¿Qué es la evidencia informática?
La evidencia informática son datos cosechados de un disco duro de la computadora y se utilizan en el proceso de una investigación del delito. Debido a que es relativamente fácil corromper datos almacenados en un disco duro, los expertos en forenses hacen todo lo posible para asegurar y proteger las computadoras que se incautan como parte del proceso de investigación. La extracción de los datos debe tener lugar en circunstancias altamente controladas, y deben ser logrados por profesionales de la ley que están capacitados específicamente en el proceso.
No es inusual que las computadoras se recopilen cada vez que se encuentran en una escena del crimen. Por ejemplo, cuando se encuentra un individuo asesinado en su hogar, existe una buena posibilidad de que cualquier computadora portátil o computadoras de escritorio que se encuentre en la escena sea confiscada. De la misma manera, si un individuo es arrestado bajo sospecha de algún tipo de fraude o malversación de fondos, es probable que sus computadoras personales y de trabajo sean recolectadas para el análisis por parte de expertos.
El proceso de búsqueda de evidencia informática comienza con una revisión exhaustiva de todos los archivos que se encuentran en el disco duro. Para lograr esto, el disco duro se detalla cuidadosamente para cualquier archivo oculto o seguro que no sea evidente. Debido a que los discos duros guardan copias de archivos que se eliminan de los directorios públicos, los expertos involucrados en la investigación forense buscarán localizar y extraer archivos que se eliminaron. Esto es importante, ya que existe la posibilidad de que incluyan datos que podrían confirmar la culpa, o posiblemente proporcionar pruebas de que el individuo arrestado no participó en la comisión del delito.
Muchos tipos diferentes de archivos pueden producir evidencia informática que puede ayudar a resolver un delito. Las imágenes visuales, los correos electrónicos, las hojas de cálculo y otros tipos comunes de archivos se pueden encriptar y ocultar en varios cachés en el disco duro. Los expertos saben cómo encontrar estos cachés ocultos, acceder a ellos y ver el conteNTS de esos cachés. Muchos sistemas operativos realizan automáticamente esta función incluso cuando se eliminan los archivos, creando copias que se colocan en los cachés ocultos. Esto significa que incluso si el criminal ha tomado medidas para limpiar evidencia incriminatoria del disco duro, existe una buena posibilidad de que uno o más de estos cachés ocultos se pasen por alto y pueden ser extraídos por la policía.
Recopilar evidencia informática es una tarea altamente calificada que generalmente se realiza en pasos específicos. Una vez que la computadora es confiscada, se transporta a un sitio seguro. Solo un número limitado de individuos autorizados tienen acceso al sistema mientras se está extrayendo para una posible evidencia. Debido a que la minería y la extracción se llevan a cabo en condiciones tan estrictas, es prácticamente imposible que el disco duro sea manipulado. Esto hace posible que cualquier evidencia recopilada sea útil en la investigación en curso.
El uso de pruebas informáticas en la corte ha ganado más aceptación enaños recientes. Las preocupaciones sobre la manipulación o el daño a la evidencia en años pasados a veces condujeron a restricciones sobre la cantidad de evidencia recolectada de las computadoras en un caso determinado. Sin embargo, a medida que la policía ha mejorado sus métodos para preservar y proteger los discos duros de la posible contaminación, más sistemas legales en todo el mundo están viendo la evidencia informática como totalmente admisible en un tribunal de justicia.