Rodolfo Núñez Robinson (*) y Daniel Núñez Robinson (**)
I. Sobre los medios de prueba en el proceso: bases esenciales
El medio probatorio es una herramienta jurídica indispensable que nos permite trasladar un hecho del mundo fuera del expediente al proceso con el objetivo de generar convicción al juzgador respecto del hecho que deseamos acreditar.
Para lograr tales fines, la legislación procesal nos brinda un catálogo de medios de prueba que están divididos entre típicos y atípicos. En sencillo, los primeros son aquellos que se encuentran regulados taxativamente (como el documento, la declaración de parte, el testimonio, la pericia y la inspección judicial); mientras que los atípicos son aquellos medios probatorios que no tienen reglas definidas en el Código Procesal Civil, pero que, aún así, se admiten en el proceso en la medida que logran trasladar un hecho de la realidad al proceso que aporte a la teoría del caso de la parte.
Así, uno puede ofrecer un medio de prueba al proceso (etapa de ofrecimiento), el Juez lo evaluará para determinar su admisión (luego de que el medio probatorio supere el saneamiento probatorio), lo actuará en la etapa pertinente (etapa de actuación de la prueba que variará según el tipo de medio de prueba) y lo valorará (etapa de valoración al momento de resolver un incidente o el principal).
Ahora bien, para efectos de este trabajo, resulta importante detenernos en la etapa de admisión probatoria en donde se realiza el saneamiento probatorio. Para ello, el órgano jurisdiccional, quien es el responsable de ejercer el control jurisdiccional sobre lo aportado por las partes, se rige no solo bajo las reglas normativas, sino bajo los principios probatorios generales:
- Principio de pertinencia: principio que exige que se presente una relación lógica-jurídica con el thema probandum. En otras palabras, se considera que un medio de prueba es pertinente cuando el objeto de prueba tiene alguna relación (incluso tangencial) con la causa petendi de ambas partes. Si no tiene ningún tipo de relación, entonces el mismo será rechazado (sea liminarmente o a pedido de parte a través de una cuestión probatoria). Conviene destacar que el artículo 190 del Código Procesal Civil establece una lista enunciativa de hechos que son improcedentes in limine por impertinentes.
- Principio de idoneidad: el principio de idoneidad busca controlar que el medio de prueba que se ofrece permita, de alguna manera, acreditar algún elemento del thema probandum. En rigor, todos los medios probatorios son idóneos para acreditar algo (por algo están regulados en la norma procesal), por lo que el elemento central que se analizará en este extremo es identificar la existencia de limitaciones legales respecto a los actos de alegación probatorias (por ejemplo, la limitación de ofrecimiento de medios probatorios en los procesos únicos de ejecución).
De más está decir que la idoneidad no se define, como algunos académicos suelen hacer equivocadamente, como una situación en donde la norma procesal señala que un hecho se prueba con un medio probatorio específico. Este error soslaya que la tarifa legal ha sido superada en nuestro ordenamiento jurídico y, a la fecha, el criterio de valoración probatoria es la libre valoración de la prueba o sana crítica.
- Principio de preclusión: el principio de preclusión controla que el medio de prueba se presente dentro del plazo que cada vía procesal prevé. Sin embargo, este principio tiene una excepción compuesta por la teoría de los hechos nuevos que pueden ser propios (producidos de manera posterior al acto postulatorio) o impropios (producidos de manera previa al acto postulatorio, pero la posibilidad de conocerlos era nula o altamente improbable).
- Principio de utilidad: este principio busca controlar que el medio de prueba que se ofrezca sea capaz de brindar un servicio al juzgador a efectos de cumplir con el fin de la prueba, que es acreditar los hechos expuestos por las partes, producir certeza en el órgano jurisdiccional respecto de los puntos controvertidos y fundamentar sus decisiones. Conviene destacar que el artículo 190 del Código Procesal Civil establece una lista enunciativa de hechos que son improcedentes in limine por inútiles.
