delitos informÁticos actuaciones forenses: prevención ... · delitos informÁticos actuaciones...
TRANSCRIPT
UOPJ NAVARRA
DELITOS INFORMÁTICOS Actuaciones forenses: prevención,
detección y persecución del ciberdelito
Capitán Jefe Unidad Orgánica de Policía Judicial de Navarra
17 de septiembre de 2013
Pamplona
UOPJ NAVARRA
• PRESENTACIÓN DE LA ORGANIZACIÓN GC.
• CONCEPTO DELITOS INFORMÁTICOS.
• DELITOS MÁS INFORMÁTICOS MÁS FRECUENTES
• INVESTIGACIÓN DE LOS DELITOS INFORMÁTICOS
• MEDIOS DE PRUEBA
• PREGUNTAS
DELITOS INFORMÁTICOS
UOPJ NAVARRA
PRESENTACIÓN DE LA ORGANIZACIÓN DE LA GC
UOPJ NAVARRA
UOPJ NAVARRA
GRUPO DELITOS TELEMÁTICOS
U.O.P.J.
JEFATURA DE POLICÍA JUDICIAL
SECRIM UNIDAD CENTRAL OPERATIVA
UTPJ
DEPARTAMENTO DE ELECTRÓNICA E INFORMÁTICA
EDOA
PATRIMONIO
PERSONAS
LABORATORIO
EDITE
LA GUARDIA CIVIL
UOPJ NAVARRA
• PERSONAL ESPECIALIZADO
• ASISTENCIA A CURSOS DE FORMACIÓN.
• ESPECIAL IMPORTANCIA ENSEÑANZA PERFECCIONAMIENTO
• RELACIÓN CON ORGANISMOS E INSTITUCIONES
• RELACIÓN CON FISCALÍA
LA GUARDIA CIVIL
UOPJ NAVARRA
CONCEPTO DE DELITO INFORMÁTICOS
UOPJ NAVARRA
Convenio de Ciberdelincuencia del Consejo de Europa, “actos dirigidos contra:
• La confidencialidad • La integridad • La disponibilidad • Sistemas informáticos • Redes • Datos informáticos
así como el abuso de • Sistemas • Redes • Datos”.
UOPJ NAVARRA
DELITOS INFORMÁTICOS MÁS FRECUENTES
UOPJ NAVARRA
Intrusos informáticos
Piratas informáticos
Espías
Relacionados con el Contenido
Hacker
Cracker
Phreaker
Phiser
Provocar daños
Fraude Telefónico
Fraude Bancario
Reto intelectual
Propiedad Intelectual
Propiedad Industrial
Económica
Económica
Secretos de empresa
Secretos relativos a la Seguridad Nacional
Económica / Competencia Empresarial
Seguridad Nacional e Internacional
Contenido xenófobo
Pornografía infantil
Proxenetismo
Racismo/xenofobia Adicción
Económica
MOTIVACIÓN ÁMBITO DE ACTUACIÓN TIPOLOGÍA
UOPJ NAVARRA
FRAUDES EN EL COMERCIO ELECTRÓNICO.
• B2C • C2B • C2C
TIMOS EN LA RED.
FRAUDE EN BANCA ELECTRÓNICA
• PHISHING • EVOLUCIÓN • VARIANTES
PORNOGRAFÍA INFANTIL ROBOS DE INFORMACIÓN EMPRESARIAL SABOTAJES EMPRESARIALES REDES SOCIALES Y WHATSAPP
DELITOS MAS FRECUENTES
UOPJ NAVARRA
•No recepción del objeto de la compra o recepción de producto no contratado o de inferiores condiciones. (mínima incidencia) – MUCHA CIFRA NEGRA
•Ausencia de regulación y contratos. Indefensión del comprador.
•Comercios ilegales (farmacias sin licencia, Admón. loterías,…)
•Oficinas de atención al consumidor.
usuario
COMERCIO B2C
UOPJ NAVARRA
•Pago mediante tarjetas de crédito fraudulentas (SKIMMING / CARDING)
•Doble perjuicio: Comercio y titular legítimo de tarjeta
•Ausencia de protocolo de autenticación (num. tarjeta y f. caducidad) (Comercio seguro CVV2)
•Sistema de comprobación de compras fraudulentas lento (hasta verificación de gastos por el titular de la tarjeta).
usuario
COMERCIO C2B
UOPJ NAVARRA
• No verificación de entregas por empresas de transportes.
