El análisis forense digital investiga y reconstruye los incidentes de ciberseguridad mediante la recopilación, el análisis y la preservación de pruebas digitales, es decir, los rastros que dejan los actores de amenazas, como archivos de malware y scripts maliciosos. Estas reconstrucciones permiten a los investigadores identificar las causas raíz de los ataques e identificar a los culpables.

Las investigaciones forenses digitales siguen una estricta cadena de custodia o un proceso formal para rastrear la recopilación y el tratamiento de las pruebas. La cadena de custodia permite a los investigadores demostrar que las pruebas no han sido manipuladas. Como resultado, las pruebas de las investigaciones forenses digitales pueden utilizarse para fines oficiales, como casos judiciales, reclamaciones de seguros y auditorías reglamentarias.

El Instituto Nacional de Estándares y Tecnología (NIST) (enlace externo a ibm.com) describe cuatro pasos para investigaciones forenses digitales: