Fecha: 06.02.

2021
Módulo: Delito Informático
Tipo: Trabajo Final.
Integrantes: Evelyn Zabala S.
Karlenne Márquez B.
Maritza Melgarejo L.
Vanessa Concha F.
M. Angel Toro M.

PARTE 1:
Caso de Estudio: “Empresa METPREC”

IDENTIFICACIÓN DE LA SITUACIÓN (Introducción)

 Eventual delito.
 Elementos que podrían ser considerados evidencia digital.
 Actividades que desarrollaría y las que evitaría se efectuarán sobre la evidencia
digital.
 Antecedentes de relevancia para la investigación.

Objetivo: Describir detalladamente la manera correcta de abordar la investigación de un

eventual hecho ilícito dentro de una organización, en el cual se encuentra involucrada
evidencia digital.

DESARROLLO

1. Con los antecedentes entregados formule dos (2) hipótesis respecto a posibles
situaciones que podrían haberse desarrollado que tuvieran como resultado los
hechos descritos. Para cada una de las hipótesis formuladas aborde los siguientes
puntos

Hipótesis 1 (H1): Los hechos descritos dan cuenta de una evidente fuga de
información del área de ventas a la competencia.
De acuerdo a los indicios en la actividad de la competencia, la fuga de información
pudo haber sido suscitada desde el interior de METPREC, por un miembro del equipo
de ventas, o desde el exterior por un Hackeo independiente o encargado por cuenta de
IRON FULL.

Hipótesis 2 (H2): Debido a la negligencia en el manejo de la confidencialidad de

información respecto de Usuarios y Contraseñas, por parte del equipo de ventas, se
materializó la extracción, interna o externa, de información relevante de esta área que
está llegando a la competencia con los nefastos resultados indicados.

2. Indique si existe la posibilidad real que METPREC sea víctima de un delito,

justifique su respuesta, y en caso afirmativo identifique la ley y/o artículo que
tipifica ese el delito.

Existe una alta probabilidad de que esta empresa sea víctima de un DELITO
INFORMÁTICO, a saber:
 Delito de ESPIONAJE INFORMÁTICO contemplado en el art. 2 de la Ley
19.223, que consigna: “El que con el ánimo de apoderarse, usar o conocer
indebidamente de la información contenida en un sistema de tratamiento de
información, lo intercepte, interfiera o acceda a él” (H1, H2)

 Delito de ESPIONAJE INFORMÁTICO contemplado en el art. 4 de la Ley

19.223, que consigna: “El que maliciosamente revele o difunda los datos contenidos en
un sistema de tratamiento de información…” (H1, H2)

De acuerdo a lo expuesto, la dinámica del equipo de ventas presenta una inquietante

realidad de poca rigurosidad en el acceso de usuarios a carpetas compartidas con
información extremadamente sensible de la gestión empresarial. Independiente de los
fundamentos que validen esta práctica , claramente podemos inferir, por lo menos que
amerita el re-estudio la Gestión de Riesgos, en temas de seguridad Informática, de la
Organización y validar el seguimiento y compliance de las medidas dictadas para estos
propósitos.

La facilidad del acceso de todos los vendedores a toda la información de ventas,

atenta contra uno de los principios básicos de Seguridad a todo nivel, cual es que la
facilidad de uso o acceso a ésta es inversamente proporcional a la Seguridad de la
misma.

3. Describa que elementos son posibles fuentes de evidencias digitales, justifique la

elección de cada uno de ellos.

 Servidor.- Análisis de las direcciones IP que interactuaron con los elementos de

acceso compartido para el equipo de ventas, análisis de log, posibilidad de
recuperación de archivos borrados, verificar si se encuentran copiados en carpeta
locales del equipo, los registros de ventas de la carpeta compartida, a través de las
validaciones del código hash. (H1, H2)

 Computadores.- (Discos Duros) de los 5 terminales de trabajo, que incluyen al

gerente general y equipo de ventas. Para reconstruir las acciones de cada uno ellos
individualmente , con el servidor y con el exterior. (H1, H2)

 Dispositivos de Almacenamiento Secundario.- tales como Pendrives, discos duros

externos u otro medio de almacenamiento que haya tenido interacción posible con los
terminales del punto anterior. Revisión de todos los ítems almacenados , borrados o
modificados. (H1, H2)

 Impresoras Multifuncionales .- (locales o en red) Para el seguimiento de si hubo uso

de algún dispositivo externo (Pendrive, disco duro externo) conectado a ésta y/o
análisis de direcciones de correos electrónicos que se han citado en el uso de este
dispositivo. (H1, H2)

 Tablets o Teléfonos celulares (Propiedad de METPREC).- Revisión de Registros de

llamadas, audios e imágenes relacionados con el delito. (H2)

 Sistema CCTV .- Entregará registros de videos relacionables con la perpetración del

ilícito. (H1, H2)
4. Describa las actividades que se deben desarrollar para realizar preservación de
evidencia digital, como también cuales se deberían evitar con el mismo objetivo.
 Reunión inicial de planificación de actividades donde se realizará un análisis previo
del ilícito a investigar. (H1, H2)
 Se designará Perito que liderará la investigación del caso y determinará los pasos a
seguir para la Adquisición y/o Recopilación de evidencias en lo inmediato. (H1, H2)
 Se determinarán acciones y las personas que las llevarán a cabo de acuerdo a sus
competencias para el mejor tratamiento de la evidencia a encontrar. (H1, H2)
 Se deberá instruir expresamente a todo el personal, desde el primer momento,
respecto de la NO manipulación de equipos y sistemas de información, hasta
autorización en contrario; especialmente al departamento de TI para que no realice
acciones a voluntad propia sin la instrucción o consentimiento del Perito Líder. (H1,
H2)
 Se identificarán la(s) fuente de evidencia, ya sea digital o material, priorizando las
acciones de Adquisición sobre la evidencia volátil y recopilación de la evidencia
material. (H1, H2)

 Se deben fotografiar elementos como: computadores, medios de almacenamientos

(USB, discos externos, documentos, etc.), esto permite recrear la escena por los
investigadores a posteriori. (H1, H2)

 Si el dispositivo se encuentra encendido, proceder a apagarlo desconectándolo de la

fuente de energía. Proceder a extraer las unidades de almacenamiento y realizar
fijación fotográfica de la unidad (marca, serie, etc.). (H1, H2)
 Se realizarán copias integras y totales de todas las fuentes identificadas, tales como los
equipos involucrados (servidor y terminales), lo más inmediatamente posible, para
poder realizar a posterior las distintas pruebas y no estropear la evidencia original.
(H1, H2)
 Se dispondrán de todos los medios físicos posibles que aseguren la integridad y
conservación de la evidencia adquirida o recopilada. Se requiere de un proceso
definido para su empaquetado o embalaje , que describa elementos e instrucciones
precisas sobre su etiquetado, documentado , disposicion e inventario y el uso de
paquetes u otros elementos antiestáticos (por ejemplo) ; en cuanto al transporte, la
evidencia digital no debe ser expuesta a campos magnéticos y siempre se debe
enfatizar el cumplimiento en el uso de la cadena de custodia de toda la evidencia
trasportada. (H1, H2)
 Por lo antes mencionado, se levantará in situ , el acta correspondiente de Cadena de
Custodia o Formulario de Cadena de Custodia, individualizando la evidencia
rescatada, consignando su estado o condición , indicando responsable que entrega y
recibe, registrando la data de estos procesos (fecha y hora) e indicando cualquier
observación que se considere relevante sobre la misma. (H1, H2)
 Después de tener certeza de que toda la evidencia fue documentada y rotulada
correctamente , se debe realizar un exhaustivo análisis tanto de los medios de
transporte como de las condiciones físicas (temperatura, humedad, fuentes magnéticas)
donde será dispuesta finalmente para asegurar su optima preservación. (H1, H2).

5. La empresa METPREC, decide realizar un peritaje informático a cada una de las

fuentes de evidencias digitales que usted ha determinado.
 Describa que antecedentes solicitaría fueran obligatoriamente investigados en cada una
de las evidencias, tanto los generales (aplica a varias evidencias) como los particulares
(aplican a evidencias exclusivas). En caso de existir palabras claves de interés, debe
describirlas y justificarlas.
a. Antecedentes Generales.

 Hacer copia integra y de todos los datos contenidos tanto en los equipos como en el
servidor. (H1, H2).

 Verificar si hubo conexión de algún dispositivo externo (Disco Duro, Pendrive) tanto
en los equipos de los vendedores, como en la impresora multifuncional. (H1, H2).

 Análisis de Software que se encuentran en los equipos de los vendedores y validar si

corresponde que los tengan (Ej. Sw que encripten información, Sw de borrado). (H1,
H2).

 Validar registro de acceso a las correspondientes BD, que estas correspondan a los
vendedores destinados en el área correspondiente (En caso de que no, verificar que
exista período de vacaciones / licencia). (H1, H2).

 Recuperación de archivos eliminados en cada uno de los equipos de los vendedores.

(H1, H2).

 Analizar si las IP que se conectaron al servidor corresponden a IP estáticas y

correspondan a los equipos de vendedores o dinámicas. (H1, H2).

 Ver conexiones IP en horarios poco habituales, y solicitar a la compañía proveedora de

Internet el registro de IP conectadas para ver la posibilidad de identificar al vendedor
que pudo haberse conectado en horario poco habitual. (H1, H2).

 Análisis de Logs tanto de los equipos de los vendedores, servidor y periféricos. (H1,
H2).

 Tratamiento utilizado por la Unidad de TI respecto a personal desvinculado (que éste

se haya deshabilitado). (H1, H2).

 Servidor. Análisis de las direcciones IP que se conectaron. (H1, H2).

 Teléfonos Celulares (en el caso de pertenecer a la compañía). Extracción de N°

Celulares que no corresponden a personal de la empresa / posibilidad de identificar
algún número de la competencia. (H1, H2).

b. Antecedentes Particulares

 Revisión del correo de la empresa por parte del GG respecto a los emails recibidos /
enviados de todo el equipo de ventas. (Previa obtención de la orden judicial, que
permita realizar esta investigación) (H1, H2).

 Revisión del correo respecto a los emails recibidos / enviados de todo el equipo de
 ventas, hacia los ejecutivos comerciales que tuvieron contacto telefónico con los
antiguos contactos que informaron al Gerente General sobre la situación irregular.
(Previa obtención de la orden judicial, que permita realizar esta investigación) (H1,
H2).

 Estrategia forense (concentrarse en los mails maliciosos). Búsqueda de Palabras

Claves: Costos / Clientes / Metalúrgico / Lista /Precios /Confidencial /Iron Full / BD
Minería / Base de datos / Registro de ventas. (H1, H2).

 Comparación del código HASH de archivos enviados por correo a través de la

multifuncional vs BD ventas para clientes metalúrgicos. (H1, H2).

 Buscar e Imprimir archivos de cola de impresión del equipo de ventas. (H1, H2).

 Revisión de Registros de contactos, llamadas, audios e imágenes realizados por el

equipo de ventas. (H1).

 Revisión y/o verificación de los softwares instalados en los equipos del equipo de
ventas (verificar la fuente de donde se descargó). (H1)

 Validar que sólo tengan acceso a la Red interna de la empresa, el personal de la

compañía (en el caso del personal externo, debe tener acceso a través de una red Wifi
de visitas). (H1).

 Analizar el control de cambios, en los archivos con formato Excel / Word, que se
encuentran en los servidores, asociados al área de ventas. (H1, H2).

PARTE 2:
Caso de Estudio: “Grupo Financiero Real N° 1”
ANTECEDENTES

El Grupo Financiero Real N° 1, se dedicaba a la administración de fondos de

pensiones, seguros generales, arrendamientos, fondos mutuos y acciones.
 El entonces presidente del Banco Central (BC), descubre por un correo electrónico
rebotado en su casilla electrónica que su secretaria, había estado filtrando información
privilegiada de la entidad al gerente general del Grupo financiero antes indicado, el
cual había tomado ventajosas posiciones financieras, siempre, anticipándose al
mercado.

