Foro de elhacker.net

Buenos días a todos. Tengo un disco duro externo en el trabajo y creo que alguien ha entrado en él sin mi permiso. El caso es que mi pc tiene contraseña por lo que solo quedaría la opción de que alguien con un portátil haya entrado en el disco duro externo. Como dato, he visto archivos con "fecha de último acceso" que no corresponden con días que he entrado yo. Me gustaría saber si hay alguna manera de saber qué equipo ha entrado en él, o algún dato que me confirme que sí, que otro equipo ha sido enchufado en el disco duro externo. Muchas gracias de antemano y ojalá podáis darme una respuesta. Muchas gracias.

Hola, porque decís que han entrado en ese disco duro externo? que es lo que te hace pensar/suponer eso?, que has visto o descubierto para creer que hubo un acceso no autorizado?.

Por otro lado en cuanto a "fecha de último acceso" no necesariamente haya podido ser una persona, puede ser algún software también que tuvo acceso a esos archivos.


Saludos

Vamos a ver. Si el disco duro es externo, da igual si tu PC tiene o no contraseña. Puesto que lo único que hace falta para tener acceso a ese disco duro es enchufarlo en un PC, y solamente si el disco duro tiene como tal una contraseña - no tu PC sino el disco duro- saberla. Aparte, también sin saber la contraseña (del disco, no de tu PC) habría formas de entrar/examinar el disco. Por ejemplo, si es un disco bajo SO Windows se puede examinar bien con un Linux (si no está cifrado; si lo está entonces tampoco deberías de temer mucho). A partir de aquí ¿podrías saber quién enchufó tu disco duro externo a otro ordenador distinto del tuyo y(normal en el que lo enchufas diariamente) y te tomó datos (o simplemente anduvo por allí y vió lo que había)? En mi opinión... dificílmente. Y mucho menos si el tipo es listo, lo que visto que parece quién te haya hecho la faena, parece ser así. Tendría que haber dejado grabado algo en ese disco duro externo, y no solamente éso, tendría que ser algo... reconocible del equipo donde lo enchufó.
Como digo, si el tipo es listo no habrá dejado grabado nada. Y aunque haya quedado algo, por ejemplo la fecha y hora de cuando se entró por última vez; para que puedas sacar algo de ahí lo vas a tener difícil si no puedes examinar TODOS los ordenadores a los cuáles pudiera haberse enchufado el disco duro externo. Si es tu empresa y eres el jefe y puedes obligar a todo el mundo a que pongan sus ordenadores a tu disposición, y además eres un figura de la informática.... pseee... quizá. Y aún así sería difícil y sería con suerte, además. Si, como imagino es el caso, no hay esas prerrogativas... olvídate de tema. Te la han metido pero bien...  :silbar:

Tenemos problemas en la empresa, hay gente que quiere hacer huelga y gente que no y en ese disco duro tenemos muchas cosas que a los no huelguistas les interesaria saber. Error mío dejarlo allí.

Pues vaya tela entonces, ya me imaginaba que sería imposible, pero bueno había que intentarlo. No, ni es mi empresa ni soy jefe así que lo tengo crudo. Gracias de todas maneras.

Pues que bien, dejas  disco externo al alcance de cualquiera con info delicada sin cifrar y sin contraseña........solo tienes un apelativo: inutil!!!!!!!

Imposible no es...

En el "registro de windows" queda patente cada dispositivo conectado... luego basta verificar cuál corresponde a tu unidad y buscar en todos los equios de la empresa en cuál de ellos aparece también (dudo mucho que hayan borrado dicho rastro).

Ahora bien, la dificultad estriba en si tienes o no acceso al resto de equipos de la empresa y lógicamente con las restricciones:
- Suponiendo que alguien no se haya traído de casa (por ejemplo) su propio portátil.
- Suponiendo que no lo has dejado varios días, tal que alguien haya podidio tomarlo, llevarlo a su casa y examinarlo así cómodamente y luego volverlo a llevar y conectarlo de nuevo en tu equipo)...
- Suponiendo que no se usen equipo con otros S.O. o directamente tirando de Live CD.

