Archivo de la categoría: blog

Peritaje informático sobre sistemas informáticos de tipo ERP

Un ERP (Enterprise Resource Planning, Planificación de Recursos Empresariales), es un sistema informático desarrollado a medida para la gestión completa de la actividad empresarial. Las empresas, habitualmente, subcontratan el desarrollo de este tipo de sistemas informáticos a una consultora informática, pero es muy rara la ocasión en que se produce una satisfacción total del usuario final (es decir, de los empleados que van a trabajar directamente con el sistema). La implantación de un sistema informático de tipo ERP suele ser muy traumática en la empresa, generando mucha resistencia y frustración, así como poca resiliencia o adaptabilidad del usuario final; lo que se traduce en estrés, agotamiento y enfrentamiento con la empresa desarrolladora del sistema informático.

El fracaso en este tipo de desarrollos informáticos, casi siempre se produce porque no existe una buena toma de requisitos, que evalúe adecuadamente las necesidades del usuario final y que genere prototipos evolutivos e incrementales, en un proceso iterativo que se englobe dentro de un marco metodológico estándar. Este fracaso no sólo se produce en sistemas complejos como ERPs, sino también en programas informáticos de menor complejidad, como aplicaciones móviles (muy a la moda), simples aplicaciones web, o incluso programas de escritorio, que permiten gestionar un departamento concreto de la empresa en lugar de la empresa completa.

El error de base es la confianza que el cliente deposita en su proveedor, confiándole ciegamente el desarrollo de su producto, sin contar con profesionales independientes, ajenos a la empresa de desarrollo, como por ejemplo un perito informático que actúe como asesor independiente. La Ingeniería Informática es la única profesión de Ingeniería que no se encuentra regulada por el Estado, con lo cual, existen en el mercado numerosas empresas que se hacen pasar por expertas en desarrollo informático, sin contar con ingenieros informáticos en plantilla, únicamente con autodidactas, que por su falta de formación, desconocen las metodologías de desarrollo que han de ponerse en práctica para llevar a buen puerto el desarrollo de un sistema informático. Este perito informático ha participado en numerosos procesos judiciales en los que los desarrolladores no eran ingenieros informáticos y, el resultado final, fue un fracaso (denuncias por incumplimiento de contrato, estafa, etc.).

 

La contratación de un perito informático colegiado, con antelación al desarrollo, que se haga cargo de la supervisión del mismo ante la empresa proveedora, proporcionará un seguimiento continuo del estado del desarrollo, enviándose informes periódicos al cliente, que evitarán o mitigarán posibles problemas judiciales. Es vital contar con el asesoramiento de un perito informático, al objeto de delimitar las cláusulas del contrato, especialmente las relativas a la propiedad intelectual del software, pero también para la redacción del anejo o adenda al contrato en el que se establezcan los requisitos del sistema, conociéndose dicho anejo como documento de Especificación de Requisitos del Software (ERS).

El documento de Especificación de Requisitos del Software, es la parte fundamental del contrato en el desarrollo de un ERP y el primer documento que necesitará un perito informático para elaborar su pericial informática si el sistema no funciona una vez entregado e implantado. Cuando en el cliente no existe ningún ingeniero informático que pueda llevar un seguimiento del proyecto, ni tampoco se contrata un profesional externo, como un perito informático, que ejerza como consultor independiente, lo más probable es que no exista tal documento. La empresa de desarrollo es perfectamente conocedora de que, cuantas menos referencias a los requisitos y a la arquitectura del sistema aparezcan en el contrato y sus adendas, mayores posibilidades tienen de salir indemnes de un proceso judicial iniciado por el cliente si el proyecto ha resultado en un fracaso.

En el cuerpo del contrato, que se debe redactar con el asesoramiento mixto de un abogado y un perito informático, se deben recoger las cláusulas típicas de cualquier contrato de prestación de servicios, sin incluir absolutamente ninguna referencia a los requisitos o al comportamiento del software cuyo desarrollo se va a contratar. Es en el documento de Especificación de Requisitos del Software, por tanto, donde se deben recoger, con todo lujo de detalles, los requisitos, el comportamiento de cada caso de uso, la jerarquía de usuarios y sus escenarios, las tecnologías con las que se realizará cada módulo, la arquitectura del sistema, los artefactos lógicos o componentes (software), los elementos físicos o de despliegue (hardware), los plazos de entrega, los prototipos que se vayan a ir realizando para que los usuarios puedan interactuar con versiones tempranas del sistema, los entregables finales, etc.

El documento de Especificación de Requisitos del Software es, por tanto, fundamental, siendo la única garantía del cliente frente a un proceso judicial por un incumplimiento de contrato y/o una estafa, de tal manera que es el único documento real del cual el perito informático puede hacer uso para elaborar una pericial contundente y ganadora frente a un desarrollo fallido.

 

Habitualmente, los sistemas informáticos de tipo ERP se dividen en módulos: recursos humanos, contabilidad, finanzas, comercial, gestión de clientes o CRM, etc. Es necesario que, en el documento de Especificación de Requisitos del Software, cada uno de estos módulos se recoja en un apartado, indicando con qué tecnologías se va a desarrollar cada módulo, los casos de uso o escenarios asociados a cada uno de ellos (así como sus correspondientes escenarios de error), qué roles de usuario podrán acceder a cada uno de los mencionados casos de uso, etc. Finalmente, se deberá añadir un apartado final que explique cómo se llevará a cabo la necesaria integración de todos los módulos y la comunicación interna entre los mismos, así como la integración y comunicación con otros sistemas externos, siendo dicha integración interna y externa un aspecto esencial del software y allí donde, según la experiencia de este perito informático, se producen mayores problemas, dada la inmensa complejidad de este tipo de sistemas. Si se contrata un consultor independiente, como un perito informático, para llevar a cabo la supervisión del desarrollo, éste se encargará de que todos los apartados indicados sean incluidos en el documento de Especificación de Requisitos del Software anejo al contrato.

En caso de que, finalmente, sea necesaria la contratación de un perito informático para llevar a juicio a la empresa desarrolladora del sistema, el profesional tendrá que recabar información del documento de Especificación de Requisitos del Software, casando cada caso de uso con su correspondiente interacción en el sistema y determinando su comportamiento satisfactorio o fallido, obteniendo finalmente un porcentaje de cumplimiento de los requisitos establecidos en el contrato. Si el documento de Especificación de Requisitos del Software es inexistente, se deberán estudiar los requisitos que aparezcan en las cláusulas del contrato y, si no aparecen requisitos de ningún tipo, el grado de cumplimiento de cada escenario que el cliente señale como caso de uso.

Es importante reseñar, como ya hizo este perito informático en un artículo, publicado en esta web, sobre incumplimiento de contrato en el desarrollo de software que, según la jurisprudencia, el desarrollo de un ERP tiene el mismo tratamiento que una obra. Por tanto, si la empresa desarrolladora abandona el desarrollo por cualquier causa, se le podrán imputar los costes oportunos que se determinen por haber abandonado la obra.

 

Finalmente, como se puede apreciar, la construcción de un sistema informático de tipo ERP es extremadamente compleja y, en caso de litigio, a mayor documentación de que se disponga, mayores probabilidades tendrá el perito informático de elaborar un peritaje informático ganador. Al objeto de aplicar la máxima de prevenir, antes de curar, se debe contemplar, tal y como se ha advertido en este artículo, la contratación de un perito informático como asesor independiente, que ayude a la supervisión y a la elaboración de la documentación asociada al proyecto durante la etapa de desarrollo y, que jugará un papel fundamental en el eventual litigio.

 

Las diferentes interpretaciones jurisprudenciales de la amistad en Facebook

Se han sucedido ya numerosas sentencias en las que se ha valorado la amistad en la red social Facebook u otras redes sociales, incluyendo las implicaciones de pulsar el botón de “Me gusta”. Las interpretaciones que ofrece cada una de estas sentencias, difieren en función del contexto en que se produjo la denuncia, así como también en función de la relación previa de los implicados.

 

Así pues, la sentencia 271/2017, de 15 de noviembre, del Juzgado de lo Contencioso-Administrativo nº 1 de Vigo, determina que una amistad, con los opositores, en Facebook, no es suficiente para recusar a los miembros de un tribunal examinador, porque no implica que exista una amistad en la vida real. Según recoge la sentencia, se impugnaron unas oposiciones que habían sido convocadas por el Concello de Vigo y superadas por un aspirante a Policía Local de Vigo, aportando como prueba un pantallazo de una fotografía extraída de la red social Facebook, en la que se le veía en una cena de Navidad junto a varias personas de la Policía Local de la localidad de Mos, entre ellas dos vocales del Tribunal examinador y otro aspirante que no superó las pruebas. Los aspirantes habían trabajado como auxiliares para la Policía Local de Mos. Asimismo, se adjuntó también una captura de pantalla en la que se podía observar que existía una relación de “amistad” en Facebook entre uno de los miembros del Tribunal y el opositor aprobado (así como entre dicho miembro del Tribunal y el denunciante). Finalmente, se adjuntó un pantallazo donde se podía leer un comentario en la fotografía, escrito por uno de los vocales del Tribunal que querían recusarse, aludiendo expresamente por sus nombres, a la cena mantenida como “compañeros” (sic), entre los dos vocales del Tribunal que se pretendían recusar, el aspirante aprobado y el aspirante suspendido.

El fallo de la sentencia dejó sin efecto la recusación acordada en trámite administrativo. Se deduce de la misma, por tanto, que una amistad en Facebook no conlleva una amistad en la vida real.

 

Por otra parte, en otra sentencia reciente, la sentencia 291/2017, de 20 de noviembre, de la Audiencia Provincial de Madrid, se establece que pulsar el botón de “Me gusta” de Facebook infringe la pena de prohibición de comunicación. Se revisa por la Audiencia, en este caso, la penalidad impuesta en la instancia a un acusado que publicó en Facebook un mensaje dirigido al denunciante acerca de que había ganado mucho dinero a su costa, que “se fuera preparando” y que “quien ríe el último ríe mejor”. La sentencia no sólo considera apropiadas las penas de prohibición de acercamiento y de comunicación, sino que delimita el alcance material de la segunda. Considera que debe incluir cualquier comunicación por cualquier medio, incluso el de Facebook, Instagram, WhatsApp, o cualesquiera otros medios de comunicación existentes en la actualidad que permiten y facilitan el contacto virtual entre las personas.

Por tanto, la prohibición de comunicación implica que no pueda hacerlo ni personalmente por cualquier medio como el correo simple o el correo electrónico, o los tecnológicos antes citados, ni de ninguna manera, pudiendo entenderse que existiría tal comunicación por el hecho de que en el perfil de Facebook del denunciante, accediera el condenado con un mero “Me gusta”.

Expresiones tales como un “Me gusta”, a una foto o a un comentario del titular de un perfil, subidos a Facebook por dicho titular (denunciante), supondrían un acto de comunicación entre afectado/condenado por la orden de prohibición de comunicación “por cualquier medio”, siendo ello lo que se pretende que no ocurra con la pena, es decir, que el condenado no se comunique “de ninguna manera” con la víctima.

 

Siguiendo con la línea anterior, la sentencia 355/2016, de la Audiencia Provincial de Barcelona, estableció una pena de nueve meses de prisión para un hombre que incumplió la pena de prohibición de comunicación con su ex pareja, dándole al botón “Me gusta” de Facebook. La sentencia establece que  “lo hizo con la intención y pleno conocimiento de que llegaría y sería visto por la denunciante, titular del perfil, por lo que se trata de un mensaje dirigido a la misma, sin que pueda hacer descansar en la denunciante la obligación de bloqueo o eliminación, pues es el acusado quién tiene la obligación legal de no comunicarse con ella y al hacerlo, aun cuando sea mediante un “Me gusta”, infringió la prohibición de comunicación”.

