INVESTIGACIÓN DE DELITOS INFORMÁTICOS: ASPECTOS

PROCESAL PENALES

Eloy Velasco Núñez

(Juzgado Central de Instrucción nº 6 de la Audiencia Nacional)

La investigación policial y judicial de la delincuencia vinculada a

las nuevas tecnologías y especialmente a través de Internet, se
caracteriza, desde el punto de vista probatorio, por que no suele
conseguir demostrar sus diversas modalidades delictivas1 mediante
la confesión y el testimonio de personas, sino, consecuentemente,
por medio de las pericias que analizan los rastros que todo delito
deja en la Red.
Buscando las huellas técnicas2 que la acción delictiva ha
necesitado para desplegarse, la analítica forense pretende
identificar, preservar, presentar y analizar las pruebas digitales que
legalmente obtiene de entre la información almacenada o
transmitida en formato digital, y que necesariamente ha realizado
quien ha cometido el delito informático, para así explicarlo.
Por otra parte, y a diferencia también de los delitos
convencionales, la información buscada3 y la cadena de transmisión
de las acciones atacantes del infractor, se encuentran en los
sistemas informáticos, por lo que su obtención, desde una
perspectiva jurídica, afecta generalmente la esfera de la privacidad
y los derechos fundamentales del imputado , que exigen para su
validez , una obtención de las pruebas con las máximas garantías
constitucionales que , de no concurrir, conllevan a la nulidad de la
prueba.
Los ordenadores están en lugares cerrados (domicilios,
empresas, dependencias administrativas) a los que hay que
acceder para ocupar después su contenido o comprobar los rastros
del delito, y utilizan la transmisión de información que almacenan
empresas terceras que no pueden ceder la que poseen de cualquier

1
Las más corrientes: la pornografía infantil , las estafas y defraudaciones, los daños, el
descubrimiento y la revelación de secretos informáticos
2
Suelen ser intangibles (no se toca el Word, por ejemplo), volátiles (ya que pueden modificarse,
sobrescribirse, perderse información, etc.), duplicables o clonables de forma exacta (hash), pero también
pueden determinarse sus modificaciones, borrados, cambios, etc.
3
Pornografía infantil, claves de usuario y contraseñas para operar pagos o transferencias
económicas, datos a borrar, o archivos en los que husmear
manera -porque a la sociedad interesa también preservar la
privacidad que se vehiculiza a través de la informática-, que, a los
efectos que aquí interesan, no es sino la suma de
telecomunicaciones (e-correos, foros) y archivos/ficheros , que no
dejan de ser manifestaciones cada vez más masivas y comunes de
la intimidad y los secretos comunicativos.
Por ello, en este campo como en pocos, nos encontramos ante
un tipo de delincuencia cuya prueba generalmente obliga a una
intervención activa del juez instructor en su papel de Juez de
garantías, de entre las que, las más habituales son: el dictado de
autos para la intervención de comunicaciones o para la cesión de
datos (los asociados a las conexiones informáticas a través de
señas IP, los recogidos en los servidores, en los archivos log como
registro de sucesos de programas, en los cortafuegos, en las
cabeceras técnicas de los correos-e, etc.), y una vez vinculados a
una localización geográfica , el auto de entrada y registro.

1) OBTENCIÓN DE LA INFORMACIÓN PROBATORIA: EL

TRABAJO DE CAMPO:

Previo al análisis de la obtención de elementos de convicción y

prueba, ocurre el delito informático4, que se caracteriza porque se
conoce plenamente la acción criminal, pero se ignora su autor5 y
muchas veces la técnica comisiva misma.
Aparte de que la reacción sorpresiva en la víctima ante esa
fuente desconocida del ataque y la concienciación de haber sido
objeto del mismo suele retardar la fase de interposición de
denuncia, el delincuente informático cuenta con otra doble ventaja:
una, que el transcurso del tiempo suele hacer desaparecer los
rastros del ataque, y dos, que las exigencias legales son muchas y
la pena de estos delitos poca y baja6, lo que hace desistir a muchas
víctimas de denunciar o les lleva a hacerlo tarde, es decir, cuando
las pruebas son de difícil obtención.

4
La injuria, amenaza o coacción informática anónima, el Phishing o Pharming bancario, la
suplantación de un correo-e por persona diferente al legitimado, etc.
5
El delincuente informático, suele ser un gran cobarde, que “tira la piedra y esconde la mano”,
es decir, que usa técnicas de anonimización (nicks, cybercafés, proxys, cachés, etc.) para delinquir
evitando identificarse y por lo tanto evitando la reacción espontánea de su víctima, que suele tomar
conciencia de tal, bastante más tarde que en la delincuencia inmediata convencional, en que se aprecia el
ataque delictivo directo más fácil y directamente.
6
Las penas básicas (no agravadas) de los tipos usuales de la delincuencia informática no suelen
superar la barrera del máximo de 3 años de privación de libertad, por lo que prescriben a los tres años -
art.131.1.5 CP-.
a) El rastreo y la observación libre de la información en la Red:

Además, la inmensidad y universalidad de contenidos en la Red,

y la gran cantidad de técnicas para anonimizar, borrar, suplantar o
intermediar la conducta delictiva, hacen prácticamente
indispensable la denuncia, que comienza a verificarse policial o
judicialmente además de por el estudio del material probatorio que
aporta la víctima, en la observación de la misma7, por el simple
acceso público a la Red.
Este inicio (inspección ocular) tan básico en la delincuencia
convencional, ha sido cuestionado ya en algunas investigaciones,
sobre todo policiales, que han afectado al mundo virtual, en la
consideración de que entrar, rastrear en la Red y descubrir allí los
iniciales vestigios del delito, podría ser ilícito, si no se autoriza con
el correspondiente mandamiento judicial, porque ello vulneraría el
derecho al secreto de las comunicaciones del Art. 18.3 CE.
Sin embargo esta cuestión ya ha sido descartada por nuestra
jurisprudencia que resumidamente señala que:
- “No se precisa de autorización judicial para conseguir lo que
es público y el propio usuario de la Red es quien lo ha
introducido en la misma. La huella de la entrada…queda
registrada siempre y ello lo sabe el usuario”, sTS 9/05/2008,
Soriano Soriano, FJ 2, que añade más adelante para
concluir que los rastreos policiales en la Red son legítimos y
regulares : “Quien utiliza un programa P2P…asume que
muchos de los datos se convierten en públicos para los
usuarios de Internet, circunstancia que conocen o deben
conocer los internautas, y tales datos conocidos por la
policía, datos públicos en Internet, no se hallaban protegidos
por el art. 18.1 ni por el 18.3 CE”.
- En el mismo sentido se posiciona la sTS 28/05/2008,
Ramos Gancedo, FJ 9º, pero fuera de este caso en que se
obtiene la IP con el consentimiento, más o menos deseado
por el afectado, señala en su FJ 10º que en los demás
casos, sería preciso el mandamiento judicial, conforme exige
el art. 7 de la ley 25/2007, de 18 de octubre, de conservación
de datos relativos a las comunicaciones electrónicas y a las
redes públicas de comunicaciones.
7
La s AP 164/2008, de 9/05/2008 indica que el sistema de “búsquedas ciegas”, que permite
rescatar información borrada, existente en los sistemas informáticos, no interfiere proceso alguno de
comunicación ajena, y el de búsqueda por palabras clave, sirviendo para discriminar desde el inicio todo
lo que tuviera alguna relación con el ámbito privado de los acusados, no vulnera tampoco el derecho a la
intimidad.
 - A idéntica idea llega la s AP 7ª Sevilla 11/07/2007,González
Fernández, FJ 1º, cuando concluye que intercambiar
pornografía no es “comunicación” y utilizar un programa para
rastrear en Internet tales intercambios por parte de la policía
no vulnera el derecho al secreto de las comunicaciones del
art. 18.3 CE, pues con la pornografía infantil no se
transmiten mensajes en el sentido de los protegidos
constitucionalmente por el secreto: expresiones de sentido a
través de cualquier conjunto de sonidos, señales o signos,
hecha de forma directa y entre dos particulares.
Internet es una Red pública internacional, y quien distribuye en
ella sus contenidos –en ofrecimiento público, genérico, universal e
indiscriminado- y utiliza sus herramientas, sabe que deja rastros de
su entrada y uso que pueden ser analizados por los investigadores,
de la misma manera que quien delinque en la calle sabe que se
expone a que se encuentren pruebas de su autoría. Su búsqueda
no es sino la inspección ocular en el mundo virtual que, si no afecta
a áreas de privacidad ni a secretos comunicativos8, se hace
exactamente igual que en el mundo convencional.
En consecuencia Internet es un a modo de gran tablero o
expositor de contenidos, que excluye la reserva y la privacidad
(antes bien, es un escaparate de publicidad universal) en el que los
rastros que se dejen son de libre consecución por parte de los
investigadores, pues al hacerlo no se produce la inmisión en ningún
derecho fundamental del imputado, ya que la técnica para hacerlo
tampoco es una auténtica comunicación (no es bidireccional, ni
interactiva) y su contenido ningún secreto que pueda protegerse
conforme quiere el Art. 18.3 CE.
De otra parte, conviene recordar que la recogida de pruebas y
piezas de convicción que no afecten a espacios, ni impliquen
métodos intrusivos que incidan directamente en la esfera de
derechos fundamentales de la personalidad, está perfectamente
avalada y posibilitada por los Art. 282 , 770.3 LECrim y art. 11.1 g)
de la LO 2/1986 , de Fuerzas y Cuerpos de seguridad , (“recoger –
asegurar y custodiar en todo caso- todos los efectos, instrumentos o
pruebas del delito de cuya desaparición hubiere peligro”), así como
por los Art. 326.3 LECrim , 14 LO 1/1992, de 21 de febrero, de
protección de la Seguridad Ciudadana y 28.e) RD 769/1987, de 19
de junio , de Policía Judicial, y por numerosa jurisprudencia de la
que es paradigmática la sTS 27/12/2006,Berdugo Gómez de la
Torre, FJ 1ª, y las que allí cita de 7/10/94,
8
Las autoingerencias (bugging) y cesiones propias en los datos de tráfico de cada cual, no
afectan al derecho fundamental a su secreto.
9/05/97,26/02/99,26/01/00,4/09/00 y 26/12/05, indicando que se
trata de un acto de investigación policial que tampoco precisa la
intervención del Secretario judicial.

b) La obtención legítima de los datos protegidos:

Donde sí hay privacidad, y por lo tanto empiezan a surgir los

primeros límites a la libre obtención de pruebas (es decir, donde por
lo tanto sería necesario el oportuno mandamiento judicial, y donde
se encuentra la auténtica frontera entre lo virtual y el mundo real a
ser protegido por los derechos fundamentales) es en los
archivos/ficheros con los contenidos privados –protegidos por el Art.
18.1 y 4 CE- de cualquier índole de los usuarios (dondequiera que
estén alojados –archivos log, servidores de empresas- y cualquiera
que sea la manera física posible para obtenerlos –wireless, por
cable, etc.-), y en las telecomunicaciones de acceso privado –
protegidas por el Art. 18.3 CE- (correo-e, foros con clave de
entrada, etc.)
La conexión entre el rastro público del delito informático –
elemento de libre estudio público por parte de los cuerpos policiales
al ser cedido por el afectado- y la imputación a determinado autor,
generalmente, pasa, tras la obtención de las señas IP vinculadas al
ataque investigado, por la obtención de los datos asociados a
aquella, que tiene que conservar la empresa prestadora de servicios
de Internet (ISP), y que no puede libremente dar al investigador,
pues se trata de datos (contractuales) reservados que protege la
ley9 de desarrollo del Art. 18.4CE.
Por otra parte, en la mayoría de los casos la obtención de la
dirección IP del último punto de ataque se consigue en el log del PC
del atacado o víctima, que libre y voluntariamente pone al denunciar
a disposición de los Cuerpos policiales que después (para traspasar
la frontera de lo virtual) deben conseguir los datos asociados a la
misma a través del oportuno mandamiento judicial. Los datos de
registro llevan a la IP, que es la que lleva al dato personal (muchas
veces anonimizado o falseado) y para cuya consecución debe
haber autorización convalidante judicial.

9
Ahora son dos leyes, técnicamente no muy compaginadas entre sí. La Ley Orgánica de
protección de datos, LO 15/99, de 13/12/1999 y la Ley de Conservación de datos relativos a las
comunicaciones electrónicas y a las redes públicas de comunicaciones (Ley 25/07, de 18/10/07). En ese
sentido, ver s TS 3/10/2007 al considerar los datos de tráfico de conversaciones ya acabadas como propias
del ámbito de protección de los datos de carácter personal.
 La cesión al investigador de estos datos protegidos, mediante la
oportuna intervención judicial10 (en causa penal abierta por delito
concreto, a través de Auto motivando la utilidad, necesidad y
proporcionalidad de la cesión de los datos que proceda en relación
con la protección recogida en el Art. 18.4 CE) simplemente posibilita
la conexión del ataque informático con una ubicación geográfica y
con una persona que los delincuentes informáticos pueden
perfectamente enmascarar11, pero permiten la continuación del
rastro del ataque y el acceso a nuevos vestigios que, aportan
material imprescindible al investigador para, a través de las
oportunas pericias, proseguir en el intento de demostrar el autor y la
trayectoria del delito.

c) La mal llamada “entrada y registro”:

La ubicación física concreta del ordenador desde el que ha podido

provenir el ataque informático, como normalmente suele radicar en un
lugar cerrado, exige nuevamente, la intervención del Juez de
Instrucción, esta vez, desde la óptica de la protección de la
inviolabilidad domiciliaria recogida en el Art. 18.2 CE, para el caso de
que sea imprescindible12la captura de la información que este arroje.
La confiscación de los elementos de convicción vinculados a las
nuevas tecnologías pasa generalmente por la mal llamada entrada y
registro de lugares cerrados en donde se desarrolla la intimidad, y su
aprehensión, a falta del consentimiento del titular o de flagrancia
delictiva, debe ser autorizada por resolución judicial (art. 18.2 CE).

10
La cesión al Ministerio Fiscal, permitida por la Ley Orgánica (Art. 11LOPD) y la más
discutida a los Cuerpos policiales (art. 22.2 LOPD: “La recogida y tratamiento para fines policiales de
datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas
afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la
prevención de un peligro real para la seguridad pública o para la represión de infracciones penales,
debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por
categorías en función de su grado de fiabilidad), choca, en el caso de los datos de tráfico telefónico, de
plano con la Ley 25/07, que parece optar por la exclusividad jurisdiccional.

