¡Twitter ha hablado!

Así que el próximo caso que voy a contarles (con consentimiento de los afectados) es el de Elena (nombre alterado), una niña de 5º de primaria que sufrió un caso de ciberbullying muy virulento.

Preparen Almax: esto va a revolver estómagos.

Abro hilo👇🏼👇🏼👇🏼 https://twitter.com/PDuchement/status/1259317253486641158
Fase de asignación:

Este peritaje es diferente. Me llega por asignación judicial, lo que significa que es un Juez el que me solicita la investigación informática forense de un caso en curso.

¿Las diferencias?
Con la debida Orden Judicial puedo investigar de formas que, en caso contrario, serían consideradas delictivas:

Infiltraciones en los datos, monitorización de actividades, solicitudes de tráfico a las empresas proveedoras de servicio... ¡Me tienen que abrir la puerta!
Quizás se pregunten cómo puede ser que un caso de #ciberbullying llegue hasta ese punto.

No por los actos de los agresores, si no por el terrible efecto que tuvo en la víctima (y que, por respeto, no contaré, pero que fue de gravedad), el juicio fue tomado muy en serio.
Fase de contacto:

Empezamos con un dato: en aquella clase de 5º TODOS los niños de 10 y 11 años tenían smartphone propio de uso privado.

No voy a dar mi opinión al respecto, porque no acabaría (un día hablaré de regalar móviles a niños).

Baste decir que esto no habría pasado.
El expediente del caso habla de que Elena sufría una situación de Acoso Escolar desde hacía dos cursos (¡con 8 años!) y que la aparición generalizada del móvil entre sus compañeros ha empeorado la situación hasta hacerla insoportable para ella.
Perdonen vocabulario:

Durante un recreo, una niña lanzó un yogurt a la cara de víctima.
Cuando tuvo la atención de medio patio, gritó “¡se han corrido en la cara de Elena!”.
Tras las risas generalizadas y la humillación demoledora, la niña se quedó con el mote “la corrida”.
La agresora y el ejército de manos que señalaron a Elena mientras se partían de risa, no eran conscientes del terrible proceso que acababan de iniciar y que acabaría teniendo secuelas permanentes en la víctima.
“Elena la corrida” fue objeto de burlas constantes y recurrentes durante 2 años.

Como en muchas ocasiones, el motivo inicial fue olvidado, pero el mote no. Aquel vacío de justificación fue completado con una leyenda asquerosa que explicaba el sobrenombre de Elena.
La historia contaba que Elena (con 8 años, ¡por Dios!) había sido descubierta en pleno recreo practicando sexo oral a un compañero (curiosamente, la identidad del mismo nunca se mencionó).

La fama hizo de Elena objeto de juicios y chanzas permanente.
No sé ustedes, pero con 8 años (incluso con 10, que fue hasta cuando se prolongó), yo aún jugaba con legos.

No sabía lo que era el sexo oral, como para encima estarlo utilizando como ataque inventado.

La era de la información tiene algunas consecuencias tristes para la infancia
Entonces el smartphone llega como una plaga a la clase de Elena y el acoso avanza de nivel: las bromas son ominpresente, Elena las recibe a todas horas y, lo que es peor...
Uno de sus compañero descubre una app asquerosa: una que permite colocar (con muy buena calidad visual en el resultado) el resultado de un orgasmo en una foto previa, sobre la cara de su protagonista.

¿Ya se imaginan el uso, verdad?
En poco tiempo, las galerías de los móviles de aquella clase de 5º se llenan de imágenes con fotos de Elena (tomadas sin consentimiento) haciendo honor a sus sobrenombre, con una calidad tal que, salvo por el sentido común, son difíciles de desmentir.
Como ya he dicho en otro hilo, en su intención de machacar, ningún nivel es suficiente para un bully. Con el tiempo, siempre se aburren e intentan ir un pasito más allá.
En este caso, comenzaron a imprimir las fotos y a pegarlas por el colegio.
No es hasta que Elena evidencia su sufrimiento haciéndose daño que sus padres descubren la situación de acoso.

Ruego a los tuiteros respeto y que no juzguen a esa familia por no darse cuenta antes: ya bastante tienen.
Aprovecho este momento para dirigirme a esos padres que no sepan detectar una situación de acoso o reaccionar ante ella:

El papel de ustedes es de vital importancia, y sus actos pueden suponer la diferencia entre un conato o un incendio forestal catastrófico.
Para aquellos que necesiten ayuda con este tema, escribí “Te espero a la salida, un manual para padres frente al acoso escolar”.
Es gratuito para usuarios de kindle unlimited y, para los que no, sus beneficios se destinan a proyectos contra el #bullying https://www.amazon.es/espero-salida-manual-padres-escolar/dp/1691935069/ref=nodl_
Fase de informática forense:

¡Hagamos uso de nuestra orden judicial!

Solicito los snartphones de los niños de la clase, mientras que, por otro lado, voy analizando los metadatos de las fotos que ha recibido la víctima.
WhatsApp (que es el canal por el que las recibe) altera internamente los archivos de imagen, pero los metadatos se salvan (aportando gran información).

Para empezar y sin despeinarme, ya tengo hora, ubicación, y aplicación (no solo de los montajes, también de la toma de fotos).
Los agresores son niños y desconocen incluso como cambiar la configuración para que las coordenadas GPS de las imágenes viajen ocultas en el archivo, así que, si las han alterado en sus casas, tengo su casa señalada en un mapa.
Me pongo a hurgar más.

Con un proceso arduo (que no contaré para no aburrirles) descubro las direcciones MAC de los dispositivos implicados (algo así como el DNI de cada móvil, tablet y PC del mundo. Es único en general e identificativo).
Necesito confirmar el tráfico con la empresa proveedora de servicios.

Incluso con la orden judicial y el núnero de placa, se dejan ir a la hora de darme los datos. Pero me los acaban proporcionando.
Esta investigación es lenta y les estoy resumiendo más de 2 meses de búsqueda.

Finalmente hay resultados:

Todas las fotos han sido captadas por el mismo smartphone (conozco marca y modelo). Dicho dispositivo, tras capturar una, se la envía a uno de otros cinco dispositivos.
Es uno de estos 5 dispositivos de destino el que la recibe, hace el montaje y se encarga de difundirla.
Es algo que ya he visto antes en casos de #bullying: Hay un autor intelectual que facilita (o incluso organiza) a unos autores materiales.

“El listo que se mueve en las sombras” y “los tontos útiles” que hacen el trabajo sucio (y que se comen las culpas si se descubre el pastel)
Tengo las direcciones físicas (MACs) de los seis implicados.
El resto de la clase comparte, pero la responsabilidad queda muy diluida en nuestra Ley (no opinemos).

¡Vamos a por esos seis (líder y 5 lugartenientes)!
Me llega, bajo cadena de custodia, los 30 dispositivos.

Busco en todos (por si acaso), pero me centro en los de marca y modelo que sé que han participado activamente.

Segunda sorpresa del caso:
En el tiempo en el que el juez ha emitido el requerimiento y la policía judicial se ha incautado de los dispositivos, algunos de los snartphones han pasado por un proceso de borrado de evidencias.

Alguno de ellos no se limita al borrado de fotos, si no que es más profesional.
Uno de los móviles me llega limpio, limpio. Más limpio que de fábrica. Ha sufrido un formateo a bajo nivel que solo puede provenir de (caros) profesionales especializados.

Esto no es una conclusión segura, pero mi impresión es clara:
Algunos padres SABEN que sus hijos son agresores y, en lugar de colaborar/denunciar, han acudido a profesionales para eliminar las pruebas incriminatorias y dejar impunes los crímenes de sus hijos.
Eso, sabiendo (ya era de dominio público) las nefastas consecuencias de sus actos.
No pasa nada.

Los peritos informáticos estamos más que acostumbrados a lidiar con la eliminación de pruebas.

La mayoría de las recuperaciones fueron un juego de niños.

La del movil limpio, me llevó 2 semanas y fue incompleta, pero suficiente (sí, era uno de los 6 implicados).
Confirmo la identidad de los móviles utilizados:

Como anécdota, mencionar que los lugartenientes son todos chicos con mal historial y la líder, autora intelectual, una chica.

Normalmente se salvan y la responsabilidad se la tragan los ejecutores, pero... ¡no será en mi caso!
Hay algo que los que borran pruebas TIC siempre olvidan:

Tu tráfico saliente, como emisor, es tráfico entrante para otro dispositivo, como receptor.

Da igual que emplees todos los recursos que quieras en borrar la pruebas de salida si, con quien hablas, no borra las de entrada.
Un audio recibido en el móvil de un lugarteniente (y proveniente de la líder) incluye instrucciones precisas sobre cómo quiere el montaje y a quién debe difundirlo primero.

¡Ya tengo pruebas de su autoría intelectual!
Recordando que esta gente tiene padres con recursos (y muchas ganas de salvarlos de sus responsabilidades), me blindo ante una posible contrapericial:

Antes de dar el audio por bueno, verifico la comunicación con Cellebrite y cruzo los datos con el tráfico de la EPS.

Confirmado
Las consecuencias:

Mi informe confirma a 5 autores materiales de los montajes y su difusión, a una autora intelectual de lo mismo, complice necesaria y con responsabilidad subsidiaria.

Además, es infractora de la toma de fotos no consentidas y su difusión (aunque solo sea a 5).
La familia de Elena me pide que no especifique los detalles de las condenas (porque eso podría dar pistas del caso y de la verdadera identidad de Elena) y lo voy a respetar.

Solo diré que no me pareció suficiente, aunque respeto totalmente la decisión judicial.
Por lo menos, los culpables fueron identificados, el daño contenido y se exigieron responsabilidades.

Añadiré que, en mi peritaje, solicité respetuosamente a Su Señoría que considerase abrir diligencias contra los padres que habían tratado de ocultar pruebas.
Aprovecho para rogar a las madres y padres que lean este hilo: nunca escondan los actos de sus hijos ante la ley: siempre es peor.

Los ayudamos más haciéndolos responsables de sus actos.

-Indicios localizados.
-Pruebas documentadas.
-Informe pericial concluido.
-Caso cerrado.
You can follow @PDuchement.
Tip: mention @twtextapp on a Twitter thread with the keyword “unroll” to get a link to it.

Latest Threads Unrolled: