Resumen
La cadena de custodia es el registro continuo que permite explicar la vida de una evidencia desde su identificación hasta su presentación. En evidencia digital, además de la custodia física, se documentan hashes, dispositivos, medios de almacenamiento, herramientas y responsables.
Regla práctica: una evidencia digital no solo debe existir; debe poder explicarse. El tribunal necesita saber de dónde salió, quién la manipuló, cómo se preservó y por qué conserva integridad.
Componentes mínimos
- Identificación única de la evidencia.
- Descripción del dispositivo, archivo, cuenta, soporte o fuente.
- Fecha, hora, lugar y responsable de cada evento.
- Motivo de acceso, transferencia o análisis.
- Hash inicial y hash de verificación cuando sea técnicamente aplicable.
- Condiciones de resguardo, embalaje y control de acceso.
Flujo documental recomendado
- Identificar y fotografiar la evidencia.
- Rotular el soporte o contenedor.
- Registrar el primer responsable y el motivo de recolección.
- Preservar en medio seguro y documentar condiciones.
- Calcular hash en original o copia forense cuando proceda.
- Registrar cada transferencia, apertura, análisis y devolución.
Errores comunes
Los problemas más frecuentes son capturas aisladas sin fuente verificable, ausencia de hash, evidencia recibida sin fecha ni responsable, manipulación previa sin documentación, rótulos incompletos y análisis realizado sobre el original sin justificar el método.