LA CADENA DE CUSTODIA:

FUENTE DE PRUEBA DE DISPOSITIVOS INFORMÁTICOS Y

ELECTRÓNICOS

Juan Francisco Benítez Iglesias

Oficial de Policía. Unidad de Investigación Tecnológica

 ÍNDICE

1.- INTRODUCCIÓN ..................................................................................................................................4

2.- EVIDENCIAS DIGITALES ...................................................................................................................5

2.1.- CARACTERISTICAS .....................................................................................................................6

2.1.- NORMA ISO/IEC 27037.................................................................................................................7

2.2.1.- Principios..................................................................................................................................7

2.2.2.- Procesos....................................................................................................................................8

3.- LA PRÁCTICA DEL REGISTRO .........................................................................................................8

3.1.- EJECUCIÓN TÉCNICA .................................................................................................................9

3.2.- INTERVENCIÓN, RESEÑA, PRECINTO Y EMBALAJE .........................................................10

3.- FUNCIONES HASH ............................................................................................................................11

3.1.- DEFINICIÓN ................................................................................................................................11

3.2.- PROPIEDADES ............................................................................................................................11

4.3.- UTILIDADES: ..............................................................................................................................12

4.4.- FUNCIONES.................................................................................................................................13

4.4.1.- Md5 ........................................................................................................................................13

4.4.2.- Sha1........................................................................................................................................14

5.- COPIA DE DATOS ..............................................................................................................................14

5.1.- Clonado..........................................................................................................................................15

5.1.1.- Aplicaciones: ..........................................................................................................................15

5.1.2.- Inconvenientes:.......................................................................................................................15

5.2.- Imagenes ........................................................................................................................................16

5.3.- Copia selectiva...............................................................................................................................17

6.- Wiping...................................................................................................................................................18

6.1.- Procedimientos ..............................................................................................................................19

6.1.1.- Destrucción física. ..................................................................................................................19

6.1.2.- Desmagnetización...................................................................................................................19

6.1.3.- Borrado lógico........................................................................................................................19

6.1.4.- Herramienta de trabajo ...........................................................................................................20

7.- Dispositivos utilizados ..........................................................................................................................20

 Hoy en día, la tecnología y la utilización que se hace de ella por los ciudadanos
y las empresas ha crecido a un ritmo exponencial, y con igual rapidez ha crecido el uso
que la criminalidad hace de la misma para la comisión de infracciones penales.

Si hace una década encontrar evidencias digitales en cualquier investigación

penal era algo residual, en la actualidad difícil es encontrar una investigación en la
que no se intervengan dispositivos informáticos o dispositivos móviles. Es por ello que
tanto las Autoridades Judiciales como las fuerzas y cuerpos de seguridad deben
formarse y especializarse en un ámbito tan cambiante como es el de las Tecnologías de
la Información y la Comunicación. Deben conocer las características que definen a las
evidencias digitales y que por sus particulares tan variables las hacen diferenciarse de
los tratamientos que se aplican a otro tipo de evidencias más tradicionales.
 1.- INTRODUCCIÓN
Hoy en día, el importante avance que están sufriendo las Tecnologías de la
Información y la Comunicación, denominadas TIC, ha servido para mejorar las
comunicaciones sociales consiguiendo una mayor globalización, permitiendo que se
diluyan las fronteras y las limitaciones territoriales, pero también ha supuesto el auge de
nuevos tipos delictivos, así como la utilización de esta tecnología para cometer, de una
manera más anónima y con una menor exposición física, los delitos tradicionales.

La reforma del código penal, mediante la Ley Orgánica 5/2010, de 22 de junio,

supuso la inclusión de nuevos preceptos para legislar conductas que hasta ese momento
no estaban expresamente tipificadas, como es el acceso no autorizado a datos o
programas informáticos contra la voluntad de quien tenga el legítimo derecho a
excluirlo, tipificado en el artículo 197.3, los daños provocados en sistemas informáticos,
incluido en el modificado artículo 264 o el apartado añadido al articulo 248.2 para
incluir la fabricación o utilización de programas informáticos para cometer el delito de
estafa.

A estos nuevos delitos le tenemos que añadir que prácticamente cualquier delito
tipificado en el actual código penal, a excepción de unos pocos como los delitos en los
que para su consumación sea necesario un contacto físico, es posible realizarlo
utilizando como medio estas TIC.

Si a todo esto le unimos que si hace diez años en una práctica de diligencia de
entrada y registro de un domicilio el intervenir con un dispositivo electrónico era un
hecho anecdótico, y que hoy en día, se hace muy complicado no intervenir, al menos, un
ordenador de sobremesa o portátil más un dispositivo móvil Smartphone, nos
encontramos con la necesidad imperiosa de incorporar nuevos protocolos y técnicas de
investigación que permitan identificar cualquier información en formato digital que
pueda establecer una relación entre el delito tecnológico o informático y el autor del
mismo. Dicha información en formato digital recibe el nombre de evidencia digital.

A día de hoy no se han establecido normas de obligado cumplimiento para la

recogida, tratamiento y posterior análisis de las evidencias digitales. Si bien son varias
las normas y manuales de buenas prácticas que han intentado normalizar estos
procedimientos, es de destacar la norma ISO/IEC 27037, que se basa en unos principios
que, si bien inicialmente se podrían desarrollar para el tratamiento de cualquier tipo de
evidencia, no solamente la digital, han sido adaptados expresamente para la evidencias
digitales, y que será analizado posteriormente.

Todo ello ha generado la necesidad de especialización y formación por parte de

las instituciones tanto judiciales como policiales en estas nuevas áreas en donde las
TICs se convierten en los instrumentos necesarios para la persecución del delito y sus
autores.

