SlideShare a Scribd company logo

Mi spam mi harakiri-un_caso_forense

Download as PPT, PDF
Jhon Jairo Hernandez
Jhon Jairo Hernandez
Technology
1 of 88
Mi Spam / Mi Harakiri Un caso Forense Dinosaurio – Dino EL MUNDO DE DINOSAURIO http://world-of-dino.blogspot.com/ @d7n0 © JHON JAIRO HERNÁNDEZ HERNÁNDEZ d7n0s4ur70@gmail.com Jhonjairo.hernandez@swatsecurityit.com © Jhon Jairo Hernández Hernández
#whoami Director Proyectos Consultor Seguridad Informática / Información Investigador Inform. Forense Académico Socio Fundador SWAT Security-IT SAS © Jhon Jairo Hernández Hernández
Como todos los casos forenses que he tenido que atender, este no dejaba de ser otro caso que se visualizaba como una: w w w .s w a t s e c u r i t y Hernández Hernández © Jhon Jairo i t . c o m
Debido a que nuevamente me encontraba viajando sin información para atender un incidente de Seguridad que atentaba contra una Organización, de ahora en adelante la conoceremos como "EMPRESA AFECTADA". Al parecer se trataba de: w w w .s w a t s e c u r i t y Hernández Hernández © Jhon Jairo i t . c o m
A PARTES DEL INFORME DEL CASO DE INVESTIGACION FORENSE. w w w .s w a t s e c u r i t y Hernández Hernández © Jhon Jairo i t . c o m
w w w .s w a t s e c u r i t y Hernández Hernández © Jhon Jairo i t . c o m
Realizar un ANALISIS FORENSE INFORMATICO de seguimiento de correo (Tracking de Email). Se registran en las bandejas entrada de correo de varios usuarios de la Organización, mensajes de SPAM que atentan el GoodWill / Know-how de la "EMPRESA AFECTADA".
ES DETERMINAR EL ORIGEN DE LA DIRECCIÓN IP DEL CORREO. Con fines de apoyar la investigación judicial y análisis informático forense por parte de un Organismo competente de Delitos Informáticos (Dijin, CTI – Fiscalía) posterior a una denuncia penal con carácter averiguatorio o Demanda Judicial interpuesta por la "EMPRESA AFECTADA".
“Se presentan en un periodo de tiempo, problemas de mensajes que atentan contra el Good-Will de la "EMPRESA AFECTADA". Se ha generado una situación preocupante y delicada denigrando la imagen Corporativa por lo tanto la idea es determinar quienes pueden ser los posibles responsables de este perjuicio.”
Determinar si las personas implicadas son los usuarios que realizan las acciones del incidente. Reiterando su veracidad como actores en la ejecución de los mismos.
Identificar los posibles concomitante de la conducta delictiva, hecho penal o acción punible. Con base en la identificación de la dirección IP origen de envió de los mensajes de correo objeto de análisis forense y su correlación de datos con el delito.
Se realizan búsquedas con base en diversos filtros de los mensajes del remitente: INDICIADO_1@hotmail.com Enviados a funcionario@empresaafectada.co Que hacen referencia a los correos recibidos y enviados por el Sr. INDICIADO_1, se extrajeron los siguientes correos:
En esta imagen podemos visualizar los correos que se habían cruzado entre: INDICIADO_1 y un funcionario de la "EMPRESA AFECTADA"
En la siguiente imagen se observa un mensaje de correo enviado por el INDICIADO_1 (abogado) al correo funcionario@EMPRESAAFECTADA, realizando un reclamo del servicio recibido por su cliente y su correspondiente indemnización.
Con base a las cabeceras de correo, que se encontraban de los mensajes enviados por el INDICIADO_1, se ubica la IP origen del computador.
Haciendo uso de la (Latitud, Longitud). Encontramos esta dirección correspondiente no directamente al Computador del implicado, probablemente a los equipos de comunicación de Datos (red de datos del ISP) que le brindan el servicio de Internet hasta su Computador:
Posteriormente nos centramos en analizar los correos del: INDICIADO_1 Para determinar patrones o conductas en Internet orientadas al envió de SPAM.
Revisando el historial de uso de la dirección IP que le ha asignado la entidad que le brinda el Servicio de Internet (ISP), encontramos que ha sido reportado con diversos Servidores Anti-Spam, para lo cual establecíamos el supuesto de que el INDICIADO_1 usaba su cuenta constantemente para el reenvió de clasificados e información de SPAM.
Se establece la siguiente Cronología de los Hechos:
Día, 06 de Enero de 201X 10:16 a.m. La Analista de Servicio envía un mensaje con la respuesta del caso de servicio del cliente que esta apoderando el INDICIADO_1 (abogado)
Día, 06 de Enero de 201X 04:41 p.m. El señor INDICIADO_1 (abogado) del CLIENTE_DEL_ SERVICIO, envía el siguiente correo a la Analista de Servicio de a su bandeja de correo cxxxxxxxx@xxxxxxxm.co
No obstante, de la anterior imagen vamos a destacar que: El INDICIADO_1 (abogado) hace un (reenvió de correo) a la Analista de Crédito. Sin PERCATARSE que está mostrando que el mismo es causante del envió del mensaje. Ha contribuido al reenvió del MENSAJE DE SPAM. Se visualizan en las cuentas de correo que se encuentran en el cuadro color rojo en la anterior imagen en la Fecha y Asunto. Contribuyendo así, al envió del SPAM Fecha de Viernes 16 de Diciembre de 201X Hora 20:58:41 Asunto: FW: ESCANDALO EN XXXXXXXXXXXXXXXXXX.
Entre las cuentas se destaca el correo electrónico jxxxxx9@hotmail.com Como una de las Cuentas al que el INDICIADO_1 (abogado) envió el correo de SPAM en la Fecha: Fecha de Martes 20 de Diciembre de 2011 Hora 10:15 PST Asunto: FW: ESCANDALO EN XXXXXXXXXXXXXXXXXXX.
Realizando nuevamente un seguimiento de origen de la IP del computador del INDICIADO_1 (abogado). Encontramos la IP 186.XXX.XXX.X20 de su cuenta de correo jxxxxxxxx@hotmail.com
Con origen en la Ciudad de Bogotá con coordinadas de posicionamiento Geo local: Latitud 4.6 Longitud -74.0833
Podemos determinar que el proveedor de servicios es el mismo (ISP) “COLOMBIA TELECOMUNICACIONES S.A. ESP” ubicado en la Ciudad de Bogotá – Colombia. ISP: COLOMBIA TELECOMUNICACIONES S.A. ESP Organización: COLOMBIA TELECOMUNICACIONES S.A. ESP
Con la finalidad de validar la IP asignada al INDICIADO_1 (abogado) en uso de SPAM. Se analizan los siguientes correos que le ha enviado a la Analista de Servicio.
