PUNTOS A TOMAR EN CUENTA PARA EL INFORME FINAL:

1. Debido a que tuve problemas para iniciar sesión, el día 27/09/2021 el administrador
de redes me asignó una contraseña la cual no fue modificada posteriormente.
Adjunto mensaje de Whatsapp.

2. En las capturas de pantallas y fotos presentadas no se evidencian movimientos con

el usuario que se me asignó mientras laboraba en COFOPRI, por ejemplo:

INFORME TÉCNICO N°56-2022-RCF:

a. En esta imagen se muestra el evento logon, el cual no tiene conexión con el

usuario luis.garcia, por lo que no evidencia que se haya iniciado sesión con
dicho usuario.
 b. En la siguiente imagen se muestra el detalle del evento, mas no la vista
General, donde se podría apreciar el nombre del usuario que realiza dicha
acción.

INFORME NRO 200537- REPORTE DE INFECCION RANSOMWARE - PERUFIX

CONSULTING:
Este informe revela información que no es precisa y que a continuación detallaré las
razones:

a. En este punto indican que a las 3:19 am se detecta la lectura de credenciales

del usuario SYSTEM y luis.garcia, lo cual es normal que suceda debido a que
está asociado al evento 5379, esto quiere decir que se puede generar en
 cualquier momento y varias veces en el sistema tanto con mi usuario como
con todo usuario que se hayan conectado a esa computadora ya que hace
una lectura de credenciales del administrador de credenciales, incluso con
usuarios que anteriormente hayan sido deshabilitados en el Active Directory,
esto porque dichas credenciales quedan almacenadas en la caché.

b. En este punto indican que a las 3:17 am se intentó realizar, sin éxito, el
procedimiento de desinstalación de Kaspersky Endpoint Security para
Windows, antivirus utilizado por COFOPRI, debido a que no se colocaron las
credenciales. Esto no podría ser posible por dos posibles motivos: si se
refiere a las credenciales del usuario de red, no debió tener problemas con la
desinstalación del software ya que se supone que en esa pc se inició sesión
con un superusuario (SYSTEM), el cual tenía poder absoluto en la
computadora, incluso para desinstalar programas; mientras que si se refiere
a las credenciales del usuario administrador del antivirus, tampoco pudo ser
posible que tenga ese problema porque precisamente a las 3:19 sí se llegó a
desinstalar el software, lo que explicaré en el siguiente punto.
 c. Por lo indicado en este punto es que solicité que se especificara el proceso
de desinstalación del antivirus con KAVREMOVER. De acuerdo al link que
dispuso el proveedor se puede evidenciar que es necesario un usuario y una
contraseña para realizar la desinstalación del antivirus, debido a que, en la
institución estarían utilizando la versión empresarial. Las credenciales en
mención son responsabilidad del encargado de la administración del antivirus
y no son de mi conocimiento ya que éstas no me fueron enviadas por ningún
medio. Esta información la pueden hallar en el siguiente enlace:
https://support.kaspersky.com/mx/common/uninstall/1464#block4

INFORME N° D000105-2022-COFOPRI-OS:

a. En este punto puedo resaltar dos cosas: la fecha y hora de conexión es del
19/08/2022 entre las 9:30 am y 10:30 am, por lo que está fuera del rango de
horario en las que sucedieron los hechos, mientras que la dirección IP
mostrada en la imagen pertenece a la empresa Limestone Networks ubicada
en Estados Unidos. Adjunto imágenes y enlaces.
● Rastreo de dirección IP a través de la web
https://www.cual-es-mi-ip.net/geolocalizar-ip-mapa ingresando la IP
64.31.17.26:

● Al buscar algunos datos del dominio de la empresa a través de la web

https://mxtoolbox.com/, ingresando el dominio en mención
limestonenetworks.com y seleccionando la opción DNS Check
podemos encontrar la información que se muestra en la imagen,
donde podemos apreciar que hay 2 direcciones IP más con rangos
dentro del 64.31.17.26 los cuales son 64.31.5.3 y 64.31.5.4, con lo
que es posible confirmar que la dirección IP que se conectó a la
computadora OS14 proviene de la empresa Limestone Networks.

● Al buscar ahora cambiando de DNS Check a HTTPS Lookup

podemos confirmar que el dominio tiene certificados en Estados
Unidos y Gran Bretaña, por lo que no tiene relación alguna con Perú.
CONCLUSIONES:

● En los días 18 y 19 de Agosto no accedí de manera física o remota a la

computadora OS14 y esto se evidenciaría en los registros que solicité y que no me
han hecho entrega por motivos que escapan de mis manos, por lo que no tienen
prueba alguna de que yo me haya conectado a la red de COFOPRI en ese rango de
tiempo.
● No hay evidencia alguna que el usuario luis.garcia haya iniciado sesión o realizado
alguna acción en la computadora identificada con el nombre OS14, solo hay
movimientos del usuario SYSTEM del cual no tuve las credenciales para su uso
debido a que no me las enviaron por ningún medio.
● El informe presentado por el proveedor PeruFix Consulting es impreciso e
incompleto tanto en la descripción de los hechos como en el procedimiento detallado
de la desinstalación del antivirus, por lo que es necesario esperar el informe del
análisis forense digital y tener mayor detalle de lo sucedido.