La obtención de estos elementos probatorios se constituye en uno de los aspectos

necesarios para alcanzar el éxito en la investigación penal, pero requiere que los
encargados de la recogida, tratamiento y análisis de estas evidencias digitales realicen
su función garantizando la autenticidad e integridad de dichas evidencias para que
puedan ser utilizadas en el proceso penal.
 A este respecto las directivas de la Dirección General de la Policía han llevado a
fomentar y ampliar tanto la persecución como la prevención de los delitos que se
cometen a través o usando las TICs, así como la formación del personal, que durante la
cadena de custodia, tendrá relación con las evidencias digitales. La prevención mediante
planes de formación y concienciación a los ciudadanos, principales víctimas de estos
delitos, y la persecución o investigación mediante la potencialización, dentro de la
Comisaría General de Policía Judicial, de la antigua Brigada de Investigación
Tecnológica (BIT), que se convierte en Unidad de Investigación Tecnológica (UIT)
dotándola de más medios y más personal.

Incardinado en esta Unidad existe una Sección de Investigación Tecnológica,

que entre sus cometidos se encuentran los que se relaciona a continuación:

+ La formación, tanto a nivel nacional, para miembros de policía judicial

destinado en unidades centrales y territoriales de investigación tecnológica, como a
nivel internacional, a través de la cooperación internacional, para cuerpos policiales de
otros países que quieran fomentar o crear grupos de investigación tecnológica.

+ La investigación y desarrollo de nuevas herramientas y protocolos de

actuación.

+ Apoyo técnico-operativo a cualquier unidad o grupo del Cuerpo Nacional de

Policía, así como a las Autoridades Judiciales que lo soliciten. En este apartado es
donde se tiene la primera toma de contacto con las evidencias digitales, ya que en la
mayoría de los casos se trata de dar apoyo en entradas y registros para manipular el
material informático.

+ Análisis de evidencias o dispositivos electrónicos. A este respecto cabe

mencionar que el Cuerpo Nacional de Policía dispone a través de la Comisaría General
de Policía Científica, así como de las unidades territoriales, de grupos de informática
forense, compuestos por expertos en la materia y que emiten informes periciales sobre
dispositivos o evidencias analizadas.

La diferencia entre estos grupos de policía científica y la Sección de

Investigación Tecnológica de la UIT versa principalmente en el objetivo final del
informe que se genera. Si es una evidencia, en la que a solicitud de un grupo de
investigación de policía judicial, se solicita extraer información para continuar las
investigaciones sería competente la Sección de Investigación Tecnológica. Si por el
contrario se trata de una petición judicial o de un grupo de investigación, pero la
investigación se encuentra concluida y la única intención de solicitar la emisión de el
informe pericial de la evidencia es para aportar como prueba al juicio oral, el
competente sería el mencionado grupo de informática forense.

2.- EVIDENCIAS DIGITALES

Como se ha comentado, toda información en formato digital que se va a utilizar
como prueba en el procedimiento penal recibe el nombre de evidencia digital, término
que define cualquier registro, almacenado o generado en un dispositivo o soporte
informático, pudiendo ser evidencias digitales tales como:

Documentos ofimáticos (Word, Excel,…)

Imágenes digitales (bmp, jpg, …)

Metadatos

Archivos registro actividad (logs)

Sistemas de comunicación digital (emails, conversaciones,…)

Incluso los soportes informáticos como discos duros, pendrives, CDs o DVDs
son considerados evidencias digitales, aunque en realidad la evidencia digital se
encuentra en su contenido, no en los soportes que son los contenedores, que serán
consideradas evidencias electrónicas.

2.1.- CARACTERISTICAS
La evidencia digital tiene unas características especiales que la diferencian de
otros tipos de evidencias:

+ Es Volatil. La información contenida en dispositivos electrónicos, como es una

memoria RAM (tipo de memoria que solo almacena datos mientras mantiene su
alimentación eléctrica y que una vez desconectada los pierde), se deben adquirir
mientras el equipo se encuentra encendido. Una vez apagado, la información contenida
en esta memoria deja de estar presente.

+ Reemplazable. La parte importante de una evidencia digital es el contenido y

no el continente, por ello, aunque los soportes informáticos como discos duros o discos
ópticos se consideren evidencias digitales en sí, la evidencia digital real será la
información que contienen. A este respecto sería posible traspasar el contenido de un
disco duro original a otro disco duro nuevo y la información seguiría siendo la original.

+ Alterable. Casi cualquier información digital se puede modificar, por lo que

para evitar esto, a la hora de realizar cualquier análisis forense debemos de utilizar
algún tipo de bloqueador de escritura, que evite, ya sea por imprudencia o con dolo el
alterar la evidencia original. Aunque ya se ha tratado a lo largo de este documento que
lo ideal en este tipo de casos sería el realizar una copia de los datos originales y trabajar
con la misma.

+ Duplicable. Al tratarse de información digital, compuesta de bits de

información, es posible reproducir esa misma información en varios soportes distintos
sin alterar la evidencia original. Con ello conseguimos una evidencia original intacta y
tantas copias de la misma totalmente idénticas.

+ Eliminable. Se trata de una condición particular de la característica de

alterabilidad. Como ya se ha comentado, las evidencias digitales se pueden modificar y
uno de estos tipos de modificación consiste en el borrado de esa evidencia. A este
respecto cabe reseñar que existen técnicas para recuperar la información que hubiera
sido borrada y que será tratado más adelante en el tema de wiping.

+ Anónima en ciertos casos. Las evidencias digitales intervenidas en el

procedimiento de la una entrada y registro pueden ser asignadas a un individuo
concreto, pero en otras ocasiones o en las evidencias digitales que se obtienen a través
de investigaciones realizadas en Internet puede que los únicos datos que obtengamos
para identificar al usuario estén enmascaradas con técnicas de anonimización u
ocultación del origen.

Estas propiedades generan múltiples situaciones en las que se puede llegar a

cuestionar su validez jurídica.

La finalidad de las mismas es aportar a la Autoridad Judicial las mismas

evidencias que fueron intervenidas y/o analizadas en el lugar de los hechos, adoptando
las medidas oportunas que permitan evitar cualquier alteración de la información
almacenada en los dispositivos.

Existen situaciones específicas en las que es necesario, con preceptivas

autorizaciones judiciales, efectuar manipulaciones de los dispositivos, con la finalidad
de realizar un análisis superficial de la información almacenada y obtener evidencias
que permitan continuar o ampliar las investigaciones. En estos casos, es necesario que
los funcionarios actuantes tengan los suficientes conocimientos técnicos para poder
determinar qué analizar, cómo analizarlo y cómo garantizar una intervención mínima en
el dispositivo, debiendo documentar en todo momento la intervención efectuada y las
posibles consecuencias. Para que tenga validez es imprescindible que dicho proceso
pueda repetirse en cualquier momento, en las mismas circunstancias, debiendo obtener
un resultado idéntico.

2.1.- NORMA ISO/IEC 27037

Aunque ya se ha comentado que no existe ninguna normativa de obligado
cumplimiento, la mayoría de los protocolos de actuación y normativas siguen unas
pautas comunes. Pasemos a analizar los principios y procesos que rigen la manipulación
de las evidencias digitales a través de la norma ISO/IEC 27037, que es una de las más
extendidas.

2.2.1.- Principios
- Aplicación de Métodos

La evidencia digital se debe adquirir del modo menos intrusivo posible tratando
de preservar la prueba original y en la medida de lo posible obteniendo copias de
respaldo con las que posteriormente se trabajará y se emitirá el oportuno informe.
 - Proceso Auditable

Los procedimientos seguidos y la documentación generada deben haber sido

validados y contrastados por las buenas prácticas profesionales. Se debe proporcionar
trazas y evidencias de lo realizado y sus resultados.

- Proceso Reproducible

Los métodos y procedimientos aplicados deben de ser reproducibles, verificables

y argumentables al nivel de comprensión de los entendidos en la materia, quienes
puedan dar validez y respaldo a las actuaciones realizadas.

- Proceso Defendible

Las herramientas utilizadas deben de ser mencionadas y éstas deben de haber

sido validadas y contrastadas en su uso para el fin en el cual se utilizan en la actuación.

2.2.2.- Procesos
Para cada tipo de dispositivo la norma divide la actuación en tres procesos
diferenciados como modelo genérico de tratamiento de las evidencias:

- La identificación

Consiste en localizar e identificar las potenciales informaciones o elementos de

prueba en sus dos posibles estados, el físico y el lógico según sea el caso de cada
evidencia.

- La recolección y/o adquisición

Este proceso se define como la incautación de los dispositivos y la

documentación que puedan contener la evidencia que se desea recopilar o bien la
adquisición y copia de la información existente en los dispositivos.

- La conservación/preservación

La evidencia ha de ser preservada para garantizar su utilidad, es decir, su

originalidad para que a posteriori pueda ser ésta admisible como elemento de prueba
original e íntegra, por lo tanto, las acciones de este proceso están claramente dirigidas a
conservar la Cadena de Custodia, la integridad y la originalidad de la prueba.

3.- LA PRÁCTICA DEL REGISTRO

Si bien, como se ha estado comentando hasta ahora, a día de hoy no se han
establecido normas de obligado cumplimiento para la recogida, tratamiento y posterior
análisis de las evidencias digitales, se suelen utilizar guías de buenas prácticas
desarrolladas por cada cuerpo policial, pero que en general siguen unas mismas pautas
habituales a desarrollar en las entradas y registros.

3.1.- EJECUCIÓN TÉCNICA

Una vez identificado el equipo informático se debe proteger de cualquier
manipulación, por lo que se deberá evitar que personas no autorizadas accedan
físicamente al equipo. También se deberá evitar cualquier acceso a través de la conexión
de red o Internet, para ello se desconectará el cable de red de datos. Si es posible contar
con personal policial cualificado serán los que determinen la posibilidad de desconexión
instantánea o si la posibilidad de analizar la estructura de la red para determinar el
número de equipos conectados y si es posible identificarlos todos ellos.

El siguiente paso es el acceso al mencionado equipo. Si está apagado no debe

encenderse, salvo casos excepcionales o que personal policial cualificado indique lo
contrario. Al encender un equipo, además del sistema operativo, se ejecutan una serie de
aplicaciones, unas determinadas por el propio sistema operativo y otras determinadas
por el usuario, entre estas últimas puede ejecutarse aplicaciones que realicen un borrado
seguro del equipo, por lo que al encenderlo perderíamos las evidencias que queríamos
intervenir. Casos excepcionales para encender el equipo es que se quiera determinar en
el procedimiento de entrada y registro que las pruebas que han motivado esa entrada y
registro se encuentran en ese equipo. Se trata, por ejemplo, de investigaciones de
tenencia o distribución de material audiovisual con contenido de pornografía infantil, en
las que se conoce de antemano que archivos se tienen que localizar en el equipo y que
aplicaciones se han utilizado para la descarga y distribución del mismo. En esos casos
se dejará constancia en el acta levantado por el Secretario Judicial de todos los pasos
que se han ido dando en la manipulación del equipo.

En caso de que el equipo se encuentre encendido, hay dos posibilidades de

actuación. Se puede realizar un análisis superficial como se ha comentado
anteriormente, o se apaga el equipo inmediatamente, pero no mediante el procedimiento
normal ( en Windows es mediante botón Inicio y apagar), ya que cuando se utiliza el
procedimiento normal, el equipo puede tener configurado la ejecución de aplicaciones
de borrado seguro. Por tanto, para un apagado seguro debe realizarse desconectando el
cable de alimentación que se suele encontrar, normalmente, en la parte trasera del
equipo. Es necesario desconectarlo de ese lugar y no de la toma de red de la pared ya
que pueden existir dispositivos llamados Sistemas de Alimentación Ininterrumpida
(SAI) intermedios que al detectar que se han quedado sin energía sigan alimentando al
equipo y además les dé una orden para que haga un apagado con borrado seguro como
se ha comentado anteriormente.

Si se tratara de ordenadores de sobremesa, habría que valorar la posibilidad de

intervenir únicamente los discos duros que contiene, ya que es donde se encuentra,
normalmente, la información relevante, evitando así intervenir efectos voluminosos que
no aportan ninguna evidencia a la causa y provocan la saturación de espacio físico en
los almacenes policiales o judiciales. En caso de ordenadores portátiles, se valorará
proceder como en el caso anterior, aunque debido a la complejidad en muchos casos del
procedimiento de extracción de los discos duros en el lugar del registro se pueden
intervenir completos, incluyendo cables de alimentación.
 En cualquiera de los casos es necesario retirar cualquier componente que se
encuentre conectado al dispositivo a intervenir, como CDs, DVDs o pendrives, y
reseñarlos de forma independiente.

3.2.- INTERVENCIÓN, RESEÑA, PRECINTO Y EMBALAJE

Hoy en día, al efectuar una entrada y registro, cada vez es más normal
encontrarnos, al menos, un ordenador/tablet y un teléfono móvil por cada morador de la
vivienda. Otro tipo de operaciones en las que, por estar siendo investigado un empleado,
se registran grandes empresas, podemos encontrarnos decenas de equipos informáticos.
En estos casos es necesario valorar la posibilidad de intervenir únicamente aquellos
dispositivos que realmente tengan interés para la investigación, evitando, si es posible,
intervenir evidencias para realizar análisis “prospectivos” a posteriori.

En los dispositivos de telefonía móvil, se debe identificar el terminal mediante

su número de identificación IMEI (número internacional que identifica unívocamente el
terminal físico. Se encuentra visible, normalmente, retirando la batería del dispositivo o
tecleando la combinación de teclas *#06#) y, en caso de ser posible, la numeración de la
tarjeta SIM con su número facial. Igualmente, y a ser también posible, se reseñarán
todos los dispositivos de almacenamiento que se encuentren insertados en el terminal y
se intervendrán junto a los cargadores de corriente. Se deberán anotar los códigos de
acceso del teléfono (código PIN o códigos de desbloqueo del terminal) si son conocidos
por parte del grupo de investigación. En la medida de lo posible se intentará mantener
encendido el terminal para evitar que se activen esos códigos de acceso tanto del
terminal como de la tarjeta SIM. Lo ideal en estos casos sería mantener los teléfonos
móviles en unas bolsas llamadas bolsas de Faraday que evitan aíslan al terminal de las
ondas electromagnéticas por lo que al no recibir ningún tipo de señal de antena o
dispositivo inalámbrico no se alteraría la información contenida en el mismo. En caso
de no disponer de estas bolsas se debería manipular el dispositivo para activar el “modo
avión”, que realiza la misma función que la bolsa, salvo para las redes inalámbricas.

Todos los dispositivos deben quedar correctamente reseñados, incluyendo su

número de serie u otra reseña que les identifique unívocamente. En caso de no tener
reseña identificativa externa se hará constar en el acta de entrada y registro
referenciándolo mediante una breve descripción.

Los dispositivos se precintarán en la medida de lo posible utilizando bolsas que

la DGP tiene a tal efecto, evitando el uso de precinto policial sobre la evidencia misma
que al retirarla pueda dañar partes sensibles o electrónicas. En caso de dispositivos de
considerable volumen, como ordenadores de sobremesa, que no puedan ser introducidos
en bolsas, se deberá precintar cualquier elemento que sirva como puerto de
entrada/salida de datos, como son los puertos USB, Firewire, conectores de red RJ45 o
lectores de CD o DVD, bien mediante precinto policial directamente o mediante una
hoja de papel.
 3.- FUNCIONES HASH

3.1.- DEFINICIÓN
Una función hash es cualquier procedimiento bien definido o función
matemática que convierte una gran cantidad de datos, de un tamaño variable en un valor
pequeño. Los valores devueltos por una función hash se llaman valores hash, códigos
hash, sumas hash, o simplemente hashes. En resumen, se trata de hacer pasar una serie
de datos, como pueden ser un correo electrónico, un documento de ofimática o incluso
un disco duro completo, por una función matemática para obtener un valor.

Hay que tener en cuenta que cuando se menciona que se puede calcular el
número hash de un archivo de correo electrónico o un archivo ofimático, en realidad se
está calculando ese valor sobre los datos de ese archivo y no sobre otros aspectos como
son el nombre o fechas de acceso, creación o modificación, que son los llamados
metadatos. Por tanto, si calculamos el valor hash de un archivo de texto creado con
Microsoft Office y posteriormente le cambiamos el nombre y volvemos a calcular el
valor hash, éste no habrá variado.

La función hash también se denomina en algunos casos como firma digital, y

aunque una de sus funciones principales es la de garantizar la inalterabilidad de los
datos, en realidad difiere mucho del funcionamiento de la firma digital.

En la firma digital de doble clave un usuario, al que llamaremos A, dispone de

una clave privada, que él y sólo él conoce, y una clave pública, contenida en un
repositorio público al que cualquiera puede acceder. Si alguien quiere enviar un mensaje
a A y asegurarse que únicamente A lo podrá leer, encriptaría el mensaje con la clave
pública de A. A y solo A, que es quien posee la clave privada, sería capaz de
desencriptarlo y leerlo. Con este proceso se ha garantizado que sólo el remitente es el
que va a poder leer el mensaje enviado. Pero este tipo de firma tiene otra utilidad. Si
ahora es A quien quiere enviar un mensaje a un destinatario asegurándose de que ese
mensaje no va a ser alterado por el camino, lo que hará será encriptarlo con su clave
privada y el destinatario lo desencriptará con la clave pública de A. Con esto se han
conseguido dos finalidades: primero, certificar que el mensaje no ha sido alterado
durante el trayecto y segundo, certificar que el emisor es quien dice ser, ya que se ha
utilizado la clave pública de ese emisor para desencriptar el mensaje, y únicamente el
emisor con su clave privada ha podido encriptarlo previamente.

3.2.- PROPIEDADES
- Determinista

Siempre devuelve el mismo código de salida para la misma entrada,

independientemente del lugar y tiempo en que se haga. Las no deterministas dependen
de valores externos que se aplican en el momento del cálculo (fechas, direcciones de
memoria de almacenamiento,…) por lo que pueden generar códigos de salida diferentes
para la misma entrada en momentos distintos.
 - Unidireccional.

Una serie de datos devuelven un código de salida, pero si únicamente tenemos

ese código de salida no seremos capaces de obtener esa serie de datos. No existe función
matemática inversa que regenere los datos de entrada a partir del código de salida.

- Bajo riesgo de colisiones.

Se define colisión a aquella situación en la que dos mensajes diferentes generan

el mismo código de salida al aplicarles una determinada función. En funciones
matemáticas que permiten la entrada de mensajes de longitud variable y genera códigos
de salida de longitud fija es matemáticamente imposible que no se produzcan colisiones.
De ello se deduce que cuanto mayor sea la longitud del código de salida generado
menor será el riesgo de colisión. La longitud del código de salida viene determinada por
la función matemática utilizada. En este caso tenemos el inconveniente de que cuanto
mayor sea la longitud del código mayor es el tiempo que se tardar en calcularlo.

- Continuidad o efecto avalancha.

Una función es continua cuando una modificación muy pequeña (por ejemplo,
un bit) en la cadena de entrada ocasiona pequeños cambios en el valor hash. En cambio,
en una función hash que no hay correlación los bits de las cadenas de entrada y los bits
de las cadenas de salida no están relacionados, es decir, una modificación muy pequeña
en la cadena de entrada ocasiona cambios muy significativos en el valor hash. Cuando
esto sucede se dice que se produce un efecto avalancha.

La continuidad no es una propiedad deseable para funciones hash usadas para

determinar la alterabilidad de una evidencia, ya que en caso de modificar el más mínimo
bit de esa evidencia se requerirá que el hash generado sea lo más diferenciable posible
del hash original.

4.3.- UTILIDADES:
- Integridad.

Con esta utilidad se comprobaría que un dato digital no ha sido alterado. Se

utiliza para la trasmisión de archivos. Si se calcula es hash de un archivo y se envía a
través de cualquier medio de trasmisión de archivos, como puede ser por correo
electrónico o servidor FTP, al volver a calcular el hash de ese archivo en el destino
debería dar el mismo resultado. Eso significaría que la trasmisión ha sido satisfactoria.

Esta utilidad es fundamental para la intervención de evidencias digitales.

Siguiendo el procedimiento anterior, se podría calcular el hash de una evidencia
intervenida en una entrada y registro y se volvería a calcular en el juicio oral. Si da el
mismo resultado se podría determinar que esa evidencia no ha sido alterada durante ese
intervalo de tiempo.
 - Autenticación de usuarios.

Los sistemas operativos, como Windows, Linux o Mac, como medida de

seguridad, no almacenan las contraseñas de los usuarios en texto plano en el disco duro,
ya que sería muy fácil obtener la contraseña conectando ese disco duro como disco
externo a otro ordenador y leyendo su contenido. Lo que se almacena en el disco duro
es el hash de esa contraseña, así, aunque ese disco duro sea analizado la única
información a ese respecto que vamos a obtener es el código hash, y gracias a la
propiedad de unidireccionalidad comentada anteriormente no va a ser posible, en
principio, obtener la contraseña.

- Identificación.

Gracias a la propiedad determinista, en la que a una misma entrada obtenemos

una misma salida, es posible identificar tanto archivos como evidencias digitales. Esta
utilidad se utiliza muy a menudo en aplicaciones que utilizan las redes p2p para la
descarga de archivo, ya que para identificar el archivo que se quiere descargar se basan
en el hash de ese archivo para buscarlo por la red y no en su nombre.

- Catalogación de archivos.

Íntimamente relacionada con la utilidad anterior. Si se ha sido capaz de

identificar un archivo en base a su hash, es posible crear bases de datos con los códigos
hashes de archivos conocidos. Es de reseñar a este respecto que Interpol dispone de una
gran base de datos de imágenes indubitadas de pornografía infantil con sus respectivos
hashes y que cualquier unidad policial puede remitirles la identificación hash de una
imagen para comprobar si se encuentra en sus bases de datos.

4.4.- FUNCIONES
Como se ha comentado al inicio de este capítulo, una función hash es cualquier
procedimiento bien definido o función matemática que convierte una gran cantidad de
datos, de un tamaño variable en un valor pequeño, pero ¿cuál es esa función
matemática?

Hay distintas funciones a utilizar en función de la finalidad de calcular ese hash

y del porcentaje de riesgo de colisión que produce. De esta manera podemos encontrar
las siguientes funciones hash como las más comunes:

4.4.1.- Md5
Uno de los algoritmos de reducción criptográficos diseñados en 1991 por el
profesor Ronald Rivest del MIT (Instituto Tecnológico de Massachusetts). A pesar de
su amplia difusión, se ha demostrado su vulnerabilidad frente a colisiones por lo que
plantea una serie de dudas acerca de su uso futuro.

Es un algoritmo de 128 bits, que permite entrada de datos de longitud variable y

genera códigos de salida representados mediante una cadena de 32 caracteres
hexadecimal, obteniendo la siguiente salida para el texto del ejemplo:
 MD5("Generando un MD5 de un texto") = 5df9f63916ebf8528697b629022993e8
Un pequeño cambio en el texto (cambiar '5' por 'S') produce una salida
completamente diferente.

MD5("Generando un MDS de un texto") = e14a3ff5b5e67ede599cac94358e1028

4.4.2.- Sha1
Algoritmo perteneciente a la familia SHA (Secure Hash Algorithm), sistema de
funciones hash publicadas a partir de 1993 por el NIST (National Institute of Standards
and Technology). Es un algoritmo de 160 bits, que al igual que MD5 anterior permite
entrada de datos de longitud variable generando como código de salida una cadena de
40 caracteres hexadecimal. En 2004 se encontró una debilidad matemática que
permitiría encontrar colisiones más rápido, sin embargo, resulta poco relevante ya que la
vulnerabilidad a colisiones sigue siendo muy alta.

