El
uso del correo electrónico corporativo, hoy en día es una de las principales
herramientas de comunicación dentro de las organizaciones. Permitiendo intercambiar
correspondencia con facilidad dentro y fuera de la organización. También existiendo
ya políticas del buen uso dentro de ellas o como normas internas, pero que
frecuentemente los empleados no tienen en cuenta. Convirtiéndose el correo corporativo en fuente para poder
cometer fraudes como es el hurto de correspondencia; así mismo, otro de los más
comunes es el fraude por giros falsos, se inicia con algún tipo de correo
electrónico y después el fraude termina con ofertas falsas, cartas o fraude
nigerianos. También se presta para
chantajes, calumnias, entre muchos más actos delictivos que se cometen a
través del correo electrónico.
Los
empleados de pequeñas empresas, conocen que al configurarles el correo
corporativo (Outlook) se les deja creado un archivo con extensión .pst dentro de sus computadoras. Pero
también empleados resentidos con la empresa, que siempre están pensando es
cometer algún fraude o hacer algún mal a través del correo electrónico corporativo
y que piensan que eliminando el archivo .pst
están desapareciendo toda huella
de los mensajes enviados o recibidos. Lo que desconocen este tipo de empleados es que muchas veces por
default cuando se configura Outlook con
el servicio de información de Microsoft Exchange Server, se guarda una copia en
el disco duro local con todo el contenido del buzón. Almacenando en un archivo
de datos de Outlook un archivo con extensión .ost sin conexión (tiene la capacidad de usarse de modo caché de
Exchange).
Para
las auditorias en pequeñas organizaciones los archivos con extensión .ost contienen gran información. Que
analizadas a través del software especializado EnCase Enterprise o EnCase Forensic, permiten recrear lo que el
empleado estuvo enviando y/o recibiendo como si se estuviera explorando el archivo original con extensión .pst. Dependiendo de la versión del
sistema operativo podemos encontrar los archivos .ost en:
Windows 7 y Windows Vista
% userprofile % \ AppData\ Local\ Microsoft\ Outlook
Windows XP
% userprofile % \ AppData\ Local\ Microsoft\ Outlook
Windows XP
%userprofile%\Local Settings\Application Data\Microsoft\Outlook
También
el archivo .ost, permite
visualizar el contenido de correos,
identificando para quién va el mensaje y quien lo envía. También establecer si
fue reenviado y con todos los mensajes relacionados (hilos de conversación):
Otra
opción que se puede identificar en el archivo .ost es establecer las direcciones IP tanto de quien envió
como de quien recibe el mensaje. Esto es importante en casos donde están
tratando de cometer una extorsión,
enviando mensajes al gerente de la pequeña organización. Otro ejemplo
cuando empleados de la misma empresa envían mensajes con calumnias o chantajes
a otros empleados. Lográndose a través del encabezado establecer posteriormente
en una investigación de dónde provino el mensaje:
Complementando
el tema anterior, también dentro del archivo sin conexión, se puede tener
visualización de todos los correos electrónicos a quien fue enviado el mensaje:
EnCase Enterprise o EnCase Forensic,
también tiene la posibilidad de mostrar el archivo .ost como un archivo compuesto. Visualizando el archivo sin
conexión con la estructura del archivo .pst:
Al visualizar el archivo con extensión
.ost, el auditor puede identificar los diferentes mensajes electrónicos en bandeja de entrada (inbox) o elementos
enviados (Sent ítems) y así identificar los movimientos que realizó el empleado
antes de eliminar el buzón .pst. También puede observar los correos eliminados
(deleted ítems) si tuviese en el momento de la auditoria o examinación:
Otra funcionalidad que ayuda con la
investigación o auditoría realizada, es que se puede revisar los archivos con
sus respectivos adjuntos si los tuviere como se observa en la siguiente imagen:
Como hemos descrito el archivo de datos de
Outlook sin conexión .ost es una copia del buzón de correo electrónico
almacenado localmente en el equipo del empleado. El cual permite acceder de una
manera rápida a los datos y trabajar sin conexión y ver todo lo que tiene en el
buzón con extensión .pst. Por lo tanto el archivo .ost, almacena en la carpeta Sync Issues, los diferentes errores que
se producen al sincronizar Outlook con el Servidor de correo o de Exchange. Pero
también almacena elementos que han sufrido un conflicto en el momento de la
sincronización.
Como
por ejemplo allí puede quedar el log de un mensaje que el empleado estaba
tratando de enviar y que por error de sincronización no salió. Existiendo allí la
huella del nombre del archivo con fecha, hora, minutos y segundo, otro ejemplo de lo
que guarda esta carpeta son las veces que sale el mensaje que el buzón está
lleno y por eso no puede enviar un mensaje. También sirve para establecer la
eliminación de mensajes, cambios en la carpeta enviados o recibidos, puesto que
indica el momento de eliminación de mensajes. Estos datos dentro de una auditoria
son de gran ayuda para enlazar con otra información recopilada dentro de la
misma:
Por último, este tipo de revisiones, son
importantes en una auditoria o investigación, ya que permiten establecer a
través del archivo sin conexión .ost¸ lo que los empleados estaban
tratando de esconder al eliminar el buzón de correo electrónico .pst. Es de
resaltar que también se puede encontrar información del buzón de los empleados
en los Servidores de Correo. Pero allí solo se encuentra lo que está alojado en
un momento dado. Posterior a que el empleado visualiza sus mensajes, éstos
bajan y se almacenan localmente en los archivos .pst y .ost.
RELACIONADOS
No hay comentarios :
Publicar un comentario