Página | 1

“Criminalística Tecnológica”
“Método científico”

Nombres : Juan Cornejo

Alexis Sandoval
Estrella Ortiz
Carrera : Ingeniería en Informática y Ciberseguridad
Sección : 61
Docente : Felipe Araya Luna
Jornada : Vespertino
Fecha de entrega : 11 de abril del 2021
 Página | 2

Resumen de la historia 3
Investigación a base de los 5 métodos científicos. 3
 La observación 3
 El problema 3
 La hipótesis 4
 La experimentación 4
 La teoría, ley o principio 5
 Página | 3

Resumen de la historia

Se trata de una intromisión a la página web de la empresa ATI, en la cual los

servicios que esta empresa presta se vieron afectados en su funcionamiento,
básicamente como hosting de otras entidades. Esta intromisión le costó a ATI el
tener que verse frente a las demandas de sus clientes por incumplimiento de
contrato debido a la disponibilidad y confidencialidad de sus datos. Además de
tener por varias horas el problema, sucedió que se dejaron mensajes ofensivos
con alto grado de improperios tanto para la empresa prestadora del servicio
como para los clientes que en él alojaban lo que incurrió en un desmedro a la
imagen corporativa de los clientes afectados, este caso tomó relevancia
nacional debido a la precariedad de los sistemas que utiliza la empresa ATI
generándose un sin número de memes difundidos en la red que dejan por el
suelo el cómo la entidad protege los datos de sus clientes.

Es ineludible que la pérdida económica es cuantiosa y se indicaban montos por

indemnización que superan los 500 millones de pesos, sin mencionar la
información sensible que fue divulgada en medios de prensa como
radioemisoras.

Hasta ahora sólo se tienen antecedentes vagos de la intromisión y de las

motivaciones que llevaron a que los hechos sucedieran. En un comunicado de
prensa, la empresa ATI reconoce que fue víctima de un ciberataque pero no
entregó mayor información debido a que está sujeto al secreto de la
investigación llevada principalmente por la brigada de cibercrimen de la PDI,
por otra parte la empresa afectada continúa con su página principal sin
funcionar e indica que estará en reconstrucción para asegurar que los servicios
tengan la seguridad apropiada para que estos hechos no sean replicados en el
futuro.

Investigación a base de los 5 métodos científicos.

● La observación

Posteriormente se evidenció una purga de los LOG del servidor la cual no fué
investigada y menospreciada por el equipo informático a cargo, quien consideró
que la jefatura lo había dispuesto y que se habían realizado respaldo de ellos.

Por último los clientes llaman a la empresa indicando que sus páginas
contenían mensajes inapropiados lo cual verifican y constatan que se produjo el
cambio de la página web del hosting en conjunto con el cambio de las password
de administración del servidor, en vista de no tener los accesos deciden sacar
de línea el servicio para ver en profundidad lo que estaba sucediendo aludiendo
a un ataque de un hacker.

● El problema

Entre los días 28 de diciembre de 2020 y 8 de enero de 2021, se realizó una

intromisión a la empresa ATI, en donde se verificaron diversos accesos ilegales
al servidor de esta empresa, alterando, dañando y conociendo indebidamente
información contenida en esta. Los sitios Web afectados
fueron: www.guesbaack.cl y www.metalista.cl
 Página | 4

El posible imputado es un joven de 21 años, conocido en las redes con el

seudónimo “P0monkey”, el cual habría actuado como primera instancia por
venganza en contra de la empresa, pues había sido desvinculado de sus
labores.
El ingreso ilegal al servidor web, alteró el contenido de éstos, se eliminó
información de servicios, se adulteró la página principal creando una nueva
página web (index.html) en reemplazo de la existente que mostraba mensajes
ofensivos hacia la empresa con banners incrustados e indicaba que el sitio
había sido hackeado, se dejó sin funcionamiento a 2 clientes directos del
hosting de la empresa, la página principal estuvo sin funcionamiento por varias
horas y se divulgó información en un diario local con datos sensibles de los
clientes.
El acceso a la administración del servidor había sido cambiado dejando sin
posibilidades a la empresa de remediar el inconveniente.
Los antecedentes para una investigación aún no han sido recabados y se
encuentra en la etapa inicial de levantamiento de evidencias, aún no están
claros los motivos y si es que existen más involucrados en el ataque.

● La hipótesis

La empresa desvinculó al empleado debido a la necesidad de reestructurar su

equipo informático para contar con personal con mayores conocimientos y
experticias debido al crecimiento de clientes que presenta la empresa. Se aplica
el artículo 159 del código del trabajo “vencimiento del plazo convenido en el
contrato.”, realizando los pagos que por prestación de servicios fueron
realizados. No se anticipó la llegada del o los especialistas antes de la
desvinculación.

El joven tras verse menospreciado por sus capacidades comete el ilícito como
forma de demostrar su expertis y para reflejar esto realiza las conexiones al
servidor web que guarda todas las páginas de los clientes de la empresa
ATI.CHILE, dichas conexiones fueron realizadas desde 2 puntos físicos, el
primero desde su residencia con su computador personal y el segundo desde el
cibercafé donde prestaba servicios de atención a los usuarios. La conectividad
se realizó a través de conexiones TELNET hacia el router de borde de la
empresa en donde se autenticaba con un usuario y password conocidos por el
empleado, desde ahí realizaba un salting hacia el servidor web con la
información de la tabla ARP del router en donde finalmente realiza el cambio,
eliminación y suplantación de información dentro del servidor.

Como parte de la investigación se agrega el hecho de que el hasta ahora único

sospechoso “Hacker”, concurrió de forma voluntaria al diario El Centro de Talca
y entregó una entrevista, siendo portada, bajo el título: «Yo soy el ciber pirata»
en donde expuso que la empresa donde realizó la intromisión debería contar
con sus servicios para que esto no le sucediera en el futuro.

● La experimentación

El administrador del sistema informático de la empresa ATI.CHILE procedió a

efectuar una inmediata auditoría de todos los archivos «LOG» del servidor y
pudo comprobar que dichos sitios habían sido víctima de una serie de ataques
e intromisiones, además, la eliminación de algunos archivos de auditoría de
transacciones de cuentas de FTP, para borrar rastros desde dónde se
efectuaban los ataques. Incluso, mientras se realizaban las auditorías, se pudo
 Página | 5

comprobar que el hacker intentaba ingresar al correo electrónico del gerente

general de la empresa, hecho que pudo ser controlado a tiempo pero que sin
embargo alcanzó a recabar información necesaria para sus propósitos.
Para este proceso el administrador informático inicia creando y asegurando un
archivo o bitácora electrónica de hallazgos, que permita llevar un historial de
todas las actividades que se llevan a cabo durante el proceso de obtención de
evidencia digital de manera de tener un resumen que permita hacer la
reconstrucción del caso tiempo después de que este haya sido analizado.
Cadena de custodia con todos los activos analizados:
▪ Computadora de escritorio presente en la empresa donde trabajaba el
empleado:
▪ Computador de Gerencia General
▪ Servidor web dispuesto en la empresa
▪ Medios tanto internos como externos que contemplan: Dispositivos USB,
CD/DVD, PCMCIA, Discos Ópticos y Magnéticos.
▪ Manuales de procedimientos y políticas informáticas existentes en la
empresa como también listados de funcionarios activos con sus
credenciales de acceso y funcionarios desvinculados o con juicios en
proceso.
▪ Depuración de archivos buenos conocidos.

● La teoría, ley o principio

La empresa ATI.CHILE cuenta con normativas de eliminación de accesos y

cuentas para sus trabajadores una vez estos dejan de ser trabajadores activos,
sin embargo, el empleado creó una cuenta oculta con otras credenciales que
fueron relacionadas y eliminadas una vez que el administrador informático
realizó su hallazgo después del análisis de los sistemas.
Implementar medidas de seguridad tanto como para la estandarización del
trabajo, como para la mitigación de las vulnerabilidades que fueron explotadas
por el hacker.

Análisis de factores de riesgo.

Impact
Riesgo Probabilidad o Métrica Resultado
Riesgo
2 4 8
Caída de la red medio
Riesgo
2 4 8
Caída de servidores de producción medio
Extracción, modificación y distribución de información Riesgo Alto
4 4 16
confidencial  
Uso inadecuado de las instalaciones 4 3 12 Riesgo Alto
Ataques de virus informáticos 3 4 12 Riesgo Alto
Fuga de información 3 4 12 Riesgo Alto
Inadecuados controles de acceso lógico 4 4 16 Riesgo Alto
Riesgo
2 4 8
Falta de disponibilidad de aplicaciones criticas medio
Descontrol del personal 3 2 6 Riesgo Bajo
Riesgo de intervención de páginas alojadas 4 4 16 Riesgo Alto
 Página | 6

Riesgos detectados en el caso:

▪ Accesos a servicios por Telnet.
▪ Nula supervisión de los accesos lógicos.
▪ Centralización de credenciales en un solo funcionario.
▪ Inexistencia de acuerdo de confidencialidad de la información con el
personal.
▪ Inadecuado de monitoreo de cuentas inactivas.
▪ No existe respaldo de gerencia o RRHH para la creación de cuentas a
través de formulario o correo electrónico.
▪ Páginas alojadas sin certificado de seguridad SSL emitidas.

Medidas para mitigar las vulnerabilidades que se vieron expuestas en el

caso:
A. Cambio de acceso al router de borde con un acceso por SSH
reemplazando el actual acceso de Telnet.
B. No usar FTP, usar SCP o SFTP. Hoy en día todos los clientes FTP
soportan SCP o SFTP.
C. Activar SSL/TLS en el cliente de correo, tanto para el servidor entrante
como saliente.
D. Implementar seguridad de puertos en los switch de la empresa.
E. Cambio de password de acceso a los dispositivos cada 3 meses.
F. Mantener los softwares actualizados de la empresa.
G. Crear respaldos frecuentes de los servidores e información crítica de la
empresa.
H. Cifrar la información que viaja por la red.
I. Delimitar la cantidad de cuentas privilegiadas para el acceso a los
dispositivos.
J. Monitorizar los accesos a los dispositivos que prestan continuidad
operacional.
K. Autenticación en dos pasos.
L. Bloqueador de IP.
M. Protección de enlace directo o hotlink.
N. Protección con Contraseña de Directorios.
O. Usa contraseñas complejas y robustas.
P. Mantén actualizado el gestor de contenidos de tu web.
Q. Desinstalación del software de la web que no tenga uso.