Caso de peritaje informático relacionado con empleado deshonesto en empresa
Empleado de una empresa sevillana, de referencia en su sector. El caso comienza cuando este empleado decide irse de la empresa, solicitando una excedencia porque piensa dedicarse a otra actividad. Hasta ahí todo normal. Pasan algunos meses y la empresa ve como la competencia, comienza a presentarse a los mismos concursos que ella, pero con más, seguridad de la habitual. Tiene sospechas de que puede tener información preferente y decide investigarlo, parece que su ex empleado ahora trabaja en la competencia.
Nuestro trabajo, comienza con el análisis del equipo del usuario. En busca de evidencias que puedan relacionar al empleado con lo que está ocurriendo. El cliente lo tenía guardado desde que se fue el trabajador, con lo que no se había iniciado desde entonces. Realizamos una clonación del disco ante notario para que todo el proceso quede registrado y documentado. Posteriormente realizamos un análisis forense del mismo, correo electrónico para comprobar si lo había utilizado para enviar información confidencial de la empresa a algún contacto. Recuperamos archivos eliminados y buscamos en todos los archivos palabras o términos que puedan relacionarse con algún cliente. También analizamos el historial del navegador y comprobamos que había utilizado la aplicación ccleaner (algo sospecho porque no es habitual que un usuario lo utilice) para eliminar historial , cookies y archivo temporales, de esa forma no encontraríamos por ejemplo que paginas ha visitado. Comprobamos también que ocurrió en las últimas horas que estuvo en la empresa y bingo!! Vimos que 15 minutos antes de despedirse, conectó un disco externo con N/S identificado que no pertenecía a la empresa , también conecto su móvil y accedió a la SD de almacenamiento. No pudimos acreditar que archivos se copiaron a los dispositivos porque el equipo no tenía activado ningún tipo de auditoria, que pudiera registrar estos accesos. Sin embargo, cometió un error!! durante esos 15 minutos creo una carpeta llamada «la xxxxxx de todos los contratos» donde guardo toda la información histórica del cliente en cuestión.
Resolución del caso: ex empleado despedido de forma procedente y denunciado por la empresa por acceso a información confidencial para después ofrecérsela a la competencia. Empresa de la competencia investigada por utilizar dicha información junto a los mismos formatos creados por el empleado cuando trabajaba en la empresa.