Expertos contratados por la defensa de Cerdán aseguran que hubo manipulaciones digitales en las grabaciones

Los expertos contratados por la defensa de Cerdán aseguran que hubo manipulaciones digitales en las grabaciones, como cambios en la frecuencia de muestreo y alteraciones en fechas y metadatos, indicando un «corta y pega» o reconstrucción de los audios después de la incautación.​

El quebranto en la cadena de custodia y la ausencia de archivos originales para comprobar la trazabilidad digital son puntos polémicos que el informe de Cerdán subraya como prueba de manipulación.​

El informe es controvertido y cuestionado por su insuficiencia metodológica, incumplimiento mínimo de requisitos de fiabilidad científica, trazabilidad y vinculación probatoria, ausencia de acceso a evidencias primigenias, salto argumental no justificado y conclusiones no sustentadas, detallándote cada punto.

1. La pericia es meta pericial y no se ha realizado sobre las evidencias originales

Los propios peritos reconocen expresamente que:

• No han tenido acceso a los volcados primigenios ni a los dispositivos electrónicos incautados
• No han podido verificar los hashes originales ni los artefactos de adquisición
• Su análisis se limita a documentación y copias subsiguientes

“Valoración técnico pericial (metapericial)”

“No disponemos de volcados originales ni de los valores hash primigenios”

Conclusión jurídica: sin contacto directo con la fuente de prueba, no existe capacidad para invalidar una evidencia incorporada legalmente conforme a arts. 588 y ss. LECrim.

Ellos mismos definen su trabajo como una “valoración técnico pericial (meta pericial)” de los informes de la UCO y del SECRIM, no como una pericia directa sobre los dispositivos y volcados primigenios.

Y a la vez reconocen que no disponen de:

• volcados originales de los dispositivos,
• logs de adquisición,
• valores hash primigenios,
• bases de datos internas de sistema.

Ellos ni han visto ni han tocado dispositivos, volcados, logs, artefactos de sistemas… y aun así afirman que el material es estructuralmente inauténtico. Esto no es una prueba pericial, es un acto de fe

2. Se enuncian hipótesis sin respaldo probatorio alguno

El informe afirma que:

“No puede descartarse la captación mediante spyware Pegasus u otros”
“No se excluye la importación, restauración, AirDrop…”

No señalan:

• logs de infección,
• perfiles MDM,
• artefactos C2,
• eventos de red,
• trazas de explotación,
• ni un solo IOC relacionado con Pegasus.

Son conjeturas genéricas sin correlación con el caso.

3. Salto lógico injustificado: de “no descartable” a “acreditado”

Mientras reconocen limitaciones severas, sin embargo, concluyen:

“Estos peritos consideran acreditado un conjunto convergente de incoherencias…”

Pretenden con el informe convertir posibilidad en certeza, vulnerando el principio de razonabilidad probatoria (STC 94/2010).

4. Contradicción interna en el discurso sobre iOS y fechas “imposibles”

Se apoyan muchísimo en la idea de “imposibilidad temporal” porque aparecen rastros de versiones de iOS posteriores a las fechas de grabación.

Pero:

• Ellos mismos reconocen que no disponen de los volcados primigenios ni de la información completa de sincronización iCloud/iTunes, restauraciones, etc.
• Y a la vez afirman cosas como:

“La consecuencia forense es directa: estas incoherencias invalidan la atribución temporal nativa de los archivos”

Desde la óptica de una contrapericial:

1. La coexistencia de distintas versiones de iOS puede ser compatible con:
   • restauraciones,
   • backups,
   • migraciones entre dispositivos de la misma cuenta,
   • copias antiguas reindexadas,
     todo ello perfectamente legítimo y cotidiano en entornos Apple.
2. Para afirmar que esa mezcla = manipulación dolosa, tendrían que:
   • reproducir en laboratorio un escenario equivalente,
   • demostrar que una restauración o migración NO explica esos patrones,
   • y solo entonces hablar de imposibilidad.

Pero no lo hacen; se quedan en la afirmación categórica.

Critican supuestas “imposibilidades técnicas” por presencia de versiones de iOS posteriores a fechas de grabación:

“Imposibilidad temporal que invalida la atribución temporal nativa de los archivos”

Pero no han replicado en laboratorio:

• Migraciones entre dispositivos Apple
• Sincronizaciones iCloud
• Restauraciones incrementales
• Reindexación de archivos

“No podemos convertir lo que podría ser una simple consecuencia de backups y actualizaciones de iOS en una presunción de manipulación sin una prueba experimental sólida detrás. Sin prueba de contraste → la hipótesis acusatoria carece de reproducibilidad, contraria a normas ENFSI e ISO 27037.

5. Crítica a la metodología ajena… sin realizar el análisis que exigen

Atacan a SECRIM por no analizar el flujo AAC frame a frame y por usar herramientas que, dicen, no son de integridad (Adobe Audition 1.5, VLC, etc.).

Perfecto. Pero:

• Ellos mismos reconocen que no han tenido acceso a los volcados originales,
• y el propio informe admite que el análisis que han hecho es “preliminar” a la espera de poder acceder a esos volcados primigenios.

Como perito en una contrapericial, la idea clave:

“Exigen un análisis de bajo nivel que ellos mismos no pueden hacer por falta de material, pero aun así se permiten declarar ‘acreditadas’ inconsistencias estructurales. No se puede reprochar al informe oficial no haber hecho lo que ustedes tampoco han hecho, y aun así pretenden que su informe tenga más valor que el original.”

6. Cadena de custodia: confunden deficiencias de documentación con prueba de manipulación

En cadena de custodia señalan, con razón o no, que:

• solo se identifican hashes de contenedores de los volcados,
• no de cada fichero de audio individual,
• y que no se pueden cotejar plenamente los parámetros entre JCI nº2 y TS.

Pero a partir de ahí, estiran la crítica hasta decir que:

• puede tratarse de “copia de la copia”,
• lo que comprometería la inalterabilidad de la prueba,
• y deja en entredicho que los audios sean los originales.

Aquí, como perito mi contra pericial es contundente:

“Que no se haya documentado cada hash individual como a ellos les gustaría no significa que los audios se hayan manipulado. No aportan ni un solo dato positivo de alteración: se limitan a explotar los huecos de documentación para sembrar duda, pero no prueban una manipulación concreta.”

Cadena de custodia ≠ automatismo de nulidad. Se necesitan indicios específicos de manipulación, no solo posibles escenarios teóricos.

Sesgo confirmatorio incompatible con el art. 457 LECrim: el perito es auxiliar imparcial del tribunal.

7. Sobre la identificación de voces: crítica razonable, pero no destruye el contenido

También cuestionan que la identificación de voces se basara en:

• reconocimiento auditivo subjetivo,
• uso de nombres/apodos en la conversación,
• comparación con otros audios/WhatsApp/fuentes abiertas,
  sin una pericia biométrica completa según ENFSI e ISO.

Esto puede servir a la defensa para atacar la fuerza de la atribución de locutor, pero no afecta directamente a la integridad del contenido de las conversaciones:

• Puedes discutir “quién habla”,
• pero eso no equivale a probar que “lo que se oye ha sido manipulado”.

Como perito informático, es clave separar:

1. Autenticidad / integridad del audio (contenido, cortes, ediciones).
2. Atribución de locutor (quién es la persona que habla).

Este informe intenta mezclar ambos e introducir duda general sobre la evidencia, pero técnicamente son planos distintos.

8. Lenguaje más cercano a la parte que al perito imparcial

El informe está plagado de expresiones de fuerte carga:

• “imposibilidad temporal”,
• “imposibilidad técnica objetiva”,
• “invalidan la atribución temporal”,
• “conjunto convergente de incoherencias”,
• “deja desierta la capacidad probatoria del informe oficial”.

Con la propia admisión de:

• alcance metapericial,
• falta de acceso a fuentes primarias,
• necesidad de una investigación complementaria para aclarar las hipótesis.

Como perito de la contra pericial podría decir sin rubor:

“El tono y la contundencia de las conclusiones no es coherente con la limitación de los datos disponibles: parece más un escrito de parte que un informe técnico neutral.”

Preguntas que le indicaría al abogado de mi contra pericial a modo de contrainterrogatorio:

Alcance real:

1. • ¿Ha tenido usted acceso directo a los volcados primigenios generados en el Juzgado Central de Instrucción nº 2 y en el Tribunal Supremo?
   • ¿Ha trabajado sobre los dispositivos físicos incautados o solo sobre documentación y copias facilitadas con posterioridad?

Spyware / Pegasus:

1. • ¿Ha encontrado en este caso concreto algún artefacto técnico —log, sysdiagn, perfil MDM, evento de red, indicador de compromiso— que apunte a infección por Pegasus u otro spyware?
   • Si no existe ni un indicio objetivo en los dispositivos, ¿en qué se sostiene su referencia a Pegasus más allá de una posibilidad teórica?

Hipótesis múltiples sin priorización:

1. • En su informe menciona restauraciones, importaciones, AirDrop, incrustación mediante UFED, spyware, backups, etc. ¿Puede señalar cuál de esos escenarios sostiene usted como el más probable en este caso concreto y qué artefacto técnico lo respalda?
   • ¿Reconoce que la mayoría de esos escenarios son genéricos y no están demostrados en esta causa?

Incoherencias de iOS y backups:

1. • ¿Ha realizado algún experimento controlado con dispositivos iOS reales para comprobar cómo afectan las restauraciones y migraciones de cuentas Apple a los metadatos de los audios?
   • Si no ha hecho esos experimentos, ¿cómo puede afirmar que las incoherencias de versiones de iOS son “incompatibles” con un ciclo de vida nativo y no explicables por las propias mecánicas de backup y actualización de Apple?

Crítica a la metodología ajena:

1. • Usted reprocha a SECRIM no analizar el flujo AAC frame a frame. ¿Ha realizado usted ese mismo análisis con los volcados primigenios?
   • Si no dispone de esos volcados y reconoce que su análisis es preliminar, ¿en qué se basa para decir que su informe es más fiable que el de un laboratorio oficial que sí tuvo acceso directo a las evidencias?

Cadena de custodia:

1. • ¿Tiene usted constancia de alguna alteración concreta del contenido de los audios —un corte, un empalme, una inserción comprobada— o solo señala deficiencias formales en la documentación de la cadena de custodia?
   • ¿Puede señalar un solo minuto, segundo o frame en el que, a su juicio, exista una manipulación demostrable del contenido?

Conclusiones categóricas vs. falta de datos:

1. • ¿Considera usted metodológicamente correcto afirmar que existen “imposibilidades técnicas objetivas” y “atribuciones temporales invalidadas” cuando en su propio informe reconoce que faltan los elementos clave para verificar o descartar las hipótesis alternativas?
   • ¿Admite que, con los datos disponibles, su informe no puede afirmar una manipulación concreta, sino únicamente que no puede descartarse?