#1 En un caso como éste una de las primeras hipótesis que hay que manejar es que sea un sabotaje interno, posiblemente alguien despedido hace poco y con acceso y conocimiento para hacer esto, seguramente estos criterios delimitan mucho los posibles candidatos y se puede empezar a tirar del hilo. Por otro lado a menos que la organización sea muy pequeña normalmente los administradores no tienen acceso a todos los sistemas así que quizá no era tan sencillo para él borrar todo el rastro que dejara (por ejemplo, quizá tenía acceso al hosting pero no a los logs de la vpn, y si dejó una bomba lógica es aún mas difícil estar seguro de no haber dejado rastro). Eso si, cualquier organización al despedir a un administrador, sea de buenas o de malas, tendría que revocar su acceso inmediatamente y pegar un repaso a todos los usuarios con acceso remoto por si hubiera dejado alguna puerta trasera.