Conceptos básicos de la informática forense
El campo de la informática forense es relativamente joven. Hace muchos años, las cortes consideraban las evidencias encontradas en los ordenadores, no muy diferentes a las evidencias convencionales. Según los ordenadores fueron avanzando, mejorando y siendo más sofisticados, se dieron cuenta que estas evidencias podían ser fáciles de corromper, destruir o cambiar.
Los investigadores pensaron que había una necesidad de desarrollar herramientas específicas y procesos para buscar evidencias de delito en un ordenador, sin afectar a la propia información que hubiera almacenada. Los expertos en esta tecnología, se aliaron con científicos especializados en computadoras para discutir los procedimientos y herramientas apropiadas que se podrían utilizar para esta tarea. Poco a poco, se fueron asentando las bases para crear la nueva informática forense.
Normalmente, los detectives informáticos usan una orden para hacer búsquedas en ordenadores de gente sospechosa. Esta orden debe incluir donde pueden buscar los detectives, y que clase de pruebas están buscando. En otras palabras, no pueden simplemente dar pedir una orden y buscar todo lo que quieran para cualquier cosa. Esta orden no puede ser demasiado general. Muchos jueces requieren que se sea lo más específico posible cuando se pide una de estas garantías.
Por esta razón, es importante para los detectives informáticos saber todo lo posible sobre el sospechoso antes de pedir una orden. Considera este ejemplo: Un investigador informático pide una orden par investigar un ordenador portátil de un sospechoso. Llega a la casa del sospechoso y le entrega la orden. Mientras está en la casa, se da cuenta que hay un ordenador de sobremesa. El investigador no puede legalmente hacer una búsqueda en ese PC porque no estaba en la orden original.
Cada línea de investigación en un ordenador es de algún modo única. Algunas puede llevar solo una semana, pero otras puede llevar meses. Aquí hay algunos factores que pueden impactar lo extenso de la investigación:
La experiencia de los investigares informáticos.
El número de ordenadores que se están investigando.
La cantidad de información que se debe clasificar a través de los discos duros, DVDs, CDs, u otros métodos de almacenamiento.
Si los sospechosos han intentado o no ocultar o borrar la información.
La presencia de archivos encriptados o ficheros protegidos por contraseñas.