Entradas

El extraño caso de los tickets borrados

El extraño caso de los tickets borrados

Uno de los últimos casos en los que he participado se circunscribía en el ámbito laboral. Por razones obvias omitiré datos concretos para no revelar identidades. Uno de los empleados de un comercio local tenía la mala costumbre de vender productos tickandolos en el ordenador y por tanto en la caja registradora de la empresa, procediendo una vez que el cliente abandona el local a borrar el ticket y quedándose con el dinero.

La empresa se da cuenta cuando varios clientes se presentan a devolver productos que no aparecen como vendidos en el historial del software de venta y sin embargo si tiene ticket. Cuando el encargado revisa el stock descubre que faltan numerosos artículos por valor de cientos de euros. El empleado es despedido por este motivo y lleva a juicio a la empresa alegando no estar de acuerdo con el motivo del mismo y solicitando una indemnización por despido mayor a la que le corresponde.

El abogado de la empresa me requiere para ver de que forma podemos demostrar que esto ha ocurrido ya que no se dispone de cámaras de vigilancia en el local.

Me presento en el local en cuestión y mediante herramientas forenses extraigo dos copias exactas e inalteradas del disco duro del ordenador donde está instalado el software. Una queda precintada obteniendo el código hash del contenido y otra la utilizo para realizar los distintos análisis sobre el dispositivo.

El software que utiliza la empresa está soportado por una base de datos encriptada de forma que a priori no se puede acceder a su información. Mediante un algoritmo de desencriptación se obtiene la base de datos totalmente accesible pudiendo así estudiar uno a uno todos los registros. La base de datos cuenta internamente con una tabla de log donde se registran todas las acciones realizadas en el sistema pudiendo extraer los logs de borrado de tickets con fecha y hora.

Finalmente se extraen todas las evidencias y se redactan en un informe pericial legible y entendible por todas las partes aportando como anexo los ficheros digitales, extracciones y certificando su inalterabilidad.

Tan solo fue necesario cotejar los logs extraídos con el cuadrante de turnos de trabajo para poder asociar dichos borrados con el empleado.

El empleado llegó a un acuerdo con la empresa en la misma puerta del juzgado aceptando el finiquito que la empresa le ofrecía inicialmente.

Problemática certificar correos electrónicos reenviados

Son varias las consultas que me hacen acerca de como certificar correos electrónicos reenviados. Sin embargo no son pocos los que cometen errores que invalidan la prueba y que hacen que no podamos certificar la autenticidad de un correo electrónico.

Es importante destacar que para certificar un correo no nos vale un reenvío del mismo o un corta y pega de su contenido en otro correo. Necesitamos acceso al correo original al que o bien fue enviado o bien fue recibido pero en su versión original. Si un correo es reenviado a otro podemos certificar que un determinado contenido ha sido enviado, que no reenviado, pues cuando reenviamos un contenido por mail podemos editarlo sin problema alguno.

En alguna ocasión ocurre que no podremos volver a tener acceso a la cuenta de correo (en el caso de un trabajo donde estamos usando una cuenta de correo de la empresa y en caso de despido no podremos acceder nunca más a esa cuenta). En estos casos tenemos que guardar el correo que queremos certificar como fichero.

En el caso de querer guardar un correo de gmail podemos hacerlo así:

 

Como mostrar código original de email

Mostrar código original de email

 

 

En el caso de un gestor de correo como outlook o thunderbird:

 

Guardar código original de correo electrónico

Guardar código original de correo electrónico

Y ese fichero es el que tenemos que reenviar ya que contiene toda la información del correo original.

Ver web Perito Informático Judicial