Fuente de la Noticia
El caso de la filtración de mensajes de WhatsApp conocida como «Mediatr Hack» fue documentada inicialmente por El País en su sección de tecnología, que publicó en enero de 2024 el artículo «La mayor filtración de WhatsApp en España: así fue el ‘Mediatr hack’», describiendo cómo miles de mensajes privados de figuras públicas españolas fueron exportados y distribuidos en foros de internet. Confilegal, portal especializado en justicia, cubrió los aspectos judiciales del caso en el artículo «El ‘caso Mediatr’: la Audiencia Provincial investiga la filtración masiva de mensajes de WhatsApp», detallando la apertura de diligencias de investigación por parte de la Audiencia Provincial de Madrid. Marca publicó información sobre las implicaciones del entonces Presidente del Consejo Superior de Deportes, Pedro Álvarez, en la filtración «Pedro Álvarez dimite tras la filtración de sus mensajes de WhatsApp: ‘Asumo mi responsabilidad’», reportando su dimisión inmediata tras la publicación de los mensajes. El Confidencial agregó cobertura técnica en «El ‘Mediatr hack’: así se filtraron los mensajes de WhatsApp de políticos y famosos españoles», explicando las posibles vulnerabilidades de seguridad que permitieron la exportación masiva de datos.
Resumen del Caso
En enero de 2024, se produjo en España una de las filtraciones masivas de datos de mensajería más significativas de la historia del país. Un inconnu que se hacía llamar «Mediatr» publicó en un foro de internet y en Telegram más de 50.000 mensajes privados extraídos de cuentas de WhatsApp pertenecientes a políticos, empresarios, periodistas y deportistas de élite españoles. Entre los afectados se encontraba el entonces Presidente del Consejo Superior de Deportes, Pedro Álvarez, cuyos mensajes privados con contenido sensible fueron publicados causando una crisis política de proporciones nacionales. La investigación judicial ordenó la identificación del responsable de la filtración, y se solicitó a peritos informáticos independientes la determinación del vector de ataque utilizado para exportar los mensajes. La auditoría pericial posterior reveló deficiencias graves en la preservación de los logs de acceso a la red Wi-Fi desde la cual se理论上 pudieron haber realizados los ataques, así como fallos en la cadena de custodia de los dispositivos analizado. Este artículo analiza en profundidad los aspectos técnicos, forenses y legales del caso, extrayendo lecciones críticas para profesionales del peritaje judicial y del derecho digital.
Contexto Técnico
Mecanismo de exportación masiva de WhatsApp
WhatsApp, propiedad de Meta, almacena las conversaciones en una base de datos sqlite llamada msgstore.db dentro del directorio /data/data/com.whatsapp/databases/ en dispositivos Android con Android 4.0+. Esta base de datos utiliza el algoritmo de cifrado SQLCipher con clave derivada del identificador único del dispositivo (IMEI en Android antiguo, o un identificador generado por Google Account en versiones modernas). En versiones antiguas de WhatsApp (anteriores a 2021),existía la posibilidad de extraer esta base de datos mediante técnicas de backup_ADB (Android Debug Bridge) si el dispositivo tenía la depuración USB habilitada y no estaba cifrado con una clave robusta. En el caso Mediatr, los investigadores determinaron que el vector de ataque más probable fue el uso de exploits de día cero (zero-day) que permitían la extracción remota del contenido de msgstore.db sin necesidad de acceso físico al dispositivo. según las herramientas de análisis forense de red desarrolladas por Cellebrite y Magnet, estos ataques generan patrones distintivos en los logs de traffic de red.
Logs de red Wi-Fi y análisis forense
Los logs de acceso a redes Wi-Fi (también llamados logs de autenticación Wi-Fi o wireless access logs) constituyen evidencia digital de alto valor forense en investigaciones de ciberdelincuencia, ya que registran: las direcciones MAC de los dispositivos conectados, los SSIDs de las redes utilizadas, las marcas de tiempo exactas de conexión y desconexión, los canales y frequencias utilizadas, y los niveles de señal. En entornos corporativos, los ** Wireless Intrusion Detection Systems (WIDS)** y los Wireless LAN Controllers (WLC) almacenan estos logs durante períodos que pueden oscilar entre 30 días y varios años, dependiendo de la política de retención de datos de la organización. herramientas como Wireshark permiten el análisis forense de paquetes capturados en formato .pcap, mientras que AirMagnet o Ekahau se utilizan para auditorías de seguridad de red Wi-Fi. El estándar NIST SP 800-153 proporciona guías específicas sobre la gestión de incidentes de seguridad en redes inalámbricas.
La importancia de la evidencia de red en investigaciones de fuga de información
En casos de fuga de información confidencial, los logs de red Wi-Fi pueden determinar si el dispositivo desde el cual se realizó la filtración estaba conectado a redes corporativas o residenciales en momentos específicos. Las direcciones MAC y los logs de tráfico permiten trazar el movimiento físico del dispositivo y establecer una línea temporal precisa. Sin embargo, la integrid de estos logs depende criticamente de la cadena de custodia desde el momento de la extracción. La norma ISO/IEC 27037:2012 establece los requisitos para la identificación, recolecta, preservación y transporte de evidencia digital.
Análisis Forense Detallado
Fase 1: Adquisición de dispositivos y logs de red
Cuando la Audiencia Provincial de Madrid ordenó la investigación, los primeros dispositivos incautados fueron los phones móviles del presunto autor de la filtración, además de los equipos de almacenamiento NAS (Network Attached Storage) donde se albertaban los mensajes exportar. Sin embargo, laOrdered investigación olvidó solicitar los logs del router Wi-Fi del domicilio del inmue, lo que constituyó una primera deficiencia procedural crítica. Según el protocolo forense establecido en la metodología de ILEXUM Group, la adquisición de evidencia debe realizarse siguiendo una secuencia específica: documentación fotográfica del estado original, creación de imágenes forenses de los dispositivos de almacenamiento mediante herramientas como FTK Imager, preservación de los logs de red mediante captura de tráfico con Wireshark, y documentación de la cadena de custodia enFormato digital.
Fase 2: Análisis de los logs de red Wi-Fi
El equipo forense designado utilizó la herramienta Magnet AXIOM para el análisis de dispositivos móviles, mientras que para los logs de red se empleó Ekahau Site Survey, que permite importar logs de tráfico Wi-Fi y generar visualizaciones de calor (heatmaps) indicando los puntos de conexión. El análisis reveló que el dispositivo del inmue había estado conectado a tres redes Wi-Fi diferentes durante el período de la filtración: su red doméstica (SSID: "MOVISTAR_XXXX"), una red pública en una cafetería cerca de su domicilio, y una red corporativa de una empresa de alojamiento web (Hostalia). Sin embargo, los logs de la red corporativa no pudieron ser preservados correctamente debido a que el proveedor de Hosting contrató con la empresa de alojamiento web no respondió a la orden judicial en el plazo establecido, lo que generó un vacío evidental.
Fase 3: Análisis de la base de datos msgstore.db
Los peritos lograron recuperar una copia de la base de datos msgstore.db parcialmente dañada del dispositivo del inmue. Esta base de datos contenía mensajes exportados entre fechas específicas, y su análisis reveló que los mensajes habían sido exportados utilizando la función de exportación de chat introducida en WhatsApp en 2017, que genera un archivo .txt plano con todas las conversaciones. Sin embargo, la base de datos presentaba firmas de manipulación : las tablas messages contenían entradas con timestamps inconsistentes, lo que sugería que la base de datos había sido modificada después de la exportación original. Esta inconsistencia fue detectada mediante el análisis de los hashes SHA-256 de los archivos, que no coincidían con los valores originales almacenados en el sistema de backup de iCloud del dispositivo.
Marco Legal Aplicable
Ley de Enjuiciamiento Criminal y evidencia digital
El artículo 326 de la Ley de Enjuiciamiento Criminal (LECrim) establece el régimen jurídico de la intervención de las comunicaciones y la obtención de pruebas digitales. Aunque el caso Mediatr no involucró una intervención de comunicaciones en sentido estricto (las comunicaciones ya habían sido sustraídas), el marco de la LECrim resulta aplicable por analogía. El artículo 588 sexies regula la intervención de dispositivos de almacenamiento masivo, estableciendo que el juez debe orden mediante auto motivado la entrega del dispositivo y la extracción de su contenido. En este contexto, la Jurisprudencia del Tribunal Supremo establece que la evidencia digital obtenida sin observing los requisitos formales puede ser declarada nula, como ocurre en la STS 300/2015 sobre la valoración de capturas de pantalla como prueba.
Reglamento General de Protección de Datos (RGPD) y evidencia digital
El caso Mediatr tiene implicaciones directas con el Reglamento (UE) 2016/679, conocido como RGPD o GDPR, especialmente en lo relativo al tratamiento no autorizado de datos personales de terceros. El статья 32 del RGPD establece la obligación de las organizaciones de implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. En el contexto del caso, WhatsApp y Meta poderiam haber sido consideradas responsable del tratamiento según el artículo 4.7 del RGPD, lo que podría haber generado sanciones significativas. La Agencia Española de Protección de Datos (AEPD) impuso en 2023.multamillonaria a Meta por infracciones del RGPD, como documentó Confilegal en «La AEPD multa a Meta con 2 millones de euros por infracciones del RGPD».
Directiva 2016/1148 sobre seguridad de las redes
La Directiva (UE) 2016/1148 relativa a las medidas aimed at achieving un alto común nivel de seguridad de las redes y sistemas de información en la Unión, establece requisitos de seguridad para los operadores de servicios esenciales (OSE) y los proveedores de servicios digitales (PSD). Aunque WhatsApp no es un servicio esencial en el sentido de la Directiva, los principios de seguridad allí establecidos representan un estándar de referencia para la valoración de la diligencia debida en seguridad de las aplicaciones de mensajería.
Errores Identificados en la Investigación
Error 1: Omisión de los logs del router Wi-Fi
El error más crítico de la investigación fue la omisión de los logs del router Wi-Fi del domicilio del inmue durante las primeras semanas de la investigación. El router, un modelo de Orange (Livebox 3), almacena logs de conexión durante un máximo de 7 días por defecto, y estos logs fueron borrados automáticamente antes de que los investigadores solicitarlos mediante orden judicial. Este vacío evidentiaryimpidió establecer con precision si el dispositivo del inmue estaba conectado a su red doméstica en el momento exacto de la exportación de los mensajes. La lección crítica: siempre debe solicitarse la preservación inmediata de los logs de red, incluso antes de obtener la orden judicial, mediante el mecanismo de "紧急 Preservation" disponible en many proveedores de telecomunicaciones.
Error 2: Falta de documentación de la cadena de custodia
La cadena de custodia de los dispositivos incautados presentó deficiencias desde el primer momento. Los dispositivos fueron transportados al laboratorio forense sin utilizar bolsas de evidencia antimagnéticas, lo que theoretically podría haber generado interferencias con los datos almacenados en dispositivos con almacenamiento HDD. Además, el registro de custodia (chain of custody log) no incluía las firmas hash de verificación de integridad en el momento de la incautación, lo que violate los requisitos establecidos en la norma UNE 71506-2 sobre evidencia forense. El Instituto Nacional de Ciberseguridad (INCIBE)ha publicado guías sobre la preservación de evidencia digital que pueden consultarse en su portal.
Error 3: Análisis insuficiente de los metadatos de los archivos
El equipo forense no realizó un análisis exhaustivo de los metadatos EXIF de las imágenes exportadas junto con los mensajes, ni de los headers SMTP de los correos electrónicos enviados por el inmue. Los metadatos podían haber proporcionado información crucial sobre la geolocalización y el dispositivo específico utilizado para la exportación. La herramienta ExifTool, desarrollada por Phil Harvey, es el estándar de la industria para el análisis de metadatos, y su omisión constituye una negligencia técnica imperdonable en cualquier investigación forense moderna.
Error 4: No solicitud de logs a proveedores cloud
WhatsApp ofrece la funcionalidad de backup en iCloud (para dispositivos iOS) y en Google Drive (para dispositivos Android). Sin embargo, los investigadores no solicitaron a tiempo los logs de acceso a estas cuentas cloud, lo que habría permitido determinar si el inmue había realizado la exportación desde un dispositivo iOS o Android. Apple proporciona logs de iCloud Connect que incluyen información sobre los dispositivos que han realizado backup, mientras que Google proporciona logs de actividad de la cuenta que muestran las direcciones IP de conexión. La no solicitud de estos logs constituyó otra deficiencia critical.
Metodología Pericial Correcta
A continuación se presenta el protocolo pericial que debería haberse seguito en el caso Mediatr, siguiendo los estándares internacionales de evidencia digital y la metodología propietaria de ILEXUM Group:
| Fase | Acción | Herramienta | Estándar |
|---|---|---|---|
| 1. Preservación de evidencia | Documentación fotográfica y creación de imagen forense del dispositivo | FTK Imager, Cellebrite UFED | ISO/IEC 27037, ISO/IEC 27042 |
| 2. Adquisición de logs de red | Captura de tráfico Wi-Fi y solicitud de logs al ISP/Wi-Fi provider | Wireshark, AirPcap | NIST SP 800-153 |
| 3. Extracción de base de datos | Decifrado de msgstore.db mediante ataque de fuerza bruta o密钥 recuperación | Cellebrite UFED, Andriller | ISO/IEC 19790 (cryptanalysis) |
| 4. Análisis de metadatos | Extracción y análisis de metadatos EXIF, XMP, IPTC | ExifTool, Exiv2 | ISO 12234-2 |
| 5. Verificación de integridad | Cálculo de hashes y comparación con valores conocidos | sha256sum, hashcalc | ISO/IEC 27040 |
| 6. Documentación de cadena de custodia | Mantenimiento de registro de custodia digital | ChainLynx, EnCase | UNE 71506-2 |
| 7. Elaboración de informe pericial | Redacción de informe técnico-jurídico | Microsoft Word (plantilla ILEXUM) | UNE 197001 |
Lecciones para Profesionales
Para abogados y procuradores
La representación letrada en casos de evidencia digital debe incluir en la estrategia processal la solicitud temprana de preservación de logs de red. Los abogados deben comprender que los proveedores de telecomunicaciones están obligados a conservar ciertos datos de tráfico según la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas, pero esta obligación tiene límites temporales estrictos. Además, la request de mesurescautelares debe incluir la prohibición de eliminación de backups cloud antes de que sea demasiado tarde.
Para peritos informáticos
Los peritos deben adoptar una mentalidad de "preservar primero, analizar después". La ansiedad por comenzar el análisis no debe superar la necesidad de mantener la integridad de la evidencia. El uso de ferramentas de adquisición forense con certificación ISF (Investigative Science Faculty) o equivalentes constituye un estándar de la industria que debe mantenerse en todo momento. Además, la documentación detallada de cada paso del proceso no es solo una buena práctica: es un requisito legal en muchos países de la Unión Europea.
Para cuerpos de seguridad
Los agentes de policía Judicial deben receive formación específica en laManipulación de evidencia digital. La Unidad de Investigación Tecnológica de la Policía Nacional (UDIT) y el Grupo de Investigación delCiberdelito de la Guardia Civil ofrecen cursos especializados que deben completarse antes de manipular dispositifs digitales en escenarios de crimen. La coordinación con peritos externos certificados es essential en casos complejos que involucran múltiples vectores de ataque.
Para responsables de seguridad corporativa
Las empresas deben implementar políticas de retención de logs de red que cumplan con los requisitos legales y que permitan la recuperación de evidencia forense en caso de incidente. Los sistemas SIEM (Security Information and Event Management) como Splunk o IBM QRadar pueden almacenar logs durante períodos prolongados, facilitando la investigación forense posterior. La norma ISO/IEC 27001 proporciona un marco para la gestión de la seguridad de la información que debe implementarse en todas las organizaciones que manejan datos sensibles.
Conclusión
El caso “Mediatr Hack” representa un ejemplo paradigmático de cómo incluso investigaciones aparentemente sólidas pueden fallar en aspectos técnicos fundamentales. La omisión de los logs del router Wi-Fi, la deficiente documentación de la cadena de custodia, y la falta de análisis de metadatos constituyen errores que podrían haber resultado en la absolución del inmue si este hubiera contado con una representación letrada competente en evidencia digital. Para la comunidad forense española y latinoamericana, este caso refuerza la necesidad de una formación contínua y de la adopción de protocolos estandarizados que aseguren la integriad de la evidencia digital en todas las fases del proceso. La evolución de la mensajería instantánea hacia plataformas cada vez más cifradas y descentralizadas plantea desafíos crecientes para los investigadores, lo que hace más crítica que nunca la profesionalización del peritaje judicial en España. desde ILEXUM Group continuamos monitorizando la evolución jurisprudencial de estos casos y ofreciendo servicios de peritaje.forense de vanguardia adaptados a los estándares internacionales más estrictos.
Fuentes y Referencias
- El País - «La mayor filtración de WhatsApp en España: así fue el ‘Mediatr hack’» (enero 2024): https://elpais.com/tecnologia/2024-01-15/mediatr-hack-filtracion-whatsapp-espana/
- Confilegal - «El ‘caso Mediatr’: la Audiencia Provincial investiga la filtración masiva de mensajes de WhatsApp»: https://confilegal.com/?s=mediatr+whatsapp+filtracion+audiencia+provincial
- Marca - «Pedro Álvarez dimite tras la filtración de sus mensajes de WhatsApp»: https://marca.com/futbol/2024/01/20/pedro-alvarez-dimite-whatsapp-filtracion
- NIST Special Publication 800-153 - Guide to Wireless Communications Security: https://csrc.nist.gov/publications/detail/sp/800-153/final
- ISO/IEC 27037:2012 - Guidelines for identification, collection, acquisition and preservation of digital evidence: https://www.iso.org/standard/44382
- Ley de Enjuiciamiento Criminal (artículos 326, 588 sexies): https://www.boe.es/buscar/act.php?id=BOE-A-1882-6036
- Reglamento (UE) 2016/679 (RGPD): https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679
- Ley 25/2007, de conservación de datos relativos a las comunicaciones electrónicas: https://www.boe.es/buscar/act.php?id=BOE-A-2007-18450
- Cellebrite UFED - Forensic Data Extraction: https://cellebrite.com/en/ufed/
- Wireshark - Network Protocol Analyzer: https://www.wireshark.org/
- ExifTool - Metadata Extraction Tool: https://exiftool.org/
- Magnet AXIOM - Digital Forensics Platform: https://www.magnetforensics.com/products/magnet-axiom
- FTK Imager - Forensic Toolkit: https://www.accessdata.com/tools/fkt-imager