Para realizar el análisis de un tráfico de red es necesario adquirirlo y almacenarlo con el fin de poderlo reproducir y analizar y, en última instancia, presentarlo como prueba en un juicio.

Actualmente, no existe ningún protocolo para adquirir este tipo de evidencias, por lo que se opta por usar ficheros log de conexión o utilizar herramientas de captura que no garantizan la integridad de la evidencia adquirida.

Los ficheros que se generan al capturar el tráfico se utilizan para replicar eventos, un ciberataque por ejemplo, o demostrar un hecho, como la exfiltración de datos en una empresa, la comisión de un delito, llevado a cabo por una persona física, o su exculpación.

Debido a que estos ficheros permiten demostrar hechos, se presentan en juicio como pruebas de hecho, sin tener en cuenta que estos son susceptibles de ser modificados y que no se ha seguido un protocolo a la hora de generarlos, dejando de lado las principales características de una prueba, como son garantía, integridad, verificabilidad e identificación. Estas características constituyen la denominada cadena de custodia de una evidencia.

En la actualidad, las evidencias de esta naturaleza (tráfico de red), no están sujetas a estos requisitos, permitiendo ser alteradas y aún así, utilizándose como prueba en juicios.

A continuación se detalla el método utilizado actualmente para la adquisición de evidencias de esta índole, haciendo un análisis de su estructura interna, metodología de adquisición y constitución de evidencia. Una vez expuesto el método actual, se proponen unos ejemplos de alteración de las evidencias, así como sus posibles consecuencias, y por último se propone una nueva metodología que garantiza y asegura el cumplimiento de todos los requisitos de una evidencia digital.