Conclusão principal: as mensagens efêmeras criam riscos legais e de conformidade ao excluir automaticamente as comunicações comerciais, complicando a perícia digital. As soluções de arquivamento automatizado ajudam as organizações a capturar e preservar proativamente mensagens efêmeras, garantindo a prontidão forense e registros defensáveis. Aja rapidamente para atualizar políticas, treinar funcionários e usar plataformas aprovadas para a preservação segura de dados.

As mensagens efêmeras estão reescrevendo as regras da comunicação digital e apresentando novos obstáculos para os especialistas em perícia digital. As comunicações por mensagens de texto agora são projetadas para desaparecer após um período definido ou após serem lidas. Superar os desafios das mensagens efêmeras requer uma abordagem estratégica e multifacetada, que equilibre privacidade, conformidade e prontidão forense.

Por que as mensagens efêmeras são importantes na perícia digital

Em setembro de 2022, a SEC multou 16 grandes empresas de Wall Street em mais de US$ 1,1 bilhão por não preservarem comunicações eletrônicas, incluindo aquelas enviadas em aplicativos de mensagens efêmeras e dispositivos pessoais. O caso da SEC serve como um exemplo cautelar, destacando a evolução dos padrões de conformidade.

Especialistas jurídicos agora aconselham as organizações a gerenciar e preservar proativamente todas as comunicações relacionadas aos negócios, mesmo aquelas enviadas por aplicativos criptografados ou com exclusão automática, para evitar investigações, multas e ações corretivas onerosas.

Riscos de conformidade e desafios legais com mensagens efêmeras

Os aplicativos de mensagens efêmeras permitem que os usuários definam políticas de exclusão automática específicas para cada conversa, que excluem automaticamente as mensagens, tornando ineficazes as retenções legais. Em alguns casos, a retenção de mensagens pode ser definida por qualquer participante da conversa para excluir a mensagem após apenas um segundo. As comunicações comerciais relevantes podem então ser eliminadas antes que seja possível preservá-las. Isso deixa poucas ou nenhuma opção forense digital para coleta ou recuperação.

Perícia forense móvel: obstáculos à coleta

WhatsApp, Signal e Telegram são três plataformas comuns de mensagens efêmeras encontradas em investigações forenses digitais. Cada plataforma apresenta desafios únicos, mas também compartilham várias semelhanças.

• O recurso de mensagens efêmeras do WhatsApp está desativado por padrão, mas, uma vez que o usuário o habilita, as configurações de retenção podem ser definidas para qualquer limitação preferida.
• O Telegram armazena mensagens na nuvem, tornando as coletas forenses móveis menos eficazes. Embora o Telegram possa armazenar alguns dados em cache em um dispositivo móvel, normalmente é uma “imagem” incompleta de todo o conjunto de dados. A coleta é normalmente feita por meio da interface em nuvem do Telegram, mas isso pressupõe que as mensagens ainda existam e não tenham sido excluídas anteriormente.
• O Signal foi projetado para privacidade e é indiscutivelmente um dos aplicativos efêmeros mais desafiadores para coleta e preservação forense. Ele criptografa os dados em repouso e não os armazena em backups padrão do dispositivo ou em um servidor remoto na nuvem. Além disso, o Signal não sincroniza dados entre outros dispositivos móveis. Em vez disso, ele requer contas diferentes para vários dispositivos móveis. São necessárias coletas completas do sistema de arquivos e credenciais de descriptografia para o dispositivo móvel específico; no entanto, alguns dispositivos e versões de sistemas operacionais móveis podem não ser compatíveis com ferramentas forenses avançadas.

Algumas soluções comerciais de arquivamento oferecem versões que capturam e preservam automaticamente mensagens efêmeras para fins de conformidade e eDiscovery. Ao integrar essa tecnologia, as empresas mantêm registros defensáveis, permitindo a recuperação e revisão posteriores por meio de uma coleta forense. Essas soluções exigem políticas claras que obriguem os funcionários a usar apenas a versão aprovada e habilitada para arquivamento do aplicativo para fins comerciais.

Essas políticas também devem proibir os funcionários de usar métodos de comunicação pessoais ou “fora da plataforma” para conduzir negócios. Da mesma forma, os clientes devem ser informados sobre como as empresas se comunicarão com eles e como evitar comunicações não autorizadas e potencialmente fraudulentas.

Preservação em vez de recuperação na perícia digital

Uma vez que os dados são excluídos em um aplicativo de mensagens efêmeras, a recuperação geralmente é impossível. Portanto, quando não há uma solução de arquivamento comercial em toda a empresa, o foco deve mudar para a preservação rápida. Isso requer ferramentas e técnicas forenses que suportem a coleta de dados defensável. Os examinadores forenses digitais devem fazer perguntas importantes sobre o dispositivo do custodiante, incluindo sua marca, modelo, sistema operacional e tipos de dados necessários, para recomendar a melhor abordagem. Essa incapacidade de recuperar informações, embora tenha como objetivo preservar a segurança, representa obstáculos potenciais de destruição tanto para os custodiante quanto para os litigantes.

Retenção legal e defensabilidade na era das mensagens efêmeras

As mensagens efêmeras entram em conflito fundamental com o conceito de retenção legal. A configuração de mensagens efêmeras no WhatsApp, Telegram e Signal pode ser controlada por qualquer usuário na conversa. Na maioria dos casos, isso significa que qualquer participante pode alterar a configuração de mensagens que desaparecem a qualquer momento. Algumas conversas em grupo com várias pessoas permitem que os administradores do grupo controlem as mensagens que desaparecem. No entanto, essa não é uma opção em mensagens diretas. Embora um custodiante esteja em retenção legal, outras pessoas em conversas efêmeras podem, intencionalmente ou não, fazer com que o custodiante viole a retenção legal ao excluir mensagens que devem ser mantidas.

As mensagens que desaparecem prejudicam a capacidade de manter comunicações comerciais para fins de litígio ou regulamentação, a menos que políticas e soluções de arquivamento adequadas sejam implementadas com antecedência. Em casos raros, se os dados forem coletados antes da exclusão usando métodos forenses validados, eles podem ser apresentados em tribunal com uma cadeia de custódia adequada.

Tendências e melhores práticas com comunicações móveis

À medida que mais aplicativos introduzem recursos de mensagens que desaparecem, as organizações estão revisando e atualizando suas políticas de comunicação e dispositivos móveis para lidar com os riscos apresentados pelas mensagens efêmeras.

Uma prática recomendada emergente é manter uma lista definida de plataformas de comunicação oficiais. Isso inclui e-mail, Microsoft Teams, Slack, ICE chat ou versões arquivadas do WhatsApp. Alguns setores estão abandonando as mensagens de texto ou aplicativos de mensagens de texto móveis com configurações de mensagens efêmeras como canal oficial de comunicação empresarial.

Se uma conversa de negócios começar em uma plataforma não autorizada, os funcionários são treinados para transferir a discussão para um canal aprovado. Por exemplo, se um colega iniciar uma conversa sobre um negócio no iMessage, a resposta deve ser transferir a discussão para o e-mail ou o Teams, a fim de garantir o registro adequado e a conformidade.

Orientação final

Aja rapidamente para preservar proativamente os dados de mensagens efêmeras quando forem necessários para investigações ou litígios. Considere revisar e atualizar as políticas de comunicação para listar aplicativos aprovados para comunicações comerciais, especialmente quando os funcionários têm permissão, por política, para usar seus próprios dispositivos pessoais.

As mensagens efêmeras vieram para ficar, mas as organizações se mantêm à frente atualizando políticas, treinando funcionários e aproveitando as ferramentas forenses certas.

Saiba mais sobre como preservar comunicações críticas e apoiar investigações defensáveis com os serviços Epiq Forenses e de Coleta. 
 

Andrew Crouse, Diretor, Perícia Forense, Soluções de Descoberta Eletrônica, Epiq
Em sua função como Diretor de Perícia Forense Digital na Epiq, Andrew Crouse lidera exames forenses digitais, contratos de consultoria, prestação de serviços e requisitos de práticas forenses. Crouse gerencia uma equipe de consultores, analistas e pessoal de operações de laboratório para as operações da Epiq nos Estados Unidos.