Hola,

Algunos que me conocen saben que soy Ingeniero de Sistemas, pero casi nunca ejercí como tal. Hace ya varios años me especialice en la dirección de empresas y en internacionalización de las mismas, por lo que mis conocimientos de programación y seguridad informática han ido quedando oxidados siendo a día de hoy como los de un usuario avanzado.

En estos días, coincidiendo que me encontraba fuera de la empresa con la que estoy colaborando con todo el staff directivo, surgió un correo de un supuesto cliente descontento que acusaba a parte del personal de malas prácticas. Con el fin de recabar la información para pillar al que había generado la historia que parece falsa, me puse a repasar mis conocimientos y a ir buscando por internet para actualizarme y voy avanzando.

Iré escribiendo aquí a modo de diario lo que hago y lo que avanzo, tanto para mi, como para la gente que está por el foro y conoce temas de seguridad aporte ideas o colabore. No propongo un CSI, pero sí estaría agradecido con la ayuda.

Si alguien quiere mas datos privados como cabeceras de correo y alguna captura, se la mando por privado.

27/10/2015
Llega correo de la dirección [email protected] quejándose de que le están dando mala atención e incluso acusando a ciertas personas de practicas contrarias al proceder de la empresa.
27/10/2015
Manda un nuevo correo en el que se ve que conoce mucha la compañía, incluso escribe el nombre de ciertas personas que solo personas cercanas saben que lo escribe así, dando mas detalles de la operación.
28/10/2105
El Director General, le pide un número de teléfono y mas información por que no hay constancia de esa clienta ni de ese trabajo.
28/10/2015
La citada Eva Vazquez (así se hace llamar) manda otro correo con una supuesta captura de pantalla de una conversación de FB con una de las personas de la empresa a la cual llamaremos "T" , en la que se supone pactan ciertos aspectos. En este correo que manda al director general, se ve una respuesta mas apresurada y dando el tema por zanjado

Se buscan los culpables:

Hacemos una lista de posibles sospechosos valorando conocimientos, oportunidad y motivos. Nos salen 6 posibles candidatos, si bien es posible que haya otros, combinación de varios o ayudas externas.

En primer lugar intento analizar las cabeceras de los correos y no consigo sacar mas que direcciones IP de servidores de Google o IPs privadas que no corresponden con el rango de la empresa.

Analizo el EXIF de la captura y tampoco muestra mas información que la de tipo técnico (Resolución, bitrate, etc)

Intento recuperar la contraseña de [email protected] y el correo de referencia es un [email protected], no tenemos referencia de ninguna laura o similar ni en la empresa ni en el entorno cercano.

Analizo PCs de la empresa y veo que "E" una de las sospechosas entra en el CRM buscando el nombre de la supuesta cliente, lo que teóricamente la descarta como sospechosa.
No encuentro cookies ni accesos a la cuenta de gmail ni a la de outlook que podrían ser sospechosas
No encuentro nada en los históricos, correos o mensajería digno de mención para el caso

El último correo, parece que está escrito desde un movil con autocorrección y las cabeceras son ligeramente distintas, pero no veo tampoco nada relevante

No se si hasta aquí os pongo lo suficiente información y sirve para seguir planteando la estrategia.

Siguientes pasos:

Esperando que el culpable tenga en el móvil configurado el correo y lo tenga por el WIFI de la empresa; hoy vamos a mandarle varios correos a la cuenta de Eva y con Wireshark (sniffer) ver si se entra algo en algún dispositivo en la red de la empresa.

Hemos puesto en uno de los sospechosos un Keyloguer para analizar si de ahí sale algo, aunque no creo por el perfil de usuario y que ademas parece que que han usado mas dispositivos móviles para el tema.


(Aquí ya entra FC, a ver si se nos ocurre algo mas)

Seguiré informando de como voy avanzando y agradezco cualquier ayuda.


P.D. La opción de contratar a alguien que nos apoye en el tema, está casi descartada. La empresa está en México y entre que es caro y la confidencialidad de la empresa se pondría en riesgo al menos de momento no es opción.