La importancia de un perito informático en casos de menores desaparecidos

perito-desaparecidos

EXO Security un equipo multidisciplinar compuesto por detectives, peritos informáticos y expertos en seguridad informática.

Desde que nació el proyecto de EXO Security en un principio para dar servicio a crímenes informáticos y posteriormente especializado en la búsqueda de personas desaparecidas he trabajado en 10 casos. Todos ellos llevados acabo por mi y el equipo de EXO Security de forma altruista. Con el objetivo de ayudar a la familia y mejorar el protocolo de actuación de localización de personas a través de las tecnologías de la comunicación con el cual estaba terminando en esos momentos y que ya hablamos con anterioridad.
El pasado 26 de enero de 2016 hablamos en CanalSur en la sección de Acosad@s? con el coordinador de Andalucía de la asociación de SOSdesaparecidos, Salvador director de seguridad y miembro de EXO Security, Juan Carlos detective colaborador de EXO y un servidor sobre como es de fundamental el uso de las tecnologías junto a la investigación tradicional de calle para localizar a personas desaparecidas. Puedes escucharlo en su totalidad en el blog de QuantiKa14.

Una linea de investigación no tradicional pero efectiva. Rastreo de una navegación de un menor para su localización.

Ya lo comenté el pasado 28 de septiembre de 2016 en la LegalHack Sevilla. La localización de un menor a través del rastreo de su navegación. La navegación de cada usuario es única, o al menos, única en un intervalo bastante grande. Permitiendo una probabilidad muy pequeña de coincidir con otra.
Al igual que una persona tiene una cara compuesta por nariz, ojos, cejas, boca, barbilla, orejas, etc. Navegando por la web un usuario tiene una IP, resolución de pantalla, user-agent, navegador, versión de navegador, sistema operativo, cookies, historial, uso de Flash/Java e incluso la Ip local de nuestra red. Todo esto construye nuestra cara que usamos cuando navegamos.
Si el menor navega de forma “segura” estará exponiendo menos información y será más difícil el rastreo, es evidente, no obstante el navegador web Firefox es muy conocido por su modo navegación privada en la que podemos configurar para que no comparta cookies, no guarde historial, etc. Sin embargo sigue siendo posible identificarlo. El idioma, la hora, los plugins instalados en el navegador, la resolución… siguen formando una cara lo suficientemente reconocible para un investigador.

Un secuestro parental y un final feliz gracias a un portátil del colegio.

Una historia que empezó como si fuera escrita por Raymond Chandler una amiga que me llamo a las 21:00 horas de un jueves gris y frio. Su llamada era para pedirme que ayudara a una prima lejana que había sufrido un secuestro de su hija por parte de su padre, sin ningún tipo de duda o sospecha de otra persona. Él tenia una orden de alejamiento con su ex-mujer. La hija menor tenia una custodia única con su madre y un régimen de visitas cada mes. Eso me explicó y el jueves (mismo día) tocaba verlas y aunque el padre no podría sin vigilancia o presencia de otra persona decidió ir al colegio de ella y llevársela, secuestrarlas.
Tras pasar un tiempo desde la hora que normalmente la menor solía llegar a casa para comer, la madre decidió ir al colegio. Allí varios amigos fueron testigos de ver como el padre se había personado allí y llevado de la mano a la menor. No conocían las intenciones del padre -aunque sus antecedentes nos daban una claridad – ya que, el teléfono lo tenia apagado y imposibilitando una comunicación para pedir explicaciones tanto nuestra como de la policía.
La denuncia se realizo al poco tiempo y rápidamente procedí a ir a la casa de la madre y entrevistarla. El objetivo era hacerle el Test Esperanza. ¿Qué es este Test? Es un simple test que nos daré dos resultados diferentes. La primera un indicador de la posibilidades de encontrar pruebas digitales. La segunda un informe que obtiene un time line de sus movimientos en Internet y de sus contacto cercanos. También entornos donde podría estar – tal como comenté en la primera edición de la Hack&Beers de Sevilla-, mapa de calor con posibles sitios y datos obtenidos a través de la tecnología de Big Data.
No fueron muy positivos lo informes, los resultados sobre la probabilidad de éxito era muy baja, pero tras ver repetidamente la negativa, una y otra vez, a las preguntas que le hacia a la madre sobre los dispositivos que la menor había utilizado. ¿Tiene móvil? No ¿Usa su móvil? No ¿Algún ordenador? Usa el del colegio… Se me ocurrió preguntar si llevaría el portátil. La menor no disponía de teléfono móvil pero si el portátil que los centros educativos dan en los colegios, al menos en Andalucía. Cuando la bombilla apareció encima mía aun parpadeaba por la dudas que me causaba tal idea. Sin embargo me pareció la linea de investigación más viable.
Conocía que la menor estaba con el padre por lo que también entreviste a la madre haciéndole algunas preguntas sobre él. La tabla de datos fueron algo parecido a lo que aparece abajo.
Nota del autor: los datos puestos en la tabla son un ejemplo.
MENOR PADRE Navegador y versión: Mozilla Firefox 49.0.1 Google Chrome Sistema operativo: Guadalinex Windows 7 Resolución de pantalla: 1024×748 1366×768 Horas intensas de navegación: 20:00 a 22:00 09:00 a 14:00 y 16:00 a 22:00 Cookies habilitadas Si Si Zona horaria España – Madrid España – Madrid Plugins
Tras tener la tabla de datos procedí a completarla con los gustos, foros, blogs y webs a las que solía frecuentar la menor o el padre. Para ello, usé aplicaciones de OSINT que me ayudaron a tener la suficiente información como para preparar una batería de anzuelos. El phishing no solo sirve para robar cuentas bancarias también para localizar a la menor desaparecida.
El plan:
La niña solía frecuentar Curiouscat, Instagram y “seriesfy”. Además tenia un blog que tardé poco en encontrar ya que, estaba puesto en su biografía de Twitter e Instagram. Mi plan consistía en dejar varios comentarios en su blog, redes sociales y foros a los que solía entrar. Comentarios muy llamativos en sitios de deporte por si al padre le daba por visitarlos. Y sin olvidarme del Whatsapp…
Pasaron los días la incertidumbre, el miedo a lo peor se apoderaba de nosotros. No recibía ninguna respuesta pero mientras tanto, se me ocurrió ir a una tienda de segunda mano a comprar un portátil parecido y entrevistar algún amigo de la menor. Me descargué el Guadalinex y lo monté en una maquina virtual. Sin embargo no me sirvió ya que, tras hablar con un centro de educación obligatoria me comentaron que usan un Guadalinex modificado, aunque no me concreto mucho.
Si bien pude ver los plugins que venían por defecto en Firefox. Lo siguiente que hice fue crear un archivo que al visitar los enlaces en los comentarios recogiera toda la información de la tabla y comprobara que plugins tiene instalado en el navegador, IP, User-Agent, dimensión de la pantalla.

“Seriesfy” no existía. Pero me ayudo mucho.

Ella tenia una cuenta en una red social que usaba para hablar, opinar y compartir enlaces sobre las series y películas que veía. Decenas de comentarios se desplegaban y cada vez más. Cada vez que bajabas el scroll de la web, encontraba comentarios de todo tipo, muchos para poder visualizar el enlace porque era un requisito obligatorio, pero ella vio uno nuevo, arriba, el primero que le llamo la atención:
“Muchas gracias por los enlaces de la nueva temporada pero apenas se ven bien muchos de los capítulos[..] y deberías echar un vistazo a mis enlaces que están en HD…”
Al pinchar, una web de series apareció en su pantalla, exponiendo varios enlaces y un mar de publicidad. Durante el transcurso desde que pincho hasta que visualizo accedió a otra web controlada capturando así esos datos que arriba comentábamos. Para ella apenas perceptible y difícilmente detectable. El enlace estaba dirigido a un redireccionador que enmascaraba nuestra web y luego esta misma lo redireccionaba a la última donde estaban los enlaces.
Recibí decenas, cientos de peticiones por minuto, complicado de gestionar, de usuarios que entraban. No obstante ninguno parecía coincidir con el de la menor hasta que el sábado por la noche, filtré de nuevo buscando la misma resolución, navegador, plugins, idioma, etc que la de nuestra menor y por fin apareció algo que parecía ser ella.
FIN.

 

Add a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *