Preservación Silenciosa
Técnica forense que permite adquirir y preservar evidencia digital de forma encubierta, sin que el usuario investigado sea consciente de la recolección, manteniendo la validez judicial.
¿Qué es la Preservación Silenciosa?
La preservación silenciosa es una técnica de adquisición forense que permite recoger evidencia digital sin alertar al sujeto investigado. Es fundamental en investigaciones internas donde existe riesgo de que el sospechoso destruya pruebas si descubre que está siendo investigado.
En mi experiencia como perito informático forense, esta técnica es crítica en casos de fraude interno, fuga de información o competencia desleal. El empleado que sabe que está siendo investigado puede formatear su equipo, borrar correos o eliminar archivos comprometedores en cuestión de minutos.
Equilibrio Delicado
La preservación silenciosa camina en la cuerda floja entre la eficacia investigativa y los derechos del trabajador. Un error en los límites legales puede invalidar toda la investigación y generar responsabilidades para la empresa.
Cuándo Se Utiliza
Escenarios Típicos
| Escenario | Riesgo sin Preservación Silenciosa |
|---|---|
| Fraude interno | El empleado elimina facturas falsas |
| Fuga de información | Borrado de correos a competidor |
| Acoso laboral digital | Eliminación de mensajes intimidatorios |
| Uso indebido de recursos | Formateo de historial de navegación |
| Competencia desleal | Destrucción de base de datos clonada |
Indicadores que Sugieren Preservación Silenciosa
En mi práctica profesional, recomiendo esta técnica cuando:
- Hay sospechas fundadas pero no certezas sobre el comportamiento
- El sospechoso tiene conocimientos técnicos para destruir evidencia
- La información comprometida es fácilmente eliminable (emails, documentos)
- Existe riesgo de alertar a cómplices si se actúa abiertamente
- La investigación afecta a un empleado en activo que mantiene acceso
Marco Legal en España
Sentencia del Tribunal Constitucional
El TC ha establecido que el empresario puede monitorizar el uso de medios informáticos de la empresa siempre que exista una política de uso conocida por los trabajadores y la monitorización sea proporcionada al fin perseguido.
Equipos Corporativos
El empresario tiene facultades de control sobre equipos de su propiedad:
Requisitos para legitimidad:
- Política de uso de medios informáticos comunicada
- Advertencia de posibilidad de monitorización
- Proporcionalidad de la medida
- Finalidad legítima (proteger intereses empresariales)
Jurisprudencia relevante:
- STC 170/2013: Validez de control del correo corporativo
- STS 2016: Límites de la monitorización empresarial
- STEDH Barbulescu: Necesidad de información previa
Dispositivos Personales
Si el empleado usa dispositivos propios (BYOD), los límites son más estrictos:
- Requiere consentimiento explícito o autorización judicial
- Solo se puede acceder a datos corporativos, no personales
- Mayor exigencia de proporcionalidad
Comunicaciones Privadas
Línea Roja
Interceptar comunicaciones privadas (WhatsApp personal, correo privado) sin autorización judicial constituye delito del artículo 197 CP, independientemente de que se realice en equipos corporativos.
Técnicas de Preservación Silenciosa
Adquisición desde servidor central: Exportar correos electrónicos desde Exchange/O365 sin tocar el equipo del usuario. Los administradores tienen acceso legítimo a estos sistemas.
Copia de shadow copies: Windows guarda copias automáticas de archivos. Se pueden extraer remotamente sin que el usuario perciba actividad inusual.
Análisis de logs centralizados: SIEM, proxy, firewall almacenan registros de actividad que no están en el equipo del usuario.
Backup corporativo: Los sistemas de backup contienen copias históricas de archivos que el usuario puede haber eliminado de su equipo.
Imagen forense remota: Herramientas como EnCase Enterprise permiten adquirir imágenes de disco a través de la red, aparentando tráfico normal de gestión.
Monitorización de red: Captura de tráfico desde el perímetro, sin instalar nada en el equipo sospechoso.
Metodología de Trabajo
Fase 1: Evaluación Legal
Antes de iniciar cualquier adquisición silenciosa, verifico con el cliente:
Checklist legal previo:
├── ¿Existe política de uso de medios informáticos?
├── ¿El empleado firmó conocimiento de la política?
├── ¿La política menciona posibilidad de monitorización?
├── ¿Los equipos son propiedad de la empresa?
├── ¿Se buscan datos corporativos o personales?
├── ¿Hay comunicaciones privadas involucradas?
└── ¿Es proporcional la medida al fin perseguido?Fase 2: Planificación de Adquisición
Identifico qué fuentes de evidencia puedo obtener legítimamente:
| Fuente | Método de Acceso | Visibilidad para Usuario |
|---|---|---|
| Correo Exchange/O365 | eDiscovery admin | Ninguna |
| Archivos en servidor | Copia directa | Ninguna |
| Logs de proxy | Exportación SIEM | Ninguna |
| Backup corporativo | Restauración aislada | Ninguna |
| Equipo de usuario | Imagen remota nocturna | Mínima |
Fase 3: Ejecución
La adquisición se realiza preferentemente:
- Fuera del horario laboral para minimizar impacto
- Desde sistemas centrales siempre que sea posible
- Con documentación exhaustiva de cada paso
- Generando hashes de toda la evidencia adquirida
Fase 4: Análisis y Decisión
Con la evidencia preservada, se puede:
- Continuar la investigación con más profundidad
- Proceder a intervención abierta si hay indicios claros
- Descartar sospechas si no hay evidencia incriminatoria
Caso Práctico: Investigación de Fuga de Información
Escenario Real Anonimizado
Una consultora tecnológica de Madrid sospechaba que un gerente de proyectos estaba filtrando propuestas comerciales a un competidor. Necesitaban evidencia antes de confrontarlo.
