Metadatos en la investigación privada: qué son, cómo se analizan y qué valor tienen ante un tribunal

Qué son los metadatos

Los metadatos son información incrustada en un archivo digital que describe ese archivo sin formar parte visible de su contenido. Son, literalmente, datos sobre los datos. Una fotografía tomada con un móvil no solo contiene la imagen que se ve en pantalla. Contiene también la fecha y hora exacta de la captura, el modelo del dispositivo, los ajustes de la cámara y, si la localización estaba activa, las coordenadas GPS del lugar donde se tomó. Todo eso son metadatos y todo eso es invisible para quien mira la foto sin analizarla específicamente.

En el contexto de la investigación privada y la prueba digital, los metadatos tienen una relevancia creciente. Pueden confirmar o desmentir versiones de los hechos, acreditar la autoría de un documento, demostrar que un archivo fue manipulado o establecer la cronología exacta de una serie de acciones. Son, en muchos casos, la información que más cuesta falsificar de forma consistente y, por eso, la que mayor valor aporta como prueba cuando está bien extraída y correctamente documentada.

Tipos de metadatos relevantes en investigación

Metadatos EXIF en imágenes y vídeos

EXIF son las siglas de Exchangeable Image File Format. Es el estándar más extendido para metadatos en fotografías digitales y está presente en prácticamente todas las imágenes captadas con cámaras digitales y teléfonos móviles. Los metadatos EXIF de una imagen pueden incluir la fecha y hora exacta de la captura, el modelo de cámara o teléfono utilizado, el número de serie del dispositivo en algunos casos, la configuración de la cámara en el momento de la toma, y las coordenadas GPS del lugar donde se realizó la fotografía si la localización estaba activa en el dispositivo.

En investigaciones laborales, los metadatos EXIF de fotografías aportadas como prueba permiten verificar cuándo y dónde se tomó realmente una imagen, o detectar inconsistencias entre la versión declarada y los datos técnicos del archivo. Una fotografía presentada como prueba de que alguien estuvo en un lugar determinado puede ser verificada o refutada analizando sus metadatos EXIF.

Metadatos en documentos Office y PDF

Los documentos creados con Microsoft Word, Excel, PowerPoint y herramientas similares llevan incrustados metadatos que pueden revelar el nombre del autor que creó el documento, el nombre del último usuario que lo modificó, la empresa u organización asociada al software, las fechas de creación y de última modificación, el número de revisiones del documento y el tiempo total de edición.

Los documentos PDF contienen metadatos similares, incluyendo el software con el que fueron generados. Este tipo de información es especialmente relevante en investigaciones de fraude documental, competencia desleal o falsificación. Un documento presentado como creado en una fecha determinada puede revelar, a través de sus metadatos, que fue modificado posteriormente o que fue creado por un usuario distinto del declarado.

Un caso documentado en España ilustra la utilidad de este tipo de análisis: la investigación de irregularidades en concursos públicos mediante el análisis de metadatos de los pliegos técnicos reveló que los documentos incluían en sus propiedades el nombre de las empresas adjudicatarias antes incluso de que se publicara la licitación, lo que apuntaba a un procedimiento dirigido.

Metadatos XMP e IPTC

XMP es un estándar de metadatos extensible creado por Adobe, basado en etiquetas XML, que permite a diferentes aplicaciones añadir su propia información al archivo. Muchos programas de edición de imagen y vídeo almacenan en XMP el historial de ediciones realizadas, lo que puede revelar si una imagen o un vídeo han sido manipulados y con qué herramientas. IPTC es un estándar orientado al ámbito editorial y periodístico que permite añadir información de autoría, créditos y derechos de uso a las imágenes.

Metadatos en vídeos y archivos de audio

Los archivos de vídeo contienen metadatos sobre el códec utilizado, la fecha de grabación, la resolución, la duración y, en dispositivos con GPS activo, la localización. Los archivos de audio almacenan datos como el artista, el álbum, la fecha de grabación y el software utilizado para su edición. En investigaciones donde el vídeo o el audio son prueba principal, el análisis de sus metadatos permite verificar la autenticidad del archivo y detectar ediciones o montajes.

Metadatos en correos electrónicos y comunicaciones digitales

Los correos electrónicos contienen en sus cabeceras metadatos técnicos que registran el servidor de origen, la dirección IP del remitente, la ruta seguida por el mensaje y las marcas temporales de cada paso en el envío. Estos metadatos son fundamentales en investigaciones de suplantación de identidad, fraude por correo electrónico o acreditación de comunicaciones en procedimientos laborales y mercantiles.

Herramientas para el análisis de metadatos

ExifTool

ExifTool, desarrollada por Phil Harvey, es la herramienta de referencia para el análisis de metadatos en el ámbito forense. Es gratuita, de código abierto, disponible para Windows, macOS y Linux, y soporta más de 100 formatos de archivo incluyendo imágenes, vídeos, documentos PDF y archivos de Microsoft Office. Permite leer, escribir y eliminar metadatos, y es la herramienta más utilizada por peritos informáticos en todo el mundo para tareas de análisis forense de metadatos.

Su uso en investigación privada se centra principalmente en la lectura y documentación de metadatos de los archivos que forman parte del material probatorio, así como en la detección de inconsistencias que puedan indicar manipulación.

Otras herramientas relevantes

Además de ExifTool existen otras herramientas utilizadas en el análisis forense de metadatos. FotoForensics permite analizar imágenes aplicando el Análisis de Nivel de Error (ELA), una técnica que detecta áreas de una imagen que han sido modificadas al identificar diferencias en los niveles de compresión. MetadataKit ofrece análisis en línea de metadatos de más de 500 formatos sin necesidad de subir los archivos a un servidor externo. Para entornos Windows, la propia visualización de propiedades del sistema operativo permite acceder de forma básica a los metadatos de imágenes y documentos.

En el ámbito corporativo y de cumplimiento normativo, herramientas como MetaClean permiten gestionar y eliminar metadatos de documentos antes de su distribución, precisamente para evitar que información sensible incrustada en los archivos quede expuesta inadvertidamente.

Valor legal de los metadatos como prueba en España

El ordenamiento jurídico español no cuenta con una regulación específica y detallada sobre la prueba digital y los metadatos. La Ley de Enjuiciamiento Civil reconoce en su artículo 299 los medios de reproducción de la palabra, el sonido y la imagen, así como los instrumentos que permiten archivar y conocer datos y operaciones llevadas a cabo con medios informáticos, como medios de prueba admisibles. Esto incluye los archivos digitales y, por extensión, sus metadatos.

La jurisprudencia española ha desarrollado criterios importantes sobre la prueba digital. El Tribunal Supremo, en su sentencia 300/2015 de 19 de mayo, estableció que para las comunicaciones digitales es indispensable la práctica de una prueba pericial que identifique el verdadero origen de esa comunicación, la identidad de los interlocutores y la integridad de su contenido. Este criterio se aplica de forma extensiva a cualquier prueba digital, incluidos los archivos con metadatos.

Las conclusiones prácticas de la jurisprudencia española sobre prueba digital son claras: los archivos digitales aportados sin análisis pericial son impugnables por la parte contraria, y esa impugnación puede desvirtuar su valor probatorio. Una fotografía o un documento aportado sin un peritaje que acredite su autenticidad e integridad puede ser rechazado como prueba. Con el respaldo de un informe pericial que analice los metadatos y confirme la ausencia de manipulación, el valor probatorio del mismo archivo se refuerza notablemente.

Los metadatos pueden ser modificados: por qué importa la cadena de custodia

Uno de los aspectos críticos del análisis de metadatos como prueba es que los metadatos pueden ser modificados con herramientas especializadas. Esta posibilidad de manipulación es precisamente la razón por la que el análisis pericial y la cadena de custodia son determinantes para la validez de la prueba.

Una inconsistencia frecuente en archivos manipulados es la fecha de modificación del archivo anterior a la fecha de creación declarada, lo cual es técnicamente imposible en condiciones normales y constituye una señal directa de manipulación. Otro indicador es la presencia de metadatos de software de edición como Adobe Photoshop en una imagen presentada como fotografía original sin editar.

La cadena de custodia en el manejo de prueba digital exige que los archivos originales se preserven sin modificaciones desde el momento de su obtención, que el proceso de análisis quede documentado paso a paso, y que el perito pueda acreditar que los metadatos analizados corresponden al archivo original y no a una copia modificada. Sin esa cadena de custodia, la parte contraria puede impugnar la prueba alegando manipulación, y en muchos casos ese argumento prospera.

Cómo usa Ineva Detectives el análisis de metadatos

En Ineva Detectives, el análisis de metadatos forma parte de la metodología de investigación en los casos donde la prueba digital es relevante. Esto incluye investigaciones de competencia desleal donde documentos aportados por una de las partes presentan inconsistencias en sus metadatos, verificación de la autenticidad de fotografías o vídeos utilizados como prueba en procedimientos laborales, y análisis de comunicaciones digitales en investigaciones de fraude interno.

La extracción y documentación de metadatos se realiza preservando la integridad del archivo original y siguiendo los criterios de cadena de custodia que garantizan la admisibilidad de la prueba. El resultado se incluye en el informe pericial como parte de la documentación técnica, con la descripción del proceso seguido y las conclusiones del análisis, de forma que pueda ser comprendido y valorado por el tribunal y resistir la impugnación de la parte contraria.

En muchos casos, el análisis de metadatos no es la prueba principal sino un elemento de contraste y verificación que refuerza o confirma la prueba obtenida por otros medios, como la vigilancia directa o el análisis OSINT. La combinación de varios tipos de prueba que se corroboran mutuamente es, en la práctica, la que mayor solidez presenta ante un tribunal.

Lo que no revelan los metadatos: limitaciones que conviene conocer

El análisis de metadatos no es una solución universal ni un método infalible. Tiene limitaciones importantes que cualquier investigación honesta debe reconocer. Las principales plataformas de redes sociales eliminan automáticamente parte de los metadatos de las imágenes cuando son publicadas, lo que impide obtener información como las coordenadas GPS a partir de fotografías descargadas de Instagram o Facebook.

WhatsApp comprime las imágenes enviadas como foto y elimina gran parte de sus metadatos originales. Para preservar los metadatos, las imágenes deben enviarse como documento en lugar de como foto, algo que no siempre ocurre. Los metadatos de los archivos de Office pueden ser alterados o eliminados intencionalmente antes de su distribución mediante herramientas de limpieza específicas.

Estas limitaciones no reducen la utilidad del análisis de metadatos, pero sí exigen que se aplique con conocimiento de sus condiciones de validez y que no se extraigan conclusiones más allá de lo que los datos permiten sostener con rigor.