PERITAJE INFORMÁTICO

EMPRESA: INFOMAT

HECHO: FILTRACIÓN DE INFORMACIÓN

PERITO JUDICIAL: ING. JOSÉ LUIS APOLO.

GUAYAQUIL, 6 DE MAYO DE 2012.

CONTENIDO

INFORME PERICIAL INFORMÁTICO.....................................................................................................3

ANTECEDENTES..................................................................................................................................3

ACTA DE ENTREGA.............................................................................................................................3

CADENA DE CUSTODIA.......................................................................................................................4

DESCRIPCIÓN DEL DISPOSITIVO DE ALMACENAMIENTO....................................................................5

CARACTERÍSTICAS DE FLASH KINGSTON USB DT108/8GB..................................................................5

INFORMACIÓN DEL CONTENIDO DEL DISPOSITIVO DE ALMACENAMIENTO......................................6

PROPIEDADES DE LOGS ENCONTRADOS EN EL DISPOSITIVO DE ALMACENAMIENTO.......................7

EVIDENCIA 1.......................................................................................................................................9

EVIDENCIA 2.....................................................................................................................................12

EVIDENCIA 3.....................................................................................................................................12

EVIDENCIA 4.....................................................................................................................................13

EVIDENCIA 5.....................................................................................................................................16

EVIDENCIA 6.....................................................................................................................................16

DETALLE DE LOS SUPUESTOS IMPLICADOS.....................................................................................17

IPs REQUERIDAS...............................................................................................................................17

INFORMACIÓN DEL ISP.....................................................................................................................19

CONCLUSIONES:...............................................................................................................................21

ANEXOS............................................................................................................................................22

INFORME PERICIAL INFORMÁTICO

Guayaquil, 05 de mayo de 2012

1. ANTECEDENTES

En calidad de perito judicial José Luis Apolo, debidamente juramentado ante el Consejo de la Judicatura del Ecuador y a petición del Ing. Vladimir Cobarrubias, vengo a efectuar un Informe de Análisis Forense sobre las bitácoras entregadas por el cliente, sobre el cual hay sospecha de infiltración de información obtenida mediante acceso ilegal a sistema computacional de la empresa INFOMATIC a la cual representa.

2. INTRODUCCIÓN

El presente informe tiene como alcance analizar, identificar y descubrir posibles indicios de infiltración de información a través de cuentas de correo electrónico del dominio infomatic.com, para lo cual se ha recibido con fecha sábado 5 de Mayo del 2012 a las 16:00, una unidad de almacenamiento (memoria usb) marca Kingston DT108 con capacidad de 8GB con los logs que el cliente INFOMATIC consiguió por parte de su proveedor ISP, para investigar la sospecha del acceso a los sistemas informáticos de forma no autorizada, delito contemplado en la Legislación Chilena.

3. MARCO TEÓRICO.

La evidencia objeto del análisis, sirve para que este perito pueda encontrar indicios de filtración de información, basados en la Legislación Chilena que concierne a las figuras penales tipificadas de en la ley No. 19223 que tiene relación con la informática.

El caso que se investiga corresponde a un apoderamiento de información, intercepción y transferencia; esto por cuanto existe una fuga de información confidencial que atenta contra un bien jurídico de la empresa, amparado bajo los siguientes artículos:

Artículo 2°.- El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio.

Artículo 4°.- El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado.".

Por tanto, la información a evaluarse se encuentra en los archivos de logs que se entregaron como evidencia, y que es el objeto de este informe.

LOG: La palabra log es un término anglosajón, equivalente a la palabra bitácora en español.

Un log es un registro oficial de eventos durante un rango de tiempo en particular. Para los profesionales en seguridad informática es usado para registrar datos o información sobre quién, qué, cuándo, dónde y por qué un evento ocurre para un dispositivo en particular o aplicación.

4. ACTA DE ENTREGA

Se adjunta imágenes de los documentos que se entregan y reciben, y que valida la legalidad de tratamiento de la información, en cuyo contenido consta el objeto de análisis (archivos de Log )

Capura de la Pantalla # 1 Documento Acta de Entrega – Recepción del dispositivo de almacenamiento usb

CADENA DE CUSTODIA

Captura de la Pantalla # 2 Cadena de Custodia

5. DESCRIPCIÓN DEL OBJETO DE ANALISIS

DISPOSITIVO DE ALMACENAMIENTO

CARACTERÍSTICAS DE FLASH KINGSTON USB DT108/8GB

Capacidad — 8GB

Dimensiones — 1.47" x 0.78" x 0.39" (37.33mm x 19.97mm x 10.00mm)

Captura de Pantalla # 3: Dimensiones del dispositivo de Almacenamiento

Color—Rojo

INFORMACIÓN DEL CONTENIDO DEL DISPOSITIVO DE ALMACENAMIENTO

Captura de la Pantalla # 4: Contenido del dispositivo de Almacenamiento

Dentro del dispositivo de almacenamiento se encuentra lo siguiente:

Archivo de texto con nombre instrucciones que tiene indicios a seguir para realizar la investigación.

Carpeta de nombre Logs que contiene cuatro archivos que son los logs. Los nombres de los logs son: infomat.actividad.roundcube, infomat.exim, infomat.pop.imap.smtp.login y infomat.webmail.

Captura de la Pantalla # 5: Propiedades del dispositivo de almacenamiento

Se observa que el nombre del dispositivo de almacenamiento es G4ESPOL2012, tiene un espacio usado de 176 MB y espacio disponible de 7,09 GB.

PROPIEDADES DE LOGS ENCONTRADOS EN EL DISPOSITIVO DE ALMACENAMIENTO

Descripción de Log infomat.actividad.roundcube.log:

Contiene registros de Fecha, Hora, direccion IP de quien envía el correo electrónico y a quienes van dirigidos los correos.

Descripción de Log infomat.exim.log

Este log contiene el registro de los correos del Servidor.

Descripción de Log infomat.pop.imap.smtp.login.log

Este log contiene registro de acceso de los usuarios de correo.

Descripción de Log infomat.webmail.log

Este log contiene el registro de los usuarios que accesan utilizando el Webmail.

Captura de la Pantalla # 6: Propiedades de los archivos logs

EVIDENCIA 1

Webmail

Captura de la Pantalla # 7: Acceso por medio de webmail

Captura de la Pantalla # 8: Alerta de mejoras en webmail

Actividades realizadas

Patrones Sospechosos

Se analiza los archivos de log entregados por el proveedor de correo electrónico quien nos proporciona los registros de la plataforma EXIM, que es un agente de transferencia de mensajes (MTA) con el cual funciona la interfaz de correo de la empresa INFOMATIC. Para el análisis se lleva los archivos logs a un archivo de Excel y se realiza una tabla dinámica, obteniendo las diferentes direcciones IP en relación con las cuentas de usuarios que tuvieron actividad sospechosa durante el 27 de agosto y 28 de agosto, fecha que se presume se ha cometido el delito. (ANEXO 2).

Se busca IPs que accedan a varias cuentas de correos electrónicos, entre las que se obtuvo las siguientes IPs sospechosas:

Cuenta de CORREO

Rótulos de columna

Rótulos de fila

user=angelo.parraguez@infomat.com

user=bastian.farias@infomat.com

user=carlos.salinas@infomat.com

user=claudio.lucero@infomat.com

user=enrique.gonzalez@infomat.com

user=felipe.alvarado@infomat.com

user=fernando.jorquera@infomat.com

user=gustavo.contreras@infomat.com

user=ivan.jara@infomat.com

user=ivar.zapata@infomat.com

user=jose.fernandez@infomat.com

user=juan.contreras@infomat.com

user=luis.saez@infomat.com

user=marco.penaloza@infomat.com

user=marco.poblete@infomat.com

user=mario.moya@infomat.com

user=mario.salgado@infomat.com

user=martin.munoz@infomat.com

user=mauricio.pinto@infomat.com

user=mauricio.vargas@infomat.com

user=miguel.barriga@infomat.com

user=patricio.guerrero@infomat.com

user=pedro.figueroa@infomat.com

user=roberto.opazo@infomat.com

user=ruben.aravena@infomat.com

user=sebastian.toro@infomat.com

user=sergio.hernandez@infomat.com

Total general

ip=[::ffff:190.100.63.24] 328 20 2 86 54 826 14 1330ip=[::ffff:190.100.73.98] 210 10 220ip=[::ffff:190.160.210.168] 12 12 12 22 44 62 12 170 2 348ip=[::ffff:190.160.210.178] 18 78 16 112ip=[::ffff:190.44.190.38] 206 44 74 2 372 770 1468ip=[::ffff:190.44.214.33] 20 20 20 20 20 20 120ip=[::ffff:200.120.174.224] 46 46 46 47 46 44 275ip=[::ffff:200.72.211.67] 66 2 68ip=[::ffff:201.215.206.125] 98 62 160ip=[::ffff:201.239.245.76] 26 26 26 26 26 24 154Total general 432 20 210 98 206 2 110 104 10 86 74 122 2 54 22 122 16 2 372 826 155 104 258 770 2 62 14 4255

Captura de pantalla #9: IPs Sospechosas

Solicitud de información de IPs sospechosas al ISP

El ISP proporciona información sobre ciertas IPs que son las siguientes:

Captura de pantalla #10: Información IPs proporcionadas por el ISP

BUSQUEDA DE HOST IMPLICADO EN ACCESO NO AUTORIZADO

Al realizar la busqueda de las IPs sospechosas en el archivo proporcionado por el ISP, se encuentra que la IP implicada es la siguiente:

IP:201.239.245.76

La información de la ip 201.239.245.76 proporcionada por el ISP es la siguiente:

Captura de pantalla #10: Información de ip 201.239.245.76

Búsqueda de correos sospechosos desde hostname EduardoPC

La ip implicada en la posible fuga de información 201.239.245.76, con hostname EduardoPC se realizada la búsqueda

CORREO FECHA HORA USUARIO HOSTNAME ASUNTO DE PARA

126/08/2011 15:52:06

juan.contreras@infomat.com (EduardoPC) T="RV: LO SOLICITADO CIERRE JULIO" juan.contreras@infomat.comc.bustamante.nielsen@gmail.com

226/08/2011 19:25:22

patricio.guerrero@infomat.com (EduardoPC) T="RV:Calculo Pablo Calcumil" patricio.guerrero@infomat.comeduabatt@gmail.com

326/08/2011 19:01:39

juan.contreras@infomat.com (EduardoPC) T="RV:LO SOLICITADO CIERRE JULIO" juan.contreras@infomat.comofuenzalida.r@gmail.com

zetadf@hotmail.com

428/08/2011 12:23:57

patricio.guerrero@infomat.com (EduardoPC) T="RV:CALCULO" patricio.guerrero@infomat.comc.bustamante.nielsen@gmail.com

ofuenzalida.r@gmail.com

Tabla #1: Correos enviados desde host EduardoPC sospechosos

CORREO 1

26/08/2011 15:52:06 [4234] 1Qx2RH-00016I-IO <=juan.contreras@infomat.com H=pc-33-214-44-190.cm.vtr.net(EduardoPC)[190.44.214.33]:49189 I=[69.16.244.12]:2525 P=esmtpaA=courier_login:juan.contreras@infomat.com S=832862 T="RV: LOSOLICITADO CIERRE JULIO" from <juan.contreras@infomat.com> forc.bustamante.nielsen@gmail.com

CORREO 2

26/08/2011 19:25:22 [23893]1Qx5lc-0006DN-6N <=patricio.guerrero@infomat.com H=pc-33-214-44-190.cm.vtr.net(EduardoPC)[190.44.214.33]:49446 I=[69.16.244.12]:2525 P=esmtpaA=courier_login:patricio.guerrero@infomat.com S=912937 T="RV: CalculoPablo Calcumil" from <patricio.guerrero@infomat.com> foreduabatt@gmail.com

CORREO 3

26/08/2011 19:01:39 [29420]1Qx5Oi-0007eW-21 <=juan.contreras@infomat.com H=pc-33-214-44-190.cm.vtr.net(EduardoPC)[190.44.214.33]:49193 I=[69.16.244.12]:2525 P=esmtpaA=courier_login:juan.contreras@infomat.com S=836221 T="RV: LOSOLICITADO CIERRE JULIO" from <juan.contreras@infomat.com> forofuenzalida.r@gmail.com zetadf@hotmail.com

CORREO 4

28/08/2011 12:23:57 [23021]1Qxi9M-0005zJ-FS <=patricio.guerrero@infomat.com H=pc-224-174-120-200.cm.vtr.net(EduardoPC) [200.120.174.224]:49329 I=[69.16.244.12]:2525 P=esmtpaA=courier_login:patricio.guerrero@infomat.com S=14407 T="RV: CALCULO"from <patricio.guerrero@infomat.com> for c.bustamante.nielsen@gmail.comofuenzalida.r@gmail.com

FECHA: sábado 27 de agosto de 2011

Se registra el acceso a la cuenta de correo pedro.figueroa@infomat.com desde la IP 186.105.97.14 entre 20:23:47 y 20:29:42, se nota actividad sospechosa a las 20:28:45, como se muestra a continuación:

Captura de la Pantalla # 9: Uso de passwdpop en cuenta de correo pedro.figueroa@infomat.com

Registro completo:

"GET /webmail/x3/mail/passwdpop.html?redirectdomain=&email=pedro.figueroa&domain=infomat.com HTTP/1.1"

http://webmail.infomat.com/webmail/x3/?login=1&post_login=93430004440911

passwdpop.html: se utiliza para cambio de contraseña

Entre 20:28:47 y 20:29:19

Captura de la Pantalla # 10: Uso de passwordstrength en cuenta de correo pedro.figueroa@infomat.com

Registro completo:

POST /backend/passwordstrength.cgi HTTP/1.1

http://webmail.infomat.com/webmail/x3/mail/passwdpop.html?redirectdomain=&email=pedro.figueroa&domain=infomat.com

passwordstrength: Password Strength Configuration, configura a la fuerza una nueva contraseña.

Esta característica le permite definir las contraseñas de potencia mínima para todas las características autenticadas de cPanel.

A 20:29:28

Captura de la Pantalla # 11: Uso de dopasswdpop.html en cuenta de correo pedro.figueroa@infomat.com

Registro completo:

"POST /webmail/x3/mail/dopasswdpop.html HTTP/1.1"

"http://webmail.infomat.com/webmail/x3/mail/passwdpop.html?redirectdomain=&email=pedro.figueroa&domain=infomat.com"

dopasswdpop.html: haciendo uso de las funciones de petición POST con ajax dopasswdpop.html el atacante puede cambiar la contraseña de la cuenta de correo electrónico de la víctima.

Se registra acceso del usuario pedro.figueroa@infomat.com desde la IP 190.44.214.33 entre 22:18:53 y 22:19:03

Captura de la Pantalla # 12: Acceso desde IP 190.44.214.33 a cuenta de correo pedro.figueroa@infomat.com

Registro completo:

"GET /webmail/x3/?login=1 HTTP/1.1"

Fecha: lunes 29 de agosto de 2011

Acceso al correo electrónico por medio de http://webmail.infomat.com desde la ip 190.101.61.111 a la cuenta de correo pedro.figueroa@infomat.com entre 12:48:20 y 12:50:21

Captura de la Pantalla # 13: Acceso desde IP 190.101.61.111 a cuenta de correo pedro.figueroa@infomat.com

Registro completo:

"GET /webmail/x3/?login=1 HTTP/1.1"

EVIDENCIA 2

Captura de la Pantalla # 14: Correo dirigido a cuenta de pedro.figueroa@infomat.com con asunto “Certificado cumplimiento laboral”

Se observa correo electrónico desde la cuenta de un funcionario de la empresa Deloitte, “jmquiroz@deloitte.com”, dirigido al Sr Pedro Figueroa, en el cual el asunto del correo es “Certificado cumplimiento laboral”, con esto podríamos deducir que el Sr. Pedro Figueroa es el ejecutivo encargado de recursos humanos.

EVIDENCIA 3

Captura de la Pantalla # 15: Correo dirigido a cuenta de pedro.figueroa@infomat.com con asunto “Ayuda para volver a entrar en Facebook”

Se observa correo electrónico desde la cuenta update+zrdorregp6z1@facebookmail.com dirigido, al Sr. Pedro Figueroa, en el cual el asunto del correo es “Ayuda para volver a entrar en Facebook”, dando a notar que esta persona podría ser un blanco fácil de algún tipo de fraude informático, como robo de contraseñas, ingeniería social, etc.

EVIDENCIA 4

Para esta evidencia se ha capturado registros con asuntos sospechosos, que hagan referencia a un finiquito, además que hagan inferir una posible fuga de información:

Finiquito: es un documento, realizado en papel por el que se pone fin a la relación laboral existente entre el *Liquidación y firma: se confrontan devengos y deducciones, obteniendo la cantidad a cobrar por el trabajador. Dicha cantidad no podrá ser nunca negativa. Esta cantidad deberá abonarse en el momento de la firma, bien en efectivo o talón bancario. En el momento de la firma el trabajador rechaza a cualquier pago que pudiera corresponderle. Solo mediante el añadido "recibido no conforme" deja la puerta abierta a posibles reclamaciones futuras.

