Peritación TeamViewer

Cualquier sistema de control remoto nos hace la vida más fácil ya que nos permite conectarnos incluso desde el móvil. Pero usado sin supervisión, puede ser una vía de robo de información para cualquier persona o empresa.

Un caso muy habitual, es la peritación de los sistemas de control remoto, como Team Viewer que permite conectarnos y ver la pantalla o extraer ficheros del ordenador remoto o, hacia un equipo de afuera.

Por tanto, un trabajador o alguien cercano, podría estar mandándose información a su casa, o bien, desde su casa conectarse y copiarse los datos fundamentales de la empresa lo que muchas veces nos dicen los clientes «robo de información«.

En este artículo vamos a ver unos parámetros básicos para saber si esto ha ocurrido y proceder a realizar una peritación informática correcta.

El fichero que vamos a utilizar en este caso está en Windows, en el directorio c:\program files (x86)\teamviewer y iene como nombre TeamViewerXX_Logfile.log (siendo las XX la versión). Aquí debemos buscar una serie de palabras clave para identificar actos concretos:

Primero: El registro en el equipo que ha recibido la conexión:

Ver el nombre del ordenador remoto (el que ha originado la conexión con el que estamos investigando) y el ID: Busca «VoIP: Receiver:» Saldrá que el canal participante «Participant channel» (es el nombre del equipo que ha originado la conexión y su ID). También hay otras opciones como buscar «punch received a=»
Ver el nombre de nuestro equipo que estamos investigando: Buscar «Our participant id is» y nos salndrá el nombre de nuestro equipo y la ID que tenía en ese momento. Esto es útil cuando se ha hecho un cambio de nombre de equipo a propósito ya que quedará el que había en esa fecha.
Ver la IP y puerto de la conexión entrante a Team Viewer: Buscar el texto «punch received a=»
Comprobar si existe movimiento de ficheros, buscar «FileTransferProgress::OnFileAdded: «, pero no nos dará el nombre del fichero. Si nos ha salido este parámetro, ahora tenemos que ver si el fichero ha salido de nuestro ordenador o del remoto. Para esto, buscar «(StreamType_File, private), source=» Esto nos indica que hay tráfico de ficheros y «source» es el ID del ordenador de origen donde está el fichero en un primer lugar. Con esto ya sabemos si se ha podido robar información o enviar información.
Para ver quién se ha intentado conectar aunque no haya iniciado sesión: 2019/10/02 15:36:18.952 2056 6088 S0 AuthenticationBlocker::Allocate: allocate ok for DyngateID 1415853395, attempt number 2. El número después de DyngateID es el equipo que se conecta al que estamos estudiando. Attempt es el número de veces que lo ha intentado sin iniciar sesión.

Como nota aclaratoria, aunque no ponga el nombre de los ficheros que han sido objeto de robo, se puede hacer un timeline del disco duro para ver la fecha de acceso a los mismos que serán los que han sido utilizados en esta comunicación.

Buscando por ese documento se pueden ver estos datos:

Start: 2019/00/00 08:10:58.908 (UTC+1:00)
Version: 14.5.5819
ID: 0
Loglevel: Info (100)
License: 0
Server: master14.teamviewer.com
IC: -1355221301
CPU: Intel64 Family
CPU extensions
OS: Win_10.0.17763_W (64-bit)
IP: 192.168.0.22
MID: 0x049226d3ce97_1d44cc67230d0d5_1280671056
MIDv: 0
Proxy-Settings: Type=1 IP= User=
IE: 11.117.17763.0
AppPath: C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
UserAccount: SYSTEM

Segundo: El registro en el equipo que ha emitido la conexión:

Aquí si que podemos ver el nombre de los ficheros en función del idioma en este tipo de tramas:

Para traer ficheros desde el ordenador remoto a este:

DataTransceiver: TransferProtocol => TransferProtocol::ReceivedChunkCommand: unknown id: 33330502156
Grabar archivo C:\Users\Virtual1\Documents\.\FICHEROENORIGEN.txt
Descarga desde «»D:/TV\.\FICHEROENORIGEN.txt»» a «»C:\Users\Virtual1\Documents\.\FICHEROENORIGEN.txt»» (10 Bytes)

Esto «graba» en local (estamos en la máquina que emite la conexión remota) el fichero del disco duro D: remoto.

Para enviar de este ordenador al equipo remoto:

DataTransceiver: TransferProtocol => TransferProtocol::ReceivedChunkCommand: unknown id: 3433324315
Enviar desde «C:\Users\Virtual1\Documents\desde remoto.txt» a «D:/TV\desde remoto.txt» (10 Bytes)

Esto está grabando nuestro fichero local (estamos emitiendo la conexión) al disco duro D: del equipo al que hemos establecido conexión.

Recuerde que esto de por sí, no tiene validez legal y es necesario crear la cadena de custodia. Cualquier duda, consulte con peritosinformaticos.es.

El fichero Connections_incoming.txt da la información resumida de las conexiones entrantes. El formato es: [ID Equipo remoto que se conecta], [Nombre equipo remoto], [Fecha entrada en formato UTC], [Fecha de salida en formato UTC], usuario (generalmente estándar) y un identificador:

1415333595 LAPTOP-FV5UR0AK 02-10-2019 13:36:18 02-10-2019 14:09:10 usuario RemoteControl {4DA7B84B-CC5E-48D6-B901-635CDAD2DEBB}
1415333595 LAPTOP-FV5UR0AK 02-10-2019 14:24:38 02-10-2019 14:37:23 usuario RemoteControl {FFD4F68C-914C-4BA8-B1AC-0C15FDD59182}
14153353595 LAPTOP-FV5UR0AK 02-10-2019 14:31:29 02-10-2019 14:37:23 usuario RemoteControl {E0EA4EC5-96DC-4255-AA9A-87A3EC48B3F2}

Cookie	Tipo	Duración	Descripción
1P_JAR	De Terceros	1 mes	Google utiliza esta cookie para personalizar los anuncios según los intereses personales.
ANID	De Terceros	1 año	Estas cookies tienen una finalidad publicitaria del servicio Google Adwords. Contienen un valor generado aleatoriamente único que permite a la Plataforma para distinguir navegadores y dispositivos. Esta información es utilizada para medir el rendimiento de los anuncios y proporcionar recomendaciones relativas a productos basadas en datos estadísticos.
CONSENT	De Terceros	Permanente	Guarda el consentimiento de aceptación de cookies de Google.
cookielawinfo-checkbox-necessary	De Terceros	1 año	Utilizada para la aceptación de cookies necesarias.
cookielawinfo-checkbox-non-necessary	De Terceros	1 año	Utilizada para la aceptación de cookies no necesarias.
fr	De Terceros	3 meses	Cookie de pixel de Facebook de conversión, publicidad y remarketing
IDE	De Terceros	1 año	Cookie publicitaria que se utiliza para registrar y reportar las acciones del usuario sobre la visualización e interacción en anuncios con el propósito de mejorar la eficacia de estos y presentar los mismos bajo un segmento determinado.
NID	De Terceros	6 meses	Contiene un ID único que Google utiliza para recordar tus preferencias y otra información, como tu idioma preferido (por ejemplo, el español), el número de resultados de búsqueda que quieres que se muestren por página (por ejemplo, 10 o 20) y si quieres que el filtro SafeSearch de Google esté activado o desactivado.
_fbp	De Terceros	3 meses	Utilizada por Facebook para proporcionar una serie de productos publicitarios como pujas en tiempo real de terceros anunciantes.
_ga	De Terceros	2 años	Google Analytics. Se usa para distinguir a los usuarios
_gat	De Terceros	1 minuto	Google Analytics. Se usa para limitar el porcentaje de solicitudes. Si se ha implementado Google Analytics mediante Google Tag Manager, esta cookie se llamará _dc_gtm_.
_gid	De Terceros	24 horas	Google Analytics. Se usa para distinguir a los usuarios.

Artículos relacionadosMás del autor

¿Qué es un Delito Informático?

Los Principales Problemas de Seguridad Informática

20 Ejemplos de Qué es una Prueba Electrónica

Cookies

Artículos relacionados Más del autor