Más contenido relacionado Similar a Memorias perito vol_7_dragonjar_con (20) Más de Jaime Restrepo (20) Memorias perito vol_7_dragonjar_con1. Lorenzo Martínez R. @LAWWAIT
Memorias de un perito informático forense Vol. VII
© Todos los derechos reservados
2. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Lorenzo Martínez Rodríguez
Lorenzo@securizame.com
3. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Lorenzo Martínez Rodríguez
Lorenzo@securizame.com
4. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
¿Preguntas?
SI TIENES PREGUNTAS
DURANTE LA CHARLA
INGRESAAL CÓDIGO QR
E INTRODUCE ESTE
NÚMERO
#22617qrco.de/preguntar
5. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
6. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
7. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
8. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
9. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
10. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Disclaimer
• El caso expuesto es verídico
• Se ha ocultado identidad real
• Resuelto judicialmente
• Exposición con única finalidad académica
11. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Antecedentes del asunto
• Un colega me reenvía un caso
• Despido justificado como
procedente
• Carta de despido apoyada por
informe pericial
• Estudio Espionaje de actividad
del trabajador
12. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
¿De qué parto?
• Reunión con cliente
• Carta de despido
• Baja productividad
• Violación de política empresarial
• Resultados de monitorización
• ¿Peritaje?
13. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Política de uso aceptable de medios
informáticos
• Utilización de PC para uso
personal
• Utilización de teléfono del
trabajo
• Utilización de móvil personal
• Gestión de productividad….
14. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Política de uso aceptable de medios
informáticos
• Utilización de PC para uso
personal
• Utilización de teléfono del
trabajo
• Utilización de móvil personal
• Gestión de productividad….
15. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Política de uso aceptable de medios
informáticos
• Utilización de PC para uso
personal
• Utilización de teléfono del
trabajo
• Utilización de móvil personal
• Gestión de productividad….
16. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Política de uso aceptable de medios
informáticos
• Utilización de PC para uso
personal
• Utilización de teléfono del
trabajo
• Utilización de móvil personal
• Gestión de productividad….
17. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Política de uso aceptable de medios
informáticos
• Utilización de PC para uso
personal
• Utilización de teléfono del
trabajo
• Utilización de móvil personal
• Gestión de productividad….
18. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Política de uso aceptable de medios
informáticos
• Utilización de PC para uso
personal
• Utilización de teléfono del
trabajo
• Utilización de móvil personal
• Gestión de productividad….
19. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Política de uso aceptable de medios
informáticos
• Utilización de PC para uso
personal
• Utilización de teléfono del
trabajo
• Utilización de móvil personal
• Gestión de productividad…. con Tracking Time
20. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
• https://trackingtime.co/es
• Herramienta online para gestión de equipos
humanos
• Administrador de proyectos
• Usuarios imputan horas
• Altas/bajas/modificaciones de reportes horarios
• Permite prueba gratuita completamente funcional
21. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Análisis Tracking Time
• Funcionamiento
• Usuario gestor de equipo
• Usuarios “trabajadores”
• Cada usuario crea registros horarios
• De 9:00 a 12:00 - Proyecto X
• De 12:00 a 13:00 - Reunión con Z
• Simulación con dos ordenadores distintos
22. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Análisis Tracking Time
• Funcionamiento
• Usuario gestor de equipo
• Usuarios “trabajadores”
• Cada usuario crea registros horarios
• De 9:00 a 12:00 - Proyecto X
• De 12:00 a 13:00 - Reunión con Z
• Simulación con dos ordenadores distintos
• Gestor de equipos puede crear/modificar/eliminar
registros de tiempo a usuarios “trabajadores”
23. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
EAM iMonitor
• Herramienta de “monitorización” de empleados
24. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
EAM iMonitor
• Herramienta de “monitorización” de empleados
25. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
EAM iMonitor
• Herramienta de “monitorización” de empleados
26. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
EAM iMonitor
• Herramienta de “monitorización” de empleados
27. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
EAM iMonitor
• Herramienta de “monitorización” de empleados
28. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
¿Diferencias con un DLP?
• Data [Leak/Loss] [Protection/Prevention]
• Trazabilidad del dato vs. espionaje de actividad
• Identifica exfiltración de datos
• DLP != Keylogging + VNC!
29. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
¿Diferencias con un DLP?
• Data [Leak/Loss] [Protection/Prevention]
• Trazabilidad del dato vs. espionaje de actividad
• Identifica exfiltración de datos
• DLP != Keylogging + VNC!
30. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Probemos!
• EAM iMonitor -> Versión Trial 15 días
• Arquitectura cliente/servidor
• Instalación y prueba en local
• Windows 2012 -> Servidor
• Windows 7 -> Cliente
• Características intrusivas
• VNC -> Tiempo real
• Grabación de TODA la actividad
• Keylogger
31. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Probemos!
• EAM iMonitor -> Versión Trial 15 días
• Arquitectura cliente/servidor
• Instalación y prueba en local
• Windows 2012 -> Servidor
• Windows 7 -> Cliente
• Características intrusivas
• VNC -> Tiempo real
• Grabación de TODA la actividad
• Keylogger
32. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Probemos!
