5 PDFs oficiales sin firma digital: peritaje de preservación forense 2026
Caso real: preservación forense de 5 PDFs publicados en una plataforma autonómica pública de contratación. Hallazgo clave: la plataforma no garantizaba integridad a nivel de fichero individual.
El Problema
Un cliente corporativo solicitó preservar técnicamente 5 PDFs oficiales publicados en una plataforma autonómica pública de contratación, ante la duda razonable sobre la integridad de la documentación publicada y la posibilidad de retirada o modificación posterior por parte de la administración.
La Solución
Se aplicó la metodología UNE 71506:2013 combinada con ISO/IEC 27037:2012 para ejecutar una adquisición controlada, hashing SHA-256 por fichero, análisis de metadatos XMP, verificación de firma digital electrónica, registro de contexto técnico (DNS, TLS, WHOIS) y generación de un paquete reproducible con cadena de custodia documentada.
El Resultado
Se entregó al cliente un informe pericial formal, 45 evidencias numeradas con manifiesto SHA-256, acta de cadena de custodia y disponibilidad para ratificación en sala. El hallazgo técnico principal —ausencia de firma digital electrónica en los 5 PDFs y ausencia de garantía de integridad por fichero en la plataforma— quedó documentado con trazabilidad completa.
En 60 segundos
Caso real: preservación forense de 5 PDFs oficiales publicados en una plataforma autonómica pública de contratación.
Hallazgo técnico: ninguno de los 5 documentos contenía firma digital electrónica; la plataforma no ofrece garantías técnicas de integridad a nivel de fichero individual.
Implicación práctica: la integridad técnica del expediente tiene que probarla quien impugne, con un perito. La plataforma no lo hace por ti.
Metodología aplicada: UNE 71506:2013 + ISO/IEC 27037:2012. 45 evidencias preservadas con cadena de custodia y hashes SHA-256.
En el primer trimestre de 2026, una empresa del sector servicios ambientales encargó a DigitalPerito.es la preservación forense de la documentación publicada en un expediente de licitación pública. El expediente estaba alojado en una plataforma autonómica pública de contratación, con acceso no autenticado, y el cliente necesitaba una foto técnica fiable del estado exacto de los documentos en un instante verificable.
Conviene separar con claridad tres planos que en la práctica se confunden.
Hechos objetivos documentados. El cliente aportó la URL pública del expediente, un acta de inicio firmada delimitando el objeto del encargo y una autorización escrita para actuar pericialmente sobre documentos públicos. Las fechas exactas, la referencia interna del expediente de la administración y los datos identificativos del cliente se omiten en esta publicación por razones de confidencialidad.
Mandato pericial. Obtener los 5 PDFs del expediente de forma controlada, reproducible y defendible; documentar el contexto técnico (resolución DNS, cadena TLS, titularidad WHOIS del dominio); verificar la integridad criptográfica y la existencia o no de firma digital electrónica en cada PDF; y emitir un informe pericial apto para aportarse en procedimiento judicial.
Lo que NO formaba parte del mandato. No se analizó el contenido jurídico de los PDFs —cláusulas, pliegos, baremos de puntuación—. Tampoco se asesoró sobre si procedía o no impugnar la licitación; esa decisión corresponde al abogado del cliente, no al perito. La función pericial se limitó a fijar técnicamente el estado de los documentos en el momento de la adquisición.
Esta delimitación es relevante porque evita que el informe pericial se confunda con un dictamen jurídico, algo que suele descalificar el propio informe ante un tribunal.
Metodología aplicada
La actuación se ejecutó bajo dos marcos técnicos reconocidos internacionalmente en prueba digital. UNE 71506:2013 es la norma española que describe la metodología para el análisis forense de evidencias electrónicas, con sus fases de preservación, adquisición, análisis y presentación. UNE-EN ISO/IEC 27037:2012 es la adaptación nacional del estándar ISO que detalla los requisitos que debe cumplir la identificación, recogida, adquisición y preservación de la evidencia digital para ser defendible en juicio. Las dos normas son complementarias, no incompatibles: UNE 71506 describe el método; ISO 27037 define los principios de integridad, auditabilidad, reproducibilidad y justificabilidad que todo paso debe cumplir.
Acta de inicio: delimitación formal del objeto del encargo (URL del expediente, documentos a preservar, alcance técnico, limitaciones declaradas y equipo asignado a la adquisición).
Adquisición controlada: captura técnica con Chrome DevTools en modo incógnito para generar el HAR de sesión, curl para descargas paralelas con registro, openssl para la cadena de certificados TLS, exiftool para metadatos XMP y dig para los registros DNS.
Cálculo de huellas: SHA-256 por cada PDF individualmente y SHA-256 del paquete consolidado. Verificación cruzada MD5 local contra cabeceras Content-MD5 del servidor, cuando estaban disponibles, para detectar corrupciones en tránsito.
Análisis forense: extracción de metadatos XMP, inspección de la estructura PDF en busca de objetos /Sig, verificación de firmas digitales electrónicas y análisis de elementos activos (JavaScript embebido, cifrado, formularios).
Informe pericial: documento formal con metodología declarada, resultados cuantificados, anexos de índice, cadena de custodia, manifiesto de hashes, log cronológico y procedimientos operativos estándar.
Proceso de preservación paso a paso
El trabajo operativo empezó con la preparación del entorno. Se abrió una sesión de Chrome en modo incógnito con perfil limpio, sobre un equipo de adquisición documentado (modelo, sistema operativo y versión registradas en acta). El reloj se sincronizó contra una fuente NTP externa y el desvío quedó registrado, porque los tiempos declarados en las evidencias solo tienen valor probatorio si existe trazabilidad de la sincronización.
La adquisición siguió una secuencia deliberada. Primero, navegación manual a la URL del expediente, captura del HAR de la sesión con DevTools (cabeceras, códigos HTTP, tiempos y contenido) y captura de pantalla de página completa en PNG. En paralelo, descarga de cada uno de los 5 PDFs mediante curl con -o y --write-out registrando código HTTP, tamaño, tiempo y cabeceras en un log estructurado. Esta doble vía —navegador humano más línea de comandos— blinda el informe frente a la objeción típica de “el contenido visto por el perito no es el mismo que el servidor entregó”.
El contexto técnico del dominio se fijó como anexo independiente. Con dig se registraron los registros A, AAAA, NS, SOA y CAA. Con openssl s_client -showcerts -status se capturó la cadena completa de certificados TLS y la respuesta OCSP del emisor. Un WHOIS sobre el dominio aportó titularidad y fechas de registro. Estos artefactos permiten demostrar, meses después, que los documentos se adquirieron desde el servidor legítimo de la administración y no desde un intermediario.
El paquete final se organizó en un árbol numerado: 00-encargo/ (acta e identificación), 01-preparacion/ (logs de equipo y configuración), 02-adquisicion/ (los 5 PDFs, capturas, HAR, logs de red), 03-integridad/ (manifiesto SHA-256 y script de verificación reproducible) y 04-informe/ (dictamen formal). El manifiesto se acompaña de un verify.sh que permite a cualquier técnico recalcular los hashes sin depender del perito original. Ésa es la diferencia entre “un peritaje” y “un peritaje reproducible”.
Hallazgos técnicos
Ausencia de firma digital electrónica en los 5 PDFs
La verificación se realiza inspeccionando la estructura interna del PDF en busca de diccionarios de firma (objetos /Sig o /DocTimeStamp del estándar ISO 32000) y validando las firmas contra la cadena de certificación del firmante. En los 5 PDFs analizados no se encontró ningún objeto de firma digital electrónica, ni sellos de tiempo cualificados incrustados.
Esto significa que el PDF por sí mismo no aporta garantía criptográfica de integridad ni de autoría. Un PDF sin firma digital puede abrirse, editarse y guardarse sin que el resultado sea técnicamente distinguible del original si no se dispone de una copia previa certificada. La integridad depende de cómo y dónde fue publicado, y de la cadena técnica de producción.
