Red Seguridad 090

red seguridad tercer trimestre 2020 77 dispositivos Apple, y que también puedan hacer búsquedas en la nube y en repositorios de contenido. Hoy en día existen soluciones que permiten investigar completamente cualquier endpoint , independien- temente del sistema operativo, la fuente de la nube, la tecnología de cifrado o el tipo de artefacto. En particular, la solución OpenText EnCase Endpoint Investigator posee un agente que puede recopilar datos de equipos fuera de la red local y transmitir la evidencia la próxima vez que el equipo se conecte a la red. El agente se encuentra en el núcleo de la máquina y permanece inactivo hasta que se le solicita una investiga- ción. Si un endpoint se desconecta en mitad de la adquisición, el agente puede finalizar el trabajo de recopi- lación localmente en el espacio libre de la máquina de destino. Es importante destacar que el agente es completamente impercep- tible para el usuario y no ocasiona ningún tipo de disminución en el rendimiento del equipo donde está activo. El proceso de adquisición de evidencia digital que hace el agente es forense, lo cual significa que se garantiza la no modificación de los documentos y de todos los conteni- dos del equipo, a la vez que se man- tiene la integridad de la evidencia en todo momento. El cifrado del disco es una estra- tegia útil para proteger los end- points dentro de la red. Un cifra- do completo del disco disfraza los datos nativos de los dispositivos para que sean inaccesibles para el exterior de la red. Los investigadores deben tener soluciones de adquisi- ción que les garanticen la compa- tibilidad y el acceso completo a los equipos que deben investigar. Los dispositivos más modernos de Apple traen integrado el chip de seguri- dad T2, que genera un cifrado que protege los archivos del Apple File System. OpenText EnCase Endpoint Investigator da la capacidad a los investigadores de acceder por com- pleto a los equipos Apple protegidos con este chip . Por otra parte, teniendo en cuen- ta el gran número de dispositivos móviles dentro de las empresas, parece relevante incluir los datos almacenados en estos equipos en las investigaciones. El complemento de EnCase Mobole Investigator per- mite recopilar y revisar la más amplia variedad de dispositivos móviles para encontrar evidencias en men- sajes de texto, correos electrónicos, registros de llamadas, repositorios en la nube asociados, historial de Internet, fotos, datos de aplicaciones y datos eliminados. La posibilidad de tener integrada en el mismo software la evidencia de ordenadores y móvi- les da al investigador una visibilidad completa del caso, pudiendo esta- blecer conexiones entre los conteni- dos de ambos equipos. Todas las capacidades menciona- das no solo permiten la recopilación integral y el acceso a todos los datos de los endpoints relevantes, sino que también reducen el tiempo de inves- tigación, aceleran el procesamiento de las evidencias, mantiene la dis- creción y ofrecen resultados defendi- bles que cumplen con los requisitos de investigación de los órganos rec- tores. La evidencia se conserva en el formato de archivo EnCase Evidence, estándar de la industria, probado con solidez forense y aceptada en tribunales de todo el mundo. forense monográfico Es sensato pensar que, sin una solución digital que permita acceder a la evidencia de manera remota, la resolución oportuna de los casos se vería afectada