El primer correo SPAM que el INDICIADO_1 (abogado) le envió en la: Fecha 11 Enero de 201X a las 14:48 con: Asunto: “FW: AVISAR ¡Ojo!! XXXXXXX Peligrosas”
Realizando el análisis de origen de la IP asignada al INDICIADO_1 (abogado) en donde se genero este mensaje de SPAM. Encontramos la IP 186.XXX.XXX.16 de su cuenta de correo jxxxxxxxx@hotmail.com
Determinamos nuevamente que el proveedor de servicios es el mismo ( ISP ) “COLOMBIA TELECOMUNICACIONES S.A. ESP” ubicado en la Ciudad de Bogotá – Colombia.
Se toma para el análisis, un segundo mensaje de correo determinado como SPAM enviado por el INDICIADO_1 (abogado) de su cuenta de correo jexxxxxxxxx@hotmail.com con Asunto: “FW: La XXXXXXXXXXXXXX SENTIDO COMUN”
Realizando el análisis de origen de la IP del computador del INDICIADO_1 (abogado) en donde se genero este mensaje. Encontramos que se trata de la misma IP 186.XXX.XX6.16 de su cuenta de correo jexxxxxx@hotmail.com
Corresponde al mismo proveedor de servicios es el mismo (ISP) “COLOMBIA TELECOMUNICACIONES S.A. ESP” ubicado en la Ciudad de BogotáColombia.
Estos hechos tomados como patrones nos permiten deducir que el INDICIADO_1 (abogado) (en uso de todas las direcciones IP asignadas a su computador para usar internet) es usuario asiduo al envió de SPAM. Hace parte de su conducta y comportamiento en el uso de Internet. Lo más importante a destacar es que se demuestra como el señor envía el correo SPAM que está afectando la integridad de la “EMPRESA_AFECTADA” al realizar como practica el Forward “Fw” o reenvió del correo objeto de estudio en este análisis forense.
Se continua el procedimiento de análisis tomando otros correos filtrados en la bandeja de correo recibido del Analista de Servicio. Clasificación Realizada con su buzón de correo cxxxxx@xxxxxom.co
Correo reenviado por UN CLIENTE con buzón de correo electrónico axxxx@yahoo.es Asunto: “Fw: CUIDADO! CON XXXXXXXXXXXXXXXXX SIMILARES” a el correo servicioalcliente@xxxxxxxxom.co
Como se observa en estas imágenes no hay Forward “Fw:” del correo a otras personas o usuarios. Marcando la diferencia de los correos enviados por el INDICIADO_1 (abogado). Este correo es dirigido directamente al correo de servicioalcliente@xxxxxxxxom.co con la finalidad de corroborar la situación de difusión que se está realizando en Internet POR PARTE DE UN CLIENTE.
Realizando el análisis de origen de la IP del correo arxxxxx@yahoo.es en donde se genero este mensaje. Encontramos la IP 190.XXX.XXX.236 de su cuenta de correo
Correspondiente al proveedor de servicios de Internet (ISP) “ETB - Colombia” ubicado en la Ciudad de Bogotá – Colombia.
De la Bandeja de Correo del Outlook de la Analista de Servicio al Cliente se realiza un filtro con el texto: “MXXA PXXXA CXXX CXXCO” Aparecen los mensajes recibidos en su correo cxxxxx@xxxxxom.co que hacen referencia al asunto de SPAM que atenta contra la imagen corporativa de la “EMPRESA_AFECTADA”
Se realizo la selección de los siguientes correos, como aparecen en la imagen para su posterior análisis:
EL PRIMER CORREO a analizar de esta clasificación INDICIADO_2, su buzón de correo corresponde a: Usuario exxxxxxxjr@yahoo.com Asunto: “Fw: GRAVE DENUNCIA XXXXXXXXXXXXXXXXXXXXX”. En la siguiente imagen se observa como el correo es enviado a servicioalcliente@xxxxxxxxxcom.co pero a su vez se copia a diferentes buzones de correo, contribuyendo a la difusión del SPAM.
Realizando el análisis de origen de la IP del correo exxxxxxxr@yahoo.com en donde se genero este mensaje. Encontramos la IP 186.XXX.XXX.80 de su cuenta de correo.
Correspondiente al proveedor de servicios de Internet (ISP) “TV Cable S.A.” ubicado en la Ciudad de Bogotá – Colombia
EL SEGUNDO CORREO a analizar de esta clasificación: Realizando el mismo proceso con el correo enviado por el CLIENTE_2, buzón de correo uxxxx3@hotmail.com Asunto: “Fw: GRAVE DENUNCIA XXXXXXXXXXXX…Ojo, parece haber mucho de seguro” Como podemos observar en la imagen es enviado directamente a cxxxxz@xxxxxxxxom.co (Analista de Servicio al cliente) sin reenviar el correo a otras personas o usuarios de internet como se detallo y demostró en la imagen del usuario anterior efxxxxxxr@yahoo.com
Realizando el análisis de origen de la IP del correo uxxxx13@hotmail.com en donde se genero este mensaje. Encontramos la IP 190.XXX.XXX.4 de su cuenta de correo
Correspondiente al proveedor de servicios de Internet (ISP) “EPM Telecomunicaciones S.A. E.S.P” ubicado en la Ciudad de Antioquia Medellín – Colombia
EL TERCER CORREO a analizar de esta clasificación INDICIADO_3, buzón de correo corresponde a: jxxxxxb@hotmail.com Asunto: “Fw: ESCANDALO XX XXXXXXXXX ¡IMPORTANT!
Como podemos observar en la imagen es enviado directamente a servicioalcliente@xxxxxxxom.co sin reenviar el correo a otras personas o usuarios de internet como se detallo y demostró en la imagen del usuario anterior exxxxxxxr@yahoo.com. Realizando el análisis de origen de la IP del correo jxxxxxb@hotmail.com. Encontramos la IP 190.XXX.XXX.66 de su cuenta de correo.
Correspondiente al proveedor de servicios de Internet ( I S P ) “IFX NETWORKS COLOMBIA” SERVIDOR.POLICIA.GOV.CO ubicado en la Ciudad de Antioquia Medellín – Colombia
EL CUARTO CORREO a analizar de esta clasificación corresponde a: INDICIADO_4, buzón de correo nxxxx2@hotmail.com Asunto: “FW: ESCÁNDALO XXXXXXXXXXXXXXXXXXXXXX” Aunque no hace un reenvió del correo, manifiesta una actitud despectiva, grosera y burlesca de la situación que atañe a “EMPRESA_AFECTADA”
Realizando el análisis de origen de la IP del correo nsxxxxxx2@hotmail.com en donde se genero este mensaje. Encontramos la IP 200.XXX.XXX.12 de su cuenta de correo.
Correspondiente al proveedor de servicios de Internet ( I S P ) “DIVEO DE COLOMBIA LTDA” ubicado en la Ciudad de BOGOTA – COLOMBIA
EL QUINTO CORREO a analizar de esta clasificación corresponde a: INDICIADO_5, buzón de correo alxxxxxxxx5@hotmail.com Asunto: “RV: ESCÁNDALO en XXXXXXXXXXXXXXXXXXXXXX” Aunque no hace un reenvió del correo, se realiza con una actitud despectiva, De insatisfacción del servicio recibido en “EMPRESA_AFECTADA”
Realizando el análisis de origen de la IP del correo alxxxx5@hotmail.com en donde se genero este mensaje. Encontramos la IP 200.XXX.XXX.46 de su cuenta de correo
