Análisis normativo y jurisprudencial del peritaje informático

Este artículo es un compendio del Trabajo de Fin de Master realizado en Julio de 2015 con el título de «Informe sobre el Peritaje Informático» dentro del Master Universitario en Derecho de las Telecomunicaciones, Protección de Datos, Audiovisual y Sociedad de la Información de la Universidad Carlos III de Madrid

RESUMEN

Tras introducir someramente el concepto y las particularidades más significativas del peritaje informático, se detallan las distintas especialidades normativas que atañen a las fuentes de prueba utilizadas en las pericias informáticas, así como los pronunciamientos jurisprudenciales más relevantes que se han producido acerca de diversas cuestiones relacionadas con los peritajes informáticos y que complementan, en algunos casos, aspectos importantes de éstos no abordados por las anteriores previsiones legislativas.

A continuación, se analizan de forma particular algunas consecuencias que se derivan de esta normativa y de su aplicación jurisprudencial, con un especial énfasis en determinadas carencias de índole fundamentalmente metodológica que aparecen tanto en el tratamiento normativo de la propia ejecución de la pericia informática como de la custodia de las denominadas evidencias digitales.

El planteamiento jurídico del artículo no pierde de vista la adecuada perspectiva técnica que es necesaria para facilitar su mejor comprensión.

Contenido

    1. Introducción
      1. Importancia del peritaje informático
      2. Concepto de peritaje informático
      3. Realización de un peritaje informático
    2. Normativa relacionada con el peritaje informático. Derecho Probatorio
      1. La prueba electrónica: trámite procesal
        1. Ámbito civil
        2. Ámbito penal
        3. Ámbito contencioso-administrativo
        4. Ámbito laboral
      2. Conservación y custodia
    3. Jurisprudencia
      1. Jurisprudencia Constitucional
        1. Excepción de autorización judicial para las pericias informáticas policiales
        2. Admisión de petición de prueba pericial informática
      2. Jurisprudencia relevante sobre la materia
        1. Necesidad de informe pericial sobre un medio de prueba informático
        2. Interrupción de la cadena de custodia
        3. Requisitos subjetivos de validez de la prueba pericial informática
        4. Acotamiento de las funciones del perito informático
        5. Informe pericial informático en el ámbito laboral
        6. Identificación del autor mediante dirección IP
    4. Algunas consecuencias derivadas
      1. Contextualización de la prueba electrónica
      2. Incertidumbres alrededor de la cadena de custodia
      3. La prueba electrónica como documento
    5. Conclusiones

 

1.    Introducción

1.1.  Importancia del peritaje informático

Actualmente, como destaca Gimeno Sendra, el dictamen de peritos, informe pericial o peritaje, como también se le suele denominar, es considerado, en la práctica judicial del proceso civil, el medio de prueba de mayor relevancia junto con la prueba documental[1]. Pero su importancia adquiere una dimensión aún mayor cuando en la controversia intervienen aspectos técnicos de tipo informático, debido a la necesidad, ineludible en la mayor parte de las ocasiones, de aportar de manera inteligible los conocimientos técnicos específicos al caso que faciliten al juez la formación de su convicción. Algo similar ocurre en la jurisdicción social, en donde el uso cada vez mayor de equipos informáticos y comunicaciones telemáticas en las relaciones laborales provoca una mayor conflictividad, e, igualmente, aunque quizás en menor medida, en la jurisdicción contencioso-administrativa, si bien existe una perspectiva de su mayor relevancia en esta jurisdicción, como consecuencia de la aprobación de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, que ha provocado un incremento paulatino pero continuo de las relaciones por medios electrónicos de los ciudadanos con las Administraciones Públicas. Tampoco es posible dejar de mencionar la importancia que el informe pericial informático tiene en el proceso penal dado que constituye un acto de investigación imprescindible en la instrucción de los cada vez más complejos y variados casos de delitos informáticos.

Asimismo, resulta también relevante destacar que los peritajes informáticos no sólo sirven como un medio de prueba en los distintos procesos judiciales. También este tipo de informes periciales tienen una relevancia en los procedimientos de arbitrajes o en las discusiones extrajudiciales, en donde su uso es solicitado por los intervinientes en ellas para alcanzar una solución acerca de los elementos controvertidos o también como paso preliminar para iniciar un posterior proceso judicial.

Establecida así la importancia creciente del peritaje informático tanto en el ámbito judicial como en el extrajudicial, vamos a exponer los elementos característicos de los peritajes informáticos desde el punto de vista de la práctica jurídica, pero sin abandonar completamente la perspectiva técnológica que subyace en ellos y que resulta necesaria para su mejor comprensión.

1.2.  Concepto de peritaje informático

Siguiendo a Gimeno Sendra y tomando como base el artículo 335.1 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil (en adelante, LEC), se define el dictamen pericial como “una actividad procesal mediante la que una persona o institución especialmente cualificada suministra al juez argumentos o razones para la formación de su convencimiento acerca de ciertos datos controvertidos, cuya percepción o comprensión escapa a las aptitudes comunes judiciales”[2].

En este sentido, si el peritaje es informático, se caracterizará por proporcionar al juez esos argumentos o razones acerca de los aspectos que resulten controvertidos en una determinada situación de un sistema informático y que tengan relevancia jurídica.

Para obtener tales razones y argumentos, el perito informático usa una rama de la Informática denominada Informática Forense, definida en la literatura anglosajona (Computer Forensics) como “la colección de técnicas y herramientas para encontrar evidencias en un ordenador” [3], y también, de una manera algo más exhaustiva, como “la ciencia de adquirir, preservar, recuperar y presentar datos que han sido procesados electrónicamente y almacenados en un sistema informático”[4]. En dicha literatura se distingue la Informática Forense (Computer Forensics) como una rama diferenciada de lo que podríamos traducir por Electrónica Digital Forense (Digital Forensics), que define como “el uso de métodos científicamente derivados y comprobados para la preservación, adquisición, validación, identificación, análisis, interpretación, documentación y presentación de evidencias digitales derivadas también de fuentes digitales con el propósito de facilitar o promover la reconstrucción de eventos de carácter criminal o de ayudar a anticiparse a acciones no autorizadas que puedan perturbar operaciones planificadas”[5]. Esta última rama comprende una gama más amplia de dispositivos, abarcando en ella no sólo los ordenadores en sentido estricto, sino cualquier variedad de dispositivo digital, como smartphones o wearables, incluidos también los equipos de redes telemáticas, como routers o firewalls. Por otra parte, es fundamental que los métodos utilizados sean aceptados y permitan la repetibilidad de los procesos que llevan al resultado para que éste sea considerado medio de prueba válido.

Al margen de la nomenclatura anglosajona anterior y dado que en nuestra literatura se suelen emplear “Informática Forense” de manera generalizada y en sentido amplio, se va a utilizar dicha expresión para referirse al análisis forense de todo tipo de dispositivo digital, incluido el equipamiento de redes de comunicaciones telemáticas.

Dicha disciplina tiene evidentes puntos en común con la Seguridad Informática, ya que su aplicación consiste en ocasiones en el análisis forense posterior a la manifestación de un incidente de seguridad, de tipo delictivo o no, en un sistema informático o en la prevención de un posible ataque. Así, cuando una empresa contrata un servicio de Informática Forense puede perseguir bien un objetivo preventivo, para tratar de anticiparse a un posible problema de seguridad o para auditar que los mecanismos de seguridad instalados en los sistemas de información son idóneos, o bien un objetivo correctivo, para recopilar las evidencias y encontrar la solución más adecuada tras ocurrir el incidente de seguridad.

No obstante, hay que resaltar que la Informática Forense no siempre guarda relación con problemas de seguridad, ya que en muchas ocasiones la búsqueda de evidencias digitales puede tener fines probatorios de índole civil, como certificar veracidad, reconstrucción de hechos, existencia e inexistencia de datos, por ejemplo, en la prueba de la existencia de un contrato electrónico o de una actuación mercantil de competencia desleal. Todo ello, dejando además al margen otros usos que no derivan de incidentes de seguridad ni de controversias y que tienen como finalidad obtener diversos conocimientos técnicos acerca de situaciones concretas en un determinado sistema informático, si bien en estos casos, tal peritaje no constituiría obviamente un medio de prueba judicial o extrajudicial, sino una mera investigación privada.

A pesar de los esfuerzos y de los resultados alcanzados en la estandarización de la metodología a emplear en la Informática Forense, la realidad es que actualmente no existe un único estándar metodológico de amplia aceptación.  Los estándares existentes se han definido habitualmente de forma abstracta para elaborar métodos de trabajo que no resulten dependientes de la utilización de una tecnología informática en particular o de un determinado delito informático o cibercrimen. Tampoco existe un estándar homologado a nivel nacional para la certificación y acreditación de un especialista en la materia como “perito informático”.

No obstante, a pesar de las dificultades mencionadas, la realidad es que la Informática Forense es una disciplina pujante en la que existe una importante comunidad de desarrolladores, tanto dentro de empresas como organizados autónomamente, que incorporan de forma continuada nuevas herramientas de análisis y nuevos procedimientos.

1.3.  Realización de un peritaje informático

La obtención de evidencias digitales mediante la realización de un análisis forense supone una actividad compleja que se ha tratado de estandarizar sin excesivo éxito a lo largo de los últimos 20 años. Han sido muchos las propuestas realizadas a nivel internacional, intentando hacer frente al continuo crecimiento y diversidad de los delitos digitales, para desarrollar una metodología que permita definir un marco de actuación estándar y que tenga la consistencia necesaria para llevar a cabo una investigación forense en un dispositivo digital.  No existe un consenso para elegir ninguno de estos marcos en concreto, debido a que cada metodología propuesta tiene sus ventajas e inconvenientes. No obstante,  como por otra parte es lógico, las diferencias entre ellas no son absolutas, consistiendo en ocasiones simplemente en diferencias de denominación de los diversos pasos o actividades que integran el modelo de realización del análisis forense o en aglutinar algunos de ellos, comenzando con la identificación del incidente digital y la preparación de su análisis dentro de una estrategia de aproximación al mismo, siguiendo con la preservación y recopilación de las evidencias digitales para su subsiguiente examen y análisis, y finalizando con la presentación de los resultados obtenidos de forma que se dote al informe del rigor y consistencia necesarios frente a una posible futura impugnación.

Por otra parte, para lograr la convicción del juez frente a la prueba pericial presentada, tan importante como elaborar un buen informe pericial, es garantizar que las evidencias digitales encontradas han sido almacenadas de forma segura y sin posibilidad de alteración, o lo que es lo mismo, que se ha mantenido la denominada “cadena de custodia”, definida como el proceso utilizado para documentar la historia cronológica de un medio de prueba digital, con el objetivo de convencer al tribunal de que es razonablemente probable que la exposición sea auténtica así como de que nadie ha alterado dicho medio de prueba[6].

La garantía básica de inalterabilidad se documenta y consigue mediante la huella digital o función hash obtenida de cada evidencia digital, de manera que siempre se pueda comprobar a posteriori el hash original. Adicionalmente, para probar la historia cronológica de la cadena de custodia de una evidencia digital, será necesaria la constancia documentada acerca de cómo se ha manejado dicha evidencia a lo largo del tiempo, es decir, de “quién, qué, cuándo, dónde, por qué y cómo”[7] la ha manejado, para lo que se han propuesto algunos modelos de referencia metodológicos[8].

 

 

2.    Normativa relacionada con el peritaje informático. Derecho Probatorio

El peritaje informático está regulado por la normativa procesal correspondiente a la prueba pericial en general establecida dentro de los diversos órdenes jurisdiccionales. No existe, por tanto, ninguna especialidad en el tratamiento normativo dado a la pericia informática respecto al del resto de pericias. De esta manera, es posible decir que el peritaje informático es, desde el punto de vista de su tratamiento procesal, un peritaje más: el momento y la forma de aportación del dictamen pericial al proceso, su valoración por el juez, las obligaciones y las condiciones del perito, su posible tacha o recusación o su posible actuación en el juicio, se rigen por las mismas reglas que cualquier otro tipo de peritaje.

Así, las distintas normas procesales aplicables en cada caso son:

      1. En el orden civil, la LEC establece el tratamiento general a dar a los dictámenes de peritos en la Sección 5ª del Capítulo VI, dentro del Título I correspondiente al Libro II, artículos 335 a 352.
      2. En el ámbito de la jurisdicción contenciosa administrativa, la LEC es en este tema de plena aplicación, dado que la Ley Reguladora de la Jurisdicción Contencioso-Administrativa (LJCA) remite, en su artículo 60.4, el desarrollo de las pruebas en el proceso contencioso administrativo a las normas generales establecidas para el proceso civil.
      3. En el ámbito laboral, la regulación de la prueba pericial se encuentra en el artº 93 de la Ley 36/2011 Reguladora de la Jurisdicción Social (LRJS), si bien su disposición final 4ª establece que, para lo no previsto en la propia Ley, regirá como norma supletoria la LEC.
      4. Por último, en el orden penal la Ley de Enjuiciamiento Criminal (LECrim) regula lo relativo al informe pericial en el Capítulo VII del Título V, dentro del Libro II correspondiente al Sumario, artículos 456 a 485, y en la Sección 3ª del Capítulo III, dentro del Título 3º del Libro III correspondiente al Juicio Oral, artículos 723 a 725.

Debido a la ausencia de especialidades en dichos tratamientos para la pericia informática, no se considera pertinente incidir en el detalle de dicha normativa.

Por el contrario, es necesario señalar que donde sí que aparecen especialidades normativas es en lo referente a las fuentes probatorias que son utilizadas como base material en las pericias informáticas, es decir, las evidencias digitales obtenidas del incidente de seguridad. El motivo de dichas especialidades lo constituyen las características particulares  de las fuentes de prueba digitales, especialmente su volatilidad y su facilidad de replicación y alteración, que las distingue del resto de fuentes de prueba utilizadas en otro tipo de pericias y, en particular, de las fuentes de prueba documentales.

Por este motivo, se va a exponer a continuación el Derecho Probatorio relacionado con el peritaje informático, es decir, el tratamiento procesal aplicable a las fuentes de prueba digitales una vez que ya son aportadas al proceso, pasando por lo tanto a convertirse en medios de prueba.

En los siguientes apartados, se va a sustituir en muchas ocasiones el adjetivo “digital” por “electrónico” para tratar de adaptarse a la nomenclatura[9] utilizada habitualmente tanto por el legislador como por la doctrina para referirse a conceptos tales como “prueba electrónica” o “documento electrónico”, entre otros.

2.1.  La prueba electrónica: trámite procesal

El concepto de prueba electrónica no aparece definido en la legislación española. No obstante, sí que existe una definición sobre este concepto procedente de la normativa europea. En concreto, de la Decisión 2002/630/JAI del Consejo, de fecha 22 de julio de 2002, relativa a la creación del programa marco para la cooperación policial y judicial en materia penal (AGIS), en el que se define la prueba electrónica como “la información obtenida a partir de un dispositivo electrónico o medio digital, el cual sirve para adquirir convencimiento de la certeza de un hecho”. También define los medios de prueba electrónicos como “los soportes técnicos que recogen la prueba electrónica”.

En relación con el derecho fundamental a la prueba electrónica, es posible encontrar el fundamento en el artículo 24 de la Constitución Española que, como es sabido, reconoce a todos el derecho “a utilizar los medios de prueba pertinentes para su defensa”, lo que ha permitido al legislador de los diversos órdenes jurisdiccionales introducir nuevas categorías de medios de prueba, al margen de los tradicionales, entre los que lógicamente se encuentra la prueba electrónica.

2.1.1.     Ámbito civil

Dentro del orden civil, la LEC ha ampliado la lista de medios tradicionales de prueba con nuevos medios de prueba propiciados por los avances científicos o tecnológicos[10]. Así el artº 299.2 establece dos de estos nuevos medios con una sustantividad propia: los medios de prueba audiovisuales, a los que se refiere como “medios de reproducción de la palabra, el sonido y la imagen”, y los medios de prueba en soportes informáticos, reflejados como “instrumentos que permiten archivar y conocer o reproducir palabras, datos, cifras y operaciones matemáticas”.

