La respuesta es sí. Y no lo digo como opinión. Lo digo como hecho técnico demostrable.
Una persona con acceso físico a un celular desbloqueado puede, en cuestión de minutos, insertar archivos, crear mensajes, instalar aplicaciones, generar un historial de navegación, y construir una narrativa de culpabilidad que nunca existió. Técnicamente es trivial. No se necesita ser hacker. No se necesita equipo sofisticado. Se necesitan cinco minutos y un celular sin bloqueo.
Eso es la fabricación.
Pero detectar la fabricación — exponer la mentira, desmontar la trampa, demostrar que lo que la fiscalía presenta como «hallazgo» es en realidad una inserción — es un trabajo de ingeniería inversa forense. Es mirar debajo de la superficie, más allá de lo que muestra la pantalla, hasta las capas profundas del sistema operativo donde los datos no se pueden maquillar. Porque el sistema operativo no miente. Las personas mienten. Las instituciones pueden mentir. La pantalla del celular puede mostrar lo que alguien quiere que muestre. Pero el sistema de archivos, los logs del kernel, los metadatos EXIF, las bases de datos internas, los registros de transacciones WAL — esos no mienten. Esos registran la realidad, incluyendo la realidad que alguien intentó fabricar.
Llevo 17 años haciendo informática forense. He formado a más de 1,300 peritos en 10 países. Mi laboratorio, Duriva, tiene un récord invicto en litigios técnicos contra bancos. Y les soy franco: he analizado dispositivos donde la evidencia que la fiscalía presentó como «encontrada» no existía en el celular al momento de la detención. Llegó después. Y el sistema operativo lo registró. Silenciosamente, automáticamente, sin que nadie se lo pidiera. Porque eso es lo que hace un sistema operativo: registrar todo.
Este artículo es para la familia que sospecha un montaje. Para el abogado defensor que necesita entender los mecanismos de detección de evidencia fabricada. Para el activista que documenta abusos. Para el periodista que investiga un caso donde la narrativa oficial no cuadra. Y para cualquier persona que quiera entender por qué la fabricación de evidencia digital — a diferencia de sembrar droga o plantar un arma — deja un rastro científico que un perito puede leer.
La mecánica de la fabricación: qué tan fácil es plantar evidencia
Voy a ser directo con esto porque la gravedad del problema lo exige.
Plantar evidencia en un celular es técnicamente simple. Existen múltiples métodos, cada uno con diferente nivel de sofisticación, pero todos comparten algo: son accesibles para cualquier persona con acceso físico al dispositivo.
Transferencia directa de archivos. Conectar el celular a una computadora por cable USB y copiar archivos en la memoria: fotografías, documentos, videos. En Android, basta con arrastrar archivos desde la computadora al celular. No se necesita ningún software especial. Es como copiar archivos a una memoria USB.
Envío de mensajes desde el dispositivo. Abrir WhatsApp, Telegram, SMS en el celular del acusado y redactar mensajes incriminatorios. Enviarlos a un número controlado. Recibirlos desde un número controlado. Crear una conversación que nunca existió pero que aparece en la aplicación como si el dueño del celular la hubiera tenido.
Descarga de contenido comprometedor. Abrir el navegador del celular, visitar páginas web específicas, descargar archivos. El historial de navegación y las descargas quedan registrados como si el dueño del celular los hubiera hecho.
Instalación de aplicaciones. Instalar aplicaciones que después se presenten como indicio de conducta delictiva.
Captura de fotografías. Usar la cámara del celular del acusado para fotografiar escenas, documentos, personas. Las fotos quedan en la galería del celular como si el acusado las hubiera tomado.
Cada una de estas acciones toma minutos. Y la ventana de oportunidad para realizarlas existe en casi todos los procesos de detención: ese periodo entre la incautación del celular y su ingreso formal a la cadena de custodia. Ese hueco negro que documenté en el Post 37. Ese periodo donde el celular está en manos de la autoridad sin registro de quién lo tiene, sin bolsa de Faraday, sin supervisiones, sin hash que garantice su estado original.
Familia que sospecha que algo no cuadra, que la evidencia apareció demasiado conveniente, demasiado perfecta, demasiado a modo: confíen en ese instinto. No porque el instinto sea prueba, sino porque ese instinto justifica buscar la prueba. Y la prueba está en las capas profundas del dispositivo, donde la fabricación siempre deja rastro.
Primera capa de detección: timestamps que no cuadran
El concepto más importante para detectar evidencia plantada es el timestamp — la marca de tiempo. Y para entender por qué los timestamps delatan la fabricación, necesitas entender que cada archivo en un celular tiene múltiples timestamps operando simultáneamente.
El sistema de archivos registra tres marcas de tiempo por cada archivo:
- Fecha de creación (created): cuándo el archivo aterrizó en esa memoria por primera vez.
- Fecha de modificación (modified): cuándo se alteró su contenido por última vez.
- Fecha de acceso (accessed): cuándo se abrió o leyó por última vez.
Los metadatos internos del archivo — como los datos EXIF de una fotografía — registran información sobre el archivo mismo: cuándo se creó originalmente, con qué dispositivo, con qué configuración.
Y aquí viene la clave: estos dos conjuntos de timestamps son independientes. El sistema de archivos registra cuándo el archivo llegó al celular. Los metadatos internos registran cuándo el archivo fue creado originalmente. Cuando un archivo es creado directamente en el celular — tomando una foto, redactando un mensaje –, ambos timestamps coinciden. Pero cuando un archivo es copiado al celular desde una fuente externa, no coinciden.
Voy a poner un ejemplo concreto.
La detención ocurre el 20 de abril. La fiscalía presenta un dictamen que dice haber encontrado fotografías incriminatorias en el celular del acusado, con fechas del 5 de marzo. A simple vista — viendo la galería del celular, viendo las «propiedades» del archivo — todo parece coherente. Las fotos dicen 5 de marzo.
Pero el perito forense no mira la galería. El perito mira el sistema de archivos. Y en el sistema de archivos ext4 de Android, la fecha de creación de esos archivos — la fecha real en que aterrizaron en la memoria del dispositivo — es del 22 de abril. Dos días después de la detención.
El 5 de marzo es la fecha que está en los metadatos EXIF del archivo de imagen. Esa fecha dice cuándo se tomó la foto originalmente. Pero el sistema de archivos dice otra cosa: ese archivo no existía en este dispositivo el 5 de marzo. Llegó el 22 de abril.
Si el acusado fue detenido el 20 de abril y su celular fue incautado ese día, ¿cómo es posible que un archivo haya sido creado en su celular dos días después?
Esa discrepancia es la firma de la fabricación. Es lo que en mi laboratorio llamamos «la huella del plantador.» No se puede explicar con uso normal del dispositivo. Tiene una sola explicación lógica: alguien copió ese archivo al celular después de la detención.
Abogado defensor: cuando la fiscalía presente archivos «encontrados» en el celular de tu cliente, la primera pregunta técnica que tu perito debe responder es: ¿la fecha de creación en el sistema de archivos es anterior o posterior a la detención? Si es posterior, tienes evidencia de inserción post-detención. Eso no es un argumento de forma. Es un argumento que puede derrumbar toda la acusación.
Segunda capa de detección: metadatos EXIF que delatan otro dispositivo
Los metadatos EXIF son información incrustada dentro del archivo de imagen que registra las condiciones de su captura. Entre muchos otros datos, los EXIF incluyen el modelo del dispositivo que tomó la foto, la resolución de la cámara, la configuración del lente, y en muchos casos, las coordenadas GPS del lugar de captura.
Cuando la fiscalía presenta fotografías supuestamente tomadas con el celular del acusado, los metadatos EXIF deben ser consistentes con ese dispositivo. Si el celular del acusado es un Xiaomi Redmi Note 12, los metadatos EXIF de las fotos supuestamente tomadas con ese celular deben decir «Xiaomi Redmi Note 12.» La resolución debe corresponder a las especificaciones de la cámara de ese modelo. La configuración del lente debe ser compatible.
Cuando los metadatos EXIF dicen otra cosa — un iPhone 14 Pro, un Samsung Galaxy S23, cualquier modelo diferente al del acusado — la fotografía no fue tomada con el celular del acusado. Fue tomada con otro dispositivo y copiada. Y si fue copiada al celular del acusado después de la detención, tenemos dos capas de evidencia de fabricación: timestamp de sistema de archivos posterior a la detención y modelo de cámara que no corresponde al dispositivo.
Pero la detección por EXIF va más allá del modelo de cámara.
Coordenadas GPS en los EXIF. Si la foto supuestamente tomada por el acusado tiene coordenadas GPS que no coinciden con ninguna ubicación donde el acusado haya estado — y los registros de antenas de telecomunicaciones lo confirman –, hay una inconsistencia que la fiscalía tiene que explicar. Si los metadatos EXIF ubican la foto en una coordenada donde el acusado nunca estuvo, esa foto no la tomó el acusado.
Resolución y configuración de imagen. Cada modelo de celular tiene especificaciones de cámara únicas: megapíxeles, relación de aspecto, tamaño del sensor, tipo de compresión JPEG. Si la imagen tiene una resolución de 48 megapíxeles pero el celular del acusado tiene una cámara de 12 megapíxeles, esa imagen fue capturada con otro dispositivo. La física de un sensor de 12 megapíxeles no puede generar una imagen de 48 megapíxeles nativos. Es como decir que una pistola calibre .22 disparó una bala calibre .45. No es posible.
Periodista que investiga un caso sospechoso: cuando documentas un caso donde se alega fabricación de evidencia, los metadatos EXIF son la primera capa que debes pedir que se analice. Si el modelo de cámara en los metadatos no coincide con el celular del acusado, tienes un dato verificable, cuantificable y publicable. No una opinión. Un dato del propio archivo que la fiscalía presentó.
Tercera capa de detección: archivos que aparecen DESPUÉS de la detención
Este es el patrón que he documentado con suficiente frecuencia como para convertirlo en protocolo de análisis estándar en mi laboratorio.
El análisis de línea de tiempo del sistema de archivos — la reconstrucción cronológica de toda la actividad del dispositivo, archivo por archivo, segundo a segundo — permite identificar anomalías que el uso normal del celular no produce.
En un celular con uso normal, la actividad sigue un patrón orgánico: creación de archivos durante las horas de vigilia, inactividad durante la noche, picos de uso coherentes con los hábitos del usuario. El dueño del celular toma fotos cuando sale, recibe mensajes cuando está despierto, descarga archivos cuando navega. Todo tiene un ritmo.
Cuando hay fabricación, la línea de tiempo muestra una ruptura de patrón.
Un bloque de archivos creados en una ventana de minutos — no horas, minutos — a una hora donde el dispositivo debería haber estado en posesión de la autoridad. Una ráfaga de actividad que no corresponde al comportamiento histórico del usuario. Archivos que aparecen de golpe, sin la secuencia gradual que tendrían si hubieran sido generados por uso natural.
El perito identifica todos los archivos creados, modificados o accedidos en el dispositivo después de la hora de detención documentada en el acta. Los cruza con la línea de tiempo del caso. Verifica si la actividad registrada después de la detención es consistente con el comportamiento normal del usuario — o si representa una anomalía inyectada.
Y hay un dato adicional que es particularmente revelador: los logs de conexión USB. Android y iOS mantienen registros internos de eventos del sistema, incluyendo conexiones USB con equipos externos. Si el celular fue conectado a una computadora después de la detención para transferir archivos, el log del sistema lo registra. Con timestamp. Con identificador del equipo externo. Si la cadena de custodia no documenta ninguna intervención forense para ese día, pero los logs muestran una conexión USB, hay una manipulación que nadie autorizó y nadie reportó.
Activista que documenta abusos: la fabricación de evidencia digital no es un mito. Es un riesgo real y documentable. Pero lo que la distingue de la fabricación de evidencia física — sembrar droga, plantar un arma — es que la fabricación digital deja un rastro científico. La droga sembrada no viene con un sello de «no pertenece al acusado.» Pero el archivo plantado sí viene con una fecha de creación que dice «no estaba aquí antes de que la autoridad tuviera el celular.» Esa es la diferencia. Y esa diferencia es lo que hace que la informática forense sea el contrapeso natural contra la fabricación.
Cuarta capa de detección: bases de datos internas con secuencias rotas
Esta es la capa más técnica y la más difícil de falsificar. Es donde la fabricación se estrella contra la complejidad del sistema.