La secretaria del Presidente del BC, sustraía documentos del BC que luego reenviaba
al gerente general del Grupo Financiero, con quien mantenía una relación sentimental.
En uno de los correos, la secretaria se equivocó al escribir el destinatario, por lo cual,
el mismo rebotó, y fue allí cuando el presidente del BC se dio cuenta y alertó a
informática, que descubrió el envío irregular de mails.

DESARROLLO

1. Con los antecedentes entregados formule dos (2) hipótesis respecto a posibles
situaciones que podrían haberse desarrollado que tuvieran como resultado los
hechos descritos. Para cada una de las hipótesis formuladas aborde los siguientes
puntos

Hipótesis 1 (H1): La facilidad otorgada en el uso de su equipo, por parte del

Presidente del BC hacia su secretaria, generó el escenario propicio para que, junto con
develar su irresponsabilidad y displicencia respecto de la información que estaba bajo
su custodia, operara a plena libertad su secretaria en la Comisión del ilícito

Hipótesis 2 (H2): La imprescindible rigurosidad de aplicación que, protocolos de

seguridad, deben tener en estamentos estatales tan importantes como el Banco Central,
presentan los hechos descritos como el nivel máximo de negligencia de la Gestion de
seguridad, al ser vulnerados por hechos delictuales tan básicos como los perpetrados
por la secretaria del BC.

2. Indique si existe la posibilidad real que BC sea víctima de un delito, justifique su

respuesta, y en caso afirmativo identifique la ley y/o artículo que tipifica ese el
delito.

Ciertamente que los hechos descritos en este caso, configuran los delitos descritos en
la Ley 19.223 en sus artículos 2 y 4, toda vez que la secretaria del Presidente del BC
contando con el libre acceso al computador y correo electrónico de su jefe, por ser
considerada una persona de alta confianza, viola la privacidad de esta correspondencia
e indebidamente toma conocimiento de ésta y difunde su contenido al Grupo
financiero Real Nº1 otorgándole ventajas que le permiten a estos anticipar acciones y
reportar beneficios indebidos sobre sus competidores.

Así, los delitos inferidos para este accionar son los siguientes:

 Delito de ESPIONAJE INFORMÁTICO contemplado en el art. 2 de la Ley

19.223, que consigna: “El que con el ánimo de apoderarse, usar o conocer
indebidamente de la información contenida en un sistema de tratamiento de
información , lo intercepte, interfiera o acceda a él” (H1, H2)

 Delito de ESPIONAJE INFORMÁTICO contemplado en el art. 4 de la Ley

 19.223, que consigna: “El que maliciosamente revele o difunda los datos contenidos en
un sistema de tratamiento de información…”(H1, H2)

3. Describa que elementos son posibles fuentes de evidencias digitales, justifique la

elección de cada uno de ellos.

 Equipo del Presidente del BC. Análisis de los correos electrónicos enviados y
recibidos, con previa Autorización Escrita por parte del Presidente del BC. (H1, H2)

 Equipo de la secretaria del Presidente del BC. Análisis de si hubo uso de algún
dispositivo externo (Pendrive, disco duro externo), análisis de log, posibilidad de
recuperación de archivos borrados, correos electrónicos enviados y recibidos. (H1,
H2). Análisis de los correos electrónicos enviados y recibidos. (Previa obtención de la
orden judicial, que permita realizar esta revisión). (H1)

 Tablets o teléfonos celulares (Propiedad del BC asignado a la secretaria).- Revisión

de Registros de llamadas, audios e imágenes que den cuenta de su relación con el
gerente general del grupo financiero. (H1, H2)

 Sistema CCTV .- Entregará registros de videos que den cuenta del uso del terminal
del Presidente del BC por parte de la secretaria. (H1, H2)

4. Describa las actividades que se deben desarrollar para realizar preservación de

evidencia digital, como también cuales se deberían evitar con el mismo objetivo.

