Informe Pericial Informático Forense

Informe Pericial
INSTRUCION FISCAL Nº X32

Dictamen Pericial
Declaració n de Veracidad
El firmante del presente peritaje, Nombre Ape1 Ape2, con DNI XXXX y Colegiado nº XX
del Colegio Profesional de Ingenieros en Informática de Extremadura, DECLARA, bajo su única
responsabilidad, que todo lo que afirma en el presente dictamen se basa únicamente en los
hechos que ha podido constatar, y en su propio conocimiento y experiencia adquirida en el
ejercicio profesional.

También DECLARA conocer las responsabilidades civiles, penales, disciplinarias y

asociativas que comporta la aceptación del cargo de perito y la realización del presente
informe, al amparo del artículo 335 de la Ley de Enjuiciamiento Civil, que reza así:

“Al emitir el dictamen, todo perito deberá manifestar, bajo juramento o promesa de decir la
verdad, que ha actuado y, en su caso, actuará con la mayor objetividad posible, tomando en
consideración tanto lo que pueda favorecer como lo que sea susceptible de causar perjuicio a cualquiera
de las partes, y que conoce las sanciones panales en las que podría incurrir si incumpliere su deber como
perito”.

Cáceres, 12 de Marzo de 2023

Perito: Nombre Ape1 Ape2 Quito, 12/03/2023 Firma

Peticionario:
Página 2 de 21
 Informe Pericial Informático Forense

Fdo. Nombre Ape1 Ape2

Índice
1. Motivo del Informe..............................................................................................................9
2. Alcance y limitaciones..........................................................................................................9
3. Determinación de Hechos..................................................................................................10
3.1. Existencia de documentos relativos a una contabilidad B..........................................11
3.2. Determinación de personas implicadas......................................................................18
3.3. Determinación de indicios que ayuden a entender dónde se ha gastado el dinero...18
4. Conclusiones......................................................................................................................21
Anexos........................................................................................................................................21

Perito: Nombre Ape1 Ape2 Quito, 12/03/2023 Firma

Peticionario:
Página 2 de 21
 Informe Pericial Informático Forense

1. Motivo del Informe

El 2 de marzo de 2023, este perito recibe el encargo por parte de Fiscalia de

Instrucción nº X31 de Cáceres, de realizar un informe pericial sobre el caso con diligencias
previas proc. XXXXXXX 000005987/2017. El motivo del informe es el análisis del contenido de
un disco duro “a fin de que procedan al examen de su contenido, y, en
concreto, del material relativo a la gestión de contabilidad B y pagos
a implicados, así como información relativa a gastos a los que se
hubiere destinado dinero y que pudiere contener el citado disco duro y
remitan a este Juzgado informe, acotando las fechas a los últimos 6
meses a partir del presente requerimiento”.

Con fecha 3 de marzo de 2017, este perito se pone en contacto telefónicamente con el
Juzgado nº X31 de Cáceres, para aclarar algunas cuestiones relativas al informe pericial, y
también para concretar la forma y plazo de entrega del mismo.

En esas mismas fechas, este perito, en su condición de perito del Cuerpo Oficial de
Peritos del Colegio Profesional de Ingenieros en Informática de Extremadura, se hacer cargo de
la realización del informe pericial solicitado.

El presente informe se prepara con el objeto de:

 Obtener evidencias de documentos en los que se hable de contabilidad B

 Obtener evidencias acerca de personas implicadas en pagos
 Obtener evidencias que ayuden a entender dónde se ha gastado el dinero

2. Alcance y limitaciones

El estudio se centrará en obtener evidencias “acotando las fechas a los

últimos 6 meses a partir del presente requerimiento”. Por tanto, el estudio se
ha centrado en analizar el disco duro desde otoño-2016 hasta la fecha actual.

Indicar que el disco duro que recibe este perito es de la marca Maxtor de 1 Gigabyte
de capacidad, modelo Diamond Max 20 SMT8473952A, con número de serie 5LS5NA5D. [Puede
incluirse una foto del mismo donde aparezcan los detalles anteriormente mencionados].

Perito: Nombre Ape1 Ape2 Quito, 12/03/2023 Firma

Peticionario:
Página 2 de 21
 Informe Pericial Informático Forense

3. Determinación de Hechos

Siguiendo los procedimientos habituales en informática forense, el disco duro fue

clonado, con objeto de proceder a realizar las pruebas pertinentes posteriormente expuestas
en este informe pericial sobre la copia clonada del original. Para ello se utilizó el software
OSFClone, en su última versión (v1.1.1001), generándose el archivo “Contable.img”.

Como consecuencia del procedimiento de clonado, este perito incluye el código HASH
según el algoritmo SHA256, que garantiza que el procedimiento de clonado no ha alterado la
prueba: 2e712b0fd60e09652cfae182a11f7b87c243edcbdb58d9f7ed8faa64e6b1edca

Perito: Nombre Ape1 Ape2 Quito, 12/03/2023 Firma

Peticionario:
Página 2 de 21
 Informe Pericial Informático Forense

Como hechos determinantes, en el presente informe pericial se presentan los

siguientes que este perito ha podido constatar:
 Existencia de documentos relativos a una contabilidad B
 Determinación de personas implicadas en pagos
 Determinación de indicios que ayuden a entender dónde se ha gastado el dinero

El análisis de las pruebas se ha realizado utilizando la suite forense Autopsy, en su

versión 4.3.0 para Windows.

En los siguientes apartados se exponen con detalles todas estas cuestiones.

3.1. Existencia de documentos relativos a una contabilidad B

Tras montar la unidad clonada “Contable.img” con la suite Autopsy, este perito ha
procedido a realizar un análisis exhaustivo del contenido de la unidad, comenzando por
recuperar los archivos que habían sido borrados en esta unidad.

De este análisis, este perito ha podido comprobar que había tres archivos borrados,
todos en el directorio “C:\Mis documentos” y que se corresponden con los siguientes ficheros:

 “Desfalco.docx”, archivo con formato de Microsoft Word

 “TRANSFER_AC.JPG”, archivo con formato de imagen
 “TRANSFER_TS.JPG”, archivo con formato de imagen

Perito: Nombre Ape1 Ape2 Quito, 12/03/2023 Firma

Peticionario:
Página 2 de 21
 Informe Pericial Informático Forense

Recuperando estos archivos, este perito ha procedido a comprobar el contenido de los

mismos, que se incluye a continuación:

Perito: Nombre Ape1 Ape2 Quito, 12/03/2023 Firma

Peticionario:
Página 2 de 21
 Informe Pericial Informático Forense

Archivo “TRANSFER_AC.JPG”:

Este perito ha podido comprobar que el fichero se corresponde con un resguardo

bancario de haber realizado una transferencia de 3.000.000 euros, apareciendo como
ordenante José Aurelio García. Como destinatario aparece Andrés Caro, y una cuenta de suiza
del banco HSBC. La transferencia tiene fecha de 1 de marzo de 2017. El nombre del archivo
“TRANSFER_AC.JPG” indica que AC son las iniciales del destinatario, que coindicen con Andrés
Caro.

Archivo “TRANSFER_TS.JPG”:

Al igual que la anterior, este perito ha podido comprobar que este fichero se
corresponde con una transferencia de 600.000 euros. El ordenante de la misma es José

Perito: Nombre Ape1 Ape2 Quito, 12/03/2023 Firma

Peticionario:
Página 2 de 21
 Informe Pericial Informático Forense

Aurelio García, y el destinatario JC Sancho, en una cuenta de suiza del banco HSBC. La fecha
indica que la transferencia se realizó el día 1 de marzo de 2017, unos minutos después de la
realizada a Andrés Caro. En este caso, el nombre del archivo “TRANSFER_TS.JPG” indica que TS
son las iniciales del destinatario, que, según el destinatario de la transferencia, se
corresponden con alguien llamado JC Sancho. La inicial T debe corresponderse con un nombre
familiar relativo a JC.

El contenido del archivo “Desfalco.docx”, se muestra a continuación:

Cáceres, 6 de marzo de 2017

Estimado Andrés,

Sirva la presente para comunicarte que el pasado día 1 realizamos la transferencia

acordada, según conversación telefónica, a tu cuenta de Suiza.

Por favor, no comentes con Tote la cantidad que te transferimos a ti, puesto que a él
sólo le hemos ingresado 600.000 euros y podría sentarle mal.

También te comento que pensamos que puede que nos estén investigando por
estos temas. Tendremos que extremar las precauciones. Hacemos bien no comunicándonos
por correo electrónico, es mucho más seguro usar correo ordinario. Destruye todas las
evidencias, yo borraré de mi disco duro esta carta después de imprimirla.

Te quiero, amiguito del alma.

Abrazos,

José Aurelio.

Este documento confirma a José Aurelio García como ordenante de las dos
transferencias que este perito ha presentado con anterioridad. Hace referencias a Andrés Caro

Perito: Nombre Ape1 Ape2 Quito, 12/03/2023 Firma

Peticionario:
Página 2 de 21
 Informe Pericial Informático Forense

(como destinatario de la carta) y a Tote, que seguramente sea JC Sancho, ya que parece que
“Tote” pueda ser un nombre familiar de JC.

Este perito ha podido constatar la existencia de un fichero camuflado entre el gran

número de archivos que contiene el sistema operativo Windows en su directorio C:\Windows\
system32. En ese directorio se encuentran gran cantidad de ficheros con extensión dll, que se
corresponden con librerías del sistema. Sin embargo, Autopsy ha detectado que uno de los
archivos con extensión dll, allí escondidos, no se corresponde en realidad con un archivo de
ese tipo.

Este perito ha procedido a analizar exhaustivamente dicho fichero, pudiendo

comprobar que, en realidad se trata de un archivo de extensión “xlsx”, es decir, un archivo de
Microsoft Excel, tal y como lo muestra la herramienta HexBrowser.NET en su versión 0.72
Beta, como se ve a continuación:

Perito: Nombre Ape1 Ape2 Quito, 12/03/2023 Firma

Peticionario:
Página 2 de 21
 Informe Pericial Informático Forense

Este perito ha procedido a cambiar la extensión del archivo “msinf32.dll” a

“msinf32.xlsx”, abriendo el fichero. En la imagen se puede comprobar el contenido del mismo:

Perito: Nombre Ape1 Ape2 Quito, 12/03/2023 Firma

Peticionario:
Página 2 de 21
 Informe Pericial - Colegio Profesional de Ingenieros en Informática de Extremadura

Este perito ha determinado que se trata de una hoja de pagos a una serie de personas.
Aparecen indicios de pago a Andrés Caro, a Tote Sancho (o JC Sancho), a José Aurelio (García),
y también aparece Pablo García. Las fechas indican que los pagos se han realizado entre el
02/09/2016 y el 01/03/2017, en la ventana temporal que se sugería desde el juzgado.

La suma total de los pagos asciende a 9.580.000 euros, desglosados según la siguiente
tabla:

Pagos Cantidad
Andrés Caro 4.050.000,00
Tote Sancho 900.000,00
Pablo García 350.000,00
José Aurelio 4.280.000,00
TOTAL 9.580.000,00

Perito: Nombre Ape1 Ape2 Cáceres, 12/01/2017 Firma

Peticionario:
Página 17 de 21
 Informe Pericial - Colegio Profesional de Ingenieros en Informática de Extremadura

Este perito no ha podido constatar la existencia de más evidencias relacionadas con

documentos relativos a una contabilidad B en el disco duro.

3.2. Determinación de personas implicadas

Por los nombres de los archivos “TRANSFER_AC” y “TRANSFER_TS”, así como por los
nombres encontrados en el archivo “msinf32.dll”, a continuación se detallan los nombres y
apellidos de las personas que este perito ha podido constatar como implicados en pagos, como
receptores de los mismos.

Pagos Cantidad
Andrés Caro 4.050.000,00
Tote Sancho 900.000,00
Pablo García 350.000,00
José Aurelio 4.280.000,00
TOTAL 9.580.000,00

Además, este perito ha podido constatar que José Aurelio aparece como responsable
de, al menos, dos transferencias, una a Andrés Caro, por importe de 3.000.000 euros, y otra a
JC Sancho (Tote Sancho) por importe de 300.000 euros, según los archivos “TRANSFER_AC” y
“TRANSFER_TS”.

3.3. Determinación de indicios que ayuden a entender dónde se ha

gastado el dinero

Este perito ha realizado un completo análisis de los ficheros del disco duro. En el
directorio de “Mis documentos” aparecen algunos archivos que pueden ayudar a entender
dónde se ha gastado el dinero. El nombre de los archivos es muy esclarecedor de su contenido,
y puede ayudar a entender en qué se ha gastado el dinero, o en qué se tenía intención de
hacerlo. Aparecen imágenes de coches de lujo (“bmw.jpg”) y de playas (“playa.png”), así como
folletos de viajes al caribe (“folleto-caribe-con-vamos-tours.pdf”) y publicidad para esquiar en
la estación de Baqueira/Beret (“folleto-temporada-es-1617.pdf”), como de detalla a
continuación:

Perito: Nombre Ape1 Ape2 Fecha Firma

Peticionario:
Página 18 de 21
 Informe Pericial - Colegio Profesional de Ingenieros en Informática de Extremadura

“bmw.jpg” “playa.png”

“folleto-caribe-con-vamos-tours.pdf” “folleto-temporada-es-1617.pdf”

También se ha podido constatar la existencia de un presupuesto de viaje en el archivo

“Presupuesto-viaje.xls”. Desconociendo este perito la importancia de tal archivo, sin embargo
decide su inclusión en el presente informe pericial por si pudiera resultar de relevancia para el
completo exclarecimiento de los hechos.

Perito: Nombre Ape1 Ape2 Fecha Firma

Peticionario:
Página 19 de 21
 Informe Pericial - Colegio Profesional de Ingenieros en Informática de Extremadura

“Presupuesto-viaje.xls”

Perito: Nombre Ape1 Ape2 Fecha Firma

Peticionario:
Página 20 de 21
 Informe Pericial - Colegio Profesional de Ingenieros en Informática de Extremadura

Por último, este perito ha podido constatar la existencia de un archivo llamado

“BLANQUEO DE CAPITALES.doc”, que se trata de un documento de tres páginas, que se incluye
como anexo de este informe pericial, por si pudiera resultar de interés para el exclarecimiento
de la causa.

4. Conclusiones

De las consideraciones y hechos que este perito ha podido comprobar para la realización de
este informe pericial pueden obtenerse las siguientes conclusiones:

- Hay evidencias indiscutibles de la existencia de archivos que hacen referencia a una

contabilidad B en el disco duro objeto de estudio.
o Se ha recuperado un archivo docx borrado (“desfalco.docx”) que contiene una
carta sobre pagos de José Aurelio García a Andrés Caro y a Tote Sancho.
o Se han recuperado dos archivos jpg borrados (“TRANSFER_AC.JPG” y
“TRANSFER_TS.JPG”) que se corresponden con transferencias realizadas a
cuentas de Suiza de Andrés Caro y JC Sancho
o Se ha encontrado un archivo “msinf32.dll” que, en realidad, es una hoja de
cálculo Excel que contiene detalles numéricos de pagos realizados entre el
02/09/2016 y el 01/03/2017. La suma total de los pagos asciende a 9.580.000
euros

- Ha quedado comprobado que las personas implicadas en esta trama de pagos (se sabe
las cuentas de Suiza de Andrés Caro y de JC Sancho, y las cantidades que han recibido
todos ellos) son las siguientes:
o Andrés Caro
o Tote Sancho (JC Sancho)
o José Aurelio García
o Pablo García

- Ha quedado comprobada la existencia de archivos en el disco duro que se

corresponden con imágenes de coches de alta gama, playas paradisíacas, folletos de
vacaciones en el Caribe y en la estación de esquí Baqueira/Beret, presupuestos de
viaje y sobre el proceso de blanqueo de capitales, y que pueden ayudar a determinar
en qué se ha gastado el dinero.

Anexos

Por si fuera de interés para la causa, se incluye una memoria USB con todos los
archivos a los que se hace referencia en este informe pericial.

Perito: Nombre Ape1 Ape2 Fecha Firma

Peticionario:
Página 21 de 21