Conecta directamente con el marco legal de admisibilidad. El Reglamento eIDAS art. 25 establece que la firma electrónica cualificada tiene efecto equivalente a la manuscrita. Su ausencia no convierte el documento en inválido, pero traslada al impugnante la carga técnica de acreditar la integridad. El art. 326 LEC deja los documentos públicos digitales en una zona matizada donde su fuerza probatoria depende de la cadena técnica que los respalda.
La plataforma no garantiza integridad a nivel de fichero individual
La plataforma autonómica pública analizada ofrece varias garantías, pero no todas las que se podrían suponer a primera vista. Sí garantiza publicación pública con URL persistente y accesible sin autenticación, transporte cifrado mediante HTTPS con certificado válido, autenticación del operador de la plataforma frente al navegador del usuario, y trazabilidad de aviso de apertura en el propio expediente.
No garantiza, sin embargo, firma electrónica cualificada por cada fichero publicado, sellado de tiempo cualificado asociado a cada PDF individual, huella criptográfica (hash SHA-256 u otro) publicada junto al documento descargable, ni registro inmutable que permita verificar, meses después, que un fichero descargado hoy es idéntico al que estaba publicado en una fecha anterior.
Esta asimetría es relevante para el análisis de admisibilidad. La ISO/IEC 27037:2012 en sus apartados §5.2 (identificación), §5.3 (preservación) y §5.4 (adquisición) define los principios que toda evidencia digital debe cumplir para ser defendible: repetibilidad, reproducibilidad, justificabilidad y auditabilidad. Cuando la plataforma no los asegura por diseño, la figura del peritaje externo se convierte en la única vía para fijar la versión del documento en un momento técnicamente verificable. No es un defecto de la plataforma: es una característica de diseño que deriva del uso previsto (transparencia pública), no del uso probatorio (fijación con fuerza forense).
Metadatos XMP relevantes
El análisis XMP con exiftool sobre cada uno de los 5 PDFs devolvió información estructurada probatoriamente útil, al margen del contenido literal. Conviene describir qué tipo de información resulta relevante, sin exponer valores concretos del caso.
El software productor (Producer y Creator) identifica la herramienta que generó el PDF. Cuando los 5 documentos de un mismo expediente aparecen producidos con la misma herramienta y versión, refuerza la hipótesis de un origen común controlado. Cuando aparecen con herramientas distintas, hay que explicar por qué: ¿documentos originados por distintas unidades internas, o manipulación posterior?
Las fechas de creación y modificación XMP (CreateDate, ModifyDate) conviven con la fecha declarada de publicación. Si la fecha XMP es posterior a la publicación oficial, es un indicador técnico que hay que explicar, aunque no siempre implica manipulación —puede reflejar operaciones legítimas como linearización o conversión—. Un perito no afirma manipulación a la ligera; describe la discrepancia y deja al juez valorarla.
La información de autoría embebida (Author, XMP:Creator) puede contener el nombre de usuario del sistema donde se generó el fichero. Correlacionado con otros documentos del expediente, permite trazar patrones: si los 5 PDFs fueron generados por el mismo usuario en la misma máquina, o si proceden de orígenes diversos. Toda esta información se preserva en el informe, pero su interpretación corresponde al abogado y, en último término, al juez.
Fundamentación legal y normativa
El encargo se articula sobre un cuerpo legal y normativo que conviene desglosar.
Reglamento (UE) 910/2014 eIDAS, art. 25. Establece que la firma electrónica cualificada tiene equivalencia jurídica plena con la firma manuscrita. Su ausencia no invalida el documento, pero debilita la prueba de integridad frente a una impugnación y obliga a aportar prueba técnica adicional.
Ley de Enjuiciamiento Civil, art. 326. Los documentos privados hacen prueba plena salvo impugnación. Los documentos públicos publicados digitalmente gozan de presunción de autenticidad mientras no se discuta. Cuando la autenticidad se discute, hay que producir prueba técnica. El peritaje informático es el vehículo procesal adecuado.
ISO/IEC 27037:2012. Norma internacional que define requisitos de recogida, adquisición y preservación de evidencias digitales. Relevantes en este caso: §5.2 (identificación), §5.3 (preservación de integridad), §5.4 (adquisición sin alteración) y §5.5 (cadena de custodia documentada).
UNE 71506:2013. Norma española de metodología forense. Describe las fases de preservación, adquisición, análisis y presentación, con énfasis en la trazabilidad documental. Es el estándar de referencia en el peritaje informático español.
Ley 9/2017 de Contratos del Sector Público. Aplica al expediente de licitación, no al peritaje en sí. Contexto: los expedientes de contratación pública se publican con fines de transparencia, y su integridad técnica se convierte en cuestión jurídicamente relevante cuando aparecen impugnaciones, recursos especiales o procedimientos de nulidad.
Qué implica todo esto para una impugnación
Este bloque no es consejo jurídico —para eso está el abogado del cliente—, sino lectura técnica del escenario que produce un informe de este tipo.
La ausencia de firma digital en los 5 PDFs no invalida el expediente. Lo que hace es trasladar la carga técnica: si alguien alega alteración, tiene que probarla; y si alguien defiende la autenticidad, la plataforma sola no le basta frente a un cuestionamiento técnico.
Un perito con cadena de custodia documentada aporta algo que la plataforma no aporta: una foto técnica del documento en un instante concreto, con hashes reproducibles, contexto de red registrado y metodología declarada. Esa foto permite argumentar en sala “este documento, el día X a las Y horas, tenía este contenido y esta huella SHA-256”, afirmación que resiste contra-peritaje porque es reproducible por cualquier otro técnico.
Conviene recordar que una plataforma pública puede retirar, modificar o reestructurar contenido. Preservar antes de impugnar no es desconfianza: es diligencia debida. El informe pericial no decide el procedimiento; ofrece al abogado una base técnicamente defendible para argumentar integridad, manipulación o fijación temporal. Si la integridad de un documento público es crítica para tu caso, preserva antes de que el documento cambie de estado.
Outcome factual
Entre 72 y 96 horas laborables desde la firma del encargo, se entregaron al cliente los siguientes artefactos:
Paquete de evidencias estructurado en 5 carpetas numeradas con un total de 45 ficheros (los 5 PDFs originales, capturas HAR y PNG de la sesión, logs de descarga, cadenas TLS, registros DNS, WHOIS, metadatos XMP y script de verificación reproducible).
Informe pericial formal en PDF, con identificación del perito, declaración de independencia, metodología aplicada, hallazgos técnicos, anexos y conclusiones.
Acta de cadena de custodia con manifiesto SHA-256 de cada evidencia y del paquete consolidado.
Disponibilidad para ratificación en sala, si el procedimiento judicial lo requiriera.
El informe se entregó al cliente en la fecha acordada. A partir de ahí, el papel del perito concluye: no interviene en la decisión del procedimiento ni conoce necesariamente su desenlace. La función pericial termina con la emisión del dictamen y, en su caso, con la ratificación en vista oral.
Lecciones
Tres conclusiones operativas que este caso deja y que se pueden aplicar a otros encargos similares.
Primera, técnica. La confianza ciega en la integridad de una plataforma pública no es razonable desde un punto de vista forense. Las plataformas están diseñadas para transparencia, no para preservación probatoria. Si la integridad de un documento publicado es crítica para tu caso, fíjala con peritaje; no asumas que la plataforma lo hace por ti.
Segunda, procedimental. El tiempo importa. Las administraciones públicas pueden retirar, modificar o reestructurar documentación publicada por razones legítimas (actualización de pliegos, corrección de errores, ejecución de resoluciones administrativas). Si sospechas que un expediente puede cambiar de estado, preserva antes de impugnar, no después.
Tercera, metodológica. Un “informe de preservación” sin cadena de custodia formal, sin hashes reproducibles y sin contexto técnico documentado es texto con membrete, no prueba pericial. El trabajo técnico visible de 5 minutos —abrir la web, descargar los PDFs— no sustituye a la traza documental de 5 horas que permite defender el informe ante contra-peritaje.
Servicio relacionado
Preservación forense de evidencia web
Este caso forma parte de nuestro servicio de preservación forense de evidencia web: captura técnica de páginas públicas, redes sociales y documentos online con valor probatorio, aplicando UNE 71506:2013 e ISO/IEC 27037:2012.
Desde 500€ + IVA · Consulta confidencial sin compromiso.
¿Sirve una captura de pantalla como prueba en juicio?
Sirve como indicio, pero es fácilmente impugnable. Una captura de pantalla carece de contexto técnico, no demuestra origen ni fecha y no incluye hash ni cadena de custodia. En un procedimiento donde la otra parte niegue la autenticidad, la captura sola rara vez soporta la impugnación. Un peritaje informático con metodología UNE 71506 e ISO/IEC 27037 aporta lo que a la captura le falta: reproducibilidad y trazabilidad documental.
¿Cuánto cuesta preservar forensemente una URL?
Nuestro servicio de preservación forense de evidencia web parte desde 500€ + IVA para una URL simple con informe pericial completo, hashes SHA-256, cadena de custodia y disponibilidad para ratificación. El precio final depende del número de documentos, de la complejidad del contexto técnico (autenticación, contenido dinámico, redes sociales) y de la urgencia. Se facilita presupuesto cerrado tras evaluación inicial.
¿Se puede preservar contenido que luego se borra?
Solo si se preservó antes de que se borrara. Una vez retirado de la plataforma de origen, el contenido desaparece y ya no hay nada que preservar con fuerza forense. Por eso la recomendación es intervenir al primer indicio de que un contenido crítico para un caso podría cambiar de estado: redes sociales con posts polémicos, licitaciones públicas en discusión, páginas web con declaraciones relevantes.
¿Qué diferencia hay con un acta notarial?
El acta notarial da fe de lo que el notario ha visto en pantalla: es fuerte en fe pública pero débil en análisis técnico. El peritaje informático aporta análisis técnico profundo (hashes, metadatos, contexto de red, firma digital) pero no fe pública. En casos de alta conflictividad se combinan ambos: el notario da fe del momento de la adquisición y el perito analiza técnicamente la evidencia preservada.
¿Cuánto tarda un peritaje de preservación web?
Una preservación estándar, desde la firma del encargo hasta la entrega del informe pericial, se completa habitualmente entre 72 y 96 horas laborables. Los casos urgentes con contenido en riesgo de desaparición pueden acelerarse a 24-48 horas. Los casos complejos con múltiples URLs, autenticación de usuario o análisis forense profundo de documentos pueden requerir entre una y dos semanas.
Este caso está basado en un peritaje real ejecutado por DigitalPerito.es en el primer trimestre de 2026. Se han anonimizado los datos identificativos del cliente (nombre, razón social, NIF, sector concreto, dirección, partido judicial, fecha exacta del encargo, URL exacta del expediente y precio concreto del servicio). Se mantiene como real la metodología aplicada, las herramientas utilizadas, la normativa de referencia, el hallazgo técnico principal y la cuantificación de evidencias preservadas (5 PDFs, 45 artefactos totales).
Nivel de anonimización aplicado: 2 (generalización). Aprobado por política interna de digitalperito.es con fecha 18 de abril de 2026.
¿Tienes un caso similar?
Cada situación es única. Contacta conmigo para una consulta gratuita y evaluaré cómo puedo ayudarte.
Contacta con nuestros expertos en peritaje forense digital
Este sitio utiliza cookies para mejorar la experiencia del usuario. Al hacer clic en "Aceptar", consiente el uso de todas las cookies. Para más información, consulte nuestra política de cookies.
