Cadena de custodia digital: 7 errores que invalidan una prueba
Una evidencia digital no se cae solo por su contenido: muchas veces se cae por cómo fue tratada desde el primer minuto. Este resumen te ayuda a evitar errores evitables antes de llevar un caso a juicio.
Publicado: 25 marzo 2026 · Autor: Adrián Camero Esteban · Lectura: 6 min
Por qué importa tanto la cadena de custodia
En informática forense no basta con decir "esto estaba en el móvil" o "este correo es auténtico". Hay que poder explicar quién tuvo acceso al soporte, qué se hizo sobre él, cuándo se hizo y con qué garantías de integridad. Si esa historia técnica no es sólida, la otra parte tendrá una vía clara para cuestionar la fiabilidad de la prueba.
En términos prácticos, la cadena de custodia es la trazabilidad completa de una evidencia: desde que se detecta, pasando por su preservación, traslado, análisis y presentación. Cualquier salto no documentado genera dudas. Y en sede judicial, la duda sobre el proceso puede pesar más que el contenido.
Los 7 errores más frecuentes
- Manipular el dispositivo antes de preservar: abrir apps, reenviar mensajes o hacer limpiezas puede alterar metadatos relevantes.
- No documentar cronología: sin fechas, horas y responsables claros, la trazabilidad se rompe.
- Trabajar sobre el original sin copia forense: aumenta el riesgo de modificación involuntaria y de impugnación.
- Uso de herramientas no validadas: extraer datos con métodos improvisados compromete reproducibilidad técnica.
- Falta de control de accesos: múltiples personas tocando el soporte sin registro destruyen la cadena.
- Guardar evidencias sin controles de integridad: no calcular ni conservar hash dificulta acreditar que nada cambió.
- Llegar tarde: en entornos cloud y móviles, la evidencia se degrada rápido por rotación de logs, cambios o borrados.
Qué hacer desde las primeras horas
Si sospechas que un soporte digital será relevante en un procedimiento, conviene actuar con una lógica simple: preservar primero, analizar después. La prioridad inicial es congelar estado y documentar contexto, no sacar conclusiones rápidas.
Un protocolo mínimo inicial suele incluir: identificación del soporte, aislamiento razonable, registro de responsables, captura de información contextual y coordinación técnica con perito antes de manipular contenido sensible.
Regla práctica
Cuanto más crítico sea el caso, menos improvisación y más trazabilidad escrita. Lo no documentado suele ser lo primero que se cuestiona.
Checklist rápido antes de actuar
- Define quién custodia cada soporte y desde qué momento.
- Evita manipulación innecesaria de móviles, cuentas o discos.
- Documenta cada intervención con fecha, hora y responsable.
- Aplica controles de integridad (hash) cuando corresponda.
- Coordina revisión pericial temprana si prevés litigio.
Si tienes una evidencia sensible, mejor decidir bien desde el inicio
Una revisión técnica temprana puede evitar perder fuerza probatoria en fases posteriores. Si quieres, valoramos tu situación y te indicamos el siguiente paso más seguro.