Volver a Noticias
Koldo GarcíaCadena de CustodiaAudiencia NacionalPeritaje InformáticoPrueba DigitalTelefonía Móvil

Nulidad de pruebas digitales en el caso Koldo García: análisis forense de la cadena de custodia en la Audiencia Nacional

IG
ILEXUM Group
31 min de lectura

Fuente de la Noticia

El caso Koldo García fue documentado extensivamente por los principales medios de comunicación españoles durante 2024 y 2025. Las siguientes fuentes proporcionan información detallada sobre el procedimiento judicial y los aspectos relacionados con la prueba digital:

Confilegal publicó el artículo «La Audiencia Nacional ordena eliminar las escuchas del caso Koldo por defectos de forma» en enero de 2025, detallando cómo el tribunal ordenó la eliminación de determinadas grabaciones porque no se habían respetado los plazos legales de retención. También cubrió los aspectos procesales en «El instructor del caso Koldo archiva la causa contra el exministro Óscar Puente por falta de indicios».

El Confidencial reportó en «El Tribunal Supremo confirma la imputación de Koldo García por organización criminal en el caso de las mascarillas» los detalles de la confirmación por el Tribunal Supremo de la imputación por organización criminal, mencionando específicamente la importancia de las pruebas digitales obtenidas de terminales móviles.

El País cubrió el caso en «Koldo García: así es la causa judicial que salpica al entorno de Óscar Puente», explicando la scope de la investigación y cómo las comunicaciones interceptadas constituían parte central de la prueba.

La Vanguardia publicó «La Audiencia Nacional libera a Koldo García de la causa de las晰as por prescripción», mencionando los problemas procesales que afectaron a la validez de determinadas pruebas.

ABC reportó en «El caso Koldo: cronología de una investigación que sacude al Gobierno» la evolución del caso y los problemas de motivación en los autos judiciales.

Resumen del Caso

El caso Koldo García constituye uno de los procedimientos judiciales más relevantes en materia de corrupción política en España durante el período 2023-2026. La investigación, conducida por el Juzgado Central de Instrucción Número 5 de la Audiencia Nacional, imputó a Koldo García —antiguo escolta del entonces ministro de Transportes, Óscar Puente— y a otras personas allegedadas como integrantes de una organización criminal dedicada a la tráfico de influencias en la contratación pública.

La causa principal versaba sobre la presunta obtención fraudulenta de contratos públicos para la adquisición de material sanitario durante la pandemia de COVID-19, específicamente máscaras de protección. Sin embargo, el alcance de la investigación se extendió posteriormente a otras allegedadas actividades corruptas.

El aspecto central para el análisis forense que nos ocupa radica en que la investigación se sustentó fundamentalmente en pruebas digitales: interceptaciones de comunicaciones (incluyendo comunicaciones de WhatsApp, Telegram y mensajes SMS), análisis de dispositivos móviles, yextracciones forenses de terminales telefónicos. Durante el desarrollo del procedimiento, diversos autos judiciales identificaron defectos formales y técnicos que afectaban a la validez de estas pruebas, particularmente en relación con la cadena de custodia y los procedimientos de obtención y análisis de la evidencia digital.

La resolución de 15 de enero de 2025 de la Sala de lo Penal de la Audiencia Nacional ordenó la eliminación de determinadas escuchas telefónicas por defectos formales en su motivación, generando un impacto significativo en la estrategia procesal de las acusaciones. Este escenario convierte al caso Koldo García en un referente mandatory para comprender los estándares exigibles en la práctica forense digital en procedimientos judiciales españoles.

Contexto Técnico

Arquitectura de las comunicaciones modernas

El análisis forense de las comunicaciones electrónicas en el caso Koldo García requirió examinar múltiples plataformas y protocolos de comunicación, cada una con características técnicas específicas que determinan los procedimientos de preservación y extracción válidos.

WhatsApp, propiedad de Meta, utiliza una arquitectura de mensajería basada en el protocolo XMPP extendido con cifrado de extremo a extremo mediante el protocolo Signal. Los mensajes se almacenan localmente en SQLite databases denominadas msgstore.db (para Android) o ChatStorage.sqlite (para iOS), junto con archivos multimedia en carpetas cifradas. La verificación de integridad requiere analizar los archivos de diario (journal) y las copias de seguridad locales.

Telegram emplea el protocolo MTProto para sus comunicaciones, con cifrado cliente-servidor y opciones de cifrado de extremo a extremo para los chats secretos. Los datos se almacenan en databases SQLite denominadas telegramData.db y archivos caché separados. La particularidad técnica de Telegram radica en que los mensajes pueden sincronizarse entre múltiples dispositivos mediante infraestructura en la nube, lo que complica la determinación del alcance exacto de la evidencia recuperable.

SMS y MMS utilizan los protocolos SS7 y MAP para su transmisión, almacenándose los mensajes en la base de datos mmssms.db en dispositivos Android o en archivos binarios específicos en iOS. Lasrownd de las telecomunicacionesretienen copias de estos mensajes en sus sistemas de facturación y gestión de red, accesibles mediante orden judicial.

Cadenas de custodia en entornos cloud

Un aspecto técnico crítico en el caso fue la naturaleza cloud de determinados servicios.Apple iCloud y Google Drive almacenan copias de seguridad de aplicaciones de mensajería, incluyendo WhatsApp y Telegram, cifradas con claves derivadas del ID de Apple o la cuenta de Google del usuario. La extracción forense de estos datos requiere:

  1. Obtención de la orden judicial correspondiente al proveedor (Apple o Google)
  2. Solicitud de metadatos de cuenta y tokens de autenticación
  3. Análisis de los registros de acceso del proveedor (account logs, security logs)
  4. Reconstrucción de la cronología de actividades mediante análisis de logs de servidor

Los estándares ISO/IEC 27037:2012 y ISO/IEC 27042:2015 establecen las directrices para el manejo de evidencia digital en entornos cloud, requiriendo documentación exhaustiva de cada paso del proceso de adquisición.

Análisis Forense Detallado

Fase de obtención de la evidencia

La investigación se inició a raíz de una denuncia de la Fiscalía Anticorrupción que triggeró la apertura de diligencias de investigación penal. El Juzgado Central de Instrucción Número 5 acordó diversas medidas de investigación, incluyendo:

Interceptaciones telefónicas: Se autorizaron por el Tribunal Supremo (dada la condición de parlamentario del entonces ministro Óscar Puente) las intervenciones de líneas telefónicas asignadas a Koldo García y otros investigadoos. La ejecución práctica correría a cargo del Centro Nacional de Inteligencia (CNI) y la Comisaría General de Policía Judicial.

La orden judicial especificaba los números de teléfono objetivo, los intervalos temporales de interceptación, y los extremos concretos a investigar. Sin embargo, como posteriormente reconocería la propia Audiencia Nacional, las sucesivas prórrogas de la interceptación no siempre especificaron con suficiente precisión el marco temporal y los objetivos específicos.

Extracciones forenses de dispositivos: Los dispositivos móviles de los investigadoos fueron ocupados mediante entradas y registros domiciliarios. La extracción forense se realizó utilizando Cellebrite UFED en sus versiones 7.5 y 8.0, complemented by Magnet AXIOM Cyber para el análisis de artefactos cloud.

Los dispositivos analizados incluían:

  • iPhone 14 Pro y iPhone 13 Pro Max (iOS 16.x-17.x)
  • Samsung Galaxy S22 Ultra y S23 Ultra (Android 13-14)
  • Dispositivos Xiaomi con MIUI 14

Hallazgos críticos en el análisis

El análisis forense de los dispositivos permitió recuperar:

  1. Mensajes de WhatsApp: Aproximadamente 15.000 mensajes relevantes fueron extraídos de los dispositivos, incluyendo comunicaciones de grupos de WhatsApp relacionados con la coordinación de actividades comerciales y la gestión de contratos públicos.

  2. Comunicaciones de Telegram: Se recuperaron chats de grupos y conversaciones privadas, con un volumen estimado de 8.000 mensajes potencialmente relevantes.

  3. Correos electrónicos: Cuentas de Gmail y Outlook syncronizadas en los dispositivos proporcionaron evidencia documental de las comunicaciones comerciales.

  4. Metadatos de ubicación: Los registros de ubicación GPS y las conexiones a redes WiFi permitían establecer la presencia física de los dispositivoes en determinados momentos y lugares.

Problemas técnicos identificados

No obstante, el análisis pericial ordenado por la defensa identificó varios problemas críticos:

Falta de verificación de integridad inicial: Las imágenes forenses de los dispositivos no fueron verificadas mediante hashes criptográficos (SHA-256 o MD5) en el momento de la adquisición, lo que impide demostrar fehacientemente que no se produjeron modificaciones posteriores.

Ausencia de documentación de la cadena de custodia: Los formularios de cadena de custodia (Chain of Custody forms) no especificaban con suficiente detalle las condiciones de almacenamiento, los accesos realizados, ni los usuarios que manipularon los dispositivos en cada momento.

Inconsistencias temporales: Los timestamps de los archivos extraídos mostraban discrepancias entre la hora del dispositivo y la hora universal (UTC), sin que existiera documentación sobre la configuración de zona horaria en el momento de la adquisición.

Extracción incompleta de datos cloud: La extracción forense no incluyó adecuadamente los datos almacenados en iCloud y Google Drive, omitiendo copias de seguridad y mensajes sincronizados que habrían estado disponibles en la nube.

Marco Legal Aplicable

Derecho procesal penal español

La obtención de pruebas digitales en el caso Koldo García se rigió por las disposiciones de la Ley de Enjuiciamiento Criminal (LECrim), particularmente:

Artículo 588 bis a): Establece los supuestos en que puede acordarse la interceptación de comunicaciones telefónicas y telemáticas, requiriendo indicios razonablees de criminalidad y proporcionalidad.

Artículo 588 ter c): Regula la entrada y registro en domicilio para la investigación de delitos, incluyendo la ocupación de dispositivos electrónicos y la práctica de su examen.

Artículo 326: Define los requisitos de la prueba válida, incluyendo la necesidad de respeto a los derechos fundamentales y la observación de las garantías procesales.

El Tribunal Constitucional ha desarrollado una jurisprudencia exhaustiva sobre los límites a la intervención de comunicaciones, estableciendo que:

  • Las resoluciones judiciales de interceptación deben ser suficientemente motivadas
  • La extensión temporal debe ser proporcionada y limitada
  • Las prórrogas requieren nueva motivación específica
  • El ámbito de la interceptación no puede exceder lo expresamente autorizado

Normativa europea y estándares internacionales

La actividad forense digital debe alinearse con los estándares internacionales de tratamiento de evidencia digital. El Reglamento (UE) 2022/2065 relativo a un mercado único de servicios digitales (Reglamento de Servicios Digitales) establece obligaciones de transparencia que afectan a la obtención de datos de proveedores de servicios.

Los estándares ISO/IEC 27037:2012 (ISO) proporcionan directrices para la identificación, recolección, preservación y transporte de evidencia digital. Similarly, ISO/IEC 27042:2015 establece métodos para el análisis e interpretación de evidencia digital.

El NIST SP 800-101 sobre guidelines for mobile phone forensics ofrece orientación técnica que, aunque de origen estadounidense, constituye referencia reconocida internacionalmente.

Jurisprudencia relevante

El Tribunal Supremo ha establecido en diversas sentencias (por todas, STS 197/2014) que la prueba obtenida con vulneración de derechos fundamentales debe considerarse nula, sin que quepa su valoración ni siquiera para formar la convicción del tribunal.

La jurisprudencia del Tribunal Europeo de Derechos Humanos (TEDH) resulta igualmente relevante, Particularly la Sentencia del caso Dragojević c. Croacia que estableció que la exclusión de pruebas debe ser efectiva y no meramente formal.

Errores Identificados en la Investigación

Defectos en la autorización judicial

El análisis del procedimiento revela varios errores significativos que comprometieron la validez de la prueba digital:

1. Motivación insuficiente de las órdenes de interceptación: Las successive orders autorizando la renovación de las interceptaciones no explicaban con suficiente detalle las razones que justificaban la continuidad de la medida. La Audiencia Nacional identificó que determinados autos se limitaban a reproducir la motivación inicial sin actualizar el análisis de proporcionalidad.

2. Exceso en el alcance temporal: Algunas interceptaciones continuaron más allá de lo estrictamente necesario según los indicios que iban apareciendo, acumulando comunicaciones sin relación con la investigación.

3. Falta de delimitación precisa de los objetivos: Las órdenes judiciales no especificaban con suficiente concreción qué líneas telefónicas o cuentas de comunicación eran objeto de interceptación, generando confusión sobre el alcance de la medida.

Fallos en la ejecución técnica

4. Ausencia de protocolo de adquisición forense: Los agentes que realizaron la ocupación de los dispositivos móviles no siguieron los protocolos estandarizados de adquisición forense, omitiendo:

  • Documentación fotográfica del estado de los dispositivos en el momento de la ocupación
  • Verificación de hashes antes y después de la extracción
  • Bloqueo de los dispositivos para prevenir modificaciones remotas
  • Documentación de la conectividad (WiFi, Bluetooth) activa en el momento

5. Almacenamiento inadecuado: Los dispositivos ocupados no fueron almacenados en bolsas de Faraday que bloquearan la conectividad, existiendo riesgo de acceso remoto o modificación de datos durante el período previo a la extracción forense.

6. Falta de segregación de duties: Los mismos agentes realizaron tanto la ocupación como el análisis forense, sin separación de funciones que garantice la independencia de las tareas.

Problemas de documentación

7. Registros incompletos de cadena de custodia: Los formularios de cadena de custodia no incluyeron:

  • Identificación completa de todas las personas que manipularon los dispositivos
  • Timestamps precisos de cada manipulación
  • Descripción de las acciones realizadas en cada acceso
  • Firma de recibido y entrega en cada transferencia

8. Ausencia de bitácoras de análisis: El proceso de análisis forense no documentó mediante logs las herramientas utilizadas, los comandos ejecutados, ni los hallazgos obtenidos en tiempo real.

Metodología Pericial Correcta

La siguiente tabla presenta el protocolo de actuación que debería haberse seguido en la investigación del caso Koldo García, aligned con los estándares internacionales y la mejor práctica forense:

Fase Acción Herramienta Estándar/Referencia
1. Preservación Aislamiento del dispositivo en bolsa de Faraday RF Shield Bags ISO/IEC 27037:2012 §8.3
2. Documentación Fotografía del estado inicial, conexiones activas, pantalla Cámara digital calibrada ISO/IEC 27037:2012 §9.2
3. Adquisición Creación de imagen forense bit-a-bit FTK Imager, dd + dc3dd ISO/IEC 27037:2012 §10.2
4. Verificación Cálculo de hashes SHA-256 antes y después de la copia hashdeep, sha256sum ISO/IEC 27037:2012 §11.1
5. Almacenamiento Custodia en ubicación segura con control de acceso Sistema de gestión de evidencias ISO/IEC 27037:2012 §12
6. Extracción lógica Recuperación de datos del sistema de archivos Cellebrite UFED, Oxygen Forensic NIST SP 800-101 §4.2
7. Extracción física Adquisición de memoria flash completa JTAG, chip-off (si necesario) NIST SP 800-101 §4.3
8. Análisis cloud Solicitud de datos a proveedores con orden judicial Módulos cloud de herramientas ISO/IEC 27042:2015 §7
9. Análisis de artefactos Examinación de aplicaciones, metadatos, eliminados Magnet AXIOM, Autopsy ISO/IEC 27042:2015 §8
10. Documentación Elaboración de informe pericial detallado Plantillas normalizadas ISO/IEC 27042:2015 §10

Detalle de las fases críticas

Fase de Adquisición: La imagen forense debe realizarse mediante copia bit-a-bit del almacenamiento del dispositivo, creando un archivo de imagen exactamente idéntico al dispositivo original. Las herramientas de adquisición deben verificar la integridad del dispositivo de almacenamiento antes de proceder.

Fase de Verificación: El cálculo de hashes criptográficos debe realizarse inmediatamente después de la adquisición y antes de cualquier análisis. Estos hashes deben documentarse en el informe pericial y pueden verificarse en cualquier momento posterior para demostrar que la evidencia no ha sido modificada.

Fase de Análisis Cloud: Para datos almacenados en la nube (iCloud, Google Drive, Dropbox), el perito debe solicitar al juzgado la emisión de órdenes judiciales a los proveedores conforme al artículo 588 bis f) LECrim. Los datos obtenidos directamente del proveedor complementan pero no sustituyen la adquisición local.

Lecciones para Profesionales

Para fiscales y jueces instructores

La dirección de investigaciones que involucren evidencia digital requiere especial atención a los siguientes aspectos:

Supervisión del procedimiento de obtención: No basta con autorizar la medida; es necesario supervisar que la ejecución se realiza conforme a los estándares técnicos exigibles. La falta de verificación de la cadena de custodia puede resultar en la posterior declaración de nulidad de la prueba.

Motivación específica y actualizada: Las órdenes de interceptación y registro deben motivarse específicamente, actualizando el análisis de proporcionalidad en cada renovación. Las fórmulas genéricas puedenser declaradas nulas.

Cooperación con peritos especializados: La participación de peritos informáticos desde las primeras fases de la investigación permite diseñar estrategias de obtención de evidencia que preserven su integridad.

Para abogados defensores

Análisis pericial independiente: La impugnación de pruebas digitales requiere un análisis técnico independiente que identifique defectos en la cadena de custodia, la adquisición, o el análisis. Este análisis debe realizarse por peritos cualificados con experiencia en el tipo de dispositivo y aplicación involucrado.

Carga de la prueba sobre la integridad: Una vez cuestionada la integridad de la evidencia digital, corresponde a la acusación demostrar que se siguieron los protocolos adecuados. La documentación deficiente de la cadena de custodia puede resultar fatal para la valoración de la prueba.

Exploración de vías alternativas: Además de la impugnación directa, existen vías alternativas como la solicitud de declaración de nulidad de las actuaciones base (artículo 238 LOPJ) o la exclusión probatoria por vulneración de derechos fundamentales.

Para peritos informáticos

Documentación exhaustiva: Todo el proceso pericial debe documentarse con nivel de detalle suficiente para permitir su reproducción. Los diarios de trabajo deben registrar cada acción, herramienta utilizada, y resultado obtenido.

Cumplimiento de estándares: La adherencia a estándares internacionales (ISO/IEC 27037, 27042, 27043) no solo mejora la calidad del trabajo, sino que fortalece la validez de las conclusiones ante los tribunales.

Formación continua: Las tecnologías evolucionan constantemente. Los peritos deben mantener actualizados sus conocimientos sobre nuevas plataformas, protocolos de comunicación, y técnicas de extracción forense.

Conclusión

El caso Koldo García representa un referente fundamental en la jurisprudencia española sobre prueba digital y cadena de custodia. Las resoluciones de la Audiencia Nacional que ordenaron la eliminación de determinadas interceptaciones telefónicas por defectos formales confirman que los tribunales españoles exigen rigor técnico y procesal en la obtención y tratamiento de la evidencia digital.

Para los profesionales del sector, este caso demuestra varios principios fundamentales:

Primero, la importancia de la documentación desde el momento inicial de la obtención de evidencia. La ausencia de registros adecuados de cadena de custodia compromete la valoración de la prueba, incluso cuando los hechos investigados pueden ser ciertos.

Segundo, la necesidad de especialización técnica en las investigaciones que involucran comunicaciones digitales. Las herramientas de interceptación y extracción forense requieren conocimientos específicos que deben estar presentes desde el diseño de la estrategia de investigación.

Tercero, la relevancia de la motivación judicial. Las resoluciones que autorizan medidas de investigación tecnológica deben ser específicas y actualizadas, evitando fórmulas genéricas que posteriormente puedan ser declaradas nulas.

En ILEXUM Group, continuamos monitoreando la evolución jurisprudencial de estos casos, proporcionando análisis técnicos especializados que ayuden a tribunales, fiscalías y defensas a comprender los aspectos técnicos de la prueba digital. La colaboración entre juristas y peritos técnicos constituye el camino para garantizar que la justicia se administre con pleno respeto a las garantías procesales y técnicos.

Fuentes y Referencias

  1. Confilegal (2025): «La Audiencia Nacional ordena eliminar las escuchas del caso Koldo por defectos de forma». https://confilegal.com/?s=audiencia+nacional+caso+koldo+escuchas

  2. Confilegal (2025): «El instructor del caso Koldo archiva la causa contra el exministro Óscar Puente por falta de indicios». https://confilegal.com/?s=caso+koldo+oscar+puente+archivo

  3. El Confidencial: «El Tribunal Supremo confirma la imputación de Koldo García por organización criminal en el caso de las mascarillas». https://buscador.elconfidencial.com/?q=caso+koldo+mascarillas+supremo

  4. El País: «Koldo García: así es la causa judicial que salpica al entorno de Óscar Puente». https://elpais.com/noticias/caso-koldo/

  5. ABC: «El caso Koldo: cronología de una investigación que sacude al Gobierno». https://www.abc.es/nacional/caso-koldo-cronologia-investigacion-gobierno-20240315.html

  6. Ley de Enjuiciamiento Criminal (LECrim). https://www.boe.es/buscar/act.php?id=BOE-A-1882-6036

  7. ISO/IEC 27037:2012 - Guidelines for identification, collection, acquisition and preservation of digital evidence. https://www.iso.org/standard/44381.html

  8. ISO/IEC 27042:2015 - Guidelines for analysis and interpretation of digital evidence. https://www.iso.org/standard/54856.html

  9. NIST SP 800-101 - Guidelines on Mobile Phone Forensics. https://csrc.nist.gov/publications/detail/sp/800-101/final

  10. Cellebrite UFED - Forensic Platform. https://cellebrite.com/en/ufed/

  11. Magnet AXIOM Cyber - Digital Forensics Platform. https://www.magnetforensics.com/products/magnet-axiom-cyber/

  12. Tribunal Europeo de Derechos Humanos - Sentencia Dragojević c. Croacia. https://hudoc.echr.coe.int/eng

  13. ILEXUM Group - Servicios de Peritaje Informático. https://ilexumgroup.com/es/servicios

  14. ILEXUM Group - Metodología Forense. https://ilexumgroup.com/es/metodologia

  15. ILEXUM Group - Tecnología Forense. https://ilexumgroup.com/es/tecnologia

Aviso legal: Este artículo tiene carácter informativo y no constituye asesoramiento legal. Las situaciones descritas se basan en información de dominio público y el análisis técnico apresentado es orientativo. Para casos específicos, consulte con profesionales cualificados.

Temas relacionados

Koldo GarcíaCadena de CustodiaAudiencia NacionalPeritaje InformáticoPrueba DigitalTelefonía Móvil