvilesCómo detectar que nos espían en nuestros móviles
Cómo detectar que nos espían en nuestros móvilesQuantiKa14
 
Evidencia final ciencias jordfan
Evidencia final ciencias jordfanEvidencia final ciencias jordfan
Evidencia final ciencias jordfanJordan Eduardo Vr
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
Ciberseguridad para pymes y empresas
Ciberseguridad para pymes y empresasCiberseguridad para pymes y empresas
Ciberseguridad para pymes y empresasQuantiKa14
 
Sistemas de certificación electrónica en España (2010)
Sistemas de certificación electrónica en España (2010)Sistemas de certificación electrónica en España (2010)
Sistemas de certificación electrónica en España (2010)Elena Martín Mayo
 

Similaire à Prueba digital y casos reales de peritaje informático (20)

La necesidad de una buena seguridad de la información
La necesidad de una buena seguridad de la informaciónLa necesidad de una buena seguridad de la información
La necesidad de una buena seguridad de la información
 
Curso Virtual Forense de Redes 2019
Curso Virtual Forense de Redes 2019Curso Virtual Forense de Redes 2019
Curso Virtual Forense de Redes 2019
 
Curso Virtual de OSINT Open Source Intelligence 2019
Curso Virtual de OSINT Open Source Intelligence 2019Curso Virtual de OSINT Open Source Intelligence 2019
Curso Virtual de OSINT Open Source Intelligence 2019
 
Webinar Gratuito: Consejos para Iniciar una Investigación OSINT
Webinar Gratuito: Consejos para Iniciar una Investigación OSINTWebinar Gratuito: Consejos para Iniciar una Investigación OSINT
Webinar Gratuito: Consejos para Iniciar una Investigación OSINT
 
Curso Virtual de OSINT - Open Source Intelligence
Curso Virtual de OSINT - Open Source IntelligenceCurso Virtual de OSINT - Open Source Intelligence
Curso Virtual de OSINT - Open Source Intelligence
 
Forense Digital a un Fraude Electrónico Bancario
Forense Digital a un Fraude Electrónico BancarioForense Digital a un Fraude Electrónico Bancario
Forense Digital a un Fraude Electrónico Bancario
 
Forense Digital Ofensivo
Forense Digital OfensivoForense Digital Ofensivo
Forense Digital Ofensivo
 
Curso Virtual de Informática Forense 2019
Curso Virtual de Informática Forense 2019Curso Virtual de Informática Forense 2019
Curso Virtual de Informática Forense 2019
 
Curso Virtual Forense de Redes
Curso Virtual Forense de RedesCurso Virtual Forense de Redes
Curso Virtual Forense de Redes
 
Módulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzadaMódulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzada
 
Control de inventario rancho j&n
Control de inventario rancho j&nControl de inventario rancho j&n
Control de inventario rancho j&n
 
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informática
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informáticaPrácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informática
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informática
 
Curso de Informática Forense 2020
Curso de Informática Forense 2020Curso de Informática Forense 2020
Curso de Informática Forense 2020
 
Buscando personas desaparecidas con osint y dante's gates
Buscando personas desaparecidas con osint y dante's gatesBuscando personas desaparecidas con osint y dante's gates
Buscando personas desaparecidas con osint y dante's gates
 
Hacer prácticas en QuantiKa14 - ETSII 2020
Hacer prácticas en QuantiKa14 - ETSII 2020Hacer prácticas en QuantiKa14 - ETSII 2020
Hacer prácticas en QuantiKa14 - ETSII 2020
 
Cómo detectar que nos espían en nuestros móviles
Cómo detectar que nos espían en nuestros móvilesCómo detectar que nos espían en nuestros móviles
Cómo detectar que nos espían en nuestros móviles
 
Evidencia final ciencias jordfan
Evidencia final ciencias jordfanEvidencia final ciencias jordfan
Evidencia final ciencias jordfan
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
 
Ciberseguridad para pymes y empresas
Ciberseguridad para pymes y empresasCiberseguridad para pymes y empresas
Ciberseguridad para pymes y empresas
 
Sistemas de certificación electrónica en España (2010)
Sistemas de certificación electrónica en España (2010)Sistemas de certificación electrónica en España (2010)
Sistemas de certificación electrónica en España (2010)
 

Plus de QuantiKa14

PEGASUS MI ARMA
PEGASUS MI ARMAPEGASUS MI ARMA
PEGASUS MI ARMAQuantiKa14
 
Ciberacoso, casos reales
Ciberacoso, casos realesCiberacoso, casos reales
Ciberacoso, casos realesQuantiKa14
 
Tacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataTacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataQuantiKa14
 
Ciberacoso por Jorge Coronado
Ciberacoso por Jorge CoronadoCiberacoso por Jorge Coronado
Ciberacoso por Jorge CoronadoQuantiKa14
 
Casos reales usando OSINT
Casos reales usando OSINTCasos reales usando OSINT
Casos reales usando OSINTQuantiKa14
 
Forense informático a WordPress y Whatsapp usando aplicaciones open source
Forense informático a WordPress y Whatsapp usando aplicaciones open sourceForense informático a WordPress y Whatsapp usando aplicaciones open source
Forense informático a WordPress y Whatsapp usando aplicaciones open sourceQuantiKa14
 
Forense en WordPress
Forense en WordPressForense en WordPress
Forense en WordPressQuantiKa14
 
Ciberseguridad para padres y madres
Ciberseguridad para padres y madresCiberseguridad para padres y madres
Ciberseguridad para padres y madresQuantiKa14
 
Anonimato en Internet y Dante's Gates minimal version
Anonimato en Internet y Dante's Gates minimal versionAnonimato en Internet y Dante's Gates minimal version
Anonimato en Internet y Dante's Gates minimal versionQuantiKa14
 
Ronda de Hacking - Gambrinus challenge Sh3llcon
Ronda de Hacking - Gambrinus challenge Sh3llconRonda de Hacking - Gambrinus challenge Sh3llcon
Ronda de Hacking - Gambrinus challenge Sh3llconQuantiKa14
 
Formacion para empresas para prevenir el ransomware
Formacion para empresas para prevenir el ransomwareFormacion para empresas para prevenir el ransomware
Formacion para empresas para prevenir el ransomwareQuantiKa14
 
OSINT OSANT... CADA DÍA TE QUIERO MÁS
OSINT OSANT... CADA DÍA TE QUIERO MÁSOSINT OSANT... CADA DÍA TE QUIERO MÁS
OSINT OSANT... CADA DÍA TE QUIERO MÁSQuantiKa14
 
All in one OSINT
All in one OSINTAll in one OSINT
All in one OSINTQuantiKa14
 
Ciberseguridad para institutos
Ciberseguridad para institutosCiberseguridad para institutos
Ciberseguridad para institutosQuantiKa14
 
Casos reales usando osint
Casos reales usando osintCasos reales usando osint
Casos reales usando osintQuantiKa14
 
Trabajar en la seguridad informática
Trabajar en la seguridad informáticaTrabajar en la seguridad informática
Trabajar en la seguridad informáticaQuantiKa14
 
Búsqueda de personas desaparecidas a través de las tics
Búsqueda de personas desaparecidas a través de las ticsBúsqueda de personas desaparecidas a través de las tics
Búsqueda de personas desaparecidas a través de las ticsQuantiKa14
 
Gestión de proyectos con Trello sin tener que ser software
Gestión de proyectos con Trello sin tener que ser softwareGestión de proyectos con Trello sin tener que ser software
Gestión de proyectos con Trello sin tener que ser softwareQuantiKa14
 
La guía para prevenir el ransomware en empresas
La guía para prevenir el ransomware en empresasLa guía para prevenir el ransomware en empresas
La guía para prevenir el ransomware en empresasQuantiKa14
 

Plus de QuantiKa14 (20)

PEGASUS MI ARMA
PEGASUS MI ARMAPEGASUS MI ARMA
PEGASUS MI ARMA
 
Ciberacoso, casos reales
Ciberacoso, casos realesCiberacoso, casos reales
Ciberacoso, casos reales
 
Tacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataTacita, análisis de APKS y big data
Tacita, análisis de APKS y big data
 
Ciberacoso por Jorge Coronado
Ciberacoso por Jorge CoronadoCiberacoso por Jorge Coronado
Ciberacoso por Jorge Coronado
 
Casos reales usando OSINT
Casos reales usando OSINTCasos reales usando OSINT
Casos reales usando OSINT
 
Forense informático a WordPress y Whatsapp usando aplicaciones open source
Forense informático a WordPress y Whatsapp usando aplicaciones open sourceForense informático a WordPress y Whatsapp usando aplicaciones open source
Forense informático a WordPress y Whatsapp usando aplicaciones open source
 
Ciberacoso
CiberacosoCiberacoso
Ciberacoso
 
Forense en WordPress
Forense en WordPressForense en WordPress
Forense en WordPress
 
Ciberseguridad para padres y madres
Ciberseguridad para padres y madresCiberseguridad para padres y madres
Ciberseguridad para padres y madres
 
Anonimato en Internet y Dante's Gates minimal version
Anonimato en Internet y Dante's Gates minimal versionAnonimato en Internet y Dante's Gates minimal version
Anonimato en Internet y Dante's Gates minimal version
 
Ronda de Hacking - Gambrinus challenge Sh3llcon
Ronda de Hacking - Gambrinus challenge Sh3llconRonda de Hacking - Gambrinus challenge Sh3llcon
Ronda de Hacking - Gambrinus challenge Sh3llcon
 
Formacion para empresas para prevenir el ransomware
Formacion para empresas para prevenir el ransomwareFormacion para empresas para prevenir el ransomware
Formacion para empresas para prevenir el ransomware
 
OSINT OSANT... CADA DÍA TE QUIERO MÁS
OSINT OSANT... CADA DÍA TE QUIERO MÁSOSINT OSANT... CADA DÍA TE QUIERO MÁS
OSINT OSANT... CADA DÍA TE QUIERO MÁS
 
All in one OSINT
All in one OSINTAll in one OSINT
All in one OSINT
 
Ciberseguridad para institutos
Ciberseguridad para institutosCiberseguridad para institutos
Ciberseguridad para institutos
 
Casos reales usando osint
Casos reales usando osintCasos reales usando osint
Casos reales usando osint
 
Trabajar en la seguridad informática
Trabajar en la seguridad informáticaTrabajar en la seguridad informática
Trabajar en la seguridad informática
 
Búsqueda de personas desaparecidas a través de las tics
Búsqueda de personas desaparecidas a través de las ticsBúsqueda de personas desaparecidas a través de las tics
Búsqueda de personas desaparecidas a través de las tics
 
Gestión de proyectos con Trello sin tener que ser software
Gestión de proyectos con Trello sin tener que ser softwareGestión de proyectos con Trello sin tener que ser software
Gestión de proyectos con Trello sin tener que ser software
 
La guía para prevenir el ransomware en empresas
La guía para prevenir el ransomware en empresasLa guía para prevenir el ransomware en empresas
La guía para prevenir el ransomware en empresas
 

Prueba digital y casos reales de peritaje informático

  • 1. La importancia de las pruebas digitales y casos reales JORGE CORONADO PERITO INFORMÁTICO Y FUNDADOR DE QUANTIKA14 WWW.QUANTIKA14.COM 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 1
  • 2. Introducción 1. No ser la típica charla de peritaje informático 2. Hablar de casos reales 3. Enseñar metodologías de forense informático 4. Enseñar aplicaciones 5. Hacer demostraciones WWW.QUANTIKA14.COM | 954 96 55 51 2
  • 3. Quién es Jorge Coronado Fundador y CEO de QuantiKa14 Colaborador de Canal Sur Radio desde 2015 Profesor en el curso de detectives de la Universidad Pablo Olavide de Sevilla en 2017 Co-autor del primer “Protocolo institucional en España ante la violencia de género en las redes sociales” Formación a cuerpos de seguridad en investigación a través de Internet desde la ESPA y otros cursos Director del curso de verano sobre la ciberdelincuencia de género en la Universidad de Pablo de Olavide Organizador del congreso internacional OSINTCITY Creador del protocolo de actuación para la búsqueda de personas desaparecidas a través de las tecnologías de la información y comunicación Vocal de la asociación de peritos tecnológicos de Andalucía (APTAN) Dinamizador del Hack&Beers Sevilla Autor del canal de Youtube Investiga Conmigo desde el Sü Creador de aplicaciones como: Guasap Forensic, Shodita, EO-Ripper, Dante Gates, Killo.io, etc 29/11/2019 WWW.QUANTIKA14.COM | 954 96 55 51 3 @JorgeWebsec
  • 4. Empresa con más de 20 peritos en Madrid, Barcelona y Sevilla MADRID, SAN SEBASTIÁN DE LOS REYES, TEIDE 5 SEVILLA, CONDE DE CIFUENTES Nº6 LOCAL B 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 4
  • 5. QuantiKa14 E-CRIMEN 5 Departamento especializado en investigaciones de crímenes informáticos. Gracias a nuestras aplicaciones creadas por QK14 no solo llegamos donde otros no pueden, también lo hacemos más rápido Aplicaciones de OSINT y Big Data Nuestros detectives están dotados de nuestra formación, conocimientos y dispositivos. Peritos informáticos Gracias a la experiencia de nuestros expertos en seguridad informática podemos usar herramientas y técnicas no utilizadas anteriormente en las investigaciones Expertos en seguridad informática y OSINT Contamos con abogados especialistas en las nuevas tecnologías, LOPD, violencia de género, etc Departamento Legal Síguenos en Facebook y Twitter www.quantika14.com | 954 96 55 51
  • 6. Características fundamentales del peritaje informático ISO 27037 PROCESO AUDITABLE,REPRODUCIBLE Y DEFENDIBLE - Exposición clara de los resultados - Listado de aplicaciones utilizadas con su versión - Exposición la cadena de custodia - Se debe entregar los resultados en el informe papel y digitalmente - Si es necesario alguna aplicación para abrir los archivos adjuntarlos al informe WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 6
  • 7. Fases de un peritaje informático estándar WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 7 Extracción y clonado ante notario Análisis Informe Ratificación
  • 8. La extracción y clonado CUSTODIA NOTARIAL HASH 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 8 https://www.notariofranciscorosales.com/a cta-notarial-de-una-web-2/
  • 9. Análisis Tradicional: ØCertificar/autentificar emails ØCertificar/autentificar WhatsApp Novedoso: ØApp espía ØCertificar captura de pantalla con ML y Big Data ØOSINT ØIdentificar fuga de información con ML y Big Data WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 9
  • 11. Ratificación JUICIO ORAL (RATIFICAR INFORME DE 600 PÁGINAS) EL CAREO EN EL JUICIO ORAL 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 11
  • 12. CASOS REALES • Una base de datos para gobernarlos a todos (fuga de información) • Yo solo estuve 5 minutos (peritaje informático en WhatsApp) • Autentificando webs de adjudicaciones WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 12
  • 13. UNA BASE DE DATOS PARA GOBERNARLOS A TODOS LOS COMERCIALES MÁS LISTOS WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 13
  • 14. Startup vulgarmente llamada “Un Pájaro pa’tu casa” DISPONE DE UN CALL CENTER Y UN EQUIPO COMERCIAL PARA LA VENTA Y DISTRIBUCIÓN DE “PAJARITOS” WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 14 TE LLEVAMOS EL PÁJARO A TU CASA
  • 15. Situación: WWW.QUANTIKA14.COM | 954 96 55 51 29/11/2019 15 El cliente manifiesta haber perdido más de 200 clientes en una zona muy concreta y sospecha que un ex trabajador haya robado su base de datos El cliente nos envía más de 200 emails, donde siempre se envían desde 15 cuentas diferentes y aportando el DNI adjunto para darse de baja El cliente sospecha de su ex director commercial llamado “Cesar Cadaval”
  • 16. Objetivos 1. Encontrar a los autores 2. Autentificar las evidencias digitales 3. Crear un informe 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 16 Metodología investigación OSINT y forense informático: 1. Identificar datos iniciales (nombres, Ips, emails, direcciones, etc) 2. Obtener los metadatos de las imágenes 3. Analizar los datos iniciales 4. Forense en los equipos 5. Detallar todas las actuaciones y resultados en el informe
  • 17. Metadatos RESULTADOS Encontramos dos usuarios que han creado esas imágenes: - Cesar - Ulloa Urrea marketing ¿QUÉ SON LOS METADATOS? 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 17
  • 18. Patrón en los emails El texto en los emails siempre es igual excepto los datos del cliente que se da de baja. Lo que nos hace sospechar que se está enviando de forma automática y puede ser las mismas personas. WWW.QUANTIKA14.COM | 954 96 55 51 29/11/2019 18
  • 19. Analizamos los emails remitentes ¿QUÉ SON LOS LEAKS? Son base de datos o listas de credenciales que han sido extraídas sin autorización de empresas, aplicaciones y páginas webs y son publicadas en Internet. Los leaks más comunes son: LinkedIn Dropbox Badoo Hay miles de leaks. ¿QUÉ ES SPOOFEABLE? Significa que el correo electrónico no tiene suficiente medidas de seguridad y puede ser suplantado por cualquier persona. 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 19
  • 20. EMAIL OSINT RIPPER (EO- RIPPER.PY) - Encuentra las redes sociales registradas con el email: ◦ Twitter ◦ Instagram ◦ Spotify ◦ Netflix ◦ Wordpress ◦ Pinterest - Leaks - Caso de uso: https://blog.quantika14.com/blog/2019/1 1/21/que-politicos-estan-registrados-en- spotify-con-el-correo-oficial-del-partido/ 29/11/2019 WWW.QUANTIKA14.COM | 954 96 55 51 20
  • 21. DANTE’S GATES MOBILE (BETA) Formulario para acceso a la BETA: https://quantika14.com/dantes-gates-mobile-beta/ Manual para Android: https://quantika14.com/doc/Manual_DG%20Mobile_Android.pdf Descargar APK para Android: http://dg.qk14.tech/download/Dantes_Gates_Mobile.apk User: dantes | Pass: Dantes_Gates_14 Manuel para IOS: https://quantika14.com/doc/Manual_DG_Mobile_IOS.pdf Descargar IPA para IOS: https://i.diawi.com/BeAwui WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 21
  • 22. Actuaciones y resultados ØHemos obtenido los metadatos de las imágenes y nos aparece: “Cesar” y “Ulloa Urrea Marketing” ØHemos analizado los emails remitentes desde el cual dan de baja a los clientes y encontramos: ◦ En solo un email aparece asociado una cuenta de Pinterest donde encontramos el nombre de “Cesar Urrea” ◦ Si buscamos en LinkedIn esta persona es el dueño de la empresa “Ulloa Urrea Marketing” 11/29/2019 WWW.QUANTIKA14.COM | 954 96 55 51 22
  • 23. Situación actual El cliente nos manifiesta que “Cesar Ulloa” fue el director comercial de “Un pájaro pa’tu casa” hasta 2019 y que actualmente ha creado su propia empresa. Preguntamos si tenemos el PC de su antiguo puesto de trabajo. WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 23
  • 24. Identificando fugas de información Podemos crear una línea del tiempo de toda la actividad del ordenador. También detectar y quizás recuperar la información que ha borrado. Inicio sesión con “Cesar” un domingo a las 11:00 Inserto un USB a las 11:05 Copió los archivos al USB de clientes a las 11:06 Quitó el USB a las 11:07 Cerró sesión a las 11:08 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 24
  • 25. ¡Yo me salí a los 5 minutos! UN GRUPO DE PEDOFILIA EN WHATSAPP WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 25
  • 26. https://blog.quantik a14.com/blog/2019 /09/24/diario-de-un- perito-informatico- forense-al-movil-de- albert-rivera/ DIARIO DE UN PERITO INFORMÁTICO: FORENSE AL WHATSAPP DE ALBERT RIVERA WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 26
  • 27. WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 27 REGISTRO AQUÍ: https://quantika14.com/curso-sobre- peritaje-informatico-en-whatsapp/ MÁS INFORMACIÓN 954 96 55 51
  • 28. Situación y manifestaciones 1. El cliente reconoce haber estado en un grupo donde se compartía imágenes y vídeos donde aparece menores manteniendo relaciones sexuales. Sin embargo, dice haber entrado en contra de su voluntad y estar menos de 5 minutos 2. Manifiesta no haber compartido ningún contenido 3. Manifiesta no haber difundido ningún contenido, además, añade no haber visualizado ninguna imagen. Que al ver rápidamente de que iba se salió del grupo 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 28
  • 29. Fases de la pericial 1. Extracción del dispositivo (ante notario recomendado) ◦ El notario añadirá en su acta las diligencias realizadas por el perito informático. Es decir, los procesos realizados de la extracción ◦ El notario se queda con un clonado en custodia notarial durante mínimo 2 años y se dará en caso de ser requerido judicialmente o por el cliente 2. Análisis de la evidencia digital: ◦ Hora del dispositivo ◦ Root ◦ Posible Root anteriormente ◦ Comprobar si hay modificación de las 7 formas posibles ◦ Obtener listado de mensajes eliminados 3. Crear informe con resultados 4. Ratificar informe 29/11/2019WWW.QUANTIKA14.COM 29
  • 30. ¿Qué preguntas debe hacer un abogado/a a un informe pericial de WhatsApp? 1. ¿La cadena de custodia se ha roto? ¿Hay cadena de custodia? ¿Dónde aparece en el informe? 2. ¿La integridad de las pruebas se ha roto? ¿El perito ha manipulado correctamente las evidencias digitales? ¿Se realizó la extracción ante notario? 3. ¿Qué aplicaciones ha utilizado? 4. ¿Es reproducible los procesos realizados? ¿Otro perito podría realizar los procesos realizados? 5. ¿Los resultados son objetivos y fáciles de entender? ¿Extrae conclusiones fuera de los datos? 6. ¿Se aporta toda la conversación o solo parcialmente? 29/11/2019WWW.QUANTIKA14.COM 30
  • 31. ¿Qué podemos saber de un forense de un grupo de WhatsApp? Fecha y hora de acceso Tipo de invitación y quién envió la invitación Mensajes enviados y borrados Imágenes, mensajes de voz, vídeos, audios y mensajes de texto Entrada (invitación) y salida de usuarios (quién lo ha expulsado) 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 31
  • 32. Ejemplo de análisis de la DB de Android para un caso de un grupo de pedófilos 11/29/2019 Si el usuario estaba en un grupo podemos ver los miembros actuales, y también, quedarán almacenados los miembos que se van agregando y saliendo de dicho grupo. En la tabla “messages”, filtramos por el campo 'status’, y, de nuevo, lo filtramos por el valor 6 que indica que es un mensaje de control y luego en 'media_size’: - Valor 4 indica que se te ha añadido al grupo el campo ‘remote_resource’, indicará tu teléfono. - Valor de 5, indica que el usuario del campo ‘key_remote_resource’ ha salido del grupo. - Valor 12, es añadir alguien al grupo, 'remote_resource' es quien añade, y si miras en modo binario el campo 'thumb_image' aparece quien se añade al grupo. - Valor 14, Eliminar del grupo, 'remote_resource' es quien elimina, y si miras en modo binario el campo 'thumb_image' aparece a quien se echa de al grupo. - Valor 20, es XXXX: entró usando un enlace de invitación de este grupo. WWW.QUANTIKA14.COM 32
  • 33. Resultado 1. Identificamos y listamos toda la actividad del grupo desde que nuestro cliente entró 2. Estuvo más de 5 minutos y visualizó varias imágenes 3. Durante el tiempo que estuvo entraron y salieron más usuarios 4. La mayoría entraron por invitación por el mismo usuario Entró en el grupo por invitación por el usuario +34 *** *** *** el 20/06/2019 a las 14:22:11 Descargó y visualizó una imagen X a las 14:23:44 Accedieron varios usuarios invitados por la misma persona a las 14:25 Descargó y visualizó una imagen Y a las 14:26:13 Durante todo este tiempo recibió X mensajes con Z contenido Se borraron X mensajes y a tal hora Se salió del grupo a las 15:55:43 del 20/06/2019 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 33
  • 34. Guasap Forensic https://www.youtube.com/wat ch?v=AZaTOYx6ELA - Gratuito y open source - Requiere unos conocimientos técnicos básico/medio - Análisis automático y creación de informe WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 34
  • 35. De empresario a concejal de mi empresa AUTENTIFICANDO WEBS WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 35
  • 36. Situación (posible caso de corrupción) 1. El cliente manifiesta que tiene información no contrastada de que un concejal destina contratos menores y licitaciones a la empresa privada donde tenía un cargo de administrador y que actualmente están varios familiares 2. El cliente manifiesta que la información es real pero no tiene forma de demostrarlo 29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 36