Artículos / Evidencia móvil

WhatsApp · Evidencia móvil

Cómo preservar conversaciones de WhatsApp como evidencia digital

Guía para abogados, empresas y particulares sobre capturas, exportaciones, dispositivo original, extracción forense, metadatos y cadena de custodia en conversaciones de WhatsApp.

Resumen

WhatsApp puede ser una fuente relevante de evidencia digital, pero las conversaciones deben preservarse con cuidado. Una captura de pantalla puede orientar la investigación, aunque por sí sola suele ser más débil que una extracción documentada desde el dispositivo o una exportación correctamente custodiada.

Principio central: mientras más grave sea el caso, más importante es preservar el dispositivo, documentar la cadena de custodia y evitar manipulación manual.

Riesgos probatorios

  • Capturas editadas, recortadas o fuera de contexto.
  • Fechas y horas sin zona horaria o sin referencia del dispositivo.
  • Mensajes borrados, editados, reenviados o sin continuidad conversacional.
  • Exportaciones sin identificación clara del teléfono, cuenta o usuario.
  • Pérdida de metadatos cuando se reenvían archivos o capturas.

Preservación inicial

Debe documentarse el dispositivo, número, usuario, fecha, hora, estado de encendido, condición de red, persona que entrega el equipo y finalidad del acceso. En casos sensibles, conviene evitar navegar o abrir conversaciones sin plan técnico, porque la interacción puede alterar estados, recibos, fechas o artefactos.

Carátula de informe WhatsApp
Material de informe WhatsApp disponible en la plataforma
Informe WhatsApp
Reporte estructurado de conversación y hallazgos

Extracción forense

Cuando el caso lo requiere, una extracción lógica, sistema de archivos, backup o adquisición soportada por herramienta forense permite documentar más información que una simple captura. El alcance depende del modelo, sistema operativo, permisos, cifrado, estado del dispositivo y herramienta disponible.

  1. Registrar cadena de custodia desde el primer contacto.
  2. Preservar el dispositivo y reducir riesgos de conexión remota.
  3. Identificar método de extracción y herramienta usada.
  4. Conservar archivos, reportes y hashes de paquetes de evidencia.
  5. Explicar limitaciones: mensajes eliminados, cifrado, backups o artefactos no recuperables.

Metadatos y artefactos técnicos

En un análisis técnico de WhatsApp se revisan artefactos que van más allá del texto visible: identificadores de mensaje, marcas temporales, adjuntos, miniaturas, rutas de almacenamiento, información de cuenta, respaldos locales o en la nube y bases de datos de la aplicación cuando el método de adquisición lo permite. En Android pueden aparecer estructuras como bases SQLite, directorios de medios y archivos asociados al perfil; en iOS el análisis suele depender del tipo de respaldo, del estado de cifrado y de los permisos de acceso disponibles.

El perito debe diferenciar entre contenido conversacional, metadatos del sistema operativo, metadatos de archivos adjuntos y datos derivados por la herramienta. Esa distinción es importante porque no todo artefacto tiene el mismo origen ni la misma confiabilidad. Por ejemplo, una fecha de modificación del sistema de archivos no equivale necesariamente a la fecha de envío del mensaje, y una miniatura conservada no prueba por sí sola que el archivo original siga íntegro en el dispositivo.

  • Marca temporal: debe expresarse con zona horaria, fuente y método de conversión cuando proceda.
  • Identificador de cuenta: puede incluir número telefónico, nombre visible, identificadores internos y relación con el dispositivo examinado.
  • Adjuntos: requieren hash, tamaño, nombre, tipo MIME, ruta lógica y contexto de conversación.
  • Backups: deben tratarse como fuente independiente, documentando origen, fecha de creación, cifrado y mecanismo de restauración o lectura.

Cómo llevarlo al informe pericial

El informe debe separar observación, procedimiento y conclusión. Primero se describe qué fue recibido; luego se explica cómo se preservó y analizó; finalmente se presentan hallazgos con soporte técnico. Si solo se cuenta con capturas, el informe debe advertir expresamente sus limitaciones: ausencia de base de datos original, posible recorte visual, falta de hashes del contenido nativo y dependencia de la fuente que entrega la imagen.

Cuando existe extracción forense, conviene anexar el inventario de evidencia, hashes de adquisición, versión de herramienta, método usado, limitaciones por cifrado o bloqueo, y una tabla de mensajes relevantes con fecha, remitente, destinatario, contenido, adjuntos y referencia cruzada al artefacto de origen. La conclusión no debe sobreafirmar autoría: lo técnico puede vincular datos con un dispositivo, una cuenta o una sesión, pero la atribución jurídica requiere valorar contexto, control del equipo, testigos, documentos y demás prueba del expediente.

Referencias de interés

Ver presentaciónVolver a artículos