Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Atestado Seminario
Atestado Seminario
PRESUNTO AUTOR:
- Víctor Hugo INGAR HERNANDO (NO HABIDO)
AGRAVIADO:
- Empresa Seminarium Peru S. A representada por Juan
Ignacio DE ZAVALA ROMAÑA
HECHO OCURRIDO:
Noviembre del 2009.
I. INFORMACION
--- Procedente de la Secretaria-DIVINDAT-DIRINCRI PNP, se ha recibido la
denuncia cuyo tenor literal a continuación se indica:
de trabajo, así como fallas constantes en sus funciones, lo cual genero no pocas
quejas y llamadas de atención por parte de diversos usuarios de la empresa.
Suponemos que dicha renuncia entonces, se debe a la poca tolerancia que habría
mostrado ante el aumento creciente de quejas y llamadas de atención frente al
marcado deterioro de su desempeño. Debido a la repentina ausencia del Sr. Ingar,
el mismo viernes 30 en la tarde, el Sr. Juan Ignacio de Zavala se comunicó con la
empresa Novelix (especialistas en el rubro) para que sus técnicos se hicieran
cargo de forma integral y temporalmente de los servicios de tecnología de la
empresa, con el fin de garantizar su seguridad y normal funcionamiento. Ellos son
quienes, a partir de ese momento, han estado a cargo del área de sistemas de la
empresa brindando el soporte necesario. De esta forma, el Sr. Miguel de la Borda
de Novelix, se acercó a la oficina el día 30 de octubre por la tarde y gracias a una
copia que el Sr. Juan Ignacio de Zavala –representante de la empresa- tenía de
las diversas claves de acceso a los servidores, pudo acceder y bloquear los
accesos remotos a la Red LAN de Seminarium, específicamente a los accesos
SSH de los Servidores Firewall, de Correo y de Archivos. No se hizo en los
servidores de Telefonía IP y de Base de Datos, porque se asumió que no era
necesario. Al momento de bloquear los accesos SSH, el Sr. De la Borda no se
percató que en la computadora que hasta la mañana del día 30 había ocupado el
Sr. Ingar, tenía instalado el programa Logmein (para mayor información revisar la
página web www.logmein.com), el cual permite que un usuario registrado, y
mediante una clave de acceso válida, pueda acceder a dicha estación y
controlarla remotamente, sin ser detectado ni generar sospechas. Es decir,
mediante este programa se podía utilizar la computadora que estaba al interior de
la oficina de Seminarium desde otra computadora ubicada fuera de la oficina. Es
importante notar que para poder utilizar este programa es necesario conocer tanto
el nombre del usuario como la clave de acceso del mismo. HECHOS.- Durante los
días sábado 07 y domingo 08 de noviembre del presente año, los sistemas
informáticos de Seminarium fueron sistemáticamente saboteados conforme se
explica en los siguientes puntos de la presente denuncia. El 07 de noviembre, a
las 18:46:20 horas, desde una computadora con dirección IP 190.43.231.195, se
conectó el usuario “victorhugo@seminarium.com.pe”, a la computadora
identificada con la IP 192.168.8.85. Esta última IP, corresponde a una
computadora instalada al interior de la red LAN de Seminarium, la misma que
corresponde a la estación que la empresa le asignó al Sr. Ingar. Ello consta en el
registro de actividad del programa Logmein (Anexo 4). El mismo usuario,
utilizando una clave de acceso válida, inició una sesión a las 18:47:04 horas. La
clave de acceso del programa Logmein era conocida exclusivamente por el Sr.
Ingar, quien además, aparece como el único usuario registrado en dicho servicio
(“victorhugo@seminarium.com.pe”). Como consta en los registros del propio
programa (Anexo 5), El 07 de noviembre a las 18:56:38 horas, como consta en
el archivo “secure2” del Servidor de Archivos (Anexo 6), hay un intento fallido de
acceder a dicho servidor, siempre desde la IP 190.43.231.195. El intento se
realizó a través del acceso SSH, acceso que había sido bloqueado por la empresa
Novelix el día 30 de octubre, como ha sido señaló anteriormente. Si bien el
atacante no pudo entrar al Servidor de Archivos utilizando el acceso SSH como se
señala en el punto anterior, si pudo completar su intención de dañar el mismo.
