¿Qué es la cadena de custodia?
La cadena de custodia es el proceso documentado que garantiza la trazabilidad, autenticidad e integridad de la evidencia digital desde el momento de su descubrimiento hasta su presentación ante una autoridad competente. En el contexto de informática forense, esto implica controlar estrictamente quién accede a la evidencia, cuándo y cómo.
Es importantísimo realizar la cadena de custodia lo antes posible. Aunque no vayas a llevar tu caso a juicio a corto plazo, la extracción de datos y conservación de las evidencias para evitar que sean manipuladas o modificadas consciente o inconscientemente (voluntaria o involuntariamente) es vital para tener luego garantías en un futuro proceso judicial. Se debería proceder lo antes posible con la cadena de custodia aunque los datos sean analizados más adelante
La cadena de custodia en el peritaje informático siempre es un asunto controvertido. La cadena de custodia aplicada a una prueba se define, de forma sencilla, como el procedimiento controlado mediante el cual se conserva la integridad física y lógica de una prueba. Esta conservación se extiende desde la identificación y recolección de la prueba, pasando por su registro y almacenamiento, su posterior traslado y el análisis final de la misma, hasta su destrucción (si procede).
Para que una cadena de custodia sea considerada válida como tal, un fedatario público debe atestiguar, mediante documento elevado a público, el estado de la prueba antes de su análisis, para que, una vez se haya producido éste, sea posible determinar que la prueba no ha sido contaminada y que su estado es el mismo que el anterior al análisis. En España, las únicas figuras de fedatarios públicos existentes son el notario y el secretario judicial. Por tanto, debe ser un notario o un secretario judicial el que, documento público mediante, de fe del estado de la prueba antes del análisis de la misma. El fedatario únicamente puede dar fe y atestiguar el estado de una prueba cuando ésta llega a sus manos, pero no puede garantizar el estado de la misma antes de que ésta haya llegado a él ni por tanto que la prueba no haya sufrido modificaciones (maliciosas o no) previas.
Se pondrán algunos ejemplos gráficos: un ordenador incautado por la policía a un criminal y encendido antes de ser enviado al fedatario público ya no es una prueba en la que se pueda considerar que se haya conservado la cadena de custodia, puesto que el sistema operativo ya ha modificado y accedido a determinados ficheros. Asimismo, aunque el ordenador no haya sido encendido, tampoco se podría garantizar “estrictamente” la conservación de la cadena de custodia si el fedatario no estaba presente en el momento de la incautación, puesto que cualquier fichero informático es susceptible de ser modificado mediante software, así como también pueden ser alterados los diversos registros existentes en el sistema operativo para aparentar que no ha habido accesos, por lo que, en principio, un ordenador aparentemente no encendido o un disco no accedido, en realidad, puede que sí lo fueran. Se entrecomilla la palabra estrictamente debido a que, cuando la Policía o la Guardia Civil incautan material informático y lo almacenan, aunque aún no se haya dado fe pública del contenido de los discos, en teoría sí se conserva a nivel judicial la cadena de custodia, debido a que el almacenaje se presupone seguro, de tal forma que nadie podría acceder, dentro de las dependencias policiales, al material incautado; pero, a nivel técnico estricto, si alguien muy experto lograse acceder a dicho material y alterarlo sin dejar huella, sería virtualmente imposible demostrar, en este último ejemplo, que el ordenador sí fue encendido o el disco accedido, por lo que la duda sobre la invalidez de la cadena de custodia ya estaría sembrada, siempre y cuando se pudiese demostrar que la custodia de la prueba no fue ortodoxa.
Por tanto, se llega a la conclusión de que para que se mantenga estrictamente y a nivel técnico la cadena de custodia de una prueba informática, es siempre necesario que esté presente el fedatario en la incautación o intervención del material informático a los criminales, para realizar clonados públicos de los discos. Así, el fedatario público podrá dar fe del estado de la prueba en ese preciso instante.
Muchas veces se confunde el término “cadena de custodia” y se le asocia un significado de “no modificación de la prueba”. Esto que, en un principio, pudiera parecer lo mismo, realmente no lo es. La conservación de la cadena de custodia siempre implica una no modificación de la prueba, pero una no modificación de la prueba, no implica que se pueda garantizar ante un Tribunal que se ha conservado la cadena de custodia. Por ejemplo, si un cliente le entrega a un perito un disco duro o un dispositivo móvil, el perito pondrá todo su empeño en la conservación de la cadena de custodia y en la no modificación de la prueba pero, si no eleva ante notario el estado de la prueba en el momento preciso de su entrega por parte del cliente, no se podrá garantizar ante un Tribunal que la mencionada cadena de custodia se haya conservado y, aun así, sólo se podrá garantizar la cadena de custodia desde que el cliente le entregó la prueba al perito, no antes. Esto quiere decir que, el cliente, por su cuenta, podría haber modificado la prueba para “colocar” o “retirar” de la misma las evidencias que le interesen, con o sin la ayuda de expertos. Será labor, en este caso, del perito informático, determinar y plasmar en el informe pericial, tras el análisis de la prueba, qué posibilidades hay de que esto haya sido posible teniendo en cuenta la dificultad inherente a la eventual alteración de las pruebas. Por ejemplo, no es lo mismo encontrarse una fotografía o vídeo comprometidos dentro de un disco duro en el que no se ha conservado la cadena de custodia (algo relativamente sencillo de realizar para alguien con unos conocimientos informáticos mínimos, puesto que sólo tiene que colocar el archivo en el disco), que un correo electrónico comprometido, enviado o recibido, que se encuentre borrado dentro de un fichero de carpetas personales (algo con una complejidad más elevada).
Norma ISO/IEC 27037. Directrices para la cadena de custodia de evidencias digitales
La norma ISO/IEC 27037:2012, titulada «Directrices para la identificación, recopilación, adquisición y preservación de evidencia digital», establece los principios fundamentales para garantizar una cadena de custodia adecuada en el manejo de evidencias digitales. Esta norma forma parte de la familia ISO/IEC 27000, que se centra en la gestión de la seguridad de la información.
Principios clave según ISO/IEC 27037
- Identificación clara de la evidencia digital
Se deben documentar todos los dispositivos y datos que puedan contener información relevante. Esto incluye no solo ordenadores, sino también teléfonos móviles, tarjetas de memoria, sistemas embebidos, entre otros. - Autenticidad y preservación
La evidencia debe mantenerse inalterada desde su adquisición. Para ello, se utilizan técnicas como la generación de hashes criptográficos (MD5, SHA-1, SHA-256) antes y después de cada copia o análisis. - Documentación completa de los procedimientos
Cada paso debe ser documentado, incluyendo:- Quién realizó la adquisición.
- Qué herramientas se utilizaron.
- Dónde y cuándo se realizó.
- Qué personas tuvieron acceso posterior.
- Roles definidos
La norma define roles clave:- Persona Responsable de la Evidencia Digital (DRO): quien supervisa la integridad de la cadena de custodia.
- Persona Autorizada: quien puede llevar a cabo la adquisición o análisis.
- Adquisición forense
Se promueve el uso de métodos de adquisición forensemente sólidos, preferiblemente duplicando los datos en modo de solo lectura para evitar alteraciones en el medio original. - Preservación física y lógica
Se deben usar medios adecuados para almacenar las copias forenses (por ejemplo, discos duros cifrados y sellados), y asegurar su integridad mediante controles de acceso, inventariado y almacenamiento en condiciones seguras.
Importancia legal
Cumplir con esta norma es esencial para garantizar que las evidencias digitales sean aceptadas en procesos judiciales. Cualquier falla en la cadena de custodia puede derivar en la inadmisibilidad de la prueba, sin importar su contenido.
Como se puede apreciar, por tanto, el procedimiento de conservación de la cadena de custodia se puede convertir, en muchas ocasiones, en lo que en Derecho se denomina una prueba diabólica, de tal forma que se pida demostrar que la prueba no ha sido modificada (lo cual no sería posible desde el instante anterior al establecimiento de la cadena de custodia para la prueba).
El mantenimiento de la cadena de custodia en el peritaje informático es una tarea muy difícil que no siempre puede ser llevada a cabo por determinadas eventualidades y, para que sea aceptada como tal en un proceso judicial, el fedatario público, como ya se ha visto, deberá estar presente en el momento de la incautación o intervención del material. Si esto no fue posible, o si en un peritaje de parte, fue el cliente el que entregó al perito informático una prueba y no se puede garantizar su no modificación anterior a la entrega de la misma, o si en el transcurso de la pericia la prueba resultó contaminada, es el perito el que, según su leal saber y entender, debe analizar la prueba y elaborar un dictamen indicándole al juez su opinión profesional sobre la misma y sus implicaciones, dejando claro en todo momento que, al no haberse podido conservar la cadena de custodia, siempre existen posibilidades, aunque sean remotas o muy remotas, de modificación maliciosa de la prueba. Para evitar sospechas o suspicacias por parte del juez, siempre se aconseja, aunque no sea posible conservar la cadena de custodia de las pruebas, trabajar sobre copias clónicas de las pruebas o, en caso de que sea necesario trabajar sobre los originales, realizar las mencionadas copias clónicas, para tener siempre respaldos de cara al informe pericial informático y a que el juez tenga siempre disponible la demostración de la integridad de las pruebas.
Certificar la conservación de la cadena de custodia en la clonación de datos
En la carrera profesional del perito informático, será necesario realizar este procedimiento en incontables ocasiones, tanto a nivel privado, como en presencia de un fedatario público cuando sea necesario certificar la conservación de la cadena de custodia, tal y como se ha especificado en párrafos anteriores. En España, según la legislación vigente, únicamente dos figuras están habilitadas por la Ley para ejercer como fedatarios públicos y levantar acta de un hecho: el notario a nivel civil y el secretario judicial a nivel judicial. Normalmente, cuando sea un cliente particular el que se pone en contacto con el perito informático, será necesario acudir al notario para que levante acta pública de que la cadena de custodia se conserva desde el momento en el que el perito informático se hace cargo del caso, mientras que si se está inmerso en un procedimiento judicial en el que es necesario analizar uno o varios discos duros, éstos deberán ser clonados en sede judicial, dando fe el secretario judicial de que las copias son idénticas a las originales.
Cuando sea necesario realizar el proceso ante un fedatario público, el perito informático deberá tener en cuenta que el disco clonado ahora es “su” disco original y que, por tanto, no podrá trabajar sobre el mismo, teniendo que realizar un clonado privado del mencionado disco con una clonadora de su propiedad, tal y como se advirtió al principio del artículo. Esto es una medida de seguridad que el perito informático debe tomar para evitar sorpresas a la hora de manipular el disco ya que, aunque el notario o el secretario judicial tienen copias que se pueden volver a clonar, los honorarios de un notario son elevados y el tiempo de un secretario judicial escaso, además de no quedar muy profesional el tener que realizar una nueva copia por un descuido.
