Please enable JavaScript.
Coggle requires JavaScript to display documents.
Hurto por medios informáticos en aseguradora - Coggle Diagram
Hurto por medios informáticos en aseguradora
Recolectar
Copia forense de dispositivos móviles: realizada previamente por el colega investigador en los dos teléfonos encontrados en el lugar del hecho
Preservación de cadena de custodia: fase vital para que la evidencia digital obtenida tenga valor legal en juicio
Identificación de dispositivos comprometidos: incluyendo los teléfonos, servidores de la empresa, sistema de inventarios en la nube.
Detección de punto de ingreso (vulnerabilidad humana): empleado permitió acceso no autorizado a través del sistema en la nube.
Recopilación de logs del sistema Android: para rastrear actividad delictiva en los dispositivos incautados
Examinar
Análisis de imagen forense Android: que permitirá trabajar sin desbloquear físicamente los teléfonos.
Extracción de información de aplicaciones: donde se buscan rastros de apps usadas para transferir datos robados (FTP, VPN, etc.).
Revisión de almacenamiento interno y externo: en donde pueden encontrarse archivos robados o conversaciones con cómplices.
Historial de redes Wi-Fi y ubicación: que ayudará a determinar la ubicación de los atacantes y si se conectaron a redes de la empresa.
Revisión de archivos del sistema: que intentará recuperar patrón de desbloqueo o indicios de uso reciente.
Analizar
Vinculación de los teléfonos con el empleado sospechoso: a través de números, contactos, correos, mensajes, redes sociales.
Correlación temporal con ventana de mantenimiento: que permite validar si el ataque coincide con el momento en que los servidores estuvieron vulnerables.
Identificación de rutas de extracción de datos: que busca comprobar cómo fue extraída la información (cloud, túneles, apps específicas).
Geolocalización y rastreo de otros involucrados: con ayuda de GPS, logs de ubicación y mensajes, se podría llegar a más miembros de la banda.
Reportar
Informe forense con evidencia digital: el cual incluirá toda la evidencia útil para presentar ante autoridades o juicio.
Cronología del ataque: que permitirá mostrar la secuencia de eventos, desde el acceso inicial hasta la fuga de datos.
Conclusiones y recomendaciones: que pueden incluir mejoras en seguridad de nube, control de acceso, y concientización de empleados.
Presentación del caso a entes legales o directivos: que incluirá respaldo técnico y claro del hurto informático y su ejecución.
Ubicaciones importantes en Android
/data/data/ → Almacena datos internos de apps, posible evidencia de apps usadas para el delito.
/data/system/ → Contiene información del patrón de desbloqueo y configuración del teléfono.
/sdcard/ → Multimedia, archivos descargados o movidos desde la nube.
/mnt/ → Montajes externos (memorias microSD, otros discos).
/data/misc/wifi/ → Redes a las que se conectó el dispositivo (por ejemplo, red de la aseguradora).
Bases de datos SQLite → Mensajería, historiales de uso.
Archivos XML → Preferencias de apps que pueden indicar accesos o configuraciones sospechosas.