Qué es la cadena de custodia y por qué importa en un juicio
La cadena de custodia es el procedimiento documentado que garantiza la integridad, autenticidad y trazabilidad de una evidencia desde el momento en que se identifica hasta que se presenta como prueba ante un tribunal. En el ámbito digital, esto implica demostrar que un archivo, disco duro, dispositivo móvil o registro de servidor no ha sido modificado, añadido ni eliminado en ningún punto del proceso.
La importancia de la cadena de custodia en el contexto judicial español es directa: si la parte contraria demuestra —o simplemente genera duda razonable— de que la evidencia pudo haber sido alterada, el juez puede restarle valor probatorio o inadmitirla. Esto convierte semanas de investigación técnica en papel mojado.
El concepto está recogido implícitamente en la Ley de Enjuiciamiento Criminal y en la doctrina del Tribunal Supremo sobre prueba ilícita y contaminación probatoria. En la práctica pericial, las guías del CCN-CERT y el estándar RFC 3227 (Guidelines for Evidence Collection and Archiving) son las referencias operativas que cualquier perito debería seguir.
Los 5 eslabones: identificación, recogida, transporte, almacenamiento y análisis
La cadena de custodia no es un acto puntual sino un proceso continuo con cinco fases. Si cualquiera de ellas falla, el eslabón se rompe y la prueba queda comprometida.
1. Identificación
Determinar qué dispositivos, archivos o registros son potencialmente relevantes para el caso. Documentar su ubicación, estado y contexto. En un ciberincidente, esto incluye servidores afectados, estaciones de trabajo, logs de red y copias de seguridad. Es clave no confundir «todo el disco» con «el archivo suelto que me mandaron por email»: la granularidad de la identificación condiciona todo lo que viene después.
2. Recogida
Adquirir la evidencia sin alterar el original. En digital, esto significa realizar una imagen forense (copia bit a bit) del dispositivo o medio, calcular su hash (SHA-256 o MD5) e incluirlo en el acta. Si el dispositivo está encendido, se debe priorizar la captura de memoria volátil (RAM) antes de apagarlo, porque al cortar la alimentación esa información se pierde para siempre.
3. Transporte
Trasladar la evidencia (física o digital) al lugar de análisis sin exponerla a daños, campos magnéticos o accesos no autorizados. Debe documentarse quién la transporta, cuándo, cómo se embala y qué medidas antiestáticas o de precintado se aplican. Para evidencia digital, el hash calculado en la recogida permite verificar la integridad al llegar al laboratorio.
4. Almacenamiento
Custodiar la evidencia en condiciones controladas: acceso restringido, registro de entradas y salidas, y condiciones ambientales adecuadas para soportes físicos. Las copias forenses deben almacenarse en medios de solo lectura o con protección contra escritura. Se recomienda mantener al menos dos copias independientes en ubicaciones distintas.
5. Análisis
Trabajar siempre sobre la copia forense, nunca sobre el original. Documentar cada herramienta utilizada, su versión, los parámetros de búsqueda y los resultados obtenidos. El análisis debe ser reproducible: otro perito, con la misma copia y las mismas herramientas, debería llegar a las mismas conclusiones. Esto es especialmente relevante en un contra-peritaje.
Cómo se calcula y verifica un hash (SHA-256, MD5)
El hash es la piedra angular técnica de la cadena de custodia digital. Es una función matemática que toma cualquier bloque de datos (un archivo, una partición completa, un disco entero) y produce una cadena de caracteres de longitud fija. Los algoritmos más utilizados en informática forense son SHA-256 (256 bits, considerado seguro) y MD5 (128 bits, más rápido pero con colisiones teóricas conocidas).
En la práctica pericial, el hash se calcula en dos momentos críticos: al adquirir la imagen forense y al iniciar el análisis. Si ambos valores coinciden, queda acreditado que la copia no ha sido modificada. Este dato se documenta en el informe pericial y, en caso de ratificación en juicio, el perito debe poder explicar al tribunal qué es un hash y por qué garantiza la integridad.
Muchas suites forenses (EnCase, FTK, Autopsy) calculan el hash automáticamente durante la adquisición. En entornos Linux, los comandos sha256sum y md5sum permiten verificar cualquier archivo o imagen de disco. Lo importante no es qué herramienta se use, sino que el resultado quede documentado con fecha, hora y firma del responsable.
Errores típicos que rompen la cadena de custodia
En mi experiencia como perito judicial en Mallorca, estos son los errores que más se repiten y que comprometen la validez de la evidencia digital:
Encender y «mirar» el dispositivo
El técnico de IT o el propio cliente enciende el ordenador «para ver qué pasó». Cada arranque modifica cientos de metadatos, timestamps y archivos temporales. Si no hay una imagen previa, esos cambios son irreversibles y la defensa tendrá argumentos para cuestionar la prueba.
Copiar archivos con el explorador
Copiar archivos mediante drag-and-drop o con copy-paste altera las fechas de creación y acceso. Una copia forense (bit a bit con bloqueador de escritura) preserva todos los metadatos originales. La diferencia entre ambas operaciones puede decidir la admisibilidad de la prueba.
No documentar el traspaso
El dispositivo pasa del cliente al abogado, del abogado al informático, del informático al perito, sin un acta de entrega en cada paso. ¿Quién garantiza que nadie lo encendió por el camino? Sin registro de cada custodio, existe un vacío en la cadena que un contra-peritaje aprovechará.
