ATESTADO N° - 2010 - DIRINCRI-PNP / DIVINDAT – DIE - E1

Asunto : Presunto Delito Contra el Patrimonio – Delitos Informáticos.

PRESUNTO AUTOR:
- Víctor Hugo INGAR HERNANDO (NO HABIDO)
AGRAVIADO:
- Empresa Seminarium Peru S. A representada por Juan
Ignacio DE ZAVALA ROMAÑA

HECHO OCURRIDO:
Noviembre del 2009.

Comp. : 44º Fiscalía Provincial Penal de Lima.

I. INFORMACION
--- Procedente de la Secretaria-DIVINDAT-DIRINCRI PNP, se ha recibido la
denuncia cuyo tenor literal a continuación se indica:

“SENOR JEFE DE LA DIVISION DE INVESTIGACION DE DELITOS DE ALTA

TECNOLOGIA – DIRINCRI.- SEMINARIUM PERÚ S.A. identificado con Registro
Único de Contribuyente Nro. 20175459902, debidamente representada por su
apoderado Juan Ignacio de Zavala, identificado con DNI 29535197, con domicilio
real en Av. Roosevelt Nro. 6435 (Ex. Av. República de Panamá), Miraflores y
señalando domicilio procesal en La Av. Jorge Basadre Nro. 999, San Isidro, Lima.
Me presento ante su despacho con la finalidad de interponer denuncia penal en
contra de quienes resulten responsables por los hechos que a continuación
expongo: I.DENUNCIA PENAL.-Interponemos denuncia penal por la presunta
comisión de Delito Informático, en la modalidad de alteración, daño y destrucción
de base de datos, el mismo que se encuentra tipificado en el articulo 207-B del
Código Penal, ilícito que se subsume dentro del tipo agravado, conforme a lo
previsto en el artículo 207-C del mismo cuerpo legal, por tratarse de una acción
realizada en uso de de información privilegiada, obtenida en función del ejercicio
de un cargo dentro de la empresa agraviada. Lo cual se determina en mérito a los
fundamentos que se expone a continuación:.- II. PERSONAS QUE
DEBERAN SER EMPLAZADAS CON LA PRESENTE DENUNCIA.- El Sr. Víctor
Hugo Ingar Hernando, identificado con DNI Nro. 42281240 y con domicilio en
Pasaje Lumbreras 166 Dpto. 301, Breña. III. GLOSARIO DE TÉRMINOS.-
Debido a la gran cantidad de términos técnicos que contiene la presente denuncia,
i
iniciamos la misma acudiendo a un glosario de términos, con la exclusiva finalidad
de facilitar la comprensión de la misma. Red LAN: LAN son las siglas en inglés
de Local Área Network o red de área local. Una LAN es una red que conecta a los
ordenadores en un área relativamente pequeña y predeterminada, como un
edificio o un conjunto de edificios. Las estaciones de trabajo y los ordenadores
personales en oficinas normalmente están conectados en una red LAN, lo que
 2

permite que los usuarios envíen o reciban archivos y compartan el acceso a

archivos y datos. Cada nodo o estación (ordenador individual) en un LAN, tiene su
propia CPU, con la cual ejecuta programas, pero también puede tener acceso a
los datos y a los dispositivos en cualquier parte en la LAN. Esto significa que
muchos usuarios pueden compartir diversos dispositivos, como impresoras,
servidores, etc. Dirección IP: La dirección IP es un número que identifica de
manera lógica a un dispositivo, habitualmente una computadora, conectado a
Internet o a una red que utilice el protocolo IP (Internet Protocol). IP puede ser
definido, de esta forma, como la dirección de una computadora en Internet. SSH:
(Secure SHell, en español: intérprete de órdenes segura). Es el nombre de un
protocolo y del programa que lo implementa y sirve para acceder a máquinas
remotas a través de una red. El SSH permite manejar por completo una
computadora mediante un intérprete de líneas de comando. ANTECEDENTES.-
Seminarium Perú S.A. (En adelante Seminarium) es una empresa que, dentro de
su objeto social, presta servicios de soporte administrativo y tecnológico a otras
empresas vinculadas; dentro de las que se cuentan: America Economía Perú SAC
(En adelante AE), .- Laborum Perú SAC (En adelante Laborum) y Seminarium
Human Capital SAC (En adelante SHC). Seminarium cuenta con una Red LAN
que ofrece diversos servicios de tecnología a las empresas antes mencionadas.
(En adelante, cuando hagamos referencia al conjunto de estas empresas, nos
referiremos a las mismas solamente como “la empresa”). Como referencia, se
anexa un diagrama (Anexo 1), con la distribución de los servidores informáticos de
la Red LAN de Seminarium, tal cual estaba configurada durante los hechos que
describiremos a continuación.-La Red LAN de Seminarium esta compuesta por los
siguientes servidores: Servidor Firewall, Servidor Asterix (En adelante Servidor de
Telefonía IP), Servidor Firebird (En adelante Servidor de Base de Datos).-Servidor
Zimbra (En adelante Servidor de Correos) y Servidor Némesis (En adelante
Servidor de Archivos). También haremos mención, mas adelante, del servidor
Moodle (En adelante Servidor E-learning). Se trata de un servidor virtual, alojado
en las instalaciones de la empresa norteamericana Verio y, por lo tanto, fuera de la
Red LAN de Seminarium. Todos los servidores anteriormente descritos –salvo el
Servidor E-learning - están instaladas en el local que ocupa Seminarium Perú, con
dirección en Av. Roosevelt Nro. 6435, Miraflores, Lima. El mantenimiento y
desarrollo de estos sistemas están a cargo de un Jefe de Operaciones y IT (En
adelante Jefe de Sistemas), cuyas funciones y responsabilidades están descritas,
tal cual aparecen en los manuales de funciones de la empresa, en el Anexo 02 de
la presente denuncia. De esta forma, el Jefe de Sistemas tiene acceso a
información de gran sensibilidad como son las claves de acceso de los diversos
servidores de la Red LAN, los bancos de datos, archivos y demás servicios de
tecnología de la empresa. El último Jefe de Sistemas de Seminarium fue el Sr.
Víctor Hugo Ingar Hernando, quien remitió un correo electrónico comunicando
su voluntad de dejar de pertenecer a la empresa que represento el día 30 de
octubre del presente año, retirándose el día 30 de octubre al ½ día.
Personalmente, el Sr. Juan Ignacio de Zavala le solicito, vía correo electrónico
y en diversas oportunidades, la entrega formal de su cargo, cosa que jamás
realizó. Se anexan copias de los correos electrónicos anteriormente citados
(Anexo 03). Como referencia, es importante describir el contexto en el que se
produce la renuncia del Sr. Ingar. Es así que, durante el mes de octubre de este
año, el Sr. Ingar empezó a mostrar actitudes sumamente extrañas, incluyendo
muchas ausencias y tardanzas injustificadas, conflictos con diversos compañeros
 3

de trabajo, así como fallas constantes en sus funciones, lo cual genero no pocas
quejas y llamadas de atención por parte de diversos usuarios de la empresa.
Suponemos que dicha renuncia entonces, se debe a la poca tolerancia que habría
mostrado ante el aumento creciente de quejas y llamadas de atención frente al
marcado deterioro de su desempeño. Debido a la repentina ausencia del Sr. Ingar,
el mismo viernes 30 en la tarde, el Sr. Juan Ignacio de Zavala se comunicó con la
empresa Novelix (especialistas en el rubro) para que sus técnicos se hicieran
cargo de forma integral y temporalmente de los servicios de tecnología de la
empresa, con el fin de garantizar su seguridad y normal funcionamiento. Ellos son
quienes, a partir de ese momento, han estado a cargo del área de sistemas de la
empresa brindando el soporte necesario. De esta forma, el Sr. Miguel de la Borda
de Novelix, se acercó a la oficina el día 30 de octubre por la tarde y gracias a una
copia que el Sr. Juan Ignacio de Zavala –representante de la empresa- tenía de
las diversas claves de acceso a los servidores, pudo acceder y bloquear los
accesos remotos a la Red LAN de Seminarium, específicamente a los accesos
SSH de los Servidores Firewall, de Correo y de Archivos. No se hizo en los
servidores de Telefonía IP y de Base de Datos, porque se asumió que no era
necesario. Al momento de bloquear los accesos SSH, el Sr. De la Borda no se
percató que en la computadora que hasta la mañana del día 30 había ocupado el
Sr. Ingar, tenía instalado el programa Logmein (para mayor información revisar la
página web www.logmein.com), el cual permite que un usuario registrado, y
mediante una clave de acceso válida, pueda acceder a dicha estación y
controlarla remotamente, sin ser detectado ni generar sospechas. Es decir,
mediante este programa se podía utilizar la computadora que estaba al interior de
la oficina de Seminarium desde otra computadora ubicada fuera de la oficina. Es
importante notar que para poder utilizar este programa es necesario conocer tanto
el nombre del usuario como la clave de acceso del mismo. HECHOS.- Durante los
días sábado 07 y domingo 08 de noviembre del presente año, los sistemas
informáticos de Seminarium fueron sistemáticamente saboteados conforme se
explica en los siguientes puntos de la presente denuncia. El 07 de noviembre, a
las 18:46:20 horas, desde una computadora con dirección IP 190.43.231.195, se
conectó el usuario “victorhugo@seminarium.com.pe”, a la computadora
identificada con la IP 192.168.8.85. Esta última IP, corresponde a una
computadora instalada al interior de la red LAN de Seminarium, la misma que
corresponde a la estación que la empresa le asignó al Sr. Ingar. Ello consta en el
registro de actividad del programa Logmein (Anexo 4). El mismo usuario,
utilizando una clave de acceso válida, inició una sesión a las 18:47:04 horas. La
clave de acceso del programa Logmein era conocida exclusivamente por el Sr.
Ingar, quien además, aparece como el único usuario registrado en dicho servicio
(“victorhugo@seminarium.com.pe”). Como consta en los registros del propio
programa (Anexo 5), El 07 de noviembre a las 18:56:38 horas, como consta en
el archivo “secure2” del Servidor de Archivos (Anexo 6), hay un intento fallido de
acceder a dicho servidor, siempre desde la IP 190.43.231.195. El intento se
realizó a través del acceso SSH, acceso que había sido bloqueado por la empresa
Novelix el día 30 de octubre, como ha sido señaló anteriormente. Si bien el
atacante no pudo entrar al Servidor de Archivos utilizando el acceso SSH como se
señala en el punto anterior, si pudo completar su intención de dañar el mismo.
Como hemos señalado en el punto “a”, el usuario
victorhugo@seminarium.com.pe tenía una cesión del Logmein vigente en la
computadora identificada con la IP 192.168.8.85. En ese sentido, es importante
 4

notar que los directorios eliminados del Servidor de Archivos, estaban registrados
en la computadora identificada con dicha IP como carpetas compartidas. Es decir,
eran directorios que si bien estaban contenidos en el Servidor de Archivos, podían
ser manipulados desde la computadora con la dirección IP 192.168.8.85. Como
adicionalmente, el acceso a dicha terminal se hizo con el usuario y contraseña que
utilizaba el Jefe de Sistemas, éste tenía todos los privilegios que típicamente tiene
un usuario de administración, lo cual incluye la posibilidad de borrar dichos
directorios y archivos, tal como efectivamente ocurrió. Durante el lapso de tiempo
en el que estuvo conectado el intruso a dicho Servidor, fueron borrados
alrededor de 160 GB de información de propiedad de mi representada. Dentro
de los archivos eliminados, figuraban directorios enteros con información
sumamente confidencial y estratégica. Esto incluye la totalidad de los registros
contables históricos de las siguientes empresas: Seminarium, Laborum, SHC y
AE. Adicionalmente, fueron eliminados todos los directorios y los files que
contenían la actividad comercial de Seminarium, Laborum y todos los archivos
relacionados a AE. Información que resulta crítica para el normal
desenvolvimiento de las sociedades antes mencionadas. Esta información está
siendo recuperada de las copias de respaldo, lo que implica un proceso lento,
complejo y costoso, que al momento de presentar esta denuncia no ha podido ser
concluido. El 07 de noviembre a las 18:58:32 horas, como consta en los
registros del archivo mailbox.log del Servidor de Correos, se conectó el usuario
admin@seminarium.com.pe, siempre desde la IP 190.43.231.195, al Servidor de
Correos, utilizando para ello una contraseña de usuario válida. Es importante
mencionar este hecho, ya que la única persona que conocía la clave de acceso
del usuario “admin@seminarium.com.pe” era el Sr. Ingar y mediante ese
acceso sucedieron los siguientes hechos: En dicha sesión, como se puede
apreciar en el anexo 07 en donde consta el registro del archivo Mailbox.log, el
usuario “admin@seminarium.com.pe” inicia una secuencia de borrado selectivo de
diversas cuentas de correo electrónico, lo cual concluye minutos más tarde,
aproximadamente a las 19:10 hora Mediante esta acción, se perdió
completamente la información asociada a las cuentas de correo eliminadas (En el
Anexo 08 se agregan los usuarios afectados y su posición en la empresa) lo cual
representa en casi todos los casos, varios años de correspondencia electrónica
conteniendo archivos e información de mucho valor. Esto representa gran parte
del registro de las actividades de la empresa así como miles de horas de trabajo
perdido. El 07 de noviembre a las 19:12 horas, como consta en el archivo
Moodle del Servidor E-Learning (Anexo 09) el atacante consiguió, utilizando para
ello una contraseña válida, conectarse a dicho servidor. La conexión se hizo desde
la IP 200.62.176.19, la cual, como se puede apreciar en el diagrama de red
adjunto (Anexo 1) corresponde al Servidor Firewall de la Red LAN de Seminarium.
Esto quiere decir que el Servidor E-learning tuvo que ser accedido por algún
usuario interno de la Red LAN de Seminarium (Recordemos que el Servidor E-
Learning está alojado en las instalaciones de Verio, fuera de la Red LAN de
Seminarium). En dicho momento –por los registros de día y hora, se trata de un
día no laborable- la oficina se encontraba vacía, cerrada e incluso con el sistema
de alarma activado, con lo cual, dicha acción sólo pudo ser ejecutada
aprovechando la conexión remota del Logmein cuyo funcionamiento ya ha sido
explicado (Es importante señalar que esta conexión seguía activa como consta en
el Anexo 05). No contamos con registros detallados de lo ocurrido, debido a que
no estaba activado el registro de actividad en el Servidor E-learning, pero lo cierto
 5

