1.1 Informática: Evolución y Doctrina en las Ciencias Forenses

La informática se define académicamente como el conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automático de la información por medio de ordenadores. Etimológicamente, el término sintetiza los conceptos de "información" y "automática", subrayando la capacidad de los sistemas de procesar datos de forma racional y sistemática. En el espectro del derecho y la criminología, la informática no se percibe meramente como una herramienta instrumental, sino como un campo de acción donde se manifiestan nuevos tipos penales y donde se alojan los rastros de la actividad criminal moderna.   

La génesis de esta disciplina se sitúa en 1890 con Herman Hollerith, empleado de la oficina del censo de EE. UU., quien diseñó un sistema de procesamiento de datos basado en tarjetas perforadas para agilizar el recuento poblacional. Este hito permitió que una tarea que tradicionalmente tomaba una década se completara en meses, sentando las bases de la corporación que más tarde se conocería como International Business Machines (IBM) en 1924. Sin embargo, la interrelación formal entre informática y derecho —la informática jurídica— comenzó a gestarse a mediados del siglo XX con la aparición de la cibernética de Norbert Wiener en 1948 y la jurimetría de Lee Loevinger en 1949.   

Desde una perspectiva criminológica, la informática ha modificado el iter criminis. El auge tecnológico de las décadas de 1980 y 1990 propició un incremento en la ciberdelincuencia, afectando no solo a estructuras gubernamentales o multinacionales, sino también a la mediana empresa y a ciudadanos particulares. Casos mediáticos como el juicio de O.J. Simpson en 1994 pusieron de manifiesto la urgencia de establecer protocolos estandarizados para el tratamiento de la evidencia digital, garantizando su integridad y admisibilidad judicial.   

En respuesta a estos desafíos, los Estados han desarrollado unidades especializadas. En España, por ejemplo, la creación de la Brigada de Investigación Tecnológica en 1995 marcó el inicio de una profesionalización en la lucha contra el ciberdelito. La informática forense, por tanto, surge como la aplicación de técnicas científicas y analíticas para identificar, preservar y documentar pruebas digitales que puedan ser presentadas en un tribunal. Esta disciplina requiere que el profesional no solo posea habilidades técnicas avanzadas, sino también un conocimiento profundo de la normativa vigente para evitar la nulidad de las actuaciones.

1.2 Información: Propiedades, Tipología y Valor Probatorio

En el ámbito de la informática, la información posee un carácter abstracto y se define como el conjunto de datos organizados y procesados que constituyen un mensaje con significado para un receptor. Para la criminología y el derecho, la información es el eje sobre el cual gravita la verdad procesal. La información jurídica se clasifica tradicionalmente en documental (referente a leyes y jurisprudencia), de gestión (administración de tribunales) y decisoria (uso de sistemas expertos).   

La calidad de la información en un proceso forense se mide por atributos específicos. Se considera que la información es completa cuando permite tomar decisiones oportunas basadas en la totalidad de los hechos. Su utilidad o valor radica en la capacidad de esclarecer un hecho punible o confirmar una hipótesis de investigación. En la era digital, cada interacción genera datos que, al ser analizados, producen información sobre hábitos, localizaciones y conductas delictivas.   

Desde una visión académica, la información puede ser clasificada según su forma de representación, lo cual determina las herramientas necesarias para su análisis pericial:

1. Información Textual: Utiliza letras y números para representar conceptos. Es la forma predominante en correos electrónicos y documentos legales.   

2. Información Gráfica: Imágenes y vídeos que suelen ser los datos más fáciles de percibir y tienen un alto impacto persuasivo en sede judicial.   

3. Información Auditiva: Registros de voz y sonidos. Su análisis forense requiere técnicas de cotejo de voz o filtrado de ruido ambiental.   

4. Información Multimedia: Integración de texto, audio y vídeo. Es la forma más común en redes sociales contemporáneas.   

5. Información Landmark (Señalética): Datos de referencia que indican estados o posiciones del sistema.   

La protección de la información personal es un derecho fundamental reconocido en diversas constituciones y tratados internacionales. El derecho a la privacidad implica el control sobre el flujo de datos propios en el entorno digital. No obstante, en la investigación criminal, este derecho puede ser limitado bajo autorización judicial cuando la información contenida en dispositivos electrónicos resulta esencial para proteger bienes jurídicos superiores.   