Captura de la Pantalla # 16: Correo dirigido a cuenta de pedro.figueroa@infomat.com con asunto “RE: Finiquitos”

Registro completo:

1Qodbs-0006aV-ET <= juan.parra@infomat.com H=pc-62-62-100-190.cm.vtr.net (JUANPARRA) [190.100.62.62]:4743 I=[69.16.244.12]:2525 P=esmtpa A=courier_login:juan.parra@infomat.com S=18751 T="RE: Finiquitos" from <juan.parra@infomat.com> for jorge.bravo@infomat.com oscarrupallan@infomat.com patricio.guerrero@infomat.com pedro.figueroa@infomat.com

Captura de la Pantalla # 17: Correo dirigido a cuenta de pedro.figueroa@infomat.com con asunto “Anexo de contrato”

Registro completo:

1QwaXJ-0008TK-Qv <= felipe.romero@infomat.com H=pc-168-210-160-190.cm.vtr.net (FelipeRomero) [190.160.210.168]:2710 I=[69.16.244.12]:2525 P=esmtpa A=courier_login:felipe.romero@infomat.com S=48715 T="Anexo de contrato." from <felipe.romero@infomat.com> for patricio.guerrero@infomat.com pedro.figueroa@infomat.com

Captura de la Pantalla # 18: Correo dirigido a cuenta de pedro.figueroa@infomat.com con asunto “lo solicitado”

Registro completo:

1Qnt15-0004Cx-05 <= juan.contreras@infomat.com H=pc-33-61-101-190.cm.vtr.net (JPcontrerasPC) [190.101.61.33]:49303 I=[69.16.244.12]:2525 P=esmtpa A=courier_login:juan.contreras@infomat.com S=62912 id=003701cc5052$c4e2a5b0$4ea7f110$@infomat.com T="lo solicitado" from <juan.contreras@infomat.com> for constanza.cuitino@vtr.net

Captura de la Pantalla # 19: Correo dirigido a cuenta de pedro.figueroa@infomat.com con asunto “Documentaci\363n Emilio Romero Duran”

Registro completo:

1QwgPN-0001OJ-4R <= roberto.opazo@infomat.com H=pc-38-190-44-190.cm.vtr.net (rrhh7279328bf7) [190.44.190.38]:2774 I=[69.16.244.12]:2525 P=esmtpa A=courier_login:roberto.opazo@infomat.com S=6275 T="Documentaci\363n Emilio Romero Duran" from <roberto.opazo@infomat.com> for pedro.figueroa@infomat.com

Captura de la Pantalla # 20: Correo dirigido a cuenta de pedro.figueroa@infomat.com con asunto “Calculo Pablo Calcumil”

Registro completo:

1QwwdR-000764-TQ <= rodrigo.lagos@infomat.com H=pc-168-210-160-190.cm.vtr.net (RodrigoLagos) [190.160.210.168]:1760 I=[69.16.244.12]:2525 P=esmtpa A=courier_login:rodrigo.lagos@infomat.com S=908994 T="Calculo Pablo Calcumil" from <rodrigo.lagos@infomat.com> for patricio.guerrero@infomat.com pedro.figueroa@infomat.com

Captura de la Pantalla # 21: Correo dirigido a cuenta de eduabatt@gmail.com con asunto “RV:Calculo Pablo Calcumil”

Registro completo:

1Qx5lc-0006DN-6N <= patricio.guerrero@infomat.com H=pc-33-214-44-190.cm.vtr.net (EduardoPC) [190.44.214.33]:49446 I=[69.16.244.12]:2525 P=esmtpa A=courier_login:patricio.guerrero@infomat.com S=912937 T="RV: Calculo Pablo Calcumil" from <patricio.guerrero@infomat.com> for eduabatt@gmail.com

Captura de la Pantalla # 22: Cuenta de correo de eduardo.abatte@infomat.com

El usuario de la cuenta de correo eduabatt@gmail.com también tiene una cuenta en la empresa, la cual es eduardo.abatte@infomat.com, con lo cual se puede inferir que este usuario es empleado de dicha empresa y podría ser quien proporcionó información confidencial.

EVIDENCIA 5

Captura de pantalla 23 #: Correo electrónico con asunto “reunión sindical”

Registro completo:

1QxnZT-0005hy-Db <= carlos.bustamante@infomat.com H=localhost (webmail.infomat.com) [127.0.0.1]:43648 I=[127.0.0.1]:25 P=esmtpa A=courier_login:carlos.bustamante@infomat.com S=874 id=ddb3b7e6d37939e33b26ee10dd83264d@infomat.com T="reunion sindical" from <carlos.bustamante@infomat.com> for GUSTAVO.CONTRERAS@infomat.com PEDRO.FIGUEROA@infomat.com eduabatt@gmail.com ofuenzalida.r@gmail.com