Correspondiente al proveedor de servicios de Internet ( I S P ) “TELMEX COLOMBIA S.A.” ubicado en la Ciudad de BOGOTA – COLOMBIA
Aplicando técnicas de patrones de búsqueda de información referente a este SPAM que se viene generando contra la integridad y la imagen corporativa de la EMPRESA_AFECTADA, encontramos la siguiente información en Internet que hace referencia a la misma.
Yahoo! Grupos: Red social de la empresa Yahoo Inc. De aquí destacamos el correo de la usuario Sxxxxxxxy Cxxxxxto Cxxxxxxxxxs cuenta de correo sxxxxxxxxxxo@yahoo.es. Aplicando nuevamente al reenvió de este tipo de SPAM “FW ¡CUIDADO°--- CON XXXXX, XXXXXXXXXX SIMILARES”
Continuando con la búsqueda de información referente al SPAM encontramos: El usuario Lixxx Amxx Mxxxxxxa participante del mismo grupo de Yahoo Groups de España con la cuenta de correo lxxxxxxxxxa@hotmail.com enviando él: SPAM “ESCANDALO EN XXXXXXXXXXXXXXX ¡IMPORTANT!” fecha Sábado 10 de Septiembre de 201X 2:51 pm
Realizando búsqueda de información de esta persona encontramos que se Podría tratar de:
Identificando la IP asignada para el envió de su correo encontramos la siguiente información:
Realizando el análisis de origen de la IP del correo lixxxxxxxa@hotmail.com en donde se genero este mensaje. Encontramos la IP65.XXX.XXX.208 de su cuenta de correo Correspondiente al proveedor de servicios de Internet (ISP) “MICROSOFT HOSTING” Servidor BAY0OMC4.S6.BAY0.HOTM AIL.COM ubicado en la Ciudad de BOGOTA – COLOMBIA
Realizando búsquedas en internet con PATRONES DE DIVERSAS FRASES que hagan referencia o indiquen el camino VIRAL del SPAM.
Realizando búsqueda en internet con la frase: "ESCÁNDALO en XXXXXXXXXXXXXXXXXXXXXXX"   Encontramos los siguientes enlaces con información:
Con la frase: "CUIDADO! CON XXXXXXXXXXXXXXXXXXX SIMILARES" "GRAVE DENUNCIA XXXX xxxxxxxxxxx......Ojo parece xxxxxxxx seguro"
Con la frase: “ESCÁNDALO XXXXXXXXXXXXXXXXXX”
Con la frase: “ESCANDALO XXXXXXXXXXXX !IMPORTANT!” Con la frase: “GRAVE DENUNCIA CONTRA XXXXXXXXXXXX”
CONCLUSIONES En referencia a los implicados: •La Analista de Servicio Cxxxxxxxxxxxxxxxxxxx. •El Sr. Dxxxxxxxxxxx Rxxxxxxxxx vinculado a la Empresa XXXXXXXXXXX como Asesor de Proyectos. Los usuarios que fueron reportados como implicados facilitaron la información de sus computadores de trabajo para efectuar el proceso de Análisis Forense Informático a ”EMPRESA_AFECTADA”, en el cual podemos observar su rol como facilitadores y no como concomitante del delito que se podría imputar o tipificar en la ley de delitos informáticos.
Los siguientes usuarios o personas si atentaron contra la integridad corporativa, su confidencialidad y disponibilidad de la información al efectuar reenvíos y contribuir al detrimento patrimonial y denigrar arbitrariamente de la buena imagen de la entidad, afectando su Good-Will y Know-How siendo su valor intrínseco y económico reconocido como bien jurídico tutelado en la Ley 1273 de Delitos Informáticos. El INDICIADO_1 (Abogado) El INDICIADO_2 El INDICIADO_3 El INDICIADO_4 El INDICIADO_5 correo jxxxxxxf@hotmail.com correo exxxxxr@yahoo.com correo nxxxxx2@hotmail.com correo axxxxx5@hotmail.com correo sxxxxxp@cable.net.co
De igual forma se detalla para los usuarios encontrados en INTERNET DIFUNDIENDO LOS MENSAJES DE SPAM: • La usuario Sxxxxx Cxxxx Cxxxxxx participante del grupo de Yahoo Groups de España con la cuenta de correo sxxxxxxxxxxo@yahoo.es • La usuaria Lxxxxxx Axxxxxxx Mxxxxx participante del mismo grupo de Yahoo Groups de España con la cuenta de correo lxxxxxxxxxx@hotmail.com •Se encuentra una gran cantidad de información que hace referencia a EMPRESA_AFECTADA, de las cuales se puede deducir al filtrar la información negativa que el SPAM se viene generando como mínimo hace (2) dos años, es decir su existencia puede encontrarse desde años atrás alrededor de 2009 – 2010. •Se recomienda iniciar contactar con los propietarios de estos enlaces para solicitar el retiro inmediato de la información.
• Iniciar procesos de posicionamiento de Imagen corporativa y marca en Internet semejantes a posicionamiento de SEO, posicionamiento de Imágenes positivas de ”EMPRESA_AFECTADA”, estrategias de posicionamiento Web 2.0, integración de redes sociales en estrategias de Web Marketing, Sistemas de RSS que faciliten la difusión de contenido, realizar una constante administración, monitoreo de los sitios Web su crecimiento y comportamiento en Internet, generar o fortalecer campañas de fidelización de marca, aumentar la cobertura de comunicación en estrategias de medios de comunicación (tv, radio, prensa, internet, etc.) • Adelantar los trámites correspondientes para judicializar los sindicados con base en la ley de delitos informáticos 1273, sentando un precedente del hecho de generar SPAM conlleva a un concurso de delitos informáticos. Aunque este no este tipificado como delito en nuestra legislación Nacional.
Consultar para tipificar el delito la LEY 1273/09 (Protección de la información y de los datos) El anexo: Artículo 269 G: Suplantación de sitios web para capturar datos personales. “El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave. En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave”
Consultar LEY ESTATUTARIA 1266 DE 2008 [1] (diciembre 31) Habeas Data. Consultar la Ley Orgánica 10/1995, de 23 de noviembre (CPP). De igual forma tener en cuenta: • ACCION DE TUTELA CONTRA PARTICULARESReiteración de jurisprudencia • DERECHO AL BUEN NOMBRE, AL HABEAS DATA Y DERECHO DE PETICION-Derechos de carácter fundamental • DERECHO AL BUEN NOMBRE-Naturaleza • DERECHO DE PETICION-Mecanismo idóneo para la materialización del derecho al buen nombre y el derecho al habeas data • PRINCIPIO DE VERACIDAD DE LA INFORMACION-Se prohíbe recopilar, procesar y circular información falsa o equívoca/PRINCIPIO DE INTEGRIDAD DE LA INFORMACION-Impone la obligación de suministrar y recopilar datos personales completos a las fuentes de información
w w w .s w a t s e c u r i t y i t . c o m Hernández © Jhon Jairo Hernández