- Principio de legalidad o licitud: el principio de legalidad o licitud controla que la forma de obtención del medio probatorio no sea contraria a Derecho (por ejemplo, a través de un delito o, en general, la vulneración de cualquier derecho fundamental). Aquí se aplica la clásica teoría del fruto del árbol envenenado y su contraposición, que es la doctrina de la atenuación.
En buena cuenta, todo proceso debe respetar estos principios, siendo el órgano jurisdiccional el responsable de controlarlos y las partes podrán coadyuvar a ello a través de la proposición de cuestiones probatorias (las cuales constituyen cargas procesales). Lo interesante es que, al ir evolucionando la sociedad y, en consecuencia, los conflictos, se han ido creando también nuevas formas de probar hechos y nuevas herramientas para trasladar dichos elementos fácticos al proceso.
En esta oportunidad, al ser nuestro objeto de estudio la evidencia cibernética, vamos a desarrollar los aspectos técnicos esenciales sobre el particular y cómo las lex mercatoria ha fijado siete principios adicionales que deben leerse en conjunto para determinar su admisibilidad y procedencia.
II. Aspectos técnicos especiales de la prueba cibernética
Comencemos con un ejemplo: el hash. El hash es un identificador único generado a partir de la información contenido en un archivo o en un conjunto de estos. Es, en otras palabras, un código único de identificación o huella digital informática que puede verse así: 99800b85d3383e3a2fb45eb7d0066a4879a9dad0. Comprobemos que ello sea real.
A continuación, veremos tres archivos con el mismo texto (Daegis, que hace referencia al nombre de nuestra consultora en Derecho y Ciberseguridad denominada Delta Aegis), pero que están guardadas bajo distintos nombres de archivos en el procesador de texto Microsoft Word (Daegis1, Daegis2 y Daegis3):
A pesar de que los tres archivos tengan el mismo contenido (seis caracteres exactamente idénticos), en ninguna computadora en ninguna parte del mundo deberá existir dos archivos o conjunto de ellos con el mismo hash (aunque hay casos extremadamente improbables en donde esto podría suceder y se le denomina como colisión). Veamos, por ejemplo, el hash de los tres archivos antes mostrados previamente:
¿Por qué es importante el hash? Porque evidencia la integridad de la información que extraemos. Si este cambia en algún momento, no existirá coincidencia entre el documento inicial y el documento analizado, lo cual elimina la eficacia del medio de prueba al haberse generado una alteración en su contenido y, por lo mismo, una modificación de la realidad que se quiere probar. Esto es particularmente relevante en el proceso -sea judicial o arbitral- o procedimiento, puesto que un vicio intrínseco del medio de prueba generará que sea inútil para acreditar un hecho de manera fidedigna.
A efectos de evitar que cambios “indeseados” ocurran -o cambios malintencionados de agentes que pueden querer sabotear la información contenida en un servidor, red o computadora-, se sugiere seguir una serie de medidas de protección de la integridad de a información.
Es importante resaltar que las acciones adoptadas desde la primera respuesta son vitales para mantener la admisibilidad y procedencia probatoria, siendo imprescindible adherirse a estándares internacionales y a la legislación nacional para justificar las acciones tomadas para la extracción de información. Las actividades realizadas deben tener un orden específico, y deben venir acompañadas de hardware y software que será necesario a lo largo del proceso forense.
La teoría y las actividades que se describen a continuación se encuentran respaldadas por estándares internacionales, tales como, entre otros, el ISO/IEC 27037:2012 Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence.
A. La cadena de custodia (Chain of Custody)
Primeramente, y como presupuesto indispensable, toda evidencia cibernética debe seguir una cadena de custodia (Chain of Custody). Esta metodología de transferencia y asignación de responsabilidad es vital para garantizar el principio de no-repudio durante el proceso forense (rendición de cuentas), prevenir el “yo no fui” y mantener la formalidad en las actividades.
Para ello, se debe llenar un formulario simple con las especificaciones de la evidencia física recibida (sobre dispositivos electrónicos, datos sobre estos como el fabricante, modelo, código del producto, número de serie, tamaño disponible, entre otros). La cadena luego debe ser firmada cada vez que pase a manos de otra persona, con una confirmación de quién recibe y entrega esta evidencia con firmas y motivos para la transferencia. Un modelo sencillo de este mecanismo de seguridad lo proporciona el SANS Institute, el cual sigue indefinidamente hasta que acabe la cadena de custodia:
B. Proceso de adquisición de información – preparación y recolección
Obviamente, para poder leer información propia de un sistema cibernético (sea una red, un sistema o una computadora), esta debe ser preparada y recolectada mediante un proceso altamente complejo y técnico. Este paso resulta medular, puesto que, de no preparar y recolectar la información, podríamos quedarnos con una línea de texto (string) que poco o ningún operador jurídico va a poder interpretar sin el uso de herramientas adicionales. Ahí es donde entra el perito en ciberseguridad y forencia digital.
Entonces, adicionalmente a la cadena de custodia que debe ser respetada en todo momento en que se manipule un objeto que será objeto de extracción de información, en esta etapa de preparación y recolección de información se deben seguir estándares de diligencia supina para la realización de dicha actividad.
Para tales efectos se recomienda: i) especificar en un acuerdo de servicio las actividades que se realizarán taxativamente con la evidencia recibida con el objetivo de prevenir riesgos a futuro; ii) inventariar la cantidad de dispositivos electrónicos por recibir; y, iii) preparar medios de almacenamiento con encriptación -parte de la lex mercatoria– con la finalidad de asegurar la confidencialidad e integridad de la información por extraer.
Cabe precisar que, de la mano con estas buenas prácticas forenses, todo objeto de preparación y recolección, una vez recibido, debe ser registrado en una cadena de custodia para cada movimiento que se realice, sea de transferencia de posesión del objeto o de manipulación del mismo; siendo, además, que de requerir su desensamble, debe de grabarse el proceso de apertura y cierre, y el detalle de los discos identificados.
Para todos estos efectos, se debe de utilizar un equipo profesional que proteja al equipo como una banda anti estática y un kit de herramientas de confianza. En todos los casos, de existir información volátil o en riesgo de pérdida, se debe priorizar esta para la siguiente fase.
C. Proceso de adquisición de información – extracción
En esta etapa, al igual que en las anteriores, resulta imprescindible garantizar la integridad y validez de la información digita con el objetivo de que pueda ser usada eficazmente en procesos o procedimientos. Para ello, es menester seguir una serie de pasos mínimos que se encuentran respaldados por las normas técnicas y estándares internaciones que plasman el diseño de las mejores prácticas que aseguran que la evidencia sea fiable y que no sufra alteraciones durante su manipulación.
Así, uno de los primeros pasos en el proceso extractivo es la creación de una copia digital de la información. Esto puede involucrar la copia de un disco completo, una partición específica o, incluso, de archivos individuales. La finalidad de este paso es preservar el estado original de la evidencia digital, de manera que cualquier análisis o manipulación se realice sobre una copia mientras que la evidencia original permanece intacta y sin cambios. Este es un principio fundamental, ya que la alteración del estado original de la evidencia puede comprometer su validez y su admisibilidad frente a algún órgano jurisdiccional o administrativo.
Todo método de extracción que se utilice debe, sin excepción, estar completamente documentado. Dicho registro es esencial para proporcionar transparencia y garantizar que el proceso se llevó a cabo de manera adecuada. Dicha documentación debe incluir detalles sobre las herramientas utilizadas, que pueden ser tanto de software como de hardware, así como las fechas en que se realizaron las extracciones y los nombres de las personas presentes durante el proceso. Este registro garantiza que cualquier persona que evalúe el proceso de adquisición pueda verificar su legalidad y corrección técnica, así como asignar responsabilidades en caso de destrucción de la información o del sistema (principio de no repudio).
A su turno, otro aspecto crucial a considerar es que la extracción de la información debe realizarse de manera práctica y poco intrusiva, con el fin de evitar generar cambios en la evidencia de origen. Cualquier modificación en los datos originales puede comprometer la cadena de custodia y, por lo tanto, la validez y eficacia de la evidencia. Para evitar este tipo de alteraciones, es común el uso de software o hardware de bloqueo de escritura. Estos dispositivos impiden que cualquier dato sea insertado en la fuente original de la evidencia, preservando así su estado inalterado desde el momento de su recepción hasta el análisis final.
Una vez que se ha realizado la copia de la evidencia digital, es necesario llevar a cabo una verificación para asegurarse de que la copia es fiel al original. Esta verificación, como se indicó previamente, se puede realizar mediante el uso de técnicas como la generación de un hash, el cual actuará como una suerte de «huella digital», permitiendo a los peritos comparar la copia con el original. Es esencial que tanto la copia como la evidencia original coincidan en esta fase, ya que cualquier discrepancia podría indicar que la evidencia ha sido alterada de alguna manera, lo que comprometería su validez y eficacia.
Finalmente, tanto la copia de la evidencia como el Hash generado deben estar asociados a una estampa de tiempo (time stamp) específica, lo que añade un nivel adicional de seguridad al proceso. La estampa de tiempo sirve como prueba de cuándo se realizó la extracción y verificación, lo cual es crucial para mantener la integridad de la cadena de custodia de la evidencia. La coincidencia entre la copia, el hash y la estampa de tiempo proporciona una sólida base técnica y jurídica para que el medio de prueba y su contenido sea presentada ante algún órgano jurisdiccional o administrativo sin problemas.
C. Proceso de adquisición de información – preservación y reportes
En el caso de la prueba digital, mantener su integridad es crucial para asegurar que pueda ser utilizada de manera confiable. Desde su obtención hasta su análisis y presentación en un proceso o procedimiento, el medio probatorio debe estar sujeto a estrictos controles para evitar alteraciones o daños que puedan comprometer su valor probatorio.
Como primer aspecto clave en la preservación de la evidencia digital, debemos procurar su protección física, tanto del objeto original como de sus copias. La pérdida total o parcial de la evidencia puede generar reprocesos o, en el peor de los casos, la imposibilidad de llevar a cabo un análisis adecuado.
Por ello, es crucial realizar respaldos seguros de las copias de la evidencia digital. Estos respaldos deben ser almacenados en ubicaciones seguras, y la evidencia original debe mantenerse en condiciones que prevengan su deterioro o acceso no autorizado. En muchas ocasiones, se utilizan sellos de seguridad (lacrado), cajas fuertes o entornos controlados para garantizar que la evidencia permanezca intacta y accesible solo para los peritos forenses (lo cual nos habla de la seguridad física, administrativa y lógica de la ciberseguridad).
Como hemos venido diciendo, uno de los principios rectores del manejo de evidencia digital es la integridad de la información. Esta integridad debe poder demostrarse en cualquier momento del proceso, desde la obtención de la evidencia hasta su análisis y presentación en el proceso. Para tales efectos, una técnica comúnmente utilizada para verificar la integridad es la generación de hashes o sumas de verificación (hash más seguridad física inalterada).
Si la evidencia digital es alterada en algún momento, el hash cambiará o el sello de seguridad se romperá o manipulará, lo que permitirá detectar cualquier modificación. Esto, claro está, generará como consecuencia la ineficacia de la prueba, pues no reflejará la realidad. Para ello, insistimos, cualquier cambio que se realice sobre la evidencia digital, por más pequeño que sea, debe estar documentado de manera extensiva y detallada. Esta documentación debe incluir quién realizó el cambio, cuándo y por qué motivo, a fin de que pueda ser evaluada posteriormente.
Una vez finalizada la obtención de la información fáctica, se debe realizar un informe experto objetivo de los hallazgos. Este reporte es fundamental, ya que ofrece una visión clara de lo identificado durante el análisis forense. El informe debe estar basado en el acuerdo del servicio entre el perito o investigador y el cliente, y debe cumplir con los requisitos legales y técnicos establecidos.
El objetivo es proporcionar al cliente y/o al órgano jurisdiccional o administrativo una explicación clara y fundamentada sobre la evidencia y sus implicaciones. Este informe debe incluir no solo los hallazgos, sino también una descripción detallada de los procedimientos utilizados para obtener y analizar la evidencia, lo que ayudará a sustentar la validez y eficacia de los resultados presentados.
Además, los reportes deben contener evidencias de todas las actividades realizadas durante el proceso de adquisición y análisis de la información. La inclusión de esta evidencia es crucial, ya que permitirá a terceros, tales jueces o abogados, revisar el proceso en su totalidad y asegurarse de que se ha seguido el protocolo adecuado. Este tipo de informes también deben contar con la documentación necesaria para certificar que todos los pasos se han llevado a cabo correctamente y deben estar aprobados por un fedatario informático.
Este último, recordemos, es un profesional especializado quien da fe de la autenticidad de los procedimientos realizados y de la evidencia presentada. La aprobación de un fedatario añade un nivel adicional de credibilidad y transparencia al proceso, asegurando que la evidencia sea aceptada en entornos judiciales o investigativos.
III. Principios probatorios especiales de procedencia de la prueba cibernética
Como podemos apreciar, existen una serie de requisitos técnicos y legales que se deben de considerar a fin de hacer que la prueba cibernética sea eficaz en un proceso jurisdiccional o administrativo. Dada el alto nivel de tecnicismo, la norma técnica ISO/IEC 27037:2012 establece principios probatorios adicionales que deben ser respetados para asegurar la eficacia y validez de esta:
- Principio de relevancia: similar al principio de pertinencia, este elemento obliga que exista una relación fáctica con los hechos digitales. En otras palabras, se deberá demostrar que la evidencia digital que haya sido preparada, recolectada y extraída tenga una relación directa o indirecta con el objeto de adquisición informática. Para ello, por poner un ejemplo, se puede verificar con la coincidencia del hash.
- Principio de confianza: se impone que todos los procesos usados para manipular la evidencia digital deben poder ser auditables y repetibles; debiendo los resultados ser reproducibles. Así, se instaura una obligación sobre las partes de asegurarse de que los medios probatorios digitales son lo que aparentan ser.
- Principio de suficiencia: no solo existe un deber de recolectar suficientes medios probatorios digitales para poder examinar adecuadamente los elementos del caso en dicho rubro, sino que se debe de haber extraído suficiente material para que se pueda llevar a cabo una investigación serie y diligente. Sobre esto último resulta imprescindible que el perito pueda justificar, de todo el material extraído, cuánto y cuáles usó, y por qué realizó tal segregación.
- Principio de auditoría: partiendo de la premisa de que toda acción tomada en el proceso forense debe y puede ser auditada para evaluar la investigación experta, se debe se documentar absolutamente toda medida y/o acción adoptada en dicha etapa.
- Principio de replicabilidad: todo resultado debe poder ser replicado por otras personas con los mismos métodos y procedimientos en cualquier momento. Es decir, de seguir todos los pasos que realizó el investigador forense, siempre deberá de poder llegarse el mismo resultado.
- Principio de repetibilidad: similar al principio de replicabilidad, pero el enfoque de esta directriz es que el resultado debe poder obtenerse con distintas herramientas y bajo diferentes condiciones.
- Principio de justificación: toda decisión tomada durante el manejo de la evidencia debe poder ser justificada con documentación que demuestre y acredite cómo es que se están cumpliendo los seis principios anteriores.
Si bien dichos principios no son vinculantes para al ser normas técnicas internacionales, las mismas deben consideradas como parte de la lex mercatoria (costumbre) y, por lo mismo, empleables como parámetros de control ante vacíos normativos en esta materia (salvo que las partes las fijen como vinculantes en operaciones contractuales complejas que recurran al arbitraje o, incluso, al fuero judicial).
Sobre los autores:
(*) Abogado egresado de la Facultad de Derecho de la Pontificia Universidad Católica del Perú. Actualmente, es un destacado abogado especialista en Derecho Procesal, Constitucional y Ciberseguridad (gestión de riesgos). Asimismo, es Socio Co-fundador de Delta Aegis, Consultora en Derecho y Ciberseguridad y Asociado Senior del Estudio Amprimo, Flury, Barboza & Rodríguez Abogados.
(**) Socio Cofundador de Delta Aegis, primera consultora interdisciplinaria en el Perú de Derecho y Ciberseguridad. Es científico de la computación por la UPC y especializado en Ciberseguridad por el MIT.