• EAM iMonitor -> Versión Trial 15 días
• Arquitectura cliente/servidor
• Instalación y prueba en local
• Windows 2012 -> Servidor
• Windows 7 -> Cliente
• Características intrusivas
• VNC -> Tiempo real
• Grabación de TODA la actividad
• Keylogger
33. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Las causas del despido
• Baja productividad -> Tabla con actividad monitorizada
• Utilización inadecuada de Tracking Time
• Instalación de un programa ajeno en el PC corporativo
• Utilización de tablet propia
• Conexión de un USB
34. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Las causas del despido
• Baja productividad -> Tabla con actividad monitorizada
• Utilización inadecuada de Tracking Time
• Instalación de un programa ajeno en el PC corporativo
• Utilización de tablet propia
• Conexión de un USB
35. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Actuación ante notario
• Perito no tiene fe pública
• eGarante -> https://www.egarante.com
• Requerimiento y diligencia:
• Renderización de contenido relevante
de webs de Tracking Time y EAM
iMonitor
• Descarga de documentos públicos
• Prueba con Tracking Time versión Free
• Prueba con EAM iMonitor
36. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Peritaje adverso
• El perito -> Ingeniero en informática
• Él instala programa para monitorización
• Conexión de USB -> Agree*
• Aporta grabaciones de pantalla de consola de
administración de iMonitor
• Correlación con las cámaras de la empresa
• Juicios de valor:
• Tareas ajenas a la empresa
• Instalación de programas no autorizados
37. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Destripando EAM iMonitor
• Directorio C:EAMDATAdb<ID><usuario>screen
YYYYMMDD
• Ficheros con capturas de pantalla
• Fichero index.txt que especifica orden de
reproducción de directorio
38. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Destripando EAM iMonitor
• Directorio C:EAMDATAdb<ID><usuario>screen
YYYYMMDD
• Ficheros con capturas de pantalla
• Fichero index.txt que especifica orden de
reproducción de directorio
39. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Destripando EAM iMonitor
• Directorio C:EAMDATAdb<ID><usuario>screen
YYYYMMDD
• Ficheros con capturas de pantalla
• Fichero index.txt que especifica orden de
reproducción de directorio
40. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Destripando EAM iMonitor
• Directorio C:EAMDATAdb<ID><usuario>screen
YYYYMMDD
• Ficheros con capturas de pantalla
• Fichero index.txt que especifica orden de
reproducción de directorio
• Pruebas empíricas alterando mi propia grabación
41. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Destripando EAM iMonitor
• Directorio C:EAMDATAdb<ID><usuario>screen
YYYYMMDD
• Ficheros con capturas de pantalla
• Fichero index.txt que especifica orden de
reproducción de directorio
• Pruebas empíricas alterando mi propia grabación
42. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Mi informe pericial
• Tracking time -> no fiable por ser alterables los
registros de tiempo por un administrador
• Monitorización MUY invasiva hacia la privacidad de
usuario
• Posibilidades de trigger con palabras clave -> NULL
• Medidas de seguridad para evitar alteración -> NULL
• Otras opciones no contempladas por parte de la
empresa (Proxies, DLP, bloqueo de USBs, etc)
• Discrepancias entre cámaras y actividad de PC
• Mis pruebas empíricas -> ante notario
43. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
El juicio
44. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
El juicio
45. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
El juicio
46. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
47. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
48. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
49. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
50. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
Agradecimientos
51. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
La sentencia
• Método empleado es intrusivo para
investigar bajo rendimiento ->
Vulneración del derecho fundamental
de la intimidad
• Programa ajeno a la empresa -> El
trabajador había usado el programa
antes y el jefe lo sabía, sin
amonestarle por ello
• Conexión de un USB -> Como no se dice
si entra o sale info > /dev/null
52. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
La sentencia
• Tablet propia -> El trabajador dice
que la tiene que usar pero que la
empresa no la adquirió
• ¿Evaluar rendimiento del
trabajador con objetivos?
• Favorable al trabajador
• Despido nulo por vulneración de
derechos fundamentales
(intimidad)
• 10.000 euros de multa
• Cabía recurso…
53. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
La sentencia
• Tablet propia -> El trabajador dice
que la tiene que usar pero que la
empresa no la adquirió
• ¿Evaluar rendimiento del
trabajador con objetivos?
• Favorable al trabajador
• Despido nulo por vulneración de
derechos fundamentales
(intimidad)
• 10.000 euros de multa
• Cabía recurso… y recurrieron
54. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
La sentencia
• Tablet propia -> El trabajador dice
que la tiene que usar pero que la
empresa no la adquirió
• ¿Evaluar rendimiento del
trabajador con objetivos?
• Favorable al trabajador
• Despido nulo por vulneración de
derechos fundamentales
(intimidad)
• 10.000 euros de multa
• Cabía recurso… y recurrieron
55. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
La sentencia
• Tablet propia -> El trabajador dice
que la tiene que usar pero que la
empresa no la adquirió
• ¿Evaluar rendimiento del
trabajador con objetivos?
• Favorable al trabajador
• Despido nulo por vulneración de
derechos fundamentales
(intimidad)
• 10.000 euros de multa
• Cabía recurso… y recurrieron
56. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
• Aplica sentido común
• El perito no tiene fe pública,
un notario sí
• Lo barato sale caro
• Despido “procedente” -> Despido nulo
• Ojo a la vulneración de derecho a la intimidad
• Entiende lo que hacen las herramientas que
usas
57. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
¿Preguntas?
SI TIENES PREGUNTAS
DURANTE LA CHARLA
INGRESAAL CÓDIGO QR
E INTRODUCE ESTE
NÚMERO
#22617qrco.de/preguntar
58. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
59. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
60. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
61. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
@Lawwait
@securizame
/securizame
https://www.securizame.com
https://cursos.securizame.com
https://certificaciones.securizame.com
https://www.securiza-t.com
+34 91 123 11 73
Lorenzo@securizame.com
62. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII
63. © Todos los derechos reservados @LAWWAIT
Memorias de un perito informático forense Vol. VII