← Blog · Peritaje · Legal · 9 de junio, 2026 · 9 min de lectura

¿Qué hace un perito en informática y cuándo necesitas uno? ⚖️

La confusión más cara en un juicio: pensar que cualquier técnico de TI puede fungir como perito. No puede. La diferencia no está en el conocimiento técnico — está en la metodología, la cadena de custodia y la capacidad de defender hallazgos frente a un juez.

A
Equipo Aztec Studio
Peritaje informático · Evidencia digital en México
+25 años
de experiencia en tecnología y procesos legales

Cuando una empresa enfrenta un litigio con evidencia digital — mensajes de correo, archivos copiados en un USB, logs de acceso a sistemas, imágenes de discos — la primera reacción suele ser llamar al técnico de confianza. El mismo que repara equipos, configura la VPN y resuelve los apagones del servidor. Es lógico. Es un error.

Un técnico de TI y un perito en informática comparten vocabulario y muchas herramientas. Pero operan bajo paradigmas completamente distintos. El técnico trabaja para que los sistemas funcionen. El perito trabaja para que la evidencia sea admisible y defendible ante un órgano jurisdiccional. Intervenir los datos originales sin metodología forense — incluso con las mejores intenciones — puede destruir la cadena de custodia e inutilizar toda la prueba.

Esta guía está pensada para dos audiencias: empresas que sospechan que tienen un caso con evidencia digital y no saben cómo proceder, y abogados que necesitan entender qué puede y qué no puede hacer un dictamen pericial informático en el marco del sistema jurídico mexicano.

El técnico TI vs el perito forense — no son lo mismo

La distinción no es de nivel ni de expertise. Es de propósito. Un neurocirujano y un médico forense estudian medicina; uno opera para sanar, el otro examina para documentar. Ninguno reemplaza al otro en su campo.

Técnico TI Perito en Informática
Objetivo Reparar / configurar sistemas Documentar hallazgos para juicio
Trabaja sobre El equipo o archivo original Copia forense certificada (imagen bit a bit)
Cadena de custodia No aplica Obligatoria y documentada desde el primer contacto
Entregable Reporte técnico interno Dictamen judicial ratificable ante juez
Puede ir a audiencia No — no tiene calidad pericial Sí, a ratificar y defender el dictamen
Validez legal Ninguna ante el órgano jurisdiccional Plena — con metodología forense correcta

El problema más frecuente que enfrentamos no es la falta de evidencia — es que la evidencia ya fue contaminada. Alguien encendió el equipo, copió archivos a un pendrive, o dejó que el equipo de soporte hiciera una "revisión rápida" antes de que el abogado decidiera si valía la pena litigar. Con esas acciones, la posibilidad de obtener un dictamen sólido se reduce dramáticamente.

¿Cuándo necesitas un perito en informática?

No todos los conflictos que involucran tecnología requieren peritaje formal. Pero hay seis escenarios donde un dictamen pericial es prácticamente indispensable:

  1. Empleado que se fue con información de la empresa. Archivos copiados, bases de datos descargadas, correos enviados a cuentas personales antes de renunciar. El perito puede determinar qué se copió, cuándo, en qué dispositivo y quién lo hizo — o descartar que ocurrió.
  2. Mensajes o correos cuya autenticidad está en disputa. La contraparte presenta capturas de pantalla de conversaciones de WhatsApp, correos con fechas convenientes o documentos que "recibió" pero que no existen en los servidores. Un perito puede verificar metadatos, cabeceras de correo y coherencia técnica de los archivos.
  3. Acceso no autorizado a tus sistemas. Sospechas que alguien entró a tu red, a tu correo corporativo o a tu ERP sin permiso. El perito analiza logs, bitácoras de acceso y artefactos del sistema operativo para reconstruir el quién, el cuándo y el cómo.
  4. Hackeo o ransomware que necesitas documentar. Para reclamar ante seguros, proveedores, autoridades o socios, necesitas un dictamen técnico que describa el vector de ataque, el alcance del daño y el estado de tus medidas de seguridad al momento del incidente.
  5. Proveedor TI que no cumplió lo pactado. Implementaste un sistema a la medida y no funciona como se contrató. El perito puede contrastar el entregable real contra las especificaciones técnicas del contrato y cuantificar el incumplimiento.
  6. La contraparte ya presentó un dictamen pericial. Es el escenario que más sorprende a las empresas: la otra parte llegó primero con su perito y ya hay un dictamen en el expediente. En ese caso, necesitas una contrapericia — un dictamen propio que analice la metodología y conclusiones del perito contrario y presente una perspectiva técnica alternativa o detecte deficiencias en la cadena de custodia del adversario.
70%
De los casos con evidencia digital involucran datos contaminados antes de que el abogado intervenga
3
Materias jurídicas principales donde aplica el peritaje informático en México: Civil, Laboral y Penal
48h
Ventana crítica para preservar evidencia volátil (logs de servidores, registros de acceso, memoria RAM)

Cómo funciona el proceso de peritaje informático en México

El proceso tiene cinco etapas. Cada una es necesaria; ninguna puede omitirse si el objetivo es producir un dictamen admisible.

  1. Consulta inicial. El abogado o la empresa describe el caso, el tipo de evidencia disponible y el objetivo del dictamen. En esta etapa se evalúa la viabilidad del peritaje y se define el alcance. Un perito ético también señala aquí si el caso no requiere dictamen formal.
  2. Recepción de evidencia con acta. Los dispositivos o accesos se reciben con acta notariada o protocolo de cadena de custodia documentado. Se registra el estado físico del equipo, se toman fotografías y se genera el registro de recepción que formará parte del dictamen. A partir de este momento, el equipo original no vuelve a tocarse.
  3. Generación de la copia forense. Con herramientas especializadas (FTK Imager, dd forense, Cellebrite para dispositivos móviles) se genera una imagen bit a bit del dispositivo. Se calculan hashes MD5 y SHA-256 que garantizan que la copia es idéntica al original. Todo el análisis posterior se realiza sobre esta imagen — nunca sobre la evidencia original.
  4. Análisis técnico. El perito examina la imagen forense buscando los artefactos relevantes para el caso: archivos borrados, historial de acceso, metadatos de documentos, registros del sistema operativo, artefactos de navegación, comunicaciones almacenadas. Los hallazgos se documentan con capturas y referencias técnicas verificables.
  5. Dictamen y disponibilidad para audiencia. Se redacta el dictamen pericial con introducción, metodología, análisis, conclusiones y respuesta a los puntos periciales planteados por el abogado. El perito queda disponible para ratificar el dictamen en audiencia, responder preguntas del juez y, en su caso, asistir a careo con el perito de la contraparte.

La metodología que hace válido el dictamen

Un dictamen pericial informático puede ser técnicamente impecable y legalmente inadmisible al mismo tiempo. La diferencia está en la metodología documentada.

La cadena de custodia es el registro ininterrumpido de quién tuvo acceso a la evidencia, cuándo, con qué propósito y qué se hizo con ella. Si hay un salto en ese registro — un momento en que la evidencia estuvo "en algún lado" sin documentación — la contraparte puede argumentar alteración y pedir que el dictamen sea desechado. No importa que nada se haya alterado realmente.

El hash de verificación es la firma matemática de la evidencia. Antes del análisis, se calcula el hash del dispositivo original y de la copia forense. Si ambos coinciden, queda demostrado criptográficamente que la copia es idéntica al original y que no se ha modificado ningún bit durante el proceso. Al final del análisis, se recalcula el hash de la copia para demostrar que tampoco fue alterada durante el trabajo pericial.

La copia forense bit a bit no es lo mismo que un respaldo convencional. Un respaldo copia los archivos activos y visibles. La imagen forense copia todos los sectores del disco — incluyendo sectores con archivos borrados, espacio no asignado y artefactos del sistema que un respaldo normal ignora. Es en esas áreas donde frecuentemente vive la evidencia más relevante.

La evidencia digital no se contamina solo con malas intenciones. Se contamina con buenas intenciones mal ejecutadas: encender el equipo "para ver qué tiene", copiar archivos "para respaldar" o hacer una "revisión rápida" antes de llamar al abogado.

¿Para qué materias aplica el peritaje informático?

