· Jonathan Izquierdo · Noticias seguridad  ·

6 min de lectura

WhatsApp Lockdown Mode: la nueva función que protege a periodistas contra spyware

Meta lanza una función de seguridad tipo 'Lockdown' para usuarios de alto riesgo. Análisis forense de qué significa para la validez de evidencias digitales.

Meta lanza una función de seguridad tipo 'Lockdown' para usuarios de alto riesgo. Análisis forense de qué significa para la validez de evidencias digitales.

El 28 de enero de 2026, Meta comenzó el despliegue de una nueva función de seguridad en WhatsApp llamada “Strict Account Settings”, diseñada específicamente para proteger a periodistas, activistas y personas de alto riesgo contra ataques de spyware como Pegasus. Esta función, similar al Lockdown Mode de Apple, representa un cambio significativo en cómo debemos analizar las evidencias de WhatsApp en procedimientos judiciales.

Como perito informático forense, analizo las implicaciones técnicas y legales de esta nueva función.

¿Qué es el Modo Lockdown de WhatsApp?

Meta ha denominado oficialmente esta función como “Strict Account Settings” o “Configuración estricta de cuenta”. Según reportan BleepingComputer y The Hacker News, las características principales incluyen:

Restricciones de seguridad activadas

FunciónComportamiento con Lockdown
Archivos de desconocidosBloqueados automáticamente
Vista previa de enlacesDesactivada
Verificación en dos pasosActivada y bloqueada
Notificaciones de cifradoActivadas y bloqueadas
Copias de seguridadSolo cifradas de extremo a extremo
Mensajes masivosBloqueados
Información de perfilVisible solo para contactos

Protección adicional

WhatsApp también ha anunciado que está migrando gradualmente su código a Rust, un lenguaje de programación más seguro, para reducir las vulnerabilidades que el spyware puede explotar.

Contexto: ¿Por qué ahora?

Esta función llega meses después de que NSO Group fuera multado con 167 millones de dólares por atacar a 1.400 usuarios de WhatsApp con Pegasus. Los documentos judiciales revelaron que NSO siguió desplegando exploits incluso después de ser demandado.

Implicaciones forenses del Modo Lockdown

Como perito, identifico tres cambios fundamentales que afectan a la recopilación y validez de evidencias:

1. Archivos multimedia bloqueados

Con el modo Lockdown activo, WhatsApp bloquea automáticamente archivos recibidos de números desconocidos. Esto significa que:

  • Vectores de infección bloqueados: Ataques como LANDFALL, que usaban imágenes maliciosas, serían neutralizados
  • Menos contenido multimedia: Las conversaciones tendrán menos archivos adjuntos de fuentes no conocidas
  • Posibles huecos en conversaciones: Si un atacante enviaba contenido que fue bloqueado, no aparecerá en la base de datos

2. Sin vista previa de enlaces

La desactivación de la vista previa de enlaces tiene implicaciones forenses:

  • Menos metadatos disponibles: La base de datos no almacenará previsualizaciones de URLs
  • Dificultad para reconstruir contexto: Si alguien compartió un enlace, puede ser más difícil determinar a qué contenido se refería
  • Ventaja probatoria: Menos vectores de phishing significa menos posibilidad de que el usuario fuera engañado

3. Copias de seguridad solo cifradas

Esta es la implicación más significativa para la práctica forense:

Impacto crítico en peritajes

Si un usuario tiene Lockdown activado, sus copias de seguridad en Google Drive o iCloud estarán cifradas de extremo a extremo. Esto significa que no podremos acceder a ellas sin la clave de cifrado del usuario, incluso con orden judicial.

Antes del Lockdown:

📱 Dispositivo → ☁️ Google Drive (accesible con orden judicial)

Con Lockdown activo:

📱 Dispositivo → 🔐 Backup cifrado → ☁️ Almacenamiento (inaccesible sin clave)

¿Qué significa esto para casos judiciales?

