"Mi empleado, tras ser despedido, lo borró todo del ordenador de la oficina: contabilidad, facturas, compromisos de pagos, datos de proveedores, datos de clientes... Estamos inoperativos! Quiero justicia!"
Y justicia tendrá el protagonista de este nuevo #CasoDeInformáticaForense
Y justicia tendrá el protagonista de este nuevo #CasoDeInformáticaForense
Como siempre les recuerdo que multitud de datos y detalles serán alterados conforme a la voluntad de mi cliente, para proteger su intimidad, así que léanlo como una ficción, aunque el proceso de investigación (que fue corto, la verdad) estará intacto.
¡Empieza el juego!
¡Empieza el juego!
Fase de introducción:
Se pone en contacto conmigo Mario, el dueño y gerente de una pequeña empresa tecnológica. No es una startup (ya está consolidada) pero no es grande. Cuenta con él como gerente, una administrativa, un empleado y dos comerciales. La empresa va bien.
Se pone en contacto conmigo Mario, el dueño y gerente de una pequeña empresa tecnológica. No es una startup (ya está consolidada) pero no es grande. Cuenta con él como gerente, una administrativa, un empleado y dos comerciales. La empresa va bien.
Por motivos que no vienen al caso, Mario lleva bastante considerando la idea de despedir a su empleado, un tal Jose con el que la relación laboral se ha atirantado mucho. El hecho de ser el único que realiza la actividad principal de la empresa ha hecho que Jose se "entrone".
Se ha empoderado, siente que la empresa es suya, trata mal a la admin. y a los comerciales y, recientemente, incluso ha insultado a Mario.
La pérdida de Jose es ciertamente una catástrofe estratégica (casi empezar de cero con alguien nuevo), pero Mario no lo piensa consentir.
La pérdida de Jose es ciertamente una catástrofe estratégica (casi empezar de cero con alguien nuevo), pero Mario no lo piensa consentir.
Finalmente, Mario solicita a la admin. que redacte la notificación de despido disciplinario para Jose.
Aquí la primera curiosidad: solo hay un ordenador de sobremesa en el local. Casi siempre al servicio de la admin., pero en ocasiones lo usa Jose.
Aquí la primera curiosidad: solo hay un ordenador de sobremesa en el local. Casi siempre al servicio de la admin., pero en ocasiones lo usa Jose.
Y pasa lo que pasa, que un día usándolo Jose descubre su notificación de despido antes de haberla recibido.
Mi cliente dice que entonces procede a reinstalar Windows (borrando todos los datos anteriores), apaga la pantalla y empieza a gritar y a insultar.
Mi cliente dice que entonces procede a reinstalar Windows (borrando todos los datos anteriores), apaga la pantalla y empieza a gritar y a insultar.
Imaginen la virulencia de la situación que se presenta en el local la Ertzaintza y tono.
Jose es sacado del local y un agente se queda con Mario para el atestado. En ese momento, mi cliente, comprobando el estado de los equipos (por si se han llevado golpes), enciende la pantalla
Jose es sacado del local y un agente se queda con Mario para el atestado. En ese momento, mi cliente, comprobando el estado de los equipos (por si se han llevado golpes), enciende la pantalla
y... sorpresa: 
Mario sabe un poco de informática y comprende lo que significa eso, así que apaga el ordenador.
Está atrapado: sin contactos para comprar, sin clientes, sin facturas, sin procesos... su empresa acaba de quedar "en pausa", y una empresa en pausa es una empresa que muere.
Está atrapado: sin contactos para comprar, sin clientes, sin facturas, sin procesos... su empresa acaba de quedar "en pausa", y una empresa en pausa es una empresa que muere.
Se le enciende una bombilla: recientemente ha visto por Twitter a un tipo que comparte casos informáticos en los que trabaja.
Who you gonna call?
Who you gonna call?
Contacto express conmigo.
Mario entiende su situación agónica (si se demora mucho en solucionarlo, puede arruinarse), así que no escatima en cualquier gasto que acelere el proceso: me paga el billete para esa misma tarde, la estancia, el servicio, las prisas...
Mario entiende su situación agónica (si se demora mucho en solucionarlo, puede arruinarse), así que no escatima en cualquier gasto que acelere el proceso: me paga el billete para esa misma tarde, la estancia, el servicio, las prisas...
En menos de 12 horas estoy en Euskadi y en su oficina aclarando qué necesita:
"Quiero justicia. Quiero poder denunciar lo que ha hecho. Pero también tengo que trabajar y no puedo tener mi ordenador parado. Sé que si vuelvo a configurarlo para recomenzar, no servirá
"Quiero justicia. Quiero poder denunciar lo que ha hecho. Pero también tengo que trabajar y no puedo tener mi ordenador parado. Sé que si vuelvo a configurarlo para recomenzar, no servirá
como prueba. Quiero que usted haga lo que sea necesario para certificar que ha sido reinstalado el Sistema Operativo y poder volver a tenerlo disponible sin que se pierda la evidencia. Porque pienso denunciarlo".
Es un servicio sencillo: ¿Empezamos, peritos virtuales?
Es un servicio sencillo: ¿Empezamos, peritos virtuales?
Fase de obtención de evidencias:
¿Por dónde ataco?
¿Por dónde ataco?
Peritos virtuales, mi laboratorio está en Gran Canaria. ¿Cómo me lo voy a llevar para trabajar en él y volver, con la prisa que tiene Mario?
No. Voy a tener que trabajar sobre el terreno, aunque sea menos profesional.
¿Cómo documento el estado del PC?
¿Cómo documento el estado del PC?
Reconozco que esta era una pregunta trampa:
Es cierto que, en ausencia de una contrapericial, mi palabra bastaría en un informe. Pero debemos documentar. Hacer fotos del proceso de arranque nos servirá para demostrar su estado, peeeeeeero...
Es cierto que, en ausencia de una contrapericial, mi palabra bastaría en un informe. Pero debemos documentar. Hacer fotos del proceso de arranque nos servirá para demostrar su estado, peeeeeeero...
aunque lo haremos, es bueno dejar eso para el final. El proceso de arranque altera datos (sobre todo con el programa de configuración inicial de Windows). Necesito meterme en las carpetas y conseguir evidencias de la reinstalación antes de que el propio SO me las machaque.
Así que, en lugar de arrancar el SO del PC, me meto en la BIOS para alterar el orden de unidades de arranque, le digo que empiece por el USB y en él pongo un Ubuntu portable que arrancará sin alterar el disco duro.
¡Ya tengo acceso a las carpetas sin alterar!
¡Ya tengo acceso a las carpetas sin alterar!
Con acceso a los archivos... ¿qué busco para evidenciar una reinstalación del Sistema Operativo?
Bien, bien, mis perit@s virtuales ya vuelven a ser los que eran. Las propiedades del equipo no aportan nada concluyente, y el systeminfo adopta el TAS donde le da la gana (falla más que una escopeta de feria). Me quedo con las dos más votadas: System32 y Windows.old
Windows.old es una evidencia de actualización de versión de sistema (reto conseguido) y su fecha de creación (de esa mañana) nos prueba cuando ocurrió.
System32 contiene las DLL (librerías) del sistema. Su fecha de creación nos prueba cuando se instaló.
System32 contiene las DLL (librerías) del sistema. Su fecha de creación nos prueba cuando se instaló.
En resumen, que tengo certificada la reinstalación y el momento de la misma (lo que me pedía Mario).
¿Y ahora? ¿Cómo certifico el estado actual?
¿Y ahora? ¿Cómo certifico el estado actual?
La palabra del perito en un informe NUNCA es puesta en tela de juicio. Sus conclusiones, su profesionalidad... puede (mediante una contrapericial), pero su palabra no. De modo que el informe bastaría. Pero siendo profesionales, documentemos más y mejor que con palabras.
No olvidemos que este es un peritaje de parte (no me lo ordena un juez, si no que me lo encarga mi cliente), y aunque la palabra del perito tiene igual valor, siempre queda la mínima duda de "no estará el forense diciendo lo que dice porque conviene a quien le paga".
Esto es un error, pues un perito con cabeza JAMÁS asumiría el riesgo de mentir en su informe (preguntadle a un notario qué le pasa cuando miente en una fe). Podríamos ir a la cárcel. No conozco ningún perito que mienta, incluso si eso perjudica a sus clientes privados.
Pero como la gente desconoce lo de nuestras sanciones colegiales y legales, siempre se quedan con la duda. Vamos a documentarlo pues: fotos del proceso de primer arranque de Windows.
Ya está el caso terminado, pero... ¡eh! No vamos a dejar a Mario así de expuesto. Veamos si podemos hacer algo con los datos perdidos.
Investigamos y descubrimos que los datos eran...
Investigamos y descubrimos que los datos eran...
Pues resulta que Jose había solicitado (por las prisas) un formateo rápido. Es decir, no borró los datos, si no la tabla de acceso a los archivos, es decir, que los archivos "están", aunque no son accesibles por el usuario, es decir, que son muy fácilmente recuperables.
En muy poco tiempo, recupero casi la totalidad de los archivos (incluyendo el 100% de los que eran útiles para Mario y su empresa). Este servicio no estaba presupuestado, pero no me cuesta nada y sé que a la empresa le doy oxígeno.
Tarde intensa (me he ahorrado una visita muy desagradable y violenta que nos hizo Jose y que requirió de nuevo de la presencia de la Ertzaintza).
El intento de boicot está demostrado.
⚠️Evidencias localizadas
⚠️Pruebas documentadas
⚠️Informe pericial concluido
⚠️¡Caso cerrado!
El intento de boicot está demostrado.
⚠️Evidencias localizadas
⚠️Pruebas documentadas
⚠️Informe pericial concluido
⚠️¡Caso cerrado!
