Mi Spam / Mi Harakiri Mi Spam / Mi Harakiri Un caso ForenseUn caso Forense

@d7n0@d7n0© JHON JAIRO JHON JAIRO

HERNÁNDEZ HERNÁNDEZ HERNÁNDEZ HERNÁNDEZ

Dinosaurio – DinoDinosaurio – Dino

Jhonjairo.hernandez@swatsecurityit.com

d7n0s4ur70@gmail.com

EL MUNDO DE DINOSAURIOhttp://world-of-dino.blogspot.com/http://world-of-dino.blogspot.com/

© Jhon Jairo Hernández Hernández© Jhon Jairo Hernández Hernández

Director ProyectosConsultor Seguridad Informática / InformaciónInvestigador Inform. ForenseAcadémicoSocio Fundador SWAT Security-IT SAS

#whoami#whoami

© Jhon Jairo Hernández Hernández© Jhon Jairo Hernández Hernández

w w w .s w a t s e c u r i t y i t . c o m© Jhon Jairo Hernández Hernández© Jhon Jairo Hernández Hernández

Como todos los casos Como todos los casos forenses que he tenido forenses que he tenido que atender, este no que atender, este no dejaba de ser otro caso dejaba de ser otro caso que se visualizaba como que se visualizaba como una:una:

w w w .s w a t s e c u r i t y i t . c o m© Jhon Jairo Hernández Hernández© Jhon Jairo Hernández Hernández

Debido a que nuevamente me encontraba viajando sin Debido a que nuevamente me encontraba viajando sin información para atender un incidente de Seguridad que información para atender un incidente de Seguridad que atentaba contra una Organización, de ahora en adelante la atentaba contra una Organización, de ahora en adelante la conoceremos como conoceremos como "EMPRESA AFECTADA"."EMPRESA AFECTADA".

Al parecer se trataba de:Al parecer se trataba de:

w w w .s w a t s e c u r i t y i t . c o m© Jhon Jairo Hernández Hernández© Jhon Jairo Hernández Hernández

DEL CASO DE DEL CASO DE INVESTIGACION INVESTIGACION

FORENSE.FORENSE.

A PARTES DEL INFORMEA PARTES DEL INFORME

w w w .s w a t s e c u r i t y i t . c o m© Jhon Jairo Hernández Hernández© Jhon Jairo Hernández Hernández

Realizar un ANALISIS FORENSE Realizar un ANALISIS FORENSE INFORMATICO de seguimiento de correo INFORMATICO de seguimiento de correo (Tracking de Email)(Tracking de Email). .

Se registran en las bandejas entrada de Se registran en las bandejas entrada de correo de varios usuarios de la Organización, correo de varios usuarios de la Organización, mensajes de SPAM que atentan el Good-mensajes de SPAM que atentan el Good-Will / Know-how de la Will / Know-how de la "EMPRESA "EMPRESA AFECTADA". AFECTADA".

ES DETERMINAR EL ORIGEN DE LA ES DETERMINAR EL ORIGEN DE LA DIRECCIÓN IP DEL CORREO. DIRECCIÓN IP DEL CORREO.

Con fines de apoyar la investigación Con fines de apoyar la investigación judicial y análisis informático forense judicial y análisis informático forense por parte de un Organismo competente por parte de un Organismo competente de Delitos Informáticos (Dijin, CTI – de Delitos Informáticos (Dijin, CTI – Fiscalía) posterior a una denuncia penal Fiscalía) posterior a una denuncia penal con carácter averiguatorio o Demanda con carácter averiguatorio o Demanda Judicial interpuesta por la Judicial interpuesta por la "EMPRESA "EMPRESA AFECTADA".AFECTADA".

““Se presentan en un periodo Se presentan en un periodo de tiempo, problemas de de tiempo, problemas de mensajes que atentan contra mensajes que atentan contra el Good-Will de la el Good-Will de la "EMPRESA "EMPRESA AFECTADA".AFECTADA".

Se ha generado una Se ha generado una situación preocupante y situación preocupante y delicada denigrando la delicada denigrando la imagen Corporativa por imagen Corporativa por lo tanto la idea es lo tanto la idea es determinar quienes determinar quienes pueden ser los posibles pueden ser los posibles responsables de este responsables de este perjuicio.”perjuicio.”

Determinar si las personas implicadas son los Determinar si las personas implicadas son los usuarios que realizan las acciones del incidente. usuarios que realizan las acciones del incidente. Reiterando su veracidad como actores en la Reiterando su veracidad como actores en la ejecución de los mismos.ejecución de los mismos.

Identificar los posibles concomitante de la conducta Identificar los posibles concomitante de la conducta delictiva, hecho penal o acción punible. Con base en delictiva, hecho penal o acción punible. Con base en la identificación de la dirección IP origen de envió de la identificación de la dirección IP origen de envió de los mensajes de correo objeto de análisis forense y los mensajes de correo objeto de análisis forense y su correlación de datos con el delito.su correlación de datos con el delito.