• Compras incrementales (límite tarjeta)
• Utilización mayoritaria de tarjetas entidades extranjeras
• Progresiva profesionalización (bandas organizadas)
• Utilización de filiaciones extranjeros
• Puntos de entrega “comprometidos”
• Fraude de los “honorarios adelantados”.
• ¿SOLUCIONES? ¿CVV2? ¿SMS?
COMERCIO C2B
UOPJ NAVARRA
• 95% fraude
• Exceso de confianza de compradores
• Fluida comunicación para generar confianza
• Bidireccional
• Manipulación portales subastas (credibilidad)
NO ENTREGA PRODUCTO
COMERCIO C2C
UOPJ NAVARRA
Estrategias de generación de engaño muy diseñadas:
• Entidades intermedias SCROLL
• Empresas de transporte y mensajería
• Robo de información de productos (coches, casas, …)
• Suplantación de identidades (personales y de empresa)
• Selección de escenarios de clientes
•Top 5: informática, robots, vehículos, casas, telefonía, turismo
• Operativa internacional liderada por bandas nigerianas y rumanas.
COMERCIO C2C
UOPJ NAVARRA
Exportación del timo a la Red
• Nigerianos (Fortunas sin herederos)
• Premios de Loterías internacionales
• Inversión de fortunas (Al Queda)
• Solidaridad humana, filantropía (Tsunami, Muerte de S.S. el Papa, Katherina)
• Mascotas
• Incitación al uso de Servicios de Valor Añadido (tarificación adicional)
OTROS TIMOS
UOPJ NAVARRA
UOPJ NAVARRA
ingenio y … 3
2
1
UOPJ NAVARRA
Buenos dias! Nuestra compania “Hubmann, Frank & Co” fundada en Zurich, Switzerland. Actualmente la compañía goza de una reputacion irreprochable, tiene los recursos corporativos considerables, el imagen atrayente, el coeficiente alto de la actividad de negocios. La caracterizan como estable en el mercado de los servicios de negocios. Nuestra compania colabora con muchos paises dominantes lo que implica la aumentacion de la cantidad de personal exterior. Nos da placer proponerle a Ud. la vacancia del agente financiero internacional dentro del area nacional de Espana. Va a ganar 700-1500 euros por semana. El horario de trabajo es flexible (Usted necesitara gastar para promedio 3 horas por dia, desde el viernes hasta el lunes), lo que le permite continuar su actual trabajo. Exigencias principales: - poseer el ordenador, Internet, e-mail, telefono de contacto; - poseer la cuenta bancaria en Espana. Por favor pongase en contacto conmigo en: [email protected] para los detalles. Le agradecimos a Ud. por la atencion a nuestra proposicion, Hubmann, Frank & Co., LLP
UOPJ NAVARRA
UOPJ NAVARRA
ROBO DE INFORMACIÓN DE EMPRESA (espionaje industrial):
• Información financiera • Políticas de personal (ERE,s) • Planes de seguridad • Cartera de clientes • Estrategias comerciales • Desarrollos de software (titularidad empresas) • Productos investigación
Exempleados, empleados desleales, hackers
ROBO DE INFORMACIÓN PERSONAL • Conflictos de pareja
ROBOS DE INFORMACIÓN
UOPJ NAVARRA
• Bombas lógicas •Borrado de información •Consumo de recursos (servidores comprometidos) •Defacement •Blackmail •DoS y DDoS •BOTNETS
Exempleados, empleados desleales, Desarrolladores de software, hackers, bandas organizadas
DAÑOS EN SISTEMAS DE INFO
UOPJ NAVARRA Pág. 24
Aprovechamiento vulnerabilidades sistemas Vulnerabilidades en navegadores y sus plugins Vulnerabilidades en otros clientes (Acrobat, Winamp, Office,
Quicktime, Flash, …) Deficiencias de configuración
Adjuntos de correo Visitas webs infectadas Descargas maliciosas
P2P Freeware, cracks, logos,…
MÉTODOS DE INFECCIÓN
UOPJ NAVARRA
• Robar mi información (intimidad, bancaria) • Recibir o participar en un DDoS • Hacer que mis máquinas alojen malware,
phishing o pornografía infantil • Utilizar mis máquinas para cometer otros
delitos (ej: fraude) • Hacer que infecte a mis visitantes web • Posicionar +/-webs fraudulentas SEO (search
engine optimization ) “spamdexing”
• Utilizar mis máquinas para enviar SPAM • Daños en mi sistema infromático • Click fraud …
LAS BONNETS
UOPJ NAVARRA
La utilización no violenta de herramientas digitales ilegales o legalmente ambiguas persiguiendo fines políticos o reivindicativos • Consecuencias: – desfiguraciones de webs – redirecciones – ataques de denegación de servicio – robo de información…
¿Cuáles son los Hackivistas mas famosos?
• Wikileaks • Anonymous • LulzSec
EL HACKIVISMO
UOPJ NAVARRA
COMPORTAMIENTOS DELICTIVOS EN REDES SOCIALES
• Robo de Identidad • Fraudes – Timos – Estafas • Injurias y Amenazas • Acoso sexual de menores • Conductas Reprobables
INVESTIGACION
• Obtención de Datos • Entrega de Información
PROBLEMÁTICA ACTUAL
UOPJ NAVARRA
INVESTIGACIÓN DE LOS DELITOS INFORMÁTICOS
UOPJ NAVARRA
Evolución del fenómeno criminal Dificultades en la investigación
-Complejidad técnica para la determinación de hechos y de las personas responsables. -Dispersión territorial en la ejecución de la conducta ilícita y en la proyección de sus efectos.
Necesidad adaptación ordenamientos jurídicos
- Norma penal sustantiva: Tipificación de nuevas conductas y/o adaptación de tipos penales vigentes. - Norma procesal: articulación mecanismos adecuados para la investigación tecnológica.- prueba electrónica - Protección derechos de los ciudadanos
DIFICULTADES
UOPJ NAVARRA
DESDE EL PUNTO DE VISTA DE LA VÍCTIMA:
- TIEMPO JUEGA A NUESTRO FAVOR - QUÉ ES Y QUÉ NO ES UN DELITO INFORMATICO - PARECIDO A UNA INSPECCIÓN OCULAR TRADICIONAL - EL HASH - RELACIÓN CON FISCALÍA - INVESTIGACIÓN OPERATIVA SIMILAR AL RESTO - COLABORACIÓN INTERNACIONAL
- EUROPOL - UTPJ
ASPECTOS BÁSICOS
UOPJ NAVARRA
FASE INICIAL. Denuncia – Fundamental que la recoja personal especializado Muy importante FASE DE INVESTIGACIÓN.
. Presencia en la red.“Posteos” en webs y foros
. Programas rastreadores
. Copia de contenidos dinámicos
. Intervención teléfono o correo electrónico
. Contactos email
. Contactos Mensajería instantánea
. Búsquedas selectivas en programas P2P
. Trabajo sobre los DATOS DE TRÁFICO, en especial IP,s. NO HAY INVESTIGACIÓN TECNOLÓGICA POSIBLE SIN DATOS DE TRÁFICO
LA INVESTIGACIÓN
UOPJ NAVARRA
NO HAY INVESTIGACIÓN TECNOLÓGICA POSIBLE SIN DATOS DE TRÁFICO
“Datos de tráfico” son los relativos a una comunicación por medio de un sistema informático y generados como elemento de la cadena de comunicación que indican el
ORIGEN DESTINO RUTA HORA FECHA TAMAÑO DURACIÓN DE LA COMUNICACIÓN
NO HAY INVESTIGACIÓN TECNOLÓGICA POSIBLE SIN DATOS DE TRÁFICO ¿ DONDE ESTAN ESOS DATOS?
SERVIDORES DE LOS ISP(Logs) CABECERAS TÉCNICAS DE CORREOS-E REGISTRO DE ACTIVIDAD DE LOS PROGRAMAS
UOPJ NAVARRA
FASE DE INCRIMINACIÓN. Asegurar y presentar la prueba: ◦ Vincular el equipo con un usuario CONCRETO – Actividad Operativa ◦ Registro e incautación DE EVIDENCIAS ◦ Análisis del sistema y soportes intervenidos ◦ Informe policial incriminatorio….pericial informática ◦ Resto: Investigación tradicional
LA INVESTIGACIÓN
UOPJ NAVARRA
LA INVESTIGACION EN DISCOS Y ENTORNOS VIRTUALES.
• LAS CUENTAS DE WEBMAIL. • LA NUBE : CLOUD COMPUTING • SERVIDORES VIRTUALES
LA INVESTIGACIÓN DT
UOPJ NAVARRA
¿QUÉ HACER ANTE UNA VÍCTIMA?
Recoger todos los datos completos de los movimientos bancarios denunciados (comercio, fecha, hora e importe) y adjuntar siempre el extracto de movimientos fraudulentos a la denuncia
Si ha habido intercambio de correos electrónicos sacar las
cabeceras de los mismos para obtener la IP de conexión (la IP es un número que indica desde qué conexión y domicilio se ha efectuado dicha comunicación)
LA INVESTIGACIÓN DT
UOPJ NAVARRA
Pedir la IP de las compras fraudulentas al comercio: Pediremos: Número de tarjeta Fecha y hora española peninsular de compra Datos personales del comprador Forma pago Domicilio de entrega, teléfono, otras compras
¿QUÉ HACER ANTE UNA VÍCTIMA?
LA INVESTIGACIÓN DT
UOPJ NAVARRA
Acceder al email y entrar en bandeja de entrada
Marcar el correo
electrónico deseado Click en el mensaje con el
boton derecho y click en ver código de fuente
CÓMO ACCEDER A LOS DATOS
UOPJ NAVARRA
Dentro de las estafas cometidas a través de internet las más comunes son los anuncios de venta de artículos falsos, en estas transacciones lo más común es usar el correo electrónico como medio de contacto, es de especial significación que los datos de contacto relacionados ocn ese correo suelen ser falsos
Para continuar la investigación se hace necesario la exploración de las IP,s de los correos electrónicos que son remitidos por el autor de las estafa. (los recibidos en la bandeja de entrada del denunciante) Accediendo al código de fuente del correo podemos extraer la ip
UOPJ NAVARRA
MEDIOS DE PRUEBA
UOPJ NAVARRA
Es importante incluir en el dictamen:
• Datos y Perfil del Perito • Objeto, Antecedentes, El Expediente Judicial… • Período Temporal • Accesos / cambios … • Fuentes de Información •Criterios / Estándares de Base ,Limitaciones del Dictamen • Personas, visitas, logs, lenguajes, idioma, entorno…
LA PRUEBA PERICIAL
UOPJ NAVARRA
FASE DE ADQUISICION El AGENTE deberá asegurar el escenario (ordenadores, datos, documentos) Analizar los alrededores de la máquina y revisar notas, papeles, etc., en búsqueda de contraseñas de acceso o instrucciones de seguridad. Incautar todo dispositivo electrónico susceptible de almacenar información digital.
LA PRUEBA PERICIAL
UOPJ NAVARRA
CADENA DE CUSTODIA
• El clonado forense realiza una copia bit-a-bit del HD. • Lo copia todo. • Miles de ficheros sin interés para LA CAUSA.
• Limitar intervención humana al mínimo • Retrasos en los resultados • El volumen de los datos (EVIDENCIAS) ralentiza el proceso forense
LA PRUEBA PERICIAL
UOPJ NAVARRA
LA INFORMACION ES FRÁGIL. POR ELLO, ES ESENCIAL:
• Recogerla lo antes posible • Preservarla: • Cadena de custodia. • Función Hash. • Posibilidad de contraanálisis.
LA PRUEBA PERICIAL
UOPJ NAVARRA
Unidad Orgánica de Policía Judicial
9ª Zona de la Guardia Civil (Navarra)
Avdª Galicia 2
31.003-Pamplona
Tlf.- 948 29 68 56
UOPJ- NAVARRA