Recommended

Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
Yesenia Gomez
 
Charla asobancaria
Charla asobancariaCharla asobancaria
Charla asobancaria
Jhon Jairo Hernandez
 
Debilidades vulnerabilidades protocolos_charla_spectra
Debilidades vulnerabilidades protocolos_charla_spectraDebilidades vulnerabilidades protocolos_charla_spectra
Debilidades vulnerabilidades protocolos_charla_spectra
Jhon Jairo Hernandez
 
Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)
Jhon Jairo Hernandez
 
Como los delincuentes roban tu privacidad hacking en_vivo
Como los delincuentes roban tu privacidad hacking en_vivoComo los delincuentes roban tu privacidad hacking en_vivo
Como los delincuentes roban tu privacidad hacking en_vivo
Jhon Jairo Hernandez
 
Fat analisis
Fat analisisFat analisis
Fat analisis
Jhon Jairo Hernandez
 
Seguridad en profundida
Seguridad en profundidaSeguridad en profundida
Seguridad en profundida
Jhon Jairo Hernandez
 
Análisis de Groupon
Análisis de GrouponAnálisis de Groupon
Análisis de Groupon
jmartinez_exmba2012
 

Recommended

Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
Yesenia Gomez
 
Charla asobancaria
Charla asobancariaCharla asobancaria
Charla asobancaria
Jhon Jairo Hernandez
 
Debilidades vulnerabilidades protocolos_charla_spectra
Debilidades vulnerabilidades protocolos_charla_spectraDebilidades vulnerabilidades protocolos_charla_spectra
Debilidades vulnerabilidades protocolos_charla_spectra
Jhon Jairo Hernandez
 
Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)
Jhon Jairo Hernandez
 
Como los delincuentes roban tu privacidad hacking en_vivo
Como los delincuentes roban tu privacidad hacking en_vivoComo los delincuentes roban tu privacidad hacking en_vivo
Como los delincuentes roban tu privacidad hacking en_vivo
Jhon Jairo Hernandez
 
Fat analisis
Fat analisisFat analisis
Fat analisis
Jhon Jairo Hernandez
 
Seguridad en profundida
Seguridad en profundidaSeguridad en profundida
Seguridad en profundida
Jhon Jairo Hernandez
 
Análisis de Groupon
Análisis de GrouponAnálisis de Groupon
Análisis de Groupon
jmartinez_exmba2012
 
FundamentosSeguridad informática
FundamentosSeguridad informáticaFundamentosSeguridad informática
FundamentosSeguridad informática
Jhon Jairo Hernandez
 
Historia Seguridad informatica
Historia Seguridad informaticaHistoria Seguridad informatica
Historia Seguridad informatica
Jhon Jairo Hernandez
 
Seguridad redes u_libre_sesion_1
Seguridad redes u_libre_sesion_1Seguridad redes u_libre_sesion_1
Seguridad redes u_libre_sesion_1
Jhon Jairo Hernandez
 
Plan director seguridad
Plan director seguridadPlan director seguridad
Plan director seguridad
Jhon Jairo Hernandez
 
Televidente 2.0 2013
Televidente 2.0 2013 Televidente 2.0 2013
Televidente 2.0 2013
The Cocktail Analysis
 
Negligencia vs desconocimiento_cp
Negligencia vs desconocimiento_cpNegligencia vs desconocimiento_cp
Negligencia vs desconocimiento_cp
campus party
 
Vistiendo a WordPress
Vistiendo a WordPressVistiendo a WordPress
Vistiendo a WordPress
Lorena Fernández
 
Buenas practicas de almacenamiento
Buenas practicas de almacenamiento Buenas practicas de almacenamiento
Buenas practicas de almacenamiento
cursosvirtualespharmasystems
 
Pmbok 5ta edición
Pmbok 5ta ediciónPmbok 5ta edición
Pmbok 5ta edición
Seccion Estudiantil de Dirección de Proyectos San Marcos
 
Historia del internet 1958 2015
Historia del internet 1958 2015Historia del internet 1958 2015
Historia del internet 1958 2015
getsemani05
 
Foursquare para Empresas. Marketing por GeoPosicionamiento
Foursquare para Empresas. Marketing por GeoPosicionamientoFoursquare para Empresas. Marketing por GeoPosicionamiento
Foursquare para Empresas. Marketing por GeoPosicionamiento
MindProject
 
Presentweets: Tuitea desde PowerPoint mientras hablas
Presentweets: Tuitea desde PowerPoint mientras hablasPresentweets: Tuitea desde PowerPoint mientras hablas
Presentweets: Tuitea desde PowerPoint mientras hablas
Gonzalo Álvarez Marañón
 
Como los delincuentes_pueden_robar_tu privacidad_charla_emavi
Como los delincuentes_pueden_robar_tu privacidad_charla_emaviComo los delincuentes_pueden_robar_tu privacidad_charla_emavi
Como los delincuentes_pueden_robar_tu privacidad_charla_emavi
Jhon Jairo Hernandez
 
Seguridad logica atm_charla_emavi
Seguridad logica atm_charla_emaviSeguridad logica atm_charla_emavi
Seguridad logica atm_charla_emavi
Jhon Jairo Hernandez
 
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoEquipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Jhon Jairo Hernandez
 
Estado del cibercrimen
Estado del cibercrimenEstado del cibercrimen
Estado del cibercrimen
Jhon Jairo Hernandez
 
Ley 1581 swat
Ley 1581 swatLey 1581 swat
Ley 1581 swat
Jhon Jairo Hernandez
 
Cadena de custodia_septima_clase
Cadena de custodia_septima_claseCadena de custodia_septima_clase
Cadena de custodia_septima_clase
Jhon Jairo Hernandez
 