es que durante el sabotaje fueron eliminados 5 módulos de entrenamiento e-

learning, de propiedad de SHC. El 07 de noviembre a las 19:42:15 horas, el
usuario “victorhugo@seminarium.com.pe”, desde la IP 190.43.231.195, concluye
su sesión en el Logmein (Ver Anexos 05). El 08 de noviembre a las 07:31:17
horas, como aparece en los registros del programa Logmein (Ver Anexos 04 y
05), se conectó el usuario “victorhugo@seminarium.com.pe”, desde la IP
190.43.231.195, a la computadora identificada con la IP 192.168.8.85, ubicada en
la red LAN de Seminarium, utilizando una clave de acceso válida. La sesión se
inició a las 07:32:04 horas. El 08 de noviembre, a las 7:35 horas, desde la
dirección IP 192.168.8.85, se accedió al Servidor de Base de Datos, conforme
muestra el registro usuario (Anexo 10), acceso que sólo pudo realizarse con una
clave de acceso válida. En este servidor no hay registro de lo realizado, pero lo
cierto es que el Servidor de Base de Datos estuvo inutilizado gran parte del día
lunes 09 de noviembre. En dicho servidor, se encontró que el archivo “firebird”,
uno de los archivos mas importantes para que pueda operar el sistema de
Telemárketing y Base de Datos pueda funcionar, había sido renombrado a
“firebird2” acción que inutiliza el sistema por completo. Como veremos más
adelante, algo muy similar ocurrió con el Servidor de Telefonía IP. La sesión de
este usuario en el Servidor Firebird concluye a las 07:42 horas. El 08 de
noviembre a las 07:45 horas, se registra un acceso al Servidor de Telefonía,
utilizando clave de acceso válida, desde la IP 192.168.8.85. En dicha sesión, se
ejecuta un comando mediante el cual se modifica un archivo (Anexo 11), lo cual
genera que el Servidor de Telefonía IP quede absolutamente inutilizado. En el
archivo adjunto está registrada la acción completa realizada por el usuario,
incluyendo el intento fallido de borrar el registro de la acción, con el fin probable
de borrar las pruebas de este hecho. Como hemos señalado anteriormente,
durante el tiempo que dicho servidor estuvo inutilizado –el cual opera como una
central de telefonía- fue imposible recibir y realizar llamadas telefónicas. Es
importante señalar que Seminarium se encontraba en medio de una importante
campaña comercial y, debido a que se trata de una empresa intensiva en el uso
de telemarketing, esa interrupción provocada del servicio telefónico le ha
generado un importante daño económico. El 08 de noviembre a las 08:35:58
horas, el usuario “victorhugo@seminarium.com.pe”, desde la IP
190.43.231.195, concluye su sesión en el Logmein (Ver Anexos 05). A modo de
resumen, podemos señalar que el sabotaje que sufrieron nuestros servidores se
dirigieron desde 2 direcciones IP distintas que son: IP 190.43.231.195.-Servidor de
Correos (Zimbra) .- Servidor E-learning (Moodle),- IP 192.168.8.85.-. Servidor de
Telefonía (Asterix), Servidor de Archivos (Némesis) Servidor de Base de Datos
(Firebird). En estos 3 últimos casos, operaron la computadora identificada con IP
192.168.8.85, desde la computadora identificada con IP 190.43.231.195, mediante
el uso del programa Logmein, que permite el uso de remoto de computadoras. La
computadora identificada con la IP 192.168.8.85, corresponde a la estación de
trabajo utilizada por el Sr. Ingar en su calidad de Jefe de Sistemas, la cual, a
través del programa Logmein, era controlada remotamente por una estación
identificada con la IP 190.43.231.195. En consecuencia, los ataques habrían
sido ejecutados por una misma persona. Dicha persona, adicionalmente, tendría
que haber tenido un conocimiento sumamente detallado de la Red LAN de
Seminarium y de sus vulnerabilidades, además de contar con diversas claves de
acceso. De esta forma, para acceder a todos los servidores señalados
anteriormente, el atacante tendría que haber conocido: La clave de acceso del
 6

usuario victorhugo@seminarium.com.pe en el programa Logmein; La clave de

acceso del usuario victorhugo@seminarium.com.pe en el Servidor de Correos; La
clave de acceso del usuario admin@seminarium.com.pe en el Servidor de
Correos; La clave de acceso del usuario victorhugo@seminarium.com.pe en el
Servidor E-learning; La clave de acceso del Servidor de Telefonía IP y La clave
de acceso del Servidor de Base de Datos. IDENTIFICACION DEL ATACANTE.-
De acuerdo a las políticas de la empresa (Anexo 13), y dada la naturaleza del
trabajo que realiza mi representada, los contenidos de los correos electrónicos
-recibidos o enviados- que se encuentren en las casillas de los servidores de la
empresa, son de propiedad exclusiva de la empresa y por lo tanto en ningún caso
pueden considerarse como privados. Consecuentemente, hacer uso de dichos
correos como evidencia no constituye en ningún caso, violación alguna a la
intimidad. En ese sentido, arribamos a la conclusión de que la dirección IP
190.43.231.195, que es la misma de donde provienen los ataques descritos en el
presente documento, identifican al Sr. Ingar, debido a que ésta persona envió
correos electrónicos que sólo pueden ser atribuidos a su autoría durante los días
previos e incluso el mismo día 07 de noviembre en que empezaron los ataques.
Lo indicado anteriormente, quedaría acreditado debido a que los tres correos
electrónicos remitidos por el Sr. Ingar, fueron enviados desde el Servidor de
Correos de Seminarium entre los días 05 y 07 de noviembre (Anexo 12) utilizando
el mismo usuario, contraseña y dirección IP (IP 190.43.231.195) desde donde
provinieron los ataques descritos en el presente documento. Dicho esto, sólo nos
quedaría concluir que se trataría de la misma persona. Para reforzar el punto,
cabe señalar que entre los correos adjuntados, hay uno de fecha 07 de
noviembre, el cual fue enviado a tan unas pocas horas del inicio del primer
registro que tenemos del sabotaje. CONCLUSIONES.- El Señor Ingar, como ex
Jefe de Sistemas, conocía mejor que nadie la estructura y vulnerabilidades de los
sistemas informáticos de la empresa. Los sistemas atacados fueron accedidos a
través de diversas claves conocidas por el Sr. Ingar. Incluso, algunas de las
cuales, eran conocidas exclusivamente por dicha persona.
Todos los ataques fueron producidos de forma remota, desde la dirección IP
190.43.231.195, que es la misma dirección IP desde la cual el Sr. Ingar envió
correos electrónicos a diversas personas. A través de dicha conexión IP
190.43.231.195, fueron dañados el Servidor de Correos (Asterix) y el Servidor E-
learning (Moodle). Desde ese misma dirección, fueron dañados el Servidor de
Correos (Zimbra), el Servidor de Archivos (Némesis) y el servidor de Base de
Datos (Servidor Firebird), utilizando un acceso remoto a través del programa
Logmein mediante el cual accedieron previamente a la computadora asignada al
Sr. Ingar mientras ejerció el cargo de Jefe de Sistemas, la misma que se identifica
con la IP 192.168.8.85. Como se puede apreciar en el detallado recuento de los
hechos, existe una perfecta coincidencia entre el registro de sesiones del Logmein
y las fechas y horas en las que se realiza los ataques, a lo cual se suma que estos
fueron realizados durante el fin de semana, tiempo en que la oficina se encontraba
cerrada y sin personal al interior, sólo habrían podido realizarse de forma remota.
Por lo tanto, presumimos que el autor del sabotaje no puede ser otra persona que
el Sr. Ingar. DAÑOS.-Los daños generados por el sabotaje anteriormente descrito
son incalculables. Por un lado, hemos perdido la información histórica de las
cuentas de correo de las personas con cargos de mayor responsabilidad.
Información que en muchos casos tenía registros con varios años de antigüedad.
Por otra parte, la alteración en los sistemas informáticos generó la paralización de
 7

las empresas anteriormente señaladas, cuyas operaciones fueron totalmente

suspendidas el día lunes 09 y parcialmente el resto de la semana. En términos
referenciales, el promedio diario de ingresos del grupo de empresas anteriormente
señalado es de algo más de US$12,000 diarios y podemos asumir que el tiempo
de paralización que sufrieron estas empresas en conjunto fueron entre 2 y 3 días.
Adicionalmente a ello, aun no tenemos una idea clara de la información que se ha
perdido irremediablemente, ya que aun no hemos podido completar la
restauración de las copias de respaldo. Los paquetes informáticos instalados en el
Servidor E-Learning, son parte de un conjunto de servicios ofrecidos a terceros,
los cuales, al no haberlos tenido en línea durante estos días, nos ha generado un
importante daño en la relación con estos clientes lo cual podría derivar incluso en
sanciones o hasta la pérdida de estos contratos. Adicionalmente, es importante
tomar en cuenta los costos relativos a la recuperación de la información y el
restablecimiento de todos los servicios anteriormente dañados. Por lo pronto, el
equipo de la empresa Novelix viene trabajando en esto desde la mañana del lunes
09 de noviembre y hasta el momento en que se presenta la presente denuncia, los
trabajos continúan. En forma general, podríamos afirmar que los daños sufridos
pasarían de los US$50,000..- FUNDAMENTACION JURIDICA.- El artículo
207-B del Código Penal establece: 2. Por otra parte, el Artículo 207-C del mismo
cuerpo legal establece el tipo agravado para este delito: “Artículo 207-C.- Delito
informático agravadoEn los casos de los Artículos 207-A y 207-B, la pena será
privativa de libertad no menor de cinco ni mayor de siete años, cuando: El agente
accede a una base de datos, sistema o red de computadora, haciendo uso de
información privilegiada, obtenida en función a su cargo.” 3. En base a los hechos
descritos en la presente denuncia, se hace evidente que se ha materializado el
ingreso y utilización indebida de un sistema de red y bases de datos que son
propiedad de mi representada. 4. Los accesos a las indicadas bases de datos y
redes se han realizado con la finalidad de alterarlos, dañarlos y destruirlos, siendo
que el agente que ha realizado el tipo penal descrito, tenía la condición de
empleado de confianza de la empresa, gozando de información privilegiada, la
misma que le fue confiada en razón de su cargo al interior de la empresa. 5. La
voluntad del autor del ilícito se ha realizado al ingresar a los sistemas informáticos
de la empresa, logrando alterar, dañar y destruir información de importancia para
la empresa. Configurando el tipo penal agravado descrito en el Código Penal, el
mismo que establece una pena no mayor de 7 años y no menor de 5 años de
pena privativa de la libertad.6.- La imputación se realiza en contra del Sr. Ingar, en
mérito a las pruebas que se aporta a la presente denuncia, de donde se determina
que: .- El Sr. Ingar abandonó su trabajo de manera intempestiva el 30 de Octubre
del presente año, comunicando el hecho mediante un simple correo electrónico y
sin hacer ninguna entrega de cargo. Los ataques se han producido pocos días
después del hecho antes indicado, desde la computadora que el Sr. Ingar tenía
asignada en la empresa.Los accesos remotos a la computadora del Sr. Ingar,
requerían del conocimiento de su clave de acceso y fueron realizados desde una
dirección IP utilizada por el propio Sr. Ingar para remitir diversos correos
electrónicos al personal de la empresa agraviada. El acceso a los servidores,
redes y bases de datos de la empresa agraviada requería del conocimiento de
información que solo el Sr. Inga poseía por razón de su cargo. 7- En mérito a
estos hechos, que se encuentran debidamente sustentados en las pruebas
aportadas al proceso, deberá elaborarse el atestado respectivo señalando la
responsabilidad penal del investigado y una vez remitida la investigación al
 8

Ministerio Público, deberá disponerse la formalización respectiva ante el poder

judicial. IXMEDIOS PROBATORIOS.- Manual de funciones de la empresa, el
mismo que esclarece las responsabilidades del Jefe de Operaciones y Tecnología
de la Información, cargo que ocupaba el Sr. Ingar. 2.-Correos electrónicos
remitidos por el Sr. Ingar. Registro de acceso al programa Logmein.Registro de
acceso fallido al registro de archivos desde la IP190.43.231.195. Registro del
archivo Mailbox.log del Servidor de Correos en donde se registra el borrado de
cuentas por el usuario, admin@seminarium.com.pe desde la IP
190.43.231.195Registro de acceso al Servidor E-Learning (Moodle) del día 7 de
noviembre desde la IP 190.43.231.195. Registro de acceso a la base de datos
Firebird, encontrándose que había sido renombrada como firebird2, conforme se
aprecia de la secuencia registrada que se adjunta. Informe sobre la alteración del
Servidor de Telefonía IP (Zimbra). Muestra de correos electrónicos atribuídos a la
autoría del Sr. Ingar, los cuales fueron enviados durante los días 05 y 07 de
noviembre, utilizando el usuario victorhugo@seminarium.com.pe, su contraseña
de acceso y la IP 190.43.231.195. Extracto de la Política de uso de correo
electrónico de la empresa.- Lima, 26 de noviembre de 2009 una firma y post firma
de Juan Ignacio DE ZAVALA

II. INVESTIGACIONES
A. Diligencias Preliminares
1.- Citaciones.
a) DE ZAVALA ROMAÑA, Juan Ignacio (Denunciante)
b) BAYLY CORREA, Anne (Testigo)
c) DE LA BORDA BALBIN, Miguel (Testigo)
d) INGAR HERNANDO, Víctor Hugo (Denunciado)
2. Manifestaciones
e) DE ZAVALA ROMAÑA, Juan Ignacio (Denunciante)
f) BAYLY CORREA, Anne (Testigo)
g) DE LA BORDA BALBIN, Miguel (Testigo)

3. Actas Formuladas
a. Con la participación del Representante del Ministerio del Publico
Adscrito a la DIRINCRI-PNP se efectuó las siguientes diligencias que
a continuación se especifica:
 Acta de visualización en la que se muestra la eliminación de las 21
cuentas de correo electrónico.
 Acta de visualización de acceso del programa Logmein
 Acta de visualización de acceso al servidor web
 Acta de visualización de la alteración de la línea de comando del
servidor de telefonía IP Asterix
 Acta de visualización de recepción de mensaje de correo
electrónico.
b. Con la participación de la Representante del
Ministerio Publico se formuló las actas de inconcurrencias de Víctor
 9

Hugo INGAR HERNANDO quien no ha cumplido con presentarse a

esta Unidad Especializada para rendir se manifestación, diligencia
que fue programada para los días 18 y 22 de enero del 2010.

I. ANTECEDENTES POLICIALES
- Con el respectivo documento se solicitó a la oficina de Coordinación y
Análisis de la DIVINDAT-DIRINCRI-PNP, las fichas RENIEC DE ZAVALA
ROMAÑA, Juan Ignacio; BAYLY CORREA, Anne; DE LA BORDA BALBIN,
Miguel e INGAR HERNANDO, Víctor Hugo
- La oficina de Coordinación y Análisis de la DIVINDAT-DIRINCRI-PNP,
informó que, Víctor Hugo, INGAR HERNANDO, hasta la fecha NO
REGISTRA ANTECEDENTES POLICIALES.

II. ANALISIS DE LOS HECHOS

A. El 01DIC09 Juan Ignacio DE ZAVALA ROMAÑA, Representante Legal de

SEMINARIUM PERU SA, interpuso una denuncia penal ante esta
DIVINDAT-DIRINCRI PNP, contra los que resulten responsables, por la
presunta comisión del Delito contra el Patrimonio – Delito Informático,
hecho ocurrido el en noviembre del 2009, en la ciudad de Lima.-----------
B. Juan Ignacio DE ZAVALA ROMAÑA, manifestó lo siguiente:

1. Que su representada se dedica a la venta de programas de educación

ejecutiva, así como brinda el servicio de asesoría administrativa
contable a diversas empresas, manejando para lo cual, una base de
datos con información confidencial de sus clientes.

2. Que, en el 2006 contrató los servicios del denunciado Víctor Hugo

INGAR HERNANDO, a fin de que se encargue de la administración de
los sistemas de computo de la empresa, así como de la cuenta
corporativa admin@seminarium.com.pe, contando para ello con la
facultad de controlar y supervisar el estado de los servidores y el flujo
de correos electrónicos.

3. Que, Víctor INGAR, como encargado del área de informática creó la

cuenta de correo electrónico victorhugo@seminarium.com.pe, desde
donde en fecha 30OCT09, comunicó su renuncia vía e-mail.

C. Luego de la renuncia de Víctor INGAR, la empresa continúo con sus

actividades normales, siendo el caso que, el 09NOV09, Anne BAYLY
CORREA, Gerente General de Seminarium Perú S.A y los empleados de
ésta, al iniciar sus labores, no tuvieron acceso a sus cuentas de correos
electrónicos, a la base de datos de los clientes, así como al sistema de
telefonía por IP 1, hecho que motivó que contraten los servicios del
ingeniero de sistemas, Miguel DE LA BORDA BALBIN, a fin que realice
una auditoría a todo el área informática, la misma que se realizó el
10NOV09, llegando a constatar que el servidor firewall 2 no se encontraba
activado y que la PC de trabajo que fue utilizada por Víctor INGAR, tenía
1
IP: Número que identifica a cada computador dentro de una red con protocolo IP
 10

instalado el programa LOGMEIN 3, el cual estaba conectado desde las

08:41:56 horas del viernes 06NOV2009 hasta las 12:18:19 del lunes
09NOV2009. Cabe señalar que de acuerdo a lo manifestado por Anne
BAYLY, el mismo día que se estaba realizando la auditoria, recibió una
llamada telefónica de Víctor INGAR ( 993575447), quien le ofreció
solucionar el problema relacionado al servidor de la empresa.

D. Miguel DE LA BORDA, manifestó que el 11NOV09 a horas 15:00 Aprox.,

encontrándose en su oficina ubicada en la calle Diez Canseco № 447 –
Dpto. 401 – Miraflores, recibió la visita de Víctor INGAR, quien se ofreció
en forma voluntaria a solucionar la inoperatividad del servidor de telefonía
IP que manejaba hasta ese entonces la empresa, ingresando para tal
efecto con una cuenta de usuario y contraseña valida, para luego colocar
el valor específico en el archivo correspondiente, logrando así el correcto
funcionamiento del servidor.

E. El 29DIC09, personal de esta Unidad Especializada, con participación del

representante del Ministerio Público, efectuó una constatación in situ, en el
servidor de la empresa Seminarium Perú SA., así como en la
computadora asignada a Víctor INGAR, llegándose a verificar lo siguiente:
1. En el servidor de la empresa:

a. Al verificar el archivo “secure.2” del servidor moodle 4, se apreció un

acceso en fecha 07NOV2009 a horas 19:12:50, desde la dirección
IP 200.62.176.19, la misma que corresponde a la red LAN 5 de la
empresa.

b. Que, 07NOV2009, desde las 18:58:38 hasta las 19:10:33 horas,

utilizando la dirección IP 190.43.231.195 y la cuenta de correo
admin@seminarium.com.pe, fueron eliminadas diversas cuentas,
tanto de la empresa como de otras a las que se les brindaba el
servicio de alojamiento, siendo estas las siguientes:
alexia.brazzini@seminarium.com.pe;alvaro.macias@laborum.com;a
lejandra.bustamante@americaeconomia.pe;analucia.veratudela@p
e.laborum.com;anme.bayly@seminarium.com.pe;Christian.dammert
@pe.laborum.com;cmoya@accure.pe;jackie.bello@seminarium.co
m.pe;jideza@seminarium.com.pe;juanmanuel.albarracin@seminari
um.com.pe;liccia.falcone@pe.laborum.com;mariaelena.munoz@se
minarium.com.pe;miguel.coloma@humancapital.com.pe;ofelia.balc
azar@pe.laborum.com;patricia.anduaga@americaeconomia.pe;jea
npaul.rojas@pe.laborum.com;katy.linares@seminarium.com.pe;liss
er.hurtado@americaeconomia.pe;rafael.zavala@pe.laborum.com;rq
uiroz@seminarium.com.pe;sandra.pozo@seminarium.com.pe;tizam

2
Firewall: Es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de
una red a la otra. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar
que los intrusos puedan acceder a información confidencial
3
Logmein: Es una aplicación que permite acceder y controlar un equipo de forma remota desde cualquier ordenador
conectado a internet.
4
MOODLE: es una aplicación web que puede funcionar en cualquier ordenador (computador) y soporta varios tipos de
bases de datos (en especial MySQL y PostgreSQL).
5
LAN: Rede de área local
 11

artinez@seminarium.com.pe;zoila.suarez@pe.laborum.com;hilda.ja
ra@seminarium.com.pe;hjara@seminarium.com.peeines.becerra@
pe.laborum.com;información que es corroborada con el “Acta de
visualización en la que se muestra la eliminación de 21 cuentas de
correo”.

c. Que, el 08NOV2009 a horas 07:44:22, el archivo identificado como

“asterisk” fue modificado por “azterisk”.

2. En la computadora de Víctor Hugo INGAR HERNANDO

a. Se encontró instalado el programa de acceso remoto denominado

“logmein”, el cual estaba enlazado a la cuenta de correo electrónico
victorhugo@seminarium.com.pe.

b. Que, la configuración de la tarjeta de red tiene asignada la siguiente

dirección IP fija: 192.168.8.85

c. Que, la dirección IP 190.43.231.195, estuvo conectada al programa

“logmein” las fechas y horas siguientes:

 06NOV2009 a horas (GMT) 08:41:56; 08:51:56; 09:33:01;

16:30:16; 16:38:13; 16:46:07; 18:26:40 y 18:32:20.

 07NOV/2009 a horas (GMT) 18:46:20; 19:43:32 y 19:49:16.

 08/NOV2009 a horas (GMT) 07:31:17 y 16:59:50

 09NOV2009 a horas 09:24:55; 11:33:13; 11:37:32 y 12:18:19.

F. De lo anteriormente expuesto, se desprende que el 07NOV09, a horas
18:00 desde el usuario admin@seminarium.com.pe y la dirección IP
190.43.231.195 fueron eliminados 21 cuentas de correos electrónicos,
cuya dirección IP coincide con el registro de accesos al programa
LOGMEIN utilizando la cuenta de correo electrónico
victorhugo@seminarium.com.pe. El 08NOV2009 a horas 07:44:22 el
servidor de telefonía IP dejo de funcionar debido a que el archivo asterix
fue renombrado por azterix ( s por z); dicha alteración fue realizada
desde la dirección IP 192.168.8.85, fecha y hora que coincide con el
tiempo que permaneció conectado el usuario
victorhugo@seminarium.com.pe al programa LOGMEIN; y la dirección IP
fija 192.168.8.85 con la PC que utilizaba Víctor HUGO INGAR HERNADO.
G. De las manifestaciones, actas y otros recaudos con participación del
representante del Ministerio Público, se establece que Victor Hugo INGAR
HURTADO, resulta ser el presunto autor del Delito Contra el Patrimonio-
Delito Informático en la modalidad de intrusismo y sabotaje informático, en
agravio de la empresa Seminarium Perú S.A, por las siguientes
consideraciones:
 12

2. Por ser el encargado de la administración y tener conocimiento de las

contraseñas de los servidores de la empresa así como de las cuentas de
correo electrónico victorhugo@seminarium.com.pe y
admin@seminarium.com.pe.
3. Por que ha quedado demostrado que en la computadora asignada por la
empresa se encontraba instalado el programa de acceso remoto de
nombre LOGMEIN, el cual estaba enlazado a la cuenta
victorhugo@seminarium.com.pe, la mismo que permitió el acceso a la
red de la empresa denunciante desde un punto de conexión externo a
Seminarium Perú. SA.
4. Por demostrar que la dirección 192.168.8.85 correspondía a la
computadora de el denunciado, la misma que el 08NOV2009 a horas
07:44:22 fue utilizado para alterar el servidor de Telefonía IP al
cambiarse el nombre de archivo asterisk por azterisk (s por z)
5. Por que en el reporte de accesos al programa LOGMEIN se acreditó que
el usuario victorhugo@seminarium.com.pe desde la dirección IP
190.43.231.195 estuvo conectado desde las 08:41:56 horas del
06NOV2009 hasta las 12:18:19 horas del 09NOV2009; fecha, hora y
dirección IP que coinciden con el tiempo que permaneció conectado el
usuario admin@seminarium.com.pe para eliminar veintiún cuentas de
correos electrónicos de los trabajadores de la empresa SEMINARIUM
PERU S.A y otros que se encuentran alojados en el servidor de la
referida empresa
6. Por que el 07NOV2009 a horas 19:12:50 el servidor web registró un
acceso con usuario y contraseña valida desde la dirección IP
200.62.176.19 la misma que corresponde a la red LAN de Seminarium
Peru S.A, IP registrada toda vez que, el usuario
victorhugo@seminarium.com.pe, primero se conectó a su estación de
trabajo de manera remota a través del programa LOGMEIN,
posteriormente a la red LAN de la empresa y luego al servidor web de la
misma; fecha y hora que coinciden con el registro de accesos al
programa LOGMEIN.
7. Por la testimonial de Miguel DE LA BORDA BALBIN quien indicó que el
investigado brindo la información esencial que permitió la operatividad
del servidor de Telefonía IP asignada a la empresa, demostrando con ello
que el denunciado tenia conocimiento del usuarios, contraseña y el
problema especifico que presentaba dicho servidor.

V. CONCLUSION
Conforme a lo expuesto en el contexto del análisis correspondiente, así
como de los actuados policiales, se establece que Victor Hugo INGAR
HURTADO estaría inmerso en el presunto Delito contra el Patrimonio –Delito
Informático en la modalidad de intrusismo y sabotaje informático, en agravio
de la empresa Seminarium Perú S.A representado por Juan Ignacio DE
ZAVALA ROMAÑA

III. SITUACION DEL IMPLICADO

 13

Que, Víctor Hugo, INGAR HERNANDO se encuentra debidamente notificado

conforme a las citaciones Nº41 y42-2010-DIRINCRI PNP/DIVINDAT-DIE,
quien hasta la fecha no ha cumplido con presentarse a esta Unidad
Especializada a rendir su manifestación; descociendo los motivos de dicha
inasistencia. Se adjunta citaciones y actas de inconcurrencia formuladas
con la participación del Representante del Ministerio Publico.

IV. ANEXOS
Se Adjunta al presente los siguientes documentos :
- Un (01) Expediente Denuncia N°590-09 a folios (50)
- Una (01) Ficha Reniec de Juan Ignacio, DE ZAVALA ROMAÑA
- Una (01) Ficha Reniec de Miguel Eduardo Martin DE LA BORDA
BALBIN
- Una (01) Ficha Reniec de Anne BAYLY CORREA
- Una (01) Ficha Reniec de Victor Hugo INGAR HERNANDO
- Una (01) consulta de antecedentes Policiales de Victor Hugo INGAR
HERNANDO
- Una (01) manifestación de Juan Ignacio, DE ZAVALA ROMAÑA
- Una (01) manifestassem de Miguel Eduardo Martin DE LA BORDA
BALBIN
- Una (01) manifestación de Anne BAYLY CORREA
- Dos (02) citaciones números 41 y 42
- Una (01) acta de visualización de acceso del programa Logmein
- Una (01) acta de visualización en la que se muestra la eliminación de
las 21 cuentas de correo electrónico.
- Una (01) acta de visualización de acceso al servidor web
- Una (01) acta de visualización de la alteración de la línea de
comando del servidor de telefonía IP Asterix
- Una (01) acta de visualización de recepción de mensaje de correo
electrónico.
- Dos (02) actas de inconcurrencias de Victor Hugo INGAR
HERNANDO

Lima, 08 de Febrero del 2010.

ES CONFORME EL INSTRUCTOR.
i