El peritaje informático opera en todas las materias donde existe evidencia digital relevante. Las tres más frecuentes en el contexto empresarial mexicano:

Civil

Una empresa de manufactura sospecha que su ex director comercial descargó la base de clientes completa antes de renunciar y la llevó a la competencia. El perito analiza los equipos corporativos, los registros del servidor de archivos y las conexiones de red para determinar si hubo extracción de información, qué volumen y en qué fechas. El dictamen sirve como base para la demanda por daños y perjuicios.

Laboral

Un empleado es despedido por "uso indebido de equipos de la empresa" y demanda reinstalación argumentando que la acusación es falsa. La empresa necesita acreditar que los equipos asignados al trabajador se utilizaron para actividades prohibidas (descarga de archivos personales, acceso a plataformas de la competencia, envío de información confidencial). El dictamen pericial documenta técnicamente los hechos y puede determinar horarios, frecuencias y volúmenes de uso.

Penal

Una empresa sufre un ataque de ransomware que cifra sus servidores y paraliza operaciones. El atacante exige pago en criptomonedas. Para presentar denuncia ante la Fiscalía y activar la investigación, se requiere un dictamen técnico que documente el vector de entrada, las horas del ataque, los sistemas comprometidos y el impacto operativo. Sin el dictamen, la denuncia carece de sustento técnico verificable.

Preguntas que hacen los abogados antes de contratar un perito

Estas son las preguntas más frecuentes que recibimos de despachos y abogados litigantes:

¿Puede ir a careo con el perito de la contraparte?

Sí. El careo pericial es un momento técnicamente denso donde ambos peritos exponen y defienden sus metodologías y conclusiones ante el juez. Es fundamental que el perito tenga experiencia en audiencias y no solo en laboratorio. Un dictamen sólido presentado por alguien que no puede defenderlo verbalmente bajo presión pierde mucho de su valor.

¿Cuánto tiempo toma el proceso?

Depende del volumen de evidencia y la complejidad del caso. Un peritaje sobre un solo equipo de cómputo con un objetivo acotado puede resolverse en dos a tres semanas. Un caso con múltiples dispositivos, servidores y análisis de comunicaciones puede tomar uno a dos meses. Lo importante es no iniciar sin la cadena de custodia correcta — la velocidad no puede ir antes de la metodología.

¿Cómo se estructura el cobro?

Los honorarios periciales en México generalmente se estructuran en dos momentos: una estimación inicial tras la consulta y revisión del caso, y ajustes según el volumen real de evidencia analizada. El dictamen y la comparecencia en audiencia tienen honorarios distintos. No existe un arancel oficial obligatorio — cada perito determina sus tarifas, pero los honorarios deben quedar claramente documentados para efectos del expediente.

¿Puede actuar como perito del juez (perito tercero)?

En los sistemas procesales mexicanos, cuando las partes designan peritos con conclusiones contradictorias, el juez puede designar un perito tercero en discordia. Un perito con experiencia en litigio puede actuar en esa calidad, lo que implica una posición de mayor independencia y exige una metodología especialmente rigurosa dado el peso que tendrá su opinión en la resolución.

← Aztec Studio · Peritaje en Informática
¿Tienes evidencia digital en un caso activo?

Ofrecemos servicios de peritaje informático para empresas y despachos: análisis forense de dispositivos, dictámenes periciales, contrapericia y comparecencia en audiencia. Primera consulta sin costo para evaluar la viabilidad del caso y el estado de la evidencia.

Ver servicio de peritaje → Hablar de mi caso
Artículos relacionados sobre evidencia digital y legal
Ver todo el blog →
📱
Peritaje · Legal

¿Sirve WhatsApp como prueba en un juicio en México?

Lo que dice el Código Nacional de Procedimientos Civiles y cómo un perito puede certificar —o impugnar— capturas de pantalla de mensajes.

Lectura · 8 minLeer →
🔐
Peritaje · Legal

Empleado se fue con tu información: qué hacer

Pasos concretos desde el momento en que descubres que un ex-colaborador se llevó datos de la empresa. Qué preservar, qué no tocar y cuándo llamar al perito.

Lectura · 10 minLeer →