• Home
  • Auditorias de equipos y su importancia

Auditorias de equipos y su importancia

  • 20 de octubre de 2020

Auditoria de equipo informático

Cada día hay más personas que se preguntan, ¿se puede saber si alguien se ha llevado información de mis equipos? ¿tengo un empleado del que debo desconfiar de su labor profesional?. Son preguntas que están a la orden del día y cada vez son más frecuentes y donde todas acaban con respuesta mediante un Peritaje Auditoria Equipo Informático. La respuesta es SI, sí se puede saber, desde TecnoPeritaciones haremos un desglose de los pasos a seguir para realizar dichas comprobaciones y la información que se puede sacar con ello para poder actuar en casos de:

  1. Competencia desleal por parte de un empleado/Socio de la empresa
  2. Robo/eliminación de información por parte de un empleado/Socio de la empresa
  3. Espionaje industrial por parte de un empleado/Socio de la empresa

Cadena custodia/Notaria

El primer paso para realizar en todo este proceso y tener garantizada la cadena de custodia, es proceder a la clonación de los discos en Notaria. Para ello, se seleccionan los equipos informáticos en los cuales sabemos o creemos que en hay información. Una ves seleccionados, se le facilita al perito el número de equipo, la capacidad de este y el tipo del disco.

Una vez conocida toda esta información el perito informático en notaría desmonta los equipos en cuestión delante del notario, extrayendo así todos los discos duros. Una vez extraídos los discos duros, se indica al notario la marca, el modelo y el número de serie, este proceso se repite dependiendo de cuantos equipos se hallan seleccionado. Una vez extraídos todos los discos duros, el perito enseña a qué discos se van a clonar cada uno de los discos, por ejemplo, el disco extraído del equipo A se va a clonar en el disco A traído por el perito. Se debe indicar mediante marca, modelo y número de serie el disco traído por el perito y a qué disco se va a clonar.

Una vez obtenida toda la información identificativa de todos los discos y sepamos dónde se van a clonar, se muestra la maquina clonadora con la que se realizará la clonación, extrayendo todos los datos identificativos de la mismas. Con esto ya se podría comenzar con la clonación de los discos duros, colocando disco Origen en la parte izquierda de la clonadora y en la parte derecha se añade los discos traídos por el perito, siendo este el destino al que se va a clonar la información.

Una vez terminada la clonación, la clonadora genera un código Hash. Dicho código es como un DNI con el cual se puede certificar que si este “código “cambia significa que ha sido manipulado. Gracias a este código y a toda la recopilación de datos identificativos, la cadena de custodia es totalmente íntegra, y quedando un disco en el cual se puede comprobar si alguien lo ha manipulado o no para una revisión de un tercero si fuera necesario.

Nota: en TecnoPeritaciones nos adaptamos a nuestro cliente, por lo cual la clonación se puede realizar con un disco más, es decir, podría quedarse el original en notaria, una copia para el cliente y la otra para el perito para la revisión y análisis.

 

Análisis del disco duro

Una vez que se ha realizado la clonación y tenemos el disco listo para analizarlo, llevamos a cabo un proceso de análisis y recuperación del disco para revisar la información. Para ello necesitamos saber lo que se busca, ya sea por palabras claves, como por ejemplo el nombre de otra empresa o saber qué archivos buscamos, por ejemplo si son correos, pdf, etc. A continuación, desglosaremos paso por paso toda la información que se puede recabar del proceso y para qué sirve.

  1. Archivos usados recientemente: en este apartado se pueden ver cuáles son los ficheros que más se usan habitualmente, ya sean pdf Word, música, video etc.  Con esto se puede saber el ultimo acceso a dichos archivos en cuestión de fecha y la localización de los mismos.
  2. USB: Este es uno de los puntos más importantes, ya que se puede saber que dispositivos externos han sido conectados, ya sean Pendrives, discos duros externos o incluso dispositivos móviles. Se puede saber fecha en la que se conectaron en dichos dispositivos, gracias a lo cual podremos hacer una búsqueda simultanea entre los dispositivos USB conectados y la información a recabar, pudiendo saber así si dicha información ha sido guardada en dichos dispositivos por fecha.
  3. Cookies: Mediante las Cookies se puede saber en qué sitios ha estado dicho usuario. Este punto sería bastante importante para saber si un usuario ha estado usando su tiempo laboral en temas ajenas al trabajo.
  4. Downloads: En este apartado se pueden ver todas las descargas que ha realizado el usuario, independientemente del buscador.
  5. Browser history: Este apartado es muy importante, ya que puedes visualizar todas las búsquedas que ha realizado el usuario, inclusive si ha accedido a correos electrónicos desde internet. También puedes visualizar con que cuenta accedió, la fecha y la hora. Este asunto es uno de los más importantes cuando está vinculado con el tiempo laboral empleado en cosas ajenas al mismo, ya que puedes visualizar si su tiempo ha sido empleado en Facebook, Twitter o incluso páginas de juegos.
  6. Events logs: En este apartado se puede contemplar cuando un usuario inicia sesión cuando la cierra o incluso si cambia la contraseña. Esto podría ser importante para saber a qué hora empieza su horario laboral en el caso que no se tuviera registro horario.
  7. JumpList: Este apartado es bastante importantes, ya que hay muchas personas que tienen un enlace directo o anclado en su ordenador, pero la información está en el USB “esto es para “no dejar rastros”. Sin embargo, gracias a este apartado se puede ver que dicho acceso directo pertenece a un dispositivo externo, sabiendo de esta manera que la información está guardada en un dispositivo ajeno a la empresa.
  8. EmailFiles: En este apartado se pueden ver todos los correos guardados en el ordenador. El programa busca carpeta por carpeta dentro del disco si hay un email guardado. De igual manera, el perito busca manualmente dentro de los archivos de Outlook el pst que genera el propio programa para guardar los correos. con este apartado se podría revisar y acreditar los correos enviados y recibidos de ese cliente con el pst, y visualizar qué correos ha descargado en su dispositivo.
  9. Shellbag: Es un punto bastante importante en el proceso forense, ya que realiza una traza de actividad de los usuarios. Un punto fundamental en el cual se puede comprobar si habitualmente ha pasado la información a un dispositivo externo, ya que muestra los archivos en su ubicación exactas. Si se ha realizado en un dispositivo externo lo localiza como “pen drive” o “volumen serial”, sabiendo de esta manera que dichos dispositivos son ajenos al ordenador.

Recuperación de datos

En este apartado el perito realiza un proceso forense para la recuperación de datos, en el cual se recupera una gran parte de información de archivos de todos tipos que fueron eliminados, la mayoría de ellos ilegibles o dañados, dependiendo de la forma de la  forma en la que se borraron. Gracias a dicha recuperación se puede ver si se ha borrado masivamente información de la empresa. Gracias a la fecha de estos también se puede hacer una relación del borrado de dichos archivos con la conexión de un dispositivo USB, pudiendo asociar así que dichos archivos fueron eliminados una vez que han sido traspasado a un dispositivo duro ajeno

Conclusiones

Por último, este perito recaba toda la información para unir datos, con los cuáles puede concluir si un cliente ha pasado información a un dispositivo externo, si un cliente ha empleado su tiempo laboral de la empresa para ocio, si un cliente ha borrado masivamente información importante de la empresa e incluso si ha borrado y luego almacenado dicha información a otro dispositivo.

Desde TecnoPeritaciones realizamos una pericial personalizada según el abogado/a desee, enfocando el informe a un tema concreto, por ejemplo de competencia desleal, filtrando solo toda la información en movimientos de archivos de la empresa o borrados del mismos a un dispositivo ajeno al mismo.

    ¡Escríbenos!

    x