¿Se sospecha que mensajes, fotos o audios pueden decidir las medidas provisionales? En las primeras 24–48 horas se toman decisiones que condicionan custodia, pensión o uso de vivienda: cualquier manipulación puede invalidar pruebas o convertir un intento de preservación en un delito. Conviene actuar con calma y rapidez, sabiendo qué hacer y qué delegar.
Si se sospecha que mensajes, fotos o audios serán decisivos, no manipular los originales: hacer fotos de la pantalla y capturas con fecha, crear copias forenses (imagen) o exportaciones, documentar quién hizo qué, cuándo y cómo (cadena de custodia) y avisar al abogado o perito. Evitar acceder a cuentas de terceros o alterar metadatos: son errores comunes al custodiar evidencias digitales. A continuación, un resumen del proceso con los pasos inmediatos.
Resumen del proceso
Evaluar y asegurar: no interactuar con la evidencia y poner dispositivos en modo avión.
Documentar: rellenar cadena de custodia inicial y tomar fotos de referencia.
Copiar de forma segura: exportar chats o pedir imagen forense con hash.
Notificar al abogado y perito: solicitar preservación judicial si hace falta.
Entrega y custodia: registrar transferencias, conservar originales y anexar hashes.
Presentación pericial: informe técnico con metodología y anexos.
Cada paso es ejecutable en las primeras 24–48 horas. Estos pasos evitan la pérdida por sincronización en la nube y la contaminación de metadatos.
✉
¡Defiende tus derechos! Contacta con nuestro equipo jurídico especializado.
Paso 1: seguridad inicial y primeras decisiones
La prioridad en la primera hora es evitar que la evidencia se borre o sincronice. Poner el móvil en modo avión o desconectar el PC de la red. No reiniciar si hay procesos de copia o apps abiertas.
Acciones inmediatas y comprobables:
No abrir, reenviar ni editar mensajes. Abrir cambia metadatos y puede invalidar la prueba.
Hacer fotos del dispositivo y de la pantalla con un reloj visible. Esto tarda entre 5 y 10 minutos.
Apuntar quién tuvo acceso al dispositivo en las últimas 48 horas (nombres y horas).
Evitar apagar el equipo salvo riesgo físico; apagar puede eliminar evidencia volátil.
Dato accionable: si el riesgo es inminente llamar al abogado y pedir intervención policial. El aviso a Policía Nacional o Guardia Civil puede tardar entre 1 y 6 horas en tramitarse.
Advertencia: entrar en cuentas ajenas sin autorización puede constituir delito. Esto hace la prueba inadmisible y puede generar responsabilidad penal.
Distinción práctica entre móviles, cloud y IoT
Las primeras acciones varían según el origen de la evidencia. En móviles, priorizar el aislamiento (modo avión), realizar imágenes forenses o exportes de apps y, si hay perito, captura de memoria; documentar el estado de cifrado y las cuentas asociadas. En cloud, no intente extraer datos por cuenta propia; recopile identificadores de cuenta, correos y fechas relevantes y pida preservación al proveedor vía abogado; además solicite metadatos (IPs, timestamps, registros de acceso), que suelen ser los más valiosos. En IoT, muchos dispositivos tienen almacenamiento limitado y registros locales efímeros: fotografíe el dispositivo, no resetee ni actualice firmware, aisle la red para evitar sobreescritura y, si es posible, capture tráfico de red; en muchos casos la intervención policial o pericial es necesaria para un acceso seguro. En cada caso, indicar las limitaciones típicas (backups en la nube que sobrescriben, cifrado de extremo a extremo, retención del proveedor) y la vía procesal adecuada cuando la extracción técnica no es posible.
Paso 2: documentar y preservar copias básicas
Rellenar una cadena de custodia inicial antes de mover cualquier archivo. Registrar quién hizo cada acción, fecha y hora exacta, lugar y motivo. Esto debe completarse en la primera ventana de 2 a 12 horas.
Qué documentar en la cadena de custodia (ejecutable ahora):
Identificador del soporte (marca, modelo, número de serie).