11
Muchas veces esta información, o lleva al extranjero, o a cybercafés, proxys, botnets, o a
fórmulas prepago con contratantes que falsifican sus datos de identidad, lo que aumenta la impunidad.
12
Se plantea la posibilidad de la ocupación de información privada directamente de la sede de
los servidores donde radique, pero tiene la complicación de la ejecución –al exigir la presencia del
imputado, que es lo que suele ignorarse hasta ese momento- y no es alternativo a la carga imputatoria
informativa que aporta el lugar de ubicación del ordenador atacante y a la transparencia procesal y
posibilidad defensiva que da hacerlo allí. Además técnicamente esto, que vale para las
telecomunicaciones –que son duplicables-, no sirve para el resto de la información – principalmente la
ubicada en el disco duro-, que debe aprehenderse al usuario, no digamos en la alojada extramuros del
mismo.
 Regulada en el Art. 545 y ss, LECrim, obviamente precisa del
análisis judicial de la seriedad necesaria para penetrar el umbral de
los sitios cerrados donde suele desarrollarse la intimidad –por la
molestia que todo registro supone-, pero, en nuestro caso, decimos
que es mal llamada13así, porque lo verdaderamente importante es la
orden que muchas veces implícitamente conlleva de confiscar, ocupar
y aprehender los elementos de convicción y fuentes de prueba del
delito investigado.
Así el art. 546 LECrim la permite:…”cuando hubiere indicios de
encontrarse allí el procesado o efectos o instrumentos del delito, o
libros, papeles u otros objetos que puedan servir para su
descubrimiento y comprobación”, insistiendo en ello el art. 567 para
antes de su práctica y el art. 574, durante su realización, pues el
núcleo de su contenido esencial no es otro que la recogida forzosa de
los instrumentos y efectos del delito, y en su caso, la detención del
sospechoso.
Añadir que es innecesario dictar complementarias resoluciones
judiciales del Auto de entrada y registro que permitan coger y /o abrir
elementos o fuentes de prueba, como a veces erróneamente se
pretende, pues es precisamente aquel por definición, el que las
habilita14.
Sin embargo es aconsejable, razonándolo ad casum, y cada vez se
hace más en la práctica, acordar en el mismo Auto de entrada y
registro la intervención de las comunicaciones privadas que se
encuentren entre lo aprehendido y la concreción de la pericia, para el
caso de incautarse dispositivos de memoria –cds, dvds, discos duros,
usbs, etc.-
Para hacer real la garantía del derecho de defensa (art. 24 CE), la
propia LECrim comienza por hacer obligatoria y necesaria la
presencia del interesado en esta diligencia que afecta a derecho tan
fundamental como es la inviolabilidad domiciliaria.
El art. 569 LECrim establece15, en consecuencia, que “el registro se
hará a presencia del interesado, o de la persona que legítimamente le
represente” –que puede ser perfecta, aunque no obligatoriamente su
Abogado-, añadiendo que si el imputado no es habido o no quisiere

13
En Derecho comparado suele usarse la más visible y plástica denominación de “orden de
confiscación”
14
La s TS 14/05/2008, Andrés Ibáñez, FJ 2º, recurso de Luis Ángel, señala que la entrada y
registro “habilitaba a la policía para la incautación, entre otras cosas, del material informático que allí
pudiera encontrarse”. La sTS 27/06/2002, Ramos Gancedo, FJ 3º, permite la lectura de un mensaje
grabado en un móvil porque se encuentra bajo la cobertura de la autorización judicial como si de otro
papel o documento se tratara ,pues se hace en el curso de su incautación en la entrada y registro. En el
mismo sentido, la muy aleccionadora s AP Cáceres 2º, de 17/06/2004.
15
En consonancia con la secuencia de personas obligadas a la notificación de la diligencia que se
recoge en el art. 566 LECrim.
presenciarla o nombrar representante, primero, lo hará un individuo de
su familia (sin concretar grado) con tal de que sea mayor de edad, y si
no lo hay, en segundo lugar, dos testigos, además, claro está, de la
siempre obligada presencia del fedatario judicial que cumple otras
funciones de neutralidad y legalidad diferentes.
La resistencia de cualquiera de los indicados a la presencia del
registro, dado que se trata del derecho fundamental a la inviolabilidad
domiciliaria, conlleva a la responsabilidad que el art. 556 Código Penal
señala para la desobediencia delictiva16 (art. 569.5 LECrim).
El momento de la práctica efectiva de la diligencia de entrada y
registro está condicionado a lo que se señale en el Auto que la
permite, que está encaminado a la obtención efectiva sin pérdida
alguna de los elementos de convicción, por ello, es la Autoridad
judicial (art. 567-571 LECrim), con el asesoramiento del grupo policial
operativo del caso, la que determina en qué supuestos la eficacia de
la medida puede o no condicionarse a la espera en personarse, por
ejemplo, la defensa del imputado, si este la pidiere.

d) Clonado o volcado de datos: el aseguramiento de la

escena del delito, identificación de las fuentes de prueba y
elementos de convicción, captura y preservación adecuada
de los mismos:

Dada la complejidad técnica de la aprehensión de los muy

volátiles e intrusivos elementos de convicción y prueba de los
delitos informáticos, es importante que la diligencia de entrada,
registro y confiscación sea practicada en compañía de algún
experto perito en la materia que pueda hacer real el mandato de no
importunar más de lo necesario que pretende el art. 552 LECrim y al
mismo tiempo garantizar la máxima confiscación adecuada posible,
con arreglo a los conocimientos técnicos.
Esta posibilidad la puede acordar el Juez conforme permite el art.
577 LECrim, o suplirla la presencia de peritos en delincuencia
informática de los cuerpos policiales, y así mejorar el aseguramiento
de la escena del delito, pues la experiencia enseña que hay que
realizar una actuación rápida y técnica que impida a ningún tercero
destruir pruebas, y sí conservarlas conforme aparecen.
A lo anterior le seguirá, en algunos casos -que aconsejan la
presencia del imputado si consta con claridad su identidad-, la
realización de las oportunas consultas al ordenador investigado
16
Prisión de seis meses a un año. Parece desproporcionada una imputación por el art. 550 CP,
pese a que el art. 569 LECrim la caracteriza como desobediencia grave a la Autoridad.
(generalmente mediante los “pantallazos” y también para la
recogida de la información que ya no se almacena en los discos
duros –cachés, RAM- ) que verifiquen y centren lo que interesa
confiscar, pudiendo si fuera poco y claro, corporeizarlo, mediante la
oportuna impresión en soporte papel, que junto con la fe pública
aportada por el Secretario judicial o a través del mismo Acta,
muchas veces podría servir de prueba directa.
En los demás supuestos, mayoritarios conforme indica la
prudencia en estos actos, tras el aseguramiento de la escena
delictiva y la identificación de las fuentes de prueba17, para la
realización de una correcta captura de la información a analizar que
preserve inmodificable el material a confiscar, es necesario acudir al
auxilio de quienes saben técnicamente hacerlo, además del
fedatario judicial, encargado de la preservación de la legalidad y de
la custodia del material probatorio.
Para los casos en que la investigación descarte llevarse de la
escena del delito los elementos que almacenan la memoria, los
primeros procederán al clonado o volcado técnico del contenido del
disco duro en una réplica con las copiadoras, con la práctica del
oportuno resumen digital hash, y el Secretario judicial garantizará la
operación con su supervisión jurídica, que una vez finalizada,
cerrará con el precinto del disco duro original , que quedará en su
poder, para posibles futuros contrastes y/o contraperitajes, cediendo
la copia clonada a los peritos para que , sobre ella, practiquen las
oportunas pericias, sin riesgo de borrar o alterar la fuente original de
prueba.
Por lo tanto el clonado o volcado del disco duro, no es sino una
operación de copiado de la información tal y como obraba en el
disco duro del ordenador al momento de la entrada y registro, que
en la realidad virtual supone algo equivalente a lo que en el soporte
papel suponen las fotocopias o en el audio las copias de cds, y en
el video las de dvd.
Por lo tanto y a diferencia de otras cuestiones hasta aquí
analizadas, el clonado o volcado de los datos ocupados en el disco
duro del ordenador es una cuestión de legalidad infraconstitucional,
al no afectar a derechos fundamentales (lo que tiene su incidencia
en la inaplicación del art. 11 LOPJ), es de naturaleza judicial, y está
vinculada a la prueba pericial de la que forma parte, regulándose en
los Art. 334 y ss. LECrim) en lo que hace referencia a la
17
Se deben preservar las evidencias de las redes sociales, correos, discos duros virtuales, redes
wifi y todos los elementos que se pueden perder antes de apagar el ordenador y precintar su disco duro;
hay que apoderarse de los almacenadores externos de memoria (cds, dvds, usbs), de los internos (disco
duro), etc.
conservación o custodia de las evidencias, pruebas o elementos de
convicción, y en los Art. 477 y siguientes en cuanto a la cadena de
custodia y a su práctica.
En el curso del mismo hay que garantizar la autenticidad,
inmutabilidad y no transformación (dolosa o imprudente) del objeto,
dada su especial modificabilidad, porque sobre él va a operar la
pericia, razón por la que es obligada la presencia del Secretario
judicial (Art. 334 LECrim). La jurisprudencia18 sin embargo ha
banalizado esta cuestión.
No es necesaria la presencia del imputado o su representante –
aunque también puede solicitarse- en su realización pues se trata
de un acto material de simple reproducción (de la misma manera
que tampoco lo es cuando se reproducen cds, dvds, casetes o se
hacen fotocopias de documentos en soporte papel), sin embargo la
obligada del Secretario judicial es más conveniente que cuando se
hace sobre otros soportes pues también es mayor el riesgo de
manipulación, añadidura, borrado, etc.-culposos o dolosos-, razón
por la que se aconseja la realización del volcado con el oportuno
resumen digital (técnicamente es posible garantizar la integridad de
la fuente de prueba mediante el uso de funciones “hash”) paralelo
que garantice la coincidencia final de lo ocupado y lo reproducido en
el clonado.
Es esta prueba técnica de contraste19 la que garantiza la correcta
realización o no del volcado, y por lo tanto, cuando se trate de los
costosos, urgentísimos y larguísimos clonados que hacen a veces
humanamente imposible la física presencia del Secretario judicial, la
misma se autentifica así supliendo su presencia20, siendo sólo
necesaria en su iniciación (desprecinto) y conclusión, para su
documentación a través de la oportuna diligencia.
18
La sTS 15/11/99, FJ 2º, dice: “en lo que se denomina volcaje de datos -volcado-, su práctica se
llevó a cabo con todas las garantías exigidas por la ley .En primer lugar la entrada y registro se efectuó de
forma correcta y con la intervención del Secretario judicial que cumplió estrictamente con las previsiones
procesales y ocupó los tres ordenadores, los disquetes y el ordenador personal. Lo que no se puede
pretender es que el fedatario público esté presente durante todo el proceso, extremadamente complejo e
incomprensible para un profano, que supone el análisis y desentrañamiento de los datos incorporados a un
sistema informático. Ninguna garantía podría añadirse con la presencia del funcionario judicial al que no
se le puede exigir que permanezca inmovilizado durante la extracción y ordenación de los datos,
identificando su origen y procedencia”.
19
Basta con realizar un “hash” al soporte antes del análisis –existen varios algoritmos aceptados
internacionalmente como el MD5 o el SHA.1- en presencia del Secretario judicial , y otro después del
mismo.
Cualquier modificación del contenido del soporte durante el análisis, por mínima que fuera,
arrojaría un “hash” diferente del original. De lo que se deduce que si ambos resúmenes (anterior y
posterior al análisis pericial) coinciden, queda demostrada técnicamente la integridad del soporte durante
el análisis, esté o no presente el Secretario judicial durante todo su desarrollo.
20
Cada vez más las nuevas tecnologías –grabaciones, videoconferencias, clonados con resumen
digital hash, etc.- suplen la por otra parte innecesaria presencia continuada del Secretario judicial en la
práctica de algunas onerosas diligencias procesales.
 La finalidad de esta operación es, por un lado, preservar la
fuente original de prueba intacta e inmodificada conforme sale del
ordenador del imputado, razón por la que suele precintarse,
quedando en poder del custodio de las pruebas judiciales, esto es
del Secretario, a disposición de las partes y de la causa, y por otro,
permitir con la copia trabajar a los peritos informáticos sobre un
elemento igual a la evidencia ocupada pero sin el riesgo de una
alteración culposa o dolosa de su contenido, que lleve a
conclusiones erróneas.
En otras ocasiones, la dificultad de medios o circunstancias en la
diligencia de entrada y registro, obliga a la simple aprehensión del
disco duro y otros dispositivos almacenadores de memoria y a su
inmediato precinto aseguratorio en el lugar de los hechos, dejando
la labor del desprecinto y posterior clonado a presencia obligatoria
del Secretario judicial, para otra fecha posterior en lugar más
indicado (mejor en laboratorio policial que en sede judicial).
Por otra parte, matizar que la intervención en las labores de
inspección y volcado de ordenadores por parte de la Autoridad
judicial no es necesaria cuando se trate de actuaciones informáticas
realizadas por otras Administraciones (s AP 3ª Zaragoza, López
López del Hierro, FJ 1º, en un supuesto en que se entrega al Juez
el resultado del análisis por la AEAT inspectora de discos
informáticos, listados, facturas y diversa otra documentación
recogida en el curso de una Inspección tributaria) siendo válida la
presentación ante el Juez de las pruebas que tales diligencias
arrojen si se realizan dentro del ejercicio de sus facultades, con la
específica cobertura legal de las normas del ramo, y sin perjuicio de
que para posibilitar la defensa , esta pueda solicitar el contraperitaje
procedente en el curso de la instrucción judicial, si hubiera de dudas
sobre su parcialidad.

e) La cadena de custodia:

El clonado o volcado de datos del disco duro, es por tanto, una

garantía inicial de que lo que se copia es imagen fiel y exacta de lo
que se ocupa, y debe vincularse a la obtención íntegra de la fuente
de prueba; integridad, vinculada en estas pericias informáticas
especialmente al hecho de la modificabilidad y volatilidad mayor que
en otras, por sus características, que va a servir objetivamente para
garantizar la corrección de la información sobre la que va a versar
después la pericia, y subjetivamente, para garantizar una defensa
justa.
 Esa integridad del contenido de lo ocupado y su no
alterabilidad21, para preservar fielmente la información sobre la que
después se realizará la pericia en materia tan fácilmente
modificable- queriendo o sin querer- además, debe mantenerse a lo
largo de todas las tareas de traspaso, de todas y cada una de las
operaciones que se realicen sobre el material objeto de la prueba
hasta el inicio de la pericia, es decir, a lo largo de toda la llamada
cadena de custodia.
La cadena de custodia es, pues, el proceso mediante el cual el
mismo objeto – fuente de convicción- de la pericia es transmitido
sin modificación sustancial desde que se ocupa hasta que se
analiza, de manera que coincida íntegramente, y para su validez,
basta que se pueda dar cuenta de la misma por quienes la han
realizado si se albergan dudas.22
En las pericias informáticas que aquí tratamos técnicamente esto
se consigue con el copiado en modo de solo lectura (no
modificable), o se verifica contrastando el resumen digital recogido
sobre la prueba original (basado en algoritmos hash), con el de la
copia sobre la que se va a emitir la pericia.
Si coinciden, el material original y del volcado son idénticos, y
las conclusiones de la pericia parten sobre el material ocupado,
permitiendo una prueba obtenida con toda la fiabilidad.
De lo contrario la prueba pericial podría conllevar a resultados
discutibles y dudosos, con las consiguientes posibles
consecuencias en la fase de valoración de la misma y en la
convicción judicial.
Por todo lo anterior, las pericias informáticas tienen la
peculiaridad frente a las que versan sobre corporeidades no
reproducibles (cadáveres, máquinas, droga, armas, etc.) de que una
vez entregada la copia “espejo” al perito, por quedar el original
guardado por el Secretario judicial, no se ven afectadas por las
consideraciones sobre la cadena de custodia, pues la reproducción
o copia garantiza fielmente que el objeto de la pericia (cuerpo del
delito o pieza de convicción) es el mismo que el aprehendido y
analizado.
Por ello la entrega del clonado a analizar sin la intervención del
Secretario judicial, no invalida el resultado de la prueba, pues aquel
siempre puede contrastarse con el original. En este sentido la s AP
21
El art. 482.3 LECrim lo denomina “evitar cualquier alteración en la materia de la diligencia
pericial”
22
La s TS 26/03/07, Maza Martín, FJ 1º, insiste en que al margen de la mayor o menor
escrupulosidad con la que se haya cumplido el protocolo previsto, lo que importa es que lo analizado sea
lo mismo que lo ocupado, bastando con que la identificación de los custodiantes conste y se sepa, sea por
medio de su identificación personal o por la constancia de su mera firma.
17ª Madrid 26/09/2007, Carmena Castrillo FJ 11º, analiza y valida la
recepción de los dvds sobre los que versó la pericia hecha a través
del letrado de una empresa puesto que “su identidad con los
originales que figuraban en el Juzgado Instructor no se establece
por la cadena de custodia sino por su mera observación y
comprobación”, y la sala falladora se molestó en comprobar la
coincidencia entre el original y el copiado para descartar así
cualquier sospecha de irregularidad respecto al objeto de la pericia.
Cosa distinta ocurre cuando por hacerse la ocupación del objeto
por parte de la víctima generalmente en el ámbito propio de su
trabajo o privacidad, esta realiza pericia privada sin intervención del
juez, Administración Pública habilitada o Cuerpo policial, que
después acompaña a su denuncia.
Esta práctica, desgraciadamente habitual, aunque humanamente
entendible, sencillamente rebaja el nivel de garantías –u obliga a
anticiparlas; v. gr.: con la intervención notarial de la ocupación,
volcado y custodia de la evidencia -, o sin querer, puede llevar a
invadir la esfera de derechos fundamentales ajenos que puede
abocar en nulidades probatorias o conllevar a que todo el proceso
previo a la entrega de la pericia privada deba ser tenido en
consideración23 o incluso repetido, para alcanzar o no la credibilidad
que el carácter público de la instrucción penal precisa.

23
La s AP 2ª Bizkaia 31/03/2008, Da Silva Ochoa, FJ 2º, confirma un sobreseimiento, entre otras
razones, porque “los discos duros de aquellos ordenadores sufrieron diversas manipulaciones por parte de
la empresa querellante hasta el momento en que fueron depositados ante un fedatario público para ser
entregados al perito, sin que haya constancia de que se haya mantenido la cadena de custodia de los
mismos”.
 f) La apertura o desprecinto del disco duro:

La información del disco duro que mediante el oportuno análisis

pericial suele servir para hallar posibles elementos incriminatorios
es, además de la derivada de los procesos transmisores de
información, la que desprenden los archivos/ficheros y/o
telecomunicaciones que en ella se contienen, algo semejante a lo
que en el mundo del delito convencional sería la información que
desprenden los soportes de papel, igualmente documentos o
telecomunicaciones, sólo que aquí se presentan en una modalidad
distinta de soporte: el electrónico o digital.
Si la información se corporeiza –por ejemplo imprimiéndola- en
el momento de su ocupación en la diligencia de entrada y registro,
con presencia del Secretario judicial, (lo cual siempre dentro de lo
posible se recomienda24 sobre todo en los casos en que se realiza a
presencia de imputado claramente identificado), los documentos
aprehendidos cuentan con el reforzamiento probatorio de la fe
pública.
Si no, y dada la enorme mayor facilidad de alteración que el
soporte electrónico presenta frente a otros, para la correcta
realización de la pericia consiguiente, la apertura del disco duro
debe realizarse nuevamente a presencia del Secretario judicial, al
haberse judicializado la diligencia y formar parte de la inacabada de
ocupación permitida por la entrada y registro, además de por
exigirlo así el art. 570 LECrim, cuando señala que la comisión
judicial “prevendrá…que no se levanten los sellos, ni violenten las
cerraduras, ni permitan que lo hagan otras personas, bajo la
responsabilidad establecida en el Código Penal”, todo ello en
congruencia con la cautela prevenida en el art. 567 LECrim para
evitar la desaparición de los instrumentos y efectos del delito.
No es cierto sin embargo que la diligencia de apertura del disco
duro precise del dictado de una segunda resolución judicial
habilitante, pues basta con el Auto permitiendo la entrada y registro
en el que además de vulnerar la inviolabilidad domiciliaria, como
24
Salvo en los supuestos de ordenador compartido, en que parte de la prueba debe dirigirse a
determinar la concreción de la autoría.
decíamos supra, se autoriza la ocupación (en el soporte que sea,
que incluye el electrónico) de “los efectos o instrumentos del delito,
o libros, papeles u otros objetos –art. 546 LECrim- que puedan
servir para su descubrimiento y comprobación”.
Por ello, la apertura de lo que está autorizado que se ocupe, no
debe volverse a autorizar.
Sin embargo, el desprecinto para clonado es una diligencia que
debe acordarse por providencia25 (ya que al afectar a cuestiones
infraconstitucionales, no exige una motivación jurídica per se,
aunque podría aprovecharse para añadirle el acuerdo sobre el
objeto de la pericia), pues sirve para posibilitar al imputado el
conocimiento de su realización, por si quiere estar presente, y para
que el Secretario dirija el clonado y asegure la custodia del
elemento de convicción original, entregando a los cuerpos policiales
la copia “espejo” para que comiencen el estudio para realizar su
dictamen26.
Sólo los hallazgos casuales de material incriminatorio
heterogéneo y distinto al perseguido y por tanto autorizado (se
busca pornografía infantil y, además aparecen estafas o amenazas
informáticas) exigen un complemento judicial habilitante (por
flagrancia y siempre que la casualidad del hallazgo sea de buena
fe) mediante la oportuna autorización que deberá documentarse a
posteriori. Si los mismos aparecen en la fase de análisis del
material, como es lógico, deben ser puestos en conocimiento
judicial27, para que adopte el Juez la resolución que corresponda
respecto a los nuevos y casuales elementos imputatorios.
El imputado, si es conocido, puede (los Art. 333 y 336 LECrim no
obligan, sino que lo permiten) estar presente en las tareas de
desprecinto, pero para ello debe indicarlo, por lo que previamente a
su realización debe notificársele a su representación la providencia
de continuación y desprecinto por si quiere manifestar su presencia,

