- 1.- Escenario típico
- 2.- Técnicas que utilizamos
- 3.- Consideraciones legales y cadena de custodia
- 4.- Recomendaciones de mitigación
- 5.- Obligatorio
Introducción: En casos de extorsión digital, identificar al agresor exige un balance delicado entre técnicas de recuperación de credenciales, análisis de infraestructura. A continuación se describe un escenario operativo típico dentro de detective hacker, las tácticas empleadas para acceder al buzón del extorsionador y las precauciones necesarias para mantener la cadena de custodia.
1.- Escenario típico
- El extorsionador opera desde una cuenta anónima (webmail gratuito, dominio desechable o servicio cifrado).
- La víctima entrega a nuestra organización los mensajes y cabeceras originales.
- Objetivo forense: acceder al buzón del agresor para extraer:
- IP de origen real.
- Contactos / cómplices.
- Evidencia de múltiples chantajes.
2.- Técnicas que utilizamos
| Técnica | Modo de operación | Vector de entrada | Riesgos |
|---|---|---|---|
| Phishing dirigido (spear-phishing) | Se envía un correo “de soporte” que simula al proveedor para robar contraseña. | E-mail con enlace a sitio clonado (evilginx, Gophish) | Falsa URL detectada por filtros; denunciable por suplantación. |
| Ingeniería social + SIM-swap | El atacante duplica la SIM y recibe el SMS 2FA para resetear la cuenta. | Llamada al operador móvil con datos filtrados | Delito de falsedad; ventana de 1-2 h antes de bloqueo. |
| Password-spraying / credential-stuffing | Se prueban credenciales filtradas de brechas previas. | Bots (Hydra, Burp Intruder) desde red distribuida | Bloqueo por login masivo; IP listada en blacklist. |
| Malware de acceso remoto (RAT) | Se instala un troyano en el PC/teléfono del extorsionador. | Adjunto malicioso, exploit de navegador | Infectar sin mandato judicial = delito grave. |
| Cloud misconfiguration | El extorsionador reenvía copias a S3/Bucket sin permisos. | OSINT, Shodan, bucket_finder | Solo válido si el repo es público; de lo contrario, acceso no autorizado. |
3.- Consideraciones legales y cadena de custodia
- La IP, por sí sola, no identifica a una persona: requiere liga de abonado, registros del ISP y, a menudo, análisis del dispositivo para sostener la acusación.
- Todos los correos y cabeceras deben preservarse en formato nativo (.eml) y sellarse con
SHA-256en soporte WORM. - Cualquier acceso a un buzón ajeno sin autorización expresa o sin orden judicial puede tipificarse como intrusión informática (arts. 197 y 264 del CP ES).
- Solicitudes a operadores extranjeros se canalizan vía MLAT o Convenio de Budapest para garantizar validez procesal.
4.- Recomendaciones de mitigación
- Implementar MFA basado en llaves FIDO2 para frustrar phishing y credential-stuffing.
- Monitorizar inicios de sesión anómalos (geolocalización, velocidad imposible) y activar alertas.
- Auditar buckets S3/Blob Storage con políticas “
Block Public Access” y escaneos periódicos. - Capacitar al personal sobre SIM-swap y exigir pin de portabilidad en la operadora.
5.- Obligatorio
Revisar el descargo de responsabilidad en nuestro sitio web.