Descripción de la evidencia (tipo de archivo, ejemplos: chat WhatsApp, foto JPG, audio MP3).
Hora y fecha de la extracción o fotografía.
Nombre y firma del custodio en el momento de la toma y de cualquier transferencia.
Hash del archivo si se genera; herramienta usada y comando empleado.
Plantilla rápida de cadena de custodia (usar y completar en papel o en PDF editable):
Campo Ejemplo / Rellenar
Identificador del soporte iPhone X, SN 12345
Descripción de evidencia Chat WhatsApp con fotos (24-mar-2026)
Acción realizada Foto de pantalla; export chat; copia en disco
Fecha y hora 2026-03-27 14:20
Custodio Nombre, DNI, firma
Hash (SHA256) [sha256sum archivo]
Acciones de copia si no hay perito disponible (válidas en emergencia): exportar chat desde la app y copiar el fichero resultante a dos dispositivos distintos (unidad externa y disco duro propio). Generar hash con comando. Esto toma entre 10 y 40 minutos según volumen.
Errores frecuentes en este paso que bloquean al 60% de las personas: no anotar la hora exacta, no firmar la hoja, no describir el soporte. Esto complica la admisibilidad ante el juez.
0–2
Seguridad inicial: modo avión, fotos de pantalla, no interactuar.
2–12
Documentación: cadena de custodia, exportes, copias y hashes.
12–24
Pericial: solicitar imagen forense y preservación judicial si hace falta.
24–48
Decisión legal: presentación al abogado, petición de medidas cautelares, entrega formal.
Plantillas y checklists
Para facilitar la actuación en las primeras 24–48 horas, incluya plantillas (PDF y DOCX) que el usuario pueda imprimir y rellenar en caliente: una 'Cadena de custodia rápida' con campos predefinidos (identificador del dispositivo, hora de toma, acciones, hash, nombre y firma), un 'Checklist 0–48h' con pasos mínimos (modo avión, fotos, exportes, copias, notificación a abogado) y un 'Registro de transferencias' para anotar entregas. Ofrezca también una versión firmable digitalmente (PDF con campos rellenables) y un ejemplo completado para referencia: esto reduce errores comunes (no anotar hora exacta, ausencia de firma) y permite al abogado o perito revisar documentos estandarizados desde el primer momento.
Paso 3: perito, hashing e imagen forense
Si la prueba es sensible, solicitar imagen forense. La imagen forense es copia bit a bit del soporte. Solo así se preservan metadatos y se puede certificar integridad mediante hash.
Qué hace el perito y por qué hace falta:
Extrae la imagen forense con herramientas certificadas.
Genera hashes (SHA256) del original y de la copia.
Elabora informe pericial con metodología y anexos.
Comandos prácticos para técnicos (ejecutables por perito o técnico con permiso):
Linux: sha256sum archivo.ext — generar hash.
Windows: certutil -hashfile archivo.ext SHA256
Imagen disco (perito): dcfldd if=/dev/sdX hash=sha256 of=image.dd
Android ADB (solo con permiso): adb pull /sdcard/WhatsApp/Databases/msgstore.db.crypt12 ./
iOS backup (GUI o libimobiledevice): idevicebackup2 backup ./backup
Cuidado: muchos archivos de WhatsApp están cifrados. Extraer sin conocer la clave puede producir ficheros inservibles. Esto bloquea el proceso en el 30% de los casos cuando se intenta sin perito.
Roles y límites: el perito no decide medidas cautelares. El abogado pide la medida al Juzgado y puede solicitar a proveedor la preservación de datos.
Instrucciones operativas reproducibles
Escenario práctico (solo con permiso o por peritaje):
Poner el dispositivo en modo avión y tomar fotos del estado de la pantalla y del IMEI/serie; anotar quién tuvo acceso
Conexión por USB a un equipo de confianza (con consentimiento): habilitar USB debugging si ya estaba activado; si no, documentar que no fue posible
Extraer copia lógica: adb pull /sdcard/WhatsApp/Databases/msgstore.db.crypt12 ./ ; confirmar tamaño y fecha con ls -l
Generar hashes: sha256sum msgstore.db.crypt12 > msgstore.sha256
Copiar la exportación a dos soportes externos distintos (p. ej. disco y pendrive) y generar hash en cada uno; guardar salidas de comandos como evidencias (stdout redirect)
Si el archivo está cifrado, anotar el estado y solicitar actuación pericial o judicial (posible extracción de claves en /data/data o petición al proveedor). Cada comando y salida debe incluir hora, responsable y firma electrónica o física en la cadena de custodia
✉
¡Defiende tus derechos! Contacta con nuestro equipo jurídico especializado.
Errores que arruinan el resultado
La lista siguiente agrupa los fallos que más veces dejan pruebas fuera del proceso judicial.
Manipular o editar mensajes: reenviar o copiar y pegar cambia metadatos. Error típico: reenviar chat por email y aportar eso como única prueba.
Confiar solo en capturas de pantalla: suelen carecer de metadatos. Una captura vale como apoyo visual, no como prueba única.
Esperar demasiado: la nube sincroniza y borra en minutos. El error común es pensar que los backups durarán días.
Apagar o reiniciar sin criterio: se pierden logs y memoria volátil. Esto ocurre cuando se intenta «resetear» por seguridad y se pierden evidencias.
No generar hashes: copiar archivos sin hash impide demostrar integridad ante el juez.
Acceder a cuentas ajenas: introducir credenciales de otro puede ser delito y retirar admisibilidad.
Cada error tiene solución parcial, pero la mejor prevención es documentar y pedir pericia. Hay casos en que la prueba queda dañada irreversiblemente si se actúa mal.
Cuándo no funciona este método / alternativas
No aplicar estos pasos si la evidencia proviene de conductas ilícitas o de acceso no autorizado. En esos casos la prueba puede ser inadmisible y generar responsabilidad penal.
Alternativas cuando no se puede extraer la evidencia directamente:
Solicitar al abogado requerimiento al Juzgado para exhibición electrónica o preservación a proveedor.
Pedir actuación de Policía Judicial para incautación y custodia oficial.
Recurrir a peritaje a partir de copias secundarias si el original ya no existe; explicar limitaciones en informe pericial.
Si la evidencia está cifrada y no hay clave, considerar la vía judicial para requerir al proveedor datos o metadatos que prueben actividad.
Comparativa práctica de herramientas y costes
La elección de herramienta depende de soporte, cifrado y presupuesto. La tabla compara herramientas útiles y sus limitaciones.
Herramienta Soportes Extracción Preserva metadatos Coste aprox.
Cellebrite iOS, Android Física/lógica Alta Intervención pericial: 800–2.500 €
Oxygen Forensics iOS, Android, PC Lógica/decodificación Alta Intervención: 600–1.800 €
Autopsy PC, imágenes Forense open source Media Técnico: 300–800 €
exiftool / sha256sum Imágenes, archivos Metadatos y hashing Alta Gratuito / técnico
Costes orientativos en España: intervenciones urgentes o con extracción física suelen costar entre 800 y 2.500 EUR. Un informe pericial básico puede tardar entre 24 y 72 horas en entregarse en casos urgentes. En casos complejos el informe puede tardar 1–4 semanas.
Roles: abogado solicita medidas y maneja la parte procesal. El perito técnico extrae, documenta y firma el informe. Policía Judicial actúa cuando hay indicios de delito.
✉
¡Defiende tus derechos! Contacta con nuestro equipo jurídico especializado.
Cadena de custodia y admisibilidad ante el juzgado
La cadena de custodia deja constancia de la procedencia y del camino de la prueba. Sin ella, la prueba puede perder valor.
Elementos imprescindibles:
Identificación del soporte y su estado.
Registro cronológico de cada manipulación con firma.
Hashes del original y de las copias y comando usado.
Informe pericial que describa método y herramientas.
Estructura mínima del informe pericial:
Datos del perito y su acreditación.
Metodología empleada y herramientas.
Resultados (hashes, metadatos) y limitaciones.
Anexos: imágenes, logs, copias de archivos.
