Herramientas

ADB (Android Debug Bridge)

Herramienta de línea de comandos de Google que permite comunicación con dispositivos Android. En forense móvil, ADB es fundamental para extracción lógica de datos, capturas de pantalla certificadas, volcado de bases de datos de apps como WhatsApp y obtención de logs del sistema.

10 min de lectura

ADB (Android Debug Bridge)

El 74% de los smartphones en España son Android (StatCounter, enero 2025). En un mercado donde 3 de cada 4 dispositivos involucrados en litigios ejecutan este sistema operativo, ADB es la herramienta de extracción forense más utilizada por peritos informáticos españoles. Gratuita, de código abierto, reproducible y verificable en cualquier tribunal: ADB permite extraer bases de datos WhatsApp, capturas de pantalla certificadas, logs del sistema y backups completos sin necesidad de software comercial de €15,000/año.

Definición técnica

ADB (Android Debug Bridge) es una herramienta de línea de comandos incluida en el Android SDK Platform-Tools de Google que permite la comunicación entre un ordenador y un dispositivo Android. Originalmente diseñada para desarrolladores, su arquitectura transparente y su naturaleza open-source la convierten en instrumento fundamental del peritaje informático forense móvil.

Arquitectura cliente-servidor (tres componentes):

┌─────────────┐     USB/WiFi     ┌─────────────────┐
│  ADB Client │ ◄──────────────► │  ADB Daemon      │
│  (PC perito)│                  │  (adbd en móvil) │
└──────┬──────┘                  └─────────────────┘

┌──────┴──────┐
│  ADB Server │
│  (puerto    │
│   5037 PC)  │
└─────────────┘
  • Client: Ejecuta comandos desde el terminal del perito (Windows, macOS, Linux)
  • Daemon (adbd): Proceso en background del dispositivo Android que recibe y ejecuta comandos
  • Server: Intermediario en el PC que gestiona la comunicación client-daemon

Modos de conexión:

  • USB (recomendado forense): Conexión física directa, más estable y segura
  • WiFi (TCP/IP): Conexión inalámbrica por puerto 5555, no recomendada en contexto forense por falta de control físico del canal

Requisito: El dispositivo debe tener activada la depuración USB (USB Debugging) en las opciones de desarrollador, y el perito debe autorizar la conexión desde el dispositivo.

Descarga oficial

ADB se distribuye gratuitamente como parte del paquete Android SDK Platform-Tools, disponible en developer.android.com/tools/releases/platform-tools. No requiere instalación del Android Studio completo.

ADB en forense móvil: por qué es imprescindible

En el contexto del peritaje informático, ADB ofrece capacidades de extracción lógica que cubren la mayoría de escenarios judiciales sin necesidad de herramientas comerciales:

Extracción lógica vs. física:

CaracterísticaExtracción lógica (ADB)Extracción física (Cellebrite)
Coste herramientaGratuito€15,000-€45,000/año
Datos activosSiSi
Datos borradosNoSi (parcial)
Requiere rootNo (mayoría casos)Frecuentemente
ReproducibilidadTotal (open-source)Limitada (propietario)
Aceptación judicialAlta (verificable)Alta (certificado)

Capacidades forenses clave de ADB:

  • Extracción WhatsApp: Base de datos msgstore.db con todos los mensajes, multimedia y metadatos
  • Backup apps: Volcado completo de datos de aplicaciones instaladas
  • Capturas de pantalla: Screenshots con timestamp para documentación forense
  • Logs del sistema: Registros de actividad, errores, conexiones de red, eventos de seguridad
  • Listado apps: Inventario completo de aplicaciones instaladas con versiones
  • Bug report: Informe diagnóstico completo del estado del dispositivo

Comandos ADB esenciales para peritos

A continuación, los comandos que todo perito informático forense debe dominar para extracción Android:

Conexión y verificación

# Verificar dispositivos conectados
adb devices -l
# Salida esperada:
# List of devices attached
# RFXXXXXXXX device usb:1-1 product:starqlte model:SM_G960F

# Estado del dispositivo
adb get-state
# Salida: device | offline | unauthorized

Extracción de archivos

# Extraer archivo específico del dispositivo al PC
adb pull /sdcard/WhatsApp/Databases/msgstore.db ./evidencia/

# Extraer directorio completo
adb pull /sdcard/DCIM/Camera/ ./evidencia/fotos/

# Extraer con preservación de timestamps
adb pull -a /sdcard/Download/ ./evidencia/descargas/

Backup y volcado de datos

# Backup completo de datos de aplicación (sin APK)
adb backup -f whatsapp_backup.ab -noapk com.whatsapp

# Backup de todas las apps del usuario
adb backup -f full_backup.ab -all -noapk

# Listar todas las aplicaciones instaladas
adb shell pm list packages -f

Logs y diagnóstico

# Capturar logs del sistema en tiempo real
adb logcat -d > logcat_evidencia.txt

# Bug report completo (estado del sistema)
adb bugreport ./evidencia/bugreport.zip

# Información de servicio específico
adb shell dumpsys battery    # Estado batería
adb shell dumpsys wifi       # Conexiones WiFi
adb shell dumpsys location   # Servicios ubicación
adb shell dumpsys activity   # Actividad reciente apps

Capturas de pantalla forenses

# Captura de pantalla
adb shell screencap /sdcard/screenshot.png
adb pull /sdcard/screenshot.png ./evidencia/

# Grabación de pantalla (máximo 3 minutos)
adb shell screenrecord /sdcard/grabacion.mp4
adb pull /sdcard/grabacion.mp4 ./evidencia/
Documentar siempre

Cada comando ADB ejecutado debe registrarse con fecha, hora y hash SHA-256 de los archivos extraídos. Esta documentación forma parte de la cadena de custodia digital y es imprescindible para la validez judicial de la evidencia.

Extracción forense WhatsApp vía ADB

La extracción de conversaciones WhatsApp es una de las solicitudes más frecuentes en peritaje informático en España. El proceso mediante ADB sigue un protocolo estricto:

  1. Preparación del entorno forense

    Documentar estado inicial del dispositivo: modelo, IMEI, versión Android, nivel batería. Calcular hash SHA-256 del almacenamiento antes de cualquier operación.

    adb shell getprop ro.product.model
adb shell getprop ro.serialno
adb shell getprop ro.build.version.release

  2. Activar depuración USB y autorizar dispositivo

    El propietario del dispositivo (o la autoridad judicial) debe activar las opciones de desarrollador y la depuración USB. Al conectar por USB, el dispositivo solicita autorización que debe aceptarse.

    adb devices
# Verificar que aparece como "device" (no "unauthorized")

  3. Localizar bases de datos WhatsApp

    # Base de datos mensajes (dispositivo sin root)
adb shell ls -la /sdcard/WhatsApp/Databases/
# Archivos típicos:
#   msgstore.db.crypt14  (actual, cifrada)
#   msgstore-2026-02-10.1.db.crypt14  (backup diario)

# Multimedia WhatsApp
adb shell ls -la /sdcard/WhatsApp/Media/

  4. Extraer archivos con verificación hash

    # Extraer base de datos
adb pull /sdcard/WhatsApp/Databases/ ./evidencia/whatsapp_db/

# Calcular hash SHA-256 inmediatamente
sha256sum ./evidencia/whatsapp_db/msgstore.db.crypt14
# Registrar: e3b0c44298fc1c149afb...  (ejemplo)

  5. Documentar cadena de custodia

    Registrar en acta: fecha/hora extracción, comandos ejecutados, hashes SHA-256 de cada archivo extraído, persona que realizó la extracción, testigos presentes.

Nota sobre cifrado WhatsApp

Desde WhatsApp versión 2.12.556+, las bases de datos locales utilizan cifrado crypt12/crypt14/crypt15. Para descifrar se necesita el archivo de clave almacenado en /data/data/com.whatsapp/files/key, accesible solo con permisos root o mediante backup ADB autorizado.

Limitaciones y requisitos

ADB es una herramienta potente, pero presenta limitaciones que el perito debe conocer:

Requisitos obligatorios:

  • Depuración USB activada: Sin este ajuste habilitado, ADB no puede comunicar con el dispositivo
  • Dispositivo desbloqueado: Se necesita acceso a la pantalla para autorizar la conexión ADB
  • Driver USB: En Windows, puede requerir drivers específicos del fabricante

Limitaciones técnicas:

  • No recupera datos borrados: ADB solo accede a datos activos del filesystem, no realiza carving de datos eliminados
  • Restricciones Android 12+: Google implementó restricciones adicionales en adb backup que limitan qué apps permiten volcado de datos (atributo android:allowBackup="false")
  • Cifrado FBE: File-Based Encryption (Android 7+) cifra datos de apps individualmente, limitando acceso sin credenciales del dispositivo
  • Datos root-only: Bases de datos internas de muchas apps (incluyendo la clave de descifrado de WhatsApp) requieren privilegios root
  • Scoped Storage (Android 10+): Restringe acceso a archivos de otras aplicaciones desde almacenamiento compartido

Restricciones Android 12+ sobre adb backup:

Android 12 (API 31+):
  - adb backup DESHABILITADO por defecto en apps nuevas
  - targetSdkVersion 31+ → allowBackup="false" por defecto
  - Solo apps que explícitamente declaran allowBackup="true" permiten volcado
  - WhatsApp, Signal, Telegram: backup ADB bloqueado en versiones recientes

ADB vs herramientas comerciales

La elección entre ADB y herramientas comerciales depende del caso, presupuesto y tipo de evidencia necesaria:

CriterioADBCellebrite UFEDOxygen ForensicsMSAB XRY
CosteGratuito€15,000-45,000/año€8,000-15,000/año€10,000-20,000/año
Extracción lógicaSiSiSiSi
Extracción físicaNoSiParcialSi
Datos borradosNoSiParcialSi
Bypass bloqueoNoSi (modelos)NoParcial
Open-sourceSiNoNoNo
ReproducibilidadTotalLimitadaLimitadaLimitada
Informes automáticosNoSiSiSi

Cuándo usar ADB:

  • Presupuesto limitado o peritaje de parte
  • Dispositivo desbloqueado con depuración USB activa
  • Extracción de datos activos (no borrados)
  • Necesidad de metodología 100% reproducible y verificable
  • Peritajes donde la transparencia del proceso es crítica

Cuándo usar herramientas comerciales:

  • Dispositivo bloqueado o con patrón desconocido
  • Necesidad de recuperar datos borrados
  • Extracción física bit-a-bit requerida
  • Casos complejos con múltiples dispositivos
  • Informes automatizados para presentación judicial

Caso práctico: extracción WhatsApp en conflicto laboral

Nota: El siguiente caso es un ejemplo compuesto y anonimizado basado en tipologías reales de peritaje informático. No representa un caso específico real.

Contexto: Un empleado fue despedido por supuesta filtración de información confidencial a competidor. La empresa aportó capturas de pantalla de WhatsApp, pero el empleado alegó que eran falsificadas.

Proceso forense con ADB:

  1. Solicitud judicial: El juzgado ordenó peritaje del Samsung Galaxy A54 del empleado
  2. Conexión ADB: Dispositivo desbloqueado, depuración USB activada con consentimiento del titular
  3. Extracción: adb pull de la base de datos WhatsApp cifrada + multimedia + logs del sistema
  4. Verificación hash: SHA-256 calculado en el momento de la extracción y documentado en acta
  5. Análisis: Descifrado de msgstore.db.crypt14 con clave autorizada, verificación de metadatos (timestamps, IDs mensaje, estado entrega)
  6. Resultado: Los mensajes reales no coincidían con las capturas presentadas por la empresa. Las capturas habían sido manipuladas con edición de HTML en WhatsApp Web

Conclusión pericial: Las conversaciones extraídas vía ADB demostraron que el empleado nunca envió la información confidencial alegada. El despido fue declarado improcedente.

Validez judicial de extracciones ADB

La naturaleza open-source de ADB supone una ventaja probatoria, no un inconveniente. Los tribunales españoles valoran la reproducibilidad y transparencia del proceso:

Ventajas probatorias:

  • Reproducibilidad total: Cualquier perito puede replicar exactamente el mismo proceso con los mismos comandos
  • Código fuente auditable: El código de ADB es público en el repositorio AOSP (Android Open Source Project), permitiendo verificación independiente
  • Sin caja negra: A diferencia de herramientas comerciales, no hay algoritmos propietarios ocultos que puedan cuestionarse en sala
  • Estándar de la industria: ADB forma parte del SDK oficial de Google, utilizado por millones de desarrolladores

Cumplimiento normativo:

  • ISO/IEC 27037:2012: Directrices para identificación, recolección, adquisición y preservación de evidencia digital. ADB cumple los requisitos de adquisición lógica cuando se documenta correctamente
  • NIST SP 800-101 Rev. 1: Guía del National Institute of Standards and Technology para forense de dispositivos móviles, que reconoce ADB como método válido de extracción lógica
  • UNE 71506:2013: Metodología para el análisis forense de evidencias electrónicas, aplicable al uso de ADB con documentación adecuada de cadena de custodia

Requisitos para validez judicial:

  • Documentar cada comando ejecutado con timestamp
  • Calcular y registrar hash SHA-256 de cada archivo extraído
  • Mantener cadena de custodia ininterrumpida
  • Trabajar siempre sobre copias, preservando la evidencia original
  • Incluir en el informe pericial la versión de ADB utilizada y el procedimiento completo

Preguntas frecuentes

¿Es admisible en juicio una extracción realizada con ADB?

