Artículos / Cadena de custodia

Cadena de custodia · Evidencia digital

Cadena de custodia en evidencia digital

Guía práctica para documentar quién tuvo la evidencia, cuándo, dónde, para qué y bajo qué condiciones, usando formulario de custodia, registro de continuidad y rótulo de embalaje.

Resumen

La cadena de custodia es el registro continuo que permite explicar la vida de una evidencia desde su identificación hasta su presentación. En evidencia digital, además de la custodia física, se documentan hashes, dispositivos, medios de almacenamiento, herramientas y responsables.

Regla práctica: una evidencia digital no solo debe existir; debe poder explicarse. El tribunal necesita saber de dónde salió, quién la manipuló, cómo se preservó y por qué conserva integridad.

Componentes mínimos

  • Identificación única de la evidencia.
  • Descripción del dispositivo, archivo, cuenta, soporte o fuente.
  • Fecha, hora, lugar y responsable de cada evento.
  • Motivo de acceso, transferencia o análisis.
  • Hash inicial y hash de verificación cuando sea técnicamente aplicable.
  • Condiciones de resguardo, embalaje y control de acceso.
Formulario de cadena de custodia
Formulario de custodia
Registro de continuidad de cadena de custodia
Registro de continuidad
Rótulo de embalaje de cadena de custodia
Rótulo de embalaje

Flujo documental recomendado

  1. Identificar y fotografiar la evidencia.
  2. Rotular el soporte o contenedor.
  3. Registrar el primer responsable y el motivo de recolección.
  4. Preservar en medio seguro y documentar condiciones.
  5. Calcular hash en original o copia forense cuando proceda.
  6. Registrar cada transferencia, apertura, análisis y devolución.

Preservación técnica de la evidencia

En evidencia digital, preservar significa impedir cambios no controlados y dejar constancia de cada intervención. La custodia física protege el soporte; la preservación lógica protege los datos. Cuando se trabaja con discos, teléfonos, memorias USB, correos, respaldos o paquetes descargados de plataformas, el método debe definir si se examina el original, una copia forense bit a bit, una extracción lógica, un respaldo o una exportación generada por sistema.

El estándar operativo debe incluir control de acceso, almacenamiento seguro, hashes, bitácora de manipulación, fotografías del soporte, registro de sellos, condiciones de embalaje y justificación de cualquier apertura. En medios electrónicos también debe considerarse el riesgo de sincronización remota, borrado a distancia, actualización automática, deterioro del soporte, cambio de metadatos por montaje del volumen y alteración de fechas por vista previa o indexación del sistema operativo.

  • Original físico: dispositivo o soporte recibido, identificado y custodiado.
  • Copia forense: duplicado verificable mediante hash, preferiblemente creado con bloqueador de escritura cuando aplique.
  • Extracción lógica: conjunto de datos exportado por una herramienta o interfaz, con alcance limitado por permisos y sistema operativo.
  • Paquete de evidencia: contenedor que reúne archivos, reportes, anexos y bitácoras, cada uno con trazabilidad propia.

Errores comunes

Los problemas más frecuentes son capturas aisladas sin fuente verificable, ausencia de hash, evidencia recibida sin fecha ni responsable, manipulación previa sin documentación, rótulos incompletos y análisis realizado sobre el original sin justificar el método.

Auditoría y defensa de la cadena

Una cadena de custodia sólida debe poder defenderse ante preguntas de contradicción: quién recibió la evidencia, cómo se identificó, por qué se eligió un método, dónde se almacenó, quién tuvo acceso, qué herramienta se usó y qué controles verifican que no hubo modificación material. La defensa técnica no se limita al formulario; incluye anexos, fotografías, hashes, bitácoras, reportes de herramienta, registros de transferencia y consistencia entre fechas del expediente y fechas del análisis.

Cuando existe una ruptura documental, debe explicarse con precisión. No toda omisión destruye automáticamente el valor probatorio, pero toda omisión abre un punto de ataque. Por eso conviene diferenciar entre irregularidades formales subsanables y fallas sustantivas que impiden verificar integridad, origen o continuidad. Una transferencia sin firma puede corregirse con actas complementarias; un original manipulado sin registro, en cambio, puede comprometer la confiabilidad del análisis posterior.

  1. Revisar que cada código de evidencia aparezca igual en formulario, rótulo, informe y anexos.
  2. Confirmar que las horas usen una referencia consistente y, si aplica, zona horaria.
  3. Verificar que los hashes correspondan al objeto correcto y no a una copia intermedia no documentada.
  4. Conservar registros de entrega, recepción, devolución y destrucción cuando proceda.
  5. Documentar limitaciones, incidentes y decisiones técnicas sin ocultar eventos relevantes.

Referencias de interés

Ver presentaciónVolver a artículos