Los expertos en informática forense tienen que cumplir muchas normas y reglamentos para que las pruebas que descubran sean aceptables para los tribunales.
El primer paso para obtener pruebas informáticas forenses es obtener una orden de registro para incautar el sistema sospechoso. Esta orden debe incluir un texto que permita a los investigadores incautar no sólo el ordenador, sino también cualquier periférico que se considere relacionado con el delito. Un presunto falsificador, por ejemplo, puede haber utilizado su ordenador, un escáner y una impresora para producir sus documentos falsificados, en cuyo caso habría que incautar los tres elementos para obtener pruebas.
Si se cree que las pruebas están contenidas en los correos electrónicos, esto también debe mencionarse específicamente en la orden de registro. El correo electrónico es un área sensible, ya que puede considerarse personal, por lo que se necesita una justificación sólida antes de permitir el registro del correo electrónico de un sospechoso.
La orden también debe ser clara en cuanto a la búsqueda de servidores de red y de archivos, si se incluyen los medios de copia de seguridad, y si el hardware, el software y los periféricos pueden ser retirados a otro lugar para llevar a cabo la búsqueda.
En cualquier caso, los datos no relacionados con el delito no deben tocarse. Los médicos, los abogados y los clérigos almacenan documentos en sus ordenadores y gran parte de esta información es confidencial. Mientras que el experto en informática forense necesita descubrir pruebas, se debe tener cuidado para proteger la información personal de cualquier tercero inocente.
Incautación de equipos para la informática forense
Los investigadores sólo pueden incautar equipos relacionados con el caso; conocer la función del ordenador indicará lo que se debe incautar. Por ejemplo, si se cree que el ordenador se utilizó para almacenar pruebas, todos los medios de almacenamiento deben ser incautados para la inspección informática forense. Si el ordenador ejecutaba programas para recopilar y analizar información, deberá incautarse cualquier libro relevante que se encuentre en el lugar de los hechos para ayudar al LABORATORIO DE INFORMÁTICA FORENSE a entender los programas.
Si el sospechoso está presente, debe impedirse que toque el ordenador. No se debe permitir que un ordenador que esté funcionando en el momento de la incautación se apague, desconectando el enchufe de la pared se evitará que cualquier programa borre información incriminatoria durante la secuencia de apagado. El perito informático forense puede probar la secuencia de apagado más tarde, para ver si incluye algún programa destructivo.
Desmontaje de equipos para la informática forense
Cuando se retira un ordenador y sus periféricos de la escena del crimen, hay que tener mucho cuidado al desmantelar el equipo para evitar que se active cualquier programa malicioso en caso de que el sistema de alimentación del ordenador sea una trampa.
Antes de comenzar el desmontaje, se debe fotografiar o grabar un vídeo de toda la instalación, tomar notas en cada paso y etiquetar cada cable indicando dónde se ha conectado. Hay varias formas de montar un ordenador y sus periféricos, y cuando llegue al laboratorio forense el sospechoso deberá estar montado exactamente igual que en la escena del crimen.
