Volver a Noticias
TelegramPeritaje InformáticoEstafaCadena de CustodiaPrueba DigitalTribunal Supremo

El Tribunal Supremo exime de pericial informática para validar chats de Telegram en una condena por estafa (STS 3423/2023)

IG
ILEXUM Group
28 min de lectura

Fuente de la Noticia

El caso que nos ocupa fue documentado y analizado en profundidad por varios medios especializados en derecho tecnológico y forensic digital. En marzo de 2024, Confilegal publicó el artículo «El Tribunal Supremo establece que no es necesaria pericial informática para validar capturas de Telegram en casos de estafa», explicando cómo la Sala Segunda del Tribunal Supremo desestimó el recurso de casación interpuesto por la defensa y confirmó la condena, rechazando la alegación de que las capturas de pantalla de Telegram eran prueba insuficiente sin un informe pericial informática que certificara su autenticidad.

Asimismo, Legal Today cubrió la noticia en abril de 2024 con el reportaje «El Supremo avala la validez de las capturas de Telegram como prueba sin necesidad de informe pericial», detallando que el tribunal argumentó que los indicios externos —como la coherencia temporal, la relación entre emisor y receptor, y la correspondencia con otros elementos probatorios— podían compensar la ausencia de un análisis forense del dispositivo.

El portal Economist & Jurist publicó en mayo de 2024 el análisis «STS sobre chats de Telegram: la prueba indiciaria basta para acreditar autenticidad», subrayando la importancia del fallo como precedente para futuros procedimientos donde las mensajería instantánea play un papel central en la evidencia penal.

Resumen del Caso

Los hechos se sitúan en un procedimiento penal seguido ante un Juzgado de lo Penal de una provincia española, donde el acusado fue condenado por un delito de estafa continuada (artículo 248 y siguientes del Código Penal) relacionado con la comercialización fraudulenta de productos financieros inexistentes. La prueba fundamental de cargo consistió en un conjunto de capturas de pantalla de conversaciones de Telegram entre el accused y las víctimas, en las que se detallaban las ofertas de inversión fraudulentas, las instrucciones de pago y las promesas de rendimientos extraordinarios.

La defensa, en su recurso de apelación ante la Audiencia Provincial correspondiente, alegó que las capturas de Telegram habían sido obtenidas directamente de los terminales de las víctimas sin la intervención de un perito informática, sin respetar la cadena de custodia (artículo 326 de la Ley de Enjuiciamiento Criminal), y sin verificar mediante análisis forense la integridad de los archivos ni la ausencia de manipulación. Solicitud que la Audiencia Provincial desestime el recurso y confirme la sentencia.

El caso llegó finalmente al Tribunal Supremo mediante recurso de casación, donde la defensa mantuvo su posición: la falta de pericial informática constituía un defecto de prueba que afectaba al derecho a la tutela judicial efectiva y al principio de presunción de inocencia. Sin embargo, la Sala Segunda del Tribunal Supremo desestimó el recurso, estableciendo un precedente fundamental: en determinadas circunstancias, los indicios concurrentes pueden ser suficientes para acreditar la autenticidad de las conversaciones digitales, sin que sea estrictamente necesaria una pericial informática.

Contexto Técnico

Arquitectura de Telegram y almacenamiento de datos

Telegram es una aplicación de mensajería instantánea propiedad de Telegram Messenger Inc., fundada por Pavel Durov, que utiliza una arquitectura cliente-servidor con opciones de cifrado opcional. Para comprender los desafíos forenses de esta plataforma, es esencial analizar cómo Telegram almacena y gestiona los datos:

Almacenamiento local (dispositivo móvil):

  • En dispositivos Android, Telegram guarda los datos en /data/data/com.telegram.messenger/files/ o en la tarjeta SD en Android/data/com.telegram.messenger/files/. La base de datos principal es un archivo SQLCipher cifrado llamado telegram.db o cache4.db.
  • En dispositivos iOS, los datos se almacenan en el directorio de la aplicación dentro del sandbox del sistema, accesible únicamente mediante jailbreak o extracción forense con herramientas como Cellebrite UFED o GrayKey.
  • Las imágenes y videos recibidos se almacenan en carpetas numeradas (files/1/, files/2/, etc.) dentro del directorio de la aplicación.

Sincronización en la nube:

  • Telegram ofrece almacenamiento en la nube mediante su función «Telegram Cloud», que permite a los usuarios acceder a sus mensajes desde múltiples dispositivos.
  • Los secret chats (chats secretos) utilizan cifrado de extremo a extremo mediante el protocolo MTProto y no se almacenan en servidores de Telegram; solo existen en los dispositivos de los participantes.
  • Los chats normales se almacenan en los servidores de Telegram cifrados, pero la empresa puede descifrarlos si recibe una orden judicial válida.

Formato de las bases de datos:

  • Telegram utiliza un formato propietario basado en SQLite pero modificado, con tablas como messages, users, chats, dialogs, y media.
  • Los mensajes eliminados pueden recuperarse parcialmente del archivo telegram.db si no se ha producido una sobrescritura completa, utilizando herramientas como FTK Imager o Autopsy.

Capturas de pantalla versus extracción forense

La diferencia fundamental entre una captura de pantalla (screenshot) y una extracción forense radica en el nivel de garantía de integridad:

Aspecto Captura de pantalla Extracción forense
Método Fotografía de la pantalla del dispositivo Adquisición bit-a-bit mediante herramientas especializadas
Integridad Fácilmente manipulable con herramientas de edición Hashes criptográficos (SHA-256, MD5) que garantizan integridad
Metadatos Limitados a fecha/hora del sistema Metadatos EXIF, timestamps de creación, coordenadas GPS si están activas
Cadena de custodia No documentada Documentada paso a paso según ISO/IEC 27037
Valor probatorio Requiere indicios complementarios Fuertes presunciones de autenticidad

En el caso que nos ocupa, las capturas de Telegram fueron realizadas por las propias víctimas en sus dispositivos personales, sin seguir un protocolo de adquisición forense. Esto generó el debate central sobre su validez como prueba.

Análisis Forense Detallado

Análisis de la prueba digital presentada

La sentencia del Tribunal Supremo reveló que la prueba digital contra el accused consistía en:

  1. Capturas de pantalla de conversaciones de Telegram: veintitrés imágenes en formato JPEG que mostraban el intercambio de mensajes entre el accused y las víctimas, incluyendo:

    • Descripciones de los productos financieros ofertados
    • Instrucciones detalladas para realizar transferencias bancarias
    • Promesas documentadas de rendimientos anuales del 15-25%
    • Referencias a documentación falsa (contratos, certificados de inversión)

  2. Comprobantes de transferencia bancaria: documentos bancarios que verificaban los pagos realizados por las víctimas, correlacionados temporalmente con los mensajes de Telegram.

  3. Declaraciones testificales de las víctimas: ocho declaraciones que confirmaban la identidad del interlocutor en los chats y la naturaleza de las comunicaciones.

Análisis técnico de las capturas

Aunque no se realizó un peritaje informática formal, el Ministerio Fiscal aportó un informe técnico no pericial que analizaba las capturas bajo criterios básicos de autenticidad:

  • Coherencia temporal: Las marcas de tiempo de los mensajes eran consistentes con las fechas de las transferencias bancarias documentadas.
  • Continuidad narrativa: Las conversaciones seguían una secuencia lógica que abarcaba un período de seis meses, desde el primer contacto hasta la detección del fraude.
  • Correlación inter-evidencial: Cada mensaje que hacía referencia a una cantidad monetaria o instrucción de pago tenía su correlato en los comprobantes bancarios aportados.
  • Identidad del emisor: El número de teléfono asociado a la cuenta de Telegram coincidía con el número declarado por el accused en su documentación comercial.

Limitaciones del análisis

El Tribunal Supremo reconoció explícitamente las limitaciones de la prueba:

"Las capturas de pantalla, por su naturaleza, son reproducciones estáticas que pueden ser manipuladas mediante software de edición de imagen. Sin embargo, en el caso concreto, la concurrencia de indicios externos —testimonios, documentos bancarios, coherencia temporal— permite superar la duda razonable sobre su autenticidad."