EVIDENCIA 6

Captura de pantalla # 24: Correo electrónico con asunto “Licencias Medicas”

Registro completo:

1Qx2dJ-0002UW-9w <= felipe.romero@infomat.com H=pc-168-210-160-190.cm.vtr.net (FelipeRomero) [190.160.210.168]:2922 I=[69.16.244.12]:2525 P=esmtpa A=courier_login:felipe.romero@infomat.com S=56938 T="Licencias Medicas" from <felipe.romero@infomat.com> for axel.vallejos@vtr.net carlosleyton@vtr.net carmen.martinez@e.vtr.cl claudio.trujillo@infomat.com daniel.mora@infomat.com hernanaraya@vtr.net i.vidal@vtr.net josehuaiquiman@vtr.net maria.slier@infomat.com

miguel.barriga@vtr.net pablo.calcumil@infomat.com patricio.guerrero@infomat.com pedro.figueroa@infomat.com ruben.aravena@vtr.net s.galarce@vtr.net ulises.jara@e.vtr.cl

DETALLE DE LOS SUPUESTOS IMPLICADOS:

Fecha Hora De: Para: Asunto

25-ago-11 9:51 juan.parra@infomat.com pedro.figueroa@infomat Finiquito

25-ago-11 10.04 felipe.romero@infomat.compatricio.guerrero@infomat.com, pedro.figueroa@hotmail.com Anexo de contrato

25-ago-11 10:30 juan.contreras@informat.com pedro.figueroa@informat.com Lo Solicitado

25-ago-11 16:20 roberto.opazo@informat.com pedro.figueroa@informat.comDocumentación Emilio Romero Duran

26-ago-11 9:40 rodrigo.lagos@informat.compatricio.guerrero@infomat.com, pedro.figueroa@hotmail.com Calculo Pablo Calcumil

26-ago-11 19:25 patricio.guerrero@informat.com eduabatt@gmail.com Calculo Pablo Calcumil

Tabla #1: Resumen de sospechosos

IPs REQUERIDAS

190.160.155.47

IP que es del dominio cm.vtr.net y que normalmente se conectan los usuario para acceder al servicio de correos.

Captura de pantalla #25: Información de la IP 190.160.155.47

186.105.97.14

IP desde la que se hizo cambio de password de la cuenta de correo pedro.figueroa@infomat.com.

Registro completo:

http://webmail.infomat.com/webmail/x3/mail/passwdpop.html?redirectdomain=&email=pedro.figueroa&domain=infomat.com

Captura de pantalla #26: Información de la IP 186.105.97.14

INFORMACIÓN DEL ISP

Captura de Pantalla # 27: Pantalla Inicio de la Página Web del ISP VTR

Vtr.com es un proveedor chileno de servicios de televisión por cable, telefonía básica e internet banda ancha.

Cuenta con un servicio de webmail para los usuarios de este proveedor con un formato xxxx.xxxxx@vtr.net, la imagen siguiente muestra la página de acceso.

Captura de Pantalla # 28: Pantalla del WebMail del proveedor VTR

CONCLUSIONES:

Se encontraron registros de accesos del sábado 27 y domingo 28 del 2011, dias en que laboralmente la empresa no trabaja.

En base al artículo #2 de la ley de Correo Electrónico nos permite analizar el archivo log infomat.pop.imap.smtp.login del cual se obtuvo el rango de ips de los accesos en los dias antes mencionados.

En base al archivo log entregado por el ISP se identifica a la ip 201.239.245.76 que es la unica que coincide con el rango de ips que se obtuvieron anteriormente.

En la información otorgada por el proveedor se constató que esta ip correspondía al hostname eduardo-PC, posteriormente se analizó en log infomat.exim.log en la cual consta que desde el computador sea accedida a cuentas de correos de diferentes usuarios y se reenviaba información confidencial de la empresa INFOMAT, lo cual estaría penado por el artículo #4 de la ley del correo electrónico.

ANEXOS

Anexo # 1 : Ley 19.223 Legislación Chilena “Tipifica Figuras Penales Relativas a La Informática”

Anexo # 2 :Integridad de la evidencia archivo infomat.actividad.roundcube.log

Anexo # 3 :Integridad de la evidencia archivo infomat.exim.log

Anexo # 4 :Integridad de la evidencia archivo infomat.pop.imap.smtp.login.log

Anexo # 5 :Integridad de la evidencia archivo infomat.webmail.log

JOSÉ LUIS APOLO

PERITO INFORMÁTICO JUDICIAL