1.3 Dato: La Unidad Mínima semántica y su Tratamiento Forense

El dato es la representación simbólica de un atributo o variable, carente de sentido propio pero fundamental como materia prima para la generación de información. En arquitectura informática, los datos se almacenan en forma de bits, pero para el jurista y el criminólogo, el dato representa un rastro de actividad humana. La distinción entre dato e información es vital: un registro de una dirección IP es un dato; la vinculación de esa IP con una ubicación física y un usuario concreto en una hora determinada constituye información probatoria.   

Los datos en informática forense se dividen según su persistencia en dos categorías críticas:

• Datos Persistentes: Son aquellos que se almacenan en soportes no volátiles, como discos duros (HDD), unidades de estado sólido (SSD) o tarjetas de memoria. Estos datos permanecen en el dispositivo incluso después de que este sea apagado.   

• Datos Volátiles: Se encuentran en la memoria de acceso aleatorio (RAM) o en tránsito por la red. Son extremadamente efímeros y se pierden permanentemente si el suministro eléctrico se interrumpe. El análisis de datos volátiles es crucial para detectar intrusiones en curso, contraseñas no cifradas y procesos maliciosos activos.   

El concepto de "rastro digital" sugiere que vivimos en una era donde la mayor parte de las interacciones humanas quedan registradas en soportes electrónicos. En la investigación de delitos económicos, por ejemplo, el rastro físico del papel ha sido sustituido por registros de transferencias bancarias, comunicaciones encriptadas y activos virtuales. La integridad del dato es garantizada mediante el uso de algoritmos de reducción criptográfica o funciones Hash (como MD5 o SHA1). Una función Hash genera una "huella digital" única para un conjunto de datos; si un solo bit es alterado, el valor Hash resultante cambia drásticamente, permitiendo verificar la inalterabilidad de la prueba digital desde su recolección hasta su presentación en juicio.   

1.4 Recuperación de Datos: Metodología y Protocolos Forenses

La recuperación de datos es el proceso de rescate de información inaccesible, eliminada o dañada de un soporte digital. En un contexto convencional, el objetivo es simplemente devolver la funcionalidad al archivo; sin embargo, en la recuperación forense, el objetivo es la preservación de la veracidad y la admisibilidad de la evidencia ante tribunales.   

Un perito informático puede recuperar archivos eliminados porque, en la mayoría de los sistemas de archivos, el borrado no destruye la información de forma inmediata, sino que marca el espacio como disponible para ser sobrescrito. La recuperación exitosa depende de que no se hayan realizado nuevas escrituras en esos sectores del disco. Por esta razón, una de las primeras reglas de la informática forense es no encender el equipo sospechoso o, si está encendido, no realizar acciones que modifiquen los metadatos de los archivos.   

El protocolo técnico para la recuperación forense incluye pasos ineludibles. Primero, la sanitización del disco de destino, asegurando que no contenga información previa mediante la sobreescritura con valores aleatorios. Segundo, la adquisición de la imagen forense, que es una copia bit a bit fiel del original. Formatos comunes de imagen incluyen E01 (EnCase), RAW y EX01. Tercero, el uso de técnicas de file carving o tallado de archivos, que permite identificar estructuras de archivos (como encabezados JPEG o documentos PDF) en áreas del disco donde no existe una entrada en la tabla de asignación. Este proceso es fundamental para recuperar pruebas en casos de sabotaje informático o eliminación deliberada de evidencias.

1.5 Software: Clasificación Académica y Aplicaciones Periciales

El software constituye el conjunto de instrucciones lógicas que permiten al hardware realizar tareas específicas. En el currículo de criminología, es esencial comprender la arquitectura del software para auditar procesos y detectar comportamientos anómalos en sistemas comprometidos.   

La clasificación académica del software se divide en tres categorías principales:

• Software de Sistema: Incluye los sistemas operativos (Windows, Linux, macOS), controladores y utilidades que gestionan los recursos de hardware. Su análisis permite entender cómo el sistema gestiona los usuarios, las conexiones de red y los privilegios de acceso.   

• Software de Aplicación: Programas diseñados para que el usuario realice tareas específicas. Aquí se incluyen navegadores web, suites de ofimática, sistemas de gestión de bases de datos (Oracle, Java) y aplicaciones de mensajería como WhatsApp.   

• Software de Programación: Herramientas para el desarrollo de otros programas. En criminología, el conocimiento de lenguajes de programación es vital para el análisis de malware y la ingeniería inversa de aplicaciones maliciosas.   

En la práctica forense, el software se convierte en el "laboratorio" del investigador. Herramientas líderes en el mercado como EnCase, FTK (Forensic Toolkit) y suites de código abierto como Autopsy permiten procesar grandes volúmenes de datos, indexar palabras clave y generar líneas de tiempo de la actividad del sistema. Un problema recurrente es la opacidad de ciertos softwares comerciales. Algunos expertos critican el uso de "enlatados" —programas cuyo código fuente es secreto comercial— argumentando que es difícil corroborar científicamente el método de recolección de información, lo que podría generar una ruptura en el equilibrio judicial si la defensa no puede auditar la herramienta utilizada por el perito oficial.   

Además, el uso de software sin licencia o con licencias caducadas en el ámbito judicial es inadmisible. Un informe pericial basado en herramientas piratas carece de las garantías de integridad y puede ser impugnado, además de constituir una infracción legal per se.   

1.6 Ofimática: La Automatización de la Gestión Judicial

La ofimática se refiere a la aplicación de la informática a las tareas de oficina. En el ámbito del derecho, la ofimática jurídica ha evolucionado de ser una mera herramienta de transcripción a convertirse en un ecosistema de gestión integral que agiliza la administración de justicia. La digitalización de los procesos judiciales busca optimizar la eficiencia, reducir la burocracia y mejorar el acceso de los ciudadanos a la justicia.   

El eje central de esta transformación es el Expediente Judicial Electrónico (EJE). Este sistema permite la presentación y consulta de documentos judiciales de forma remota, las 24 horas del día. La implementación de la firma digital garantiza la autenticidad y la integridad de los escritos presentados, eliminando la necesidad de traslados físicos y reduciendo drásticamente el uso de papel.   

La transformación digital de la justicia no consiste solo en digitalizar documentos, sino en rediseñar los procesos para que sean más transparentes y accesibles. Sin embargo, esta transición enfrenta desafíos significativos, como la necesidad de capacitación continua del personal, la interoperabilidad entre los sistemas de diferentes instituciones y la garantía de ciberseguridad para proteger datos extremadamente sensibles.   

1.7 Login: Control de Acceso y Seguridad de la Identidad

El proceso de login o inicio de sesión es el control de acceso fundamental que vincula una identidad digital con un usuario real dentro de un sistema informático. En entornos críticos como las bases de datos criminales o los sistemas de gestión judicial, la seguridad del login es la primera barrera contra el acceso no autorizado y la fuga de información.   

Una política de seguridad de identidad moderna se basa en el principio de Privilegio Mínimo (conceder solo el acceso necesario para realizar la tarea) y en el modelo de Confianza Cero (Zero Trust), donde cada intento de acceso debe ser verificado independientemente de su origen. Para garantizar una autenticación robusta, se recomienda el uso de la Autenticación Multifactor (MFA), que combina al menos dos de los siguientes factores:   

• Conocimiento: Algo que el usuario sabe (contraseña, PIN).   

• Posesión: Algo que el usuario tiene (token físico, tarjeta inteligente, teléfono móvil).   

• Inherencia: Algo que el usuario es (biometría: huella dactilar, reconocimiento facial, iris).   

En el análisis forense, los registros de login (logs de autenticación) son vitales para establecer la autoría de una acción en el sistema. Los logs deben registrar no solo el éxito de un acceso, sino también los intentos fallidos, los cambios de contraseña y las modificaciones de permisos. La Autenticación Basada en Riesgos (RBA) añade una capa inteligente al proceso, evaluando factores como la ubicación geográfica, la dirección IP y el comportamiento habitual del usuario para detectar anomalías en tiempo real.   

Para organismos de justicia, cumplir con estándares internacionales y nacionales (como la política CJIS del FBI o el RGPD en Europa) es obligatorio para asegurar que la identidad digital de los intervinientes sea protegida contra ataques de phishing, movimientos laterales y ransomware.

1.8 Demos o Versiones Demo: Limitaciones Técnicas y Validez Legal

Las versiones demo son software proporcionado por los desarrolladores con funcionalidades limitadas o por un tiempo restringido, destinado a la evaluación previa a la compra. En el ejercicio del peritaje informático forense, el uso de versiones demo conlleva riesgos funcionales y legales que pueden invalidar una prueba digital en sede judicial.   

Desde el punto de vista funcional, las versiones demo pueden omitir características críticas, como el cálculo de valores Hash, la exportación de informes completos o el análisis de sectores específicos del disco. Un perito que utilice una versión demo corre el riesgo de presentar un análisis incompleto o de no poder verificar la integridad de la copia forense.   

Jurídicamente, la admisibilidad de una prueba científica se rige por estándares como el Estándar Daubert (en EE. UU. y ampliamente aceptado en otras jurisdicciones), que exige que el método utilizado sea probado, haya sido revisado por pares, tenga una tasa de error conocida y cuente con la aceptación de la comunidad científica. El uso de una herramienta limitada o no certificada (como una demo o software pirata) puede ser interpretado como una falta de rigor profesional y una vulneración del debido proceso, llevando a la exclusión de la prueba bajo la doctrina del "fruto del árbol envenenado".   

Por lo tanto, es un requisito sine qua non para el perito oficial o de parte utilizar licencias comerciales completas de herramientas forenses reconocidas, asegurando que el proceso sea transparente, reproducible y legalmente inobjetable.   

1.9 En Línea (Online): El Ciberespacio como Escenario del Crimen

El estado "en línea" se refiere a la conexión activa de un sistema a una red de comunicaciones, típicamente Internet. Para la criminología, el entorno online ha transformado radicalmente la naturaleza de la delincuencia, eliminando las barreras geográficas y facilitando el anonimato de los infractores.   

La identidad digital se compone de todo rastro que dejamos en la red: lo que publicamos, compartimos y visitamos. Esta "transparencia digital" permite a los investigadores reconstruir el comportamiento de un individuo, pero también expone a los ciudadanos a riesgos como el acoso, la suplantación de identidad y el fraude. La delincuencia organizada ha migrado gran parte de sus operaciones al ámbito online, utilizando la tecnología para el tráfico de estupefacientes, la pornografía infantil y los ataques a infraestructuras críticas.   

La investigación criminal en tiempo real (recolección de evidencia online) plantea desafíos únicos. El sospechoso puede estar monitorizando el acceso a sus dispositivos, lo que obliga a la policía a actuar sin previo aviso y a utilizar medidas de seguridad para evitar la destrucción remota de evidencias. El uso de técnicas de scraping (recolección automatizada de datos en redes sociales) es común para entrenar algoritmos de reconocimiento facial o para perfilar amenazas, aunque su uso por parte del Estado genera debates intensos sobre el derecho a la intimidad y la vigilancia masiva.   

Desde la teoría criminológica de las Actividades Rutinarias, el delito online se produce cuando confluyen un ofensor motivado, una víctima potencial (usuario vulnerable) y la ausencia de un guardián capaz (medidas de ciberseguridad o legislación inoperante). La prevención del delito en el ciberespacio requiere, por tanto, un equilibrio entre la seguridad técnica, la concienciación ciudadana y una justicia ágil que disuada a los infractores.   

1.10 Navegador Web: Arquitectura de Datos y OSINT

El navegador web es la principal herramienta de acceso a la información en red y, consecuentemente, un repositorio crítico de evidencia digital. Su análisis forense permite reconstruir las intenciones del usuario, sus búsquedas, sus comunicaciones y su red de contactos.   

Los navegadores modernos gestionan múltiples artefactos que el analista debe extraer:

• Historial y Marcadores: Revelan los sitios visitados, la frecuencia de acceso y los intereses del usuario. Navegadores como Firefox utilizan el archivo places.sqlite para este fin.   

• Caché Web: Contiene copias de imágenes, vídeos y scripts cargados. Es fundamental para demostrar que un contenido ilícito fue efectivamente visualizado en el dispositivo, incluso si la página original ha sido borrada.   

• Cookies y Sesiones: Archivos que almacenan tokens de autenticación y preferencias. Pueden permitir al investigador acceder a cuentas de usuario sin necesidad de conocer la contraseña si la sesión permanece activa.   

• Historial de Descargas: Registro de archivos bajados al sistema, incluyendo la ruta de origen y la marca de tiempo.   

El navegador es también la plataforma para el uso de técnicas OSINT (Open Source Intelligence). La inteligencia de fuentes abiertas permite recolectar información pública legalmente accesible para evaluar riesgos, realizar peritajes de reputación o investigar ciberdelitos. Herramientas como la Wayback Machine (consultar versiones antiguas de webs) o buscadores especializados como DuckDuckGo (que no rastrea datos) son esenciales en el kit de herramientas del ciberinvestigador.  

1.11 Navegador GPS: Análisis de Movilidad y Geolocalización

El Sistema de Posicionamiento Global (GPS) es una red de satélites que permite determinar las coordenadas geográficas de un dispositivo en cualquier punto del planeta. En criminología, el análisis forense de dispositivos GPS (navegadores de vehículos, teléfonos, wearables) es determinante para establecer el paradero de sospechosos y víctimas.   

La información recuperada de un GPS incluye:

• Historial de Lugares Visitados: Registro cronológico de ubicaciones.   

• Lugares Favoritos y Puntos de Interés (POI): Direcciones guardadas por el usuario que pueden revelar su entorno social o planificación delictiva.   

• Rutas: Series de puntos de ruta creadas para navegar en un orden específico.   

• Metadatos de Velocidad y Tiempo: Información crucial para la reconstrucción de accidentes de tráfico o para verificar coartadas.   

Criminológicamente, el GPS se utiliza como una herramienta de monitorización para delincuentes en libertad condicional mediante pulseras o tobilleras electrónicas. Esto garantiza el cumplimiento de toques de queda y alertas de geocercas (zonas prohibidas), ofreciendo una alternativa a la encarcelación que favorece la reinserción social. En la investigación de homicidios o secuestros, la correlación entre los datos de geolocalización de un vehículo alquilado y el lugar de los hechos puede establecer vínculos probatorios irrefutables.   

Matemáticamente, el GPS funciona mediante la medición del tiempo de viaje de señales desde al menos cuatro satélites. La fórmula de distancia base es:

d = c * Delta t

Donde "d" es la distancia, "c" la velocidad de la luz y "Delta t" la diferencia de tiempo entre la emisión y la recepción. La intersección de las esferas de distancia de cada satélite permite hallar las coordenadas (x, y, z) del receptor.

1.12 Redacción y Composición del Dictamen Pericial

El dictamen pericial es el documento escrito en el que el experto expone sus conclusiones sobre los hechos sometidos a su análisis. En el ámbito de la criminología y el derecho, este documento es el vehículo que traslada el conocimiento técnico al juzgador. Su redacción debe ser clara, concisa, contundente y, sobre todo, objetiva.   

Un dictamen pericial forense debe estructurarse académicamente de la siguiente manera:

1. Título y Portada: Identificación clara del peritaje, fecha y perito encargado.   

2. Antecedentes / Preámbulo: Descripción del encargo recibido, el objeto de la pericia y la motivación del documento.   

3. Documentación y Evidencia Analizada: Relación detallada de los dispositivos, archivos o documentos examinados, asegurando la trazabilidad de la cadena de custodia.   

4. Metodología y Fundamentos Técnicos: Descripción de las operaciones practicadas, herramientas utilizadas (con versión y licencia) y teorías científicas que respaldan el análisis.   

5. Relación de Causalidad / Consideraciones: Exposición de los criterios técnicos que llevan al perito a sus hallazgos, basándose en pruebas objetivas.   

6. Conclusiones: Respuesta directa y sin ambigüedades a las preguntas planteadas en el objeto de la pericia. No debe contener opiniones legales, ya que la valoración jurídica corresponde exclusivamente al juez.   

7. Anexos: Fotografías, diagramas, capturas de pantalla y certificados de Hash que dan soporte a las conclusiones.   

Las reglas de composición dictan el uso de la voz activa para evitar ambigüedades y eludir palabras absolutas como "siempre" o "nunca" si no hay una certeza estadística plena. El perito debe evitar el lenguaje excesivamente técnico sin explicación, ya que el destinatario (juez y letrados) puede no ser experto en la materia. La integridad del informe se refuerza con una declaración de objetividad bajo juramento o promesa de decir la verdad, reconociendo las responsabilidades penales derivadas de un falso testimonio o impericia.   

En definitiva, la informática aplicada a la criminología y el derecho constituye un pilar de la justicia moderna. Desde la comprensión del dato como unidad mínima hasta la redacción del dictamen final, el profesional debe actuar con rigor científico y respeto escrupuloso a las garantías procesales, asegurando que la tecnología sea una herramienta eficaz para el descubrimiento de la verdad y el mantenimiento del Estado de Derecho en la era digital.