Owas top 10_2010_by_dino
Owas top 10_2010_by_dinoOwas top 10_2010_by_dino
Owas top 10_2010_by_dino
Jhon Jairo Hernandez
 
Herramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uaoHerramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uao
Jhon Jairo Hernandez
 
Yo no soy_una_ip
Yo no soy_una_ipYo no soy_una_ip
Yo no soy_una_ip
Jhon Jairo Hernandez
 
Firewalls iptables
Firewalls iptablesFirewalls iptables
Firewalls iptables
Jhon Jairo Hernandez
 

More Related Content

Viewers also liked

Foursquare para Empresas. Marketing por GeoPosicionamiento
Foursquare para Empresas. Marketing por GeoPosicionamientoFoursquare para Empresas. Marketing por GeoPosicionamiento
Foursquare para Empresas. Marketing por GeoPosicionamiento
MindProject
 

Viewers also liked (12)

FundamentosSeguridad informática
FundamentosSeguridad informáticaFundamentosSeguridad informática
FundamentosSeguridad informática
 
Historia Seguridad informatica
Historia Seguridad informaticaHistoria Seguridad informatica
Historia Seguridad informatica
 
Seguridad redes u_libre_sesion_1
Seguridad redes u_libre_sesion_1Seguridad redes u_libre_sesion_1
Seguridad redes u_libre_sesion_1
 
Plan director seguridad
Plan director seguridadPlan director seguridad
Plan director seguridad
 
Televidente 2.0 2013
Televidente 2.0 2013 Televidente 2.0 2013
Televidente 2.0 2013
 
Negligencia vs desconocimiento_cp
Negligencia vs desconocimiento_cpNegligencia vs desconocimiento_cp
Negligencia vs desconocimiento_cp
 
Vistiendo a WordPress
Vistiendo a WordPressVistiendo a WordPress
Vistiendo a WordPress
 
Buenas practicas de almacenamiento
Buenas practicas de almacenamiento Buenas practicas de almacenamiento
Buenas practicas de almacenamiento
 
Pmbok 5ta edición
Pmbok 5ta ediciónPmbok 5ta edición
Pmbok 5ta edición
 
Historia del internet 1958 2015
Historia del internet 1958 2015Historia del internet 1958 2015
Historia del internet 1958 2015
 
Foursquare para Empresas. Marketing por GeoPosicionamiento
Foursquare para Empresas. Marketing por GeoPosicionamientoFoursquare para Empresas. Marketing por GeoPosicionamiento
Foursquare para Empresas. Marketing por GeoPosicionamiento
 
Presentweets: Tuitea desde PowerPoint mientras hablas
Presentweets: Tuitea desde PowerPoint mientras hablasPresentweets: Tuitea desde PowerPoint mientras hablas
Presentweets: Tuitea desde PowerPoint mientras hablas
 

More from Jhon Jairo Hernandez

Ley 1581 swat
Ley 1581 swatLey 1581 swat
Ley 1581 swat
Jhon Jairo Hernandez
 
Herramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uaoHerramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uao
Jhon Jairo Hernandez
 

More from Jhon Jairo Hernandez (11)

Como los delincuentes_pueden_robar_tu privacidad_charla_emavi
Como los delincuentes_pueden_robar_tu privacidad_charla_emaviComo los delincuentes_pueden_robar_tu privacidad_charla_emavi
Como los delincuentes_pueden_robar_tu privacidad_charla_emavi
 
Seguridad logica atm_charla_emavi
Seguridad logica atm_charla_emaviSeguridad logica atm_charla_emavi
Seguridad logica atm_charla_emavi
 
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoEquipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auo
 
Estado del cibercrimen
Estado del cibercrimenEstado del cibercrimen
Estado del cibercrimen
 
Ley 1581 swat
Ley 1581 swatLey 1581 swat
Ley 1581 swat
 
Cadena de custodia_septima_clase
Cadena de custodia_septima_claseCadena de custodia_septima_clase
Cadena de custodia_septima_clase
 
Owas top 10_2010_by_dino
Owas top 10_2010_by_dinoOwas top 10_2010_by_dino
Owas top 10_2010_by_dino
 
Herramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uaoHerramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uao
 
Yo no soy_una_ip
Yo no soy_una_ipYo no soy_una_ip
Yo no soy_una_ip
 
Firewalls iptables
Firewalls iptablesFirewalls iptables
Firewalls iptables
 
De presa a cazador Campus Party 2011
De presa a cazador Campus Party 2011De presa a cazador Campus Party 2011
De presa a cazador Campus Party 2011
 

Recently uploaded

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
LolaBunny11
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 

Recently uploaded (15)

Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 

Mi spam mi harakiri-un_caso_forense

  • 1. Mi Spam / Mi Harakiri Un caso Forense Dinosaurio – Dino EL MUNDO DE DINOSAURIO http://world-of-dino.blogspot.com/ @d7n0 © JHON JAIRO HERNÁNDEZ HERNÁNDEZ d7n0s4ur70@gmail.com Jhonjairo.hernandez@swatsecurityit.com © Jhon Jairo Hernández Hernández
  • 2. #whoami Director Proyectos Consultor Seguridad Informática / Información Investigador Inform. Forense Académico Socio Fundador SWAT Security-IT SAS © Jhon Jairo Hernández Hernández
  • 3. Como todos los casos forenses que he tenido que atender, este no dejaba de ser otro caso que se visualizaba como una: w w w .s w a t s e c u r i t y Hernández Hernández © Jhon Jairo i t . c o m
  • 4. Debido a que nuevamente me encontraba viajando sin información para atender un incidente de Seguridad que atentaba contra una Organización, de ahora en adelante la conoceremos como "EMPRESA AFECTADA". Al parecer se trataba de: w w w .s w a t s e c u r i t y Hernández Hernández © Jhon Jairo i t . c o m
  • 5. A PARTES DEL INFORME DEL CASO DE INVESTIGACION FORENSE. w w w .s w a t s e c u r i t y Hernández Hernández © Jhon Jairo i t . c o m
  • 6. w w w .s w a t s e c u r i t y Hernández Hernández © Jhon Jairo i t . c o m
  • 7. Realizar un ANALISIS FORENSE INFORMATICO de seguimiento de correo (Tracking de Email). Se registran en las bandejas entrada de correo de varios usuarios de la Organización, mensajes de SPAM que atentan el GoodWill / Know-how de la "EMPRESA AFECTADA".
  • 8. ES DETERMINAR EL ORIGEN DE LA DIRECCIÓN IP DEL CORREO. Con fines de apoyar la investigación judicial y análisis informático forense por parte de un Organismo competente de Delitos Informáticos (Dijin, CTI – Fiscalía) posterior a una denuncia penal con carácter averiguatorio o Demanda Judicial interpuesta por la "EMPRESA AFECTADA".
  • 9.
  • 10. “Se presentan en un periodo de tiempo, problemas de mensajes que atentan contra el Good-Will de la "EMPRESA AFECTADA". Se ha generado una situación preocupante y delicada denigrando la imagen Corporativa por lo tanto la idea es determinar quienes pueden ser los posibles responsables de este perjuicio.”
  • 11.
  • 12. Determinar si las personas implicadas son los usuarios que realizan las acciones del incidente. Reiterando su veracidad como actores en la ejecución de los mismos.
  • 13. Identificar los posibles concomitante de la conducta delictiva, hecho penal o acción punible. Con base en la identificación de la dirección IP origen de envió de los mensajes de correo objeto de análisis forense y su correlación de datos con el delito.
  • 14.
  • 15. Se realizan búsquedas con base en diversos filtros de los mensajes del remitente: INDICIADO_1@hotmail.com Enviados a funcionario@empresaafectada.co Que hacen referencia a los correos recibidos y enviados por el Sr. INDICIADO_1, se extrajeron los siguientes correos:
  • 16. En esta imagen podemos visualizar los correos que se habían cruzado entre: INDICIADO_1 y un funcionario de la "EMPRESA AFECTADA"
  • 17. En la siguiente imagen se observa un mensaje de correo enviado por el INDICIADO_1 (abogado) al correo funcionario@EMPRESAAFECTADA, realizando un reclamo del servicio recibido por su cliente y su correspondiente indemnización.
  • 18. Con base a las cabeceras de correo, que se encontraban de los mensajes enviados por el INDICIADO_1, se ubica la IP origen del computador.
  • 19. Haciendo uso de la (Latitud, Longitud). Encontramos esta dirección correspondiente no directamente al Computador del implicado, probablemente a los equipos de comunicación de Datos (red de datos del ISP) que le brindan el servicio de Internet hasta su Computador:
  • 20. Posteriormente nos centramos en analizar los correos del: INDICIADO_1 Para determinar patrones o conductas en Internet orientadas al envió de SPAM.
  • 21. Revisando el historial de uso de la dirección IP que le ha asignado la entidad que le brinda el Servicio de Internet (ISP), encontramos que ha sido reportado con diversos Servidores Anti-Spam, para lo cual establecíamos el supuesto de que el INDICIADO_1 usaba su cuenta constantemente para el reenvió de clasificados e información de SPAM.
  • 23. Día, 06 de Enero de 201X 10:16 a.m. La Analista de Servicio envía un mensaje con la respuesta del caso de servicio del cliente que esta apoderando el INDICIADO_1 (abogado)
  • 24. Día, 06 de Enero de 201X 04:41 p.m. El señor INDICIADO_1 (abogado) del CLIENTE_DEL_ SERVICIO, envía el siguiente correo a la Analista de Servicio de a su bandeja de correo cxxxxxxxx@xxxxxxxm.co
  • 25. No obstante, de la anterior imagen vamos a destacar que: El INDICIADO_1 (abogado) hace un (reenvió de correo) a la Analista de Crédito. Sin PERCATARSE que está mostrando que el mismo es causante del envió del mensaje. Ha contribuido al reenvió del MENSAJE DE SPAM. Se visualizan en las cuentas de correo que se encuentran en el cuadro color rojo en la anterior imagen en la Fecha y Asunto. Contribuyendo así, al envió del SPAM Fecha de Viernes 16 de Diciembre de 201X Hora 20:58:41 Asunto: FW: ESCANDALO EN XXXXXXXXXXXXXXXXXX.
  • 26. Entre las cuentas se destaca el correo electrónico jxxxxx9@hotmail.com Como una de las Cuentas al que el INDICIADO_1 (abogado) envió el correo de SPAM en la Fecha: Fecha de Martes 20 de Diciembre de 2011 Hora 10:15 PST Asunto: FW: ESCANDALO EN XXXXXXXXXXXXXXXXXXX.
  • 27. Realizando nuevamente un seguimiento de origen de la IP del computador del INDICIADO_1 (abogado). Encontramos la IP 186.XXX.XXX.X20 de su cuenta de correo jxxxxxxxx@hotmail.com
  • 28. Con origen en la Ciudad de Bogotá con coordinadas de posicionamiento Geo local: Latitud 4.6 Longitud -74.0833
  • 29. Podemos determinar que el proveedor de servicios es el mismo (ISP) “COLOMBIA TELECOMUNICACIONES S.A. ESP” ubicado en la Ciudad de Bogotá – Colombia. ISP: COLOMBIA TELECOMUNICACIONES S.A. ESP Organización: COLOMBIA TELECOMUNICACIONES S.A. ESP
  • 30. Con la finalidad de validar la IP asignada al INDICIADO_1 (abogado) en uso de SPAM. Se analizan los siguientes correos que le ha enviado a la Analista de Servicio.
  • 31. El primer correo SPAM que el INDICIADO_1 (abogado) le envió en la: Fecha 11 Enero de 201X a las 14:48 con: Asunto: “FW: AVISAR ¡Ojo!! XXXXXXX Peligrosas”
