El perito informático debe ser un experto en la materia y utilizar con destreza herramientas especializadas en la investigación informática, para adquirir las evidencias electrónicas que sirvan como pruebas a la hora de resolver un caso.
A diferencia de otro tipo de pruebas, como puede ser la documentación en papel, las evidencias electrónicas son pruebas físicas aunque de carácter intangible, ya que generalmente son rastros almacenados en equipos informáticos.
El ordenador registra los datos de todas las actividades que realiza. Dichos registros o logs son fundamentales en las investigaciones informáticas, siempre que se pueda comprobar que no han sido manipulados. Los servidores de correo, cortafuegos o el router también generan logs.
En ocasiones, para la adquisición o recolección de la evidencia electrónica, el perito informático utiliza herramientas especializadas en la investigación informática. Recovery Labs cuenta también con herramientas propias desarrolladas por el departamento de I+D.
Durante la investigación, el perito informático se puede encontrar con algunos obstáculos, como por ejemplo la dificultad a la hora de reconstruir la evidencia electrónica debido a que los datos están dañados o han sido eliminados. Por ello, el servicio de peritaje informático de Recovery Labs ofrece la posibilidad de recuperar los datos que puedan utilizarse como prueba.
Para llevar a cabo la recuperación con total garantía, Recovery Labs cuenta con uno de los principales laboratorios de recuperación de datos de Europa, equipado con la tecnología más avanzada.
Al adquirir y tratar la evidencia electrónica, los elementos que deben regir el trabajo del perito informático son: la no alteración de la prueba y el principio de imparcialidad. En este sentido, y con el fin de garantizar la autenticidad y seguridad de la información que constituye la prueba, la IOCE (International Organization on Computer Evidence) propone cinco principios sobre la adquisición y el tratamiento de la evidencia electrónica: