ISO/IEC 27037: Directrices para el Manejo Forense de Evidencia Digital

Fraudes en mexico
Estafas laborales gamificadas en México: el paraíso de los fraudes sin ley
25 de julio de 2025
TP-Link corrige fallos críticos en videograbadores VIGI: ejecución remota de comandos, incluso sin credenciales
28 de julio de 2025
Ver todo
iso 27037

En un entorno donde la tecnología digital permea cada aspecto de nuestra vida diaria, la evidencia digital se ha convertido en un componente esencial en la resolución de delitos. No solo hablamos de equipo de cómputo y smartphones; cualquier dispositivo que procese o almacene información puede convertirse en un vector de evidencia digital, desde consolas de videojuegos hasta electrodomésticos inteligentes.

La norma internacional ISO/IEC 27037:2012 establece las directrices fundamentales para la identificación, recolección, adquisición y preservación de evidencia digital, asegurando su validez legal y su integridad durante todo el proceso forense.

¿Qué es la evidencia digital?

La evidencia digital es toda información con valor probatorio que reside en dispositivos electrónicos. Esta evidencia:

  • Es latente y no visible a simple vista, como una huella digital.
  • Puede ser alterada, destruida o perdida fácilmente.
  • Trasciende jurisdicciones en segundos.
  • Es altamente volátil y dependiente del tiempo.

Puede obtenerse desde computadoras, dispositivos móviles, redes, servicios en la nube o sistemas embebidos en objetos cotidianos.

Principios rectores según ISO/IEC 27037

La norma establece tres principios fundamentales para validar la evidencia digital:

  • Relevancia: debe ser significativa para el caso.
  • Confiabilidad: debe estar libre de alteraciones o manipulación.
  • Suficiencia: debe existir en cantidad y calidad adecuadas para respaldar una hipótesis.

Estos pilares rigen todas las etapas: desde la escena del crimen hasta el laboratorio forense.

Alcance de la norma

La ISO/IEC 27037:2012 aplica a cualquier organización u operador que necesite manejar evidencia digital, incluyendo:

  • Equipos de respuesta a incidentes.
  • Peritos forenses digitales.
  • Fuerzas de seguridad.
  • Laboratorios especializados.

No cubre procedimientos legales ni reemplaza regulaciones locales, pero sí establece una metodología estándar internacionalmente reconocida para mantener la cadena de custodia y asegurar la admisibilidad judicial.

Clasificación de actores forenses

La norma identifica dos roles clave:

  • Digital Evidence First Responder (DEFR): primer respondedor, responsable de identificar y asegurar la evidencia.
  • Digital Evidence Specialist (DES): especialista que realiza el análisis técnico y forense.

Ambos deben actuar conforme a prácticas sistemáticas y documentadas para asegurar que la evidencia digital sea tratada con integridad.

Escenarios comunes de evidencia digital

La evidencia digital es clave en una amplia variedad de delitos:

  • Delitos informáticos: hacking, malware, robo de identidad.
  • Delitos tradicionales con componente digital: homicidios, secuestros, fraudes, acoso.
  • Ciberdelincuencia organizada: terrorismo, tráfico, explotación infantil.

Incluso las publicaciones en redes sociales, las fotos con geolocalización o los historiales de navegación pueden constituir evidencia sólida.

Fuentes comunes de evidencia digital

1. Computadoras

Contienen archivos, registros, correos electrónicos, contraseñas, software malicioso o comunicaciones incriminatorias. La evidencia suele residir en discos duros, unidades USB y medios extraíbles.

2. Dispositivos móviles

No solo almacenan llamadas y mensajes, sino también geolocalización, imágenes, historial de navegación, apps de mensajería cifrada y más.

3. Internet y redes

El tráfico de red, las cookies, los metadatos de correos electrónicos, las IP utilizadas y los registros de acceso son claves en investigaciones modernas.

Proceso forense según ISO/IEC 27037

Identificación y recolección

  • Confirmar autorización legal.
  • Documentar el estado de los dispositivos.
  • Recopilar contraseñas, cables y manuales.
  • Apagar los dispositivos móviles o aislarlos (modo avión o bolsa Faraday).
  • Evitar el uso de envoltorios plásticos (usar bolsas antiestáticas o sobres de papel).

Adquisición

  • Crear una imagen forense (copia de trabajo) del medio original.
  • Utilizar bloqueadores de escritura para evitar modificaciones.
  • Registrar todas las acciones en la bitácora forense.

Preservación

  • Mantener la cadena de custodia con:
    • Identificador único.
    • Registro de cada acceso.
    • Detalles del transporte y almacenamiento.
  • Almacenar los medios originales en entornos controlados (temperatura, humedad, estática).

Buenas prácticas en el laboratorio

  • Usar medios de almacenamiento limpios o debidamente sanitizados.
  • Aislar dispositivos inalámbricos para evitar alteraciones remotas.
  • Seleccionar herramientas de extracción compatibles con la marca y modelo del dispositivo.
  • Documentar exhaustivamente cada paso para garantizar la transparencia del análisis.

Recolección en campo: consideraciones clave

  • Teléfonos móviles: deben apagarse y extraer batería si es posible. Si no, aislar en bolsa Faraday.
  • Computadoras encendidas: no apagar sin asesoría; podrían estarse ejecutando scripts destructivos.
  • Dispositivos apagados: recolectar conforme a protocolos estándar.

Análisis de la evidencia

  • El análisis se basa en la copia forense, nunca en el dispositivo original.
  • Se buscan archivos visibles, ocultos, borrados y artefactos digitales.
  • También se explora evidencia en la nube, metadatos, encabezados de email, logs de red y redes sociales.
  • Se elaboran informes técnicos y periciales con trazabilidad completa.

Limitaciones de la norma

  • No establece estándares legales o judiciales.
  • No sustituye leyes nacionales ni regula sanciones por mal manejo.
  • No cubre conversión de medios analógicos a digitales.

La ISO/IEC 27037:2012 es una guía esencial para asegurar que la evidencia digital se trate con el rigor necesario para ser admisible en procesos judiciales. En un entorno donde los delitos digitales aumentan en volumen y sofisticación, contar con procedimientos estandarizados, personal capacitado y herramientas adecuadas marca la diferencia entre una evidencia válida y una oportunidad perdida.

Implementar esta norma no solo fortalece los procesos de investigación, sino que también protege los derechos de todas las partes involucradas y asegura justicia basada en evidencia técnicamente incuestionable.

Artículos relacionados

zero trust
5 de junio de 2025

Zero Trust en Ciberseguridad: Estrategia clave para proteger a las PYMES con enfoque en cumplimiento

Leer más
log practices iso 27001
27 de mayo de 2025

Prácticas adecuadas para recopilar y gestionar registros conforme a la ISO/IEC 27001:2022

Leer más
23 de abril de 2025

¿Qué es el Esquema Nacional de Seguridad (ENS) y por qué es crucial para la ciberseguridad pública en España?

Leer más
ISO-27001
14 de abril de 2025

ISO 27001:2013 dejará de ser válida en octubre de 2025: ¿Estás listo para la transición?

Leer más
auditoria basada en riesgos
6 de marzo de 2025

Auditoría basada en Riesgos: Un enfoque inteligente para garantizar la eficacia del sistema de Gestión

Leer más
bugbounty
4 de marzo de 2025

Beneficios del Bug Bounty para las empresas

Leer más