Análisis forense digital

Q: ¿El análisis forense sirve como prueba en juicio?

Sí. El informe pericial forense es prueba documental admisible según el art. 299 LEC. Incluye cadena de custodia alineada con ISO/IEC 27037, hashes criptográficos de verificación y metodología trazable. La clave para la admisibilidad es la metodología rigurosa y la documentación exhaustiva, no un porcentaje publicitario.

Q: ¿Qué pasa si el dispositivo está cifrado o bloqueado?

Depende del tipo de cifrado. BitLocker/FileVault sin recuperación de clave: no es descifrable de forma lícita. Móviles bloqueados: Cellebrite Premium puede desbloquear iPhone hasta iOS 17.4 y la mayoría de Android en el laboratorio. WhatsApp con cifrado E2E: recuperable si tenemos acceso físico al dispositivo. En el diagnóstico gratuito determino la viabilidad técnica en tu caso específico.

Q: ¿Puedo hacer yo mismo el análisis para ahorrar dinero?

NO recomendable. Cualquier acción sobre el dispositivo (encenderlo, conectarlo, buscar archivos) MODIFICA evidencias y destruye metadatos. Un análisis amateur no es admisible en juicio por falta de cadena de custodia. Si el caso va a juicio, la inversión en peritaje profesional es habitualmente recuperable vía condena en costas (art. 394 LEC) cuando se gana.

Q: ¿Analizáis dispositivos de empresa o solo particulares?

Ambos. Tengo experiencia en análisis forense corporativo: investigaciones internas por robo de información, competencia desleal, análisis de servidores Windows/Linux, bases de datos SQL, logs de Active Directory, correo Exchange/Office 365. Casos laborales, mercantiles y penales. Secreto profesional estricto; firmo NDA si la empresa lo requiere.

Q: ¿Incluye el precio la ratificación ante el juez?

La ratificación judicial es servicio adicional. Incluye preparación específica para la vista, reunión previa con letrado para aclarar dudas técnicas y comparecencia presencial ante el tribunal. En la mayoría de casos el informe pericial es admitido sin ratificación oral, pero la ofrezco cuando el juez la solicita. El importe depende de si es en Andalucía o requiere desplazamiento nacional.

Extracción, preservación y análisis de evidencia digital en dispositivos, servidores y cloud con cadena de custodia ISO/IEC 27037. Informe pericial admisible en juzgados (LEC 335-352) y ratificación ante tribunal.

Solicitar análisis

Ver casos

TL;DR — Resumen ejecutivo

En 60 segundos:

Qué: análisis forense digital ISO/IEC 27037 de dispositivos (móviles, ordenadores, servidores, cloud) con informe pericial admisible en juicio.
Por qué importa: evidencia digital sin cadena de custodia queda expuesta a impugnación. Capturas pantalla: baja admisibilidad. Certificación forense: admisibilidad reforzada.
Qué hacer: extracción forense bit a bit → análisis con herramientas profesionales (EnCase, FTK, Cellebrite, Autopsy) → informe pericial + ratificación judicial opcional.
Cuándo actuar: ANTES de manipular el dispositivo — cada acción sin protocolo puede contaminar la evidencia. Plazo habitual: 5-15 días análisis estándar, 48-72 h urgente.

Solicitar análisis forense →

¿Qué puede revelar un análisis forense digital?

Conversaciones eliminadas

WhatsApp, Telegram, email borrados — recuperables total o parcialmente según el tiempo transcurrido y el uso del dispositivo desde el borrado.

Historial de navegación

Webs visitadas, cookies, formularios completados y actividad de navegador, incluso con modo incógnito en parte de los casos.

Actividad laboral y exfiltración

Correos enviados fuera de horario, descargas de documentos, conexiones de USB, subidas a servicios cloud personales desde equipo corporativo.

Geolocalización

Dónde estuvo físicamente el dispositivo en fechas específicas (metadatos GPS, historial de Google Timeline / Apple Maps).

Archivos eliminados

Documentos, fotos y vídeos borrados intencionadamente que permanecen en slack space, unallocated space o VSS (Shadow Copies) hasta ser sobreescritos.

Manipulación de pruebas

Detección de alteración de fechas (backdating), edición de capturas, uso de herramientas de falsificación, incoherencias en metadatos EXIF.

Metodología ISO/IEC 27037

Proceso forense en 6 fases

Cada fase queda documentada, con hashes de integridad y cadena de custodia, para que el informe soporte impugnación técnica.

1. Identificación y triage

Evaluación inicial del dispositivo para determinar tipo de análisis necesario, prioridad de evidencias y viabilidad técnica. Diagnóstico gratuito.

2. Adquisición forense

Imagen forense bit a bit con bloqueadores de escritura hardware (Tableau, WiebeTech). Verificación mediante hashes criptográficos MD5/SHA-256/SHA-512.

3. Preservación y cadena de custodia

Aseguramiento de la integridad mediante sellado digital con timestamps. Documentación de custodia con firmas, fechas y transferencias alineada con ISO/IEC 27037.

4. Análisis forense exhaustivo

Examen multi-capa con EnCase, FTK, Autopsy, X-Ways: recuperación por carving, análisis de registro, logs, SQLite, VSS, unallocated y slack space.

5. Documentación de hallazgos

Registro exhaustivo con capturas de pantalla, rutas completas, timestamps y metadatos. Reconstrucción cronológica (timeline) de los eventos relevantes.

6. Informe pericial y ratificación

Informe pericial de 40-80 páginas con metodología empleada, hallazgos, conclusiones técnicas y anexos. Disponibilidad para ratificación ante tribunal.

Dispositivos y sistemas que analizo

El análisis forense digital se aplica a una amplia variedad de dispositivos y sistemas. Los más habituales en procedimientos judiciales:

💻 Ordenadores y portátiles (Windows, macOS, Linux)

Análisis completo del sistema operativo, archivos de usuario, registro de eventos, navegadores, aplicaciones instaladas, historial de descargas, impresoras conectadas y actividad de red.

Recuperación de archivos eliminados de papelera, incluso tras formateo rápido.
Análisis del registro de Windows para detectar dispositivos USB conectados, aplicaciones ejecutadas y claves de cifrado.
Extracción de contraseñas guardadas en navegadores (Chrome, Firefox, Edge) y gestores.
Timeline de actividad: reconstrucción cronológica de las acciones del usuario en el período analizado.

📱 Dispositivos móviles (iOS y Android)

Extracción forense completa con Cellebrite UFED, Oxygen Forensics o XRY. Capacidades habituales:

Conversaciones de WhatsApp eliminadas: mensajes, fotos, vídeos, audios.
SMS y llamadas: registro completo con timestamps y duración.
Aplicaciones de citas: Tinder, Badoo, Meetic (casos de infidelidad).
Geolocalización: historial de ubicaciones visitadas según Google Timeline / Apple Maps.
Fotos y vídeos con metadatos EXIF: fecha, hora y coordenadas GPS.
Análisis de apps bancarias: movimientos, transferencias, Bizum.

🖥️ Servidores y sistemas corporativos

Servidores Windows Server, Linux, bases de datos (SQL Server, MySQL, PostgreSQL) y ficheros compartidos (NAS, Samba). Especialidad en:

Logs de acceso: quién accedió a qué archivos, cuándo y desde qué IP.
Active Directory: auditoría de cambios de permisos, creación/eliminación de usuarios.
Correo corporativo Exchange / Microsoft 365: análisis forense de buzones, correos eliminados desde Items Recovered.
Detección de exfiltración de datos: copias masivas previas a dimisión (casos laborales / competencia desleal).

💾 Almacenamiento externo y medios extraíbles

Análisis de discos dañados: recuperación de datos de HDD con sectores defectuosos.
Archivos protegidos: ataques de diccionario contra ZIP/RAR/7z en contexto legal con autorización.
Detección de backdating: cambios de fecha para falsear antigüedad de documentos.
Dispositivos formateados: análisis de clusters no sobreescritos, recuperación parcial o total según uso posterior.

📧 Correo electrónico y mensajería

Headers de correo: trazabilidad de remitente real, detección de spoofing.
Recuperación de emails eliminados: papelera vaciada, Items Recovered, archivos PST/OST corruptos.
Análisis de adjuntos: extracción de metadatos Office (autor real, historial de revisiones).
Reconstrucción de conversaciones: línea temporal completa de comunicaciones entre partes.

☁️ Servicios cloud y almacenamiento online

Historial de versiones: recuperación de versiones anteriores de documentos modificados.
Comparticiones sospechosas: con quién se compartió información confidencial.
Logs de acceso remoto: IPs desde las que se accedió a la cuenta (detección de accesos no autorizados).
Sincronización de dispositivos: qué dispositivos están vinculados a la cuenta.

Servicio integral

Qué incluye cada análisis forense

Cobertura técnica y procesal para que el informe resista impugnación.

Extracción bit a bit

Imagen forense con bloqueadores de escritura hardware. Hashes MD5 y SHA-256 para verificación posterior.

Cadena de custodia

Documentación completa del proceso alineada con ISO/IEC 27037 para refuerzo de la validez legal.

Análisis avanzado

Recuperación de archivos eliminados, análisis de metadatos, reconstrucción de actividad y correlación multi-dispositivo.

Informe pericial

Documento técnico-legal con conclusiones, evidencias y anexos. 40-80 páginas habituales.

Herramientas profesionales

EnCase, FTK, Cellebrite, Autopsy, X-Ways y utilidades open source validadas en la comunidad.

Soporte judicial

Ratificación ante tribunal con preparación específica de la vista y coordinación con el letrado.

Preguntas frecuentes sobre análisis forense digital

Las dudas más habituales en procedimientos con evidencia digital.

¿Cuánto cuesta un análisis forense de un móvil?

Los análisis forenses de smartphone parten de una tarifa base e incluyen extracción con Cellebrite, recuperación de WhatsApp/SMS eliminados, análisis de fotos, geolocalización e informe pericial. Para casos complejos (móvil bloqueado, cifrado fuerte, múltiples cuentas) el presupuesto se ajusta al caso. La primera consulta es gratuita y devuelve un presupuesto cerrado sin compromiso.

¿Cuánto tiempo tarda un análisis forense digital?

Análisis básico de móvil: 7-10 días laborables. Análisis de ordenador: 10-15 días. Análisis multi-dispositivo: 15-20 días. Ofrezco servicio urgente (48-72 h) con suplemento si necesitas el informe para medida cautelar o vista judicial inminente.

¿Podéis recuperar conversaciones de WhatsApp borradas hace meses?

Depende. Si el móvil siguió en uso intensivo después del borrado, la tasa de recuperación desciende conforme se sobreescribe el espacio. Si el borrado fue reciente (<30 días) y con poco uso posterior, la probabilidad de recuperar una parte sustancial aumenta. En iPhone con copias iCloud deshabilitadas, recuperación mediante extracción directa del SQLite. Tras el diagnóstico gratuito te doy la probabilidad realista en tu caso.

¿El análisis forense sirve como prueba en juicio?

Sí. El informe pericial forense es prueba documental admisible según el art. 299 LEC. Incluye cadena de custodia alineada con ISO/IEC 27037, hashes criptográficos de verificación y metodología trazable. La clave para la admisibilidad es la metodología rigurosa y la documentación exhaustiva, no un porcentaje publicitario.

¿Qué pasa si el dispositivo está cifrado o bloqueado?

Depende del tipo de cifrado. BitLocker/FileVault sin recuperación de clave: no es descifrable de forma lícita. Móviles bloqueados: Cellebrite Premium puede desbloquear iPhone hasta iOS 17.4 y la mayoría de Android en el laboratorio. WhatsApp con cifrado E2E: recuperable si tenemos acceso físico al dispositivo. En el diagnóstico gratuito determino la viabilidad técnica en tu caso específico.

¿Puedo hacer yo mismo el análisis para ahorrar dinero?

NO recomendable. Cualquier acción sobre el dispositivo (encenderlo, conectarlo, buscar archivos) MODIFICA evidencias y destruye metadatos. Un análisis amateur no es admisible en juicio por falta de cadena de custodia. Si el caso va a juicio, la inversión en peritaje profesional es habitualmente recuperable vía condena en costas (art. 394 LEC) cuando se gana.

¿Analizáis dispositivos de empresa o solo particulares?

Ambos. Tengo experiencia en análisis forense corporativo: investigaciones internas por robo de información, competencia desleal, análisis de servidores Windows/Linux, bases de datos SQL, logs de Active Directory, correo Exchange/Office 365. Casos laborales, mercantiles y penales. Secreto profesional estricto; firmo NDA si la empresa lo requiere.

¿Incluye el precio la ratificación ante el juez?

La ratificación judicial es servicio adicional. Incluye preparación específica para la vista, reunión previa con letrado para aclarar dudas técnicas y comparecencia presencial ante el tribunal. En la mayoría de casos el informe pericial es admitido sin ratificación oral, pero la ofrezco cuando el juez la solicita. El importe depende de si es en Andalucía o requiere desplazamiento nacional.

Servicios relacionados

Certificación de WhatsApp

Si solo necesitas certificar conversaciones de WhatsApp sin análisis forense completo del dispositivo.

Recuperación de datos forense

Para recuperar archivos, correos o mensajes eliminados sin informe pericial completo.

Análisis de fraudes digitales

Investigación forense especializada en fraudes BEC, phishing y suplantación de identidad.

Cobertura geográfica

Ofrezco cobertura técnica y pericial en toda España desde Jaén, con atención presencial en Andalucía y servicio remoto (videollamada + envío de evidencias bajo cadena de custodia documentada) en el resto del territorio. Puedo desplazarme para toma de evidencias cuando el caso lo requiera y ratificar el informe ante cualquier tribunal español. Consulta el detalle de cobertura por provincia.

¿Necesitas un análisis forense digital?

Evaluaré tu caso por videollamada, te indicaré qué evidencias son recuperables y te enviaré un presupuesto cerrado sin sorpresas. Respuesta en 24-48 h.

Consulta gratuita

¿Necesitas conocer el coste de tu análisis forense? Consulta las modalidades y precios de peritaje informático para obtener una estimación rápida. La videollamada inicial para evaluar tu caso es gratuita.