Algoritmo Hash y Evidencia Digital: «Estándar de Inalterabilidad de la Evidencia»

Por: Dr. Ángel Torrealba

Inalterabilidad en la Evidencia Digital,  en principio nos encontramos ante dos interrogantes sobre la Inalterabilidad de la Evidencia:

• ¿Se puede dudar de la integridad de una evidencia digital presentada en un juicio oral y público, a pesar de la existencia del Algoritmo Hash en el peritaje?
• ¿Cómo podemos asegurar que en una cadena de custodia de una evidencia digital no ha sido alterada a pesar de la ausencia de los metadash?, estos conceptos se estarán explorando a lo largo de este artículo. En este sentido quisiéramos señalar que actualmente en el ámbito penal debatiendo sobre estas dos interrogantes.

Estas preguntas surgen en el debate sobre la eficacia probatoria, sobre la viabilidad de la evidencia digital, estamos ante un reto crítico, debido a que muchas de las informaciones que se presentan en el juicio oral y público son de carácter digital, pero ¿cómo podemos estar seguros ante este reto crítico?.

En la medida del tiempo se han venido realizando diversas actualizaciones tecnológicas que han permitido garantizar la inalterabilidad de la evidencia, que, sin embargo, debido a la convertibilidad de la tecnología es indispensable estar actualizado en cuanto a las buenas prácticas del protocolo anexo al Manual de Cadena de Custodia y del protocolo 1510 de Prevost.

El jurista alemán Claus Roxin señalaba que «el delito no es un hecho aislado», en el mismo concluyen la participación de la víctima y el victimario, que existe la sociedad, por ende, el delito debe ser probado, con exactitud haciendo uso de la ciencia y de la tecnología. Y en el caso de la evidencia digital no es la excepción. De igual manera el Dr. Edmund Locard conocido por su principio de intercambio señalaba que «todo contacto deja rastro».

Un principio que está totalmente vigente en la criminalística digital donde cualquier interacción genera un rastro a través de un dispositivo móvil.  De hecho, hoy en día estamos realizando una biogradación y eso está dejando un rastro en las redes, en la nube, y a través de sus dispositivos, en los blogs y en la memoria ram.

De allí que es necesario hacer una breve cronología de la historia de la inalterabilidad en la evidencia digital, donde vamos a resaltar cinco momentos en las siguientes décadas:

1. 1970s-1980s:
   • Se consideró una etapa incipiente en cuanto a la evidencia digital, en esa época solo se aplicaba rastrear y recopilar información.
   • El almacenamiento de la misma se daba en discos duros, no existía ningún tipo de función criptográfica y había la ausencia de estos jueces forenses que tenemos hoy en día, que pudieran garantizar la inalterabilidad y autenticidad de la evidencia.
2. 1990s:
   • Surge el internet y se masifican los delitos de naturaleza informática, como acceso indebido, robo de contraseñas.
   • Se comienzan a crear los primeros softwares forenses, los cuales en principio originan lo que se llamó la imagen forense y posteriormente se va a introducir de manera paralela la función criptológica hash.
3. 2000s:
   • La ciencia forense en el ámbito informático se profesionaliza y se encuentran software con mayores actualizaciones.
   • Se detecta que los algoritmos MD5 y SHA-1 presentan vulnerabilidades y colisiones, entendiéndose esto, como la posibilidad que un archivo puede generar distintos hash o que dos archivos puedan generar el mismo algoritmo hash, no brindando la suficiente certeza que efectivamente correspondía como huella digital única a un archivo.
4. 2010s:
   • Tenemos el almacenamiento de la nube. Debido a la progresividad de la tecnología es necesario unificar y estandarizar criterios periciales.
   • Surgen las normas ISO 10-27037 año 2012 e ISO-10-27042 año 2015.
5. Actualidad:
   • Llegamos a la década del 2020, donde nos encontramos en el año 2025, ante la masificación de la Inteligencia Artificial (IA), encontramos que a través de aplicativos se pueden simular conversaciones, que tienen apariencia de integridad y legalidad.

Es por ello, que necesitamos duplicar los esfuerzos para que en el ámbito de la investigación penal se pueda garantizar la autenticidad y la inalterabilidad de la evidencia de carácter digital. Ahora bien según el protocolo Henssen, Manual Único de Cadena de Custodia, la evidencia digital se señala como la información o datos almacenados o transmitidos en forma binaria vinculados a un hecho punible. Hay otra sección, más manejada, que es información de carácter probatorio que ha sido almacenada o transmitida mediante dispositivos digitales. Toda evidencia es información de carácter probatorio.

Características del Hash

La evidencia digital tiene unas características que son de suma importancia en la criminalística digital para poder hacer uso de su manipulación. En principio siguiendo esta guía, se puede afirmar que es:

• Volátil: porque debemos hacer mención a su carácter efímero, es de breve duración. Por lo que un  técnico informático de campo, al momento de llegar a un sitio del suceso  debe garantizar las buenas prácticas para que la evidencia no sea alterada.

La memoria RAM. Es una computadora vasta que exige una flutuacion  en la electricidad para que desaparezcan datos importantes que pudieran demostrar la culpabilidad o inocencia de una persona en una investigación.

• Duplicabilidad  referimos que  cualquiera puede realizar una copia sencilla en el ámbito forense de cualquier archivo.  Esto guarda relación con el proceso de adquisición, donde el perito informático de campo realiza el cálculo de hash del original, posteriormente introduce la evidencia en un software validado, arrojando una cadena fija denominada algoritmo hash. El primer algoritmo y el de la copia deben ser idénticos para establecer la inalterabilidad de la misma. La copia forense se utiliza para no comprometer el original.

• Sensibilidad al entorno: Al recolectar un dispositivo digital, debe ser alejado de las redes, porque puede sufrir modificaciones. Se deben usar programas adecuados, ya que la meta-data puede ser alterada por diversos factores, entre los cuales se puede mencionar el clima, redes o electro imantación.

Definición y Propiedades del Hash

El Hash se define como una función criptográfica que toma una entrada a un archivo, lo procesa a través de un software forense y genera una salida, originando una cadena fija de un código alfanumérico que va a ser la huella digital de esa imagen forense, garantizando así su inalterabilidad y autenticidad.

Las funciones hash utilizadas son MD5 y SHA-1 (ambas presentan vulnerabilidades) y la más comúnmente aceptada y utilizada es el SHA-56, la cual tendrá un código alfanumérico de sesenta y cuatro (64) dígitos que constituye la huella validadora de esa integridad. Sin hash no hay garantía de la evidencia.

El Hash posee las siguientes propiedades:

• Determinismo: Un mismo archivo siempre va a generar el mismo hash. Si el archivo genera un hash distinto es porque fue manipulado, alterado.
• Unicidad: Cualquier modificación en el archivo modificará el Hash. Cualquier manipulación del archivo generará una alteración, lo que ocasiona una alerta de que la evidencia está comprometida y no puede ser utilizada en un proceso legal.
• Irreversibilidad (Unidireccionalidad): Permite que a partir de un archivo se pueda conocer el hash, pero es imposible a partir del hash conocer lo que contiene y el tipo de archivo con sus características.

La función del hash tiene relevancia probatoria en cuanto a la cadena de custodia.

La Cadena de Custodia de la Evidencia Digital en Venezuela

La no es solo una planilla o un procedimiento, sino una garantía que el Estado venezolano otorga al enjuiciado en un proceso penal, que le permite tener un juicio justo. El artículo 49 de la Carta Magna señala que serán nulas todas las pruebas obtenidas mediante la violación del Debido Proceso. Por ello, una ruptura en la cadena de custodia genera una flagrante violación del debido proceso.

Leyes y protocolos sobre el tratamiento de la evidencia digital

La Constitución de la República Bolivariana de Venezuela se concatena con los artículos 187 y 181 del Código Orgánico Procesal Penal (COPP):

• Artículo 181 (Valoración de elementos de convicción): Establece que solo tendrán valor probatorio aquellos elementos que hayan sido obtenidos de manera lícita y que se hayan incorporado al proceso penal conforme a las disposiciones del propio COPP. Una prueba obtenida ilegalmente no puede ser utilizada en un juicio.
• Artículo 187 (Cadena de Custodia): Hace referencia a la cadena de custodia, un procedimiento para garantizar la integridad de las evidencias físicas desde su recolección hasta su análisis, evitando su alteración o contaminación.

El Protocolo Anexo al Manual Único de Cadena de Custodia contiene criterios periciales estandarizados que van de la mano con los protocolos ISO 10-27037 e ISO 10-27042. En estos protocolos se señala como principio rector la integridad de la evidencia, y cualquier alteración generará nulidad en cualquier proceso legal.

Se exige una documentación exhaustiva, donde el perito y demás funcionarios están obligados a documentar rigurosamente la evidencia digital desde su génesis hasta el juicio oral y público.

El protocolo también distingue entre:

• Perito informático de campo: Es el primer respondedor, encargado de colectar la evidencia para garantizar su inalterabilidad.
• Perito informático de laboratorio: Es quien realiza el análisis de la evidencia en conformidad con el pedimento judicial, respetando la inviolabilidad de las comunicaciones privadas (Art. 48 de la CRBV).

Se hace mención a la autenticidad de la evidencia, y se requiere la autorización del juez para el acceso a la causa, sin la cual, la evidencia no puede ser utilizada como elemento probatorio.

• La norma ISO 10-27037 norma la identificación, colección, adquisición y resguardo de la evidencia.
• La norma ISO 10-27042 hace hincapié en el análisis y documentación adecuada.

Lineamientos sobre la adquisición de la Evidencia Digital

El perito de campo debe realizar el cálculo de hash de la evidencia, luego la clonación y después volver a realizar el cálculo para verificar que no hubo cambios.

Los lineamientos son:

1. Adquisición válida: Adquirir la evidencia digital con programas y dispositivos validados (No Intervención Humana).
2. Adquisición inmediata: Adquirir los elementos de interés criminalístico de manera inmediata, debido a la naturaleza volátil de la evidencia.
3. Verificación de integridad: Aplicar métodos de verificación de la integridad de la evidencia adquirida (revisar el cálculo de hash).
4. Garantía del Debido Proceso: Gestionar ante el tribunal correspondiente la autorización del acceso a los sistemas y aplicaciones que serán objeto de la adquisición.

Lineamientos del Peritaje Informático

El perito informático de laboratorio debe:

• Cuidado: Extremar el cuidado de las evidencias, debido a que existe la probabilidad de dañarse.
• Documentación: Documentar todas las acciones que se realicen sobre cualquier dispositivo que contenga evidencia digital. Se sugiere la fijación videográfica.
• Parámetros: Considerar los parámetros exactos de búsqueda para la adquisición de la evidencia digital.
• Extensión Nativa: Adquirir la evidencia digital como texto, imagen, videos y audios, con su extensión nativa.
• Certificar mediante Hash: Certificar las copias duplicadas o imagen forense, mediante la aplicación de algoritmos hash.

Se hace la observación de que un capture de pantalla no debe ser llamado evidencia, ya que carece de hash, no fue realizado mediante un protocolo, no genera la calidad de la prueba, ni garantiza veracidad ni autenticidad de la misma. Hoy en día, existen programas que pueden fácilmente crear una conversación de voz falsa o simular conversaciones, y ante la ausencia del algoritmo hash, una persona podría obtener un absolutorio.