Preservación Silenciosa Ejecutada
Día 1: Análisis de correo corporativo
- Acceso mediante eDiscovery de O365 con credenciales de administrador
- Exportación de buzón completo del sospechoso
- Hash SHA-256 del archivo PST resultante
- Resultado: 47 correos a dirección personal del empleado con adjuntos sospechosos
Día 2: Logs de proxy
- Exportación de registros de navegación del proxy corporativo
- Filtrado por IP del equipo del sospechoso
- Resultado: Múltiples accesos a WeTransfer con uploads en horario laboral
Día 3: Backup corporativo
- Restauración de carpetas del usuario desde backup de hace 60 días
- Comparación con estado actual del servidor
- Resultado: 23 archivos de propuestas eliminados del servidor, presentes en backup
Día 4: Imagen forense del portátil
- Adquisición remota mediante EnCase Enterprise a las 02:00
- El equipo estaba apagado; programada para siguiente encendido
- Resultado: Imagen completa, encontradas las propuestas en papelera y cliente de Dropbox personal
Evidencias Obtenidas
Sin que el empleado sospechara, se obtuvo:
- Correos enviando documentos confidenciales a email personal
- Logs de subida de archivos a servicios cloud externos
- Archivos eliminados del servidor pero presentes en backup
- Copia de documentos en cliente de Dropbox personal
Resultado
Con la evidencia preservada, la empresa procedió a:
- Despido disciplinario procedente
- Denuncia por revelación de secretos empresariales
- Demanda civil por daños y perjuicios
Herramientas Utilizadas
Adquisición Remota
| Herramienta | Uso | Características |
|---|---|---|
| EnCase Enterprise | Imagen forense remota | Agente silencioso |
| FTK Enterprise | Adquisición centralizada | Bajo impacto |
| Velociraptor | Hunting y adquisición | Open source |
| Cyber Triage | Triage rápido remoto | Cloud-enabled |
Análisis de Correo
| Herramienta | Uso |
|---|---|
| O365 eDiscovery | Búsqueda y exportación |
| Exchange Admin | Acceso a buzones |
| MailXaminer | Análisis forense de PST |
Documentación para Validez Judicial
Clave para el Éxito
La preservación silenciosa solo tiene valor si se documenta meticulosamente. El informe pericial debe demostrar que se respetaron los límites legales y se mantuvo la cadena de custodia en todo momento.
El informe debe incluir:
- Justificación legal de la legitimidad del acceso
- Política de uso que ampara la monitorización
- Metodología empleada paso a paso
- Cadena de custodia con hashes de toda la evidencia
- Conclusiones vinculando la evidencia con los hechos investigados
Limitaciones Éticas y Legales
Lo que SÍ se puede hacer
- Acceder a correo corporativo con advertencia previa en política
- Revisar documentos en servidores de la empresa
- Analizar logs de sistemas corporativos
- Copiar equipos propiedad de la empresa
Lo que NO se puede hacer
- Interceptar comunicaciones privadas sin orden judicial
- Acceder a dispositivos personales sin consentimiento
- Instalar keyloggers o software espía encubierto
- Grabar conversaciones sin conocimiento
Conclusión
La preservación silenciosa es una técnica forense legítima y necesaria en investigaciones internas, pero requiere un conocimiento preciso de los límites legales para no invalidar la evidencia ni generar responsabilidades.
Como perito informático, mi labor incluye asesorar sobre qué se puede y qué no se puede hacer, ejecutar la adquisición con las máximas garantías técnicas, y documentar todo el proceso para su uso en procedimientos judiciales o disciplinarios.
¿Sospechas de comportamiento irregular de un empleado y necesitas evidencia antes de actuar? Contacta con Digital Perito para una evaluación confidencial de las opciones de investigación.
Última actualización: 3 de febrero de 2026 Categoría: Forense Digital Código: PSI-001
Preguntas Frecuentes
¿Es legal recoger pruebas de un empleado sin que lo sepa?
En España, el empresario puede monitorizar equipos corporativos si existe política de uso conocida por el empleado y proporcionalidad. Para dispositivos personales o comunicaciones privadas se requiere autorización judicial. Un perito puede asesorar sobre los límites legales.
¿Cómo se preserva evidencia sin que el usuario lo detecte?
Mediante técnicas de adquisición remota, copias de shadow copies, exportación de logs desde servidores centrales, o acceso a backups. El perito utiliza métodos que no dejan rastro visible en el equipo del usuario pero mantienen la cadena de custodia.
¿Se puede usar en juicio evidencia obtenida de forma silenciosa?
Sí, siempre que se respeten los límites legales de la investigación empresarial, se documente la metodología empleada y se mantenga la cadena de custodia. La clave está en la proporcionalidad y en no vulnerar derechos fundamentales.
Términos Relacionados
Cadena de Custodia
Procedimiento documentado que garantiza la integridad, autenticidad y trazabilidad de la evidencia digital desde su recolección hasta su presentación en juicio.
Imagen Forense
Copia exacta bit a bit de un dispositivo de almacenamiento que preserva toda la información original, incluyendo archivos borrados y espacio no asignado, para su análisis forense.
Evidencia Digital
Cualquier información almacenada o transmitida en formato digital que puede ser utilizada como prueba en un procedimiento judicial o investigación.
Análisis Forense Digital
Proceso científico de identificación, preservación, análisis y presentación de evidencia digital en procedimientos legales.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita