Saltar al contenido
WHATSAPP (24 HS)

Evidencia digital, UFED y cadena de custodia: Guía práctica

Resumen (BLUF)

La evidencia digital es extremadamente frágil: se puede copiar, alterar o borrar con facilidad. Por eso, los tribunales exigen que la extracción y el análisis de datos de celulares, computadoras o servicios en la nube se realicen mediante copias forenses verificables, con hashes, cadena de custodia documentada y herramientas adecuadas (como UFED u otras). Cuando la acusación no respeta esos estándares, se abre una puerta importante para impugnar la pericia informática o reducir su valor probatorio.

1. Qué es la evidencia digital y por qué exige cuidados especiales

Se considera evidencia digital a cualquier dato almacenado o transmitido mediante sistemas informáticos: mensajes de WhatsApp, correos electrónicos, registros de ubicación, fotos, archivos de sistema, metadatos, etc. A diferencia de otros soportes, estos datos:

  • Se pueden copiar en segundos sin dejar huella visible.
  • Dependen del contexto técnico (sistema operativo, aplicaciones, servidores remotos).
  • Pueden alterarse por errores humanos, fallas del sistema o mala praxis pericial.

2. Imagen forense y hashes: la “foto” de la prueba digital

El estándar recomendado es trabajar sobre una imagen forense del dispositivo: una copia bit a bit del soporte original, que permite analizar la información sin seguir alterando la fuente.

Para garantizar que la copia es fiel, se calculan valores hash (por ejemplo, MD5 o SHA-1) del original y de la imagen. Si los hashes coinciden, se presume que no hubo modificaciones. Cualquier pericia seria debería:

  • Indicar qué tipo de copia se hizo (lógica, física, física cifrada, etc.).
  • Registrar los hashes del original y de la copia.
  • Conservar el original intacto bajo cadena de custodia.

3. Qué hace UFED y otras herramientas forenses

UFED es una suite de extracción y análisis de datos de dispositivos móviles. Permite acceder a:

  • Contenido visible: contactos, historial de llamadas, chats, fotos, videos.
  • Registros borrados o “ocultos” en áreas no accesibles al usuario común.
  • Metadatos técnicos: fechas, ubicaciones, identificadores de dispositivo.

El problema no es la herramienta en sí, sino cómo se usa: un análisis sin criterios claros, sin delimitación temporal o temática, se parece más a una “pesca de arrastre” que a una pericia legítima.

4. Cadena de custodia: quién tuvo el dispositivo y qué hizo con él

La cadena de custodia es el registro documentado de quién tuvo contacto con la evidencia (el dispositivo original, la imagen forense, los soportes de copia), en qué momento y para qué. Su objetivo es evitar dudas sobre:

  • Manipulaciones indebidas o accesos no autorizados.
  • Pérdida de información o fallas en el sellado de la prueba.
  • Contaminación por mezcla de archivos de otras causas o de equipos del laboratorio.

Cuando no hay registros claros, la defensa puede plantear que no se garantiza la autenticidad de lo que se presenta como prueba digital.

5. Errores típicos en pericias informáticas que abren la puerta a nulidades

Algunos errores frecuentes que se observan en expedientes de ciberdelitos:

  • Pericias realizadas sin delimitar el objeto de análisis (por ejemplo, buscar “cualquier cosa incriminante”).
  • Uso de múltiples programas sin explicar su funcionamiento ni los parámetros utilizados.
  • Informes sin hashes, sin descripción del procedimiento o sin documentación de la cadena de custodia.
  • Peritos que exploran carpetas y contenidos sin relación con la hipótesis inicial de investigación.

En estos supuestos, más que una nulidad “total” suele ser viable plantear: nulidades parciales, exclusión de determinados segmentos o, al menos, restar fuerza convictiva a la pericia.

6. Preguntas clave para analizar una pericia digital

A modo de checklist rápido, conviene formularse:

  • ¿Se trabajó sobre el dispositivo original o sobre una imagen forense?
  • ¿Hay hashes documentados y coincidentes?
  • ¿Se respetó una cadena de custodia clara y continua?
  • ¿El alcance temporal y temático del análisis fue razonable?
  • ¿El informe explica paso a paso qué se hizo y con qué herramientas?

Cada respuesta negativa es un punto a favor para cuestionar la calidad de la evidencia y para exigir medidas complementarias o nuevas pericias más cuidadas.

7. Cómo articular la crítica técnica en un escrito judicial

La experiencia muestra que muchos jueces no son especialistas en informática, pero sí están acostumbrados a lenguaje procesal. Una buena estrategia es:

  • Traducir los problemas técnicos a categorías procesales clásicas (falta de motivación, violación de defensa, defecto en la cadena de custodia, etc.).
  • Utilizar ejemplos concretos del caso para mostrar el riesgo de error o manipulación.
  • Proponer soluciones claras: nueva pericia, delimitación del objeto, exclusión de segmentos dudosos.

La combinación de rigor técnico y claridad procesal suele ser la que mejores resultados da en litigios de evidencia digital.

¿Necesitás asesoría con una pericia a un dispositivo electrónico?

(PC, Notebook, Celular, Tablet)

¿Sabías que la Defensa y la Querella tienen objetivos opuestos en una pericia? Mientras la defensa necesita auditar la cadena de custodia y evitar interpretaciones sesgadas de los datos, la querella busca recuperar evidencia borrada y asegurar su validez para la acusación. No dejes que el software decida por vos: definí tus puntos de pericia según tu rol en el proceso.

DEFENSA TÉCNICA
PARTE QUERELLANTE