Se realizan búsquedas con Se realizan búsquedas con base en diversos filtros de base en diversos filtros de los mensajes del remitente:los mensajes del remitente:

INDICIADO_1@hotmail.com

Enviados aEnviados a funcionario@empresaafectada.co

Que hacen referencia a los Que hacen referencia a los correos recibidos y correos recibidos y enviados por el Sr. enviados por el Sr. INDICIADO_1INDICIADO_1, se extrajeron , se extrajeron los siguientes correos:los siguientes correos:

En esta imagen podemos visualizar los correos que se En esta imagen podemos visualizar los correos que se habían cruzado entre: habían cruzado entre: INDICIADO_1INDICIADO_1 y un funcionario de la y un funcionario de la "EMPRESA AFECTADA"EMPRESA AFECTADA""

En la siguiente imagen se observa un mensaje de correo En la siguiente imagen se observa un mensaje de correo enviado por el enviado por el INDICIADO_1INDICIADO_1 (abogado) al correo (abogado) al correo funcionario@EMPRESAAFECTADAfuncionario@EMPRESAAFECTADA, realizando un reclamo , realizando un reclamo del servicio recibido por su cliente y su correspondiente del servicio recibido por su cliente y su correspondiente indemnización.indemnización.

Con base a las Con base a las cabeceras de cabeceras de correo, que se correo, que se encontraban de encontraban de los mensajes los mensajes enviados por el enviados por el INDICIADO_1INDICIADO_1, , se ubica la IP se ubica la IP origen del origen del computador.computador.

Haciendo uso de la Haciendo uso de la (Latitud, Longitud). (Latitud, Longitud). Encontramos esta Encontramos esta dirección dirección correspondiente no correspondiente no directamente al directamente al Computador del Computador del implicado, implicado, probablemente a los probablemente a los equipos de equipos de comunicación de comunicación de Datos (red de datos Datos (red de datos del ISP) que le del ISP) que le brindan el servicio de brindan el servicio de Internet hasta su Internet hasta su Computador:Computador:

Posteriormente nos Posteriormente nos centramos en analizar centramos en analizar los correos del:los correos del: INDICIADO_1INDICIADO_1

Para determinar Para determinar patrones o conductas patrones o conductas en Internet orientadas en Internet orientadas al envió de SPAM.al envió de SPAM.

Revisando el historial de uso de la dirección IP que le ha Revisando el historial de uso de la dirección IP que le ha asignado la entidad que le brinda el Servicio de Internet (ISP), asignado la entidad que le brinda el Servicio de Internet (ISP), encontramos que ha sido reportado con diversos Servidores encontramos que ha sido reportado con diversos Servidores Anti-Spam, para lo cual establecíamos el supuesto de que el Anti-Spam, para lo cual establecíamos el supuesto de que el INDICIADO_1INDICIADO_1 usaba su cuenta constantemente para el usaba su cuenta constantemente para el reenvió de clasificados e información de reenvió de clasificados e información de SPAMSPAM..

Se establece la Se establece la siguiente siguiente

Cronología de los Cronología de los Hechos:Hechos:

Día, 06 de Enero de 201X 10:16 a.m.Día, 06 de Enero de 201X 10:16 a.m.La Analista de ServicioLa Analista de Servicio envía un mensaje con la envía un mensaje con la respuesta del respuesta del caso de servicio caso de servicio del cliente que esta del cliente que esta apoderando el apoderando el INDICIADO_1 INDICIADO_1 (abogado)(abogado)

Día, 06 de Enero de 201X 04:41 p.m.Día, 06 de Enero de 201X 04:41 p.m.El señor El señor INDICIADO_1 INDICIADO_1 (abogado) del(abogado) del CLIENTE_DEL_ CLIENTE_DEL_ SERVICIOSERVICIO, envía el siguiente correo a la Analista de Servicio , envía el siguiente correo a la Analista de Servicio dede a su bandeja de correo a su bandeja de correo cxxxxxxxx@xxxxxxxm.co

No obstante, de la anterior imagen vamos a destacar No obstante, de la anterior imagen vamos a destacar que:que:

El El INDICIADO_1 INDICIADO_1 (abogado) hace un (reenvió de (abogado) hace un (reenvió de correo) a la Analista de Crédito. correo) a la Analista de Crédito. Sin Sin PERCATARSE PERCATARSE que está mostrando que el mismo que está mostrando que el mismo es causante del envió del mensaje. Ha contribuido es causante del envió del mensaje. Ha contribuido al reenvió al reenvió del MENSAJE DE SPAMdel MENSAJE DE SPAM. . Se visualizan en las cuentas de correo que se Se visualizan en las cuentas de correo que se encuentran en el cuadro color rojo en la anterior encuentran en el cuadro color rojo en la anterior imagen en la Fecha y Asunto. Contribuyendo así, al imagen en la Fecha y Asunto. Contribuyendo así, al envió del envió del SPAMSPAM Fecha de Viernes 16 de Diciembre de 201X Hora 20:58:41 Fecha de Viernes 16 de Diciembre de 201X Hora 20:58:41

Asunto: FW: Asunto: FW: ESCANDALO EN XXXXXXXXXXXXXXXXXXESCANDALO EN XXXXXXXXXXXXXXXXXX..

