El presente artículo se encuentra dividida en 3 temas; las principales áreas de aplicación, donde se abordaran algunos casos  que se han atendido en por el área Forense Digital de Mnemo; La metodología Forense Digital, donde se abordarán las fases de la metodología forense digital, como la adopta este proceso Mnemo y se establecerán las principales diferencias en las actividades que se llevan a cabo dependiendo del tipo de incidente; finalmente se establecerán algunas recomendaciones para que en caso de que deseen implementarse las actividades de Forense Digital dentro de las organizaciones, puedan ser tomadas en cuenta para tener mejores resultados y finalmente comentar los beneficios que provee el hacerse de los servicios del forense digital.

Principales áreas de aplicación

Como se mencionó dentro del proceso Forense Digital pueden tener distintas actividades dependiendo del rubro en que se esté actuando, con fines del presente documento se han dividido en 3 ámbitos que son: respuesta a incidentes, ciberinvestigaciones y la atención a requerimientos por parte de la autoridad.

Es importante destacar que esta división se ha hecho con fines demostrativos para enmarcar una diferencia de las posibles áreas de actuación en las que el Forense Digital puede involucrarse para solucionar posibles eventos de seguridad, a continuación se muestran algunos de los casos que se pueden encontrar según la distribución establecida

  • Respuesta a incidentes
    • Intrusión
    • hackeo
    • Robo
    • Fraudes bancarios
  • Ciberinvestigación
    • Perdida de información
    • Fuga de información
    • Mal uso de equipos
    • Envío de correos electrónicos no autorizados
    • Extorsión por robo de información sensible
  • Atención requerimiento de una autoridad
    • Laboral
      • Correos electrónicos
      • Registros de asistencia
      • Comprobantes de pagos
    • Penal
      • Procesos de delitos contra menores
      • Mensajería o chats
    • Mercantil
      • Correos
      • Facturación

Cabe aclarar que esta división no es excluyente, por ejemplo, los correos electrónicos que se mencionaron en la parte de requerimientos por parte de una autoridad, para una organización pueden ser motivo de un incidente y para otras no. Son precisamente las organizaciones las que definen que evento se considera tan importante como para ser atendido de manera minuciosa, por lo que para algunas organizaciones atender un incidente de forma exhaustiva, probablemente para algunas otras la misma situación no la atenderán con tanta relevancia.

Respuesta a incidentes

Para ejemplificar, esta sección se dará una breve descripción de algunos casos que se han atendido en el área Forense Digital.

En la respuesta a incidentes en los últimos años ha tenido una gran relevancia el ransomware, este tipo de incidentes requieren de un análisis dinámico en el que se busca responder a la pregunta ¿cómo fue que afecto a una organización?, retomando como ejemplo Wannacry, principalmente en Mnemo se desplegaron tareas de recuperación, aunque una empresa solicitó los servicios de forense digital cuando la alerta mundial ya había sido difundida y la mayoría de las empresas ya habían tomado acciones preventivas, el personal de infraestructura de esta compañía detecto que alguno de sus equipos habían hecho un intento de contacto con los servidores de comando y control del ransomware, en este caso, se solicitó que se realizara un barrido a los equipos de cómputo para saber si estaban infectados por Wannacry, el análisis realizado resultó ser negativo, sin embargo, retomando las horas que informaron que existían los intentos de conexión se encontró que coincidían con la navegación web en sitios de noticias acerca de Wannacry, los usuarios de estos equipos habían buscado información del virus, y la página que consultaron tenia listados los Indicadores de Compromiso (IoC) entre ellos las direcciones IP de los servidores de comando y control, estos usuarios habían hecho clic en las direcciones IP.

Otros de los incidentes que se observan constantemente son los que tienen que ver con temas de transacciones financieras, así como con toda la infraestructura que los rodean, como por ejemplo los ataques a SPEI, los ataques a bancos, algunas a páginas de e-commerce, en los que los atacantes buscan obtener beneficios económicos mediante transacciones fraudulentas a partir de la modificación de los sistemas que operan la banca u obtener bases de datos de tarjetas que posteriormente pueden vender en sitios de internet, propiamente en la dark web. Por razones de confidencialidad no es posible dar mayores detalles, sin embargo, las actividades comunes de estos atacantes es acceder a los sistemas, buscar aquellos que contienen la operación de la banca en línea, modificar la forma en que opera para poder acceder de manera directa, (esto mediante backdoors) comprender la forma en que opera, lo cual es un punto muy importante, ya que posteriormente comienzan con la ordeña de dinero mediante la inyección de transacciones, que a nivel de los mismos sistemas pasan desapercibidas derivado del estudio y la comprensión de la forma en que sus aplicativos, bases de datos y sistemas operan.

Ciberinvestigaciones

Con respecto al rubro de ciberinvestigaciones se han atendido casos como los siguientes.

En cuestión de fraudes financieros, es conocido que los bancos tercerizan algunos de sus servicios, uno de estos son los servicios al cliente, es específico cuando se llama para realizar reclamos de cargos no reconocidos, estas áreas tienen la posibilidad de dar de baja o suspenderlas ya que probablemente fueron clonadas, en este sentido el banco se percató que existían transferencias o compras con las tarjetas que supuestamente estaban dadas de baja, por lo que solicitaron realizar una investigación y se encontró que se hacía uso de correo personal en los equipos de cómputo de la empresa que brindaba  este servicio, mediante los correos enviaban los números de tarjeta como por lotes por llamarlo así (enviaban un Excel con entre 20 y 50 números de tarjeta) a una cuenta de correo externa, después de cierto tiempo las reactivaban (este tiempo obedecía al que tenía que pasar para que se desvinculara por completo la tarjeta del usuario y no llegaran alertas de compras a los usuarios legítimos), enseguida de ellos se hacían cargos y posteriormente las volvían a dar de baja.

Otro ejemplo es el de fraudes BEC, en el que los atacantes por diferentes formas suplantan la identidad del correo electrónico de una persona de alto nivel de una organización y solicitan realizar transferencias a cuentas bancarias que no son las comunes, ya sea afectando a la misma organización o a alguno de sus clientes, es decir le dicen a la misma área de finanzas que realice un pago a cierta cuenta o escriben un correo a uno de sus clientes mencionando que tienen problemas con sus cuentas de banco y que los pagos que les tienen que realizar, los lleve a cabo en otras cuentas.

Para ejemplificar esto, a mediados de este año se atendió un caso, en el que una empresa mexicana la cual compra productos a una empresa europea, recibe un correo mencionando que están teniendo problemas con sus cuentas de banco y que por ese motivo les suplican que los pagos sean llevados en otras cuentas, derivado de la confianza que se tienen y que el correo proviene de un alto ejecutivo de la organización no se activa esa alerta de que “algo está mal” y son llevados a cabo los pagos. El cliente creyó que este fraude venía desde el interior de su organización aquí en México, sin embargo, después del análisis se determinó que los correos provenían desde el exterior y que la cuenta apócrifa se encontraba también ligada a un banco en Europa, por lo que se determinó que la suplantación no venía desde México sino que se había comprometido el correo electrónico del director de la empresa europea. Cabe destacar que el informe presentado sirvió al cliente para poner una denuncia y con ello buscar el poder recuperar una parte del monto defraudado así como negociar con la compra de los equipos que debieron pagarse en su momento.

En el caso de fuga de información, es cuando información sensible se está compartiendo fuera de las áreas a las que debe estar restringida, se tuvo un caso en el que una empresa en México estaba siendo auditada de manera financiera, ya que otra empresa de los Estados Unidos deseaba realizar una inversión en ella, sin embargo, a los auditores financieros les llegó un correo con información infundada acerca de malos manejos en la organización. En ese caso fueron entregados los equipos de cómputo de las personas que la organización identificaba como posibles responsables y se entregó el informe con la identificación del equipo de cómputo donde fue encontrado, rastros del correo electrónico enviado.

En el caso de extorsión, se acaba de tener un caso muy peculiar, hace poco tiempo se solicitó el apoyo por parte del dueño de una empresa el cual recibió amenazas para revelar información personal en caso de que no depositara cierta cantidad de bitcoins, esta información únicamente estaba almacenada en un equipo de cómputo personal, por lo que se solicitó analizar el equipo de cómputo, y se observó que una gran cantidad de archivos habían sido accedidos en la misma hora, un par de días previos a los mensajes de extorsión, cuando se revisó el historial de navegación fue posible observar de que la fecha y hora de ultimo acceso a los archivos coincidía con la navegación en el servicio de Dropbox, se contactó con el cliente y comentó que el no hacía uso de dicha aplicación, así mismo recordó que la fecha y hora en que se observó el acceso a los archivos, coincidía con el momento en que había solicitado al personal de sistemas de su empresa que actualizara su equipo de cómputo.

Atención a requerimientos por parte de autoridades

Existen diversos ejemplos en este rubro, sin embargo, el mayor peso se lo llevan los análisis de correos electrónicos. Estos son ofrecidos como pruebas en la Junta Federal de Conciliación y Arbitraje, ya que con ellos  demuestran que una persona se encontraba o no laborando para cierta institución, otras pruebas son los registros de accesos, que demuestran el horario en que una persona accede o sale de las instalaciones. También se han tenido casos, donde únicamente se solicita la obtención de fotogramas de los videos de seguridad para identificar personas o las actividades que llevan a cabo.

Aquí es importante mencionar que las pruebas en materia de tecnología si se aceptan en la mayoría de casos, sin embargo, la misma ley solicita que estas pruebas sean plasmadas en documentos físicos, es por ello que se solicita la intervención de peritos en materia de informática, quienes llevan a cabo el perfeccionamiento de la prueba, es decir, se pueden aportar como pruebas los archivos de video, los correos electrónicos, el historial de navegación, documentos digitales. El perito es el que plasmará en su informe los documentos aportados digitalmente y concluirá si son legítimos o no.

Metodología Forense Digital

La sensibilidad de la información depende del nivel que cada organización establezca, reiterando lo que para algunas puede ser un simple evento para otras puede ser un incidente que atente contra alguna de las políticas establecidas de seguridad de la información, así mismo, aunque un evento por mínimo que sea y que no se atiende en su momento es importante que se tomen las medidas necesarias y conducentes para evitar de que un problema se pueda acrecentar más. Por ejemplo, retomando el ejemplo de extorsión, en caso de que no se haya actuado o que el dueño de la empresa pagara por que su información personal no fuera hecha pública, esto no es una garantía de que no se publique, incluso previo al correo de extorsión.

Otro punto importante es que toda la información que se analiza se encuentra almacenada en dispositivos de almacenamiento digital, los cuales pueden ser equipos de cómputo, laptops, servidores, dispositivos móviles, tablets, memorias USB, tarjetas de memoria, etc. Esta es susceptible de ser modificada, es decir, si no es identificado y aislado en su momento entre más tiempo pase se corre el riesgo de que se pierda o modifique la información. Se debe recordar que los sistemas de almacenamiento de información están en todo momento escribiendo, borrando y sobreescribiendo información, por lo que una atención lo más pronta posible, llevará a tener mejores resultados

Es importante destacar que la mayoría de los ejemplos dados se han llevado hasta una instancia legal, algunos por cumplimiento y otros por decisión de las personas afectadas, y esto es posible gracias a que se tiene un proceso validado y certificado por la norma ISO 27001 en el que Mnemo basa sus actividades.

Mnemo ha desarrollado un proceso de Forense digital, principalmente basado en el ISO 27037 “Guidelines for identification, collection, acquisition and preservation of digital evidence” (Directrices para la identificación, recolección, adquisición y preservación de la evidencia digital), no obstante, este no incluye las fases de análisis y resultados, es por ello que se complementa con la norma ISO 27042 “Guidelines for the analysis and interpretation of digital evidence” (Directrices para el análisis e interpretación de evidencia digital), como se muestra en el siguiente esquema.

En la imagen previa es posible observar que la preservación no es una fase como tal, sino que  debe estar presente durante todo el proceso forense digital desde que se realiza la identificación, esto porque se busca preservar la información, pero en un comienzo la información se encuentra almacenada en los dispositivos, al buscar que los dispositivos sean asegurados de que puedan sufrir alguna manipulación o daño, de manera intrínseca se está preservando la información contenida en ellos, posteriormente se recolecta y/o adquiere hasta el momento en que se está analizando, donde también debe cuidarse que la información no pueda ser alterada o modificada. En el caso de los resultados la preservación se transfiere a la confidencialidad, es un requerimiento de negocio incluso legal, si así se le considera, que la información debe ser preservada de manera que se asegure la confidencialidad de la misma.

En cuanto al análisis, la norma ISO 27042 señala que debe hacerse mediante procesos válidos, deben ser llevados por un personal competente, documentarse escrupulosamente con el fin de que la información sea (rastreable) identificable y defendible, así mismo, habla de los 2 tipos de análisis que pueden llevarse a cabo, el análisis estático y el análisis en vivo o dinámico.

Finalmente la ISO 27042 menciona que en la presentación de resultados, los documentos que se generen deben contener toda la información requerida por las políticas o legislación local aplicable, así mismo, recomienda el uso de plantillas en busca de que no se omita u olvide información alguna.

A continuación se desglosaran cada uno de las fases que comprende el modelo de Forense Digital  de Mnemo

Identificación

La primer fase del proceso de Forense digital es identificación, esta implica la búsqueda, reconocimiento y la documentación de le evidencia digital. Esta debe incluir los dispositivos de almacenamiento y los dispositivos de procesamiento que pueden contener evidencia digital potencial, la cual puede ser relevante para el estudio que se esté llevando a cabo

Este proceso incluye una actividad para priorizar la recopilación de la evidencia en función de su volatilidad, con el fin de priorizar los siguientes procesos (recolección y adquisición) para minimizar el daño a la evidencia digital y asegurar que se está adquiriendo la mayor parte de la evidencia.

Esta primera fase suele dividirse en 5 tareas, que son, la fijación fotográfica, croquis o planimetrías, un registrado de las actividades llevadas a cabo en el lugar, entrevistas y el registro de resguardo o cadena de custodia

Cabe hacer mención que el registro de cadena de custodia depende del caso que se esté llevando a cabo, si se está realizando un peritaje, es posible hacer uso de la cadena de custodia, en caso contrario es común utilizar un registro de resguardo de dispositivos, el fin de esto es mantener un documento en el que se puedan registrar la historia de los dispositivos que están bajo el proceso de forense digital, desde que se identifican hasta que son devueltos, este registro como mínimo debe mantener el listado de dispositivos, que personas los mantienen a su resguardo, en que momento y que proceso están realizando sobre el o los indicios.

Recolección

La fase de recolección, según la norma ISO 27037 es el proceso en el que los dispositivos que pueden contener evidencia son removidos de su ubicación original para ser llevados a un laboratorio o ambiente controlado

Para llevar a cabo esto y cumplimentando la preservación de los dispositivos es necesario usar guantes y pulseras antiestáticas, esto para evitar la energía estática que se puede generar en el cuerpo por el roce entre la ropa, esta carga estática podría llegar a estropear un dispositivo electrónico y por ende la información que pudiese contener

Así mismo, como lo indica la definición es necesario remover los dispositivos de su lugar para después ser trasladados, para ello es necesario utilizar materiales de embalaje como bolsas antiestáticas o sobres con protección de burbuja, esto con el fin que durante su viaje no puedan golpearse los dispositivos

Otro punto importante es el etiquetar el embalaje, la etiqueta debe indicar las características del dispositivo que se encuentra dentro del sobre, de esta manera no es necesario estar rompiendo el embalaje cada vez que es pasado de una persona a otra. Cabe hacer mención que esta descripción debe coincidir con la que se encuentre en el registro de cadena de custodia o el resguardo de dispositivos, y el mismo proceso de recolección debe estar marcado en estos registros, es decir, la persona que haga la recolección debe estar indicado con la fecha y hora en que se está llevando a cabo.

Finalmente y como aporte es una buena práctica realizar una fijación fotográfica de cómo se está entregando los dispositivos embalados para eliminar la posibilidad de que durante el traslado puedan ser alterados, abiertos o incluso reemplazados.

Adquisición

El proceso de adquisición es la creación de una copia de la información que se encuentra en los dispositivos, el cual debe ser documentado la forma en que es llevado a cabo.

La norma ISO 27037 recomienda que se debe hacer uso del mejor método para hacer la copia de información, en Mnemo se realiza mediante un duplicador forense, con ellos es posible realizar una copia bit a bit de un dispositivo (esto puede ser un clon forense o imagen forense), cabe hacer mención que si esto no es posible, la misma norma contempla casos de excepción.

Otro de los puntos primordiales que señala la norma es el uso de una función de verificación, para comprobar que la información copiada es idéntica a la información original, históricamente se han usado firmas hash, comenzando con la conocida como MD5 o (message digest 5), sin embargo, derivado de las posibilidades de colisiones hash que tiene este algoritmo (128 bits), se comenzó a hacer uso de la firma hash SHA1 (160 bits), la mayoría de las herramientas hacen uso de estas 2 funciones a la vez, cabe destacar que es viable el uso de cualquier otra función hash ya que la norma únicamente solicita una función de verificación.

En cuanto a las excepciones, no siempre es posible crear una copia bit a bit de un dispositivo que se tiene como posible evidencia, estas restricciones son por:

  • Tiempo (cuando el tiempo para la creación de un clon o imagen forense no es posible)
  • Espacio (cuando la envergadura de un sistema de almacenamiento supera la posibilidad de crear una copia bit a bit)
  • Sistemas encendidos (que no pueden ser apagados)

Para estos tipos de excepciones se utilizan lo que se conocen como adquisiciones lógicas, donde solo se hace un copiado de los archivos o carpetas de interés para la investigación, este tipo de adquisiciones no son únicamente para las excepciones, se da mucho en la parte de la ejecución por parte de la autoridad, donde únicamente se requiere el análisis de unos cuantos correos electrónicos o unos cuantos archivos. La autoridad únicamente requiere que se realice el análisis de los archivos que fueron presentados como pruebas y no todo el contenido de un equipo de cómputo.

Análisis

La norma en la que Mnemo se basa para la fase de análisis es la ISO 27042 que son las directrices para el análisis e interpretación de evidencia digital. La fase de análisis es un proceso iterativo en el que cada elemento de evidencia digital identificado muestra indicios de lo que pudo haber sucedió o incluso puede conducir a la reconsideración de otros dispositivo, así mismo, menciona que se debe mantener la continuidad del registro de resguardo o de la cadena de custodia, para asegurar que la información que se está analizando siga integra y que durante este proceso no se esté alterando la información.

Es por ello que las herramientas comerciales son muy aceptadas como EnCase, Forensic Toolkit, Magnet Axiom, Forensic Explorer,  y herramientas de análisis de dispositivos móviles  como cellebrite, XRY, entre otros. Es posible hacer análisis con herramientas open source, sin embargo, en la práctica y ante instancias de justicia no tienen el posicionamiento que tienen las herramientas comerciales

Así mismo, existen 2 grande tipos de análisis que son el análisis estático, el cual proviene de dispositivos que en su momento fueron adquiridos, y los análisis en vivo, donde existen equipos que no pueden ser apagados y/o adquiridos, por lo que para adquirir e incluso analizar información es posible que se requiera del mismo dispositivo, es posible inferir que esto se contrapone a algunas directrices que se mencionaron anteriormente, sin embargo, esto no debe ser una limitante para realizar una investigación, es decir, las consecuencias de no analizar o pasar por alto un dispositivo el cual no fue adquirido o analizado pueden ser aún más graves.

Así mismo una de las premisas del analista forense digital es ser objetivos e imparciales, es decir, los hallazgos que se obtienen a partir del análisis no deben ser sesgados o manipulados para beneficiar a algunas de las partes, es necesario recordar que los principios del forense digital deben ser auditables, repetibles y reproducibles, por lo que una omisión o una alusión a algo no contundente podría poner en duda todo el proceso llevado a cabo.

Resultados

El último punto del proceso, es la entrega de resultados, en todo análisis de forense digital, es necesario recibir un informe el cual describe todas las acciones que se llevaron a cabo desde que se identificó un dispositivo, como se preservó, como se adquirió, la forma en que se extrajo y posteriormente se analizó la información. El resultado final siempre dependerá el objetivo que se plantee, por ejemplo, en general existen 2 tipos de informes, el técnico y el ejecutivo, el informe técnico contendrá todos aquellos elementos que demuestren las actividades llevadas a cabo durante el proceso de forense digital, enfatizando la fase de análisis, ya que esto conducirá a las conclusiones finales.

El informe ejecutivo será una breve descripción de todas las actividades realizadas, sin entrar en tecnicismos, es decir con un lenguaje natural y formal con el fin de que pueda ser comunicado de manera gerencial o directiva.

El dictamen es aquel que se presenta ante una instancia de procuración de justicia y solo puede ser presentado por la persona que haya aceptado y protestado el cargo como perito, cabe destacar que debe demostrar conocimientos especializados, en este caso en materia de informática, con el fin de que el dictamen que entregue se considere realizado por un experto en la materia, asimismo, este siempre debe de incluir una o varias conclusiones, las cuales serán retomadas por la autoridad para que acuerde o falle sobre las pruebas digitales presentadas y se continúe con el proceso legal.

