LECrim (Ley de Enjuiciamiento Criminal)
Ley procesal española que regula la investigación y enjuiciamiento de delitos. Sus artículos 326, 363, 588 bis-octies establecen el marco legal para la obtención, custodia y presentación de evidencia digital en procesos penales.
LECrim (Ley de Enjuiciamiento Criminal)
El 78% de los procedimientos penales en España incorporan ya algún tipo de prueba digital, según datos del Consejo General del Poder Judicial (CGPJ) correspondientes a 2024. Desde capturas de WhatsApp hasta volcados forenses de servidores, la evidencia electrónica ha dejado de ser excepcional para convertirse en la norma. Sin embargo, su admisibilidad depende de una ley que cumplió 143 años en septiembre de 2025: la Ley de Enjuiciamiento Criminal (LECrim), aprobada por Real Decreto de 14 de septiembre de 1882.
Definición técnica
La Ley de Enjuiciamiento Criminal (LECrim) es la norma procesal que regula la investigación, instrucción y enjuiciamiento de los delitos en España. Promulgada en 1882, es la ley procesal penal más antigua de Europa aún vigente en su estructura original, aunque ha sido objeto de más de 70 reformas parciales.
Para el peritaje informático forense, la LECrim es la piedra angular legal: establece cómo se obtiene, quién la custodia, cómo se analiza y de qué forma se presenta la evidencia digital ante un tribunal penal.
Reforma clave: LO 13/2015
La Ley Orgánica 13/2015, de 5 de octubre, incorporó los artículos 588 bis a 588 octies, creando por primera vez un marco legal específico para las diligencias de investigación tecnológica en España. Antes de esta reforma, jueces y fiscales aplicaban analógicamente normas pensadas para registros domiciliarios a entornos digitales.
Datos normativos esenciales:
- Nombre oficial: Real Decreto de 14 de septiembre de 1882 por el que se aprueba la Ley de Enjuiciamiento Criminal
- Publicación: Gaceta de Madrid, 17 de septiembre de 1882
- Última reforma relevante para prueba digital: LO 13/2015, de 5 de octubre
- Estructura: 7 Libros, 998 artículos (texto consolidado 2026)
- Referencia BOE: BOE-A-1882-6036
Artículos clave para peritaje informático
Art. 326 - Cuerpo del delito
El artículo 326 LECrim regula la recogida del cuerpo del delito (corpus delicti). Aunque concebido originalmente para objetos físicos, la jurisprudencia del Tribunal Supremo ha extendido su aplicación a soportes digitales: discos duros, memorias USB, smartphones y servidores que contengan evidencias relevantes.
Aplicación forense: Cuando un juez instructor ordena la incautación de dispositivos electrónicos, lo hace amparado en este artículo. El perito informático debe documentar el estado del dispositivo en el momento de la recogida, incluyendo hash SHA-256 de verificación.
Art. 363 - Obtención de muestras y pruebas técnicas
Originalmente pensado para pruebas biológicas (ADN), el artículo 363 ha sido ampliado por la jurisprudencia para cubrir la obtención de pruebas técnicas digitales. Exige autorización judicial motivada y respeto al principio de proporcionalidad.
Aplicación forense: El perito puede ser requerido para extraer datos de dispositivos incautados. La extracción debe limitarse a lo autorizado judicialmente; un exceso invalida la prueba.
Arts. 456-485 - Prueba pericial
Este bloque constituye la regulación completa de la prueba pericial en el proceso penal:
| Artículo | Contenido | Relevancia para perito informático |
|---|---|---|
| Art. 456 | Cuándo se necesita perito | Siempre que se requieran conocimientos técnicos especializados |
| Art. 457 | Quién puede ser perito | Titulados con conocimientos acreditados en la materia |
| Art. 459 | Contenido del dictamen | Descripción del objeto, método, operaciones practicadas y conclusiones |
| Art. 460 | Reconocimiento pericial | El perito examina directamente la evidencia |
| Art. 467 | Informe escrito | Obligación de presentar dictamen documentado |
| Art. 478 | Ratificación en juicio oral | El perito debe defender su informe ante el tribunal |
| Art. 483 | Honorarios periciales | Derecho a remuneración por el trabajo pericial |
Art. 478: Ratificación obligatoria
El informe pericial informático no tiene valor probatorio pleno si el perito no acude a ratificarlo en juicio oral. El artículo 478 LECrim exige que el perito declare ante el tribunal, responda a las preguntas de las partes y, si es necesario, aclare o amplíe sus conclusiones. Un informe no ratificado puede ser impugnado con éxito por la parte contraria.
