CIBERTICA 2026 Jaén: no toda prueba digital vale en tribunales

El III Congreso CIBÉRTICA 2026, celebrado los días 4 y 5 de marzo en la Universidad de Jaén, ha puesto sobre la mesa una realidad que afecta a miles de procedimientos judiciales en España cada año: presentar una captura de pantalla como prueba en un juicio puede ser tan útil como no presentar absolutamente nada.

GlobátiKa Labs, uno de los laboratorios forenses más reconocidos del país, dedicó su ponencia principal a explicar por qué la mayoría de las pruebas digitales que llegan a los juzgados españoles carecen de las garantías mínimas para ser admitidas como tales.

Su CEO, Ángel González, fue taxativo: «La presencia de datos digitales en un procedimiento judicial es cada vez más frecuente, pero no toda información extraída de un dispositivo puede considerarse prueba válida ante un tribunal» [1].

Como perito informático forense con base en Jaén, asistí al congreso con especial interés profesional. La conclusión principal no deja lugar a dudas: no toda prueba digital vale en tribunales. Y el problema no es la tecnología, sino el desconocimiento sistemático de los requisitos legales y técnicos que debe cumplir cualquier evidencia digital para que un juez la considere válida y le otorgue fuerza probatoria.

En un momento en el que las Fuerzas y Cuerpos de Seguridad del Estado registraron 464.801 ciberdelitos en 2024 —casi nueve de cada diez, fraudes informáticos— y la cibercriminalidad ya representa el 20,6% del total de infracciones penales según datos del primer trimestre de 2025 [2], esta cuestión ya no es marginal: es central para el funcionamiento del sistema judicial español.

Este artículo no es un simple resumen del congreso. Es una guía exhaustiva, técnica y jurídica, sobre la prueba digital en España. Desde el marco legal completo —LEC, LECrim, RGPD, LSSI— hasta la jurisprudencia más reciente del Tribunal Supremo, pasando por la metodología forense, las herramientas profesionales, los errores fatales que veo en mi práctica diaria y las tendencias que marcarán el futuro inmediato de la evidencia electrónica en los tribunales.

Si eres abogado, empresa o particular involucrado en un procedimiento donde la prueba digital es relevante —y hoy en día, en casi todos lo es—, lo que viene a continuación puede marcar la diferencia entre ganar y perder tu caso.

CIBÉRTICA 2026: qué se debatió en Jaén

El congreso y su contexto

CIBÉRTICA es el Congreso Divulgativo sobre Seguridad en el Uso de las TIC y Tecnoadicciones, un evento de referencia en el ámbito de la ciberseguridad, la salud digital y la innovación tecnológica en Andalucía [3].

En su tercera edición, organizada por el grupo de investigación SAICoG-Salud de la Escuela Politécnica Superior de Jaén (EPSJ) en colaboración con la dirección del congreso, el evento se celebró los días 4 y 5 de marzo de 2026 en el Aula Magna de la Universidad de Jaén.

El congreso tiene un carácter eminentemente práctico y busca, según sus organizadores, «ofrecer herramientas que permitan avanzar hacia una ciudadanía digital más segura y saludable». No se trata de un evento exclusivamente técnico: CIBÉRTICA aborda la ciberseguridad desde su impacto humano, social y jurídico, lo que lo convierte en un punto de encuentro único entre profesionales de ámbitos muy diversos [4].

Programa y ejes temáticos

El programa de CIBÉRTICA 2026 se estructuró en torno a tres grandes ejes:

Además de las ponencias plenarias, el congreso contó con el espacio «Aula Aprende Volando», donde los asistentes pudieron participar en talleres prácticos sobre:

• Hacking ético y ciberseguridad: demostraciones en vivo de ataques y defensas en entornos controlados.
• Inteligencia artificial aplicada: casos de uso en salud digital, detección de amenazas y análisis forense.
• Salud digital: herramientas para la prevención de tecnoadicciones y uso responsable de la tecnología.

También se habilitó una zona expositiva permanente con demostraciones de Realidad Virtual e Inteligencia Artificial aplicadas a la sanidad, un área que cada vez tiene más intersección con la informática forense —pensemos en la autenticación biométrica, la detección de deepfakes o el análisis forense de dispositivos médicos conectados (IoT sanitario).

Los ponentes y las instituciones

CIBÉRTICA 2026 reunió a ponentes de alto nivel procedentes de diferentes ámbitos del ecosistema de la ciberseguridad y la informática forense:

• GlobátiKa Labs: Ángel González (CEO) presentó la ponencia central sobre la transformación de evidencias digitales en pruebas válidas para tribunales.
• Grupo de investigación SAICoG-Salud (UJA): coordinó el eje de salud digital y tecnoadicciones, con especial atención a la prevención en el ámbito educativo.
• Profesionales de fuerzas y cuerpos de seguridad del Estado: compartieron su experiencia en la obtención y preservación de evidencia digital en investigaciones criminales.
• Magistrados y fiscales: aportaron la perspectiva judicial sobre la valoración de la prueba electrónica, sus limitaciones actuales y la necesidad de formación especializada.
• Peritos informáticos forenses: como representantes del sector profesional que actúa como puente entre la tecnología y el derecho en los procedimientos judiciales.
• Profesorado y orientadores: enfocados en la vertiente educativa y preventiva de la seguridad digital.

La Universidad de Jaén como sede

La elección de la Universidad de Jaén como sede de CIBÉRTICA 2026 no es casual. La UJA ha apostado firmemente por la formación en ciberseguridad a través de su Escuela Politécnica Superior, que ofrece programas específicos en seguridad informática dentro de sus grados de ingeniería.

Para quienes vivimos y trabajamos en Jaén, este congreso tiene un significado especial. La provincia no suele aparecer en el mapa de los grandes eventos tecnológicos nacionales, pero CIBÉRTICA demuestra que hay talento, demanda y necesidad real de servicios de peritaje informático en la zona.

Los juzgados de Jaén, Linares, Úbeda, Andújar y Martos tramitan cada vez más procedimientos donde la prueba digital es determinante:

• Estafas online: compras fraudulentas, phishing bancario, fraudes en marketplaces.
• Acoso digital: ciberacoso escolar, acoso laboral por medios electrónicos, violencia de género digital.
• Conflictos laborales: despidos basados en correos electrónicos, uso indebido de equipos corporativos, registros horarios manipulados.
• Disputas mercantiles: contratos firmados electrónicamente, documentación empresarial en la nube, propiedad intelectual digital.
• Delitos contra la intimidad: accesos no autorizados a dispositivos, difusión de imágenes íntimas, interceptación de comunicaciones.

Como perito informático forense establecido en Jaén, puedo confirmar que la demanda de informes periciales sobre evidencia digital ha crecido de forma sostenida en los últimos tres años. Y el problema que identificó CIBÉRTICA es exactamente el que veo en mi práctica diaria: la mayoría de las pruebas digitales llegan al juzgado sin las garantías necesarias.

La ponencia central de GlobátiKa Labs

La ponencia de GlobátiKa Labs se centró en un concepto que parece sencillo pero que encierra una enorme complejidad técnica y jurídica: ¿cómo se convierte una evidencia digital en una prueba válida para un tribunal? [1]

El equipo de GlobátiKa, liderado por Ángel González, estructuró su presentación en torno a tres pilares fundamentales que toda prueba digital debe satisfacer:

El mensaje fue contundente: una captura de pantalla de WhatsApp hecha con el móvil, sin más, no garantiza ninguno de estos tres pilares. Y sin embargo, es exactamente lo que la mayoría de personas —y muchos abogados— presentan en los juzgados como si fuera evidencia irrefutable.

GlobátiKa incluyó demostraciones prácticas que resultaron especialmente reveladoras:

1. Manipulación de capturas de WhatsApp: En apenas 30 segundos, mostraron cómo es posible alterar el contenido de un mensaje de WhatsApp utilizando las herramientas de desarrollo del navegador (DevTools) de cualquier navegador web, sin dejar rastro visible a simple vista.

2. Falsificación de correos electrónicos: Demostraron cómo un correo electrónico puede ser fabricado completamente, con cabeceras aparentemente legítimas, utilizando herramientas accesibles a cualquier usuario con conocimientos básicos.

3. Extracción forense legítima: En contraste, mostraron el proceso completo de una extracción forense correcta mediante Cellebrite UFED, que genera un volcado bit a bit con verificación hash, metadatos completos y documentación de cadena de custodia automatizada.

La diferencia entre ambos escenarios es abismal. Mientras que la captura de pantalla no aporta ninguna garantía técnica, la extracción forense profesional genera un paquete de evidencia que satisface los tres pilares exigidos por los tribunales y que es extremadamente difícil de impugnar con éxito.

Otros contenidos destacados del congreso

Además de la ponencia de GlobátiKa Labs, CIBÉRTICA 2026 abordó otros temas de gran relevancia para la informática forense y la prueba digital:

Inteligencia artificial y deepfakes: Varias presentaciones abordaron el impacto de la IA generativa en la fiabilidad de la prueba digital. Las estadísticas son alarmantes: el fraude con deepfakes ha experimentado un aumento del 1.400% en suplantación de identidad entre 2024 y 2025, y se proyectan pérdidas globales de 3,2 billones de euros para 2026 [5]. En España, el nuevo artículo 173 bis del Código Penal, aprobado en marzo de 2025, establece penas de 1 a 2 años de prisión por la creación y distribución de deepfakes de carácter sexual.

Tecnoadicciones y salud digital: El eje de salud digital del congreso abordó la prevención de adicciones tecnológicas, con herramientas prácticas para docentes y familias. Aunque este tema puede parecer alejado de la informática forense, la realidad es que muchos casos de ciberacoso escolar y violencia digital entre menores requieren peritaje informático para su resolución judicial.

Hacking ético y ciberseguridad empresarial: Los talleres prácticos ofrecieron formación en seguridad ofensiva y defensiva, con demostraciones de técnicas de ataque comunes y las contramedidas correspondientes. Esta formación es esencial para los peritos informáticos, que necesitan comprender tanto las técnicas de ataque como las de detección para poder realizar análisis forenses rigurosos.

Marco legal de la prueba digital en España

El marco jurídico español que regula la prueba digital es extenso, disperso y, en muchos aspectos, aún insuficiente para hacer frente a la realidad tecnológica actual. No existe una ley específica sobre prueba digital como tal; su regulación se encuentra repartida entre diferentes normas procesales, sustantivas y administrativas que es imprescindible conocer en profundidad.

Ley de Enjuiciamiento Civil (LEC): Ley 1/2000

La LEC es la norma procesal de referencia para los procedimientos civiles y, por extensión interpretativa, influye en la práctica de otros órdenes jurisdiccionales. Los artículos clave para la prueba digital son los siguientes:

Artículo 299: medios de prueba admisibles

El artículo 299 de la LEC establece el catálogo de medios de prueba admisibles en el proceso civil. Su apartado 2 es la puerta de entrada de la prueba digital al procedimiento, al reconocer expresamente como medios de prueba:

«Los medios de reproducción de la palabra, el sonido y la imagen, así como los instrumentos que permiten archivar y conocer o reproducir palabras, datos, cifras y operaciones matemáticas llevadas a cabo con fines contables o de otra clase, relevantes para el proceso.»

Pero más importante aún es el apartado 3, que funciona como cláusula residual:

«Cuando por cualquier otro medio no expresamente previsto en los apartados anteriores de este artículo pudiera obtenerse certeza sobre hechos relevantes, el tribunal, a instancia de parte, lo admitirá como prueba, adoptando las medidas que en cada caso resulten necesarias.»

Esta cláusula es la que permite que nuevas formas de evidencia digital —desde registros de blockchain hasta metadatos de dispositivos IoT— puedan ser admitidas como prueba aunque no encajen exactamente en las categorías tradicionales.

Artículo 326: documentos privados electrónicos

El artículo 326 de la LEC regula la fuerza probatoria de los documentos privados, categoría en la que se incluyen la mayoría de las evidencias digitales que se presentan en juicio: correos electrónicos, mensajes de WhatsApp, documentos ofimáticos, fotografías digitales, etc.

El régimen es el siguiente:

Apartado 1 — Documento no impugnado: Si la parte contraria no impugna la autenticidad del documento privado, este hará prueba plena del hecho, acto o estado de cosas que documenten, de la fecha en que se produce esa documentación y de la identidad de los firmantes.

Apartado 2 — Documento impugnado: Cuando se impugne la autenticidad de un documento privado, «el que lo haya presentado podrá pedir el cotejo pericial de letras o proponer cualquier otro medio de prueba que resulte útil y pertinente al efecto». En el ámbito digital, esto se traduce en la necesidad de un informe pericial informático que acredite la autenticidad del documento.

Apartado 3 — Documentos electrónicos con servicios de confianza no cualificados: Cuando se trate de un documento electrónico acreditado por un servicio electrónico de confianza no cualificado, se procederá conforme al apartado 2 si se impugna su autenticidad, integridad o precisión de fecha y hora.

Este artículo es crucial porque establece que la carga de la prueba de la autenticidad recae sobre quien presenta el documento cuando la otra parte lo impugna. Es decir: si presentas una captura de pantalla de WhatsApp y la otra parte dice que es falsa, tú tienes que demostrar que es auténtica. Y la única forma fiable de hacerlo es mediante un informe pericial informático.

Artículo 382: instrumentos de reproducción de palabra, sonido e imagen

El artículo 382 de la LEC regula específicamente los «instrumentos de filmación, grabación y semejantes» y su valor probatorio. Establece que:

• Las partes pueden proponer como medio de prueba la reproducción ante el tribunal de palabras, imágenes y sonidos captados mediante filmación, grabación y dispositivos similares.
• Al proponer esta prueba, la parte debe acompañar, en su caso, una transcripción escrita de las palabras contenidas en el medio que sean relevantes para el caso.
• La parte que proponga la prueba puede aportar los dictámenes periciales que considere oportunos.
• La parte contraria puede aportar igualmente dictámenes periciales y medios de prueba sobre la autenticidad e integridad de la reproducción.

Este artículo es aplicable a grabaciones de audio y vídeo digitales, videollamadas, mensajes de voz de WhatsApp, y cualquier otro contenido multimedia que se presente como prueba.

Artículo 384: instrumentos que permiten archivar, conocer o reproducir datos

El artículo 384 de la LEC es el más directamente aplicable a la prueba digital «pura» (datos, registros, bases de datos, logs de sistemas, etc.). Establece que:

• Los instrumentos que permitan archivar, conocer o reproducir datos relevantes para el proceso serán examinados por el tribunal conforme a las reglas de sana crítica.
• Las partes pueden proponer la práctica de prueba pericial sobre el instrumento.
• El tribunal valorará los instrumentos «conforme a las reglas de sana crítica aplicables a aquéllos según su naturaleza».

La referencia a las «reglas de sana crítica» es fundamental. Significa que el juez no está obligado a dar un valor predeterminado a la prueba digital: la valorará libremente, atendiendo a las circunstancias del caso, las garantías de la evidencia y las pericias aportadas. Esto refuerza la importancia del informe pericial como elemento que guía al juez en esa valoración.

Artículos 335 a 352: la prueba pericial

Los artículos 335 a 352 de la LEC regulan la prueba pericial, que es el instrumento procesal a través del cual el perito informático forense participa en el procedimiento judicial. Los aspectos más relevantes son:

Artículo 283: requisitos generales de admisibilidad

Para completar el marco de la LEC, es necesario mencionar el artículo 283, que establece los requisitos generales que debe cumplir cualquier medio de prueba para ser admitido:

• Pertinencia: adecuación entre el medio de prueba propuesto y el objeto de la prueba. La evidencia digital debe ser relevante para los hechos controvertidos.
• Utilidad: idoneidad del medio de prueba para acreditar el hecho que se pretende probar. No basta con que sea relevante; debe ser capaz de aportar convicción al tribunal.
• Legalidad: el medio de prueba debe proponerse con observancia de las formalidades legales y haber sido obtenido lícitamente.

Este último requisito —la legalidad— conecta directamente con la forma en que se obtiene la evidencia digital. Una prueba obtenida vulnerando derechos fundamentales (intimidad, secreto de las comunicaciones) será nula de pleno derecho, con independencia de su valor probatorio intrínseco.

Ley de Enjuiciamiento Criminal (LECrim)

En el ámbito penal, la regulación de la prueba digital cobra especial importancia debido a las garantías reforzadas que exige el proceso penal y a las consecuencias más graves que conlleva una condena.

Artículos 588 bis a y siguientes: disposiciones comunes a medidas de investigación tecnológica

La Ley Orgánica 13/2015, de 5 de octubre, introdujo en la LECrim un régimen completo de medidas de investigación tecnológica que supuso un cambio de paradigma en la investigación de delitos con componente digital. Los artículos 588 bis a a 588 bis k establecen las disposiciones comunes que rigen todas las medidas de investigación tecnológica [6]:

Principios rectores (art. 588 bis a): Toda medida de investigación tecnológica debe cumplir cinco principios acumulativos:

Autorización judicial (art. 588 bis b y c): Con carácter general, las medidas de investigación tecnológica requieren autorización judicial motivada mediante auto. La solicitud debe especificar: el hecho investigado, la identidad del afectado (si se conoce), la extensión y duración de la medida, y la fundamentación de su necesidad y proporcionalidad.

En casos de urgencia (art. 588 bis d), el Ministerio Fiscal o la Policía Judicial pueden ordenar la medida, pero deben comunicarla al juez en un plazo máximo de 24 horas para su ratificación o revocación.

Artículos 588 ter a a 588 ter m: interceptación de comunicaciones telefónicas y telemáticas

Los artículos 588 ter regulan específicamente la interceptación de comunicaciones telefónicas y telemáticas, una de las medidas más intrusivas y, por tanto, más reguladas:

Ámbito de aplicación (art. 588 ter a): La interceptación solo puede autorizarse cuando la investigación tenga por objeto:

• Delitos dolosos castigados con pena con límite máximo de, al menos, tres años de prisión.
• Delitos cometidos en el seno de un grupo u organización criminal.
• Delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación, o servicio de comunicación.

Este último supuesto es particularmente relevante porque abarca la práctica totalidad de los ciberdelitos: estafas online, phishing, acoso digital, pornografía infantil online, etc.

Contenido de la medida (art. 588 ter d): La autorización puede incluir la interceptación de:

• Comunicaciones telefónicas.
• Comunicaciones telemáticas (correos electrónicos, mensajería instantánea, chats, etc.).
• Comunicaciones realizadas a través de cualquier terminal o medio de comunicación.

Deber de colaboración (art. 588 ter e): Los prestadores de servicios de telecomunicaciones, de acceso a una red de telecomunicaciones o de servicios de la sociedad de la información están obligados a prestar al juez, al Ministerio Fiscal y a la Policía Judicial la asistencia y colaboración necesarias para facilitar la práctica de la medida.

Duración (art. 588 ter g): La interceptación puede acordarse por un plazo máximo de tres meses, prorrogable por períodos sucesivos de igual duración hasta un máximo de dieciocho meses.

Artículos 588 sexies a a 588 sexies c: registro de dispositivos de almacenamiento masivo

El Capítulo VIII del Título VIII del Libro II de la LECrim, compuesto por los artículos 588 sexies a a 588 sexies c, regula el registro de dispositivos de almacenamiento masivo de información, una medida de investigación tecnológica de enorme relevancia práctica [7]:

Necesidad de autorización motivada (art. 588 sexies a): La resolución del juez de instrucción que autorice el registro debe fijar los términos y el alcance del mismo. Esto incluye:

• El ámbito subjetivo: quién es el titular del dispositivo y quién puede verse afectado por el registro.
• El ámbito objetivo: qué tipo de información se busca y en qué dispositivos o cuentas concretas.
• Las condiciones de ejecución: quién realizará el registro, qué herramientas se utilizarán y qué garantías se adoptarán para preservar la integridad de los datos.

Acceso a la información (art. 588 sexies b): Se extiende no solo a dispositivos físicos (ordenadores, teléfonos móviles, tablets, discos duros, memorias USB, etc.), sino también a repositorios telemáticos: cuentas en la nube, correo electrónico web, redes sociales y cualquier otro servicio que almacene datos de forma remota.

Realización de copias (art. 588 sexies c): El auto judicial puede autorizar la realización de copias de los datos informáticos y debe establecer las condiciones necesarias para:

• Garantizar la integridad de los datos: mediante el uso de técnicas forenses como la creación de imágenes forenses con verificación hash.
• Preservar las garantías periciales: para que sea posible, si es necesario, un análisis pericial posterior sobre los datos obtenidos.

Ley Orgánica 13/2015: la reforma que cambió las reglas del juego

La LO 13/2015, de 5 de octubre, de modificación de la LECrim para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica, es la norma que introdujo el completo régimen de los artículos 588 bis y siguientes que acabamos de analizar [6].

Antes de esta reforma, la regulación de las medidas de investigación tecnológica era prácticamente inexistente en la LECrim, lo que obligaba a los tribunales a construir jurisprudencialmente los requisitos y garantías aplicables. La LO 13/2015 vino a llenar ese vacío normativo con un régimen detallado que abarca:

• Disposiciones comunes (arts. 588 bis a a 588 bis k).
• Interceptación de comunicaciones telefónicas y telemáticas (arts. 588 ter a a 588 ter m).
• Captación y grabación de comunicaciones orales mediante dispositivos electrónicos (arts. 588 quater a a 588 quater e).
• Utilización de dispositivos técnicos de seguimiento, localización e imagen (arts. 588 quinquies a a 588 quinquies c).
• Registro de dispositivos de almacenamiento masivo de información (arts. 588 sexies a a 588 sexies c).
• Registros remotos sobre equipos informáticos (arts. 588 septies a a 588 septies c).

Ley 34/2002 (LSSI-CE): servicios de la sociedad de la información

La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE), es relevante para la prueba digital en varios aspectos:

• Obligación de retención de datos: Los prestadores de servicios de alojamiento y acceso deben conservar determinados datos de tráfico durante un período legalmente establecido, datos que pueden ser cruciales como evidencia en procedimientos judiciales.
• Comunicaciones comerciales electrónicas: La LSSI establece requisitos específicos para las comunicaciones electrónicas comerciales cuyo incumplimiento puede generar responsabilidad y, por tanto, necesidad de prueba digital.
• Validez de contratos electrónicos: La ley reconoce la validez de los contratos celebrados por vía electrónica, lo que tiene implicaciones directas para la prueba de relaciones contractuales en procedimientos judiciales.

RGPD y Ley Orgánica 3/2018 (LOPDGDD)

El Reglamento General de Protección de Datos (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, tienen una incidencia significativa en la prueba digital:

• Licitud del tratamiento: La obtención de evidencia digital implica, en la mayoría de los casos, el tratamiento de datos personales. El RGPD exige una base legal para dicho tratamiento (consentimiento, interés legítimo, obligación legal, etc.), y su ausencia puede afectar a la admisibilidad de la prueba.
• Derecho de acceso: El RGPD otorga al interesado el derecho de acceder a sus datos personales, lo que puede facilitar la obtención de evidencia en determinados supuestos (por ejemplo, solicitar a un proveedor de servicios los registros de acceso a una cuenta).
• Medidas de seguridad: Las obligaciones de seguridad del RGPD (artículo 32) son relevantes para la cadena de custodia, ya que exigen garantizar la integridad y confidencialidad de los datos personales tratados.
• Registro de actividades de tratamiento: El artículo 30 del RGPD exige que los responsables del tratamiento mantengan un registro de las actividades de tratamiento, un documento que puede constituir evidencia relevante en procedimientos relacionados con brechas de seguridad o uso indebido de datos.

Real Decreto-ley 6/2023: Ley de Eficiencia Digital del Servicio Público de Justicia

El Real Decreto-ley 6/2023, de 19 de diciembre, derogó la anterior Ley 18/2011 y estableció un nuevo marco para la digitalización de la Administración de Justicia en España. Entre sus aspectos más relevantes para la prueba digital:

• Consolida la tramitación electrónica de los procedimientos judiciales.
• Regula el uso de medios electrónicos en las comunicaciones con la Administración de Justicia (sistema LexNET y equivalentes).
• Establece requisitos de seguridad, integridad y autenticidad para los documentos electrónicos en el ámbito judicial.

Reglamento (UE) 2023/1543: órdenes europeas de producción y conservación de prueba electrónica

El Reglamento (UE) 2023/1543, de 12 de julio de 2023, sobre las órdenes europeas de producción y conservación a efectos de prueba electrónica en procesos penales (e-Evidence), es la norma europea más relevante para la obtención transfronteriza de evidencia digital [8]:

• Permite que una autoridad judicial de un Estado miembro ordene directamente a un prestador de servicios establecido en otro Estado miembro la producción o conservación de datos electrónicos.
• Cubre datos del abonado, datos de acceso (direcciones IP), datos transaccionales y datos de contenido.
• Su aplicación plena está prevista para agosto de 2026, lo que lo convierte en una de las novedades legislativas más relevantes del momento para la prueba digital transfronteriza.

Jurisprudencia española sobre prueba digital

La jurisprudencia del Tribunal Supremo y de las Audiencias Provinciales ha ido construyendo un cuerpo doctrinal sobre la prueba digital que todo profesional del sector debe conocer. CIBÉRTICA 2026 dedicó una parte significativa de su programa a analizar las sentencias más relevantes y las tendencias jurisprudenciales actuales.

STS 300/2015, de 19 de mayo: la sentencia fundacional

La Sentencia del Tribunal Supremo 300/2015, de 19 de mayo (ECLI:ES:TS:2015:2047), es considerada la sentencia fundacional en materia de prueba digital en España. Sus pronunciamientos clave son [9]:

• Las capturas de pantalla de conversaciones de mensajería instantánea deben ser abordadas con «todas las cautelas» dada la posibilidad de manipulación.
• «La posibilidad de una manipulación forma parte de la realidad de las cosas.»
• A falta de reconocimiento por la otra parte, será necesario un informe pericial que identifique el teléfono emisor de los mensajes o una prueba testifical que acredite su remisión.
• La prueba digital no se presume falsa, pero tampoco se presume auténtica: debe ser acreditada.

Esta sentencia estableció un estándar elevado que generó un intenso debate sobre si era excesivamente garantista o, por el contrario, necesario para proteger los derechos de las partes. Las sentencias posteriores han ido matizando y, en algunos aspectos, flexibilizando este estándar.

STS 754/2016, de 13 de octubre: carga de la prueba

La STS 754/2016 desarrolló la doctrina sobre la carga de la prueba de la idoneidad probatoria de las capturas de pantalla:

• La carga de probar la autenticidad y fiabilidad de las capturas de pantalla corresponde a quien pretende aprovecharse de dicha prueba.
• No basta con aportar las capturas; es necesario acreditar que son genuinas y no han sido manipuladas.
• El informe pericial informático es el medio más adecuado para satisfacer esta carga probatoria.

STS 375/2018, de 19 de julio: la flexibilización

La STS 375/2018 introdujo un importante matiz que comenzó a flexibilizar la doctrina de la STS 300/2015:

• Reconoció explícitamente que un informe pericial informático que certifique la autenticidad e integridad de las conversaciones otorga plena validez probatoria a los mensajes de WhatsApp y otras plataformas de mensajería.
• Abrió la puerta a que, en determinadas circunstancias, pueda prescindirse del informe pericial si no existen dudas razonables sobre la autenticidad de la evidencia digital por otros medios de prueba.
• No toda impugnación genérica de la otra parte obliga automáticamente a aportar pericial: la impugnación debe ser motivada y concreta.

STS 332/2019: presunción de validez salvo impugnación expresa

La STS 332/2019 supuso otro paso en la consolidación de la doctrina, al establecer que:

• La prueba digital se presume válida salvo que la defensa la impugne expresamente.
• En ausencia de impugnación, la prueba digital tiene plena eficacia probatoria.
• La carga de la prueba se invierte: ya no es quien aporta la prueba quien debe demostrar su autenticidad, sino quien la cuestiona quien debe fundamentar las razones de su impugnación.

Este criterio ha sido especialmente relevante en la práctica, porque reduce significativamente la carga procesal para la parte que aporta la prueba digital cuando la otra parte no la impugna de forma concreta y motivada.

STS 777/2022, de 22 de septiembre: consolidación de la doctrina

La STS 777/2022 consolidó la línea jurisprudencial al reiterar que:

• La doctrina del Tribunal Supremo no establece una presunción de falsedad de las pruebas digitales.
• La valoración debe hacerse caso por caso, atendiendo al conjunto de la prueba practicada.
• Los mensajes de WhatsApp, correos electrónicos y otras evidencias digitales pueden ser valorados como prueba aunque no estén acompañados de un informe pericial, si otros elementos del proceso permiten al tribunal formarse convicción sobre su autenticidad.

STS 116/2025: el estado actual de la cuestión

La STS 116/2025 representa el estado más actual de la doctrina del Tribunal Supremo sobre prueba digital:

• Confirma que las capturas de pantalla no son intrínsecamente inválidas como medio de prueba.
• Reitera que su eficacia probatoria depende de si son impugnadas y, en caso afirmativo, de cómo se acredita su autenticidad.
• Cita como precedentes las STS 300/2015, 754/2016, 375/2018, 777/2022 y 7/2023.

STS 534/2021: validación de Cellebrite UFED

Una sentencia de especial relevancia técnica es la STS 534/2021, que validó expresamente la extracción forense mediante Cellebrite UFED como metodología científicamente válida para la obtención de evidencia digital de dispositivos móviles:

• La herramienta está certificada y es ampliamente aceptada por fuerzas de seguridad internacionales.
• La extracción realizada con esta herramienta, documentada con su correspondiente verificación hash y cadena de custodia, constituye prueba válida.

Jurisprudencia sobre correo electrónico

El Tribunal Supremo también ha desarrollado doctrina específica sobre el correo electrónico como prueba:

• STS de 23 de julio de 2020: Reconoció que los correos electrónicos tienen la naturaleza de prueba documental, no meramente de instrumental tecnológica. Esto tiene importantes consecuencias procesales, especialmente para los recursos de casación y suplicación en el orden social.
• STS de 9 de mayo de 2023: Confirmó que el correo electrónico es «prueba documental hábil» a efectos de solicitar la revisión de los hechos probados en suplicación.

Jurisprudencia sobre acceso a correos corporativos

En el ámbito laboral, la STS 489/2018 estableció límites al acceso a los archivos personales telemáticos almacenados en dispositivos corporativos:

• Es necesario que se hayan eliminado previamente las expectativas de privacidad del trabajador (información previa sobre la política de uso de los medios corporativos).
• El acceso debe respetar los límites establecidos por el TEDH (caso Barbulescu II).
• La vulneración de estos requisitos puede determinar la ilicitud de la prueba obtenida.

Tabla resumen de jurisprudencia clave

La cadena de custodia digital

La cadena de custodia es, sin duda, el concepto que más se repitió durante CIBÉRTICA 2026. Y con razón: es el eslabón más débil y, al mismo tiempo, más importante de todo el proceso de obtención y presentación de prueba digital.

Qué es la cadena de custodia digital

La cadena de custodia es el registro documentado, continuo e ininterrumpido que detalla todas las personas que han tenido acceso a una evidencia digital, las operaciones que se han realizado sobre ella, los lugares donde ha estado almacenada y las fechas y horas de cada una de estas operaciones, desde el momento de la identificación de la evidencia hasta su presentación final en el procedimiento judicial.

Su finalidad es garantizar que la evidencia presentada ante el tribunal es exactamente la misma que fue obtenida originalmente, sin alteraciones, adiciones ni supresiones de ningún tipo.

La norma ISO 27037: el estándar internacional

La norma ISO/IEC 27037:2012 es el estándar internacional de referencia que establece las directrices para la identificación, recopilación, adquisición y preservación de evidencia digital. GlobátiKa Labs hizo especial énfasis en esta norma durante su ponencia en CIBÉRTICA, y es la que rige mi propia práctica profesional como perito informático forense [10].

La ISO 27037 define cuatro fases secuenciales que todo proceso de tratamiento de evidencia digital debe seguir:

Fase 1: Identificación

La primera fase consiste en localizar, identificar y documentar la evidencia digital potencial. Esto implica:

• Inventario de dispositivos y fuentes: Identificar todos los dispositivos electrónicos, medios de almacenamiento y fuentes de datos que puedan contener evidencia relevante para el caso.
• Evaluación de la escena: Determinar las condiciones del entorno (dispositivos encendidos o apagados, conexiones de red activas, presencia de cifrado, etc.) y planificar la estrategia de adquisición más adecuada.
• Priorización: Establecer un orden de adquisición basado en la volatilidad de los datos (los más volátiles primero) y en su relevancia para el caso.
• Documentación fotográfica y escrita: Registrar el estado inicial de los dispositivos y la escena antes de cualquier intervención.

Fase 2: Recopilación (Collection)

La recopilación consiste en la recogida física de los dispositivos y medios que contienen la evidencia digital:

• Embalaje seguro: Los dispositivos deben ser embalados de forma que se eviten daños físicos y electromagnéticos (bolsas antiestáticas, cajas acolchadas, jaulas de Faraday para dispositivos móviles que deben permanecer aislados de la red).
• Etiquetado: Cada dispositivo debe ser etiquetado con un identificador único, la fecha y hora de recopilación, la persona responsable y una descripción del estado del dispositivo.
• Sellado: Los dispositivos deben ser sellados de forma que cualquier apertura o manipulación sea detectable (precintos de seguridad numerados, firma sobre cinta adhesiva, etc.).
• Transporte seguro: El transporte debe realizarse en condiciones que garanticen la integridad física y lógica de los dispositivos.

Fase 3: Adquisición (Acquisition)

La adquisición es la fase técnica central del proceso forense: consiste en crear una copia forense exacta de la evidencia digital original sin alterar el contenido de la fuente [10]:

• Uso de bloqueadores de escritura: Para evitar cualquier modificación accidental del dispositivo original, se utilizan write blockers — dispositivos hardware o software que impiden la escritura en el medio original mientras permiten su lectura.
• Creación de la imagen forense: Se realiza una copia bit a bit (imagen forense) del dispositivo completo, incluyendo espacio no asignado, archivos eliminados y metadatos del sistema de archivos.
• Verificación hash: Inmediatamente después de la adquisición, se calcula el hash criptográfico (SHA-256 o superior) tanto del dispositivo original como de la imagen forense. La coincidencia de ambos hashes demuestra matemáticamente que la copia es idéntica al original.
• Duplicado de seguridad: Se crea al menos una copia adicional de la imagen forense para garantizar la disponibilidad de la evidencia en caso de fallo del medio de almacenamiento.

Fase 4: Preservación (Preservation)

La preservación es la fase que se extiende desde la finalización de la adquisición hasta la presentación de la evidencia en el procedimiento judicial, y potencialmente más allá (hasta que se agoten las vías de recurso):

• Almacenamiento seguro: Las imágenes forenses deben almacenarse en medios confiables, en condiciones ambientales adecuadas y con control de acceso.
• Registro de accesos: Cada acceso a la evidencia debe quedar registrado con la fecha, hora, persona, motivo y operaciones realizadas.
• Verificación periódica de integridad: De forma regular, se deben recalcular los hashes de las imágenes forenses y compararlos con los hashes originales para verificar que no se ha producido ninguna alteración.
• Copia de seguridad: Mantener copias de seguridad actualizadas en ubicaciones físicas separadas.

Documentación de la cadena de custodia

La norma ISO 27037 establece que la documentación de la cadena de custodia debe incluir, como mínimo, los siguientes elementos [10]:

Rupturas de la cadena de custodia: causas y consecuencias

La cadena de custodia se considera «rota» cuando existe un período sin documentar en el recorrido de la evidencia, o cuando no se puede garantizar que la evidencia no ha sido accesible a personas no autorizadas. Las causas más frecuentes de ruptura son:

Causas más comunes:

1. Falta de documentación inicial: No registrar el estado del dispositivo en el momento de su primera identificación.
2. Transferencias no documentadas: Pasar el dispositivo de una persona a otra sin dejar constancia escrita.
3. Almacenamiento inseguro: Guardar dispositivos con evidencia en lugares accesibles a terceros no autorizados.
4. Ausencia de precintos: No sellar los dispositivos de forma que se pueda detectar una apertura no autorizada.
5. No verificar la integridad hash: Omitir la verificación hash después de cada operación sobre la evidencia.
6. Retrasos en la adquisición: Dejar pasar tiempo excesivo entre la identificación de la evidencia y su adquisición forense, durante el cual el dispositivo puede haber sido utilizado o modificado.
7. Uso del dispositivo original: Encender, utilizar o conectar a red el dispositivo original sin las precauciones forenses adecuadas.
8. Intervención de personas no cualificadas: Permitir que personas sin formación forense manipulen los dispositivos o los datos.

Consecuencias de la ruptura:

Las consecuencias de una cadena de custodia rota pueden ser devastadoras para el procedimiento judicial:

• Pérdida de valor probatorio: El juez puede decidir que la evidencia carece de la fiabilidad suficiente para fundamentar una resolución.
• Inadmisión de la prueba: En casos extremos, la ruptura de la cadena de custodia puede llevar al juez a inadmitir la prueba completamente.
• Inversión de la carga de la prueba: La parte que aportó la evidencia con cadena de custodia rota puede verse obligada a demostrar, por otros medios, que la evidencia no ha sido alterada — una prueba diabólica en muchos casos.
• Ventaja procesal para la parte contraria: Una cadena de custodia deficiente es un argumento fácil y efectivo para la impugnación por parte del adversario procesal.

Errores que invalidan la prueba digital

Como perito informático forense, el apartado de CIBÉRTICA que más resonó con mi experiencia diaria fue el dedicado a los errores frecuentes que invalidan pruebas digitales. A lo largo de mi práctica profesional, he visto repetirse los mismos errores una y otra vez, con consecuencias que van desde la pérdida de eficacia probatoria hasta la nulidad absoluta de la prueba.

Estos son los errores más habituales, ordenados por frecuencia e impacto:

Error 1: capturas de pantalla sin certificación forense

Frecuencia: muy alta | Impacto: alto

Es el error más extendido y el que CIBÉRTICA abordó con mayor detalle. Una captura de pantalla de un mensaje de WhatsApp, un correo electrónico, una publicación en redes sociales o cualquier otro contenido digital no demuestra absolutamente nada por sí misma.

Por qué es un error:

• La captura puede haber sido editada con cualquier herramienta de edición de imagen (Photoshop, GIMP, Paint, incluso las herramientas de edición del propio móvil).
• No contiene metadatos fiables que permitan verificar su origen, fecha o integridad.
• No existe forma de vincular la captura con el dispositivo original donde se encontraba el contenido.
• El Tribunal Supremo ha reiterado que «la posibilidad de una manipulación forma parte de la realidad de las cosas» (STS 300/2015).

La solución: La certificación de mensajería mediante herramientas forenses que generan un acta con hash, fecha y hora verificable, vinculada al dispositivo original mediante una extracción forense documentada. Es la diferencia entre presentar una fotocopia sin firmar y un documento notarial.

Error 2: reenvío de correos electrónicos como prueba

Frecuencia: alta | Impacto: alto

Reenviar un correo a tu abogado y presentar ese reenvío como prueba es otro error clásico que veo con frecuencia alarmante.

Por qué es un error:

• El reenvío modifica las cabeceras del mensaje original, alterando información técnica crucial.
• Cambia la dirección IP de origen aparente.
• Modifica las marcas de tiempo (timestamps) del servidor.
• Altera la ruta de servidores (campo Received).
• Puede cambiar la codificación del contenido.
• El destinatario del reenvío se convierte en el nuevo «origen» desde la perspectiva de las cabeceras.
• Es técnicamente posible fabricar un reenvío que contenga un mensaje que nunca existió.

La solución: Un análisis de comunicaciones forense que trabaje con el mensaje original en el buzón del remitente o del destinatario, extrayendo las cabeceras completas y verificando su autenticidad mediante análisis técnico (SPF, DKIM, DMARC, registros de servidor).

Error 3: extraer información del dispositivo sin autorización judicial (en procedimientos penales)

Frecuencia: media | Impacto: crítico

En procedimientos penales, acceder al contenido de un dispositivo electrónico sin autorización judicial puede suponer la nulidad de pleno derecho de toda la prueba obtenida, con independencia de lo relevante o incriminatoria que sea.

Por qué es un error:

• El artículo 588 sexies a de la LECrim es taxativo: se requiere autorización judicial motivada para el registro de dispositivos de almacenamiento masivo de información [7].
• La Circular 5/2019 de la Fiscal General del Estado desarrolla esta regulación y establece criterios para su aplicación práctica.
• La nulidad afecta no solo a la prueba directa, sino también a toda la prueba derivada (doctrina del fruto del árbol envenenado).
• Ni siquiera el consentimiento del investigado exime de la necesidad de autorización judicial en todos los supuestos.

La solución: Siempre solicitar autorización judicial previa. En caso de urgencia, la LECrim permite que la Policía Judicial actúe bajo determinadas condiciones, pero con obligación de comunicar al juez en 24 horas.

Error 4: no documentar la cadena de custodia

Frecuencia: alta | Impacto: alto

Si entre el momento en que se obtiene la evidencia y el momento en que se presenta en el juzgado no existe un registro documentado de quién ha tenido acceso al dispositivo o archivo, la cadena de custodia se considera rota.

Por qué es un error:

• Sin cadena de custodia documentada, es imposible demostrar que la evidencia no ha sido manipulada.
• Cualquier abogado mínimamente competente impugnará una prueba sin cadena de custodia.
• El juez pierde toda confianza en la fiabilidad de la evidencia.
• No se puede reproducir el proceso de obtención de la evidencia para verificación independiente.

La solución: Documentar exhaustivamente todo el recorrido de la evidencia desde el primer momento. Si eres un particular, la mejor opción es contactar inmediatamente con un perito informático que se encargue de la documentación profesional.

Error 5: tardar demasiado en preservar la evidencia

Frecuencia: muy alta | Impacto: variable (puede ser crítico)

Las pruebas digitales son por naturaleza volátiles. Un mensaje de WhatsApp puede borrarse, una publicación en redes sociales puede eliminarse, un servidor puede dejar de estar disponible, las copias de seguridad se rotan, los registros de acceso tienen períodos de retención limitados.

Por qué es un error:

• Cuanto más tiempo pasa, más probable es que la evidencia desaparezca o se modifique.
• Los proveedores de servicios (Google, Meta, Microsoft) tienen políticas de retención limitada: los datos pueden ser eliminados automáticamente pasado un plazo.
• El propio uso del dispositivo puede sobrescribir datos relevantes (mensajes eliminados, archivos temporales, etc.).
• Los registros de logs de sistema se rotan periódicamente.

La solución: Actuar en las primeras 24-48 horas tras detectar la necesidad de preservar la evidencia. CIBÉRTICA insistió en que la preservación preventiva siempre es más eficaz y menos costosa que intentar recuperar evidencia que ya se ha perdido.

Error 6: modificar el dispositivo original antes de la extracción forense

Frecuencia: alta | Impacto: alto

Encender un teléfono móvil, abrir aplicaciones, navegar por los mensajes, conectarlo a WiFi o a un cargador, o instalar actualizaciones: cualquiera de estas acciones modifica el estado del dispositivo y puede alterar o destruir evidencia.

Por qué es un error:

• Encender un smartphone activa procesos en segundo plano que modifican archivos temporales, registros y bases de datos internas.
• Conectar a internet permite que se ejecuten sincronizaciones remotas, borrados remotos (remote wipe) o actualizaciones que modifiquen el contenido.
• Las aplicaciones de mensajería pueden sincronizar y eliminar mensajes pendientes de borrado.
• Se alteran los metadatos de acceso del sistema de archivos.

La solución: Activar inmediatamente el modo avión si el dispositivo está encendido. Si está apagado, no encenderlo. Entregar el dispositivo al perito informático lo antes posible para que realice la extracción forense con las garantías adecuadas (write blocker, jaula de Faraday, etc.).

Error 7: utilizar herramientas no forenses para la extracción de datos

Frecuencia: media | Impacto: alto

Extraer datos de un dispositivo utilizando métodos no forenses (copia simple de archivos, exportación desde la aplicación, backup estándar de iCloud o Google Drive) no garantiza la integridad ni la completitud de la evidencia.

Por qué es un error:

• Las copias no forenses no incluyen espacio no asignado ni archivos eliminados.
• No se genera verificación hash automática.
• No se documentan los metadatos del sistema de archivos de forma completa.
• La defensa puede argumentar que la extracción no fue rigurosa y que la evidencia puede haber sido alterada en el proceso.

La solución: Utilizar herramientas forenses validadas (Cellebrite UFED, Oxygen Forensic Detective, FTK Imager, EnCase) que generan imágenes forenses verificadas con hash y documentación de cadena de custodia.

Error 8: presentar mensajes reenviados o capturas de conversaciones sin contexto completo

Frecuencia: alta | Impacto: medio-alto

Presentar capturas parciales de conversaciones, omitiendo mensajes anteriores o posteriores que proporcionan contexto, es un error que puede invalidar la prueba o, peor aún, generar una impresión falsa ante el tribunal.

Por qué es un error:

• Las capturas parciales pueden ser consideradas manipulación por omisión.
• El contexto es esencial para la correcta interpretación de cualquier mensaje.
• La parte contraria puede aportar la conversación completa, dejando en evidencia la parcialidad de las capturas.
• El juez puede desconfiar de toda la prueba aportada si detecta que se han omitido partes deliberadamente.

La solución: Siempre presentar la conversación completa, o al menos un contexto suficiente que permita al juez valorar adecuadamente el contenido. La extracción forense obtiene la conversación íntegra, eliminando este problema.

Error 9: no verificar la autenticidad de la evidencia de origen web

Frecuencia: media | Impacto: medio-alto

Las páginas web, publicaciones en redes sociales y contenido online pueden ser modificados o eliminados en cualquier momento. Una simple impresión de una página web o una captura de pantalla de un perfil de red social no garantiza que el contenido existió realmente tal como se muestra.

Por qué es un error:

• El contenido web es inherentemente efímero y modificable.
• Es técnicamente sencillo crear páginas web falsas indistinguibles de las originales.
• Las redes sociales permiten editar y eliminar publicaciones.
• Sin un certificado de contenido web con sello de tiempo, no se puede demostrar cuándo existió el contenido ni que era exactamente como se presenta.

La solución: Utilizar herramientas de certificación de contenido web que generan un acta notarial digital con sello de tiempo, hash y captura completa del contenido incluyendo código fuente, cabeceras HTTP y certificado SSL del servidor.

Error 10: obtener pruebas vulnerando el secreto de las comunicaciones

Frecuencia: baja | Impacto: crítico

Interceptar comunicaciones ajenas sin autorización judicial —ya sea instalando aplicaciones espía, accediendo a cuentas de correo o mensajería sin consentimiento, o utilizando técnicas de man-in-the-middle— constituye un delito tipificado en el artículo 197 del Código Penal y genera la nulidad absoluta de la prueba obtenida.

Por qué es un error:

• Es un delito con penas de prisión (art. 197 CP).
• La prueba obtenida es nula de pleno derecho.
• Todo lo derivado de esa prueba ilícita es igualmente nulo.
• Quien obtiene la prueba de esta forma pasa de víctima a imputado.

La solución: Nunca acceder a comunicaciones ajenas sin autorización. Existen vías legales para obtener la información necesaria: requerimientos judiciales a los proveedores de servicios, medidas cautelares de aseguramiento de prueba, y obtención de evidencia propia sin necesidad de acceder a las comunicaciones del otro.

Error 11: no distinguir entre datos de tráfico y datos de contenido

Frecuencia: media | Impacto: medio

En el ámbito penal, existe una distinción crucial entre datos de tráfico (quién comunicó con quién, cuándo, desde dónde) y datos de contenido (qué se dijo en la comunicación). Cada tipo de dato tiene un régimen de obtención diferente, y confundirlos puede generar problemas procesales.

Error 12: no considerar la jurisdicción del proveedor de servicios

Frecuencia: media | Impacto: medio-alto

Cuando la evidencia digital está alojada en servidores de empresas extranjeras (Google en EE.UU., Meta en Irlanda, etc.), es necesario seguir los procedimientos de cooperación judicial internacional o, próximamente, utilizar las órdenes europeas de producción y conservación del Reglamento e-Evidence.

Error 13: certificados digitales expirados o no válidos

Frecuencia: baja | Impacto: medio

Utilizar certificados digitales expirados o no reconocidos para firmar documentos o evidencias puede comprometer su validez ante el tribunal.

Error 14: no preservar los metadatos

Frecuencia: alta | Impacto: medio-alto

Los metadatos de los archivos digitales (fecha de creación, última modificación, autor, dispositivo, datos EXIF de fotografías, etc.) son a menudo tan importantes como el propio contenido del archivo. Perderlos o alterarlos reduce significativamente el valor probatorio de la evidencia.

Error 15: confiar en la marca de tiempo del dispositivo

Frecuencia: media | Impacto: medio

La fecha y hora de un dispositivo electrónico pueden ser modificadas manualmente por el usuario. Confiar ciegamente en el timestamp del dispositivo sin verificación independiente es un error que puede ser explotado por la parte contraria.

La solución: Contrastar las marcas de tiempo del dispositivo con fuentes independientes: registros de servidores, timestamps de proveedores de servicios, datos de geolocalización con marca temporal, o sellado de tiempo por tercero de confianza.

Error 16: presentar evidencia de apps de mensajería sin extracción del dispositivo original

Frecuencia: muy alta | Impacto: alto

Muchas personas intentan presentar como prueba conversaciones de WhatsApp obtenidas desde WhatsApp Web, backups de Google Drive o exportaciones desde la propia app. Estos métodos no proporcionan las mismas garantías que una extracción forense del dispositivo físico.

Por qué es un error:

• WhatsApp Web es una extensión del teléfono, no una fuente independiente.
• Los backups pueden estar incompletos o haber sido manipulados.
• Las exportaciones desde la app omiten metadatos relevantes.
• Solo la extracción forense del dispositivo original proporciona la base de datos SQLite completa con todos los metadatos (metadatos de WhatsApp).

Error 17: no considerar la evidencia contraforense

Frecuencia: baja | Impacto: alto

Las técnicas antiforenses (borrado seguro, cifrado, esteganografía, uso de VPN y Tor, aplicaciones de mensajería efímera) son cada vez más habituales. No considerar la posibilidad de que la parte contraria haya empleado estas técnicas puede llevar a conclusiones incompletas o erróneas en el informe pericial.

Metodología forense para prueba válida

El proceso de análisis forense digital no es un acto único: es un proceso metodológico estructurado en fases secuenciales, cada una con sus propios protocolos, herramientas y requisitos de documentación. CIBÉRTICA 2026 dedicó varias sesiones a explicar esta metodología, y la expongo aquí de forma completa porque considero que es información esencial tanto para abogados como para cualquier persona que necesite presentar pruebas digitales en un procedimiento judicial.

Las 10 fases del proceso forense digital

Herramientas forenses de referencia

CIBÉRTICA 2026 dedicó una sección completa a las herramientas forenses utilizadas actualmente en el peritaje informático profesional. GlobátiKa Labs y otros ponentes presentaron el estado del arte en adquisición y análisis de evidencia digital:

Lo que quedó claro en CIBÉRTICA es que la herramienta por sí sola no hace al perito. Un profesional cualificado sabe qué herramienta utilizar en cada caso, cómo documentar el proceso y cómo presentar los resultados de forma que el juez —que no es técnico— pueda comprenderlos y valorarlos adecuadamente.

El perito informático en el proceso judicial

CIBÉRTICA 2026 dedicó una mesa redonda completa al papel del perito informático en el proceso judicial español. Las conclusiones fueron claras y coinciden con lo que defiendo en mi práctica profesional como perito con base en Jaén.

Funciones del perito informático forense

El perito informático forense cumple múltiples funciones en el proceso judicial, todas ellas dirigidas a un mismo fin: servir de puente entre la tecnología y el derecho.

Cuándo es imprescindible un perito informático

Designación del perito: parte vs. judicial

La LEC contempla dos modalidades de designación de peritos:

Perito de parte (art. 336 LEC):

• Es designado y contratado por una de las partes del procedimiento.
• El dictamen se aporta con la demanda o la contestación.
• La otra parte puede solicitar la presencia del perito en el juicio para someterlo a interrogatorio.
• Ventaja: Mayor control sobre el alcance y la orientación del informe.
• Riesgo percibido: El tribunal puede considerarlo menos imparcial (aunque un buen perito de parte es siempre objetivo en sus conclusiones técnicas).

Perito judicial (art. 340 LEC):

• Es designado por el juzgado a partir de la lista del decanato correspondiente.
• Se selecciona por insaculación (sorteo) entre los profesionales de la especialidad.
• El perito jura o promete actuar con objetividad.
• Ventaja: Mayor percepción de imparcialidad por parte del tribunal.
• Limitación: Las partes no eligen al perito, y su nivel de especialización puede variar.

En la práctica, lo más habitual en casos de prueba digital es que cada parte aporte su propio informe pericial (peritos de parte), y el juez valore ambos dictámenes conforme a las reglas de sana crítica. La designación judicial de peritos informáticos es menos frecuente, pero puede ser decisiva en casos complejos donde las pericias de parte son contradictorias.

La ratificación en juicio oral: claves prácticas

La ratificación en juicio oral es el momento en que el perito se enfrenta al tribunal y a las partes. Según datos de la práctica forense, en aproximadamente el 60% de los procedimientos civiles y mercantiles, el informe pericial es admitido como prueba documental sin necesidad de ratificación oral. Pero en el 40% restante, y en la práctica totalidad de los procedimientos penales, el perito debe ratificar presencialmente.

Preparación para la ratificación:

1. Dominar el informe: El perito debe conocer cada detalle de su informe, incluyendo los anexos técnicos. No es aceptable tener que consultar constantemente el documento durante la declaración.

2. Anticipar las preguntas de la parte contraria: El abogado de la otra parte intentará desacreditar el informe. Las líneas de ataque más habituales son:

   • Cuestionar la cualificación del perito.
   • Buscar contradicciones o imprecisiones en el informe.
   • Plantear escenarios alternativos a los descritos.
   • Cuestionar la metodología o las herramientas utilizadas.
   • Señalar limitaciones no mencionadas en el informe.

3. Adaptar el lenguaje: El juez no es informático. Las explicaciones deben ser claras, con analogías comprensibles y evitando la jerga técnica innecesaria. Por ejemplo:

   • En lugar de «función hash criptográfica SHA-256», explicar: «es como una huella dactilar digital matemáticamente única que permite verificar que un archivo no ha sido modificado ni un solo bit».
   • En lugar de «extracción física de la memoria NAND», explicar: «se realizó una copia completa, byte a byte, de toda la información almacenada en el teléfono, incluyendo datos que el usuario había eliminado».

4. Mantener la objetividad: Incluso cuando el perito ha sido contratado por una parte, debe mantener una actitud estrictamente objetiva y técnica en el juicio. Defender conclusiones legítimas es correcto; intentar favorecer a quien paga, no lo es.

5. Preparar material de apoyo visual: En casos complejos, puede ser útil preparar esquemas, diagramas o presentaciones que faciliten la comprensión del tribunal.

Tipos de evidencia digital y su tratamiento

No toda la evidencia digital es igual. Cada tipo tiene sus propias características técnicas, sus requisitos específicos de obtención y preservación, y su propia casuística jurídica. A continuación, analizo los tipos de evidencia digital más frecuentes en la práctica forense.

WhatsApp y otras apps de mensajería

Relevancia procesal: Extremadamente alta. Los mensajes de WhatsApp son probablemente la forma de evidencia digital más frecuente en los juzgados españoles.

Requisitos específicos:

• La extracción debe realizarse del dispositivo original mediante herramientas forenses.
• Debe obtenerse la base de datos SQLite completa (msgstore.db en Android), no solo capturas de pantalla.
• Los metadatos de WhatsApp son esenciales: timestamps de servidor, estado de lectura, datos de grupo, información de reenvío.
• Verificar que no ha habido manipulación mediante DevTools.
• Considerar la posibilidad de mensajes eliminados recuperables.
• En WhatsApp Business, existen consideraciones adicionales.

Jurisprudencia aplicable: STS 300/2015, STS 375/2018, STS 777/2022, STS 116/2025.

Correo electrónico

Relevancia procesal: Muy alta, especialmente en el ámbito laboral y mercantil.

Requisitos específicos:

• Analizar las cabeceras completas del mensaje (Received, From, Return-Path, Message-ID, DKIM-Signature, etc.).
• Verificar la autenticación del remitente (SPF, DKIM, DMARC).
• Obtener el mensaje original del servidor o del cliente de correo del destinatario, nunca un reenvío.
• Preservar los metadatos del servidor (fecha de recepción, IP de origen, ruta de servidores).
• En casos de correo corporativo, respetar los límites del artículo 588 sexies LECrim (penal) o la doctrina Barbulescu (laboral).

Jurisprudencia aplicable: STS 23/07/2020 (correo como prueba documental), STS 09/05/2023 (correo como prueba documental hábil en suplicación), STS 489/2018 (límites en correo corporativo).

Redes sociales (Facebook, Instagram, Twitter/X, TikTok, LinkedIn)

Relevancia procesal: Alta y creciente, especialmente en casos de acoso, difamación, competencia desleal y propiedad intelectual.

Requisitos específicos:

• El contenido en redes sociales es efímero: puede ser eliminado o modificado en cualquier momento.
• La certificación debe incluir: URL exacta, contenido visible, código fuente de la página, cabeceras HTTP, certificado SSL del servidor, y un sello de tiempo de tercero de confianza.
• Considerar que los perfiles pueden ser falsos o suplantados.
• La obtención de datos privados de una cuenta de red social ajena requiere autorización judicial.
• Las plataformas tienen mecanismos de cooperación judicial (Facebook Transparency, Twitter Legal Requests).

Evidencia en la nube (cloud)

Relevancia procesal: Creciente, especialmente en el ámbito empresarial.

Requisitos específicos:

• Identificar el proveedor de servicios y la jurisdicción de sus servidores.
• La adquisición puede requerir cooperación internacional si los servidores están fuera de España (Reglamento e-Evidence para la UE).
• Documentar los registros de acceso (quién accedió, cuándo, desde dónde, qué operaciones realizó).
• Los servicios cloud tienen políticas de retención limitada: actuar con rapidez.
• La evidencia cloud presenta desafíos específicos de cadena de custodia porque los datos pueden ser modificados remotamente.
• Herramientas como Magnet AXIOM Cloud permiten la adquisición forense de múltiples servicios cloud.

Dispositivos IoT

Relevancia procesal: Emergente, especialmente en casos de violencia de género (dispositivos de domótica como herramienta de control), accidentes (datos de vehículos conectados) y disputas sobre seguros.

Requisitos específicos:

• Los dispositivos IoT generan enormes volúmenes de datos de telemetría que pueden ser relevantes como evidencia.
• Los datos suelen almacenarse tanto en el dispositivo local como en la nube del fabricante.
• Los protocolos de comunicación varían enormemente entre dispositivos y fabricantes.
• La volatilidad de los datos puede ser extrema (buffers circulares que se sobrescriben continuamente).

Videovigilancia (CCTV)

Relevancia procesal: Alta en casos de seguridad, robos, agresiones y accidentes.

Requisitos específicos:

• Los sistemas de videovigilancia utilizan formatos propietarios que requieren software específico para su reproducción.
• La extracción debe realizarse del sistema original (DVR/NVR), no mediante grabación de pantalla.
• Los metadatos del sistema (fecha, hora, cámara, resolución) deben preservarse.
• La cadena de custodia es especialmente importante porque los sistemas sobrescriben las grabaciones cuando se llena el almacenamiento (grabación circular).
• Verificar la sincronización horaria del sistema con una fuente de tiempo confiable.

GPS y datos de geolocalización

Relevancia procesal: Media-alta, especialmente en procedimientos laborales (control de rutas), penales (localización del investigado) y de familia (custodia).

Requisitos específicos:

• Los datos de geolocalización pueden proceder de múltiples fuentes: GPS del dispositivo, triangulación de antenas de telefonía, WiFi, Bluetooth.
• La precisión varía enormemente según la fuente (GPS: metros; antenas: cientos de metros a kilómetros).
• Los historiales de ubicación de Google, Apple y otras plataformas pueden ser obtenidos con autorización judicial.
• Los metadatos EXIF de fotografías pueden contener datos de geolocalización precisos.

Metadatos de documentos ofimáticos

Relevancia procesal: Media, especialmente en disputas de propiedad intelectual y conflictos laborales.

Requisitos específicos:

• Los documentos de Office (Word, Excel, PowerPoint) y PDF contienen metadatos internos: autor, fechas de creación y modificación, historial de revisiones, comentarios ocultos.
• Estos metadatos pueden ser fundamentales para establecer la autoría o la cronología de un documento.
• También pueden ser manipulados, por lo que deben ser verificados con otras fuentes.
• La extracción debe hacerse con herramientas que preserven los metadatos (no abrir el documento directamente, sino analizarlo con herramientas forenses).

Registros de actividad laboral y fichajes digitales

Relevancia procesal: Alta y creciente, especialmente desde la obligación de registro horario (RDL 8/2019).

Requisitos específicos:

• Los sistemas de fichaje digital (apps, terminales biométricos, software de RRHH) generan registros que pueden ser evidencia en procedimientos por despido improcedente, reclamaciones de horas extraordinarias o incumplimientos contractuales.
• Es fundamental verificar la integridad de los registros: ¿se pueden modificar retrospectivamente? ¿Existe log de auditoría? ¿Quién tiene acceso de administración?
• Los sistemas de auditoría de registro horario deben ser analizados con herramientas forenses para detectar posibles manipulaciones.
• Los registros de acceso a sistemas corporativos (Active Directory, VPN, badges de acceso físico) pueden complementar o contradecir los registros de fichaje.

Transacciones financieras digitales

Relevancia procesal: Muy alta en casos de estafas, fraudes bancarios, blanqueo de capitales y disputas comerciales.

Requisitos específicos:

• Los extractos bancarios online y los comprobantes de transferencia deben ser obtenidos directamente del sistema del banco, no de capturas de pantalla de la app.
• Las transacciones con criptomonedas requieren análisis blockchain para rastrear movimientos y vincular wallets con identidades.
• Los pagos mediante plataformas como Bizum, PayPal o Stripe generan registros en múltiples puntos que pueden ser correlacionados para verificar autenticidad.
• Herramientas como Chainalysis permiten el rastreo forense de transacciones en blockchain.

Evidencia de malware y ciberataques

Relevancia procesal: Alta en casos de sabotaje informático, accesos no autorizados, ransomware y ciberespionaje.

Requisitos específicos:

• La evidencia de malware debe preservarse sin ejecutar ni modificar el código malicioso.
• El análisis en sandbox permite estudiar el comportamiento del malware sin riesgo.
• Los registros de red capturados con Wireshark pueden demostrar comunicaciones con servidores de comando y control (C2).
• En casos de ransomware, preservar la nota de rescate, las comunicaciones con los atacantes y los registros de cifrado.
• La memoria RAM del sistema afectado puede contener evidencia que desaparece al apagar el equipo, por lo que su volcado es prioritario (análisis con Volatility).

Evidencia de accesos remotos no autorizados

Relevancia procesal: Media-alta, especialmente en casos de espionaje corporativo, sabotaje y acoso.

Requisitos específicos:

• Herramientas de acceso remoto como AnyDesk, TeamViewer o escritorio remoto de Windows dejan registros que pueden demostrar accesos no autorizados.
• Los registros incluyen IPs de conexión, duración de las sesiones, acciones realizadas y, en algunos casos, grabaciones de pantalla.
• Es crucial obtener los registros tanto del dispositivo accedido como del que realizó el acceso.
• La correlación temporal entre los registros de acceso remoto y otras evidencias (correos, mensajes, transacciones) puede ser determinante para establecer la autoría.

Casos prácticos donde la prueba digital es determinante

Para contextualizar la relevancia de todo lo expuesto en CIBÉRTICA, estos son los escenarios judiciales donde la prueba digital juega un papel decisivo y donde los errores de preservación pueden tener consecuencias irreversibles:

En todos estos casos, la diferencia entre un informe pericial riguroso y una colección de capturas de pantalla puede ser la diferencia entre una sentencia favorable y el archivamiento del procedimiento.

Ejemplo real: estafa a través de marketplace

Un caso frecuente en los juzgados de Jaén y que ilustra perfectamente los riesgos de no preservar adecuadamente la prueba digital es la estafa a través de plataformas de compraventa online (Wallapop, Milanuncios, Vinted, etc.):

1. La víctima contacta con un vendedor a través de la plataforma, acuerda una compra y realiza un pago (Bizum, transferencia bancaria, PayPal).
2. El producto nunca llega o resulta ser falso/defectuoso.
3. La víctima intenta contactar con el vendedor, que ha desaparecido o ha bloqueado la comunicación.
4. La víctima acude al juzgado con capturas de pantalla del anuncio, la conversación y el comprobante de pago.

El problema: si el vendedor ha eliminado el anuncio y su perfil, y la víctima solo tiene capturas de pantalla sin certificar, la prueba es extremadamente frágil. Un informe pericial que certifice los mensajes, vincule el perfil del vendedor con una dirección IP o un dispositivo concreto, y trace el flujo del pago, multiplica exponencialmente las posibilidades de éxito del procedimiento.

Ejemplo real: acoso laboral por medios digitales

Otro escenario frecuente: un trabajador sufre acoso laboral a través de correos electrónicos, mensajes de WhatsApp o grupos de Teams/Slack. Cuando decide denunciar:

• Si simplemente reenvía los correos a su abogado, pierde las cabeceras originales y la prueba queda debilitada.
• Si hace capturas de pantalla del grupo de WhatsApp, no puede demostrar que no las ha manipulado.
• Si copia archivos del ordenador corporativo sin autorización ni documentación, puede estar vulnerando el deber de secreto y la normativa de protección de datos.

La forma correcta: contactar con un perito informático antes de tomar ninguna acción, para planificar la estrategia de obtención de evidencia de forma que sea técnicamente sólida y jurídicamente válida.

El futuro de la prueba digital: tendencias tras CIBÉRTICA

La última mesa redonda de CIBÉRTICA 2026 se dedicó a las tendencias que marcarán el futuro de la prueba digital en los próximos años. Estas son las líneas principales que se discutieron, ampliadas con mi análisis profesional:

Inteligencia artificial generativa y deepfakes

La capacidad de generar textos, imágenes, audios y vídeos sintéticos indistinguibles de los reales plantea un desafío sin precedentes para la autenticidad de la prueba digital.

Los datos son elocuentes [5]:

• Aumento del 1.400% en suplantación de identidad con IA entre 2024 y 2025.
• Incremento del 450% en fraude empresarial impulsado por IA generativa.
• Proyecciones de 3,2 billones de euros en pérdidas globales para 2026.
• El 23% de las empresas españolas han sufrido intentos de fraude con deepfakes.

La legislación española ya ha respondido parcialmente: el nuevo artículo 173 bis del Código Penal (aprobado en marzo de 2025) establece penas de 1 a 2 años de prisión por la creación y distribución de deepfakes de carácter sexual. La AEPD ha impuesto las primeras sanciones por difusión de imágenes falsas generadas con IA.

Para los peritos informáticos, esto significa que la detección de contenido sintético será una de las competencias más demandadas en los próximos años. Las herramientas de detección de deepfakes combinan análisis de artefactos de compresión, inconsistencias en iluminación y sombras, análisis de metadatos y redes neuronales entrenadas para identificar contenido generado por IA.

Blockchain como registro de evidencia inmutable

Varias startups españolas y europeas están desarrollando soluciones basadas en blockchain para registrar evidencias digitales con sello de tiempo inmutable. La idea es utilizar la cadena de bloques como una «notaría digital» que certifique la existencia y el contenido de un documento en un momento determinado.

Aunque la tecnología es prometedora, los ponentes de CIBÉRTICA advirtieron que la admisibilidad judicial de estos registros todavía no está plenamente consolidada en la jurisprudencia española. Un reciente estudio de la Universidad de Valladolid ha evaluado soluciones blockchain bajo la norma ISO 27037, concluyendo que pueden ser un complemento valioso para la cadena de custodia tradicional, pero no un sustituto completo.

Cooperación judicial transfronteriza (e-Evidence)

Los delitos informáticos son transfronterizos por naturaleza. CIBÉRTICA subrayó la importancia del Reglamento (UE) 2023/1543 sobre órdenes europeas de producción y conservación de prueba electrónica (e-Evidence), cuya aplicación plena está prevista para agosto de 2026 [8].

Este Reglamento permitirá que un juez español ordene directamente a un prestador de servicios en otro Estado miembro (por ejemplo, una empresa tecnológica con sede en Irlanda) la producción o conservación de datos electrónicos relevantes para un proceso penal. Esto acelerará enormemente la obtención de evidencia digital transfronteriza, que actualmente puede tardar meses a través de los mecanismos tradicionales de cooperación judicial.

Formación judicial en evidencia digital

Uno de los puntos más debatidos en CIBÉRTICA fue la necesidad de que los jueces y fiscales reciban formación específica sobre evidencia digital. Un magistrado asistente reconoció que muchos juzgados todavía no disponen de los conocimientos técnicos necesarios para valorar adecuadamente la prueba digital, lo que refuerza la importancia del perito como puente entre la tecnología y el derecho.

El Consejo General del Poder Judicial (CGPJ) ha incluido cursos de formación en evidencia digital en su programa formativo, pero la oferta sigue siendo insuficiente para la demanda. Mientras no se generalice esta formación, el papel del perito informático como «traductor» entre el mundo técnico y el jurídico seguirá siendo absolutamente esencial.

Inteligencia artificial forense

La propia IA se está convirtiendo en herramienta forense. Los nuevos sistemas de análisis utilizan machine learning para:

• Detectar patrones de fraude en grandes volúmenes de datos.
• Clasificar automáticamente miles de documentos en procedimientos de descubrimiento electrónico (e-discovery).
• Identificar relaciones ocultas entre entidades en investigaciones complejas.
• Detectar anomalías en registros de acceso y comunicaciones.
• Acelerar la recuperación de datos eliminados.

Sin embargo, el uso de IA en el análisis forense plantea nuevos retos de explicabilidad: el perito debe ser capaz de explicar al juez no solo qué encontró, sino cómo la herramienta de IA llegó a esas conclusiones, lo que conecta con el principio de reproducibilidad de la prueba pericial.

Implicaciones para abogados y ciudadanos de Jaén

CIBÉRTICA 2026 ha dejado un mensaje especialmente relevante para los profesionales del derecho y los ciudadanos de la provincia de Jaén. La digitalización de las relaciones personales, comerciales y laborales es ya una realidad consolidada en la provincia, y los conflictos que derivan de esas relaciones digitales terminan, cada vez con más frecuencia, en los juzgados.

Recomendaciones prácticas para abogados que ejercen en Jaén y provincia:

• Incluir la pericial informática en la estrategia procesal desde el primer momento. No esperar a que la parte contraria impugne la prueba para buscar un perito.
• Asesorar al cliente sobre preservación de evidencia antes de interponer la demanda o denuncia. Una vez que el proceso está en marcha, puede ser tarde para obtener ciertas pruebas.
• Contar con un perito de referencia que conozca los juzgados de la provincia y pueda ratificar el informe en sede judicial presencialmente.
• Formarse en conceptos básicos de evidencia digital para poder dialogar eficazmente con el perito y plantear las preguntas adecuadas.

Recomendaciones prácticas para ciudadanos y empresas:

• No borrar ni modificar nada si sospechas que vas a necesitar pruebas digitales. No reenvíes, no hagas capturas con el móvil como primera opción.
• Contacta con un profesional que pueda certificar la evidencia de forma adecuada. En Jaén dispones de peritos informáticos forenses que pueden actuar con rapidez.
• Guarda los dispositivos originales si es posible. El teléfono móvil, el ordenador o la tablet donde se encuentra la evidencia original son la mejor fuente para una extracción forense.
• Actúa rápido: la evidencia digital es volátil. Cuanto antes contactes con un profesional, mayores son las posibilidades de preservar la prueba en condiciones óptimas.
• No instales aplicaciones ni actualizaciones en el dispositivo que contiene la evidencia. Cada operación de escritura reduce las posibilidades de recuperar datos eliminados.

Comparativa: prueba digital vs. prueba tradicional

Uno de los debates más interesantes de CIBÉRTICA 2026 fue la comparación entre la prueba digital y la prueba tradicional (documental, testifical, pericial clásica). Esta comparativa es esencial para entender por qué la prueba digital requiere un tratamiento diferenciado.

Diferencias fundamentales

Fortalezas de la prueba digital

• Precisión temporal: Los metadatos digitales permiten establecer cronologías con precisión de milisegundos, algo imposible con la prueba documental tradicional.
• Recuperabilidad: Los datos eliminados pueden ser recuperados en muchos casos, algo que no es posible con un documento destruido.
• Verificabilidad matemática: El hash criptográfico proporciona una garantía matemática de integridad que no tiene equivalente en la prueba tradicional.
• Volumen informativo: Un solo dispositivo móvil puede contener más información relevante que una habitación llena de documentos.
• Trazabilidad: Los registros digitales permiten rastrear accesos, modificaciones y transmisiones con un nivel de detalle imposible en el mundo analógico.

Debilidades de la prueba digital

• Manipulabilidad silenciosa: A diferencia de un documento físico alterado (donde suelen quedar rastros visibles), un archivo digital puede ser modificado sin dejar evidencia detectable a simple vista.
• Dependencia tecnológica: La prueba digital requiere hardware y software específico para su lectura e interpretación, lo que añade una capa de complejidad y potencial error.
• Obsolescencia: Los formatos de archivo y los dispositivos de almacenamiento quedan obsoletos, lo que puede dificultar el acceso a evidencia antigua.
• Necesidad de peritaje: La prueba digital casi siempre requiere interpretación técnica especializada para ser comprendida y valorada adecuadamente por el tribunal.
• Complejidad jurisdiccional: Los datos digitales pueden estar distribuidos en servidores de múltiples países, lo que genera problemas de jurisdicción y cooperación internacional.

Estándares de admisibilidad comparados

El peso probatorio en la práctica

En la práctica judicial española, el peso probatorio de la evidencia digital depende de una combinación de factores que el juez valora en su conjunto:

Máximo peso probatorio:

• Evidencia obtenida mediante extracción forense con herramientas validadas (Cellebrite, EnCase, FTK).
• Cadena de custodia documentada e ininterrumpida según ISO 27037.
• Informe pericial detallado con verificación hash SHA-256.
• Perito cualificado que ratifica con solvencia en juicio oral.
• Evidencia no impugnada por la parte contraria.

Peso probatorio medio:

• Capturas de pantalla acompañadas de informe pericial.
• Correos electrónicos con cabeceras verificadas.
• Exportaciones de datos con documentación parcial de cadena de custodia.
• Evidencia impugnada pero respaldada por otros medios de prueba convergentes.

Peso probatorio mínimo o nulo:

• Capturas de pantalla sin certificar ni acompañar de pericial, impugnadas por la otra parte.
• Reenvíos de correos electrónicos sin cabeceras originales.
• Evidencia obtenida ilícitamente (vulneración de derechos fundamentales).
• Prueba digital sin ninguna documentación de cadena de custodia, impugnada motivadamente.

Checklist de prueba digital para abogados

Si eres abogado y vas a presentar prueba digital en un procedimiento, este checklist te ayudará a verificar que la evidencia cumple los requisitos mínimos:

Preguntas frecuentes

¿Una captura de pantalla vale como prueba en un juicio?

Por sí sola, su valor probatorio es muy limitado. El Tribunal Supremo (STS 300/2015) establece que las capturas de mensajería instantánea son fácilmente manipulables y deben ser abordadas «con todas las cautelas». Si la parte contraria impugna la captura, necesitarás un perito informático que certifique la evidencia mediante una extracción forense del dispositivo original. Sin embargo, la jurisprudencia más reciente (STS 332/2019, STS 777/2022, STS 116/2025) ha matizado que, si la otra parte no impugna expresamente la prueba, las capturas pueden tener eficacia probatoria [9].

¿Qué es la cadena de custodia digital y por qué es tan importante?

La cadena de custodia es el registro documentado, continuo e ininterrumpido de todas las personas que han tenido acceso a una evidencia digital desde su obtención hasta su presentación judicial. Su importancia es capital porque, si se rompe —es decir, si hay un período sin documentar o un acceso no autorizado—, la prueba pierde fiabilidad y puede ser descartada por el juez. Es el equivalente digital al precinto de un sobre que contiene documentos sensibles: si el precinto está roto, no puedes confiar en que el contenido no ha sido alterado.

¿Qué norma regula la obtención de pruebas digitales?

La norma internacional de referencia es la ISO/IEC 27037:2012, que establece directrices para la identificación, recopilación, adquisición y preservación de evidencia digital. En España, el marco legal principal lo componen: los artículos 299, 326, 382 y 384 de la LEC para procedimientos civiles; los artículos 588 bis a y siguientes de la LECrim para procedimientos penales; y complementariamente, las guías del NIST (SP 800-86 y SP 800-101) como estándares técnicos de referencia [6][7][10].

¿Puedo presentar yo mismo pruebas digitales sin perito?

Técnicamente sí, pero corres un riesgo significativo. Si la parte contraria impugna la autenticidad de la prueba (y lo hará si le conviene), el juez te exigirá que acredites la autenticidad mediante pericial informática. Para entonces, puede que la evidencia original ya no esté disponible o que el dispositivo haya sido alterado. La recomendación unánime de CIBÉRTICA fue clara: es enormemente más eficaz y económico prevenir que curar. Un informe pericial preventivo puede costar una fracción de lo que cuesta perder un procedimiento por falta de prueba.

¿Cuánto cuesta un informe pericial sobre prueba digital?

El coste varía en función de la complejidad del caso. Un informe de certificación de mensajes de WhatsApp o correos electrónicos es más sencillo y económico que un análisis forense digital completo de un dispositivo con múltiples fuentes de evidencia. La valoración inicial suele ser gratuita y sin compromiso. Puedes solicitar presupuesto aquí.

¿Puede un abogado solicitar directamente un informe pericial?

Sí, y de hecho es lo más habitual y lo más recomendable. Muchos abogados contactan con un perito informático como parte de su estrategia procesal antes de interponer la demanda o denuncia. Esto permite planificar la obtención de pruebas de forma coordinada y asegurar que el informe pericial responda exactamente a las cuestiones relevantes para el procedimiento. Si eres abogado en Jaén o provincia, puedes consultar mi servicio de peritaje para abogados.

¿Qué ocurre si la prueba digital está en la nube?

La evidencia almacenada en servicios cloud (Google Drive, iCloud, OneDrive, servidores empresariales) presenta desafíos específicos: el proveedor del servicio puede estar en otro país, los datos pueden eliminarse remotamente y los registros de acceso tienen períodos de retención limitados. El perito informático puede realizar una adquisición forense de la cuenta cloud y documentar los metadatos de acceso antes de que se pierdan, siempre con las autorizaciones legales pertinentes. Para datos almacenados en la UE, el Reglamento e-Evidence (UE) 2023/1543 facilitará la obtención transfronteriza a partir de agosto de 2026 [8].

¿Qué hago si ya he hecho capturas de pantalla y no las he certificado?

No todo está perdido, pero actúa con urgencia. Un perito informático puede realizar una extracción forense del dispositivo original donde se encuentran los mensajes o correos y generar un informe con garantías plenas. Lo fundamental es: no borres nada del dispositivo, no instales actualizaciones, no lo conectes a internet si puedes evitarlo, y contacta con un profesional lo antes posible. Cuanto más tiempo pase, mayor es el riesgo de que la evidencia se pierda o se altere involuntariamente.

¿Qué es un hash criptográfico y por qué lo necesito?

Un hash criptográfico es una función matemática que genera una «huella digital» única e irrepetible de cualquier conjunto de datos. El algoritmo SHA-256 es el estándar actual: produce un código de 64 caracteres hexadecimales que cambia completamente si se modifica un solo bit de los datos originales. Es matemáticamente imposible fabricar dos archivos diferentes que produzcan el mismo hash SHA-256. Los tribunales lo aceptan como prueba de que la evidencia no ha sido alterada desde su obtención.

¿Los mensajes de WhatsApp eliminados se pueden recuperar?

En muchos casos, sí. Los mensajes eliminados por el usuario no desaparecen inmediatamente del dispositivo: permanecen en la base de datos SQLite de WhatsApp y en el espacio no asignado de la memoria del dispositivo hasta que son sobrescritos por nuevos datos. Una extracción forense a nivel físico o de sistema de archivos puede recuperar estos mensajes eliminados, incluyendo sus metadatos. Sin embargo, cuanto más tiempo pase y más se utilice el dispositivo, menor es la probabilidad de recuperación. Por eso insisto: actúa rápido.

¿Los deepfakes pueden invalidar una prueba digital?

Los deepfakes representan un desafío creciente para la prueba digital. Si una parte alega que un audio o vídeo aportado como prueba es un deepfake generado con inteligencia artificial, será necesario un análisis forense multimedia especializado para determinar su autenticidad. Los peritos forenses utilizan técnicas de detección basadas en análisis de artefactos de compresión, inconsistencias en iluminación y sombras, análisis de metadatos EXIF y herramientas de IA entrenadas para detectar contenido sintético. En España, el 23% de las empresas ya han sufrido intentos de fraude con deepfakes, y la tendencia es claramente ascendente [5].

¿CIBÉRTICA se celebrará de nuevo en Jaén?

CIBÉRTICA es un congreso que ha celebrado sus tres ediciones en la Universidad de Jaén, organizado por el grupo de investigación SAICoG-Salud de la EPSJ. La edición 2026 ha sido un éxito de asistencia, participación y organización. La información sobre futuras ediciones se publica en la web oficial: www.cibertica.com [3].

¿Qué diferencia hay entre un perito de parte y un perito judicial?

El perito de parte es contratado y pagado por una de las partes del procedimiento (art. 336 LEC). El perito judicial es designado por el juzgado por insaculación (sorteo) entre profesionales cualificados (art. 340 LEC). Ambos tienen la misma obligación de objetividad y sus dictámenes se valoran conforme a las mismas reglas de sana crítica. La diferencia práctica es que el perito de parte permite a la parte mayor control sobre el alcance del informe, mientras que el perito judicial tiene una percepción inicial de mayor imparcialidad ante el tribunal.

¿Qué ocurre si la parte contraria presenta un contrainforme pericial?

El contrainforme pericial o impugnación del informe pericial es un recurso legítimo y frecuente. Cuando ambas partes aportan informes periciales contradictorios, el juez debe valorar ambos conforme a las reglas de sana crítica, atendiendo a criterios como: la cualificación de los peritos, la metodología empleada, la coherencia de las conclusiones, la calidad de la documentación y la claridad de la explicación en la ratificación oral. En este escenario, la calidad del informe y la solvencia del perito en el juicio oral son absolutamente determinantes.

¿Puedo grabar una conversación telefónica y usarla como prueba?

En España, el Tribunal Constitucional ha establecido que grabar una conversación propia (en la que participas como interlocutor) no vulnera el derecho al secreto de las comunicaciones, y la grabación puede ser utilizada como prueba. Sin embargo, grabar una conversación ajena (entre terceros, sin que tú participes) sí constituye una vulneración del artículo 18.3 de la Constitución y la prueba obtenida sería nula. En cualquier caso, la grabación debe ser aportada junto con un informe pericial que acredite su autenticidad, integridad y ausencia de manipulación, ya que los audios digitales son fácilmente editables con herramientas accesibles.

¿Cuánto tiempo conservan los proveedores de servicios los datos de usuario?

Los períodos de retención varían significativamente según el proveedor y el tipo de dato. Como orientación general: Google conserva datos de actividad entre 3 y 18 meses (según la configuración del usuario); Meta (Facebook, Instagram, WhatsApp) mantiene metadatos de comunicaciones durante períodos variables; los operadores de telecomunicaciones en España están obligados a conservar datos de tráfico durante 12 meses (Ley 25/2007). Estos plazos hacen que la rapidez en la preservación de la evidencia sea absolutamente crítica: una vez que el proveedor elimina los datos, su recuperación puede ser imposible incluso con orden judicial.

Referencias y fuentes

1. GlobátiKa Labs (2026). «GlobátiKa advierte en CIBÉRTICA 2026: no toda prueba digital es válida en los tribunales.» Publicado en APTIE y múltiples medios. Disponible en: aptie.org

2. Ministerio del Interior (2025). Informe sobre la cibercriminalidad en España 2024. Oficina de Coordinación de Ciberseguridad. 464.801 ciberdelitos registrados. Disponible en: interior.gob.es

3. Universidad de Jaén — Diario Digital (2026). «La UJA acoge los días 4 y 5 de marzo la III edición del Congreso CIBÉRTICA 2026 sobre seguridad en el uso de las TIC y tecnoadicciones.» Disponible en: diariodigital.ujaen.es

4. Hora Jaén (2026). «La UJA aborda la seguridad en el uso de las TIC y herramientas para la prevención de tecnoadicciones en CIBÉRTICA 2026.» Disponible en: horajaen.com

5. Forvis Mazars (2025). «La Inteligencia Artificial y el Riesgo de Pruebas Digitales Falsas en el Sistema Judicial.» Disponible en: creandosolucionesdevalor.com

6. Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica. BOE núm. 239, de 06/10/2015. Disponible en: boe.es

7. Circular 5/2019, de 6 de marzo, de la Fiscal General del Estado, sobre registro de dispositivos y equipos informáticos. BOE-A-2019-4244. Disponible en: boe.es

8. Reglamento (UE) 2023/1543 del Parlamento Europeo y del Consejo, de 12 de julio de 2023, sobre las órdenes europeas de producción y conservación a efectos de prueba electrónica en procesos penales. Disponible en: boe.es

9. Tribunal Supremo, Sala de lo Penal. Sentencia 300/2015, de 19 de mayo (ECLI:ES:TS:2015:2047). Sobre la fiabilidad de capturas de pantalla de mensajería instantánea como prueba. Sentencias posteriores: STS 754/2016, STS 375/2018, STS 332/2019, STS 777/2022, STS 116/2025.

10. ISO/IEC 27037:2012. Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence. Organización Internacional de Normalización. Disponible en: iso.org

11. Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil. Artículos 283, 299, 326, 382, 384 y 335-352 sobre medios de prueba, instrumentos tecnológicos y prueba pericial. BOE núm. 7, de 08/01/2000.

12. NIST Special Publication 800-86 (2006, revisado 2014). Guide to Integrating Forensic Techniques into Incident Response. National Institute of Standards and Technology.

13. NIST Special Publication 800-101 Rev. 1 (2014). Guidelines on Mobile Device Forensics. National Institute of Standards and Technology.

14. GlobátiKa Peritos Informáticos (2026). «ISO/IEC 27037:2012 y el Perito Informático.» Guía sobre la aplicación de la norma en la práctica forense. Disponible en: peritosinformaticos.es

15. INCIBE — Instituto Nacional de Ciberseguridad (2026). Guía para la gestión de evidencias electrónicas. Recomendaciones para empresas y ciudadanos. Disponible en: incibe.es

16. Abogacía Española (2025). «La actividad probatoria reforzada en las evidencias digitales.» Análisis doctrinal sobre la evolución jurisprudencial. Disponible en: abogacia.es

17. Noticias Jurídicas (2025). «El TS reitera los criterios para la eficacia probatoria de las capturas de pantalla en el ámbito penal.» Disponible en: noticias.juridicas.com

18. ICAM — Ilustre Colegio de Abogados de Madrid (2025). «Prueba Digital: admisibilidad en juicio de las Evidencias Electrónicas.» Disponible en: masterdigital.icam.es

19. Economist & Jurist (2025). «A la deriva con la prueba informática: el Supremo relaja el estándar probatorio de las capturas de WhatsApp.» Disponible en: economistjurist.es

20. Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE). BOE núm. 166, de 12/07/2002.

21. Real Decreto-ley 6/2023, de 19 de diciembre, por el que se aprueban medidas urgentes para la ejecución del Plan de Recuperación en materia de servicio público de justicia, función pública, régimen local y mecenazgo. Deroga la Ley 18/2011.

22. Escuela Politécnica Superior de Jaén — UJA (2026). «III Congreso Divulgativo sobre Seguridad en TIC y Tecnoadicciones.» Disponible en: eps.ujaen.es