Como conclusión final habría que preguntarse si es necesario calcular el hash a

todos los dispositivos en cualquier procedimiento. No hay respuesta contundente a esta
pregunta, y como se ha comentado al inicio, al no tener un protocolo obligatorio de
actuación ante evidencias digitales, esta opción quedaría igualmente a decisión de los
expertos que manipulen las evidencias.

Tendríamos igualmente otra cuestión importante como es la de qué ocurriría si el

hash de una evidencia calculada el día de la entrada y registro no fuera el mismo que al
calcularla en el juicio oral. Hoy en día ni las fuerzas y cuerpos de seguridad ni los
juzgados o tribunales tienen dependencias para mantener custodiadas evidencias
digitales en óptimas condiciones. Los discos duros, que son los dispositivos que más se
suele intervenir junto a pendrives, son dispositivos magnéticos que requieren un entorno
más o menos controlado para su conservación. Los campos electromagnéticos que
generan un altavoz cercano o la humedad ambiental que puede producir moho en uno de
los discos magnéticos hacen que se alteren o sean inaccesibles unos pocos bits, por lo
que los datos totales de ese disco duro ya no serán los mismos que el día de su
intervención y, por tanto, si se volviese a calcular su hash no se parecería en nada al
original.

Por tanto, y a juicio del autor de este escrito, en tanto en cuanto no existan salas
acondicionadas para la custodia de las evidencias digitales, lo más fiable para mantener
la cadena de custodia es el precintado del continente de la información, sea un disco
duro o cualquier otro dispositivo, que garantice la no manipulación desde la
intervención de ese dispositivo hasta el juicio oral. Aún así, existen excepciones en las
que es necesario, inevitablemente, calcular el hash a la evidencia en el momento de la
intervención, como es el caso en el que no es posible intervenir la evidencia original y
sólo es posible copiarla en el lugar.

5.- COPIA DE DATOS

En muchas ocasiones se requiere efectuar copias de la información contenida en
los diferentes dispositivos de almacenamiento digital. Siendo esto un procedimiento
habitual en los casos en que los grupos de investigación quieren seguir analizando la
información intervenida. Al copiar la información a otro dispositivo se consiguen dos
objetivos, por un lado, el grupo de investigación puede analizar la información obtenida
y por otro lado se evita que la evidencia original, que vuelve a estar precintada una vez
realizada la copia, se altere o manipule de alguna forma.

Existen diferentes técnicas para realizar esta operación de copiado, como son el
Clonado, Imagen y Copia selectiva.

5.1.- CLONADO
Se trata de un proceso de copiado de la información contenida en un dispositivo,
duplicándola bit a bit, por lo tanto, creando una copia idéntica, sin alterar en ningún
momento los datos del dispositivo original.

Si se realiza un examen visual del contenido del dispositivo original y del

dispositivo copiado se verán una estructura de archivos y carpetas idénticos. Aunque
este hecho parece una obviedad, resulta interesante resaltarlo, ya que va a ser elemento
diferenciador fundamental con los otros procesos de copiado: la imagen y la copia
selectiva.

5.1.1.- Aplicaciones:
Fuera del ámbito de la informática forense, esta técnica tiene múltiples
aplicaciones, como son:

- Realizar copias de seguridad.

Se pueden realizar clonados cada cierto tiempo con la finalidad de disponer de

copias de seguridad. En caso de que un disco duro original fallara se podría sustituir por
el último clonado realizado.

- Instalación en múltiples ordenadores.

Cuando se dispone de varios ordenadores del mismo modelo y con hardware

igual y a los que se quieren añadir el mismo sistema operativo y las mismas
aplicaciones, se puede instalar todo lo requerido en uno de ellos e ir clonando ese disco
duro tantas veces como equipos necesitemos, con lo que nos evitaríamos repetir el
arduo proceso de instalación en cada uno de los equipos.

- Actualización de hardware.

Dado que la clonación se puede efectuar sobre un disco de mayor capacidad, se

puede utilizar la técnica para instalar un nuevo disco duro de mayores prestaciones de
almacenamiento sin perder ningún dato ni volver a instalar el sistema operativo ni las
aplicaciones.

5.1.2.- Inconvenientes:
El principal inconveniente de la clonación es tener que disponer de un
dispositivo de, al menos, la misma capacidad, por cada dispositivo que clonemos, lo que
supone una elevada inversión económica. Si a esto, además, se añade que si los
dispositivos utilizados son de mayor capacidad que el original a clonar, ese espacio
“extra” no puede ser utilizado para almacenar otras evidencias.

Otro de los inconvenientes es la dificultad que conlleva el poder trasladar esa

información de clonado o incluso trocearla para almacenarla en distintos soportes.

Por lo tanto, desde el punto de vista forense a la hora de realizar un copiado, el

clonado pierde ventaja respecto a otras técnicas como la realización de imágenes que
comentaremos a continuación.

5.2.- IMÁGENES
Al igual que en el clonado, se trata de una técnica que duplica bit a bit el
dispositivo original sin alterarlo en ningún momento.

La diferencia radica en cómo se almacena la información en el dispositivo

destino. Si clonamos una estructura original de archivos y carpetas, al analizar el destino
veríamos una estructura idéntica de archivos y carpetas, mientras que si realizamos una
imagen en el destino encontraríamos un único archivo contenedor de toda esa estructura
de archivos y carpetas, similar a lo que en informática básica sería utilizar una
aplicación como “WinRAR” o “WinZip”, que comprimen los datos seleccionados en un
único archivo.

Este procedimiento conlleva una serie de ventajas como es la posibilidad de

compresión de ese archivo contenedor, por lo que en muchas ocasiones para realizar la
imagen de un dispositivo será necesario otro dispositivo de igual o menor capacidad.
Este archivo contenedor tiene la característica de que se puede trocear pudiendo
inclusive almacenarlo en varios dispositivos de menor capacidad, como pueden ser en
CDs o DVDs.

Más ventajas que ofrece este procedimiento es que en un dispositivo destino se

pueden almacenar tantas imágenes como capacidad tenga, por lo que no habrá
prácticamente almacenamiento inutilizado en el dispositivo destino.

Cabe mencionar la última ventaja que consiste en que cuando se realiza una
imagen se genera un archivo log (archivo donde se almacena información sobre los
procesos que se van generando) que es almacenado con la imagen de la evidencia, por
lo que en todo momento tendremos los datos relativos a la herramienta, ya sea por
software o hardware, que ha generado la imagen, identificación del dispositivo origen,
identificación del dispositivo destino, tiempo que ha durado el procedimiento, etc. Este
apartado nos lleva a la principal desventaja. Si no se utiliza compresión, el archivo
contenedor que se crea será de la misma capacidad que el dispositivo original, si a esto
le añadimos que en el dispositivo destino se tiene que crear una tabla de particiones para
poder albergar el archivo contenedor y otros archivos auxiliares como el archivo log
comentado, tenemos que el dispositivo destino tiene que ser de mayor capacidad que el
original, pero como ya se ha comentado anteriormente, si se utilizan técnicas de
compresión no sería necesario.
 Otra de las desventajas es al igual que para acceder al contenido de un archivo
“.zip” o “.rar” es necesario tener la respectiva aplicación, para acceder al contenido de
del archivo contenedor que se crea al realizar una imagen es necesario contar con las
aplicaciones necesarias, en este caso aplicaciones de análisis forense como “Encase” o
“FTK”.

5.3.- COPIA SELECTIVA

Utilizar técnicas como las anteriores permiten una copia íntegra de los datos del
dispositivo de origen, sin embargo, hay ocasiones en las que no es posible realizar una
copia completa de los datos, debido a causas tan diversas como:

- Tiempo de intervención limitado.

Realizar una práctica de clonado o de imagen conlleva horas o incluso días,

dependiendo de los medios con los que se cuente, y en ocasiones puede que no se
disponga de tanto tiempo para realizar esa práctica.

- Carencia de material necesario.

Limitado por los medios para realizar el clonado/imagen o por carencia de los
dispositivos destino donde se almacenará la información copiada.

- Volumen excesivo de datos o de equipos.

Cuando se trata de una cantidad ingente de dispositivos o de datos, como puede

ser el caso de grandes servidores de empresa, se hace muy difícil captura la totalidad de
la información.

- Fallos técnicos del dispositivo.

En dispositivos que se encuentren defectuosos y no sea posible acceder a la

totalidad de la información y sí a parte de ella.

- Requerimiento judiciales o policiales específicos.

Cuando se tiene la petición judicial o policial de obtener únicamente un dato

muy concreto del dispositivo.

En todas estas ocasiones se hace necesario tipo de procedimiento ajeno a los

comentados anteriormente. En estos casos se podría utilizar la denominada “copia
selectiva” consistente en copiar únicamente la información que pudiera ser relevante
para la investigación o la causa.

Esta técnica tiene la ventaja principal de la economía tanto de tiempo como de la

capacidad de los dispositivos donde se almacenará la información, sin contar con que se
acortaría el espacio temporal necesario para realizar los pertinentes informes periciales
de los datos intervenidos. Por el contrario, y como inconvenientes, se podría mencionar
la pérdida del resto de información, ya que sólo hemos copiado una serie de datos pero
hemos dejado otros en el dispositivo original, así como que tampoco sería posible
realizar una búsqueda a fondo de información borrada. En cualquier caso, y siempre que
la evidencia original haya sido intervenido y se encuentre precintada en sede policial o
judicial, siempre se podría volver a solicitar el desprecinto de la misma y acceder a esa
información que en un principio no se extrajo y ahora se hace necesaria para la causa.

Son los instructores, aconsejados por personal cualificados, los que deben tomar
la decisión de realizar este procedimiento teniendo en cuenta las ventajas e
inconvenientes mencionados.

6.- WIPING
Los dispositivos de almacenamiento digital, como discos duros o pendrives
USB, se utilizan para el almacenamiento de todo tipo de información. Cuando el usuario
decide que ha terminado la vida útil de esa información puede eliminarla de su
dispositivo, puede enviarla a la “papelera de reciclaje” o ir más allá y borrarla incluso de
esa papelera. Aunque se utilizara cualquiera de esos dos procedimientos todavía sería
posible la recuperación de la información eliminada mediante técnicas forenses. Lo
mismo ocurriría en caso de un usuario que formateara una evidencia. Wiping o
Wipeado es la técnica que se utilizar para realizar un borrado seguro, un borrado del que
no se pudiera recuperar la información eliminada ni siquiera con técnicas forenses.

Antes de comentar el funcionamiento de estas técnicas de wipeado,

expondremos brevemente como se almacena la información en un dispositivo digital
para conocer porqué es posible recuperar la información incluso después de haberla
borrado.

Imaginemos una biblioteca, llena de estantes con libros, que serían los datos
almacenados en el dispositivo, los archivos y carpetas, y que a la entrada de la
biblioteca se encuentra un catalogo con todos los libros que esa biblioteca contiene en
sus estantes. En un dispositivo digital este catalogo se llamaría tabla de particiones. En
principio la biblioteca puede estar vacía, y el catalogo no tener anotaciones. Si el
bibliotecario comprara un libro para su biblioteca, lo guardaría en una estantería, y en el
catalogo apuntaría el título del libro y la estantería en la que se encuentra. Siguiendo
este procedimiento, el bibliotecario podría comprar cuatro libros más. Con esto
tendríamos cinco libros distribuidos por las estanterías y un catalogo con cinco líneas
que describen cinco títulos de libros y sus respectivas ubicaciones. Ahora supongamos
que el bibliotecario quiere deshacerse rápidamente de uno de sus libros. Lo más rápido
es borrar la línea de ese libro en el catalogo, así cualquier lector que visitase la
biblioteca, al consultar ese catalogo vería que hay cuatro libros disponibles y sus
ubicaciones. Sin embargo, un analista forense al entrar en la biblioteca no se fijaría en
el catalogo, sino que iría directamente a las estanterías y crearía su propio catalogo,
determinando así que existen cinco libros en esa biblioteca. A grandes rasgos, así es
como está distribuida la información contenida en un dispositivo digital, en el que hay
archivos y carpeta, pero que cuando se borra alguno, el sistema operativo, por no
ralentizar el sistema, en lugar de borrarlo lo que hace es eliminar su referencia en la
tabla de particiones.
 6.1.- PROCEDIMIENTOS

6.1.1.- Destrucción física.

Consiste en destruir físicamente el dispositivo de almacenamiento mediante la
aplicación de técnicas como el triturado o la fundición de componentes. Esta técnica es
la que mejor garantiza la desaparición de los datos, sobre todo si no hay posibilidad de
reconstruir físicamente el dispositivo.

6.1.2.- Desmagnetización.
Técnica basada en la eliminación o reducción del campo magnético de un
dispositivo mediante el uso de maquinaria especializada que aplica impulsos
electromagnéticos. Esta técnica es útil únicamente para dispositivos que almacenen la
información en medios magnéticos, como son los discos duros normales, sin embargo
no es válido para pendrives USB o para CDs o DVDs al no utilizar soportes magnéticos.

6.1.3.- Borrado lógico.

Esta técnica es la que se conoce como “Wipeado”. Consiste en sobrescribir todo
el dispositivo con una serie de valores. Al sobrescribir se consigue eliminar la
representación residual de los datos que conserva el dispositivo. Sería similar a
sobrescribir el catálogo y además sobrescribir cada uno de los libros de las estanterías.
Con ello se conseguiría que ni el lector ni el analista forense fueran capaces de localizar
ni de poder leer un solo libro de esa biblioteca.

Es la técnica más empleada debido a su bajo coste y ausencia de maquinaria

utilizada, ya que solo requiere la utilización de diferentes aplicaciones. Además, existe
la posibilidad de realizar un borrado seguro de datos selectivos, como puede ser una
serie de archivos o una partición completa.

Existen distintos estándares para la realización de este borrado seguro:

- Zero write.

Consiste en sobrescribir una vez todo el dispositivo con ceros

- Random write.

Igual que el anterior, pero en lugar de con ceros se utilizan caracteres aleatorios
para sobrescribir.

- DoD 5220.

Estándar creado por el Departamento de Defensa de los Estados Unidos y que

consiste en sobrescribir tres veces el dispositivo. Una vez con un valor fijo determinado,
la siguiente con el valor complementario y la última sobrescritura con un valor
aleatorio.

- NATO estándar.
 Estándar de la OTAN que consta de siete ciclos de sobrescritura, seis con
valores fijos alternativos y uno con aleatorio.

6.1.4.- Herramienta de trabajo

Son varias la implicaciones que puede tener estas técnicas en los procedimientos
penales, como puede ser el eliminar información confidencial de los equipos
informáticos oficiales que estén en desuso o se vaya a actualizar por otros más
modernos. Antes de deshacernos de esos equipos debemos realizar un borrado seguro
para evitar la pérdida de información confidencial o personal.

El borrado seguro también puede utilizarse sobre ciertos dispositivos implicados

en una investigación. Domicilios o locales que cuentan con cámaras de seguridad que
almacenan la información en discos duros y que graban a la comisión judicial y policía
judicial mientras realizan sus funciones de entrada y registro. Disco duro perteneciente a
un ordenador de una empresa en el que el empleado almacenaba pornografía infantil,
pero que su intervención causaría un grave perjuicio para el buen funcionamiento de la
empresa. En cualquiera de estos dos casos, y previa autorización judicial, podrían
utilizarse las técnicas mencionadas.

7.- DISPOSITIVOS UTILIZADOS

Para la realización de todas estas técnicas mencionadas se utilizan en la
actualidad equipos hardware forenses que proporcionan mayor velocidad en la
realización de clonados/imágenes, cálculo de hash de dispositivos y borrado seguro de
los mismos. Estos equipos, al ser forenses, bloquean el acceso al dispositivo que se
conecta para evitar cualquier manipulación que se pueda realizar sobre ellos,
manteniendo la integridad de esa evidencia.

También es posible realizar estos procedimientos mediante software forense,

aplicaciones instaladas en equipos informáticos que son capaces de realizar cualquiuera
de las funcionalidades descritas anteriormente. La principal desventaja de estas
aplicaciones es que son más lentas que los dispositivos hardware, ya que dependen de
las características del equipo en el que se encuentren instaladas, así como del sistema
operativo sobre el que funcionen. El acceso a los dispositivos que contienen la
información a copiar se realiza a través de los puertos del equipo, normalmente puertos
USB, así que deberá efectuarse con los correspondientes bloqueadores por hardware o
software para evitar la posible alteración de las evidencias y en caso de no ser posible
dicho bloqueo, deberá dejarse constancia documental de dicho extremo, explicando el
motivo y el proceso completo seguido.

8.- CONCLUSIONES FINALES

La prueba dentro del proceso penal es de especial importancia, ya que con ella se
confirma o desvirtúan las hipótesis, llegando a la verdad material y confirmando la
existencia de la infracción penal y atribuyendo esos hechos a unos autores concretos.
Sin embargo, para que se llegue a esas conclusiones es necesario un buen tratamiento de
las pruebas o evidencias, y en nuestro caso de las evidencias digitales, con las
particularidades que conlleva y ya se han visto.

Como conclusión final habría que indicar que aunque sería necesario seguir un
procedimiento común y tasado para el tratamiento de evidencias digitales, también es
cierto que por las características de las mismas, no es posible tener un protocolo estático
e invariable, sino que tendría que ser un método de trabajo que pudiera ir cambiando al
ritmo que evolucionan las TICs.

Durante toda esta exposición cuando se habla de entradas y registros o análisis

de evidencias, aunque no se mencione expresamente, se entiende que el procedimiento
se realiza con la correspondiente autorización judicial.