Jorge Coronado presenta una charla sobre la importancia de las pruebas digitales y casos reales de peritajes informáticos. Explica cómo su empresa QuantiKa14 resolvió un caso en el que un ex empleado robó la base de datos de clientes de una startup, identificando al culpable mediante el análisis de metadatos de imágenes y correos electrónicos. También analiza un caso de un grupo de pedofilia de WhatsApp, explicando cómo un peritaje del dispositivo puede revelar detalles como la hora de acceso al grupo y mens
Prueba digital y casos reales de peritaje informático
1. La importancia de las pruebas digitales
y casos reales
JORGE CORONADO
PERITO INFORMÁTICO Y FUNDADOR DE QUANTIKA14
WWW.QUANTIKA14.COM
29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 1
2. Introducción
1. No ser la típica charla de
peritaje informático
2. Hablar de casos reales
3. Enseñar metodologías de
forense informático
4. Enseñar aplicaciones
5. Hacer demostraciones
WWW.QUANTIKA14.COM | 954 96 55 51 2
3. Quién es Jorge Coronado
Fundador y CEO de QuantiKa14
Colaborador de Canal Sur Radio desde 2015
Profesor en el curso de detectives de la Universidad Pablo Olavide de Sevilla en 2017
Co-autor del primer “Protocolo institucional en España ante la violencia de género en las redes
sociales”
Formación a cuerpos de seguridad en investigación a través de Internet desde la ESPA y otros cursos
Director del curso de verano sobre la ciberdelincuencia de género en la Universidad de Pablo de Olavide
Organizador del congreso internacional OSINTCITY
Creador del protocolo de actuación para la búsqueda de personas desaparecidas a través de las
tecnologías de la información y comunicación
Vocal de la asociación de peritos tecnológicos de Andalucía (APTAN)
Dinamizador del Hack&Beers Sevilla
Autor del canal de Youtube Investiga Conmigo desde el Sü
Creador de aplicaciones como: Guasap Forensic, Shodita, EO-Ripper, Dante Gates, Killo.io, etc
29/11/2019 WWW.QUANTIKA14.COM | 954 96 55 51 3
@JorgeWebsec
4. Empresa con más de 20 peritos en
Madrid, Barcelona y Sevilla
MADRID, SAN SEBASTIÁN DE LOS
REYES, TEIDE 5
SEVILLA, CONDE DE CIFUENTES Nº6
LOCAL B
29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 4
5. QuantiKa14 E-CRIMEN
5
Departamento especializado en investigaciones de crímenes informáticos.
Gracias a nuestras aplicaciones creadas
por QK14 no solo llegamos donde otros
no pueden, también lo hacemos más
rápido
Aplicaciones de OSINT y
Big Data
Nuestros detectives están dotados de
nuestra formación, conocimientos y
dispositivos.
Peritos informáticos
Gracias a la experiencia de nuestros
expertos en seguridad informática
podemos usar herramientas y técnicas
no utilizadas anteriormente en las
investigaciones
Expertos en seguridad
informática y OSINT
Contamos con abogados especialistas
en las nuevas tecnologías, LOPD,
violencia de género, etc
Departamento Legal
Síguenos en Facebook y Twitter
www.quantika14.com | 954 96 55 51
6. Características
fundamentales
del peritaje
informático
ISO 27037
PROCESO AUDITABLE,REPRODUCIBLE Y
DEFENDIBLE
- Exposición clara de los resultados
- Listado de aplicaciones utilizadas con su
versión
- Exposición la cadena de custodia
- Se debe entregar los resultados en el
informe papel y digitalmente
- Si es necesario alguna aplicación para
abrir los archivos adjuntarlos al informe
WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 6
12. CASOS
REALES
• Una base de datos para
gobernarlos a todos (fuga de
información)
• Yo solo estuve 5 minutos
(peritaje informático en
WhatsApp)
• Autentificando webs de
adjudicaciones
WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 12
13. UNA BASE DE
DATOS PARA
GOBERNARLOS
A TODOS
LOS COMERCIALES
MÁS LISTOS
WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 13
15. Situación:
WWW.QUANTIKA14.COM | 954 96 55 51 29/11/2019 15
El cliente manifiesta haber
perdido más de 200
clientes en una zona muy
concreta y sospecha que
un ex trabajador haya
robado su base de datos
El cliente nos envía más
de 200 emails, donde
siempre se envían desde
15 cuentas diferentes y
aportando el DNI adjunto
para darse de baja
El cliente sospecha de su
ex director commercial
llamado “Cesar Cadaval”
16. Objetivos
1. Encontrar a los autores
2. Autentificar las evidencias digitales
3. Crear un informe
29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 16
Metodología investigación OSINT y forense
informático:
1. Identificar datos iniciales (nombres, Ips,
emails, direcciones, etc)
2. Obtener los metadatos de las imágenes
3. Analizar los datos iniciales
4. Forense en los equipos
5. Detallar todas las actuaciones y resultados en
el informe
18. Patrón en los
emails
El texto en los emails siempre es igual excepto los datos
del cliente que se da de baja. Lo que nos hace sospechar
que se está enviando de forma automática y puede ser las
mismas personas.
