Evidencia Digital y Fraudes Online — de los datos a la prueba admisible

Evidencia Digital y Fraudes Online

Clase magistral en la UES-FMO: de los datos a la prueba admisible. Conceptos básicos, causalidad de la estafa y método operativo para recolección, integridad, autenticidad, trazabilidad y presentación en juicio.

Ponente:

Comenzar

Mapa de ruta de lo simple a lo complejo

Conceptos base

Glosario mínimo: IP, metadatos, hash, custodia, autenticidad.

Cómo operan las estafas

Cadena causal del Art. 215 CP. Si falla un eslabón, no hay estafa.

Evidencia usable

Cuatro pilares + método reproducible para llevar lo digital a sala.

Impacto y tendencia datos que explican el auge del fraude digital

Superficie de ataque móvil

La masificación de smartphones crea más «puertas» para el ardid: más víctimas accesibles, más mensajería, más apps financieras. Conecta con canal y trazabilidad en tu teoría del caso.

Pico 2018–2019 Más apps = más evidencias nativas

Fuente: Statista (2024). Ventas anuales a usuario final (millones de unidades).

Conectividad global sostenida

El crecimiento de usuarios en línea incrementa el «mercado» para estafas a escala. Explica la idoneidad del engaño y la necesidad de oficios bien dirigidos.

+5,4 mil millones (2023) Más logs útiles para prueba

Fuente: Statista (2024). Usuarios globales (millones).

Tendencia de cibercriminalidad

Curva para ilustrar por qué se intensifican operativos tipo Escudo Digital: volumen ↑ y profesionalización ↑. Recuerda: más casos ≠ prueba automática.

Exige cadena causal ardid → error → disposición → perjuicio

Serie orientativa para dimensionar impacto.

Conceptos base y glosario mínimo

Hash (SHA-256)

Huella digital (64 hex). Si cambia un bit, cambia el hash. Acredita integridad.

Idea clave: registra algoritmo, valor y fecha/hora en el acta; calcula el hash del .zip del caso.

Dirección IP

Trazabilidad de conexión (dinámica/VPN). No identifica persona por sí sola; cruza con canal, horarios e IDs.

Metadatos

Fechas, GPS, autor, Message-ID, cabeceras. El contexto que transforma datos en prueba.

Autenticidad (CPP 259-C)

Testigo directo (quién/qué/cuándo).
Mecanismos técnicos: SPF/DKIM/DMARC, firmas, logs.
Perito informático.

Cadena de custodia

Bitácora de posesión/traslado. Ante impugnación fundada, acredita integridad.

Método general

Recolección nativa

→

Hash del paquete

→

Custodia

→

Autenticidad

→

Presentación idónea

Cibercrimen básico para litigantes

Rastros útiles

IP + puerto + user-agent + geodatos; IDs (transacción, publicación, Message-ID); canal: app/web/cajero/sucursal.

Correos

Trabaja con .eml/.msg (no PDF). Verifica Authentication-Results (SPF/DKIM/DMARC).

Mensajería

Exportación nativa del chat en .txt; capturas solo ilustran, no sustituyen la fuente.

Anatomía de la estafa (Art. 215 CP)

Cadena causal

1. Ardid/engaño
puesta en escena

→

2. Error
víctima cree el «cuento»

→

3. Disposición
entrega voluntaria

→

4. Perjuicio
pérdida económica

No todo fraude digital = EstafaEvita responsabilidad objetivaIdoneidad del engaño

Evidencia digital — los 4 pilares

Traducción práctica

Autenticidad: testigo / mecanismo técnico / perito.
Integridad: hash del paquete (.zip) + acta + custodia.
Trazabilidad: IDs + canal + IP + tiempos + dispositivo.
Reproducibilidad: procedimiento replicable y documentado.

Marco legal (El Salvador)

Principios y responsabilidad

Principio de responsabilidad (Art. 4 CP): pena solo con dolo o culpa. Prohibida la responsabilidad objetiva.
Autores y partícipes (Arts. 32–37 CP): autores (directos/mediatos), instigadores y cómplices. Cada uno responde por su propio hecho (culposos). La responsabilidad de partícipes inicia con la ejecución y se mide por tipicidad/antijuridicidad del hecho.
Presunción de inocencia y carga probatoria en acusadores (Art. 6).

Estafa (Art. 215 CP)

Obtención de provecho injusto mediante ardid/engaño que cause error, disposición y perjuicio. La sanción considera cuantía, habilidad del agente y vulnerabilidad de la víctima.

Ley Especial contra Delitos Informáticos

Objeto/ámbito (Arts. 1–2): protege bienes jurídicos afectados por TIC; aplica a hechos con conexión nacional o que involucren sistemas en el territorio.
Definiciones (Art. 3): datos/sistemas, comunicación electrónica, código malicioso, etc.
Acceso/Interferencia/Daños (Arts. 4–7): sanciona acceso indebido, interferencia y daños; agravantes para sistemas públicos/financieros o cripto.
Herramientas para vulnerar (Art. 8) y violación de seguridad (Art. 9).
Estafa y fraude informático (Arts. 10–11): manipulación de datos/procesos; agravantes para banca/Estado/empleados con acceso.
Falsedad doc./firmas (Art. 11-A); Espionaje (Art. 12); Hurto por medios informáticos (Art. 13); DoS (Art. 14).

FGR — dirección de investigación

Art. 5: FGR dirige la investigación y promueve la acción penal.
Arts. 74–76 CPP: política de persecución; dirección y control jurídico; diligencias reservadas.
Art. 78 CPP: equipos conjuntos internacionales.

Juez y fundamentación

Art. 144 CPP: decisiones deben estar fundamentadas (hecho/derecho y valoración de prueba). Falta de fundamentación → nulidad.

Pausas de práctica guiada

Preservar una web con SingleFile

Guardar un .html embebido mejora la reproducibilidad.

Abrir la página objetivo.
SingleFile → sitio_[tema]_AAAA-MM-DD.html.
Empaqueta con otros artefactos a .zip.
Acta: URL exacta y fecha/hora.

Correo — conservar estructura y cabeceras

Gmail: Mostrar original → Descargar original → .eml.

Outlook: Guardar como → .msg.

Autenticidad técnica: SPF/DKIM/DMARC: PASS.

Exporta .eml/.msg y archiva.
Empaqueta en .zip.
Lee Authentication-Results.
Acta: remitente/destinatario/asunto/fecha-hora y hash.

Calcular SHA-256 (sin instalar nada)

certutil -hashfile «C:\ruta\archivo.zip» SHA256

Windows (Símbolo del sistema)

shasum -a 256 «/ruta/archivo.zip»

macOS / Linux (Terminal)

Registro: algoritmo, valor hash, fecha/hora y equipo/software en el acta. Conserva el original intacto; trabaja sobre copias.

Solicitudes a plataformas y servicios

Identificadores & contexto

URLs/IDs exactos de publicación/usuario/transacción.
Ventanas de tiempo (UTC y local).
Canal y dispositivo/UA.

Qué suelen entregar

IP, timestamps, user-agent, geodatos.
Historial de cambios y verificación/titularidad.
Resguardo/inhabilitación de contenido.

Ámbitos frecuentes

Redes sociales, email, fintech, bancos, pasarelas, wallets, marketplaces y hosting. Ajusta el lenguaje; la lógica probatoria es la misma.

Checklist de oficio técnico

ID/URL exactaFechas (UTC + local)CanalIP y huellasDispositivo/OS/appHistorialAlertas AML/KYCFormato + hash

Casos de estafas (discusión)

Facebook Marketplace

Precio bajo + anticipo + bloqueo.
URL/ID de anuncio y perfil; chats; comprobantes; IPs de acceso; trazabilidad bancaria.
Urgencia, cuentas nuevas, cambios de número.
Art. 215 CP si ardid→error→disposición→perjuicio.

«Tareas» de Telegram

Comisiones por tareas; depósitos crecientes para «desbloquear».
Exportación del chat, IDs, cuentas receptoras, IPs/UA.
Soporte anónimo, paneles falsos.
Estafa; posibles cuentas mula.

Falsas visas / «trabajo» exterior

«Trámite rápido»; documentos apócrifos.
Correos .eml/.msg, URLs, cuentas de cobro.
Gift cards/cripto, exigencia de secreto.
Estafa; falsedad documental.

Soporte bancario falso

Llamada que simula banco + enlace de «verificación».
Registro de llamada, URL phishing, hosting, IPs, movimientos.
Dominio parecido, urgencia por «bloqueo».
Estafa; posible acceso ilícito.

«Bot» de trading cripto

Panel con «ganancias»; bloqueo de retiros.
Direcciones on-chain, TXID, IPs, servidor.
Retornos garantizados.
Estafa/adm. fraudulenta.

Servicios fantasma

Anticipo y desaparición.
Anuncios, chats, comprobantes, titularidad de cuentas.
Páginas recién creadas, sin datos fiscales.
Estafa.

Cierre operativo puntos clave

AutenticidadIntegridadTrazabilidadReproducibilidadSin responsabilidad objetivaOficios bien planteados