 Hola a todos. Muchas gracias por estar aquí. Tengo el honor de presentar-os a Cristina Muñoz, unha gran amiga. Ella é responsable del departamento Digital Forensic en Grand Zortón. Que diga bien, disculpad. E bueno, ella lleva máis de 18 años en este sector. Tiene un montón de certificaciones e ademas que lo aprovechar para darle la enhorabuena porque este año ha sido nominada a entre las 100 mejores mujeres líderes en España. Enhorabuena Cristina. Candidata. Candidata. Bueno, já venido hoy a hablarnos de su tema estrella, de Forense, de informática Forense. Espero que disfrutéis mucho e por favor darle mocho cariño. Gracias. Gracias. Gracias, Erika. Bueno, como ha dito, Erika, soy Cristina Muñoz Equéns, lo primero mil millones de gracias a Erika y a toda la organización por contar conmigo que ademas, al final este es un tema totalmente diferente, no? Lo que creo que se está habiendo, espero non aburriros mucho e tampoco voy a entrar en súper detalle. O sea, va a ser un poco todo máis, un poco de los básicos de Forense e de qué es lo que nos encontramos, no? Que muchas veces la gente se piensa que tenemos unha realidad e que todo es fantástico e maravilloso e en las películas todo sale, que todo se procesa rapidísimo, las investigaciones se hacen así e al malo se le encuentran dos segundos e la realidad no es esa, no? Entonces, bueno, un poco eu queria contaros todo eso, no? Para que os hagáis una idea, mi departamento se dedica a diferentes cosas, todo realmente mi departamento es máis financiero, entonces las investigaciones que hacemos nosotros son muy conjuntas y tienen un componente muy, muy económico financiero, no? Porque al final hacemos esa investigación conjunta, bueno, ahí está un pouco máis o menos todo o que hacemos, pero principalmente son investigaciones internas de irregularidades, es decir, quando alguien está robando, se está llevando información, se están creando empresas paralelas o cosas así, normalmente el 99% de nuestros clientes son empresas, o sea que suele ser eso, otras veces sí que es verdade que nos contratan personas físicas que nos piden outra serie de cosas, e incluso pues tamén hay en algún caso que realmente nos hemos tenido que focalizar, por ejemplo, todo en información en web, o sea que tamén me toca un poco, pero bueno, yo lo que llevo es toda la parte de Digital Forensics, respostante incidentes que por una parte da soporte a todas esas investigaciones e las hacemos de forma conjunta, con lo cual está bien porque damos un visión un poco global e non es por una parte la informática, por outra parte la cuantificación e por outra parte otra cosa que al final lo importante en todo esto es que luego el juez entienda exactamente que es lo que ha pasado e que lo entenda de forma clara, porque además el juez es unha persona de derecho, es unha persona con conceptos jurídicos máis bien e no tienen ni idea de los ceros e unos, entonces es cierto que quanto máis claro e máis simples sea todo lo que hacemos, pues muchísimo mejor, pero bueno, dentro de todo esto, además, la realidad es que nos pasamos el día dándole a imaginación, pero la gente nos pide muchas cosas, muchas veces que ni siquiera saben que es lo que nos están pidiendo, la gente incluso te pide cosas que son muchísimo más caras que lo que realmente necesitan, que es un pouco que también a vosotros en vuestro campo os passará, al final quiere muchas veces la gente un Ferrari e quando lo que necesita es un pello 208 e ya está, con eso seria suficiente e va a ser probablemente mucho mejor que lo que nos está pidiendo, entonces sí que es cierto por outra parte que la gente te viene con un problema, no sabe muy bien como enfocar lo que hacer e nosotros tenemos que hay que pensar un pouco que fuentes de información vamos a poder tener, que vamos a poder analizar e sí vamos a poder llegar a las conclusiones que se necesitan, porque hay veces que claro, se has matado a Manolete pues es que las has matado, no podemos decir lo contrario, la realidad es que en nuestro caso tampoco podemos ni mentir ni decir nada que no es, o sea que al final es complicado e incluso yo, hay veces que le he tenido que decir al cliente, lo siento pero yo no puedo hacer este trabajo, es difícil pero hay que decirlo, non sé a dónde le tengo que apuntar, como base para todos os nossos trabajos está lo que se llama evidencia digital, que evidencia digital al final nos deja de ser toda aquella información digital, que está contenida en algún sitio, da igual que sea nube, que sea un servidor e por ahí hay unos flopidis porque todavía me los encuentro incluso cuando hacemos algún despacho e de repente empezamos a sacar e sale de ahí lo que no os podeis ni imaginar, entonces todo este tipo de información, lo que os decía también información en web, que muchas veces es la base de nuestro trabajo, todo eso es lo que se considera evidencia digital sempre e cuándo vaya a ser utilizado en un proceso judicial, lo bueno que tiene la evidencia digital es que la podemos duplicar exactamente igual que la original y la podemos analizar en un turno totalmente aislado, que es un poquito diferente a outro tipo de evidencias como son las de ADN o Guellas digitales que nos podemos encontrar en una escena de un crimen, porque lo bueno es que no tenemos que cargar nos la evidencia original, con las pruebas de ADN o otras pruebas al final tengo que coger parte de esa prueba que yo he recogido para poder analizarla e sin embargo una de las cosas maravillosas que tiene la evidencia digital es que la duplicamos tantas veces como queramos e la podemos analizar como se fuera a original que cojimos con lo cual muchas veces que hay una cosa que sempre me ponen o que me intentan poner en duda es e porque no sabéis que da el ordenador original es que no lo necesito porque realmente el ordenador original yo tengo una copia exacta que es exactamente lo mismo e que nadie puede poner en duda que eso era lo que había en el momento