Tu abogado maneja las pruebas como documentos de 1990.
Imprime correos electrónicos. Le toma capturas de pantalla a WhatsApp. Presenta videos en una USB sin cadena de custodia. Ofrece «pantallazos» como prueba de transferencias bancarias. Lleva al juicio una carpeta con hojas impresas de cosas que existen en el mundo digital y pretende que el juez las valore como si fueran un contrato notariado.
Y el juez, que tampoco entiende evidencia digital, las acepta. O las rechaza. Depende del humor del día, de si la contraparte las objeta, de si alguien en la sala tiene el conocimiento suficiente para cuestionar lo que se está presentando.
Ese es el estado de la evidencia digital en los juicios penales de México. Un desastre sistemático que está costando casos, que está dejando libres a culpables, que está condenando a inocentes, y que la inmensa mayoría de los abogados en ejercicio no entiende qué está pasando. No porque sean malos abogados. Porque nadie les enseñó. Porque la escuela de derecho les enseñó a manejar documentos físicos, testimonios orales y pruebas periciales en papel. No les enseñó que un correo electrónico no es la hoja donde lo imprimiste. Que un chat de WhatsApp no es la captura de pantalla. Que un video no es el archivo en la USB.
Llevo 17 años en informática forense. He formado a más de 1,300 peritos en 10 países. He participado en cientos de juicios penales donde la evidencia digital era central. Y lo que he visto en esos juicios me ha convencido de que el mayor problema de la justicia digital en México no es tecnológico. Es educativo. Es que los abogados no saben lo que no saben. Y lo que no saben les está costando los casos a sus clientes.
Este artículo es la síntesis de todo lo que he escrito sobre evidencia digital. Es el resumen que todo abogado debería leer antes de tocar una prueba electrónica. Es el compendio de los errores que he visto repetirse cientos de veces y que siguen repitiéndose porque nadie se los señala.
Voy a señalarlos. Todos.
Error capital 1: Imprimir evidencia digital
Voy a empezar por el error más común, más grave y más absurdo que existe en el manejo de pruebas digitales en México. Lo he visto en juicios penales, civiles, familiares, laborales, mercantiles. Lo he visto en todos los niveles: desde el abogado recién egresado hasta el litigante con 30 años de experiencia. Lo he visto tantas veces que he dejado de sorprenderme.
Imprimir evidencia digital.
Imprimir un correo electrónico y presentar la hoja como prueba del correo. Imprimir una captura de pantalla de WhatsApp y presentar la hoja como prueba de la conversación. Imprimir un estado de cuenta bancario descargado del portal y presentar la hoja como prueba de la transferencia.
Cada vez que un abogado imprime evidencia digital, está haciendo algo equivalente a grabar una llamada telefónica, transcribirla a mano en una hoja, destruir la grabación, y presentar la hoja como prueba de lo que se dijo en la llamada.
La hoja no es la prueba. La prueba es la grabación. Y la grabación ya no existe porque decidiste que la hoja era suficiente.
Cuando imprimes un correo electrónico, estás eliminando todo lo que hace que el correo sea verificable: los encabezados técnicos (headers) que muestran el camino que recorrió el correo desde el servidor de origen hasta tu bandeja de entrada, la información de autenticación SPF/DKIM/DMARC que permite verificar si el correo realmente provino del dominio que dice provenir, los metadatos del servidor, los timestamps del protocolo SMTP, la firma digital si la tiene.
La hoja impresa no tiene nada de eso. La hoja impresa tiene texto. Texto que cualquier persona puede escribir en un procesador de palabras, imprimir y presentar como «un correo electrónico.»
Abogado que me lee y que ha presentado correos impresos como prueba: voy a ser directo. Si la contraparte tuviera un perito informático competente, esos correos impresos habrían sido impugnados y probablemente desechados. Si no fueron impugnados, no es porque sean válidos. Es porque la contraparte tampoco sabía que podía cuestionarlos. Tú ganaste no por la calidad de tu prueba, sino por la ignorancia de tu adversario. Y apostar a la ignorancia del adversario no es una estrategia procesal. Es suerte. Y la suerte se acaba.
Lo que debiste hacer en lugar de imprimir
La prueba del correo electrónico no es la hoja. Es el correo en su formato nativo. El archivo .eml o .msg que contiene todos los encabezados, todos los metadatos, toda la información técnica que permite verificar su autenticidad.
Un perito informático puede tomar ese archivo, analizar los encabezados, verificar la cadena de transmisión del servidor de origen al servidor de destino, validar la autenticación SPF/DKIM, calcular el hash del archivo para garantizar su integridad, y emitir un dictamen que dice: «Este correo fue enviado desde el servidor X, por el usuario Y, en la fecha Z, y no ha sido modificado desde que fue recibido.»
Eso es prueba. Lo otro es papel.
Error capital 2: No entender la cadena de custodia digital
La cadena de custodia es un concepto que todo abogado conoce en el mundo físico. Si la policía recoge un arma en la escena del crimen, debe documentar quién la recogió, cuándo, dónde, cómo la almacenó, quién tuvo acceso a ella, cómo llegó al laboratorio, cómo llegó al juzgado. Si hay un eslabón roto en esa cadena, la defensa puede argumentar que el arma fue contaminada, alterada o plantada.
En el mundo digital, la cadena de custodia es exactamente igual de importante. Y exactamente igual de ignorada.
He visto celulares que son prueba en un caso penal guardados en el cajón del escritorio del agente del ministerio público. Sin bolsa antiestática. Sin jaula de Faraday. Sin documentación de quién los ha manipulado. Con la batería cargada y la conectividad activa — lo que significa que cualquier persona que conozca las credenciales de la nube vinculada al dispositivo puede borrar contenido de forma remota mientras el celular está «resguardado» por la autoridad.
He visto USB con evidencia digital entregadas sin hash de verificación. Sin documentación de quién las copió, cuándo, con qué herramienta, desde qué dispositivo. Sin garantía de que el contenido que está en la USB es idéntico al contenido que estaba en el dispositivo original.
He visto discos duros «asegurados» sin imagen forense. La autoridad trabaja directamente sobre el disco original — busca archivos, abre documentos, navega carpetas — contaminando la evidencia con cada operación. Cada vez que abres un archivo en un disco, modificas la marca de tiempo de «último acceso.» Cada modificación es un eslabón roto en la cadena de custodia. Y cada eslabón roto es una oportunidad para que la defensa argumente contaminación.
Abogado defensor que me lee: si la evidencia digital en contra de tu cliente no tiene cadena de custodia documentada, tienes un argumento poderoso. No un tecnicismo. Un argumento de fondo. Porque sin cadena de custodia, no hay garantía de que la evidencia que se presenta en el juicio es la misma que existía en el dispositivo al momento de su aseguramiento. Pudo haber sido alterada. Pudo haber sido contaminada. Pudo haber sido plantada. Y si no hay documentación que demuestre lo contrario, la duda razonable existe.
La imagen forense: el primer paso que casi nadie da
Lo primero que debe hacerse cuando se asegura un dispositivo digital como evidencia es crear una imagen forense. Una copia bit a bit — exacta, completa, verificable — de todo el contenido del dispositivo. No una copia de archivos. No un respaldo. Una imagen forense que replique cada sector del disco, incluyendo los archivos borrados, el espacio no asignado, los fragmentos de datos, todo.
Esa imagen forense se verifica con un hash criptográfico — SHA-256 es el estándar actual. El hash es un valor único calculado a partir del contenido completo de la imagen. Si se cambia un solo bit de la imagen, el hash cambia. Es la manera de demostrar que la copia es idéntica al original y que no ha sido modificada.
Todo el análisis posterior se hace sobre la imagen forense, nunca sobre el dispositivo original. El dispositivo original se preserva intacto, documentado, con cadena de custodia, en condiciones que impidan su alteración.
Si esto no se hizo — y en una cantidad espantosa de casos en México no se hace — la evidencia digital está comprometida desde el momento del aseguramiento.
Error capital 3: Capturas de pantalla como prueba de WhatsApp
He dedicado artículos completos a este tema. He hecho demostraciones en vivo de cómo se fabrica una conversación de WhatsApp en 120 segundos. He explicado la inyección en SQLite. He documentado los tres métodos de fabricación. He mostrado por qué las capturas de pantalla no tienen valor probatorio.
Y los abogados siguen presentando capturas de pantalla de WhatsApp como prueba.
Voy a resumirlo una última vez, con la esperanza de que esta sea la vez que quede grabado.
Una captura de pantalla de WhatsApp es una imagen. Una imagen que puede ser generada por la propia aplicación mostrando una conversación real, por una aplicación de mockup mostrando una conversación inventada, por un navegador con el HTML modificado, o por una base de datos SQLite alterada. La imagen no contiene ninguna información que permita distinguir entre estos escenarios.
Fabricar una conversación de WhatsApp visualmente perfecta toma 90 segundos con una aplicación de mockup. Inyectar mensajes en la base de datos SQLite del dispositivo toma 5 minutos con herramientas gratuitas. Modificar la conversación en WhatsApp Web con las herramientas de desarrollador del navegador toma 30 segundos.
En los tres casos, el resultado es una imagen indistinguible de una captura de una conversación real.
La única forma de autenticar una conversación de WhatsApp es la extracción forense del dispositivo. No la captura. No la «exportación» desde la app. No el «mire, aquí está en el celular.» La extracción forense que copia la base de datos, los archivos WAL, los metadatos del sistema de archivos, los registros de media. La extracción que permite al perito verificar timestamps de servidor, secuencias de IDs, consistencia interna de tablas, marcas de tiempo del sistema operativo.
Si tu caso depende de una conversación de WhatsApp y tu evidencia es una captura de pantalla, no tienes evidencia. Tienes una imagen.
Error capital 4: No solicitar peritaje informático
Este es el error silencioso. El error por omisión. El abogado que tiene un caso donde la evidencia digital es central y no solicita peritaje informático.
A veces es porque no sabe que existe. A veces es porque cree que es demasiado costoso. A veces es porque piensa que «las pruebas hablan solas» — que el correo electrónico, la captura de WhatsApp, el video de la cámara de seguridad se explican solos y no necesitan interpretación pericial.
Nada de eso es cierto.
La evidencia digital no habla sola. No puede hablar sola. Porque la evidencia digital no es lo que se ve en la pantalla. Es lo que está debajo de lo que se ve en la pantalla. Son los metadatos que el ojo no ve. Son los encabezados que el usuario común no lee. Son los hashes que nadie calculó. Son las marcas de tiempo que nadie verificó. Son las inconsistencias que nadie buscó.
Sin peritaje, la evidencia digital se presenta cruda. Sin contexto. Sin verificación. Sin interpretación técnica. Y el juez, que no es informático, la valora como puede — que generalmente es como la valoraría un ciudadano común mirando una pantalla: «se ve real, parece legítimo, lo acepto.»
Eso no es justicia. Es confianza ciega. Y la confianza ciega en evidencia digital es el camino más corto a la injusticia.
Acusado cuyo caso depende de evidencia digital: habla con tu abogado. Pregúntale si solicitó peritaje informático. Pregúntale si la evidencia en tu contra fue verificada por un perito independiente. Pregúntale si se calculó el hash del dispositivo al momento del aseguramiento. Pregúntale si existe imagen forense. Pregúntale si la cadena de custodia está documentada.
Si la respuesta a cualquiera de esas preguntas es «no,» tu caso tiene una vulnerabilidad que puede ser la diferencia entre un veredicto justo y uno equivocado.
Error capital 5: No impugnar la evidencia digital de la contraparte
Este error es el gemelo del anterior. Así como muchos abogados no solicitan peritaje para sus propias pruebas, tampoco impugnan las pruebas digitales de la contraparte.
La contraparte presenta un correo electrónico impreso. Tu abogado no lo objeta.
La contraparte presenta una captura de WhatsApp. Tu abogado no la cuestiona.
La contraparte presenta un video en USB. Tu abogado no pregunta por la cadena de custodia.
La contraparte presenta registros de una computadora. Tu abogado no solicita que se verifique la imagen forense.
Cada una de esas omisiones es una oportunidad perdida. Porque cada una de esas pruebas tiene vulnerabilidades técnicas que un perito informático puede identificar y que un abogado preparado puede convertir en argumentos de impugnación sólidos.
La impresión de un correo puede ser fabricada. La captura de WhatsApp puede ser inventada. El video en USB puede haber sido editado. Los registros de la computadora pueden haber sido alterados. Ninguna de esas posibilidades es remota. Todas son técnicas, documentables y demostrables.
Pero si nadie las cuestiona, el juez las acepta. Y las acepta no porque sean válidas, sino porque nadie le dio razón para dudar de ellas.
El artículo 210-A: la ley que existe y que nadie aplica correctamente
El Código Federal de Procedimientos Civiles, en su artículo 210-A, establece los requisitos para que la información generada o comunicada por medios electrónicos tenga valor probatorio. Tres requisitos:
Fiabilidad del método en que fue generada, comunicada, recibida o archivada. Esto significa que la parte que presenta la prueba debe demostrar que el método utilizado para generar y preservar la información es confiable. Una captura de pantalla no es un método fiable — porque puede ser fabricada. Una impresión no es un método fiable — porque elimina la información verificable. Una extracción forense con hash de verificación y cadena de custodia documentada sí es un método fiable.
Posibilidad de atribuir el contenido de la información a las personas obligadas. Esto significa que se debe poder vincular el contenido con la persona que supuestamente lo generó. Un correo impreso no permite esa vinculación — porque cualquiera puede escribir el texto e imprimir la hoja. Un análisis de encabezados SMTP con verificación SPF/DKIM sí permite esa vinculación — porque los encabezados documentan la ruta del correo desde el servidor de origen.
Posibilidad de acceder a la información para su ulterior consulta. Esto significa que la prueba debe ser accesible para verificación posterior. Si la única prueba es una hoja impresa y el correo original ya no existe, la accesibilidad es nula. Si existe la imagen forense del dispositivo con hash de verificación, la accesibilidad es completa — cualquier perito puede reproducir el análisis.
Estos tres requisitos — fiabilidad, atribuibilidad, accesibilidad — son la ley. No son recomendaciones. No son buenas prácticas. Son requisitos legales vigentes. Y la inmensa mayoría de las pruebas digitales que se presentan en juicios en México no cumplen con ninguno de los tres.
Lo que tu abogado debería hacer con cada tipo de evidencia digital
Voy a dar el mapa completo. Tipo de evidencia por tipo de evidencia. Lo que se hace mal y lo que se debería hacer.
Correos electrónicos. NO: imprimir el correo y presentar la hoja. SÍ: preservar el correo en formato nativo (.eml o .msg), calcular hash SHA-256 del archivo, solicitar peritaje que analice encabezados SMTP y verifique autenticación SPF/DKIM/DMARC, documentar cadena de custodia del archivo desde su obtención.
Conversaciones de WhatsApp. NO: tomar captura de pantalla. NO: exportar la conversación desde la app. SÍ: preservar el dispositivo completo. Solicitar extracción forense profesional del dispositivo. Análisis pericial de la base de datos msgstore.db, archivos WAL, timestamps de servidor, secuencias de IDs, registros de media. Cadena de custodia del dispositivo desde el primer momento.
Videos de cámaras de seguridad. NO: copiar el video a una USB desde la interfaz de reproducción del DVR. SÍ: extracción forense del disco duro del DVR/NVR. Preservación del formato nativo del video — que generalmente no es MP4 ni AVI, sino un formato propietario del fabricante del equipo. Hash del archivo original. Análisis pericial de metadatos del video, timestamps, continuidad de frames, ausencia de edición.
Registros de computadora. NO: abrir la computadora, navegar las carpetas, copiar los archivos «relevantes» a una USB. SÍ: crear imagen forense del disco completo antes de cualquier operación. Hash SHA-256 de la imagen. Todo el análisis posterior sobre la imagen forense, nunca sobre el disco original.
Registros bancarios digitales. NO: imprimir el estado de cuenta del portal bancario. SÍ: solicitar al banco, mediante requerimiento judicial, la entrega de los registros en formato digital con certificación del banco, incluyendo logs de acceso, IPs de origen, timestamps de servidor. Complementar con peritaje que analice la red del cliente si se alega fraude.
