INVESTIGACIONES CORPORATIVAS Y RECUPERACIÓN DE EVIDENCIAS DIGITALES POST PANDEMIA

  • El análisis forense digital es una rama de la ciencia forense que se ocupa de la preservación, identificación y análisis de evidencia de dispositivos digitales como computadoras, dispositivos móviles, red e infraestructura en la nube.

Artículo por Makoma Toona

Makoma Toona Control RisksLa consultora de riesgos globales Control Risks señala que tradicionalmente, la adquisición y conservación de pruebas forenses se basaba en la presencia física de expertos en el lugar para garantizar que la escena esté protegida y que las fuentes de pruebas relevantes se recopilen y adquieran para su análisis. Sin embargo, en la última década, los métodos de recolección remota de evidencia se han vuelto más frecuentes y eran una práctica común entre algunos expertos incluso antes de la pandemia de COVID-19. El aumento de la pandemia y las consiguientes restricciones de viaje han obligado a la mayoría de los expertos en análisis forense digital a adaptarse, acelerando rigurosamente el uso del análisis forense remoto para adquirir y preservar pruebas.

Según un informe de INTERPOL (2020), COVID-19 provocó cambios significativos en la orientación de los delitos cibernéticos, desde individuos y pequeñas empresas hasta grandes corporaciones, gobiernos e infraestructura crítica. A medida que las organizaciones implementaban rápidamente redes y sistemas remotos para apoyar al personal que trabajaba desde casa, los delincuentes explotaron las vulnerabilidades de seguridad cada vez mayores para robar datos, generar ganancias y causar interrupciones.

Retos y ventajas de la recogida de pruebas a distancia

La seguridad personal y el deseo de limitar la propagación de la COVID-19 fue, sin duda, el factor más importante que motivó a los profesionales forenses a idear métodos para las colecciones remotas. Las ventajas posteriores incluyeron ahorros en costos de vuelos, alojamiento y otros gastos de viaje, aunque también surgieron desafíos debido a problemas técnicos, complicaciones entre jurisdicciones y la disponibilidad de recursos para ayudar a realizar una adquisición exitosa.

Según Control Risks es imperativo que todas las partes involucradas en una investigación se preparen en consecuencia y tengan un mandato claro y una comprensión de su papel en el proceso. Algunos inconvenientes comunes incluyen:

  • Retrasos: los retrasos deben tenerse en cuenta en la planificación de la investigación. Las autoridades aduaneras de algunas jurisdicciones pueden retener los discos duros indefinidamente en espera de la documentación requerida, como la dirección de destino y los detalles del destinatario, la descripción del contenido y el valor monetario de los artículos.
  • Problema de conectividad: considere la ubicación física de las fuentes de evidencia y la intensidad de la señal de conectividad cuando sea posible, ya que son esenciales para la recopilación remota.
  • Cifrado y falta de contraseñas: los métodos de adquisición remota se pueden realizar tanto en estado fuera de línea como en línea. El cifrado de la biografía del sistema y la falta de credenciales pueden plantear restricciones en algunos casos.

Durante las recopilaciones remotas, las fuentes de evidencia no son manipuladas físicamente por el practicante y, por lo tanto, los modos tradicionales de asegurar la escena son imposibles durante las recopilaciones remotas. Los expertos forenses digitales deben depender en gran medida de que el custodio ayude con el proceso para tomar fotografías adecuadas de los dispositivos, ayudar a verificar la configuración del sistema y otros pasos previos a la adquisición.

digitization g25013ca77 1920Técnicas de conservación de diversas fuentes.

El análisis forense digital ha evolucionado desde los días en que las computadoras personales eran la principal fuente de evidencia. En la actualidad, Control Risks señala que hay una multitud de fuentes a considerar, como los dispositivos móviles, así como la nube y la infraestructura de red. Las fuentes de evidencia a menudo incluyen:

  • Computadoras: Priorizar la consideración del uso de cifrado y el tipo de cifrado. Es importante que el conjunto de herramientas contenga un software de acceso remoto que permita a un espectador/expertos forenses acceder y navegar fácilmente por la fuente de evidencia. Si no se puede establecer el acceso remoto, el profesional debe realizar un recorrido por el proceso con el custodio por teléfono.
  • Dispositivos móviles: La necesidad de herramientas forenses dedicadas para recolectar evidencia de dispositivos móviles llevó a Control Risks a desarrollar una máquina virtual (VM) cargada con software de adquisición forense móvil relevante, que se envía a la entidad involucrada mediante una plataforma segura de intercambio de datos o físicamente a través de mensajería. Una vez recibido, se otorga al profesional acceso remoto para realizar la adquisición o, de manera similar, un canal de comunicación para completar el proceso de adquisición.
  • Nube: En respuesta a la pandemia, Control Risks ha ampliado sus soluciones forenses remotas. Por ejemplo, Relativity Collect (una aplicación de adquisición remota) se usó para adquirir información electrónica como correos electrónicos, calendarios, contactos y archivos de One Drive de Microsoft 365 ("M365"), y para procesar directamente esa información en la plataforma Relativity eDiscovery. Aprovechar las herramientas de extracción en la nube fue importante durante la pandemia para garantizar resultados eficientes en los casos en que los profesionales forenses tenían limitaciones. Los casos de compromiso de correo electrónico empresarial presentaron muchas fuentes de evidencia y recopilaciones de plataformas en la nube, como los registros de auditoría de M365.
  • Infraestructura de red: Según un artículo del instituto INFOSEC (2021), según el tipo de ciberataque que se investiga, una red compleja puede tener varios lugares desde los que se pueden recopilar pruebas. La colaboración con los equipos de TI de la organización es imprescindible para determinar el alcance y mapear el panorama de datos para la recopilación relevante.