certificando bulos con los c**** · imágenes tomadas de pixabay . salvador gamero 1 contenido ......
TRANSCRIPT
2020
Salvador Gamero
Detcon2020
21-4-2020
Certificando bulos con los c****
Imágenes tomadas de Pixabay
SALVADOR GAMERO 1
Contenido Sobre el autor ................................................................................................................................ 2
1. Teoría .................................................................................................................................... 3
1.1. Introducción ...................................................................................................... 3
1.2. Peritaje informático VS investigación OSINT..................................................... 4
1.3. El informe .......................................................................................................... 4
1.4. Certificados ........................................................................................................ 5
1.1.1. Tipos ............................................................................................................ 6
2. Práctica .................................................................................................................................. 6
2.1. Verificar un certificado digital ........................................................................... 6
1.1.2. Verificación con AUTOFIRM@ ..................................................................... 7
2.2. Confirmación con web VALIDe ........................................................................ 11
2.3. Certificadoras .................................................................................................. 17
2.4. SaveTheProof .................................................................................................. 17
2.5. Certificar fichero .............................................................................................. 20
2.6. Certificar Web ................................................................................................. 23
2.7. Certificar lote ................................................................................................... 25
2.8. Certificar Navegación ...................................................................................... 26
1.1.3. Youtube ..................................................................................................... 28
1.1.4. Certificar correo electrónico ..................................................................... 29
1.1.5. Certificar Facebook.................................................................................... 30
1.1.6. Certificar Twitter ....................................................................................... 31
1.1.7. Certificar Instagram ................................................................................... 32
1.1.8. Certificar Whatsapp Web .......................................................................... 32
1.1.9. Certificar Telegram .................................................................................... 33
1.1.10. Certificar ZOOM ...................................................................................... 35
3. Datos de contacto ............................................................................................................... 37
Para seguir los pasos de este tutorial puede usar los archivos y certificados disponibles en el
siguiente enlace https://1drv.ms/u/s!AlPd6RAFOMf2lIIS9_adj9drE81zbA?e=U9B0yH
La contraseña para acceder a la carpeta es la palabra: segura
SALVADOR GAMERO 2
Sobre el autor
Tutorial realizado por Salvador Gamero Casado, detective
privado con número de habilitación del ministerio de
interior 4570, titular del despacho Detectivia SL con
Licencia 4573. Miembro de APTAN (Asociación de peritos
tecnológicos de Andalucía) con acreditación profesional
número 122, Perito Judicial en Seguridad Privada por
Universidad Pablo de Olavide, Máster en Dirección y
Gestión en Ciberseguridad por Universidad Antonio
Nebrija y Técnico Superior en desarrollo de aplicaciones
multiplataforma, Director de Seguridad y Jefe Seguridad con habilitación
expedida por Ministerio de Interior con números 11.998 y 4.645. Co-
organizador del congreso OSINTCity.
Datos de contacto:
▪ Teléfono y WhatsApp 670826094
▪ Correo electrónico: [email protected] e [email protected]
▪ www.detectivia.com, www.malmetiendo.com y www.gamero.es.
Ponencias relacionadas con detectives:
SecAdmin (ediciones 2016, 2017 y 2018) World Summit Detective 2018
(ANADPE), Sicur 2018 (APDPE), OSINTCity 2019, Centro Nacional de
Desaparecidos (APDPE), Congreso APDPE 2019, Detcamp 2019, OSINTCity
2020, Detcon 2020.
SALVADOR GAMERO 3
1. Teoría
1.1. Introducción
Ponentes, profesores, columnistas, presentadores o simplemente amigos nos dan sus
consejos y comparten conocimientos en estos días de confinamiento. Se diferencian, al menos,
dos tipos de personas, cuando de compartir conocimientos se trata, los que hablan de lo que
saben y los que hablan de lo que hacen.
Es fácil diferenciarlos, los que hablan de lo que hacen transmiten pasión y te hablan
desde el interior. Los que hablan de los que saben, normalmente saben transmitir la
información. La exposición nos llega bien estructurada, lista para su asimilación. En ambos
casos, es posible que al final, simplemente, nos estén vendiendo un producto. Quizás, el
producto, sea el propio ponente, o que esté alimentado un ego irrefrenable. Por lo tanto, es
hasta probable, que os esté dando esta chapa para venderos mi producto o para venderos mi
marca personal.
Supongo que estarás pensando: “este tío se está destruyendo la charla el solo” pero mi
intención hoy es despertar el espíritu crítico en lo referente a la información que nos llega. Y
debemos hacerlo desde la base, desde el planteamiento de “porque TÚ me estás viendo a MI”.
