Certificación de acceso abusivo de cuenta

Requisitos previos fundamentales para la certificación

La certificación de accesos abusivos es posible solo si:

• Has recuperado el control de la cuenta (contraseña cambiada, hacker expulsado);
• Los registros de actividad son accesibles (activity log, historial accesos, dispositivos utilizados);
• Los accesos abusivos son visibles en los registros con IP, fecha/hora, dispositivo;
• Los registros no han sido eliminados (habitualmente conservados 6-12 meses).

Importante: Si el hacker tiene todavía el control o los registros no son accesibles, la certificación no es técnicamente posible.

📧 Certificación Google / Gmail

• Activity log completo: https://myaccount.google.com/device-activity con IP accesos, dispositivos, ubicaciones;
• Google Takeout: archivo completo Gmail (MBOX), Drive, Calendar, Photos, YouTube, Contacts;
• Gmail activity: emails leídos, enviados, eliminados con timestamp e IP;
• Drive activity: archivos descargados, modificados, compartidos por hacker;
• Calendar activity: citas modificadas/eliminadas;
• Photos access: fotos visualizadas/descargadas;
• YouTube activity: vídeos subidos/eliminados, comentarios;
• Dispositivos reconocidos: qué dispositivo usó el hacker (modelo, sistema operativo, navegador);
• Sesiones activas: sesiones simultáneas desde IP diferentes (imposible físicamente).

Datos técnicos adquiridos: IP pública hacker, geolocalización (país/ciudad), ISP provider, User Agent, timestamp UTC.

💼 Certificación Microsoft 365 / Outlook

• Página dispositivos: https://account.microsoft.com/devices con dispositivos utilizados para acceso;
• Recent activity: historial accesos con IP y localización;
• Outlook activity: emails leídos/enviados desde IP no autorizada;
• OneDrive activity: archivos descargados, modificados, compartidos;
• Teams activity: chats leídos, mensajes enviados;
• Office 365 audit log: registro completo actividad cuenta empresarial;
• Sign-in logs: intentos acceso exitosos/fallidos con IP;
• Unusual activity alerts: alertas Microsoft para accesos sospechosos.

Datos técnicos adquiridos: IP accesos, localización, device type, navegador, apps utilizadas, horarios acceso.

📱 Certificación Facebook / Instagram / Meta

• Dónde has iniciado sesión: sección Facebook/Instagram con IP, dispositivos, ubicaciones accesos;
• Sesiones activas: sesiones actuales no autorizadas;
• Dispositivos reconocidos: qué dispositivo usó hacker;
• Descargar tu información: archivo completo actividad cuenta (posts, mensajes, fotos, vídeos, búsquedas);
• Activity log: acciones realizadas por hacker (posts publicados, mensajes enviados, fotos subidas);
• Login alerts: notificaciones accesos sospechosos recibidas;
• Authorized apps: apps conectadas a la cuenta usadas para acceso.

Datos técnicos adquiridos: IP pública, ciudad aproximada, tipo dispositivo, navegador, timestamp accesos.

🍎 Certificación Apple iCloud

• Dispositivos asociados: https://appleid.apple.com con dispositivos conectados al Apple ID;
• Activity log: accesos recientes con IP y localización;
• iCloud access: desde dónde fue accedido iCloud Drive, Photos, Contacts;
• Find My iPhone activity: uso Find My por parte del hacker;
• iMessage/FaceTime access: mensajes leídos/enviados;
• Password changes: intentos cambio contraseña;
• Two-factor notifications: notificaciones 2FA recibidas para accesos sospechosos.

Datos técnicos adquiridos: IP, localización, device model, iOS version, timestamp.

🛒 Otras plataformas certificables

• Amazon: Login history con IP, dispositivos conectados, pedidos no autorizados;
• PayPal: Historial accesos IP, transacciones sospechosas, dispositivos conectados;
• Dropbox: Security events, archivos descargados, linked devices;
• LinkedIn: Where you’re signed in, recent activity, devices;
• Twitter/X: Apps and sessions, login history;
• TikTok: Security and login, devices;
• Spotify: Account overview, recent activity;
• Netflix: Recent device streaming activity.

Solicitar presupuesto

Proporcionaremos inmediatamente la evaluación de viabilidad técnica (verificación requisitos previos), la modalidad de adquisición, los plazos de ejecución y el presupuesto económico detallado. Intervención rápida disponible para casos urgentes (registros en riesgo eliminación).

Solicitar presupuesto

🌐 Dirección IP pública del hacker

La IP pública es el elemento probatorio fundamental para identificar al agresor:

• IP address completa: ej. 185.220.101.45, 91.198.174.192;
• Timestamp preciso: fecha y hora exacta acceso (UTC);
• Geolocalización IP: país, región, ciudad aproximada (usando base de datos MaxMind, IPinfo);
• ISP identification: qué proveedor internet proporciona esa IP (ej. Rostelecom Rusia, Movistar España, Vodafone);
• Reverse DNS lookup: hostname asociado a la IP;
• IP reputation: ¿la IP es conocida por actividades maliciosas? ¿Es un VPN/Proxy/Tor exit node?;
• ASN (Autonomous System Number): identificativo red ISP.

Uso legal: Con IP pública, Policía puede solicitar a ISP identificación abonado titular conexión en momento del acceso.

📱 Dispositivo y User Agent utilizados

Identificación del dispositivo usado por el hacker:

• Tipo dispositivo: smartphone, tablet, ordenador escritorio/portátil;
• Sistema operativo: Windows 10/11, macOS, iOS, Android (versión específica);
• Navegador utilizado: Chrome, Firefox, Safari, Edge (versión);
• User Agent string: cadena técnica completa identificativa;
• Modelo dispositivo: iPhone 12, Samsung Galaxy S21, MacBook Pro (cuando disponible);
• Resolución pantalla: indicación dimensiones display;
• App utilizada: acceso desde app móvil oficial o navegador web.

Relevancia probatoria: Demuestra dispositivo hacker diferente de los legítimos de la víctima.

⏰ Timeline cronológica accesos

Reconstrucción temporal completa de la violación:

• Primer acceso abusivo: cuándo el hacker entró la primera vez;
• Accesos sucesivos: frecuencia y patrón temporal (¿cada día a las 3am? ¿Una sola vez?);
• Duración sesiones: cuánto tiempo permaneció conectado;
• Acciones realizadas: qué hizo durante cada sesión (leído email X, descargado archivo Y, enviado mensaje Z);
• Último acceso abusivo: cuándo hacker perdió acceso;
• Descubrimiento violación: cuándo la víctima se dio cuenta;
• Recuperación control: cuándo contraseña cambiada y hacker expulsado;
• Overlap temporal: accesos simultáneos imposibles (víctima en Madrid, hacker en Rusia mismo momento).

🎯 Acciones específicas realizadas por el hacker

Documentación detallada de las actividades abusivas:

• Emails leídos: qué emails abrió y cuándo;
• Emails enviados: mensajes enviados desde tu cuenta (phishing, estafas, difamación);
• Emails eliminados: pruebas destruidas por hacker;
• Archivos descargados: documentos, fotos, vídeos copiados de Drive/OneDrive;
• Archivos modificados/eliminados: documentos alterados o destruidos;
• Archivos compartidos: documentos hechos accesibles a terceros;
• Posts publicados: contenidos publicados en redes sociales desde tu cuenta;
• Mensajes enviados: chats/DM enviados a contactos;
• Contraseñas cambiadas: intentos modificación credenciales;
• Configuraciones modificadas: reenvío email activado, 2FA deshabilitado;
• Compras efectuadas: pedidos Amazon/PayPal no autorizados.

⚖️ Comparación IP legítima vs IP abusiva

Demostración que accesos provienen de fuente diferente a la víctima:

• IP habitual víctima: patrón normal accesos (ej. siempre desde 93.45.xxx.xxx Movistar Fibra Madrid);
• IP hacker: completamente diferente (ej. 185.220.xxx.xxx Rostelecom San Petersburgo);
• Patrón geográfico: víctima siempre España, hacker desde Rusia/Nigeria/Rumanía;
• Patrón temporal: víctima accede horas laborables, hacker de noche horas españolas;
• Accesos imposibles: login simultáneo desde Madrid (víctima) y Lagos (hacker) – físicamente imposible;
• Dispositivos incongruentes: víctima usa iPhone/Mac, hacker usa Android/Windows;
• Mapa visual: visualización geográfica accesos legítimos vs abusivos.

📧 Emails leídos/enviados sin autorización

Escenario típico: Hacker accede a Gmail/Outlook, lee emails reservados (contratos, datos sensibles, comunicaciones personales), envía emails desde tu cuenta (phishing a contactos, solicitudes dinero, difamación), elimina emails para ocultar rastros.

Qué certificamos: Activity log Gmail/Outlook con IP hacker destacada, timestamp accesos, lista emails leídos/enviados/eliminados, geolocalización IP (ej. Rumanía mientras víctima en España), comparación con IP legítima víctima.

Delito: Acceso abusivo + eventualmente interceptación comunicaciones si emails leídos.

💾 Archivos robados de almacenamiento cloud

Escenario típico: Hacker descarga documentos reservados de Google Drive/OneDrive/Dropbox (contratos, balances, proyectos, fotos personales), comparte archivos con cuentas externas, elimina documentos para sabotaje.

Qué certificamos: Drive/OneDrive activity log con IP descarga, lista archivos descargados con timestamp, archivos compartidos con quién, eventuales eliminaciones, geolocalización IP hacker, device utilizado.

Delito: Acceso abusivo + daños informáticos si archivos eliminados + posible robo propiedad intelectual.

📱 Perfil social usado para estafas/difamación

Escenario típico: Hacker accede a Facebook/Instagram, publica posts difamatorios, envía mensajes a contactos pidiendo dinero con excusas (“estoy en dificultades, préstame dinero”), publica fotos/vídeos comprometedores.

Qué certificamos: Facebook “Dónde has iniciado sesión” con IP hacker, device utilizado, timestamp, “Descargar tu información” con posts/mensajes enviados por hacker, comparación IP víctima vs hacker.

Delito: Acceso abusivo + estafa si solicitudes dinero + difamación si posts ofensivos.

🛒 Compras fraudulentas con cuenta e-commerce

Escenario típico: Hacker usa cuenta Amazon/PayPal violada para hacer compras no autorizadas, cambia dirección envío, vacía saldo PayPal.

Qué certificamos: Amazon login history con IP pedido fraudulento, PayPal transaction history con IP transacción, timestamp, geolocalización (pedido hecho desde IP extranjera), detalles pedido/transacción.

Delito: Acceso abusivo + fraude informático.

💔 Acoso digital de ex pareja

Escenario típico: Ex pareja conoce todavía contraseña (nunca cambiada tras ruptura), accede regularmente a Gmail/iCloud para leer emails, controlar Calendar (dónde estás, con quién), ver Google Photos/iCloud Photos, rastrear posición vía Find My.

Qué certificamos: Activity log Gmail/iCloud con patrón accesos sospechosos desde IP/dispositivo ex pareja, frecuencia accesos (cada día durante meses), acciones realizadas (emails leídos, Calendar visualizado, Photos accedidas), correlación IP con residencia ex.

Delito: Acceso abusivo + acoso/stalking.

💼 Sabotaje empresarial de ex empleado

Escenario típico: Ex empleado despedido tiene todavía acceso a Microsoft 365 empresarial (credenciales no revocadas), accede y elimina documentos, emails, proyectos por venganza, descarga datos reservados antes de salida definitiva.

Qué certificamos: Microsoft 365 audit log empresarial con accesos ex empleado post-despido, IP accesos (desde casa ex empleado, no desde oficina), archivos eliminados/descargados, timeline acciones vs fecha despido.

Delito: Acceso abusivo + daños + posible violación secreto empresarial.

🇪🇸 Normativa española – Art. 197 Código Penal

Delito principal: Acceso no autorizado a sistema informático.

Artículo 197 Código Penal (apartados relevantes): El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

El acceso sin autorización a datos o programas informáticos contenidos en un sistema informático está tipificado con penas de prisión de seis meses a dos años.

Agravantes: Penas superiores si acceso con ánimo de lucro, si se difunden datos, si víctima es menor/persona vulnerable.

🔗 Delitos conexos frecuentes

• Art. 197 bis C.P. – Interceptación comunicaciones (si emails leídos);
• Art. 264 C.P. – Daños informáticos (si archivos eliminados/modificados);
• Art. 248 C.P. – Estafa (si usada cuenta para compras/transacciones no autorizadas);
• Art. 172 ter C.P. – Acoso/stalking (si accesos repetidos de ex pareja);
• Art. 208 C.P. – Injurias (si publicados posts ofensivos);
• Art. 197.7 C.P. – Difusión no consentida imágenes íntimas (si difundidas fotos íntimas).

🇪🇺 Directiva europea 2013/40/UE

La Directiva 2013/40/UE sobre ataques contra sistemas de información obliga a Estados miembros UE a criminalizar el acceso abusivo a sistemas informáticos. Cada país ha implementado con propias normas penales nacionales equivalentes al Art. 197 C.P. español.

Armonización UE: La certificación forense con metodología eIDAS es reconocida en todos Estados UE para procedimientos penales relativos a accesos abusivos.

Proceso de certificación

1. Verificación requisitos previos técnicos:
   
   • ¿Cuenta recuperada por víctima? ¿Contraseña cambiada?
   • ¿Activity log accesibles?
   • ¿Accesos abusivos visibles en registros con IP?
   • ¿Registros no eliminados todavía?
   • Si todos requisitos satisfechos → procedemos
2. Adquisición forense inmediata:
   
   • Acceso guiado (con credenciales cliente) a secciones activity log plataforma;
   • Screenshots múltiples alta resolución de: activity log completo, accesos con IP destacados, dispositivos utilizados, acciones realizadas;
   • Descarga export completo cuando disponible (Google Takeout, Facebook Descargar tu información, Microsoft data export);
   • Adquisición fuente HTML páginas registros;
   • Timestamp cualificado eIDAS en cada adquisición;
   • Cálculo hash SHA-256 de cada archivo adquirido;
3. Análisis técnico profundo:
   
   • IP analysis: geolocation lookup (MaxMind GeoIP2), ISP identification (WHOIS), reverse DNS, IP reputation check (AbuseIPDB, Shodan);
   • Device fingerprinting: análisis User Agent, identificación sistema operativo/navegador/device model;
   • Timeline reconstrucción: cronología completa primer acceso → acciones → último acceso → recuperación;
   • Comparación patrones: IP/device/horarios víctima vs hacker para evidenciar incongruencias;
   • Accesos imposibles: identificación solapamientos temporales físicamente imposibles;
4. Documentación acciones realizadas:
   
   • Extracción lista emails leídos/enviados/eliminados con timestamp;
   • Extracción archivos descargados/modificados/eliminados de cloud;
   • Extracción posts/mensajes sociales publicados/enviados;
   • Extracción transacciones/pedidos efectuados;
   • Cross-reference cada acción con IP/timestamp hacker;
5. Informe técnico completo:
   
   • Executive summary para Policía/Guardia Civil;
   • Sección IP analysis detallada;
   • Timeline gráfica accesos;
   • Mapa geográfica IP víctima vs IP hacker;
   • Lista acciones realizadas con evidencias;
   • Comparación patrones;
   • Anexos técnicos (screenshots, export, hash);

Solicitar presupuesto

Proporcionaremos inmediatamente la evaluación de viabilidad (verificación requisitos previos), la modalidad técnica de adquisición, los plazos de ejecución y el presupuesto económico detallado. Intervención URGENTE 24-48h disponible para casos con registros en riesgo eliminación inminente.

Solicitar presupuesto