La informática forense es una disciplina nueva ante la necesidad actual de una especialidad técnico-legal de la justicia moderna para poder enfrentarse a los métodos y técnicas utilizadas por los intrusos informáticos.
La misión de la informática forense se centra en recolectar y utilizar la evidencia digital en casos de delitos informáticos haciendo uso de técnicas y tecnologías apropiadas. Un forense informático hace uso de estas técnicas para descubrir evidencias en un dispositivo de almacenaje electrónico, donde estaríamos hablando de discos duros, discos compactos, discos flexibles, cintas de respaldo, ordenadores portátiles, memorias extraíbles, archivos, correos electrónicos, etc.
Cuando hablamos de dar una definición concreta de la informática digital nos encontramos con varias definiciones que difieren en el tema tecnológico, los dispositivos electrónicos y las comunicaciones; por lo tanto, se buscan pistas diferentes:
- Computación forense: En este término encontramos las dos definiciones siguientes:
- Disciplina de las ciencias forenses, que consideran las tareas propias asociadas con la evidencia, además de procurar descubrir e interpretar la información en los medios informáticos para establecer los hechos y poder formular hipótesis relacionadas con el caso.
- Disciplina científica y especializada que, entendiendo los elementos propios de las tecnologías de los equipos de computación, ofrecen un análisis de la información residente en dichos equipos.
- Forensia en redes: En este punto el escenario se complica más, puesto que se hace necesaria la compresión de los protocolos, configuraciones e infraestructuras de comunicaciones para poder realizar un estudio de los mismos que nos de cómo resultado un momento específico en el tiempo y un comportamiento particular. Es decir, con estas terminologías se establece un profesional que entendiendo las operaciones de las redes de computadores, es capaz, siguiendo los protocolos y formación criminalística, de establecer los rastros, los movimientos y acciones que un intruso ha desarrollado para concluir su acción.
- Forensia Digital: Se define como una forma de aplicar los conceptos, estrategias y procedimientos de la criminalística tradicional a los medios informáticos especializados, con el fin de apoyar a la administración de justicia en su lucha contra los posibles delincuentes o como una disciplina especializada que procura el esclarecimiento de los hechos, de eventos que podrían catalogarse como incidentes, fraudes o usos indebidos, bien sea en el contexto de la justicia especializada, o como apoyo a las acciones internas de las organizaciones en el contexto de la administración de la seguridad informática.
Todo análisis forense debe cumplir una serie de principios básicos y por lo tanto la informática forense, al igual que cualquier otra disciplina forense también deberá cumplir. Estos requisitos serían los siguientes:
- Evitar la contaminación. En cualquier análisis forense hay que tener sumo cuidado de no corromper ninguna evidencia contaminándola con ningún agente externo al delito que se ha producido, ya que la evidencia se podría echar a perder.
- Actuar metódicamente, tanto para facilitar el hecho de poder reproducir los pasos seguidos para la obtención de la evidencia y su posterior verificación, como para poder ser empleados en un juicio.
- Controlar la cadena de evidencia, es decir, conocer quienes han tenido acceso a la evidencia, cuándo y dónde, de forma que se pueda demostrar en un momento dado que la misma no ha sido modificada o saboteada.