Knight4sec

Cadena de Custodia de Evidencia Digital en Smartphones: Elementos Esenciales y Marco Legal en México

By

Kobur AX
5–8 minutos

La evidencia digital contenida en smartphones se ha convertido en una pieza clave en investigaciones criminales y litigios civiles en México. Desde conversaciones de WhatsApp hasta registros de ubicación y metadatos de imágenes, cada archivo dentro de un dispositivo móvil puede ser determinante para un juez. Sin embargo, por sí sola, una imagen extraída de un teléfono celular no prueba nada. Su valor probatorio depende casi por completo de una correcta cadena de custodia.

Este artículo analiza los elementos esenciales que deben considerarse para garantizar la integridad de una imagen contenida en un smartphone, basándose en la ISO/IEC 27037 (adoptada en México como NMX-I-27037-NYCE-2015) y alineándose con los requisitos de pertinencia y autenticidad exigidos por los tribunales mexicanos.

1. El Marco Normativo: La ISO/IEC 27037 y su Adopción en México

Para hablar de cadena de custodia digital en México, es indispensable referirse a la NMX-I-27037-NYCE-2015. Se trata de la adopción idéntica de la norma internacional ISO/IEC 27037:2012, titulada «Tecnologías de la Información – Técnicas de Seguridad – Directrices para la Identificación, Recopilación, Adquisición y Preservación de la Evidencia Digital» .

Esta norma mexicana es VIGENTE desde su publicación en el Diario Oficial de la Federación (DOF) el 25 de febrero de 2016, con entrada en vigor el 25 de abril de 2016. Su propósito es proporcionar directrices para el manejo de evidencia digital en dispositivos como teléfonos móviles, tarjetas de memoria y cámaras digitales, facilitando el intercambio de evidencia entre jurisdicciones y garantizando su validez en procedimientos disciplinarios y legales.

En México, se ha promovido activamente la adopción de este estándar para la investigación de delitos cibernéticos, buscando estandarizar los procesos y asegurar la colaboración entre instituciones y peritos en forensia digital.

2. Pertinencia de la Evidencia: ¿Sirve esta imagen para el caso?

Antes de tocar el teléfono, el primer filtro es jurídico y estratégico. Pertinencia significa que la imagen debe estar directamente relacionada con los hechos que se investigan. No basta con que la imagen exista; debe ayudar a probar o refutar un hecho controvertido en el juicio.

Para que una imagen sea considerada pertinente por un juez, el perito o el ministerio público debe responder «Sí» a las siguientes preguntas:

  1. Utilidad: ¿Esta imagen aporta claridad sobre el modus operandi, la identidad del responsable o la ubicación de la víctima?
  2. Legalidad: ¿Fue obtenida respetando los derechos humanos (por ejemplo, con orden de cateo o consentimiento del propietario)? La «teoría del fruto del árbol envenenado» aplica también al mundo digital. Una imagen relevante pero obtenida ilegalmente será desechada.
  3. Autenticidad Potencial: Dado que los smartphones permiten la edición instantánea (filtros, Photoshop, capturas de pantalla modificadas), el perito debe verificar técnicamente que la imagen no haya sido manipulada después de su creación (metadatos, hash).

3. Los Elementos de la Cadena de Custodia (Basados en ISO 27037)

La cadena de custodia es el registro cronológico que documenta el camino recorrido por la evidencia digital desde su hallazgo hasta su presentación en la corte. La ISO/IEC 27037 establece un proceso dividido en cuatro fases clave para el manejo de la evidencia.

A continuación, se detallan los elementos críticos que deben documentarse para una imagen encontrada en un smartphone:

A. Identificación (Hallazgo)

  • Elemento: Reconocimiento de que el smartphone contiene datos con valor probatorio.
  • Acción: El primer respondedor (policía o perito) debe identificar el dispositivo sin apagarlo ni manipularlo innecesariamente para evitar la alteración de datos volátiles o el bloqueo remoto.
  • Documentación: Hora exacta, lugar, condiciones del dispositivo (encendido/apagado, pantalla bloqueada, estado de la batería).

B. Recopilación (Colección)

  • Elemento: Aislamiento físico del dispositivo.
  • Acción: Si el teléfono está encendido, se debe colocar en una Jaula de Faraday o activar el «modo avión» (si ya está desbloqueado) para evitar señales de radiofrecuencia que permitan el borrado remoto o la llegada de nuevos mensajes que modifiquen la escena del crimen digital.
  • Documentación: Número de serie (IMEI), marca, modelo y número de teléfono asociado (SIM).

C. Adquisición (La copia forense)

  • Elemento: Creación de una copia exacta (bitstream) del almacenamiento interno y la tarjeta SD.
  • Herramientas: Uso de bloqueadores de escritura (write-blockers) o software forense especializado (como Cellebrite, Magnet AXIOM, XRY) que respete la integridad de los datos.
  • Regla de oro (ISO 27037): La adquisición debe realizarse sobre la copia de trabajo (imagen forense)nunca sobre el dispositivo original. El original debe ser preservado inalterado.
  • Imagen Específica: Para extraer una imagen específica, el perito debe localizarla dentro de la estructura de archivos fragmentada del sistema operativo (Android/iOS) y extraerla junto con sus metadados EXIF (fecha, GPS, modelo de cámara).

D. Preservación (Integridad)

  • Elemento: Demostrar que la evidencia no ha cambiado desde su incautación.
  • Mecanismo: Cálculo de Hashes Criptográficos (SHA-256, MD5). Es como una «huella digital» del archivo. Si la imagen cambia un solo píxel, el hash cambia por completo.
  • Almacenamiento: La imagen y la copia forense deben guardarse en dispositivos de solo lectura o en repositorios seguros bajo llave, con registro de quién y cuándo accedió al dato.

4. La Documentación: El «Diario de Navegación» del Perito

Un juez no es técnico, pero sabe leer documentos. Para que la imagen sea aceptada, la cadena de custodia debe estar plasmada en un Formato Continuo de Evidencia. Este informe debe incluir:

  1. Identificación del responsable: Quién tomó el teléfono, quién lo embaló, quién hizo la copia forense y quién la custodia. Cada persona firma y sella.
  2. Registro de Herramientas: Número de serie del write-blocker, versión del software forense, marca del disco duro donde se guardó la copia.
  3. Logs Detallados: Hora en que se conectó el cable USB, hora en que se calculó el hash, hora de sellado de la bolsa de evidencia.
  4. Valor Hash: Incluir el valor hash de la imagen original y de la copia. Si coinciden, la evidencia es auténtica.

5. Buenas Prácticas y Errores Comunes

Lo que se debe hacer:

  • Fotografiar la escena: Tomar fotos de cómo se encontró el smartphone (en qué aplicación estaba, si estaba cargando, la posición de la pantalla).
  • Aislar la batería: En dispositivos con baterías extraíbles, retirar la batería es la forma más segura de apagar un dispositivo sin riesgo de alteración (si la ley lo permite).
  • Usar estándares internacionales: Aplicar la NMX-I-27037-NYCE-2015 es un plus de credibilidad ante el juez, ya que demuestra que el perito actuó con protocolos de clase mundial.

Los «Pecados Capitales» que invalidan la prueba:

  • Navegar por el teléfono: El peor error. Revisar la galería (bajar o subir fotos) modifica el «último acceso» y puede dañar la metadata. «Si lo ves, no lo toques; si lo tocas, documenta; si lo extraes, hashea».
  • Conectar a carga pública: Conectar el teléfono a un puerto USB público o a la computadora del perito sin bloqueador de escritura puede inyectar malware o modificar archivos.
  • Romper la cadena: Dejar el teléfono en un cajón sin llave o sin registro de quién lo sacó genera «vulnerabilidad de custodia», dando pie a la defensa para alegar plantación de evidencia.

Conclusión

En el ámbito legal mexicano, la simple existencia de una imagen subida de tono o violenta dentro de un smartphone no es suficiente para una condena. El juez requiere la certeza de que esa imagen estuvo ahí desde el momento de la detención y no fue introducida, editada o manipulada posteriormente.

Aplicar los principios de la ISO/IEC 27037 a través de su homóloga mexicana NMX-I-27037-NYCE-2015 es la mejor práctica para garantizar la integridad y autenticidad de la evidencia. La cadena de custodia protege tanto los derechos del imputado (evitando pruebas falsas) como la eficacia de la investigación.

Recuerde: En la sala de audiencias, el héroe no es el software caro ni el teléfono último modelo; es el papel (la documentación) que respalda cada clic y cada conexión.

Comments

Deja un comentario

Check also

View Archive [ -> ]

Browse all notes

Descubre más desde Knight4sec

Suscríbete ahora para seguir leyendo y obtener acceso al archivo completo.

Seguir leyendo