La informática forense no se encarga de prevenir delitos, para ello que encarga la seguridad informática, es importante tener claro el marco de actuación entre la informática forense, la seguridad informática y la auditoría informática.
En nuestro laboratorio de forense informática, en primer lugar realizamos una imagen forense con lo que obtenemos una copia bit a bit quedando grabados todos los archivos, las áreas borradas y las particiones escondidas. A continuación creamos una cadena de custodia, registrando tanto las personas que manejaron la evidencia con el lapso de tiempo y las fechas de entrega y recepción; así como los artículos con el fin de garantizar la integridad de los datos contenidos en los soportes de almacenamiento originales durante todo el proceso de investigación con objeto de que las pruebas no sean rechazadas en u proceso judicial.
A continuación se examina cada artículo digital, reflejando las herramientas y programas utilizados en el proceso y la base de datos creada con la información de cada archivo (metadatos) que nos llevan a la firma del archivo con indicación de los datos como autor, nombre, tamaño, ruta, fecha de su creación, ultimo acceso y fecha de modificación del mismo.
Conjuntamente se llevan a cabo una serie de análisis, exámenes y aplicamos técnicas científicas y analíticas a las estructuras tecnológicas que nos permiten identificar, preservar, analizar, extraer evidencias electrónicas generadas y presentar datos que sean validos dentro de un proceso legal.
Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar la metodología seguida y características técnicas del uso aplicado a los datos y bienes informáticos.
No solo hacemos uso de tecnología de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido.
La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo.
Podemos recuperar la información que ha sido borrada desde cualquier sistema operativo. Y podemos analizar toda aquella infraestructura tecnológica que tenga una memoria informática por lo que se pueden analizar dispositivos como discos duros, Logs de seguridad, credenciales de autentificación, trazado de paquetes de red, Correos electrónicos, fotografías, móviles, PDAs, smartphones, dispositivos GPS, impresoras, memorias USB…