Documentar cada transferencia con firma física o email con acuse. Error típico que bloquea: no anotar la cadena cuando se entrega la copia al abogado.
Preguntas frecuentes
¿Qué tipo de evidencia se considera evidencia digital?
Respuesta: Mensajes SMS, chats de WhatsApp y Telegram, correos electrónicos, fotos digitales, audios, archivos de disco, logs de servidor y grabaciones de cámaras. También documentos electrónicos firmados con firma electrónica (Ley 59/2003, eIDAS). La gestión inadecuada, como el manejo inapropiado de archivos, puede reducir su valor probatorio.
¿Cuáles son los requisitos para la evidencia digital?
Respuesta: Autenticidad, integridad, procedencia acreditada y relevancia para el asunto. Para acreditar integridad se usan hashes y para procedencia la cadena de custodia. El perito informático forense detalla metodología y limitaciones en un informe que el juez valorará.
¿Cuál es el valor probatorio de la evidencia digital?
Respuesta: Depende de la fiabilidad de la cadena de custodia y del peritaje. Una imagen forense con hash y un informe técnico tiene alto valor probatorio. El juez compara la prueba con otras pruebas y testigos y decide su peso probatorio.
¿Qué errores pueden invalidar una evidencia en un juicio?
Respuesta: Manipular archivos, no generar hashing, usar solo capturas de pantalla, esperar a que la otra parte borre datos o acceder sin autorización. La pérdida de metadatos es una causa frecuente de impugnación en Juzgados de Familia.
¿Puedo entrar en la cuenta de mi ex para recuperar mensajes?
Respuesta: No se recomienda. Acceder a cuentas ajenas sin permiso puede ser delito bajo el Código Penal y puede hacer la prueba inadmisible. La vía correcta es pedir al abogado que solicite al juez la exhibición o preservación de datos.
Respuesta: Rango orientativo en España:
300–800 € para peritajes básicos
800–2.500 € para extracciones físicas complejas. Tiempos: 24–72 horas en urgencias
1–4 semanas en casos complejos
El coste final depende de volumen, cifrado y necesidad de extracción física.
¿La AEPD puede sancionar la presentación de estas pruebas?
Respuesta: Sí si el tratamiento de datos vulnera RGPD o LOPDGDD. Difundir datos de terceros sin base legal puede generar sanciones administrativas (AEPD). Por eso se recomienda coordinar la obtención y presentación con abogado y perito.
Recursos, plantillas y próximos pasos
Lista rápida de acciones obligatorias ahora:
No manipular originales.
Documentar hora y lugar en cadena de custodia.
Generar hashes y conservar al menos dos copias en soportes físicos.
Contactar al abogado y decir exactamente qué se hizo y cuándo.
Plantilla de solicitud a proveedor (texto orientativo que el abogado adaptará):
Identificación del solicitante y del procedimiento.
Periodo de conservación solicitado con fechas exactas.
Datos identificativos de la cuenta o servicio (email, número de teléfono).
Petición de logs de acceso y copias de archivos con timestamps.
Recurso útil: para dudas sobre protección de datos consultar a la Agencia Española de Protección de Datos:
AEPD
Contacto y roles: el afectado debe hacer las acciones iniciales y documentarlas. El abogado solicita medidas judiciales y coordina perito. El perito ejecuta imagen forense y elabora el informe.
Próximos pasos y recordatorio breve
Actuar rápido en las primeras 24–48 horas. No manipular, documentar todo y pedir intervención profesional cuando la evidencia sea crítica. Evitar acceso no autorizado. Conservar original, generar hash y pedir al abogado medidas de preservación si la otra parte puede destruir datos.
Recordatorio final en tres acciones:
No tocar ni reenviar originales.
Documentar y generar hash.
Llamar al abogado y al perito.
Referencias legales citadas: Ley 1/2000 (Ley de Enjuiciamiento Civil), Ley 59/2003 (Firma Electrónica), Ley Orgánica 3/2018 (Protección de Datos), RGPD (2016/679). Estos marcos son la base para solicitudes de exhibición electrónica y medidas cautelares.