Arts. 588 bis a - 588 octies: Diligencias de investigación tecnológica
Introducidos por la LO 13/2015, estos artículos conforman el marco legal específico para la investigación digital:
- Art. 588 bis a: Principios rectores (especialidad, idoneidad, excepcionalidad, necesidad, proporcionalidad)
- Art. 588 bis b: Solicitud de autorización judicial
- Art. 588 bis c: Resolución judicial autorizante
- Art. 588 bis d: Secreto de las actuaciones
- Art. 588 bis e: Control de la medida
- Art. 588 bis k: Destrucción de registros
Art. 588 ter: Interceptación de comunicaciones electrónicas
Regula la interceptación de comunicaciones telefónicas y telemáticas: emails, mensajería instantánea (WhatsApp, Telegram), tráfico de red. Exige autorización judicial motivada con plazo máximo de 3 meses, prorrogable hasta 18 meses.
Art. 588 quater: Captación de comunicaciones orales con dispositivos técnicos
Permite la colocación de dispositivos audiovisuales para captar conversaciones en lugares cerrados. Requiere autorización judicial específica y solo puede autorizarse para delitos con pena superior a 3 años.
Art. 588 septies: Registro remoto de equipos informáticos
El artículo más relevante para ciberinvestigación: permite a agentes autorizados acceder de forma remota a ordenadores, smartphones, servidores y sistemas de almacenamiento en la nube. Exige:
- Autorización judicial motivada
- Delitos de especial gravedad (terrorismo, crimen organizado, ciberdelitos graves)
- Duración máxima de 1 mes (prorrogable)
- Informe detallado de todas las acciones realizadas
Reforma LO 13/2015: la modernización para la era digital
Antes de octubre de 2015, España carecía de un marco legal específico para la investigación tecnológica penal. Los jueces aplicaban por analogía normas diseñadas para registros domiciliarios y escuchas telefónicas analógicas. Esta situación generaba inseguridad jurídica y frecuentes anulaciones de pruebas digitales.
La Ley Orgánica 13/2015 introdujo cambios fundamentales:
Principio de proporcionalidad reforzado: Toda medida de investigación tecnológica debe superar un test de proporcionalidad estricto. No basta la mera utilidad para la investigación; debe ser necesaria e idónea.
Autorización judicial obligatoria: Salvo excepciones tasadas (urgencia extrema, con ratificación judicial posterior en 24 horas), toda intrusión en dispositivos electrónicos exige auto judicial motivado.
Agentes especializados: La ejecución de las medidas corresponde a la Policía Judicial especializada en delitos tecnológicos (Grupo de Delitos Telemáticos de la Guardia Civil, BIT de la Policía Nacional).
Registro remoto de equipos: Por primera vez se regula el acceso remoto a sistemas informáticos (art. 588 septies), equiparando la investigación española a estándares europeos.
Plazos y controles: Se establecen plazos máximos para cada medida y mecanismos de control judicial periódico para evitar abusos.
Impacto en la práctica forense: Tras la LO 13/2015, los informes periciales informáticos deben documentar expresamente que la obtención de la evidencia se ha realizado conforme al marco legal vigente. El perito debe verificar que existe autorización judicial y que la cadena de custodia cumple los requisitos de los artículos 588 bis.
El perito informático en la LECrim
Art. 456: Cuándo se necesita un perito
El artículo 456 establece que el juez acordará el informe pericial “cuando, para conocer o apreciar algún hecho o circunstancia importante en el sumario, fuesen necesarios o convenientes conocimientos científicos o artísticos”. En la práctica, esto incluye:
- Análisis forense de dispositivos electrónicos
- Verificación de autenticidad de comunicaciones digitales
- Recuperación de datos eliminados
- Análisis de malware y vulnerabilidades
- Detección de deepfakes y manipulación de imágenes
- Trazabilidad de criptomonedas
Art. 457: Quién puede ser perito
La LECrim permite ser perito a quienes posean “título oficial de una ciencia o arte cuyo ejercicio esté reglamentado”. Para el peritaje informático en España, los perfiles habituales son:
- Ingenieros informáticos o en telecomunicaciones
- Graduados en ciberseguridad o ciencias forenses digitales
- Profesionales con certificaciones reconocidas (EnCE, CHFI, GCFE, CCE)
Peritos de parte vs. peritos judiciales
La LECrim distingue entre el perito designado por el juez (arts. 456-458) y el perito de parte presentado por acusación o defensa (art. 471). Ambos tienen la obligación de objetividad e imparcialidad, pero el perito judicial es designado por el tribunal y el perito de parte por los interesados. En la práctica forense digital, es frecuente que cada parte presente su propio perito para contrastar conclusiones.
Art. 459: Contenido del informe pericial
El dictamen pericial debe contener:
- Descripción del objeto periciado: Dispositivos analizados, con números de serie, estado y hash de verificación
- Metodología empleada: Herramientas forenses utilizadas (EnCase, FTK, Cellebrite), estándares seguidos (ISO 27037, UNE 71506)
- Operaciones practicadas: Detalle de cada paso del análisis, con timestamps y evidencia de cadena de custodia
- Resultados obtenidos: Hallazgos técnicos presentados de forma comprensible
- Conclusiones: Valoración técnica alineada con la pregunta judicial
Art. 478: Ratificación en juicio oral
El perito debe comparecer en el acto del juicio oral para:
- Ratificar el contenido de su informe
- Responder a las preguntas de las partes (fiscal, acusación particular, defensa)
- Ampliar o aclarar aspectos técnicos que el tribunal solicite
- Someterse al contradictorio con el perito de la parte contraria, si lo hubiere
Caso práctico: admisión de evidencia digital bajo la LECrim
Nota: El siguiente caso es un compuesto anonimizado basado en procedimientos reales de peritaje informático forense. Los datos identificativos han sido modificados para proteger la confidencialidad de los afectados, preservando los aspectos técnicos y procesales relevantes con fines educativos.
Hechos
Una empresa detecta que un ex-empleado ha sustraído una base de datos de clientes valorada en 2 millones de euros y la ha ofrecido a la competencia. La empresa presenta denuncia penal por delito de descubrimiento y revelación de secretos (art. 197 CP) y contra la propiedad industrial (art. 278 CP).
Procedimiento LECrim aplicado
Denuncia y diligencias previas: El juzgado de instrucción inicia diligencias previas (art. 774 LECrim). El juez ordena la incautación del portátil corporativo y del smartphone del denunciado conforme al art. 326.
Autorización judicial para análisis forense: El juez dicta auto motivado (art. 588 bis c) autorizando el análisis forense del portátil y del teléfono. Especifica qué datos pueden examinarse (accesos a la BBDD, emails con información corporativa, ficheros copiados).
Incautación con cadena de custodia: La Policía Judicial incauta los dispositivos con acta detallada. El perito calcula hash SHA-256 de cada dispositivo en el momento de la recogida y lo hace constar en acta.
Análisis forense: El perito informático realiza imagen forense bit a bit (conforme ISO 27037) y analiza las copias. Encuentra logs que acreditan la descarga de 47,000 registros de clientes a una memoria USB el día anterior al despido, así como emails al competidor adjuntando muestras de los datos.
Informe pericial (art. 459): El perito elabora dictamen detallando metodología, herramientas (EnCase Forensic 8.12), hallazgos con hashes verificados y conclusiones técnicas.
Ratificación en juicio (art. 478): El perito declara ante el tribunal, explica la cadena de custodia, demuestra que los hashes coinciden y responde a las preguntas de la defensa sobre la integridad de la evidencia.
Resultado: El tribunal admite la prueba digital como válida al haberse seguido escrupulosamente los requisitos de la LECrim. La sentencia condenatoria se apoya, entre otras pruebas, en el informe pericial informático.
Cadena de custodia y LECrim
La LECrim no contiene una regulación específica y detallada de la cadena de custodia digital, pero la jurisprudencia del Tribunal Supremo ha establecido requisitos claros.
STS 1190/2009: Doctrina sobre cadena de custodia
La Sentencia del Tribunal Supremo 1190/2009 constituye el referente jurisprudencial fundamental. Establece que la cadena de custodia es una garantía de mismidad: asegura que la prueba analizada y presentada en juicio es exactamente la misma que se recogió en origen, sin alteraciones.
Requisitos derivados de la jurisprudencia:
- Documentación ininterrumpida de la custodia
- Identificación de cada persona que ha tenido acceso a la evidencia
- Registro de transferencias entre custodios
- Verificación de integridad mediante hash criptográfico
- Almacenamiento en condiciones que impidan la alteración
Relación con la norma ISO 27037
La norma ISO/IEC 27037:2012 (Guidelines for identification, collection, acquisition and preservation of digital evidence) complementa los requisitos de la LECrim con un marco técnico internacional:
| Requisito LECrim | Equivalente ISO 27037 | Implementación práctica |
|---|---|---|
| Art. 326 (recogida evidencia) | Fase de identificación y recolección | Acta de incautación con fotografías y hash |
| Art. 588 bis e (control medida) | Fase de adquisición | Imagen forense bit a bit verificada |
| Jurisprudencia TS (mismidad) | Fase de preservación | Hash SHA-256 + almacenamiento seguro |
| Art. 459 (informe pericial) | Documentación completa | Informe con metodología y trazabilidad |
Ruptura de cadena de custodia
La STS 491/2016 precisa que la ruptura de la cadena de custodia no determina automáticamente la nulidad de la prueba, sino que afecta a su fiabilidad. El tribunal valorará si la irregularidad ha podido comprometer la integridad de la evidencia. No obstante, en la práctica, una cadena de custodia defectuosa debilita gravemente el valor probatorio del informe pericial.
FAQ
P: ¿Puede un perito informático acceder a un dispositivo sin autorización judicial? R: No, salvo en casos de urgencia extrema con ratificación judicial posterior en 24 horas (art. 588 bis d LECrim). El acceso no autorizado a un dispositivo puede constituir delito del art. 197 CP y, además, invalida cualquier evidencia obtenida (doctrina del fruto del árbol envenenado).
P: ¿Cuánto tiempo puede durar una interceptación de comunicaciones electrónicas? R: El art. 588 ter g establece un plazo máximo inicial de 3 meses, prorrogable por períodos sucesivos de 3 meses hasta un máximo total de 18 meses. Cada prórroga requiere nueva autorización judicial motivada.
P: ¿Qué ocurre si la defensa impugna la cadena de custodia del informe pericial? R: El tribunal valora si la impugnación afecta a la fiabilidad de la prueba (STS 491/2016). El perito debe acreditar documentalmente cada eslabón de la cadena. Si existen gaps temporales sin documentar o accesos no registrados, la defensa puede lograr que el tribunal reste valor probatorio al informe o incluso lo excluya.
P: ¿Es obligatorio que el perito informático tenga titulación universitaria? R: El art. 457 LECrim exige título oficial en ciencia o arte reglamentado. En la práctica, los tribunales aceptan ingenieros informáticos, en telecomunicaciones y profesionales con formación acreditada en informática forense. Certificaciones internacionales (EnCE, CHFI) refuerzan la credibilidad pero no sustituyen la titulación.
P: ¿Puede la policía clonar un móvil sin autorización judicial en una detención? R: No. La STC 115/2013 del Tribunal Constitucional establece que el examen del contenido de un teléfono móvil requiere autorización judicial, incluso cuando el dispositivo ha sido incautado durante una detención legítima. La única excepción son situaciones de urgencia extrema (riesgo inminente para la vida) con ratificación judicial inmediata.
Referencias y Fuentes
BOE. (1882). “Real Decreto de 14 de septiembre de 1882 por el que se aprueba la Ley de Enjuiciamiento Criminal”. Texto consolidado. boe.es
BOE. (2015). “Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica”. boe.es
CGPJ. (2024). “Memoria Anual 2024 del Consejo General del Poder Judicial”. Estadísticas sobre prueba digital en procesos penales. poderjudicial.es
Tribunal Supremo. (2009). “STS 1190/2009, de 3 de diciembre. Doctrina sobre cadena de custodia y garantía de mismidad”. poderjudicial.es
Tribunal Supremo. (2016). “STS 491/2016, de 8 de junio. Efectos de la ruptura de cadena de custodia sobre la fiabilidad de la prueba”. poderjudicial.es
Tribunal Constitucional. (2013). “STC 115/2013, de 9 de mayo. Derecho a la intimidad y registro de dispositivos móviles”. tribunalconstitucional.es
Fiscalía General del Estado. (2023). “Circular 1/2023 sobre tratamiento procesal de la prueba digital”. fiscal.es
ISO/IEC 27037:2012. “Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence”. iso.org
AENOR. (2013). “UNE 71506:2013 - Metodología para el análisis forense de las evidencias electrónicas”. une.org
Velasco Núñez, E. (2016). “Investigación tecnológica y prueba digital en el proceso penal”. Revista Aranzadi de Derecho y Nuevas Tecnologías, 42. aranzadi.es
González-Cuellar Serrano, N. (2018). “Las intervenciones de las comunicaciones electrónicas tras la LO 13/2015”. Diario La Ley, 9150. diariolaley.laleynext.es
INCIBE. (2024). “Guía sobre evidencias digitales y su valor probatorio”. incibe.es
Ultima actualizacion: 10 de febrero de 2026 Categoria: Legal Nivel tecnico: Avanzado
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita