Perito

El papel del perito informático en casos de pornografía infantil

enero 21, 20267 min read

La Operación Tridente

En junio de 2025, la Policía Nacional anunció una de las mayores macrooperaciones contra la pornografía infantil de los últimos años en España. La denominada «Operación Tridente», coordinada por la Unidad Central de Ciberdelincuencia junto con la Fiscalía Especial de Criminalidad Informática, se saldó con 61 detenidos, más de 100 registros domiciliarios en prácticamente todas las provincias del territorio nacional y la intervención de miles de dispositivos electrónicos: 63 ordenadores, 229 discos duros, 37 teléfonos móviles, 58 memorias USB y más de 1.600 dispositivos de almacenamiento.

Un éxito incuestionable en la protección de menores. Pero detrás de cada titular hay una historia. Y detrás de cada historia, un trabajo técnico por hacer.

Uno de esos 61 detenidos es ahora cliente de un despacho de abogados para el que trabajo como perito informático forense.

Tenencia y distribución: dos delitos muy diferentes

El artículo 189 del Código Penal regula los delitos relacionados con la pornografía infantil. Dentro de este artículo conviven conductas muy distintas con consecuencias penales radicalmente diferentes:

Tenencia para uso propio (art. 189.5 CP): El que para su propio uso adquiera o posea pornografía infantil será castigado con pena de prisión de 3 meses a 1 año, o multa de 6 meses a 2 años.

Distribución, difusión o facilitación (art. 189.1.b CP): El que produjere, vendiere, distribuyere, exhibiere, ofreciere o facilitare la difusión de pornografía infantil será castigado con pena de prisión de 1 a 5 años.

Distribución con agravantes (art. 189.2 CP): Cuando concurran circunstancias como que el material represente a menores de 16 años, revista carácter particularmente degradante o vejatorio, o el material sea de notoria importancia, la pena se eleva a prisión de 5 a 9 años.

La diferencia es abismal: de una posible multa a 9 años de prisión. Y esa diferencia depende, en gran medida, de cuestiones técnicas que deben ser probadas.

El problema de las redes P2P y eMule

La mayoría de las investigaciones por pornografía infantil en España tienen su origen en el rastreo de redes P2P (peer-to-peer), principalmente la red eDonkey a través del programa eMule. La Policía utiliza herramientas como NordicEmule o el sistema CPS (Child Protection System) para identificar usuarios que comparten archivos cuyo hash coincide con bases de datos de material ilícito conocido.

Aquí surge la primera cuestión técnica relevante: eMule funciona mediante un sistema de carpetas compartidas. Por defecto, todo archivo que se descarga se ubica en la carpeta «Incoming», que automáticamente queda compartida con el resto de usuarios de la red. Esto ha llevado a una línea jurisprudencial que considera que el mero uso de eMule para descargar material implica, automáticamente, su distribución.

Sin embargo, el Tribunal Supremo ha matizado esta interpretación. La STS 873/2009 estableció que el uso de programas P2P no supone la aplicación automática del tipo de distribución del artículo 189.1.b. Es necesario acreditar elementos adicionales.

¿Qué debe probarse para condenar por distribución?

La jurisprudencia ha ido perfilando los elementos que deben concurrir para que exista distribución y no mera tenencia:

  1. Conocimiento del funcionamiento del programa: El usuario debe conocer que los archivos descargados quedan automáticamente compartidos.
  2. Voluntad de compartir: No basta con la descarga involuntaria o el desconocimiento del contenido real de los archivos.
  3. Tiempo de permanencia: Los archivos deben haber permanecido en la carpeta compartida durante un tiempo significativo, no tratarse de una «posesión fugaz».
  4. Transferencia efectiva: Idealmente, debe acreditarse que terceros usuarios efectivamente descargaron contenido desde el equipo investigado.

La Audiencia Provincial de Sevilla absolvió a un acusado precisamente porque no se acreditó que quisiera compartir el material, a pesar de haberse encontrado archivos en su equipo. El Juzgado Penal de Granollers absolvió a otro acusado porque el archivo encontrado tenía un nombre camuflado («recetas fáciles.rar») y no constaba que lo hubiera abierto ni compartido voluntariamente.

El Tribunal Supremo, en su sentencia 105/2009, estableció que la posesión debe durar «algún lapso temporal determinado» y que debe distinguirse entre visionar y poseer.

El papel del perito informático forense

En este contexto, el trabajo del perito informático es esencial para la defensa. Mi labor consiste en analizar las evidencias digitales y determinar:

  • Configuración real del programa eMule: ¿Qué carpetas estaban compartidas? ¿Se modificó la configuración por defecto? ¿Existían restricciones de subida?
  • Historial de transferencias: Los archivos Known.met y Statistics.dat de eMule registran el historial de descargas y las estadísticas de transferencia. Permiten determinar si realmente se produjeron uploads (subidas) a otros usuarios.
  • Verificación del contenido: En muchas investigaciones, los archivos se catalogan por su nombre, no por su contenido real. El fenómeno del «mislabeling» (nombres engañosos) es extremadamente frecuente en redes P2P.
  • Timestamps y metadatos: Permiten determinar cuándo se descargaron los archivos, cuánto tiempo permanecieron en el sistema y si fueron accedidos o simplemente almacenados.
  • Intencionalidad: El análisis de los términos de búsqueda, el historial de navegación y la estructura de carpetas puede aportar información sobre la voluntad del usuario.

El caso que me ocupa

En el caso concreto derivado de la Operación Tridente que actualmente analizo, la Fiscalía solicita hasta 9 años de prisión por distribución con agravantes.

La tenencia de material está acreditada. No voy a discutir eso.

Pero la distribución es otra cosa. Mi trabajo como perito será analizar las evidencias digitales para determinar si existió esa distribución real o si estamos ante una inferencia basada en el mero uso de una red P2P.

El derecho de defensa exige que las acusaciones se sustenten en evidencia técnica sólida. Especialmente cuando la diferencia entre una condena u otra puede suponer años de prisión.

Conclusión

Los delitos de pornografía infantil son especialmente graves y su persecución es una prioridad absoluta. Nadie cuestiona eso.

Pero precisamente por la gravedad de las penas —que pueden alcanzar los 9 años de prisión— es imprescindible que las acusaciones se basen en evidencia técnica rigurosa, no en presunciones o inferencias.

Eso es lo que hace un perito informático forense: aportar objetividad técnica en un terreno donde las emociones —comprensiblemente— están a flor de piel.

Separar lo técnicamente demostrable de lo que son meras inferencias.

Porque el derecho de defensa también existe en los casos más difíciles. Y la técnica no entiende de titulares.

Next Post

Related Posts

Perito Fraude BEC: Qué es, cómo funciona y cómo actúa un perito

Fraude BEC: Qué es, cómo funciona y cómo actúa un perito

Fraude BEC: Qué Es, Cómo Funciona y Cómo lo Demostré en un Juicio Real El…
admin
adminenero 21, 2026
EvidenciasPerito El uso de IMSI CATCHER en investigación policial

El uso de IMSI CATCHER en investigación policial

IMSI Catcher en investigaciones policiales: legalidad, requisitos judiciales y causas de nulidad probatoria Tiempo de…
admin
adminenero 19, 2026
Perito Por qué contar con un abogado penalista es clave

Por qué contar con un abogado penalista es clave

En un procedimiento penal en el que participé como perito informático, la acusación se sostenía…
Juan Martinez
Juan Martinezenero 7, 2026
Share