Contraperitajes Informáticos

Tras auditar más de 50 informes periciales como contraperitaje, los fallos que aparecen con más frecuencia — ordenados por gravedad e impacto judicial: 1. **Falta de hash de integridad de la evidencia** (60% de informes) — CRÍTICO. Sin SHA-256 en el momento de adquisición, no hay forma de verificar que el archivo analizado es el extraído originalmente. Incumple ISO/IEC 27037 §5.4.1. 2. **Cadena de custodia ausente o incompleta** (50%) — CRÍTICO. No se registra quién accedió a la evidencia, cuándo ni con qué hash. Anula el valor probatorio. 3. **Software no forense: capturas de pantalla** (40%) — ALTA. El informe se basa en capturas, no en extracciones con Cellebrite/FTK/Autopsy. STS 300/2015 directamente aplicable. 4. **Metodología citada pero no aplicada** (35%) — ALTA. El informe menciona ISO 27037 al principio pero el procedimiento real no la sigue. 5. **Confusión de metadatos de fecha** (30%) — MEDIA-ALTA. El perito interpreta `LastModified` NTFS como cambio de contenido cuando puede ser copia/renombrado. 6. **Conclusiones que invaden la valoración jurídica** (25%) — MEDIA. El perito califica "dolo" o "delito" cuando esa valoración corresponde al juez (art. 348 LEC). 7. **Falta de repetibilidad del experimento** (25%) — MEDIA. No se indican versiones de herramientas, comandos o hashes intermedios. 8. **Herramientas sin licencia o versión no documentada** (20%) — MEDIA. 9. **No se preserva la evidencia original** (15%) — MUY ALTA si ocurre. Arranque del dispositivo sin write-blocker altera inevitablemente la evidencia. 10. **Conclusiones desproporcionadas respecto a la evidencia** (15%) — MEDIA. De 3 eventos de `unlink` infiere "patrón sistemático". [→ Análisis completo en el post: Contrainforme pericial informático paso a paso](/blog/como-impugnar-informe-pericial-informatico-contrainforme-2026/)