INFORME DE INVESTIGACIÓN PRESENTADO A LA
EMPRESA CUATRO RUEDAS
DESCRIPCION DEL DELITO
COMETIDO
El Sr. Pepito Pérez de
la empresa CUATRO RUEDAS dedicada a la distribución al por mayor de repuestos
para vehículos, detecto el día 30 de Septiembre del 2014que un archivo de Excel
que se encontraba alojado en el computador PC micro torre G1 200 HP que sirve
como host de almacenamiento central de su oficina ya no existe. Este archivo
contenía información muy delicada de proveedores y clientes de la empresa.
Comenta el Sr. Pérez,
que el día 25 de ese mes despidió a un empleado que laboro normalmente hasta su
salida acordada que fue el 29 de Septiembre del
2014 y al día siguiente
de su salida ya no estaba la información.
Nos comenta que
sospecha de esta persona ya que ha visto trabajando al ex empleado en una
empresa similar que ha puesto su hermano. El Sr Pérez levantó una denuncia de
robo de información, llevando el caso a la justicia.
FASES APLICADAS A LA INVESTIGACION DEL DELITO
EN MENCION.
FASE 1 IDENTIFICACIÓN:
Etapa 1: Levantamiento de información inicial
para el Análisis Forense:
Estando en
el lugar de los hechos nuestro equipo de investigación de informática forense
procedió a rotular con sus respectivas características físicas y técnicas el
objeto de estudio. Al iniciar el análisis forense se le aplicaron al afectado
unos formatos de solicitud de información donde el; a través de unas preguntas
preestablecidas nos dio la información básica
para iniciar a solucionar el caso:
Descripción del Delito informático:
· Fecha del incidente:25- 30 de
Septiembre del 2014
· Duración del incidente: 5 días
· Detalles del incidente: un archivo
de Excel que se encontraba alojado en el computador PC micro torre G1 200 HP
que sirve como host de almacenamiento central de su oficina ya no existe. Este
archivo contenía información muy delicada de proveedores y clientes de la
empresa.
Basado en el testimonio y entrevista realizada
al señor Pepito Pérez, se realiza la línea de investigación del caso para poder
dar inicio a la misma:
|
25 septiembre
2014:
Se realiza la notificación
de despido al empleado
|
|
29 septiembre
2014:
El empleado dejo de trabajar
en la empresa, ese día el empleado manipulo el archivo, lo copio para uso
de este mismo y lo borro del sistema
|
|
30 septiembre
2014:
El señor Pepito Pérez revisa
el computador de la empresa
y se da cuenta que un
archivo de Excel que se encontraba alojado en el PC micro torre G1 200 HP que sirve como
host de almacenamiento central de su oficina ya no existe. Lo cual es muy
grave porque Este archivo contenía información muy delicada de proveedores
y clientes de la empresa
|
|
1 octubre 2014:
El señor Pepito Pérez procede a hacer la respetiva denuncia
ante las autoridades , por robo de información ya que este se da cuenta
que el empleado que despidió está trabajando en otra empresa similar
propiedad de hermano del señor Pepito , pudendo hacer uso de la
información robada para beneficio de la empresa rival
|
|
1 octubre 2014:
El señor Pepito Pérez procede a contratar a nuestro grupo de
Informática Forense para hacer la respectiva investigación del caso y
enviar las pruebas a la autoridad competente y nos vas contando lo
acontecido hasta el momento.
A partir de ahora nuestro
grupo empieza hacer la investigación aplicando cada una de las Fases y
técnicas de la Informática Forense
|
INFORMACIÓN GENERAL DEL CASO:
· Área: sistemas
· Nombre de la dependencia: centro
computo
· Responsable del sistema afectado: Juan Pérez
· Cargo: Administrador centro computo
· E-mail:sistemas4ruedas@gmail.com
· Teléfono:6364578
· Extensión:8032
· Celular:3174151204
Información sobre el equipo afectado:
· Marca y modelo: PC micro torre
G1 200 HP (F4J86LT)
· Capacidad de la RAM: SDRAM DDR3
de 4 GB y 1600 MHz (1 x 4 GB)
· Capacidad del disco duro: SATA de
3,5" 500 GB y 7200 rpm
· Modelo del procesador: Intel®
Pentium® J2850 con tarjeta de gráficos HD Intel (2,4 GHz, 2 MB de caché, 4
núcleos)
· Sistema operativo (nombre y versión): Windows 8.1
Pro 64
· Función del equipo: host de almacenamiento
· Tipo de información procesada por el equipo: información
muy delicada de proveedores y clientes de la empresa
· Dirección IP:192.168.1.20
· Foto del equipo :
Etapa 2: Aseguramiento de la escena
Evidencia
del crimen: PC
micro torre G1 200 HP; nuestro equipo aseguro la escena del crimen y no permitió
que nadie ajeno a la investigación manipulara el equipo, a través del aseguramiento
del perímetro donde está el equipo afectado.
Tipo de dispositivo: sistema informático
Medio de almacenamiento
ambos tipos:
Volátil por que cuenta con memorias RAM:
ü
SDRAM
DDR3 de 4 GB y 1600 MHz (1 x 4 GB)
Y no volátil por que
cuenta con:
ü
Bahías
para unidades: externas Uno de 5,25"
ü
Unidad
interna :500 GB hasta 1 TB SATA (de 7.200 rpm) 4
ü
Unidad
óptica: Grabadora SATA de DVD SuperMulti DVD-ROM SATA
FASE
2 VALIDACIÓN Y PRESERVACIÓN:
Etapa
1: Copias de la evidencia
La
información se encontraba almacenada en los discos duros, por este motivo se
procedió a extraerlos del dispositivo PC micro torre G1 200 HP y ser utilizados
como evidencia; en el laboratorio se procedió a realizar dos copias o imágenes
del contenido total del disco y lo etiquetamos teniendo en cuenta la evidencia
original.
Además
de esto se incluyeron las correspondientes sumas hash para comprobar la
integridad de cada una de las copias
usando funciones MD5 o SHA1, a través
del programa OSFORENCIS, el cual nos permitió realizar con éxito estas
operaciones. Al final Incluimos firmas en las etiquetas de cada copia de la
evidencia y sobre el propio medio de almacenamiento; las cuales contenían fecha
y hora de la extracción del equipo, datos de la persona que realizó la
operación, fecha, hora y lugar donde almacenaron las copias. Adicionalmente a
lo anterior las copias fueron almacenadas en sitios con condiciones óptimas y
seguras, que permitan mitigar riesgos como electromagnetismo, cambios bruscos
de temperatura y robo; que puedan alterar el contenido de las mismas.
Etapa
2: Cadena de custodia
Para
el control de la custodia, nuestra empresa de investigación lleva un riguroso
control a través de un registro documental donde estarán registradas todas y
cada una de las personas que manipulen las evidencias hasta su almacenamiento,
ya sea para realizar la entrega a las autoridades o para realizar las
evaluaciones.
En ese registro se manejaron datos como:
· Dónde, cuándo y quién
examinó la evidencia, incluyendo su nombre, su cargo, un número de
identificación, fechas y horas de manipulación, etc.
· Quién estuvo
custodiando la evidencia, durante cuánto tiempo y dónde se almacenó.
· Cuando se cambie la
custodia de la evidencia también se deberá documentar cuándo y cómo se produjo
la transferencia y quién la transportó.
FASE
3 ANALISIS Y DESCUBRIMIENTO DE LA EVIDENCIA:
En esta fase nuestro
equipo de investigación preparo las herramientas, técnicas, autorizaciones de
monitoreo y soporte administrativo para iniciar el análisis forense sobre las
evidencias obtenidas o presentadas por el administrador del servidor, luego
reconstruyo con todos los datos disponibles la línea temporal del ataque,
determinando la cadena de acontecimientos que tuvieron lugar desde el inicio
del ataque, hasta el momento de su descubrimiento.
Etapa 1:
Preparación para el análisis
Se acondiciono un
entorno de trabajo adecuado a la investigación que se realizó.
Trabajamos con las
imágenes que se recopilaron como evidencias, teniendo en cuenta que las
imágenes debían estar montadas tal cual como estaban en el sistema
comprometido.
Para el análisis de los
respectivos discos se utilizaron programas como virtual box y una versión LIVE
de sistemas operativos especializado en el análisis forense como CAINE; el cual
nos permitió interactuar con las imágenes montadas pero sin modificarlas. También
se usaron para el análisis programas como AUTOPSY y OSFORENCIS; los cuales nos
permitieron la identificación y descubrimiento de información relevante en las
fuentes de datos.
Imagen
tomada de: http://tic-seguridad.blogspot.com/2012/03/los-delitos-informaticos-y-la-evidencia.html
Etapa 2: Reconstrucción del ataque
Para esta etapa, nuestro equipo de investigación creo una línea temporal
y analizando la imagen con AUTOPSY, logramos la recuperación de los siguientes
datos:
ü Marcas de tiempo MACD
(fecha y hora de modificación, acceso, creación y borrado).
ü Ruta completa.
ü Tamaño en bytes y tipo
de fichero.
ü Usuarios y grupos a
quien pertenece.
ü Permisos de acceso.
ü Si fue borrado o no
A continuación revisamos
algunos antecedentes como los ficheros y
directorios que han sido creados, modificados o borrados recientemente o que
instalaciones de programas se han realizado antes y después del ataque; y que
además se encuentren en rutas poco comunes. Ya que por lo general la mayoría de los atacantes y sus
herramientas crearán directorios y descargarán sus “aplicaciones” en lugares
donde no se suele mirar, como por ejemplo en los directorios temporales.
Al entrar en materia en
cuanto al análisis de la imagen el grupo de investigación se centró en detalles
como:
ü los archivos del
sistema que han modificados antes, durante y después del ataque.
ü Averiguar la ubicación
de los archivos ocultos y de qué tipo son.
ü Identificar los
archivos borrados o fragmentos de éstos, los cuales pueden ser restos de logs y
registros borrados por los atacantes,
Se destaca la
importancia de realizar imágenes de los discos pues a través de eso se puede
acceder al espacio residual que hay detrás de cada archivo y leer en zonas que
el sistema operativo no ve. (Cabe recordar que los ficheros suelen almacenarse
por bloques cuyo tamaño de clúster depende del tipo de sistema de archivos que
se emplee).
Al realizar la
investigación se tuvieron en cuenta factores como ir de lo general a lo
particular, por ejemplo partir de los archivos borrados, intentar recuperar su
contenido, anotar su fecha de borrado y compararla con la actividad del resto
de los archivos. Ya que en esos momentos es posible que se estuviesen dando los
primeros pasos del ataque.
Al examinar con más
detalle los ficheros logs y registros, queríamos encontrar indicios del ataque
y a través de esto intentar buscar una correlación temporal entre eventos. Ya
que los archivos log y de registro son generados de forma automática por el
propio sistema operativo o por aplicaciones específicas, conteniendo datos
sobre accesos al equipo, errores de inicialización, creación o modificación de
usuarios, estado del sistema, etc. Por lo que a través del análisis de este tipo
de archivos podremos obtener información de entradas extrañas y compararlas con
la actividad de los ficheros.
Además de eso se
buscaron indicios de edición del archivo de contraseñas, creación de usuarios y
cuentas extrañas, teniendo en cuenta la hora que en la que se inició el ataque
del sistema.
Como el sistema
operativo de la maquina afectada es Windows podemos ver el editor de registro
de este, las sesiones de usuario, los archivos de configuración del sistema
(msconfig), las propiedades del disco duro , la información del sistema
(msinfo32),como el apoyo de las herramientas software dedicadas al análisis
forense.
