Qué es
Un identificador matemático de longitud fija que cambia si el archivo o la copia sufren cualquier alteración relevante en sus bits.
Glosario penal práctico
Hash digital: qué es, para qué sirve y por qué puede definir una pericia
El hash digital es el resumen criptográfico que permite verificar si un archivo, una extracción o una imagen forense sigue siendo exactamente la misma que al inicio. En prueba penal no acredita por sí solo quién creó el archivo ni si su contenido es verdadero, pero sí cumple una función decisiva: ayuda a demostrar integridad, a controlar la cadena de custodia tecnológica y a detectar si hubo alteraciones, errores de extracción o problemas en la documentación de la pericia. Por eso pesa tanto en secuestros de celulares, extracciones UFED, copias forenses, capturas de WhatsApp, allanamientos y planteos de nulidad.
Mapa rápido
Entrá al bloque que necesitás para ubicar qué hace el hash, cómo se usa en cadena de custodia y qué errores pueden cambiar el valor de una pericia digital.
Resumen ejecutivo
La idea central, en síntesis
Para qué sirve
Para verificar integridad y sostener que la imagen forense, la extracción o el archivo analizado siguen siendo el mismo desde el secuestro o la recolección.
Qué no demuestra solo
No prueba por sí mismo autoría, contexto, licitud de obtención ni veracidad del contenido. Eso exige otras capas de control.
Por qué importa
Porque puede fortalecer o debilitar pericias sobre celulares, chats, discos, nubes, UFED, capturas de pantalla y planteos de nulidad.
Definición útil
Qué significa “hash digital” en lenguaje claro
En informática forense, el hash es una huella matemática de un archivo, de una base de datos o de una imagen forense. Se obtiene aplicando un algoritmo que transforma un conjunto de datos en una cadena alfanumérica fija. Si el archivo cambia —aunque sea mínimamente— el resultado cambia también.
Eso explica por qué el hash es tan importante en proceso penal. La prueba digital no se protege bien con una sola bolsa, un sello o un acta: hace falta además un control técnico de integridad. El hash permite responder una pregunta básica pero decisiva: ¿el objeto digital que se analiza hoy es el mismo que se secuestró, copió o preservó al inicio?
Por eso, cuando se habla de celulares secuestrados, clonación de discos, extracciones UFED, videos, bases de datos, correos, archivos en la nube o chats, el hash no es un detalle para peritos. Es una pieza central del control defensivo y de la confiabilidad de la prueba.
Idea práctica: el hash no reemplaza la discusión jurídica sobre autoría, alcance de la orden o privacidad. Su función principal es otra: demostrar o poner en duda la mismidad del material digital.
Funcionamiento básico
Cómo funciona y por qué un cambio mínimo altera el resultado
Paso 1
Entrada variable
Puede aplicarse a un archivo pequeño, una imagen completa de disco, una extracción de celular o una base de datos.
Paso 2
Salida fija
El algoritmo entrega una cadena de longitud fija. Esa salida resume la estructura binaria del objeto analizado.
Paso 3
Sensibilidad extrema
Si cambia un bit, un byte, un metadato o una porción del archivo, el hash resultante también cambia.
Paso 4
Comparación
Si el hash inicial y el hash posterior coinciden, se fortalece la idea de que la copia o el archivo siguieron íntegros.
En práctica forense, el punto fuerte del hash no es “leer” el contenido, sino detectar alteraciones. De ahí que su utilidad sea enorme para trabajar sobre copias forenses y no sobre el original. También explica por qué hoy se prefieren algoritmos más robustos como SHA-256 y por qué MD5 o SHA-1 se miran con más cautela.
Traducido al expediente: si la fiscalía o la querella quieren sostener que una copia es fiel al original, o que un archivo no fue tocado entre el secuestro y la audiencia, el hash suele ser una de las piezas más importantes para defender esa continuidad técnica.
Cadena de custodia tecnológica
Cómo se usa bien el hash en una pericia digital
En un procedimiento técnicamente serio, el objetivo no es abrir el dispositivo y “mirar qué hay”. Lo correcto suele ser preservar, copiar forensemente y trabajar sobre la copia, no sobre el original.
Fase 1
Asegurar el dispositivo
Se documenta el estado del equipo, sus conexiones y, si corresponde, se lo aísla para evitar borrados remotos o alteraciones por red.
Fase 2
Crear una imagen forense
Se obtiene una copia bit a bit, lo más completa posible, de modo que el análisis posterior no se haga sobre el soporte original.
Fase 3
Usar bloqueo de escritura
La lógica forense busca impedir que la herramienta o el operador escriban accidentalmente sobre la evidencia original.
Fase 4
Calcular y asentar el hash
Se registra el hash del original y/o de la imagen forense para verificar que la copia obtenida coincida y pueda auditarse después.
Fase 5
Analizar solo la copia
La revisión de chats, fotos, metadatos, geolocalización o archivos borrados debería hacerse sobre la copia validada, no sobre el soporte matriz.
Fase 6
Permitir control y contrapericia
La documentación, los hashes, la metodología y el alcance de la extracción tienen que poder revisarse críticamente por la defensa.
Punto decisivo: el hash vale mucho más cuando aparece desde el inicio, vinculado al acto de preservación o adquisición. Cuanto más tarde se calcula o peor se documenta, más espacio deja para la impugnación.
Límites y alcance
Qué prueba el hash y qué no prueba por sí solo
Sí
Integridad
Ayuda a sostener que un archivo, una imagen o una extracción no cambiaron desde que se registraron o copiaron.
No
Autoría
Que un hash coincida no dice quién creó el archivo, quién escribió el chat ni quién usó el dispositivo en el momento relevante.
No
Licitud de obtención
Puede haber hash correcto y, aun así, una orden mal fundada, un exceso de búsqueda o un problema serio de privacidad y alcance.
No
Verdad del contenido
Un archivo puede conservar su integridad y seguir siendo engañoso, incompleto, descontextualizado o insuficiente para probar un hecho.
Esta distinción es clave cuando aparecen capturas de pantalla, exportaciones incompletas o archivos sueltos sin respaldo de base de datos, metadatos o extracción pericial. Una captura puede servir como indicio, disparador o apoyo, pero si la discusión se endurece suele pesar mucho menos que una extracción técnicamente controlable.
También conviene evitar el extremo opuesto. La falta o discordancia del hash puede abrir un planteo serio de nulidad o de pérdida de fiabilidad, pero no todo defecto formal anula en automático. En la práctica, muchas veces se discute si hubo alteración real de la información o solo un error de transcripción, documentación o copiado en el acta.
Un problema conexo que suele aparecer en pericias de celulares: el hallazgo fortuito o acceso más allá de lo autorizado. Si la orden autorizaba analizar mensajes de texto pero el perito también abrió correos, fotos o apps no cubiertas por la orden, el hash puede ser perfecto y aun así la prueba obtenida fuera del alcance autorizado puede ser impugnable. La integridad técnica no subsana los excesos de búsqueda.
Normativa y guías
Qué marcos conviene mirar hoy en Argentina
Código
CPPN / Justicia nacional
El viejo CPPN no fue pensado para la prueba digital. Durante años se trabajó por analogía con reglas de secuestro y copia de “cosas”, lo que dejó mucho espacio para discusión técnica y nulidades. El art. 236 bis CPPN regula el acceso a comunicaciones electrónicas y datos almacenados. Para el sistema nacional clásico, es la referencia más cercana a una base normativa del análisis de dispositivos, aunque su diseño anterior al giro digital lo hace insuficiente para cubrir las situaciones actuales de extracción, clonación y análisis forense.
Código
CPPF / Justicia federal
El CPPF moderniza el enfoque. La libertad probatoria del art. 134 y la incautación de datos del art. 151 encajan mucho mejor con registros de sistemas, copias y preservación de datos informáticos. En particular, el art. 151 CPPF no solo habilita la incautación de datos sino que permite al fiscal ordenar medidas de conservación preventiva de información antes de la incautación física. Eso convierte al hash en una herramienta directamente vinculada a esa norma: es el mecanismo técnico que verifica que los datos conservados no fueron alterados entre la orden y el análisis.
Marco internacional
Convenio de Budapest
La Argentina aprobó el Convenio sobre Ciberdelito por la Ley 27.411, lo que consolidó el lenguaje de preservación y obtención de evidencia electrónica en cooperación penal.
Guías
PGN 756/16 y Resolución 232/2023
La guía de evidencia digital del MPF y el protocolo unificado para fuerzas federales ordenan la recolección, preservación y presentación de evidencia digital con enfoque técnico uniforme.
En paralelo, las buenas prácticas internacionales suelen empujar hacia algoritmos robustos, documentación completa y cálculo del hash lo más cerca posible del momento de recolección. En esa línea, hoy pesa más SHA-256 que los algoritmos históricos como MD5 o SHA-1, aunque estos todavía puedan aparecer en algunos legajos y herramientas.
Control defensivo
Errores frecuentes que pueden debilitar o contaminar la pericia
Error 1
Trabajar sobre el original
Encender, navegar o extraer sin resguardo puede modificar archivos, metadatos o registros de sistema desde el inicio.
Error 2
Hash ausente o tardío
Si el hash no aparece al comienzo, o surge recién después, el control de integridad se vuelve mucho más débil.
Error 3
Documentación defectuosa
Fechas, horas, herramienta usada, versión del software, operador, alcance y destino de la copia deberían quedar claros y auditables.
Error 4
Capturas sin respaldo
Si solo hay screenshots o impresiones sin base técnica verificable, la prueba suele quedar mucho más expuesta a impugnaciones.
Error 5
Extracción parcial sin aclaración
No es lo mismo una extracción lógica (solo datos accesibles), una extracción de sistema de archivos o una imagen forense completa (bit a bit). El hash de una extracción parcial no garantiza lo mismo que el de una imagen completa. Si el informe no aclara el alcance, la defensa tiene un punto fuerte de impugnación.
En litigación real, estos defectos no siempre llevan al mismo resultado. A veces abren una nulidad, otras veces degradan la fuerza convictiva y otras empujan a pedir explicaciones periciales, ampliación de puntos o contrapericia. La clave está en identificar si el problema fue meramente formal o si afectó de verdad la posibilidad de verificar que la información es la misma.
Qué revisar ya
Checklist rápido si el expediente depende de un celular, una extracción o un archivo digital
Control 1
Qué soporte se secuestró
No es lo mismo el dispositivo original, una copia lógica, una imagen forense, una exportación parcial o una simple captura.
Control 2
Cuándo se calculó el hash
Importa saber si el hash nació al inicio y si quedó documentado en acta, informe o registro técnico verificable.
Control 3
Con qué herramienta se trabajó
UFED, Magnet, EnCase, FTK u otra. La herramienta, su versión y el alcance de la extracción tienen que poder discutirse.
Control 4
Qué autorizó la orden
Una pericia técnicamente impecable puede quedar en crisis si el análisis se fue más allá del objeto autorizado por la orden judicial.
Control 5
Si hay respaldo de base y metadatos
Chats, audios, fotos y documentos pesan distinto si vienen con base de datos, metadatos, logs y contexto verificable.
Control 6
Si la defensa puede auditar
Sin copia controlable, hashes, logs y documentación suficiente, la contradicción pericial se vuelve mucho más difícil.
Traducción práctica: cuando una causa gira sobre un dispositivo o un archivo digital, discutir hash no es tecnicismo vacío. Puede cambiar el valor del peritaje, el alcance de la acusación y la viabilidad de un planteo defensivo serio.
Preguntas frecuentes
Dudas comunes sobre hash digital y pericias informáticas
Es el resultado de aplicar un algoritmo a un archivo, una
extracción o una imagen forense para obtener un
identificador matemático. Sirve principalmente para
controlar la integridad del material digital.
No. La coincidencia del hash fortalece la integridad, pero
no prueba por sí sola autoría, licitud de obtención, alcance
correcto de la orden ni veracidad material del contenido.
No en términos equivalentes. Una captura puede servir como
indicio o apoyo, pero si el punto es discutir autenticidad,
integridad y contexto, la extracción controlable con
respaldo técnico suele ser mucho más sólida.
No automáticamente. Puede abrir un planteo muy fuerte de
nulidad o de pérdida de confiabilidad, pero en la práctica
también se discute si hubo alteración real de la información
o solo un defecto formal documentado.
Hoy suele dar más tranquilidad encontrar algoritmos
robustos, especialmente SHA-256. MD5 o SHA-1 todavía pueden
aparecer, pero se observan con más cautela que antes.
Porque en celulares y extracciones lógicas o físicas la
discusión suele girar sobre qué se copió, cuándo se copió,
si hubo alteraciones, qué base respalda el hallazgo y si la
defensa puede auditar todo el proceso.
Porque son algoritmos que presentan vulnerabilidades
conocidas, en particular el problema de colisiones: con
suficiente capacidad de cómputo, es teóricamente posible que
dos archivos distintos produzcan el mismo hash con MD5 o
SHA-1. En la práctica forense cotidiana eso rara vez ocurre
de manera espontánea, pero cuando la defensa quiere impugnar
la fiabilidad de una prueba hasheada con esos algoritmos, el
argumento técnico existe. Por eso hoy SHA-256 se considera
más robusto y es el estándar recomendado en las guías del
MPF y en protocolos internacionales.
No necesariamente. El hash certifica que la copia o imagen
no fue alterada, pero no dice nada sobre si la extracción
fue completa. Una extracción lógica solo copia datos
accesibles; una imagen física o forense completa copia bit a
bit incluyendo datos borrados y espacios sin asignar. Si el
informe pericial no aclara qué tipo de extracción se
realizó, no sabés si la base que hashearon es todo el
dispositivo o solo una porción de él. Esa distinción puede
cambiar mucho el valor de la prueba.
Recursos
Recursos penales útiles para discutir evidencia digital, cadena de custodia y nulidades
El hash digital se entiende mejor si lo conectás con allanamientos, extracción de celulares, prueba electrónica, nulidades y estrategia defensiva sobre pericias.
Evidencia digital, UFED y cadena de custodia
Guía práctica del sitio para bajar a tierra copias
forenses, hashes, extracción de celulares y errores
típicos impugnables.
Prueba digital y WhatsApp en el proceso penal
Útil para separar capturas, chats, audios y bases de datos
de una extracción forense controlable.
Defensa
ante allanamientos y secuestro de celulares
Para controlar orden, secuestro, resguardo inicial del
dispositivo y alcance de la búsqueda.
Defensa en estafas y ciberdelitos
Sirve para ver cómo la prueba digital impacta en fraudes
online, bancarios y expedientes con evidencia electrónica
central.
La evidencia digital en el proceso penal
Trabajo del sitio sobre autenticidad, integridad, cadena
de custodia y proporcionalidad en entornos tecnológicos.
Cadena
de custodia
Clave para ver cómo la desorganización del primer
alojamiento puede afectar objetos secuestrados y futuras
nulidades.
Secuestro de evidencia
Útil para separar la custodia de personas de la custodia
de cosas, que muchas veces quedan mezcladas en
dependencias saturadas.
Nulidades
Para bajar a ejemplos concretos cuando se discute
invalidez de actos o prueba en la alzada.
Biblioteca de ciberdelitos y evidencia digital
Hub interno para profundizar pericias, acceso a
dispositivos, reconocimiento facial, UFED y control
técnico de prueba.
Arts.
153 a 157 bis CP
Para revisar la base normativa de violación de secretos,
acceso indebido y delitos vinculados con información.
