Hoy voy a hablar de un caso en primera persona ya que mi cuenta personal de Instagram @ninaveleztroya fue hackeada el pasado 10 de enero.
Mi cuenta fue sustituida por completo y toda mi información y fotos fueron borradas y, naturalmente, lo denuncié a Instagram que, desde esa fecha, alguien había entrado en mi perfil, cambiando mis contraseñas y borrando mi identidad. A fecha de hoy, 18 de enero, Instagram no ha contestado.
Le comenté este suceso a mi amigo Salvador Gamero, detective privado de Sevilla y Director de la Agencia Detectivia Ciberinvestigación y comparto la investigación que realizó y que concluyó con la averiguación de la identidad del hacker, localizado en Israel, nacido en 2006 y ex jugador de fútbol, además de hackear mi cuenta e intentar robar otras tantas de mis amigos a los que evidentemente avisé.
He realizado la pertinente denuncia a la Policía Nacional para que actúe en consecuencia.
Los detectives hackers son profesionales especializados en la investigación y detección de todas aquellas actividades ilegales que están relacionadas con la seguridad cibernética y la piratería.
Informe Confidencial
Objeto de la contratación:
Ámbito otros, ciber investigación.
La ejecución del encargo se realizará conforme a las previsiones de la Ley 5/2014 de 4 de abril, de Seguridad Privada y su normativa de desarrollo.
Número de expediente asignado en libro registro: 2024-254
Detective privado participante:
Salvador Gamero Casado TITULAR DE DETECTIVIA RNSP 11.124, con DNI 28.489.924P con habilitación de investigación privada Nº 4.570.
Salvador Gamero Casado con N.º de Habilitación Ministerio Interior 4.570.
Medios utilizados:
Recursos Humanos y materiales que se necesitan:
Un detective privado
Un ordenador con conexión a internet
Investigado: Cuenta de correo (por privacidad no se puede poner)
Solicita:
Averiguaciones dirigidas a la identificación del usuario (por privacidad no se puede poner) de Google debido al uso ilegítimo de la cuenta de Instagram @businesforappeal propiedad de Nina Vélez-Troya por su parte.
Legitimación y cumplimiento normativo de la investigación
El correo electrónico investigado ha sido puesto como modo de recuperación en la cuenta de Instagram @businesforappeal, propiedad de Nina Vélez-Troya, se ha cambiado la contraseña de acceso a la cuenta y la legítima propietaria no puede acceder a la misma. El contenido que tenía publicado en dicha cuenta ha borrado.
La finalidad de la información y pruebas aportadas por el DESPACHO al CLIENTE es ser utilizada en la toma de decisiones lícitas y/o en procedimientos judiciales, arbitrales, administrativos o de otra índole en los cuales el CLIENTE tiene un interés legítimo.
El presente informe se redacta bajo el marco normativo de la Ley 5/2014, de 4 de abril, de Seguridad Privada (en adelante “la ley”) que recoge en su artículo 49, informes de investigación:
Por cada servicio que les sea contratado, los despachos o los detectives privados encargados del asunto deberán elaborar un único informe en el que reflejarán el número de registro asignado al servicio, los datos de la persona que encarga y contrata el servicio, el objeto de la contratación, los medios, los resultados, los detectives intervinientes y las actuaciones realizadas, en las condiciones y plazos que reglamentariamente se establezcan.
Así mismo la citada ley recoge dentro del capítulo III (Servicios de los despachos de detectives privados) en su Artículo 48 los servicios de investigación privada:
a) Los relativos al ámbito económico, laboral, mercantil, financiero y, en general, a la vida personal, familiar o social, exceptuada la que se desarrolle en los domicilios o lugares reservados.
Se adjunta en el Anexo I del presente documento el Informe de la UCSP, Unidad Central de Seguridad Privada de Policía Nacional 2016/2226 de fecha 23.12.2016 con asunto Justificación de la legitimación en la contratación de los Detectives Privados.
Datos previos
El día 10/01/2024, Nina Vélez-Troya se percata de que no tiene acceso a su cuenta de Instagram y recibe un correo electrónico en la cuenta de correo electrónico asignada con el siguiente contenido:
The email on your Instagram account was changed from ninaveleztroya@gmail.com at 13:13 (PDT) on Wednesday, January 10 2024.
Your new email is (por privacidad no se puede poner) If you didn't change your email address, you can secure your account here.
Observa que el contenido de la cuenta ha sido eliminado.
Durante la investigación indica que también ha sido víctima otra cuenta propiedad de la Sra. Vélez-Troya con usuario @creative_redivoryluxuryblog
Resumen ejecutivo
El planteamiento ha consistido en realizar una búsqueda inversa sobre la cuenta de correo, y en base a los resultados, efectuar rastreo de nombres de usuarios obtenidos, lo que permitió obtener la identidad (por privacidad no se puede poner) en Google, cuya búsqueda de usuario permitió obtener perfil en Skype, bajo el pseudónimo (por privacidad no se puede poner), así como perfil Facebook asociado a la cuenta de correo del autor (por privacidad no se puede poner);
La búsqueda ampliada sobre esta última identidad permite establecer que es coincidente con el usuario de la dirección de correo (por privacidad no se puede poner), correspondiéndose con su nombre real, nacido en enero de 2016, de nacionalidad israelí y ex jugador de un equipo de fútbol (temporada 2018), perfilándose como el presunto autor del acceso no autorizado a ambas cuentas de Instagram.
Se detecta que se está realizando una campaña de phishing a través de mensajes directo desde las cuentas comprometidas a sus seguidores.
Pasos realizar:
Gestionar con Instagram la recuperación del control de la cuenta como se especifica en el punto siguiente del informe.
Denunciar en Policía los hechos ocurridos de manera presencial, incluyendo la campaña de phishing.
Comunicar a la AEPD (Agencia Española de Protección de Datos) a través de su herramienta Comunica-Brecha RGPD:
https://www.aepd.es/guias-y-herramientas/herramientas/comunica-brecha-rgpd
Realización de un estudio de la huella digital de la Sra. Vélez-Troya Anquela con objeto de evitar futuras incidencias.
Recuperación del control de cuentas
Opción Web: https://www.Instagram.com/hacked/
Elegir Hackearon mi cuenta (solicitarán nombre de usuario, teléfono o email).
Elegir la cuenta original que se empleaba para acceso
Se recibirá un mail desde (security@mail.Instagram.com)
Solicitar un enlace de inicio de sesión nuevo o un código de seguridad al email original empleado como credencial.
SOLICITAR LA RESTAURACIÓN DEL CONTENIDO.
Opción desde móvil
Pagina inicio Instagram - olvidé password
Buscar por número móvil – hallar cuenta
Recibirá SMS con enlace para restablecer contraseñaAveriguaciones
INFORMACION DE BASE PROPORCIONADA:
2º Cuenta Instagram Objeto de Intrusión
Email Autor de Intrusión y Sustracción Control Perfiles Instagram
DESARROLLO:
Es realizada búsqueda por email (leaks, credenciales de uso en cuentas redes sociales), así como sobre identidades de usuario y nombres obtenidos, con los resultados que se exponen:
Imagen 1.- Obtención de ID Google 1072....... – Nombre (por privacidad no se puede poner)
Imagen 2.- Obtención Identidad (por privacidad no se puede poner) a través búsqueda Username (por privacidad no se puede poner)
Imagen 3.- Obtención Perfil Facebook – Credencial (por privacidad no se puede poner) – Tel. Parcial ****015
Imagen 4.- Localización Ubicación – Búsqueda por Identidad (por privacidad no se puede poner)
Imagen 5.- Cuenta de Correo ...........@gmail – Asociada a Identidad (por privacidad no se puede poner)
Imagen 6.- Perfil Facebook – Credencial Correo ...........@gmail
(por privacidad no se puede poner)
Imagen 7.- Perfil Instagram ID 49306.......... (modo privado)
FUENTE (por privacidad no se puede poner)
Imagen 8.- Ficha Jugador (Israel) – Nacido 01/2006 – Jugador en Equipo FC en 2018
FUENTE (por privacidad no se puede poner)
Objeto del ataque
Se ha recibido en cuentas que eran seguidoras de las cuentas comprometidas mensajes directos conteniendo una campaña de Phishing. Están usando la cuenta legítima de la Sra. Vélez-Troya para delinquir.
Captura de mensaje recibido por una cuenta seguidora
A continuación aviso de la empresa de antivirus Kaspersky en la que detalla la campaña de phishing coincidente con el mensaje enviado a la libreta de direcciones
Análisis cuenta de asociada
Se realiza un estudio de la cuenta de correo electrónico ninaveleztroya@gmail.com que se ha visto comprometida. Se identifican registros en Samsun, Microsoft, Wordpress, Eventbrite, Adobe, Apple y Trello. Se detecta que el dominio ninaveleztroya.com está alojado en 1&1 Internet AG.
Se localizan tres filtraciones conocidas a través del servicio haveibeenpwned:
Cumplimiento normativa protección de datos
Los datos obtenidos como consecuencia de esta investigación son estrictamente secretos y están protegidos por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, destinados únicamente al uso exclusivo de nuestro cliente, que se hace responsable, a todos los efectos, de su divulgación a terceros.
El tratamiento de datos realizado para la presente investigación está legitimado por el art. 6.1 del RGPD, letras “b” (el tratamiento es necesario para la ejecución de un contrato) y “f” (el tratamiento es necesario para la satisfacción de intereses legítimos del responsable o de un tercero sin que existan derechos del interesado que deban prevalecer). Se han aplicado las limitaciones y cautelas previstas en los artículos 48 y 49 de la Ley 5/2014 de Seguridad Privada.
Detectivia cumple con todos los requisitos de la ley de protección de datos y del reglamento europeo de protección de datos.
Los datos de gestión obtenidos de fuentes abiertas en internet han sido tratados acorde a la legislación vigente.
Certificación de contenidos
Se ha realizado una certificación de contenidos de la documentación recopilada de internet, contenido de fuentes abiertas disponible para cualquier navegante en internet, para constatar la presencia de esta información en la fecha en que se ha realizado la investigación.
Este contenido ha quedado recogido con:
firma electrónica avanzada con sello de tiempo cualificado generada por Full Digital S.L. con Certificación acorde al reglamento eIDAS.
Se adjunta siguiente documento explicativo sobre que es el reglamento eIDAS:
“REGLAMENTO eIDAS Identificación y firma Preguntas frecuentes” realizado por Ministerio De Política Territorial Y Función Pública, Secretaría De Estado De Función Pública, Secretaria General De Administración Digital y Disponible en el Portal de Administración Electrónica PAe en el siguiente enlace: https://administracionelectronica.gob.es/dam/jcr:c0c76b68-daa8-469f-8885-164357d78815/Preguntas_frecuentes_Reglamento_eIDAS.pdf
Anexos
Anexo I
A continuación se añade un informe citado con anterioridad en el presente documento:
Informe UCSP 2016/2226 de Fecha 23.12.2016 con asunto Justificación de la legitimación en la contratación de los Detectives Privados.
Private detectives help solve hacker cases
Today I'm going to talk about a case in first person as my personal Instagram account @ninaveleztroya was hacked last January 10.
My account was completely replaced and all my information and photos were deleted and, naturally, I reported to Instagram that, since that date, someone had entered my profile, changing my passwords and erasing my identity. As of today, January 18, Instagram has not responded.
I told this event to my friend Salvador Gamero, private detective of Seville and Director of the Agency Detectivia Ciberinvestigación and I share the investigation he conducted and concluded with the finding of the identity of the hacker, located in Israel, born in 2006 and practicing soccer, in addition to hacking my account and trying to steal as many others of my friends whom I obviously warned.
I have made the relevant complaint to the National Police to act accordingly.
Hacker detectives are professionals specialized in the investigation and detection of all illegal activities related to cyber security and hacking.
Confidential Report
Object of the contract:
Other scope, cyber investigation.
The execution of the assignment will be carried out in accordance with the provisions of Law 5/2014 of April 4, 2014, on Private Security and its implementing regulations.
File number assigned in register book: 2024-254.
Participating private detective:
Salvador Gamero Casado DETECTIVE HOLDER RNSP 11.124, with DNI 28.489.924P with private investigation qualification No. 4.570.
Salvador Gamero Casado with Ministry of the Interior Clearance No. 4,570.
Means used:
Human and material resources needed:
A private detective
A computer with internet connection
Investigated: E-mail account (For privacy reasons, it cannot be put)
Request:
Inquiries aimed at identifying Google user (For privacy reasons, it cannot be put) due to the illegitimate use of the Instagram account @businesforappeal owned by Nina Velez-Troya by her.
Legitimacy and regulatory compliance of the investigation.
The investigated email has been put as a recovery mode on the Instagram account @businesforappeal owned by Nina Velez-Troya, the password to access the account has been changed and the legitimate owner is unable to access the account. The content she had posted on the account has been deleted.
The purpose of the information and evidence provided by the FIRM to the CLIENT is to be used in making lawful decisions and/or in judicial, arbitration, administrative or other proceedings in which the CLIENT has a legitimate interest.
This report is drafted under the regulatory framework of Law 5/2014, of April 4, on Private Security (hereinafter "the law") which includes in its article 49, investigation reports:
For each service contracted to them, the firms or private detectives in charge of the matter must prepare a single report in which they will reflect the registration number assigned to the service, the data of the person who commissions and hires the service, the object of the contracting, the means, the results, the detectives involved and the actions carried out, under the conditions and deadlines established by regulation.
Likewise, the aforementioned law includes in Chapter III (Services of the private detective offices) in its Article 48 the private investigation services:
a) Those related to the economic, labor, mercantile, financial and, in general, to the personal, family or social life, with the exception of the one that is developed in the homes or reserved places.
Attached in Annex I of this document is the Report of the UCSP, Central Unit of Private Security of National Police 2016/2226 dated 23.12.2016 with subject Justification of the legitimacy in the hiring of Private Detectives.
Previous data.
On 10/01/2024, Nina Velez-Troya notices that she does not have access to her Instagram account and receives an email on the assigned email account with the following content:
The email on your Instagram account was changed from ninaveleztroya@gmail.com at 13:13 (PDT) on Wednesday, January 10 2024.
Your new email is (For privacy reasons, it cannot be put) If you didn't change your email address, you can secure your account here.
She notes that the content of the account has been deleted.
During the investigation, it indicates that another account owned by Ms. Velez-Troya with user @creative_redivoryluxuryblog has also been victimized.
Executive summary
The approach consisted in performing a reverse search on the email account, and based on the results, to trace the names of users obtained, which allowed to obtain the identity (For privacy reasons, it cannot be put) in Google, whose user search allowed to obtain a profile in Skype, under the pseudonym (For privacy reasons, it cannot be put), as well as a Facebook profile associated to the author's email account (For privacy reasons, it cannot be put).
The expanded search on the latter identity allows to establish that it is coincident with the user of the email address (For privacy reasons, it cannot be put), corresponding to his real name, born in January 2016, of Israeli nationality and soccer player in team FC (2018 season), profiling himself as the alleged perpetrator of the unauthorized access to both Instagram accounts.
It is detected that a phishing campaign is being conducted through direct messages from the compromised accounts to their followers.
Steps to be taken:
Manage with Instagram the recovery of control of the account as specified in the following point of the report.
Report to the Police the facts occurred in person, including the phishing campaign.
Communicate to the AEPD (Spanish Data Protection Agency) through its tool Comunica-Brecha RGPD:
Carrying out a study of Ms. Vélez-Troya Anquela's digital footprint in order to avoid future incidents.
Recovery of account control
Web option: https://www.Instagram.com/hacked/
Choose Hacked my account (username, phone or email will be requested).
Choose the original account that was used for access.
You will receive an email from (security@mail.Instagram.com)
Request a new login link or security code to the original email used as credentials.
REQUEST THE RESTORATION OF THE CONTENT.
Mobile option
Instagram home page - forgot password
Search by mobile number - find account
You will receive SMS with link to reset passwordFind out.
BACKGROUND INFORMATION PROVIDED:
2nd Instagram account subject of intrusion
Email Author of Intrusion and Subtraction Instagram Profile Control
DEVELOPMENT:
A search is performed by email (leaks, credentials of use in social network accounts), as well as on user identities and names obtained, with the results that are exposed:
Image 1.- Obtaining Google ID 10720...........(For privacy reasons, it cannot be put)
Image 2.- Obtaining (For privacy reasons, it cannot be put) Identity through search Username (For privacy reasons, it cannot be put)
Image 3.- Obtaining Facebook Profile - Credential (For privacy reasons, it cannot be put) - Partial Tel. ****015
Image 4.- Location Location - Search by Identity (For privacy reasons, it cannot be put)
Image 5.- Email Account .........@gmail - Associated with Identity (For privacy reasons, it cannot be put)
Image 6.- Profile Facebook - Credential Mail( For privacy reasons, it cannot be put)
Image 7.- Profile Instagram ID 4930........- (For privacy reasons, it cannot be put) (private mode)
SOURCE (For privacy reasons, it cannot be put)
Image 8.- Player sheet (For privacy reasons, it cannot be put) Israel) - Born 01/2006 - Player in Team FC in 2018
SOURCE (For privacy reasons, it cannot be put)
Object of the attack
Direct messages containing a Phishing campaign have been received on accounts that were followers of the compromised accounts. They are using Ms. Velez-Troya's legitimate account to commit a crime.
Screenshot of message received by a follower account
Below is a notice from the antivirus company Kaspersky detailing the phishing campaign matching the message sent to the address book
Analysis of the associated account
A study of the email account ninaveleztroya@gmail.com that has been compromised is carried out. Records are identified in Samsun, Microsoft, Wordpress, Eventbrite, Adobe, Apple and Trello. The domain ninaveleztroya.com is found to be hosted by 1&1 Internet AG.
Three known leaks are located through the haveibeenpwned service:
1.- Compliance with data protection regulations
The data obtained as a result of this research are strictly secret and are protected by the Organic Law 3/2018 of 5 December on the Protection of Personal Data and Guarantee of Digital Rights, intended solely for the exclusive use of our client, who is responsible, to all intents and purposes, for their disclosure to third parties.
The data processing carried out for the present research is legitimized by art. 6.1 of the GDPR, letters "b" (the processing is necessary for the performance of a contract) and "f" (the processing is necessary for the satisfaction of legitimate interests of the controller or of a third party without there being any rights of the data subject that should prevail). The limitations and precautions provided for in Articles 48 and 49 of Law 5/2014 on Private Security have been applied.
Detectivia complies with all the requirements of the Data Protection Act and the European Data Protection Regulation.
Management data obtained from open sources on the internet have been treated in accordance with current legislation.
Content certification
A content certification of the documentation collected from the internet, open source content available to any internet surfer, has been carried out to verify the presence of this information on the date on which the research was carried out.
This content has been collected with:
Advanced electronic signature with qualified time stamp generated by Full Digital S.L. with Certification according to eIDAS regulation.
The following document is attached to explain what is the eIDAS regulation:
"REGLAMENTO eIDAS Identificación y firma Preguntas frecuentes" made by Ministerio De Política Territorial Y Función Pública, Secretaría De Estado De Función Pública, Secretaria General De Administración Digital and Available in the Portal de Administración Electrónica PAe in the following link: https://administracionelectronica.gob.es/dam/jcr:c0c76b68-daa8-469f-8885-164357d78815/Preguntas_frecuentes_Reglamento_eIDAS.pdf
Annexes
Annex I
A report cited earlier in this document is added below:
Report UCSP 2016/2226 dated 23.12.2016 with subject Justification of the legitimacy in the hiring of Private Detectives.