Cadena de custodia en el peritaje informático

La cadena de custodia en el peritaje informático siempre es un asunto controvertido. La cadena de custodia aplicada a una prueba se define, de forma sencilla, como el procedimiento controlado mediante el cual se conserva la integridad física y lógica de una prueba. Esta conservación se extiende desde la identificación y recolección de la prueba, pasando por su registro y almacenamiento, su posterior traslado y el análisis final de la misma, hasta su destrucción (si procede).

Para que una cadena de custodia sea considerada válida como tal, un fedatario público debe atestiguar, mediante documento elevado a público, el estado de la prueba antes de su análisis, para que, una vez se haya producido éste, sea posible determinar que la prueba no ha sido contaminada y que su estado es el mismo que el anterior al análisis. En España, las únicas figuras de fedatarios públicos existentes son el notario y el secretario judicial. Por tanto, debe ser un notario o un secretario judicial el que, documento público mediante, de fe del estado de la prueba antes del análisis de la misma. El fedatario únicamente puede dar fe y atestiguar el estado de una prueba cuando ésta llega a sus manos, pero no puede garantizar el estado de la misma antes de que ésta haya llegado a él ni por tanto que la prueba no haya sufrido modificaciones (maliciosas o no) previas.

Locked Keys

Se pondrán algunos ejemplos gráficos: un ordenador incautado por la policía a un criminal y encendido antes de ser enviado al fedatario público ya no es una prueba en la que se pueda considerar que se haya conservado la cadena de custodia, puesto que el sistema operativo ya ha modificado y accedido a determinados ficheros. Asimismo, aunque el ordenador no haya sido encendido, tampoco se podría garantizar “estrictamente” la conservación de la cadena de custodia si el fedatario no estaba presente en el momento de la incautación, puesto que cualquier fichero informático es susceptible de ser modificado mediante software, así como también pueden ser alterados los diversos registros existentes en el sistema operativo para aparentar que no ha habido accesos, por lo que, en principio, un ordenador aparentemente no encendido o un disco no accedido, en realidad, puede que sí lo fueran. Se entrecomilla la palabra estrictamente debido a que, cuando la Policía o la Guardia Civil incautan material informático y lo almacenan, aunque aún no se haya dado fe pública del contenido de los discos, en teoría sí se conserva a nivel judicial la cadena de custodia, debido a que el almacenaje se presupone seguro,  de tal forma que nadie podría acceder, dentro de las dependencias policiales, al material incautado; pero, a nivel técnico estricto, si alguien muy experto lograse acceder a dicho material y alterarlo sin dejar huella, sería virtualmente imposible demostrar, en este último ejemplo, que el ordenador sí fue encendido o el disco accedido, por lo que la duda sobre la invalidez de la cadena de custodia ya estaría sembrada, siempre y cuando se pudiese demostrar que la custodia de la prueba no fue ortodoxa.

Por tanto, se llega a la conclusión de que para que se mantenga estrictamente y a nivel técnico la cadena de custodia de una prueba informática, es siempre necesario que esté presente el fedatario en la incautación o intervención del material informático a los criminales, para realizar clonados públicos de los discos. Así, el fedatario público podrá dar fe del estado de la prueba en ese preciso instante.

 

Muchas veces se confunde el término “cadena de custodia” y se le asocia un significado de “no modificación de la prueba”. Esto que, en un principio, pudiera parecer lo mismo, realmente no lo es. La conservación de la cadena de custodia siempre implica una no modificación de la prueba, pero una no modificación de la prueba, no implica que se pueda garantizar ante un Tribunal que se ha conservado la cadena de custodia. Por ejemplo, si un cliente le entrega a un perito un disco duro o un dispositivo móvil, el perito pondrá todo su empeño en la conservación de la cadena de custodia y en la no modificación de la prueba pero, si no eleva ante notario el estado de la prueba en el momento preciso de su entrega por parte del cliente, no se podrá garantizar ante un Tribunal que la mencionada cadena de custodia se haya conservado y, aun así, sólo se podrá garantizar la cadena de custodia desde que el cliente le entregó la prueba al perito, no antes. Esto quiere decir que, el cliente, por su cuenta, podría haber modificado la prueba para “colocar” o “retirar” de la misma las evidencias que le interesen, con o sin la ayuda de expertos. Será labor, en este caso, del perito informático, determinar y plasmar en el informe pericial, tras el análisis de la prueba, qué posibilidades hay de que esto haya sido posible teniendo en cuenta la dificultad inherente a la eventual alteración de las pruebas. Por ejemplo, no es lo mismo encontrarse una fotografía o vídeo comprometidos dentro de un disco duro en el que no se ha conservado la cadena de custodia (algo relativamente sencillo de realizar para alguien con unos conocimientos informáticos mínimos, puesto que sólo tiene que colocar el archivo en el disco), que un correo electrónico comprometido, enviado o recibido, que se encuentre borrado dentro de un fichero de carpetas personales (algo con una complejidad más elevada).

Como se puede apreciar, por tanto, el procedimiento de conservación de la cadena de custodia se puede convertir, en muchas ocasiones, en lo que en Derecho se denomina una prueba diabólica, de tal forma que se pida demostrar que la prueba no ha sido modificada (lo cual no sería posible desde el instante anterior al establecimiento de la cadena de custodia para la prueba).

 

El mantenimiento de la cadena de custodia en el peritaje informático es una tarea muy difícil que no siempre puede ser llevada a cabo por determinadas eventualidades y, para que sea aceptada como tal en un proceso judicial, el fedatario público, como ya se ha visto, deberá estar presente en el momento de la incautación o intervención del material. Si esto no fue posible, o si en un peritaje de parte, fue el cliente el que entregó al perito informático una prueba y no se puede garantizar su no modificación anterior a la entrega de la misma, o si en el transcurso de la pericia la prueba resultó contaminada, es el perito el que, según su leal saber y entender, debe analizar la prueba y elaborar un dictamen indicándole al juez su opinión profesional sobre la misma y sus implicaciones, dejando claro en todo momento que, al no haberse podido conservar la cadena de custodia, siempre existen posibilidades, aunque sean remotas o muy remotas, de modificación maliciosa de la prueba. Para evitar sospechas o suspicacias por parte del juez, siempre se aconseja, aunque no sea posible conservar la cadena de custodia de las pruebas, trabajar sobre copias clónicas de las pruebas o, en caso de que sea necesario trabajar sobre los originales, realizar las mencionadas copias clónicas, para tener siempre respaldos de cara al informe pericial informático y a que el juez tenga siempre disponible la demostración de la integridad de las pruebas.