En el transcurso de una investigación criminal, es posible que se necesite recopilar y analizar datos de sistemas de computación, redes, comunicaciones inalámbricas y dispositivos de almacenamiento. El acto de recopilar y analizar datos para este propósito se denomina “informática forense”. El proceso de informática forense abarca tanto las leyes de TI como leyes específicas para asegurar que los datos recopilados se admitan como evidencia en un tribunal.
Según el país, el uso ilegal de PC o de red puede incluir lo siguiente:
- Robo de identidad.
- Uso de una PC para la venta de productos ilegítimos.
- Uso de software pirata en una PC o una red.
- Uso de una PC o red para crear copias no autorizadas de materiales protegidos por leyes de derechos de autor, como películas, programas de televisión, música y videojuegos.
- Uso de una PC o red para la venta de copias no autorizadas de materiales protegidos por leyes de derechos de autor.
- Pornografía.
Esta lista no es exhaustiva.
Durante los procedimientos de informática forense, se recopilan dos tipos de datos: datos persistentes y datos volátiles.
Datos persistentes: los datos persistentes se almacenan en una unidad local, como un disco duro interno o externo, o en una unidad óptica. Estos datos se conservan cuando se apaga la PC.
Datos volátiles: la RAM, la caché y los registros contienen datos volátiles. Los datos en tránsito entre un medio de almacenamiento y una CPU también son datos volátiles. Es importante saber capturar estos datos, ya que desaparecen apenas se apaga la PC.