Todos los dispositivos digitales pueden almacenar algunos datos sobre la sesión, el usuario de inicio de sesión, la hora, el tipo de conexión y las direcciones IP, que pueden ofrecer pruebas para procesar. La evidencia digital incluye toda la información que se almacena o transmite en forma digital y tiene valor probatorio, lo que ayuda a los investigadores a encontrar al responsable o perpetrador de una ilegalidad o «delito».
La evidencia digital se puede encontrar en dispositivos informáticos, móviles, PC, servidores, enrutadores, cámaras de seguridad, etc. Se revela durante la investigación forense al examinar medios de almacenamiento digitales, monitorear el tráfico de la red o hacer copias duplicadas de datos digitales. Los investigadores en informática forense deben tener sumo cuidado al recopilar y extraer la evidencia digital puesto que como tal es frágil. En PeriTe estamos capacitado para extraer, manejar y analizar estas pruebas tan frágiles.

Las Evidencias digitales son datos que se almacenan o trasmiten en formato digital y que pueden ser usadas para investigar o demostrar hechos en un contexto judicial, forense o administrativo. Estas evidencias son cruciales en áreas como la delincuencia, fraudes, acosos, despidos y otras situaciones

Por ejemplo, si la información de la computadora de una víctima se almacena en el servidor o en el propio sistema en el momento del delito, el perito puede obtener fácilmente esta información examinando los archivos de registro, el historial de navegación en Internet, etc. De manera similar, si un individuo envía un mensaje intimidante a través de un servicio de correo electrónico basado en Internet como Hotmail, Gmail o Yahoo Mail, tanto el sistema de la víctima como el del actor pueden almacenar archivos, enlaces y otra información que el perito pueden extraer y analizar.

Tipos de evidencias digitales

Las personas que acceden a dispositivos que no son suyos de forma inadecuada o ilegalmente dependen inevitablemente de la tecnología y siempre suelen dejar rastros . Por lo tanto, la mayor parte de la evidencia está presente en los dispositivos utilizados. La evidencia digital puede ser cualquier tipo de archivo almacenado en un dispositivo, incluidos archivos de texto, imágenes, documentos, archivos ejecutables y datos de aplicaciones. La mayoría de estas pruebas se encuentran en los medios de almacenamiento de los dispositivos. Según el estilo de almacenamiento y la vida útil, la evidencia digital se clasifica en dos tipos: datos volátiles y datos no volátiles

– Datos volátiles: Se refiere a la información temporal en un dispositivo digital que requiere una
suministro de energía constante y se elimina si se interrumpe el suministro de energía. Por ejemplo, la
memoria de acceso aleatorio almacena los datos más volátiles y los descarta cuando se apaga el dispositivo. Los datos volátiles importantes incluyen la hora del sistema, los usuarios que han iniciado sesión, los archivos abiertos, la información de la red, la información del proceso, el mapeo del proceso al puerto, la memoria del proceso, el contenido del portapapeles, la información del servicio/controlador, el historial de comandos, etc.
– Datos NO volátiles: se refiere a los datos permanentes almacenados en dispositivos de almacenamiento secundarios, como discos duros y tarjetas de memoria. Los datos no volátiles no dependen de la
fuente de alimentación y permanecen intactos incluso cuando el dispositivo está apagado. Ejemplos incluyen archivos ocultos, espacio de inactividad, archivos de intercambio, archivos index.dat, clústeres no asignados, particiones no utilizadas, particiones ocultas, configuraciones de registro y registros de eventos.

Funciones de la evidencia digital

Ejemplos de casos en los que la evidencia digital puede ayudar al investigador forense en el procesamiento o la defensa de un sospechoso:

1. El robo de identidad
2. Ataques maliciosos a los propios sistemas informáticos
3. Casos de Acoso o violencia de Genero
4. Fuga de información
5. Transmisión no autorizada de información.
6. Robo de secretos comerciales
7. Uso/abuso de Internet
8. Producción de documentos y cuentas falsas.
9. Cifrado no autorizado/protección con contraseña de documentos
10. Abuso de sistemas
11. Comunicación por correo electrónico entre sospechosos/conspiradores
12. Phishing
13. Fraude en el correo electrónico con facturas falsas

Reglas de evidencia

Antes de comenzar la investigación, el perito investigador debe comprender las reglas de la prueba.
La presentación de pruebas en un procedimiento judicial, particularmente en casos de delitos cibernéticos, puede plantear grandes desafíos. Se requieren conocimientos específicos para recopilar, preservar y transportar la evidencia porque la evidencia obtenida de un caso de delito cibernético puede diferir de las formas tradicionales de evidencia. A menudo, las pruebas asociadas con los delitos cibernéticos se encuentran en formato digital.

Antes del procedimiento judicial, las pruebas a presentar ante el tribunal deben cumplir con cinco
reglas básicas de prueba.