El propio significado del concepto puede dar una orientación certera a su propia explicación, pues se trata nada más y nada menos que de demostrar una entrada, existencia, copia, etc. que haya sido realizado mediante soporte informático. La evidencia digital puede parecer muy simple a priori, pero se puede complicar a un nivel muy alto por ejemplo si los archivos demostrables ya no residen en el soporte, o bien la causa del análisis es la entrada de un hacker y el sistema ha sido cambiado para que no tengamos fiabilidad en los datos.

Para conseguir el objetivo existen varias posibilidades, dependiendo del grado de daños y dificultades con los que nos encontremos, que pueden ir desde mirar la fecha de modificación o creación desde las propiedades del archivo, a mirar el log de acciones de los programas o del mismo sistema operativo, e incluso tener que leer la tabla de asignación de archivos del soporte.

Con el incremento del número de delitos informáticos presentados en todo el mundo, gran cantidad de países se han visto obligados a tener en cuenta este concepto en sus Legislaciones y a reglamentar la admisión de la evidencia digital en una corte. Colombia no es la excepción y, en consecuencia, los equipos nacionales de atención a incidentes informáticos deben trabajar con técnicas rigurosas que garanticen la admisibilidad legal de la evidencia digital en situaciones judiciales.

En Colombia, el Código Penal expedido con la Ley 599 de 2000, no hace referencia expresa a los delitos informáticos, pero usualmente las actividades que podrían ser clasificadas como tales, afectarán intereses que si están jurídicamente tutelados como son la intimidad, el patrimonio económico, la fe pública, etc.


Se puede decir que el término “Evidencia Digital” abarca cualquier información en formato digital que pueda establecer una relación entre un delito y su autor [4]. Desde el punto de vista del derecho probatorio, puede ser comparable con “un documento” como prueba legal. Con el fin de garantizar su validez probatoria, los documentos deben cumplir con algunos requerimientos [5], estos son:

Autenticidad: satisfacer a una corte en que: los contenidos de la evidencia no han sido modificados; la información proviene de la fuente identificada; la información externa es precisa (p.e. la fecha).

Precisión: debe ser posible relacionarla positivamente con el incidente. No debe haber ninguna duda sobre los procedimientos seguidos y las herramientas utilizadas para su recolección, manejo, análisis y posterior presentación en una corte. Adicionalmente, los procedimientos deben ser seguidos por alguien que pueda explicar, en términos “entendibles”, cómo fueron realizados y con que tipo de herramientas se llevaron a cabo.

Suficiencia (completa): debe por si misma y en sus propios términos mostrar el escenario completo, y no una perspectiva de un conjunto particular de circunstancias o eventos.