Conseguido consentimiento para publicar un nuevo #CasoDeInformáticaForense
¿Preparados? Este es muy gracioso, para variar un poco.
Hagámoslo interactivo y ayúdenme a solucionar este misterio pericial que sacó los colores a más de uno.
🤣🤣🤣
¿Preparados? Este es muy gracioso, para variar un poco.
Hagámoslo interactivo y ayúdenme a solucionar este misterio pericial que sacó los colores a más de uno.
🤣🤣🤣
⚠️⚠️⚠️Antes de empezar, como siempre:⚠️⚠️⚠️
A pesar de contar con consentimiento, algunos detalles del caso serán omitidos, añadidos y/o alterados para proteger la privacidad de los implicados (sobre todo los nombres).
La esencia de la investigación realizada, estará intacta.
A pesar de contar con consentimiento, algunos detalles del caso serán omitidos, añadidos y/o alterados para proteger la privacidad de los implicados (sobre todo los nombres).
La esencia de la investigación realizada, estará intacta.
Me llaman para realizar un peritaje en un caso laboral.
¿Quién lo solicita?
¿Quién lo solicita?
Es el empleado el que lo solicita, pero es un peritaje a instancia de parte (es decir, que quien lo ordena es el juez).
Así que, adquiere la condición de peritaje judicial y, por lo tanto, podré meter mis zarpas hasta donde quiera (y diga la orden judicial, claro).
Así que, adquiere la condición de peritaje judicial y, por lo tanto, podré meter mis zarpas hasta donde quiera (y diga la orden judicial, claro).
Fase de información:
Juan, un empleado de Maquinarias Angulo S.L. (mira que me lo he currado, espero que no exista una empresa que se llame de verdad Maquinarias Angulo S.L.) ha sido despedido por una serie de motivos que considera falsos. Cree que es un despido improcedente.
Juan, un empleado de Maquinarias Angulo S.L. (mira que me lo he currado, espero que no exista una empresa que se llame de verdad Maquinarias Angulo S.L.) ha sido despedido por una serie de motivos que considera falsos. Cree que es un despido improcedente.
La empresa alega que la producción de Juan era baja porque utilizaba indebidamente el equipo informático de su puesto de trabajo (así, sin especificar).
Juan está indignado. Dice que no es cierto. La empresa que sí. El juez que no sabe. Y yo que olisqueo.
Juan está indignado. Dice que no es cierto. La empresa que sí. El juez que no sabe. Y yo que olisqueo.
Fase de obtención de evidencias:
¿Qué hago primero?
¿Qué hago primero?
Como digo siempre, primero hay que lanzar los procesos que vayan a tener un tiempo largo de respuesta y desentenderte de ellos.
Pocas cosas tienen un periodo más largo de respuesta que pedirle a la Empresa Proveedora de Servicio los datos de acceso.
Se los requiero y sigo.
Pocas cosas tienen un periodo más largo de respuesta que pedirle a la Empresa Proveedora de Servicio los datos de acceso.
Se los requiero y sigo.
Ya Movistar, Orange, Vodafone, Pepefone, Lowi Jazztel, O2 o la que sea que ha recibido el requerimiento, ha comenzado su tiempo de respuesta (que, como siempre, agotarán hasta el último día).
¿Y ahora?
¿Y ahora?
Si me planto en la empresa sin saber qué busco exactamente, daré golpes de ciego. Lo acabaré encontrando, claro, pero requerirá el triple de horas (con suerte) o de visitas. Eso da la oportunidad de que borren datos.
Decido hablar primero con Juan.
Decido hablar primero con Juan.
En la reunión, ¿cuál debe ser el tema principal?
No soy perito laboral. No voy a pronunciarme sobre si la producción o los medios de contabilización de la misma son adecuados o no.
Me interesa solo ese "uso indebido", y si pregunto si es cierto, fijo que me dirá que no, claro.
Solo quiero saber cuál es su naturaleza.
Me interesa solo ese "uso indebido", y si pregunto si es cierto, fijo que me dirá que no, claro.
Solo quiero saber cuál es su naturaleza.
Lo preguntaré todo, pero mi objetivo principal es averiguar qué conducta censurable le imputan a Juan y justifica un despido (sin derecho a nada, por cierto).
¿Ustedes qué creen?
¿Ustedes qué creen?
¿En una palabra?
PORNO
PORNO
Pero... ¿es ilegal consumir pornografía en España?
Pues, salvo la infantil (artículo 128 del CP), el consumo (tenencia) de pornografía no es imputable.
Aunque hay cierta doctrina que debería estudiarse sobre el consumo de pornografía que implique la comisión de un delito (zoofilia, snuff, necrofilia...).
De resto, no es delito.
Aunque hay cierta doctrina que debería estudiarse sobre el consumo de pornografía que implique la comisión de un delito (zoofilia, snuff, necrofilia...).
De resto, no es delito.
Entonces, ¿a qué viene a cuento en el caso?
El consumo de pornografía desde el PC de la empresa es la causa expuesta del bajo rendimiento del trabajador.
¿Pero no era Juan quien pedía el peritaje?
El consumo de pornografía desde el PC de la empresa es la causa expuesta del bajo rendimiento del trabajador.
¿Pero no era Juan quien pedía el peritaje?
Habrá que esperar para saberlo.
¿Y ahora?
¿Y ahora?
ME presento en Maquinarias Angulo S.L. orden en mano, solicitando hablar con los responsables del despido (me mientan o no, me dará indicaciones sobre las evidencias informáticas con las que ratificar o refutar su postura).
Me traen al Director de RRHH, muy molesto.
Me traen al Director de RRHH, muy molesto.
El hombre me asegura que Juan es un mal empleado por un millón de causas no relacionadas con el consumo de pornografía en su puesto de trabajo. Cuando pregunto al respecto, se siente incómodo. Me reconoce que es la causa principal del despido, pero que no querían hacerlo constar.
Pregunto que por qué. Me dice que tiene directrices del Gerente para no hacer público el consumo de pornografía de Juan.
Qué elegantes, ¿no?
Requiero el PC y me llevan ante el puesto al momento.
¿Cómo extraigo evidencias?
Qué elegantes, ¿no?
Requiero el PC y me llevan ante el puesto al momento.
¿Cómo extraigo evidencias?
SIEMPRE clono los discos (mi clonadora tarda menos de 10 minutos con discos de 1Tb, así que no es una molestia). Etiqueto los clones y los someto a cadena de custodia (ante posibles borrados o incluso errores míos).
Pero después, con este caso, bastará una inspección.
¿Encuentro?
Pero después, con este caso, bastará una inspección.
¿Encuentro?
Efectivamente, han borrado los discos (además con 3 formateos consecutivos a bajo nivel: ¡Cuánto esfuerzo por un par de desnudos! ¿No?).
Exijo explicaciones.
"Seguimos directrices. Los discos se formatean cuando los PC cambian a un nuevo empleado".
Ya... ¿3 veces y a bajo nivel?
Exijo explicaciones.
"Seguimos directrices. Los discos se formatean cuando los PC cambian a un nuevo empleado".
Ya... ¿3 veces y a bajo nivel?
Lo que pasa es que no lo entiendo.
La parte que se beneficiaría en el proceso de aportar evidencias, ¿es la que se dedica a borrar pruebas?
La parte que se beneficiaría en el proceso de aportar evidencias, ¿es la que se dedica a borrar pruebas?
No es totalmente imprescindible que me lleve el equipo, pero como me toca las narices los que destruyen pruebas (y así estaré más cómodo en mi propio laboratorio), lo requiso.
Si ellos no me lo ponen fácil, yo no se lo pongo fácil.
Antes de irme...
Si ellos no me lo ponen fácil, yo no se lo pongo fácil.
Antes de irme...
Pido acceso a la base de datos.
Se niegan.
Leo la orden judicial y le facilito mi número de placa.
Se niegan.
Aviso de las consecuencias legales de negarse.
Se niegan.
Llamo a la policía.
Me dan acceso.
Mi humor hacia Máquinas Angulo S.L. va empeorando por momentos.
Se niegan.
Leo la orden judicial y le facilito mi número de placa.
Se niegan.
Aviso de las consecuencias legales de negarse.
Se niegan.
Llamo a la policía.
Me dan acceso.
Mi humor hacia Máquinas Angulo S.L. va empeorando por momentos.
Escoltado por el Jefe IT de la empresa (como si tuvieran miedo de lo que yo fuera a hacer en la BBDD) me sumerjo.
Encuentro pruebas (y explicaciones a su negación) sobre delitos menores de contabilidad.
Como no es mi objetivo, no tengo deber de informar al Juez.
Pero lo haré.
Encuentro pruebas (y explicaciones a su negación) sobre delitos menores de contabilidad.
Como no es mi objetivo, no tengo deber de informar al Juez.
Pero lo haré.
😉 Nunca te niegues ante un perito con orden judicial. Solo empeoras tu situación. 😎
Los datos (que sí que tienen que ver con la demanda) me hacen comprender algunas cosas que ratifico con el Director de RRHH: Los empleados tienen unas cuotas de productividad no relacionadas con el horario.
Los datos confirman que Juan se toca las narices durante su jornada...
Los datos confirman que Juan se toca las narices durante su jornada...
Cumple con su cuota.
Qué extraño.
Me llevo el PC al laboratorio y recupero los datos (3 formateos no son nada: mi récord está en recuperar después de 12, y el récord mundial anda por los 34).
Tras recuperar, investigo...
Qué extraño.
Me llevo el PC al laboratorio y recupero los datos (3 formateos no son nada: mi récord está en recuperar después de 12, y el récord mundial anda por los 34).
Tras recuperar, investigo...
Todo, claro.
Obtengo los resultados justo cuando EPS me los confirma:
El PC accede (bastante cantidad de tiempo) a páginas pornográficas legales durante las horas y días de trabajo de Juan.
Parece que Maquinarias Angulos estaba en lo cierto.
Obtengo los resultados justo cuando EPS me los confirma:
El PC accede (bastante cantidad de tiempo) a páginas pornográficas legales durante las horas y días de trabajo de Juan.
Parece que Maquinarias Angulos estaba en lo cierto.
¡Oh, wait!
Los datos de la EPS me reservan una sorpresa:
Los datos de la EPS me reservan una sorpresa:
El PC ha seguido consumiendo pornografía días después del despido de Juan.
Me ilumina una idea y busco patrones horarios en las franjas de consumo.
El PC accedió a las páginas porno siempre...
DURANTE EL DESCANSO DE JUAN PARA EL DESAYUNO
El PC accedió a las páginas porno siempre...
DURANTE EL DESCANSO DE JUAN PARA EL DESAYUNO
Me comunico con el Director de RRHH de Maquinarias Angulo S.L. para averiguar si es posible que otro compañero se levantase de su puesto y utilizase el PC de Juan, mientras el estuviese desayunando.
"Eso es imposible: todo el departamento para a la misma hora".
"Eso es imposible: todo el departamento para a la misma hora".
Veamos los accesos:
😐Pruebas de sesiones remotas
😨Sesiones de la misma área local
😱¡De una IP de la empresa!
😐Pruebas de sesiones remotas
😨Sesiones de la misma área local
😱¡De una IP de la empresa!
¡Rápido!, ¿qué hago?
¿Me limito a adjuntar los datos en la pericial y librar a Juan?
¿Llamo al Jefe IT y que me diga a quién pertenece la IP?
¿Voy a Maquinarias Angulo S.L. y lo averiguo por mi cuenta?
¿Me limito a adjuntar los datos en la pericial y librar a Juan?
¿Llamo al Jefe IT y que me diga a quién pertenece la IP?
¿Voy a Maquinarias Angulo S.L. y lo averiguo por mi cuenta?
Mi labor llega hasta la demostración mediante evidencias y recogerlo en el informe...
Pero yo no soy así 😅
¡Quiero llegar hasta el final!
No voy a preguntar por teléfono, porque ¿y si fuera el propio Jefe IT el viciosillo? Me mentiría.
Voy en persona y pido...
Pero yo no soy así 😅
¡Quiero llegar hasta el final!
No voy a preguntar por teléfono, porque ¿y si fuera el propio Jefe IT el viciosillo? Me mentiría.
Voy en persona y pido...
"Excepciones", disculpen el uso del teclado con mis problemas de vista 😳
Me llevo mi propio portátil, lo conecto a la LAN y solicito la contraseña de acceso al router. ME la dan, accedo, encuentro la IP del consumidor de porno, descubro su MAC, se la facilito al Jefe IT y le digo que quiero que me lleve ante el PC asociado, para confirmarla.
El hombre consulta su listados y me mira con apuro.
–No puedo llevarle ante el PC.
–¿Por qué?
–Porque está en un despacho?
–Ábramelo.
–No puedo.
–¿Por qué?
–Por que es... el del Gerente.
–No puedo llevarle ante el PC.
–¿Por qué?
–Porque está en un despacho?
–Ábramelo.
–No puedo.
–¿Por qué?
–Por que es... el del Gerente.
🔘"Tenemos directrices"
🔘Borrar los discos
🔘No mencionar la causa en el proceso
Debí habérmelo olido antes.
Al parecer, el Gerente aprovechaba los descansos para "distraerse". Al detectar la actividad y pensar que era de Juan, el Director RRHH justificó así el despido.
🔘Borrar los discos
🔘No mencionar la causa en el proceso
Debí habérmelo olido antes.
Al parecer, el Gerente aprovechaba los descansos para "distraerse". Al detectar la actividad y pensar que era de Juan, el Director RRHH justificó así el despido.
Sin saber que metía al jefazo en un aprieto.
Por supuesto que entré y confirmé la MAC.
También encontré pruebas de sus registros de acceso remoto y de sus intereses y aficiones 🤣
El hombre no sabía ni dónde meterse.
También encontré pruebas de sus registros de acceso remoto y de sus intereses y aficiones 🤣
El hombre no sabía ni dónde meterse.
⚠️El despido fue considerado nulo.
⚠️Las pruebas de delitos secundarios comunicadas a la Agencia Tributaria.
⚠️Maquinarias Angulo S.L. se mostró deseosa de cerrar un trato bastante favorecedor con Juan.
Evidencias recogidas.
Informe pericial redactado.
¡Caso cerrado!
⚠️Las pruebas de delitos secundarios comunicadas a la Agencia Tributaria.
⚠️Maquinarias Angulo S.L. se mostró deseosa de cerrar un trato bastante favorecedor con Juan.
Evidencias recogidas.
Informe pericial redactado.
¡Caso cerrado!
¡Por Dios!
Averiguar. AVERIGUAR. CON V.
Lo siento. Tengo deficiencia visual y un teclado con las letras muy juntas.
Averiguar. AVERIGUAR. CON V.
Lo siento. Tengo deficiencia visual y un teclado con las letras muy juntas.