  • 32.
  • 33.
  • 34. Realizando el análisis de origen de la IP asignada al INDICIADO_1 (abogado) en donde se genero este mensaje de SPAM. Encontramos la IP 186.XXX.XXX.16 de su cuenta de correo jxxxxxxxx@hotmail.com
  • 35. Determinamos nuevamente que el proveedor de servicios es el mismo ( ISP ) “COLOMBIA TELECOMUNICACIONES S.A. ESP” ubicado en la Ciudad de Bogotá – Colombia.
  • 36. Se toma para el análisis, un segundo mensaje de correo determinado como SPAM enviado por el INDICIADO_1 (abogado) de su cuenta de correo jexxxxxxxxx@hotmail.com con Asunto: “FW: La XXXXXXXXXXXXXX SENTIDO COMUN”
  • 37. Realizando el análisis de origen de la IP del computador del INDICIADO_1 (abogado) en donde se genero este mensaje. Encontramos que se trata de la misma IP 186.XXX.XX6.16 de su cuenta de correo jexxxxxx@hotmail.com
  • 38. Corresponde al mismo proveedor de servicios es el mismo (ISP) “COLOMBIA TELECOMUNICACIONES S.A. ESP” ubicado en la Ciudad de BogotáColombia.
  • 39. Estos hechos tomados como patrones nos permiten deducir que el INDICIADO_1 (abogado) (en uso de todas las direcciones IP asignadas a su computador para usar internet) es usuario asiduo al envió de SPAM. Hace parte de su conducta y comportamiento en el uso de Internet. Lo más importante a destacar es que se demuestra como el señor envía el correo SPAM que está afectando la integridad de la “EMPRESA_AFECTADA” al realizar como practica el Forward “Fw” o reenvió del correo objeto de estudio en este análisis forense.
  • 40.
  • 41. Se continua el procedimiento de análisis tomando otros correos filtrados en la bandeja de correo recibido del Analista de Servicio. Clasificación Realizada con su buzón de correo cxxxxx@xxxxxom.co
  • 42. Correo reenviado por UN CLIENTE con buzón de correo electrónico axxxx@yahoo.es Asunto: “Fw: CUIDADO! CON XXXXXXXXXXXXXXXXX SIMILARES” a el correo servicioalcliente@xxxxxxxxom.co
  • 43. Como se observa en estas imágenes no hay Forward “Fw:” del correo a otras personas o usuarios. Marcando la diferencia de los correos enviados por el INDICIADO_1 (abogado). Este correo es dirigido directamente al correo de servicioalcliente@xxxxxxxxom.co con la finalidad de corroborar la situación de difusión que se está realizando en Internet POR PARTE DE UN CLIENTE.
  • 44. Realizando el análisis de origen de la IP del correo arxxxxx@yahoo.es en donde se genero este mensaje. Encontramos la IP 190.XXX.XXX.236 de su cuenta de correo
  • 45. Correspondiente al proveedor de servicios de Internet (ISP) “ETB - Colombia” ubicado en la Ciudad de Bogotá – Colombia.
  • 46.
  • 47. De la Bandeja de Correo del Outlook de la Analista de Servicio al Cliente se realiza un filtro con el texto: “MXXA PXXXA CXXX CXXCO” Aparecen los mensajes recibidos en su correo cxxxxx@xxxxxom.co que hacen referencia al asunto de SPAM que atenta contra la imagen corporativa de la “EMPRESA_AFECTADA”
  • 48. Se realizo la selección de los siguientes correos, como aparecen en la imagen para su posterior análisis:
  • 49. EL PRIMER CORREO a analizar de esta clasificación INDICIADO_2, su buzón de correo corresponde a: Usuario exxxxxxxjr@yahoo.com Asunto: “Fw: GRAVE DENUNCIA XXXXXXXXXXXXXXXXXXXXX”. En la siguiente imagen se observa como el correo es enviado a servicioalcliente@xxxxxxxxxcom.co pero a su vez se copia a diferentes buzones de correo, contribuyendo a la difusión del SPAM.
  • 50. Realizando el análisis de origen de la IP del correo exxxxxxxr@yahoo.com en donde se genero este mensaje. Encontramos la IP 186.XXX.XXX.80 de su cuenta de correo.
  • 51. Correspondiente al proveedor de servicios de Internet (ISP) “TV Cable S.A.” ubicado en la Ciudad de Bogotá – Colombia
  • 52. EL SEGUNDO CORREO a analizar de esta clasificación: Realizando el mismo proceso con el correo enviado por el CLIENTE_2, buzón de correo uxxxx3@hotmail.com Asunto: “Fw: GRAVE DENUNCIA XXXXXXXXXXXX…Ojo, parece haber mucho de seguro” Como podemos observar en la imagen es enviado directamente a cxxxxz@xxxxxxxxom.co (Analista de Servicio al cliente) sin reenviar el correo a otras personas o usuarios de internet como se detallo y demostró en la imagen del usuario anterior efxxxxxxr@yahoo.com
  • 53.
  • 54. Realizando el análisis de origen de la IP del correo uxxxx13@hotmail.com en donde se genero este mensaje. Encontramos la IP 190.XXX.XXX.4 de su cuenta de correo
  • 55. Correspondiente al proveedor de servicios de Internet (ISP) “EPM Telecomunicaciones S.A. E.S.P” ubicado en la Ciudad de Antioquia Medellín – Colombia
  • 56. EL TERCER CORREO a analizar de esta clasificación INDICIADO_3, buzón de correo corresponde a: jxxxxxb@hotmail.com Asunto: “Fw: ESCANDALO XX XXXXXXXXX ¡IMPORTANT!
  • 57. Como podemos observar en la imagen es enviado directamente a servicioalcliente@xxxxxxxom.co sin reenviar el correo a otras personas o usuarios de internet como se detallo y demostró en la imagen del usuario anterior exxxxxxxr@yahoo.com. Realizando el análisis de origen de la IP del correo jxxxxxb@hotmail.com. Encontramos la IP 190.XXX.XXX.66 de su cuenta de correo.
  • 58. Correspondiente al proveedor de servicios de Internet ( I S P ) “IFX NETWORKS COLOMBIA” SERVIDOR.POLICIA.GOV.CO ubicado en la Ciudad de Antioquia Medellín – Colombia
  • 59. EL CUARTO CORREO a analizar de esta clasificación corresponde a: INDICIADO_4, buzón de correo nxxxx2@hotmail.com Asunto: “FW: ESCÁNDALO XXXXXXXXXXXXXXXXXXXXXX” Aunque no hace un reenvió del correo, manifiesta una actitud despectiva, grosera y burlesca de la situación que atañe a “EMPRESA_AFECTADA”
  • 60. Realizando el análisis de origen de la IP del correo nsxxxxxx2@hotmail.com en donde se genero este mensaje. Encontramos la IP 200.XXX.XXX.12 de su cuenta de correo.
  • 61. Correspondiente al proveedor de servicios de Internet ( I S P ) “DIVEO DE COLOMBIA LTDA” ubicado en la Ciudad de BOGOTA – COLOMBIA
  • 62. EL QUINTO CORREO a analizar de esta clasificación corresponde a: INDICIADO_5, buzón de correo alxxxxxxxx5@hotmail.com Asunto: “RV: ESCÁNDALO en XXXXXXXXXXXXXXXXXXXXXX” Aunque no hace un reenvió del correo, se realiza con una actitud despectiva, De insatisfacción del servicio recibido en “EMPRESA_AFECTADA”
  • 63. Realizando el análisis de origen de la IP del correo alxxxx5@hotmail.com en donde se genero este mensaje. Encontramos la IP 200.XXX.XXX.46 de su cuenta de correo
  • 64. Correspondiente al proveedor de servicios de Internet ( I S P ) “TELMEX COLOMBIA S.A.” ubicado en la Ciudad de BOGOTA – COLOMBIA
  • 65. Aplicando técnicas de patrones de búsqueda de información referente a este SPAM que se viene generando contra la integridad y la imagen corporativa de la EMPRESA_AFECTADA, encontramos la siguiente información en Internet que hace referencia a la misma.
  • 66. Yahoo! Grupos: Red social de la empresa Yahoo Inc. De aquí destacamos el correo de la usuario Sxxxxxxxy Cxxxxxto Cxxxxxxxxxs cuenta de correo sxxxxxxxxxxo@yahoo.es. Aplicando nuevamente al reenvió de este tipo de SPAM “FW ¡CUIDADO°--- CON XXXXX, XXXXXXXXXX SIMILARES”
  • 67. Continuando con la búsqueda de información referente al SPAM encontramos: El usuario Lixxx Amxx Mxxxxxxa participante del mismo grupo de Yahoo Groups de España con la cuenta de correo lxxxxxxxxxa@hotmail.com enviando él: SPAM “ESCANDALO EN XXXXXXXXXXXXXXX ¡IMPORTANT!” fecha Sábado 10 de Septiembre de 201X 2:51 pm
  • 68. Realizando búsqueda de información de esta persona encontramos que se Podría tratar de:
  • 69. Identificando la IP asignada para el envió de su correo encontramos la siguiente información:
  • 70. Realizando el análisis de origen de la IP del correo lixxxxxxxa@hotmail.com en donde se genero este mensaje. Encontramos la IP65.XXX.XXX.208 de su cuenta de correo Correspondiente al proveedor de servicios de Internet (ISP) “MICROSOFT HOSTING” Servidor BAY0OMC4.S6.BAY0.HOTM AIL.COM ubicado en la Ciudad de BOGOTA – COLOMBIA
  • 71. Realizando búsquedas en internet con PATRONES DE DIVERSAS FRASES que hagan referencia o indiquen el camino VIRAL del SPAM.
  • 72. Realizando búsqueda en internet con la frase: "ESCÁNDALO en XXXXXXXXXXXXXXXXXXXXXXX"   Encontramos los siguientes enlaces con información:
  • 73. Con la frase: "CUIDADO! CON XXXXXXXXXXXXXXXXXXX SIMILARES" "GRAVE DENUNCIA XXXX xxxxxxxxxxx......Ojo parece xxxxxxxx seguro"
  • 74. Con la frase: “ESCÁNDALO XXXXXXXXXXXXXXXXXX”
  • 75. Con la frase: “ESCANDALO XXXXXXXXXXXX !IMPORTANT!” Con la frase: “GRAVE DENUNCIA CONTRA XXXXXXXXXXXX”
  • 76.
  • 77.
  • 78. CONCLUSIONES En referencia a los implicados: •La Analista de Servicio Cxxxxxxxxxxxxxxxxxxx. •El Sr. Dxxxxxxxxxxx Rxxxxxxxxx vinculado a la Empresa XXXXXXXXXXX como Asesor de Proyectos. Los usuarios que fueron reportados como implicados facilitaron la información de sus computadores de trabajo para efectuar el proceso de Análisis Forense Informático a ”EMPRESA_AFECTADA”, en el cual podemos observar su rol como facilitadores y no como concomitante del delito que se podría imputar o tipificar en la ley de delitos informáticos.
  • 79. Los siguientes usuarios o personas si atentaron contra la integridad corporativa, su confidencialidad y disponibilidad de la información al efectuar reenvíos y contribuir al detrimento patrimonial y denigrar arbitrariamente de la buena imagen de la entidad, afectando su Good-Will y Know-How siendo su valor intrínseco y económico reconocido como bien jurídico tutelado en la Ley 1273 de Delitos Informáticos. El INDICIADO_1 (Abogado) El INDICIADO_2 El INDICIADO_3 El INDICIADO_4 El INDICIADO_5 correo jxxxxxxf@hotmail.com correo exxxxxr@yahoo.com correo nxxxxx2@hotmail.com correo axxxxx5@hotmail.com correo sxxxxxp@cable.net.co
  • 80. De igual forma se detalla para los usuarios encontrados en INTERNET DIFUNDIENDO LOS MENSAJES DE SPAM: • La usuario Sxxxxx Cxxxx Cxxxxxx participante del grupo de Yahoo Groups de España con la cuenta de correo sxxxxxxxxxxo@yahoo.es • La usuaria Lxxxxxx Axxxxxxx Mxxxxx participante del mismo grupo de Yahoo Groups de España con la cuenta de correo lxxxxxxxxxx@hotmail.com •Se encuentra una gran cantidad de información que hace referencia a EMPRESA_AFECTADA, de las cuales se puede deducir al filtrar la información negativa que el SPAM se viene generando como mínimo hace (2) dos años, es decir su existencia puede encontrarse desde años atrás alrededor de 2009 – 2010. •Se recomienda iniciar contactar con los propietarios de estos enlaces para solicitar el retiro inmediato de la información.
  • 81. • Iniciar procesos de posicionamiento de Imagen corporativa y marca en Internet semejantes a posicionamiento de SEO, posicionamiento de Imágenes positivas de ”EMPRESA_AFECTADA”, estrategias de posicionamiento Web 2.0, integración de redes sociales en estrategias de Web Marketing, Sistemas de RSS que faciliten la difusión de contenido, realizar una constante administración, monitoreo de los sitios Web su crecimiento y comportamiento en Internet, generar o fortalecer campañas de fidelización de marca, aumentar la cobertura de comunicación en estrategias de medios de comunicación (tv, radio, prensa, internet, etc.) • Adelantar los trámites correspondientes para judicializar los sindicados con base en la ley de delitos informáticos 1273, sentando un precedente del hecho de generar SPAM conlleva a un concurso de delitos informáticos. Aunque este no este tipificado como delito en nuestra legislación Nacional.
  • 82. Consultar para tipificar el delito la LEY 1273/09 (Protección de la información y de los datos) El anexo: Artículo 269 G: Suplantación de sitios web para capturar datos personales. “El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave. En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave”
  • 83. Consultar LEY ESTATUTARIA 1266 DE 2008 [1] (diciembre 31) Habeas Data. Consultar la Ley Orgánica 10/1995, de 23 de noviembre (CPP). De igual forma tener en cuenta: • ACCION DE TUTELA CONTRA PARTICULARESReiteración de jurisprudencia • DERECHO AL BUEN NOMBRE, AL HABEAS DATA Y DERECHO DE PETICION-Derechos de carácter fundamental • DERECHO AL BUEN NOMBRE-Naturaleza • DERECHO DE PETICION-Mecanismo idóneo para la materialización del derecho al buen nombre y el derecho al habeas data • PRINCIPIO DE VERACIDAD DE LA INFORMACION-Se prohíbe recopilar, procesar y circular información falsa o equívoca/PRINCIPIO DE INTEGRIDAD DE LA INFORMACION-Impone la obligación de suministrar y recopilar datos personales completos a las fuentes de información
  • 84.
  • 85.
  • 86.
  • 87.