 

Como se puede observar, existen distintas y variadas interpretaciones de la amistad y la comunicación entre personas que se establece a través de una red social como Facebook, en función de la relación personal previa existente entre los litigantes. Por otra parte, es necesario reseñar que, este tipo de pruebas, al ser volátiles y altamente manipulables, tal y como establece el Tribunal Supremo en repetida jurisprudencia, deben ser presentadas con el aval de un perito informático. Un perito informático es el único profesional que, según la jurisprudencia, puede garantizar la autenticidad y la integridad de este tipo de pruebas. Por otra parte, un perito informático puede asesorar al cliente y a su letrado en el procedimiento técnico adecuado que se seguirá para presentar la prueba.

Meltdown y Spectre, las vulnerabilidades de seguridad más importantes de la Historia de la Informática

Diversos ingenieros informáticos y científicos de la computación de Google, del Instituto Cyberus, así como de la Universidad Tecnológica de Graz (Austria), han publicado varios artículos científicos o papers, en los cuales se pone de manifiesto que la totalidad de los microprocesadores modernos de los tres grandes fabricantes del mundo (Intel, AMD y ARM), se hallan afectados por dos importantes vulnerabilidades de seguridad, conocidas como Meltdown y Spectre. Las fallas de seguridad afectan a la totalidad de los sistemas operativos del mercado, incluyendo Microsoft Windows, Android, Apple iOS, diversas versiones de Linux, etc.

Habitualmente, las vulnerabilidades de seguridad con las que trabajan diariamente los peritos informáticos y expertos en seguridad informática, afectan al software, es decir, a los programas informáticos, de tal forma que los fabricantes de dichos programas, una vez que las vulnerabilidades han sido puestas de manifiesto, publican lo que se denomina un parche, que corrige la vulnerabilidad y evita que los atacantes puedan explotar la misma. Así ocurrió, por ejemplo, con el conocido ataque de ransomware WannaCry, el cual fue comentado por este perito informático en un artículo de esta página web.

En el caso de Meltdown y Spectre, las vulnerabilidades no afectan al software, sino al hardware, es decir, al microprocesador de la máquina, con la gravedad de que la totalidad de los microprocesadores vendidos desde mediados de los años 1990, se ven afectados por una o las dos vulnerabilidades. Es por ello que se trata de las dos vulnerabilidades más graves de la Historia de la Informática hasta la fecha, puesto que afectan a todos los dispositivos, incluidos teléfonos móviles, del mercado mundial.

 

Para entender cómo funcionan estas dos vulnerabilidades, es necesario comprender cómo funciona la arquitectura de un microprocesador moderno. Esta arquitectura está fundamentada en la segmentación, que es una técnica en virtud de la cual, las instrucciones que ejecuta el microprocesador, se dividen en instrucciones más pequeñas, siendo ejecutadas, cada una de ellas, de manera independiente, por las diversas unidades lógicas del microprocesador, en cascada, de tal forma que, antes de que termine la ejecución completa de una instrucción, la siguiente instrucción ya está siendo ejecutada (siempre y cuando no comparta recursos con la primera instrucción en ejecución). La segmentación proporcionó una mejora de rendimiento muy notable frente a las arquitecturas tradicionales.

Como añadido, los microprocesadores modernos, para aumentar aún más el rendimiento, aplican diversas técnicas, como por ejemplo la ejecución especulativa. Esta técnica consiste en utilizar la computación paralela proporcionada por los diversos núcleos que componen un microprocesador, al objeto de “anticiparse” a la ejecución secuencial del programa en ejecución, con antelación a conocer si determinado conjunto de instrucciones de dicho programa debería ser ejecutado o no. Por ejemplo, se utiliza mucho en las sentencias condicionales, conocidas en la jerga informática como “if-else”, que consisten en la ejecución de una rama del programa si se cumple una condición o de la rama alternativa si la condición no se cumple. La técnica de la ejecución especulativa ejecuta las dos ramas en paralelo y, una vez se conoce el resultado de la condición, se toma el resultado de la ejecución de la rama correspondiente y se desecha el resultado de la ejecución de la otra rama.

Estas vulnerabilidades son capaces, utilizando programas maliciosos y un ataque de canal lateral, de acceder a las zonas de memoria virtual mapeadas donde se almacenan los resultados de las ejecuciones que el microprocesador ha desechado para un proceso concreto, accediendo a información del espacio de direcciones de dicho proceso. La información que se podría llegar a leer incluye contraseñas, información cifrada o cualquier otro tipo de información sensible.

 

Las compañías de software más importantes del mundo, como Google, Microsoft Windows y Apple, han anunciado ya que publicarán los parches en los próximos días. El parche tendrá un impacto en el rendimiento de las máquinas, según los investigadores, de entre un 5% y un 30%, lo cual supone una merma notable de la capacidad de los microprocesadores. Al parecer, en entornos de oficina, la pérdida de rendimiento no será muy acusada, pero en entornos profesionales, especialmente de virtualización de servidores, la merma de capacidad de procesamiento sí será importante.

Por otra parte, las compañías de hardware deberán rediseñar sus microprocesadores y, no será hasta los próximos meses, cuando comiencen a venderse los primeros ordenadores y teléfonos móviles con los nuevos microprocesadores no afectados por ambas vulnerabilidades.

La grabación de la actividad informática completa de un empleado es una extralimitación empresarial

El Juzgado de lo Social nº 19 de Madrid ha utilizado la denominada “jurisprudencia Barbulescu”, de la Gran Sala del Tribunal de Derechos Humanos de Estrasburgo, ya comentada en esta misma página web por este perito informático, para dictar una sentencia decretando la nulidad de un despido. Pese a que, en este caso, existía un documento entre la empresa y la empleada en virtud del cual la empresa vigilaría el uso privativo de los sistemas informáticos puestos a disposición de la empleada, tal y como exige la diversa y variada jurisprudencia del Tribunal Supremo, se han tenido en cuenta otros aspectos de la reciente “sentencia Barbulescu”.

 

A la hora de vigilar la actividad de un empleado del que se sospecha que utiliza los sistemas informáticos empresariales para uso personal, es importante tener en cuenta varios aspectos.

El primero, es que el empleado debe haber sido previamente avisado y que debe haber firmado la pertinente autorización, en la que se le indica que los sistemas informáticos que la empresa pone a su disposición, van a estar sujetos a monitorización.  Esta circunstancia ya ha sido avalada por sentencias como la STS de 26 de septiembre de 2007 o la STS de 6 de octubre de 2011. Si el empleado no es avisado de que sus sistemas informáticos van a ser sometidos a control por parte de la empresa, se generaría en el empleado, según la jurisprudencia, una “expectativa de privacidad” y, el eventual despido, sería nulo.

El segundo, es que si en el convenio colectivo de la empresa aparece que los sistemas informáticos van a estar sujetos a control empresarial, el empleado debe darse por avisado, aun no habiendo firmado la autorización indicada anteriormente. El Tribunal Constitucional avaló esta doctrina en la STC 170/2013, de 7 de octubre de 2013.

El tercero, es que se cumplan diversas premisas, fundamentalmente las siguientes:

  • Adecuación al cumplimiento de los derechos fundamentales, como el derecho a la propia intimidad y el derecho al secreto de las comunicaciones, recogidos en el artículo 18 de la Constitución Española.
  • Adecuación al cumplimiento de las leyes, como el Estatuto de los Trabajadores y la Ley Reguladora de la Jurisdicción Social.
  • Considerar los siguientes factores, recogidos en la “sentencia Barbulescu”:
    • ¿El empleado ha sido informado de la posibilidad de que el empleador tome medidas para supervisar su correspondencia, conexiones on-line y otras comunicaciones, así como la aplicación de tales medidas?
    • ¿Cuál fue el alcance de la supervisión realizada del empleador y el grado de intrusión en la vida privada del empleado?
    • ¿El empleador ha presentado argumentos legítimos para justificar la vigilancia de las comunicaciones y el acceso a su contenido?
    • ¿Habría sido posible establecer un sistema de vigilancia basado en medios y medidas menos intrusivos que el acceso directo al contenido de las comunicaciones del empleado?
    • ¿Cuáles fueron las consecuencias de la supervisión para el empleado afectado? ¿De qué modo utilizó el empresario los resultados de la medida aplicada de vigilancia, concretamente, si los resultados se utilizaron para alcanzar el objetivo declarado de la medida y que pretendieron justificar la misma?
    • ¿Al empleado se le ofrecieron garantías adecuadas, particularmente, cuando las medidas de supervisión del empleador tenían carácter intrusivo?

 

Como se observa en los factores a considerar, es fundamental que las medidas a tomar sean proporcionales, lo que convertirán la prueba en legítima. En este caso, el juez ha considerado que la grabación completa de todas las acciones ejecutadas por la empleada en su horario laboral es desproporcionada e intrusiva, lesionando sus derechos fundamentales, motivo por el cual la prueba se declaró como inválida y, en consecuencia, el despido nulo.

 

Cuando se va a monitorizar a un empleado para escudriñar su actividad, ajena al trabajo, mientras utiliza los sistemas informáticos de la empresa, es fundamental contar con el asesoramiento técnico de un perito informático (así como con el asesoramiento legal de un abogado, como es lógico). El motivo es sencillo: todos los esfuerzos pueden resultar en vano si las acciones que se realizan no son proporcionales. Un perito informático, junto a un abogado, determinará el alcance técnico de las medidas a adoptar y justificará su proporcionalidad.

Es fundamental, en este tipo de situaciones, tener muy presentes dos derechos fundamentales y la diferencia existente entre los mismos (ya señalada por este perito informático en un artículo de esta página web): el derecho a la intimidad y el derecho al secreto de las comunicaciones. La empresa no podrá abrir los correos electrónicos no leídos por el empleado, tal y como establece la STS 528/2014, de 16 de julio de 2014,  mientras que, con los correos ya leídos, se deberá aplicar una política estrictamente selectiva (conocida como “búsqueda ciega”). Obviamente, los correos electrónicos personales no podrán ser abiertos de ninguna manera, hayan sido leídos o no por el empleado.

 

Finalmente, cuando sea necesario presentar las pruebas en un procedimiento judicial para despedir al empleado que utiliza, de manera inadecuada, los sistemas informáticos de la empresa, será fundamental contar de nuevo con un perito informático, en los términos en los que este profesional explicó en un artículo doctrinal escrito en el conocido medio El Derecho. En este artículo, se pone de manifiesto que, para despedir a un empleado que ha utilizado de manera inadecuada los sistemas informáticos que la empresa pone a su disposición, es vital contar con la actuación profesional conjunta de un perito informático y un notario.

 

Juicio en Pamplona: diferencias probatorias entre unos mensajes de WhatsApp y una foto subida a Instagram

En estas fechas, se está llevando a cabo, en Pamplona, el juicio por un presunto delito muy grave cometido el año pasado durante las fiestas de San Fermín: una presunta violación a una joven de Madrid que acudió a disfrutar de las fiestas. Abstrayéndose absolutamente de la inmensa gravedad que supone el delito del que se acusa a los demandados, se ha generado mucha polémica a la hora de valorar por qué el juez ha aceptado determinadas pruebas y rechazado otras. Por un lado, no ha aceptado a la demandante la aportación de los mensajes de WhatsApp del grupo, decisión que beneficia a los acusados, debido al presunto contenido subido de tono de los mensajes. En cambio, sí ha aceptado a los demandados, la aportación de una fotografía subida, por parte de la presunta víctima o de alguien de su entorno, a la red social Instagram, decisión que, en principio, perjudica a la demandante ya que, en la fotografía, la presunta víctima aparece al lado de un maniquí, que viste una camiseta que contiene cierto mensaje que la defensa considera relevante. Por otra parte, también ha sido aceptado como prueba, un informe con evidencias de contenido publicado por la presunta víctima, a lo largo de los últimos meses, en las redes sociales.

Es, por tanto, muy importante, reseñar las diferencias técnicas existentes entre unos mensajes de WhatsApp y una fotografía subida a una red social como Instagram, sobre todo desde el punto de vista de las eventuales posibilidades de manipulación que presentan cada una de estas evidencias, siempre al objeto de arrojar luz sobre las decisiones judiciales que, como todo el mundo sabe, son independientes.

 

En primer lugar, cabe destacar que, la posibilidad de falsificar mensajes de WhatsApp, ya fue demostrada por este perito informático hace más de dos años, en un artículo técnico publicado en esta misma página web. Esta publicación tuvo un gran impacto mediático en los principales medios de comunicación, como El Mundo, la Cadena COPE, el Telediario de Televisión Española, la revista especializada Computer Hoy y otros muchos (consultar la sección “En prensa”). Esta problemática se basa en la facilidad en alterar una base de datos no cifrada basada en SQLite, motivo por el cual esta posibilidad de manipulación persiste en la actualidad, ya que la base de datos interna de WhatsApp aún no ha sido cifrada.

Por otra parte, las diferentes sentencias dictadas por el Tribunal Supremo, especialmente las ya conocidas STS 300/2015 y STS 754/2015, establecen que, para que una prueba informática sea admitida a trámite en un procedimiento judicial, debe haber sido autentificada mediante un peritaje informático.

Lo que se deduce de la inadmisión a trámite de los mensajes de WhatsApp, tratándose de un grupo en el que se podrían haber adverado y certificado los mismos de manera individual en cada uno de los terminales de dicho grupo, es que la defensa de los acusados los ha debido impugnar (probablemente, con una contra pericial informática), debido a que, en el informe que haya sido aportado a tal efecto por la unidad de la Policía Científica encargada del asunto, probablemente exista algún tipo de agujero en la cadena de custodia, que permita la posibilidad de que los mensajes hayan podido ser alterados. Una prueba como unos mensajes de WhatsApp, es extremadamente sensible, ya que no existe respaldo de los mensajes en los servidores de WhatsApp, por lo que sólo se dispone de las copias almacenadas en los terminales, que como ya se ha indicado pueden manipularse sin dejar rastro, motivo por el cual la cadena de custodia debe ser absolutamente escrupulosa. SI la Policía incautó los terminales a los acusados y hubo accesos accidentales no autorizados a los mismos que hayan podido demostrarse a posteriori, utilizando alguna herramienta como Cellebrite UFED Tocuh, las evidencias estarían contaminadas.

 

En segundo lugar, una fotografía subida por la propia víctima o alguien de su entorno a Instagram (y este matiz de haber sido subida por la propia víctima o alguien de su entorno, es muy importante), es prácticamente imposible que pueda manipularse. El motivo es que la fotografía se almacena en los servidores de Instagram y se queda allí como respaldo, por no se puede manipular salvo que se crackeen los servidores de Instagram, algo que parece alejado de la realidad para el común de los mortales, con lo cual sólo es necesario realizar un procedimiento sencillo de extracción de la evidencia para introducirlo como prueba en el proceso judicial. Este procedimiento, descrito en un artículo técnico escrito por este perito informático y publicado en esta misma página web, consiste en la utilización de un notario o un notario digital para certificar la autenticidad e integridad de la fotografía.

 

La conclusión es que, a nivel estrictamente probatorio y atendiendo a criterios exclusivamente técnicos y periciales, una fotografía subida a Instagram por la propia víctima, tiene una posibilidad prácticamente nula de haber sido manipulada con anterioridad a la subida de la foto, ya que la imagen se carga desde la cuenta de la propia víctima o de alguien de su entorno, es decir, por ella misma o por algún familiar o amigo; ni tampoco de ser manipulada con posterioridad, ya que para ello sería necesario crackear los servidores de Instagram; por lo que, para introducirla como prueba en el proceso judicial, sólo es necesario extraerla correctamente como evidencia, algo que es muy sencillo para una fotografía subida a una red social, e introducirla en el procedimiento mediante un informe pericial firmado por un perito informático. Por el contrario, unos mensajes de WhatsApp, si no se ha conservado la cadena de custodia sobre los terminales implicados, presentan unas elevadas probabilidades de poder ser manipulados.

En el preciso momento en que la cadena de custodia se demuestre como quebrada para una evidencia, ésta debe ser rechazada como prueba, tal y como establecen sentencias como la STS 709/2013, puesto que la prueba perdería su “mismidad” (integridad), como establecen sentencias como la STS 1190/2009.