Resumen
WhatsApp puede ser una fuente relevante de evidencia digital, pero las conversaciones deben preservarse con cuidado. Una captura de pantalla puede orientar la investigación, aunque por sí sola suele ser más débil que una extracción documentada desde el dispositivo o una exportación correctamente custodiada.
Riesgos probatorios
- Capturas editadas, recortadas o fuera de contexto.
- Fechas y horas sin zona horaria o sin referencia del dispositivo.
- Mensajes borrados, editados, reenviados o sin continuidad conversacional.
- Exportaciones sin identificación clara del teléfono, cuenta o usuario.
- Pérdida de metadatos cuando se reenvían archivos o capturas.
Preservación inicial
Debe documentarse el dispositivo, número, usuario, fecha, hora, estado de encendido, condición de red, persona que entrega el equipo y finalidad del acceso. En casos sensibles, conviene evitar navegar o abrir conversaciones sin plan técnico, porque la interacción puede alterar estados, recibos, fechas o artefactos.
Extracción forense
Cuando el caso lo requiere, una extracción lógica, sistema de archivos, backup o adquisición soportada por herramienta forense permite documentar más información que una simple captura. El alcance depende del modelo, sistema operativo, permisos, cifrado, estado del dispositivo y herramienta disponible.
- Registrar cadena de custodia desde el primer contacto.
- Preservar el dispositivo y reducir riesgos de conexión remota.
- Identificar método de extracción y herramienta usada.
- Conservar archivos, reportes y hashes de paquetes de evidencia.
- Explicar limitaciones: mensajes eliminados, cifrado, backups o artefactos no recuperables.