Para un perito informático, es muy relevante la diferencia existente entre una evidencia informática y una prueba informática. Grosso modo, una evidencia informática es el estadio previo de una prueba informática y, no siempre, la evidencia se convertirá en prueba. Una evidencia informática es un elemento en bruto, que aún no ha pasado por los procesos de identificación, adquisición, preservación y análisis a que debe ser sometida antes de que se convierta en prueba.
Una evidencia informática puede ser un disco duro, una memoria USB, un DVD, un CD-ROM, una página de Internet, una conversación mantenida a través de una red social o un teléfono móvil, un comentario en el muro de Facebook, etc. Todos estos elementos, en caso de que pudieran ser utilizados en un juicio, serían evidencias informáticas y no pruebas. Una vez estas evidencias han pasado por un proceso de identificación, adquisición, preservación y análisis, se podrán convertir en pruebas y, concretamente, en:
- Archivos recuperados tras haber sido borrados
- Conexiones no autorizadas de memorias USB y discos duros externos a ordenadores
- Ficheros informáticos extraídos ilegalmente de un almacén de datos, como una base de datos o un disco duro
- Bases de datos con información comprometida que fue previamente filtrada de manera ilegal
- Mensajes SMS enviados o recibidos
- Mensajes enviados y/o recibidos de WhatsApp, Telegram u otras aplicaciones de mensajería instantánea
- Ficheros enviados a través de WhatsApp, Telegram u otras aplicaciones de mensajería, como fotografías, documentos en Word, Excel, PDF, etc.
- Mensajes enviados y/o recibidos a través de una red social, como Facebook, Twitter, Instagram, etc.
- Mensajes de audio que se encontraban almacenados en un soporte físico, como una grabadora, un teléfono móvil, un DVD o CD-ROM, etc.
- Correos electrónicos enviados y/o recibidos
- Ficheros adjuntos a correos electrónicos, en Word, Excel, PDF, etc.
- Registros de llamadas telefónicas entrantes y/o salientes
- Llamadas telefónicas grabadas a través de un teléfono móvil y almacenadas en un fichero de audio en el propio terminal
- Software informático implantado de manera defectuosa
- Fotografías que se encontraban almacenadas en una cámara fotográfica, un teléfono móvil o un soporte físico
- Fotografías publicadas a través de una red social en cierta fecha concreta
- Metadatos de archivos (fecha de creación, modificación, último acceso, borrado, etc.)
- Etc.
Como puede advertirse, las evidencias informáticas constituyen el estadio previo a las pruebas informáticas. Una evidencia informática no es aún una prueba informática, puesto que no ha sido identificada, adquirida, preservada ni analizada. El perito informático colegiado es el profesional indicado para realizar este complejo procedimiento, utilizando para ello sus conocimientos y todo tipo de herramientas forenses de tipo comercial y también de software libre, disponibles en el mercado.
Existen muchas formas de arruinar una evidencia informática, como por ejemplo borrando accidentalmente la información sensible que contiene, pero la más importante de todas ellas consiste en romper la cadena de custodia. Según la jurisprudencia del Tribunal Supremo, la cadena de custodia de la prueba garantiza la “mismidad” de la misma, es decir, que la prueba identificada, adquirida, preservada y analizada es siempre la misma, sin ninguna alteración, desde el principio del proceso hasta el final. La conservación de la cadena de custodia de una evidencia informática es tan frágil como señalar que, basta con conectar un disco duro o memoria USB a Windows, para que la evidencia se altere de manera irreversible, rompiéndose la cadena de custodia y arruinando la viabilidad del estudio forense de la evidencia y de su presentación como prueba en un juicio.
Es importante, por tanto, evitar encargar a peritos informáticos no colegiados el proceso de transformación de una evidencia informática en una prueba informática, puesto que las evidencias informáticas son elementos sensibles y cualquier profesional no cualificado puede dar al traste con la evidencia, dañándola de forma irreversible y arruinando el caso. Además, ya existen sentencias que anulan informes periciales informáticos realizados por peritos informáticos sin titulación oficial, tal y como se explica en esta misma página web.