El Peritaje Informático se refiere a los estudios e investigaciones orientados a la obtención de una prueba o evidencia electrónica de aplicación en un asunto judicial o extrajudicial para que sirva para decidir sobre la culpabilidad o inocencia de una de las partes.

Para esto se siguen las siguientes etapas:

• Estudio Preliminar
• Adquisición de Datos
• Análisis e investigación
• Presentación

Estudio Preliminar: 

Es el estudio inicial mediante la realización de entrevistas y la documentación entregada por el cliente. El objetivo es tener una idea inicial del problema que nos vamos a encontrar. En esta etapa es importante obtener toda la información necesaria sobre:

• Persona que tiene a cargo el equipo que ha sido objeto del delito: nombre, apellidos, cargo, etc.
• Equipo afectado: modelo, serie, sistema operativo, descripción del sistema, características del equipo, etc.

En resumen, en esta primera etapa tiene lugar la obtención inicial de los datos y además debe realizarse un registro fotográfico de todo el sistema y de los dispositivos objeto del estudio.

Adquisición de Datos:

Esto se obtiene mediante el proceso de clonación, para tener una imagen clonada es necesario que el disco duro a investigar tenga sólo el acceso de modo lectura habilitado, para evitar cualquier operación de escritura en el disco. Para realizar estos procedimientos se utilizan herramientas tipo hardware y/o software.

La verificación de estos datos se realiza por medio de las funciones hash, aplicando algoritmos como MD5 o SHA (estas funciones de cifrado permiten generar un código hexadecimal que se compara con el del disco original y se verifica así que es una copia exacta y que no se ha cambiado su contenido).

Análisis e investigación:

En esta etapa se lleva a cabo el análisis de las evidencias digitales, que es un proceso que requiere un gran conocimiento de los sistemas a estudiar.

La información que se debe recolectar en esta fase, principalmente es:

• Registros de los sistemas analizados.
• Registro de logs de cortafuegos.
• Recuperación de datos (saber que se borró y una fecha estimada del borrado).
• Detección de virus o malware en el equipo.

Presentación:

En la redacción de Informe Pericial no sólo hay que recoger todas las evidencias, indicios y pruebas recabados, sino que, además hay que explicarlos de una manera clara y sencilla.

En la elaboración del Informe Pericial se deberá tener en cuenta que no todo el mundo domina conceptos básicos de informática, por lo que es importante durante la elaboración del mismo facilitar su comprensión.