0invader

Noticias

Análisis forense móvil: extracción, validación y cadena de custodia

5 de febrero de 2026

Un teléfono inteligente es la fuente de evidencia más rica que tocará la mayoría de las investigaciones, y la más fácil de volver inadmisible. Aquí tiene cómo se desarrolla una adquisición móvil sólida, desde la incautación hasta una cadena de custodia defendible.

El teléfono inteligente moderno es, en términos probatorios, un registro inusualmente completo de la vida de una persona: comunicaciones, historial de ubicaciones, actividad financiera y la línea temporal que los enlaza. Esa riqueza convierte a los dispositivos móviles en piezas centrales tanto de las investigaciones corporativas como de los litigios. También los convierte en evidencia frágil: un solo paso descuidado puede poner en cuestión toda la adquisición. Un análisis forense móvil sólido tiene tanto que ver con el procedimiento como con el utillaje.

Una adquisición típica

El trabajo sigue una secuencia deliberada alineada con los principios de la norma ISO/IEC 27037 para identificar, recopilar y preservar la evidencia digital:

  1. Aísle el dispositivo. Póngalo en un estado en el que no pueda recibir órdenes remotas —modo avión o un recinto apantallado— para evitar un borrado remoto o que datos nuevos sobrescriban la evidencia.
  2. Documente todo en la incautación. Marca, modelo, identificadores, estado físico y estado de la pantalla, registrados con marcas de tiempo antes de cualquier interacción.
  3. Extraiga de forma metódica. Según el dispositivo y la autorización, esto va desde una extracción lógica de los datos accesibles hasta una adquisición más completa del sistema de archivos o física. El método elegido debe quedar registrado y justificado.
  4. Calcule el hash del resultado. Genere un hash criptográfico de la imagen extraída en el momento de la adquisición para poder probar después la integridad.

Validación y admisibilidad

La extracción es solo la mitad del trabajo. Los resultados deben validarse: corroborar los hallazgos entre artefactos, confirmar que las marcas de tiempo tienen sentido y asegurar que el utillaje informó con exactitud. Para que la evidencia sea admisible, debe poder demostrar que lo que presenta en el informe es idéntico a lo que había en el dispositivo, y que se obtuvo mediante un proceso sólido y repetible. El hash de adquisición, vuelto a verificar antes del análisis, es lo que hace defendible esa afirmación.

La admisibilidad rara vez depende de la habilidad del análisis. Depende de si puede demostrar que la evidencia no está alterada y dar cuenta de cada mano que la tocó.

Cadena de custodia y trampas comunes

La cadena de custodia es el registro ininterrumpido y documentado de quién manejó la evidencia, cuándo y por qué, desde la incautación hasta la sala del tribunal. Una sola laguna sin documentar puede bastar para que la parte contraria impugne toda la prueba.

Las trampas que vemos con más frecuencia son evitables: examinar el dispositivo en vivo en lugar de una imagen preservada, no aislarlo antes de que aterrice un borrado remoto, fiarse de una única herramienta sin validación cruzada y una documentación de custodia descuidada que no puede sobrevivir al escrutinio. Ninguno de estos es un error sofisticado: son fallos de disciplina. En el análisis forense móvil, la disciplina es la pericia.

Etiquetas: Forensics Mobile

Nuestros socios confían en nosotros

Ayuntamiento de Alhama de Murcia
Ayuntamiento de Totana
Garrigues Abogados
Grupo Sureste