Analizar el original sin copia previa
El perito (o el técnico) trabaja directamente sobre el disco original sin haber hecho antes la imagen forense. Cualquier herramienta de análisis escribe logs, archivos temporales o modifica marcas de acceso. Si no hay copia forense previa con hash documentado, la integridad del original está comprometida desde la primera operación.
Qué hacer si sospechas que la evidencia ya está contaminada
Si la evidencia ya ha sido manipulada (intencionada o accidentalmente), la situación no siempre es irrecuperable. Un perito con experiencia puede evaluar el alcance de la contaminación y determinar qué datos siguen siendo fiables y cuáles están comprometidos.
El primer paso es dejar de tocar el dispositivo inmediatamente y contactar con un especialista en análisis forense. Cuanto antes se haga la imagen forense del estado actual, menos datos se perderán por sobrescritura. El perito documentará el estado en que recibe la evidencia, las alteraciones detectadas y el impacto que tienen sobre las conclusiones.
En el informe pericial, se reflejará con transparencia qué parte de la evidencia está intacta y cuál está afectada. Un juez valora la honestidad técnica: un informe que reconoce las limitaciones de la prueba es más creíble que uno que las ignora. Además, las alteraciones detectadas pueden, paradójicamente, convertirse en evidencia a favor si demuestran que alguien manipuló deliberadamente el dispositivo.
Checklist de preservación para no-técnicos
Si eres abogado, empresario o responsable IT y necesitas preservar evidencia digital antes de que llegue el perito, esta checklist puede marcar la diferencia entre una prueba admisible y una que se queda fuera del procedimiento:
- 1No enciendas ni apagues el dispositivo. Si está encendido, déjalo encendido (aíslalo de la red si sospechas intrusión). Si está apagado, no lo enciendas.
- 2Documenta todo por escrito. Anota fecha, hora, quién tiene el dispositivo, en qué estado está y dónde se encuentra. Una foto con el móvil del estado del equipo también ayuda.
- 3No copies archivos con el explorador. Ni arrastrar y soltar, ni copiar a un USB, ni enviarte archivos por email. Cada una de esas operaciones altera metadatos.
- 4Guarda los backups existentes. Si hay copias de seguridad automáticas (Time Machine, backups de servidor, snapshots en cloud), asegúrate de que no se eliminen ni se reciclen por política de retención.
- 5Contacta con un perito informático. Cuanto antes intervenga un profesional, más opciones de preservación habrá. La evaluación inicial suele ser rápida y permite planificar la recogida sin perder evidencia.
¿Necesitas preservar evidencia digital con garantías?
Como perito informático en Mallorca, me encargo de la cadena de custodia completa: adquisición forense, hash, documentación y defensa en juicio.
Preguntas frecuentes
Si la cadena de custodia se rompe, la parte contraria puede impugnar la prueba alegando que ha sido manipulada. El juez puede restarle valor probatorio o incluso inadmitirla. La ruptura no significa automáticamente que la prueba sea falsa, pero sí que no existe garantía técnica de su integridad, lo que debilita gravemente la posición de quien la aporta.
Toda persona que tenga acceso a la evidencia es responsable: desde quien la detecta (el empleado, el técnico IT, el abogado) hasta el perito que la analiza. Cada traspaso debe documentarse con fecha, hora, identidad del custodio y hash de verificación. En la práctica, el perito informático suele asumir la responsabilidad técnica desde el momento en que recibe el dispositivo o la copia forense.
Una captura de pantalla por sí sola tiene un valor probatorio muy limitado. Es trivial falsificar una captura con editores de imagen o herramientas de inspección del navegador. Para que tenga peso en juicio, debería complementarse con una certificación pericial que acredite la autenticidad del contenido original, idealmente mediante extracción directa del dispositivo y cálculo de hash.
Un hash es una huella digital única que se calcula a partir del contenido de un archivo o dispositivo. Los algoritmos más usados son SHA-256 y MD5. Si cambias un solo bit del contenido, el hash resultante es completamente distinto. Esto permite demostrar que la evidencia no ha sido alterada: basta con recalcular el hash y compararlo con el original documentado en el acta de recogida.
No existe un plazo legal único. Depende del tipo de procedimiento: en materia penal, hasta que prescriba el delito o finalice la ejecución de la sentencia; en civil, al menos hasta que la sentencia sea firme. Como regla general, se recomienda conservar la evidencia original (o la copia forense con hash documentado) hasta que el asunto esté completamente cerrado y no quepa recurso.
Técnicamente, una extracción lógica (sin copia bit a bit) puede aportar datos relevantes, pero su valor probatorio es inferior. Sin un clonado forense completo, no se puede garantizar que no se hayan omitido datos eliminados ni que el dispositivo no haya sido modificado durante el proceso. Para procedimientos judiciales exigentes, el clonado forense es la práctica estándar.
La copia lógica extrae los archivos visibles del sistema de archivos (documentos, fotos, mensajes accesibles). La copia física (o imagen bit a bit) replica absolutamente todo el contenido del soporte, incluyendo espacio no asignado donde pueden existir archivos borrados, fragmentos y metadatos ocultos. La copia física es la que garantiza un análisis forense completo.
En muchos casos sí, especialmente si el formateo fue rápido (no seguro). Un formateo rápido solo borra la tabla de índices, pero los datos permanecen en el soporte hasta que se sobrescriben. Mediante técnicas de carving y análisis del espacio no asignado, un perito puede recuperar archivos completos o fragmentos. Si se aplicó un borrado seguro (múltiples pasadas), la recuperación es mucho más difícil o imposible.