Fotografías digitales. NO: imprimir la foto. NO: presentar la foto como archivo sin análisis. SÍ: preservar el archivo original sin modificaciones. Análisis pericial de metadatos EXIF (cámara, fecha, ubicación GPS si existe, configuración). Verificación de integridad mediante hash. Análisis de PRNU si se necesita vincular la imagen con un dispositivo específico.
El costo de no saber: casos que se pierden por ignorancia, no por falta de razón
Voy a ser franco con algo que veo regularmente y que me resulta doloroso de observar.
Hay personas que tienen la razón. Que son inocentes. Que no cometieron lo que les imputan. Que tienen la evidencia digital que lo demuestra. Y que pierden el juicio porque su abogado no supo manejar esa evidencia.
He visto acusados cuya inocencia estaba en los metadatos de un correo electrónico que su abogado presentó impreso — y al imprimir, eliminó los metadatos. He visto divorcios donde la conversación de WhatsApp que probaba la infidelidad de la contraparte fue presentada como captura de pantalla — y la contraparte la impugnó y el juez la desechó. He visto casos laborales donde el correo que probaba el acoso fue desestimado porque nadie verificó su autenticidad.
En cada uno de esos casos, la evidencia existía. La verdad estaba ahí. Pero la forma en que se presentó — impresa, sin hash, sin cadena de custodia, sin peritaje — la convirtió en papel sin valor.
No perdieron por falta de razón. Perdieron por falta de técnica.
Y eso es inaceptable. Porque la técnica existe. Los peritos existen. Las herramientas existen. La ley exige que se usen. Y los abogados no las usan porque no saben que existen.
Lo que debería cambiar en la formación de los abogados
Esto no es una crítica gratuita. Es una observación que nace de 17 años de ver el mismo problema repetirse.
Las escuelas de derecho en México no enseñan evidencia digital. No enseñan qué es un hash. No enseñan qué es una imagen forense. No enseñan qué es la cadena de custodia digital. No enseñan el artículo 210-A en su dimensión técnica. No enseñan a distinguir entre una prueba digital válida y una hoja de papel con texto.
Y después esperamos que los abogados manejen correctamente la evidencia en un mundo donde el 80% de la comunicación es digital, donde el celular es el dispositivo que más pruebas contiene, donde el correo electrónico ha reemplazado al contrato en papel, donde WhatsApp es el canal donde se cometen y se documentan delitos.
Esto tiene que cambiar. No sé cuándo. No sé cómo. Pero tiene que cambiar. Porque la justicia no puede seguir funcionando con abogados que manejan pruebas del siglo XXI con técnicas del siglo XX.
Tu abogado no es malo. Tu abogado no sabe. Y lo que no sabe te está costando el caso.
No le pido que se vuelva ingeniero. No le pido que aprenda a programar. No le pido que entienda la estructura interna de una base de datos SQLite. Le pido tres cosas.
Una: que deje de imprimir evidencia digital. Que preserve la prueba en su formato nativo. Que no destruya la información que la hace verificable.
Dos: que solicite peritaje informático en cada caso donde la evidencia digital sea relevante. Que no presente pruebas digitales sin el sustento de un dictamen pericial que verifique su autenticidad e integridad.
Tres: que impugne la evidencia digital de la contraparte cuando no cumpla con los requisitos del artículo 210-A. Que pregunte por el hash. Que pregunte por la cadena de custodia. Que pregunte por la imagen forense. Que pregunte por el peritaje.
Tres cosas. Tres cambios. La diferencia entre perder un caso que debías ganar y ganarlo.
En Duriva, hacemos extracción forense de dispositivos, análisis de correos electrónicos, autenticación de conversaciones de WhatsApp, análisis de video, peritajes informáticos para juicios penales, civiles, familiares, laborales y mercantiles. Lo hacemos con cadena de custodia documentada, con hashes SHA-256, con imágenes forenses, con dictámenes que cumplen los requisitos del 210-A.
Porque la evidencia digital no es lo que se ve en la pantalla. Es lo que está debajo. Y lo que está debajo solo lo ve el perito.