Requisitos de la investigación forense

Abstract

Por lo general la investigación nunca se lleva a cabo sobre los soportes de datos originales. Si se trata de un disco duro o un soporte que admita acceso en modo escritura, la razón para ello es obvia: cuando el investigador monta en su estación de trabajo las particiones de un soporte de datos sospechoso con el propósito de examinarlas, aquellas pueden experimentar algunos cambios. Esto proporcionaría al abogado de la parte contraria argumentos para impugnar la evidencia alegando que no se ha mantenido la cadena de custodia. Los modernos sistemas de archivos -NTFS (en entornos Windows), ext3, ext4, ReiserFS (para Linux), o HFS+ (Apple OSX), disponen de una funcionalidad de verificación de transacciones para hacer posible la auto reparación de las estructuras de datos en caso de fallo o apagado irregular del sistema. Por ello, a continuación, se detallan una serie de requisitos que se cumplen al momento de iniciar una investigación forense.