El punto en cuestión no es tanto legal como de comunicación adecuada.
La mayor parte del mundo civilizado usa la palabra "evidencia" para referirse a signos de alguna actividad, comportamiento o proceso en particular. Un dentista encuentra evidencia de caries dental, un inspector de viviendas encuentra evidencia de roedores. La palabra en uso común es bastante amplia.
Pero cuando hablas con un abogado, dices la palabra pruebas , y ella agrega mentalmente "delito criminal" sin que pongas las palabras allí, porque en su práctica, eso es lo que "pruebas" < em> siempre se refiere a.
Entonces, si, al analizar un sistema comprometido, usted señala que hay algunas pruebas de un intento fallido de inicio de sesión a las 7:35 UTC, posiblemente asumirá que usted dijo que hay evidencia de un intento de robo no autorizado a las 7:35, cuando en realidad no dijo tal cosa. Simplemente dijo que alguien intentó iniciar sesión y falló, y notó ese hecho en los registros. Los registros no mencionan si ese usuario tenía autorización para acceder a la computadora y usted no ha realizado ningún trabajo de seguimiento adicional para determinar si ese fue el caso. Es decir, los hechos que descubrió no son necesariamente el tipo de "evidencia" que está buscando, y no quiere sugerir que ya ha determinado que son relevantes.
Por lo tanto, para evitarles a los dos un montón de malentendidos y una posible vergüenza en la sala del tribunal, evita la palabra "evidencia" porque tiene un significado especial para ella. Este es el tipo de consejo que surge de la experiencia frustrante, y no es una mala idea a seguir.
Si el examinador se mete personalmente en problemas legales en tal caso, no está claro, ni creo que sea necesariamente la implicación. Pero, sin duda, podría provocar un malentendido que podría dañar el caso en los tribunales, y vale la pena considerarlo.