Presentación técnica

WhatsApp como evidencia digital

Preservación, extracción y explicación pericial. Material para capacitación, litigio y explicación pericial.

01 / 30

Problema

WhatsApp como evidencia

WhatsApp puede aportar conversaciones, archivos, audios, imágenes, contactos, grupos y metadatos relevantes.

02 / 30

Puntos clave síntesis

CuentaNúmero y usuario.

ConversaciónParticipantes y fechas.

ArchivosMedios asociados.

ContextoContinuidad y origen.

Capturas

Valor y límite

Las capturas ayudan a orientar, pero pueden ser recortadas, editadas o quedar fuera de contexto.

03 / 30

Puntos clave síntesis

CuentaNúmero y usuario.

ConversaciónParticipantes y fechas.

ArchivosMedios asociados.

ContextoContinuidad y origen.

Dispositivo

Fuente principal

El dispositivo suele ser la fuente más importante para validar conversación, cuenta, contexto y archivos.

04 / 30

Puntos clave síntesis

CuentaNúmero y usuario.

ConversaciónParticipantes y fechas.

ArchivosMedios asociados.

ContextoContinuidad y origen.

Exportación

Uso práctico

La exportación puede organizar contenido, pero debe documentarse con fuente, fecha, responsable y limitaciones.

05 / 30

Puntos clave síntesis

CuentaNúmero y usuario.

ConversaciónParticipantes y fechas.

ArchivosMedios asociados.

ContextoContinuidad y origen.

Extracción

Nivel forense

Una extracción forense puede recuperar más contexto que una captura, dependiendo del dispositivo, permisos y cifrado.

06 / 30

Puntos clave síntesis

CuentaNúmero y usuario.

ConversaciónParticipantes y fechas.

ArchivosMedios asociados.

ContextoContinuidad y origen.

Visual

Informe WhatsApp

El material existente permite explicar cómo se estructura un reporte de conversaciones y hallazgos.

07 / 30

Visual informe

Visual

Carátula de informe

La presentación del informe ayuda a ordenar caso, partes, fechas, alcance y responsable técnico.

08 / 30

Visual carátula

Preservación

Primer contacto

Antes de abrir o manipular chats, documente estado del dispositivo, persona que entrega, fecha, hora y autorización.

09 / 30

Secuencia proceso

1Identificar dispositivo

2Registrar cuenta/número

3Documentar estado

4Definir método de preservación

Conectividad

Riesgo de cambios remotos

Los móviles pueden sincronizar, recibir mensajes, borrar contenido o cambiar estados. La preservación debe considerar conectividad y batería.

10 / 30

Puntos clave síntesis

RedWi-Fi/datos.

BateríaEstado.

SincronizaciónCambios remotos.

BloqueoAcceso controlado.

Cifrado

Qué implica

El cifrado protege comunicaciones y backups, pero la evidencia suele obtenerse de dispositivos, respaldos o exportaciones autorizadas.

11 / 30

Comparativo criterios

Protege

Contenido en tránsito
Backups cifrados
Privacidad

No elimina

Dispositivo local
Respaldos accesibles
Metadatos y artefactos

Capturas

Buenas prácticas

Si se usan capturas, deben preservar contexto: contacto, fecha, hora, continuidad, número, pantalla completa y método.

12 / 30

Puntos clave síntesis

CompletaSin recorte.

ContextoAntes y después.

FechaVisible o documentada.

FuenteDispositivo identificado.

Exportación

Exportar chat

La exportación puede generar texto y archivos, pero debe indicarse quién la hizo, desde qué teléfono, cuándo y con qué alcance.

13 / 30

Secuencia proceso

1Identificar chat

2Exportar con/sin medios

3Registrar fecha y operador

4Custodiar paquete generado

Extracción lógica

Adquisición soportada

Puede obtener datos por herramientas forenses o backups, según sistema operativo, credenciales y permisos.

14 / 30

Puntos clave síntesis

iOSBackups y artefactos.

AndroidBases y medios.

HerramientaVersión y método.

LimitaciónCifrado/permisos.

Metadatos

Qué revisar

Fechas, remitentes, identificadores, archivos adjuntos, grupos y estados pueden reforzar o debilitar una conversación.

15 / 30

Puntos clave síntesis

FechasEnvío/recepción.

ParticipantesNúmeros y nombres.

AdjuntosRutas y archivos.

EventosBorrados/ediciones.

Mensajes borrados

Limitaciones

No siempre es posible recuperar contenido borrado. El informe debe explicar qué se buscó, qué se encontró y qué no puede afirmarse.

16 / 30

Comparativo criterios

Afirmar

Datos presentes
Artefactos visibles
Fechas verificadas

Evitar

Especular contenido
Prometer recuperación
Ignorar cifrado

Archivos multimedia

Fotos, audios y videos

Los medios asociados deben conservarse, vincularse al chat y, cuando proceda, analizar metadatos e integridad.

17 / 30

Secuencia proceso

1Identificar archivo

2Relacionar con mensaje

3Calcular hash

4Analizar metadatos

Grupos

Conversaciones grupales

En grupos se debe documentar nombre, participantes, cambios de membresía, administradores y continuidad de mensajes.

18 / 30

Puntos clave síntesis

NombreGrupo.

ParticipantesLista.

AdminsRoles.

EventosAltas/bajas.

Autenticidad

Atribución de mensajes

La atribución puede requerir número, cuenta, dispositivo, contexto, testimonio, metadatos y correlación con otros elementos.

19 / 30

Puntos clave síntesis

NúmeroIdentificador.

DispositivoFuente.

ContextoConversación.

CorrelaciónOtros datos.

Cadena

Cadena de custodia

Desde la entrega del teléfono o exportación, cada acceso y transferencia debe documentarse.

20 / 30

Visual custodia

Informe

Estructura recomendada

El informe debe explicar alcance, fuente, método, herramientas, hallazgos, limitaciones y anexos.

21 / 30

Secuencia proceso

1Alcance

2Método

3Hallazgos

4Limitaciones

Errores

Errores frecuentes

Errores comunes: capturas sueltas, teléfono no identificado, ausencia de cadena, exportación sin fecha y no explicar limitaciones.

22 / 30

Comparativo criterios

Débil

Captura aislada
Sin dispositivo
Sin cadena
Sin método

Fuerte

Fuente identificada
Continuidad
Cadena
Método descrito

Estándares

Referencias técnicas

NIST y SWGDE ofrecen guías para preservación y adquisición de evidencia móvil.

23 / 30

Referencias base

NIST SP 800-101 Rev. 1

SWGDE Mobile Evidence

Meta Engineering: WhatsApp Backups

Caso práctico

Flujo aplicado a WhatsApp

El flujo debe adaptar preservación, extracción y reporte al tipo de caso, dispositivo y alcance autorizado.

24 / 30

Puntos clave síntesis

PreservarPrimer contacto.

ExtraerMétodo adecuado.

ValidarHash/anexos.

ExplicarLimitaciones.

Caso práctico

Flujo aplicado a WhatsApp

El flujo debe adaptar preservación, extracción y reporte al tipo de caso, dispositivo y alcance autorizado.

25 / 30

Puntos clave síntesis

PreservarPrimer contacto.

ExtraerMétodo adecuado.

ValidarHash/anexos.

ExplicarLimitaciones.

Caso práctico

Flujo aplicado a WhatsApp

El flujo debe adaptar preservación, extracción y reporte al tipo de caso, dispositivo y alcance autorizado.

26 / 30

Puntos clave síntesis

PreservarPrimer contacto.

ExtraerMétodo adecuado.

ValidarHash/anexos.

ExplicarLimitaciones.

Caso práctico

Flujo aplicado a WhatsApp

El flujo debe adaptar preservación, extracción y reporte al tipo de caso, dispositivo y alcance autorizado.

27 / 30

Puntos clave síntesis

PreservarPrimer contacto.

ExtraerMétodo adecuado.

ValidarHash/anexos.

ExplicarLimitaciones.

Caso práctico

Flujo aplicado a WhatsApp

El flujo debe adaptar preservación, extracción y reporte al tipo de caso, dispositivo y alcance autorizado.

28 / 30

Puntos clave síntesis

PreservarPrimer contacto.

ExtraerMétodo adecuado.

ValidarHash/anexos.

ExplicarLimitaciones.

Caso práctico

Flujo aplicado a WhatsApp

El flujo debe adaptar preservación, extracción y reporte al tipo de caso, dispositivo y alcance autorizado.

29 / 30

Puntos clave síntesis

PreservarPrimer contacto.

ExtraerMétodo adecuado.

ValidarHash/anexos.

ExplicarLimitaciones.

Cierre

Conclusión operativa

WhatsApp puede ser evidencia fuerte cuando se preserva la fuente, se documenta la cadena de custodia y se explica el método técnico con sus límites.

30 / 30

Puntos clave síntesis

FuenteDispositivo o backup.

ContextoConversación completa.

CustodiaTrazabilidad.

InformeClaridad pericial.