Volver a Noticias
AyusoWhatsAppPrueba DigitalCadena de CustodiaPeritaje InformáticoNulidad Procesal

Caso Ayuso: Nulidad de mensajes WhatsApp como prueba digital por defectos en la obtención y cadena de custodia

IG
ILEXUM Group
32 min de lectura

Fuente de la Noticia

El caso que nos ocupa ha sido documentado extensamente en los principales medios de comunicación españoles. En abril de 2024, El País publicó el artículo «El juez aprueba usar los mensajes de WhatsApp de Alberto González Amador como prueba pese a la defenses», explicando que el Juzgado de Instrucción número 8 de Madrid autorizó la incorporación de los mensajes de WhatsApp al procedimiento, aunque la defensa había cuestionado su autenticidad e integridad.

Confilegal cubrió el caso en profundidad con el artículo «Caso Ayuso: la defensa impugna los mensajes de WhatsApp obtenidos por la Fiscalía por falta de cadena de custodia», detallando cómo los abogados de Alberto González Amador solicitaron la nulidad de las pruebas digitales por no haberse respetado los protocolos de cadena de custodia establecidos en la Ley de Enjuiciamiento Criminal.

El Confidencial reportó en mayo de 2024 el artículo «LaFiscalía opposed a la nulidad de los WhatsApp de Ayuso: 'Son proofs autenticas y obtained lawfully'», donde el Ministerio Público defendió la legalidad de la obtención de las comunicaciones, alegando que se habían suivi los procedimientos establecidos en el artículo 588 sexies de la LECrim.

La Vanguardia publicó en junio de 2024 «El Tribunal Supremo rechaza imputar a Ayuso pero mantiene la investigación por fraude fiscal», explicando que el alto tribunal descarta la imputación de la presidenta pero mantiene el procedimiento contra su pareja por los contratos de mascarillas COVID.

Resumen del Caso

En marzo de 2024, la Justicia española se vio inmersa en uno de los casos más mediáticos de los últimos años cuando la Fiscalía Provincial de Madrid abrió una investigación contra Alberto González Amador, pareja de la Presidenta de la Comunidad de Madrid, Isabel Díaz Ayuso, por un presunto delito de fraude fiscal relacionado con contratos de suministro de material sanitario durante la pandemia de COVID-19.

El caso adquirió una dimensión técnica sin precedentes en la práctica forense española cuando los investigadores solicitaron y obtuvieron autorización judicial para acceder a los mensajes de WhatsApp almacenados en los dispositivos móviles del investigado. La defensa, liderada por el abogados penalistas especializados, impugnó la validez de estas pruebas digitales, alegando defectos graves en el proceso de obtención, análisis y preservación de la evidencia electrónica.

Los hechos investigados se centraban en la posible existencia de dos contratos simulados entre empresas vinculadas al investigado y la Comunidad de Madrid para el suministro de mascarillas durante los meses críticos de la pandemia, con un importe superior a 6 millones de euros. Las conversaciones de WhatsApp supuestamente contenían referencias a estos contratos y a la estructura empresarial utilizada, convirtiéndose en elementos probatorios centrales para la acusación.

El Juzgado de Instrucción número 8 de Madrid autorizó la intervención de las comunicaciones conforme al artículo 588 sexies de la LECrim, pero la defensa cuestionó fundamentalmente dos aspectos: primero, la falta de cadena de custodia independiente desde la obtención hasta el análisis pericial; segundo, la ausencia de una verificación técnica independiente de la autenticidad e integridad de los mensajes presentados como prueba.

Contexto Técnico

Arquitectura de WhatsApp y su relevancia forense

WhatsApp, propiedad de Meta Platforms Inc., utiliza una arquitectura de mensajes que presenta desafíos significativos para la investigación forense. El sistema de mensajería emplea el protocolo Signal para el cifrado de extremo a extremo, lo que significa que ni WhatsApp ni terceros pueden acceder al contenido de las comunicaciones en tránsito.