 Reunión previa de planificación donde se realizará un análisis previo del ilícito a

investigar. (H1, H2)

 Se debe designar Perito que debe dirigir la investigación, determinará los pasos a
seguir y quienes desempeñaran los roles definidos para la Adquisición y/o
Recopilación de evidencias en el sitio del suceso. (H1, H2)

 Se instruirá expresamente proceder solo con autorización del Líder respecto de la

manipulación de equipos y sistemas de información involucrados en la investigación.
(H1, H2)

 Se identificarán la(s) fuente(s) de evidencia ya sea digital o material, para accionar los
procesos de Adquisición y Recopilación sobre la evidencia identificada. Se requiere de
un proceso definido para su empaquetado o embalaje , que describa elementos e
instrucciones precisas sobre su etiquetado, documentado , disposicion e inventario y el
uso de paquetes u otros elementos antiestáticos (por ejemplo) ; en cuanto al transporte,
la evidencia digital no debe ser expuesta a campos magnéticos y siempre se debe
enfatizar el cumplimiento en el uso de la cadena de custodia de toda la evidencia
trasportada. (H1, H2)

 Se deberá requisar los equipos del Presidente del BC y su secretaria, para su resguardo
 durante el proceso de investigación. (H1, H2)

 Se realizarán las copias pertinentes y suficientes a los equipos tanto del Presidente del
BC, la secretaria del BC y del gerente general del Grupo Financiero, lo más
inmediatamente posible, para evitar acciones de estos sobre los mismos y para poder
realizar a posterior las distintas pruebas de análisis. (H1, H2)

 Todas la acciones sobre la evidencia deben ser realizadas siempre con la mayor
diligencia respecto de velar por su integridad y óptima conservación. (H1, H2)

 Se levantará, in situ , el acta correspondiente de Cadena de Custodia o Formulario de

Cadena de Custodia, individualizando la evidencia rescatada, consignando su estado o
condición , indicando responsable que entrega y recibe, registrando la data de estos
procesos (fecha y hora) e indicando cualquier observación que se considere relevante
sobre la misma. (H1, H2)

 Después de tener certeza de que toda la evidencia fue documentada y rotulada

correctamente, se debe realizar un exhaustivo análisis tanto de los medios de transporte
como de las condiciones físicas (temperatura, humedad, fuentes magnéticas) donde
será dispuesta finalmente para asegurar su optima preservación. (H1, H2)

 Se pone especial énfasis en la cadena de custodia y el almacenamiento de información

en dispositivos con seguridad demostrada y que permitan control de acceso. (H1, H2)

5. El Banco, decide realizar un peritaje informático a cada una de las fuentes de

evidencias digitales que usted ha determinado.
Describa que antecedentes solicitaría fueran obligatoriamente investigados en cada una
de las evidencias, tanto los generales (aplica a varias evidencias) como los particulares
(aplican a evidencias exclusivas). En caso de existir palabras claves de interés, debe
describirlas y justificarlas.

a. Antecedentes Generales.

 Análisis de Logs tanto de los equipos de la secretaria y Presidente como del servidor.
(H1, H2)

 Constatación de la existencia de correos entre las casillas del presidente del BC, de la
secretaria del BC y del gerente general del Grupo Financiero. (H1)

 Verificar si hubo conexión de algún dispositivo externo (Disco Duro, Pendrive) tanto
en los equipos de la secretaria y el Presidente, como en la impresora multifuncional.
(H1, H2)

 Analizar si las IP que se conectaron al servidor corresponden a IP estáticas y

correspondan a los equipos de la secretaria y Presidente o dinámicas. (H1, H2)

 Ver conexiones IP en horarios poco habituales. (H1)

 Verificar registro para ver si se procedió a la eliminación de información.

Recuperación de archivos eliminados tanto en el equipo de la secretaria y como del
 Presidente. (H1, H2)

b. Antecedentes Particulares

 Revisión del correo de la empresa por parte del Presidente y Secretaria respecto a los
emails recibidos / enviados entre ellos y hacia el gerente general del Grupo Financiero,
recibidos y/o enviados fuera del horario habitual. (H1, H2)

 Búsqueda de Palabras Claves en archivos recuperados tales como: Inversión /Fondo

/Bolsa /Confidencial. (H1, H2)

 Revisión de Registros de contactos, llamadas, audios e imágenes realizados por la

Secretaria. (H1)

 Análisis de Software que se encuentran en el equipo de la Secretaria y Presidente del

BC, y validar si corresponde que los tengan (Ej. Sw que encripten información, Sw de
borrado). (H2).