El otro día pude leer que JL Ibañez en la presentación de su libro dijo la siguiente frase: “si tu
madre te dice que te quiere, busca una segunda opinión”.
Me gustaría hablaros de lo que hago, como muchos sabéis hago OSINT, inteligencia de
fuentes abiertas. Existen muchos tipos de inteligencia, mis investigaciones (que son las
vuestras, ya que hago muchas colaboraciones) suelen ir suelen ir encaminadas a demostrar
hechos o localizar datos, más que a concluir para un “decisor”. No soy analista de inteligencia,
soy detective privado. Otra aplicación que le doy a OSINT, comercialmente, son los estudios
reputacionales o perfilados de personas y entidades.
Dentro de este tipo de trabajos podemos encontrar las Auditoria de Seguridad OSINT,
donde se emula la fase fingerprinting que realizan los pentester en las auditorías de seguridad
informática. En este caso la búsqueda de información va buscando vulnerabilidades, es decir,
esas cositas que se pueden utilizar para preparar un ataque. Y los ataques son, en muchos
casos reputacionales.
SALVADOR GAMERO 4
1.2. Peritaje informático VS investigación OSINT La diferencia fundamental entre un peritaje informático forense y un informe de
investigación es que peritaje tiene que poder ser reproducible (repetible), se debe poder
volver a hacer todos los pasos y llegar al mismo resultado con el que el perito concluye. Sin
embargo, el detective plasma lo que ha visto, y no tiene por qué ser repetible dicho proceso.
Por lo tanto, si en el momento de acceder a esa información, que probablemente en el
momento del juicio ya no esté publicada, “recoge” esas muestras con garantías, dicho acto
facilitará la comprensión del informe. ¿Valdría una captura de pantalla para apoyar la
testifical? Pues igual que valdría una fotografía en lugar de un vídeo, ya que un contenido en
web es sumamente fácil de modificar. ¿Y si no tengo nada? pues solo aporto la testifical.
Estamos hablando de un informe de investigación que probablemente se aporte en un proceso
judicial y que puede ser fundamental tanto en sala, como en la negociación previa si la
hubiera. Cuantas más garantías y dudas disipen, cuantas menos herramientas tenga la otra
parte en litigio para intentar tachar o invalidar el informe, mejor será.
1.3. El informe
Cómo dice el artículo 37.2.a Confeccionar los informes de investigación relativos a los
asuntos que tuvieren encargados. La información que se utiliza en estos informes es de fuentes
abiertas, está accesible, pero esto no significa que sea información pública. Es, únicamente,
información publicada. En el uso de esta información debe estar amparada por la legitimidad
del encargo.
Cualquier acceso a información debe ser proporcional, idónea y necesaria. Esto debe
quedar plasmado en el informe para cada tecnología utilizada. Como a la hora de realizar el
informe se desconoce los conocimientos previos del posible lector, se debe realizar el mismo
de la manera más didáctica posible.
SALVADOR GAMERO 5
1.4. Certificados Un informe de investigación judicialmente viene a ser una testifical por escrito. No es
un peritaje forense informático, aunque se presentan pruebas que pueden llegar en formato
digital. Por ello, cualquier medida que incremente la comprensión y fiabilidad del informe, será
agradecida por los receptores del mismo, debido a la desconfianza que sobre los medios
digitales se ha generado desde la implantación de los mismos. Al igual que en un seguimiento
sería válido el testimonio del detective, no obstante, se agradece la aportación de un vídeo
como material anexo y de unos fotogramas estratégicos, por economía procesal.
Por lo tanto, cabe preguntarse, ¿Cuál es “la cosa” que garantiza que una información
está publicada en cierto sitio de internet en un momento concreto?
La respuesta la tenemos en el REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO
EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los
servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se
deroga la Directiva 1999/93/CE que puede consultar en
https://www.boe.es/doue/2014/257/L00073-00114.pdf conocido como el reglamento eIDAS.
Como es algo denso de leer disponemos del documento
preguntas_frecuentes_reglamento_eidas.pdf que podemos descargar de
https://administracionelectronica.gob.es/dam/jcr:c0c76b68-daa8-469f-8885-
164357d78815/Preguntas_frecuentes_Reglamento_eIDAS.pdf
SALVADOR GAMERO 6
Entre otros dos conceptos establece:
c) el marco jurídico para las firmas electrónicas, los sellos
electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos,
los servicios de entrega electrónica certificada y los servicios de certificados
para la autenticación de sitios web.
Se regulan tres conceptos: los certificados, las entidades certificadoras, las forma de
comprobar una certificación.
1.1.1. Tipos Los tipos de certificados según el Reglamento eIDAS son:
• Certificado de firma: orientado a la firma de personas físicas. La firma implica la garantía de origen e integridad de los datos firmados, así como la conformidad/consentimiento con dichos datos y obligación legal respecto al contenido. Es equivalente al certificado de firma de persona física de la ley 59/2003.
• Certificado de sello: orientado al sello de personas jurídicas. Es parcialmente similar al certificado de persona jurídica de la Ley 59/2003, con las diferencias:
o No llevan una persona custodio/responsable del certificado.
o Se orienta al sello (garantía de origen e integridad de los datos).
o Además de autenticar el documento expedido por la persona jurídica, los sellos electrónicos pueden utilizarse para autenticar cualquier activo digital de la persona jurídica, por ejemplo, programas informáticos o servidores (Considerando 65 del Reglamento eIDAS)
o Cuando una transacción exija un sello electrónico cualificado de una persona jurídica, debe ser igualmente aceptable una firma electrónica cualificada del representante autorizado de la persona jurídica. (Considerando 58 del Reglamento eIDAS). No a la inversa.
• Certificado de autenticación web. Orientado a vincular el sitio web con la persona física o jurídica titular del certificado.
• Certificado no cualificado. Puede estar orientado tanto a personas físicas, como jurídicas, componentes, SSL. Para persona física no se contempla su uso ya que no está recogido en la legislación vigente (Ley 39/2015), al no aportar las mismas garantías que los certificados cualificados, como por ejemplo estar sometidos a una supervisión más ligera, los requisitos de verificación de la identidad de la persona a quien se expide el certificado, o proporcionar el estado de validez o revocación de forma automatizada, fiable, gratuita y eficiente. etc.
2. Práctica
2.1. Verificar un certificado digital El primer tipo de certificado que vamos a verificar es el de una firma digital. El
certificado será útil en la medida que podamos diferenciar los verdaderos de los falsos. En la
carpeta compartida tenéis dos documentos uno con una firma digital y otro con un
“Copia/Pega” de una firma digital. El primero se llama “DOCUMENTO CERTIFICADO
BUENO.pdf” y el segundo “DOCUMENTO CERTIFICADO TRUCHO.pdf”.
SALVADOR GAMERO 8
procedemos a verificar ambos con la aplicación AUTOFIRMA.
La aplicación se puede descargar desde:
https://firmaelectronica.gob.es/Home/Descargas.html
Esta aplicación nos permite firmar un documento, siempre que tengamos las firmas
instaladas en el ordenador y ver las firmas de documentos recibidos.
SALVADOR GAMERO 10
Se repite la operación, pero seleccionando el archivo trucho
SALVADOR GAMERO 11
2.2. Confirmación con web VALIDe También se pueden verificar los certificados, sin necesidad de tener ningún software
instalado con el servicio web VALIDe.
Para ellos entramos en la web: https://valide.redsara.es/valide/?
SALVADOR GAMERO 12
Se hace clic en Validar Firma y seleccionamos el archivo bueno
Podríamos visualizar el detalle del certificado
SALVADOR GAMERO 13
E incluso descargar un justificante… o no
Tras esperar 15 minutitos
SALVADOR GAMERO 14
SALVADOR GAMERO 15
Que pasará cuando seleccionamos el archivo trucho:
SALVADOR GAMERO 16
¿Y si descargamos el justificante?
Ojo que nos pueden intentar colar un justificante no válido.
SALVADOR GAMERO 17
2.3. Certificadoras Tenemos muchas empresas que nos pueden hacer un certificado digital de una web o
de un fichero. Entre otras podemos encontrar:
Enlace donde habla de ellas: https://www.innovaciondespachos.com/software-de-
evidencias-digitales-para-despachos-profesionales/
2.4. SaveTheProof Registro: Vamos al web https://www.savetheproof.com/ y pulsamos en iniciar sesión
Pulsamos en crear cuenta
SALVADOR GAMERO 18
Ponemos el email y confirmamos que no somos un robot. Tenga en cuenta que ese
email aparecerá visible en los certificados, es preferible que sea un email corporativo y no uno
de uso personal. Si usted es un robot debe mentir en este punto para poder continuar. Nos
envían un email para confirmar la solicitud
Comprobamos la bandeja de entrada del correo electrónico y confirmamos la cuenta
SALVADOR GAMERO 19
rER
Rellena los datos IMPORTANTE PONER EL CÓDIGO DETCON2020
SALVADOR GAMERO 20
Ya podemos acceder con nuestro usuario y contraseña. Nos indica de que estamos en
modo formación y que podemos hacer certificados de prueba sin coste alguno.
2.5. Certificar fichero Pulsamos la opción fichero y le damos a continuar
SALVADOR GAMERO 21
Pulsamos en el botón certificar ahora, en la siguiente pantalla en Browser y subimos
un subimos un fichero y pulsamos en el botón Certificar Fichero
Se nos abrirá directamente el área “Mis Certificados”
Donde podemos ver el fichero certificado y pulsando el botón +, podemos poner notas
como el número de expediente. Después buscaremos por el expediente y nos aparecen los
certificados de ese asunto. En la parte derecha podemos descargar el archivo del certificado.
SALVADOR GAMERO 22
Al descargarlo tendremos un archivo comprimido ZIP y dentro tendrá dos archivos en
formato PDF, el que hemos certificado y la certificación propiamente dicha al abrirlo con
adobe acrobat reader vemos lo siguiente
En algunos tipos de archivos, como los de imagen es posible consultar desde el propio
certificado el archivo al entrar en adjunto. Este documento incluye un hash y un enlace al
verificador de savetheproof, lógicamente también lo podemos verificar con AUTOFIRM@.
SALVADOR GAMERO 23
2.6. Certificar Web Volvemos a la pantalla principal pulsando en el icono de la cámara de arriba a la
izquierda.
Pulsamos Sitio Web y Continuar. Tenemos dos opciones, vamos a empezar certificando
una web concreta, pulsamos en la opción de la derecha, Página web y continuar
Ponemos la dirección a certificar, se puede usar copiar y pegar
SALVADOR GAMERO 24
Esperamos que se haga la captura y comprobamos que ha estado bien, certificará todo
lo que hay en esa página hasta el final. Si necesitamos hacer un clic en un punto concreto o
usar una barra de desplazamiento (scroll) tenemos opciones. Si todo está correcto pulsamos
en Si. La captura es correcta
Nos avisará del importe y pulsaremos en certificar ahora y en la próxima ventana en
certificar url.
SALVADOR GAMERO 25
2.7. Certificar lote De este modo podemos certificar hasta 25 URL’s de una sola vez y así poder entregarla
en un solo PDF junto al informe, esta funcionalidad solo está disponible para los clientes con
tarifa plana.
En este ejemplo vamos a certificar, en un solo paso las siguientes url:
https://www.collegidetectius.org/
http://www.codega.es/
http://www.colegiodetectives.com/
https://www.apdpe.es/
https://adaes.es/
https://www.anadpe.org/
http://mujeresdetectives.es/
https://detcamp.com/
https://www.osintcity.com/
La asociación canaria no tiene web. Disculpas la que me haya dejado atrás.
SALVADOR GAMERO 26
Disponemos de un PDF que reúne todos los certificados y también los certificados de manera
individual con los metadatos correspondientes
2.8. Certificar Navegación De este modo podemos certificar vídeos y contenido dentro de sitios con registro
como el email, redes sociales o servicios web de mensajería.
Volvemos al principio y picamos en Sitio WEB, Botón Continuar Sesión de navegación
web y botón de Continuar
SALVADOR GAMERO 27
Certificar ahora, como estamos en modo formación es gratuíto
Ahora vamos a abrir una máquina virtual, que no es más que acceder en remoto a otro
ordenador que manejamos nosotros, es importante permitir el acceso al portapapeles para
poder hacer “Copy/Paste” de las url que suelen ser muy largas y confusas
SALVADOR GAMERO 28
Ya nos están haciendo una máquina virtual para nosotros, tendremos 15 minutos en
esta sesión para certificar contenido. Al final tendremos un pdf con las capturas y un video con
todo el proceso
1.1.3. Youtube Podemos copiar la url de un video de youtube o buscarlo en la navega
SALVADOR GAMERO 32
1.1.7. Certificar Instagram
1.1.8. Certificar Whatsapp Web Cómo es lógico el contenido de la pantalla es un fake, para demostrar que una
certificación no conlleva a certificar la certeza del contenido, simplemente certificar que ese
contenido se encuentra disponible, en este caso en un dispositivo en una fecha y hora
determinada:
SALVADOR GAMERO 34
SALVADOR GAMERO 36
SALVADOR GAMERO 37
3. Datos de contacto ▪ Salvador Gamero
▪ Correo electrónico
▪ Teléfono
o +34 670826094
▪ Blog:
o https://www.detectivia.com/blog/
▪ Webs:
o www.detectivia.com
o www.gamero.es
o www.malmetiendo.com
▪ LinkedIn:
o https://www.linkedin.com/in/salvagamero/
▪ Twitter:
o https://twitter.com/detectivia
o https://twitter.com/salvagamero
o https://www.instagram.com/detectivia
▪ Entrada en blog de la ponencia:
o https://www.detectivia.com/2020/04/detcon2020/
o Contraseña: segura