Son muchos los casos en los que la evidencia digital para procedimientos judiciales laborales son correos electrónicos. Una empresa quiere analizar mensajes eliminados, enviados o recibidos. Con objeto de encontrar alguna prueba de alguna vulneración o fuga de información por parte de algún trabajador. Sin embargo, las dudas hasta dónde podemos llegar sin realizar una posible intrusión a la privacidad del empleado son tantas como casos de este tipo.

En el supuesto de hecho que voy a hablar, la empresa había procedido al despido del trabajador demandante por motivos disciplinarios como consecuencia de un incumplimiento muy grave de su código ético. En este caso había enviado información sensible a la competencia. El incumplimiento, indiciariamente, se detectó a través de un hallazgo casual, que fue [quote]corroborado a través de una investigación interna llevada a cabo por la propia compañía contratando los servicios de un perito informático[/quote], que incluyó la revisión/análisis de determinados correos electrónicos del actor.

La empresa contaba con una política clara de utilización de los medios informáticos, que establecía tanto la prohibición del uso personal de las herramientas informáticas de trabajo como la posibilidad de que la empresa pudiera vigilar el cumplimiento por parte de sus empleados de tal política. Asimismo, todos los trabajadores de la empresa (incluido el empleado despedido), debían firmar junto a su contrato. En dicho acuerdo se podía leer, disculpad que no pueda poner literalmente las palabras, pero básicamente decía: “todos los archivos contenidos y generados en los ordenadores de la empresa son propiedad de la sociedad X S.L”.

Muchas veces, es importante antes de peritar, investigar. Pero es complejo. Es necesario seguir con la cadena de custodía y proporcionar todas las garantias de que después pueda debe ser útil en un procedimiento judicial.

Sin entrar en asuntos legales sobre la gran cantidad de jurisprudencias que existen sobre este asunto y que escapan a mi conocimiento. Nos encontrábamos ante el siguiente dilema. El trabajador había usado un correo electrónico que podría ser utilizado de forma personal. Por ello, antes de proceder a analizar por dentro el email, deberemos investigar para comprobar que no es un correo de carácter personal.

Para ello, quiero enseñaros una herramienta que he desarrollado que se llama Email OSINT Ripper (EO-ripper.py). Utiliza Python 2.7 y es 100% gratis y código abierto. Esta herramienta tiene un uso diverso. Igual nos sirve para hacer una auditoría de leaks, como una investigación de un correo o lista de correos electrónicos.

Sus funcionalidades son:

  • Verificar si el emails existe
  • Verificar si existe cuentas asociadas a ese email en: Netflix, LinkedIn, WordPress, Tumblr, etc
  • Comprobar si el email se encuentra en algún leak a través de la API de hesidohackeado.com (OFF). Actualmente usa IHAVEBEENPWNED
  • Buscar el email en Pastebin
  • Dorks con DuckDuckGo para buscar redes sociales
  • Existen 2 modalidades de uso. Realizar todas las funcionalidades anteriormente mencionadas a un unico objetivo o utilizar una lista de correos electrónicos.

En el siguiente vídeo os muestro cómo utilizar la aplicación e identificar que una cuenta de correo tiene una cuenta de NETFLIX. Indicio de ser utilizado para cuestiones personales. Evidentemente el investigador y perito informático no será responsable de determinar si es una cuenta de email creado para un uso persona, empresarial o ambos. No obstante, si podrá ayudar a demostrar indicios usando en este caso técnicas de OSINT.

[youtube width=»600″ height=»365″ video_id=»0lJ6iD2x72o»]

También podéis ver otro vídeo más antiguo pero donde explico más las diferentes modalidades y posiblidades que nos permite la aplicación: https://www.youtube.com/watch?v=Eo9_mJLBc2c

Para descargar la aplicación podéis hacerla desde el respositorio de Github: https://github.com/Quantika14/email-osint-ripper

Muchas gracias por su tiempo.

Y cualquier duda sobre la aplicación o el tema tratado puede hacernosla llegar a través del formulario de comentarios o de contacto de la web.

Un saludo.

Jorge Coronado perito informático, socio y responsable de hacking ético de APTAN.