contacto@duriva.com
+52 (55) 8852 7509
Como preservar la evidencia digital y el celular de un familiar desaparecido

Como preservar la evidencia digital y el celular de un familiar desaparecido

72 preservar evidencia desaparecido 1

Si estás leyendo esto, probablemente alguien que amas no está. Y probablemente tienes en tus manos — o tienes acceso a — su celular, su tablet, su computadora.

Antes de que hagas cualquier cosa con ese dispositivo, necesito que leas las siguientes dos líneas:

No lo toques. No lo uses. No lo cargues conectado a una computadora. No busques entre sus fotos. No abras sus mensajes. No lo restaures. No lo apagues si está encendido. No lo enciendas si está apagado.

Sé que suena contradictorio. Sé que tu primer instinto es abrirlo y buscar pistas. Buscar el último mensaje. La última foto. El último contacto. Es un instinto humano, comprensible, lógico. Pero ese instinto, sin querer, puede destruir exactamente la evidencia que necesitas para encontrarlo.

Llevo 17 años haciendo informática forense. He recibido dispositivos de todo tipo: celulares de detenidos, computadoras de empresas, servidores de organizaciones. Y una de las situaciones más dolorosas que enfrento en mi trabajo es cuando una familia me trae el celular de su familiar desaparecido y me dice: «Ya buscamos en sus WhatsApps, ya revisamos sus fotos, ya miramos todo.» Y al analizarlo descubro que, en el proceso de «mirar todo,» se sobreescribieron datos, se modificaron marcas de tiempo, se alteraron registros que podrían haber sido clave para la búsqueda.

No lo hicieron con mala intención. Lo hicieron por amor, por desesperación, por ganas de encontrar algo. Pero el resultado fue que parte de la evidencia se perdió.

Este artículo existe para que eso no te pase a ti. Para que sepas exactamente qué hacer — y qué no hacer — con el celular y los dispositivos de tu familiar desaparecido. Para que preserves la evidencia de manera que sea útil. Para que cuando un perito o un investigador lo analice, tenga todo lo que necesita.

Imprime esta guía. Pégala en tu pared. Compártela con tu colectivo. Porque esta información puede ser la diferencia entre preservar una pista y perderla para siempre.

Por qué cada toque al celular puede destruir evidencia

Voy a explicar esto de la manera más clara que pueda, sin tecnicismos innecesarios, para que entiendas por qué insisto tanto en que no lo toques.

Un celular moderno es una computadora. Una computadora muy poderosa que está procesando información constantemente. Incluso cuando no lo estás usando, el celular está trabajando: recibiendo mensajes, sincronizando datos, actualizando aplicaciones, descargando notificaciones, escribiendo registros internos.

La memoria de un celular funciona como un cuaderno con un número finito de páginas. Cuando las páginas se acaban, el celular empieza a borrar lo más viejo para escribir lo nuevo. No te pide permiso. No te avisa. Simplemente sobreescribe.

Cuando tú abres el celular de tu familiar y empiezas a buscar entre sus mensajes, abrir sus fotos, revisar sus aplicaciones, el celular registra cada una de esas acciones. Cada pantalla que abres genera datos nuevos. Cada aplicación que cargas escribe en la memoria. Cada notificación que llega ocupa espacio. Y ese espacio que se ocupa puede ser exactamente el espacio donde estaba un dato que necesitabas: un mensaje borrado que todavía era recuperable, un registro de ubicación que no se había sobreescrito, un fragmento de conversación que estaba en el espacio no asignado de la memoria.

Voy a ponerlo con una analogía. Imagina que tu familiar dejó huellas en el piso de una habitación. Huellas que te podrían decir hacia dónde fue, a qué hora, con quién. Pero si tú entras a esa habitación sin cuidado, tus propias pisadas van a tapar las de él. No porque quieras borrarlas, sino porque cada paso tuyo cubre un paso de él. Al final, cuando llegue el investigador, va a encontrar una mezcla de huellas donde ya no puede distinguir cuáles son de tu familiar y cuáles son tuyas.

El celular es esa habitación. Cada acción que realizas son tus pisadas. Y las huellas de tu familiar son los datos que un perito necesita intactos.

72 preservar evidencia desaparecido 2

Lo que debes hacer ahora mismo (paso a paso)

Voy a darte instrucciones concretas. Sigue cada paso en el orden que las presento.

Paso 1: Determina el estado actual del celular

Antes de hacer nada, observa sin tocar:

  • ¿Está encendido o apagado?
  • ¿Tiene batería o está descargado?
  • ¿La pantalla está bloqueada o desbloqueada?
  • ¿Tiene señal o está sin servicio?
  • ¿Está conectado a WiFi?
  • ¿Tiene alguna notificación visible en la pantalla?

Si puedes, toma una foto del celular tal como está. Con tu propio celular, toma una foto de la pantalla, del estado del dispositivo, de las notificaciones visibles. Eso documenta el estado en el que lo encontraste. Es el equivalente a tomar una foto de la escena antes de tocarla.

Paso 2: Si el celular está encendido, ponlo en modo avión

Este es el paso más crítico. Si el celular está encendido, actívale el modo avión. En la mayoría de los celulares puedes hacerlo deslizando desde la parte superior de la pantalla y tocando el ícono del avioncito. No necesitas desbloquear el celular para hacer esto en muchos modelos — se puede hacer desde la pantalla de bloqueo o desde las configuraciones rápidas.

¿Por qué modo avión? Porque el modo avión desactiva todas las comunicaciones inalámbricas: la red celular, el WiFi, el Bluetooth. Eso significa que el celular deja de recibir mensajes, deja de sincronizar datos con la nube, deja de actualizar aplicaciones, deja de comunicarse con ningún servidor externo. Básicamente, congela el estado del dispositivo en el momento en que lo pusiste en modo avión.

Si no pones el celular en modo avión, seguirá recibiendo datos. Mensajes nuevos van a llegar. Aplicaciones se van a actualizar. WhatsApp puede ejecutar un respaldo automático que sobreescriba el respaldo anterior. Cada una de esas acciones modifica la memoria del dispositivo.

Importante: Si el celular está encendido y tiene poca batería, primero ponlo en modo avión y después cárgalo con un cargador de pared (no lo conectes a una computadora — la computadora puede sincronizar datos automáticamente). Si el celular se apaga por falta de batería antes de que puedas ponerlo en modo avión, no lo vuelvas a encender. Déjalo apagado. Busca asesoría técnica antes de encenderlo.

Paso 3: Si el celular está apagado, déjalo apagado

No lo enciendas. No lo cargues para encenderlo. Déjalo exactamente como está.

Un celular apagado es evidencia en el mejor estado posible: sin procesos activos, sin datos sobreescribiéndose, sin comunicaciones alterando la memoria. Un perito puede extraer información de un celular apagado conectándolo directamente con herramientas forenses que impiden que el dispositivo arranque su sistema operativo normal. Esto se llama extracción antes del arranque, y preserva la integridad de los datos.

Si tú enciendes el celular antes de que un perito lo analice, el sistema operativo arranca, ejecuta procesos automáticos, sincroniza datos, actualiza registros. Esas acciones modifican la memoria. Son pisadas sobre las huellas.

Paso 4: Guárdalo en un lugar seco y seguro

El celular debe guardarse en un lugar donde no sufra daño físico, humedad ni calor extremo. La memoria flash de los celulares puede degradarse con calor excesivo, y la humedad puede dañar los componentes internos que un perito necesita acceder.

Si tienes una bolsa ziplock, mete el celular adentro para protegerlo del polvo y la humedad. Si tienes una bolsa de Faraday (las venden en línea y no son caras), úsala: bloquea todas las señales inalámbricas, lo que es el equivalente profesional del modo avión pero sin necesidad de tocar el dispositivo.

Si no tienes bolsa de Faraday ni ziplock, envuélvelo en papel aluminio. Suena rudimentario, pero funciona como un bloqueador de señal improvisado. Tres capas de papel aluminio alrededor del dispositivo bloquean la mayoría de las señales.

Ponlo en un lugar donde nadie lo toque. Donde no lo vayan a mover por accidente. Donde esté seguro.

Paso 5: Documenta todo

Anota por escrito:

  • Fecha y hora en que encontraste o recibiste el celular.
  • Estado en que estaba (encendido/apagado, bloqueado/desbloqueado, con batería/sin batería).
  • Lo que hiciste (le puse modo avión, lo guardé en tal lugar).
  • Lo que no hiciste (no abrí aplicaciones, no revisé mensajes, no lo conecté a ninguna computadora).
  • Dónde lo guardaste.
  • Quién más sabe que tienes el celular.

Esta documentación es tu cadena de custodia informal. No tiene el valor legal de una cadena de custodia oficial, pero demuestra que fuiste cuidadoso con la evidencia. Y si el día de mañana esa evidencia se presenta ante un juez, esa documentación puede ser la diferencia entre que la admitan y que la rechacen.

72 preservar evidencia desaparecido 3

Lo que NO debes hacer (la lista de errores fatales)

Voy a ser muy específico porque cada uno de estos errores lo he visto en la vida real. No una vez. Muchas veces.

No busques en sus WhatsApps

Sé que quieres leer sus conversaciones. Sé que piensas que ahí puede haber una pista. Y puede ser. Pero al abrir WhatsApp, la aplicación se conecta a los servidores (si no pusiste modo avión), actualiza el estado de los mensajes (de «entregado» a «leído,» lo cual cambia los timestamps), descarga mensajes nuevos, y puede ejecutar un respaldo automático que sobreescriba el respaldo anterior en la nube. Todo eso modifica la evidencia.

Más importante aún: si tú abres WhatsApp y lees un mensaje, ese mensaje ahora aparece como «leído» en el celular de quien lo envió. Si esa persona es sospechosa o tiene información sobre la desaparición, ahora sabe que alguien leyó su mensaje. Le estás dando información al otro lado.

No revises sus fotos ni su galería

Abrir la galería de fotos puede activar procesos de indexación que sobreescriben espacio en la memoria. También, si el celular está conectado a la nube (Google Photos, iCloud), abrir la galería puede iniciar una sincronización que modifique datos.

Las fotos están ahí. No se van a ir. Un perito las va a extraer todas — incluyendo las borradas, si son recuperables — de manera forense, sin alterar nada.

No conectes el celular a una computadora

Conectar un celular a una computadora puede activar una sincronización automática. iTunes puede iniciar un respaldo de iPhone. Android puede montar el almacenamiento. El antivirus de la computadora puede escanear el celular y modificar archivos. Todo eso altera la memoria del dispositivo.

Si necesitas cargarlo, usa un cargador de pared. Directo al enchufe. Sin computadora de por medio.

No le pongas una SIM diferente

No le cambies la tarjeta SIM. No le pongas tu SIM «para ver si prende.» La SIM original contiene datos: contactos almacenados en la SIM, mensajes SMS almacenados en la SIM, registros de la red. Si le pones una SIM diferente, el celular se registra en la red con un nuevo identificador, lo que puede generar confusión en los registros de telecomunicaciones.

No lo restaures de fábrica

Jamás. Bajo ninguna circunstancia. Restaurar de fábrica borra todo. No todo es recuperable después de una restauración. Es el equivalente a prender fuego a la habitación de las huellas.

No descargues aplicaciones ni actualices el sistema

No instales nada. No aceptes actualizaciones. Cada descarga, cada actualización, cada archivo nuevo que se escribe en la memoria ocupa espacio que antes podía contener datos recuperables.

No le prestes el celular a nadie que no sea un perito

Bien intencionado o no, cualquier persona que manipule el celular está generando datos nuevos. Cada persona que lo toque es un riesgo para la evidencia. Guárdalo tú. Contrólalo tú. Y cuando sea el momento de entregarlo para análisis forense, docuéntalo.

El error más común: «Yo solo le eché un ojito»

Voy a detenerme en esto porque lo veo con una frecuencia que me duele.

La familia recibe el celular. El primer impulso es buscar. «Déjame ver sus WhatsApps.» «Déjame ver con quién hablaba.» «Déjame ver si hay algo raro.» Lo hacen con la mejor intención del mundo. Lo hacen porque están desesperados. Lo hacen porque quieren encontrar una pista. Lo hacen porque sienten que cada minuto cuenta y que no pueden esperar a que llegue un perito.

Y tienen razón en que cada minuto cuenta. Pero la forma correcta de usar esos minutos no es abrir el celular. Es preservarlo.

He tenido familias que me traen un celular y me dicen: «Perito, lo revisamos y no encontramos nada raro.» Y cuando hago la extracción forense, descubro que en el proceso de «revisarlo» se eliminaron marcas de tiempo críticas, se actualizaron aplicaciones que sobreescribieron bases de datos internas, y se perdieron fragmentos de conversaciones borradas que todavía eran recuperables antes de que abrieran la aplicación.

No puedo culparlos. No sabían. Nadie les dijo. Por eso escribo esto: para que tú sí sepas.

El «ojito» rápido puede costar la evidencia que necesitabas. El celular no es un álbum de fotos. Es una escena del crimen digital. Y como toda escena del crimen, se contamina con cada persona que entra.

La única persona que debería «echarle un ojito» al celular es un perito informático forense, con herramientas forenses, con bloqueador de escritura, con cadena de custodia documentada. Todos los demás — incluyendo la familia, incluyendo el abogado, incluyendo la fiscalía — deberían mantener distancia hasta que la extracción forense se haya completado.

Sé que es difícil. Sé que la urgencia te quema. Pero preservar la evidencia hoy es lo que va a permitir que un perito extraiga las respuestas mañana. Y esas respuestas pueden ser las que te lleven a encontrarlo.

