Tanto el descubrimiento electrónico como el análisis forense digital implican la identificación, preservación, recopilación, revisión y producción de ESI, pero difieren en el proceso de recopilación y el tipo de ESI que se recopila. Antes de que pueda decidir si su caso amerita ponerse en contacto con un perito en electrónica industrial para un análisis forense digital, debe estar al tanto de lo que ofrece el análisis forense digital.
¿Qué incluye el análisis forense digital que carece de E-Discovery?
El análisis forense digital esencialmente realiza una autopsia del disco duro de una computadora para identificar quién, qué, dónde, cuándo y por qué desde una computadora. El análisis forense digital produce una réplica exacta del dispositivo de almacenamiento original, lo que permite la investigación sin alterar la evidencia original. Esta copia forense (a menudo denominada imagen reflejada) incluye todos los datos fácilmente accesibles, así como el contenido menos accesible. Esto incluye:
- Datos almacenados automáticamente: las computadoras almacenan una gran cantidad de datos automáticamente, a menudo a través de funciones de respaldo automático. Las copias de los archivos se guardan periódicamente, normalmente en un directorio diferente al del archivo activo. En la mayoría de los sistemas en red, los archivos almacenados automáticamente se guardan en el disco duro del usuario en lugar del servidor de red. Como resultado, un archivo que se eliminó del servidor aún puede existir como una copia en el disco duro del usuario.
- Archivos eliminados: eliminar un archivo no lo destruye, simplemente le dice a la computadora que el espacio físico que alguna vez perteneció al archivo eliminado ahora está disponible. Los datos pueden permanecer en el disco duro hasta que un software de utilidad los sobrescriba o los «borre».
- Datos “fantasmas” o residuales: los datos residuales se refieren a la información que se puede recuperar del sistema informático, pero que no aparecen como datos accesibles al ejecutar un comando de archivo o directorio. Esto incluye archivos eliminados, fragmentos de archivo, archivo de holgura y espacio no asignado.
- Datos del sistema: los datos del sistema son el rastro electrónico de actividad que se genera en una computadora o red, generalmente sin el conocimiento del usuario. Esto incluye un registro de cada vez que un usuario inicia o cierra sesión, los sitios web visitados, las contraseñas utilizadas, si se eliminó un documento y cuándo, y si un documento se descargó, copió o imprimió, y en qué dispositivo externo.
- Software de limpieza: el software anti-forense (comúnmente llamado «software de limpieza») está diseñado para eliminar todo rastro de datos de un disco duro u otro dispositivo periférico. Ya sea que se trate de un borrado completo de todo el disco duro o se limite solo al espacio de almacenamiento no asignado, el software deja un patrón característico, lo que permite que se detecte a través del proceso forense informático.
El análisis forense digital da una vista detallada de todos los datos disponibles, pero también puede parecer abrumador leer toda esta información. Los forenses certificados trabajan con usted para identificar, recopilar, analizar, seleccionar y recuperar todos (y solo) los ESI potencialmente relevantes.