Entre las cuentas se destaca el correo electrónico Entre las cuentas se destaca el correo electrónico jxxxxx9@hotmail.com Como una de las Cuentas al que el Como una de las Cuentas al que el INDICIADO_1 INDICIADO_1 (abogado) (abogado) envió el correo de envió el correo de SPAMSPAM en la Fecha: en la Fecha:

Fecha de Martes 20 de Diciembre de 2011 Hora 10:15 PST Fecha de Martes 20 de Diciembre de 2011 Hora 10:15 PST Asunto: FW: ESCANDALO EN XXXXXXXXXXXXXXXXXXX.Asunto: FW: ESCANDALO EN XXXXXXXXXXXXXXXXXXX.

Realizando nuevamente un seguimiento de origen de la IP del Realizando nuevamente un seguimiento de origen de la IP del computador del computador del INDICIADO_1 INDICIADO_1 (abogado). (abogado). Encontramos la Encontramos la IP 186.XXX.XXX.X20 IP 186.XXX.XXX.X20 de su cuenta de correo de su cuenta de correo jxxxxxxxx@hotmail.com

Con origen en la Con origen en la Ciudad de Bogotá Ciudad de Bogotá con coordinadas de con coordinadas de posicionamientoposicionamientoGeo local:Geo local:

Latitud Latitud 4.64.6LongitudLongitud -74.0833-74.0833

Podemos determinar que Podemos determinar que el proveedor de el proveedor de servicios es el mismo servicios es el mismo (ISP) “COLOMBIA (ISP) “COLOMBIA TELECOMUNICACIONES TELECOMUNICACIONES S.A. ESP” ubicado en la S.A. ESP” ubicado en la Ciudad deCiudad de

Bogotá – Colombia.Bogotá – Colombia.   ISP: COLOMBIA ISP: COLOMBIA TELECOMUNICACIONES TELECOMUNICACIONES S.A. ESPS.A. ESP  Organización: Organización: COLOMBIA COLOMBIA TELECOMUNICACIONES TELECOMUNICACIONES S.A. ESPS.A. ESP

Con la finalidad de Con la finalidad de validar la IP asignada validar la IP asignada al al INDICIADO_1 INDICIADO_1 (abogado) (abogado) en uso de en uso de SPAMSPAM. .

Se analizan los Se analizan los siguientes correos siguientes correos que le ha enviado a la que le ha enviado a la Analista de Servicio.Analista de Servicio.

El primer correo El primer correo SPAMSPAM que el que el INDICIADO_1 INDICIADO_1 (abogado)(abogado) le envió en la: le envió en la: Fecha 11 Enero de 201X a las 14:48 con: Fecha 11 Enero de 201X a las 14:48 con: Asunto: “FW: AVISAR ¡Ojo!! XXXXXXX Peligrosas”Asunto: “FW: AVISAR ¡Ojo!! XXXXXXX Peligrosas”

Realizando el análisis de origen de la IP asignada al Realizando el análisis de origen de la IP asignada al INDICIADO_1INDICIADO_1 (abogado) en donde se genero este mensaje de (abogado) en donde se genero este mensaje de SPAMSPAM. . Encontramos la Encontramos la IPIP 186.XXX.XXX.16186.XXX.XXX.16 de su cuenta de correo de su cuenta de correo jxxxxxxxx@hotmail.com

Determinamos nuevamente que el proveedor de servicios es Determinamos nuevamente que el proveedor de servicios es el mismo el mismo ( ISP ) “COLOMBIA TELECOMUNICACIONES S.A. ( ISP ) “COLOMBIA TELECOMUNICACIONES S.A. ESP” ubicado en la Ciudad de Bogotá – Colombia.ESP” ubicado en la Ciudad de Bogotá – Colombia.

Se toma para el análisis, un segundo mensaje de correo Se toma para el análisis, un segundo mensaje de correo determinado como determinado como SPAMSPAM enviado por el enviado por el INDICIADO_1INDICIADO_1 (abogado) de su cuenta de correo (abogado) de su cuenta de correo jexxxxxxxxx@hotmail.com con Asunto:con Asunto:

“ “FW: La XXXXXXXXXXXXXX SENTIDO COMUN”FW: La XXXXXXXXXXXXXX SENTIDO COMUN”

Realizando el análisis de origen de la IP del computador del Realizando el análisis de origen de la IP del computador del INDICIADO_1INDICIADO_1 (abogado) (abogado) en donde se genero este mensaje. en donde se genero este mensaje. Encontramos que se trata de la misma Encontramos que se trata de la misma IIPP 186.XXX.XX6.16186.XXX.XX6.16 de de su cuenta de correo su cuenta de correo jexxxxxx@hotmail.comjexxxxxx@hotmail.com

Corresponde al mismo Corresponde al mismo proveedor de servicios proveedor de servicios es el mismo es el mismo (ISP) (ISP) “COLOMBIA “COLOMBIA TELECOMUNICACIONES TELECOMUNICACIONES S.A. ESP” ubicado en la S.A. ESP” ubicado en la Ciudad de Bogotá-Ciudad de Bogotá-Colombia.Colombia.

