
Especialista forense digital
Cambio de gris
Kevin Chandler es un especialista en análisis forense digital en Grayshift con más de 26 años de experiencia en el cumplimiento de la ley, especializado en análisis forense digital y análisis de sitios celulares. Antes de incorporarse a Grayshift, Kevin trabajó para la Policía Británica de Transportes en diversas funciones policiales, y los últimos 16 años fue detective especializado en ciberdelincuencia, fraude y grandes investigaciones.
En esta entrevista, Chandler se define a sí mismo como un «tipo de DFS de modales suaves», pero después del puñado de casos sobre los que reflexiona aquí, no podemos evitar preguntarnos si Kevin Chandler es más de lo que parece. Sigue leyendo para saber cómo Chandler utilizó GrayKey en su vida anterior como detective para resolver casos complicados de robo en cajeros automáticos y atraco a mano armada.
Es obvio que eres un #nerdcop. ¿Cuál es su tecnología favorita que le gusta utilizar a diario?
Tiene que ser mi smartphone, como la mayoría de la gente, estoy perdido sin mi teléfono. Es cómodo hacerlo todo sobre la marcha o en distintos lugares. No se trata sólo de llamadas y mensajes de texto. Puedo trabajar, ver Netflix en el metro, pagar mis facturas, todo lo que quiero hacer; puedo hacerlo en mi teléfono.
Cuando era investigador forense digital, ¿con qué tipo de casos solía encontrarse?
Nunca me asignaron al laboratorio forense digital como examinador, y mis antecedentes eran como detective de primera línea. Empecé en el mundo digital ocupándome del fraude con tarjetas bancarias y del uso de datos comprometidos para clonar tarjetas bancarias. Debido a la complejidad de esas investigaciones, dos de nosotros fuimos seleccionados para recibir formación en informática forense. Como todos los buenos equipos de investigación, fuimos capaces de adaptarnos cuando el tipo de delito cambiaba o evolucionaba, y pasamos a ocuparnos de los dispositivos Skimming de los cajeros automáticos, en los que el código PIN era capturado por un teléfono móvil desprovisto de identificación. sobre el teclado del cajero automático. Este fue mi camino hacia la investigación forense móvil.
Nuestra oficina estaba en el primer piso, encima de la sala de custodia, y teníamos fama de ofrecer descargas de teléfonos móviles a los agentes que tenían bajo custodia a delincuentes. Eran carteristas o traficantes, pero en algún sitio hay que aprender el oficio. Gracias a nuestro éxito, empecé a colaborar en otras investigaciones y la unidad ofreció asesoramiento y apoyo forense digital en todo tipo de investigaciones, incluidos fraudes complejos y el suministro de pruebas digitales para un caso de fraude. banda multimillonaria de robo de teléfonos móviles.
Esta función se consideraría ahora la de un investigador de medios digitales en el Reino Unido. El equipo estaba aportando valor a diversas investigaciones, revisando las oportunidades digitales. Como resultado, la dirección nos trasladó a la unidad de delitos graves de nuestro Cuartel General, donde nos ayudaron con asesinatos, robos, delitos sexuales y daños criminales graves. Siempre he creído que ningún trabajo era demasiado pequeño y que cada día era un día de escuela, así que también me ocupaba de cualquier cosa con un elemento digital para mantener al día mis conocimientos.
¿Hay algún ejemplo de caso que haya investigado con GrayKey? ¿Puede decirnos cómo podría haber ayudado GrayKey?
Ayudé en un caso de robo que llama la atención. Un equipo había estado atacando a personas vulnerables en cajeros automáticos, robándoles sus tarjetas bancarias y pidiéndoles sus números PIN. Se había iniciado una investigación en la que se relacionaban numerosos delitos cometidos en todo Londres, pero el agente encargado de la investigación tenía dificultades para vincular al principal sospechoso con los delitos.
El agente se había incautado del teléfono del sospechoso, que tenía el PIN bloqueado. Como el dispositivo estaba bloqueado, colocaron el teléfono sobre la GrayKey y descifraron la contraseña en sólo unos segundos. El investigador no pudo ver ninguna prueba que relacionara al sospechoso con los delitos. Al poder realizar una extracción completa del sistema de archivos con GrayKey, pude profundizar en el teléfono y obtener datos de localización que situaban al sospechoso en las proximidades de muchos de los delitos, en la fecha y hora en que se produjeron.
¿Qué le gustaría que la gente entendiera de este trabajo?
Que no se trata sólo de apretar unos botones, las herramientas son excelentes, pero hay que saber interpretar los datos o los resultados que las herramientas nos han proporcionado. Mantenerse al día es esencial.
¿Cuál ha sido el crimen más difícil que ha resuelto con GrayKey?
Me pidieron que ayudara en un atraco a mano armada a una furgoneta de Cash in Transit, donde los guardias fueron atacados. Se facilitó al equipo de investigación un posible sospechoso, pero tenía coartada en el momento del delito. Los agentes se incautaron de su teléfono móvil, que tenía el PIN bloqueado. El código de acceso del teléfono se localizó con GrayKey, pero sólo se hizo una extracción lógica debido a la escasez de personal. Esta extracción lógica no implicó ni exoneró al sospechoso. Ayudé con el análisis del sitio celular y pude demostrar que el sospechoso podría haber estado en el lugar en el momento del robo, pero también pude demostrar que el sospechoso podría haber estado en el lugar de donde fue robado el coche de la huida.
Al revisar la extracción del teléfono e identificar que sólo era una extracción lógica, realicé una extracción del sistema de archivos utilizando GrayKey. Esta extracción aportó datos adicionales, . Pudimos ver que el sospechoso había investigado el coche de huida que estaba a la venta en internet. También había estudiado el lugar del delito poco después del mismo y, durante algún tiempo, investigó los medios de comunicación locales para mantenerse al día de las noticias sobre el robo.
Aunque los datos de localización del teléfono no situaban directamente al sospechoso en el lugar del crimen, lo situaban en las inmediaciones del lugar del crimen pero no en la zona de su coartada. El sospechoso se declaró culpable tanto del robo del coche como del atraco.
¿A qué retos se enfrenta habitualmente como examinador forense móvil?
Los investigadores no sabían qué querían del dispositivo que presentaron. En general, todas las investigaciones pueden llevar ahora un teléfono móvil. Aun así, los agentes encargados de la investigación tienen que averiguar qué quieren del teléfono o conseguir del análisis. El formulario de envío suele decir algo así como «todo» sabemos que son miles de páginas de datos. Gran parte de ella no será relevante para su investigación y se corre el riesgo de pasar por alto cualquier prueba, ya que hay demasiado que examinar.
El tiempo: Siempre hace falta más tiempo.
¿Qué consejos daría a los nuevos especialistas en investigación forense digital para ayudarles a superar retos similares?
No se base sólo en el formulario de presentación si puede, siéntese y discuta con el investigador qué quiere conseguir o qué puntos débiles tiene en sus investigaciones y elabore con ellos una estrategia de trabajo digital.
¿Qué sabe ahora que le hubiera gustado saber cuando empezó?
Tendré que contestarte a esta pregunta.
¿Cuál es el secreto de uno de sus compañeros de equipo que la mayoría de la gente no conoce pero debería conocer?
No hay secretos en el equipo DFS, o eso me dicen.
¿Qué superpoder aporta a Grayshift?
No tengo ningún superpoder; sólo soy un tipo apacible de DFS. Sé escuchar y me gusta cuestionar las cosas. Quiero resolver problemas y estoy dispuesto a asumir nuevos retos y aprender cosas nuevas.
Si la respuesta de Chandler a la pregunta 10 (además del resto de esta entrevista) le hace preguntarse si es realmente Superman, la respuesta es sí. Pero nunca lo admitirá. Como miembro del equipo de DFS de Grayshift, Chandler pasa buena parte de su tiempo haciendo presentaciones, reuniéndose con profesionales de las fuerzas de seguridad y respondiendo a preguntas. Londres es su base, pero recorre muchos kilómetros al año. Si tiene alguna pregunta para Chandler o desea saber si participará en un acto cerca de usted, no dude en ponerse en contacto con él en: kchandler@grayshift.com.
Otros recursos que pueden interesarle:
- 10 razones por las que necesitas GrayKey
- Guía de laboratorio de bricolaje de Mobile Forensics
- Cómo conservar las pruebas digitales: 7 consejos de expertos
© 2023. Grayshift, LLC. Todos los derechos reservados. Reservado y confidencial.