La Pericia Informática Forense II: Recolección de Evidencias

Para la recolección de las evidencias en una "escena del delito", debe considerarse a los siguientes actores:

a) Fiscal a Cargo de la Investigación,

b) Policía a Cargo de las Investigaciones,

c) Especialista en la Recopilación de Evidencias Informáticas.

Podrían darse dos situaciones:

- No se cuenta con (c)

- Se cuenta con (c)

El procedimiento de la extracción de evidencias debe siempre realizarse con un especialista en extracción de evidencias informáticas, que casi siempre no existen en las diversas dependencias del ministerio publico y policía de investigaciones. Es importante que antes de la llegada del equipo de recopilación de evidencias, se debe asegurar el área para evitar la manipulación o destrucción de las evidencias por terceros. De no contarse con el equipo de recopilación de evidencias se debe extraer la evidencia con presencia del fiscal, para lo cual se debe desconectar el equipo de sus fuentes de energía, sin realizar el proceso de apagado. Antes se deben tomar fotos de las ventanas abiertas que se tengan y registrar los enlaces de las paginas abiertas. En caso que existan redes sociales, y correos electrónicos abiertos, buscar en el acto un especialista informático forense para levantar las evidencias.

Las evidencias deben extraídas deben empacarse en contenedores donde puedan lacrase y firmar la evidencia  a fin que esta no sea manipulada, ya en el laboratorio con la presencia del fiscal pueda reabrirse el paquete para la extracción de evidencias con el especialista informático forense.
Si no se cuenta con el equipo especializado para la extraccción de evidencias, debe bloquearse la escritura del los puertos usb, para poder utilizar un adaptador de discos duros ata/ide.
Usando el Endcase, Helix, o Sleutkit, extraer una imagen del disco duro o unidad de almacenamiento para realizar una copia bit a bit de las información contenida en el dispositivo.