Qué es la cadena de custodia y por qué es crítica

La cadena de custodia es el registro continuo y documentado de cada persona que tuvo acceso a la evidencia, en qué momento y qué acción realizó sobre ella. En el contexto judicial, si no puede demostrarse que la evidencia no fue alterada desde su obtención hasta su presentación ante el tribunal, el juez puede declararla inadmisible.

En informática forense esto es especialmente delicado porque los sistemas de archivos se modifican con cada acceso: encender un dispositivo, conectarlo a un sistema o simplemente dejarlo activo puede alterar timestamps, registros del sistema operativo y otros metadatos con valor probatorio.

El proceso técnico de preservación

Paso 1: Hash del dispositivo original
Antes de cualquier otra acción, se calcula el hash criptográfico del dispositivo original (MD5 o SHA-256). Este valor es la “huella digital” del contenido exacto del dispositivo en ese momento. Cualquier cambio posterior, por mínimo que sea, producirá un hash diferente.

Paso 2: Bloqueo de escritura
Se conecta el dispositivo a través de un write blocker: hardware que permite leer el contenido pero impide físicamente cualquier escritura. Esto garantiza que el proceso de copia no modifica el original.

Paso 3: Imagen forense bit a bit
Se realiza una copia exacta sector a sector de todo el dispositivo, incluyendo el espacio libre y los sectores con datos eliminados. Al finalizar, se verifica que el hash de la imagen coincide con el hash del original. Si coinciden, la copia es forense y admisible.

Paso 4: Trabajo exclusivamente sobre la copia
Todo el análisis —búsqueda de archivos, recuperación de datos eliminados, análisis de logs— se realiza sobre la imagen forense, nunca sobre el dispositivo original. El original queda intacto, sellado físicamente y almacenado en condiciones controladas.

Paso 5: Registro de cada acción
Cada acción sobre el caso queda documentada: quién la realizó, en qué momento (timestamp), con qué herramienta y con qué resultado. Esta documentación forma parte del informe pericial.

La diferencia con una recuperación de datos estándar

En una recuperación de datos convencional, el técnico puede trabajar directamente sobre el dispositivo original si la situación lo requiere. La prioridad es recuperar los datos; la documentación del proceso no es un requisito.

En una pericia forense, jamás se trabaja sobre el original. La prioridad es que el proceso sea completamente reproducible y verificable. Cualquier desviación del protocolo puede ser señalada por la contraparte para invalidar la evidencia.

Por qué esto hace admisible el informe pericial

Un informe pericial que incluye el hash del original, el hash de la imagen forense (idénticos), el registro de la cadena de custodia y la descripción del proceso técnico aplicado puede ser auditado técnicamente por peritos de la contraparte. Si los hashes coinciden y el proceso es reproducible, la evidencia tiene plena validez probatoria.