Informe Forense Pericial en Espana: Requisitos y Estructura

El informe forense como prueba legal

Un informe forense tecnico y un dictamen pericial para uso judicial comparten el analisis tecnico, pero difieren en el proposito, la estructura y los requisitos formales. Mientras que el informe tecnico busca entender el incidente para mejorar la seguridad, el dictamen pericial busca probar hechos ante un tribunal.

En Espana, la prueba pericial informatica se regula principalmente por la Ley de Enjuiciamiento Civil (LEC, articulos 335 a 352) y la Ley de Enjuiciamiento Criminal (LECrim, articulos 456 a 485). La jurisprudencia del Tribunal Supremo y la doctrina de los tribunales han ido definiendo los criterios especificos para la evidencia digital.

Este articulo cubre los requisitos legales, la estructura del dictamen pericial y las particularidades de la evidencia digital en el marco juridico espanol.

El perito informatico en el sistema legal espanol

Cualificacion del perito

La LEC (articulo 340) establece que los peritos deben poseer el titulo oficial correspondiente a la materia del dictamen, si existe. En el caso de la pericia informatica, la situacion es particular: no existe una titulacion oficial unica de "perito informatico forense".

En la practica, los tribunales aceptan peritos con formacion en ingenieria informatica, ingenieria de telecomunicaciones, grados en ciberseguridad y titulaciones afines. Las certificaciones profesionales (GCFE, GCFA, EnCE, CHFI) son valoradas como acreditacion de especializacion, aunque no son obligatorias por ley.

Lo determinante es que el perito pueda acreditar conocimientos especializados suficientes para el ambito de la pericia. Un autodidacta con 20 anos de experiencia en forense digital puede ser aceptado si acredita su experiencia, aunque un titulo universitario aporta mayor seguridad procesal.

Tipos de perito

Perito judicial (articulo 341 LEC): designado por el tribunal a solicitud de una de las partes o de oficio. Se selecciona por insaculacion de las listas de peritos del colegio profesional o de las asociaciones profesionales.

Perito de parte (articulo 336 LEC): designado y pagado por una de las partes del procedimiento. Cada parte puede designar su propio perito. El informe se presenta con la demanda o la contestacion.

Perito del Ministerio Fiscal: en procedimientos penales, el Ministerio Fiscal puede solicitar la pericia a las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) o a peritos independientes.

Obligaciones del perito

El perito debe actuar con objetividad (articulo 335.2 LEC). Debe manifestar bajo juramento o promesa que ha actuado y actuara con la mayor objetividad posible, tomando en consideracion tanto lo que pueda favorecer como lo que sea susceptible de causar perjuicio a cualquiera de las partes.

El perito es responsable penal de las conclusiones falsas (articulo 459 del Codigo Penal: falso testimonio de perito).

Estructura del dictamen pericial

Encabezamiento

Datos del perito: nombre completo, DNI/NIF, titulacion, numero de colegiado (si aplica), certificaciones profesionales, experiencia relevante.

Datos del procedimiento: juzgado, numero de autos, partes del procedimiento.

Objeto de la pericia: que se ha solicitado al perito que analice o determine.

Fecha de emision del dictamen.

Antecedentes

Describe como se recibio el encargo, quien lo solicito, que informacion y materiales se proporcionaron al perito, y las limitaciones del analisis (si las hay).

Si la evidencia fue proporcionada por una de las partes, se documenta en que estado se recibio, que verificaciones se realizaron (hashes) y si la cadena de custodia previa es verificable.

Metodologia

La descripcion de la metodologia es critica para la validez del dictamen. Debe incluir:

Las herramientas utilizadas con sus versiones exactas. "Se utilizo Autopsy version 4.21.0 sobre la imagen forense para el analisis del sistema de ficheros" es aceptable. "Se uso un programa de analisis forense" no lo es.

Los procedimientos seguidos, con suficiente detalle para que otro perito pueda reproducir el analisis y llegar a las mismas conclusiones.

