924 09 06 08

Cadena de custodia digital: qué es y por qué tu informe la necesita

Forenlab Peritos Informáticos cadena de custodia · informática forense · metodología

Cadena de custodia digital: qué es y por qué tu informe la necesita

La cadena de custodia digital es el procedimiento que garantiza que una evidencia informática llega a la sala del juzgado igual que cuando se recogió. Sin ella, cualquier informe pericial es vulnerable a impugnación: el adversario puede argumentar que la prueba ha sido manipulada, alterada o sustituida en algún punto del proceso. Para letrados y empresas, entender cómo se documenta la cadena de custodia es entender por qué algunos peritajes valen y otros no.

Definición técnica y procesal

La cadena de custodia es el conjunto de actuaciones documentadas que registran el manejo de una evidencia digital desde su recogida hasta su presentación judicial. Cada paso queda trazado: quién tuvo acceso a la evidencia, cuándo, dónde y con qué finalidad. La cadena de custodia se sustenta en dos pilares:

  1. Documentación papel (actas, registros).
  2. Documentación técnica (hashes criptográficos, logs forenses, marcas de integridad).

Si en algún momento la cadena se rompe —por ejemplo, si el dispositivo queda en un cajón sin acta, si alguien lo enciende sin protocolo, si se conecta a una red— la integridad procesal queda comprometida.

Cómo se construye una cadena de custodia sólida

Paso 1: Acta de recogida

El propietario de la evidencia (móvil, ordenador, disco) lo entrega al perito mediante un acta firmada por ambas partes que contiene:

  • Identificación del entregante y del perito.
  • Descripción del dispositivo (marca, modelo, número de serie, IMEI).
  • Estado en que se entrega (encendido/apagado, batería, daños visibles).
  • Fecha, hora y lugar.
  • Finalidad del peritaje.

Paso 2: Bloqueo de escritura

Antes de cualquier análisis, el perito conecta el dispositivo a un bloqueador hardware (write blocker) o aplica protocolos software equivalentes. Esto garantiza que no se escribe ningún byte sobre el dispositivo original, lo que preservaría la integridad procesal incluso si se descubriera más tarde algo que hiciera necesario revisar el original.

Paso 3: Clonado bit a bit

Se realiza una imagen forense del soporte: una copia idéntica byte a byte, no una copia “de archivos”. Las herramientas más utilizadas son:

  • Discos: FTK Imager, dd, Guymager, EnCase Imager.
  • Móviles: Cellebrite UFED, Magnet AXIOM, Oxygen Forensic Suite.
  • Cloud: extracción mediante API con autorización del titular.

Paso 4: Cálculo de hashes MD5 y SHA-256

Cada hash es una huella digital criptográfica del soporte: una cadena de caracteres única que identifica exactamente esa evidencia. Si alguien modifica un solo bit, el hash cambia. Se calculan dos hashes diferentes (MD5 y SHA-256) por redundancia — un atacante no puede alterar el contenido y mantener simultáneamente ambos hashes intactos.

Ejemplo de hash SHA-256:

9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08

Ese hash se incluye en el informe y en el acta de la imagen forense. Si la parte adversa duda de la integridad, basta con recalcular el hash sobre la imagen y comparar.

Paso 5: Almacenamiento seguro

La evidencia original y la imagen forense se guardan en soporte cifrado dentro de instalaciones con control de acceso. Se documenta cualquier acceso posterior. La copia de trabajo (sobre la que se hace el análisis) se hace a partir de la imagen, no del original.

Paso 6: Análisis sobre la copia

Todo el análisis forense (búsqueda de archivos, recuperación de borrados, examen de logs) se hace sobre la copia, no sobre el original. Cualquier herramienta utilizada deja log auditable.

Paso 7: Devolución y acta de finalización

Al terminar el peritaje, el dispositivo original se devuelve al cliente con acta de devolución firmada que documenta el estado en que se devuelve y los hashes finales (que deben coincidir con los iniciales).

Qué pasa si la cadena de custodia falla

Estos son los escenarios reales que invalidan o debilitan un informe:

Caso 1: el cliente “abre y mira” el ordenador antes de llevarlo

Cada vez que se enciende un equipo, se modifican cientos de archivos del sistema (logs, fechas de acceso, registros de eventos). El perito ya no puede certificar el estado original. La parte contraria puede impugnar: ¿cómo sé que esto que está en el informe no lo modificó el cliente cuando arrancó el ordenador?

Caso 2: se hace copia “de archivos”, no clonado bit a bit

Una copia de archivos no recoge el espacio no asignado, donde están los archivos eliminados. Si el caso depende de recuperar borrados, el perito ya no podrá hacerlo. Y si se aporta como prueba, es inevitable la impugnación por insuficiencia técnica.

Caso 3: no se calculan hashes

Sin hashes, no hay forma de demostrar que la imagen forense es idéntica al original. La defensa adversa puede argumentar manipulación.

Caso 4: el dispositivo queda en custodia sin documentar

Si entre la recogida y el peritaje el dispositivo está en un cajón de la oficina del letrado durante semanas, sin acta de custodia ni documentación, hay un vacío en la cadena. Causa típica de impugnación.

Caso 5: peritos múltiples sin transferencia documentada

A veces interviene un técnico inicial y luego un perito. Si la transferencia entre ambos no está documentada con acta y hashes, la cadena se rompe.

Hashes: el corazón de la integridad

Los hashes son funciones matemáticas unidireccionales: dado un fichero, producen una cadena de longitud fija; dado el hash, no se puede recuperar el fichero. Se utilizan dos hashes diferentes por seguridad:

  • MD5 (128 bits): rápido, ampliamente soportado.
  • SHA-256 (256 bits): criptográficamente más fuerte, recomendado para evidencias.

Estos hashes se calculan en cuatro puntos de la cadena:

  1. Sobre el dispositivo original al recogerlo (cuando es técnicamente posible).
  2. Sobre la imagen forense al crearla.
  3. Sobre la imagen al iniciar el análisis (verificación de integridad).
  4. Sobre la imagen al finalizar el análisis (confirmación de que no ha cambiado).

Cadena de custodia en cloud y SaaS

Cuando la evidencia está en cloud (Google Workspace, Microsoft 365, Dropbox), la cadena se adapta:

  • Acceso con credenciales del legítimo titular.
  • Exportación con sello de tiempo del proveedor cloud.
  • Hashes sobre los exports descargados.
  • Documentación de la versión y fecha de extracción (porque cloud puede borrar versiones antiguas).

Forenlab realiza extracciones con cadena de custodia tanto en dispositivos físicos como en entornos cloud y SaaS.

Preguntas frecuentes

¿Cuánto cuesta documentar la cadena de custodia? Está incluida en el precio del peritaje. No es un servicio aparte. Si un perito te ofrece “abaratar el peritaje saltándose la cadena”, aléjate.

¿La policía aplica cadena de custodia? Sí. Las Fuerzas y Cuerpos de Seguridad del Estado aplican protocolos forenses establecidos (Guardia Civil GDT, Policía Nacional UDEF). Si un perito de parte interviene después, se documenta la transferencia.

¿Puedo recoger yo la evidencia y entregarla al perito? Sí, con acta de cesión voluntaria firmada. Lo importante es no encender, modificar ni manipular el dispositivo entre que ocurre el incidente y la entrega al perito.

¿Se aplica la misma cadena de custodia en peritajes preventivos (auditorías)? Sí. Aunque el destino no sea judicial, mantener la cadena permite que la evidencia pueda usarse en sala si finalmente se denuncia.

¿Y si pierdo el acta original? El perito siempre conserva una copia firmada. Pídela.

Conclusión

La cadena de custodia digital es la diferencia entre un informe sólido y un informe impugnable. Cualquier perito serio la documenta como parte del trabajo, sin sobrecoste, y la incorpora al informe pericial. En Forenlab cada peritaje incluye actas firmadas, hashes MD5 y SHA-256, herramientas forenses certificadas y trazabilidad completa. Contáctanos y te explicamos cómo aplicaríamos cadena de custodia en tu caso concreto.