Fases de la prueba pericial informática forense

La pericial informática forense cuyo objeto es el análisis de material informático tiene las siguientes etapas si unimos la perspectiva técnica con la jurídica:

1. Preservación o resguardo: Obtención de la información a analizar en la pericial informática forense.
2. La adquisición: Clonado de la información y cálculo de la clave “hash” o resumen.
3. El análisis y documentación: Emisión del dictamen pericial informático.
4. La presentación del dictamen pericial: Ratificación y defensa del informe.
5. Valoración del dictamen por el Tribunal.

Fases de la prueba pericial informática forense

Etapa 1. Preservación o resguardo: Obtención de la información a analizar en la pericial informática forense

En esta etapa se debe garantizar que en absoluto se pierden indicios, evidencias y pruebas.

Para los casos penales con control judicial, la Sentencia del Tribunal Constitucional de 29 de septiembre de 2003 define los requisitos necesarios para el inicio de la cadena de custodia del material informático intervenido:

• La descripción del material informático incautado en el acta judicial.
• A presencia del Letrado de la Administración de Justicia se debe proceder al bloqueo y precinto de cualquier ranura o puerto del ordenador.
• Custodia en un lugar adecuado (para evitar su deterioro o manipulación).
• Constancia en la causa de la cadena de custodia, cuando transcurre un tiempo entre la ocupación y la entrega al Letrado de la Administración de Justicia.
• Control judicial de la recogida y custodia de la prueba. Si hay falta de control afecta a la validez de la prueba, por vulneración del derecho a un proceso con todas las garantías.

► Le recomendamos leer el artículo: La cadena de custodia de la prueba digital

Etapa 2. Adquisición: Clonado de la información y cálculo de la clave “hash” o resumen

Para realizar una pericial informática forense se realiza el clonado del material informático incautado. También se ha de realizar el cálculo de la clave “hash” o resumen.

• El clonado del material informático intervenido se realiza en el lugar en el que se encuentra el dispositivo o en una diligencia posterior.
• El cálculo de la clave “hash” o resumen sirve para determinar si el material informático incautado ha sido manipulado después.

Al clonar la información se debe garantizar que el original y la copia son iguales. Se garantiza usando una metodología de trabajo adecuada y realizando el proceso en presencia del Letrado de la administración de justicia.

Existen muchas metodologías y protocolos de trabajo orientados a la recolección del material informático. El referente es el documento denominado “RFC 3227: Guía para Recolectar y Archivar Evidencias”. 

Otras guías similares son:

• UNE 71506 – Metodología para el análisis forense de las evidencias electrónicas.
• Guidelines for the best practices in the forensic examination of digital technology.
• Electronic Crime Scene Investigation: A Guide for First Responders. Forensic Examination of Digital Evidence: A Guide for Law Enforcement

Etapa 3: Análisis y documentación: Emisión del dictamen pericial informático

Para emitir correctamente el dictamen pericial informático hay que realizar 2 tareas; estas son:

• Analizar la información objeto del dictamen. Este punto se puede ampliar en el artículo de este blog “Análisis forense de ordenadores en procesos judiciales”.
• Documentar la pericial informática forense. Asunto fundamental es el de documentar el análisis forense informático realizado. Es una fase metódica y detallada que debe documentar todos los pasos realizados en el análisis.

Como perito informático forense en el dictamen pericial he de exponer los siguientes apartados:

• El juramento o promesa de decir la verdad.
• El objeto del dictamen pericial informático.
• Las fuentes de información utilizadas para emitir el dictamen.
• La metodología utilizada.
• El procedimiento seguido para verificar los hechos. Es importante que en el dictamen se evidencie la autenticidad e integridad de la información objeto del dictamen.
• Las conclusiones de la pericial informática
• La titulación oficial de ingeniero en informática y el currículum relacionado con el objeto de la pericia.

En base a lo anterior, el Tribunal evaluará la fiabilidad del perito ingeniero en informática colegiado. Para ello también tendrá en cuenta lo que puedan alegar las partes y otras posibles pruebas existentes.

Etapa 4: Presentación del dictamen pericial y ratificación

El dictamen pericial informático se presenta en un documento en papel o electrónico. Al dictamen se anexan los documentos en soporte papel o electrónico que el perito informático forense considere apropiados.

El día del juicio oral, o cuando el Tribunal lo considere necesario, el perito informático deberá ratificar y defender el dictamen. Aclarando cualquier duda que le surjan a las partes o al Juez.

Etapa 5: Valoración del dictamen por el Tribunal

La prueba pericial informática forense está sometida a la libre valoración, lo que significa que el Juez aplica las reglas de la sana crítica.

Sobre el autor Eugenio Picón, ingeniero en informática

He participado como ponente-profesor en Cartagena de Indias – Colombia (años 2017 y 2008), en Buenos Aires – Argentina (años 2016 y 2010), en Lima – Perú (años 2015 y 2011) y en Madrid – España (año 2016), en cursos sobre falsificación de moneda; ponencia de título: «Pericial informática como medio probatorio en la lucha contra la falsificación de moneda«. Ponencia sobre Informática Forense. Participando como profesional independiente en cursos organizados por la Brigada de Investigación del Banco de España (Policía Nacional) y financiados por la Oficina Europea de Lucha Contra el Fraude y la European Commission.

El pasado noviembre de 2018 participé como ponente-profesor en el citado curso celebrado en Panamá (Ciudad de Panamá).