Si. Las extracciones ADB son plenamente admisibles en tribunales españoles siempre que se documente correctamente la cadena de custodia, se calculen hashes de verificación y el perito pueda explicar el proceso en sala. La naturaleza open-source de ADB refuerza la transparencia del método.

¿Puede ADB recuperar mensajes de WhatsApp borrados?

No directamente. ADB realiza extracción lógica de datos activos del filesystem. Para recuperar mensajes borrados se necesitan herramientas de extracción física (como Cellebrite UFED) o técnicas de carving sobre imágenes forenses del almacenamiento. Sin embargo, WhatsApp mantiene backups locales diarios que pueden contener mensajes borrados recientemente.

¿Funciona ADB en un teléfono bloqueado?

No en la mayoría de casos. ADB requiere que la depuración USB esté activada y que la conexión sea autorizada desde la pantalla del dispositivo. Si el dispositivo está bloqueado con PIN/patrón/biometría y la depuración USB no fue habilitada previamente, ADB no podrá establecer conexión.

¿ADB modifica los datos del dispositivo durante la extracción?

La extracción mediante adb pull es una operación de solo lectura que copia archivos sin modificar los originales. Sin embargo, la propia conexión ADB genera entradas en los logs del sistema. Por eso es fundamental documentar el hash del dispositivo antes y después de la extracción, y reflejar esta circunstancia en el informe pericial.

¿Qué diferencia hay entre ADB y Cellebrite para un juicio?

Ambas herramientas son admisibles. ADB ofrece transparencia total (código abierto, reproducible), mientras que Cellebrite proporciona capacidades superiores (extracción física, datos borrados, bypass de bloqueo). En la práctica, muchos peritos combinan ambas: ADB para extracción lógica inicial documentada, y Cellebrite para recuperación de datos eliminados cuando el caso lo requiere.

Referencias y fuentes

  1. Android Developers - “Android Debug Bridge (adb)”, documentación oficial SDK Platform-Tools. developer.android.com/tools/adb

  2. StatCounter Global Stats - “Mobile Operating System Market Share Spain”, enero 2025. gs.statcounter.com/os-market-share/mobile/spain

  3. NIST SP 800-101 Rev. 1 - “Guidelines on Mobile Device Forensics”, R. Ayers, S. Brothers, W. Jansen, National Institute of Standards and Technology, 2014. nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-101r1.pdf

  4. ISO/IEC 27037:2012 - “Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence”. iso.org/standard/44381.html

  5. SWGDE - “Best Practices for Mobile Device Evidence Collection & Preservation”, Scientific Working Group on Digital Evidence, 2021. swgde.org/documents

  6. Android Open Source Project (AOSP) - Código fuente ADB. android.googlesource.com/platform/packages/modules/adb

  7. UNE 71506:2013 - “Tecnologías de la Información (TI). Metodología para el análisis forense de las evidencias electrónicas”, AENOR. une.org

  8. Google Security Blog - “Improvements to Android backup and restore”, descripción de cambios en adb backup para Android 12+. security.googleblog.com

  9. Cellebrite - “UFED Product Overview”, comparativa capacidades extracción lógica vs física. cellebrite.com/en/ufed/

  10. Simson Garfinkel - “Digital Forensics Research: The Next 10 Years”, Digital Investigation, Vol. 7, 2010. Referencia académica sobre metodologías forenses abiertas vs propietarias. doi.org/10.1016/j.diin.2010.05.009

  11. INCIBE - “Guía de gestión de incidentes de seguridad”, Instituto Nacional de Ciberseguridad de España. incibe.es/protege-tu-empresa/guias

  12. Consejo General del Poder Judicial - “Guía de buenas prácticas para el tratamiento de la prueba electrónica”, CGPJ. poderjudicial.es

¿Necesitas un peritaje forense?

Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.

Solicitar Consulta Gratuita
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp