La informática forense es el uso de métodos con base en investigación y análisis que sirve para reunir y preservar en buen estado las evidencias halladas en los dispositivos móviles en una manera adecuada. Esto se lleva a cabo para que el material recabado pueda ser presentado en tiempo y forma ante un tribunal de justicia.

Los investigadores forenses suelen seguir un conjunto estándar de procedimientos: Después de aislar físicamente el dispositivo en cuestión para asegurarse de que no puede contaminarse accidentalmente, los investigadores hacen una copia digital de los medios de almacenamiento del dispositivo. Una vez que el medio original ha sido copiado, éste se bloquea en un lugar seguro, alejado de elementos que lo puedan dañar para mantener su condición. Toda investigación se lleva a cabo en la copia digital.

Los investigadores utilizan una variedad de técnicas y aplicaciones de software forenses patentadas para examinar la copia, buscando carpetas ocultas y espacio en disco sin asignar para copias de archivos eliminados, o archivos dañados cifrados. Cualquier evidencia encontrada en la copia digital está cuidadosamente documentada en un «informe de búsqueda» y se verifica con el original en la preparación de los procedimientos judiciales que involucran descubrimiento, deposiciones, o un litigio real.

La informática forense se ha convertido en su propia área de conocimientos científicos, con el acompañamiento de los cursos y la certificación.

Un componente importante del proceso electrónico de descubrimiento más amplio es el análisis de datos forenses e investigación de datos recuperados. El análisis de datos forenses es tanto un arte como la ciencia. Cada caso presenta desafíos únicos, y hechos que a menudo se pueden ocultar a la vista. El objetivo del análisis de datos de la informática forense es determinar los hechos, según consta en los sistemas informáticos y los medios electrónicos, de una manera eficiente y no sesgada. En resumen, se trata de seguir la cadena de pruebas que se desarrolla.

El análisis de datos en la informática forense va más allá de la investigación inicial para incluir:

– Aseguramiento de que la prueba electrónica es admisible en un tribunal de justicia.
– La búsqueda de información y la determinación de la historia, la autenticación y el origen de los documentos electrónicos pertinentes.
– El uso de datos electrónicos para reconstruir eventos o corroborar las denuncias y reclamos.
– Minimizar el impacto de la expoliación.
– La vinculación de pruebas en conjunto para probar el caso.
– Preparación de pruebas de apoyo en litigios, incluida la deposición y el testimonio de testigos expertos.