Trabajo de espia

Alejandro Fuentes alfuente en gmail.com
Sab Mayo 7 23:53:22 CLT 2005 

Hola:

On 5/6/05, raulperexz <raul.perez en epasa.com> wrote:
> Hola
> 
> El interes del empleador no es espiar y perdonen por el subject, "creo que
> me emocione" ellos desean  saber quien es el que le esta enviando correos
> anonimos.
Eso es un problema.

> Y saber si hay algun tipo de fuga de informacion confidencial de la empresa
> a la competencia.
Y  esto es otra cosa distinta.

Respecto al primero: Mi experiencia es que normalmente lo más
importante es poner "paños frios" a la situación. Esta especie de
"chantaje" por correo es un problema viejo con una cara nueva.
Normalmente la gente alta gerencia tiende a entrar en crisis por cosas
de este estilo (recomiendo leer a dilbert para entender las causas
profundas). Los chantajes normalmente tiene que ver con dos cosas: 1)
secretos, información comercial o ropa sucia. Eso se puede hacer de
muchas otras formas, así que echarle la culpa al "sistema" a los
computines a cargo es bastante estúpido. Y menos pedirles que
resuelvan el problema. Es como agarrarla con correos de chile porque
te llegaron chantajes por correo. Please, don't shoot the messenger. 
2) Programas con el sistema: siempre se amenaza con cosas como "tengo
control sobre sus sistemas" y bobadas como esas. No es de más revisar
como anda la cosa y darle una vuelta (pequeña eso si)  a si
efectivamente es factible. Aunque normalmente son puras patrañas

Respecto a lo segundo, en general, cualquier cosa que se haga es
"tapar el sol con un dedo". El problema en realidad es que las
empresas tienen cero control sobre su información sensible y no toman
ninguna medida para resguardarla. Aquí lo único nuevo que aporta la
tecnología es formas rápidas y eficientes de transferir información.
Pero también es un viejo problema. El problema es que para resolverlo
realmente la tarea es más o menos grande y parte por enseñarles a los
gerentes a que deben manejar con cuidado sus archivos, documentos,
notebooks, etc. Lo cual es una tarea TITANICA!!!.

> 
> Los dueños tienen sus abogados y son responsables de sus acciones, yo solo
> trato de darles alternativas y espero no tener que implementar este tipo de
> cosas, pero creo que ellos estan en el derecho de proteger sus inversiones.

Ojo, que además en general cualquier busqueda o procedimiento para
recopilar información que tu hagas es muy poco lo que puede obtener.
Aparte de echar al personaje en cuestión, todo lo que puedas recopilar
es prácticamente nada para efectos legales. Sólo los procedimientos
realizados por un perito tienen algún valor en tribunales. El resto
son sólo declaraciones, o sea, tu palabra contra la del empleado.
Además se corre el riesgo de una contrademanda por temas de privacidad.

> 
> Lo que me piden a mi es si se puede averiguar de donde vienen los correos
> anominos y que examine o monitoree si archivos de la empresa ya sean de word
> o excel se envien a correos fuera de la empresa ya sea por sistemas de
> webmail o smtp
Existen un par de herramientas que hacen eso. Son carísimas eso si,
pero bastante efectivas. Te recomiendo ver Vidius.
El principal problema es que además siempre existen mecanismos que no
son en la práctica "auditables". Un webmail con encriptación SSL es
algo que en la actualidad no es posible monitorear, a pesar de que no
es una solución técnica tan elaborada.

Saludos

      AFD


PD: Me quedó la duda si lo que quieres hacer, lo quieres hacer en
Chile o en otro país. De todas formas, los consejos en general
seguirían siendo válidos para fuera de chile, pero lo específico de la
legislación o de los procedimientos policiales habría que revisarlos.

Más información sobre la lista de distribución Linux