¿Qué es la evidencia informática?
Las pruebas informáticas son datos que se obtienen de un disco duro de una computadora y se utilizan en el proceso de una investigación criminal. Debido a que es relativamente fácil corromper los datos almacenados en un disco duro, los expertos forenses hacen todo lo posible para proteger y proteger las computadoras incautadas como parte del proceso de investigación. La extracción de datos debe llevarse a cabo bajo circunstancias altamente controladas y debe ser realizada por profesionales de la ley que estén específicamente capacitados en el proceso.
No es inusual que se recopilen computadoras cada vez que se encuentran en la escena del crimen. Por ejemplo, cuando se encuentra a un individuo asesinado en su hogar, hay una buena posibilidad de que cualquier computadora portátil o de escritorio que se encuentre en la escena sea confiscada. De la misma manera, si un individuo es arrestado bajo sospecha de algún tipo de fraude o malversación de fondos, es probable que sus computadoras personales y de trabajo sean recolectadas para su análisis por expertos.
El proceso de búsqueda de pruebas informáticas comienza con una revisión exhaustiva de todos los archivos encontrados en el disco duro. Para lograr esto, el disco duro se analiza cuidadosamente en busca de archivos ocultos o seguros que pueden no ser evidentes. Debido a que los discos duros guardan copias de los archivos que se eliminan de los directorios públicos, los expertos involucrados en la investigación forense buscarán localizar y extraer los archivos que fueron eliminados. Esto es importante, ya que existe la posibilidad de que incluyan datos que puedan confirmar la culpabilidad o posiblemente proporcionar pruebas de que la persona arrestada no participó en la comisión del delito.
Muchos tipos diferentes de archivos pueden proporcionar evidencia informática que puede ayudar a resolver un delito. Las imágenes visuales, correos electrónicos, hojas de cálculo y otros tipos comunes de archivos se pueden cifrar y ocultar en varias cachés en el disco duro. Los expertos saben cómo encontrar estos cachés ocultos, acceder a ellos y ver el contenido de esos cachés. Muchos sistemas operativos realizan automáticamente esta función incluso cuando se eliminan los archivos, creando copias que se colocan en las cachés ocultas. Esto significa que incluso si el criminal ha tomado medidas para borrar las pruebas incriminatorias del disco duro, existe una buena posibilidad de que uno o más de estos escondites ocultos sean pasados por alto y puedan ser extraídos por la policía.
Recopilar evidencia de computadora es una tarea altamente calificada que generalmente se realiza en pasos específicos. Una vez que la computadora es confiscada, es transportada a un sitio seguro. Solo un número limitado de personas autorizadas tiene acceso al sistema mientras se extrae para obtener posibles pruebas. Debido a que la extracción y la extracción se realizan en condiciones tan estrictas, es prácticamente imposible manipular el disco duro. Esto hace posible que cualquier evidencia recolectada sea útil en la investigación en curso.
El uso de pruebas informáticas en los tribunales ha ganado más aceptación en los últimos años. Las preocupaciones sobre la manipulación o el daño a la evidencia en los últimos años a veces condujeron a restricciones sobre la cantidad de evidencia recopilada de las computadoras en un caso dado. Sin embargo, a medida que la aplicación de la ley ha mejorado sus métodos para preservar y proteger los discos duros de una posible contaminación, más sistemas legales en todo el mundo consideran que las pruebas informáticas son totalmente admisibles en un tribunal de justicia.