Caso grupal:

Fuga de información
1. ¿Cuál es el hash (SHA1) de los dispositivos analizados?

HASH PC:

afe5c9ab487bd47a8a9856b1371c2384d44fd785

HASH REMOVABLE MEDIA:

o cfreds_2015_data_leakage_rm#1:

f6bb840e98dd7c325af45539313fc3978fff812c

o cfreds_2015_data_leakage_rm#2:

048961a85ca3eced8cc73f1517442d31d4dca0a3

o cfreds_2015_data_leakage_rm#3:

471d3eedca9add872fc0708297284e1960ff44f8

2. ¿Qué sistema operativo tenía el equipo instalado? ¿En qué fecha y en qué hora se
instaló? ¿Quién es el propietario del sistema?
Encontrado con Autopsy:
• Sistema: Windows 7 Ultimate Service Pack 1
• Fecha y hora de instalación: 22-03-2015 09:34
• Propietario: informant
3. ¿Cuál es el ajuste horario del equipo?
• Europa/Paris

4. Enumere todas las cuentas de usuario del sistema (excepto las propias del Sistema
Operativo como: Administrator, Guest, etc.)
© Universidad Internacional de La Rioja (UNIR)

Encontrado con Autopsy, a partado OS Acounts:

• admin11
• informant
• temporary
• ItechTeam

Actividades 1
 5. ¿Quién fue el último usuario en iniciar sesión en el equipo?
Comprobado en la carpeta SAM de system32:
• 22-03-2015 14:33 - Informant
6. ¿Cuándo fue la última fecha y hora de apagado del equipo?
• 25-03-2015 10:18

7. ¿Cuál fue la última dirección IP asignada al equipo? ¿Se asignó por DHCP?
• IP: 10.11.11.129 - La IP fue asignada por DHCP

8. ¿Qué aplicaciones instaladas tenía el equipo?

© Universidad Internacional de La Rioja (UNIR)

Actividades 2
 9. ¿Qué navegadores de Internet se utilizaban?
Sacado de Autopsy, FILE VEWS:
• Chrome
• Internet Explorer 11
• Edge
10. ¿A qué sitios web se accedió y en qué hora?
En el campo Web History hemos encontrado 1611 búsquedas de los usuarios. En la
imagen inferior se puede observar varias de esas búsquedas con las respectivas
horas y días.

11. ¿Qué búsquedas se realizaron a través de los buscadores de Internet?

Se han hecho un total de 63 búsquedas en diferentes buscadores de internet como
pueden ser Google y Bing. En la imagen inferior vemos algunas de ellas, para no
añadir esas 63 mencionadas.
© Universidad Internacional de La Rioja (UNIR)

Actividades 3
 12. ¿Qué búsquedas realizó el usuario a través de la barra de búsqueda del
explorador de Windows?

13. ¿Qué aplicación utilizaba para el envío y la recepción de correos electrónicos?

Microsoft OUTLOK 2013

14. ¿Qué cuentas de correo se encontraban configuradas?

© Universidad Internacional de La Rioja (UNIR)

[email protected]

15. ¿Qué dispositivos de almacenamiento externo se conectaron al equipo?

Actividades 4
 16. ¿Cuál es la dirección IP de la unidad de red compartida de la empresa?
IP: 10.11.11.128
17. Enumere todos los archivos que se abrieron en la unidad de red de la empresa.

18. Encuentre en el PC rastros relacionados con los servicios en la nube (nombre del
servicio, archivos de registro...).

19. ¿Qué archivos se eliminaron de Google Drive? (Sugerencia: busca un archivo de

registro de transacciones de Google Drive).
• do_u_wanna_built_a_snow_man.mp3
• happy_holiday.jpgG
• do_u_wanna_built_a_snow_man.mp3

20. Identificar la información de la cuenta utilizada para sincronizar Google Drive.

[email protected]
© Universidad Internacional de La Rioja (UNIR)

21. ¿Qué software se utilizó para grabar el CD?

- DVD Maker
22. ¿Cuándo grabó el sospechoso el CD?
• 24-03-2015

Actividades 5
 23. Identifique todas las marcas de tiempo relacionadas con un archivo de renuncia
(en formato DOCX) en el escritorio de Windows.

• Reasignation_Letter_(IAman_Informant).docx

24. ¿Cómo y cuándo imprimió el sospechoso un archivo de renuncia?

No se encontró ningún documento impreso, ya que tampoco se encontraron
impresoras instaladas.

25. ¿Dónde se encuentran los archivos de la aplicación Sticky Note (notas)?

Identifique las notas almacenadas.
En la primera imagen se puede apreciar la ruta y en la segunda el contenido de la
nota almacenada.

26. ¿Qué acciones se llevaron a cabo para complicar el análisis forense del equipo el
día 25 de marzo de 2015?
• Se instalo ERASER y Ccleaner para el borrado de evidencias
27. Recupere los archivos borrados de los USB. ¿Hay algún archivo de interés?
© Universidad Internacional de La Rioja (UNIR)

Actividades 6
 28. ¿Qué archivos se copiaron del PC a los USB?

29. Recupere los archivos ocultos del CD. ¿Hay algún archivo de interés?
• No se ha encontrado nada interesante.
30. Examine la papelera de reciclaje del PC ¿Hay algún archivo de interés?
En la papelera de reciclaje se ha encontrado un ejecutable que nos llama la
atención:
• $RJEMT64.exe

Entrega de la actividad grupal

Indica en la actividad el nombre de todos los componentes del equipo, y cumplimenta

la siguiente tabla de valoración individual:
• Miguel Angel Cano Bejar
• Fernando Rivero Ballesteros
• Pedro Jose Gonzalez Martin

Sí No A veces
Todos los miembros se han integrado al trabajo del grupo. X

Todos los miembros participan activamente. X

Todos los miembros respetan otras ideas aportadas. X

Todos los miembros participan en la elaboración del informe. X

Me he preocupado por realizar un trabajo cooperativo con mis

© Universidad Internacional de La Rioja (UNIR)

X
compañeros.

Señala si consideras que algún aspecto del trabajo en grupo no ha

X
sido adecuado.

Actividades 7