Las pruebas informáticas son datos que se obtienen del disco duro de una computadora y se utilizan en el proceso de una investigación de un delito. Debido a que es relativamente fácil corromper los datos almacenados en un disco duro, los expertos forenses hacen todo lo posible para asegurar y proteger las computadoras confiscadas como parte del proceso de investigación. La extracción de datos debe llevarse a cabo en circunstancias altamente controladas y debe ser realizada por profesionales del orden público que estén específicamente capacitados en el proceso.
No es inusual que las computadoras se recolecten cada vez que se encuentran en la escena del crimen. Por ejemplo, cuando se encuentra a una persona asesinada en su casa, existe una buena posibilidad de que se confisque cualquier computadora portátil o de escritorio que se encuentre en el lugar. De la misma manera, si un individuo es arrestado bajo sospecha de algún tipo de fraude o malversación, es probable que sus computadoras personales y de trabajo sean recolectadas para su análisis por expertos.
El proceso de búsqueda de pruebas informáticas comienza con una revisión exhaustiva de todos los archivos que se encuentran en el disco duro. Para lograr esto, el disco duro se revisa cuidadosamente en busca de archivos ocultos o seguros que pueden no ser evidentes. Debido a que los discos duros guardan copias de archivos que se eliminan de directorios públicos, los expertos involucrados en la investigación forense buscarán localizar y extraer archivos que fueron eliminados. Esto es importante, ya que existe la posibilidad de que incluyan datos que puedan confirmar la culpabilidad o posiblemente proporcionar pruebas de que la persona arrestada no participó en la comisión del delito.
Muchos tipos diferentes de archivos pueden generar pruebas informáticas que pueden ayudar a resolver un delito. Las imágenes visuales, los correos electrónicos, las hojas de cálculo y otros tipos comunes de archivos se pueden cifrar y ocultar en varios cachés del disco duro. Los expertos saben cómo encontrar estos cachés ocultos, acceder a ellos y ver el contenido de esos cachés. Muchos sistemas operativos realizan automáticamente esta función incluso cuando se eliminan archivos, creando copias que se colocan en los cachés ocultos. Esto significa que incluso si el delincuente ha tomado medidas para borrar las pruebas incriminatorias del disco duro, es muy probable que uno o más de estos cachés ocultos se pasen por alto y puedan ser extraídos por la policía.
La recopilación de pruebas informáticas es una tarea altamente especializada que generalmente se lleva a cabo en pasos específicos. Una vez que se confisca la computadora, se transporta a un sitio seguro. Solo un número limitado de personas autorizadas tiene acceso al sistema mientras se extrae en busca de posibles pruebas. Debido a que la minería y la extracción se llevan a cabo en condiciones tan estrictas, es prácticamente imposible que se manipule el disco duro. Esto hace posible que cualquier evidencia recopilada sea útil en la investigación en curso.
El uso de pruebas informáticas en los tribunales ha ganado una mayor aceptación en los últimos años. Las preocupaciones sobre la manipulación o el daño a la evidencia en años pasados a veces llevaron a restricciones sobre cuánta evidencia recopilada de las computadoras podría afectar a un caso determinado. Sin embargo, a medida que la aplicación de la ley ha mejorado sus métodos para preservar y proteger los discos duros de una posible contaminación, más sistemas legales de todo el mundo consideran que las pruebas informáticas son totalmente admisibles en los tribunales.