· Jonathan Izquierdo · Analisis forense  ·

47 min de lectura

WhatsApp Web vs app movil: diferencias forenses para peritaje

Descubre por que WhatsApp Web y la app movil no son equivalentes como prueba judicial. Diferencias forenses criticas, jurisprudencia y como preparar un peritaje correcto.

Descubre por que WhatsApp Web y la app movil no son equivalentes como prueba judicial. Diferencias forenses criticas, jurisprudencia y como preparar un peritaje correcto.

He rechazado 14 casos en el último año donde el único material era capturas de WhatsApp Web. No por capricho ni por rigidez profesional. Según datos del Consejo General del Poder Judicial (CGPJ), el 38 % de las pruebas digitales impugnadas en 2025 lo fueron por deficiencias en la cadena de custodia, y las capturas de navegador son las más vulnerables de todas.

Siempre le digo a mis clientes lo mismo: si hiciste la captura desde el navegador, tenemos un problema. WhatsApp Web y la app móvil pueden mostrar la misma conversacion, pero desde el punto de vista forense son mundos completamente distintos.

Un abogado de Madrid me llamo un viernes por la tarde con un juicio el lunes y solo tenia screenshots de WhatsApp Web. Le explique que no podía hacer milagros en 48 horas, pero que entendía la urgencia. Esa llamada me confirmo algo que ya sabia: la mayoria de profesionales jurídicos no entienden la diferencia técnica entre estas dos interfaces, y esa falta de comprension les cuesta juicios.

Este artículo es la guía que habría querido darle a ese abogado aquel viernes. Todo lo que necesitas saber sobre por que WhatsApp Web y la app móvil no son equivalentes como prueba, que dicen los jueces, como se manipula una captura de navegador en segundos, y que hacer si tu caso depende de una conversacion de WhatsApp.

TL;DR: resumen rápido

ConceptoDetalle
ResumenWhatsApp Web almacena datos en cache efimero del navegador, sin base de datos persistente ni metadatos forenses. La app móvil guarda todo en msgstore.db (SQLite), verificable con hash y cadena de custodia. Solo la extracción desde el móvil tiene peso forense real.
DefinicionLa diferencia forense entre WhatsApp Web y la app móvil radica en la persistencia, integridad y verificabilidad de los datos. WhatsApp Web es una interfaz de visualizacion; el móvil es la fuente primaria de evidencia.
Cuando actuarSiempre antes de perder acceso al dispositivo móvil. Si solo tienes WhatsApp Web, contacta con un perito inmediatamente para evaluar opciones de extracción alternativas antes de que la sesion expire.

Arquitectura técnica: como funcionan WhatsApp Web y la app móvil por dentro

Para entender por que la diferencia forense es tan grande, hay que entender como funcionan estas dos plataformás a nivel técnico. No es lo mismo una ventana que muestra datos que el lugar donde esos datos realmente viven.

La app móvil: el dispositivo primario

Cuando instalas WhatsApp en tu móvil, ese dispositivo se convierte en el nodo primario de tu cuenta. Toda la arquitectura de WhatsApp gira en torno a este concepto. El móvil genera las claves de cifrado, almacena la base de datos de mensajes, gestiona los contactos y mantiene la sesion con los servidores de WhatsApp.

En Android, la estructura de almacenamiento es la siguiente:

  • Base de datos principal: /data/data/com.whatsapp/databases/msgstore.db (SQLite cifrada con crypt14 o crypt15 dependiendo de la versión).
  • Clave de cifrado: /data/data/com.whatsapp/files/key (necesaria para descifrar la base de datos).
  • Multimedia: /sdcard/Android/media/com.whatsapp/WhatsApp/Media/ (fotos, videos, audios, documentos con metadatos EXIF intactos).
  • Backups locales: /sdcard/Android/media/com.whatsapp/WhatsApp/Databases/ (copias de seguridad automáticas diarias en formato crypt14/crypt15).
  • Logs internos: /data/data/com.whatsapp/files/Logs/ (registros de actividad de la aplicación).

En iOS, el equivalente es ChatStorage.sqlite dentro del contenedor protegido de la app, accesible mediante extracción forense o backup de iTunes/iCloud.

Lo que hace al móvil tan valioso forenseamente es que todo esta en un único lugar, en un formato estructurado y verificable. Puedo calcular un hash SHA-256 de la base de datos, y ese hash demuestra matematicamente que los datos no han sido alterados desde la extracción.

WhatsApp Web: el cliente espejo

WhatsApp Web (web.whatsapp.com) funciona como un companion device, un dispositivo companero que se conecta a los servidores de WhatsApp para recibir y mostrar mensajes.

Antes de 2022, era un simple espejo del móvil: necesitaba que el teléfono estuviera encendido y con conexión para funcionar. Desde la implementacion del modo multi-device, WhatsApp Web puede funcionar de forma independiente durante periodos limitados, pero su naturaleza sigue siendo la de un cliente secundario.

Los datos en WhatsApp Web residen en:

  • IndexedDB del navegador: una base de datos NoSQL gestionada por el navegador, no por WhatsApp. El navegador puede borrarla en cualquier momento durante limpieza de cache o actualizaciones.
  • Cache del navegador: archivos multimedía descargados bajo demanda y almacenados temporalmente.
  • LocalStorage: tokens de sesion y configuraciones básicas.
  • Service Workers: scripts de cache que pueden ser purgados por el navegador sin previo aviso.

Aqui esta el problema fundamental: ningun dato de WhatsApp Web reside en un formato que WhatsApp controle de forma persistente. Todo depende de la politica de cache del navegador, del espacio en disco, de las actualizaciones del navegador y de las acciones del usuario.

He visto navegadores que pierden toda la sesion de WhatsApp Web tras una actualizacion de Chrome. Toda la “evidencia” que el cliente creia tener desaparecio sin posibilidad de recuperación. No hubo borrado malicioso: simplemente Chrome limpio su almacenamiento interno como parte de la actualizacion.

El cifrado de extremo a extremo: diferencias sutiles pero críticas

Tanto WhatsApp Web como la app móvil utilizan cifrado de extremo a extremo basado en el protocolo Signal. Sin embargo, las claves de sesion son diferentes para cada dispositivo vinculado.

Esto significa que:

  • El móvil tiene sus propias claves maestras, generadas durante el registro de la cuenta.
  • Cada dispositivo vinculado (incluyendo WhatsApp Web) genera un par de claves propio y negocia sesiones independientes con cada contacto.
  • Los mensajes se cifran y descifran de forma independiente en cada dispositivo.

Desde el punto de vista forense, esto implica que la base de datos cifrada del móvil y los datos de IndexedDB de WhatsApp Web no son copias identicas. Los datos pueden diferir en timestamps de entrega, en estados de lectura y en la presencia o ausencia de ciertos mensajes (especialmente los enviados o recibidos cuando un dispositivo vinculado estaba desconectado).

El cambio de 2022: multi-device y sus consecuencias

Antes de la implementacion de multi-device en 2022, WhatsApp Web era literalmente un espejo del móvil. Cada mensaje que veias en el navegador se obtenia en tiempo real del teléfono. Sin móvil encendido, no habia WhatsApp Web.

Con multi-device, WhatsApp cambio la arquitectura para que cada dispositivo vinculado pudiera funcionar de forma independiente. Los mensajes se envian a todos los dispositivos vinculados en paralelo, cada uno los descifra con sus propias claves, y cada uno mantiene su propia copia local.

Este cambio tuvo tres consecuencias forenses inmediatas que observo en mi práctica:

  1. Mensajes huerfaños: pueden existir mensajes en un dispositivo vinculado que ya no estan en el móvil (porque se borraron del móvil pero el dispositivo vinculado no se sincronizo antes del borrado).

  2. Gaps temporales: si un dispositivo vinculado estuvo desconectado durante horas o días, puede faltar un periodo completo de conversacion en su almacenamiento local.

  3. Inconsistencias de estado: los ticks de lectura (visto/no visto) pueden no coincidir entre dispositivos, lo que genera confusion en el análisis forense.

Donde se almacenan realmente los datos

Esta es la primera pregunta que hago cuando un cliente me llama: “tienes acceso al móvil o solo a WhatsApp Web?”. La respuesta cambia completamente el peritaje.

App móvil (Android): los mensajes se almacenan en msgstore.db, una base de datos SQLite cifrada con crypt14/crypt15. Contiene mensajes, timestamps con precision de milisegundos, estados de entrega (enviado, recibido, leido), metadatos de medía y registros de llamadas. Cada mensaje tiene un identificador único (_id), un JID de contacto, un timestamp en formato epoch y un campo status que registra el estado de entrega. En iOS, el equivalente es ChatStorage.sqlite dentro del contenedor de la app, con una estructura similar pero con nombres de tabla diferentes.

WhatsApp Web: funciona como un cliente espejo que sincroniza un subconjunto de mensajes desde los servidores de WhatsApp. Los datos residen en el almacenamiento local del navegador (IndexedDB) y en cache temporal. No hay base de datos SQLite accesible, no hay archivo exportable con integridad verificable, y el navegador puede borrar ese almacenamiento en cualquier momento.

Multimedia: la diferencia que pocos conocen

Hay una diferencia técnica que resulta crítica en muchos peritajes y que pocos abogados conocen.

La app móvil almacena también archivos multimedía (fotos, videos, audios, documentos) con sus metadatos EXIF y hashes internos. Cada archivo de imagen conserva datos de geolocalizacion (si estaban habilitados), fecha de creacion, modelo de camara y otros metadatos que pueden ser forenseamente relevantes.

WhatsApp Web descarga los multimedía bajo demanda y los almacena en cache temporal, frecuentemente recomprimidos y sin metadatos originales.

Si un audio de WhatsApp es clave para tu caso, por ejemplo una nota de voz donde alguien reconoce una deuda o profiere amenazas, necesitas el archivo original del móvil. La versión cacheada del navegador puede haber sido recomprimida y carece de los metadatos originales de la grabación.

Estados de entrega: prueba de recepcion y lectura

La app móvil registra los estados de entrega de forma permanente en la base de datos:

  • Un tick gris = mensaje enviado al servidor de WhatsApp.
  • Dos ticks grises = mensaje entregado al destinatario.
  • Dos ticks azules = destinatario leyo el mensaje.

Estos estados se almacenan como valores numericos en el campo status de la tabla messages de msgstore.db. Son forenseamente relevantes porque permiten demostrar no solo que un mensaje existia, sino que fue efectivamente recibido y leido en un momento concreto.

WhatsApp Web muestra estos iconos en la interfaz, pero no los almacena de forma persistente ni verificable en IndexedDB.

Tabla comparativa: 15 diferencias forenses críticas

Esta es la tabla que comparto con todos los abogados que me consultan. La imprimen y la llevan a las reuniones con sus clientes.

CriterioApp móvilWhatsApp Web
Almacenamientomsgstore.db (SQLite persistente)IndexedDB / cache navegador (efimero)
Persistencia de datosPermanente hasta borrado manual o reset de fabricaDepende de sesion, cache y actualizaciones del navegador
Metadatos de mensajeTimestamps ms, estados entrega, JID contacto, medía hash, tamaño archivoTimestamps limitados, sin estados entrega fiables en almacenamiento
Hash verificableSi (SHA-256 del archivo .db completo y de cada multimedia)No (no existe archivo único hasheable ni integridad verificable)
Cadena de custodiaEstablecible con clonado forense del dispositivo según ISO 27037Practicamente imposible de garantizar ante impugnación
Resistencia a manipulaciónAlta (requiere alterar SQLite + recalcular cifrado crypt14/crypt15)Muy baja (editable con DevTools del navegador en segundos)
Recuperación mensajes borradosPosible en muchos casos via WAL, journal y backups automáticosNo recuperable tras borrado de cache o cierre de sesion
Aceptacion judicialAlta con informe pericial y cadena de custodía documentadaMuy baja si es impugnada por la parte contraria
Multimedía con metadatosArchivos originales con EXIF, hash interno, timestamps de creacionCache temporal, frecuentemente recomprimidos, sin EXIF original
Estados de entregaRegistrados en BD: enviado, entregado, leido con timestamp de cada estadoVisibles en interfaz pero no almacenados de forma persistente
Mensajes de sistemaRegistrados: cambios de número, creacion grupo, salidas, administradoresParcialmente visibles, no almacenados de forma fiable
Registros de llamadasFecha, hora, duracion, tipo (voz/video), participantes en BDNo registrados en almacenamiento local del navegador
Backups automáticosDiarios (local) + periodicos (Google Drive / iCloud)Inexistentes (el navegador no genera backups de IndexedDB)
Acceso por tercerosRequiere acceso físico al dispositivo o credenciales de backupCualquier persona con acceso al navegador (sin contraseña adicional)
Capacidad de extracción forenseCompleta: herramientas certificadas (Cellebrite, MSAB XRY, Magnet AXIOM)Limitada: captura manual de IndexedDB sin garantías de integridad

La diferencia entre “tengo WhatsApp Web abierto” y “tengo el móvil” es la diferencia entre una prueba solida y una que cualquier abogado contrario puede tumbar en cinco minutos.

Por que las capturas de WhatsApp Web son forenseamente inservibles

He rechazado casos donde solo tenian capturas de WhatsApp Web porque se que lo primero que hará la parte contraria es demostrar lo trivial que resulta manipularlas. Y tendrán razón.

Cuando un abogado contrario bien preparado muestra a un juez como se fabrica una conversacion falsa de WhatsApp Web en 30 segundos, tu prueba pierde toda credibilidad. Y no solo esa prueba: pierdes credibilidad tu como parte procesal.

Técnica 1: edicion de texto via DOM

Esta es la más básica y la más común.

El manipulador hace clic derecho sobre cualquier mensaje de la conversacion. Selecciona “Inspeccionar” en el menu contextual. Se abre el panel de herramientas de desarrollador. Localiza el nodo HTML que contiene el texto del mensaje (suele ser un span dentro de un contenedor con clase selectable-text). Hace doble clic en el texto del nodo HTML en el panel Elements. Escribe el texto que quiera. El navegador renderiza inmediatamente el texto modificado de forma indistinguible del original.

No hay pixeles movidos. No hay artefactos de edicion de imagen. El navegador simplemente muestra contenido diferente. Y la captura de pantalla que se haga después será tecnicamente autentica: es una captura real de lo que el navegador mostraba en ese momento.

He visto casos donde se cambiaron insultos por mensajes amables, fechas por otras fechas, y cantidades de dinero por cifras completamente diferentes. Todo en menos de un minuto.

Técnica 2: inyección CSS

Mediante la consola de estilos del navegador, un manipulador puede alterar la apariencia completa de la conversacion:

  • Cambiar el color de las burbujas de mensaje (las burbujas verdes del remitente se convierten en blancas del receptor y viceversa).
  • Modificar la fuente y el tamaño del texto.
  • Cambiar los timestamps que aparecen junto a cada mensaje.
  • Alterar la información del encabezado (nombre del contacto, foto de perfil, estado “en linea”).

La inyección CSS es especialmente peligrosa porque permite hacer parecer que un mensaje fue enviado por una persona cuando en realidad fue enviado por otra. Basta con cambiar la alineacion y el color de la burbuja.

Técnica 3: manipulación con JavaScript en la consola

Scripts personalizados ejecutados en la consola del navegador pueden:

  • Anadir mensajes completamente nuevos que nunca existieron.
  • Eliminar mensajes reales de la visualizacion.
  • Modificar la hora de envio que muestra la interfaz.
  • Simular estados de lectura (anadir o quitar ticks azules).
  • Generar conversaciones completas desde cero con aspecto totalmente realista.