25
Hay quien señala que si el Juzgado ordena el estudio e informe de lo ocupado, indirectamente está
autorizando el desprecinto, sin el cual, obviamente no se puede iniciar. No es lo recomendable, porque
aunque la resolución judicial de desprecinto no precise de motivación per se, y no se afectan cuestiones
de rango constitucional, sí supone la realización de un trasvase de información sobre el que la ley obliga
a la dación de fe pública judicial, garantizando que la copia “espejo” coincide con el original, que debe
conservarse bajo dominio judicial, por si fueran necesarios posteriores contrastes o contrapericias. Sin
embargo, como nos hallamos ante un problema de mera legalidad ordinaria, puede suplirse tal omisión
por el contraste de los hash inicial y posterior a la pericia, si se conservan, que técnicamente podrían
acallar las dudas así suscitadas.
26
En los casos extremos en que la urgencia y necesidad de la pericia no admita dilaciones porque de
su resultado dependa la adopción de decisiones judiciales inaplazables, la policía judicial puede
realizarlas per se (art. 28.2 c) RD 769/1987, de 19 junio, de la Policía Judicial).
27
Una de las miles de razones por las que se aboga por que estas pericias no sean realizadas por
quien no tenga la condición de funcionario público, como parecen pretender algunas empresas privadas
dedicadas a pericias informáticas.
siendo suficiente con la de su Letrado, pues si lo que trata la ley es
de garantizar la defensa, con la de este basta.
En efecto, la garantía de la autenticidad del volcado de datos la
presta la presencia del Secretario judicial en su función de fedatario
público procesal28, por lo que, la presencia de Letrado no hace sino
sobreabundar.
Y además, siendo una labor más técnica que jurídica, lo
importante para garantizar el copiado exacto es que el volcado lo
hagan los que saben técnicamente hacerlo, es decir los expertos
policiales de los Servicios de Laboratorio, que así reciben el
reconocimiento a su neutral hacer científico, desechando lo que
otrora han sido injustas suspicacias de parcialidad.
Esta es la razón por la que el TS -que ya ha tenido la
oportunidad de posicionarse sobre este punto- en su sTS
14/05/2008, Andrés Ibáñez, FJ 2º del recurso de Luis Ángel, no
acuerda la nulidad de esta prueba pese a ser practicada sin la
presencia del Secretario judicial, sino por los técnicos policiales en
su propia sede, porque la presencia del Secretario “habría sido , de
facto, tan inútil –y, por tanto, innecesaria- como la que pudiera
darse en el desarrollo de cualquier otra de las muchas imaginables
en cuya técnica el fedatario judicial no fuera experto”.
En el campo del secreto comunicativo, pero igualmente con la
intención de poder realizar una efectiva defensa, dado que es difícil
ejercer un derecho cuya base se ignora, en lo que es pues otro
derecho fundamental distinto (art. 24CE defensa, en relación con el
18.3 CE, secreto de las comunicaciones), hay que recordar que es
obligatorio citar al imputado (art. 584 LECrim) para la apertura de los
correos electrónicos que aparezcan y que este ignore (luego no es
necesario en los ya abiertos, de los que el imputado tiene
conocimiento), es decir aquellos que figuren como no abiertos al ser
analizados.
Este motivo y el hecho de tratarse de derechos fundamentales
diferentes hacen obligatorio acudir al Juez para que autorice esa
concreta apertura (de correspondencia electrónica, todavía en
proceso, pues no se ha abierto, y que no es por lo tanto documental) y
cite al afectado por si quiere estar presente, en persona, o a través de
su representante, y tras leerla reservadamente el Juez (art. 586
LECrim), si decide no acordar en razón a su contenido el secreto
sumarial, debe proceder a comunicárselo al imputado, con el resto de
28
En contra la s AP 7ª Málaga, sede en Melilla, Santos Peñalver, FJ7º, que invalida la pericial sobre
material informático absolviendo de un delito de corrupción de menores al declarar que “no existe
ninguna posibilidad de comprobar si la prueba obtenida…sufrió manipulaciones idóneas para alterar el
contenido de la grabación”del disco duro, pese a constar diligencia del Secretario judicial indicando que
“se ha procedido al copiado del disco duro del imputado”.
cautelas a las que se refiere el capítulo de la apertura de
correspondencia privada ( Art. 580-588 LECrim), si le fueren
aplicables.
Respecto a la necesidad de mandamiento judicial para la
apertura de los ordenadores, singularmente portátiles, aprehendidos
por los Cuerpos policiales en el ejercicio de sus funciones en
lugares abiertos no protegidos por la inviolabilidad domiciliaria,
especialmente en la calle, indicar que debe analizarse de
conformidad con las circunstancias del caso, pues aunque la
apertura sin Auto judicial inicialmente parecería vulnerar el derecho
a la intimidad informática (Art. 18.1 CE) y/o al secreto de las
comunicaciones (Art. 18.3CE), razones de urgencia, flagrancia o
aseguramiento de la investigación, podrían al menos en el primer
caso29, justificar la apertura policial , condicionando el definitivo
juicio sobre su proporcionalidad a la fase de la valoración judicial de
su obtención.
La legislación sobre este punto es tan genérica30, que obliga a
acudir a la jurisprudencia (bastante indeterminada todavía) para
concretarla.
Respecto al análisis policial de los datos de tráfico de las
telecomunicaciones, hay que partir de que en principio el TC (sTC
114/84, de 29 de Noviembre, y que se mantiene en las sTC 70/02,
de 3 de Abril , la 123/02 de 20/05/2002 y sTC 281/2006, de 9 de
octubre) sostiene que forman parte del derecho al secreto de las
comunicaciones (Art. 18.3 CE) indicando que también se puede
vulnerar este derecho aunque no se acceda al contenido de la
conversación, ya que desde la perspectiva de los derechos
fundamentales, lo inviolable no sólo es 1)el mensaje, sino también
todos aquellos 2)datos relativos a la comunicación que permitan
identificar a los interlocutores o corresponsales o 3)constatar la
existencia misma de la comunicación, 4)su data, 5)duración, y
6)todas las demás circunstancias concurrentes, útiles para ubicar
en el espacio y en el tiempo el hecho concreto de la conexión, pues
29
Nunca para supervisar correo-e u otras comunicaciones, pero sí en el caso de los archivos/ficheros,
y siempre siendo más proclives a la justificación en los casos en que la actuación policial es el resultado
de una investigación previa relacionada con lo aprehendido , que aquellos otros en los que la sospecha
policial responda a una mera intuición , que deben descartarse, y para los que siempre hay tiempo de
esperar a la autorización o no del Juez de guardia, una vez asegurada la confiscación policial del portátil.
30
El art. 282 LECrim –para el Sumario- encomienda a la policía judicial la recogida de todos los
efectos, instrumentos o pruebas del delito que tengan peligro de desaparecer, para ponerlos a disposición
de la Autoridad judicial, –art. 284 LECrim- una vez terminadas las diligencias a prevención, el art. 770.3
LECrim –para el Abreviado- lo reitera en términos casi idénticos, y el art. 11.1 g) de la LO 2/1986 , de
Fuerzas y Cuerpos de seguridad , a su vez , establece como función policial la de “investigar los delitos
para descubrir y detener a los presuntos culpables , asegurar los instrumentos, efectos y pruebas del delito,
poniéndolos a disposición del Juez o Tribunal competente y elaborar los informes técnicos y periciales
procedentes”. Ver también el art. 28 RD 769/1987, de 19 junio, de la policía judicial.
en definitiva, para este cuerpo doctrinal, no cabe disociar sin merma
relevante de garantías, realidades tan sustancialmente integradas
como son el mensaje y su proceso de transmisión.
Sin embargo esta doctrina31 posteriormente acaba
matizándose en función de los supuestos que se le van
presentando al TC, y así:
En la sTC 70/02, de 3 de Abril, añade que lo que ha sido
secreto de comunicación (art. 18.3 CE), una vez que el proceso
comunicativo ha cesado, pasa a la protección constitucional menos
reforzada de otro derecho fundamental, cual es el de a la intimidad
(art. 18.1CE).
La sTC 137/02, de 3 de junio, aclara que el art. 18.3 funciona
sólo mientras la comunicación esté teniendo lugar.
Las sTC 123/02, de 20 de mayo y 281/2006, de 9 de Octubre
(que declara que los paquetes o envíos postales, por no soler
expresar mensajes sino desplazar mercancías, no son objeto no
sólo de la protección del art. 18.3, sino tampoco –FJ 4º in fine- de la
del 18.1 CE), exigen que la vulneración del art. 18.3 CE interfiera en
el proceso mismo de la comunicación mientras esté teniendo lugar,
con independencia de que los datos se tomen en consideración una
vez finalizado aquel proceso.
En ese sentido, la sTC 123/02 matiza respecto de los datos
externos de la conexión telefónica (muchos de ellos, datos de
tráfico) -principalmente a los que se refiere el supuesto de hecho: la
entrega a la policía de los listados de llamadas telefónicas entrantes
y salientes de un número de teléfono no intervenido judicialmente y
que incorporan datos relativos al teléfono de destino, momento en
que se efectúa la comunicación y a su duración – que “ no puede
desconocerse que suponen menor injerencia en el citado derecho
fundamental “ respecto de la que supone la materialización de las
escuchas telefónicas, significativamente en lo que hace a la
ponderación de su proporcionalidad.
Y en consecuencia, instaura un a modo de doble régimen de
protección constitucional distinto, hiperprotegido para el mayor y
nuclear del contenido del mensaje comunicado, para cuando la
comunicación está teniendo lugar, y menor y de segundo grado,
para la protección de los datos de tráfico, generalmente cuando la
comunicación ha cesado ya, de manera que la sTC aludida acaba
declarando que no vulnera el derecho del art. 18.3 CE la concesión
por providencia judicial inmotivada de mandamiento a la Operadora
telefónica para entregar a la policía el listado aludido ,sin
intervención de las comunicaciones del mismo.
31
Con la preocupante excepción de la sTC de 5/11/2007, Pérez Tremps, FJ 2º.
 De lo que parece colegirse que los datos de tráfico
telecomunicativos: la existencia de la comunicación, la identidad de
los corresponsales, el momento en que se produce, los lugares de
remisión y destino, son todos ellos datos íntimos y reservados, pero
no por ello secretos, pese a la literalidad de la sTC 281/2006, de 9
de octubre, y por ello su protección constitucional es más acorde
por la vía del art. 18.1CE, o singularmente ya por la del art. 18.4 CE
si estuvieran automatizados, que por la del art. 18.3 CE.
Por otra parte la jurisprudencia constitucional (sTC 20/05/2002 -
p. Casas Baamonde -) reconoce que aunque rige como regla
general la exigencia constitucional de monopolio jurisdiccional en la
limitación de derechos fundamentales, no existe en la Constitución
reserva absoluta de previa resolución judicial respecto del derecho
a la intimidad personal, y así de forma excepcional en determinados
casos y con la suficiente y precisa habilitación legal es posible que
la policía judicial realice determinadas prácticas que constituyen una
injerencia leve en la intimidad de las personas ( sTC 15/02/1989 –
examen ginecológico por médico forense-; 16/12/1996- extracción
de cabello y pelo por médico forense- y 3/04/2002 –análisis de
agenda y papeles hallados en su interior por la Guardia Civil en
detención de presunto narcotraficante-) como son principalmente la
práctica de inspecciones, reconocimientos e incluso intervenciones
corporales leves -el cacheo-, si son proporcionales y razonables al
caso.
Por su parte, la doctrina de la Sala 2ª del Tribunal Supremo,
en materia de los datos de tráfico telecomunicativo, aunque no
unánime32 expresa en varios casos concretos, en sus sTS
22/03/1999 (p. Puerta Luis) ,7/12/2001 (p. Giménez García)
,22/10/2004 (p. Berdugo Gómez de la Torre) –que la tilda de
“diligencia típica de investigación policial” - ,30/11/2005 (p. Martínez
Arrieta), 23/01/2007 (Berdugo Gómez de la Torre) y 16/02/2007
(Maza Martín) que la cesión por petición (incluso por providencia)
del listado de las conversaciones mantenidas desde el teléfono
móvil de un investigado , y la expresión de los titulares de los
mismos “no afecta al contenido propio del derecho fundamental al
secreto de las comunicaciones del art. 18.3 CE” pues se “trata en
definitiva de datos de carácter personal, custodiados en ficheros
automatizados” (conforme a lo prevenido en el art. 3 LO 15/1999, de
13 de Diciembre, de protección de datos de Carácter personal)
“para cuyo conocimiento no se exige el consentimiento del afectado
cuando…se recojan para el ejercicio de las funciones propias de las
32
Ver las excepciones de las s TS 25/02/2002 FJ 2ª, 8/04/2008 y sTS 19/02/2007, las tres ponencias
de Andrés Ibáñez, y la tercera, con dos votos discrepantes.
administraciones públicas en el ámbito de sus competencias” y
entre las que, añadimos nosotros, el art. 22.2 de la referida LOPD
posibilita para los Cuerpos policiales –autónomamente, además de
como comisionado judicial o Fiscal- tanto las que afecten a peligros
reales para la seguridad pública como para la represión de
infracciones penales.
Esta doctrina señala que “no hay equiparación posible entre
una conversación intervenida y la mera indicación del teléfono y
titular al que se efectuó la llamada” (sTS 2/10/2004), porque sólo es
secreto en la comunicación , la comunicación misma ( es decir el
mensaje o transmisión de expresiones de sentido a través de
cualquier conjunto de sonidos, señales o signos, indisolublemente
unidos por naturaleza a la persona , a la propia condición humana –
sTC 9/10/2006- ) y llamar comunicación a los interlocutores, su
duración, momento, destino o al propio proceso comunicativo
desligado del contenido, es forzar el sentido del lenguaje, y hurtar a
las protecciones ( que todos coincidimos han de ser de menor nivel)
del art. 18.1 y especialmente del art. 18.4 CE, su cabal sentido y
sitio.
Por ello, si algo es un dato, o conjunto de datos
(automatizados o no), no se debe forzar su naturaleza, dándoles el
carácter y la protección propias del contenido.
Lo mismo se expresa respecto del examen de la agenda de
llamadas realizadas desde el móvil de un investigado sin
autorización judicial o análisis de la memoria de un móvil, agendas
telefónicas, electrónicas o cualquier otra agenda que guarde
teléfonos o anotaciones sobre llamadas, hecha por la policía, (sTS
30/11/2005 y 316/2000, de marzo y en un caso de lectura de SMS
ya leído, la s 1235/2002, de 27 de junio y sTS 17/04/2006 , Sánchez
Melgar, FJ 2º que la permite como en el caso de cualquier
documento intervenido a un detenido porque la agenda electrónica
“no es más que el trasunto de una agenda convencional, pero
digitalizada”, por lo que el soporte no hace al monje) , pues aunque
pertenecen al ámbito de la intimidad , no tienen la consideración de
teléfono en funciones de transmisión de pensamientos, y ya hemos
remarcado que en el ámbito de la intimidad y protección de datos
cabe la legitimación de injerencias policiales en los “supuestos en
que existan razones de necesidad de intervención policial
inmediata, para la prevención y averiguación del delito, el
descubrimiento de los delincuentes y la obtención de pruebas
incriminatorias” (sTS 30/11/2005) conforme permiten entre otros el
art. 287 LECrim interpretado conforme al 126 CE y siempre que “la
actuación policial respete las exigencias de necesidad y
proporcionalidad, tanto por lo apremiante de la situación a efectos
de evitar la fuga de otros partícipes , como por la idoneidad de la
medida para la investigación del delito (de los mensajes grabados
se extrajeron valiosos elementos de investigación ulteriormente
desarrollados) , imprescindible en el caso concreto al no existir otras
menos gravosas, y ejecutada de tal modo que el sacrificio del
derecho fundamental a la intimidad no resulte desmedido en
relación con la gravedad de los hechos y las muy fundadas
sospechas existentes” (sTS 27/06/2002, Ramos Gancedo, FJ 4º).
En resumen, (sTS 3/04/2002, Garrido Falla, FJ 10º), la regla
general de que previamente se acuerde la practica de la inmisión
por resolución judicial motivada, cede, ante la falta de reserva
constitucional al Juez, a favor de su práctica por la policía, siempre
que existan razones obvias de necesidad y se respeten los
principios de proporcionalidad –concretado en la idoneidad,
necesidad y proporcionalidad estricta de hacerlo- y razonabilidad y
se encamine a la prevención, averiguación del delito,
descubrimiento del delincuente y/o a la obtención de pruebas.
No digamos cuando la actuación policial se hace para la
detección de cuerpos delictivos o descubrimiento de la autoría
sobre la base de terminales de telecomunicaciones de propiedad de
la víctima, que consiente la inmisión, pero que están en poder del
investigado33y cuyos datos aportan los propios denunciantes.

2) EL ANÁLISIS PERICIAL DE LA INFORMACIÓN

PROBATORIA:

a) Realización de la pericia informática y emisión del

dictamen y sus conclusiones:

Conforme a lo recogido en el art. 478 LECrim el informe pericial

debe comprender dentro de lo posible:
33
En la investigación de delitos tecnológicos no suele aparecer otra línea de investigación diferente a
la vinculación de datos que con la realización del delito deja el autor sobre sus corporeidades: señas IP,
llamadas a teléfono, etc. y que por tanto aportan las propias víctimas en su denuncia, y no la policía.
En la sTS 23/01/2007 se perseguían las llamadas efectuadas por los ladrones desde los móviles
robados a través de los números IMEI que aportaron las propias víctimas - titulares de los mismos- de un
atraco en casa habitada .
 1) la descripción del objeto en el estado o modo en que se halle
2) la relación detallada de todas las operaciones practicadas por
los peritos y su resultado
3) las conclusiones que en vista de tales datos formulan los peritos
conforme a los principios y reglas de su ciencia y arte.
A la práctica de tal prueba (art. 476 LECrim), en el caso de que no
pueda ser reproducible en el juicio oral, que es lo normal para las
informáticas, pueden (no es obligatorio, sino potestativo) concurrir con
su representación, tanto las partes acusadoras personadas como la
defensa con el imputado, incluso en el caso de que este estuviese
preso. Para ello, pues consta la prevención en la ley, es la parte
interesada la que debe solicitarlo, ya que lo normal es que no se haga
ante las molestias que tal presencia supone.
Nuevamente la ley configura esta diligencia probatoria
preconstituida como de naturaleza judicial, y por ello el art. 477
LECrim indica que “asistirá siempre el Secretario que actúe en la
causa”.
La tipología de pericias a realizar sobre los elementos ocupados
depende de las necesidades probatorias de los hechos investigados.
Muchas dependerán del tipo penal perseguido (así: análisis de los
archivos, de los históricos, de los intercambios, de enlaces
consultados, del envío de telecomunicaciones informáticas a la
víctima, del malware instalado, del rastro dejado para el ataque, el
borrado o desaparición del cuerpo del delito y medios empleados para
hacerlo, etc.)
En otras ocasiones, sin embargo, se complementarán e irán
encaminadas a determinar el autor concreto posible del ataque (así:
determinación del grado de conocimientos informáticos del imputado
para descartar los de otros posibles usuarios compartidos, criterios de
búsqueda y materias que usa, nicks vinculados a sus comunicaciones
pasadas o actuales –sus interlocutores, fechas, duración,
localización…-, procedencia del último punto de ataque, o rastreo del
destino de la información “robada” transmitida, ) o la intención (así:
determinación de palabras vinculadas a la acción penal en el
buscador del imputado, inmediatez o no de la acción de borrado, de la
de intercambio, cantidad de archivos relacionados con la materia
investigada, uso de técnicas de suplantación, anonimato, cifrado,
formateo, etc.)
Para la concreción del objeto de la pericia el Juez puede
perfectamente ante el desconocimiento de las técnicas usadas por los
expertos, encomendar a estos en términos amplios la realización de
las búsquedas a que se dirija el tipo penal investigado, que ya estará
definido en el atestado o proceso penal mismo, pues lo único
prohibido son las encomiendas meramente prospectivas, aplicándose
a los “hallazgos casuales” la doctrina que hemos apuntado más arriba.

b) Exposición contradictoria de la pericia:

Las partes personadas en la causa pueden potenciar sus

facultades de participación en la elaboración de la pericia durante la
fase de instrucción, bien mediante la emisión de sus observaciones
durante su realización (art. 480 LECrim), bien pudiendo contradecirla
e interrogar sobre ella a la hora de la emisión de sus conclusiones por
parte de los peritos al ratificarlas en el Juzgado (art. 483 LECrim), o
bien aportando una contrapericia propia diferente o coincidente.
La fase de juicio oral, única donde finalmente se ejecutan las
pruebas que sirven para fundar el fallo de la sentencia, en materia
probatoria, está regida por los principios de oralidad, publicidad,
contradicción e inmediación.
Esa es la razón por la que en principio el perito debe acudir de
nuevo al Tribunal para realizar ante enjuiciadores diferentes la misma
pericia, salvo, como ocurre con las informáticas, que sean estas de
reproducción imposible o extraordinariamente difícil.
El problema de la escasez de peritos, su necesaria constante
presencia en juicio, los costes por su desplazamiento en tiempo y
dinero por toda la geografía nacional, la imparcialidad, objetividad,
competencia técnica, desinterés en el caso concreto que suelen
presentar, los altos niveles de especialización técnica, la necesidad de
atender a imperativos de formación, la sofisticación y coste de las
modernas pericias, etc., han llevado a matizar34 esta necesidad
procesal en el caso de las realizadas por expertos policiales que no
intervienen en las actividades operativas salvo para dar
asesoramiento técnico.
Y así, en general, aunque más cuanto más amplitud geográfica
mantienen – y en especial para las practicadas por los Gabinetes
Científicos centrales , organismos y laboratorios oficiales del Estado y
CCAA- , han llevado a que la jurisprudencia convierta su dictamen en

34
Dado que la gran mayoría de los informes de este tipo son elaborados por los Gabinetes
Centrales de Identificación de la Policía o Guardia Civil, la jurisprudencia ( sTS 6/07/1988,25/04/1989,
19/01/1990) los excluye del deber de ratificación, por , entre otras razones ( sTS 26/01/1989), la fiabilidad
que prima facie ofrecen al ser emitidos por un órgano central , las dificultades de su reproducción en
juicio ya que los funcionarios deberían acudir a ratificar sus informes a todos los Juzgados y Tribunales
de la nación, y por el principio de lealtad profesional que exige a la defensa , si cuenta con razones serias
y consistentes ( sTS 5/01/1988,31/03/1989, 4/07/1990), a hacer explícita y a tiempo su propuesta de
ratificación de la pericial en juicio o incluso a realizar una contrapericia.
prueba preconstituida documental, perfectamente evaluable en
sentencia sin ratificación, e invirtiendo la carga de su impugnación ,
vienen obligando a quien lo cuestione a expresar en su escrito de
conclusiones –para posibilitar la contradicción a la contraparte y
demostrar la buena fe de la real necesidad de aclarar o complementar
la pericia- los motivos concretos de su discrepancia (disconformidad
con el resultado de la pericia, contraanálisis privado diverso,
disconformidad con la competencia o imparcialidad del perito) , para
permitir el sometimiento final al perito a contradicción en el plenario35.

c) Valoración judicial de la pericia:

La prueba pericial, para finalizar, al igual que cualquiera de las

otras, no necesariamente es prueba plena, y debe valorarse en
función de las circunstancias del caso conforme a la regla de la
sana crítica y la valoración en conciencia, que aleja el papel del
Juez del mero automatismo, aun cuando las pericias tengan mucho
peso en ocasiones por su valor de convicción, muchas veces en
consonancia con el carácter científico y cuasiaxiomático de las
mismas.
El estudio de las trazas dejadas en el ordenador, la transmisión
del ataque delictivo, el borrado de datos o formateado del disco
duro, los posibles encriptamientos o enmascaramientos, los análisis
de proxys, de las IPs, de los back-ups o copias de seguridad, etc., a
veces sirven para determinar la certeza de la autoría, la
participación o incluso la realización misma del delito, otras, para
descartarlo, otras tan sólo para esclarecer parte de lo ocurrido sin
más atribuciones, y por ello, al final, la labor judicial, debe terminar
por primar recordando que tanto juzgar como peritar son ambas
labores humanas, y por ende falibles.

35
Ver entre tantas, la doctrina en este sentido de sTC 5/07/1990,11/02/1991 y sTS 5/05/1995,
11/11/1996, pleno no jurisdiccional de 21/05/1999 o sTS 27/12/06, Berdugo Gómez de la Torre, FJ 8º,
que la resume.