Escenario 1: El usuario investigado tiene Lockdown

Si la persona investigada ha activado el modo Lockdown:

AspectoImpacto
Acceso a backups cloudImposible sin cooperación del usuario
Extracción del dispositivoSigue siendo posible con herramientas forenses
Mensajes recibidosPueden faltar archivos de desconocidos
Integridad de datosMayor garantía de que no fueron manipulados por malware

Escenario 2: La víctima tiene Lockdown

Cuando quien presenta las pruebas tiene Lockdown activo:

  • Mayor credibilidad: Las conversaciones son menos susceptibles a manipulación externa
  • Protección contra alegaciones de hackeo: Difícil argumentar que los mensajes fueron plantados por malware
  • Base de datos más limpia: Menos ruido de spam y contenido no solicitado

Escenario 3: Peritaje de comunicación entre usuarios con diferente configuración

Este es el escenario más complejo:

  1. Identificar configuración de cada parte: Verificar si alguno tenía Lockdown activo

  2. Documentar asimetrías: Un mensaje podría aparecer en un dispositivo pero no en otro (por bloqueo de contenido)

  3. Explicar discrepancias: El informe pericial debe explicar por qué pueden existir diferencias entre las bases de datos de los participantes

  4. Valorar la integridad: El dispositivo con Lockdown ofrece mayores garantías de no manipulación

Recomendaciones para profesionales del derecho

Para abogados y fiscales

  1. Pregunte sobre Lockdown: Al tomar declaración, pregunte si el testigo o investigado tenía activado el modo de seguridad estricta
  2. Solicite la clave de backup: Si necesita acceder a copias de seguridad cifradas, incluya la solicitud de la clave en el requerimiento judicial
  3. Anticipe objeciones: Si la otra parte alega hackeo o manipulación, el Lockdown activo debilita significativamente esa defensa

Para peritos informáticos

  1. Documente la configuración: En el informe pericial, incluya si el modo Lockdown estaba activo
  2. Explique las implicaciones: El tribunal debe entender por qué ciertos datos pueden no estar disponibles
  3. Verifique la coherencia: Si el usuario dice tener Lockdown pero la base de datos muestra contenido de desconocidos, hay una inconsistencia

El precedente de Apple Lockdown Mode

WhatsApp sigue el camino iniciado por Apple en 2022 con su Lockdown Mode. La experiencia de Apple nos enseña:

  • Adopción limitada: Solo usuarios con amenazas reales activan estas funciones
  • No es infalible: Investigadores de Citizen Lab han encontrado formas de detectar si Lockdown está activo
  • Jurisprudencia emergente: Los tribunales están empezando a considerar estas configuraciones como indicadores de perfil de riesgo
Buena práctica emergente

Varios expertos en seguridad, como John Scott-Railton de Citizen Lab, han aplaudido esta iniciativa. La industria se mueve hacia dar más control de seguridad a usuarios vulnerables.

Preguntas frecuentes

¿El modo Lockdown borra mensajes existentes?

No. El modo Lockdown solo afecta a nuevas comunicaciones recibidas después de su activación. Los mensajes históricos permanecen intactos en la base de datos.

¿Puedo saber si la otra parte tenía Lockdown activo?

No directamente. Pero durante un peritaje forense, podemos inferirlo analizando:

  • La configuración del dispositivo
  • El tipo de contenido recibido de desconocidos
  • La configuración de copias de seguridad

¿Afecta a la validez de las pruebas?

No invalida las pruebas, pero cambia su interpretación. Un dispositivo con Lockdown ofrece mayores garantías de integridad, ya que es más difícil que haya sido comprometido por malware.

¿Es obligatorio activar Lockdown?

No. Es una función opcional dirigida a usuarios de alto riesgo. La mayoría de usuarios no la necesitan ni la activarán.

Conclusiones para la práctica forense

El nuevo modo Lockdown de WhatsApp representa una evolución significativa en la seguridad de las comunicaciones, con implicaciones directas para el análisis forense:

  1. Mayor protección = datos más fiables: Las conversaciones de usuarios con Lockdown son más difíciles de manipular externamente

  2. Backups cifrados = menor accesibilidad: La extracción forense del dispositivo físico se vuelve más importante que nunca

  3. Asimetrías = complejidad añadida: Los peritajes deben considerar que diferentes usuarios pueden tener diferentes configuraciones

  4. Nueva línea de defensa debilitada: Será más difícil alegar “me hackearon” si tenías Lockdown activo y aun así los mensajes están ahí

Como perito, actualizaré mis metodologías para documentar siempre el estado del modo Lockdown y explicar su impacto en las evidencias analizadas.

¿Necesitas analizar conversaciones de WhatsApp con garantías?

Ofrezco análisis forense adaptado a las nuevas funciones de seguridad de WhatsApp, incluyendo documentación del modo Lockdown y su impacto en la validez de las pruebas.

Solicitar consulta gratuita

Fuentes consultadas:

Sobre el autor: Jonathan Izquierdo es perito informático forense especializado en análisis de dispositivos móviles y certificación de comunicaciones digitales para procedimientos judiciales.

Última actualización: Enero 2026

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Noticias seguridad con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí

Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp