Es la aplicación de métodos y técnicas, científicas y analíticas a infraestructura tecnológica, para la Identificación, Preservación, Análisis y Presentación de información que pueda ser válida en un procedimiento legal.

En pocas palabras, es la forma adecuada de incorporar a un procedimiento legal, una evidencia de origen digital, ya sean imágenes, audios, videos, mensajes de textos, registros de llamadas o cualquier elemento digital que permitan probar algún hecho en un litigio.

El perito informático, es el profesional que puede auxiliar a alguna de las partes que intervienen en un proceso judicial. Está capacitado para el correcto manejo técnico de las evidencias digitales, realizando su trabajo bajo los estándares y buenas prácticas, internacionalmente aceptadas, además de tener los conocimientos necesarios para identificar las diferentes etapas del procedimiento legal en que interviene y de esa manera poder coadyuvar para una adecuada estrategia de litigación,en cuanto a aportación de evidencias digitales se refiere.

El artículo 368 del CNPP que regula la prueba pericial, establece que: "Podrá ofrecerse la prueba pericial cuando, para el examen de personas, hechos, objetos o circunstancias relevantes para el proceso, fuere necesario o conveniente poseer conocimientos especiales en alguna ciencia, arte, técnica u oficio." De esta manera, un perito informático podrá coleccionar, preservar, analizar, interpretar y explicar frente a un tribunal, cómo sucedieron los hechos, con base en la evidencia estudiada.

De igual manera, el artículo 136 del mismo código, prevé la figura del consultor técnico: "Si por las circunstancias del caso, las partes que intervienen en el procedimiento consideran necesaria la asistencia de un consultor en una ciencia, arte o técnica, así lo plantearán al Órgano jurisdiccional. El consultor técnico podrá acompañar en las audiencias a la parte con quien colabora, para apoyarla técnicamente." Esto quiere decir que, en la etapa del desfile probatorio, podría cuestionar el desempeño técnico de la contraparte e identificar algunas omisiones o deficiencias en el estudio realizado por esta.

Actualmente, en muchas salas de juicio se incorporan estos mensajes de esta manera, sin embargo no es la manera correcta y un medio de prueba incorporado de esta manera, podría ser susceptible de ponerlo en duda o desacreditarlo por varias razones:

1. No son los mensajes originales, son una representación impresa de un archivo de imagen que fue generado en un dispositivo (captura de pantalla o screenshot), por tanto lo que se está incorporando es un documento impreso, no los mensajes.

2. Al ser un archivo de imagen digital, puede ser susceptible de modificación o alteración mediante algún software editor de imágenes, por lo que no hay certeza de que su integridad se encuentre intacta.

3. Esas capturas pueden ser "fabricadas" cualquier persona podría cambiar el nombre de contacto, y ese nombre nuevo se vería reflejado en la interfaz del chat donde se mantiene la conversación con la otra persona, de tal modo que puedo sustituir cualquier nombre de contacto por otro e intentar hacer creer que la conversación fue con esa otra persona.

4. Una verdadera evidencia digital, va acompañada de su firma digital que asegura la integridad y mismidad del contenido, es decir acredita que no haya sido alterada o manipulada. Además que se ve acompañada de metadatos que identifican el origen de ese archivo digital.

Por estas y más razones, es que las evidencias digitales tienen su manera muy específica de ser incorporadas a un proceso legal.

La Cadena de custodia digital, es un valor de integridad que permite saber si un archivo o medio de almacenamiento fue alterado o modificado.

Ejemplo: Cuando se asegura un teléfono celular, el procedimiento forense tradicional establece que se debe levantar el indicio, embalar en una bolsa o caja, sellar y etiquetar. Una vez hecho lo anterior, se procede a llenar el formato de registro de cadena de custodia (RCC).

Sin embargo, ese RCC ¿Qué está protegiendo... el indicio o la información contenida? Obviamente solo está preservando lo físico, de tal forma que si el indicio sigue encendido y conectado a una red telefónica es susceptible de seguir recibiendo llamadas, mensajes, notificaciones, ser localizado o incluso recibir un comando de borrado remoto de información (a menos que haya sido embalado en una bolsa o caja de Faraday que aísle las comunicaciones, lo cual es poco probable). Por tanto es altamente probable que el contenido "original" pueda ser manipulado o alterado.

En caso de que hayan apagado el dispositivo  para "asegurar el contenido" y después haberlo embalado, ese hecho provocó que la información volátil (almacenada de manera temporal como credenciales de acceso en memoria, Procesos en ejecución, Conexiones de red, etc.) se hayan perdido, toda vez que esa información al ser volátil, en el momento de quitar el suministro de energía, se pierde por completo, además que es altamente probable que cuando se inicie el dispositivo, pida algún método de autenticación como contraseña, PIN o patrón.

Es por ello que la Cadena de custodia digital, debe asegurar la mismidad y no alteración de los elementos digitales almacenados en un medio o dispositivo.

Le llamamos evidencia tradicional a aquellos elementos que los autores clásicos de las ciencias forenses, han clasificado en tres grandes grupos (Indicios Físicos, Químicos y Biológicos) como pueden ser balas, armas, iniciadores de fuego, restos de sustancias, sangre o restos biológicos, etc. Aquellos elementos que pueden ser levantados o se les puede tomar una muestra y susceptibles de ser embalados, sellados y etiquetados.

Sin embargo, la evidencia digital es de naturaleza intangible, no se puede levantar, sellar o etiquetar ( ¿Cómo preservas un mensaje de WhatsApp, una imagen digital o una conexión a un equipo a través de internet? ). Las capturas de pantalla o screenshots son susceptibles de ponerlas en duda, a fin de cuentas son archivos de imágenes que pueden ser editables o simuladas. Puedes levantar, sellar y etiquetar un Teléfono celular, una computadora o una memoria USB, pero ¿cómo aseguras que la información que contiene no se modifique?

Es por ello que es de suma importancia entender que la evidencia digital, tiene características que la diferencian de la evidencia tradicional, como son:

1.- Capacidad de Duplicación: Es decir, la capacidad de crear copias exactas del contenido almacenado en un medio de almacenamiento o memoria, conocido como imagen forense.

2.- Volatilidad: Es decir, el alto riesgo de alteración o su pérdida total en el caso de quitar el suministro de energía (Cómo cuando estas trabajando un texto en Word y de repente se va la luz y no tienes activado el guardado automático)

3.- Facilidad de alteración: Es fácilmente alterable o modificable ante un manejo no especializado o cuando no se tiene un cuidado adecuado.

4.- Cantidad de Metadatos que posee: Los metadatos son información extra relacionada con un archivo. Si tomamos como ejemplo una foto tomada con un celular, podremos obtener la fecha y hora de creación, fecha de modificación, Dispositivo del que fue tomada esa foto y dependiendo de las configuraciones del equipo, hasta la ubicación dónde fue tomada esa fotografía.