El misterioso caso de las manzanas podridas (V)

(Esta es una historia de ficción; los personajes y situaciones no son reales; lo único real es la parte tecnológica, que se basa en una mezcla de trabajos realizados, experiencias de otros compañeros e investigaciones llevadas a cabo.)

La entrada anterior (ver parte I, parte II, parte III y parte IV) había dejado la investigación en un punto clave: logramos acceder a la cuenta de iCloud de S.P.F, y ahora teníamos que ver si podíamos sacar algo de sus copias de seguridad (recordemos que el MacBook había sido sospechosamente reinstalado). La pantalla de entrada es algo similar a esta:

En función de lo que S.P.F. haya habilitado tanto en su iPhone como en su MacBook podremos recuperar más o menos información. Lo primero es verificar qué dispositivos están conectados a la cuenta de iCloud, por lo que accedemos a Settings -> Devices.

Un MacBook Pro, un iPhone 5, otro iPhone 5… ¡¿qué?! Ojipláticos comprobamos que al parecer tenemos un iPhone “extra” dentro de esta cuenta de iCloud. Vamos a obtener algo más de información pulsando sobre el dispositivo (la foto siguiente es un ejemplo de lo que aparecería).

Como podemos ver tenemos tanto la última fecha de copia de seguridad (en este caso, nunca), así como el número de serie y el IMEI (International Mobile System Equipment Identity), que nos van a servir para identificar de forma unívoca ese terminal esté donde esté.

El paso siguiente es obvio: vamos a ver dónde está ese terminal vía Find my iPhone. Solo nos muestra el primer teléfono de S.P.F, ni rastro de este segundo terminal. Si accedemos al resto de opciones de iCloud no encontramos nada digno de mención aparte de una copia de seguridad de miles de fotos (Instagram es lo que tiene).

Parece ser que ese teléfono se conectó a iCloud pero luego no se ha activado ninguna funcionalidad de copia de seguridad. Y si la funcionalidad de encontrarlo no está operativa lo único que se nos ocurre es que o bien el teléfono esté apagado o que ya no esté conectado a esa cuenta de iCloud (no lo podemos confirmar pero no creemos que un mismo terminal pueda estar conectado a dos cuentas de iCloud a la vez). La información del nuevo terminal es vital para la investigación, así que se la facilitamos a las FFCCSSE para que (siempre con orden judicial) soliciten los datos de llamadas y posicionamiento del terminal, mientras esperamos mordiéndonos las uñas y tomando más café del que deberíamos (es decir, mucho).

Los resultados nos aclaran algunas dudas y nos generan otras. Por si no lo sabéis, cuando se emite una orden de obtención de datos a partir de un IMEI, la operadora facilita los datos de la SIM que está conectada al mismo… y de otras SIM que hayan estado conectadas al terminal en el plazo temporal requerido en la orden.

El terminal ha tenido dos SIM conectadas, cada una con un patrón de uso diferente:

a) SIM1 (conectada hasta el día después de autos).

  • Titular: Abdul Alhazred.
  • Patrón de llamadas: Varias llamadas diarias al móvil X, casi no hay llamadas a otros números.
  • Patrón de localizaciones: Barrio de Chamberí, centro de Madrid, sede central de Armand & Old.

b) SIM2 (conectada a partir del día después de autos).

  • Titular: Vanessa Pérez Fuencarral.
  • Patrón de llamadas: Pocas llamadas a unos 20 números de teléfono.
  • Patrón de localizaciones: Barrio de Salamanca, centro de Madrid, colegio privado XXX.

Oro en lingotes como para hacerle una casita al perro. Cuesta poco obtener las siguientes conclusiones:

  • La SIM1, por su patrón de comportamiento, pertenece o bien a S.P.F. o a un señor árabe que está en todo momento junto a ella (y no creemos que sea tan amigo como para que lo dejen entrar en su casa y en su trabajo).
  • La SIM2 tiene como titular a V.P.F, que no es más que la hermana de S.P.F. Ella es un poco mayor para ir a un colegio privado, pero es muy posible que tenga hijas que sí que puedan hacerlo (¿y qué adolescente no querría un iPhone5?)

El terminal cambió de SIM1 a SIM2 el día después del asesinato. ¿Alguien se está deshaciendo de pruebas? Y sobre todo… ¿dónde está el móvil X? Una nueva orden judicial (con el juez ya un poco calentito al respecto) deshace el entuerto y nos da información sobre el terminal X:

c) SIM3 (conectada hasta el día de autos)

  • Titular: Eduardo Tobías Jiménez Mejido.
  • Patrón de llamadas: Varias llamadas a la SIM1, casi no hay llamadas a otros números.
  • Patrón de localizaciones: La Moraleja, centro de Madrid, sede central de Armand & Old.

Este último patrón de localizaciones concuerda a la perfección con el de R.G, pero con un añadido: A eso de las 00.00h el terminal sale de la casa de Chamberí, se desplaza hasta la casa de R.G. en La Moraleja, permanece allí como 20min, empieza a moverse hacia el centro de Madrid… y desaparece sin dejar más rastro en la operadora.

Las FFCCSSE lo tienen bastante claro: las SIM han sido adquiridas en algún locutorio (recordad que desde hace años no se puede obtener un nuevo número de teléfono sin que tenga unos datos personales asociados al mismo) y los terminales han sido comprados en el mismo lugar, o mediante efectivo para no dejar huellas. Los patrones de localización cuentan una historia bien fácil de leer, situando ese terminal en la escena del crimen y relacionándolo con S.P.F.

Las evidencias parecen bastante claras, pero dado lo mediático del caso las FFCCSSE quieren un caso sólido y sin ningún resquicio, por lo que vamos a tener que recuperar esos dos terminales. La resolución del caso, en la próxima entrega…

Comments

  1. http://luther says

    Joder… que buena la intriga.