CID Forense JURIDICA Group
Cadena de custodia en evidencia digital Trazabilidad documental para evidencia digital
Volver a articulos A

Presentación técnica

Cadena de custodia en evidencia digital

Trazabilidad documental para evidencia digital. Material para capacitación, litigio y explicación pericial.

01 / 30

Alcance

Qué documenta

La cadena de custodia documenta la vida completa de la evidencia digital desde la identificación hasta la presentación.

02 / 30

Puntos clave síntesis
ResponsablePersona que entrega, recibe o analiza.
Fecha y horaRegistro preciso del evento.
UbicaciónLugar físico o repositorio.
MotivoRazón del acceso o traslado.

Objetivo probatorio

Por qué importa

Permite responder quién tuvo la evidencia, cuándo, dónde, para qué y bajo qué condiciones.

03 / 30

Puntos clave síntesis
ResponsablePersona que entrega, recibe o analiza.
Fecha y horaRegistro preciso del evento.
UbicaciónLugar físico o repositorio.
MotivoRazón del acceso o traslado.

Evidencia digital

Diferencia técnica

Además del objeto físico se documentan archivos, hashes, soportes, herramientas, usuarios, cuentas y ubicaciones.

04 / 30

Puntos clave síntesis
ResponsablePersona que entrega, recibe o analiza.
Fecha y horaRegistro preciso del evento.
UbicaciónLugar físico o repositorio.
MotivoRazón del acceso o traslado.

Primer contacto

Inicio de trazabilidad

La cadena debe iniciar desde que se reconoce o recibe la evidencia, no cuando se redacta el informe.

05 / 30

Puntos clave síntesis
ResponsablePersona que entrega, recibe o analiza.
Fecha y horaRegistro preciso del evento.
UbicaciónLugar físico o repositorio.
MotivoRazón del acceso o traslado.

Identificación única

Control del objeto

Cada evidencia necesita código, descripción, fuente, fecha de recepción y responsable inicial.

06 / 30

Puntos clave síntesis
ResponsablePersona que entrega, recibe o analiza.
Fecha y horaRegistro preciso del evento.
UbicaciónLugar físico o repositorio.
MotivoRazón del acceso o traslado.

Formulario

Formulario de custodia

Documento principal donde se identifica la evidencia, el caso, responsables y datos técnicos iniciales.

07 / 30

Visual formulario
Formulario de custodia

Continuidad

Registro de continuidad

Bitácora de transferencias, accesos, análisis, aperturas, cierres y devolución de evidencia.

08 / 30

Visual registro
Registro de continuidad

Embalaje

Rótulo de embalaje

Identifica físicamente el contenedor o soporte para evitar confusión, sustitución o pérdida.

09 / 30

Visual rótulo
Rótulo de embalaje

Secuencia

Flujo recomendado

La cadena debe seguir una secuencia verificable y consistente con el ciclo de vida de la evidencia.

10 / 30

Secuencia proceso
1Identificar y describir la fuente
2Fotografiar, rotular y embalar
3Preservar y controlar accesos
4Registrar transferencias y análisis

Preservación

Condiciones de resguardo

Se deben documentar ubicación, acceso, sellos, embalaje, estado del dispositivo y cualquier riesgo de alteración.

11 / 30

Puntos clave síntesis
AccesoSolo personal autorizado.
SelladoBolsa, rótulo o contenedor.
AmbienteCondiciones apropiadas.
ControlRegistro de apertura/cierre.

Hash

Integridad digital

El hash conecta cadena de custodia y verificación técnica: ayuda a demostrar que el objeto analizado conserva su contenido.

12 / 30

Puntos clave síntesis
InicialAl recibir o adquirir.
FinalAl concluir análisis.
AlgoritmoPreferible SHA-256.
AnexoValor completo sin truncar.

Original y copia

Qué se custodia

Puede custodiarse el dispositivo original, la imagen forense, el archivo exportado, el paquete de evidencia o todos ellos.

13 / 30

Comparativo criterios
Original
  • Dispositivo o fuente primaria
  • Mayor sensibilidad
  • Requiere mínimo manejo
Copia forense
  • Objeto de análisis
  • Debe vincularse por hash
  • Reduce riesgo al original

Roles

Responsables

Cada intervención requiere identificar a la persona y su rol: entrega, recibe, transporta, analiza, revisa o custodia.

14 / 30

Puntos clave síntesis
CustodioResguardo y control.
PeritoAdquisición y análisis.
SolicitanteEntrega o autoriza.
ReceptorRecibe formalmente.

Errores

Rupturas comunes

Una cadena débil suele aparecer por omisiones simples: sin fecha, sin firma, sin descripción o con manipulación previa.

15 / 30

Comparativo criterios
Riesgo
  • Capturas aisladas
  • Sin hash
  • Sin fuente
  • Sin responsable
Corrección
  • Registro completo
  • Hash verificable
  • Fuente identificada
  • Transferencias documentadas

Evidencia móvil

Dispositivos móviles

Teléfonos y tablets requieren cuidado adicional por conectividad, cifrado, batería, sincronización y cambios de estado.

16 / 30

Secuencia proceso
1Documentar estado del equipo
2Reducir riesgo de conexión remota
3Preservar credenciales cuando proceda
4Entregar a extracción técnica

Evidencia online

Contenido en Internet

Publicaciones, perfiles y URLs requieren captura técnica, fecha, hora, dirección, usuario y método de preservación.

17 / 30

Puntos clave síntesis
URLRuta completa.
FechaMomento de captura.
ContextoPerfil, usuario, entorno.
MétodoHerramienta y operador.

Documentación

Fotografías y anexos

Las fotografías de pantalla, embalaje, estado físico y rótulos complementan la cadena documental.

18 / 30

Visual control
Fotografías y anexos

Informe

Cómo explicarlo al tribunal

El informe debe narrar la cadena con claridad: origen, preservación, transferencias, análisis e integridad.

19 / 30

Secuencia proceso
1Resumen del objeto
2Cronología de custodia
3Método técnico aplicado
4Conclusión sobre integridad

Checklist

Antes de recibir evidencia

Preparar formularios, rótulos, medios limpios, cámara, hash, bitácora y responsable evita omisiones.

20 / 30

Puntos clave síntesis
FormularioDisponible antes de recibir.
RótuloCódigo y descripción.
MedioLimpio y controlado.
BitácoraLista para eventos.

Checklist

Durante el análisis

Toda apertura, copia, extracción, cálculo de hash o acceso al contenido debe registrarse.

21 / 30

Secuencia proceso
1Registrar evento
2Describir acción
3Indicar herramienta
4Firmar o validar

Checklist

Después del análisis

Cerrar la evidencia implica registrar devolución, almacenamiento, hashes finales y anexos generados.

22 / 30

Puntos clave síntesis
CierreEvento final.
HashVerificación.
AnexosReportes y fotos.
ArchivoUbicación de resguardo.

Estándares

Referencias técnicas

NIST, SWGDE y UNODC ofrecen orientación útil para gestión y manejo de evidencia digital.

23 / 30

Referencias base

NIST Evidence Management

SWGDE Digital Evidence Collection

UNODC Handling Digital Evidence

Aplicación práctica

Escenario práctico 4

Aplicar el mismo criterio a correos, WhatsApp, archivos, videos, dispositivos y redes sociales: identificar, preservar, documentar y validar.

24 / 30

Puntos clave síntesis
IdentificarFuente y alcance.
PreservarEvitar alteración.
DocumentarCadena completa.
ValidarHash o método.

Aplicación práctica

Escenario práctico 5

Aplicar el mismo criterio a correos, WhatsApp, archivos, videos, dispositivos y redes sociales: identificar, preservar, documentar y validar.

25 / 30

Puntos clave síntesis
IdentificarFuente y alcance.
PreservarEvitar alteración.
DocumentarCadena completa.
ValidarHash o método.

Aplicación práctica

Escenario práctico 6

Aplicar el mismo criterio a correos, WhatsApp, archivos, videos, dispositivos y redes sociales: identificar, preservar, documentar y validar.

26 / 30

Puntos clave síntesis
IdentificarFuente y alcance.
PreservarEvitar alteración.
DocumentarCadena completa.
ValidarHash o método.

Aplicación práctica

Escenario práctico 7

Aplicar el mismo criterio a correos, WhatsApp, archivos, videos, dispositivos y redes sociales: identificar, preservar, documentar y validar.

27 / 30

Puntos clave síntesis
IdentificarFuente y alcance.
PreservarEvitar alteración.
DocumentarCadena completa.
ValidarHash o método.

Aplicación práctica

Escenario práctico 8

Aplicar el mismo criterio a correos, WhatsApp, archivos, videos, dispositivos y redes sociales: identificar, preservar, documentar y validar.

28 / 30

Puntos clave síntesis
IdentificarFuente y alcance.
PreservarEvitar alteración.
DocumentarCadena completa.
ValidarHash o método.

Aplicación práctica

Escenario práctico 9

Aplicar el mismo criterio a correos, WhatsApp, archivos, videos, dispositivos y redes sociales: identificar, preservar, documentar y validar.

29 / 30

Puntos clave síntesis
IdentificarFuente y alcance.
PreservarEvitar alteración.
DocumentarCadena completa.
ValidarHash o método.

Cierre

Conclusión operativa

Una cadena de custodia sólida no garantiza por sí sola la admisibilidad, pero reduce dudas sobre origen, continuidad e integridad de la evidencia digital.

30 / 30

Puntos clave síntesis
ClaridadHistoria verificable.
IntegridadHash y resguardo.
ContinuidadEventos documentados.
DefensaMenos puntos débiles.