Con todo lo
anteriormente expuesto, lograremos avanzar y llegar a la etapa 3 que es la determinación del ataque; en la cual lograremos
establecer si el atacante fue el empleado que despidieron, en donde
probablemente su accionar fue copiar el archivo a alguna USB, eliminarlo o si
accedió de forma remota fuera de la empresa usando técnicas hacker o cracker
para tener control del sistema y apoderarse de los archivos de este, saboteando
o alterando la ubicación y
características del archivo de Excel perdido. Ya hecho lo anteriormente
mencionado usaremos la etapa 4 para
definir si el sospechoso, que es este caso es el empleado despedido, lo hizo
solo o si alguien más le ayudo; esto con el fin de llevarlos a la justicia para
que respondan por sus actos.
En la etapa 5 estableceremos un perfil de atacante, en este caso si llegase a ser
culpable el empleado al que despidieron seria su perfil; todo esto con el fin
de establecer medidas en el personal y que no vuelva a pasar en el futuro lo
mismo.
Y finalmente en la etapa
6 evaluaremos que consecuencias
negativastuvo este incidente y como lo debe evitar la organización a futuro
para que la información de empresa CUATRO RUEDAS no se vea comprometida
afectando la productividad y exponiéndola a la bancarrota o en su defecto que
su competencia se apodere de la información.
SEGÚN LA
LEGISLACIÓN COLOMBIANA Y EN ESPECÍFICO EN LA LEY 1273 DEL 2009, PODEMOS
CLASIFICAR DE MANERA CONCRETA ESTE DELITO DE LA SIGUIENTE MANERA:
Cabe
aclarar que un delito informático es todo acto o conducta que está orientada
alterar, manipular, destruir algún sistema informático y sus activos como son
la información contenida en estos sistemas y sus componentes hardware y
software que hacen parte de los mismos.
Si vemos
los parámetros que están dentro de la ley 1273 del 2009 Protección de la información y datos; en nuestro país y sus
respectivos artículos contenidos dentro de esta ley, vemos que se cometió en el
caso que estamos investigando las siguientes
faltas:
utilización indebida de información
privilegiada, según artículo 258; Se presentó filtración por parte de personal
interno con el fin de obtener beneficio propio o remuneración alguna por parte
de la competencia con el fin de obtener información confidencial, la misma se
pudo realizar por correo electrónico o medios extraíbles.
Acceso abusivo a un sistema informático, según el
artículo 269ª; ya que el empleado que despidió el señor Pepito Pérez, accedió
de manera ilegal al sistema, ya que no tenía los privilegios para acceder al
sistema y hacer operaciones sobre este.
También
sobre el empleado que despidieron debe sancionarse según el artículo 269D Daño Informático. El que, sin
estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima
datos informáticos, o un sistema de tratamiento de información o sus partes o
componentes lógicos, debido a que este empleado borro o copio el archivo de Excel en alguna
ubicación diferente de donde estaba guardado
y lo guardo en algún dispositivo diferente (como USB) ya que el archivo
original no se encuentra en la ubicación original
También
recae sobre este empleado el delito cometido la violación de datos personales, articulo 269F que nos indica que la
persona que no está autorizada para vender , intercambiar ofrecer o divulgar datos personales de otra persona u
organización contenidos en archivos ,bases de datos , ficheros o similares para
beneficio de este o de terceros, ya que es de conocimiento de la empresa CUATRO
RUEDAS, que el empleado despedido está trabajando con su hermano en una empresa de características similares y
por lo tanto esta información perdida que contiene los proveedores y clientes
del señor pepito Pérez pueden servir
para que la empresa competencia de esta , se lucre u obtenga ganancias o acapare la clientela que
tenía el señor pepito Pérez ,
afectándole el patrimonio económico o el mercado de su empresa.
Por lo
tanto el empleado despedido deberá pagar cárcel o sanciones correspondientes
que están contemplados en cada uno de estos artículos.
Además de
esto la ley contempla agravantes a las penas mencionadas anteriormente, en
donde la pena aumentaría si esa conducta se cometiere; en este caso en
específico tenemos los siguientes agravantes:
ü Aprovechamiento
de la confianza depositada por el poseedor de la información o por quien
tuviere un vínculo contractual con este.
ü Dando a
conocer el contenido de la información en perjuicio de otro.
ü Obteniendo
provecho para sí o para un tercero.
CONCLUSIONES
Una vez
analizado el estudio de caso del señor Pepito Pérez en la empresa CUATRO
RUEDAS se concluye lo siguiente:
ü La
resolución de situaciones donde se exige que se atienda la singularidad y
complejidad de contextos específicos, atiende la estrategia que respeta la
subjetividad personal y las interacciones que se producen en el grupo
colaborativo donde se analiza el caso objeto de estudio.
ü Se obtuvo
conocimiento y se aplicaron las normas legales que tipifican el delito informático
mediante el uso adecuado de las técnicas de la informática forense.
ü Se trabajó
en una solución creativa a las incidencias de un delito informático en el desarrollo
de una investigación digital utilizando las fases de la informática forense.
ü Se cumplió
con la aplicación a las normas legales para identificar un fraude informático acorde
al tipo de delito informático relacionado en la ley Colombiana (ley 1273 de
2009).
ü Se realizó
una comprensión de los conceptos de un delito informático que se pueden
identificar dentro de un caso de informática forense.
ü Se propuso
de forma organizada las fases de la informática forense para esclarecer un caso
de delito informático.
ü Se
establece la ilegalidad de un fraude informático mediante la aplicación de las normas
que tipifican el delito informático. (ley 1273 de 2009)
ü Se
diseñaron logos de la empresa SEINFO para el análisis del caso
REFERENCIAS
Cabrera H
(2013). Introducción Informática Forense. http://datateca.unad.edu.co/contenidos/233012/unidad_1/u1_introduccion%20a%20la%20informatica%20forense.pdf
Introducción
a la Informática ForenseMartín Acurio Del Pino,
Santiagohttp://www.criptored.upm.es/descarga/IntroduccionInformaticaForense.zip
Actualidad
y futuro del derecho procesal:principios, reglas y pruebas. http://books.google.com.co/books?id=YWwTivkf_UC&pg=PA222&dq=%22evidencia+digital%22&hl=es&sa=X&ei=GRKBUsTFBajNsATa2IH4Ag&ved=0CGgQ6AEwCQ#v=onepage&q=%22evidencia%20digital%22&f=false
Delitos
Informáticos: Generalidades Dr. Santiago Acurio Del Pino. Profesor de Derecho
Informático de la PUCE. http://www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf
Cabrera H
(2013).Fases informática forensedisponible
en:http://datateca.unad.edu.co/contenidos/233012/unidad_1/u1_fases_de_la_informatica_forense.pdf
Perícia
Forense Aplicada à Informática Escritopor ANDREY RODRIGUES DE FREITAS. http://books.google.com.co/books?id=HTMhC3RxR0C&printsec=frontcover&dq=informatica+forense&hl=es&sa=X&ei=xwKBUte5IOXJsQS4hYCQCQ&redir_esc=y#v=onepage&q=informatica%20forense&f=false
Cabrera H (2013). Acciones
en la escena. http://datateca.unad.edu.co/contenidos/233012/unidad_1/u1_acciones_en_la_escena_del_fraude_informatico.pdf
Clonezilla, siga las
instrucciones en. http://www.ajpdsoft.com/modules.php?name=News&file=article&sid=524
Ley 1273 de 2009. http://www.deltaasesores.com/articulos/autoresinvitados/otros/3576-ley-de-delitos-informaticos-encolombia
No hay comentarios:
Publicar un comentario