Juan José Delgado Sotes
El Instituto Nacional de Ciberseguridad gestionó en 2025 122.223 incidentes de ciberseguridad (+26%), una tendencia que pone de relieve la urgente necesidad de una adecuada formación en ciencias forenses informáticas para colectivos tecnológicos y jurídicos.
En el marco de la ciberseguridad actual, la informática forense ha evolucionado desde la mera recuperación de datos reactiva hacia una disciplina integral de reconstrucción de eventos y análisis de comportamiento.
La integración de la inteligencia artificial (IA) y la sofisticación de las técnicas de evasión han desplazado el foco de la investigación: ya no basta con identificar el “qué”, sino que resulta necesario averiguar además el “cómo” y el “cuándo” mediante una trazabilidad técnica.
Análisis de vectores de exfiltración: el caso Linwei Ding
El 30 de enero de 2026, la resolución del caso contra el exingeniero Linwei Ding puso de manifiesto las vulnerabilidades inherentes incluso en grandes corporaciones como Google, que poseen infraestructuras protegidas por sistemas avanzados de DLP (data loss prevention). La condena por robo de propiedad intelectual —específicamente arquitecturas de IA de Google— subraya la importancia del análisis forense en la detección de amenazas internas (insider threats).
Desde una perspectiva técnica, Ding empleó una técnica de ocultación (ofuscación de archivos) para eludir los disparadores automáticos de estos sistemas de seguridad. El procedimiento consistía en copiar el código de los archivos a la aplicación Apple Notes, aprovechando que el tráfico de sincronización de aplicaciones de notas suele estar permitido en políticas corporativas estándar, y posteriormente exportar dichos datos a formato PDF. De esta manera, el archivo cambia su firma digital y el sistema DLP no lo identifica como sensible.
No obstante, la investigación forense se basó en la correlación de registros de actividad (logs). Los analistas pudieron vincular los registros de acceso a los repositorios de código bajo las credenciales de Ding con los metadatos de carga en su cuenta personal de Google Cloud. Este caso refuerza una máxima de la seguridad digital: el intento de evasión genera, en sí mismo, un patrón de comportamiento anómalo que puede ser detectado mediante auditorías forenses.
“Una máxima de la seguridad digital es que el intento de evasión genera, en sí mismo, un patrón de comportamiento anómalo que puede ser detectado mediante auditorías forenses”.
Ingeniería inversa y mitigación proactiva: la operación Lumma Stealer
Uno de los hitos más notables en la lucha contra el cibercrimen organizado ha sido la desarticulación del malware Lumma, un software especializado en el robo de contraseñas y criptomonedas. Este malware es un sofisticado software que permite cambiar sus direcciones de control constantemente haciendo muy complicada su desconexión. Los expertos forenses, mediante técnicas de ingeniería inversa lograron predecir las direcciones futuras que iba a utilizar el malware y, en vez de perseguir los servidores, redirigieron el tráfico a servidores controlados por la policía para analizar el tráfico de red y así poder identificar a las víctimas y a los administradores del sistema.
La evidencia digital como eje del procedimiento judicial
“La transición de la evidencia física a la digital requiere un rigor extremo en la preservación de la cadena de custodia para garantizar la integridad de los datos presentados ante un tribunal”.
La informática forense ha transformado el estándar de prueba en casos criminales. La transición de la evidencia física a la digital requiere un rigor extremo en la preservación de la cadena de custodia para garantizar la integridad de los datos presentados ante un tribunal.
- Geolocalización y metadatos: En el caso de Daniel Sancho, la investigación no se limitó a la recuperación de mensajería instantánea. Se realizó un análisis exhaustivo de los metadatos de archivos multimedia y registros de posicionamiento de las celdas de telefonía móvil. La convergencia de estos datos permitió establecer una cronología precisa de los desplazamientos, proporcionando una prueba de cargo objetiva sobre la premeditación de los actos.
- Análisis de dispositivos vestibles (wearables): El denominado ‘Crimen del Fitbit’ ejemplifica cómo los dispositivos de IoT (internet de las cosas) actúan como registros persistentes. Los datos de frecuencia cardiaca y acelerometría obtenidos del dispositivo de la víctima proporcionaron una prueba biométrica de actividad posterior a la hora de la muerte declarada por el principal sospechoso, invalidando su coartada mediante datos fisiológicos registrados digitalmente.
Desafíos sociales y legales: la brecha pericial
A pesar de la robustez de estas técnicas, el sistema judicial se enfrenta a una brecha de conocimiento significativa. Casos de acoso digital, como el bullying, sexting o grooming, a menudo carecen de una resolución efectiva no por falta de evidencia, sino por una gestión inadecuada de la misma en las fases iniciales de la denuncia.
La propuesta de prohibir el acceso a redes sociales para menores en estos momentos en plena discusión social es una medida administrativa que no aborda el problema técnico subyacente: la necesidad de una educación en ciberseguridad y un acompañamiento pericial que permita actuar ante la infracción.
“A pesar de los avances, existe una realidad sombría: todavía hay miles de casos donde las evidencias digitales son ignoradas o malinterpretadas”.
A pesar de estos avances, existe una realidad sombría: todavía hay miles de casos donde las evidencias digitales son ignoradas o malinterpretadas. Iniciativas como Digital Innocence nacen para denunciar y corregir estos fallos sistémicos. Esta organización trabaja en procedimientos en los que, de haber realizado un análisis pericial tan sencillo como el de los metadatos de fotografías, por ejemplo, podría haber cambiado radicalmente una sentencia condenatoria.
La falta de formación de los actores jurídicos —jueces, fiscales y abogados— sobre el potencial de la tecnología forense es, quizás, el mayor obstáculo para la justicia actual. No se recurre a los peritos tecnológicos por desconfianza, sino por desconocimiento.
“La falta de formación de los actores jurídicos (jueces, fiscales y abogados) sobre el potencial de la tecnología forense es, quizás, el mayor obstáculo para la justicia actual”.
La necesidad de formación forense
Una adecuada formación en tecnología y especialmente en ciencias forenses informáticas es cada vez más importante para colectivos no solo tecnológicos sino también jurídicos. Para salvaguardar el derecho a un juicio justo, es vital que la sociedad comprenda que la informática forense no es solo una herramienta técnica, sino una garantía ética. En un mundo donde la IA puede fabricar realidades paralelas, el análisis riguroso del dato es el único faro que puede guiarnos hacia la verdad.
“En un mundo donde la IA puede fabricar realidades paralelas, el análisis riguroso del dato es el único faro que puede guiarnos hacia la verdad”.
(*) Juan José Delgado Sotes es director del Programa Avanzado en Peritaje Informático y Análisis Forense de UNIR. Ingeniero Superior en Telecomunicaciones y MBA, es CEO de ILM Forensics y acredita más de 25 años de experiencia profesional, los últimos 20 en puestos de dirección gestionando departamentos de tecnología.
- Escuela Superior de Ingeniería y Tecnología
