Esta es la historia de Luis, miembro del Equipo de respuestas Incidentes español esCERT. Como analista forense Luis tiene que investigar las pista dejadas por atacantes de equipos comprometidos, y la principal herramienta para lograr su cometido es Linux.

Un día haciendo pruebas con memdump (permite obtener un volcado de información de la memoria Ram en Linux) en su máquina Gimena, analizando las líneas producidas después del volcado en un editor de texto, por alguna extraña razón se detuvo en un fragmento, que lo llevaría a descubrir algo que quizás hasta ese momento era un secreto para todos.

Lo que encontró Luis fue algo inesperado, algo que en algún momento le hizo pensar que su máquina estaba comprometida, y que el atacante dejó como firma de "yo estuve ahí".

Luis había encontrado dentro de esas interminables líneas de información un dibujo, en formato Ascii parecido a un fantasma, y en lado derecho de este una firma en sentido vertical también en Ascii que decía Simon.

Obviamente la inquietud de nuestro amigo era mayuscula, miles de ideas pasaban por su cabeza, hizo las mismas pruebas en otros computadores con Linux y encontraba exactamente lo mismo!.

Al final descubrió que el fantasma no era nadie más que Tux, y Simon el nombre del responsable de tan inesperado hallazgo.

Luis Gómez Miralles escribió un relato al respecto "Atrapando a Simon", y ahí cuenta con mucho más detalle y de forma más acertada cómo llegó a descifrar, el hallazgo de Tux en la Ram de Linux.