WhatsApp Business Forense
Analisis pericial de la aplicacion WhatsApp Business y su API Cloud, incluyendo la extraccion de mensajes automaticos, etiquetas comerciales, catalogos de productos y comunicaciones multioperador con valor probatorio en procedimientos judiciales.
Definicion en 30 segundos
WhatsApp Business Forense es el análisis pericial especializado en la versión empresarial de WhatsApp, que incluye datos exclusivos no presentes en la versión personal: etiquetas comerciales, mensajes automáticos, catálogos de productos, estadisticas de mensajeria y atribucion multioperador. La extracción forense opera sobre msgstore-wa.db (diferente de msgstore.db personal) y, en el caso de la API Cloud, sobre webhooks, CRMs y logs del Business Manager. Es clave en procedimientos laborales, mercantiles y de consumidores.
| Dato clave | Valor |
|---|---|
| Base de datos | msgstore-wa.db (Business app) / API Cloud (servidores Meta) |
| Datos exclusivos | Etiquetas, respuestas rapidas, catálogo, horario, estadisticas |
| Empresas usando WhatsApp Business en España | Más de 5 millones (2025) |
| LSSI art. 24 aplicable | Si (comunicaciones comerciales electrónicas) |
| ET art. 3 bis aplicable | Si (derechos digitales laborales) |
| Coste peritaje tipico | 800-2.500 euros |
El despido improcedente que se probo con las etiquetas de WhatsApp Business
Soy Jonathan Izquierdo, perito informático forense, y cada vez recibo más solicitudes de peritaje sobre WhatsApp Business. En un caso reciente, un trabajador fue despedido por supuesta falta de atención a clientes. La empresa presento capturas de pantalla de su CRM mostrando clientes sin respuesta. El análisis forense de la app WhatsApp Business del móvil corporativo revelo algo diferente: las etiquetas internas mostraban que los clientes habian sido reasignados a otro operador por decisión de la empresa 48 horas antes del despido. Las etiquetas, las respuestas automáticas configuradas y los timestamps de reasignacion contaban una historia muy distinta a la de las capturas.
WhatsApp Business no es simplemente WhatsApp con un logo verde diferente. Contiene estructuras de datos empresariales que son evidencia forense de primer orden en conflictos laborales, mercantiles y de consumidores. Sin embargo, muchos peritos y abogados lo tratan cómo si fuera WhatsApp personal, perdiendo información probatoria crítica.
Diferencias entre WhatsApp personal y WhatsApp Business
Tabla comparativa completa (15 criterios)
| Criterio | WhatsApp Personal | WhatsApp Business App | WhatsApp Business API Cloud |
|---|---|---|---|
| Base de datos | msgstore.db | msgstore-wa.db | No hay BD local (servidores Meta) |
| Etiquetas de chat | No | Si (hasta 20 personalizadas) | Si (via CRM) |
| Respuestas rapidas | No | Si (accesos directos) | Si (templates aprobados) |
| Mensaje de bienvenida | No | Si (configurable) | Si (templates) |
| Mensaje de ausencia | No | Si (con horario) | Si (automático) |
| Catálogo de productos | No | Si (hasta 500 productos) | Si (via Commerce Manager) |
| Perfil de empresa | No | Si (dirección, web, email, horario) | Si (verificado) |
| Estadisticas mensajeria | No | Si (enviados, entregados, leidos) | Si (detalladas via API) |
| Multioperador | No | No (1 número = 1 dispositivo) | Si (multiples agentes) |
| Integracion CRM | No | No (manual) | Si (Salesforce, HubSpot, etc.) |
| Webhooks | No | No | Si (eventos en tiempo real) |
| Identificación de agente | No aplica | No (1 operador) | Si (cada mensaje tiene agent_id) |
| Coste | Gratuito | Gratuito | Pago (por conversacion) |
| Extracción forense | Cellebrite/Oxygen | Cellebrite/Oxygen (adaptado) | Logs API + CRM + webhooks |
| Valor probatorio | Alto (con peritaje) | Alto (con peritaje) | Medio-alto (requiere trazabilidad) |
Datos exclusivos de WhatsApp Business con valor probatorio
1. Etiquetas comerciales
WhatsApp Business permite asignar etiquetas de color a cada conversacion (hasta 20 etiquetas personalizadas). Estas etiquetas se almacenan en la tabla labels de la base de datos y registran:
- Nombre de la etiqueta
- Color asignado
- Timestamp de asignación
- Chat al que se asigno
Valor probatorio: Las etiquetas documentan como la empresa clasificaba internamente al cliente/empleado. En conflictos laborales, una etiqueta “Expediente abierto” asignada semanas antes del despido puede ser relevante.
2. Respuestas rapidas
Accesos directos predefinidos que el operador puede enviar con un atajo. Se almacenan en la tabla quick_replies:
- Texto completo de la respuesta
- Atajo de teclado
- Timestamp de creación y última modificación
- Frecuencia de uso
Valor probatorio: Demuestra que la empresa tenia respuestas estandarizadas, lo que puede ser relevante en reclamaciones de consumidores (información proporcionada) o en conflictos laborales (instrucciones al trabajador).
3. Mensajes automáticos (bienvenida y ausencia)
Mensajes configurados para envio automático cuando un cliente contacta por primera vez o fuera de horario:
- Texto del mensaje automático
- Horario de activacion
- Destinatarios (todos, contactos nuevos, seleccionados)
- Timestamp de configuración
Valor probatorio: Acredita que información recibio el cliente al contactar con la empresa. Relevante en LSSI y normativa de consumidores.
4. Catálogo de productos
Lista de productos/servicios con nombre, descripción, precio e imagen:
- Hasta 500 items
- Historial de modificaciones
- Precios mostrados al cliente
Valor probatorio: Acredita precios publicitados, descripciones de productos y condiciones comerciales en reclamaciones de consumidores.
5. Estadisticas de mensajeria
WhatsApp Business mantiene contadores agregados:
- Mensajes enviados
- Mensajes entregados
- Mensajes leidos
Valor probatorio: Permite acreditar si la empresa respondio a los clientes (o si los ignoro, cómo se alegaba en un despido).
Estructura técnica de msgstore-wa.db
Tablas exclusivas de WhatsApp Business
| Tabla | Contenido | Relevancia forense |
|---|---|---|
| labels | Etiquetas comerciales (nombre, color, IDs) | Clasificación interna de clientes/empleados |
| label_jid_map | Relación etiqueta-chat | Que etiqueta tiene cada conversacion |
| quick_replies | Respuestas rapidas predefinidas | Instrucciones estandarizadas al operador |
| business_profile | Perfil de empresa (dirección, web, horario) | Datos públicos ofrecidos al cliente |
| catalog | Productos del catálogo | Precios y condiciones publicitadas |
| catalog_items | Items individuales del catálogo | Descripción, precio, disponibilidad |
| business_hours | Horario de atención configurado | Cuando la empresa dice estar disponible |
| greeting_message | Mensaje de bienvenida | Información proporcionada al primer contacto |
| away_message | Mensaje de ausencia | Información proporcionada fuera de horario |
| statistics | Contadores de mensajeria | Volumen de comunicaciones |
Tablas compartidas con WhatsApp personal
Las tablas messages, chat_list, message_media, group_participants, receipts y call_log existen también en WhatsApp personal. La estructura es similar pero msgstore-wa.db incluye campos adicionales en messages cómo business_action_type y business_message_type que identifican mensajes automáticos vs manuales.
Extracción forense de WhatsApp Business App
Adquisición del dispositivo móvil corporativo
Recepción del smartphone con documentación del estado inicial. Se fotografía el dispositivo, se documenta modelo, IMEI y estado de la pantalla. Si es móvil de empresa, se requiere autorización del representante legal.