Igualmente, existen elementos auxiliares que apoyan el entendimiento y la comprensión de los hallazgos encontrados en los dispositivos, como lo son redes técnicas, redes de vínculos y líneas de tiempo, estas últimas buscan esquematizar de manera temporal los elementos relevantes que fueron encontrados durante la investigación y que conllevan al origen o primer suceso para responder a las preguntas ¿cómo sucedió?, ¿cuándo sucedió? y ¿dónde sucedió?

Recomendaciones

Una serie de recomendaciones que pueden apoyar a las organizaciones en caso de que se desee implementar las actividades propias del forense digital son las siguientes.

  • Primero, establecer un procedimiento basado en normas o documentos especializados, así como establecer la figura de primer respondiente mismo que será el primer contacto con un posible evento o incidente, un par de apuntes para comenzar es la publicación especial de NIST 800-86 “Guide to integrating forensic techniques into incident response” (Guía para integrar técnicas forenses en la respuesta a incidente) y el Electronic Discovery Reference Model (Modelo de referencia del descubrimiento electrónico).
  • Una de las premisas que siempre deben estar presentes es la preservación de la información, aunque no se cuente con herramientas especializadas, sin embargo, es necesario tener mecanismos para poder dar seguridad de que la información no se altere durante todo el proceso
  • Un punto importante a destacar es que se acostumbra a que todas las responsabilidades en temas técnicos se delegan al personal de infraestructura o área de sistemas, sin embargo, no se puede ser juez y parte, si el evento o incidente afecta a una de las áreas que opera infraestructura, ellos no deben realizar este proceso, sino un área de seguridad de la información
  • Es común encontrar a personas que no cuentan con la experiencia para llevar a cabo pruebas periciales, la experiencia se obtiene primeramente acompañando a otros peritos en su actuar, ahí es donde es posible observar que no basta con solo ser experto en la materia de informática, sino también tener conocimientos en temas de derecho.
  • Otra muy buena recomendación es buscar cursos, primeramente que hablen de forma general de forense digital y después cursos o certificaciones de herramientas y/o especializaciones.
  • Para las empresas, la recomendación es invertir en la capacitación del personal que se desee que lleven a cabo las tareas de Forense Digital.

Beneficios

Para finalizar el forense digital puede traer una serie de beneficios dentro de sus organizaciones, ya se implementando áreas especializadas o solicitando los servicios, algunos de ellos son los que se describen a continuación.

  • Obtención de evidencia para proceder de manera legal

Como se ha observado, el hecho de llevar un proceso que pondere la preservación de la información, permite llevar una investigación ante una autoridad para proceder legalmente, se observa que es muy común que las organizaciones tengan que responsabilizarse por la afectación, cuando en realidad puede terminar deslindando responsabilidades

  • Negociación con partes afectadas

Como fue descrito en la parte del fraude BEC, al demostrar que ambas partes fueron afectadas, estas pueden entrar en negociaciones y llegar a un acuerdo en que ambas partes reduzcan el impacto de la afectación.

  • Recuperación de afectaciones económicas

El mejor ejemplo son los ataques a instituciones financieras, el poder actuar desde el comienzo de una afectación de manera que la información que se está identificando y adquiriendo sea válida, permite llevar un proceso para esclarecer los sucedido y poder actuar con prontitud, como es bien sabido al final los montos de los ataques a SPEI fueron menores a los que se reportaron en un principio.

  • Deslindar responsabilidades ante un tercero

Para ejemplificar este punto, se puede retomar el caso antes mencionado, en que las instituciones financieras pudieron deslindar las responsabilidades derivadas de los ataques que en realidad fueron llevadas a través de un servicio tercerizado que conectaba a los bancos con el sistema SPEI

  • Recuperación de información sensible

Otra de las características de forense digital es la posibilidad de recuperar información que fue borrada o eliminada, esto pasa cuando algún malware o atacante busca borrar sus huellas. Mediante mecanismos de recuperación de información es posible obtener estos rastros, de la misma forma, se tienen casos en que las personas borran por error o deliberadamente información que puede ser de suma importancia para una organización

  • Identificación de puntos débiles de la organización

Finalmente, al realizar el proceso de análisis también se encuentran puntos de mejora en la infraestructura de los clientes mismos que se les hace de conocimiento. Así mismo, en ocasiones se solicita realizar un análisis de los dispositivos de algún empleado, cabe aclarar que los dispositivos pertenecen a la organización, ya que se cree que las personas puedan estar filtrando información sensible.