Cadena de Custodia Digital: Preservacion de Evidencia Electronica

Por que la cadena de custodia lo decide todo

Un analisis forense impecable no sirve de nada si la evidencia que lo sustenta ha sido contaminada, alterada o mal documentada. La cadena de custodia es el mecanismo que garantiza la integridad de la evidencia digital desde el momento en que se identifica hasta que se presenta ante un tribunal o se archiva el caso.

En el mundo fisico, la cadena de custodia es intuitiva: una bolsa precintada, un formulario firmado, un almacen con cerradura. En el mundo digital, la evidencia es intangible, facilmente modificable y trivial de copiar. Esto hace que la documentacion sea aun mas critica. Cada operacion sobre los datos, cada transferencia de responsabilidad, cada copia, debe quedar registrada con precision absoluta.

Este articulo cubre el proceso completo: desde la identificacion inicial de la evidencia hasta su almacenamiento a largo plazo, con atencion especial a los requisitos legales de Espana y la Union Europea.

Principios fundamentales de la cadena de custodia digital

Principio de integridad

La evidencia digital no debe ser modificada en ningun momento del proceso. Si la modificacion es inevitable (por ejemplo, al arrancar un sistema para capturar memoria), debe documentarse que se ha modificado, como y por que. La integridad se verifica mediante hashes criptograficos calculados en el momento de la adquisicion y verificados en cada transferencia posterior.

Principio de trazabilidad

Debe ser posible saber, en cualquier momento, quien tiene la evidencia, donde se encuentra y que se ha hecho con ella. Cada cambio de manos (de un analista a otro, de un laboratorio a un tribunal, de un disco a un servidor de almacenamiento) debe quedar registrado con fecha, hora, identidad del custodio entrante y saliente, y razon de la transferencia.

Principio de documentacion

Cada accion realizada sobre la evidencia debe documentarse en tiempo real, no de memoria al final del dia. La documentacion incluye: herramientas utilizadas (nombre y version), comandos ejecutados, resultados obtenidos, anomalias observadas, y decisiones tomadas con su justificacion.

Principio de minima intervencion

Interactuar con la evidencia original lo minimo necesario. Trabajar siempre sobre copias forenses verificadas. Si es posible, no encender equipos apagados hasta que se haya documentado su estado fisico. Si es necesario interactuar con el original, documentar cada accion y su impacto potencial.

El proceso de cadena de custodia paso a paso

Paso 1: Identificacion y documentacion inicial

Antes de tocar cualquier dispositivo, documenta el escenario. Esto incluye:

Fotografias del equipo en su estado original. Pantalla encendida o apagada, cables conectados, luces de estado, posicion fisica. Las fotografias deben incluir marcas de referencia (regla, numero de caso) y metadata de fecha y hora.

Inventario de dispositivos y medios de almacenamiento. Cada elemento recibe un identificador unico (por ejemplo, CASO-2026-001-HD-01 para el primer disco duro del caso). Este identificador se usa en toda la documentacion posterior.

Estado del equipo. Encendido o apagado. Si esta encendido, que hay en pantalla. Si hay conexiones de red activas. Si hay dispositivos USB conectados. Este detalle es importante porque determina el orden de adquisicion (memoria primero si esta encendido).

Paso 2: Preservacion del estado volatil

Si el equipo esta encendido, la evidencia mas volatil se pierde primero. El orden de volatilidad (RFC 3227) dicta la prioridad de adquisicion:

1. Registros del procesador y cache
2. Memoria RAM
3. Estado de red (conexiones activas, tablas ARP, tablas de rutas)
4. Procesos en ejecucion
5. Archivos temporales y swap
6. Disco duro
7. Logs remotos y datos en la nube
8. Backups en medios fisicos

En la practica, los registros del procesador rara vez se capturan. La memoria RAM es la primera prioridad real. Herramientas como WinPmem, DumpIt o LiME capturan la memoria a un archivo sin necesidad de instalar software en el sistema (se ejecutan desde USB).

Paso 3: Adquisicion forense

La adquisicion forense crea una copia bit a bit de la evidencia original. No es una copia de archivos: es una replica exacta de cada sector del disco, incluyendo espacio no asignado, archivos borrados y datos residuales.

Antes de conectar el disco a la estacion forense, se interpone un write blocker (hardware o software) que impide cualquier escritura en el disco original. Sin write blocker, el sistema operativo de la estacion forense puede modificar el disco (actualizar timestamps, montar volumenes, crear archivos temporales).

El proceso de adquisicion genera un hash del disco original (SHA-256) antes de la copia, un hash de la imagen resultante despues de la copia, y una comparacion de ambos. Si coinciden, la copia es fiel al original.

# Ejemplo conceptual de verificacion de hashes
import hashlib

def calcular_hash_archivo(ruta, algoritmo="sha256"):
    h = hashlib.new(algoritmo)
    with open(ruta, "rb") as f:
        while True:
            bloque = f.read(65536)
            if not bloque:
                break
            h.update(bloque)
    return h.hexdigest()

hash_original = "a1b2c3d4e5f6..."  # Calculado con write blocker activo
hash_imagen = calcular_hash_archivo("/caso/evidencia/disco01.E01")

if hash_original == hash_imagen:
    print("Verificacion OK: imagen identica al original")
else:
    print("ERROR: los hashes no coinciden, posible alteracion")

Paso 4: Etiquetado y sellado

Una vez adquirida la imagen forense, el medio original se etiqueta con:

Identificador unico del caso y de la pieza de evidencia. Fecha y hora de la adquisicion. Nombre del analista que realizo la adquisicion. Hash SHA-256 de la imagen. Descripcion del dispositivo (marca, modelo, numero de serie).

Si la evidencia tiene relevancia legal, se sella en una bolsa antistatica con precinto numerado. El numero del precinto se registra en el formulario de custodia.

Paso 5: Formulario de cadena de custodia

El formulario registra cada transferencia de la evidencia. Los campos minimos son:

Descripcion del articulo y su identificador. Hash de verificacion. Fecha y hora de cada transferencia. Nombre, cargo y firma de quien entrega. Nombre, cargo y firma de quien recibe. Razon de la transferencia. Ubicacion de destino.

Ejemplo de entrada en el formulario:

Pieza: CASO-2026-001-HD-01
Hash SHA-256: a1b2c3d4e5f6789...
Entrega: Ana Garcia, Analista Forense, 2026-06-08 09:15 UTC
Recibe: Carlos Lopez, Laboratorio Forense Central
Razon: Analisis forense de disco duro del servidor comprometido
Ubicacion: Laboratorio Forense, Armario B, Estante 3
Precinto: PRE-2026-00847

Paso 6: Almacenamiento seguro

La evidencia (original y copias) se almacena en un entorno con acceso controlado. Los requisitos minimos son:

Acceso restringido con registro de entradas y salidas. Proteccion contra factores ambientales (temperatura, humedad, campos magneticos). Para evidencia digital en servidores, cifrado en reposo y control de acceso basado en roles. Para medios fisicos, almacenamiento en armarios cerrados con inventario periodico.

El almacenamiento debe mantener la evidencia accesible durante el tiempo que dicte la legislacion aplicable. En Espana, los plazos varian segun el tipo de proceso (penal, civil, administrativo) y pueden extenderse durante anos.

Hashing: la piedra angular de la integridad

Por que SHA-256 y no MD5

MD5 fue el estandar durante anos, pero sus vulnerabilidades de colision son bien conocidas desde 2004 (Wang et al.). Es teoricamente posible crear dos archivos diferentes con el mismo hash MD5. SHA-1 tiene vulnerabilidades similares demostradas en la practica (proyecto SHAttered de Google, 2017).

SHA-256 no tiene vulnerabilidades de colision conocidas y es computacionalmente viable para archivos grandes. La practica recomendada es calcular SHA-256 como hash principal y MD5 como hash secundario de compatibilidad (muchas bases de datos de referencia usan MD5).

Cuando calcular los hashes

Los hashes se calculan en cuatro momentos criticos:

1. Antes de la adquisicion: hash del dispositivo original con write blocker activo.
2. Despues de la adquisicion: hash de la imagen forense creada.
3. En cada transferencia: verificacion de que la imagen no ha cambiado.
4. Antes del analisis: verificacion de que la copia de trabajo es identica a la imagen original.

Si en cualquiera de estos puntos los hashes no coinciden, la cadena de custodia esta comprometida y debe documentarse la discrepancia.

Herramientas de hashing

Las herramientas forenses (FTK Imager, dc3dd, Guymager) calculan hashes automaticamente durante la adquisicion. Para verificaciones manuales:

En Linux, los comandos sha256sum y md5sum estan disponibles por defecto. En Windows, certutil con el parametro hashfile o PowerShell con Get-FileHash. Herramientas especificas como HashMyFiles (NirSoft) permiten calcular multiples hashes simultaneamente.

Errores comunes que rompen la cadena de custodia

Encender un equipo sin write blocker

Cuando Windows arranca, modifica cientos de archivos: logs de eventos, timestamps de archivos recientes, archivos de hibernacion, indices de busqueda. Incluso montar un disco USB sin write blocker actualiza el timestamp de ultimo acceso del volumen. Estas modificaciones, aunque menores, invalidan el hash original y pueden ser cuestionadas por la defensa.

No documentar en tiempo real

Reconstruir la documentacion de memoria horas o dias despues introduce errores de hora, secuencia y detalle. El analista puede confundir el orden de las acciones, omitir pasos intermedios o recordar incorrectamente los resultados. La documentacion en tiempo real, aunque mas lenta, es la unica que resiste un interrogatorio cruzado.

Confundir copia de archivos con imagen forense

Copiar archivos con un explorador de archivos no es una adquisicion forense. Una copia de archivos solo replica los archivos visibles, ignora el espacio no asignado (donde pueden residir archivos borrados), modifica timestamps, y no captura la estructura del sistema de archivos. La imagen bit a bit es la unica adquisicion forense valida.

Cadena de custodia verbal

Si la transferencia de evidencia no esta documentada por escrito, no existe para el tribunal. "Se lo di a Juan el martes" no es cadena de custodia. Un formulario firmado con fecha, hora, identificador de la pieza, hashes y descripcion si lo es.

Almacenamiento sin control de acceso

Dejar un disco duro etiquetado en un escritorio compartido, aunque sea temporalmente, rompe la cadena de custodia. Cualquier persona podria haber accedido al disco sin que quedara registrado. El almacenamiento debe tener acceso controlado desde el primer momento.

Requisitos legales en Espana

La Ley de Enjuiciamiento Criminal (LECrim)

Los articulos 334 a 367 de la LECrim regulan la recogida y custodia de pruebas. La reforma de 2015 introdujo disposiciones especificas para evidencia digital en los articulos 588 bis a 588 octies, que regulan la interceptacion de comunicaciones, el registro remoto de equipos y la captura de datos almacenados.

La jurisprudencia del Tribunal Supremo ha establecido que la ruptura de la cadena de custodia no invalida automaticamente la prueba, pero traslada la carga de probar su autenticidad a quien la presenta (STS 1045/2011). En la practica, una cadena de custodia mal documentada da argumentos solidos a la defensa para cuestionar la fiabilidad de la evidencia.

RGPD y datos personales en la evidencia

La investigacion forense inevitablemente expone datos personales que no son objeto de la investigacion. El RGPD y la LOPDGDD obligan a minimizar el tratamiento de datos personales. En la practica, esto significa que el analista debe documentar que datos personales se han encontrado de forma incidental, justificar por que ha sido necesario acceder a ellos, y no incluirlos en el informe si no son relevantes para la investigacion.

ISO 27037: directrices internacionales

La norma ISO/IEC 27037:2012 proporciona directrices para la identificacion, recopilacion, adquisicion y preservacion de evidencia digital. Aunque no es legalmente vinculante en Espana, los tribunales la reconocen como buena practica y su cumplimiento refuerza la credibilidad del proceso forense.

Herramientas para gestionar la cadena de custodia

Gestion de casos

TheHive es una plataforma open source de respuesta a incidentes que incluye gestion de evidencia con trazabilidad completa. Permite registrar cada pieza de evidencia, sus hashes, las acciones realizadas y los analistas involucrados.

IRIS (Incident Response Investigation System) es otra plataforma open source con funcionalidad de case management orientada a DFIR. Incluye timeline de acciones, gestion de evidencia y generacion de informes.

Para equipos con presupuesto, Magnet Axiom y EnCase incluyen modulos de gestion de casos con cadena de custodia integrada.

Verificacion de integridad

FTK Imager (gratuito) es la herramienta mas usada para crear imagenes forenses con verificacion de hashes automatica. Soporta formatos E01 (EnCase), dd (raw), AFF y SMART.

dc3dd es una version mejorada de dd con hashing integrado, verificacion on-the-fly y logging detallado. Desarrollada por el Department of Defense Cyber Crime Center de Estados Unidos.

Guymager es una herramienta de adquisicion forense con interfaz grafica, disponible en SIFT Workstation y muchas distribuciones forenses de Linux.

Plantilla de formulario de cadena de custodia

Un formulario minimo de cadena de custodia para evidencia digital debe incluir las siguientes secciones:

Seccion 1: Datos del caso. Numero de caso, fecha de inicio, descripcion del incidente, analista responsable.

Seccion 2: Inventario de evidencia. Identificador unico, descripcion del dispositivo, marca y modelo, numero de serie, estado (encendido/apagado/danado), hash SHA-256 de la adquisicion.

Seccion 3: Registro de transferencias. Tabla cronologica con: fecha y hora, entregan (nombre, cargo, firma), recibe (nombre, cargo, firma), razon, ubicacion de destino.

Seccion 4: Registro de acciones. Tabla cronologica con: fecha y hora, analista, accion realizada, herramienta y version, resultado, hash verificado (si/no).

Seccion 5: Almacenamiento final. Ubicacion, condiciones, plazo de retencion, responsable del almacen.

Cadena de custodia en entornos cloud

La evidencia en la nube presenta desafios especificos para la cadena de custodia. No tienes acceso fisico al hardware. Los datos pueden residir en multiples jurisdicciones. La evidencia es volatil: un servidor puede ser reasignado o eliminado en cualquier momento.

Las estrategias de preservacion en cloud incluyen: exportar logs de auditoria del proveedor (CloudTrail, Activity Log, Audit Logs) y calcular su hash inmediatamente. Crear snapshots de volumenes de almacenamiento antes de cualquier analisis. Solicitar preservacion formal al proveedor cloud mediante orden judicial o requerimiento legal si es necesario.

El hash de los datos exportados se calcula en el momento de la exportacion y se registra junto con la fecha, hora y metodo de exportacion. Dado que no puedes verificar que los datos del proveedor no han sido alterados antes de la exportacion, la documentacion del metodo de obtencion es especialmente importante.

Conclusion

La cadena de custodia no es burocracia: es la garantia de que tu trabajo forense tiene valor. Un analisis brillante sobre evidencia mal custodiada es inutil ante un tribunal. Un analisis correcto sobre evidencia bien custodiada es irrebatible.

Los principios son simples: no modificar la evidencia original, documentar cada accion en tiempo real, verificar la integridad con hashes criptograficos, y mantener trazabilidad completa de quien tiene acceso a que y cuando. La complejidad esta en aplicar estos principios de forma consistente bajo la presion de un incidente activo, que es exactamente lo que diferencia al profesional del aficionado.