Estudio de un caso de investigación de atentados con bomba utilizando BTS Tracker y PhoneLog de SecurCube

Comparte:

A continuación, os mostraremos un ejemplo del alcance de las herramientas de Informática Forense de SecurCube a través de un caso de investigación en los Estados Unidos donde hubo cuatro explosiones causadas por cajas de cartón dejadas en patios delanteros o en porches. Estos paquetes no fueron entregados por el servicio postal ni otros servicios de mensajería privada. La población estadounidense fue alertada sobre los peligros relacionados con los paquetes que no esperaban.

¿Cómo conectaron los investigadores al sospechoso con los hechos?

Como punto de partida, la policía utilizó un instrumento de alta tecnología, precisamente el equipo forense de inspección de radio frecuencias BTS Tracker, para escanear la cobertura real de los emplazamientos de las células (BTS). Los oficiales sabían que no se utilizaba ninguno de los servicios de entrega ni de los transportistas habituales para entregar las cajas. Algunos testigos reportaron una camioneta roja en dos de los vecindarios donde se dejaron los paquetes bomba. Analizando la información recopilada durante el estudio de la actividad del entorno radioeléctrico en el lugar del delito, ha sido posible destacar las torres celulares específicas que estaban activas y daban cobertura a los diversos lugares del delito.

Como podemos ver en la Fig.1, el análisis de las celdas alrededor de la escena del crimen, realizado en condiciones lo más similares posibles a las del día del evento, mostró a los investigadores la BTS activa, su intensidad de señal en diferentes momentos del día y el área cubierta.


Fig. 1: Lista de torres de telefonía móvil detectadas en el lugar del crimen

 

A partir de las exploraciones realizadas, las fuerzas policiales se centraron únicamente en los sitios específicos de servicio de las torres de telefonía móvil y solicitaron los registros de llamadas (CDR) en el intervalo de tiempo en el que el sospechoso pudo haber dejado la bomba (Fig. 2). Analizando con PhoneLog cada torre celular específica del CDR, los oficiales redactan una lista de números de teléfono e individuos que se encontraban en las zonas del crimen.

Fig. 2: Comparar la cobertura teórica de las torres de telefonía móvil proporcionada por los operadores de telefonía y la información de escaneo en tiempo real

 

A través de una evaluación en profundidad de la lista de números de las áreas de interés, una en particular llamó la atención porque no tenía ninguna conexión con el vecindario. Durante el examen de las diferentes torres celulares del CDR, siempre surgió ese número específico.

Como se muestra en la imagen de abajo (Fig.3): la policía tomó como parámetros de investigación las torres de celdas de servicio ubicadas en la primera explosión (escena de la bomba1), donde, según el informe de algunos testigos, se notó un vehículo todoterreno rojo desconocido. Como se muestra, el número del sospechoso también apareció en las otras ubicaciones de la escena del crimen. El último parámetro es una torre de telefonía móvil de la tienda de FedEx donde el sospechoso dejó dos paquetes y donde la cámara de seguridad detectó la placa roja del SUV del sospechoso: esto ayudó a los investigadores en el seguimiento posterior del sospechoso.

Fig. 3: Comprobar los números bajo de la cobertura de la torre de telefonía resaltada durante el análisis previo de las celdas

 

Un análisis más profundo.-

El sospechoso fue capturado después de un análisis detallado de la cobertura real de las celdas, examen del CDR que llevó a rastrear su SUV rojo. La razón de sus acciones sigue siendo desconocida hasta el día de hoy. En el teléfono del sospechoso se encontró un vídeo en el que describe cada componente en particular y los materiales utilizados para cada bomba. La policía considera este vídeo como una confesión, pero no esboza un motivo claro para los ataques.

Una vez obtenido el CDR del sospechoso, los agentes pueden analizar su actividad durante los últimos meses. Los registros telefónicos son capaces de resaltar información relevante para averiguar mejor quién era el sospechoso, qué estaba acostumbrado a hacer en las últimas semanas anteriores a los atentados, con quién estaba acostumbrado a hablar, verificar las conexiones con grupos particulares, entender cómo y dónde aprendió a construir bombas, a saber, el perfil del sospechoso y, con suerte, sus motivaciones.

Por ejemplo, el análisis de los lugares que frecuentaba puede determinar si el sospechoso estaba persiguiendo a las víctimas, lo que podría identificarlas como objetivos específicos y, finalmente, si debería haberlas conocido. O, por el contrario, no hay conexión con las víctimas y los paquetes fueron entregados al azar (Fig.3). Revisar los lugares a los que solía ir durante el día, dónde y cuándo compró los materiales de la bomba.

Fig. 4: Análisis del patrón de movimientos y perfil del sospechoso

 

Además, la creación de estadísticas filtradas por los días de la explosión de la bomba (en la figura del 2 de marzo) puede probar los números más contactados y averiguar si alguien le ayudó a construir las bombas o a entregarlas comprobando a los usuarios más contactados (Fig. 5). Además, la actividad por horas muestra la actividad del teléfono móvil del sospechoso en lugares específicos en un día y hora de interés (Fig.6).

Fig. 5: Números de sospechosos más contactados el día del primer bombardeo

 

Fig. 6: Actividad del sospechoso por horas todos los martes, rango de tiempo 19:00pm a 00:59am, durante el mes de marzo

 

Los investigadores pueden verificar si el sospechoso y el usuario más contactado se reunieron todos los jueves por la noche y dónde.

Fig. 7: Puntos de encuentro de sospechosos y usuarios más contactados el día del primer bombardeo

 

Como se muestra en las Fig. 7 y 8, los dos sospechosos solían reunirse todos los jueves por la noche en un lugar específico. Analizando la ubicación en el mapa y la dirección, parece que se reunían en una casa que no pertenece a ninguno de ellos.

Fig. 8: Vista satelital del lugar donde el sospechoso solía ir los jueves por la noche.

 

Supusimos que podrían estar visitando a algunos amigos para poder comprobar a los Usuarios cerca de los Sospechosos (Fig. 9).

Fig. 9: Usuarios cerca de los Supects

 

Estos usuarios forman parte de un grupo religioso. Sabemos por las familias de los sospechosos que suelen participar en estas reuniones. Los otros usuarios que frecuentaban el grupo no están involucrados en el caso. La policía no cree que las acciones sospechosas se basen en creencias religiosas.

 

OnRetrieval es representante / distribuidor oficial de SecurCube para la comercialización de sus herramientas. SecurCube es la principal empresa italiana especializada en tecnología forense digital para el análisis de dispositivos y de telefonía móvil. La empresa es un partner clave a nivel nacional e internacional, de los organismos de seguridad y expertos digitales comprometidos en el examen de dispositivos electrónicos y relación de datos para procesos de investigación. Más info

 



Author: Elaine
Responsable de Marketing en OnRetrieval

Deja un comentario

Al continuar utilizando nuestro sitio web, usted acepta el uso de cookies. Más información

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra POLÍTICA DE COOKIES, pinche el enlace para mayor información. Además puede consultar nuestro AVISO LEGAL y nuestra página de POLÍTICA DE PRIVACIDAD

Cerrar