Los estandares y normas de referencia aplicados. En Espana, la norma UNE 71506:2013 (Metodologia para el analisis forense de las evidencias electronicas) es la referencia principal. Tambien se referencian la ISO/IEC 27037 (Directrices para la identificacion, recopilacion, adquisicion y preservacion de evidencia digital) y la RFC 3227.

Las limitaciones de la metodologia: que se pudo analizar, que no se pudo analizar y por que.

Hallazgos

Los hallazgos se presentan de forma objetiva y factual, separados de las conclusiones. Cada hallazgo debe estar soportado por la evidencia:

"En la imagen forense del disco duro, se identifico un fichero ejecutable en la ruta C:\Users\usuario\AppData\Local\Temp\update.exe con hash SHA256 abc123... El analisis del fichero con la herramienta VirusTotal (consulta realizada el 15 de junio de 2026) muestra 45 de 72 motores antivirus que lo identifican como malware de la familia RedLine Stealer."

Evita el lenguaje valorativo en los hallazgos. "Se encontro un fichero malicioso" es una valoracion. "Se encontro un fichero identificado como malware por 45 de 72 motores antivirus" es un hecho.

Incluye capturas de pantalla, fragmentos de logs y reproducciones de los datos relevantes como anexos referenciados desde el texto principal. Las capturas de pantalla deben mostrar las herramientas utilizadas y los datos que soportan el hallazgo.

Conclusiones

Las conclusiones responden a las preguntas planteadas en el objeto de la pericia. Deben derivarse logicamente de los hallazgos y estar expresadas con el nivel de certeza apropiado:

Certeza: "Los datos analizados demuestran que..." (solo cuando la evidencia es inequivoca).

Alta probabilidad: "Con un alto grado de probabilidad, los datos indican que..."

Indicios: "Los datos analizados son compatibles con / sugieren que..."

El perito debe ser honesto sobre las limitaciones de sus conclusiones. Si la evidencia es insuficiente para responder a una pregunta con certeza, debe decirlo explicitamente en lugar de especular.

Anexos

Los anexos contienen el material de soporte que no cabe en el cuerpo del dictamen:

Anexo de cadena de custodia: documentacion completa de la cadena de custodia de la evidencia.

Anexo tecnico: capturas de pantalla, logs, ficheros relevantes.

Anexo de hashes: tabla con los hashes SHA256 de toda la evidencia analizada.

Anexo de curriculum del perito: titulaciones, certificaciones, experiencia y publicaciones.

Cadena de custodia de evidencia digital

La cadena de custodia es la documentacion que acredita que la evidencia no ha sido alterada desde su adquisicion hasta su presentacion en juicio. Para evidencia digital, esto tiene particularidades:

Hash como sello de integridad

El hash criptografico (SHA256 es el estandar actual) del fichero de imagen forense es el sello que demuestra que la copia analizada es identica bit a bit a la original. Cualquier modificacion, por minima que sea, produce un hash completamente diferente.

El hash debe calcularse en el momento de la adquisicion, en presencia de testigos o de un fedatario si es posible, y documentarse en el acta de adquisicion. Al inicio del analisis, se recalcula el hash y se verifica que coincide con el hash original.

Documentacion de la cadena

Cada eslabón de la cadena de custodia documenta:

Quien: persona responsable de la evidencia en cada momento.

Que: descripcion de la evidencia (marca, modelo, numero de serie del dispositivo; nombre del fichero y hash de la imagen).

Cuando: timestamps de cada transferencia de custodia.

Donde: ubicacion de almacenamiento de la evidencia.

Como: condiciones de almacenamiento (precintado, bajo llave, en caja fuerte ignifuga).

Ruptura de la cadena de custodia

Una ruptura en la cadena de custodia no invalida automaticamente la evidencia en el derecho espanol, pero la debilita. El Tribunal Supremo ha establecido en reiterada jurisprudencia que la ruptura de la cadena de custodia afecta a la fiabilidad de la prueba, no a su validez, y el juez valora libremente si la irregularidad ha podido afectar a la integridad de la evidencia.

Sin embargo, un hash verificable puede mitigar el impacto de irregularidades menores en la cadena de custodia, ya que demuestra matematicamente que la evidencia no ha sido alterada.

Particularidades de la evidencia digital en Espana

Derechos fundamentales

La obtencion de evidencia digital puede afectar a derechos fundamentales: intimidad (articulo 18.1 CE), secreto de las comunicaciones (articulo 18.3 CE), proteccion de datos (articulo 18.4 CE) e inviolabilidad del domicilio (articulo 18.2 CE).

En el ambito penal, el acceso a dispositivos electronicos requiere autorizacion judicial (articulo 588 sexies a de la LECrim, reformado por la LO 13/2015). Sin autorizacion judicial, la evidencia obtenida puede ser declarada nula.

En el ambito laboral, la empresa puede acceder a los dispositivos corporativos si existe una politica de uso aceptable conocida por el empleado, segun la doctrina del Tribunal Constitucional y del Tribunal Europeo de Derechos Humanos (caso Barbulescu v. Rumania).

En el ambito civil, la obtencion de pruebas por particulares esta sujeta a los limites generales del respeto a los derechos fundamentales. Una grabacion obtenida ilicítamente puede ser declarada nula como prueba.

Norma UNE 71506:2013

La norma UNE 71506:2013 (Metodologia para el analisis forense de las evidencias electronicas) es la referencia española para la realizacion de pericias informaticas forenses. Define:

Las fases del analisis forense: preservacion, adquisicion, analisis y documentacion.

Los requisitos de la cadena de custodia.

Los criterios de calidad del analisis.

La estructura del informe pericial.

Aunque no es de cumplimiento obligatorio, referenciar esta norma en el dictamen pericial aporta rigor metodologico y es valorada por los tribunales.

Actuacion del perito en el juicio oral

El perito puede ser llamado a ratificar su dictamen en el acto del juicio oral (articulo 346 LEC). En esta comparecencia:

Ratifica el contenido del dictamen.

Responde a las preguntas de las partes y del juez.

Puede ser confrontado con el dictamen del perito contrario (careo de peritos, articulo 347.1.5 LEC).

Debe mantener la objetividad y la calma ante preguntas disenadas para desacreditar su dictamen. La preparacion para la comparecencia es tan importante como la elaboracion del dictamen.

Consejos para la defensa del dictamen

Conoce tu informe en profundidad. El abogado contrario buscara inconsistencias.

Admite las limitaciones. Un perito que reconoce honestamente lo que no pudo determinar es mas creible que uno que asegura tener certeza absoluta en todo.

Explica la tecnologia en terminos accesibles. El juez no es informatico. Si no entiende tus explicaciones, no valorara tu dictamen positivamente.

Distingue entre hechos y opiniones. Los hechos son verificables (el hash del fichero coincide con malware conocido). Las opiniones son interpretaciones (es probable que el atacante tuviera acceso durante al menos 72 horas).

No te salgas de tu ambito de competencia. Si te preguntan sobre aspectos legales, redirige al letrado. Si te preguntan sobre aspectos de redes y tu especialidad es sistemas, indica tus limites.

Conclusion

El dictamen pericial informatico en Espana requiere la combinacion de competencia tecnica forense y conocimiento de los requisitos procesales del sistema juridico espanol. Un analisis tecnico impecable pierde su valor si el dictamen no cumple los requisitos formales de la LEC, si la cadena de custodia es deficiente, o si el perito no puede defender sus conclusiones en el juicio oral.

La clave es el rigor: rigor en la metodologia (UNE 71506, ISO 27037), rigor en la documentacion (cadena de custodia, hashes, versiones de herramientas), rigor en la objetividad (hallazgos factuales separados de conclusiones, admision de limitaciones), y rigor en la presentacion (estructura clara, lenguaje preciso, anexos de soporte).

Para el profesional DFIR que quiera actuar como perito en Espana, la formacion tecnica debe complementarse con conocimiento basico de derecho procesal, practica en la elaboracion de dictamenes, y experiencia en comparecencias judiciales.