En los dos primeros casos, porque no tendrías acceso a los equipos, y el el último, porque no se escribirá nada en el 'registro de windows'.

Al menos has 'aprendido' una lección... se espera.

Pues me queda muy claro, y sí, lección aprendida. Muchas gracias🙋🏼‍♂️

Como bien te dice Serapis, el registro de Windows guarda un historial con todos los dispositivos USB conectados y tienes herramientas gratuitas y fáciles de utilizar para poderlo visualizar.

Historial dispositivos USB utilizados

Cómo saber qué dispositivos USB se han conectado en tu ordenador

USBDeview es una pequeña utilidad (de pequeño tamaño y portable ) que enumera todos los dispositivos USB que actualmente están conectados a su computadora, así como todos los dispositivos USB que se han utilizado anteriormente.

(https://2.bp.blogspot.com/-G1kdWF35848/Wvm3OPdokoI/AAAAAAABSnI/vRsfigJLWJELFhCHwezEjw0PjMl5SLS-wCLcBGAs/s1600/usbdeview.gif)

Para cada dispositivo USB, se muestra información extendida: nombre / descripción del dispositivo, tipo de dispositivo, número de serie (para dispositivos de almacenamiento masivo), la fecha / hora en que se agregó el dispositivo, VendorID, ProductID, y más ...

USBDeview también le permite desinstalar dispositivos USB que utilizó anteriormente, desconectar dispositivos USB que están actualmente conectados a su computadora, así como también deshabilitar y habilitar dispositivos USB.

También puede usar USBDeview en una computadora remota, siempre y cuando inicie sesión en esa computadora con el usuario administrador.

Device Cleanup Tool es una utilidad muy similar (USB History Log), así como USBOblivion

https://www.nirsoft.net/utils/usbdeview-x64.zip


El Registro de Windows (regedit) guarda toda la información de los dispositivos USB que han sido conectados al equipo, ya sea dispositivos auxiliares como impresoras, lectores de disco, o dispositivos de almacenamiento como memorias flash, tarjetas de memoria, discos duros externos etc. Toda la información se encuentra registrada en la clave de registro:


Esta clave contiene varias subclaves, una por cada dispositivo de almacenamiento USB que ha sido conectado y desconectado del equipo,  cada una contiene toda la información relativa a dicho dispositivo.

Para saber más información con respecto a USB conectados, existe el archivo “setupapi.dev.log”. En este archivo  se guarda información de todos los dispositivos USB instalados en el equipo. Es un archivo de texto que puede abrirse y leerse con el Bloc de notas. Cada proceso instalado  comienza con una línea con el siguiente formato: “[Device Install…” Si hacemos una búsqueda por  marca o número de serie del dispositivo que estamos buscando, podremos obtener la fecha y hora exactas en la que fue instalado. 

El archivo “setupapi.dev.log” se encuentra en la ruta: C:\Windows\inf\setupapi.dev.log

Los datos que podemos obtener a través del archivo setupapi.log  incluyen fecha y hora de conexión, marcas, modelos etc.

Creo que lo has entendido mal, el-brujo. No se trata de saber que posibles dispositivos se han conectado a un ordenador (el de el forero que pregunta). Sino que se trata de que, dado un dispositvo externo (el supuesto disco duro), que se conecta entre otros, a un determinado ordenador -el del forero que pregunta-, pero que, según nos dice, ha podido ser conectado a otros ordenadores,... de los cuáles ni siquiera sabemos sus respectivos SOs... (nada nos dice que ni siquiera hayan tenido que ser Windows), pues...
Creo que la respuesta que yo le dí, complementada con la que le dió Serapis... es la mejor y la que se adapta a lo que pedía. Sin desmerecer la tuya, por supuesto.

Si, he entendido la pregunta, pero es que justamente al revés creo que no se puede, por eso comento la otra opción.

No podemos saber si el disco duro ha sido conectado a un portátil, ya que no se guarda registro en ningún sitio del disco duro. Por eso comento el programa de la opción que dice Serapis, que si es posible hacerlo.

Si conectaron el disco pudro externo a un portátil creo que ni mirando "último acceso" de las carpetas o archivos podremos saberlo.