El misterioso caso de las manzanas podridas (I)

(N.d.A. Debido al revuelo que se ha montado a colación del post de hoy, nos vemos en la necesidad de aclarar que esta es una historia de ficción en la que nos hemos tomado ciertas licencias para justificar la intervención de lo que podría ser un equipo de seguridad externo (cuya colaboración en ocasiones se produce, no obstante). Todos los personajes y situaciones que aparecen en este y otros post de ficción no son reales; lo único real es la parte tecnológica, que se basa en una mezcla de trabajos realizados, experiencias de otros compañeros e investigaciones llevadas a cabo.

En ningún caso se ha pretendido desmerecer la innegable labor de las FFCCSSE y el excelente trabajo que realizan día a día para proteger a los ciudadanos, tanto en el ámbito digital como en el físico. Asimismo, tampoco hemos querido poner en duda la preparación ni los medios de los expertos de seguridad de estos cuerpos, ya sea la Brigada de Investigación Tecnológica —BIT— o el Grupo de Delitos Telemáticos —GDT— de la Guardia Civil, con cuyos objetivos estamos totalmente alineados: ir a por los “malos”.)

Pocas cosas llaman tanto la atención como una buena dosis de morbo, con doble de sangre como acompañamiento y extra de drama. La noticia llevaba varios días en primera plana: Mª Adoración Puig de Parga Carral-Bryce, última descendiente de los Puig de Parga (una familia castellana poco conocida públicamente, pero poseedora de una considerable fortuna), había aparecido asesinada a cuchilladas en su chalet de La Moraleja.

Su marido, Ronald Green Hinojosa-Del Pinar, vicepresidente ejecutivo EMEA de Armand & Old, una conocida multinacional financiera, no se encontraba en casa en esos momentos (estaba al parecer en una importante reunión de trabajo), lo que ha hecho dispararse las teorías sobre el asesinato.

La que más ha calado, a bien seguro por su truculencia, es la que tiene al propio R.G. como responsable del crimen. Green es atractivo, inteligente, elegante y soberbiamente altivo, siempre con la barbilla ligeramente levantada y esa mirada de “soy mejor que tú, y lo sabes”. Maná caído del cielo para las tertulias de televisión y las redes sociales, que ya lo han apodado “El Mr. Grey español”.

Como era de esperar por la repercusión mediática, la investigación policial ha sido cuidadosa y metódica, habiendo trascendido al público los siguientes hechos:

  • R.G. salió de su chalet de La Moraleja a las 19.47h del día de autos, en su Mercedes CLK. Existen grabaciones del sistema de cámaras del chalet que corroboran su declaración.
  • R.G. se dirige a una reunión de trabajo, en la que está hasta las 02.00h. Coge su coche y regresa a su casa sobre las 02.15h.
  • R.G. entra en su casa y encuentra a su mujer en un charco de sangre en el suelo del despacho, y la caja fuerte abierta. Comprueba que no tiene pulso y llama a la policía.
  • Según la policía, el asesino entró en la casa desactivando de algún modo la alarma e intentó forzar la caja fuerte. A.P. debió despertarse y sorprendió al ladrón en el despacho. Se produjo un forcejeo y a causa del mismo A.P. recibió una puñalada en pecho, muriendo a causa de dicha herida. La hora de la muerte se establece poco después de medianoche.

La rumorología no tiene fin y sorprende a pocos: desde que la policía encontró a R.G. tomándose tranquilamente una copa de whisky sentado en el salón hasta que el ladrón había robado todas las joyas de la familia Puig de Parga.

Lo que sí que nos sorprende es que, pasados tres días desde el crimen, las FFCCSSE se pongan en contacto con nosotros para que les asistamos en el caso, ya que al parecer están en un callejón sin salida. Ellos nos aportan la siguiente información adicional:

  • La alarma de la casa no ha saltado ante el intruso (algo que no les sorprende porque saben que los delincuentes tienen formas de esquivar estas alarmas).
  • Existen grabaciones del sistema de cámaras tanto del chalet como de la propia urbanización que corroboran la hora de salida de R.G.
  • R.G. dejó el coche en zona azul en Chamberí a las 20.02h (se sabe por el ticket del parabrisas, y porque un controlador de estacionamiento le puso una multa registrada a las 20.45h).
  • R.G. posee los siguientes dispositivos electrónicos:
    • Teléfono móvil Samsung S5 (móvil de trabajo).
    • Teléfono móvil IPhone5 (móvil personal).
    • Ultrabook HP Spectre (portátil de trabajo).
    • GPS TomTom (dentro del coche).
  • Se ha obtenido una imagen forense del HP Spectre y del TomTom en formato dd con su hash SHA256 correspondiente.
  • Se facilita un volcado de sistema de ficheros del iPhone5 realizado mediante Cellebrite UFED.
  • Se ha realizado un volcado físico vía Cellebrite UFED del Samsung S5, con el código de acceso que también les ha dado R.G.
  • Se ha solicitado a la operadora (vía orden judicial) y obtenido un listado de todas las llamadas realizadas por R.G. en ambos teléfonos móviles, así como la localización por celdas de ambos terminales en el último mes. En la noche de autos ambos teléfonos están localizados primero en su casa, luego en el número 23 de una calle del barrio de Chamberí, y luego de vuelta en su casa. Las posiciones y horas registradas concuerdan con lo manifestado por R.G.
  • En su declaración, R.G. ha afirmado que estuvo en casa de Samantha Pérez Fuencarral, ejecutiva de grandes cuentas de Armand & Old hasta eso de las 02.00h. S.P.F. corrobora dicha afirmación, indicando que estuvieron solucionando un problema con uno de sus clientes más importantes.

Una metodología muy aplicada en cualquier investigación criminal es la del MMO: Medios, Motivos y Oportunidades. En primera instancia R.G. es un experto en finanzas y gestión, no teniendo los conocimientos suficientes como para desactivar alarmas y abrir cajas fuertes.

Tampoco parece ser que tuviera motivos suficientes: no hay ni un solo rumor de peleas en la pareja, y si bien la familia Puig de Parga tiene mucho dinero, el propio R.G. está en una posición más que acomodada. La oportunidad no parece posible ya que posee una coartada para el día de autos… y la investigación está ahora mismo en punto muerto.

Las FFCCSSE no han encontrado nada sospechoso en las imágenes forenses, así que nos piden que les demos una segunda opinión y que les aportemos una “visión tecnológica” al caso.

Afrontando el caso desde el punto de vista de la seguridad de las tecnologías implicadas se nos ocurren varias vías de investigación:

  • Inspeccionar las grabaciones de las cámaras de seguridad: Hoy en día la mayoría de los circuitos de cámaras de seguridad están basados en tecnología IP, con muchas cámaras empleando wifi como medio de comunicación y almacenamiento de imágenes en disco. En algunos casos, su seguridad deja mucho que desear, por lo que no sería descabellado pensar que alguien pudiera haber entrado en el sistema y manipulado las imágenes, afectando de esta forma a su integridad.
  • Revisar el sistema de alarmas: Averiguar cómo pudo el intruso esquivar la alarma es algo interesante. A día de hoy los sistemas de alarmas poseen multitud de tipos de sensores, y en muchos casos vuelven a depender de tecnologías inalámbricas (de nuevo wifi, o radio en muchos casos), con una seguridad desgraciadamente muy variable. Y tampoco tenemos que olvidar que al final es un problema de seguridad física, área en el que hay muchos expertos (cacos aparte).
  • Revisar el GPS: Todos los GPS modernos tienen o bien memoria integrada o bien una tarjeta de memoria SD. Y en informática forense, todo lo que tiene almacenamiento es susceptible de sufrir una imagen y de ser analizado al detalle. En este caso deberíamos de ser capaces de obtener información acerca de los viajes realizados, así como la posición GPS origen y destino del último viaje.
  • Revisar el iPhone5: Apple ha mejorado mucho la seguridad de sus dispositivos, haciendo cada vez más complicada la extracción de información para propósitos forenses. A día de hoy a un dispositivo con iOS 8 (los iPhone 6 por defecto y todos los iPhone4s y 5 que se hayan actualizado) solo podemos hacerle un volcado físico si cumple una de estas condiciones:
    • Tenemos el código de acceso.
    • El dispositivo tiene un jailbreak.

    Y eso teniendo en cuenta que sea un dispositivo de 32bits (el iPhone5s y los iPhone6 son de 64bits, por lo que por ahora naranjas de la china). En este caso podríamos hacer un volcado físico ya que R.G. les ha dado el código de acceso, pero la licencia de Elcomsoft iOS Forensic Toolkit son 1500€+. Dado que las FFCCSSE desgraciadamente no andan sobradas de medios (Corrección: las FFCCSSE sí tienen medios y esperamos contároslo muy pronto. No obstante, vamos a suponer para mantener la coherencia con el resto de esta historia de ficción que solo podemos obtener un volcado del sistema de ficheros.)

  • Revisar el Samsung S5: En Android obtener un volcado físico es ligeramente más sencillo. Si el dispositivo tiene la depuración USB habilitada no necesitamos nada más para la extracción. En caso contrario es necesario arrancar con un bootloader, un código que se inserta en la RAM y que permite interferir con el proceso de arranque (y de esta forma posibilitar el volcado físico). Estos bootloaders tienen que hacerse a medida para cada teléfono, con extremo cuidado para garantizar que no se altere la información de usuario.
  • Revisar el Ultrabook HP Spectre: Como todos los portátiles de última generación viene con un disco duro SSD, que como ya comentamos supone un cierto reto en su análisis forense debido a la forma en la que almacenan y borran información.

Comunicamos a las FCSE las dos primeras posibilidades para que vean qué información pueden obtener, y empezamos a hacer una copia de trabajo de las imágenes forenses para poder operar con ella sin problemas.

La investigación acaba de empezar. Más detalles, como siempre, en la próxima entrada.

Comments

  1. http://El%20Tio%20Tonet says

    Para cuadrar el caso:
    1)Lo de la multa al vehículo, muy oportuno. Es lo mas sospechoso de todo. Necesitaria el horario de la zona azul de chamberi, ya que este tio no es tonto, ¿como no paga la zona azul por 45 min?. Pues para que lo multen, y quede constancia de eso. ¿Tiene alguna otra multa en su vida de la zona azul? No creo.
    2) Necesito foto de la Samantha Pérez Fuencarral, a ver si es una mujer por la que un hombre mataria o no. (Ella esta en el Ajo para mi super claro).
    Recuerda a Sherlock Holmes…

  2. Muy buenas tardes, Tío Tonet

    1) El Sr. Green es una persona muy cuidadosa y calculadora, por lo que es poco probable que se olvidara de un detalle como ese. Por el otro lado, es el tipo de persona para la que una multa de tráfico no significa absolutamente nada…

    2) S.P.F. es una mujer estupenda, tanto como estupendo es R.G.H.D.P. (esto es ficción, pero estamos en el siglo XXI, el rollo mujeres fatales está ya pasado de moda).

    Un saludo,

    Antonio Sanz

  3. Hombre, hay una gran diferencia entre “tomarse unas licencias” al contar una historia y que ésta sea totalmente ficticia. No es lo mismo coger un teléfono de pruebas, jugar con él y montar toda una historia a su alrededor, que haber vivido una situación real y cambiarle los nombres a los protagonistas.

    Por otro lado, el objetivo de las FCSE está claro que es muy honorable y es ir a por los malos, pero el objetivo de una empresa privada es ganar dinero. No es nada malo que una empresa privada quiera ganar dinero, no me malinterpretes, pero ellos lo dejarán todo para ayudarte si lo necesitas, y una empresa privada… solo si tienes dinero para pagar, así que no creo que debáis compararos con la dedicación y altruismo que muestran cada día nuestras FCSE.

  4. http://Antonio%20Sanz says

    Muy buenas tardes,

    Al final yo creo que lo importante es el contenido tecnológico. La historia que se escribe termina siendo un hilo narrativo para hacer más amena la parte técnica. Pero para gustos hay colores :)

    Y obviamente, no nos ponemos al mismo nivel que las FCSE, pero creo necesario apuntar que las empresas están formadas de personas (son su principal activo, más si cabe en las tecnológicas). Y servidor, a título personal, ha colaborado siempre que ha podido con las FCSE. Sin cobrar un duro.

    Un saludo,

    Antonio Sanz

  5. No estoy de acuerdo, no tiene nada que ver un entorno de laboratorio, donde sabes de ante mano todo lo que vas a encontrar y como superarlo, que un entorno real, donde tienes que trabajar con lo que te encuentres. Hay una gran diferencia a nivel tecnológico y también a nivel “propagandístico” (que al final, un blog/twitter de una empresa privada no deja de ser un instrumento propagandístico que usa la empresa para conseguir buena imagen y como consecuencia ventas). Fijate que la historia que te has inventado podía haber sido que un amigo te pide que investigues el tema, o cualquier otra cosa, pero vosotros elegís a las FCSE, a importantes empresas del IBEX35, … A mi me parece todo propaganda pura y dura, lo lamento.

    En cuanto a lo que haces tú a nivel particular, es genial que los ciudadanos colaboremos con las FCSE de manera altruista siempre que podamos. Yo también lo hago, pero no estás escribiendo en un blog personal. Eso sería como decir que una empresa está alineada con los compromisos de una ONG concreta porque varios empleados están suscritos a ella a nivel particular. Me parecería una manera muy poco elegante de querer sacar provecho económico de la conciencia, altruismo y el esfuerzo a nivel personal de los empleados.

  6. http://Manuel%20Benet says

    Gracias por tu opinión, IMHO. La finalidad del blog va mucho más allá que el puro marketing que insinuas, pero en cualquier caso, ya sabes lo que se dice de las opiniones, y la tuya es tan respetable como cualquier otra, aunque no la comparto en absoluto como co-editor del blog.

    Creo que no aporta nada seguir discutiendo sobre el tema.

    Un saludo.

  7. Manuel, pues si no es la finalidad, mira dos artículos hacia atrás y dime porque publicáis un premio de la revista SIC cuando no se lo han dado al blog, sino a la empresa, y cuando no habéis publicado nunca a quien se lo han dado en el pasado. Propaganda pura. No es nada malo, todas las empresas del sector lo hacen, pero luego no van de hermanitas de la caridad como vosotros.

    Tienes razón, no aporta nada discutir sobre el tema. Tampoco tenía la esperanza de que me reconocierais nada.

    Un saludo.

  8. http://Manuel%20Benet says

    Como ya te he dicho, respeto tu opinión, pero no voy a continuar por este camino.

    Estás invitado a seguir leyendo el blog, pero si no quieres hacerlo, encontrarás miles de blogs igual o más interesantes que este en Internet.

  9. http://El%20Tio%20Tonet says

    Pues mira, yo quiero agradeceros, la seriedad de las publicaciones, la regularidad con que la que el contenido crece, pero sobre todo la información que a traves de este blog obtengo, y los bien organizado que está.

    La seguridad siempre es la hermana pobre en las organizaciones, porque solo se nota que hemos fallado, el trabajo bien hecho es el que no se ve, por eso es tan difícil de apreciar.

    Saqué mas información sobre metodos y herramientas, en la anterior serie de posts de Antonio Sanz que en 1o seminarios. Ademas, me apasiona el estilo narrativo que tiene.

    Os animo a que sigaís con esta tarea, en mi siempre encontrareís un lector ávido, de hecho uso muchos de vuestros posts para mi trabajo, un ejemplo: “La información que ocultan las fotos” de Jose Rosell, 20 de julio de 2011, no sólo lo he usado en cursos, sino con mis hijos, y os grantizo que es efectivo. Otro elemplo: “Deteccion de codigo malicioso con Yara(I)”, 20 de marzo de 2015, de Brian Sanchez, me aclaro montones de dudas sobre las reglas Yara, y me animo a usarlo.

    Son sólo dos ejemplos, pero podria poneros a montones.
    Por mi parte, sólo puedo daros mi más sincera enhorabuena.
    Gracias.