WWW.QUANTIKA14.COM | 954 96 55 51 29/11/2019 18
19. Analizamos los emails remitentes
¿QUÉ SON LOS LEAKS?
Son base de datos o listas de credenciales
que han sido extraídas sin autorización de
empresas, aplicaciones y páginas webs y son
publicadas en Internet. Los leaks más
comunes son:
LinkedIn
Dropbox
Badoo
Hay miles de leaks.
¿QUÉ ES SPOOFEABLE?
Significa que el correo electrónico no tiene
suficiente medidas de seguridad y puede ser
suplantado por cualquier persona.
29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 19
20. EMAIL OSINT
RIPPER (EO-
RIPPER.PY)
- Encuentra las redes sociales registradas
con el email:
◦ Twitter
◦ Instagram
◦ Spotify
◦ Netflix
◦ Wordpress
◦ Pinterest
- Leaks
- Caso de uso:
https://blog.quantika14.com/blog/2019/1
1/21/que-politicos-estan-registrados-en-
spotify-con-el-correo-oficial-del-partido/
29/11/2019 WWW.QUANTIKA14.COM | 954 96 55 51 20
21. DANTE’S GATES MOBILE
(BETA)
Formulario para acceso a la BETA:
https://quantika14.com/dantes-gates-mobile-beta/
Manual para Android:
https://quantika14.com/doc/Manual_DG%20Mobile_Android.pdf
Descargar APK para Android:
http://dg.qk14.tech/download/Dantes_Gates_Mobile.apk
User: dantes | Pass: Dantes_Gates_14
Manuel para IOS:
https://quantika14.com/doc/Manual_DG_Mobile_IOS.pdf
Descargar IPA para IOS:
https://i.diawi.com/BeAwui
WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 21
22. Actuaciones
y resultados
ØHemos obtenido los metadatos
de las imágenes y nos aparece:
“Cesar” y “Ulloa Urrea Marketing”
ØHemos analizado los emails
remitentes desde el cual dan de
baja a los clientes y encontramos:
◦ En solo un email aparece
asociado una cuenta de
Pinterest donde encontramos
el nombre de “Cesar Urrea”
◦ Si buscamos en LinkedIn esta
persona es el dueño de la
empresa “Ulloa Urrea
Marketing”
11/29/2019 WWW.QUANTIKA14.COM | 954 96 55 51 22
23. Situación
actual
El cliente nos manifiesta que
“Cesar Ulloa” fue el director
comercial de “Un pájaro pa’tu
casa” hasta 2019 y que
actualmente ha creado su propia
empresa.
Preguntamos si tenemos el PC
de su antiguo puesto de
trabajo.
WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 23
24. Identificando fugas de información
Podemos crear una línea del tiempo de
toda la actividad del ordenador.
También detectar y quizás recuperar la
información que ha borrado.
Inicio sesión con “Cesar”
un domingo a las 11:00
Inserto un USB a las 11:05
Copió los archivos al USB
de clientes a las 11:06
Quitó el USB a las 11:07
Cerró sesión a las 11:08
29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 24
25. ¡Yo me salí a los 5 minutos! UN GRUPO DE PEDOFILIA
EN WHATSAPP
WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 25
27. WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 27
REGISTRO AQUÍ:
https://quantika14.com/curso-sobre-
peritaje-informatico-en-whatsapp/
MÁS INFORMACIÓN 954 96 55 51
28. Situación y manifestaciones
1. El cliente reconoce haber estado en un grupo donde se compartía imágenes y
vídeos donde aparece menores manteniendo relaciones sexuales. Sin embargo,
dice haber entrado en contra de su voluntad y estar menos de 5 minutos
2. Manifiesta no haber compartido ningún contenido
3. Manifiesta no haber difundido ningún contenido, además, añade no haber
visualizado ninguna imagen. Que al ver rápidamente de que iba se salió del grupo
29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 28
29. Fases de la pericial
1. Extracción del dispositivo (ante
notario recomendado)
◦ El notario añadirá en su acta las
diligencias realizadas por el perito
informático. Es decir, los procesos
realizados de la extracción
◦ El notario se queda con un clonado en
custodia notarial durante mínimo 2 años
y se dará en caso de ser requerido
judicialmente o por el cliente
2. Análisis de la evidencia digital:
◦ Hora del dispositivo
◦ Root
◦ Posible Root anteriormente
◦ Comprobar si hay modificación de las 7
formas posibles
◦ Obtener listado de mensajes eliminados
3. Crear informe con resultados
4. Ratificar informe
29/11/2019WWW.QUANTIKA14.COM 29
30. ¿Qué preguntas debe hacer un abogado/a
a un informe pericial de WhatsApp?
1. ¿La cadena de custodia se ha roto?
¿Hay cadena de custodia? ¿Dónde
aparece en el informe?
2. ¿La integridad de las pruebas se ha
roto? ¿El perito ha manipulado
correctamente las evidencias
digitales? ¿Se realizó la extracción
ante notario?
3. ¿Qué aplicaciones ha utilizado?
4. ¿Es reproducible los procesos
realizados? ¿Otro perito podría realizar
los procesos realizados?
5. ¿Los resultados son objetivos y fáciles
de entender? ¿Extrae conclusiones
fuera de los datos?
6. ¿Se aporta toda la conversación o
solo parcialmente?
29/11/2019WWW.QUANTIKA14.COM 30
31. ¿Qué podemos saber de un forense
de un grupo de WhatsApp?
Fecha y hora de acceso
Tipo de invitación y quién envió la
invitación
Mensajes enviados y borrados
Imágenes, mensajes de voz, vídeos,
audios y mensajes de texto
Entrada (invitación) y salida de
usuarios (quién lo ha expulsado)
29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 31
32. Ejemplo de análisis
de la DB de Android
para un caso de un
grupo de pedófilos
11/29/2019
Si el usuario estaba en un grupo podemos ver los miembros
actuales, y también, quedarán almacenados los miembos que
se van agregando y saliendo de dicho grupo.
En la tabla “messages”, filtramos por el campo 'status’, y, de nuevo,
lo filtramos por el valor 6 que indica que es un mensaje de control y luego
en 'media_size’:
- Valor 4 indica que se te ha añadido al grupo el campo
‘remote_resource’, indicará tu teléfono.
- Valor de 5, indica que el usuario del campo
‘key_remote_resource’ ha salido del grupo.
- Valor 12, es añadir alguien al grupo, 'remote_resource'
es quien añade, y si miras en modo binario el campo 'thumb_image'
aparece quien se añade al grupo.
- Valor 14, Eliminar del grupo, 'remote_resource' es quien
elimina, y si miras en modo binario el campo 'thumb_image' aparece a
quien se echa de al grupo.
- Valor 20, es XXXX: entró usando un enlace de invitación
de este grupo.
WWW.QUANTIKA14.COM 32
33. Resultado
1. Identificamos y listamos toda la
actividad del grupo desde que
nuestro cliente entró
2. Estuvo más de 5 minutos y visualizó
varias imágenes
3. Durante el tiempo que estuvo
entraron y salieron más usuarios
4. La mayoría entraron por invitación
por el mismo usuario
Entró en el grupo por invitación
por el usuario +34 *** *** *** el
20/06/2019 a las 14:22:11
Descargó y visualizó una
imagen X a las 14:23:44
Accedieron varios usuarios
invitados por la misma persona
a las 14:25
Descargó y visualizó una
imagen Y a las 14:26:13
Durante todo este tiempo
recibió X mensajes con Z
contenido
Se borraron X mensajes y a tal
hora
Se salió del grupo a las
15:55:43 del 20/06/2019
29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 33
35. De empresario a concejal de
mi empresa
AUTENTIFICANDO WEBS
WWW.QUANTIKA14.COM | 954 96 55 51 11/29/2019 35
36. Situación (posible caso de
corrupción)
1. El cliente manifiesta que tiene información no contrastada de que un concejal
destina contratos menores y licitaciones a la empresa privada donde tenía un
cargo de administrador y que actualmente están varios familiares
2. El cliente manifiesta que la información es real pero no tiene forma de demostrarlo
29/11/2019WWW.QUANTIKA14.COM | 954 96 55 51 36