Una pequeña historia sobre malos profesionales y privacidad

Hace ya bastantes años se rompió el disco duro de un amigo, por exceder las horas de uso, así que le acompañe a comprar un nuevo disco duro a una tienda de informática, cerca de su casa. Una tienda de absoluta confianza (según él).

Cuando llegamos a su casa para ayudarle a instalarlo nos dimos cuenta que el precinto del disco estaba abierto (como si se hubiera usado) así que después de maldecir a los de la tienda en todos los idiomas conocidos, en vez de devolverlo, la curiosidad nos lanzo a pasar un testdisk para ver si tenia datos y … ¡premio! allí estaban 4TB de películas, documentos, correos, backups, etc..

Como ya estábamos metidos en “harina” lanzamos unas búsquedas con algunos dorks y localizamos al dueño del disco duro. Era una empresa de contabilidad (lo que cuadraba con los hojas de calculo que habíamos encontrado en el disco), en resumen teníamos los datos de una empresa de contabilidad, dirección teléfono, correos, un material demasiado sensible para caer en malos manos.

Nos imaginamos lo que había pasado, la empresa de contabilidad había tenido problemas en el equipo, los de la tienda de informática le había reinstalado el sistema pero en el proceso les habían colado la venta de un disco duro nuevo (aunque no le pasaba nada al suyo) se habían quedado el otro disco, lo habían formateado y lo vendían como nuevo (sinvergüenzas los hay en todas partes).

Estaba claro que la empresa de informática merecía un escarmiento por tratar de una forma tan poco profesional y ética la privacidad de sus clientes, así que nos pusimos manos a la obra:

  1. Preparamos un mail spoofing con el siguiente contenido:

    MAIL FROM: delitostelematicos@guardiacivil.org
    RCPT TO: empresa@informatica.com
    DATA
    ATT empresainformatica nos podemos en contacto con usted para hacerle saber que se nos ha presentado una denuncia vía telemática, por una supuesta violación de la Ley Orgánica de Protección de Datos(LOPD)con referencia a una intervención realizada por ustedes a la empresa contabilidad XXX, le informamos que tienen ustedes que presentarse el día D a la Hora H en  oficina XXX para hacernos constar sus alegaciones a la misma.
  2. Preparamos otro mail, desde una cuenta desechable para la empresa de contabilidad, haciéndonos pasar por otra empresa del sector: Buenos días Hemos recibido una nuevo disco duro de nuestro proveedor, comprado en la tienda de informática XXX, al iniciar la instalación en nuestros equipos nos hemos dado cuenta que contiene datos personales,que le pertenecen a ustedes, por lo que imaginamos que se debe haber dado un caso de mala praxis, por los empleados de la tienda, les remitimos el disco duro, con un mensajero de nuestra confianza junto con la denuncia telemática que hemos cursado a la Guardia civil sobre este echo contra la tienda de informática XXX, les invitamos a que acudan dicho día para unirse a la misma como afectados. Un saludo

  3. Así que tan solo nos quedaba preparar un correo de denuncia telemática tipo, llevarle el disco a la empresa de contabilidad XXX y tal vez pasarnos por allí el día D a la hora H y coger unas palomitas ;)

Esta pequeña historia nos cuenta lo importante que es ser cuidadosos con nuestros datos (sobretodo si de ellos depende nuestro negocio) y de asesorarse de buenos profesionales en materia de informática.

4 Comments

  1. Muy buena publicación. Creo que en el diccionario de estas personas, no estaba la palabra “profesional”.

    Algo por lo que he pasado, aunque no está relacionado con el borrado de información sensible, es que en ciertos países de América del sur, Ecuador por ejemplo, se comercializan ordenadores con GNU/Linux, en concreto Ubuntu. Pero oh, sorpresa, cuando vas a preguntar qué versión de Ubuntu traen, te dicen los “expertos informáticos” que ellos lo han borrado y han puesto Window$ X porque a “Linux” nadie lo conoce y no lo saben utilizar. ¿Cómo van a conocer a GNU/Linux si no dejan que la gente lo pruebe? Y lo peor, es que te dejan la pegatina de Ubuntu en el portátil, a mí como seguidor del software libre me causa emoción ver ordenadores sin Window$, pero luego la decepción es mayor…

  2. pues en mi rancho compre dos wd black 2tb “nuevos” y los dos crujian y al revisar el smart decia que estaban jodidamente usados, tras varias vueltas tomaron el efectivo a cuenta de otra cosa… no les hice nungun chequeo por falta de creatividad.

  3. Simplemente quiero felicitarlos ampliamente por la honradez y por difundir el caso. Es un gusto oir de gente honesta, seria y profesional que actúa correctamente.

  4. Saludos, compas.

    Está bien que les pongáis las pilas a esos listos, pero ojo:

    De la usurpación de funciones públicas y del intrusismo

    Artículo 402

    El que ilegítimamente ejerciere actos propios de una autoridad o
    funcionario público atribuyéndose carácter oficial, será castigado con
    la pena de prisión de uno a tres años.

    http://noticias.juridicas.com/base_datos/Penal/lo10-1995.l2t18.html

    No molaría nada que por una chorrada así acabáráis teniendo problemas.

    Salud.

Leave a Reply

Your email address will not be published. Required fields are marked *

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax