¿La sospecha de vigilancia sobre un móvil, ordenador o desplazamientos ha aparecido recientemente?
Casos como infidelidades, bajas laborales dudosas, fraude interno o competencia desleal requieren discreción.
Quien sufre suele tener pocos conocimientos técnicos y necesita instrucciones claras y seguras.
Resumen del proceso
- Aislar y documentar: cortar redes, capturar pantallas y anotar eventos.
- Diagnóstico técnico: revisar móvil, PC y router para detectar stalkerware o intrusiones.
- Decidir alcance: aplicar limpieza básica o encargar peritaje forense.
- Preservar cadena de custodia: exportar logs y asegurar metadatos.
- Actuar legalmente: contratar detective homologado si hace falta informe pericial.
El triage inmediato preserva pruebas y evita acciones que las destruyan.
Mantener las evidencias aumenta la posibilidad de uso en un juicio.
Capturar y preservar evidencia
Fotografiar pantallas con fecha visible demuestra el estado inicial.
Exportar conversaciones desde la app oficial puede conservar marcas temporales y el contenido.
Eso no siempre guarda metadatos forenses completos como cabeceras, IPs o IDs internos.
Para su conservación con validez probatoria, un perito forense debe realizar la extracción.
Además, el perito genera hashes y documentación de cadena de custodia.
Eso suele ser necesario en procedimientos judiciales.
No borrar ni desinstalar aplicaciones sospechosas.
Borrar apps puede eliminar huellas forenses.
Anotar hora, lugar y testigos de cada acción ayuda a la cadena de custodia.
Aislar el dispositivo
Poner el móvil en modo avión corta comunicaciones salientes.
Desactivar datos móviles también evita conexiones externas.
Desconectar el PC de la red evita filtrado de datos mientras se prepara el análisis.
Un error frecuente es reiniciar o restablecer el equipo antes de guardar evidencia.
Esa acción destruye logs valiosos y dificulta cualquier extracción forense.
Checklist imprimible y plantilla
A continuación hay un checklist y una plantilla que se pueden copiar y usar inmediatamente.
CHECKLIST TRIAGE INMEDIATO
- Fecha y hora: [YYYY-MM-DD HH:MM]
- Dispositivo: [móvil/PC/IoT] - Marca/Modelo: [_]
- Acción 1: Poner en modo avión / desconectar red - Hora: [__]
- Acción 2: Fotografiar pantalla con fecha visible - Archivos: [lista]
- Acción 3: Exportar chats (si procede) - App: [WhatsApp/Signal] - Archivo: [ruta]
- Acción 4: Anotar consumo de batería/datos atípico - Observaciones: [_]
- No reiniciar, no restaurar, no instalar limpiadores.
CADENA DE CUSTODIA (BÁSICA)
- Evidencia: [descripción]
- Fecha y hora de recogida: [YYYY-MM-DD HH:MM]
- Quién la recoge: [nombre/función]
- Observaciones del estado: [encendido/apagado, desbloqueado]
- Hash (si aplica): [SHA256]
- Entregado a: [nombre] - Fecha entrega: [YYYY-MM-DD]
Paso 2: diagnóstico técnico
El diagnóstico técnico diferencia entre alarma falsa y compromiso real.
Una revisión básica detecta indicios de stalkerware o manipulación de red.
Análisis en móviles
Comprobar permisos de accesibilidad y apps con privilegios revela herramientas de espionaje.
Revisar sesiones activas en WhatsApp y Signal indica accesos remotos.
Revisar SMS con códigos no solicitados ayuda a detectar intentos de SIM swap.
Cambios de ubicación en momentos extraños suelen indicar geolocalización no autorizada.
Análisis en PC y red doméstica
Inspeccionar procesos activos y conexiones salientes identifica malware o túneles.
Revisar la lista de dispositivos conectados al router evidencia intrusos en la red doméstica.
Capturar tráfico con herramientas como Wireshark permite ver destinos inusuales.
Registrar picos de tráfico fuera de horario sugiere exfiltración de datos.
1
Aislar: modo avión, desconectar router.
2
Capturar: fotos con hora, exportar chats.
3
Analizar: móvil, PC y tráfico de red.
4
Decidir: limpieza o peritaje forense.
Herramientas útiles para triage
Herramientas gratuitas ayudan en el primer nivel pero no sustituyen al peritaje.
Wireshark y comprobadores de procesos ofrecen evidencia técnica útil.
Las apps anti-malware detectan amenazas conocidas.
No siempre ven spyware comercial o herramientas de vigilancia personalizadas.
Por eso, si hay indicios fuertes, el paso siguiente debe ser profesional.
Cuando el diagnóstico indica indicios de stalkerware o comportamiento anómalo, seguir pasos claros ayuda a usuarios con pocos conocimientos técnicos.
- Documentar: fotografiar pantallas con fecha y hora visibles y exportar chats desde la app oficial.
- Inspección básica: revisar Ajustes → Aplicaciones/Permisos para detectar apps con permisos de accesibilidad o administración del dispositivo.
- Aislamiento: poner en modo avión, quitar tarjeta SIM si procede y no conectarse a redes desconocidas.
- Limpieza inicial segura: desinstalar únicamente aplicaciones identificadas claramente como maliciosas según fuentes fiables o pasarlas por un antimalware reconocido.
- Copia y restauración: si se decide restablecer, exportar primero contactos y chats y anotar horarios para preservar metadatos relevantes.
Si la prioridad es admisibilidad legal o hay pérdida económica, solicitar peritaje forense evitará la pérdida de cadena de custodia.
Para usuarios y responsables de seguridad que valoran herramientas, conviene una comparativa pragmática.
- Antivirus/anti-malware (ej. Soluciones móviles de fabricantes reputados): pros -> detección automática de firmas y fácil uso; contras -> baja eficacia contra stalkerware personalizado y sin cadena de custodia.
- Extensiones de navegador anti-tracking (uBlock Origin, Privacy Badger): pros -> reducen huellas y bloquean rastreadores web; contras -> no protegen el sistema ni el tráfico de apps móviles.
- Escáneres de red y apps de inventario (Fing, herramientas del router): pros -> detectan dispositivos extraños en la LAN; contras -> requieren interpretación humana.
- Captura de tráfico con Wireshark: pros -> análisis de redes en profundidad; contras -> curva de aprendizaje alta y necesidad de filtrado.
Combinar un antimalware de endpoint, extensiones de privacidad y análisis de red aporta cobertura complementaria.
Para pruebas periciales, privilegiar herramientas que permitan generar logs verificables para cadena de custodia.
Los entornos IoT y smart home introducen vectores específicos de seguimiento que merecen atención.
Cámaras y asistentes con firmware desactualizado resultan especialmente vulnerables.
Cámaras IP con credenciales por defecto o enchufes inteligentes en la misma VLAN que el móvil facilitan exfiltración de datos.
Señales concretas incluyen dispositivos desconocidos en la lista del router y reinicios inexplicados de hubs.
Latencia inusual o picos de tráfico nocturnos hacia destinos extranjeros también son señales.
Mitigaciones prácticas: cambiar contraseñas por defecto y actualizar firmware.
Crear una red de invitados para IoT y desactivar UPnP si no es necesario.
Revisar logs del router periódicamente mejora la detección temprana.
La aparición de técnicas basadas en IA aumenta la capacidad de rastreo.
Reconocimiento facial en vídeo y correlación automatizada de ubicaciones amplían el riesgo.
Conviene combinar medidas de privacidad móvil con control de seguridad en routers y análisis proactivo de dispositivos IoT.
Incluir estos artefactos en el peritaje forense cuando el caso lo justifique.
Paso 3: decidir alcance y contratar
Decidir encargar un peritaje depende del daño potencial y de la validez probatoria requerida.
La elección marca la diferencia entre una sospecha y una prueba admisible.
Umbrales para encargar peritaje
Encargar peritaje cuando exista acceso repetido no autorizado, pérdida económica, manipulación de bajas laborales o riesgo reputacional.
Si la prueba influye en un procedimiento judicial o laboral, el peritaje suele ser necesario.
El error más frecuente en este punto es intentar limpiar el equipo por cuenta propia y luego esperar que un informe profesional recupere las pruebas borradas.
Eso no suele funcionar.
Qué pedir a un detective privado
Solicitar acreditación y afiliación al Colegio Oficial de Detectives o a la Asociación Profesional de Detectives Privados de España.
Pedir experiencia en peritaje informático y en metodología de cadena de custodia.
Solicitar una muestra tipo de informe pericial para valorar el formato.
Pedir presupuesto desglosado: triage, extracción forense, informe pericial y custodia de evidencias.
Pedir plazo estimado en horas o días y quién firmará el informe.
Caso anónimo ilustrativo
Un caso habitual: empleado con consumo de datos extra y mensajes duplicados → se hace extracción forense móvil y router → se demuestra acceso externo y se admite como prueba en mediación laboral.
Comparativa de opciones iniciales
| Opción |
Alcance |
Coste orientativo |
Validez legal |
| DIY (usuario) |
Triage básico, capturas, cambios de contraseñas |
0–100 € |
Baja; riesgo de eliminación de pruebas |
| Software anti-malware |
Detecta amenazas conocidas en móvil y PC |
20–100 € anual |
Medio; no suele documentar cadena de custodia |
| Detective privado homologado |
Extracción forense, informe pericial, custodia |
300–1.500+ € |
Alta; orientado a admisibilidad en juicio |
Errores que arruinan el resultado
Reiniciar o restaurar fábrica destruye logs y metadatos que sostienen una pericia.
Mantener el equipo tal cual aumenta su valor legal.
Reseteos y borrados
Eliminar o reinstalar apps borra evidencia y complica la obtención de hashes y timestamps.
Ese error roba la posibilidad de prueba pericial fiable.
Confrontaciones públicas
Confrontar a la persona sospechada puede provocar borrado de pruebas y escalada del conflicto.
Conservar la calma y documentar evita perder opciones legales.
Depender solo de apps gratuitas
Confiar exclusivamente en limpiadores o antivirus gratuitos puede dar resultados incompletos.
Estas apps no generan informe pericial con cadena de custodia.
Cuándo no funciona este método y alternativas
No aplicar medidas de triage cuando no existen indicios razonables de seguimiento; en casos de vigilancia laboral documentada o autorizada por la empresa, estas acciones pueden no ser apropiadas. Tampoco sustituye a denuncia policial en situaciones de riesgo físico inminente o amenazas violentas.
Síntesis con recomendación accionable
El plan claro es: aislar, documentar y decidir.
Si la sospecha abre un riesgo legal, económico o personal, encargar peritaje aporta un informe con cadena de custodia válido en juicios.
Solicitar acreditación y presupuesto desglosado antes de contratar evita sorpresas.
La evidencia técnica con metadatos aumenta la probabilidad de éxito en reclamaciones civiles o procedimientos penales.
La Ley 5/2014 regula la actividad de detectives, la LOPDGDD 3/2018 adapta la protección de datos en España y el RGPD (2016/679) sigue vigente en la UE.
Todo trabajo debe respetar esos marcos.
Esto funciona bien en teoría, pero en la práctica muchas pruebas se pierden por acciones impulsivas.
Cuando la evidencia afecta al empleo o a un proceso judicial, acudir a un profesional homologado es la opción más segura.
Para una valoración discreta y sin compromiso, se puede solicitar al despacho de detectives un presupuesto inicial y una descripción del proceso de cadena de custodia y plazo estimado.
Preguntas frecuentes
¿Qué debo hacer si encuentro una app desconocida?
La reacción inmediata es fotografiar la pantalla con fecha y hora y no desinstalar nada. A continuación, exportar conversaciones relevantes y anotar la hora en la que se detectó.
Eliminar la app puede borrar metadatos. Si se necesita admisibilidad legal, pedir extracción forense evita pérdida de pruebas.
¿Sirve un antivirus gratuito para detectar spyware?
Un antivirus gratuito puede detectar amenazas conocidas pero no garantiza detección de spyware comercial. Para casos con indicios fuertes, la extracción forense provee resultados más completos.
Los informes de empresas como Kaspersky Lab o ESET muestran detecciones útiles, pero no suplen la cadena de custodia que un peritaje aporta.
¿Cuánto tarda un peritaje forense y cuánto cuesta?
En casos sencillos la extracción y análisis preliminar pueden completarse en 24–72 horas, pero los plazos varían según el modelo de dispositivo, nivel de cifrado, necesidad de desbloqueo, volumen de datos y carga del laboratorio; la fase de informe pericial y validación suele añadir días o semanas. Es importante comunicar estos factores al contratar un servicio y solicitar un plazo estimado por escrito. El coste orientativo en España se sitúa entre 300 y 1.500+ € según la complejidad.
Los plazos aumentan si hay servidores, IoT o colaboración policial. Pedir presupuesto desglosado evita sorpresas.
¿Qué pruebas son inadmisibles en juicio?
Pruebas obtenidas mediante interceptación ilegal o grabaciones sin permiso pueden ser inadmisibles. La actividad debe respetar el Código Penal y la normativa de privacidad.
La validez de la prueba depende de su obtención y de la preservación de la cadena de custodia.
¿Debe la empresa notificar a la AEPD si hay una brecha de datos?
Si el incidente implica datos personales sensibles, la empresa debe valorar notificar a la AEPD conforme a la normativa vigente. La obligación depende del riesgo para los afectados.
Consultar con el delegado de protección de datos o con INCIBE ayuda a cumplir requisitos legales.
¿Cómo detectar un SIM swap?
Se debe comprobar si se han recibido mensajes sobre cambio de número o portabilidad sin autorización. Pérdida súbita de señal y códigos 2FA que no llegan al dispositivo habitual son señales claras.
Contactar con el operador y bloquear la portabilidad inmediata son pasos urgentes cuando hay sospecha de SIM swap.
¿Es útil denunciar primero ante la policía o la Guardia Civil?
Denunciar ofrece protección y registra oficialmente los hechos. Si existe riesgo físico o delito claro, la denuncia es prioritaria.
El peritaje puede complementar la denuncia aportando pruebas técnicas y un informe pericial admisible en procedimientos penales.
Cierre y siguientes pasos
La prioridad inmediata es preservar evidencia: aislar el equipo, fotografiar pantallas y exportar logs.
Si hay indicios técnicos o daños significativos, encargar un peritaje forense a un detective homologado garantiza cadena de custodia y un informe válido para tribunales.
Frase final citable: "Conservar la evidencia desde el primer minuto multiplica la posibilidad de éxito legal".
