Cadena de custodia digital
Procedimiento documentado que garantiza la integridad, autenticidad y trazabilidad de un registro digital desde su creación hasta su presentación como prueba en un procedimiento legal.
Qué es la cadena de custodia digital
La cadena de custodia digital es el conjunto de procedimientos documentados que garantizan que un registro electronico no ha sido alterado, manipulado ni contaminado desde el momento de su creacion hasta su presentacion como prueba ante un tribunal o autoridad administrativa. Su objetivo es preservar la integridad y autenticidad de la evidencia digital, permitiendo que un tercero pueda verificar que los datos son fiables.
El concepto tiene su origen en la ciencia forense tradicional: del mismo modo que una muestra biologica debe manipularse con guantes y sellarse en bolsas precintadas, un registro digital debe protegerse con mecanismos tecnicos que impidan su alteracion y documenten cada acceso. En el ambito laboral, la cadena de custodia digital es lo que diferencia un simple registro horario de una evidencia con valor probatorio ante la Inspeccion de Trabajo (ITSS) o un juzgado de lo social.
Elementos de la cadena de custodia digital
Una cadena de custodia digital robusta se compone de varios elementos tecnicos que actuan de forma coordinada:
| Elemento | Funcion | Implementacion tipica |
|---|---|---|
| Hash criptografico | Garantiza integridad del registro | SHA-256 aplicado a cada fichaje |
| Sellado de tiempo (timestamp) | Certifica el momento exacto de creacion | Servidor NTP sincronizado o TSA |
| Log de auditoria | Registra cada acceso y operacion | Registro inmutable append-only |
| Control de acceso | Limita quien puede consultar los datos | Roles y permisos granulares |
| Cifrado en transito y reposo | Protege contra interceptacion | TLS 1.3 + AES-256 |
| Backup verificable | Asegura la disponibilidad a largo plazo | Copias con verificacion de integridad |
Referencia normativa: ISO 27037
La norma ISO/IEC 27037:2012 establece las directrices internacionales para la identificacion, recopilacion, adquisicion y preservacion de evidencia digital. Aunque no es de obligado cumplimiento legal en Espana, se considera una referencia tecnica de buenas practicas y los peritos informaticos forenses la utilizan como estandar de trabajo.
Los principios de la ISO 27037 aplicados al registro horario implican que:
- Identificacion: cada registro debe asociarse univocamente a un trabajador, fecha y metodo de fichaje.
- Recopilacion: el sistema debe capturar los datos sin intervencion manual que pueda contaminar el registro.
- Adquisicion: la obtencion de los datos para su presentacion debe realizarse sin modificar el original.
- Preservacion: los registros deben almacenarse en condiciones que garanticen su integridad durante el periodo legal de conservacion (4 anos segun el artículo 34.9 del Estatuto de los Trabajadores).
Por que importa en el registro horario
Cuando una empresa se enfrenta a una reclamacion por horas extraordinarias o a una inspeccion de la ITSS, el registro de jornada se convierte en la prueba principal. Si ese registro se almacena en una hoja Excel o en un sistema sin garantias de integridad, la parte contraria puede impugnar su autenticidad alegando manipulacion.
Un sistema con cadena de custodia digital permite demostrar que:
- El registro fue creado en el momento indicado y no con posterioridad.
- Ningun usuario ha modificado los datos tras su generacion.
- Existe un historial completo de quien ha accedido a la informacion y con que proposito.
Como DALTICO implementa la cadena de custodia
DALTICO Equipo aplica una cadena de custodia digital completa a cada fichaje digital: hash SHA-256 por registro, sellado de tiempo, log de auditoria inmutable y cifrado en transito y reposo. Adicionalmente, los registros pueden ser certificados por perito informatico forense, aportando una capa de validacion externa que refuerza su valor como evidencia ante cualquier procedimiento.
Este enfoque cumple con los requisitos del RGPD en materia de seguridad del tratamiento (articulo 32) y con las exigencias de la ITSS sobre integridad de los registros.