El uso de aplicaciones de escritorio remoto ha aumentado considerablemente en los últimos años, principalmente debido a la generalización del teletrabajo a raíz de la pandemia de COVID-19. Este proceso se ha llevado a cabo de manera muy controlada en algunas empresas, pero en otras organizaciones se ha introducido de forma más anárquica. El uso directo de computadoras y recursos de la empresa en las instalaciones desde internet sin los mecanismos de protección necesarios, incluidas las VPN, ha aumentado el riesgo de fuga de datos. Aparte de otros tipos de fuga de datos, existen casos en los que los empleados transfieren archivos utilizando comunicaciones encriptadas, de forma consciente o inconsciente, lo que produce una filtración de información no detectada por los sistemas de prevención de pérdida de datos. En este documento analizamos la cuestión de si una investigación forense puede responder preguntas sobre las fugas de datos; preguntas como las relacionadas con el cuándo, qué y quién (o a quién) y el uso de registros de aplicaciones y otras herramientas disponibles. Las respuestas a estas preguntas pueden formar la base de pruebas digitales sólidas con fines legales, aunque pueden ofrecer solo una respuesta parcial a dichas preguntas. Son necesarias otras fuentes complementarias para construir una respuesta completa y pruebas digitales precisas. Sin embargo, hemos identificado y analizado varios casos de uso que pueden ayudar a emitir una alerta temprana que pueda advertir sobre ciertos comportamientos en el tráfico encriptado que pueden ser detectados mediante monitoreo de redes.