Estructura de un informe pericial informático según la LEC
La Ley de Enjuiciamiento Civil (LEC), en sus artículos 335 y 478, establece el marco legal que regula la prueba pericial en España. Aunque no existe un modelo oficial de informe pericial informático, la jurisprudencia y la práctica procesal han consolidado una estructura que cualquier dictamen debe respetar para ser tomado en serio por el tribunal.
Un informe pericial informático defendible debe contener, como mínimo, los siguientes apartados: identificación del perito (datos personales, titulación, colegiación, experiencia relevante), juramento o promesa de actuar con objetividad conforme al artículo 335.2 LEC, objeto y alcance del peritaje, metodología empleada, análisis y resultados, conclusiones y anexos con la documentación de soporte.
La estructura no es un capricho formalista. Un informe bien organizado transmite credibilidad al juez, facilita la comprensión de cuestiones técnicas complejas y dificulta la labor de impugnación del perito contrario. Por el contrario, un informe desordenado, sin metodología clara o con conclusiones que no se sostienen en los datos, es una invitación abierta al contra-peritaje.
Identificación del objeto y alcance del peritaje
El apartado de objeto es, posiblemente, el más importante desde el punto de vista estratégico. Aquí se define con precisión qué se ha analizado y, igual de importante, qué no se ha analizado y por qué. Delimitar el alcance desde el inicio blinda al perito frente a cuestionamientos por omisiones que nunca entraron en el encargo.
Un buen apartado de objeto debe incluir: la identificación precisa de los dispositivos analizados (marca, modelo, número de serie, IMEI en caso de móviles), el periodo temporal cubierto por el análisis, las cuestiones periciales planteadas por el abogado que encargó el informe y cualquier limitación relevante (dispositivos a los que no se tuvo acceso, datos que ya habían sido eliminados antes de la intervención del perito).
La falta de delimitación del objeto es uno de los errores que más aprovecha la parte contraria. Si el informe no especifica que solo se analizó el disco duro del portátil, la defensa puede argumentar que el perito debería haber examinado también el móvil, la cuenta de correo corporativa o los servidores de la empresa. Definir el alcance es proteger el informe.
Metodología: el apartado que hace o rompe el informe
La metodología es el corazón técnico del informe pericial informático. Es donde el perito explica cómo ha realizado su trabajo y permite que cualquier otro profesional pueda reproducir el análisis y llegar a las mismas conclusiones. Un informe sin metodología documentada es vulnerable a cualquier contra-peritaje, porque no hay forma de verificar que el proceso fue riguroso.
El apartado de metodología debe documentar cada paso: el método de adquisición de la evidencia (imagen forense bit a bit, extracción lógica, volcado de RAM), las herramientas utilizadas con sus versiones exactas (EnCase 8.11, FTK Imager 4.7, Cellebrite UFED 7.x, Autopsy 4.21), la verificación de integridad mediante hash SHA-256 o MD5, y los procedimientos de análisis aplicados (búsqueda por palabras clave, timeline, carving, análisis de metadatos).
La documentación de la cadena de custodia es parte integral de la metodología. El informe debe reflejar cómo se recibió la evidencia, en qué estado, quién la entregó, qué hash se calculó al recibirla y cómo se preservó la integridad durante todo el proceso de análisis.
Un perito que omite las versiones de las herramientas o que no documenta los hashes está dejando flancos abiertos. En un contra-peritaje, el primer punto de ataque siempre es la metodología: si no está documentada con suficiente detalle, todo lo que viene después queda en entredicho.
Conclusiones: cómo redactarlas para que resistan en sala
Las conclusiones son lo primero (y a veces lo único) que lee el juez. Deben estar redactadas en un lenguaje objetivo, preciso y comprensible para un no-técnico. Cada conclusión debe ser trazable a evidencia concreta documentada en el cuerpo del informe y en los anexos.
Un error habitual es formular conclusiones subjetivas o categóricas cuando la evidencia no lo permite. No es lo mismo afirmar «el usuario eliminó deliberadamente los archivos» que «los registros del sistema de archivos muestran que los archivos fueron eliminados desde la cuenta de usuario X el día Y a las Z horas». La primera formulación es una interpretación; la segunda es un hecho verificable.
Es fundamental distinguir entre certeza y probabilidad. Cuando la evidencia permite una conclusión firme, se expresa con claridad. Cuando solo permite una hipótesis probable, se indica el grado de probabilidad y las razones. Un juez valora más a un perito que reconoce los límites de su análisis que a uno que presenta todo como certeza absoluta.
Cada conclusión debe seguir el esquema: premisa (qué dice la evidencia) → razonamiento técnico (cómo se interpreta) → conclusión (qué se puede afirmar). Si la cadena se rompe en algún punto, la conclusión no resistirá el interrogatorio cruzado en la ratificación.
Anexos y trazabilidad: la prueba detrás de la conclusión
Los anexos son la base probatoria del informe pericial. Contienen la documentación técnica que respalda cada afirmación del cuerpo del informe: capturas de pantalla con metadatos, valores hash de las imágenes forenses, logs de salida de las herramientas de análisis, certificados de adquisición, actas de entrega de dispositivos y cualquier otro documento que acredite la trazabilidad del proceso.
Un principio fundamental: el juez puede no leer los anexos, pero el perito de la parte contraria los leerá línea por línea. Cada captura de pantalla debe incluir fecha y hora, cada hash debe corresponder a un archivo o dispositivo identificado en el informe, y cada log de herramienta debe ser reproducible. Los anexos desordenados o incompletos son la primera grieta que aprovecha un contra-peritaje.
La trazabilidad funciona en ambas direcciones: desde la conclusión hacia la evidencia (el lector puede verificar en qué se basa cada afirmación) y desde la evidencia hacia la conclusión (cada pieza de evidencia relevante está reflejada en el análisis). Si un dato aparece en los anexos pero no se menciona en el informe, la parte contraria se preguntará por qué se omitió.
Como perito judicial en Mallorca, organizo los anexos con un índice numerado que referencia directamente los párrafos del informe donde se cita cada documento. Esta estructura facilita enormemente la labor del juez y del letrado durante la vista oral.
Errores que convierten un informe en papel mojado
En mi experiencia revisando informes periciales de otros profesionales en el marco de contra-peritajes, estos son los errores más frecuentes y más graves:
No documentar los hashes de la evidencia
Sin hash documentado, no hay forma de demostrar que la evidencia analizada es idéntica a la original. Cualquier perito contrario señalará esta omisión como falta de garantía de integridad, y el juez no tendrá argumentos técnicos para defender la prueba.
Analizar los originales en lugar de copias forenses
Trabajar sobre el dispositivo original sin haber creado previamente una imagen forense compromete toda la evidencia. El propio acto de análisis modifica archivos temporales, marcas de acceso y metadatos. Sin copia forense previa, la integridad del original queda irremediablemente comprometida.
Lenguaje subjetivo o valoraciones personales
Expresiones como «claramente el usuario actuó de mala fe» o «es evidente que hubo manipulación» son opiniones, no hechos técnicos. El informe debe describir lo que la evidencia muestra y dejar las calificaciones jurídicas al tribunal. Un informe con lenguaje subjetivo pierde credibilidad ante el juez.
Conclusiones no respaldadas por los datos
Cada conclusión debe poder rastrearse hasta un dato concreto en el cuerpo del informe o en los anexos. Si el perito concluye algo que no se deriva directamente de la evidencia analizada, la conclusión será fácilmente desmontable en la ratificación.
Omitir versiones de herramientas y procedimientos
Indicar que se usó «FTK» sin especificar la versión, o que se hizo una «extracción» sin detallar el método, impide la reproducibilidad del análisis. Un contra-perito argumentará que, sin esta información, no es posible verificar si el proceso fue correcto ni si las herramientas eran adecuadas para el tipo de evidencia.
Ausencia de cadena de custodia
Si el informe no documenta cómo se recibió la evidencia, quién la entregó, en qué estado estaba y qué controles de integridad se aplicaron, existe un vacío que la parte contraria explotará. La cadena de custodia no documentada equivale a cadena de custodia inexistente.
Jerga técnica sin explicaciones
El informe va dirigido a un juez, no a otro informático. Utilizar terminología técnica sin explicarla (NTFS, MFT, artifact, carving, slack space) hace que el destinatario no comprenda las conclusiones. Un buen informe incluye un glosario o explica cada concepto técnico la primera vez que aparece.
¿Necesitas un informe pericial sólido y defendible?
Como perito informático en Mallorca, elaboro dictámenes periciales con estructura procesalmente válida, metodología documentada y conclusiones trazables. Informes diseñados para resistir en sala.
Preguntas frecuentes
No existe una extensión mínima ni máxima fijada por ley. Lo importante es que el informe sea completo y proporcionado al objeto del peritaje. Un informe de certificación de WhatsApp puede resolverse en 15-20 páginas, mientras que un análisis forense de servidor puede requerir 60-100 páginas más anexos. La clave es que no falte ningún apartado esencial (metodología, análisis, conclusiones) y que no se rellene con contenido irrelevante que diluya las conclusiones.
Sí, el artículo 335.2 de la LEC exige que el perito manifieste bajo juramento o promesa que ha actuado con objetividad, que ha tomado en consideración tanto lo que pueda favorecer como lo que pueda perjudicar a cualquiera de las partes, y que conoce las sanciones penales por falso testimonio. La ausencia de esta declaración puede ser motivo para cuestionar formalmente el informe.
El juez no suele inadmitir un informe por cuestiones formales menores, pero sí puede restarle valor probatorio significativamente. Un informe sin estructura clara, sin identificación del perito, sin juramento o sin metodología documentada ofrece argumentos a la parte contraria para impugnarlo y facilita que el juez lo considere poco fiable frente a otro informe mejor elaborado.
El perito está obligado a ser objetivo, independientemente de quién lo contrate. Si las conclusiones no favorecen a la parte que encargó el informe, el perito debe comunicarlo cuanto antes al abogado para que ajuste la estrategia procesal. El perito nunca debe alterar sus conclusiones para favorecer a quien le paga: hacerlo puede constituir un delito de falso testimonio (art. 459 CP) y destruye su credibilidad profesional.
Sí, es posible emitir un informe ampliatorio o complementario si surgen nuevos datos, si el juzgado lo solicita o si la parte contraria aporta evidencia que requiere análisis adicional. La ampliación debe seguir la misma estructura y rigor que el informe original, indicando claramente qué se amplía y por qué. El momento procesal para aportarlo depende del tipo de procedimiento.
Se debe presentar el original más tantas copias como partes haya en el procedimiento, según establece la LEC. En la práctica, muchos juzgados ya admiten la presentación telemática a través de LexNET, lo que simplifica el proceso. Es recomendable que el abogado confirme los requisitos específicos del juzgado concreto antes de la entrega.
Es altamente recomendable incluir las cuestiones planteadas (quid o preguntas periciales) como parte del apartado de objeto del informe. Esto delimita el alcance del peritaje y permite al juez evaluar si las conclusiones responden efectivamente a lo que se preguntó. Además, evita que la parte contraria argumente que el perito analizó cuestiones fuera de su encargo o que omitió aspectos relevantes.
En la práctica forense española, ambos términos se usan como sinónimos. La LEC utiliza el término «dictamen pericial» (art. 335 y siguientes), mientras que en el lenguaje coloquial y en muchos colegios profesionales se habla de «informe pericial». Técnicamente, un dictamen implica una opinión fundada del experto, mientras que un informe puede ser más descriptivo. En cualquier caso, ambos deben cumplir los mismos requisitos formales y de contenido para tener validez procesal.