Los ciberdelincuentes cada vez realizan ataques más sofisticados, cubriendo sus huellas para no ser localizados; a la vez dejan alguna otra puerta trasera para acceder a la red comprometida luego de haberla comprometido la primera vez. Es aquí el trabajo para un investigador o -en otras palabras- para un investigador forense digital pueda identificar cómo, cuándo y dónde ocurrió. Es decir, cuál fue la brecha de seguridad que el atacante identificó y a la vez explotó. Además, identificar cuáles sistemas fueron comprometidos y a la vez si existe algún otro malware que haya dejado plantado para futuros ataques.
Eliminando registros de accesos del servicio o sistema operativo comprometido es una de las maneras más comunes para que los atacantes no sean identificados. Esto puede ser posible si él consiguió privilegio administrativo en los registros de los equipos. Si fueron borrados, existen técnicas para recuperarlos por parte de un investigador con experiencia en forense. Es por esto que es recomendable no formatear el equipo antes que un investigador examine el equipo. Es por esto que es sumamente importante realizar investigaciones forenses; así poder identificar la brecha de seguridad de la empresa y si existe algún otro sistema comprometido.
El primer equipo identificado como comprometido puede ser el equipo que revele otros dispositivos comprometidos, por el simple hecho que puede ser donde el ciberdelincuente utilizó para descargar sus herramientas (su código malicioso) para comprometer otros equipos. Ya que no siempre el equipo que fue identificado como comprometido implica que fue la brecha de seguridad. Puede existir una brecha de seguridad por contraseña reutilizada de un usuario administrativo que fue comprometido para acceder a la infraestructura y no levantaría ningún tipo de alerta de malware. Esto es lo peligroso al no realizar una investigación, aunque se formatea por completo el equipo que fue infectado no significa que el atacante no pueda volver a entrar a la infraestructura.
Levantar alertas es una estrategia de los atacantes para enfocar toda la atención en este equipo para luego poder infectar otros sin la sospecha de nadie. Esto puede crear nuevos ataques a grandes escalas para una empresa, ya que pasaría por despistado.
Una empresa debe realizar investigaciones forenses cada vez que sea comprometida para evitar ataques de grandes escalas. Para garantizar una investigación forense exitosa se debe contar con un sistema de registro centralizado con sus resguardos frecuentes. También, al momento que un equipo sea identificado como comprometido simplemente desconectarlo de la red y utilizar otro equipo que reemplace su funcionamiento. No formatear la imagen o el equipo por completo hasta que se realice la investigación. Contar con un listado de aplicaciones autorizadas y sus firmas digitales; así puede ayudar a validar si existe algún tipo de aplicación que no es autorizado. Tener el equipo en un lugar seguro para que solo la persona autorizada tenga acceso a este, hasta que se realice la investigación. Cambiar las credenciales de todos los colaboradores de la entidad y cuentas administrativas. Por último, no reutilizar credenciales anteriores.