Preservación forense de evidencia web
Preservación técnica de URLs, redes sociales, PDFs online y expedientes de contratación pública con cadena de custodia documentada. Metodología ISO/IEC 27037 y UNE 71506. Informe pericial admisible en juzgados españoles.
TL;DR — Resumen ejecutivo
En 60 segundos:
- Qué: registro técnico completo de una URL (HTML + HAR + DNS + TLS + WHOIS + documentos vinculados + hash SHA-256 por cada artefacto) con cadena de custodia documentada.
- Por qué importa: una captura de pantalla o un acta notarial aisladas son impugnables por la otra parte. La preservación forense aporta la capa técnica verificable que hace la evidencia defendible bajo contradicción.
- Qué hacer: acta de inicio → adquisición controlada (Chrome DevTools, `curl`, `openssl`, `dig`, `exiftool`) → cálculo de hashes → análisis forense del contenido → informe pericial con cadena de custodia.
- Cuándo actuar: ANTES de que el contenido se modifique o se retire. La preservación retrospectiva es mucho más costosa (y a veces imposible).
Preservar una URL con valor probatorio
Preservar una URL con valor probatorio no es hacer una captura de pantalla. Es registrar técnicamente todo lo que esa URL contiene, cómo se sirve y en qué contexto de infraestructura existe, con una cadena de custodia que permita a un tercero auditarlo después. Eso implica guardar el HTML renderizado, un archivo HAR con las cabeceras HTTP de la sesión, los registros DNS del dominio, el certificado TLS con su cadena y su verificación OCSP, los datos WHOIS, los documentos y recursos vinculados, y un hash SHA-256 por cada artefacto preservado.
Este servicio se necesita con frecuencia en situaciones como:
- Impugnación de adjudicaciones en contratación pública, cuando hay que fijar el contenido de expedientes publicados en plataformas autonómicas o estatales antes de que se actualicen o retiren.
- Difamación, ciberacoso y amenazas en foros, redes sociales o secciones de comentarios de medios digitales.
- Publicidad engañosa en ecommerce o landings promocionales antes de que el contenido sea modificado o eliminado.
- Disputas de propiedad intelectual sobre contenido publicado en sitios de terceros.
- Perfiles falsos o cuentas de suplantación de identidad antes de ser denunciados a la plataforma y probablemente eliminados.
Si el contenido que te importa vive en una URL, en un hilo de foro, en una licitación pública o en un perfil social, preservarlo hoy cuesta mucho menos que intentar reconstruirlo cuando ya no esté.
Comparativa: preservación forense vs acta notarial vs captura
Las tres opciones documentan contenido web pero con distinto nivel de garantía técnica y resistencia a impugnación. Esta tabla resume qué aporta cada una.
| Aspecto | Captura de pantalla | Acta notarial | Preservación forense |
|---|---|---|---|
| Fe pública del acto | No | Sí (notario) | No (pero aporta algo distinto: integridad técnica verificable) |
| Hash SHA-256 por evidencia | No | No (normalmente) | Sí — verificable por cualquier tercero |
| Registros DNS + TLS + WHOIS | No | No | Sí — acredita identidad técnica del servidor |
| Archivo HAR con cabeceras HTTP | No | No | Sí |
| Análisis forense de metadatos (EXIF/XMP) | No | No | Sí |
| Cadena de custodia documentada | No | Parcial | Sí — ISO/IEC 27037 + UNE 71506 |
| Resistencia bajo contradicción pericial | Baja | Media | Alta |
| Combinable con otras | — | Sí (recomendable con peritaje) | Sí (ideal acta notarial + peritaje) |
Para procedimientos de alto valor probatorio, la combinación óptima es acta notarial + preservación forense: el notario da fe del acto de diligencia y el perito aporta la integridad técnica verificable.
Qué incluye
Qué incluye el servicio
Cada preservación entrega el paquete completo con los elementos técnicos necesarios para soportar impugnación.
Captura web controlada
HTML renderizado, archivo HAR con cabeceras HTTP de la sesión, capturas de pantalla completas y, si el caso lo requiere, grabación del proceso. Registro de URL, fecha y método de adquisición.
Hash SHA-256 por evidencia
Huella digital criptográfica de cada fichero preservado y del paquete consolidado. Verificable por cualquier tercero con herramientas estándar (shasum, PowerShell).
Contexto técnico de infraestructura
Registros DNS (A, AAAA, NS, CAA), certificado TLS con cadena completa y verificación OCSP, datos WHOIS del dominio. Acredita la identidad técnica del servidor en el momento exacto de la captura.
Preservación de documentos vinculados
Descarga controlada de PDFs, imágenes y otros artefactos enlazados desde la URL principal. Cada uno con su propio hash y metadatos preservados.
Análisis forense del contenido
Extracción de metadatos (XMP en PDFs, EXIF en imágenes), verificación de firmas digitales electrónicas y análisis de integridad de los ficheros preservados.
Informe pericial + cadena de custodia
Documento formal con metodología aplicada, resultados técnicos, anexos y acta de cadena de custodia alineada con ISO/IEC 27037 y UNE 71506. Listo para presentarse en juicio.
Cómo trabajo un encargo de preservación
El flujo operativo se apoya en cinco fases bien diferenciadas, cada una con artefactos verificables:
- 1
Acta de inicio del encargo
Delimitación formal del objeto: URL exacta, documentos concretos a preservar, alcance técnico y limitaciones conocidas. Se firma por ambas partes para dejar constancia del momento en que arranca la cadena de custodia.
- 2
Adquisición controlada
Captura técnica con herramientas estándar del ecosistema forense: Chrome DevTools en modo incógnito para exportar HTML y HAR,
curlpara descargas verificables,opensslpara el certificado TLS y su cadena,digpara los registros DNS,exiftoolpara los metadatos de los ficheros descargados. El entorno de adquisición queda documentado: equipo utilizado, sistema operativo, IP de adquisición y sincronización NTP del reloj del sistema. - 3
Cálculo de integridad
SHA-256 de cada evidencia individual y SHA-256 del paquete consolidado. La verificación cruzada permite detectar transferencias corruptas durante la copia a soporte de entrega.
- 4
Análisis forense del contenido
Extracción de metadatos (XMP en PDFs, EXIF en imágenes, cabeceras en correos), verificación de firmas digitales electrónicas cuando existen y revisión de elementos activos —JavaScript embebido, acciones en PDFs, cifrado— si son relevantes para el caso.
- 5
Entrega
Informe pericial formal en PDF, paquete de evidencias organizado en carpetas numeradas, acta de cadena de custodia y anexos técnicos: índice de evidencias, manifiesto de hashes, ficha de entorno de adquisición, log cronológico del procedimiento y SOP aplicado.
Plazo típico: 72-96 horas laborables desde la firma del acta de inicio, salvo que el volumen del material exija un plazo mayor. Para casos urgentes, servicio express en 24-48 h con suplemento proporcional.
Preguntas frecuentes sobre preservación forense
Las dudas más habituales de abogados y empresas antes de solicitar una preservación web con valor probatorio.
¿Cuándo sirve una captura de pantalla y cuándo hace falta preservación forense?
Una captura de pantalla sirve para uso informal o interno. Para un procedimiento judicial es insuficiente en cuanto la otra parte la impugne: no aporta garantías técnicas de integridad, no documenta el servidor real ni la identidad del dominio. La preservación forense sí: captura HTML + HAR + registros DNS + certificado TLS + WHOIS + hash SHA-256, y genera informe pericial con cadena de custodia documentada alineada con ISO/IEC 27037 y UNE 71506.
¿Qué diferencia hay entre preservación forense y acta notarial?
Un acta notarial da fe de lo que el notario ve en pantalla durante la diligencia, pero no documenta la infraestructura técnica subyacente ni aporta hashes verificables de los ficheros. El peritaje forense añade esa capa técnica: registra el entorno de servidor, certifica la integridad mediante SHA-256 verificable por cualquier parte del procedimiento y deja constancia del proceso de adquisición paso a paso. Son compatibles y complementarias: en casos de alto valor probatorio lo ideal es combinar acta notarial + peritaje forense.
¿Qué se preserva exactamente cuando se "preserva una URL"?
Se preserva: (1) el HTML renderizado completo de la página; (2) un archivo HAR con todas las peticiones HTTP de la sesión y sus cabeceras; (3) los registros DNS del dominio (A, AAAA, NS, CAA); (4) el certificado TLS completo con su cadena y verificación OCSP; (5) los datos WHOIS del dominio; (6) todos los documentos y recursos enlazados desde la URL (PDFs, imágenes, etc.); (7) un hash SHA-256 por cada artefacto preservado y un hash SHA-256 del paquete consolidado.
¿Cuánto tiempo tardas en entregar la preservación?
Plazo estándar: 72-96 horas laborables desde la firma del acta de inicio del encargo. Para casos urgentes con plazos procesales ajustados (por ejemplo, medidas cautelares o contestación inminente) ofrezco servicio express en 24-48 horas con suplemento proporcional a la urgencia.
¿Puedes preservar contenido privado (redes sociales con login, foros restringidos)?
Sí, si la parte instante tiene acceso legítimo al contenido (su propia cuenta, permisos de la organización, etc.). En ese caso se documenta el procedimiento de autenticación sin capturar credenciales, se preserva el contenido con las mismas garantías técnicas, y se adjunta declaración firmada del titular sobre la legitimidad del acceso (art. 335.2 LEC). Si no hay acceso legítimo, NO se procede: preservar contenido al que no se tiene derecho de acceso puede ser ilícito (arts. 197-201 CP).
¿Sirve en cualquier jurisdicción española?
Sí. La metodología se apoya en normas técnicas reconocidas internacionalmente (ISO/IEC 27037:2012, UNE 71506:2013) y el informe se adapta al procedimiento concreto: civil (LEC), penal (LECrim), laboral (LRJS) o contencioso-administrativo (LJCA). Incluye acta de cadena de custodia, manifiesto de hashes y ficha de entorno de adquisición que cualquier juez o letrado puede auditar.
¿Qué pasa si la URL cambia o se retira antes del juicio?
Ese es precisamente el motivo por el que se preserva: una vez preservada con hashes y cadena de custodia, el contenido queda documentado de forma auditable aunque la URL original se modifique o desaparezca. En el informe pericial se aporta el paquete completo con todos los artefactos y el tribunal puede verificar la integridad con herramientas estándar (comando `shasum -a 256` en cualquier sistema Unix o equivalente en Windows).
¿Puedes ratificar el informe ante el tribunal si la parte contraria lo impugna?
Sí. La ratificación en sede judicial está disponible como servicio complementario (presupuesto según Andalucía o desplazamiento nacional). Incluye preparación específica de la vista, reunión previa con el letrado y comparecencia ante tribunal para defender la metodología y responder a preguntas técnicas de la parte contraria.
Servicios relacionados y lectura recomendada
Caso real: PDFs oficiales sin firma
Estudio de caso de preservación forense de 5 PDFs publicados en plataforma de contratación pública sin firma electrónica reconocida.
Peritaje de redes sociales
Si la preservación es de perfiles, hilos o comentarios en Facebook, Instagram, Twitter/X o LinkedIn con análisis de autoría.
Análisis forense digital
Para análisis completo de dispositivos (ordenadores, móviles, servidores) más allá de la preservación de una URL específica.
Cobertura geográfica
Servicio ofrecido en toda España desde Jaén. Para preservación web no suele requerirse desplazamiento presencial (la adquisición se realiza desde el equipo certificado del perito, con documentación completa del entorno). La ratificación en juicio sí requiere desplazamiento si es fuera de Andalucía. Consulta el detalle de cobertura por provincia.
¿Necesitas preservar una URL con valor probatorio?
Consulta confidencial sin compromiso para evaluar tu caso y el alcance técnico necesario. Presupuesto cerrado tras la primera llamada.
¿Necesitas conocer el coste? El servicio arranca desde 500 € + IVA para preservaciones simples. Para casos más complejos (multiples URLs, redes sociales con login, contratación pública con expedientes largos) el presupuesto se ajusta al alcance concreto. Consulta modalidades y precios de peritaje informático.
