Era martes por la mañana cuando el abogado Rodrigo abrió el sobre que su cliente le había traído. Dentro había un USB, tres capturas de pantalla impresas y una transferencia bancaria de 47.000 euros que nunca llegó a destino. «Tengo toda la prueba», dijo el cliente con los ojos cargados de esperanza. Rodrigo asintió. Lo que ninguno de los dos sabía en ese momento era que esa «prueba» no valía absolutamente nada.
No porque fuera falsa. Sino porque nadie había calculado un Hash.
El número que lo decide todo
El universo digital tiene un sistema de huellas dactilares. Cada archivo — un PDF, un audio de WhatsApp, un vídeo de cámara de seguridad, un chat de Telegram — genera una huella única e irrepetible cuando se le aplica un algoritmo matemático. Esa huella se llama Hash.
Un Hash no es magia. Es matemática pura aplicada a la realidad más sucia del derecho: la batalla por demostrar que lo que tienes en tus manos es lo mismo que estaba en el dispositivo original cuando ocurrió el delito.
El resultado es una cadena de caracteres que puede tener este aspecto:
c4daa1148de480176a8de060e29562388b17440dcfd29ce380718e2c63116b16
Sesenta y cuatro caracteres. Ni uno más, ni uno menos. Y ese número tiene más poder en un juicio penal que cualquier testigo, que cualquier declaración, que cualquier argumento de parte. Porque ese número no miente. No se cansa. No olvida. Y no puede ser manipulado sin que todo el mundo lo sepa.
La víctima de estafa que perdió su juicio por un espacio en blanco
Volvamos a Rodrigo y a su cliente. La historia real — y hay miles como esta en los juzgados de España — es más o menos así.
Una empresa mediana de logística recibió un correo electrónico de su proveedor habitual. O eso parecía. El dominio era casi idéntico al original, con una sola letra cambiada que ningún humano detecta a primera vista — lo que en el mundo del fraude se llama typosquatting. El correo incluía una factura PDF con el número de cuenta modificado. Cuarenta y siete mil euros volaron hacia una cuenta en Lituania que llevaría semanas cerrada cuando alguien se diera cuenta de lo ocurrido.
La empresa denunció. Contrató abogado. Presentó el correo electrónico como prueba. Lo imprimió. Lo escaneó. Lo envió como adjunto en el escrito de denuncia.
La defensa de la otra parte — un intermediario al que señalaban como cómplice — pidió la nulidad de la prueba documental. ¿El motivo? Nadie había verificado que el PDF presentado en el juzgado era exactamente el mismo que llegó al servidor de correo de la empresa el día del fraude. Entre el momento en que el correo llegó y el momento en que se presentó como evidencia, el archivo había pasado por cinco manos distintas, tres ordenadores y dos conversiones de formato.
Sin un Hash calculado en el momento de la extracción original, no había forma científica de demostrar que ese PDF no había sido modificado. La defensa lo aprovechó. El juez tuvo dudas razonables. La prueba fue impugnada.
Cuarenta y siete mil euros. Perdidos dos veces.
Qué ocurre exactamente cuando un perito genera un Hash
Para entender por qué el Hash es tan poderoso, hay que entender qué hace exactamente.
Cuando un perito informático forense llega al dispositivo original — el teléfono, el ordenador, el servidor — lo primero que hace antes de tocar absolutamente nada es conectar un bloqueador de escritura hardware. Este dispositivo físico impide que el equipo forense modifique ni un solo byte del dispositivo original. Es el equivalente digital de los guantes de látex en una escena del crimen: garantiza que la evidencia no se contamina.
Después, el software forense — Autopsy, FTK Imager, Magnet AXIOM — realiza una copia exacta bit a bit de todo el almacenamiento. No una copia normal. Una réplica matemáticamente perfecta de cada uno de los ceros y unos que componen el disco.
Y entonces, simultáneamente, calcula el Hash del disco original y el Hash de la copia. Si ambos números coinciden exactamente, la copia es perfecta. Científicamente perfecta. Y ese número queda registrado en el acta forense junto con la fecha, la hora, el nombre del perito, el número de serie del dispositivo y las herramientas utilizadas.
A partir de ese momento, cualquier juez, cualquier abogado, cualquier perito de la parte contraria puede calcular el Hash del archivo que se está usando como evidencia en ese momento y compararlo con el que figura en el acta original. Si coincide, la prueba es íntegra. Si difiere en un solo carácter — aunque sea un espacio en blanco añadido por error, aunque sea un metadato que se actualizó al abrir el archivo — el Hash cambia por completo y la evidencia está comprometida.
Esto no es una opinión técnica. Es matemática. Y la matemática no tiene ideología ni interés de parte.
Los algoritmos que no son iguales ante un juez
Aquí es donde la historia se complica. Porque no todos los algoritmos de Hash tienen el mismo peso legal ni la misma resistencia a los ataques de la parte contraria.
MD5 fue el estándar durante años. Genera una cadena de 32 caracteres. Rápido, eficiente, universalmente reconocido. El problema es que en 2004 los investigadores demostraron que es posible, con los recursos computacionales adecuados, generar dos archivos diferentes que produzcan el mismo Hash MD5. Se llama colisión, y en el contexto forense es una catástrofe: significa que la defensa puede argumentar que es matemáticamente posible que el archivo presentado como evidencia no sea el mismo que el original, aunque el Hash coincida.
MD5 sigue usándose. Pero en juicios con alta exposición económica o penal, presentarlo como única garantía de integridad es regalarle munición a la parte contraria.
SHA-1 fue el sucesor. Más robusto. 40 caracteres. Durante una década fue el gold standard de la forense digital. Hasta que en 2017 Google publicó el proyecto SHAttered: dos documentos PDF distintos con exactamente el mismo Hash SHA-1. Necesitaron 6.500 años de cómputo en CPU y 110 años en GPU para lograrlo, pero lo lograron. SHA-1 quedó oficialmente comprometido.
SHA-256 es el estándar actual. 64 caracteres. Parte de la familia SHA-2. Hasta la fecha, ningún investigador en el mundo ha logrado generar una colisión probada. Es el algoritmo que utilizan los peritos de referencia, el que exigen los tribunales internacionales en casos de cibercriminalidad, el que usa el FBI, Europol y la Guardia Civil en sus unidades de delitos telemáticos. Y es el que blindará tu evidencia en sala.
La diferencia entre presentar un Hash MD5 y un Hash SHA-256 puede ser la diferencia entre que tu evidencia pase el filtro del contrainterrogatorio al perito o que la defensa la haga añicos en veinte minutos de vista oral.
Lo que un abogado penalista necesita saber antes de entrar a sala
Si eres abogado y tienes encima una causa con evidencia digital, hay cinco preguntas que debes hacerle a tu perito antes de que ese dictamen llegue al juzgado.
Primera: ¿Con qué algoritmo se calculó el Hash? Si la respuesta es MD5 o SHA-1, pide que se recalcule con SHA-256 y que quede documentado en el acta. Si ya no es posible acceder al dispositivo original, documenta la razón y prepara la argumentación defensiva antes de que lo haga la parte contraria.
Segunda: ¿Cuándo se calculó el Hash? Debe ser en el momento exacto de la extracción, antes de cualquier análisis. Un Hash calculado a posteriori, aunque sea del mismo archivo, tiene un valor probatorio debilitado porque no puede garantizar que el archivo no fue modificado entre la extracción y el momento del cálculo.
Tercera: ¿Está el Hash registrado en acta notarial o en documento con firma electrónica de timestamp? El valor añadido de un Hash con fecha certificada notarialmente o con sello de tiempo (timestamp) reconocido es que fija el momento exacto de la preservación de la evidencia. Es la diferencia entre decir «esto existía» y poder probar científicamente cuándo existía.
Cuarta: ¿Se calculó el Hash tanto del dispositivo original como de la imagen forense? Ambos números deben coincidir y ambos deben figurar en el acta. Si solo existe el Hash de la imagen y no del original, la defensa puede argumentar que la imagen no es una copia fiel del dispositivo.
Quinta: ¿Está la cadena de custodia documentada desde el momento cero? El Hash es tan fuerte como la cadena de custodia que lo rodea. Si hay un gap — una hora no documentada, un traspaso sin registro, un análisis sin acta — el Hash pierde parte de su blindaje porque ya no puede garantizar que en ese gap no ocurrió algo.
El caso del empresario que sí ganó
No todas las historias terminan mal.
En 2023, un empresario del sector inmobiliario en el levante español fue acusado por un socio de haber modificado un contrato digital para alterar las condiciones de una operación de compraventa valorada en 1,2 millones de euros. La acusación aportó una versión del contrato que difería en tres cláusulas clave del contrato que el empresario decía haber firmado.
El perito de defensa calculó el Hash SHA-256 de la versión que el empresario había conservado en su servidor de correo, con el timestamp del servidor certificado notarialmente en el momento de la pericia. Después extrajo los metadatos internos del PDF de la acusación y encontró algo que la acusación no había previsto: la fecha de última modificación del archivo era posterior a la fecha de firma declarada. Y el Hash del archivo modificado no coincidía con ningún registro en los servidores de correo de ninguna de las partes.
Alguien había creado ese PDF después de que surgiera el conflicto.
El empresario fue absuelto. La acusación por falsedad documental se volvió contra el denunciante. Y todo gracias a sesenta y cuatro caracteres que nadie había pensado manipular porque nadie pensó que alguien los comprobaría.
Por qué la realidad de las estafas digitales supera cualquier serie de Netflix
Los guionistas de Breaking Bad tardaron cinco temporadas en construir a Walter White. Los estafadores digitales construyen una empresa fantasma, abren cuentas bancarias en cuatro países, falsifican facturas con firmas digitales robadas y desaparecen con el dinero en menos de 72 horas. Sin salir de casa.
El problema no es que los delincuentes sean más inteligentes que los investigadores. El problema es que los investigadores — los abogados, los jueces, en ocasiones los propios peritos — no conocen las herramientas que tienen disponibles. Y la más poderosa, la más sencilla de explicar y la más difícil de rebatir en sala es la que lleva décadas en el arsenal de la forense digital.
El Hash es la huella dactilar del mundo digital. No se improvisa. No se añade a posteriori. No se puede falsificar sin que todo el mundo lo sepa. Y en un mundo donde la evidencia vive en servidores, en teléfonos, en nubes distribuidas en tres continentes, es la única garantía científica de que lo que ves es lo que realmente ocurrió.
Ignóralo y tu prueba es papel mojado.
Úsalo bien y tienes en las manos la certeza que ningún testigo puede darte.
¿Tienes un caso con evidencia digital y necesitas saber si tu prueba puede sobrevivir un contrainterrogatorio técnico? El equipo pericial de ANTPJI realiza análisis forense con dictamen judicial admisible en toda España. Primera consulta gratuita: presidente@antpji.com · +34 648 51 34 14 · www.antpji.com