que hicimos esa adquisición forense digital es esa volatilidad que tiene tan pronto está como que tan pronto no está e además hay ciertas cosas que sí que no somos capaces de recuperar dependiendo del dispositivo onde estuviere e el tipo de información evidentemente vamos a poder o no poder en el caso de webs pues veremos luego a lo mojo tenemos que tirar de algún archive que haya como supongo que conocéis pero por ejemplo en caso de ordenadores o en caso de otros dispositivos pues va a depender también del paso que haya o del tiempo que haya pasado desde que se limonó toda esa información hasta que tenamos acceso a la información e que no se haya sobre escrito por el camino me lo borraste ayer, la probabilidad de recuperarlo es muy alta, me lo borraste hace dos meses pues quien sabe, depende de las desfragmentaciones que se haya hecho de los equipos e de todo, e de lo que se haya utilizado e demás dentro de todo lo que seria toda la parte de adquisición forense principalmente sí que sempre me gusta contar estas tres premisas e son tres cosas que tenemos que tener grabadas a fuego quando hacemos cualquier tipo de procedimento de informática forense e o primeiro de ellos é clave en todo esto e é que non se manipulem os datos que non se altere, que non se modifique e que non se toque de ninguna forma que al final pueda cambiar o que había quando fuimos a adquirir la información e esto é muy importante principalmente porque uno de los principales problemas que se tienen todo o que es evidencia digital é que se bien probablemente sea a prueba má rica en cualquier tipo de investigación de este tipo é também a máis débil simplemente por el hecho que os decía antes os jueces e os abogados no entienden de informática forense e no entienden de 0 e 1 o máis fácil para a parte contraria toda a información que tú has estado utilizando então se cojo e pongo en duda que a información é a que era e que estava manipulada e que aquello pode ser que lo hayas puesto tú e então estás incriminando es decir que tú has cojo el cuchillo con la sangre e le has puesto las gollas del tío e le has dejado ahí pues al final te quedas sin arma del crimen por de tío en alguna forma e te quedas sin caso é o máis fácil que tiene a outra parte de hacer que son máis impoláticos que o único que hacen é es poner en duda tu informácio tu trabajo e de hecho un careo de tres horas con outro perito que o único que havia hecho é escribir en 23 hojas cozas que podria haber sido se podria haber manipulado não se sabe se ha pasado é sí a pasado é sé a pasado outro ni siquiera fijaros ni siquiera analiza e verifican tendientemente que álmos por logo non lo vayan a verificar, pero sí que tenemos que intentar ser lo máis pulcros e lo máis cuidadosos posibles con todos os processos que hacemos. Entonces, en ese sentido, non modificar os datos. Cómo lo hacemos? Pues con máquinas de hardware especializadas en clonación forense, con bloqueadores de escritura, con software de escritura, o sea, todos os medios que podamos poner para evitar que nadie poda decir que nós nos hemos modificado todo eso, importantísimo. Também en todos os procedimientos, cuando hacemos las adquisiciones, tenemos que obtener códigos hash de los ficheros resultantes de todas esas adquisiciones forense, porque así también garantizamos la integridad del fichero desde que lo estoy generando como evidencia digital hasta el final del proceso. Entonces, importantísimo ese aspecto. É cierto que hay veces que nos vemos en la obligación de modificar os datos e de alterarlos, porque no siempre es fácil e porque la realidad en la informática forense es que la tecnología ha evolucionado e as cosas han cambiado muchísimo. Hace 20 años, só l'havia disco SIDE que lo conectabas a una máquina, te hacías tus imágenes forense que te las hacía todas solas e chimpun. Todo eso lo podías analizar e era sencillo. Hoy en día tenemos 200.000 tipos de dispositivos, o sea, tenemos la nube, tenemos diferentes discos SSDs que ademas hay 200.000 adaptadores, o por ejemplo, tenemos los equipos cifrados que cada vez van máis e es cierto que es muy, muy importante la seguridad informática, pero la seguridad informática e a informática forense se chocan por completo. Entonces, todo o que sea medidas de seguridad nos van a no ayudar mucho en la informática forense. Que nos pasa con os ordenadores que están cifrados? Que muchas veces no están gestionados por el departamento de informática. Si no están gestionados por el departamento de informática, no somos capaces de hacer una imagen forense física de los discos o de los dispositivos e lo acceder ao contenido. Por lo tanto, la única forma que tenemos de ser capaces de acceder ao contenido es arrancando o ordenador, metiendo no USB, ejecutando un portable con una herramienta forense que nos permita a hacer un adquisición de eso e sacarlo todo eso, nos altera un montón de cosas dentro de la evidencia. Pero, en los casos que tenemos que hacerlo, evidentemente, pues aquí iría moi en línea la tercera premisa y es documental o todo. Vale, has tenido que modificarlo, has tenido que encenderlo, pero que quede escrito. Normalmente, como todos los procedimientos de adquisición, se intentan hacer con un notario, el notario va a tomar nota. Con lo cual nadie va a poder decir que esos inicios encendidos, apagados, esa conexión de USB se han hecho para meter algo que no se debía a meter en la evidencia que vamos a obtener. Pero bueno. Dentro de las fases de lo que es evidencia digital que, bueno, no se ve muy bien, verá? Lo siento. Pero bueno, básicamente tendríamos. Eu sempre meto una primera fase, aunque en general la gente só lo pone desde o que es adquisición de la evidencia, preparación e indexación, análisis e luego ya generación del informe e eu sempre meto una fase previa que es la preparación de la recolección, de la información. E por que? O que os decía antes. Hay tanta diversidad de tipos de evidencia digital a la que nos podemos enfrentar que no podemos saber exactamente o todo o que nos tenemos que llevar. E eu sempre pongo de exemplo hace un par de, bueno, justo antes del confinamiento me tuve que ir dos semanas a Colombia a copiar información de veinte personas. E nadie me decía nada. Nadie me decía si tenían portátiles, si tenían peces de sobremesa, si los portátiles tenían discos SSD, correo en Outlook, en Office 365 en Google o tenían un Lotus Notes que a gente todavía lo tiene o que, o que. Non sabía absolutamente nada se tenían teléfonos e non tenían teléfonos dependiendo de cualquiera de todas estas cosas necesito unos cacharritos o unas aplicaciones diferentes e luego ademas dentro de todo el proceso de adquisición sempre se generan dos copias de la información con lo cual necesito dos soportes e para esa preparación também vou a tener problemas. Non sei se me han mezclado e las estas. Aparte, hay que tener una serie de consideraciones previas antes de empezar todo esto e quando alguien nos contrata nos tenemos que asegurar se es una persona individual evidentemente nos tiene que dar acceso o autorización para acceder a sus dispositivos que es como má sencillo porque se nos contrata es o que les interesa. Pero quando nos estamos refiriendo a empresas es importante e que tenemos que garantizar durante todo o proceso e como os digo, en todo o proceso de evidencia digital no sólo en la adquisición e más importante quizás en lo que es el análisis de la información tenemos que garantizar los derechos fundamentales de las personas e principalmente los que nos afectan son el derecho al secreto de las comunicaciones e el derecho a la intimidad de la persona. Con la jurisprudencia que tenemos en España ahora mismo para que una empresa tenga la habilidad de acceder a los dispositivos de que ellos mismos compran e dan a sus empleados es importante que haya políticas normas o que estén na entraneta no hace falta que sea un fórmato específico pero sí que se les tiene que haber advertido a los empleados que esos dispositivos que ha comprado a la empresa e que les dan o primero, cuál es la propiedad e es decir, que estos son míos o empleado se le tiene que decir te doe este ordenador que es mío de expectativa de privacidad e cuál es el uso que le puede dar que le diga a súa propiedad que le diga, te lo estoy dejando solo para uso profesional que en el fondo es lo mejor independientemente que luego se apliquen se apliquen la misma metodología independientemente del tipo de uso que se le permita al empleado a utilizarlo porque la realidad es que nos pasamos el día trabajando e el ordenador lo utilizamos para coger nuestras citas del médico para renta, o sea, que eso sempre está ahí e eu, la primera e luego a parte de estas dos cosas, es decir, a expectativa de privacidad e a propiedad de los dispositivos o outro que es muy importante es que tamén se les advierta de que en cualquier momento poden ser monitorizados o revisado el contenido que hay en los dispositivos que se facilitan e dispositivos entraría correo electrónico, red, navegación web e demás, porque hay veces que luego hay gente que te dice que es un tema privado, non se pude ver hombres que sentiría 8 horas navegando por web, no? E eso, tamén, es importante que pasa, que hay veces non sé si lo tengo puesto, no? Hay veces que las empresas e aunque non lo creáis, hay muchísimas empresas que no tienen estas políticas pues que nos encontramos con situaciones en las que se sabe que alguien está robando o que alguien está en condivencia con un proveedor e se está llevando facturas de 60.000 70.000 euros que luego se reparten entre ellos o incluso máis dinero e entonces decimos e que hacemos? Porque se resulta que imaginaros que hemos tenido una denuncia interna na empresa e sabemos que hay alguien o sabemos o tenemos la sospecha bastante de certera de que alguien está robando pero resulta que no tenemos esta política con lo cual nosotros no podemos hacer el trabajo a no ser que el propio do ao empleado nos desautorización claro que si es el malo te va a decir que no te doi la autorización entonces este es uno de los grandes problemas que nos encontramos aunque non lo creáis e aquí es donde entra un pouco esa imaginación que os decía e como hacemos? Porque eu tenho un empleado que me está robando que casi lo sea al 100% pero no puedo hacer nada al final aquí hay que buscar bias alternativas de investigación e sempre hay alguien que es muy cercano a esta persona que está cometiendo a ilegalidad que sea e que poden ser muchas e nos encontramos de todo que diga, eu te dejo mi equipo porque a lo mejor tienen información de primera mano. Imaginaros que é o director financiero que suelen ser a gente que roba dentro das empresas normalmente suelen ser gente que tiene posiciones altas que llevan tiempo na empresa e que conocen os controles ou las carencias de os controles Imaginaros que é o director financiero o segundo de abordo tiene mucha información sobre o que está en áis a ver e o que está todo signed C e os contamos e o que está todo e o que está todo e o que está todo e os contamos e os contamos e os contamos Xemos en estos casos no llevamos o ordenador a unha notaria e unha de dos se deposita xin non es necesario que a empresa disponga de un dispositivo o bien se hace unha adquisición forense, pero solo unha, se presenta en una bolsa e se queda en la notaria. Nadie más va a tener unha copia de eso, hasta que, a lo mejor, a traves de esas vías alternativas de investigación que os digo, o juez podeis acceder a esta información, no hay ningún problema, e que a traves de esa autorización judicial podamos hacer la investigación e complementar, no? Entonces, habría como dos fases, haces un primer informe de, oye, es blanco, está en botella, yo diría que es leche, pero necesito ver esto, no? Y entonces ya harías un segundo informe en el que dices, oye, efectivamente, después de haber revisado todo esto, es leche e de almendras, o de vaca, no? Lo que sea. Vale, y luego, outra cosa que sí que es moi importante, antes de nada, es el tema de la proporcionalidad. Hay empresas tamén que, de repente, nos viene e nos dicen, pues es que quero copiar el ordenador a todo el departamento financiero, e son 15 personas, e dices, vamos a ver, que sentido tiene, no? Que sentido tiene, porque además de eso, el presupuesto es que se multiplica por 15, o sea, bueno, non por 15, pero bueno, al final crece mucho. Entonces, es que necesidad tienes cuando no sabes si toda esta gente pode tener información o no, cuando tus sospechas están centradas en estas dos tres personas, quédate con estas. E ya veremos, e luego hay que ampliar el alcance, o no? E de hecho, nos ha pasado máis de una vez. Hace tiempo tuvimos un tema que era de, bueno, competencia desleal, se habían creado una empresa exactamente con un producto que habían desarrollado ellos como superinnovador, e se crearon una empresa parecía que tres de la empresa, no? Quando estábamos analizando, además, estos fueron como supertorpes, porque se sincronizaron todo el dropbox de la empresa paralela en el ordenador e entonces estaba todo el plan de negocio, las presentaciones que habían copiado en la empresa original, o sea, que unico que habían copiado era como el logotipo, no? Entonces, bueno, e viendo el pacto de socios, de repente estava yo con el cliente e digo, mira, está efectivamente, está Pepito, Fulanito, el otro, digo, e non me acuerdo como se llama, Óscar. E se quedó el tio blanco en plan de Óscar, dice como que Óscar, pues era un director de outro departamento que estaba también metido en dentro de esto, bueno, pues aí sí que se amplía el alcance, vale? Entonces, el proporcional es siempre en cuanto a lo que se copia, porque además, si necesitamos encontrar alguien má, probablemente se encuentre, no? Ya sea por vinculaciones a traves de fuentes abiertas o por lo que sea que nos encontremos por ahí, les vamos a encontrar. Bueno, no siempre se les encuentra, estoy visiendo moi positiva, pero bueno. Vale, no sé, para acá. Lo que os decía, que parece que no, pero lo de ser Pepito informático es una percepción de riesgo, muy riesgo. Yo me paso el día con el corazón en un puño, porque todos os pritos contrarios, es lo que os decía, te atacan directamente es que has invadido la intimidad de la persona, te has leído correos que no debías de leer, has hecho non sé qué, y yo ya el otro día, a este que os digo del cario, le dije, denúncia-me, ve al judgado y ponme una denúncia, digo porque si tan horribles soy, digo ya, pero hazlo ya, o sea, deja de acusarme, porque es cierto que es complicado y es verda que por lo que os decía antes, tenemos que tener muchísimo cuidado en todos los procedimientos que ya vamos a cabo, porque al final van muchas veces contra ti, e aun naciéndolo todo perfectamente e teniendo todos os cuidados do mundo, pues al final muchas veces te pasa que te señalan e te dicen, lo has hecho mal, has roto la cadena de custodia, has metido información, que yo muchas veces digo, la gente será consciente de que una base de datos tiene miles de tablas relacionadas por detrás, por ejemplo, que si yo modifico un dato en una tabla, tendría que modificar cientos de tablas e cientos de líneas para que todo aquello sea sentido, pero debe ser que no, que no lo piensan, o non lo saben, pero bueno, entonces bueno, e esto era o que os decía, de ir a ciegas, en ese viaje que os digo que tuve que ir a Colombia, dos semanas a copiar información de 20 custodios, al final me tuve que llevar como tres maletas llenas de cosas porque nadie me dijo que era lo que había, entonces me tuve que llevar, discos duros atropell, todos os conectores habidos e por haber la máquina, la Celebrate para copiar los teléfonos, las dos clonadoras, los bloqueadores de escritura, e claro, imagináos, cada control en Colombia que es que hasta me olían los bloqueadores de escritura que yo decía, que no es nada de verza, o sea, es un poco terrible, entonces vas a ciegas, no sabes que te vas a encontrar e la realidad es que no tenemos, o sea, los dispositivos que utilizamos no son dispositivos que comprasen el corte ingles a la vuelta de la esquina, son cosas que cuestan mucha pasta e tiempo en conseguirlas, o sea, hay veces que conseguir un bloqueador de escritura que me lo manden aún, habiéndolo pagado pedido e demas, o sea que por eso, quanto máis preparados estéis, pues mejor, pues, oi, por exemplo, yo me venido de Madrid aquí, si yo de repente llego aquí e me encuentro algo totalmente diferente a lo que me había dicho el cliente, pues es que es muerte súbita, porque digo, ahora como lo hago? Que, bueno, al final, pues, tenemos que echar de esa imaginación y ver como facemos las cosas para poder hacerlas, no? Pero importante. Pero bueno, una cosa que es súper súper importante, es que antes de la adquisición tengamos mucho en cuenta que es lo que se ha hecho con los equipos, e sobretudo que le sabiésemos a nusros clientes de dile al departamento informática que no toque, porque estoy harta de que diga, no, es que voy a ver se este era o ordenador de Pepito e entonces le dan al botón de encender, e es como, no. Por favor. Vale, e que pasa, que como, bueno, como ya sabréis, cada vez que alguien arranca un ordenador, se cambian cientos e cientos de ficheros, se crean, se eliminan, se modifican registros e todo eso, al final, es mínimo para poner en duda o que está aí dentro de ese ordenador, independientemente de que, aunque haya un encendido después de que a persona se haya ido de la compañía todos os ficheros que están dentro van a seguir estando ahí e no haber ningún cambio, es decir, que eu podria hacer una validación es cierto que es mucho más fácil validar e decir, oye, pues este Pepito se ha ido hoy a las 10 e no ha habido ningún encendido e claro, se resulta que ha habido un encendido a las 11 de la mañana digo, pof, ahora ya tengo que hacer un análisis un pouco má detalhado porque tengo que ver que cada fichero que va a formar parte de mi informe, é xí integro e non ha sido modificado, pero se puede e se debe hacer, non directamente decirá, pues eu descarto esto e non lo hago en cualquier caso, o que os decía, ojo, con os equipos de IT, porque las realidades que es un momento estrella, lo siento xis ois aquí, alguien, pero sí que es cierto que multas veces me encuentro con gente que, claro, dicen éste é o momento de eu quedar genial con o CEO e con o jefe e vou a salvar a empresa e eu vou a hacer as copias e vou a ser todo e as tamé encontrado, una vez que eu o pobre devia estar sentirse fatal porque decidió que non queria dejar, bueno, estábamos en confinamiento de hecho e todo me lo mandaban a mi casa, eu hacía las adquisiciones en mi casa, luego las presentaba ou no, todos os procedimientos que en ese momento había que hacer e enta e es claro al final, como me mandaban o ordenador a mi casa o usuario se iba a quedar dos o tres días e no ordenador porque entre que me lo enviaban e eu lo hacía las copias, se lo doblía e tal e se iba a pasar tiempo e enta e o informático dijo, este como o seu jefazo vou a hacerlo guai, le vou a dejar todos os datos copiados para que pueda seguir trabajando e demas, em más en este coincidía normalmente nós copiamos correo electrónico e o ordenador, por temas de integridad porque non sempre hay lo mismo en el servidor que en el ordenador e demas, e enta e em este caso, o usuario era dos usuarios antiguos que me descargo todo a pesetes locales e na nube não havia absolutamente nada, eu não sei se havia 10 vegas de correo electrónico, unha cosa así enta e o ordenador era como, aí está a información, non hay ningún sitio más pois este pobre informático decidió que ele iba a hacer un gosta ao ordenador, que se iba a hacer un clone para poder copiar os datos ao usuario e en ese proceso de gost non me digáis que hizo, que cifro todo o ordenador aquello non arrancaba ni por ninguna parte claro cifrado descontrolado colo cual non había forma de acceder ao ordenador, ni ao disco, incluso o sá hicimos, todo lo ha habido e por haber miramos a ver se eramos capaces pois toda a evidencia que había é fumada en un segundo porque o informático había decidido quedar bien com o usuario, enta e estas cosas pasan o sá non es todo tan bonito de ping-pong-pong e tenemos acceso pero bueno, para que lo te cais e depois os 200 mil problemas que nos podamos encontrar que estén cifrados o novo que os decía que encuentras algo no ordenador vacío que estén os discos rotos porque muchas veces fallan, enta e si que tienes que ir como cambiando de procedimiento, de adquisición a ver se, ao mojo, con o clonadora forense no, pero se con un software o un sistema forense somos capaces de adquirir a información, hay que tener mucha paciência aquí sabes, eu sempre lo digo, sabes quando empiezas e quando acabas, quando a gente me dice e quanto te llevo a copiar un ordenador pues ao mojo en media hora, como que me tiro todo o dia copiando un ordenador, puede ser e son peores que los tiempos windows já os digo, son muchas veces mucho peores, suele ser como exacto pero no, cifrados directos ao disco, nisiquera en labio sino cifrados directos ao disco que nisiquera te deja ni intentar arrancar del disco con lo cual ni aun sacándolo eres capa de acceder ao disco e aquí lo que sempre digo é que se sabe de todo, nis somos expertos en todo la tecnologia evoluciona super rápido e somos, eu sou la primera e conoco gente muy buena que no sabemos todo pero sí que es cierto que es bueno eu sempre digo, sempre es bueno saber quién sabe e aí veces que estando en una adquisición e te encuentras con muchos problemas es mejor parar, dicir, bueno no voy a seguir voy a llamar a alguien que me poda ayudar e a ver como puedo seguir e no hay que tenerle miedo, no pasa nada non es posible que sepamos de todo e bueno, o que os decían os 200 mil conectores que tenen os SSDs hoy en día que sí PCI Express, que sí el Mme 2 el Mme no sé cuántos então tenemos aí una colección de adaptadores para os discos que nos podis imaginar e aí veces que nisiquera damos con el que es e os macintos son el peor dolor de cabeza que os podis echar a la cara porque además como cada vez le ponen máas cosas de seguridad ou sea, ya es horroroso porque ya los tienes que arrancar quitarle el CRS y útil este que lo que te haces que no te deja copiar nada, además, luego los cifran, se autocifran, luego o sea, bueno, es el horror então es un poco desesperante pero se poden copiar e podemos llegar a su información pero bueno, ya que estava aquí he metido unha herramienta de adquisición forense de páginas web e es bueno, es una página web, o sea, es una herramienta que es de magnet forensics e lo que te sirves para hacer una copia forense de lo que es aí en una página web que tampoco son muy allá pero es lo que hay porque la otra solución muchas veces que tenemos es irnos a una notaria e que se hagan prints de las páginas que es un poco peor este por lo menos lo que te haces que te saca toda la web, el código las imágenes que hay contenidas e te lo encapsula e te saca unha pues es un poco máso así que outra cosa pero bueno o que os decía, también nos atacan muchísimo en la cadena de custodia pero muchas veces yo creo que no se sabe ni lo que es la cadena de custodia e al final la cadena de custodia no deja de ser máx que se sepa que es lo que ha ocurrido desde que se genera la evidencia digital hasta que se destruye es decir, desde el momento en el que yo la adquiero que es lo que pasa con ella e a mi me dan un portátil este es el formulario que nosotros utilizamos que básicamente arriba ponemos la información sobre la evidencia digital quién lo da, quién lo recibe e que se ha hecho en ese intercambio de este nosotros incluso ponemos cuando lo metemos en la caja fuerte, en tal fecha lo metemos en la caja fuerte e en tal sitio e al final es esto es la cadena de custodia para las evidencias que se quedan en la notaria evidentemente la cadena de custodia la llevan notario, no yo pues queda el acta notarial tenemos los formularios que son máx internos pero al final no es tan complicado mantener la cadena de custodia es un pouco chorrada cuando dicen es que se ha roto la cadena de custodia hubo un, hace muchos años que non sé se le recordaréis pero en el zoo de madrid lo cuento porque hay noticias e es público pero en el zoo de madrid el director de operaciones que había en ese momento en el zoo de madrid robó e esto es unha pasada un millón de euros de la taquilla del zoo en la investigación la verdad es que fue muy chula e claro imaginaros e hicimos un notario allí a las taquillas del zoo porque las taquillas están ahí realmente son peces, las taquillas que luego llevan el printer para las entradas e llevan conectados el tpu para cobrar en este caso además el disco duro da faio e nos tiramos como doce horas copiando el disco duro en una taquilla así de pequeña, así sentados bueno ya no sabíamos ni qué hacer con los bocatas pero no os podíamos morer de ahí entonces una vez finalizó la adquisición de la taquilla porque yo no un acta con todos los que estábamos ahí de testigos se metió en una bolsa de precinto con su numeración y demás, se cerró e afirmamos tanto los que hacíamos la copia como con todos los que habían estado de testigos e incluso el usuario que estaba en ese momento en la taquilla claro, esto era un sábado por la mañana el notario hasta el lunes no abre entonces no se llevo al depósito hasta el lunes pero se llevo el acta con la bolsita cerrada precintada bueno pues el perito contrario decía que como la trupe que habíamos estado ahí en presencia, no habíamos ido todos a la notaria que se había roto la cadena de custo yo decía, pero vamos a ver en qué mundo estamos viviendo imaginaros hasta qué punto llega el voy a meter el dedo ahí en el ojo a ver si el al juez cuela y no se lo cree vale, entonces por eso ya hubo un momento que en mis presentaciones empece a ponerlo de la cadena de custo, digo que sepa que es que por favor pero bueno, me voy a dar un poco prisa que si no luego me quedo sin tiempo creo que os pasarán supongo las presentaciones antes de empezar ya, o sea, ya tenemos procesados es verdad que luego no es tan rápido o sea, aquí llega el momento en el que normalmente mis jefes te suelen cabrear un poco porque tardamos un montón, o sea, tarda tiempo e sobretodo cuando hay mucha evidencia de muchos ordenadores, correos e demas hay que preparar todo eso e procesarlo e o que hacemos es que utilizamos herramientas forenses que nos hacen un pedazo de base de datos con palabras, ya está, no tiene má e o que pasa es que nos saca todos los ficheros de información eliminada e demás sí que es muy importante para el tema del secreto de las comunicaciones que os decía que una vez que tenemos procesado todo e generades a base de datos coger todos os correos electrónicos que no han sido leídos por los receptores e quitarlos, vale, eso es algo que nadie puede leer porque es un, es como se alguien llega a tu casa e os hacen un entrar e registro ve una carta que está cerrada e os la abre vale, eso no se puede hacer pues en este caso es lo mismo e en estas exclusiones que hacemos hay listas de ficheros conocidos está la National Standard Software Reference Library que te da listas enormes e enormes que además ocupan muchos gigas de texto plano de jases conocidos, vale de, pues, los típicos ficheros de ritmi que vienen por aio, de aplicaciones, exces e demás entonces todo eso tamí lo detectamos e lo eliminamos para evitar esto es lo que se llama en informática forensa de nisting que es como quito la niebla, vale me evito falsos falsos positivos que me van a retardar en el análisis del trabajo que yo voy a hacer voy a ir un poco má rápido porque se nos va acabar el tiempo todo lo demás outra cosa que es muy importante tamí en es la estrategia de búsqueda no podemos mirar de forma prospectiva un ordenador ni se coge e se abre, o xa la gente a lo mojo se piensa que abrimos e entramos en C e hacemos a ver que tiene el usuario e mis documentos, bueno pues no es así en estas herramientas que os digo a lo mojo es una palabra en un período de tiempo e en una persona concreta o a lo mojo lo que buscamos e imaginaros todos os correos que nos hemos intercambiado Erika e eu que contengan la palabra word vale de esa forma lo que hacemos es reducimos e de repente ponemos toda esa búsqueda e nos dice pues hay tres resultados e eso es lo que vemos e que revisamos e aí ya analizaríamos metadatos analizaramos el contenido e le daríamos sentido dentro de toda la investigación e todo eso, toda esa estrategia de búsqueda se tiene que nutrir un pouco de lo que estamos analizando o xa sempre tiene que estar relacionada con o que estamos investigando non podemos buscar las amantes que ha tenido o que estamos analizando porque no se puede outra cosa eis que de repente te encuentres una foto como nos encontramos hubo un caso hace mucho tiempo además que eran el CEO e el financiero e el director general en todo o que nos podís imaginar o se pegaban uns julgazas pero muy increíbles e claro en todo el análisis de los gastos que estávamos haciendo se hicieron un viaje a colombia que se contrataron un barco durante tres o cuatro días e claro aí tenían todas as fotos con todas as tías estupendísimas en el yacusia no se queden e que te lo encuentras no lo buscas pero te lo encuentras e o que os decía aí arriba no se ve muy bien pero el gráfico este es un poco que utilizamos dentro de una investigación no e solo o ordenador o un teléfono que tengamos sino que tamén vamos a fuentes abiertas vale, hacemos muchísimo sint buscando en registros, en webs en toda a información que podamos encontrar para encontrar mojo vinculaciones porque igual o que os decía antes del director financiero resulta que no lo está haciendo directamente eis sino que su mujer tiene una empresa que eis a la que se está facturando e aí se está desviando toda la pasta que se está llevando el financiero no eis el directamente pero bueno es un testa cerro que pode ser alguien muy cercano ou a lo mojo alguna relación muchas veces nos encontramos incluso en Facebook, bueno ya lo sabéis la gente pública lo que no debe publicar e muchas veces te encuentras de repente aún en Facebook pues eso, alguien que está etiquetado con alguien que no tiene relación de parentesco pero que resulta que eis pues eso el proveedor con el que están haciendo lo que estén haciendo entonces po simplemente con esa foto podes establecer ese tipo de relaciones de todo eso, de todo o que encontramos en fuentes de abiertas, de lo que nos ha contado o cliente que cree que está pasando o la denuncia interna que ha llavido e de todo o que nos vamos encontrar e tiene que ser algo que se actualice constantemente porque podes ser que estemos analizando como el caso que os decía antes que apareció este tal Oscar Oscar o como se vellamara entonces ya ese le metes dentro de tu estrategia de búsqueda e buscas a Oscar a ver que es lo que hay para buscar, vale pero bueno, e logo outra cosa que sí que hay que tener muchísimo en cuenta a la hora de ver pues esas comunicaciones que decía por ejemplo con Erika en la herramienta que tenemos bueno en todas las herramientas que se utilizan de forma forense podes sacar como listados completos de las direcciones de correo electrónico que hay en ese conjunto de información que os decía que procesamos, vale que es las arroba Gmail, Hotmail o arroba granfortone.com vale y las que serían las internas de exchange que son los churretes que digo yo, vale entonces que pasa que muchas veces nos pasa que obiamos los churretes, vale resulta que en esos churretes que es la dirección interna tenemos, pues en este caso había 70.583 comunicaciones imaginaros se yo pongo o sa bueno desde una dirección de SMTP hasta una dirección SMTP y ésta no la pongo estaría perdiendo 70.000 posibles resultados que evidentemente nos alderían todos pero sí que estaría perdiendo mucha información entonces é importante que tengamos mucho cuidado con éso e bueno voy a ir acabando que se nos acaba el tiempo durante el análisis hay que tener un montón de cuidado con todo el tema de pues muchas veces para temas de fugas de información pues verificar conexiones USB verificar temas de encendidos, apagados información reciente que hemos visto y outra cosa que para mi é muy importante é o tema de las fechas que muchas veces se mal interpretan porque no hemos sabido ver o analizar esas fechas de modificación acceso e creación que tienen todos os ficheros esas fechas MAC e entonces sí que é muy importante también tener en cuenta que é o que pasa para ésa interpretación de las fechas con cada acción que hacemos contra con os ficheros esta info sale de los posters estos de Sands Forensic que é la verdad hay unos posters que tá como os tips principales de cosas para mirar en Windows por ejemplo o en MAC o lo que sea é Ladis nada por ejemplo hay una cosa que muchas veces a gente le lleva equívoco e ver ficheros que están creados hoy pero que están modificados haziu months é o queime e dís проблемas é o queime aliás a un disco doro a un pendrive como novos, pero mantienen todos os metádatos de los ficheros originales. É buenísimo para ver cuándo ha habido copias massivas de datos, porque só lo tienes que coger información que está con segundos de diferencia e, ao final, aí se ve muchísimo información. E, en relación con esto, las líneas de tiempo. Bueno, esto é que encontré una página web que hace estas líneas molonas de tiempo e me gustaron un montón. E a realidade é que, quando analizamos e hacemos nossas investigaciones, sí que é muy importante poner las cosas en su sitio, porque se nos lo mismo interpretar que se ha creado eu na empresa e que tres meses antes ha habido información sobre esa empresa en los ordenadores que estamos analizando, que, ao revés, e, muchas veces, hay ciertas cosas... Bueno, é todos tres meses, pero aí é que son cuestiones de segundos e que, ao final, cambia mucho la película de una forma ou de outra. Então, sí que é muy importante... Eu sei que vivimos en un mundo digital, pero eu sou moi de coger un papel, a hacerme una línea e ir pintando un pouco todo o que estou vivendo, porque, así, é como é mucho má sencillo de realmente ver e ver qual é a película que, luego, tienes que contar e ver que, efectivamente, é o que estás diciendo e o que has interpretado. E, bueno, já vou terminando. Como o tempo é super importante todo esto, porque, además, dependiendo da jurisdicción na que nos encontremos, pero, por exemplo, en temas laborales, muchas veces nos encontramos en que tenemos que hacer o trabajo en quince días. E, então, en quince días hai que copiar, analizar, emitir nústro informe e dar unha opinión sobre o que está pasando. Então, aí sí que é o que eu sempre... Bueno, esta é a agamenta que os decía de Wayback Machine, que non é o mejo do mundo e nós sempre nos encontramos todo, pero sí que, por exemplo, en un caso que tuvimos hace tiempo e que hace pouco ha salido la resolución positiva hacia nústro cliente, todo, toda, toda a información que le estaban imputando a esta persona estaba en páginas web que ya non existían. Então, a única forma que tuvimos de recuperar a información foi a través de Wayback Machine, que, na verdade, é que tuvimos suerte e el 90% de las webs que había, e os digo que había cientos e cientos e cientos, fuimos capaces de recuperarla en el momento en el que la necesitábamos, colo cual nos ha ayudado un montón. Pero, bueno, a lo que iba, como tenemos muy poco tiempo e é cierto que, bueno, eu sou a primeira que me encanta africar con todos os registros de Windows e hacer aí un parsing manual e tal, pero hay miles de herramientas e muchas de ellas gratuitas que nos permiten, simplemente dándoles os registros e ás algunos ficheros del sistema e sacar toda a información que necesitamos. Então, no nos volvamos locos. Ésa, por exemplo, é o USB Detective que nos da, automáticamente, todos os USBs números de serie cuándo se han encendido, oso cuándo se han conectado e cuándo non, para encendidos e apagados e demás, vale? E, logo, que tampoco tengamos mieda a utilizar herramientas que non son forences, que, muchas veces, parece que é que, se non é tal herramienta que cuesta un dineral no podemos utilizarla para nuestra investigación. E, la realidad é que, tanto un SQL como herramientas de tratamento mácibo de datos como idea, son maravillosas para hacer ciertos cheques de tablas e registros que podemos utilizar e son tan válidas como outro tipo de herramientas que, además, hay algunas de las herramientas forences que non os van a permitir a hacer este tipo de análisis. E, ya, voy rápido, el informe pericial sí que hay que tener mucho cuidado con los datos que ponemos, con qué información hacemos, que nos demos cuenta de que éso, al final, é o importante, é o que se va a leer el juez e, sobretudo, o que se va a leer va a ser hasta las conclusiones, probablemente, como non le guste, ya non se va a leer el resto del informe. Por eso, nós, sempre, las ponemos antes del detalle e del trabajo, vale, para que, por lo menos, llegue allí e nos aburra, porque hay veces que tenemos informes de cien páginas o máis, vale? E, se, por lo menos, le las diez primeras e, le engancha, se va a leer el resto del informe. E, ya, el resto paso e esto, como os lo van a pasar por un porner un poco de incidentes, ti, ti, ti, ti. E, ya está, non se se tenéis alguna pregunta o... Hola Cristina, soy Teresa. Primo, gracias por la charla. Unha cosa, en el tema de web específico, a parte de, de la time back, Machínca has comentado, tenéis alguna, outra forma de ver eso, porque claro, una web es superfácil de eliminar. A non ser que podáis, non se, mirar por, en algún navegador que haya quedado algun registro si sabéis el servidor, por ejemplo, dónde ha estado? Pero claro, tendríamos que hacer acceso al servidor. E para eso, o sea, tendríamos que tener acceso a ese servidor, tendríamos que pedir permiso o hackearlo o algo e eso non podríamos hacerlo, es muy complicado el tema de las webs. E non solo en cuanto a recuperar el contenido, que en muchas veces es que es eso, es que de repente, e es lo que os decía, es uno de los males que tenemos, que es la volatilidad de la información. Como non lo cojamos en el momento, es muy complicado que volvamos a... Pero se os diran, por ejemplo, un permiso judicial, no? A veces os darán un permiso judicial, sí. Pero es que lo de los permísos judiciales e de decir que es tan complicado, porque muchas veces se les pide a gmail, a telefónica, a quien sea, información que estava en sus servidores e bu, es que por espacio nos lo non lo guardamos, es que no, o sea, es muy complicado. Entonces, esas cosas, por eso eu sempre digo, quando pasa algo e vemos algo, lo primero es ir adquirirlo. Que sabemos que hay una web que muchas veces nos pasa de una empresa, nos quiere contratar e luego tarda tres semanas en darnos lo que hay a la propuesta, pues claro, igual en esas tres semanas la web ha desaparecido. Entonces eu, por lo menos, sí que les digo, oye, aunque no estemos en proceso de propuesta, pero coge e vete, me da igual a un notario, igual o que sea e haz una descarga de la página web para que, por lo menos, quede algo aí e que, a lo mejor, a través de eso, sí que ya se pueda pedir ese requerimiento judicial para que podamos analizar, porque evidentemente un print de una página web nos da cero información, más allá de, pues, había este contenido. Pero, por exemplo, todo o que está por detrás en el código e demás es que, si non es imposible. Vale, vale. E lo que unha cosa, que hay unha herramienta, por exemplo, por lo que has comentado antes, é garante, la usáis, o... Pero é que... É má para el contenido, no? A ver, é garante, es... O sea, es una posibilidad, pero la realidad es que tú haces un print core garante e la web te sale, así como... O sea, te sale como si tú imprimes directamente una web en tu casa. Então, realmente tampoco, ni siquiera te da el como estava, o look and feel e demás de la página web. É unha pena. O sea, te serve como para, a lo mejor, un texto que había en la web e demás. Pero é algo que é unha pena. Non hay unha herramienta buena en el mercado para hacer unha buena captura de la página web. Pero, bueno, eu estuve con alguien intentando hacer algo que lo que te hacía era... Igual os doí una idea maravillosa. Pero, bueno, lo que te hacía era... Te generaba unha descarga, o sea, un print, de verdad, era como un print screen de toda a pantalla, porque, además, te iba haciendo como scroll down para coger toda a pantalla, e, además de eso, te hacía... Te sacaba el juiz, te sacaba toda la información de los servers donde estava, e información adicional e incluso, se non recuerdo mal, sacábamos como o código que se pudiera sacar en ese momento. Então, éso, por lo menos, sí que te da algo máx e, logo, como que lo encapsulábamos todo e sacábamos gujas de eso. Então, éso sí que te daría algo máx, pero é garante lo malo é que é como si tú coges desde tu casa e le das a print e a imprimir na página web, e o malo é é eso, que te sale lo típico de te sacar aquí el texto, luego aquí te sale una imagen que estava aquí arriba, luego te sale tal, entonces, a mí non me gusta por éso, porque, en realidad, é o mesmo que ir al notaria dirextamente e imprimirlo. La verdad, pero... Pero, bueno... Lo siento mucho, Cristina, pero no tenemos tiempo. Disculpa, sé que no tenéis aí alguna pregunta máx. Bueno, tendréis a Cristina por aquí, que, se nos permite Cristina, para que la gente se... Me quedo hasta las 6 por aí. O que le preguntáis, las dudas que tengáis. Muchas gracias, Cristina. Aquí tenemos un detallito para ti por haber venido hasta aquí a contarnos todo. Muchas gracias.