La ciència forense digital (de vegades coneguda com criminalística digital), és una ciència forense en què els experts estudien els dispositius digitals per ajudar a resoldre els delictes. Entre ells s'hi inclouen telèfons mòbils.[1] Als experts a qui s'encarrega fer una “investigació” sobre un ordinador o qualsevol altre tipus d'anàlisi forense digital se'ls anomena "analistes forenses" o "investigadors forenses" .
Una investigació forense digital es duu a terme quan algú és culpat per un crim que inclou l'ús d'un ordinador o dispositiu digital, o quan les proves d'aquest delicte es poden trobar en instruments digitals.[2] L'expert buscarà proves sobre el crim, tractant de provar si la persona és culpable o no.
En resum, és una branca de la ciència forense que abasta la recuperació, investigació, examen i anàlisi de material trobat en dispositius digitals, sovint en relació amb dispositius mòbils i delictes informàtics.[3][4] El terme "criminalística digital" es va utilitzar originalment com a sinònim d' informàtica forense, però s'ha ampliat per abastar la investigació de tots els dispositius capaços d' emmagatzemar dades digitals.[3] Amb arrels en la revolució de la informàtica personal de finals dels anys 1970 i principis dels 1980, la disciplina va evolucionar de manera desordenada durant els anys 1990, i no va ser fins a principis del segle XXI que van sorgir polítiques nacionals..
Les investigacions forenses digitals tenen una gran varietat d'aplicacions. El més comú és recolzar o refutar una hipòtesi davant tribunals penals o civils. Els casos penals impliquen la presumpta infracció de lleis definides per la legislació vigent, aplicades per la policia i perseguides per l'Estat, com a assassinat, robatori i agressió contra la persona. Els casos civils, per altra banda, tracten de la protecció dels drets i la propietat de les persones (sovint associats amb disputes familiars), però també poden estar relacionats amb disputes contractuals entre entitats comercials on s'utilitza una forma d'anàlisi forense digital anomenat ediscovery.
Les anàlisis forenses també poden aparèixer al sector privat, com durant les investigacions corporatives internes o les investigacions d'intrusió (p.e.: una investigació especial sobre la naturalesa i l'abast d'una intrusió no autoritzada a la xarxa ).
L'aspecte tècnic d'una investigació es divideix en diverses subbranques relacionades amb el tipus de dispositius digitals involucrats: informàtica forense, investigació forense de xarxes, anàlisi de dades forenses i investigació forense de dispositius mòbils.[5] El procés forense típic inclou la confiscació, l'obtenció d'imatges forenses (adquisició) i l'anàlisi de mitjans digitals, seguit de la producció d'un informe de les proves recopilades.
A més d'identificar proves directes d'un delicte, la ciència forense digital es pot utilitzar per atribuir proves a sospitosos específics, confirmar coartades o declaracions, determinar- ne la intenció, identificar fonts (per exemple, en casos de drets d'autor) o autenticar documents.[6] Les investigacions tenen un abast molt més ampli que altres àrees de l'anàlisi forense (on l'objectiu habitual és proporcionar respostes a una sèrie de preguntes més simples), i sovint involucren línies de temps o hipòtesis complexes.[7]
Abans de la dècada de 1970, els delictes relacionats amb ordinadors es resolien utilitzant les lleis existents. Els primers delictes informàtics van ser reconeguts a la Llei de Delictes Informàtics de Florida de 1978,[8] que incloïa legislació contra la modificació o eliminació no autoritzada de dades en un sistema informàtic.[9] Durant els anys següents, la varietat de delictes informàtics comesos va augmentar i es va van aprovar lleis per combatre'ls. amb qüestions de drets d'autor, privadesa/assetjament (per exemple, assetjament cibernètic, maltractaments, assetjament cibernètic i depredadors en línia ) i pornografia infantil.[10][11] No va ser fins a la dècada de 1980 que les lleis federals van començar a incorporar delictes informàtics. Canadà va ser el primer país que va aprovar una legislació el 1983. lleis penals el 1989 i la Llei britànica sobre ús indegut d'ordinadors el 1990.[9][11]
El creixement dels delictes informàtics durant les dècades de 1980 i 1990 va fer que els organismes encarregats de fer complir la llei comencessin a establir grups especialitzats, generalment a nivell nacional, per manejar els aspectes tècnics de les investigacions. Per exemple, el 1984, l' FBI va crear un Equip de Resposta i Anàlisi Informàtica i l'any següent es va crear un departament de delictes informàtics dins de la brigada antifrau de la Policia Metropolitana Britànica. A més de ser professionals encarregats de fer complir la llei, molts dels primers membres d'aquests grups també eren aficionats a la informàtica i es van convertir en responsables de la investigació i la direcció inicial del camp.[12] [13]
Un dels primers exemples pràctics (o almenys publicitats) d'anàlisi forense digital va ser la persecució del hacker Markus Hess per part de Cliff Stoll el 1986. Stoll, la investigació del qual va utilitzar tècniques forenses informàtiques i de xarxes, no era un examinador especialitzat.[14] Molts dels primers exàmens forenses van seguir el mateix perfil.[15]
Al llarg de la dècada del 1990, hi va haver una gran demanda d'aquests recursos de recerca nous i bàsics. La pressió sobre les unitats centrals va portar a la creació de grups a nivell regional, i fins i tot local, per ajudar a manejar la càrrega. Per exemple, la Unitat Nacional Britànica contra Delictes d'Alta Tecnologia es va crear el 2001 per proporcionar una infraestructura nacional per als delictes informàtics, amb personal ubicat tant al centre de Londres com a les diverses forces policials regionals (la unitat es va incorporar a l'Agència contra el Crim Organitzat Seriós). (SOCA) el 2006).[13]
Durant aquest període, la ciència forense digital va sorgir a partir de les eines i tècniques ad hoc desenvolupades per aquests aficionats. Això contrasta amb altres disciplines forenses, que es van desenvolupar a partir del treball de la comunitat científica.[3][16] No va ser fins a 1992 que el terme "informàtica forense" es va utilitzar en la literatura acadèmica (encara que abans d'això, havia tingut un ús informal) ; Un article de Collier i Spaul va intentar justificar aquesta nova disciplina davant del món de la ciència forense.[17][18] Aquest ràpid desenvolupament va resultar en una manca d'estandardització i capacitació. Al seu llibre de 1995, Crim d'alta tecnologia: investigació de casos que involucren ordinadors, K. Rosenblatt va escriure el següent:
Des de l'any 2000, en resposta a la necessitat d'estandardització, diversos organismes i agències han publicat directrius per a la ciència forense digital. El Grup de Treball Científic sobre proves Digitale (SWGDE) va produir un article el 2002, Millors pràctiques per a la informàtica forense, al que va seguir, el 2005, la publicació d'una norma ISO (ISO 17025 els laboratoris de proves i calibratge )..[9][19][20] El 2004 va entrar en vigor un tractat internacional liderat per Europa, el Conveni sobre la Ciberdelinqüència, amb l'objectiu de conciliar les lleis sobre delictes informàtics, tècniques de recerca i cooperació internacional. El tractat ha estat signat per 43 nacions (inclosos Estats Units, Canadà, Japó, Sud-àfrica, Regne Unit i altres nacions europees) i ratificat per 16.
També va rebre atenció la qüestió de la formació. Les empreses comercials (sovint desenvolupadores de programes forenses) van començar a oferir programes de certificació i l'anàlisi forense digital es va incloure com a tema a Centrex, el centre de formació d'investigadors especialitzats del Regne Unit.[9] [13]
A finals de la dècada de 1990, els dispositius mòbils van començar a estar més disponibles, van anar més enllà dels simples dispositius de comunicació i es va descobrir que eren formes riques d'informació, fins i tot per a delictes no associats tradicionalment amb la ciència forense digital.[21] Tot i això, l'anàlisi digital dels telèfons s'ha quedat enrere pel que fa als mitjans informàtics tradicionals, en gran part a causa de problemes relacionats amb la naturalesa patentada dels dispositius.[22]
L'atenció també s'ha desplaçat als delictes a Internet, en particular el risc de guerra cibernètica i terrorisme cibernètic. Un informe de febrer de 2010 del Comando de Forces Conjuntes dels Estats Units va concloure el següent:
El camp de la ciència forense digital encara s'enfronta a problemes sense resoldre. Un article de 2009, "Investigació forense digital: allò bo, allò dolent i allò no abordat" de Peterson i Shenoi, va identificar un biaix cap als sistemes operatius Windows en la investigació forense digital.[23] El 2010, Simson Garfinkel va identificar els problemes que enfrontaran les investigacions digitals en el futur, incloent-hi la mida cada vegada més gran dels mitjans digitals, l'àmplia disponibilitat de xifrat per als consumidors, una creixent varietat de sistemes operatius i formats d'arxius, un nombre cada vegada més gran de persones que tenen múltiples dispositius i limitacions legals per als investigadors. El document també va identificar problemes de capacitació continuada, així com el cost prohibitivament alt d'ingressar al camp.[14]
Durant la dècada de 1980, hi havia molt poques eines forenses digitals especialitzades. En conseqüència, els investigadors sovint realitzaven anàlisis en viu dels mitjans, examinant els ordinadors des del sistema operatiu utilitzant eines d'administrador de sistemes existents per extreure "proves". Aquesta pràctica comportava el risc de modificar dades al disc, ja sigui sense adonar-se'n o d'una altra manera, cosa que va donar lloc a denúncies de manipulació de proves. A principis de la dècada del 1990 es van crear una sèrie d'eines per abordar el problema.
