Cadena de Custodia
Procedimiento documentado que garantiza la integridad, autenticidad y trazabilidad de la evidencia digital desde su recolección hasta su presentación en juicio.
¿Qué es la Cadena de Custodia Digital?
La cadena de custodia es el procedimiento documentado que garantiza la integridad, autenticidad y trazabilidad de la evidencia digital desde el momento de su identificación hasta su presentación ante un tribunal.
Importancia Legal
Una cadena de custodia defectuosa puede invalidar completamente una prueba digital, independientemente de lo relevante que sea para el caso. Los tribunales españoles son especialmente rigurosos con este requisito.
En términos prácticos, la cadena de custodia responde a estas preguntas fundamentales:
- ¿Quién ha tenido acceso a la evidencia?
- ¿Cuándo se ha accedido a ella?
- ¿Dónde ha estado almacenada?
- ¿Qué se ha hecho con ella en cada momento?
Elementos de una Cadena de Custodia Válida
Identificación: Documentación detallada del dispositivo o fuente de datos, incluyendo número de serie, modelo, estado físico y ubicación donde se encontró.
Recolección: Registro del proceso de adquisición, herramientas utilizadas, fecha, hora exacta y persona responsable.
Preservación: Almacenamiento seguro con controles de acceso, generación de hashes criptográficos (SHA-256) y copias de respaldo verificadas.
Transferencia: Documentación de cada cambio de custodia entre personas o instituciones, con firmas y fechas.
Análisis: Registro de todas las operaciones realizadas sobre copias forenses, nunca sobre la evidencia original.
Presentación: Documentación final que demuestra la integridad desde la recolección hasta el juicio.
Requisitos Legales en España
La legislación española establece requisitos específicos para la validez de la evidencia digital:
Ley de Enjuiciamiento Criminal
El artículo 588 bis y siguientes de la LECrim regulan las diligencias de investigación tecnológica, estableciendo:
- Necesidad de autorización judicial para acceso a dispositivos
- Obligación de preservar la integridad de los datos
- Documentación exhaustiva del proceso
Jurisprudencia del Tribunal Supremo
STS 300/2015
El Tribunal Supremo ha establecido que la prueba digital debe cumplir tres requisitos: autenticidad (que sea lo que dice ser), integridad (que no haya sido alterada) y licitud (que se haya obtenido legalmente).
Documentación Requerida
Una cadena de custodia completa debe incluir:
| Elemento | Descripción |
|---|---|
| Acta de incautación | Documento oficial de la recogida de evidencia |
| Fotografías | Estado del dispositivo antes de manipularlo |
| Hashes originales | SHA-256 calculado inmediatamente tras la adquisición |
| Formularios de transferencia | Cada cambio de manos documentado |
| Registro de accesos | Quién, cuándo y para qué |
| Condiciones de almacenamiento | Temperatura, humedad, seguridad física |
Errores que Invalidan la Cadena de Custodia
Errores Críticos
Estos errores pueden hacer que un tribunal rechace la evidencia:
- Falta de hashes iniciales: No calcular SHA-256 inmediatamente tras la adquisición
- Gaps temporales: Períodos sin documentar dónde estuvo la evidencia
- Acceso no autorizado: Personas sin legitimación manipulando la evidencia
- Análisis sobre originales: Trabajar directamente sobre la evidencia en lugar de copias forenses
- Almacenamiento inadecuado: Condiciones que podrían degradar los datos
Ejemplo Práctico
Caso: Investigación de Fraude Corporativo
Situación: Una empresa sospecha que un empleado ha filtrado información confidencial a la competencia.
Proceso correcto de cadena de custodia:
Día 1, 09:00: El departamento de IT identifica el ordenador sospechoso (Dell Latitude 5520, S/N: ABC123). Se fotografía en su ubicación original.
Día 1, 09:30: Se desconecta de la red y se precinta con etiquetas de seguridad numeradas. Se documenta en acta firmada por IT y RRHH.
Día 1, 10:00: Se entrega al perito forense. Firma de transferencia con fecha, hora y estado del precinto.
Día 1, 14:00: El perito crea imagen forense bit a bit. Hash SHA-256:
a3f2b8c9d4e5f6.... Se documenta herramienta utilizada (FTK Imager 4.7).Día 1, 14:30: Disco original se almacena en caja fuerte con control de acceso. La imagen forense se utiliza para el análisis.
Día 5: Se genera informe pericial con todos los hashes verificados y coincidentes con los originales.
Herramientas para Gestionar la Cadena de Custodia
- FTK Imager: Genera hashes automáticamente durante la adquisición
- Autopsy: Registra todas las operaciones en logs auditables
- EnCase: Sistema completo de gestión de evidencia con cadena de custodia integrada
- Formularios estandarizados: Plantillas NIST o ISO 27037
Relación con Otros Conceptos
La cadena de custodia está íntimamente relacionada con:
- Hash Criptográfico: El mecanismo técnico que garantiza la integridad
- Imagen Forense: La copia exacta sobre la que se trabaja
- Informe Pericial: El documento que presenta la evidencia y su cadena de custodia
Conclusión
La cadena de custodia no es un mero formalismo burocrático, sino el pilar fundamental que sostiene la validez de cualquier evidencia digital en un proceso judicial. Un perito informático competente dedica tanto esfuerzo a documentar la cadena de custodia como al análisis técnico en sí.
Última actualización: 3 de enero de 2025
Categoría: Legal
Código: CDC-001
Preguntas Frecuentes
¿Qué es la cadena de custodia en informática forense?
Es el procedimiento documentado que registra quién ha tenido acceso a la evidencia digital, cuándo, dónde y qué acciones se han realizado sobre ella, garantizando que no ha sido alterada desde su recolección.
¿Qué pasa si se rompe la cadena de custodia?
Si se rompe la cadena de custodia, la evidencia digital puede ser impugnada y declarada inadmisible por el tribunal, ya que no se puede garantizar que no haya sido manipulada o alterada.
¿Quién es responsable de mantener la cadena de custodia?
Toda persona que tenga contacto con la evidencia es responsable de documentar su custodia. En casos judiciales, el perito informático forense es el principal garante de la integridad de la cadena.
Términos Relacionados
Evidencia Digital
Cualquier información almacenada o transmitida en formato digital que puede ser utilizada como prueba en un procedimiento judicial o investigación.
Integridad de la Evidencia
Garantía de que una evidencia digital no ha sido alterada, modificada o corrompida desde su recolección hasta su presentación en juicio.
Imagen Forense
Copia exacta bit a bit de un dispositivo de almacenamiento que preserva toda la información original, incluyendo archivos borrados y espacio no asignado, para su análisis forense.
Hash Criptográfico
Función matemática que genera una cadena única de caracteres (huella digital) a partir de cualquier conjunto de datos, permitiendo verificar que no han sido alterados.
Informe Pericial
Documento técnico-legal elaborado por un perito informático que presenta los resultados de un análisis forense digital con validez probatoria en procedimientos judiciales.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita