Antes de adentrarnos en la explicación del concepto, es necesario aclarar qué entendemos por «evidencia». De acuerdo con López Geliz, la «evidencia» se refiere al «elemento material probatorio» o «evidencia física», es decir, cualquier cosa u objeto que pueda proporcionar información directa o indirecta sobre aspectos estructurales de un delito o la identidad del acusado. En otras palabras, la cosa u objeto que, por sí solo, tenga la cualidad demostrativa o probatoria de las circunstancias en que ocurrió un delito.
Con esta definición clara, podemos afirmar que la informática forense se encarga de buscar y recopilar evidencia almacenada en medios digitales para responder a interrogantes internos en una organización o en el contexto de una disputa legal. También tiene la finalidad de determinar quién, desde dónde, cómo, cuándo y qué acciones llevó a cabo un intruso en los sistemas afectados por un incidente de seguridad.
Según una nota en la página web agencia6.com, realizada por Javier Blanco, el profesional forense digital realiza diversas tareas, entre las que se encuentran:
- Llevar a cabo investigaciones de violación de datos y seguridad.
- Recuperar y examinar datos de computadoras y dispositivos de almacenamiento electrónico.
- Desmontar y reconstruir sistemas dañados para recuperar datos perdidos.
- Identificar sistemas adicionales comprometidos por ataques cibernéticos y recopilar evidencia para casos legales.
El objetivo principal de estos profesionales es identificar al autor de un delito cibernético, obtener pruebas contundentes contra él y asegurarse de que dicha evidencia sea admisible en un tribunal de justicia.
Es importante mencionar que en algunas ocasiones, al realizar búsquedas de elementos de evidencia, puede ocurrir que no se encuentre el objeto buscado. En estos casos, los informes pueden expresar que «no hay elementos de evidencia» para identificar «quién, desde dónde, cómo, cuándo y/o qué acciones» se llevaron a cabo.