72 preservar evidencia desaparecido 4

Qué hacer con la computadora de tu familiar

Si tu familiar tenía una computadora de escritorio o laptop, aplican principios similares pero con algunas diferencias:

Si está encendida: no la apagues con el botón de poder. Apagar una computadora de golpe puede corromper datos. Si está encendida y puedes acceder al escritorio, lo ideal es tomar una foto de la pantalla tal como está y luego apagarla de manera normal (Inicio > Apagar). Si tiene sesiones abiertas — un navegador con pestañas, un correo abierto, un chat — toma fotos de todo antes de apagar.

Si está apagada: déjala apagada. No la enciendas. Un perito puede clonar el disco duro sin encender la computadora, preservando todos los datos intactos.

El disco duro es la memoria: todo lo que hizo tu familiar en esa computadora queda en el disco duro. Historiales de navegación. Archivos descargados. Correos. Fotos. Conversaciones de Skype o Zoom. Documentos. Incluso archivos borrados, si el espacio no fue sobreescrito. Un perito puede extraer todo eso de manera forense.

No formatees el disco. No reinstales Windows. No «limpies» la computadora. Déjala como está.

Qué hacer con las cuentas digitales de tu familiar

Además de los dispositivos físicos, tu familiar tenía cuentas digitales: correo electrónico, redes sociales, nube, aplicaciones. Esas cuentas contienen información que puede ser crucial.

Si conoces las contraseñas

Si conoces la contraseña del correo, de Google, de Apple ID, de Facebook, de cualquier cuenta de tu familiar, anota esas contraseñas y guárdalas en un lugar seguro. No cambies las contraseñas. No cierres las sesiones. No borres nada.

Puedes acceder a las cuentas desde tu propia computadora o celular para revisar información. Eso no altera la evidencia en el dispositivo de tu familiar, porque estás accediendo desde un dispositivo diferente. Lo que sí debes cuidar es:

  • No borres correos, mensajes ni archivos.
  • No modifiques configuraciones.
  • No cambies contraseñas (a menos que tengas razón para creer que alguien no autorizado puede acceder y borrar información; en ese caso, cambia la contraseña, anota la nueva, y documenta por qué lo hiciste).
  • Toma capturas de pantalla de todo lo que revises.

Si no conoces las contraseñas

No intentes adivinar la contraseña múltiples veces. Muchos servicios bloquean la cuenta después de varios intentos fallidos. Si la cuenta se bloquea, recuperarla puede ser complicado y tomar tiempo.

Opciones:

  • Verifica si la sesión está abierta en algún dispositivo (la computadora de tu familiar, una tablet, otro celular). Muchas veces las cuentas permanecen abiertas.
  • Google y Apple tienen procedimientos para solicitar acceso a cuentas de personas desaparecidas o fallecidas. Consulta con un abogado o asesor jurídico cómo iniciar ese proceso.
  • La autoridad que lleva la investigación puede solicitar los datos directamente a Google, Apple, Facebook/Meta, etc., a través de sus portales de solicitudes legales.

Cuentas que debes identificar

Haz una lista de todas las cuentas digitales que sepas que tu familiar tenía:

  • Correo electrónico (Gmail, Outlook, Yahoo, otro).
  • Redes sociales (Facebook, Instagram, Twitter/X, TikTok, Snapchat).
  • Mensajería (WhatsApp, Telegram, Signal).
  • Nube (Google Drive, iCloud, Dropbox, OneDrive).
  • Bancos (banca en línea).
  • Aplicaciones de transporte (Uber, Didi, InDriver).
  • Aplicaciones de compras (Amazon, Mercado Libre).
  • Cualquier otra cuenta que recuerdes.

Cada una de esas cuentas puede tener información relevante. Y cada una tiene sus propios procedimientos de acceso y de solicitud de datos.

72 preservar evidencia desaparecido 5

Cuándo buscar a un perito

Un perito informático forense puede extraer la información del celular de manera profesional, sin alterar la evidencia, documentando cada paso con cadena de custodia. La extracción forense produce una copia exacta de la memoria del dispositivo — bit por bit — que puede analizarse sin tocar el original.

Cuándo buscarlo:

  • Cuando tengas el celular en tu poder y quieras extraer la información de manera segura.
  • Cuando la fiscalía haya hecho una extracción y quieras una segunda opinión.
  • Cuando necesites interpretar una sábana de llamadas o cruzarla con otros datos.
  • Cuando necesites recuperar mensajes o archivos borrados.
  • Cuando necesites que la evidencia digital se documente de manera que tenga valor ante un juez.

Dónde buscarlo: colectivos de búsqueda que tengan convenios con peritos, universidades con programas de informática forense, organizaciones de derechos humanos que ofrezcan apoyo técnico. También hay peritos que trabajan pro bono en casos de desaparición. Pregunta. Busca. La comunidad forense en México es más solidaria de lo que imaginas.

Si la fiscalía te pide el celular

Puede pasar que la fiscalía te solicite entregar el celular de tu familiar como parte de la investigación. Si eso ocurre, tienes derecho a exigir lo siguiente:

Que se documente la cadena de custodia en tu presencia. Que se levante un acta que describa el dispositivo (marca, modelo, color, estado físico, si tiene contraseña, si está encendido o apagado). Que tú firmes esa acta y que te den una copia.

Que te den un plazo de devolución. El celular es propiedad de tu familiar. La fiscalía lo necesita para análisis, pero debe devolverte el dispositivo una vez que la extracción forense se haya completado. Pregunta cuándo te lo regresan. Exige un plazo por escrito.

Que solicites una copia del dictamen pericial. Si la fiscalía realiza un peritaje sobre el celular, tienes derecho a conocer los resultados. Solicita una copia del dictamen. Revísalo. Si algo no cuadra, si sientes que el análisis fue superficial, si hay datos que no se analizaron, tienes derecho a solicitar un peritaje independiente.

Que tomes fotos del dispositivo antes de entregarlo. Estado físico, pantalla, si tiene golpes o rayaduras. Es tu evidencia de en qué condiciones lo entregaste.

No entregues el celular sin documentación. Nunca. Porque he visto casos donde el celular «se perdió» en la fiscalía. Si tienes el acta de cadena de custodia firmada, la pérdida es imputable. Si no tienes nada, es tu palabra contra la de la institución.

72 preservar evidencia desaparecido 6

Resumen: La tarjeta que debes pegar en tu pared

Recorta esto. Imprímelo. Pégalo donde lo veas.

SI TIENES EL CELULAR DE TU FAMILIAR DESAPARECIDO:

  • No lo uses. No busques entre sus cosas.
  • Si está encendido: ponlo en modo avión.
  • Si está apagado: déjalo apagado.
  • Si necesitas cargarlo: usa un cargador de pared, nunca una computadora.
  • Guárdalo en un lugar seco, seguro, envuelto en papel aluminio o en bolsa de Faraday.
  • Documenta: fecha, hora, estado en que lo encontraste, lo que hiciste y lo que no hiciste.
  • No abras WhatsApp. No revises fotos. No conectes a la computadora. No cambies la SIM. No restaures. No actualices.
  • Busca asesoría técnica para la extracción forense.

SI TIENES ACCESO A SUS CUENTAS DIGITALES:

  • No borres nada. No cambies contraseñas (salvo emergencia).
  • Toma capturas de pantalla de todo.
  • Revisa Google Timeline, Google Photos, respaldos de WhatsApp, correos, redes sociales.
  • Documenta lo que encuentres.

SI NO TIENES NADA:

  • Solicita la sábana de llamadas (artículo 183).
  • Solicita los registros bancarios.
  • Solicita los videos de cámaras de seguridad (urgente, se sobreescriben).
  • Busca si la sesión está abierta en algún otro dispositivo.
  • No pierdas la esperanza. La evidencia digital no vive en un solo lugar. Hay múltiples fuentes. Siempre hay un camino.

Una última cosa

Sé que leer un artículo sobre «cómo preservar evidencia» cuando lo que quieres es encontrar a tu familiar puede sentirse frío. Técnico. Distante de lo que realmente importa.

Pero la evidencia digital es una herramienta de búsqueda. Cada dato preservado es una migaja que puede llevarte a una pista. Cada dato perdido por manipulación inadvertida es una migaja que ya no puedes seguir.

Lo que acabas de leer no es un manual técnico. Es una forma de proteger el rastro de la persona que amas. De cuidar lo poco que queda de sus últimos pasos digitales. De asegurarte de que cuando llegue el momento de analizar esa evidencia, esté intacta, completa, lista para hablar.

Imprime esta guía. Compártela. Llévala a tu colectivo. Porque cada familia que busca a alguien debería tener esta información desde el primer día. No desde que ya es tarde.

En mi libro explico los procedimientos forenses con mayor profundidad. Pero lo que no puede esperar al libro es que cuides el celular que tienes en las manos. Cuida esa evidencia como lo que es: el último testigo silencioso de alguien que amas.

Derechos de autor y copia; 2026 Duriva | Política de Privacidad.