Extracción forense con herramientas certificadas
Cellebrite UFED u Oxygen Forensics realizan la extracción. Es fundamental seleccionar el perfil de WhatsApp Business (no WhatsApp personal) para que el parser interprete correctamente msgstore-wa.db y las tablas exclusivas.
Cálculo de hash SHA-256
Se calcula hash de msgstore-wa.db, wa.db y de los archivos multimedia del directorio WhatsApp Business.
Análisis de tablas exclusivas Business
Además del análisis estandar de mensajes, se extraen y documentan: etiquetas asignadas a cada chat, respuestas rapidas configuradas, mensajes automáticos, catálogo de productos y estadisticas de mensajeria.
Correlación temporal
Se cruzan timestamps de etiquetas, mensajes automáticos y mensajes manuales para reconstruir la cronología completa de la relación comercial o laboral.
Elaboración del informe pericial
Informe con metodología, hallazgos generales (mensajes) y hallazgos específicos de WhatsApp Business (etiquetas, automatismos, catálogo). Se documenta la cadena de custodia y se firma digitalmente.
Extracción forense de WhatsApp Business API Cloud
El reto de la API Cloud
A diferencia de la app, la WhatsApp Business API Cloud no almacena mensajes en un dispositivo local. Los mensajes se procesan en los servidores de Meta y se envian a la empresa via webhooks. Esto plantea retos forenses específicos:
| Reto | Descripción | Solución forense |
|---|---|---|
| No hay dispositivo fisico | Los mensajes no residen en un móvil | Analizar webhooks, CRM y logs |
| Retención de Meta limitada | Meta retiene mensajes solo 30 días | Preservar evidencia del CRM cuanto antes |
| Multiples operadores | Varios agentes responden desde el mismo número | Verificar agent_id en cada mensaje |
| Templates aprobados | Solo se pueden enviar mensajes pre-aprobados | Los templates son evidencia de que la empresa envio |
| Integracion CRM | Mensajes se almacenan en CRM de terceros | Cadena de custodia del CRM |
| Webhooks cómo evidencia | Los eventos llegan cómo HTTP POST al servidor | Logs de webhooks son evidencia forense |
Fuentes de evidencia en API Cloud
1. Logs de webhooks
Cada mensaje entrante y saliente genera un evento webhook que la empresa recibe cómo HTTP POST. El log del servidor web contiene:
- Timestamp del evento
- Tipo de evento (message, status, read)
- Contenido del mensaje
- Remitente (número de teléfono)
- Agent_id (operador que respondio)
2. Base de datos del CRM conectado
Si la empresa usa Salesforce, HubSpot, Zendesk u otro CRM integrado con la API, los mensajes se almacenan en la base de datos del CRM con metadatos adicionales:
- ID del ticket/caso
- Agente asignado
- Tiempo de respuesta
- Notas internas del agente
3. Meta Business Manager
El panel de administración de Meta registra:
- Templates de mensajes aprobados
- Estadisticas de entrega y lectura
- Números de teléfono asociados
- Permisos de operadores
4. Logs del proveedor BSP (Business Solution Provider)
Si la empresa usa un proveedor intermedio (Twilio, MessageBird, 360dialog), este tiene sus propios logs con la trazabilidad completa de cada mensaje.
Metodología de extracción API Cloud
Identificación de la arquitectura
Determinar si la empresa usa API Cloud directa, un BSP, o una plataforma de atención al cliente. Cada configuración tiene diferentes fuentes de evidencia.
Preservación de webhooks
Solicitar al departamento IT de la empresa los logs del servidor que recibe los webhooks. Calcular hash SHA-256 de los archivos de log.
Extracción del CRM
Exportar los registros del CRM con los mensajes de WhatsApp Business, incluyendo metadatos de agente, timestamps y notas internas.
Verificación de trazabilidad
Cruzar los datos del webhook con los del CRM y los del Meta Business Manager. Cada mensaje debe tener un ID único (
wamid) rastreable en las tres fuentes.Atribucion de operador
En configuraciones multioperador, determinar que agente envio cada mensaje. El
agent_iden los logs permite la atribucion individual, fundamental en conflictos laborales.Informe pericial
Documentar la cadena completa: webhook recibido, mensaje almacenado en CRM, agente identificado, timestamp verificado. El informe debe explicar la arquitectura técnica para que el juez entienda la trazabilidad.
Marco legal relevante
LSSI art. 24: comunicaciones comerciales electrónicas
La Ley 34/2002, de servicios de la sociedad de la información (LSSI), en su artículo 24, establece que las comunicaciones comerciales electrónicas deben identificar claramente al remitente e incluir la posibilidad de oponerse a futuras comunicaciones. Los mensajes de WhatsApp Business (especialmente templates de la API) son comunicaciones comerciales electrónicas sujetas a esta normativa.
Implicacion forense: El perito puede acreditar si la empresa cumplio los requisitos del art. 24 LSSI analizando los templates enviados, el consentimiento del destinatario y la inclusión de mecanismo de baja.
Estatuto de los Trabajadores art. 3 bis: derechos digitales laborales
La Ley Orgánica 3/2018 (LOPDGDD), art. 87-91, y el Estatuto de los Trabajadores reconocen derechos digitales de los trabajadores, incluyendo el derecho a la desconexion digital y la intimidad en el uso de dispositivos digitales en el ámbito laboral.
Implicacion forense: Cuando la empresa usa WhatsApp Business para comunicarse con empleados fuera de horario laboral, los mensajes automáticos de horario y los timestamps de las conversaciones pueden acreditar vulneración del derecho a la desconexion digital.
Art. 18 ET: inviolabilidad del trabajador
El registro de dispositivos del trabajador requiere la presencia de un representante de los trabajadores (art. 18 ET). Si la empresa extrae datos del WhatsApp Business del móvil corporativo sin este protocolo, la evidencia puede ser nula.
Escenarios de peritaje más frecuentes
1. Conflictos laborales
| Escenario | Evidencia relevante de WhatsApp Business |
|---|---|
| Despido por falta de atención a clientes | Etiquetas, estadisticas, reasignaciones |
| Acoso laboral via WhatsApp corporativo | Mensajes, horarios de envio, frecuencia |
| Ordenes fuera de horario (desconexion digital) | Timestamps de mensajes, mensajes de ausencia |
| Modificación sustancial de condiciones | Cambios en respuestas rapidas, instrucciones |
| Despido por uso personal del móvil corporativo | Análisis de chats personales vs empresariales |
2. Conflictos mercantiles (B2B)
| Escenario | Evidencia relevante de WhatsApp Business |
|---|---|
| Incumplimiento contractual | Mensajes con compromisos, catálogo con precios |
| Reclamación de pagos | Conversaciones sobre facturas y condiciones |
| Competencia desleal | Mensajes a clientes de la competencia |
| Acuerdos comerciales no formalizados | Conversaciones con acuerdos de precio |
3. Reclamaciones de consumidores
| Escenario | Evidencia relevante de WhatsApp Business |
|---|---|
| Publicidad engañosa | Catálogo con precios/descripciones diferentes a lo entregado |
| Falta de información precontractual | Respuestas rapidas sin información obligatoria |
| Spam comercial | Templates enviados sin consentimiento |
| Reclamación no atendida | Estadisticas de mensajes leidos sin respuesta |
Caso práctico: conflicto laboral con WhatsApp Business multioperador
Nota: Este caso esta basado en una investigación forense real. Los datos han sido anonimizados para proteger la confidencialidad de los afectados, preservando los aspectos técnicos relevantes.
Situación
Una empresa de servicios de atención al cliente despidio a un trabajador por “bajo rendimiento” documentado con capturas de pantalla del CRM que mostraban clientes sin atender. El trabajador alego que la empresa habia reasignado sus clientes a otro operador y que las estadisticas eran falsas.
Análisis forense realizado
- Extracción del móvil corporativo (WhatsApp Business App) con Cellebrite UFED
- Extracción de los logs de la API Cloud (la empresa también usaba API para atención automatizada)
- Análisis de etiquetas: Se identificaron 4 reasignaciones de clientes 48 horas antes del despido
- Análisis de webhooks: Los logs del servidor mostraban que los mensajes de los clientes reasignados ya no llegaban al operador despedido desde la reasignacion
- Cruce CRM: El CRM mostraba “sin respuesta” pero los webhooks demostraban que los mensajes nunca llegaron al operador despedido
Hallazgos clave
| Evidencia | Lo que decia la empresa | Lo que demostro el peritaje |
|---|---|---|
| Clientes sin atender | 12 clientes sin respuesta | 8 de 12 fueron reasignados antes de la queja |
| Rendimiento bajo | Estadisticas CRM negativas | Estadisticas no contaban reasignaciones |
| Etiquetas | No presentaron | ”Reasignado” asignada 48h antes del despido |
| Webhooks | No presentaron | Mensajes dejaron de llegar al operador |
Resultado
El juzgado de lo social declaro el despido improcedente. El informe pericial fue determinante para acreditar que la empresa habia manipulado las metricas de rendimiento reasignando clientes antes del despido y luego presentando las estadisticas cómo si el trabajador hubiera dejado de atenderlos.
Coste del peritaje: 2.200 euros (extracción móvil + análisis API + CRM + informe + ratificación).
Coste del servicio de peritaje WhatsApp Business
| Servicio | Coste | Incluye |
|---|---|---|
| Extracción básica WhatsApp Business App | 800-1.200 euros | Extracción msgstore-wa.db + análisis mensajes + etiquetas + informe |
| Análisis completo Business App | 1.200-1.800 euros | Lo anterior + catálogo + respuestas rapidas + estadisticas + correlación temporal |
| Análisis API Cloud | 1.800-2.500 euros | Webhooks + CRM + Business Manager + atribucion multioperador + informe |
| Análisis mixto (App + API) | 2.000-3.500 euros | Análisis completo de ambas fuentes con cruce de datos |
| Ratificación en juicio | +300-600 euros | Comparecencia ante juzgado social, civil o mercantil |
FAQ
P: WhatsApp Business y WhatsApp personal pueden estar en el mismo teléfono? R: Si. Desde 2022 Android permite tener ambas apps instaladas simultaneamente con números diferentes. Forensicamente son bases de datos independientes (msgstore.db y msgstore-wa.db) que se extraen por separado. Es importante extraer ambas si el móvil es corporativo pero se sospecha uso mixto.
P: La empresa puede borrar los mensajes de WhatsApp Business antes de entregarme el móvil? R: Puede intentarlo, pero la extracción forense permite recuperar mensajes eliminados en muchos casos mediante análisis del freelist de SQLite. Además, si la empresa usa la API Cloud, los logs del servidor y del CRM son fuentes independientes que preservan la evidencia aunque se borren los mensajes del móvil.
P: Un autónomo que usa WhatsApp Business tiene las mismas obligaciones legales que una empresa? R: Si, en lo relativo a la LSSI (comunicaciones comerciales), RGPD/LOPDGDD (protección de datos de clientes) y legislación de consumidores. El análisis forense es igualmente aplicable a la cuenta WhatsApp Business de un autónomo.
P: Se puede saber que operador envio cada mensaje en un número compartido? R: Solo si la empresa usa la API Cloud con configuración multioperador. La app WhatsApp Business estandar es monooperador (1 número = 1 dispositivo). En la API Cloud, cada mensaje tiene un agent_id que identifica al operador. Esta atribucion individual es crucial en conflictos laborales.
P: Cuanto tiempo conserva Meta los mensajes de la API Cloud? R: Meta retiene los mensajes de la API Cloud durante un máximo de 30 días. Pasado ese plazo, la única copia reside en los sistemas de la empresa (webhooks, CRM). Es fundamental preservar la evidencia del lado de la empresa cuanto antes para evitar la pérdida irreversible de datos.
Referencias y fuentes
- WhatsApp LLC. “WhatsApp Business App Features”. Documentación oficial sobre funcionalidades empresariales. business.whatsapp.com
- Meta for Developers. “WhatsApp Business Platform - Cloud API”. Documentación técnica de la API Cloud, webhooks y templates. developers.facebook.com
- Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI). Art. 24 (comunicaciones comerciales). boe.es
- Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD). Arts. 87-91 (derechos digitales en el ámbito laboral). boe.es
- Real Decreto Legislativo 2/2015, de 23 de octubre, Texto Refundido del Estatuto de los Trabajadores. Art. 18 (inviolabilidad del trabajador), art. 20 bis (derechos digitales). boe.es
- STS 119/2018. Sobre el uso de dispositivos corporativos y expectativa de privacidad del trabajador. poderjudicial.es
- Reglamento (UE) 2016/679 (RGPD). Art. 6 (bases de licitud), art. 17 (derecho de supresion). eur-lex.europa.eu
- Cellebrite. “WhatsApp Business Data Extraction Guide”. Procedimientos de extracción específicos para WhatsApp Business. cellebrite.com
- Oxygen Forensics. “WhatsApp Business Artifacts Analysis”. Documentación sobre parsing de msgstore-wa.db. oxygen-forensic.com
- INCIBE. (2025). “Guia de seguridad en WhatsApp Business para PYMES”. Instituto Nacional de Ciberseguridad. incibe.es
- Ley 7/1998, de 13 de abril, sobre Condiciones Generales de la Contratación. Relevante para comunicaciones precontractuales via WhatsApp Business. boe.es
- Real Decreto Legislativo 1/2007, de 16 de noviembre, Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios (TRLGDCU). boe.es
Última actualización: 16 de marzo de 2026 Categoria: Análisis Forense (FOR-022) Nivel técnico: Avanzado Relevancia: Alta (crecimiento exponencial de WhatsApp Business en España)
Preguntas Frecuentes
Que diferencia hay entre analisis forense de WhatsApp personal y WhatsApp Business?
WhatsApp Business almacena datos adicionales que no existen en la version personal: etiquetas comerciales, respuestas rapidas, mensajes automaticos, catalogo de productos, horario de atencion y estadisticas de mensajeria. La base de datos es msgstore-wa.db (vs msgstore.db) y contiene tablas adicionales para estos datos empresariales.
Se pueden certificar mensajes de WhatsApp Business para un juicio laboral?
Si. Un perito informatico puede extraer los mensajes de WhatsApp Business con cadena de custodia y certificar su autenticidad. En procedimientos laborales es especialmente relevante para acreditar comunicaciones de empresa a empleado, ordenes de trabajo, modificaciones de condiciones y acoso laboral.
Es posible analizar la WhatsApp Business API Cloud?
Si, pero con limitaciones. La API Cloud no almacena mensajes en un dispositivo local sino en servidores de Meta. La extraccion requiere acceso a los webhooks configurados, a la base de datos del CRM conectado y a los logs del Business Manager. El perito certifica la trazabilidad de los mensajes a traves de estos sistemas.
Términos Relacionados
WhatsApp Forense
Conjunto de técnicas de análisis forense digital aplicadas a la extracción, verificación y certificación de conversaciones de WhatsApp para su uso como prueba judicial. Incluye análisis de la base de datos msgstore.db, verificación de metadatos, y recuperación de mensajes borrados.
Metadatos
Datos sobre los datos: información adicional embebida en archivos digitales que describe cuándo, dónde, cómo y por quién fueron creados o modificados.
Evidencia Digital
Cualquier información almacenada o transmitida en formato digital que puede ser utilizada como prueba en un procedimiento judicial o investigación.
Cadena de Custodia
Procedimiento documentado que garantiza la integridad, autenticidad y trazabilidad de la evidencia digital desde su recolección hasta su presentación en juicio.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita