• Home
  • La cadena de Custodia y El Perito Informatico

La cadena de Custodia y El Perito Informatico

  • 4 de mayo de 2016

La Cadena de custodia en el peritaje informático

Esta semana hablamos sobre la cadena de custodia en el peritaje informático en la entrada de nuestro blog de Peritaciones Informáticas

La cadena de custodia aplicada a una prueba la podemos definir como el procedimiento ordenado y monitorizado con el cual se mantiene la integridad física y lógica de una prueba. Este mantenimiento se extiende desde la identificación y recolección de la prueba, pasando por su registro y almacenamiento, su posterior traslado y el análisis final de la misma, hasta la entrega de ésta a las autoridades (si procede). En todo este proceso es fundamental la actuación y presencia en todo momento de un perito informático cualificado y con experiencia en este tipo de situaciones.

Hay que señalar que para que una cadena de custodia sea considerada válida como tal, un notario y/o secretario judicial debe atestiguar, mediante documento elevado a público, el estado de la prueba antes de su análisis, para que, una vez se haya producido éste, sea posible determinar que la prueba no ha sido contaminada y que su estado es el mismo que el anterior al análisis. Por tanto, debe ser un notario o un secretario judicial el que, mediante documento público, de fe del estado de la prueba antes del análisis de la misma. El notario secretario judicial únicamente puede dar fe y atestiguar el estado de una prueba cuando ésta llega a sus manos, pero no puede garantizar el estado de la misma antes de que ésta haya llegado a él ni por tanto que la prueba no haya sufrido modificaciones (maliciosas o no) previas.

Algunos de los casos más habituales donde se necesita mantener una correcta cadena de custodia son: un ordenador incautado por la policía a un criminal y encendido antes de ser enviado al notario ya no es una prueba en la que se pueda considerar que se haya conservado la cadena de custodia, puesto que el sistema operativo ya ha modificado y accedido a determinados ficheros. Asimismo, aunque el ordenador no haya sido encendido, tampoco se podría garantizar “estrictamente” la conservación de la cadena de custodia si el fedatario no estaba presente en el momento de la incautación, puesto que cualquier fichero informático es susceptible de ser modificado mediante software, así como también pueden ser alterados los diversos registros existentes en el sistema operativo para aparentar que no ha habido accesos, por lo que, en principio, un ordenador aparentemente no encendido o un disco no accedido, en realidad, puede que sí lo fueran. Por tanto, se llega a la conclusión de que para que se mantenga estrictamente y a nivel técnico la cadena de custodia de una prueba informática, es siempre necesario que esté presente el notario/secretario judicial en la incautación o intervención del material informático a los criminales, para realizar clonados públicos de los discos. De esta manera, el notario podrá dar fe del estado de la prueba en ese preciso instante.

En numerosas ocasiones se tiende a confundir el término “cadena de custodia” y se le asocia un significado de “no modificación de la prueba”. Aunque pueda parecer lo mismo, realmente no lo es. La conservación de la cadena de custodia siempre implica una no modificación de la prueba, pero una no modificación de la prueba, no implica que se pueda garantizar ante un tribunal que se ha conservado la cadena de custodia.

Por ejemplo, si un cliente le entrega a un perito un dispositivo móvil, el perito pondrá todo su empeño en la conservación de la cadena de custodia y en la no modificación de la prueba pero, si no eleva ante notario el estado de la prueba en el momento preciso de su entrega por parte del cliente, no se podrá garantizar ante un tribunal que la mencionada cadena de custodia se haya conservado y, aun así y como se expresó en el párrafo anterior, sólo se podrá garantizar la cadena de custodia desde que el cliente le entregó la prueba al perito, no antes. Esto quiere decir que, el cliente, por su cuenta, podría haber modificado la prueba para “colocar” o “retirar” de la misma las evidencias que le interesen, con o sin la ayuda de expertos. Será labor, en este caso, del perito informático, determinar y plasmar en el informe pericial, tras el análisis de la prueba, qué posibilidades hay de que esto haya sido posible.

De esta manera el procedimiento de conservación de la cadena de custodia se puede convertir, en muchas ocasiones, en lo que en Derecho se denomina una prueba diabólica, de tal forma que se pida demostrar que la prueba no ha sido modificada.

El mantenimiento de la cadena de custodia en el peritaje informático es una tarea muy difícil que no siempre puede ser llevada a cabo por determinadas eventualidades y, para que sea aceptada como tal en un proceso judicial, el notario deberá estar presente en el momento de la incautación o intervención del material.

Si esto no fue posible, o si en un peritaje de parte, fue el cliente el que entregó al perito informático una prueba y no se puede garantizar su no modificación anterior a la entrega de la misma, o si en el transcurso de la pericia la prueba resultó contaminada, es el perito el que, según su leal saber y entender, debe analizar la prueba y elaborar un dictamen indicándole al juez su opinión profesional sobre la misma y sus implicaciones, dejando claro en todo momento que, al no haberse podido conservar la cadena de custodia, siempre existen posibilidades, aunque sean remotas o muy remotas, de modificación maliciosa de la prueba.

Desde Tecnoperitaciones, los peritos informáticos expertos en la materia con el fin de evitar sospechas o suspicacias por parte del juez, aconsejan, aunque no sea posible conservar la cadena de custodia de las pruebas, trabajar sobre copias clónicas de las pruebas, para tener siempre respaldos de cara al informe pericial informático y a que el juez tenga siempre disponible la demostración de la integridad de las pruebas.

    ¡Escríbenos!

    x