Cadena de custodia en el peritaje informático

Perito informático forense

La cadena de custodia de la prueba informática es clave para el éxito del procedimiento judicial. Aquí analizo cómo evitar la contaminación de la prueba digital protegiendo la cadena de custodia de esta.

Para entender la necesidad de proteger las pruebas analizaré qué es la cadena de custodia y para qué sirve.

¿Qué es la cadena de custodia de la prueba?

Podemos definir la cadena de custodia como un procedimiento, oportunamente documentado, que permite constatar la identidad, integridad y autenticidad de los vestigios o indicios delictivos, desde que son encontrados hasta que se aportan al proceso como pruebas.

Es el camino que sigue la prueba desde su obtención hasta su presentación en el juicio oral. En este proceso la prueba va pasando por los diferentes eslabones de una cadena. Así, entendemos por eslabón los distintos personajes que la manejan, el medio de obtención, que se ha hecho con ella desde su localización y cuándo.

La Sentencia del Tribunal Supremo (Sala de lo Penal) 208/2014, de 10 de marzo de 2014 considera que: «Entendemos por la doctrina como «cadena de custodia», el conjunto de actos que tienen por objeto la recogida, el traslado y la conservación de los indicios o vestigios obtenidos en el curso de una investigación criminal, actos que deben cumplimentar una serie de requisitos con el fin de asegurar la autenticidad, inalterabilidad e indemnidad de las fuentes de prueba.»

Hoja de ruta de la prueba

Por ello, en la cadena de custodia, a la que podría denominarse «hoja de ruta de la prueba», cada persona que tiene contacto con la evidencia se convierte en un eslabón garante de su resguardo. Esto permite comprobar la trazabilidad que siguen los elementos de prueba, las condiciones adoptadas para su salvaguarda y las personas encargadas de su custodia.

Para examinar adecuadamente si se ha producido una ruptura relevante de la cadena de custodia no basta con el planteamiento de dudas de carácter genérico. Resulta necesario precisar en qué momentos, a causa de qué actuaciones y en qué medida se ha producido tal interrupción.

La cadena de custodia puede acreditarse documentalmente o mediante testimonio. De forma habitual la constancia de la regularidad de la cadena estará reflejada documentalmente en el procedimiento judicial, si bien aspectos más complejos u omisiones de algún eslabón pueden ser suplidos mediante el testimonio de los agentes intervinientes.

En definitiva, el debate sobre la cadena de custodia se centra en la fiabilidad de la prueba. No en el de su validez.

¿Para qué sirve la cadena de custodia?

Según el Tribunal Supremo la finalidad de la cadena de custodia es: “garantizar la exacta identidad de lo incautado y de lo analizado. Tiene por tanto un valor instrumental para garantizar que lo analizado fue lo mismo que lo recogido.»

Consecuentemente, resulta imprescindible para que el análisis pericial no pueda ser impugnado en la investigación criminal.

La cadena de custodia establece las reglas técnicas y jurídicas para que la investigación judicial sea conforme a Derecho. Se evita la contaminación de los medios probatorios.

Es importante que al localizar el material objeto de investigación se documente y fotografíe la obtención de la prueba.

Igualmente mencionar la posibilidad de que los dispositivos que queremos utilizar como prueba se clonen y calculen las «claves HASH». Las funciones hash son estructuras de datos de uso común en los sistemas informáticos para tareas, como verificar la integridad de los mensajes y autenticar la información. Añaden características de seguridad a las funciones típicas de estos sistemas. 

En otro artículo se detalla el protocolo de actuación para establecer la cadena de custodia y análisis forense de ordenadores en procesos judiciales.

Cadena de custodia – clonar discos duros en Notaría

La importancia de preservar la cadena de custodia de la prueba informática

Hemos visto que la cadena de custodia garantiza la fiabilidad de la prueba digital que se aporta al juicio, así como una adecuada defensa mediante la correspondiente pericial informática.

Por lo expuesto, la prueba electrónica constituye un elemento de fácil manipulación. Y, si lo unimos a la singularidad técnica de la misma, se hace aún más preciso el hecho de preservar adecuadamente su autenticidad e integridad.

Esto es así debido a que las pruebas digitales tienen las siguientes características:

  • Intangibles. La prueba informática no puede apreciarse de forma directa a través de los sentidos, sólo puede hacerse a través de complejos procesos informáticos. 
  • Replicables. Al encontrarse en formato digital, la prueba puede ser copiada o replicada todas las veces como se quiera. De esta forma es difícil diferenciar la prueba original de la copia. No obstante, si se prueba sin lugar a duda que ambas son exactas bit a bit la fuerza probatoria es la misma. 
  • Volátiles. Este tipo de pruebas son inconstantes por la naturaleza intangible que tienen y están sujetas a la posibilidad de modificación o alteración, por lo que es aún más difícil que la prueba informática tenga capacidad probatoria. 
  • Delebles. La prueba digital puede ser destruida fácilmente, sin ser necesaria la destrucción del soporte digital donde se encuentra. 
  • Parciales. Es habitual que las pruebas informáticas estén formadas por varios ficheros, repartidos en diferentes localizaciones, como una nube donde se almacena información, y soportes, lo que hace más compleja la conservación. 

Consecuencias de la ruptura de la cadena de custodia

Investigar y enjuiciar delitos realizados a través de internet suele ser en la mayoría de las ocasiones más difícil que hacer lo mismo con otro tipo de delitos. Los ciberdelitos brindan una sensación de impunidad al delincuente debido al anonimato que ofrece Internet. Además, es muy complicado obtener, recoger y conservar las pruebas informáticas por las características mencionadas anteriormente, por lo que seguir una correcta cadena de custodia puede garantizar que las evidencias obtenidas puedan ser utilizadas en un proceso judicial. 

Antes de presentar una prueba en el juzgado debemos asegurarnos de su licitud y veracidad. Es decir, que tanto la obtención como la custodia se ha llevado a cabo sin vulnerar ninguna Ley.

Es por ello, que la importancia de llevar a cabo de forma correcta la cadena de custodia es fundamental ya que, debido a las características propias de las pruebas digitales, puede ser la diferencia entre poder utilizarlas o no como pruebas en un proceso judicial. 

Cuando se rompe la cadena de custodia digital se favorece que los cibercriminales y otros delincuentes que dejan pruebas en los dispositivos electrónicos puedan salir absueltos de los procesos. 

Por tanto, debido en primer lugar a la dificultad de obtener pruebas informáticas que puedan ser válidas en un proceso judicial y a sus especiales características que las hacen fácilmente manipulables, es fundamental preservar la cadena de custodia para que sirvan de base para la prueba de comisión de delitos de todo tipo y que no queden impunes por la rotura de la cadena de custodia. Así, el esfuerzo por conseguir pruebas informáticas válidas tendrá una recompensa directa por la aportación de una parte fundamental de pruebas para la imputación de delincuentes que hayan utilizado medios informáticos para cometer sus delitos.

Ejemplos de absolución por ruptura de la cadena de custodia:

1. El caso Anonymous

Según sentencia de la Magistrada titular del Juzgado de lo Penal número 3 de Gijón, los 3 acusados del “caso Anonymous» han sido absueltos. Supuestamente en mayo de 2011 realizaron un ataque informático contra la Junta Electoral Central.

La clave de la absolución es el “incumplimiento de garantías procesales, el rompimiento de la cadena de custodia, la recogida de piezas sin la adecuada custodia policial y judicial y la inexistencia de precintos, concluyendo con que se produjo una manipulación de los efectos intervenidos con vulneración del artículo 24 de la Constitución Española.»

El peritaje informático probó que las “claves HASH» del material incautado a los acusados en absoluto coincidían con las que habían sido obtenidas por la policía y anotadas en el acta judicial durante la intervención. Las “claves HASH» no coincidían con las que obtuvo el perito informático. Por tanto, la prueba se declara contaminada, inválida y no fiable al existir certeza de la manipulación de la prueba.

La Magistrada reflexiona que las pruebas presentadas estaban modificadas y que la cadena de custodia estaba rota. Por lo que no concurría el derecho a la tutela judicial efectiva sobre los acusados. Cuestión consagrada en la Constitución Española.

2. Caso de delito de pornografía infantil

En otro caso totalmente diferente, un delito de pornografía infantil fue absuelto también por rotura de la cadena de custodia.

El Juzgado de lo Penal 5 de Almería ha absuelto a C.T. de la acusación de distribución de pornografía infantil al concluir que no ha sido realmente demostrado que fuera él el creador del micro blog social en la plataforma digital Tumblr y se encargara de subir imágenes de niñas desnudas o con poco ropa, más allá de que pueda parecer que se hizo desde su IP, dinámica y sin que pueda descartarse que se produjera una suplantación.

La inexistencia de otros elementos probatorios como podrían haber sido los descubiertos tras el acceso al equipo informático de C.T, impiden considerar el atestado y el informe policial como prueba de cargo de los hechos denunciados. El perito informático señala que la identidad y titularidad de una IP no es suficiente por sí sola para atribuir a su titular de forma indubitada la realización de los hechos investigados. Afirmó en el juicio oral que las IPs objeto de investigación son dinámicas y, que por los accesos imputados y la tecnología utilizada, no se puede saber con seguridad quién estaba detrás de la IP a través de la que se subieron las imágenes. Además, añade que en esta tesitura, existen datos probatorios derivados de tal pericial que ponen en duda la conclusión del informe policial.

3. Caso de delito de operaciones mercantiles

Una situación similar ocurrió cuando un administrador único de una sociedad mercantil pudo realizar dos mil doscientos treinta devoluciones de operaciones por un importe de novecientos treinta un mil novecientos noventa y ocho euros con sesenta y cuatro céntimos correspondientes a compras efectuadas por Internet entre octubre del 2015 y marzo del 2016 y a través de quinientas sesenta y dos devoluciones  por un importe de ciento noventa mil novecientos veintiséis euros con cincuenta y cinco euros correspondientes a compras efectuadas por Internet durante el mismo periodo de tiempo. No se pudo saber si dichas operaciones fueron directamente realizadas por orden del administrador único de dichas sociedades o si, por el contrario, fueron realizadas por una tercera persona no identificada que se introdujo ilícitamente en el sistema informático de dichas empresas. Fue absuelto.

En conclusión, para comprobar la cadena de custodia de la prueba será necesario:

  1. Analizar que exista un riguroso procedimiento de control sobre la prueba.
  2. Prestar atención desde que se incauta la prueba hasta que se entrega al juez. Último eslabón en la custodia de la prueba.

Como perito informático he participado en más de 800 dictámenes periciales informáticos desde el 2004. Trabajo con despachos de abogados asesorando y apoyando su defensa legal ofreciendo garantías constatadas para sus clientes.

Si necesitas más información puedes contactar conmigo.

Le asesoramos en peritaje informático

Peritaje informático | Análisis forense | Auditoría informática | Defensa legal por delito informático

Publicaciones Similares