Archivos de la categoría forensics

6 comentarios

Domingo, 1 de Octubre de 2017: Una mala mujer

  por , ,

Querido diario… es domingo. Usualmente los domingos no se hace algo… y probablemente sólo te habría contando que vi vídeos de Experimentos Caseros probando la comida militar de Timbuktu, o que Natalia se subió a un inflable de Star Wars y se cayó… pero no; no fue así.

Desperté, bañé, vi que el lavabo que se había descompuesto mágicamente se arreglo sólo; y me fui a desayunar a un restaurante cercano a donde vivo, se llama la Plazita, aunque yo le llamaría “La casa de los huevos”, porque tiene muchos tipo de huevos, de hecho lo que hago es que cada domingo pido una forma diferente y así hasta dar toda la vuelva al menú y de regreso. Lo sé, tengo un problema… como te habrás dado cuenta que los pocos días que he escrito en ti, mi ingreso económico es un poquito inestable y en Mexicali no hay muchos sitios donde acepten tarjetas de crédito, así que usualmente tengo que comer en los mismos sitios; donde si acepan.. es malo porque mi alimentación es un poco monótona, pero es bueno porque tengo muchos doblones en Foursquare 🙂

Pero bueno… dejando a un lado a  comida; estaba yo tranquilamente desayuno cuando de pronto Mam me marcó… así es él, de pronto marca en los momentos más impredecibles… pfff.. ¿domingo?. Siempre me ha desconcertado mucho, lo primero que me dijo al responder fue “ese jugo de naranja se ve muy ácido, pídelo con un toque de zanahoria, esta buenísimo”. Así es, a veces siento que me tienen observado las 24 horas del día.. y no, no me mal entiendas, no es que nunca lo haya visto, si le veo, y le veo muy seguido, nos llevamos muy bien; todos sus cercanos y otros como yo dicen que tengo bastante influencia en él; y realmente me agrada. Sólo a veces me asusta un poco… pero creo que trabajamos bastante bien; es una relación “ganar-ganar” como diría él, o como digo yo… bueno, en realidad yo no digo nada.

Mam me tenía una misión… si, en domingo. Tenía que entregar un informe detallado de la ubicación de una muchacha, horarios y periodos de tiempo en los que estuvo allí; obviamente me dirás “pues te subes a un taxi, la sigues todo el día y arreglado”, bueno… no exactamente, había dos problemitas, el primero; no estaba en la misma ciudad que yo, y la otra… era la vieja no-oficial de un narco. W¡Ups!… ¿es en serio Mam?”, no, no.. no me mal interpretes, no reclamaba por lo del narco, reclamaba porque era domingo.. que más quisiese yo que me cachen y me maten rápida y fríamente, eso resolvería todo.

En fin, terminé mis “Huevos planos”, que la verdad recomiendo bastante… son huevos estrellados sobre unas enchiladas de chorizo con papas; peroooo.. en vez de mole, tiene como extraña salsa de chile pasilla muy buena; sólo falta que pique, pero en el norte no comen chile. Pagué, y entonces me dispuse a trabajar.

Primero que nada había que analizar al objetivo:

No es por ser prejuicioso, pero… la verdad es que no esperaba algo diferente. Analicé un poco de su información, como recordarás el día que tuve que embolsar al pobre Alonso Ríos, pues bueno, en la vida todo son metadatos; y grrr.. esta tipa estaba muy fea como para dedicarle tiempo; y lo más importante ¡era domingo!. Podría haber intentado agregarla como amiga para poder monitorear sus conexiones, la mayoría de las personas dicen que probablemente mi única verdadera habilidad es que tengo mucha facilidad para engañar personas; pero… no tenía tiempo para eso y no me imaginaba pasar horas hablando con la ente feminoide objetivo para poder extraer algo de información útil de ella. Así que optamos por la segunda fase.. ¡metadatos!, para ello hay una herramienta que me gusta mucho; originalmente es una herramienta de pentesting que se usa para hacer parte del scouting de las empresas cuando se les están haciendo pruebas; pero en las últimas versiones también han agregado unas transformaciones (así es como le llaman a los filtros de búsqueda) para poder sacar datos personales de personas, validación de correos electrónicos, URL’s, algunas veces se pueden extraer números telefónicos, personas con las que se ha estado escribiendo, etc… es una maravilla.

Ouuu algo que también esta muy bueno de Maltego es que puedes pasarle un objeto de redes sociales, como puede ser un perfil de Facebook, un mensaje, un twitteo; y a partir de eso te busca toda la información relacionada. No importa que tengas los permisos de privacidad más estrictos, que bloquees gente o lo que sea; en algún punto un like, un contacto, un comentario; lo que sea que hayas hecho en el perfil de alguien que no tenía tantas restricciones como tú, o el uso de aplicaciones como Spotify que usan Facebook como plataforma de autenticación, van a ser que de información.

Después de agregar la información con la que cuentes, aunque no sea mucha, es cosa de dar click derecho “All transforms”  y esperar… y esperar… y esperar… (es que es Java coff.. coff..). En lo que esperaba me puse a ver Doctor Who 🙂

Y después de eso, averigüe la dirección de la ente feminoide objetivo, la cual pude visualizar con Google Maps, pero hum.. bueno, su casa estaba fea, digamos que si se nota que no es la oficial. Además pude saber en donde trabaja, lo cual fue un golpe de suerte. Es cajera en un restaurante de wraps de cadena, que justamente también tiene sucursales en Mexicali… y bueno, todo mundo sabe que cadenas igual a puntos de venta. Como ya eran las 3pm y empezaba a hacer hambre me fui caminando al primer sitio que encontré y al llegar pedí un Wrap Glee (tiene arándanos, sabe rico) y le pedí a la cajera si me podía pasar su clave de wireless. Aquí de nuevo tuve bastante suerte, porque podría haber sido que tuviesen una wireless para clientes/invitados, pero no.. la wireless era la misma que donde estaba conectada la caja.

El siguiente paso era revisar si tenía visibilidad de otros segmentos de red, como podía ser Monterrey, que es donde ella vive; para eso, utilice una herramienta que se llama IP Network Browser. IP Network Browser es una herramienta que sirve a los administradores de red para obtener y operar ciertas cosas de los dispositivos, pero puede ser utilizada muy bien para hacer exploraciones. Lo mejor de todo es que muchos dispositivos de red usan SNMP para comunicarse y herramientas de NOC lo usan para medir el performance de la red, así que muuuuy rara vez esta filtrado por firewalls; y pocas veces es advertido por IPS/IDS:

Para utilizar IP Network Browser hay que pagar, pero nada que no se pueda conseguir en el warez; se abre, se le asigna el rango de IP’s a escánear y se le configuran las community string. Hay que ponerse creativos, obvio las por defecto.. pero ¡hey!, estaba en restaurante de wraps, he visto empresas transnacionales usar “public”, así que, Querido Diario.. guarda tus juguetitos de SNMP brute force para otra ocasión… sigue los consejos del gran, único, el increíble vendetta… antes de usar la fuerza bruta hay que ser un poco más creativos.

El objetivo de utilizar IP Network Browser es encontrar un dispositivo que haga uso de alguna de las community string que hemos configurado y ya que estemos allí analizar las rutas para ver cual es nuestra visibilidad. Ya que encontramos un router, es cosa de pasárselo al Sonar para mapear tooooooodo lo que podamos ver con ese dispositivo.

Añadimos el equipo que hallamos encontrado..

Y esperamos viendo otro capítulo de Doctor Who:

¿Para qué hice esto?… bueno, era o que me iba a Monterrey o que podía ejecutar el ataque desde Mexicali. Ya con la red toda mapeada, algo que me di cuenta es que en términos prácticos la red era plana. Es decir, tenía visibilidad desde cualquier punto de la red hacia cualquier otro punto de la red; por lo cual, sólo lancé un análisis de vulnerabilidades con Nessus a todo el rango de Monterrey (qué por cierto, no sé ve porque lo difumine, pero estaba bien identificado de donde era cada host), y encontrar el segmento donde estaba ella.

Ya que encontré el segmento de ella, ahora si, debía de encontrarla específicamente a ella, y para eso, debía de saber justo el momento en el que ella se conectase a Facebook (al menos por lo que vi, es muy fan de las redes sociales… y de los antros del Barrio Antigüo).

¿Cuantas personas puede haber en un local de wraps?, ¿2?, ¿3?, si hago un ARP poisoning a todos para un DNS Spofing, no va a pasar nada.

Sniffe todo Facebook, Instagram.. y si, no tardé mucho en verle conectarse y poder interceptar las credenciales.. la contraseña era “ensalada69″… la verdad es que es una contraseña que yo habría usado 😛

Ya dentro leí sus chats, ya tenía un registro completo de todos los sitios a los que iba, las personas con las que hablaba; bueno, Señor Narco… si, era una mala mujer.

Ahora sólo me faltaba poder generar la línea de tiempo para poder investigarla al menos 24 horas, tal cual me había pedido Mam. ¿Cómo?, bueno, encontré que a ella le gustaba mucho entrar a un blog de maquillaje, que era de un amigo suyo, y era su estilista. ¿Entrar a una estética?.. psss total, si he hackeado ciudades completas, una raya más al tigre.

Eso iba a ser mucho más fácil, simplemente era un WordPress, bastante viejo; configuré una lista de passwords de leaks que he ido reuniendo con el tiempo de Twitter, LinkedIn y obvio el viejo RockYou. Lo metí al Intruder y esperé… (tuve suerte, no había captcha); los planetas se alineaban: “papichulo1987”.. ¿qué le pasa a la gente con sus contraseñas?. Realmente no me importaba el blog, lo que hice fue probar la contraseña para ver si podía acceder al CPanel del hosting del blog que estaba hosteado en GoDaddy, y; como casi todo mundo, incluyéndome, la contraseña era la misma.

Entre al CPanel y busqué la dirección IP de salida del local de wraps en los logs del Apache; una vez que la encontré busqué el user-agent, no de la computadora desde la que entraba, sino del celular. Resultó ser un :

Mozilla/5.0 (Linux; U; Android 4.0.3; ko-kr; LG-L160L Build/IML74K) AppleWebkit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30

¿LG?, más evidencia de que definitivamente ella vieja no oficial, pero después de haber leído sus chats, le había perdido la compasión.

Una vez que tuve el user-agent lo empecé a buscar en el raw log de apache, hice un grep y saque todas las requests hechas por ese user-agent; así que empecé simplemente a copiar las IP’s en Google y analizar la ruta.

Pude encontrar a través de las IP’s que su celular era Telcel, que en su casa tiene contratado Izzi, que en el trabajo se la pasa conectada al Facebook; que tiene hábitos de entrar al blog por la mañana, a medio día y antes de irse del trabajo… y así, pude entregar una línea de tiempo de todos los lugares físcos en donde ella había estado (con un margen de error), pero de unos cuantos metros.

Lo bueno de ser un bug bounty hunter, es que no tengo que hacer presentaciones ejecutivas para directores; escribí todo en un correo, mandé una foto con mi línea de tiempo y las ubicaciones donde ella había hecho peticiones; incluyendo una casa a la que parece iba mucho; y no, no era la suya… quise creer que sería la del Señor Narco, pero no parecía una casa de un Narco.

Mandé el correo y le avisé a Mam… me fui al Hooters; no me he sentido muy bien últimamente, así que sólo pedí alcohol, del fuerte.

Betty, la mesera, es genial. Siempre me regala bebidas… dice que los chilangos tristes necesitamos de menos poder olvidarnos de todo. Una hora más tarde recibí un SMS de un depósito en mi cuenta. Sólo por confirmar le marqué a Mam para preguntarle si de nuevo iba a tener que tomar un vuelo para embolsar a alguien, porque estaba un poco borracho y se me iba a dificultar un poco… se rió; y me dijo que pidiese un tequila, que el bourbon no es de hombres. Obvio miré a todos lados, no para cuidarme, la verdad si hubiese visto a Mam allí le habría invitado un trago, me habría dado gusto platicar con un amigo, o lo que sea que seamos.. ¿empleado – jefe?.

Hum… terminé, pedí un taxi… grrr.. hay un problema horrible con los taxis de Uber de Mexicali; si los pides con tarjeta te cancelan, forzosamente quieren pago en efectivo; me cancelaron 6 antes de poder tomar uno. Fue un domingo, hum… no fue un domingo normal.

Querido diario… ¿crees que algún día vuelva a tener un empleo normal?… daría lo que fuese por haber hecho ese DNS spoofing a una aplicación dentro de una intranet para tomar usuarios de dominio y hacerme de la administración de una empresa.. no para hum…

Buenas noches, querido diario..

No hay comentarios

Jueves, 28 de Septiembre de 2017: Como embolsar un cuerpo

  por , ,

Querido diario…

Disculpa si te mancho de sangre (cómo si los blogs se pudiesen manchar de sangre)… pero estoy en este momento sentado a la orilla de un río de aguas negras metiendo el cuerpo de un sujeto llamado Alonso en unas bolsas negras de basura, y metiendo algunas piedras para que se hunda y no flote… lo sé, ya te desperté la curiosidad por saber que fue lo que pasó, pero la realidad es que es una pésima historia… pero vale, que para eso estas aquí, así que te platicaré.

Bueno.. pues eran las diez de la noche, piloteaba mi nave, era mi taxi un vol… ok, no… disculpa mis malos chistes, he tenido un día muy malo; no eran las 10pm, en realidad eran como las 5pm sino me equivoco, y no iba en ninguna nave, sino caminando rumbo a la lavandería (¿sabías que en Mexicali a las lavanderías les dicen limpiadurías?… ni yo, esa palabra no existe, pero ahora lo sabes… Mexicali es como un país diferente, nada en todo México se parece a ellos); en fin, iba yo caminando cuando recibí una llamada, era hum… bueno, le vamos a llamar “Mam”… así como en James Bond, sólo que él es hombre, pero digamos que es la persona que en muchas de las historias que serán relatadas en este diario, me asignará las misiones imposibles que tendré que resolver.

Así que bien, Mam me dijo que había un problema; el asunto era que un sujeto había robado información sensible de un cuartel, y estaba intentando venderla en el mercado negro; de forma muy tonta en diferentes foros empezó a anunciar que tenía esa información, colocó algunas screenshots de las carátulas de los documentos que intentaba comercializar y pedía $70, 000 dlls por ella.

El problema no era pagar los $70, 000 dlls, las personas del cuartel no tenían problema con entregar el dinero, pero el punto es que era muy seguro que la volvería a vender, seguía teniendo acceso a otro tipo de información sensible, y sobre todo; el sujeto intentó implicar a la esposa de uno de los oficiales de más alto rango; y no sé como sea en donde tú me leas, pero en México hay cosas que son sagradas y con las que nunca te debes de meter; una de ellas es la mamá de alguien y la otra, con la vieja oficial de alguien, así que básicamente el oficial de alto rango ya lo había tomado más personal el asunto y quería ver al tipo en una bolsa… negra, de basura, descuartizado y con piedras dentro… embalado por un bug bounty hunter que no había comido desde ayer, más que una pizza fría de pollo con chorizo. Oh, por cierto, y antes de que se me pasé, ¿te gustan los cheetos Flamming Hot?, pues bueno en Pizza Ring venden una, pero la verdad no se ve muy antojable que ni a una amiga, que llamaremos Dania Pelo Colorido para ocultar su identidad, que es fan de las cosas picantes, como yo; se le antojó. Aun así creo que en algún momento terminaré pidiéndole por curiosidad.

Bueno, seguimos…

Lo primero que hice al recibir la llamada fue seguir mi ética y profesionalismo y decir:

– No, lo siento Mam, yo no hago eso.

Pero justo en ese momento me empezó a gruñir la panza e iba pasando frente a mi un autobús escolar, que son utilizados para llevar a los obreros a las maquilas. Así que recapacité y acepté la misión. Lo sé, soy una mala persona, pero en Mexicali no hay nada de que trabajar, así que hay que hacer este tipo de cosas.

Regresé a casa, y mientras iba caminando de regreso cargando mis calzoncillos limpios con un delicioso aroma a lavanda, iba pensando que hacer. No pude pensar mucho y simplemente deje que la suerte me dijese que hacer.

Llegué a casa, abrí mi poderosa computadora que se pasma con todo, pero que tiene un teclado de emoticones, lo cual es genial, porque puedo poner en Skype y Whatsapp emoticones desde mi teclado; y me dispuse a escribir un correo electrónico al tipo que estaba vendiendo la información, obviamente cuidando que todo se leyese coherente.

Hola, buen día. 

Mi nombre es Leonel David de León Juárez, hijo de una larga lista de Leoneles de León que suman siete en toda mi familia; y navegando anónimamente en Internet, me encontré con que usted tiene información que me puede ser muy valiosa. Soy un periodista, no de los buenos, de los malos; soy fan de Carmen Aristegui, soy corrupto, adoro al Peje y los domingos me robo el dinero de las limosnas en la iglesia. Así que tengo una fuerte suma de dinero que le puedo dar a cambio de que me proporcione esa información que dice tener para colocarla en un periodicazo. 

Saludos cordiales.

Bien, hasta aquí todo parecía bastante creíble, y no tardó en hacer efecto; unas horas más tarde el sospechoso se había comunicado conmigo para poder establecer una línea directa de comunicación. En pocas palabras se creyó mi historia, y empezamos a negociar. Obviamente empecé a pedir algunas evidencias de que realmente tenía la información; así que me envió un correo electrónico con un documento en PDF y una fotografía de la esposa del oficial de alto rango que estaba fondeando mi misión; todo esto desde una dirección de correo electrónico de Gmail.

Haciendo uso de mis bastos conocimientos en Análisis Forense, entre a www.google.com y escribí: como encontrar a un tipo que me envía un correo electrónico si no se donde esta. El primer resultado resultó bastante útil, una herramienta desarrollada por Google para analizar las cabeceras de los correos electrónicos que uno envía. Para ello sólo es necesario entrar aquí: https://toolbox.googleapps.com/apps/messageheader/

Abrí el correo para obtener la cabcera dando click en la flechita que hay a la derecha en la pantalla y luego seleccionando “Obtener mensaje original”.

 

Por cierto, obvio ese no es el correo del tipo sospechoso. Y toda la pornografía abierta es porque.. hum.. porque busco vulnerabilidades en sitios pornográficos.

Ya con el mensaje original lo copypasteé en la herramienta de Google:

Le de click “Analizar la cabecera anterior”:

Y bueno, en este caso si podemos ver varias direcciones que provienen de la Casa de Cultura de Baja California Norte, sin embargo en el caso de mi sospechoso que estaba usando una cuenta de Google, ¿adivina que fue lo que vi?, así es, sólo direcciones 10.x.x.x que pertenecían al mismo Google, así que primer intento fallido, no era posible encontrarlo así.

Por el poco contexto que me había dado el oficial de alto rango, el sospechaba de todo mundo, pero era más que obvio que el leak tenía que ser interno, además de que veía muy difícil que hubiesen podido extraer la información de las instalaciones, porque tenían fuertes controles de seguridad… este, si; y por eso se pueden conectar a Gmail para enviar correos, suena lógico.

En fin, Plan B, decirle que le voy a comprar los documentos, citarlo en un sitio público y cuando llegase darle unos tehucanazos, secuestrarlo y hacerle pocito hasta que confesase… sin embargo tenía un problema, el sospechoso se encontraba en Yucatán. Lo cual literalmente está al otro lado del país que yo, así que el Plan B tendría que hacerlo esperar.

Con la información que me había enviado de prueba intenté hacer una relación de la información, y recordé a un español que siempre está usando un gorrito; Recuerdo que hablaba de metadatos esto, metadatos aquello, metadatos, metadatos, meta, datos, datos, meta… entonces de pronto algo en mi interior me dijo “vendetta… ¡analiza los metadatos!, joder tío”.

Para analizar los metadatos hay montones de herramientas de hecho recuerdo que Chema Alonso había liberado una versión de su herramienta FOCA, pero más enfocada a análisis forense y que extraía la información de los metadatos de una imagen de disco duro o archivos seleccionados y los correlacionaba entre sí, pero no encontré la FOCA forense, o al menos no con un checksum que me permitiese estar seguro que no estaba infectando mi equipo. Así que decidí buscar en Kali Linux que podía utilizar, y… no encontré nada, pero me encontré una herramienta llamada ExifTool que es fácil de instalar en Kali.

vendetta@quesadillasinqueso:~$ sudo apt-get install libimage-exiftool-perl exiftool

Como todo en los Debian based, las cosas son mágicas cuando son mágicas, trágicas cuando no… para mi suerte, esto resultó mágico. Y teniendo la herramienta instalada, no hice más que meter toda la evidencia al directorio y ejecuté la herramienta con el path para analizarla:

vendetta@quesadillasinqueso:~$ exiftool /home/vendetta/UltraTopSecretPathDelSospechosoQueQuiereChantajearAlOficialDeAltoRangoConCosasRarasDeSuVieja/

Y me encontré:

Bien, encontré el nombre de la persona que originalmente hizo el documento, la herramienta y versiones del software que utilizó para crearlo. Pero eso no me era útil, esa persona era de intima confianza del oficial de alto rango, así que quedaba descartada de entre los sospechosos. Por cierto, también encontré una carita de pánico entre los metadatos… el documento estaba asustado, tanto como yo.

Las fotografias tenían algo más de información, pero realmente no muy útil, lo que más pude obtener fueron las coordenadas de donde fue tomada la foto que metí directamente en Google Maps y me apareció la dirección del cuartel. Eso lo único que me confirmó es que el sospechoso tenía que ser parte del cuartel para poder tener acceso a él, pero nada más.

Pensé y pensé… y de pronto se me ocurrió algo. Ya que el sospechoso me estaba respondiendo pensé que podría enviarle una imagen sencilla, algo como una firma en mis correos electrónicos o un cuadrito en blanco que estuviese alojado en un servidor de mi control, y que cuando él abriese el correo electrónico se hiciese una petición a la imagen; ya teniendo la petición de la imagen entraría a los logs del servidor web para verificar la IP desde donde sea hacia la HTTP request y si corría con la suerte de que la estaba haciendo desde dentro del cuartel pedirle a alguien que me ayudase a validar en el appliance que estuviese como gateway de Internet del cuartel que dirección IP interna había hecho esa request.

Subí a ti una imagen en blanco: http://bigshot.beer/blanco.png

Y literalmente copié y pegué la imagen en Gmail, ya antes había hecho este truco cuando intenté rastrear a alguien en un chat de Messenger de Facebook y funcionó, pero en esa ocasión no; resulta que para Gmail copiar una imagen y adjuntar es exactamente lo mismo, así que al momento de pegarla en el cuerpo del mensaje mi imagen se terminaba convirtiendo en una imagen con una referencia interna de Google. Intenté adjuntarla con un tag de HTML directamente en el correo y nada, esos de Google han resuelto muchas cosas, así que adiós a mi brillante plan C.

La verdad se me estaban acabando las opciones y me puse a buscar un vuelo para poder irme a Yucatán. Aunque tampoco tenía como idea de que haría allá una vez que llegase. Podía ir al cuartel y todo, pero llegando allí no tendría mucho apoyo por parte de las personas que se encargan de administrar la red del cuartel porque obvio todos son sospechosos, y el oficial de alto rango, aunque era de muy alto rango no era una persona que me pudiese prestar los accesos a las consolas. Así que tenía varios planes en mente, pero todos ellos no parecía que me pudiesen llevar a algo.

Mi Plan D era llegar directo, conectarme al gateway de salida que podría ser un router o un firewall y sniffear a ver si veía la referencia de la imagen en blanco en Google. Que por cierto, una vez que Google renderíza la imagen esta se vuelve una referencia estática, así que pueden checar el nombre gigante de la imagen en un HTTP request normal y si tienen suerte lo verán, el problema es que viaja por HTTPS, así que hum.. bueno, tal vez lo viese en un GET pero no estaba seguro.

El Plan E era que si de todas formas todo lo que iba a ver estaba cifrado, llegase a intentar conectarme a la consola del firewall; ya fuese que con mi enorme encanto convenciese a un administrador de red o que atacase a uno de los administradores de la red para que se conectase al gateway y en ese momento cachase sus contraseñas y pudiese obtener las credenciales. Ya una vez conectado ingresar tranquilamente a revisar los logs en búsqueda de las personas que hayan accedido a Gmail y poder ir reduciendo mis opciones de sospechoso.

El Plan F era llegar y hacer un ARP poisoning a todo y contra todos… ok, ese era un pésimo plan.

Pues bien, el tipo se estaba impacientando y yo me estaba quedando con pocas opciones y se me estaba revolviendo la cabeza; así que lo único que se me ocurrió fue platicar con él a través de los correos y decirle que si, que aceptaba pagarle sus $70, 000 dlls y pedirle que me asegurase que la información que me ofrecía era cierto; tal vez en el último de los casos pagaba la información le decía al oficial de alto rango que la había recuperado, lo citaba en un sitio público e íbamos al Plan B de los tehuacanazos.

Mientras buscaba mi vuelo a Yucatán pasó algo, el topo empezó a enviarme información de prueba cuando vio que le asunto iba serio y estaba dispuesto a pagar, y entre las cosas que me envió fue un PDF que yo no pude abrir, con mucha sinceridad le dije que el archivo estaba dañado, me dijo que era porque había intentando sólo enviarme la primer página a modo de prueba y salió mal, pero que me enviaba un Word para validar.

¿Momento?, ¿acaba de decir un archivo de Word?…

De nuevo pasó por mi mente Chema Alonso, sus metadatos, y una conversación que tuvimos donde le pregunté cual era el propósito de que FOCA hiciese un scouting intentando relacionar información de documentos de Office, pues bien, los metadatos; los documentos de Word, principalmente, están llenos de metadatos que permiten su recuperación en caso de falla, manejo de versiones, incluso pueden llevar hasta una síntesis de la información que contiene el documento.

Así que analicé el documento y…

Pues bueno… el análisis de los metadatos de Word no sólo me arrojó el nombre de la persona que ya conocía había creado el documento inicialmente, sino que me arrojaba el nombre de la persona que dentro del Dominio del cuartel había hecho la última modificación del documento, y para que no tuviese dudas, también me decía cuantas revisiones se habían hecho al documento. La primera en su creación/lectura inicial cuando el sospechoso la obtuvo, la segunda, hecha por un tal Alonso Ríos, que era el nombre del sospechoso, y nada más para confirmar la hora en la que lo había hecho, un minuto antes… ¡pwned!.

Pues bien, el juego había terminado para nuestro amigo Alonso, lo iban a despedir e incluso podrían fincarle algún tipo de demanda, debido a que lo que había hecho era un delito… o eso pensé.

Avisé con toda mi evidencia al oficial de alto rango, lo estaba viendo por una conversación de FaceTime y obviamente se le vio muy feliz cuando escucho el nombre; vi a través de la cámara que hizo algunos ademanes, y que otros soldados salieron corriendo, medio me preguntó como era que lo había conseguido y yo medio intenté explicar, aunque creo que no me entendió mucho; unos minutos más tarde vi a los soldados entrar con una cosa que parecía un bulto a la oficina donde estaban, escuché un gracias, recibí un SMS con un depósito en mi cuenta bancaria y se perdió la conexión.

Bueno… así es la vida, pensé. Verifiqué el saldo en mi cuenta, acomodé mis calzoncillos en el armario y salí a cenar. Fui al Hooters, donde casi siempre cenó a platicar con Betty, la mesera que atiende la barra que desde que me mudé a Mexicali conozco; y mientras estaba en comiendo unas alitas 3 mile island, Mam me envió un correo con un boleto a Yucatán.

Bueno… parece que al oficial de alto rango se le pasó un poquito la mano, y heme aquí, en la orilla de un río deshaciendome de la evidencia, y no exactamente la digital.

Le platiqué mi prestanombres Eduardo, que usualmente llamo Lalo; pero que por razones de extrema seguridad; le llamaré Joven Candia, me preguntó si no me sentía mal por haber dejado a una viuda y dos niños desamparados, dijo que no podía creer que pudiese dormir; pero la verdad es que el avión me quedé muerto. Después de pensarlo bien, el Joven Candia coincidió conmigo en que hemos pasado tiempos peores, yo le dije que si… realmente no recuerdo tiempos peores a estos, pero él además de defender redes de día y hacer análisis forenses reales; de noche es abogado, es mi abogado… entonces uno le tiene que creer a su abogado.

Hemos pasado tiempos peores, podría ser peor.

Tip: querido diario… si un día tienes que embolsar a alguien en bolsas de basura, ponle doble bolsa, porque las bolsas de basura son muy delgaditas y se rompen con facilidad 😉