Las investigaciones digitales modernas son cada vez más difíciles, requieren de mucho tiempo y son complejas de realizar. A menudo involucran muchos sistemas y dispositivos ubicados en diferentes zonas geográficas e incluso puede ocurrir que en una investigación interna sea necesario involucrar a las Fuerzas y Cuerpos de Seguridad del Estado o agencias reguladoras nacionales o internacionales.
Hay tres tendencias en particular que crean una tormenta perfecta para los investigadores de hoy:
- Proliferación de endpoints: la cantidad y los tipos de dispositivos que las organizaciones deben administrar y asegurar siguen aumentando. Esto significa que las empresas no solo deben tener en cuenta ordenadores y portátiles tradicionales, sino también dispositivos móviles, wearables y sensores inteligentes de IoT conectados a la red. Por ejemplo, una empresa con 100.000 empleados podría tener fácilmente 250.000 terminales para administrar y proteger. Y cualquiera de esos endpoint podría contener evidencia digital vital.
- Dispositivos de trabajo remoto y fuera de la red: La tendencia hacia un mayor trabajo remoto se ha visto acelerada por la pandemia de COVID-19. Para muchas organizaciones, esto será un cambio permanente a una fuerza laboral híbrida donde los empleados usarán sus ordenadores y dispositivos móviles en el hogar, espacios de trabajo conjunto, oficinas locales y oficinas corporativas. Como resultado, más dispositivos estarán fuera de la red, lo que dificultará el acceso físico de los investigadores para recuperar y preservar la evidencia.
- Riesgos regulatorios y legales: los investigadores deben cubrir diferentes tipos de investigaciones internas de las empresas, bien sean de fraude, robo de propiedad intelectual, conductas inadecuadas de los trabajadores, respuesta a incidentes, etc. A su vez, las agencias gubernamentales y los reguladores están agregando cada vez más protecciones y normas que involucran capacidades de investigación digital. GDPR, PCI-DSS y Sarbanes-Oxley (entre otros) incluyen requisitos que requieren la recopilación y análisis de datos digitales para cumplir las normativas.
Si los investigadores no pueden acceder a un dispositivo, u obtienen resultados incorrectos debido a la falta de información recuperada, se estará corriendo el riesgo de producir hallazgos que no sea defendibles ante los reguladores, las fuerzas de seguridad y los tribunales.
Cómo abordar estos obstáculos
Para cumplir con los estrictos requisitos de las investigaciones modernas, la visibilidad y el acceso completo a los equipos de la empresa es una necesidad, sin importar la ubicación del dispositivo o el tipo de archivo.
Las investigaciones sensibles deben llevarse a cabo sin que la persona objetivo de la adquisición tenga conocimiento previo, para evitar cualquier posible alteración de las pruebas. Por lo tanto, es sensato pensar que sin una solución digital que permita acceder a la evidencia de forma remota, la resolución oportuna de los casos se vería afectada. Además, es necesario que los investigadores manejen nuevas tecnologías de encriptación, como T2 en dispositivos Apple, y que también puedan hacer búsquedas en la nube y en repositorios de contenido.
Es sensato pensar que, sin una solución digital que permita acceder a la evidencia de manera remota, la resolución oportuna de los casos se vería afectada
Hoy en día existen soluciones que permiten investigar completamente cualquier endpoint, independientemente del sistema operativo, la fuente de la nube, la tecnología de cifrado o el tipo de artefacto.
En particular, la solución OpenText EnCase Endpoint Investigator posee un agente que puede recopilar datos de equipos fuera de la red local y transmitir la evidencia la próxima vez que el equipo se conecte a la red. El agente se encuentra en el núcleo de la máquina y permanece inactivo hasta que se le solicita una investigación. Si un endpoint se desconecta en mitad de la adquisición, el agente puede finalizar el trabajo de recopilación localmente en el espacio libre de la máquina de destino.
Es importante destacar que el agente es completamente imperceptible para el usuario y no ocasiona ningún tipo de disminución en el rendimiento del equipo donde está activo. El proceso de adquisición de evidencia digital que hace el agente es forense, lo cual significa que se garantiza la no modificación de los documentos y de todos los contenidos del equipo, a la vez que se mantiene la integridad de la evidencia en todo momento.
El cifrado del disco es una estrategia útil para proteger los endpoints dentro de la red. Un cifrado completo del disco disfraza los datos nativos de los dispositivos para que sean inaccesibles para el exterior de la red. Los investigadores deben tener soluciones de adquisición que les garanticen la compatibilidad y el acceso completo a los equipos que deben investigar. Los dispositivos más modernos de Apple traen integrado el chip de seguridad T2, que genera un cifrado que protege los archivos del Apple File System (APFS). OpenText EnCase Endpoint Investigator da la capacidad a los investigadores de acceder por completo a los equipos Apple protegidos con este chip.
Por otra parte, teniendo en cuenta el gran número de dispositivos móviles dentro de las empresas, parece relevante incluir los datos almacenados en estos equipos en las investigaciones. El complemento de EnCase Mobole Investigator permite recopilar y revisar la más amplia variedad de dispositivos móviles para encontrar evidencias en mensajes de texto, correos electrónicos, registros de llamadas, repositorios en la nube asociados, historial de Internet, fotos, datos de aplicaciones y datos eliminados. La posibilidad de tener integrada en el mismo software la evidencia de ordenadores y móviles da al investigador una visibilidad completa del caso, pudiendo establecer conexiones entre los contenidos de ambos equipos.
Todas las capacidades mencionadas, no solo permiten la recopilación integral y el acceso a todos los datos de los endpoints relevantes, sino que también reducen el tiempo de investigación, aceleran el procesamiento de las evidencias, mantiene la discreción y ofrecen resultados defendibles que cumplen con los requisitos de investigación de los órganos rectores. La evidencia se conserva en el formato de archivo EnCase Evidence, estándar de la industria, probado con solidez forense y aceptada en tribunales de todo el mundo.