Fases de la pericial informática forense

Introducción

La pericial informática forense cuyo objeto es el análisis de material

informático tiene las siguientes etapas si unimos la perspectiva técnica con la
jurídica:

1. Preservación o resguardo: Obtención de la información a analizar.

2. Adquisición: Clonado de la información y cálculo de la clave “hash” o
resumen.
3. Análisis y documentación: Emisión del dictamen pericial informático.
4. Presentación del dictamen pericial y ratificación.
5. Valoración del dictamen por el Tribunal.

Etapa 1. Preservación o resguardo: Obtención de la información a analizar

En esta etapa se debe garantizar que no se pierden indicios, evidencias y pruebas

que deben obtenerse para su análisis.

Aquí se definen los requisitos necesarios para el inicio de la cadena de custodia

del material informático intervenido:

 La descripción del material informático incautado en el acta judicial.

 A presencia del Letrado de la Administración de Justicia se debe proceder
al bloqueo y precinto de cualquier ranura o puerto.
 Custodia en un lugar adecuado (para evitar su deterioro o manipulación).
 Constancia en la causa de la cadena de custodia, cuando transcurre un
tiempo entre la ocupación y la entrega al Letrado de la Administración de
Justicia.
 Control judicial de la recogida y custodia. Si hay falta de control ello afecta a
la validez de la prueba, por vulneración del derecho a un proceso con todas
las garantías.

► Le recomendamos leer: La cadena de custodia de la prueba digital

Etapa 2. Adquisición: Clonado de la información y cálculo de la clave “hash”

o resumen

Para realizar una pericial informática forense se ha de realizar el clonado del

material informático incautado. También se ha de realizar el cálculo de la clave
“hash” o resumen.
  El clonado del material informático intervenido se realiza en el lugar en el
que se encuentra el dispositivo o en una diligencia posterior.
 El cálculo de la clave “hash” o resumen sirve para determinar si el material
informático incautado ha sido manipulado después.

Al clonar la información se debe garantizar que el original y la copia son iguales.

Se garantiza usando una metodología de trabajo adecuada y realizando el
proceso en presencia del Letrado de la administración de justicia.

Existen muchas metodologías y protocolos de trabajo orientados a la recolección

del material informático. El referente es el documento denominado “RFC 3227:
Guía para Recolectar y Archivar Evidencias”.

Otras guías similares son:

 UNE 71506 – Metodología para el análisis forense de las evidencias

electrónicas.
 Guidelines for the best practices in the forensic examination of digital
technology.
 Electronic Crime Scene Investigation: A Guide for First Responders.
Forensic Examination of Digital Evidence: A Guide for Law Enforcement

Etapa 3: Análisis y documentación: Emisión del dictamen pericial

informático

Para poder emitir correctamente el dictamen pericial informático se debe realizar

las siguientes 2 tareas:

 Analizar la información objeto del dictamen. Este punto se puede ampliar en

el artículo de este blog “Análisis forense de ordenadores en procesos
judiciales”.
 Documentar la pericial informática forense. Asunto fundamental es el de
documentar el análisis forense informático realizado. Es una fase metódica
y detallada que debe documentar todos los pasos realizados en el análisis.

Como perito informático forense en el dictamen pericial he de exponer los

siguientes apartados:

 El juramento o promesa de decir la verdad.

 El objeto del dictamen pericial informático.
 Las fuentes de información utilizadas para emitir el dictamen.
 La metodología utilizada.
 El procedimiento seguido para verificar los hechos. Es importante que en el
dictamen se evidencie la autenticidad e integridad de la información objeto
del dictamen.
  Las conclusiones de la pericial informática
 La titulación oficial de ingeniero en informática y el currículum relacionado
con el objeto de la pericia.

En base a lo anterior, el Tribunal evaluará la fiabilidad del perito informático

forense. Para ello también tendrá en cuenta lo que puedan alegar las partes y
otras posibles pruebas existentes.

Etapa 4: Presentación del dictamen pericial y ratificación

El dictamen pericial informático se presenta en un documento en papel o

electrónico. Al dictamen se anexan los documentos en soporte papel o electrónico
que el perito informático forense considere apropiados.

El día del juicio oral, o cuando el Tribunal lo considere necesario, el perito

informático deberá ratificar y defender el dictamen. Aclarando cualquier duda que
le surjan a las partes o al Juez.

Etapa 5: Valoración del dictamen por el Tribunal

La prueba pericial informática forense está sometida a la libre valoración, lo que

significa que el Juez aplica las reglas de la sana crítica.

La cadena de custodia de la prueba digital

La cadena de custodia de la prueba informática es clave para el éxito del

procedimiento judicial. Aquí analizo cómo evitar la contaminación de la prueba
digital protegiendo la cadena de custodia de la misma.

Para entender la necesidad de proteger las pruebas analizaré qué es la cadena

de custodia y para qué sirve.

Contenidos de la página [Ocultar]

1 ¿Qué es la cadena de custodia de la prueba?
2 Hoja de ruta de la prueba
3 ¿Para qué sirve la cadena de custodia?
4 La importancia de preservar la cadena de custodia de la prueba informática
5 Ejemplo de absolución por ruptura de la cadena de custodia: El caso Anonymous
6 En conclusión, para comprobar la cadena de custodia de la prueba será necesario:
¿Qué es la cadena de custodia de la prueba?
Podemos definir la cadena de custodia como un procedimiento, oportunamente
documentado, que permite constatar la identidad, integridad y autenticidad de los
vestigios o indicios delictivos, desde que son encontrados hasta que se aportan al
proceso como pruebas.

La cadena de custodia es el camino que sigue la prueba desde su obtención hasta

su presentación en el juicio oral. En este proceso la prueba va pasando por los
diferentes eslabones de una cadena. Así, entendemos por eslabón los distintos
personajes que la manejan, el medio de obtención, que se ha hecho con ella
desde su localización y cuándo.

La Sentencia del Tribunal Supremo (Sala de lo Penal) 208/2014, de 10 de marzo

de 2014 considera que: «Se viene entendiendo por la doctrina como «cadena de
custodia», el conjunto de actos que tienen por objeto la recogida, el traslado y la
conservación de los indicios o vestigios obtenidos en el curso de una investigación
criminal, actos que deben cumplimentar una serie de requisitos con el fin de
asegurar la autenticidad, inalterabilidad e indemnidad de las fuentes de prueba.»

Hoja de ruta de la prueba

Por ello, en la cadena de custodia, a la que podría denominarse «hoja de ruta de

la prueba», cada persona que tiene contacto con la evidencia se convierte en un
eslabón garante de su resguardo. Se permite así comprobar la trazabilidad que
siguen los elementos o fuentes de prueba, las condiciones adoptadas para su
salvaguarda y las personas encargadas de su custodia.

Para examinar adecuadamente si se ha producido una ruptura relevante de la

cadena de custodia no es suficiente con el planteamiento de dudas de carácter
genérico. Es necesario precisar en qué momentos, a causa de qué actuaciones y
en qué medida se ha producido tal interrupción.

En definitiva, el debate sobre la cadena de custodia se centra en la fiabilidad de la

prueba. No en el de su validez.

¿Para qué sirve la cadena de custodia?

Según el Tribunal Supremo la finalidad de la cadena de custodia es: “garantizar la

exacta identidad de lo incautado y de lo analizado. Tiene por tanto un valor
instrumental para garantizar que lo analizado fue lo mismo que lo recogido.”

Consecuentemente, la cadena de custodia es imprescindible para que el análisis

pericial no pueda ser impugnado en la investigación criminal.
La cadena de custodia establece las reglas técnicas y jurídicas para que la
investigación judicial sea conforme a Derecho. Se evita la contaminación de
los medios probatorios.

Es importante que al localizar el material objeto de investigación se documente y

fotografíe la obtención de la prueba.

Igualmente mencionar la posibilidad de que los dispositivos que queremos utilizar

como prueba se clonen y calculen las «claves HASH». En otro artículo se detalla
el protocolo de actuación para establecer la cadena de custodia y análisis forense
de ordenadores en procesos judiciales.

Cadena de custodia en notaría

La importancia de preservar la cadena de custodia de la prueba

informática

Hemos visto que la cadena de custodia garantiza la fiabilidad de la prueba

digital que se aporta al juicio. Así como una adecuada defensa mediante la
correspondiente pericial informática.

Por lo expuesto, la prueba electrónica constituye un elemento de fácil

manipulación. Y si lo unimos a la singularidad técnica de la misma; se hace aún
más preciso el hecho de preservar adecuadamente su autenticidad e integridad.

Antes de presentar una prueba en el juzgado debemos asegurarnos de su licitud y

veracidad. Es decir, que tanto la obtención como la custodia se ha llevado a cabo
sin vulnerar ninguna Ley.
Ejemplo de absolución por ruptura de la cadena de custodia: El caso

Anonymous

Según sentencia de la Magistrada titular del Juzgado de lo Penal número 3 de

Gijón, los 3 acusados del “caso Anonymous” han sido absueltos. Supuestamente
en mayo de 2011 realizaron un ataque informático contra la Junta Electoral
Central.

La clave de la absolución es el “incumplimiento de garantías procesales, el

rompimiento de la cadena de custodia, la recogida de piezas sin la adecuada
custodia policial y judicial y la inexistencia de precintos, concluyendo con que se
produjo una manipulación de los efectos intervenidos con vulneración del artículo
24 de la Constitución Española.»

El peritaje informático probó que las “claves HASH” del material incautado a los
acusados en absoluto coincidían con las que habían sido obtenidas por la policía y
anotadas en el acta judicial durante la intervención. Las “claves HASH” no
coincidían con las que obtuvo el perito informático. Por tanto, la prueba se declara
contaminada, inválida y no fiable al existir certeza de la manipulación de la prueba.

La Magistrada reflexiona que las pruebas presentadas habían sido modificadas y

que la cadena de custodia estaba rota. Por lo que no concurría el derecho a la
tutela judicial efectiva sobre los acusados. Cuestión consagrada en la Constitución
Española.

En conclusión, para comprobar la cadena de custodia de la prueba

será necesario:

1. Analizar que exista un riguroso procedimiento de control sobre la prueba.

2. Prestar atención desde que se incauta la prueba hasta que se entrega al juez.
Último eslabón en la cadena de custodia de la prueba.