Cada aplicación en un celular mantiene su propia base de datos SQLite. WhatsApp tiene msgstore.db. Telegram tiene la suya. La galería de fotos tiene una base de datos que indexa todas las imágenes. El historial de navegación tiene otra. Cada una de estas bases de datos tiene una estructura interna con reglas que el uso normal del celular respeta de forma automática.
IDs autoincrementales. Cada registro en una base de datos SQLite tiene un ID único que se incrementa automáticamente. El primer mensaje es ID 1, el segundo es ID 2, el tercero es ID 3. La secuencia es continua, sin saltos. Cuando alguien inserta un registro manualmente en la base de datos, el ID del nuevo registro rompe la secuencia. Si los mensajes existentes van del 1 al 5,247 y el mensaje insertado tiene el ID 5,248 pero está posicionado cronológicamente entre los mensajes 3,100 y 3,101 — porque le pusieron un timestamp del 5 de marzo para que aparezca entre los mensajes de esa fecha –, la incongruencia es detectable. El ID dice que es el último registro creado. La fecha dice que debería estar a mitad de la base de datos. Eso no ocurre con uso normal.
Archivos WAL (Write-Ahead Log). Este es el elemento más devastador para el fabricante. El WAL es una bitácora que SQLite mantiene para registrar cada operación de escritura en la base de datos antes de que se consolide. Funciona como un libro contable donde cada transacción queda anotada. Si alguien abrió la base de datos de WhatsApp, insertó un mensaje fabricado y guardó, el WAL registra la operación de inserción con su timestamp real — el del sistema operativo al momento de la inserción, no el timestamp que el fabricante puso en el campo del mensaje.
Es como si un falsificador de cheques escribiera el cheque con fecha de enero, pero el sistema bancario registrara que la transacción se procesó en abril. El papel dice enero. El sistema dice abril. El sistema tiene razón.
Timestamp del servidor vs timestamp local. En el caso de WhatsApp, cada mensaje auténtico tiene un campo llamado server_timestamp que contiene la hora registrada por el servidor de WhatsApp cuando procesó el mensaje. Ese campo es independiente del reloj del teléfono. Cuando alguien fabrica un mensaje editando la base de datos, puede manipular la fecha que se muestra en la aplicación, pero el campo server_timestamp va a estar vacío, va a tener un valor de cero, o va a tener un valor inconsistente con los registros reales del servidor. Un mensaje sin server_timestamp válido es un mensaje que el servidor de WhatsApp nunca procesó. Y si el servidor nunca lo procesó, no es un mensaje real.
Familia que sospecha montaje en los WhatsApp del acusado: esto es exactamente lo que un perito busca. No lee los chats como los lee un usuario normal. Abre la base de datos y revisa los campos internos que nadie ve en la pantalla. Si los mensajes fueron plantados, la base de datos lo dice. No con opiniones. Con datos. IDs fuera de secuencia. Timestamps del servidor ausentes. Operaciones de inserción registradas en el WAL con fechas posteriores a la detención. La base de datos es el testigo silencioso de la fabricación.
Quinta capa de detección: el reloj del sistema y los servidores NTP
Hay un intento de fabricación particularmente torpe que debo mencionar porque lo he visto más de una vez: cambiar la hora del reloj del celular.
La lógica del fabricante es simple: si cambio la hora del celular al 5 de marzo antes de copiar los archivos, los timestamps de creación en el sistema de archivos van a decir 5 de marzo. Parece lógico. Y es cierto: si cambias el reloj del teléfono antes de crear el archivo, la fecha de creación va a reflejar la fecha falsa.
Pero el sistema operativo registra el cambio de hora.
Android y iOS sincronizan periódicamente con servidores NTP (Network Time Protocol) — servidores que proporcionan la hora exacta. El sistema operativo mantiene un log de sincronización. Si alguien cambió manualmente la hora del reloj a las 15:00 del 22 de abril para ponerla en las 22:00 del 5 de marzo, el log del sistema registra: «Hora del sistema cambiada manualmente de 15:00 22/04 a 22:00 05/03.» Y cuando el celular se reconecta a la red y se re-sincroniza con el servidor NTP, el log registra: «Hora re-sincronizada con servidor NTP: 15:05 22/04.»
El intento de manipulación queda documentado por el propio sistema operativo. La hora se cambió, se hicieron las operaciones necesarias, y la hora se volvió a corregir. El log lo dice todo. Y ese log es extraíble con herramientas forenses y presentable ante un juez.
Ingeniería inversa forense: reconstruir lo que pasó realmente
Todo lo anterior — timestamps, EXIF, secuencias de IDs, WAL, logs de NTP, conexiones USB — se integra en lo que llamamos ingeniería inversa forense: el proceso de tomar todos los datos disponibles en el dispositivo y reconstruir, segundo a segundo, la historia real de lo que ocurrió.
No la historia que la fiscalía quiere contar. No la historia que la defensa quiere contar. La historia que los datos cuentan.
La ingeniería inversa forense en un caso de sospecha de fabricación sigue un protocolo:
1. Extracción forense completa del dispositivo. Imagen bit por bit con hash SHA-256 antes y después. No una extracción lógica que solo captura archivos visibles. Una extracción física que captura toda la memoria, incluyendo espacio no asignado y datos eliminados.
2. Construcción de la super-línea de tiempo. Se extraen todas las marcas de tiempo de todos los archivos, todas las bases de datos, todos los logs del sistema operativo, y se ordenan cronológicamente. Esta super-línea de tiempo muestra la actividad del celular segundo a segundo: qué archivos se crearon, cuáles se modificaron, cuáles se accedieron, cuáles se eliminaron, qué aplicaciones se ejecutaron, qué conexiones se realizaron, qué cambios de configuración se hicieron.
3. Identificación de la ventana crítica. Se marca el momento exacto de la detención según el acta. Toda actividad en el dispositivo posterior a ese momento es actividad que ocurrió cuando el celular ya no estaba en poder del acusado. Cada archivo creado después de la detención, cada base de datos modificada, cada log de conexión USB, cada cambio de reloj del sistema — todo lo que ocurrió después de la detención requiere una explicación que no sea «el acusado lo hizo.»
4. Análisis de consistencia con el comportamiento del usuario. Se compara la actividad de la ventana crítica con el patrón histórico de uso del dispositivo. Si el acusado normalmente genera 50 archivos por día distribuidos en 16 horas, y en la ventana crítica aparecen 15 archivos creados en 8 minutos, la anomalía es estadísticamente evidente.
5. Cruce con fuentes externas. Los registros de telecomunicaciones — las sábanas de llamadas bajo el artículo 183 — se cruzan con la línea de tiempo del dispositivo. Si la sábana muestra que el celular estuvo inactivo en la red desde las 10 de la mañana del día de la detención — porque fue apagado o quedó fuera de cobertura –, pero el sistema de archivos muestra creación de archivos a las 3 de la tarde, hay una contradicción. El celular no estaba en la red pero alguien estaba usándolo. Eso sugiere que estaba dentro de una bolsa de Faraday o apagado de la red — pero no apagado del todo, porque alguien lo encendió para manipularlo.
6. Documentación de hallazgos. Cada indicador de fabricación se documenta con precisión: qué archivo, qué timestamp, qué discrepancia, qué log lo evidencia. Todo con hash SHA-256 de la evidencia analizada. Todo referenciado al artículo 210-A. Todo presentable ante un juez como dictamen pericial con rigor científico.
El artículo 210-A como escudo contra la fabricación
El artículo 210-A del Código Federal de Procedimientos Civiles establece tres requisitos para el valor probatorio de la información electrónica: fiabilidad del método, atribuibilidad y accesibilidad.
Cuando el perito de la defensa documenta indicadores de fabricación, cada uno de esos requisitos se cuestiona:
Fiabilidad del método. Si la evidencia fue insertada deliberadamente en el dispositivo por un tercero, el «método» por el cual esa información llegó al celular no es el uso normal del propietario. La fiabilidad es nula porque la información no fue generada de forma genuina.
Atribuibilidad. Si los metadatos EXIF muestran un modelo de cámara diferente al del acusado, la atribuibilidad falla. No se puede atribuir al acusado la creación de archivos que fueron producidos con otro dispositivo. Si los timestamps del sistema de archivos muestran que los archivos llegaron al celular después de la detención, la atribuibilidad falla doblemente: el acusado no tenía el celular cuando los archivos fueron creados.
Accesibilidad. Si el dictamen del perito de la defensa documenta fabricación, la «accesibilidad» de la evidencia fabricada solo existe porque alguien la plantó. No porque existiera de forma legítima.
El onus probandi opera a favor de la defensa: si el perito de la defensa presenta un dictamen con indicadores de fabricación — timestamps inconsistentes, EXIF de otro dispositivo, actividad post-detención, secuencias rotas en bases de datos –, es la fiscalía la que tiene que explicar esas inconsistencias. El que lo dice, lo prueba. Y si la fiscalía dice que la evidencia es auténtica, que lo demuestre frente a los indicadores de fabricación que el perito de la defensa documentó.
Qué hacer si sospechas que plantaron evidencia
Familia que tiene esa sensación de que algo no cuadra:
Confíen en ese instinto y actúen. Soliciten a su abogado que designe un perito informático independiente para examinar el dispositivo. La defensa tiene derecho a solicitar acceso al celular para una extracción forense independiente. Si la fiscalía se niega, se impugna. El perito va a analizar el dispositivo a nivel de sistema de archivos, de bases de datos, de logs del sistema operativo. No a nivel de pantalla. No de lo que «se ve.» A nivel de lo que el sistema operativo registró. Y si la evidencia fue plantada, los indicadores van a estar ahí.
Abogado defensor que sospecha fabricación:
Solicita acceso al dispositivo para peritaje de la defensa. Si ya tienes la extracción de la fiscalía, pídele a tu perito que audite esa extracción buscando específicamente: archivos con fecha de creación en el sistema de archivos posterior a la detención, metadatos EXIF inconsistentes con el dispositivo del acusado, logs de conexión USB no autorizados, registros WAL que evidencien inserción de datos, y cambios en el reloj del sistema. Cada indicador es un argumento para el juez.
Periodista que investiga un caso con indicios de montaje:
Los elementos técnicos que debes buscar para tu investigación son: discrepancia entre fechas del sistema de archivos y metadatos de archivos, actividad en el dispositivo posterior a la hora de detención, archivos cuyo modelo de cámara en los EXIF no coincide con el dispositivo del acusado, y cadena de custodia con huecos que coincidan temporalmente con la aparición de la evidencia incriminatoria. Un perito puede emitir un dictamen técnico que documente todo esto. No es opinión. Son datos del sistema operativo.
Activista que documenta patrones de abuso institucional:
La fabricación de evidencia digital es detectable, documentable y demostrable. A diferencia de la evidencia física plantada, la evidencia digital deja un rastro científico que persiste en el dispositivo. Cada caso documentado donde se demostró fabricación establece un precedente y un patrón. Si estás documentando múltiples casos donde la evidencia digital parece haber sido insertada post-detención, un perito puede analizar los patrones de fabricación y determinar si la metodología es consistente — lo cual sugeriría una práctica sistemática, no un incidente aislado.
Llevo 17 años leyendo lo que el sistema operativo tiene que decir. He visto evidencia legítima y he visto evidencia fabricada. La diferencia entre una y otra no se ve mirando la pantalla del celular. Se ve mirando el sistema de archivos, las bases de datos, los logs, los metadatos, los registros de transacciones.
La fabricación de evidencia digital es un acto que se comete en minutos. Detectarla es un proceso que requiere conocimiento, herramientas forenses validadas y un perito que sepa exactamente dónde buscar. Pero cuando se detecta — cuando el dictamen pericial documenta con precisión matemática que la evidencia no es consistente con uso genuino del dispositivo –, la acusación construida sobre esa evidencia se derrumba.
En Duriva, leemos los datos. Todos. Los que convienen y los que no. Y cuando los datos dicen que la evidencia fue fabricada, lo documentamos con el rigor científico que exige el sistema de justicia. Les soy franco: por cobrarte te puedo cobrar, pero si la evidencia es auténtica y no fue plantada, también te lo digo. Nuestro compromiso es con la verdad técnica, no con el resultado que alguien quiere escuchar.
Pero cuando la verdad técnica dice que alguien plantó evidencia en el celular de tu familiar, esa verdad puede abrir la puerta que la mentira cerró.
La informática forense no tiene lealtades. Está del lado de los datos. Y los datos, cuando se leen correctamente, dicen la verdad. Incluso la verdad que alguien intentó fabricar.