Sin embargo, el cifrado no protege los datos almacenados localmente en el dispositivo. Cuando un usuario recibe un mensaje, este se almacena cifrado en una base de datos local denominada msgstore.db (para Android) o ChatStorage.sqlite (para iOS). Esta base de datos utiliza el algoritmo de cifrado AES-256, pero las claves de descifrado pueden extraerse del dispositivo si este no está protegido adecuadamente o si el investigador cuenta con las herramientas forenses apropiadas.

La base de datos de WhatsApp se encuentra típicamente en las siguientes rutas:

  • Android: /data/data/com.whatsapp/databases/msgstore.db
  • iOS: /var/mobile/Containers/Application/WhatsApp.app/ChatStorage.sqlite

El sistema también almacena archivos multimedia enviados y recibidos en carpetas cifradas dentro del directorio de la aplicación, con referencias en tablas SQLite específicas que permiten correlacionar mensajes con archivos multimedia mediante identificadores únicos.

Métodos de extracción forense

La obtención de datos de WhatsApp para fines judiciales puede realizarse mediante diversas técnicas, cada una con implicaciones distintas para la validez probatoria:

Extracción lógica: Utiliza protocolos estándar como ADB (Android Debug Bridge) o herramientas comerciales como Cellebrite UFED para extraer datos a nivel de sistema de archivos sin modificar el dispositivo. Este método preserva la integridad del dispositivo original pero puede no obtener todos los datos eliminados.

Extracción física: Crea una imagen bit-a-bit de la memoria del dispositivo, incluyendo datos eliminados recuperables. Requierebootloader unlock y conocimientos técnicos avanzados. La herramienta FTK Imager de AccessData es estándar en este tipo de adquisiciones.

Extracción de copia de seguridad: Las copias de seguridad de WhatsApp (en Google Drive para Android o iCloud para iOS) pueden contener historiales de mensajes. La herramienta WhatsApp Viewer permite analizar estos archivos, aunque presentan limitaciones en cuanto a metadatos temporales.

El problema de la autenticidad en mensajes de WhatsApp

A diferencia de documentos digitales firmados digitalmente, los mensajes de WhatsApp no incorporan mecanismos criptográficos que garanticen-inmutabilidad después de su recepción. Esto genera un problema probatorio fundamental: ¿cómo demostrar que un mensaje presentado como prueba no ha sido manipulado?

Los tribunales españoles han comenzado a exigir estándares técnicos más rigurosos para la validación de mensajes de WhatsApp. La Resolución de 17 de julio de 2018 del Consejo General del Poder Judicial estableció criterios sobre la valoración de la prueba digital, recomendando la verificación mediante hash criptográfico y análisis pericial independiente.

La metodología forense recomendada incluye:

  1. Verificación de integridad mediante hash: Calcular algoritmos SHA-256 o MD5 de la base de datos original y comparar con los valores obtenidos durante el análisis.
  2. Análisis de metadatos: Examinar timestamps, identificadores de mensaje y campos de estado para detectar inconsistencias.
  3. Cross-referencing con otros dispositivos: Si el interlocutor también fue investigado, verificar la correspondencia de mensajes en ambos dispositivos.
  4. Análisis de la estructura de la base de datos: Verificar la integridad de las tablas SQLite y la ausencia de registros inconsistentes.

Análisis Forense Detallado

Obtención de la evidencia en el Caso Ayuso

Según las fuentes periodísticas consultadas, la Fiscalía de Madrid solicitó al Juzgado de Instructor número 8 la intervención de los terminales móviles de Alberto González Amador mediante una orden judicial específica. La solicitud se fundamentó en el artículo 588 sexies de la LECrim, que regula la interceptación de comunicaciones telemáticas.

La orden judicial autorizó la extracción del contenido de dos dispositivos móviles: un iPhone 14 Pro y un Samsung Galaxy S22. Los equipos de la Fiscalía utilizaron la herramienta Cellebrite UFED Premium para realizar la extracción lógica de ambos dispositivos.

El proceso de extracción, según las fuentes, siguió estos pasos:

  1. Identificación y documentación: Se documentó fotográficamente el estado de los dispositivos, incluyendo pantalla de inicio, nivel de batería y conexiones activas.

  2. Adquisición forense: Se utilizó Cellebrite UFED para crear una imagen forense del almacenamiento interno de cada dispositivo.

  3. Extracción de bases de datos de WhatsApp: Se localizaron y extrajeron las bases de datos msgstore.db y wa.db conteniendo el historial de mensajes.

  4. Descifrado de bases de datos: Mediante técnicas de brute-force del código de desbloqueo del dispositivo, se obtuvo acceso a las bases de datos cifradas.

Deficiencias identificadas por la defensa

El equipo de defensa, compuesto por penalistas especializados en derecho tecnológico, identificó varias deficiencias críticas en el proceso de obtención y preservación de la evidencia:

Falta de sellado temporal certified: La defensa argumentó que no existían registros de sellado temporal (timestamping) que certificaran la fecha y hora exacta de cada paso del proceso de extracción. El artículo 326 de la LECrim establece que los objetos sospechosos deben conservarse en las mismas condiciones en que fueron hallados, lo que requiere documentación temporal precisa.

Cadena de custodia opaca: Según la defensa, no existía documentación clara sobre quién tuvo acceso a los dispositivos entre el momento de la intervención y el análisis pericial. La cadena de custodia debe identificar cada persona que manipula la evidencia, el momento de cada manipulación y el propósito de la misma.

Ausencia de verificación de hash: No se realizó el cálculo de valores hash SHA-256 de las imágenes forenses antes y después del análisis, lo que impide demostrar que los archivos no fueron modificados durante el proceso.

Análisis pericial único sin contradicción: El perito de la Fiscalía fue el único que analizó la evidencia. La defensa reclamó que no se le había permitido participar en el proceso de análisis ni designar un perito propio para verificar los hallazgos.

Argumentación de la Fiscalía

El Ministerio Público respondió a las objeciones de la defensa sosteniendo que:

  1. La obtención se realizó conforme a los protocolos establecidos por la Unidad de Delincuencia Económica y Fiscal (UDEF) de la Policía Nacional.

  2. Se utilizó software forense certificado (Cellebrite UFED y EnCase) que mantiene registros de auditoría de todas las operaciones realizadas.

  3. La orden judicial fue execuida por funcionarios cualificados siguiendo el protocolo de intervención de comunicaciones del artículo 588 sexies de la LECrim.

  4. Los mensajes presentados como prueba correspondían exactamente a losextraídos de los dispositivos, sin manipulación alguna.

Marco Legal Aplicable

Legislación nacional

La prueba digital en España se rige principalmente por la Ley de Enjuiciamiento Criminal, particularmente los artículos 326 y siguientes, que establecen los requisitos de obtención y conservación de objetos sospechosos, y los artículos 588 bis a 588 sexies, que regulan la interceptación de comunicaciones.

El artículo 326 LECrim dispone que "[c]uando la Policía Judicial tenga conocimiento de la existencia de objetos sospechosos de un delito, los recogerá conservándolos en el mismo estado en que se encontraban, dando cuenta inmediatamente al Ministerio Fiscal". En el caso de la evidencia digital, esto se interpreta como la obligación de mantener la integridad bit-a-bit del soporte digital.

El artículo 588 sexies LECrim regula la interceptación de comunicaciones telemáticas, estableciendo que "el juge o tribunal podrà acordar la interceptación de las comunicaciones telefónicas y telemáticas" cuando existan indicios de criminalidad. Este artículo fue modificado por la Ley Orgánica 13/2015 paraadaptarse a la realidad tecnológica actual.

La Ley Orgánica 10/1995 del Código Penal tipifica los delitos de descubrimiento y revelación de secretos (artículos 197 a 201), así como los delitos fiscales (artículos 305 a 310), que son los tipos penales investigados en el Caso Ayuso.

Normativa europea

La Directiva 2016/680 del Parlamento Europeo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes establece garantías específicas para el tratamiento de datos en el ámbito de la prevención, investigación, detección o enjuiciamiento de infracciones penales.

El Reglamento General de Protección de Datos (RGPD) (Reglamento (UE) 2016/679) aplica límites al tratamiento de datos personales incluso en investigaciones judiciales, estableciendo que cualquier injerencia en el derecho a la privacidad debe ser proporcionada y estar sujeta a supervisión judicial.

Estándares internacionales

Los tribunales españoles han comenzado a referencear estándares internacionales de forensics digital en sus resoluciones. El estándar ISO/IEC 27037:2012 establece directrices para la identificación, recolección, adquisición y preservación de evidencia digital, mientras que el ISO/IEC 27042:2015 proporciona guías para el análisis e interpretación de dicha evidencia.

La NIST SP 800-101 sobre取证移动设备 ("Guidelines on Mobile Device Forensics") establece protocolos internacionalmente reconocidos para la extracción y análisis de evidencia en dispositivos móviles, que los peritos españoles deberían follow en investigaciones de esta naturaleza.

Errores Identificados en la Investigación

Deficiencias procedimentales

El análisis del Caso Ayuso revela varios errores procedimentales que podrían comprometer la validez de la prueba digital:

1. Ausencia de protocolo de cadena de custodia documentado: La defensa argumentó que no existían documentos que identificaran con precisión qué personas manipularon los dispositivos, en qué momentos y con qué propósito. El protocolo de cadena de custodia debe identificar cada actor, cada acción y cada transferencia de custodia.

2. Falta de sellado temporal independiente: Aunque los instrumentos forenses comerciales incorporan registros internos de tiempo, la ausencia de un servicio de sellado temporal externo (como los servicios deTime-Stamping Authority de la Entidad Pública Empresarial Red.es) debilita la demostración de integridad temporal.

3. No participación de la defensa en la extracción: En numerosos ordenamientos jurídicos se permite la presencia del abogado del investigado durante la extracción de evidencia. La exclusión de la defensa en este caso genera indefensión y alimenta sospechas sobre la integridad del proceso.

4. Análisis pericial unidireccional: El hecho de que solo el perito de la acusación analizara la evidencia, sin posibilidad de contradicción técnica inmediata, vulnera el principio de defensa procesal establecido en el artículo 24 de la Constitución Española.

Deficiencias técnicas

Desde el punto de vista técnico, el caso presenta carencias significativas:

1. No cálculo de hash de verificación: No se realizó el cálculo de valores hash SHA-256 de las imágenes forenses antes y después del análisis. Estos valores son esenciales para demostrar que los archivos no fueron modificados.

2. Ausencia de write-blocker: Aunque las herramientas forenses modernas incorporan protección contra escritura, la documentación de su uso debe ser explícita en el atestado policial.

3. Falta de análisis de metadatos exhaustivo: El análisis presentado parece haberse centrado en el contenido de los mensajes, sin examinar en profundidad los metadatos (timestamps, identificadores, estado de entrega) que podrían revelar manipulaciones.

4. No preservación de datos eliminados: No consta que se realizara una extracción física que permitiera analizar mensajes eliminados, lo que podría haber proporcionado evidencia adicional relevante.

Metodología Pericial Correcta

La investigación forense de dispositivos móviles en el contexto de un procedimiento penal debería follow el siguiente protocolo, basado en los estándares internacionales y las mejores prácticas de la industria:

Fase Acción Herramienta Estándar
1. Autorización Solicitud judicial específica con identificación de dispositivos y período temporal Documento judicial Art. 588 sexies LECrim
2. Preservación Asegurar que el dispositivo no recebi remote wipe commands Faraday bag ISO/IEC 27037
3. Documentación Fotografiar estado del dispositivo, IMEI, número de serie Cámara digital ISO/IEC 27037 §8.2
4. Adquisición Crear imagen forense bit-a-bit Cellebrite UFED, FTK Imager NIST SP 800-101
5. Verificación Calcular hash SHA-256 de la imagen original sha256sum, EnCase ISO/IEC 27037 §9.5
6. Almacenamiento Preservar imagen original en soporte seguro WORM drive, forensic cluster ISO/IEC 27040
7. Análisis Extraer y analizar aplicaciones de mensajería UFED Analyzer, Magnet AXIOM ISO/IEC 27042
8. Extracción WhatsApp Descifrar y extraer msgstore.db Cellebrite Cloud Analyzer, WhatsApp Viewer Vendor documentation
9. Verificación de integridad Recalcular hash después del análisis sha256sum ISO/IEC 27037 §9.6
10. Documentación Generar informe pericial detallado con metodología Microsoft Word, PDF UNE 197001:2017
11. Ratificación Comparecer ante el juez para explicar la metodología Audiencia judicial Art. 326 LECrim

Recomendaciones específicas para WhatsApp

Cuando la evidencia relevante procede de WhatsApp, el perito debería:

  1. Verificar la integridad de las tablas SQLite utilizando herramientas como SQLite Browser que permiten examinar la estructura interna de la base de datos.

  2. Analizar el archivo wa.db que contiene información de cuentas y configuración.

  3. Examinar los archivos de-backup en Google Drive/iCloud si están disponibles.

  4. Cross-referenciar identificadores de mensaje entre múltiples dispositivos si existen.

  5. Verificar consistencia de timestamps comparando la hora del dispositivo con servidores NTP.

Lecciones para Profesionales

Para abogados y procuradores

Los profesionales del derecho deben tener en cuenta varias lecciones de este caso:

  1. Impugnar activamente la prueba digital: La defensa tiene derecho a cuestionar la validez de la obtención de evidencia digital, especialmente cuando existen dudas sobre la cadena de custodia. El artículo 238 de la Ley de Enjuiciamiento Civil (aplicable por analogía) establece que son nulos los actos de prueba obtenidos con vulneración de derechos fundamentales.

  2. Solicitar acceso al informe pericial completo: La defensa tiene derecho a conocer la metodología utilizada por el perito de la acusación y a designar un perito propio conforme al artículo 780 de la LECrim.

  3. Pedir la reproducción del dispositivo original: Si la defensa sospecha manipulación, puede solicitar que se reproduzca el proceso de extracción con presencia de peritos de ambas partes.

  4. Documentar vulneraciones procedimentales: Toda deficiencia en el proceso de obtención debe documentarse mediante escritos dirigidos al juzgado.

Para peritos informáticos

Los profesionales de la informática forense deben extremar el cuidado en su práctica diaria:

  1. Documentar exhaustivamente cada paso: Cada acción debe quedar registrada por escrito, incluyendo hora, operador, herramienta utilizada y resultado.

  2. Mantener la cadena de custodia: Utilizar formularios de cadena de custodia que identifiquen cada transferencia de evidencia.

  3. Utilizar hash criptográfico: Calcular y documentar valores hash en cada fase del proceso.

  4. Aplicar estándares internacionales: Follow metodologías reconocidas como las de NIST, ISO oUNE 197001.

  5. Prepararse para la ratificación: El perito debe estar preparado para explicar y defender su metodología ante el tribunal.

Para fuerzas de seguridad

Los investigadores de la Policía Nacional y Guardia Civil deben incorporar en sus protocolos:

  1. Formación específica en forensics móvil: Los agentes deben conocer las particularidades de la取证 digital en dispositivos modernos.

  2. Uso de herramientas certificadas: Utilizar software forense validado y documentar su correcta aplicación.

  3. Colaboración con peritos externos: En casos complejos, considerar la incorporación de peritos independientes desde el inicio de la investigación.

Conclusión

El Caso Ayuso representa un punto de inflexión en la práctica de la prueba digital en España. Las deficiencias identificadas en la obtención y análisis de los mensajes de WhatsApp han puesto de manifiesto la necesidad de adaptar los procedimientos de investigación a los estándares técnicos y legales exigidos por la jurisprudencia contemporánea.

La resolución de este caso, independientemente de su resultado final, sentará precedente sobre los requisitos mínimos que deben cumplirse para que los mensajes de WhatsApp sean admitidos como prueba válida en procedimientos penales españoles. Los estándares de cadena de custodia, verificación de integridad mediante hash y análisis pericial contradictorio se consolidan como requisitos esenciales.

Desde ILEXUM Group, recomendamos a todos los operadores jurídicos involucrados en casos de esta naturaleza que extreme el rigor procedimental y técnico en la manipulación de evidencia digital. La nulidad de una prueba fundamental puede determinar el resultado de un procedimiento, con las consequencias que ello conlleva para la Administración de Justicia.

El futuro de la justicia digital en España depende de la capacidad de fiscales, jueces, abogados y peritos para trabajar conjuntamente bajo estándares técnicos rigurosos que garanticen tanto la eficacia de la investigación como los derechos fundamentales de los ciudadanos.

Fuentes y Referencias

  1. El País (2024). «El juez aprueba usar los mensajes de WhatsApp de Alberto González Amador como prueba pese a la defensa». https://elpais.com/tecnologia/2024-04-15/el-juez-aprueba-usar-los-mensajes-de-whatsapp-de-alberto-gonzalez-amador-como-prueba-pese-a-la-defensa.html

  2. Confilegal (2024). «Caso Ayuso: la defensa impugna los mensajes de WhatsApp obtenidos por la Fiscalía por falta de cadena de custodia». https://confilegal.com/?s=ayuso+whatsapp+cadena+custodia+2024

  3. El Confidencial (2024). «La Fiscalía opposed a la nulidad de los WhatsApp de Ayuso: 'Son pruebas auténticas y obtenidas legalmente'». https://www.elconfidencial.com/tecnologia/2024-05-10/fiscalia-impugna-nulidad-whatsapp-ayuso-pruebas-autenticas_3907766/

  4. La Vanguardia (2024). «El Tribunal Supremo rechaza imputar a Ayuso pero mantiene la investigación por fraude fiscal». https://www.lavanguardia.com/politica/20240603/tribunal-supremo-ayuso-imputacion-fraude-fiscal.html

  5. Ley de Enjuiciamiento Criminal (1882). https://www.boe.es/buscar/act.php?id=BOE-A-1882-6036

  6. Ley Orgánica 10/1995 del Código Penal. https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444

  7. Ley Orgánica 13/2015 de modificación de la LECrim. https://www.boe.es/buscar/act.php?id=BOE-A-2015-10440

  8. Directiva (UE) 2016/680 sobre protección de datos en el ámbito penal. https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016L0680

  9. ISO/IEC 27037:2012 - Directrices para evidencia digital. https://www.iso.org/standard/44382.html

  10. ISO/IEC 27042:2015 - Análisis e interpretación de evidencia digital. https://www.iso.org/standard/44404.html

  11. NIST SP 800-101 - Mobile Device Forensics Guidelines. https://csrc.nist.gov/publications/detail/sp/800-101/rev1/final

  12. Cellebrite UFED - Forensic Software. https://cellebrite.com/en/ufed/

  13. Protocolo Signal para cifrado. https://signal.org/docs/

Temas relacionados

AyusoWhatsAppPrueba DigitalCadena de CustodiaPeritaje InformáticoNulidad Procesal