El presente informe es basado en un incidente de seguridad de la información presentado en la organización de uno de los integrantes de nuestro equipo de trabajo. Por razones de seguridad, no será divulgado el nombre de la organización.
Este informe es realizado con fines netamente educativos y pretende dar a conocer el procedimiento que fue llevado a cabo ante el suceso por el grupo investigativo de delitos informáticos de la dirección de investigación criminal (DIJIN) de Medellín, Colombia.
A mediados del 2013, es presentado ante el área de informática una queja formal por parte de la Directora Financiera de la Compañía, en la que expresaba su inconformidad debido a que ella sospechaba que, en cierto momento, alguien había ingresado en su equipo sin su autorización.
Una semana después del suceso, la DIJIN realiza una visita a las instalaciones de la organización convocada por el Director de Seguridad de la entidad. En dicha reunión, fueron partícipes la Directora Financiera, el Director de Seguridad y el Director de Informática de la compañía. En dicha reunión fue manifestado que desde el equipo de la funcionaria había sido usado inapropiadamente, realizado consultas a bases de datos financieras del historial crediticio de ciertas personas.
Durante la reunión son realizadas preguntas de protocolo para identificar las causas del hecho. ¿Qué políticas de seguridad están presentes en el equipo?, ¿Quiénes tienen acceso remoto a los equipos?, ¿Cuándo ocurrió el suceso sospechoso?, ¿Quién manipuló el equipo durante el suceso?, etc.
Posterior al interrogatorio, la DIJIN realiza el protocolo de inspección de equipo, en el que es analizado en vivo (ya que el equipo se encendió y se revisó en sitio) y detenidamente, los procesos de la máquina, conexiones remotas y análisis de los logs del sistema operativo y demás.
Finalizada la reunión, el Director de Informática solicita de manera inmediata realizar un Backup (Copia de seguridad de la Información del Usuario) y configurar un equipo nuevo para la Directora Financiera. Esto debido a que el anterior equipo entraría en custodia por parte de la DIJIN para un proceso de investigación.
El equipo de informática realiza el respectivo proceso de backup de la información y su restauración en un equipo nuevo.
Durante este proceso, el backup se realizó como cotidianamente se hace: Con el equipo encendido, proceso en el cual son copiados a un disco duro externo los directorios de la información de usuario (Mis Documentos, Mis Imágenes, Música, Escritorio, Descargas, etc.).
Luego del proceso de backup realizado al equipo por parte del área de informática, sin haber conocido el fondo del asunto, este fue puesto en custodia por parte de la DIJIN.
Semanas después del suceso fue programado un interrogatorio por parte de la DIJIN directamente con cada uno de los integrantes del equipo de informática. Donde fue seguido un protocolo en el que se dejaba evidencia por escrito de cada una de las respuestas a las preguntas realizadas por el grupo de investigación.
Durante este interrogatorio fueron formuladas preguntas como:
- Preguntas de Si o NO
- Tiempo laborado en la empresa y en el cargo
- Políticas de Seguridad Informática Implementadas
- ¿Cuáles son los controles de acceso a los equipos?
- ¿Qué seguridad perimetral es usada?
- ¿Qué servidor de correo electrónico está implementado?
- ¿Políticas de Caducidad y complejidad de las contraseñas?
- ¿Cuáles son los permisos del usuario en la red?
- Políticas a nivel de Antivirus, Etc.
Tres meses después del suceso, la DIJIN ha entregado un informe en el que se muestra la evidencia de lo sucedido.
El informe indica que, la usuaria que reportó el incidente, realmente se conectó remotamente al equipo usando su usuario y contraseña del dominio para realizar las consultas en centrales de riesgo. Los detalles se presentan más adelante en este informe.
Informe Preliminar - Informática Forense 