El significado de evidencia digital viene definido en el artículo 299.2 LEC, donde admite como medio de prueba “los instrumentos que permiten archivar y conocer o reproducir palabras, datos, cifras y operaciones matemáticas. En su apartado 3 nos habla de “cuando por cualquier otro medio no expresamente previsto (…) pudiera obtenerse certeza sobre hechos relevantes, el Tribunal, a instancia de parte, lo admitirá como prueba, adoptando las medidas que en cada caso resulten necesarias.”

La informática y la telemática forense tiene como fin aplicar los estándares y procedimientos de la disciplina forense general aplicada a la investigación de crímenes, enfocándola hacia el análisis de datos y evidencia digital.

Definimos la evidencia digital como cualquier registro generado o almacenado en un sistema digital que pueda ser utilizado como prueba en un proceso legal. La informática y la telemática forense tiene como base el estudio de todo tipo de evidencia digital involucrada en un incidente, con el fin de conseguir convertir esta evidencia en un instrumento de valor legal en procesos judiciales, auditorias, consultorías, etc…

La evidencia digital es un reto para nosotros como peritos informáticos y/o peritos telemáticos, ya que posee unas características nada fáciles para su estudio y que muchas veces, si no se trabaja con los técnicos, medios y formas adecuadas, puede irse al traste nuestra finalidad procesal.

Sin evidencias digitales demostrables e inviolables no tiene razón el 80% del trabajo de un perito telemático ni de un perito informático.

Si las estudiamos a fondo, las evidencias digitales poseen como características fundamentales las siguientes. Son:

  • Volátiles.
  • Anónimas.
  • Duplicables.
  • Alterables.
  • Eliminables.

En nuestro día a día de investigaciones forenses, trabajamos con muchas evidencias digitales (también llamados registros electrónicos o evidencias electrónicas), y establecemos, siguiendo las normas, un ciclo de administración que consta de los siguientes pasos:

 

1. DISEÑO DE LAS EVIDENCIAS

Debemos tener unos objetivos finales muy claros, con el fin de que nuestra prueba sea admitida:

  • Establecimiento de la relevancia de los registros electrónicos o evidencias digitales, identificación y comprobación que están disponibles y son utilizables.
  • Comprobación de que dichos registros electrónicos tienen un autor claramente identificable.
  • Comprobación de que los registros electrónicos cuentan con una fecha y hora de creación o alteración.
  • Comprobación de que los registros electrónicos y/o evidencias digitales cuentan con elementos que permiten validar su autenticidad.
  • Verificar la confiabilidad de la producción o generación de las evidencias digitales por parte del sistema de información.

 

2. PRODUCCIÓN DE LAS EVIDENCIAS

En este segundo paso tenemos como objetivos:

  • Que el sistema o la tecnología de información produzca los registros electrónicos.
  • Identificación del autor y de los registros electrónicos almacenados.
  • Identificación de la fecha y hora de creación.
  • Verificación de que la aplicación se encuentra operando de manera correcta en el momento de la generación de los registros, bien sea en su creación o modificación.
  • Verificación de la completitud de los registros generados.

 

3. RECOLECCIÓN DE LAS EVIDENCIAS

Aquí tratamos de localizar toda la evidencia digital, asegurando que ninguno de los registros electrónicos originales sea alterado. Ya he tratado anteriormente este paso, y os podéis ayudar de mi antiguo post: https://javiermarques.es/diez-estandares-informatica-forense/

Para ello consideramos:

  • Establecimiento de buenas prácticas y estándares para la recolección de evidencias digitales.
  • Preparación de evidencias para ser utilizadas en la actualidad y en tiempo futuro.
  • Mantenimiento y verificación de la cadena de custodia.
  • Verificación del cumplimiento de las regulaciones y normativas alrededor de la recolección de la evidencia digital.
  • Desarrollo de criterios para establecer la relevancia o no de la evidencia recolectada.

 

4. ANÁLISIS DE LAS EVIDENCIAS

Una vez finalizados los pasos previos estando en disposición de la búsqueda de los datos requeridos y su debida cadena de custodia, es el momento de comenzar con el análisis de los registros electrónicos, para establecer los hechos ocurridos en el contexto de la situación bajo análisis o establecer si hacen falta evidencias para completar o aclarar los hechos.

 

5. REPORTE Y PRESENTACIÓN DE LAS EVIDENCIAS

Después de los pasos anteriores, tanto en forenseTIC como en INVACI, nosotros realizamos un reporte preciso y completo presentando los resultados del análisis y los hallazgos encontrados. La documentación debe ser completa, precisa, comprensiva y auditable. Nosotros hacemos y aconsejamos:

  • Documentar los procedimientos efectuados por el profesional a cargo.
  • Mantener una bitácora de uso y aplicación de los procedimientos técnicos utilizados.
  • Cumplir con exhaustivo cuidado con los procedimientos previstos para el mantenimiento de la cadena de custodia. ESTE PASO ES IMPORTANTISMO.

 

6. DETERMINAR LA RELEVANCIA DE LA EVIDENCIA DIGITAL

Vamos ahora a establecer una valoración de las evidencias, identificando aquellas evidencias que demuestren de forma clara y eficaz los elementos que se desean aportar en el proceso y/o en un juicio que se lleve a cabo.

Finalmente se trata de realizar una valoración de las pruebas aportadas y que se establezcan aquellas con mayor relevancia.

Para ello, desde el Instituto Valenciano de Ciberseguridad y telemática (INVACI), sugerimos dos criterios a tener en cuenta:

  1. Valor probatorio, que establece aquel registro electrónico que tenga signo distintivo de autoría, autenticidad y que sea fruto de la correcta operación; confiabilidad del sistema.
  2. Reglas de la evidencia, que establece que se han seguido los procedimientos, reglas establecidas para la adecuada recolección y manejo de la evidencia.

 

7. ADMISIBILIDAD DE LAS EVIDENCIAS DIGITALES

Dada la fragilidad y la volatilidad de la evidencia digital es especialmente importante marcar énfasis, dentro del proceso del análisis de la evidencia digital, en el uso de una estrategia de formalización que ofrezca admisibilidad de la misma.

En general las instituciones de justicia basan esta admisibilidad apoyándose en los cuatro conceptos que vemos a continuación:

  1. Autenticidad: busca confirmar que las evidencias aportadas corresponden a la realidad de la escena del crimen y que los medios originales no han sido alterados.
  2. Confiabilidad: demuestra si los elementos probatorios aportados vienen de fuentes creíbles y verificables.
  3. Completitud o suficiencia: este aspecto se refiere a que la evidencia presentada debe ser suficiente como para poder adelantar el caso.
  4. Conformidad con las leyes y reglas de la administración de justicia: hace referencia a los procedimientos internacionalmente aceptados para recolección, aseguramiento, análisis y reporte de la evidencia digital.

 

Las evidencias digitales en casos reales

Este tema de las evidencias digitales ya ha sido tratado por el TS en su sentencia de la Sala 2ª de 19 de mayo de 2015, donde se enjuiciaba la validez y autenticidad de unos pantallazos extraídos de una red social en un caso de acoso sexual, y en la que establecía que la carga de la prueba de la idoneidad probatoria de las capturas de pantalla o archivos de impresión, corresponde a quien pretende aprovechar dicha prueba, por lo que, a falta de su reconocimiento por la otra parte, será necesario un informe pericial que identifique el emisor de los mensajes delictivos o una prueba testifical que acredite su remisión. De este ejemplo real ya hablé en su día en este post: https://invaci.es/tribunal-supremo/

Esto anterior ya ha sido reiterado en la sentencia de 27 de noviembre de 2015, de la Sala 2ª del TS, que señala la posibilidad de una manipulación de los archivos digitales mediante los que se materializa ese intercambio de ideas, aparte del anonimato que autorizan tales sistemas y la libre creación de cuentas con una identidad fingida y que hace perfectamente posible aparentar una comunicación en la que un único usuario se relaciona consigo mismo, siendo indispensable que un perito telemático identifique el verdadero origen de esa comunicación, la identidad de los interlocutores y, en fin, la integridad de su contenido.

El TSJ de Galicia, en la Sala de lo Social, en su sentencia de 28 de enero de 2016 distingue cuatro supuestos para aceptar un documento o mensaje de los llamados de “mensajería instantánea”:

  • Cuando la parte interlocutora de la conversación no impugna la conversación.
  • Cuando reconoce expresamente dicha conversación y su contenido.
  • Cuando se compruebe su realidad mediante el cotejo con el otro terminal implicado (exhibición).
  • Cuando se practique una prueba pericial que acredite la autenticidad y envío de la conversación, para un supuesto diferente de los anteriores.

En definitiva, debemos tratar de llevar al proceso en el que estemos inmersos, todo tipo de evidencias que permitan trasladar al órgano judicial la necesaria convicción sobre la autenticidad de la evidencia digital aportada, para acreditar la autenticidad de la misma y protegerse ante la hipotética impugnación de la contraparte. Este es nuestro trabajo, el de un perito forense en ingeniería telemática, como los que formamos parte del equipo humano de INVACI.