Cuando una “pobre” Pericial Informática Policial es tu salvación, caso práctico.

El éxito de la actuación del Letrado de la Defensa en una causa penal con Delito Tecnológico puede depender de una “pobre” o escasa Pericial Informática Policial. Un Letrado de la Defensa “despierto” intentará encontrar en qué lugar existe una pequeña fisura, meter cuantos más dedos posible mejor, convertir esa fisura en una “gran raja” y proceder a la desestabilización de todo el proceso.

15628466 - eye viewing digital information represented by ones and zeros

Supuesto de Hecho: un caso de Pornografía infantil

La Organización Internacional, ONG National Center for Missing and Exploited Children, que se dedica a la recepción y canalización de las denuncias ciudadanas y las descubiertas por los diferentes ISP‘s, (Proveedores de Servicios de Internet) canaliza una “subida” a la Red Social Twitter de determinadas imágenes con una denominación concreta para cada una de ellas. Una vez alertada por la Red Social de la existencia de esas imágenes pornográficas compartidas, se pone en conocimiento del Cuerpo de Policía encargado de la recepción de este tipo de denuncias internacionales.

Efectuadas las solicitudes concretas a los Servicios de Telecomunicaciones, puede averiguarse que la IP desde la cual se realiza la conexión a Twitter y, por tanto, la subida de la información, corresponde a una Red Nateada. El hecho de que sea una Red Nateada significa que existe mayor dificultad para la localización del Autor de los Hechos, puesto que una misma dirección IP pública es asignada a una multitud de usuarios detrás de la misma y, tras la cual, se ha generado una red privada múltiple. Lo único que nos valdría sería la posibilidad de conocer el “puerto” o puerta de salida que ha efectuado la conexión, lo cual nos determinaría un usuario único.

Ante la imposibilidad de conocer cuál de los muchos usuarios es quien se ha conectado, se opta por peticionar cuáles de todos los usuarios de la Red Nateada se conectaron en los momentos más cercanos o coincidentes en que se produjo la “subida” de las imágenes pornográficas. Las fotos que se han subido a Twitter coinciden en tiempos aproximados con una dirección IP concreta y un titular cierto.

Existe una cuenta de correo de hotmail que es la que crea un perfil de usuario de Twitter que es el que “sube” las imágenes.

Se pide la Entrada y Registro para el domicilio en el que hay más coincidencias de conexión IP y se encuentran en él:

Varios ordenadores, algunos utilizados por todos los miembros de la familia y otros individuales. Se encuentra algún disco duro. Se encuentran dispositivos de almacenamiento Pendrives. No se examina ninguno. Únicamente se llevan el disco duro de uno de los ordenadores. Se embolsa y se lleva a examinar por el laboratorio forense y se aprehende también un iPhone 4S.

Pericial Informática Forense: contenido.

Lo único que se relaciona de lo que se ha encontrado en el organigrama de carpetas es la “imagen” del árbol de cada una de las particiones del disco duro.

El detalle de que en una de las carpetas con el usuario X se han encontrado un número superior a 1000 de fotografías pornográficas.

Manifiestan que parece que las imágenes forman parte de una copia de un teléfono móvil correspondiente a un iPhone, con un número de UDID. Pero viendo las imágenes de la pericial vemos que hay otro UDID y por tanto la posibilidad de existencia de otro teléfono que pudiera haber hecho copia de esos contenidos en la misma carpeta.

El número UDID es un número de matrícula que identifica a cada uno de los dispositivos móviles y que, supuestamente es único. Para más información puede leerse aquí.

Manifiesta de forma expresa que no se ha examinado el iPhone 4S porque se carece de los elementos técnicos necesarios para proceder a “rescatar” la información que pudiera haberse borrado del mismo.

26058714 - judge gavel and tablet computer on table cyber crime concept

Derecho Digital y Análisis Forense

Elementos de desestabilización del proceso, la ventaja de la Defensa:

En este momento del proceso penal, en el que el Letrado de la Defensa se podría encontrar con una Pericial Informática “de contrario escasa”, la única manera existente para desestabilizar el proceso es la de proceder a introducir en el Juicio Oral las cuestiones basadas en un:

– ¿Podría ser que…?

Hay veces que incluso los participantes en un Juicio Oral pueden pensar que el Letrado de la Defensa es “idiota” por formular las cuestiones, pero animo a la profundización de la Causa para lograr generar esa “duda razonable” que proteja los Derechos Constitucionales de Defensa, la Presunción de Inocencia y los Derechos a una Tutela Judicial Efectiva de Jueces y Tribunales.

En este supuesto, los “¿Podría ser qué…? Se deberían centrar en los siguientes puntos:

  1. El Router de conexión a la Red.

En ningún momento se hizo aprehensión del Router de acceso a la Red y posterior análisis del mismo. Nadie se preguntó si tenía la configuración por defecto de cuando sale de la “compañía telefónica”. Nadie analizó si llevaba la contraseña por defecto. ¿Por qué es importante? Porque en YouTube podemos encontrar por los modelos de Router de las Compañías, las contraseñas de acceso a los mismos que figuran por defecto. Son datos públicos y, por tanto, podrían ser utilizados por un tercero para utilizar nuestra Red Doméstica y colocarnos o subir a diferentes plataformas pornografía o cometer cualesquiera delitos a través de nuestros soportes y con nuestra Red.

  1. 2. Las Imágenes de Twitter.

Tal como se menciona por la ONG National Center for Missing and Exploited Children, las imágenes vienen nombradas. Dichas imágenes no se relacionaron nunca con las imágenes que se encontraron en el disco duro aprehendido. Tampoco se mencionó nunca que hubiera descargado ningún tipo de programa P2P para compartir materiales con terceros. Suelen ser programas a través de los cuales los usuarios ponen a “disposición” de terceros sus materiales, sobre todo pornográficos o de música, a los cuales terceros pueden acceder para llevárselos.

Por tanto, no hay relación de las imágenes difundidas con las encontradas y no existe rastro de ningún programa P2P.

Informática

  1. el iPhone 4S no se analiza nunca.

El supuesto teléfono del cual se han hecho las copias no se ha analizado nunca, por tanto, tampoco podemos encontrar la relación entre la posesión de las imágenes y el de dónde han salido. La falta de medios / programas específicos para rescatar la información reseteada / borrada impide hacer esa correlación.

Cabe la necesidad de analizar las propiedades del iPhone 4. Son diferentes los iPhone 4 de los iPhone 4S, sobre todo por sus características técnicas y la peculiaridad de la existencia de un solo núcleo (mononúcleo) o tener dos núcleos en los que se almacena la información. El Letrado de la Defensa deberá indagar sobre las características y debilidades de todos los soportes técnicos implicados en una Causa penal a fin de lograr esa desestabilización del proceso.

Para más información acerca de los modelos de teléfono móvil iPhone, leer en el blog https://www.dinosec.com/es/lab.html

  1. El número UDID.

El número UDID es un número que identifica el teléfono móvil que ha efectuado una copia en el ordenador. Comprobado por el Letrado que el UDID, cuando se efectúa la copia de un iPhone5 sobreescribe el anterior y, por tanto, el UDID y la copia son siempre únicos, ¿cómo puede aparecer en el listado de las copias de las imágenes un UDID diferente? ¿Podría ser que “otro” móvil por control remoto hubiera hecho una copia en ese soporte? ¿Podría ser que un teléfono iPhone, hasta un modelo concreto, hiciera copias sin sobreescribir la anterior?  Si no podemos acreditar por falta de medios el contenido del teléfono móvil aprehendido, ¿cómo podrá el Perito defender que nunca se produjo ningún control remoto?¿Cómo podrá defender que no hubo ningún software Troyanizando el móvil? ¿Se puede troyanizar un iPhone? ¿Son realmente seguros 100%?

  1. Sobre los virus Troyanos.

Puede parecer un encuentro en la tercera fase citar un “¿podría ser un Troyano?” en Juicio. Muy recurrente, diría la Acusación. En este supuesto en el que sólo se han llevado a analizar el disco duro extraído del ordenador, podemos generar esa duda razonable incidiendo en el detalle de que hay software Troyano que queda almacenado en la memoria RAM, es decir, en la memoria de la carcasa del ordenador. Así, entonces, si sólo se han llevado el disco duro y se han olvidado la RAM, ¿cómo podemos afirmar que no está troyanizado y controlado de forma remota ese ordenador? ¿podemos?

  1. Sobre la cuenta de mail.

Nunca nadie se preguntó acerca de la posibilidad de solicitar el titular de la cuenta de #hotmail que compartió las imágenes en Twitter, ni siquiera se hizo petición alguna del titular ni de los registros de acceso a la misma, desde qué dirección IP y en qué fechas.

7. Sobre el supuesto autor de los hechos.

Si estamos hablando de un domicilio con 3 varones y una mujer, ¿cómo determinamos exactamente quién es el autor de los hechos que se imputan? ……

¿Con estos “podría ser” hubiéramos logrado desestabilizar el proceso? Podría ser. Es importante estar en “los detalles” y en la carencia de ellos para aprovechar esos “huecos” o “puertas abiertas” para lograr un legítimo Derecho de Defensa y el respeto por la Presunción de Inocencia.

Contenidos de referencia para estudio:

  1. Puertas traseras o Troyanos de Administración remota (backdoors)

es de estudio y profundización técnica:

http://recursostic.educacion.es/observatorio/web/es/equipamiento-tecnologico/seguridad-y-mantenimiento/263-luis-antonio-garcia-gisbert

  1. Hoy en día hay troyanos difícilmente detectables que son capaces de borrar su rastro en el dispositivo de la víctima tras haber realizado determinadas acciones sin que la víctima se percate de ello -> No se puede demostrar que no se haya usado un virus de este tipo en este caso

“El virus, que ha sido detectado por Bitdefender, pone en marcha una complicada serie de descargas e instalaciones y, tras robar datos de las cuentas bancarias de la víctima, borra su rastro. “

(Ver más en

http://www.techweek.es/seguridad/noticias/1010854004801/detecta-troyano-bancario-muy-dificil-rastrear.1.html )

3.Troyanos para controlar sistemas remotamente

“Es muy común encontrarnos con herramientas que permiten crear malware a cualquier usuario sin experiencia. Este es el caso de algunas aplicaciones que permiten, con un par de clics, generar “troyanos indetectables” para que cualquier usuario pueda infectar a otros y controlar su sistema remotamente.”

Ver  más en http://www.welivesecurity.com/la-es/2009/07/17/troyanos-control-remoto-de-sistemas/

4.Aumenta la actividad de los troyanos RAT indetectables alojados en la memoria RAM

http://www.redeszone.net/2016/04/23/aumenta-la-actividad-los-troyanos-rat-indetectables-alojados-la-memoria-ram

  1. “El grupo de piratas informáticos Evad3rs ha creado un programa que permite hackear el sistema de cualquier dispositivo de la compañía Apple, que funcione con los sistemas iOS 6 y 6.1, incluyendo iPhone5, iPad, iPad mini y iPod Touch “

Ver más en http://www.noticias24.com/tecnologia/noticia/16664/hackers-crean-un-programa-que-permite-tomar-control-de-todos-los-modelos-de-iphone-e-ipad/

 

6.Aplicaciones para tomar el control remoto de un Iphone desde un PC

“TUTORIAL: Como tomar control remoto y manejar tu iPhone/iPad desde tu PC (Windows) o Mac (OS X) “

(Ver más en http://www.movidaapple.com/blog/2013/02/14/tutorial-como-tomar-control-remoto-y-manejar-tu-iphoneipad-desde-tu-pc-windows-o-mac-os-x/  )