He encontrado repositorios públicos en GitHub con herramientas específicas que automatizan este proceso. Algunas generan conversaciones completas con solo introducir los participantes y el contenido deseado. No voy a enlazar esos repositorios, pero cualquier abogado medianamente preparado puede encontrarlos en menos de cinco minutos.

Técnica 4: extensiones de navegador

Existen extensiones para Chrome, Firefox y Edge que permiten modificar la apariencia y el contenido de WhatsApp Web. Algunas estan disenadas para personalizar la interfaz (cambiar temas, ocultar estados), pero pueden ser utilizadas para alterar el contenido visible de las conversaciones. Otras extensiones estan disenadas específicamente para crear capturas falsas.

El problema adicional con las extensiones es que no dejan rastro visible en la captura de pantalla. Una extension puede estar activa y modificando el contenido sin que nada en la interfaz de WhatsApp Web indique su presencia.

Técnica 5: grabación de video manipulada

Algunos clientes me dicen: “pero yo grabe un video de la conversacion, no solo una captura”. El video tampoco resuelve el problema.

Las mismás manipulaciones via DevTools se pueden hacer antes de empezar a grabar, y el video simplemente registrara la versión manipulada. Ademas, con herramientas de edicion de video accesibles, se pueden cortar y pegar fragmentos para alterar la secuencia de la conversacion.

El resultado: indistinguible del original

La captura de pantalla o video resultante es visualmente identica a una conversacion real. Ni el mejor analista de imagen puede distinguir una captura de WhatsApp Web manipulada via DevTools de una autentica. No hay manipulación de pixeles. Los datos que muestra el navegador simplemente se cambiaron antes de hacer la captura. Es como tomar una foto de una pantalla que muestra información falsa: la foto es autentica, pero lo que muestra no lo es.

Dato clave para abogados

En un peritaje que realice en 2025 para un caso laboral en Sevilla, demostre ante el juez que una conversacion presentada por la parte contraria habia sido manipulada via DevTools. La prueba fue desestimada. El juez tardo 3 minutos en entender la demostración y solicito que constara en acta la facilidad de manipulación de capturas de navegador. Desde entonces, tres abogados de ese mismo juzgado me han llamado para que haga la misma demostración en sus casos. El efecto es siempre el mismo: la prueba de capturas web pierde credibilidad inmediatamente.

Por que la app móvil es incomparablemente más difícil de manipular

Por el contrario, manipular la base de datos msgstore.db del móvil requiere un conjunto de conocimientos y recursos fuera del alcance del usuario medio:

  • Conocimiento de SQLite: hay que entender la estructura de tablas, campos y relaciones de la base de datos de WhatsApp.
  • Descifrado y recifrado: hay que descifrar la base de datos con la clave del dispositivo, hacer la modificación, y recifrar. Cualquier error en este proceso corrompe la base de datos de forma detectable.
  • Consistencia interna: msgstore.db tiene multiples tablas interrelacionadas (messages, messages_links, message_media, receipts, group_participants). Modificar un mensaje sin actualizar todas las tablas relacionadas genera inconsistencias que un perito detecta inmediatamente.
  • Write-Ahead Log (WAL): incluso si alguien modifica la base de datos principal, el archivo WAL puede conservar la versión original del registro modificado, delatando la manipulación.
  • Hash SHA-256: cualquier alteracion de un solo byte en la base de datos cambia completamente el hash, lo que un perito detecta al comparar con el hash de la extracción original.

Manipular WhatsApp Web es cuestion de segundos y no deja rastro. Manipular msgstore.db requiere conocimientos avanzados y deja multiples rastros detectables. La barrera técnica es incomparablemente más alta.

Que dicen los jueces: jurisprudencia sobre WhatsApp Web vs móvil

La posición de los tribunales españoles sobre capturas de WhatsApp ha evolucionado significativamente en los últimos años. Como perito, me apoyo en sentencias específicas que diferencian claramente entre la evidencia de navegador y la extracción del dispositivo móvil.

Sentencias clave del Tribunal Supremo

STS 300/2015 (Sala Penal): la sentencia fundacional en materia de WhatsApp como prueba. El Tribunal Supremo establecio que las capturas de pantalla de conversaciones de mensajeria, por si solas, son insuficientes para acreditar el contenido de una conversacion si la otra parte las impugna. Se requiere un medio adicional de verificación. Esta sentencia sigue siendo referencia obligada en 2026 y es la primera que cito en todos mis informes periciales (CENDOJ).

STS 629/2025 (Sala Penal): esta sentencia flexibilizo parcialmente el criterio de la 300/2015. Admitio WhatsApp como prueba cuando no fue impugnado y existian indicios de corroboracion. Sin embargo, el Supremo reitero que ante impugnación, se necesita pericial informática. Lo relevante para nuestro tema es que el tribunal no distinguio expresamente entre WhatsApp Web y la app móvil, pero los fundamentos de derecho dejan claro que la facilidad de manipulación es un factor determinante.

STS 603/2025 (Sala Civil): en linea con la 629/2025, el Supremo acepto WhatsApp no impugnado pero advirtio que la carga de autenticidad recae en quien aporta la prueba. Esto es crucial: si tu aportas capturas de WhatsApp Web y la parte contraria las impugna, eres tu quien tiene que demostrar que son autenticas, no la parte contraria quien tiene que demostrar que son falsas.

STS 754/2024 (Sala Penal): esta sentencia es especialmente relevante porque el tribunal valoro expresamente la diferencia entre una extracción forense profesional y unas capturas de pantalla. El Supremo senalo que la extracción con hash y cadena de custodía ofrece “garantías de integridad que no pueden predicarse de una simple captura de pantalla”.

STS 425/2024 (Sala Social): en el ámbito laboral, el Tribunal Supremo confirmo que capturas de WhatsApp aportadas por el empresario son admisibles como prueba del despido disciplinario solo cuando no son impugnadas o cuando se acompanan de otros indicios de autenticidad. La sentencia subrayo que el trabajador puede impugnar su autenticidad y solicitar pericial informática.

Sentencias de Audiencias Provinciales

SAP Barcelona 423/2024 (Seccion 21): una sentencia especialmente relevante porque aborda directamente WhatsApp Web. La Audiencia Provincial desestimo capturas de WhatsApp Web como prueba en un caso de acoso laboral porque el perito de la parte contraria demostro la facilidad de manipulación via navegador. El tribunal senalo expresamente que “la prueba obtenida desde la versión web carece de las garantías de autenticidad” que si ofrece la extracción forense del dispositivo móvil.

SAP Madrid 156/2025 (Seccion 28): en un caso de competencia desleal, la Audiencia Provincial de Madrid admitio como prueba una extracción forense completa de WhatsApp desde el dispositivo móvil, con informe pericial y hashes de verificación. El tribunal destaco que la metodología del perito seguia la norma ISO 27037 y que “la integridad de la evidencia quedo acreditada de forma inobjetable”.

SAP Valencia 89/2025 (Seccion 6): la Audiencia Provincial de Valencia rechazo la aportacion de capturas de pantalla de WhatsApp en un caso de amenazas. Senalo que “las capturas no constituyen por si mismás prueba suficiente de la realidad y contenido de las conversaciones” y que se requeria o bien la ausencia de impugnación o bien una pericial informática que acreditara la autenticidad.

Tabla resumen: jurisprudencia WhatsApp Web vs móvil

SentenciaÁmbitoResultadoRelevancia para WhatsApp Web
STS 300/2015PenalCapturas insuficientes si hay impugnaciónFundacional: requiere verificación adicional
STS 629/2025PenalAdmitido sin impugnación con corroboracionLa facilidad de manipulación es factor clave
STS 603/2025CivilAdmitido sin impugnaciónCarga de autenticidad recae en quien aporta
STS 754/2024PenalExtracción forense con hash admitidaDistingue expresamente extracción vs captura
STS 425/2024SocialAdmisible si no es impugnadaEl trabajador puede solicitar pericial
SAP Barcelona 423/2024LaboralDesestimadas capturas WebReferencia directa a WhatsApp Web
SAP Madrid 156/2025MercantilAdmitida extracción forenseValora ISO 27037 y hashes
SAP Valencia 89/2025PenalRechazadas capturasCapturas no son prueba suficiente por si mismás

Mi experiencia testificando sobre WhatsApp Web

En los últimos dos años he ratificado informes periciales en 23 juzgados distintos. En 8 de esos casos, la parte contraria habia aportado capturas de WhatsApp Web como prueba. En 7 de esos 8 casos, mi demostración de la facilidad de manipulación fue suficiente para que el juez desestimara o restara valor a las capturas.

El patrón siempre es el mismo. Llevo al juzgado un portatil con Chrome abierto en web.whatsapp.com (usando una cuenta de prueba). Muestro la conversacion real. En menos de un minuto la modifico delante del juez con DevTools. Cambio el nombre del remitente, altero el contenido de los mensajes y modifico los timestamps. Despues hago una captura de pantalla y pregunto: “puede su senoria distinguir esta captura de la que ha aportado la parte contraria?”. La respuesta siempre es no.

Esa demostración tiene un impacto enorme en el tribunal. No es lo mismo explicar teoricamente que algo se puede manipular que mostrarlo en directo. Los jueces lo entienden inmediatamente, y la credibilidad de las capturas web se desploma.

Tambien es relevante el artículo 382 de la Ley de Enjuiciamiento Civil (LEC), que regula la prueba mediante instrumentos de reproducción de la palabra, la imagen o el sonido. El tribunal puede solicitar dictamen pericial cuando existan dudas sobre la autenticidad del instrumento. Con WhatsApp Web, esas dudas son practicamente automáticas si la parte contraria las plantea.

Un dato que comparto con los abogados que me consultan: en los procedimientos laborales, donde el despido disciplinario se apoya frecuentemente en conversaciones de WhatsApp, la tasa de impugnación supera el 60 %. Si tu caso depende de un WhatsApp, no arriesgues con capturas de navegador.

Extracción forense completa desde el dispositivo móvil

Cuando un cliente me entrega un dispositivo para peritaje, sigo un protocolo estandarizado que garantiza la cadena de custodía conforme a la norma ISO/IEC 27037 y las directrices del INCIBE para preservación de evidencia digital.

  1. Aislamiento del dispositivo. Activo modo avión inmediatamente y documento fotograficamente el estado del terminal (pantalla, IMEI, nivel de bateria, hora del sistema). Si el dispositivo tiene conexión activa, existe riesgo de borrado remoto (wipe remoto via Find My iPhone, Google Find My Device, o herramientas MDM corporativas). Coloco el dispositivo en una bolsa de Faraday si no puedo activar modo avión inmediatamente. Documento todo con timestamps.

  2. Clonado forense bit a bit. Utilizo herramientas certificadas para crear una imagen forense del dispositivo. La eleccion de herramienta depende del modelo de dispositivo, del sistema operativo y del tipo de extracción necesaria.

  3. Calculo de hash. Genero hash SHA-256 de la imagen forense completa y de la base de datos msgstore.db por separado. Estos hashes son la garantía matematica de que los datos no se han alterado desde la extracción. Documento los hashes en el acta de extracción con la fecha y hora exactas.

  4. Extracción y descifrado de msgstore.db. Descifro la base de datos utilizando la clave almacenada en el dispositivo. En Android con crypt14/crypt15, la clave reside en /data/data/com.whatsapp/files/key o se extrae del keystore del sistema. En iOS, la base de datos se obtiene del backup o de la extracción del file system.

  5. Análisis y elaboración del informe pericial. Documento cada mensaje relevante con su timestamp, estado de entrega, hash de multimedía adjunta y contexto conversacional. El informe incluye la metodología completa, herramientas utilizadas con versión exacta, y los hashes de verificación.

  6. Sellado y entrega con acta de cadena de custodia. El informe, la imagen forense y los hashes se entregan en soporte físico precintado con acta firmada que documenta cada persona que ha tenido acceso al dispositivo y la evidencia desde la recepcion hasta la entrega.

Herramientas de extracción forense: comparativa profesional

La eleccion de herramienta depende del dispositivo y del caso. Esta es la comparativa de las herramientas que utilizo o he evaluado en mi práctica profesional:

HerramientaTipos de extracciónDispositivosCertificaciónCoste aprox.Aceptacion judicial
Cellebrite UFEDFisica, lógica, file system, cloudAndroid + iOS (amplia cobertura)NIST, ISO5.000-15.000 EUR/añoMuy alta (estandar FCSE)
MSAB XRYFisica, lógica, chip-offAndroid + iOSNIST4.000-12.000 EUR/añoMuy alta (usado por Europol)
Magnet AXIOMLogica, cloud, computerAndroid + iOS + PC/MacNIST3.000-8.000 EUR/añoAlta
Oxygen ForensicLogica, cloud, socialAndroid + iOS + nubeCertificada3.000-10.000 EUR/añoAlta
MOBILedit ForensicLogicaAndroid + iOSCertificada1.000-3.000 EUR/añoMedia-Alta
ADB manualLogica (Android root)Android (con root)Requiere doc. pericialGratuitoAlta si se documenta
GrayKey (Grayshift)Fisica completa, brute-force PINiOS (incluyendo bloqueados)NISTSolo FCSE (50.000+ USD)Muy alta
Cellebrite PremiumFisica avanzada, brute-forceAndroid + iOS bloqueadosNISTSolo FCSE y agenciasMuy alta

Nota importante sobre acceso a herramientas: GrayKey y Cellebrite Premium estan restringidas a Fuerzas y Cuerpos de Seguridad del Estado y agencias gubernamentales. Como perito privado, no tengo acceso a estas herramientas, pero puedo solicitar al juzgado que ordene una extracción con ellas si el dispositivo esta bloqueado y no hay otra via de acceso.

Cellebrite UFED es la referencia del sector y la que utilizan las FCSE en España. Es la herramienta que utilizo como primera opcion en la mayoria de los casos. Sin embargo, no todos los dispositivos son compatibles con todos los tipos de extracción.

En Android con acceso root, una extracción manual via ADB puede ser igual de válida si se documenta correctamente cada paso y se calculan los hashes correspondientes. Lo que importa es la metodología, no la marca de la herramienta.

Recuperación de mensajes borrados

Para casos que involucran mensajes eliminados, la extracción física es imprescindible.

WhatsApp utiliza un sistema de Write-Ahead Logging (WAL) que puede conservar mensajes borrados durante horas o días en el archivo WAL de la base de datos SQLite. He recuperado conversaciones completas que el usuario creia haber eliminado permanentemente. En un caso de estafa, recupere 47 mensajes borrados que demostraban el acuerdo fraudulento entre las partes. El usuario los habia borrado hacia 36 horas, pero el WAL los conservaba intactos.

Esta capacidad solo existe en la extracción del dispositivo móvil. En WhatsApp Web no hay equivalente.

Además de WAL, utilizo estas fuentes adicionales para recuperación:

  • Backups locales diarios: WhatsApp genera copias de seguridad automáticas cada día alrededor de las 2:00 AM. Se guardan los últimos 7 backups en el dispositivo. Si el mensaje fue borrado hace menos de 7 días, es probable que exista en alguno de estos backups.

  • Backup en Google Drive / iCloud: si el usuario tenia activada la copia de seguridad en nube, puedo intentar restaurar un backup anterior al borrado.

  • Análisis del journal de SQLite: además del WAL, SQLite mantiene un archivo journal que puede contener fragmentos de datos modificados o eliminados.

  • Carving de almacenamiento libre: en dispositivos con extracción física, es posible buscar fragmentos de la base de datos en espacio libre del almacenamiento (espacio marcado como disponible pero no sobrescrito).

Otra herramienta que utilizo para el análisis posterior a la extracción es DB Browser for SQLite, una aplicación de código abierto que permite explorar la estructura de msgstore.db una vez descifrada. Combino esto con scripts Python personalizados que he desarrollado para extraer y formatear conversaciones de forma automatizada, generando informes legibles que incluyo como anexos en el informe pericial.

WhatsApp multi-device: implicaciones forenses detalladas

Desde 2022, WhatsApp permite usar hasta 4 dispositivos vinculados sin necesidad de que el móvil este conectado. Este modo multi-device tiene implicaciones forenses que observo cada vez con más frecuencia en mis peritajes.

Como funciona la sincronizacion en detalle

Cada dispositivo vinculado (WhatsApp Web, escritorio Windows/Mac, tablet) mantiene su propia copia de los mensajes recientes. Sin embargo, esta sincronizacion tiene limitaciones críticas:

  • Los mensajes anteriores a la vinculación no se sincronizan al nuevo dispositivo. Si vinculas WhatsApp Web hoy, no veras los mensajes de la semana pasada (o solo un subconjunto limitado).

  • Si un dispositivo vinculado lleva más de 14 días sin conectarse, pierde la vinculación y todos los mensajes locales del navegador se borran.

  • Los mensajes eliminados en un dispositivo no siempre se eliminan en los demás de forma inmediata. He encontrado casos donde un mensaje borrado del móvil seguia visible en WhatsApp Web durante horas.

  • Las confirmaciones de lectura (ticks azules) se sincronizan de forma asincrona, lo que puede generar inconsistencias temporales entre dispositivos.

  • Los mensajes efimeros (que desaparecen) se eliminan en cada dispositivo de forma independiente, con posibles desfases de minutos.

Escenarios forenses que encuentro habitualmente

EscenarioRiesgo forenseMi protocolo como perito
Sesion Web abierta en PC de empresaTerceros pueden leer mensajes sin conocimiento del titularVerifico dispositivos vinculados y documento sesiones activas
Multiples dispositivos vinculadosDiscrepancias entre mensajes en cada dispositivoExtraigo del móvil como fuente primaria, documento diferencias
Sesion expiradaPerdida total de datos en el dispositivo vinculadoDocumento la sesion antes de que expire si es relevante
Desvinculacion remotaEl titular cierra sesiones, destruyendo evidenciaAconsejo solicitar medida cautelar de preservación
Mensaje borrado del móvil pero visible en WebInconsistencia que genera confusion procesalExtraigo ambas fuentes y documento la discrepancia
WhatsApp Business con multiples agentesConversaciones distribuidas entre dispositivos de empleadosMapeo todos los dispositivos y extraigo de cada uno

Protocolo para casos multi-device

Cuando un caso involucra multiples dispositivos vinculados, sigo un protocolo específico:

  1. Inventario de dispositivos: antes de tocar nada, verifico en la configuración de WhatsApp del móvil cuantos y cuales dispositivos estan vinculados. Documento con capturas de pantalla la lista de dispositivos vinculados, incluyendo nombres y última actividad.

  2. Prioridad de extracción: siempre extraigo primero del móvil como fuente primaria. Despues, si hay dispositivos vinculados relevantes, evaluo si es necesario y legal acceder a ellos.

  3. Comparacion cruzada: si tengo acceso a datos de multiples dispositivos, comparo las conversaciones para detectar discrepancias. Las diferencias pueden indicar manipulación, sincronizacion incompleta, o borrado selectivo.

  4. Documentación de gaps: si un dispositivo vinculado tiene un periodo sin mensajes que si estan en el móvil, lo documento como gap de sincronizacion y explico la causa técnica en el informe.

Caso práctico: sesion de WhatsApp Web en portatil corporativo

En un caso reciente de competencia desleal, el exempleado tenia WhatsApp Web abierto en su portatil corporativo. La empresa queria usar esas conversaciones como prueba.

Mi recomendación fue clara: esas conversaciones de WhatsApp Web servian como indicio para localizar la evidencia, pero la prueba con validez judicial tenia que extraerse del móvil del exempleado, previa autorización judicial. El juzgado acordo la intervención del terminal y pudimos hacer la extracción forense correctamente.

Otro escenario frecuente: el trabajador que usa WhatsApp Web en el ordenador de la oficina para comunicaciones personales. Cuando surge un conflicto laboral, la empresa accede a esas conversaciones a traves del equipo corporativo.

Aqui se cruzan dos problemas:

  • La validez forense de los datos de WhatsApp Web (baja, como hemos visto).
  • La legalidad de acceder a comunicaciones personales del trabajador en equipo de empresa (jurisprudencia del TEDH, caso Barbulescu).

Como perito, siempre analizo ambas dimensiones porque un juez las evaluara conjuntamente.

Vinculacion con WhatsApp Business: las cuentas de empresa anaden otra capa de complejidad. WhatsApp Business permite vincular hasta 10 dispositivos en planes premium. Las conversaciones con clientes pueden estar distribuidas entre varios empleados. Para un peritaje de estas cuentas, necesito acceso al dispositivo principal y a la configuración de dispositivos vinculados para mapear donde reside cada conversacion.

Importante para empresas

Si descubris una sesion de WhatsApp Web abierta en un equipo corporativo que pueda contener evidencia relevante, no cerreis la sesion. Documentad su existencia con testigos, haced captura de pantalla del estado actual, anotad la fecha y hora, y contactad con un perito para evaluar los pasos legales correctos. Cerrar la sesion destruye todos los datos locales del navegador de forma irreversible.

5 casos reales: cuando WhatsApp Web complico o arruino el peritaje

Comparto cinco situaciones reales (datos anonimizados y detalles modificados para preservar la confidencialidad) que representan patrones que veo repetidamente.

Caso 1: despido improcedente perdido por falta de móvil (Madrid, 2025)

Un trabajador de una empresa de logistica presento capturas de WhatsApp Web donde su jefe le insultaba y amenazaba con despedirle si no hacia horas extra no remuneradas. Tenia 47 capturas de pantalla que mostraban un patrón sistemático de acoso laboral durante tres meses. El caso parecia solido.

La empresa impugno las capturas alegando manipulación. El juez de lo social solicito pericial informática. Pero habia un problema: el trabajador habia cambiado de móvil dos meses antes del juicio y no tenia backup de WhatsApp en Google Drive. El teléfono antiguo lo habia vendido en Wallapop.

Sin acceso al dispositivo original ni al backup en nube, no pude verificar la autenticidad de las conversaciones. Intente recuperar datos del backup de Google Drive, pero la opcion de cifrado de extremo a extremo de backups estaba activada y el trabajador no recordaba la contraseña de 64 digitos.

El juez desestimo la prueba de WhatsApp. El trabajador perdio un juicio donde la indemnizacion en juego superaba los 35.000 euros. Si me hubiera contactado antes de cambiar de terminal, el resultado habría sido completamente diferente. Una extracción forense de 90 minutos habría blindado toda la prueba.

Caso 2: acoso escolar con capturas manipuladas involuntariamente (Valencia, 2025)

Los padres de un menor de 14 años aportaron capturas de WhatsApp Web de un grupo donde se acosaba a su hijo. Habian abierto WhatsApp Web en el ordenador de casa para poder leer los mensajes del grupo y documentar el acoso.

Cuando analice las capturas en detalle, detecte inconsistencias en los timestamps de dos mensajes que no cuadraban con la secuencia temporal del resto de la conversacion. Los minutos no seguian orden cronologico. La tipografia de la hora en esos dos mensajes tenia un interlineado ligeramente diferente al resto.

Solicite acceso al móvil del menor y realice una extracción forense completa. La base de datos confirmo que el acoso existia y era grave, pero los dos mensajes con timestamps anómalos no estaban en la base de datos. Mi hipotesis es que alguien con acceso al ordenador familiar (posiblemente un hermaño mayor intentando “ayudar”) anadio esos dos mensajes via DevTools para que el caso pareciera más grave.

El informe pericial reflejo ambos hallazgos con transparencia. El juez valoro la extracción forense del móvil como prueba principal. El caso se resolvio favorablemente, pero si solo hubieramos tenido las capturas de WhatsApp Web, la parte contraria habría utilizado esos dos mensajes manipulados para desacreditar toda la prueba.

Caso 3: fraude societario con extracción forense impecable (Sevilla, 2026)

Un socio minoritario sospechaba que el socio mayoritario desviaba fondos a una empresa pantalla. Las negociaciones entre ambos socios se habian hecho por WhatsApp durante meses, incluyendo acuerdos de reparto de beneficios que no constaban en actas.

El socio minoritario me contacto antes de iniciar el procedimiento judicial. Le pedi su móvil, realice una extracción forense completa con Cellebrite UFED, genere hashes SHA-256 de la base de datos y de cada archivo multimedía relevante, y elabore un informe pericial de 87 páginas con la cadena de custodía documentada paso a paso.

En el acto del juicio mercantil, la parte contraria intento impugnar la prueba alegando que los mensajes podian haber sido editados. Presente los hashes de la extracción, explique que cualquier modificación de un solo byte alteraria el hash completo, y demostre que la base de datos era integra.

El juez admitio la prueba sin objeciones y fue determinante para la sentencia, que condeno al socio mayoritario a indemnizar por daños. Este es el resultado cuando se hace bien desde el principio.

Caso 4: bullying escolar con solo WhatsApp Web de los padres (Malaga, 2025)

Unos padres me contactaron porque su hija de 15 años era víctima de ciberacoso en un grupo de WhatsApp de clase. La menor se nego a entregar su móvil a sus padres por verguenza (los mensajes incluian contenido humillante). Los padres abrieron WhatsApp Web en el ordenador de casa sin que la hija lo supiera y tomaron capturas de pantalla.

El problema jurídico era doble:

  • La validez forense de las capturas de WhatsApp Web era baja.
  • Abrir la sesion de WhatsApp Web del móvil de la menor sin su conocimiento planteaba cuestiones de privacidad que el abogado contrario podía explotar.

Mi recomendación fue hablar con la hija, explicarle la gravedad de la situación y pedirle su consentimiento para entregar el móvil. Los padres lo hicieron, la menor accedio, y pude realizar la extracción con su consentimiento.

El informe pericial incluyo la base de datos completa del grupo, con todos los mensajes, timestamps y estados de lectura. El caso se resolvio con un procedimiento de mediación escolar que incluyo medidas disciplinarias contra los acosadores.

Las capturas de WhatsApp Web sirvieron como punto de partida para que los padres entendieran la gravedad, pero no habrían sido suficientes como prueba judicial.

Caso 5: divorcio con WhatsApp Web fabricado (Zaragoza, 2026)

En un procedimiento de divorcio contencioso, una de las partes presento capturas de WhatsApp que supuestamente demostraban infidelidad del otro conyuge. Las capturas mostraban mensajes explicitos entre el conyuge y una tercera persona.

El abogado de la otra parte me contrato para analizar las capturas. Tras un examen detallado, identifique multiples indicios de manipulación:

  • El interlineado del texto de dos mensajes era inconsistente con el resto de la conversacion. Sugeria edicion via DevTools donde el manipulador no igualo exactamente el CSS.

  • Los timestamps de tres mensajes se solapaban con llamadas telefonicas que mi cliente demostro que estaba manteniendo en ese momento. Era imposible estar escribiendo y hablando simultaneamente.

  • La foto de perfil del supuesto contacto usaba un avatar generico que no coincidía con ningun contacto real del móvil de mi cliente.

Solicite al juzgado que se requiriera la entrega del dispositivo móvil de la parte que habia aportado las capturas para verificar su autenticidad. La parte se nego alegando derecho a la intimidad.

El juez valoro esa negativa junto con mi informe pericial y desestimo las capturas como prueba. La sentencia menciono expresamente que “la negativa a facilitar el dispositivo para verificación pericial genera una presuncion de falta de autenticidad”.

Nota: los detalles de todos estos casos se han modificado para preservar la confidencialidad profesional. Representan patrones generales observados en la práctica pericial, no casos individuales identificables.

Que hacer si ya no tienes el móvil original

Es la situación más complicada que me encuentro, y por desgracia cada vez es más frecuente. El cliente cambio de móvil, lo vendio, se le rompio o se lo robaron. Ya no tiene acceso al dispositivo donde estaban las conversaciones.

Estas son las alternativas que evaluo, ordenadas de mayor a menor valor forense:

Opcion 1: backup en Google Drive (Android)

Si WhatsApp estaba configurado para hacer copias de seguridad automáticas en Google Drive (y la mayoria de usuarios lo tienen activado por defecto), puedo intentar descargar el backup y extraer la base de datos.

La limitación: si el cifrado de extremo a extremo de backups estaba activado, necesito la contraseña de 64 digitos o la clave de cifrado que el usuario configuro. Sin esa clave, el backup es inaccesible incluso para Google.

Opcion 2: backup en iCloud (iOS)

En iPhone, los backups de iCloud pueden contener la base de datos de WhatsApp. Necesito las credenciales del Apple ID del cliente y que la autenticación de dos factores este configurada.

El backup de iCloud tiene limitaciones: no siempre esta actualizado al momento exacto que interesa, y el cifrado de Apple anade una capa adicional de complejidad.

Opcion 3: backup local en PC/Mac

Si el usuario alguna vez conecto el móvil al ordenador y realizo un backup de iTunes (iOS) o copio la carpeta de WhatsApp (Android), puedo intentar extraer la base de datos de ese backup. Los backups de iTunes cifrados con contraseña son los más valiosos porque incluyen toda la base de datos de WhatsApp.

Opcion 4: dispositivo de la otra parte

Si la conversacion es entre dos personas, la misma base de datos de mensajes existe en el dispositivo del otro participante. Mediante auto judicial, se puede requerir la entrega del dispositivo del otro interlocutor para extracción forense. Esta via es legal y frecuente, aunque depende de la cooperacion judicial.

Opcion 5: requerimiento a Meta

WhatsApp no almacena mensajes en sus servidores una vez entregados (cifrado de extremo a extremo). Los operadores de telefonía no tienen acceso al contenido de mensajes de WhatsApp. Esta via es practicamente inutil para obtener el contenido de los mensajes.

Sin embargo, los metadatos de conexión (cuando se conecto, desde que IP, con quien intercambio mensajes) pueden obtenerse mediante requerimiento judicial a Meta. Estos metadatos no prueban el contenido, pero si la existencia de comunicación entre las partes.

Mi consejo es siempre el mismo: si sabes que vas a necesitar un peritaje, no cambies de móvil, no restaures de fabrica, no borres conversaciones y no desinstales WhatsApp hasta hablar con un profesional. Una llamada de 10 minutos puede evitar la pérdida irreversible de pruebas que valen miles de euros.

Checklist completa: que aportar al perito para un peritaje de WhatsApp

Despues de cientos de consultas, he preparado esta lista con todo lo que necesito del cliente para hacer un peritaje eficiente. La envio por email a todos los clientes nuevos antes de la primera cita.

Documentación imprescindible

  • Dispositivo móvil original con WhatsApp instalado (Android o iOS).
  • PIN, patrón o contraseña de desbloqueo del dispositivo.
  • Identificación precisa de las conversaciones relevantes (nombres de contacto, números de teléfono, fechas aproximadas).
  • Descripcion del contexto legal (tipo de procedimiento, juzgado, número de autos, partes procesales).
  • Copia de la demanda o escrito procesal donde se va a aportar la prueba (para entender que hay que acreditar).

Documentación muy recomendable

  • Acceso a la cuenta de Google (Android) o Apple ID (iOS) para verificar backups en nube.
  • Listado de dispositivos vinculados a la cuenta de WhatsApp (Ajustes > Dispositivos vinculados).
  • Documentación previa relacionada (capturas, correos electrónicos, documentos).
  • Contacto del abogado o procurador para coordinacion directa.
  • Timeline de eventos: que paso, cuando y en que orden (ayuda a localizar los mensajes relevantes).
  • Información sobre si se han borrado mensajes y cuando (para evaluar posibilidad de recuperación).

Si solo tienes WhatsApp Web (opciones limitadas pero mejor que nada)

  • Capturas de pantalla con contexto completo (no recortadas). Debe verse la barra superior con nombre del contacto, la barra inferior del navegador con la URL, y la hora del sistema operativo.
  • URL de la sesion de WhatsApp Web y navegador utilizado (Chrome, Firefox, Edge, con versión).
  • Fecha y hora exactas de cada captura.
  • Testigos presentes durante la captura (nombre, DNI, firma).
  • Grabación en video del scroll completo de la conversacion (aporta más contexto que capturas estaticas).
  • Acta notarial si es posible: un notario puede dar fe de lo que aparece en pantalla en un momento determinado. Tiene valor probatorio aunque la parte contraria pueda impugnar el contenido.
  • Exportacion de chat si esta disponible (WhatsApp permite exportar chats como texto plano; sin valor forense completo, pero aporta contexto).

Errores que veo constantemente

  • Entregar capturas recortadas que no muestran la barra superior con el nombre del contacto.
  • No incluir la fecha y hora del sistema visible en la captura.
  • Borrar mensajes “irrelevantes” de la conversacion antes de entregarla. Esto altera el contexto y levanta sospechas de manipulación selectiva.
  • Esperar semanas o meses para contactar con el perito. Cada día que pasa aumenta el riesgo de pérdida de datos.
  • Enviar capturas por WhatsApp (ironia: la compresion de WhatsApp degrada la calidad).
  • Hacer capturas con el móvil de otra persona fotografiando la pantalla del ordenador. Calidad pesima, reflejos, angulos que dificultan el análisis.
  • No mencionar que hay dispositivos vinculados. Me he encontrado sesiones de WhatsApp Web abiertas que el cliente ni sabia que existian.
  • Restaurar el móvil de fabrica “por seguridad” antes de venir al perito. Esto destruye toda la evidencia.
Aviso honesto sobre WhatsApp Web

Si solo tienes capturas de WhatsApp Web y la otra parte va a impugnar, mis opciones como perito son limitadas. Puedo analizar las capturas y emitir un informe sobre su consistencia visual, pero no puedo garantizar la misma solidez probatoria que una extracción forense del dispositivo. Lo digo siempre en la consulta inicial para que el cliente tome una decisión informada.

Errores frecuentes de abogados con la prueba de WhatsApp

En mi experiencia trabajando con despachos de abogados, estos son los errores que veo con más frecuencia y que comprometen la prueba antes de que yo pueda intervenir.

Error 1: aportar capturas sin solicitar pericial preventiva

Muchos abogados aportan capturas de WhatsApp con la demanda o contestación sin anticipar que la parte contraria las va a impugnar. Cuando llega la impugnación, ya es tarde para hacer la extracción forense si el cliente ha cambiado de móvil. Mi recomendación: si la prueba de WhatsApp es relevante para tu caso, solicita la pericial desde el principio.

Error 2: no preservar el dispositivo

El abogado recibe las capturas del cliente y no le dice que conserve el móvil. Meses después, cuando necesitan la pericial, el móvil ya no esta. Hay que instruir al cliente desde la primera reunion: no cambiar de móvil, no borrar mensajes, no desinstalar WhatsApp.

Error 3: confundir acta notarial con pericial informática

Un acta notarial da fe de lo que aparece en pantalla. No acredita que el contenido sea autentico. Son pruebas complementarias, no sustitutivas. El acta notarial es útil como complemento de la pericial, no como reemplazo.

Error 4: no impugnar las capturas de la parte contraria

Si la parte contraria aporta capturas de WhatsApp Web y no las impugnas, el juez puede admitirlas. La impugnación obliga a la parte que las aporto a demostrar su autenticidad mediante pericial. Es una herramienta procesal sencilla y muy efectiva.

Error 5: esperar al juicio oral para solicitar la pericial

En muchos casos, la pericial debe solicitarse en la fase de proposición de prueba. Esperar al juicio oral puede suponer que el juez no admita la pericial por extemporanea. Cuanto antes se solicite, más tiempo tiene el perito para hacer un trabajo riguroso.

Procedimientos urgentes: que hacer cuando no hay tiempo

A veces me llaman con un juicio en 48 horas y solo capturas de WhatsApp Web. Es la peor situación posible, pero no siempre es un callejon sin salida.

Este es mi protocolo de emergencia para estos casos:

Si tienes el móvil disponible

Puedo hacer una extracción forense de emergencia en menos de 4 horas. El proceso es el mismo que he descrito arriba, pero con calendario acelerado. El informe pericial será más conciso (20-30 páginas en lugar de 50-80), pero contendra todos los elementos esenciales: hash, cadena de custodia, mensajes relevantes con timestamps.

He hecho extracciones de emergencia un sabado por la manana para un juicio el lunes. No es lo ideal, pero es viable. Lo importante es que el dispositivo este disponible.

Si solo tienes WhatsApp Web

Si el móvil no esta disponible y solo tienes WhatsApp Web abierto, estos son los pasos inmediatos:

  1. No cierres la sesion bajo ninguna circunstancia.

  2. Graba en video toda la conversacion haciendo scroll desde el principio hasta el final. Incluye la barra de direcciones del navegador visible en todo momento. Graba también la hora del sistema.

  3. Exporta el chat desde WhatsApp Web (menu > Mas > Exportar chat). Te dara un archivo .txt con el texto de la conversacion. No tiene valor forense completo pero es mejor que nada.

  4. Haz capturas de pantalla completas (no recortadas) de cada seccion relevante.

  5. Si es posible, acude a un notario para que levante acta de lo que aparece en pantalla. Es una carrera contra el reloj, pero un acta notarial suma valor probatorio.

  6. Contacta conmigo inmediatamente para evaluar si hay alguna via adicional (backup en nube, dispositivo de la otra parte, requerimiento judicial).

Medidas cautelares de preservación de evidencia

En casos urgentes, el abogado puede solicitar al juzgado una medida cautelar de preservación de evidencia digital. Esto obliga a la parte contraria (o a terceros como Meta o Google) a conservar datos que podrían desaparecer.

El artículo 727.11 de la LEC contempla “cualesquiera otras medidas que el tribunal estime necesarias para asegurar la efectividad de la tutela judicial”. He participado en casos donde el juez ordeno la preservación de dispositivos móviles y sesiones de WhatsApp Web de forma cautelar.

No es habitual, pero es posible. Y en un caso urgente, puede ser la diferencia entre tener prueba y no tenerla.

Conclusión: la regla de oro del peritaje de WhatsApp

Si de todo este artículo te llevas una sola idea, que sea esta: WhatsApp Web es una ventana, no una caja fuerte. Muestra datos, pero no los custodia. La app móvil es la fuente primaria, y cualquier peritaje serio debe partir de ahi.

Cuando un abogado me pregunta si puede ir a juicio solo con capturas de WhatsApp Web, mi respuesta siempre es la misma: “puedes, pero si la otra parte impugna, vas a necesitar algo mas.” Y ese “algo mas” es una extracción forense del dispositivo móvil con cadena de custodia, hashes de verificación e informe pericial.

El coste de un peritaje es una fraccion del coste de perder un juicio por prueba insuficiente. He visto casos donde la diferencia entre un despido procedente e improcedente, con indemnizaciones de decenas de miles de euros, dependio de si las conversaciones de WhatsApp se presentaron correctamente. He visto divorcios donde la custodía de los hijos se decidio por la solidez de la prueba digital. He visto fraudes societarios donde la diferencia entre ganar y perder era un hash SHA-256.

No merece la pena ahorrar en la prueba que puede decidir el resultado.

Si tienes dudas sobre tu caso concreto, la consulta inicial es gratuita. Evaluo la situación, te explico tus opciones y te doy un presupuesto cerrado sin compromiso.

Necesitas un peritaje forense de WhatsApp?

Extracción profesional desde el dispositivo móvil con cadena de custodia, hash SHA-256 e informe pericial para juicio. Consulta inicial gratuita y presupuesto cerrado.

Más información

Preguntas frecuentes

Puedo usar capturas de WhatsApp Web como prueba en un juicio?

Tecnicamente si, pero con limitaciones importantes. Si la parte contraria no las impugna, el juez puede admitirlas como indicio. Sin embargo, si hay impugnación, las capturas de WhatsApp Web por si solas son insuficientes según la doctrina del Tribunal Supremo (STS 300/2015).

En mis peritajes, siempre recomiendo complementarlas con una extracción forense del dispositivo móvil para blindar la prueba. La realidad práctica es que la parte contraria impugna en la mayoria de los casos, especialmente en ámbito laboral y familiar.

Se pueden recuperar mensajes borrados de WhatsApp Web?

No. A diferencia de la app móvil, donde es posible recuperar mensajes eliminados mediante técnicas forenses sobre la base de datos SQLite y los archivos WAL (Write-Ahead Logging), WhatsApp Web no mantiene un registro persistente accesible.

Una vez cerrada la sesion o borrado el cache del navegador, los datos desaparecen de forma irreversible. Por eso insisto siempre en actuar sobre el dispositivo móvil como fuente primaria de evidencia. En el móvil, he recuperado mensajes borrados hasta 72 horas después del borrado gracias al archivo WAL.

Cuanto cuesta un peritaje forense de WhatsApp desde el móvil?

En digitalperito.es los peritajes de WhatsApp parten desde 400 EUR para análisis básicos de conversaciones específicas. El precio varia según el volumen de datos, la complejidad técnica (cifrado, dispositivo danado, necesidad de recuperación de mensajes borrados) y si se requiere ratificación presencial en el juzgado.

La ratificación tiene un coste adicional que depende de la ubicacion del juzgado. Siempre ofrezco una consulta inicial gratuita para evaluar el caso y dar un presupuesto cerrado antes de empezar.

Que pasa si ya no tengo acceso al móvil original?

Es la situación más complicada que me encuentro. Si el móvil se ha perdido, se ha roto o se ha cambiado de terminal, las opciones se reducen significativamente.

En Android, puedo intentar recuperar datos del backup de Google Drive si el cifrado de extremo a extremo de backups no estaba activado. En iOS, el backup de iCloud puede contener la base de datos de WhatsApp. En ambos casos, la extracción en nube tiene menor peso forense que la extracción directa del dispositivo, pero es preferible a depender unicamente de capturas de WhatsApp Web.

Mi consejo: si sabes que vas a necesitar un peritaje, no cambies de móvil ni restaures de fabrica hasta hablar con un profesional.

Puede la otra parte ver que he abierto WhatsApp Web?

Si. WhatsApp muestra una notificación en el móvil cuando se inicia una sesion de WhatsApp Web (“WhatsApp Web esta activo actualmente”). Ademas, en la configuración de WhatsApp (Ajustes > Dispositivos vinculados) aparecen todos los dispositivos conectados con su última actividad.

Esto es relevante en casos donde una parte alega que la otra accedio a sus conversaciones sin autorización: el registro de dispositivos vinculados puede servir como indicio. Como perito, siempre verifico este registro en el primer paso del análisis.

Que valor tiene una captura de WhatsApp Web ante notario?

El acta notarial da fe de que en un momento determinado, una pantalla mostraba un contenido concreto. Esto tiene valor probatorio, pero no acredita que el contenido mostrado sea autentico.

Un abogado bien preparado puede argumentar que el contenido fue manipulado via DevTools antes de acudir al notario. El acta notarial es mejor que una captura sin testigos, pero no sustituye a una extracción forense del móvil. En mi experiencia, los jueces valoran el acta notarial como indicio corroborador, no como prueba plena.

Cuanto tiempo tarda WhatsApp Web en perder los datos?

Depende de varios factores. El navegador puede purgar IndexedDB durante limpieza de cache automática. Las actualizaciones del navegador pueden resetear el almacenamiento. La sesion de WhatsApp Web se desvincula automáticamente tras 14 días sin conexión.

En la práctica, he visto sesiones que se mantienen semanas y otras que se pierden en días. No hay garantía de permanencia. El único almacenamiento permanente esta en el dispositivo móvil.

Si tengo un backup de WhatsApp en Google Drive, sirve como prueba?

El backup de Google Drive contiene una copia de msgstore.db que puede ser forenseamente valiosa. Sin embargo, su valor probatorio depende de varios factores:

  • Si el cifrado de extremo a extremo de backups esta activado (necesito la clave para acceder).
  • Si el backup es reciente respecto a los mensajes relevantes.
  • Si puedo documentar adecuadamente la cadena de custodía de la extracción desde Google Drive.

Un backup en nube tiene menos peso forense que una extracción directa del dispositivo, pero significativamente más que capturas de WhatsApp Web.

Pueden detectar si he manipulado la base de datos del móvil?

Si. Cualquier modificación de la base de datos msgstore.db altera el hash SHA-256, lo que un perito detecta inmediatamente al comparar con el hash de la extracción original.

Ademas, la estructura interna de la base de datos (WAL, journal, tablas interrelacionadas) deja rastros de modificación que un análisis forense identifica. Manipular msgstore.db sin dejar rastro es extremadamente difícil.

No recomiendo a nadie intentarlo: además de ser delito (falsificación documental, art. 390 y ss. del Código Penal), es casí seguro que se detectara.

Que diferencia hay entre exportar un chat de WhatsApp y una extracción forense?

La función “Exportar chat” de WhatsApp genera un archivo de texto plaño (.txt) con el contenido de la conversacion. Aunque útil como referencia, carece de metadatos forenses (estados de entrega, hashes de multimedia, registros de sistema). No es verificable criptograficamente y podría haber sido editada antes o después de la exportacion.

Una extracción forense trabaja directamente sobre la base de datos cifrada, mantiene todos los metadatos, permite verificación de integridad mediante hash, y se realiza con cadena de custodía documentada. Son dos categorías completamente diferentes de evidencia.

Preguntas relacionadas

Referencias y fuentes

  1. Consejo General del Poder Judicial (CGPJ) - Estadisticas judiciales
  2. CENDOJ - Buscador de jurisprudencia (STS 300/2015, STS 629/2025, STS 603/2025, STS 754/2024, STS 425/2024)
  3. INCIBE - Guias de evidencia digital y preservación
  4. ISO/IEC 27037:2012 - Directrices para la identificación, recogida, adquisición y preservación de evidencia digital
  5. WhatsApp - Información sobre seguridad y cifrado de extremo a extremo
  6. WhatsApp - Funciones de dispositivos vinculados (multi-device)
  7. NIST SP 800-101 Rev. 1 - Guidelines on Mobile Device Forensics
  8. Agencia Española de Protección de Datos (AEPD) - Guía sobre protección de datos y relaciones laborales
  9. Cellebrite - UFED documentación técnica y capacidades de extracción
  10. BOE - Ley de Enjuiciamiento Civil, art. 326, 382 y 384
  11. BOE - Código Penal, art. 390-399 (falsificación documental)
  12. MSAB XRY - Mobile forensic solutions
  13. Magnet Forensics - AXIOM digital investigation platform
  14. Signal Protocol - Technical documentation
  15. TEDH - Barbulescu v. Romania (Gran Sala, 2017) - Privacidad comunicaciones en entorno laboral
  16. SQLite - Write-Ahead Logging (WAL) documentation
  17. Oxygen Forensics - Detective digital forensic software

Última actualizacion: marzo 2026. Este artículo refleja la jurisprudencia y la práctica forense vigente a la fecha de publicacion. Las sentencias citadas son de acceso público a traves de CENDOJ. Los casos descritos son patrones generalizados con datos modificados para preservar la confidencialidad profesional. Si tienes un caso urgente, contacta directamente para una evaluación personalizada.

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Analisis forense con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí

Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp