La informática forense es una disciplina esencial en el mundo digital actual, ya que se encarga de investigar y analizar evidencias electrónicas en casos legales, disputas o situaciones que involucran el uso de dispositivos informáticos. La cadena de custodia es uno de los pilares fundamentales de esta disciplina, ya que garantiza la integridad y autenticidad de las pruebas electrónicas a lo largo de todo el proceso de investigación. En PeriTe sabemos la importancia de mantener intacta la cadena de custodia, por eso en este artículo exploraremos en detalle qué es la cadena de custodia en informática forense y por qué es tan crucial en la obtención y presentación de evidencias digitales.
Objetivos de la Cadena de Custodia
La cadena de custodia es un elemento fundamental en el ámbito legal. Su correcta aplicación garantiza la integridad y autenticidad de las pruebas en un proceso judicial. Aunque su ausencia puede afectar la credibilidad de las pruebas, no invalida su validez legal. La validez legal se basa en la normativa y procedimientos establecidos. Por lo tanto, es crucial mantener una cadena de custodia adecuada para preservar la confiabilidad de las pruebas en un proceso judicial. La falta de formalidades no invalida automáticamente la prueba; debe demostrarse cómo se ha afectado la autenticidad e integridad de la evidencia. En este contexto, la verosimilitud de la prueba no se ve afectada solo por la falta de formalidades, sino por la demostración de una ruptura relevante en la cadena de custodia.
Podemos decir que los objetivos que se busca conseguir mediante el uso de la cadena de custodia son:
• Garantizar la integridad de la evidencia digital, impidiendo que se realice cualquier
cambio sobre la misma.
• Garantizar su autenticidad, permitiendo contrastar su origen.
• Garantizar la posibilidad de localización, permitiendo saber en cualquier momento
dónde se encuentra una evidencia.
• Garantizar la trazabilidad de los accesos a la evidencia.
• Garantizar su preservación a largo plazo.
Componentes Clave de la Cadena de Custodia
Para comprender mejor la cadena de custodia en informática forense, es esencial conocer sus componentes clave:
1. Recopilación de Evidencias
En un primer momento, la cadena de custodia se inicia con la recolección de las evidencias.
Para ello es «deseable» que un fedatario público, normalmente un secretario judicial o notario,
levante acta de los procesos que se realizan y que afectan a las evidencias digitales. Este paso implica la recopilación de evidencias digitales, que pueden incluir archivos, registros, metadatos y más, de dispositivos informáticos relevantes. Es crucial que esta recopilación se realice de manera forense, es decir, sin alterar ni dañar los datos originales. En PeriTe tenemos un flujo de trabajo establecido para investigación en moviles y también para discos duros y PC o portátiles.
2. Etiquetado y Documentación
Cada elemento recopilado debe etiquetarse y documentarse detalladamente. Esto incluye información sobre la fecha, hora, ubicación y persona que llevó a cabo la recopilación. La documentación precisa es esencial para establecer un registro completo de la cadena de custodia.
La responsabilidad de cualquier perito es mantener en todo momento la cadena de custodia mediante la documentación constante de las acciones realizadas sobre la evidencia y la verificación de que lo que estamos analizando es lo que en su momento se adquirió.
Mediante la lectura de un documento de cadena de custodia debemos poder saber con total
exactitud y confianza:
• Cada una de las operaciones que se han realizado con la evidencia, desde la recogida
hasta su entrega en sede judicial o su depósito ante notario una vez se ha finalizado el análisis
del contenido de la misma.
• Quién ha realizado cada una de esas operaciones y el estado en que se encontraba la
evidencia antes y después de la realización de las mismas. Con indicación clara y concisa de
las personas que han realizado dichas operaciones y de las operaciones llevadas a cabo.
• Dónde se encuentra en cada momento la evidencia y donde ha estado con
anterioridad. Lugar de depósito, posibles incidencias, etc.
Así mismo, y con posterioridad a la recogida, se ha de llevar un registro de las personas que
realicen cualquier operación con la evidencia, indicando la operación realizada, la fecha en
que dicha operación ha sido realizada (inicio y finalización) y la persona que la ha realizado.
Para entender la importancia de la cadena de custodia podemos remitirnos a sentencias en
las que la ruptura de la misma ha invalidado las pruebas existentes, dando al traste con las
investigaciones realizadas.
3. Almacenamiento Seguro
Las evidencias digitales deben almacenarse de manera segura en un entorno controlado y protegido contra posibles amenazas, como acceso no autorizado, pérdida de datos o daño físico. Esto garantiza que las pruebas permanezcan intactas y disponibles para su análisis.
4. Control de Acceso
El acceso a las evidencias debe estar restringido a personas autorizadas y debidamente capacitadas en informática forense. Cualquier acceso o manipulación no autorizados pueden comprometer la integridad de las pruebas.
5. Registro de Transferencias
Cada vez que las evidencias se transfieren de una persona a otra o de un lugar a otro, se debe registrar cuidadosamente. Esto incluye detalles sobre quién realizó la transferencia, cuándo y por qué.
6. Análisis y Preservación
Durante el proceso de análisis, las pruebas deben mantenerse intactas y no se deben realizar cambios en los datos originales. Los resultados del análisis también deben documentarse y mantenerse seguros.
7. Presentación en el Tribunal
Finalmente, si la investigación informática forense llega a un tribunal, las evidencias deben presentarse de manera que se respete la cadena de custodia. Esto implica demostrar que las pruebas se han manejado de manera adecuada y que su integridad no se ha visto comprometida en ningún momento.
Importancia de la Cadena de Custodia
La falta de cadena de custodia puede afectar la credibilidad de las pruebas, pero no su validez legal. Existe bastante jurisprudencia al respecto, como la STS 173/2024, la sentencia 224/2016 del Penal de Gijón, del caso Anonymus. (entre otras muchas)
La cadena de custodia en informática forense es esencial por varias razones:
1. Admisibilidad en el Tribunal
Las pruebas recopiladas y manejadas adecuadamente a lo largo de la cadena de custodia son más propensas a ser admitidas en un tribunal de justicia. Los jueces y jurados confían en que las evidencias son auténticas y no se han manipulado.
2. Integridad de las Pruebas
La cadena de custodia protege la integridad de las pruebas electrónicas al garantizar que no se alteren durante la investigación. Esto es fundamental para establecer la veracidad de los hechos.
3. Credibilidad del Investigador
Mantener una cadena de custodia sólida aumenta la credibilidad del investigador forense. Los profesionales que pueden demostrar que han seguido procedimientos rigurosos inspiran confianza en las partes involucradas.
4. Protección de los Derechos del Sospechoso
La cadena de custodia adecuada también protege los derechos del sospechoso, garantizando que no se le acuse injustamente debido a la falta de integridad en las pruebas.
Concluyendo, en la informática forense la cadena de custodia es un elemento crítico que asegura que las evidencias digitales se manejen con la máxima integridad y seguridad a lo largo de todo el proceso de investigación. Esto no solo es esencial para la admisibilidad de las pruebas en el tribunal, sino que también garantiza la justicia y el respeto por los derechos de todas las partes involucradas en un caso. Los peritos y profesionales de la informática forense deben comprender y seguir rigurosamente los procedimientos de la cadena de custodia para garantizar la validez y la autenticidad de las evidencias electrónicas que presentan.