Estos hechos tomados como patrones nos Estos hechos tomados como patrones nos permiten deducir que el permiten deducir que el INDICIADO_1INDICIADO_1 (abogado) (en uso de todas las (abogado) (en uso de todas las direcciones IP direcciones IP asignadasasignadas a su computador para usar a su computador para usar internet) es usuario asiduo al envió de internet) es usuario asiduo al envió de SPAMSPAM. . Hace parte de su conducta y comportamiento Hace parte de su conducta y comportamiento en el uso de Internet. en el uso de Internet. Lo más importante a destacar es que se Lo más importante a destacar es que se demuestra como el señor envía el correo demuestra como el señor envía el correo SPAMSPAM que está afectando la integridad de la que está afectando la integridad de la “EMPRESA_AFECTADA”“EMPRESA_AFECTADA” al realizar como al realizar como practica el Forward “Fw” o reenvió del correo practica el Forward “Fw” o reenvió del correo objeto de estudio en este análisis forense.objeto de estudio en este análisis forense.

Se continua el Se continua el procedimiento de análisis procedimiento de análisis tomando otros correos tomando otros correos filtrados en la bandeja de filtrados en la bandeja de correo recibido del correo recibido del Analista de Servicio. Analista de Servicio.

Clasificación Realizada Clasificación Realizada con su buzón de correo con su buzón de correo cxxxxx@xxxxxom.co

Correo reenviado por Correo reenviado por UN CLIENTEUN CLIENTE con buzón de correo con buzón de correo electrónicoelectrónico axxxx@yahoo.es Asunto: Asunto: ““Fw: CUIDADO! CON XXXXXXXXXXXXXXXXX SIMILARES” Fw: CUIDADO! CON XXXXXXXXXXXXXXXXX SIMILARES” a el correo a el correo servicioalcliente@xxxxxxxxom.co

Como se observa en estas imágenes no hay Como se observa en estas imágenes no hay Forward “Fw:” Forward “Fw:” del correo a del correo a otras personas o usuarios. Marcando la diferencia de los correos otras personas o usuarios. Marcando la diferencia de los correos enviados por el enviados por el INDICIADO_1INDICIADO_1 (abogado). Este correo es dirigido (abogado). Este correo es dirigido directamente al correo de directamente al correo de servicioalcliente@xxxxxxxxom.co con la finalidad con la finalidad de corroborar la situación de difusión que se está realizando en Internet de corroborar la situación de difusión que se está realizando en Internet POR PARTE DE UN POR PARTE DE UN CLIENTE.CLIENTE.

Realizando el análisis de origen de la IP del correo Realizando el análisis de origen de la IP del correo arxxxxx@yahoo.es en donde se genero este mensaje. en donde se genero este mensaje.   Encontramos la Encontramos la IP 190.XXX.XXX.236 IP 190.XXX.XXX.236 de su cuenta de correo de su cuenta de correo

Correspondiente al proveedor de servicios de Internet Correspondiente al proveedor de servicios de Internet (ISP) (ISP) “ETB - Colombia” ubicado en la Ciudad de Bogotá – “ETB - Colombia” ubicado en la Ciudad de Bogotá – Colombia.Colombia.

De la Bandeja de Correo De la Bandeja de Correo del Outlook de la Analista del Outlook de la Analista de Servicio al Cliente se de Servicio al Cliente se realiza un filtro con el realiza un filtro con el texto:texto:

““MXXAMXXA PXXXA CXXX CXXCOPXXXA CXXX CXXCO””

Aparecen los mensajes Aparecen los mensajes recibidos en su correo recibidos en su correo cxxxxx@xxxxxom.co que cxxxxx@xxxxxom.co que hacen referencia al asunto hacen referencia al asunto de de SPAMSPAM que atenta contra que atenta contra la imagen corporativa de la la imagen corporativa de la “EMPRESA_AFECTADA”“EMPRESA_AFECTADA”

Se realizo la selección de los siguientes Se realizo la selección de los siguientes correos, como aparecen en la imagen para su correos, como aparecen en la imagen para su posterior análisis:posterior análisis:

EL PRIMER CORREO EL PRIMER CORREO a analizar de esta clasificación a analizar de esta clasificación corresponde a: Usuario corresponde a: Usuario INDICIADO_2INDICIADO_2, su buzón de correo , su buzón de correo exxxxxxxjr@yahoo.com exxxxxxxjr@yahoo.com Asunto: “Fw: GRAVE DENUNCIA XXXXXXXXXXXXXXXXXXXXX”.Asunto: “Fw: GRAVE DENUNCIA XXXXXXXXXXXXXXXXXXXXX”.En la siguiente imagen se observa como el correo es enviado a En la siguiente imagen se observa como el correo es enviado a servicioalcliente@xxxxxxxxxcom.co pero a su vez se copia a diferentes pero a su vez se copia a diferentes buzones de correo, contribuyendo a la difusión del buzones de correo, contribuyendo a la difusión del SPAM.SPAM.

Realizando el análisis de origen de la IP del correo Realizando el análisis de origen de la IP del correo exxxxxxxr@yahoo.com en donde se genero este mensaje. en donde se genero este mensaje. Encontramos la Encontramos la IP 186.XXX.XXX.80 IP 186.XXX.XXX.80 de su cuenta de correo. de su cuenta de correo.

Correspondiente al proveedor de servicios de Internet (ISP) Correspondiente al proveedor de servicios de Internet (ISP) “TV Cable S.A.” ubicado en la Ciudad de Bogotá – Colombia“TV Cable S.A.” ubicado en la Ciudad de Bogotá – Colombia

EL SEGUNDO CORREO EL SEGUNDO CORREO a analizar de esta clasificación:a analizar de esta clasificación:

Realizando el mismo proceso con el correo enviado por el Realizando el mismo proceso con el correo enviado por el CLIENTE_2CLIENTE_2, buzón de correo , buzón de correo uxxxx3@hotmail.com  Asunto: Asunto:

““Fw: GRAVE DENUNCIA XXXXXXXXXXXX…Ojo,Fw: GRAVE DENUNCIA XXXXXXXXXXXX…Ojo, parece parece haber mucho de seguro”haber mucho de seguro”  Como podemos observar en la imagen es enviado Como podemos observar en la imagen es enviado directamente a directamente a cxxxxz@xxxxxxxxom.co (Analista de Servicio (Analista de Servicio al cliente) sin reenviar el correo a otras personas o usuarios al cliente) sin reenviar el correo a otras personas o usuarios de internet como se detallo y demostró en la imagen del de internet como se detallo y demostró en la imagen del usuario anterior usuario anterior efxxxxxxr@yahoo.com

Realizando el análisis de origen de la IP del correo Realizando el análisis de origen de la IP del correo uxxxx13@hotmail.comuxxxx13@hotmail.com en donde se genero este mensaje. en donde se genero este mensaje. Encontramos la Encontramos la IP 190.XXX.XXX.4 IP 190.XXX.XXX.4 de su cuenta de correo de su cuenta de correo

Correspondiente al proveedor de servicios de Internet (ISP) Correspondiente al proveedor de servicios de Internet (ISP) “EPM Telecomunicaciones S.A. E.S.P” ubicado en la Ciudad “EPM Telecomunicaciones S.A. E.S.P” ubicado en la Ciudad de Antioquia Medellín – Colombiade Antioquia Medellín – Colombia

EL TERCER CORREO EL TERCER CORREO a analizar de esta clasificación a analizar de esta clasificación corresponde a: corresponde a: INDICIADO_3INDICIADO_3, buzón de correo , buzón de correo jxxxxxb@hotmail.comjxxxxxb@hotmail.comAsunto: “Fw: ESCANDALO XX XXXXXXXXX ¡IMPORTANT!Asunto: “Fw: ESCANDALO XX XXXXXXXXX ¡IMPORTANT!

Como podemos observar en la imagen es enviado directamente a Como podemos observar en la imagen es enviado directamente a servicioalcliente@xxxxxxxom.coservicioalcliente@xxxxxxxom.co sin reenviar el correo a otras personas o sin reenviar el correo a otras personas o usuarios de internet como se detallo y demostró en la imagen del usuario usuarios de internet como se detallo y demostró en la imagen del usuario anterior anterior exxxxxxxr@yahoo.comexxxxxxxr@yahoo.com. . Realizando el análisis de origen de la IP del correo Realizando el análisis de origen de la IP del correo jxxxxxb@hotmail.comjxxxxxb@hotmail.com. . Encontramos la Encontramos la IP 190.XXX.XXX.66 IP 190.XXX.XXX.66 de su cuenta de correo. de su cuenta de correo.

Correspondiente al proveedor Correspondiente al proveedor de servicios de Internet de servicios de Internet ( I S P ) ( I S P ) “IFX NETWORKS COLOMBIA” “IFX NETWORKS COLOMBIA” SERVIDOR.POLICIA.GOV.CO SERVIDOR.POLICIA.GOV.CO ubicado en la Ciudad de ubicado en la Ciudad de Antioquia Medellín – ColombiaAntioquia Medellín – Colombia

EL CUARTO CORREO EL CUARTO CORREO a analizar de esta clasificación a analizar de esta clasificación corresponde a: corresponde a: INDICIADO_4INDICIADO_4, buzón de correo nxxxx2@hotmail.com, buzón de correo nxxxx2@hotmail.comAsunto: “FW: ESCÁNDALO XXXXXXXXXXXXXXXXXXXXXX”Asunto: “FW: ESCÁNDALO XXXXXXXXXXXXXXXXXXXXXX”Aunque no hace un reenvió del correo, manifiesta una actitud despectiva, Aunque no hace un reenvió del correo, manifiesta una actitud despectiva, grosera y burlesca de la situación que atañe agrosera y burlesca de la situación que atañe a “EMPRESA_AFECTADA” “EMPRESA_AFECTADA”

Realizando el análisis de origen de la IP del correo Realizando el análisis de origen de la IP del correo nsxxxxxx2@hotmail.com en donde se genero este mensaje. nsxxxxxx2@hotmail.com en donde se genero este mensaje.

Encontramos la Encontramos la IP 200.XXX.XXX.12 IP 200.XXX.XXX.12 de su cuenta de correo. de su cuenta de correo.

Correspondiente al Correspondiente al proveedor de servicios proveedor de servicios de Internet de Internet ( I S P ) ( I S P ) “DIVEO DE COLOMBIA “DIVEO DE COLOMBIA LTDA” ubicado en la LTDA” ubicado en la Ciudad de BOGOTA – Ciudad de BOGOTA – COLOMBIACOLOMBIA

EL QUINTO CORREO EL QUINTO CORREO a analizara analizar de esta clasificación corresponde a: de esta clasificación corresponde a:INDICIADO_5INDICIADO_5, buzón de correo , buzón de correo alxxxxxxxx5@hotmail.comalxxxxxxxx5@hotmail.com  Asunto: “RV: ESCÁNDALO en XXXXXXXXXXXXXXXXXXXXXX”Asunto: “RV: ESCÁNDALO en XXXXXXXXXXXXXXXXXXXXXX”  Aunque no hace un reenvió del correo, se realiza con una actitud despectiva,Aunque no hace un reenvió del correo, se realiza con una actitud despectiva,De insatisfacción del servicio recibido en De insatisfacción del servicio recibido en “EMPRESA_AFECTADA”“EMPRESA_AFECTADA”

Realizando el análisis de origen de la IP del correo alxxxx5@hotmail.com Realizando el análisis de origen de la IP del correo alxxxx5@hotmail.com en donde se genero este mensaje. en donde se genero este mensaje.

Encontramos la Encontramos la IP 200.XXX.XXX.46 IP 200.XXX.XXX.46 de su cuenta de correo de su cuenta de correo

Correspondiente al Correspondiente al proveedor de servicios de proveedor de servicios de Internet ( I S P ) “TELMEX Internet ( I S P ) “TELMEX COLOMBIA S.A.” ubicado COLOMBIA S.A.” ubicado en la Ciudad de BOGOTA – en la Ciudad de BOGOTA – COLOMBIACOLOMBIA

Aplicando Aplicando técnicas de técnicas de patrones de búsqueda patrones de búsqueda de de información referente a información referente a este este SPAMSPAM que se viene que se viene generando contra la generando contra la integridad y la imagen integridad y la imagen corporativa de la corporativa de la EMPRESA_AFECTADAEMPRESA_AFECTADA, , encontramos la siguiente encontramos la siguiente información en Internet información en Internet que hace referencia a la que hace referencia a la misma.misma.

Yahoo! Grupos: Yahoo! Grupos: Red social de la empresa Yahoo Inc. Red social de la empresa Yahoo Inc. De aquí destacamosDe aquí destacamos el correo de la usuario el correo de la usuario Sxxxxxxxy Cxxxxxto Cxxxxxxxxxs Sxxxxxxxy Cxxxxxto Cxxxxxxxxxs cuenta de correocuenta de correo sxxxxxxxxxxo@yahoo.es.sxxxxxxxxxxo@yahoo.es. Aplicando nuevamente al reenvió de Aplicando nuevamente al reenvió de este tipo deeste tipo de SPAM SPAM “FW ¡CUIDADO°--- CON XXXXX, XXXXXXXXXX SIMILARES”“FW ¡CUIDADO°--- CON XXXXX, XXXXXXXXXX SIMILARES”

Continuando con la búsqueda de información referente al Continuando con la búsqueda de información referente al SPAMSPAM encontramos: encontramos:

El usuario El usuario Lixxx Amxx Mxxxxxxa Lixxx Amxx Mxxxxxxa participante del mismo grupo de participante del mismo grupo de Yahoo GroupsYahoo Groupsde España con la cuenta de correo lxxxxxxxxxa@hotmail.com enviando él: de España con la cuenta de correo lxxxxxxxxxa@hotmail.com enviando él:

SPAM “ESCANDALO EN XXXXXXXXXXXXXXX ¡IMPORTANT!” SPAM “ESCANDALO EN XXXXXXXXXXXXXXX ¡IMPORTANT!” fecha Sábado 10 de Septiembre de 201X 2:51 pmfecha Sábado 10 de Septiembre de 201X 2:51 pm

Realizando búsqueda de información de esta Realizando búsqueda de información de esta persona encontramos que sepersona encontramos que se Podría tratar de:Podría tratar de:

Identificando la IP asignada para el envió de su correo Identificando la IP asignada para el envió de su correo encontramos la siguiente información:encontramos la siguiente información:

Realizando el análisis de Realizando el análisis de origen de la IP del correo origen de la IP del correo lixxxxxxxa@hotmail.comlixxxxxxxa@hotmail.com en donde se genero este en donde se genero este mensaje. mensaje.   Encontramos la Encontramos la IP65.XXX.XXX.208 IP65.XXX.XXX.208 de su cuenta de correo de su cuenta de correo

Correspondiente al Correspondiente al proveedor de servicios proveedor de servicios de Internet (ISP) de Internet (ISP) “MICROSOFT “MICROSOFT HOSTING” Servidor HOSTING” Servidor BAY0-BAY0-OMC4.S6.BAY0.HOTMOMC4.S6.BAY0.HOTMAIL.COM ubicado en la AIL.COM ubicado en la Ciudad de BOGOTA – Ciudad de BOGOTA – COLOMBIACOLOMBIA

Realizando búsquedas Realizando búsquedas en internet con en internet con PATRONES DE PATRONES DE DIVERSAS FRASES DIVERSAS FRASES que hagan referencia o que hagan referencia o indiquen el camino indiquen el camino VIRAL del SPAM.VIRAL del SPAM.

Realizando búsqueda en internet con la frase:Realizando búsqueda en internet con la frase:

"ESCÁNDALO en XXXXXXXXXXXXXXXXXXXXXXX" "ESCÁNDALO en XXXXXXXXXXXXXXXXXXXXXXX"  Encontramos los siguientes enlaces con información:Encontramos los siguientes enlaces con información:

Con la frase:Con la frase:  "CUIDADO! CON XXXXXXXXXXXXXXXXXXX SIMILARES""CUIDADO! CON XXXXXXXXXXXXXXXXXXX SIMILARES"

"GRAVE DENUNCIA XXXX xxxxxxxxxxx......Ojo parece xxxxxxxx seguro"

Con la frase:Con la frase: “ESCÁNDALO XXXXXXXXXXXXXXXXXX”“ESCÁNDALO XXXXXXXXXXXXXXXXXX”

Con la frase:Con la frase: “ “ESCANDALO XXXXXXXXXXXX !IMPORTANT!”ESCANDALO XXXXXXXXXXXX !IMPORTANT!”

Con la frase: “GRAVE DENUNCIA CONTRA XXXXXXXXXXXX”Con la frase: “GRAVE DENUNCIA CONTRA XXXXXXXXXXXX”

CONCLUSIONESCONCLUSIONESEn referencia a los implicados: En referencia a los implicados: •La Analista de Servicio La Analista de Servicio Cxxxxxxxxxxxxxxxxxxx. Cxxxxxxxxxxxxxxxxxxx. •El Sr. El Sr. Dxxxxxxxxxxx Rxxxxxxxxx Dxxxxxxxxxxx Rxxxxxxxxx vinculado a la vinculado a la Empresa Empresa XXXXXXXXXXXXXXXXXXXXXX como Asesor de como Asesor de Proyectos.Proyectos.

Los Los usuariosusuarios que fueron reportados como que fueron reportados como implicados facilitaron la información de sus implicados facilitaron la información de sus computadores de trabajo para efectuar el proceso computadores de trabajo para efectuar el proceso de Análisis Forense Informático a de Análisis Forense Informático a ”EMPRESA_AFECTADA””EMPRESA_AFECTADA”, en el cual podemos , en el cual podemos observar su rol como facilitadores y no como observar su rol como facilitadores y no como concomitante del delito que se podría imputar o concomitante del delito que se podría imputar o tipificar en la ley de delitos informáticos.tipificar en la ley de delitos informáticos.

Los siguientes Los siguientes usuariosusuarios o personas si atentaron o personas si atentaron contra la contra la integridad corporativa, su confidencialidad integridad corporativa, su confidencialidad y disponibilidad de la información y disponibilidad de la información al efectuar al efectuar reenvíos y contribuir al detrimento patrimonial y reenvíos y contribuir al detrimento patrimonial y denigrar arbitrariamente de la buena imagen de la denigrar arbitrariamente de la buena imagen de la entidad, afectando su entidad, afectando su Good-Will y Know-How Good-Will y Know-How siendo siendo su valor intrínseco y económico reconocido como su valor intrínseco y económico reconocido como bien jurídico tutelado en la Ley 1273 de Delitos bien jurídico tutelado en la Ley 1273 de Delitos Informáticos.Informáticos.  El INDICIADO_1 (Abogado) El INDICIADO_1 (Abogado) correo correo jxxxxxxf@hotmail.comjxxxxxxf@hotmail.comEl INDICIADO_2 El INDICIADO_2 correo correo exxxxxr@yahoo.comexxxxxr@yahoo.comEl INDICIADO_3 El INDICIADO_3 correo correo nxxxxx2@hotmail.comnxxxxx2@hotmail.comEl INDICIADO_4El INDICIADO_4 correo correo axxxxx5@hotmail.comaxxxxx5@hotmail.comEl INDICIADO_5 El INDICIADO_5 correo correo sxxxxxp@cable.net.cosxxxxxp@cable.net.co

De igual forma se detalla para los usuarios encontrados en De igual forma se detalla para los usuarios encontrados en INTERNET DIFUNDIENDO LOS MENSAJES DE INTERNET DIFUNDIENDO LOS MENSAJES DE SPAMSPAM::  

• La usuario La usuario Sxxxxx Cxxxx Cxxxxxx Sxxxxx Cxxxx Cxxxxxx participante del participante del grupo de grupo de Yahoo Groups de España Yahoo Groups de España con la cuenta de con la cuenta de correo correo sxxxxxxxxxxo@yahoo.essxxxxxxxxxxo@yahoo.es

• La usuaria La usuaria Lxxxxxx Axxxxxxx Mxxxxx Lxxxxxx Axxxxxxx Mxxxxx participante del participante del mismo grupo de mismo grupo de Yahoo Groups de España Yahoo Groups de España con la con la cuenta de correo cuenta de correo lxxxxxxxxxx@hotmail.comlxxxxxxxxxx@hotmail.com

•Se encuentra una gran cantidad de información que hace Se encuentra una gran cantidad de información que hace referencia a referencia a EMPRESA_AFECTADAEMPRESA_AFECTADA, de las cuales se puede , de las cuales se puede deducir al filtrar la información negativa que el deducir al filtrar la información negativa que el SPAMSPAM se viene se viene generando como mínimo hace (2) dos años, es decir su generando como mínimo hace (2) dos años, es decir su existencia puede encontrarse desde años atrás alrededor de existencia puede encontrarse desde años atrás alrededor de 2009 – 2010.2009 – 2010.•Se recomienda iniciar contactar con los propietarios de estos Se recomienda iniciar contactar con los propietarios de estos enlaces para solicitar el retiro inmediato de la información.enlaces para solicitar el retiro inmediato de la información.

• Iniciar procesos de posicionamiento de Imagen corporativa Iniciar procesos de posicionamiento de Imagen corporativa y marca en Internet semejantes a posicionamiento de SEO, y marca en Internet semejantes a posicionamiento de SEO, posicionamiento de Imágenes positivas de posicionamiento de Imágenes positivas de ”EMPRESA_AFECTADA””EMPRESA_AFECTADA”, estrategias de posicionamiento , estrategias de posicionamiento Web 2.0, integración de redes sociales en estrategias de Web 2.0, integración de redes sociales en estrategias de Web Marketing, Sistemas de RSS que faciliten la difusión Web Marketing, Sistemas de RSS que faciliten la difusión de contenido, realizar una constante administración, de contenido, realizar una constante administración, monitoreo de los sitios Web su crecimiento y monitoreo de los sitios Web su crecimiento y comportamiento en Internet, generar o fortalecer campañas comportamiento en Internet, generar o fortalecer campañas de fidelización de marca, aumentar la cobertura de de fidelización de marca, aumentar la cobertura de comunicación en estrategias de medios de comunicación comunicación en estrategias de medios de comunicación (tv, radio, prensa, internet, etc.)(tv, radio, prensa, internet, etc.)

• Adelantar los trámites correspondientes para judicializar Adelantar los trámites correspondientes para judicializar los sindicados con base en la ley de delitos informáticos los sindicados con base en la ley de delitos informáticos 1273, sentando un precedente del hecho de generar 1273, sentando un precedente del hecho de generar SPAM SPAM conlleva a un concurso de delitos informáticos. Aunque conlleva a un concurso de delitos informáticos. Aunque este no este tipificado como delito en nuestra legislación este no este tipificado como delito en nuestra legislación Nacional.Nacional.

Consultar para tipificar el delito la LEY 1273/09 (Protección Consultar para tipificar el delito la LEY 1273/09 (Protección de la información y de los datos) de la información y de los datos) El anexo:El anexo:

Artículo 269 G: Artículo 269 G: Suplantación de sitios web para capturar Suplantación de sitios web para capturar datos personales.datos personales.““El que con objeto ilícito y sin estar facultado para ello, El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más conducta no constituya delito sancionado con pena más grave. En la misma sanción incurrirá el que modifique el grave. En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito confianza, siempre que la conducta no constituya delito sancionado con pena más grave” sancionado con pena más grave”

Consultar Consultar LEY ESTATUTARIA 1266 DE 2008 [1] (diciembre 31) LEY ESTATUTARIA 1266 DE 2008 [1] (diciembre 31) Habeas Data.Habeas Data.Consultar la Consultar la Ley Orgánica 10/1995, de 23 de noviembreLey Orgánica 10/1995, de 23 de noviembre (CPP). (CPP).De igual forma tener en cuenta:De igual forma tener en cuenta:

• ACCION DE TUTELA CONTRA PARTICULARES-ACCION DE TUTELA CONTRA PARTICULARES-Reiteración de jurisprudenciaReiteración de jurisprudencia

• DERECHO AL BUEN NOMBRE, AL HABEAS DATA Y DERECHO AL BUEN NOMBRE, AL HABEAS DATA Y DERECHO DE PETICION-Derechos de carácter DERECHO DE PETICION-Derechos de carácter fundamentalfundamental

• DERECHO AL BUEN NOMBRE-Naturaleza DERECHO AL BUEN NOMBRE-Naturaleza • DERECHO DE PETICION-Mecanismo idóneo para la DERECHO DE PETICION-Mecanismo idóneo para la

materialización del derecho al buen nombre y el derecho materialización del derecho al buen nombre y el derecho al habeas dataal habeas data

• PRINCIPIO DE VERACIDAD DE LA INFORMACION-Se PRINCIPIO DE VERACIDAD DE LA INFORMACION-Se prohíbe recopilar, procesar y circular información falsa o prohíbe recopilar, procesar y circular información falsa o equívoca/PRINCIPIO DE INTEGRIDAD DE LA equívoca/PRINCIPIO DE INTEGRIDAD DE LA INFORMACION-Impone la obligación de suministrar y INFORMACION-Impone la obligación de suministrar y recopilar datos personales completos a las fuentes de recopilar datos personales completos a las fuentes de informacióninformación

w w w .s w a t s e c u r i t y i t . c o m© Jhon Jairo Hernández Hernández© Jhon Jairo Hernández Hernández