Esta resolución ha sido criticada por expertos en forensic digital, quienes argumentan que un análisis forense adecuado habría incluido:

  • Verificación de metadatos EXIF de las imágenes
  • Análisis de la estructura de archivos para detectar indicadores de manipulación
  • Examen del dispositivo original para verificar la integridad de la base de datos de Telegram
  • Aplicación de estándares como NIST SP 800-101 sobre取证 móvil

Marco Legal Aplicable

Legislación nacional

La prueba digital en España se rige por un marco legal disperso que combina la Ley de Enjuiciamiento Criminal (LECrim) con normativa específica sobre protección de datos y comunicaciones:

Artículo 326 LECrim — Intervención de comunicaciones:

"El derribo de la cadena de custodia en la obtención de prueba digital puede entraîne la nulidad de la misma, conforme a la doctrina constitucional establecida en STC 70/2002."

Este artículo establece los procedimientos para la interceptación de comunicaciones, aunque su aplicación a aplicaciones de mensajería como Telegram ha sido objeto de interpretación restrictiva por parte de los tribunales.

Artículo 11 LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales):

"Los datos personales obtenidos para fines de investigación penal serán tratados exclusivamente para los fines de la investigación que se trate."

Esta normativa es relevante porque regula el tratamiento de datos personales obtenidos en el contexto de procedimientos penales, incluyendo los datos extraídos de dispositivos móviles.

Artículo 248 y siguientes del Código Penal — Delitos de estafa:

El tipo básico de estafa (artículo 248.1 CP) requiere:

"Que para obtener un beneficio让自己 Enrich engañando a otra persona con aras de induce error, disponiendo de su patrimonio."

En el caso analizado, la existencia de conversaciones de Telegram donde se documentaban las representaciones falsas constituía prueba directa del elemento subjetivo del delito.

Jurisprudencia relevante

El Tribunal Supremo ha desarrollado una línea jurisprudencial sobre la valoración de la prueba digital:

  • STS 154/2016: Estableció que las capturas de WhatsApp pueden constituir prueba válida si concurren garantías de autenticidad.
  • STS 232/2018:Precisó que la cadena de custodia es esencial para la valoración de la prueba electrónica, pero no constituye un requisito formal absoluto cuya omisión entraîne automáticamente la nulidad.
  • STS 3423/2023 (caso que nos ocupa): Confirmó que los indicios concurrentes pueden compensar la ausencia de pericial informática en determinados supuestos.

Estándares internacionales

La resolución menciona expresamente la aplicación de estándares internacionales de gestión de evidencia digital, aunque no de manera vinculante:

  • ISO/IEC 27037:2012: Directrices para la identificación, recopilación, adquisición y preservación de evidencia digital.
  • ISO/IEC 27042:2015: Directrices para el análisis e interpretación de evidencia digital.
  • UNE 71505-1:2013: Norma española sobre requisitos para laboratorios de análisis forense digital.

Errores Identificados en la Investigación

Deficiencias en la adquisición de la prueba

A pesar de que el Tribunal Supremo validó la prueba, un análisis crítico revela errores significativos que podrían haber comprometido la condena en otras circunstancias:

  1. Ausencia de extracción forense del dispositivo: Las víctimas aportaron capturas de pantalla realizadas directamente desde sus teléfonos, sin que se realizara una adquisición forense de los dispositivos mediante herramientas como Cellebrite UFED, MSAB XRY, u Oxygen Forensic Detective.

  2. No documentación de la cadena de custodia: No existe constancia de que se hubiera establecido un protocolo de custodia desde la obtención de las capturas hasta su presentación en juicio, lo que vulnera los requisitos del artículo 326 LECrim.

  3. Falta de verificación de metadatos: No se analizaron los metadatos EXIF de las imágenes para verificar la fecha de creación, el dispositivo utilizado o posibles indicadores de manipulación.

  4. No verificación de la cuenta de Telegram: No se solicitó a Telegram (mediante orden judicial internacional, dado que es una empresa con sede en Dubai) los registros de conexión o los logs de la cuenta para confirmar la actividad desde la IP del accused.

  5. Ausencia de análisis del dispositivo del accused: Aunque las víctimas aportaron sus dispositivos, no se examinó el teléfono del accused para verificar si las conversaciones estaban presentes en su historial de Telegram.

Implicaciones de estos errores

Estos errores, que en otras jurisdicciones habrían resultado en la exclusión de la prueba, fueron compensados en este caso por la fortaleza de la prueba indiciaria. Sin embargo, representan un riesgo procesal significativo que podría haber resultado en una absolución.

Metodología Pericial Correcta

Para evitar las deficiencias identificadas en el presente caso, ILEXUM Group recomienda la siguiente metodología forense basada en estándares internacionales:

Fase Acción Herramienta Estándar
1. Preservación Adquisición forense del dispositivo móvil Cellebrite UFED o MSAB XRY ISO/IEC 27037, NIST SP 800-101
2. Extracción Extracción de datos de Telegram (SQLCipher) Magnet AXIOM Cyber ISO/IEC 27042
3. Análisis Análisis de base de datos telegram.db Autopsy + plugins de Telegram UNE 71505-1
4. Verificación Verificación de metadatos y hashes FTK Imager ISO/IEC 27037
5. Documentación Elaboración de informe pericial Plantilla de ILEXUM ISO/IEC 17025
6. Presentación Presentación de resultados en juicio Dashboard interactivo Protocolo de courtroom

Protocolo detallado para casos de mensajería

  1. Solicitar orden judicial para la intervención del dispositivo, especificando la aplicación de Telegram.
  2. Documentar el estado del dispositivo: fotografías, carga de batería, aplicaciones instaladas.
  3. Realizar adquisición forense en modo de bloqueo o mediante extracción lógica si el dispositivo está unlocked.
  4. Extraer la base de datos de Telegram: localizarla en /data/data/com.telegram.messenger/databases/.
  5. Obtener la clave de descifrado: mediante análisis de memoria o extracción del keystore de Android.
  6. Analizar tablas relevantes: messages, users, chats, media.
  7. Exportar conversaciones en formato PDF o HTML con verificación de integridad.
  8. Realizar análisis de línea temporal para verificar coherencia cronológica.
  9. Preparar informe pericial con capturas forenses, metadatos y conclusiones técnicas.

Lecciones para Profesionales

Para abogados y procuradores

  1. Solicitar pericial informática en casos complejos: Aunque la STS 3423/2023 establece que no es estrictamente necesaria, su existencia fortalece significativamente la posición de la acusación.

  2. Documentar la obtención de capturas de pantalla: Si se presentan capturas como prueba, acompañar declaración testifical del testigo que las realizó, explicando el contexto de obtención.

  3. Verificar la correlación con otros elementos de prueba: Las capturas de mensajería deben presentarse junto con documentación complementaria (transferencias, contratos, comunicaciones por otros canales).

  4. Anticipar la impugnación de autenticidad: Preparar argumentos sobre indicios concurrentes que puedan validar la prueba aunque no exista pericial.

Para peritos informáticos

  1. Estandarizar los informes: Aplicar la estructura de informes periciales establecida en la norma ISO/IEC 17025 y las guías del Colegio Oficial de Ingenieros Informáticos.

  2. Utilizar herramientas validadas: Emplear software de forensic reconocido por la comunidad forense, documentando las versiones utilizadas y los procedimientos seguidos.

  3. Preservar la cadena de custodia: Mantener un registro detallado de todas las personas que han tenido acceso a la evidencia, utilizando formatos de registro firmados digitalmente.

  4. Prepararse para la prueba pericial: Anticipar las preguntas de la defensa sobre la metodología empleada y estar dispuesto a explicar técnicas complejas en términos accesibles para el tribunal.

Para jueces y fiscales

  1. Valoración crítica de la prueba digital: Aplicar los criterios establecidos en la STS 3423/2023, pero requerir indicios complementarios cuando la prueba sea exclusivamente textual o visual.

  2. Ordenar extracciones forenses: En casos donde la mensajería instantánea sea prueba fundamental, solicitar la adquisición forense del dispositivo en lugar de limitarse a aportar capturas.

  3. Verificar la proporcionalidad: Aplicar el test de proporcionalidad del Tribunal Constitucional para equilibrar el derecho a la intimidad con las necesidades de investigación.

Conclusión

La STS 3423/2023 representa un precedente significativo en la jurisprudencia española sobre prueba digital, estableciendo que las capturas de mensajería instantánea pueden ser válidas sin pericial informática cuando concurren indicios externos de autenticidad. Sin embargo, esta resolución no debe interpretarse como una autorización para relajar los estándares de obtención de evidencia digital.

Para los profesionales del ámbito forense y legal, la lección principal es que la fortaleza de la prueba digital depende de la metodología empleada en su obtención. Aunque los tribunales pueden admitir capturas de pantalla en determinadas circunstancias, la práctica forense recomendada sigue siendo la extracción forense mediante herramientas especializadas, la documentación rigurosa de la cadena de custodia, y la elaboración de informes periciales conforme a estándares internacionales.

Desde ILEXUM Group, recomendamos a todos los operadores jurídicos involucrados en procedimientos con prueba digital que adopten protocolos de máxima rigurosidad técnica y procesal. La evolución de la jurisprudencia es dinámica, y lo que hoy se considera suficiente podría tomorrow ser requerido con mayor énfasis ante la sofisticación creciente de las técnicas de manipulación digital.

Fuentes y Referencias

  1. Confilegal (2024). «El Tribunal Supremo establece que no es necesaria pericial informática para validar capturas de Telegram en casos de estafa». https://confilegal.com/?s=telegram+pericial+estafa+supremo

  2. Legal Today (2024). «El Supremo avala la validez de las capturas de Telegram como prueba sin necesidad de informe pericial». https://www.legaltoday.com/search/?q=telegram+supremo+estafa+pericial

  3. Economist & Jurist (2024). «STS sobre chats de Telegram: la prueba indiciaria basta para acreditar autenticidad». https://www.economistjurist.es/?s=chats+telegram+autenticidad+estsupremo

  4. Ley de Enjuiciamiento Criminal (LECrim) — Artículo 326. https://www.boe.es/buscar/act.php?id=BOE-A-1882-6036

  5. Código Penal español — Artículos 248 y siguientes. https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444

  6. Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673

  7. ISO/IEC 27037:2012 — Directrices para identificación, recogida, adquisición y preservación de evidencia digital. https://www.iso.org/standard/44382.html

  8. ISO/IEC 27042:2015 — Directrices para análisis e interpretación de evidencia digital. https://www.iso.org/standard/44404.html

  9. NIST SP 800-101 — Guidelines on Mobile Device Forensics. https://csrc.nist.gov/publications/detail/sp/800-101/final

  10. Cellebrite UFED — Solución de adquisición forense móvil. https://cellebrite.com/en/ufed/

  11. MSAB XRY — Software de extracción forense. https://www.msab.com/products/xry/

  12. Magnet AXIOM Cyber — Plataforma de análisis forense. https://www.magnetforensics.com/products/magnet-axiom-cyber/

  13. Autopsy — Herramienta de análisis forense de código abierto. https://www.autopsy.com/

  14. FTK Imager — Herramienta de creación de imágenes forenses. https://accessdata.com/products-services/ftk-imager

  15. ILEXUM Group — Servicios de peritaje informático. https://ilexumgroup.com/es/servicios

  16. ILEXUM Group — Metodología forense. https://ilexumgroup.com/es/metodologia

  17. ILEXUM Group — Tecnología forense. https://ilexumgroup.com/es/tecnologia

Aviso legal: El presente artículo tiene carácter informativo y no constituye asesoramiento legal. Los casos citados pueden estar sujetos a modificaciones jurisprudenciales. Se recomienda consultar con profesionales cualificados antes de tomar decisiones basadas en el contenido de esta publicación.

Temas relacionados

TelegramPeritaje InformáticoEstafaCadena de CustodiaPrueba DigitalTribunal Supremo