Les presentamos la solución al desafío número 19 de ESET Latinoamérica. En esta ocasión, el reto consistía en descubrir si se filtró algún documento de la computadora del tesorero Miguel, e informar qué documento fue sustraído. Para esto, se contaba con un volcado de memoria de la computadora de Miguel, el cual fue realizado durante la ausencia de este en su trabajo. El departamento de seguridad Informática, nos ha pedido que los ayudemos a resolver este problema y descubrir que fue lo que pasó.

Comenzamos el desafío descomprimiendo el archivo con su respectiva contraseña. Dentro de este, se encuentra el volcado de memoria de la maquina con un tamaño de 136 MB. Para realizar el análisis del archivo de la memoria del sistema de Miguel, vamos a utilizar el programa llamado FTK Imager. Este programa está orientado al análisis forense y cuenta una interfaz gráfica, para el manejo de evidencia. Para abrir el contenido de la memoria, nos dirigimos a select Source y seleccionamos el archivo de evidencia:

Una vez abierto el archivo, podemos ver los procesos o rastros de la memoria durante el volcado. Si navegamos por la barra y buscamos minuciosamente, podemos encontrarnos con las siguientes líneas:

Podemos ver, que se trata de un correo con su respectiva contraseña:

Si ingresamos a este correo electrónico, es posible encontrarse en la carpeta de borradores un correo con el titulo "Fotos":

Dentro del correo, se encuentra adjunto una una planilla de Excel ,con datos de remuneraciones de sueldos de empleados:

En esta oportunidad, la persona que respondió más rápido y de forma correcta al desafío fue Carlos Fernandez, con el cual nos estaremos contactando por correo electrónico para que obtenga su premio, que es la licencia de nuestro prestigioso antivirus, ESET NOD32 Antivirus.

En breve estaremos publicando más desafíos, así que estén atentos que habrá más oportunidades. Gracias a todos por participar y… ¡felicitaciones al ganador!

Claudio Cortés Cid
Especialista de Awareness & Research