La necessitat d'aquest programa es va reconèixer per primera vegada el 1989 al Centre Federal de Capacitació per al Compliment de la Llei, cosa que va resultar en la creació d'IMDUMP [24](per Michael White) i el 1990, SafeBack [25](desenvolupat per Sydex). En altres països es van desenvolupar programes semblants; DIBS (una solució mixta màuina/programa) es va llançar comercialment al Regne Unit el 1991, i Rob McKemmish va llançar la imatge de disc fix de forma gratuïta per a les autoritats australianes.[12] Aquestes eines van permetre als examinadors crear una còpia exacta d'un mitjà digital per treballar, deixant el disc original intacte per verificar-lo. A finals de la dècada de 1990, a mesura que creixia la demanda de proves digitals, es van desenvolupar eines comercials més avançades, com EnCase i FTK, que permetien als analistes examinar còpies de mitjans sense utilitzar cap anàlisi forense en viu.[9] Més recentment, ha crescut una tendència cap a la "memòria forense viva", cosa que ha resultat en la disponibilitat d'eines com WindowsSCOPE.
Més recentment, s'ha produït la mateixa progressió en el desenvolupament d'eines per a dispositius mòbils ; Inicialment, els investigadors accedien a les dades directament al dispositiu, però aviat van aparèixer eines especialitzades com XRY o Radio Tactics Aceso.[9]
Una investigació forense digital generalment consta de 3 etapes:
Idealment, l'adquisició implica capturar una imatge de la memòria volàtil (RAM) de l'ordinador[28] i crear un duplicat exacte a nivell de sector (o "duplicat forense") del medi, sovint usant un dispositiu de bloqueig d'escriptura per evitar modificacions. de l'original. No obstant això, el creixement de la mida dels mitjans d'emmagatzematge i avenços com la computació al núvol [29] han portat a un major ús d'adquisicions "en viu", mitjançant les quals s'adquireix una còpia " lògica" de les dades en comptes d'una imatge completa. del dispositiu demmagatzematge físic.[26] Tant la imatge adquirida (o còpia lògica) com els mitjans/dades originals es processen mitjançant hash (utilitzant un algorisme com SHA-1 o MD5) i els valors es comparen per verificar que la còpia sigui precisa.[30]
Un enfocament alternatiu i patentat, que ha estat denominat 'criminalística híbrida'[31] o 'criminalística distribuïda'[32] combina processos forenses digitals i descobriment electrònic. Aquest enfocament es va plasmar en una eina comercial anomenada ISEEK que es va presentar juntament amb els resultats de les proves en una conferència el 2017.[31]
Durant la fase d'anàlisi, un investigador recupera material de les “probes” utilitzant diverses metodologies i eines diferents. El 2002, un article de l' International Journal of Digital Evidence es va referir a aquest pas com "una cerca sistemàtica i profunda de proves relacionades amb el presumpte delicte".[3] El 2006, l'investigador forense Brian Carrier va descriure un "procediment intuïtiu" en què primer s'identifica les “probes òbvies ” i després es realitzen cerques exhaustives per començar a "omplir els forats".[7]
El procés real d'anàlisi pot variar entre investigacions, però les metodologies comunes inclouen fer cerques de paraules clau als mitjans digitals (dins d'arxius, així com en espai no assignat i disponible), recuperar arxius eliminats i extreure informació de registre (per exemple, per enumerar comptes d'usuari, o dispositius USB connectats).
Les proves recuperades s'analitzen per reconstruir fets o accions i arribar a conclusions, feina que moltes vegades pot fer personal menys especialitzat.[3] Quan es completa una investigació, les dades es presenten, normalment en forma d'informe escrit, en termes senzills.[3]
La ciència forense digital es fa servir generalment tant en dret penal com en investigació privada. Tradicionalment s'ha associat al dret penal, on es recopilen proves per recolzar o refutar una hipòtesi davant dels tribunals. Com passa amb altres àrees de la ciència forense, això sol ser part d'una investigació més àmplia que abasta diverses disciplines. En alguns casos, les proves recopilades s'utilitzen com una forma de recopilació d'intel·ligència, amb finalitats diferents dels procediments judicials (per exemple, per localitzar, identificar o aturar altres delictes). Com a resultat, la recopilació d'intel·ligència de vegades se sotmet a estàndards forenses menys estrictes.
En litigis civils o assumptes corporatius, la ciència forense digital forma part del procés de descoberta electrònica (o eDiscovery). Els procediments forenses són similars als utilitzats en les investigacions criminals, sovint amb requisits i limitacions legals diferents. Fora dels tribunals, la ciència forense digital pot formar part de les investigacions corporatives internes.
Un exemple comú podria ser el següent d'una intrusió no autoritzada a la xarxa. Es fa un examen forense especialitzat sobre la naturalesa i l'abast de l'atac com a exercici de limitació de danys, tant per establir l'abast de qualsevol intrusió com per intentar identificar l'atacant.[6][7] Aquests atacs es feien generalment a través de línies telefòniques durant la dècada de 1980, però a l'era moderna generalment es propaguen a través d'Internet.[33]
L'objectiu principal de les investigacions forenses digitals és recuperar proves objectives d'una activitat delictiva (anomenada actus reus en el llenguatge legal). No obstant això, la diversa gamma de dades contingudes en dispositius digitals pot ajudar en altres àrees de recerca.[6]
Una important limitació d'una investigació forense és l'ús de xifratge; això interromp lexamen inicial on es podrien ubicar les proves pertinents utilitzant paraules clau. Les lleis que obliguen les persones a revelar claus de xifrat són encara relativament noves i controvertides.[14] Però cada vegada amb més freqüència existeixen solucions per forçar contrasenyes amb força bruta o evitar el xifratge, com als telèfons intel·ligents oa les PC, on mitjançant tècniques de carregador es pot primer adquirir el contingut del dispositiu i després forçar-lo a ordenar. per trobar la contrasenya o clau de xifratge.
L'examen dels mitjans digitals és cobert per la legislació nacional i internacional. En el cas de les investigacions civils, en particular, les lleis poden restringir la capacitat dels analistes per fer exàmens. Sovint hi ha restriccions contra el monitoratge de la xarxa o la lectura de comunicacions personals.[34] Durant la investigació criminal, les lleis nacionals restringeixen la quantitat d'informació que es pot confiscar.[34] Per exemple, al Regne Unit la confiscació de proves per part de les forces de l'ordre es regeix per la llei PACE.[9] Durant els seus inicis al camp, la "International Organization on Computer Evidence" (IOCE) va ser una agència que va treballar per establir estàndards internacionals compatibles per a la confiscació de proves.[35]
Al Regne Unit, les mateixes lleis que cobreixen els delictes informàtics també poden afectar els investigadors forenses. La Llei d'ús indegut de computadores de 1990 legisla contra l'accés no autoritzat a material informàtic. Aquesta és una particular preocupació per als investigadors civils que tenen més limitacions que les forces de l'ordre.
El dret d'un individu a la privadesa és una àrea de la ciència forense digital que els tribunals encara no han decidit en gran manera. La Llei de Privadesa de les Comunicacions Electròniques dels EE. UU. imposa limitacions a la capacitat de les forces de lordre o dels investigadors civils per interceptar i accedir a les proves. La llei distingeix entre comunicació emmagatzemada (per exemple, fitxers de correu electrònic) i comunicació transmesa (com VOIP). Això darrer, en considerar-se més aviat una invasió de la privadesa, és més difícil d'obtenir una ordre judicial.[9][36] L'ECPA també afecta la capacitat de les empreses per investigar els ordinadors i les comunicacions dels seus empleats, un aspecte que encara està en debat sobre fins a quin punt una l'empresa pot fer aquest seguiment.[9]
L'article 5 del Conveni Europeu de Drets Humans afirma limitacions de privadesa similars a les de l'ECPA i limita el processament i l'intercanvi de dades personals tant dins de la UE com amb països externs. La capacitat de les autoritats del Regne Unit per realitzar investigacions forenses digitals està regulada per la Llei de Regulació de Poders de Recerca.[9]
Quan s'utilitza en un tribunal de justícia, la “prova” digital es regeix per les mateixes pautes legals que altres tipus de “proves”, ja que els tribunals generalment no exigeixen pautes més estrictes.[9][37] Als Estats Units, les Regles Federals de "proves" s'utilitzen per avaluar l'admissibilitat de les "proves" digitals. Les lleis PACE i Civil Evidence del Regne Unit tenen directrius similars i molts altres països tenen les pròpies lleis. Les lleis federals dels Estats Units restringeixen les confiscacions a articles que només tenen un valor probatori obvi. Es reconeix que això no sempre es pot establir amb mitjans digitals abans d'un examen.[34]
Les lleis que tracten sobre proves digitals s'ocupen de dues qüestions:
La facilitat amb què es poden modificar els mitjans digitals significa que documentar la cadena de custòdia des de l'escena del crim, passant per l'anàlisi i, en última instància, fins al tribunal (una forma de pista d'auditoria) és important per establir la autenticitat de la "prova".[9]
Els advocats han argumentat que pel fet que, en teoria, la "prova" digital es pot alterar, això soscava la confiança de la pròpia "prova". Els jutges nord-americans estan començant a rebutjar aquesta teoria; en el cas US v. Bonallo, el tribunal va dictaminar que "el fet que sigui possible alterar les dades contingudes en un ordinador és clarament insuficient per establir que no és fiable".[9][38] Al Regne Unit, se segueixen pautes com les emeses per ACPO per ajudar a documentar l'autenticitat i integritat de les proves.
Els investigadors digitals, particularment en investigacions criminals, han d'assegurar-se que les conclusions es basen en proves fàctiques i en els coneixements experts propis.[9] Als EE. UU., per exemple, les Regles Federals d'proves, estableixen que un expert qualificat pot testificar “en forma d'opinió o altra manera” sempre que:
Cadascuna de les subbranques de la ciència forense digital pot tenir les pròpies directrius específiques per a la realització d'investigacions i el maneig de proves. Per exemple, és possible que calgui col·locar els telèfons mòbils en un escut de Faraday durant la confiscació o adquisició per evitar un major trànsit de ràdio cap al dispositiu. Al Regne Unit, l'examen forense d'ordinadors en assumptes penals està subjecte a les directrius de l'ACPO.[9] També hi ha enfocaments internacionals per brindar orientació sobre com manejar les proves electròniques. La Guia de proves electròniques del Consell d'Europa ofereix un marc per a les autoritats judicials i policials dels països que busquen establir o millorar les seves pròpies directrius per a la identificació i el maneig de proves electròniques.[39]
L'admissibilitat d'una “prova” digital depèn de les eines utilitzades per extreure-la. Als EE. UU., les eines forenses estan subjectes a l'estàndard Daubert, on el jutge és responsable de garantir que els processos i els programes utilitzats siguin acceptables.
En un article del 2003, Brian Carrier va argumentar que les directrius de Daubert requerien que el codi d'eines forenses fos publicat i revisat per parells. Ha conclòs que "les eines de codi obert poden complir de manera més clara i exhaustiva els requisits de les directrius que les eines de codi tancat".[40]
L'any 2011, Josh Brunty va afirmar que la validació científica de la tecnologia i els programes associats amb la realització d'un examen forense digital és fonamental per a qualsevol procés de laboratori. Va sostenir que "la ciència forense digital es basa en els principis de processos repetibles i "prova" de qualitat, de manera que saber com dissenyar i mantenir adequadament un bon procés de validació és un requisit clau perquè qualsevol examinador forense digital defensi els seus mètodes davant dels tribunals".[41]
La investigació forense digital no es limita a recuperar dades només de l'ordinador, ja que els delinqüents incompleixen les lleis i els petits dispositius digitals (per exemple, tauletes, telèfons intel·ligents, unitats flash) s'utilitzen àmpliament. Alguns d'aquests dispositius tenen memòria volàtil mentre que altres tenen memòria no volàtil. Hi ha suficients metodologies disponibles per recuperar dades de la memòria volàtil, però no hi ha una metodologia detallada o un marc per a la recuperació de dades de fonts de memòria no volàtil.[42] Segons el tipus de dispositius, mitjans o artefactes, la investigació forense digital es divideix en diversos tipus.
L'objectiu de la informàtica forense és explicar l'estat actual d'un artefacte digital; com un sistema informàtic, mitjà d'emmagatzematge o document electrònic.[43] La disciplina generalment cobreix ordinadors, sistemes integrats (dispositius digitals amb potència informàtica rudimentària i memòria integrada) i memòries estàtiques (com memòries USB).
La informàtica forense pot gestionar una àmplia gamma d'informació; des de registres (com l'historial d'Internet) fins als fitxers reals a la unitat. El 2007, els fiscals van utilitzar un full de càlcul recuperat de l'ordinador de Joseph Edward Duncan per demostrar premeditació i garantir la pena de mort.[6] L'assassí de Sharon Lopatka va ser identificat el 2006 després que es trobessin a l'ordinador missatges de correu electrònic seus que detallaven tortures i fantasies de mort.[9]
La ciència forense de dispositius mòbils és una subrama de la ciència forense digital relacionada amb la recuperació de "prova" o dades digitals d'un dispositiu mòbil. Es diferencia de la informàtica forense en què un dispositiu mòbil tindrà un sistema de comunicació incorporat (per exemple, GSM) i, normalment, mecanismes d'emmagatzematge propietaris. Les investigacions solen centrar-se en dades simples, com ara dades de trucades i comunicacions (SMS/correu electrònic), en lloc d'una recuperació en profunditat de dades eliminades.[9][44] Les dades SMS d'una investigació sobre dispositius mòbils van ajudar a exonerar Patrick Lumumba de l' assassinat de Meredith Kercher.[6]
Els dispositius mòbils també són útils per proporcionar informació d'ubicació; ja sigui des de GPS incorporat/rastreig d'ubicació o mitjançant registres del lloc cel·lular, que rastregen els dispositius dins del seu abast. Aquesta informació es va utilitzar per localitzar els segrestadors de Thomas Onofri el 2006.[6]
La ciència forense de xarxes s'ocupa del seguiment i l'anàlisi del trànsit de la xarxa informàtica, tant local com WAN / Internet, per tal de recopilar informació, recopilació de proves o detecció d'intrusions.[45] El trànsit sol ser interceptats a nivell de paquet i emmagatzemats per a la posterior anàlisi o filtrats en temps real. A diferència d'altres àrees de la ciència forense digital, les dades de la xarxa solen ser volàtils i poques vegades es registren, cosa que fa que la disciplina sigui sovint reaccionària.
El 2000, l' FBI va atreure els pirates informàtics Aleksey Ivanov i Gorshkov als Estats Units per a una entrevista de treball falsa. En monitorar el trànsit de xarxa des dels ordinadors de la parella, l'FBI va identificar contrasenyes que els van permetre recol·lectar "prova" directament des d'ordinadors amb seu a Rússia.[9] [46]
L'anàlisi de dades forenses és una branca de la ciència forense digital. Examina dades estructurades per descobrir i analitzar patrons d'activitats fraudulentes, p.e. resultants de delictes financers.[46]
Criminalística d'imatges digitals (o anàlisi forense d'imatges digitals) és una branca de la criminalística digital que s'ocupa de l'examen i la verificació de l'autenticitat i el contingut d'una imatge.[47] Aquests poden variar des de fotografies retocades amb aerògraf de l'era de Stalin fins a elaborats vídeos deepfake.[48][49] Això té àmplies implicacions per a una àmplia varietat de delictes, per determinar la validesa de la informació presentada en judicis civils i penals, i per verificar imatges i informació que circulen a través de notícies i xarxes socials.[50][49]
La ciència forense de bases de dades és una branca de la ciència forense digital relacionada amb l'estudi forense de bases de dades i les seves metadades.[51] Les investigacions utilitzen continguts de bases de dades, fitxers de registre i dades en RAM per crear una línia de temps o recuperar informació rellevant.
La ciència forense d'IoT és una branca de la ciència forense digital que té l'objectiu d'identificar i extreure informació digital de dispositius pertanyents al camp d'Internet de les coses, per utilitzar-la en investigacions forenses com a possible font de “prova”.[52]