Tanto a uno como a otro, la LEC les diferencia de los medios de prueba documentales, atribuyéndoles una valoración por el juez según las reglas de la sana crítica en lugar de su sometimiento a las reglas de la prueba documental. Esta diferenciación ha sido fuertemente contestada por parte de la doctrina, que considera la equivalencia funcional entre una declaración de voluntad plasmada en documento electrónico y la misma reflejada en un documento en papel, estimando que “las previsiones legales de la norma procesal común hayan devenido escasamente operativas en la materia que nos ocupa, arrolladas por una aplastante realidad social … La actividad cotidiana de nuestros tribunales, bien de oficio, bien a través de las alegaciones y/o iniciativa de las parte, está supliendo en muchos casos las aparentes carencias de la ley por vía de asimilación a la prueba documental”[11], si bien, como puntualiza Illán Fernández[12], al menos el artº 318 de la LEC sí que otorga la fuerza probatoria de documento público, es decir valor tasado legal, fuera por ello de la valoración según la sana crítica, a los documentos públicos electrónicos.

Sin embargo, existen dos normas legales sustantivas que atribuyen a estos medios de prueba, en determinados casos, naturaleza de prueba documental: La Ley 59/2003 de Firma Electrónica, para los soportes en que se hallen datos firmados electrónicamente, y la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI), para “el soporte electrónico en que conste un contrato celebrado por vía electrónica”.

Un aspecto importante en cuanto a su incidencia en el peritaje informático, es que la LEC permite (artº 382.2 y 384.2) a la parte que proponga estos medios de prueba, “aportar los dictámenes y medios de prueba instrumentales que considere convenientes”, pudiendo las demás partes del proceso, “con idéntico conocimiento que el tribunal, alegar y proponer lo que a su derecho convenga”. En el caso de los medios de prueba en soportes informáticos, la documentación de autos se hará del modo más apropiado al medio de prueba y bajo la fe del Secretario Judicial que adoptará las medidas de custodia necesarias. Con esta previsión legal, el peritaje informático adquiere una nueva dimensión, no ya como medio de prueba en sí mismo, sino como apoyo a los medios de prueba en soportes informáticos propuestos por las partes.

2.1.2.     Ámbito penal

Es en el orden penal donde la prueba electrónica se erige de forma paradigmática como el elemento esencial que sirve de base para la formación de la convicción del juez cuando se sigue una causa por algún delito informático. Pero también, al margen de los delitos informáticos, la prueba electrónica puede ser utilizada para acreditar hechos en cualquier proceso abierto para la investigación de todo tipo de infracciones penales.

El legislador del Código Penal de 1995, a diferencia del legislador procesal civil, sí dio una carácter documental al documento electrónico al recoger en su artº 26 que “se considera documento todo soporte material que exprese o incorpore datos, hechos, o narraciones con eficacia probatoria o cualquier otro tipo de relevancia jurídica”. Por tanto, cualquier soporte material, y los soportes electrónicos de cualquier tipo lo son, será un documento a efectos probatorios penales cuando contenga datos, hechos o narraciones con eficacia probatoria o relevancia jurídica, haciendo posible su examen por el tribunal como prueba documental según dispone el artº 726 de la LECrim[13].

Pero esta Ley no recoge ninguna regulación específica acerca de la prueba electrónica ni de sus garantías, lo que ha sido denunciado por parte de la doctrina que reclama que una “nueva Ley de Enjuiciamiento Criminal proceda a regular expresamente el acceso a la información contenida en dispositivos electrónicos y su incorporación al proceso penal, eliminando incertidumbres con pleno respeto a las garantías del proceso, especialmente cuando puedan verse afectados derechos fundamentales de las personas”[14], solicitando al tiempo que esa regulación legal se complemente con una normativa reglamentaria “que regule aspectos tales como las formas de acceso a las pruebas electrónicas, las singularidades de la cadena de custodia con la finalidad de garantizar su autenticidad e integridad y diferentes cuestiones sobre la realización de la prueba pericial informática, entre otras.” En esta misma línea de necesidad de una clarificación legislativa, se ha denunciado la imposibilidad de diferenciar entre original y copia de un documento electrónico y la repercusión que esto tiene sobre su valor probatorio, al tener fuerza probatoria plena solamente el original, así como sobre la ausencia de delito de falsedad documental en caso de alteración de una copia electrónica, lo que simplemente constituiría un engaño[15].

Con relación a esta reclamación doctrinal de novedades legislativas, cabe mencionar la reciente Ley Orgánica 13/2015, de 5 de Octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica, que introduce novedades en las siguientes medidas de investigación tecnológica, requiriendo de forma preceptiva para todas ellas la autorización judicial que las valorará según los principios de especialidad, excepcionalidad, idoneidad, necesidad y proporcionalidad:

      • Se amplía la interceptación de comunicaciones, que afectará a servicios de la Sociedad de la Información, como WhatsApp, a SMSs y a escuchas ambientales.
      • Registro de dispositivos de almacenamiento masivo de información bajo los términos y alcance fijados por el juez, que podrá autorizar la realización de copias informáticas con las condiciones necesarias para asegurar la integridad de los datos y las garantías de su preservación que hagan posible, en su caso, la práctica de un dictamen pericial y su repetibilidad.
      • Registros remotos sobre equipos informáticos únicamente para determinados delitos bajo las condiciones fijadas por el juez en cuanto a delimitación de equipos objetos del registro, forma de acceso, autorización de copias y medidas de preservación de los datos, así como, en su caso, de su inaccesibilidad o supresión.

2.1.3.     Ámbito contencioso-administrativo

Como hemos adelantado, según lo dispuesto en el artº 60.4 de la LJCA, la prueba se regirá por las reglas generales establecidas para el proceso civil, por lo que cabe aplicar a este orden todo lo anteriormente expuesto en relación a la prueba electrónica en el orden civil, no siendo mencionable ninguna especialidad al respecto.

Al margen del proceso judicial y en relación con el procedimiento administrativo, cabe decir que la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y Procedimiento Administrativo Común, ya estableció en su día de forma pionera la validez del documento electrónico al establecer que “los documentos emitidos, cualquiera que sea su soporte, por medios  electrónicos, informáticos o telemáticos por las Administraciones Públicas, o los  que  éstas  emitan  como  copias  de  originales  almacenados  por  estos  mismos  medios,  gozarán  de  la  validez  y  eficacia  de  documento  original  siempre  que  quede garantizada su autenticidad, integridad y conservación y, en su caso, la  recepción  por  el  interesado,  así  como  el  cumplimiento  de  las  garantías  y  requisitos exigidos por ésta u otras Leyes”, anticipándose así a su recepción por parte de otras normas legales.

2.1.4.     Ámbito laboral

Por su parte, la LRJS admite en su artº 90 que las partes puedan valerse de cuantos medios de prueba se encuentren regulados en la ley incluidos los de archivo y  reproducción  de  datos,  que  deberán  ser  aportados  por  medio  de  soporte  adecuado y  poniendo a disposición del órgano jurisdiccional los medios necesarios para su reproducción  y posterior constancia en autos. En esta lista abierta de medios de prueba, en la que se incluyen los medios de archivo y reproducción de datos, puede incluirse a priori sin ninguna dificultad cualquier tipo de prueba electrónica.

No obstante, el artículo citado de la LRJS incluye explícitamente un límite para la obtención de la prueba: que no suponga violación de derechos fundamentales o libertades públicas. Se trata de un límite sin duda evidente y aplicable en cualquier otro orden jurisdiccional, pero que probablemente el legislador ha incluido explícitamente para resaltar su importancia en el ámbito laboral por la facilidad con que puede ser vulnerado, en especial en cuanto a la necesidad de salvaguardar el derecho a la intimidad y protección de datos de carácter personal del trabajador. En relación con ello, cuando se requiere investigar en el ordenador utilizado por un trabajador, es habitual emplear el método denominado de “búsquedas ciegas” consistente en filtrar la búsqueda de ficheros mediante unas palabras clave proporcionadas por el contexto de la investigación, con objeto de que sean analizados solamente aquellos ficheros que contengan dichas palabras clave, descartándose así cualquier contenido que no guarde relación con el caso investigado.

Otro derecho cuya salvaguarda debe atenderse especialmente en este ámbito es el de la tutela judicial efectiva en relación con la igualdad de armas entre empresario y trabajador, debido a la diferencia existente entre ellos por regla general en cuanto a la facilidad de uno y otro para acceder a las fuentes de prueba electrónicas que le puedan favorecer en el litigio.

Asimismo, para evitar la posible declaración posterior de una prueba electrónica como ilícita, el apartado 4 del citado artículo prevé la solicitud de autorización al juez para el acceso a archivos electrónicos, que éste podrá conceder tras ponderar los intereses afectados. En el auto de autorización determinará las condiciones de acceso, las garantías de conservación y aportación al proceso, la obtención y entrega de copias,  así como la intervención de las partes o de sus representantes y expertos, en su caso.

Puede decirse, en conclusión, que la atención especial a la garantía de los derechos fundamentales del trabajador es quizás la especialidad más relevante que presenta la prueba electrónica en lo referente al orden social.

2.2.  Conservación y custodia

Como ya se ha indicado en el capítulo anterior, la conservación y custodia adecuadas de los soportes digitales que van a servir de base fáctica para la prueba electrónica son de especial importancia para poder acreditar ante el juez su autenticidad, dada la fragilidad de la información digital. Deberá garantizarse por ello, tanto la perdurabilidad como la fidelidad de los soportes digitales custodiados, de forma que estén disponibles de forma permanente y que su contenido responda fielmente al obtenido sin que haya podido resultar posteriormente alterado.

Desde el punto de vista normativo, no existen apenas prescripciones concretas que arrojen luz sobre la forma y requisitos que deben de cumplir dicha conservación y custodia.

Con carácter general, la LEC en su artº 148 otorga a los secretarios judiciales la responsabilidad de la conservación y custodia de los autos en general y, en relación concreta con los “instrumentos que permitan archivar, conocer o reproducir palabras, datos, cifras y  operaciones matemáticas”, es decir, las evidencias digitales, el artº 384.2 prescribe que la documentación de autos se hará de la forma más apropiada a la naturaleza del instrumento, bajo la fe del secretario judicial, que adoptará, en su caso, las medidas de custodia necesarias.

La reciente Ley Orgánica 13/2015 de modificación de la LECrim dispone en el nuevo artº 588 sexies c, relativo al registro de dispositivos de almacenamiento masivo de información, que el juez “fijará las condiciones necesarias para asegurar la integridad de los datos y las garantías de su preservación para hacer posible, en su caso, la práctica de un dictamen pericial” y en el nuevo artº 588 septies a, relativo a registros remotos sobre equipos informáticos, que la resolución judicial que autorice dicho registro remoto “deberá especificar las medidas precisas para la preservación de la integridad de los datos almacenados, así como para la inaccesibilidad o supresión de dichos datos del sistema informático al que se ha tenido acceso”. Asimismo, el nuevo artº 588 bis k, relativo a la destrucción de registros, realiza unas previsiones acerca de la conservación de los registros electrónicos tras la sentencia firme del proceso, disponiendo que se borrarán y eliminarán los registros originales, conservándose una copia bajo custodia del secretario judicial hasta que se cumplan “cinco años desde que la pena se haya ejecutado o cuando el delito o la pena hayan prescrito o se haya decretado el sobreseimiento libre o haya recaído sentencia absolutoria firme respecto del investigado, siempre que no fuera precisa su conservación a juicio del Tribunal”.

En el mismo sentido, la LRJS, en su artº 90.4, establece que el juez determinará las garantías de conservación y aportación al proceso de los archivos electrónicos para los que haya autorizado el acceso.

En conclusión, las previsiones legales utilizan expresiones genéricas tales como “medidas precisas” o “condiciones necesarias” para garantizar la conservación e integridad de la información digital obtenida, pero no establecen ninguna concreción adicional sobre el contenido de dichas medidas de custodia, por lo que la aceptación en el juicio de la fuente de prueba custodiada quedará a la valoración del juez según las reglas de la sana crítica.

Ante esta ausencia de concreción legislativa y en tanto no sea corregida con nuevas aportaciones normativas, es necesario acudir al análisis jurisprudencial para tratar de determinar con una mayor precisión los criterios generales de aceptación en juicio de la prueba electrónica.

 

 

3.    Jurisprudencia

Las carencias regulatorias sobre el peritaje informático expuestas en el capítulo anterior y, en particular, sobre las fuentes probatorias con las que opera habitualmente, hacen que la jurisprudencia deba de ocupar en este caso un lugar aún más importante del que normalmente le corresponde a la hora de completar dichas carencias en las leyes procesales.

3.1.  Jurisprudencia Constitucional

Lo primero que es preciso destacar es que los pronunciamientos respecto de este tema por parte del Tribunal Constitucional, son muy escasos. En la mayoría de los casos en que el tema de la pericia informática ha llegado al Alto Tribunal, su tratamiento sobre el fondo del asunto es marginal, por lo que no es posible extraer de dichas sentencias criterios importantes. No obstante, a continuación se analizarán aquellas sentencias de las que es posible deducir algunos aspectos de interés sobre el tema de estudio.

3.1.1.     Excepción de autorización judicial para las pericias informáticas policiales

Ha sido muy comentada por la doctrina la STC 173/2011, de 7 de noviembre de 2011, debido a que reconoce, por primera vez en la jurisprudencia constitucional, que los archivos contenidos en un ordenador personal se encuentran también amparados por el artº 18 de la Constitución Española, en concreto, en lo relativo al derecho a la intimidad y a la protección de datos de carácter personal.

En lo que se refiere a la prueba pericial informática llevada a cabo por la policía judicial sobre los archivos contenidos en un ordenador, que había sido aportado por el empleado de una tienda de reparación de informática tras su denuncia del encuentro casual de contenido pornográfico de menores en el interior de dicho ordenador durante la reparación de su grabadora óptica, la sentencia valida la realización de dicha prueba pericial sin autorización judicial previa. Considera su realización legítima al resultar necesaria y razonable en términos de proporcionalidad, al establecer que “la policía perseguía un fin legítimo, por cuanto se enmarcaba dentro de las investigaciones que ésta realizaba dirigidas al esclarecimiento de un delito de pornografía infantil. Al propio tiempo existe la habilitación legal necesaria para la realización, por parte de los agentes intervinientes, de este tipo de pesquisas, pues, como hemos visto, se encuentran entre sus funciones las de practicar las diligencias necesarias para comprobar los delitos, descubrir sus autores y recoger los efectos, instrumentos o pruebas, pudiendo efectuar ‘un primer análisis’ de los efectos intervenidos”. Finaliza su conclusión diciendo que “si bien la intervención policial desplegada no contó con la previa autorización judicial, … podemos afirmar que nos encontramos ante uno de los supuestos excepcionados de la regla general, que permite nuestra jurisprudencia[16], pues existen y pueden constatarse razones para entender que la actuación de la policía era necesaria, resultando, además, la medida de investigación adoptada razonable en términos de proporcionalidad”, no sin mencionar a continuación la necesidad de que el legislador regule esta materia con más precisión.

La sentencia cuenta con un voto particular discrepante, en lo relativo a la actuación policial que considera que vulneró el derecho a la intimidad del recurrente al realizar una intromisión en el contenido del ordenador más allá de una primera toma de contacto y al no existir urgente necesidad (el ordenador se encontraba apagado y en dependencias policiales). Previamente, considera la «calidad de la ley» deficiente en cuanto a la protección de la intimidad contenida en medios informáticos, lo que debería haber llevado al Tribunal a extremar su celo garante de los derechos fundamentales, determinando con precisión los supuestos y las condiciones, como quizás en este caso la prevalencia de los derechos del menor, en que puede producirse una intervención policial en el ordenador personal de un ciudadano.

Al margen de lo anterior, la sentencia incurre en mi modesta opinión en dos  errores de hecho de tipo tecnológico. El primero, al determinar que el acceso que hizo el encargado de la reparación a los archivos de la carpeta Mis documentos constituía un mínimo necesario para verificar que la grabadora funcionaba correctamente, ya que para realizar dicha verificación hubiera bastado, y sería técnicamente más correcto, utilizar cualquier archivo en posesión de dicho encargado y bien conocido por él, residente bien en un soporte óptico (DVD, CD, etc.) legible por la grabadora reparada, o bien en cualquier otro soporte externo (pendrive USB o similar). El segundo, al considerar que la contraseña de la que carecía el ordenador servía para permitir el acceso al disco duro interno de éste, en lugar de lo que realmente hace, que es permitir el acceso al sistema operativo, lo que no tiene por qué implicar el acceso a la carpeta del disco duro donde se encontraban los archivos con contenido delictivo.

3.1.2.     Admisión de petición de prueba pericial informática

La STC 153/2004, de 20 de septiembre de 2004, analiza la petición de amparo para la tutela efectiva en relación con la verificación del cumplimiento de una sentencia mediante la práctica de un peritaje informático que lo certifique. Concede la petición de amparo en base a que aunque el juzgado “no venía obligado a acordar necesariamente la prueba pericial informática propuesta por el demandante”, sí le era exigible al órgano judicial una actuación que no se limitase a aceptar sin más la manifestación de la entidad crediticia de que había procedido a cumplir la sentencia. Por ello, retrotrae las actuaciones a fin de que el Juzgado resuelva respetando el derecho fundamental reconocido a la tutela judicial efectiva sin indefensión, garantizando el cumplimiento efectivo de la sentencia.

Una petición similar de amparo es sobre la que decide la STC 53/2006, de 27 de febrero de 2006. En esta ocasión, el objeto de la pericia informática era demostrar la autenticidad de unos disquetes de contabilidad de una empresa a fin de corroborar una información periodística. La pericia se intentó realizar en el juzgado de instancia, pero el perito no pudo llevarla a cabo por no disponer del programa informático de contabilidad  cuya petición de obtención se había denegado por el juez. La sentencia constitucional deniega la petición de amparo por carecer dicha prueba de relevancia para determinar el sentido del fallo, por lo que no se había traducido en una indefensión efectiva del recurrente.

3.2.  Jurisprudencia relevante sobre la materia

A lo largo de estos años, los distintos tribunales se han ido pronunciando acerca de distintas cuestiones relacionadas de una u otra manera con el peritaje informático.  Para lograr  una mayor homogeneidad en su análisis, se van a agrupar de forma sistematizada las distintas sentencias, organizándolas por epígrafes según temas de interés.

3.2.1.     Necesidad de informe pericial sobre un medio de prueba informático

El Tribunal Supremo, en su sentencia STS 2047/2015 de 19 de mayo de 2015, ha establecido la necesidad de llevar a cabo un informe pericial informático que acredite la identidad de los interlocutores, así como la integridad de la conversación mantenida a través de una red social, para que dicha conversación sea aceptada como prueba válida en un procedimiento judicial.

Tal como recuerda esta sentencia,  “la  prueba  de  una  comunicación bidireccional  mediante  cualquiera  de  los  múltiples  sistemas  de  mensajería  instantánea  debe  ser  abordada con  todas  las  cautelas” y basa esta preocupación en la facilidad de manipulación  de  los  archivos  digitales  mediante  los  que  se materializa ese “intercambio de ideas”, amparándose en el anonimato y en la facilidad de creación de cuentas con identidades fingidas que habitualmente permiten las plataformas de redes sociales, haciendo posible de esta manera “aparentar una  comunicación  en  la  que  un  único  usuario  se  relaciona  consigo  mismo”.  Por ello, en caso de impugnación, se desplaza  la  carga  de  la  prueba  hacia  quien  pretende  aprovechar  la  idoneidad  probatoria de dichas conversaciones cuando éstas son aportadas al proceso mediante archivos de impresión. La sentencia concluye estableciendo de forma terminante que “será indispensable en tal caso la práctica de una prueba pericial que identifique el verdadero origen de esa comunicación, la identidad de los interlocutores y, en fin, la integridad de su contenido.”

Esta prescripción jurisdiccional complementa la disposición del artº 384.2 de la LEC en cuanto a la posibilidad de aportar dictámenes y medios de prueba instrumentales al presentar medios de prueba consistentes en archivos informáticos, haciendo su aportación obligada cuando los archivos son fácilmente manipulables de manera unilateral, como es el caso de las conversaciones mantenidas en redes sociales.

Anteriormente a esta sentencia, el TS ya había dado validez en Auto ATS 1800/2013 de 14 de febrero de 2013 a conversaciones procedentes de SMS, MMS, o WhatsApp que habían sido obtenidas por la policía judicial mediante intervención telefónica autorizada por el juez.

Adicionalmente, la jurisprudencia menor, como las Sentencias  de  la  Audiencia  Provincial  de  Cádiz,  SAP CA 122/2014 de  28  enero o  de  la  Audiencia  Provincial  de  Pontevedra,  SAP PO 18/2014 de  10  enero ya habían denegado la validez como medio de prueba de conversaciones de WhatsApp por falta de garantías en cuanto a su posible manipulación.

3.2.2.     Interrupción de la cadena de custodia

El auto del Tribunal Supremo ATS 2197/2012 describe muy gráficamente la importancia del mantenimiento de la cadena de custodia cuando dice que “es a través de la corrección de la cadena de custodia como se satisface la garantía de la «mismidad» de la prueba”, garantizando que aquello sobre lo que recaerá la inmediación, publicidad y contradicción de las partes en el acto del juicio es lo mismo que los vestigios que se recogieron relacionados con el delito.

En este mismo sentido se manifiesta el auto de la Audiencia Provincial de Madrid AAP M 18559/2011 al desestimar la validez de una prueba pericial informática sobre un disco duro por haberse interrumpido la cadena de custodia al haber permanecido durante un año en poder del denunciante, previamente a la realización del informe pericial. Es de resaltar que este tipo de eventualidades se pueden solventar con un proceso de contextualización de la evidencia digital, evitando así que se invaliden todas las circunstancias probatorias obtenibles de un hecho que se descubra tiempo después de haber ocurrido.

Es de especial minuciosidad, el detalle con el que la sentencia de la Audiencia Provincial de Barcelona SAP B 1301/2008 de 29 de enero[17], describe el proceso de custodia del material informático intervenido durante un registro policial, llevado a cabo por los dos peritos judiciales, concluyendo de ello que “hubo una correcta identificación de elementos incautados y una adecuada custodia judicial”, aunque afirmando a continuación de forma sorprendente: «pero es que además considera la Sala acreditado que en este caso no hubo ninguna manipulación”, algo que va de suyo si, como se ha dicho, ha existido una adecuada custodia judicial.

La jurisprudencia anterior resalta, por tanto, la necesidad de congelar la evidencia digital inmediatamente después de ocurrido el delito o el incidente de seguridad y de garantizar a partir de ese momento la cadena de custodia, de forma que no puedan existir dudas sobre la «mismidad» de la que habla el auto del TS anteriormente mencionado.

En relación al procedimiento de obtención de la evidencia digital, es interesante la sentencia del Tribunal Supremo STS 7208/1999 de 15 de noviembre, que exonera al Secretario Judicial de permanecer durante un proceso de clonado de un disco duro realizado por la policía judicial con estas palabras: “Lo que no se puede pretender es que el fedatario público esté presente durante todo el proceso, extremadamente complejo e incomprensible para un profano, que supone el análisis y desentrañamiento de los datos incorporados a un sistema informático. Ninguna garantía podría añadirse con la presencia del funcionario judicial al que no se le puede exigir que permanezca inmovilizado durante la extracción y ordenación de los datos, identificando su origen y procedencia.”

3.2.3.     Requisitos subjetivos de validez de la prueba pericial informática

En cuanto a la validez de la prueba pericial en base a las circunstancias subjetivas de los peritos que la llevan a cabo, la sentencia del Tribunal Supremo STS 4315/2008 establece la plena validez de la prueba pericial informática en un proceso penal con un informe de un perito, cuando el artº 459 de la LECrim establece la necesidad de que sean dos, al establecer que “el  número  de  peritos  no  condiciona  la  validez  del  informe  pericial,  máxime  cuando  ha  sido  emitido  por  un organismo oficial que realiza la labor en equipo. Un perito efectúa materialmente el informe de un aspecto de la  pericia  que es certificado y confirmado por el otro perito firmante y viceversa”.

Asimismo, la sentencia de la Audiencia Provincial de Madrid SAP M 12497/2013 de 24 de julio, determina la validez de un informe pericial informático sin que para ello suponga un obstáculo la titulación académica del perito “Doctor en Ciencias Físicas con una amplia formación adicional en informática, siendo Director de una empresa de seguridad informática, por lo que no encuentra la Sala obstáculo para el desarrollo de la pericia”.

3.2.4.     Acotamiento de las funciones del perito informático

El Tribunal Supremo en la sentencia STS 6007/2008 de 29 de octubre, delimita claramente la función que corresponde al perito informático al establecer que “es  evidente  que  la  equiparación  que  efectúa  el  perito  entre:  ausencia  de  advertencia  del  programa Emule del sistema de archivos transparentes con la conclusión de que el usuario del programa desconocía y estaba ignorante de este dato no es admisible. Tal conclusión solo podría ser efectuada por el juzgador a quien le corresponde la tarea de valorar la actividad probatoria”.

En sentido similar se pronuncia en la sentencia STS 2743/2013 de 17 de mayo, al determinar que “el perito informático, por definición, sólo podrá extender sus opiniones a aquellos aspectos técnicos relacionados con el grado de manipulación apreciable  en  las  fotografías  o  en  los  correos  electrónicos  aportados,  pero   absteniéndose,  claro  es,  de cualquier valoración sobre el desenlace probatorio que haya de asociarse a su dictamen. La fijación de su alcance ha de ser siempre de la exclusiva incumbencia del Tribunal”.

3.2.5.     Informe pericial informático en el ámbito laboral

Las sentencias del Tribunal Supremo STS 6128/2007 de 26 de septiembre y STS 1323/2011 de 8 de marzo establecen el criterio acerca de la no aplicación directa ni analógica del artº 18 del Estatuto de los Trabajadores, sino del artº 20.3, a la hora de la realización de una prueba pericial encargada por el empresario sobre el ordenador de un trabajador.

Considera por ello que  el  ordenador es un instrumento de producción del que es titular el empresario y no un efecto particular del trabajador, lo que no obsta para que se guarde  en  la   aplicación  de la prueba pericial la consideración debida a la  dignidad  e intimidad del trabajador, que también se extiende a sus archivos personales existentes en el ordenador, por lo que  un acceso a dichos archivos, sin previa advertencia sobre el uso y el control del  ordenador, supondría una lesión a su derecho a la intimidad. Por ello “lo que debe hacer la empresa de acuerdo con las exigencias de buena fe es establecer previamente  las  reglas  de  uso  de  esos  medios  -con  aplicación  de  prohibiciones  absolutas  o  parciales-  e informar  a  los   trabajadores  de  que  va  existir  control  y  de  los  medios  que  han  de  aplicarse  en  orden  a comprobar la corrección de los usos”.

Adicionalmente, la sentencia STS 8876/2011 de 6 de octubre, añade a lo anterior que “si no hay derecho a utilizar el ordenador para usos personales, no habrá tampoco derecho para hacerlo en unas condiciones que impongan un respeto a la intimidad o al  secreto  de las  comunicaciones”, en contra de la previa prohibición del empresario o con una advertencia expresa o implícita de control.

En el mismo sentido y con los mismos argumentos se expresa la jurisprudencia menor en sentencias como la del TSJ del País Vasco STSJ PV 1118/2012 o la del TSJ de Andalucía STSJ AND 2248/2014, esta última considerando cumplidos por la empresa los requisitos mencionados para la validez de la prueba pericial que sirvió de base para el despido del trabajador.

3.2.6.     Identificación del autor mediante dirección IP

El Tribunal Supremo ha establecido en su sentencia STS 8316/2012 de 3 de diciembre, la insuficiencia de determinar la autoría de un delito informático mediante la simple constatación de que la dirección IP, desde la que existe certeza de que se cometió el delito, haya sido asignada a una línea telefónica y a un ordenador conectado a ella que pertenece al supuesto autor. La inferencia que vincula ser usuario de un ordenador y de una línea telefónica no lleva necesariamente a la conclusión de  que  ese  usuario  sea  el  autor  de  toda  utilización  telemática  de  esa  infraestructura  informática.

La sentencia explica, a través del contenido del informe pericial de parte que había sido desestimado en la instancia,  que el ordenador al que hace referencia estaba conectado en modo modem, no router, por lo que sus puertos disponibles eran cognoscibles por otros usuarios de Internet, suponiendo un factor de vulnerabilidad que podía ser aprovechado por un atacante malicioso y utilizar el equipo ajeno quedando su uso registrado como si fuera el auténtico titular, sin que éste pueda siquiera percatarse de ese uso malicioso y ajeno de su equipo.

Finalmente, la sentencia achaca a la indolencia investigadora de la actuación policial, la falta de obtención, de forma inmediata a los hechos, de otras evidencias digitales en el disco duro que hubieran podido ratificar la inferencia de la autoría.

En otro orden de cosas, la sentencia de la Audiencia Provincial de Granada SAP GR 391/2013, de 26 de abril, invalida el informe pericial que permitió la determinación de la dirección IP desde la que se cometió el delito, debido a que el auto del juez que las autorizó no resistía las exigencias de legalidad recogidas en la Ley 25/2007, de Conservación de Datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones, que, en prevención de la protección constitucional del derecho a la privacidad e intimidad de las comunicaciones, permite sólo la autorización judicial en el caso de delitos graves.

 

 

4.    Algunas consecuencias derivadas

En los capítulos anteriores se han expuesto los aspectos más relevantes relativos a la normativa y a la jurisprudencia del peritaje informático, así como una pequeña introducción a algunas cuestiones metodológicas para su realización técnica. Estos aspectos relevantes forman así, lo que podría denominarse el cuerpo de doctrina para llevar a cabo un peritaje informático.

En el presente capítulo, se van a tratar de abordar aquellos aspectos que surgen como consecuencia de aplicar dicho cuerpo de doctrina así como también de las carencias que aparecen al intentar llevarlo a cabo.

4.1.  Contextualización de la prueba electrónica

Para lograr que la prueba electrónica tenga una mayor fuerza de convicción sobre el tribunal, un aspecto básico es presentar la evidencia digital, que se va a utilizar como medio de prueba, dentro del contexto en el que se ha generado.

Resulta evidente que no basta con aportar escuetamente como medios de prueba los equipos y dispositivos (ordenadores, smartphones, discos duros, discos ópticos, memorias USB, etc.), es decir, el hardware, en los que reside la fuente de prueba, pero tampoco es suficiente aportar sin más los programas de software y archivos de datos que dichos equipos o dispositivos puedan contener, por mucho que pueda parecer evidente a primera vista la información que de ellos se pueda derivar.

El artº 384.2 de la LEC, ya prevé la conveniencia de que la parte que quiera proponer este tipo de medios de prueba, aporte un dictamen pericial, así como cualquier medio de prueba instrumental que considere conveniente, para incrementar el poder de convicción de dicha prueba sobre el tribunal.

En este dictamen pericial informático será necesario explicar de forma clara y descriptiva, aunque concisa para no alargarla inútilmente, el contexto de la evidencia digital, resaltando los siguientes aspectos:

      • El entorno físico y humano en el que se ha encontrado la evidencia digital.
      • Los procedimientos que se han empleado para obtenerla, detallando, en su caso, las autorizaciones que se hayan obtenido para ello.
      • Las herramientas empleadas en la obtención y análisis de la evidencia.
      • Los resultados conseguidos de cada uno de los procesos de análisis a los que se ha sometido a la evidencia digital, haciendo referencia a los detalles técnicos de estos resultados de forma que en los datos aportados se salvaguarde en cualquier caso la privacidad y cualquier otro derecho fundamental de las partes o de terceros.
      • Inclusión, en particular, de un análisis que descarte la posible manipulación o falsificación de las evidencias y del entorno, de manera que la acción se atribuya al usuario efectivo que la ha llevado a cabo.

Asimismo, es especialmente importante en la elaboración del dictamen pericial informático el aspecto metodológico, manifestado en el seguimiento de normas técnicas o estándares que definan el procedimiento de actuación pericial en los procesos de identificación, recopilación, análisis y archivo de la evidencia digital, mediante la aplicación de métodos que permitan que dicho procedimiento sea auditable, reproducible y defendible, de forma que sea posible someter posteriormente los procesos realizados a un escrutinio independiente en caso de necesidad, así como demostrar la capacidad y competencia del equipo de investigación que los ha llevado a cabo.

4.2.  Incertidumbres alrededor de la cadena de custodia

La sentencia de la Audiencia Provincial de Barcelona SAP B 1301/2008, ya comentada en el capítulo relativo a Jurisprudencia, realiza de forma muy detallada un gran número apreciaciones al respecto de la cadena de custodia para finalmente concluir que se ha realizado de forma adecuada. Sin embargo, tal cantidad de detalles sirven para poner en evidencia la falta de una metodología idónea a la naturaleza de las fuentes digitales de prueba custodiadas, que permita garantizar adecuadamente la conclusión pretendida. Así:

      • Se da por buena la falta de concordancia en una cantidad de 6 CDs entre el material aprehendido y el entregado a los peritos, con la justificación de que “en modo alguno fundamentan la condena” y concluyendo que hubo una correcta identificación de elementos incautados.
      • Reconoce que, a pesar de la recomendación técnica de trabajar siempre con copias clónicas, no se hicieron las copias de seguridad[18] de todos los archivos encontrados, pero que los peritos habían puesto de manifiesto “que no habían realizado modificación alguna en los archivos y que tan solo habían introducido una utilidad a fin de poder imprimir”.
      • Pero el episodio más llamativo en cuanto a “metodología atípica” es el que relata a continuación la sentencia en el que la propia policía, en el momento de detener al apelante, le manifiesta la conveniencia de que él mismo realice un volcado del correo que tuviera almacenado en el ordenador de la empresa, lo que lleva a cabo grabándolo en un CD, protegiéndolo con una contraseña que sólo él conocía y firmando todos los actuantes sobre el CD que es archivado a continuación fuera del control de los peritos.

También la sentencia de la Audiencia Provincial de Málaga SAP MA 1/2011 es una buena fuente de detalles acerca de procedimientos de custodia de las evidencias digitales. Así, la sentencia recoge declaraciones de los agentes policiales, tales como “se extrajeron los discos de 4 ordenadores, se sellaron y se  precintaron – por ello no se hizo huella digital” o “los CDs empleados eran  de una sola escritura y como las copias de los discos se  sellaron, no hizo falta hacer el «Hash» o huella digital”[19]

La conclusión que se puede extraer de todo lo anterior es la carencia de una metodología con suficiente rigor y que permita garantizar que las evidencias digitales no se han alterado en absoluto desde su recogida hasta su contrastación en el juicio oral. Sería conveniente que por vía normativa o, al menos, jurisprudencial se recogiera un modelo de referencia con capacidad para responder al menos a las cuatro preguntas fundamentales, qué, quién, cuándo y dónde, y, en menor medida, al cómo y al por qué, acerca de cada cambio de la evidencia digital a lo largo de la cadena de custodia, desde su recogida hasta su presentación ante el tribunal. El riesgo de mantener una metodología de cadena de custodia con lagunas graves como las mencionadas anteriormente, es la facilidad con que un contraperitaje informático bien estructurado puede destruir la certidumbre de la prueba pericial que deba servir de soporte probatorio a la demostración de un delito informático o de un ilícito de cualquier tipo.

4.3.  La prueba electrónica como documento

Existe una profunda discusión doctrinal sobre el carácter documental o no de la prueba electrónica. La consecuencia derivada de que pudiera ser considerada prueba documental es su distinto tratamiento procesal, más favorable en general del aplicable si careciera de esa consideración. Así, la LEC en su artº 326.1 confiere al documento privado el valor de prueba plena en el proceso si no es impugnado por la parte a quien perjudica y, aún en este caso, la parte que presenta la prueba podrá proponer un medio de prueba útil para probar su autenticidad.

Frente a este valor de prueba plena como documento, la consideración de la prueba electrónica como simple instrumento de archivo informático, conforme al artº 384, le daría solamente un valor probatorio conforme a las reglas de la sana crítica del juez, dependientes por tanto de su conocimiento sobre la materia.

Tradicionalmente, la doctrina ha mantenido al respecto dos teorías contrapuestas: la teoría autónoma[20], según la cual la prueba electrónica tendría una naturaleza propia, singular y diversa[21], y la teoría analógica, según la cual  tendría una naturaleza equiparable a los medios de prueba tradicionales, sin más que sustituir el papel por un soporte electrónico. Al margen de ambas teorías, ha surgido una tercera: la teoría de la equivalencia funcional que propugna que un documento electrónico surte los mismos efectos jurisdiccionales que el documento en papel.

Ciertamente, esta última teoría está respaldada por el tratamiento que el artº 3.8 de la Ley 59/2003 de Firma Electrónica da a los soportes de los documentos electrónicos firmados electrónicamente, ya que esta Ley les dota del carácter de prueba documental en juicio. Si además dicha firma es reconocida, la impugnación del documento se resolverá comprobando que dicha firma cumple todos los requisitos prescritos en esta Ley. Si no es firma reconocida, sino avanzada, la impugnación tendrá el mismo tratamiento que el establecido en el artº 326.2 de la LEC para resolver la impugnación de cualquier documento privado.

El mismo carácter de documento, y, con ello, de prueba admisible en juicio como documental, otorga el artº 24.2 de la LSSI al soporte electrónico en que conste un contrato celebrado por vía electrónica.

Pero al margen de los dos casos anteriores, documentos electrónicos firmados electrónicamente y contratos por vía electrónica, no existe base legal para considerar al resto de las evidencias digitales como fuentes de prueba documentales. En esa misma línea se manifiesta la sentencia del Tribunal Supremo STS 6216/2011 de 16 de junio, al considerar que una grabación de audio y vídeo no tiene naturaleza documental. Parece referirse al conjunto de medios de prueba audiovisuales, que recoge el artº 382 de la LEC; “Instrumentos de filmación, grabación y semejantes” los denomina. Nada dice, sin embargo, dicha sentencia de los soportes informáticos, tal como los recoge el artº 384 de la LEC, “Instrumentos que permitan archivar, conocer o reproducir datos”.

Dicho lo anterior, no se puede dejar de considerar que la misma Ley de Firma Electrónica hace, en el apartado 5 del mismo artículo 3, una definición de documento electrónico como “la información de cualquier naturaleza en forma electrónica, archivada en soporte electrónico según un formato determinado y susceptible de identificación y tratamiento diferenciado”. Son destacables en esta definición los siguientes aspectos:

      1. No diferencia entre naturalezas de la información. Al contrario de lo que hace la LEC, da igual que se trate de información audiovisual o de datos informáticos cualesquiera.
      2. Debe estar archivada en soporte electrónico. Cabe entender por ello cualquier soporte implementado con dispositivos electrónicos y no únicamente soportes informáticos. Así, una antigua cinta de video o de audio, o dispositivos electrónicos no programables, como sensores o wearables, serían soportes electrónicos no informáticos.
      3. Debe de tener un formato determinado, es decir, definido según una especificación concreta establecida de antemano.
      4. Debe de poderse identificar y tratar como un conjunto individualizado y separado del resto de información existente en el soporte electrónico.

Ciertamente se trata de una definición de amplio espectro, en la que cabría incluir prácticamente cualquier tipo de registro electrónico de datos. Sin embargo, hay que recordar que la Ley de Firma Electrónica no da al documento electrónico per se carácter de prueba documental en juicio, sino únicamente al documento electrónico firmado electrónicamente, lo que demuestra las reticencias del legislador para considerar prueba documental aquello que previamente ha denominado sin ambages documento. Por el contrario, como ya se comentó en el apartado correspondiente a la normativa en el ámbito penal, el Código Penal da carácter de documento, examinable de oficio por el tribunal ex artº 726 LECrim, a todo soporte material con datos de relevancia jurídica.

En conclusión, se puede afirmar que no existe una homogeneidad legislativa en el tratamiento de la prueba electrónica como documento, lo que da lugar a un tratamiento habitualmente restrictivo por los tribunales que no se compadece con la realidad digital del mundo actual y con el impulso al desarrollo de la Sociedad de la Información por parte de los poderes públicos. Todo ello hace necesario modernizar la legislación procesal para que defina, de forma homogénea y coherente, el tratamiento a dar a dicha prueba y así se han manifestado una mayoría de expertos jurídicos también a nivel europeo e internacional, con objeto de mejorar  la cooperación transnacional en la persecución de los delitos informáticos[22].

 

 

5.    Conclusiones

El peritaje informático, si bien no ha sido recogido de forma específica en nuestra legislación, sí que tiene cabida en ella a través de las especialidades que las distintas normas procesales y, en menor medida, también sustantivas, han establecido acerca de las fuentes de prueba que son utilizadas como base material del peritaje informático, es decir, las denominadas evidencias digitales. Pero estas especialidades muestran algunas connotaciones que es conveniente resaltar a modo de conclusión de este análisis.

En primer lugar, de todo lo expuesto anteriormente, se deduce con bastante claridad la carencia normativa en la adopción de una metodología que someta la recopilación y custodia de las fuentes de prueba informáticas a un procedimiento definido y que resulte confiable por parte de los jueces. Sería conveniente, en ese sentido, que la norma definiera un marco de referencia o que, en su defecto, dicho marco fuera establecido de forma jurisprudencial, de forma que permitiera mejorar la seguridad jurídica alrededor de la prueba electrónica.

Supone un paso significativo en esa dirección la reciente sentencia del Tribunal Supremo 2047/2015 que ha establecido la necesidad de llevar a cabo un informe pericial informático que acredite la identidad de los interlocutores y la integridad de la conversación mantenida a través de una red social, para que dicha conversación sea aceptada como prueba válida en un procedimiento judicial. De esta manera, se dota al juez de forma imperativa de un dictamen pericial informático que le ayuda en la formación de su convicción acerca de una evidencia digital que es, a priori, fácilmente susceptible de manipulación.

En segundo lugar, no existe una homogeneidad ni una claridad legislativa en el tratamiento procesal de la prueba electrónica en cuanto a su carácter documental, lo que da lugar a un tratamiento desigual y, por lo general, restrictivo por parte de los tribunales. Este tratamiento es poco acorde con el impulso pretendido a la Sociedad de la Información por parte de las Administraciones Públicas y, en particular, en el ámbito de la Justicia.

Debido a ello, desde diversas instancias, se ha propuesto modernizar y homogenizar las normas que regulan el tratamiento procesal de la prueba electrónica, no sólo internamente, sino también a nivel europeo e internacional, a fin de mejorar la cooperación global en la persecución del ciberdelito.

En tercer lugar, las recientes modificaciones legislativas en el ámbito penal acerca del tratamiento de la prueba electrónica, utilizan frecuentemente expresiones genéricas que dan lugar a conceptos jurídicos indeterminados, lo que puede resultar necesario a la hora de abordar los aspectos de  fondo que establece la norma, pero no tanto en cuanto a determinar los aspectos relativos a la forma.

Así, resultaría aconsejable una concreción de los aspectos formales del tratamiento de la prueba electrónica en base a la adopción de estándares o normas técnicas emitidas por Autoridades de Normalización, de manera similar a la regulación realizada a nivel europeo y nacional de la firma electrónica, en la que se ha hecho referencia a elementos funcionales definidos en normas técnicas criptográficas y a Autoridades de Certificación Electrónica o, en terminología legislativa, “dispositivos y datos de creación y de verificación de firma” y “prestadores de servicios de certificación”, respectivamente.

[1] Gimeno Sendra, Vicente. Derecho Procesal Civil. El proceso de declaración. Parte General. Colex 2010. 3ª edición, pág. 473

[2] Ibidem, Gimeno Sendra 2010, pág. 473

[3] Caloyannides, Michael A. Computer Forensics and Privacy. Artech House Inc. 2001

[4] Michael G. Noblett; Mark M. Pollitt; Lawrence A. Presley. Recovering and examining computer forensic evidence October 2000. Volume 2, Nr 4

[5] M Reith, C Carr, G Gunsch. An examination of digital forensic models. International Journal of Digital Evidence. 2002, pág. 2

[6] Marqués-Arpa, Tomás. Cadena de Custodia en el Análisis Forense. RECSI 2014, pág. 167

[7] The Five Ws (and One “H”) of Cyberspace. Media Awarenes Network. [20/12/2009] http://lessons.ctaponline.org/~bgurnick/w5/w5.html (originalmente en: http://www.mediaawareness.ca/english/resources/special_initiatives/wa_resources/wa_shared/tipsheets/5Ws_of_cyberspace.cfm)

[8] Cosic, Jasmin. A Framework to (Im)Prove Chain of Custody in Digital Investigation Process. Proceedings of the 21st Central European Conference on Information and Intelligent Systems, 2010

[9] Sería deseable, no obstante, un mayor rigor a la hora de distinguir los conceptos de “electrónico”, “digital” e “informático”, términos técnicos que no son equivalentes y cuyo uso indistinto podría inducir en ocasiones a errores de interpretación

[10] Illán Fernández. La Prueba Electrónica, Eficacia y Valoración en el Proceso Civil. 2009.pág. 229

[11] Pérez Gil, Julio. Prueba electrónica y prueba documental en el proceso civil: los límites de su equivalencia funcional. Suplemento de Derecho Procesal de ElDial.com. 2006

[12] Illán Fernández, pag. 259

[13] Gimeno Sendra, Vicente. Manual de Derecho Procesal Penal. Colex. 2010. 2ª edición, pág. 424

[14] Delgado Martín, Joaquín. La prueba electrónica en el proceso penal. Diario La Ley, Nº 8167, Sección Doctrina, 10 Oct. 2013, pág. 2

[15] Bacigalupo, Enrique. El delito de Falsedad Documental. Ed. Dykinson, Madrid, 1999. pág. 13

[16] El objeto recogido como hallazgo casual valida por completo la revelación de este delito, además del deber de denunciarlo por su conocimiento

[17] Esta sentencia incluye otras cuestiones de interés sobre las que se incidirá en el siguiente capítulo

[18] Es de señalar que esta omisión supone una descontextualización de la evidencia, ya que no se determina bajo qué criterio se aporta o no.

[19] Es de señalar que esa forma de actuar no tiene en cuenta la posibilidad de multisesión en la grabación del CD, lo que invalidaría la certeza sobre lo grabado en él.

[20] Montón Redondo. Medios de reproducción de la imagen y el sonido. La prueba. CGPJ, Madrid. 2000, págs. 50 y ss.

[21] Álvarez-Cienfuegos Suarez, J.Mª. Las obligaciones concertadas por medios informáticos y la documentación. La Ley, 1992 nº 4, pág. 1013

[22] Illán Fernández. La Prueba Electrónica, Eficacia y Valoración en el Proceso Civil. 2009.pág. 256

Un pensamiento en “Análisis normativo y jurisprudencial del peritaje informático

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puede usar estos tags y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

En cumplimiento de lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, le informo que los datos personales recogidos mediante este formulario serán tratados de forma confidencial, sin que, salvo con su consentimiento expreso, vayan a ser cedidos fuera de los casos legalmente permitidos, y quedarán incorporados al fichero "COMENTARIOS BLOG ABOGADOTELECO", cuya finalidad es la gestión, presentación y seguimiento de los comentarios realizados en este blog. Mediante el envío de la información anterior, presta Ud. su consentimiento al tratamiento descrito, así como a la publicación en este sitio web de los datos requeridos en el formulario. Los derechos de acceso, rectificación, cancelación y oposición podrán ejercerse ante José Luis García Gómez, responsable del fichero, solicitándolo a la dirección jl@abogadoteleco.es o mediante escrito dirigido a la dirección que figura en la página de contacto.