Como hemos señalado en el punto “a”, el usuario
victorhugo@seminarium.com.pe tenía una cesión del Logmein vigente en la
computadora identificada con la IP 192.168.8.85. En ese sentido, es importante
4
notar que los directorios eliminados del Servidor de Archivos, estaban registrados
en la computadora identificada con dicha IP como carpetas compartidas. Es decir,
eran directorios que si bien estaban contenidos en el Servidor de Archivos, podían
ser manipulados desde la computadora con la dirección IP 192.168.8.85. Como
adicionalmente, el acceso a dicha terminal se hizo con el usuario y contraseña que
utilizaba el Jefe de Sistemas, éste tenía todos los privilegios que típicamente tiene
un usuario de administración, lo cual incluye la posibilidad de borrar dichos
directorios y archivos, tal como efectivamente ocurrió. Durante el lapso de tiempo
en el que estuvo conectado el intruso a dicho Servidor, fueron borrados
alrededor de 160 GB de información de propiedad de mi representada. Dentro
de los archivos eliminados, figuraban directorios enteros con información
sumamente confidencial y estratégica. Esto incluye la totalidad de los registros
contables históricos de las siguientes empresas: Seminarium, Laborum, SHC y
AE. Adicionalmente, fueron eliminados todos los directorios y los files que
contenían la actividad comercial de Seminarium, Laborum y todos los archivos
relacionados a AE. Información que resulta crítica para el normal
desenvolvimiento de las sociedades antes mencionadas. Esta información está
siendo recuperada de las copias de respaldo, lo que implica un proceso lento,
complejo y costoso, que al momento de presentar esta denuncia no ha podido ser
concluido. El 07 de noviembre a las 18:58:32 horas, como consta en los
registros del archivo mailbox.log del Servidor de Correos, se conectó el usuario
admin@seminarium.com.pe, siempre desde la IP 190.43.231.195, al Servidor de
Correos, utilizando para ello una contraseña de usuario válida. Es importante
mencionar este hecho, ya que la única persona que conocía la clave de acceso
del usuario “admin@seminarium.com.pe” era el Sr. Ingar y mediante ese
acceso sucedieron los siguientes hechos: En dicha sesión, como se puede
apreciar en el anexo 07 en donde consta el registro del archivo Mailbox.log, el
usuario “admin@seminarium.com.pe” inicia una secuencia de borrado selectivo de
diversas cuentas de correo electrónico, lo cual concluye minutos más tarde,
aproximadamente a las 19:10 hora Mediante esta acción, se perdió
completamente la información asociada a las cuentas de correo eliminadas (En el
Anexo 08 se agregan los usuarios afectados y su posición en la empresa) lo cual
representa en casi todos los casos, varios años de correspondencia electrónica
conteniendo archivos e información de mucho valor. Esto representa gran parte
del registro de las actividades de la empresa así como miles de horas de trabajo
perdido. El 07 de noviembre a las 19:12 horas, como consta en el archivo
Moodle del Servidor E-Learning (Anexo 09) el atacante consiguió, utilizando para
ello una contraseña válida, conectarse a dicho servidor. La conexión se hizo desde
la IP 200.62.176.19, la cual, como se puede apreciar en el diagrama de red
adjunto (Anexo 1) corresponde al Servidor Firewall de la Red LAN de Seminarium.
Esto quiere decir que el Servidor E-learning tuvo que ser accedido por algún
usuario interno de la Red LAN de Seminarium (Recordemos que el Servidor E-
Learning está alojado en las instalaciones de Verio, fuera de la Red LAN de
Seminarium). En dicho momento –por los registros de día y hora, se trata de un
día no laborable- la oficina se encontraba vacía, cerrada e incluso con el sistema
de alarma activado, con lo cual, dicha acción sólo pudo ser ejecutada
aprovechando la conexión remota del Logmein cuyo funcionamiento ya ha sido
explicado (Es importante señalar que esta conexión seguía activa como consta en
el Anexo 05). No contamos con registros detallados de lo ocurrido, debido a que
no estaba activado el registro de actividad en el Servidor E-learning, pero lo cierto
5
II. INVESTIGACIONES
A. Diligencias Preliminares
1.- Citaciones.
a) DE ZAVALA ROMAÑA, Juan Ignacio (Denunciante)
b) BAYLY CORREA, Anne (Testigo)
c) DE LA BORDA BALBIN, Miguel (Testigo)
d) INGAR HERNANDO, Víctor Hugo (Denunciado)
2. Manifestaciones
e) DE ZAVALA ROMAÑA, Juan Ignacio (Denunciante)
f) BAYLY CORREA, Anne (Testigo)
g) DE LA BORDA BALBIN, Miguel (Testigo)
3. Actas Formuladas
a. Con la participación del Representante del Ministerio del Publico
Adscrito a la DIRINCRI-PNP se efectuó las siguientes diligencias que
a continuación se especifica:
Acta de visualización en la que se muestra la eliminación de las 21
cuentas de correo electrónico.
Acta de visualización de acceso del programa Logmein
Acta de visualización de acceso al servidor web
Acta de visualización de la alteración de la línea de comando del
servidor de telefonía IP Asterix
Acta de visualización de recepción de mensaje de correo
electrónico.
b. Con la participación de la Representante del
Ministerio Publico se formuló las actas de inconcurrencias de Víctor
9
I. ANTECEDENTES POLICIALES
- Con el respectivo documento se solicitó a la oficina de Coordinación y
Análisis de la DIVINDAT-DIRINCRI-PNP, las fichas RENIEC DE ZAVALA
ROMAÑA, Juan Ignacio; BAYLY CORREA, Anne; DE LA BORDA BALBIN,
Miguel e INGAR HERNANDO, Víctor Hugo
- La oficina de Coordinación y Análisis de la DIVINDAT-DIRINCRI-PNP,
informó que, Víctor Hugo, INGAR HERNANDO, hasta la fecha NO
REGISTRA ANTECEDENTES POLICIALES.
2
Firewall: Es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de
una red a la otra. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar
que los intrusos puedan acceder a información confidencial
3
Logmein: Es una aplicación que permite acceder y controlar un equipo de forma remota desde cualquier ordenador
conectado a internet.
4
MOODLE: es una aplicación web que puede funcionar en cualquier ordenador (computador) y soporta varios tipos de
bases de datos (en especial MySQL y PostgreSQL).
5
LAN: Rede de área local
11
artinez@seminarium.com.pe;zoila.suarez@pe.laborum.com;hilda.ja
ra@seminarium.com.pe;hjara@seminarium.com.peeines.becerra@
pe.laborum.com;información que es corroborada con el “Acta de
visualización en la que se muestra la eliminación de 21 cuentas de
correo”.
V. CONCLUSION
Conforme a lo expuesto en el contexto del análisis correspondiente, así
como de los actuados policiales, se establece que Victor Hugo INGAR
HURTADO estaría inmerso en el presunto Delito contra el Patrimonio –Delito
Informático en la modalidad de intrusismo y sabotaje informático, en agravio
de la empresa Seminarium Perú S.A representado por Juan Ignacio DE
ZAVALA ROMAÑA
IV. ANEXOS
Se Adjunta al presente los siguientes documentos :
- Un (01) Expediente Denuncia N°590-09 a folios (50)
- Una (01) Ficha Reniec de Juan Ignacio, DE ZAVALA ROMAÑA
- Una (01) Ficha Reniec de Miguel Eduardo Martin DE LA BORDA
BALBIN
- Una (01) Ficha Reniec de Anne BAYLY CORREA
- Una (01) Ficha Reniec de Victor Hugo INGAR HERNANDO
- Una (01) consulta de antecedentes Policiales de Victor Hugo INGAR
HERNANDO
- Una (01) manifestación de Juan Ignacio, DE ZAVALA ROMAÑA
- Una (01) manifestassem de Miguel Eduardo Martin DE LA BORDA
BALBIN
- Una (01) manifestación de Anne BAYLY CORREA
- Dos (02) citaciones números 41 y 42
- Una (01) acta de visualización de acceso del programa Logmein
- Una (01) acta de visualización en la que se muestra la eliminación de
las 21 cuentas de correo electrónico.
- Una (01) acta de visualización de acceso al servidor web
- Una (01) acta de visualización de la alteración de la línea de
comando del servidor de telefonía IP Asterix
- Una (01) acta de visualización de recepción de mensaje de correo
electrónico.
- Dos (02) actas de inconcurrencias de Victor Hugo INGAR
HERNANDO
ES CONFORME EL INSTRUCTOR.
i