0% encontró este documento útil (0 votos)

164 vistas51 páginas

Iso 27037

La norma UNE-EN ISO/IEC 27037:2016 establece directrices para la identificación, recolección, adquisición y conservación de evidencias electrónicas. Esta norma, ratificada por AENOR en diciembre de 2016, es aplicable a los miembros de CEN y CENELEC y busca asegurar la integridad de la evidencia digital en investigaciones. Se encuentra disponible en varios idiomas oficiales y es parte de un esfuerzo más amplio por estandarizar prácticas en el manejo de evidencia digital.

Cargado por

edwinguevaramaya

Derechos de autor

Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.

Formatos disponibles

Descarga como PDF, TXT o lee en línea desde Scribd

0% encontró este documento útil (0 votos)

164 vistas51 páginas

Iso 27037

Cargado por

edwinguevaramaya

Derechos de autor

Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.

Formatos disponibles

Descarga como PDF, TXT o lee en línea desde Scribd

Machine Translated by Google

norma UNEEN ISO/IEC 27037:2016

español

Idioma: Inglés

TÍTULO Tecnología de la información. Técnicas de seguridad.

Directrices para la identificación, recogida, adquisición y tuvieron
de evidencias electrónicas (ISO/IEC 27037:2012)
(Ratificada por AENOR en diciembre de 2016.)

TÍTULO INGLÉS Tecnologías de la información Técnicas de seguridad Directrices para la identificación,

recopilación, adquisición y conservación de evidencia digital (ISO/IEC 27037:2012) (Avalada
por AENOR en diciembre de 2016.)

TÍTULO FRANCÉS Technologies de l'information Techniques de sécurité Lignes directrices pour l'identification,
la collecte, l'acquisition et la préservation de preuves numériques (ISO/IEC 27037:2012)
(Entérinée par l'AENOR en diciembre de 2016.)

En cumplimiento del punto 11.2.6.4 de las Reglas Internas de CEN/CENELEC Parte 2, se ha otorgado el
OBSERVACIONES rango de documento normativo español UNE al documento normativo europeo EN ISO/IEC 27037:2016
(Fecha de disponibilidad 20160824)

Este documento está disponible en los idiomas oficiales de CEN/CENELEC/ETSI.

Este anuncio causará efecto a partir del primer día del mes siguiente al de su publicación en la revista AENOR.

La versión oficial de este documento se encuentra disponible en AENOR (C/ Génova 6 28004 MADRID,
www.aenor.es)

2016. Derechos de reproducción reservados a los Miembros de CEN.

19/04/2023; Este documento ha sido adquirido por: UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción
AENORmás. Para uso en red interna se requiere autorización previa de AENOR.
Machine Translated by Google

ESTÁNDAR EUROPEO EN ISO/CEI 27037

NORMA EUROPEA
NORMA EUROPEA agosto 2016

ICS 35.040

Versión inglesa

Tecnología de la información Técnicas de seguridad

Directrices para la identificación, recopilación, adquisición y
conservación de pruebas digitales (ISO/IEC 27037:2012)
Tecnologías de la información Técnicas de seguridad Informationstechnik ITSicherheitsverfahren
Lignes directrices pour l'identification, la collecte, Leitfaden für die Identifikation, Sammlung, Erhebung und
l'acquisition et la préservation de preuves numériques Erhaltung der digitalen Beweissicherung (ISO/IEC
(ISO/CEI 27037:2012) 27037:2012)

Esta norma europea fue aprobada por el CEN el 19 de junio de 2016.

Los miembros de CEN y CENELEC están obligados a cumplir con el Reglamento Interno de CEN/CENELEC que estipula las condiciones
para dar a esta Norma Europea el estatus de norma nacional sin ninguna alteración. Las listas actualizadas y las referencias bibliográficas
relativas a dichas normas nacionales pueden obtenerse previa solicitud al Centro de Gestión de CENCENELEC oa cualquier miembro
de CEN y CENELEC.

†††††††
Esta norma europea existe en tres versiones oficiales (inglés, francés, alemán). Una versión en cualquier otro idioma hecha por
traducción bajo la responsabilidad de un miembro de CEN y CENELEC a su propio idioma y notificada al Centro de Gestión de CEN
CENELEC tiene el mismo estatus que las versiones oficiales.

Los miembros de CEN y CENELEC son los organismos nacionales de normalización de Austria, Bélgica, Bulgaria, Croacia, Chipre,
República Checa, Dinamarca, Estonia, Finlandia, Antigua República Yugoslava de Macedonia, Francia, Alemania, Grecia, Hungría,
Islandia, Irlanda, Italia, Letonia , Lituania, Luxemburgo, Malta, Países Bajos, Noruega, Polonia, Portugal, Rumanía, Eslovaquia,
Eslovenia, España, Suecia, Suiza, Turquía y Reino Unido.

COMITÉ EUROPEO DE NORMALIZACIÓN

COMITÉ EUROPEO DE NORMALIZACIÓN
EUROPÄISCHES KOMITEE FÜR NORMUNG

Centro de Gestión CENCENELEC: Avenue Marnix 17, B1000 Bruselas

© 2016 CEN y CENELEC Todos los derechos de explotación en cualquier forma y por cualquier medio Árbitro. n.º EN ISO/IEC 27037:2016 E
reservados en todo el mundo para CEN y los miembros nacionales
de CENELEC.

EN ISO/IEC 27037:2016 (E)

Contenido Página

Prólogo europeo ................................................. .................................................... .................................................... ... 3

†††††††

EN ISO/IEC 27037:2016 (E)

prólogo europeo

El texto de ISO/IEC 27037:2012 ha sido preparado por el Comité Técnico ISO/IEC JTC 1 "Tecnología de la
información" de la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional
(IEC) y se ha adoptado como EN ISO/ CEI 27037:2016.

A esta norma europea se le otorgará el estatus de norma nacional, ya sea mediante la publicación de un texto
idéntico o mediante aprobación, a más tardar en febrero de 2017, y las normas nacionales en conflicto se retirarán
a más tardar en febrero de 2017.

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan ser objeto
de derechos de patente. CEN [y/o CENELEC] no será responsable de identificar ninguno o todos los derechos de
patente.

De acuerdo con el Reglamento Interno de CENCENELEC, los organismos nacionales de normalización de los
siguientes países están obligados a implementar esta Norma Europea: Austria, Bélgica, Bulgaria, Croacia, Chipre,
República Checa, Dinamarca, Estonia, Finlandia, Antigua República Yugoslava de Macedonia, Francia, Alemania,
Grecia, Hungría, Islandia, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Países Bajos, Noruega, Polonia,
Portugal, Rumanía, Eslovaquia, Eslovenia, España, Suecia, Suiza, Turquía y Reino Unido.

aviso de endoso

El texto de ISO/IEC 27037:2012 ha sido aprobado por CEN como EN ISO/IEC 27037:2016 sin ninguna modificación.
†††††††

ISO/CEI 27037:2012(E)

Contenido Página

Prólogo .................................................. .................................................... .................................................... ........ v

Introducción ................................................. .................................................... .................................................... .vi

1 Alcance ................................................. .................................................... .................................................... 1
2 Referencia normativa ................................................ .................................................... .......................... 1
3 Términos y definiciones ............................................... .................................................... ........................ 2

4 Términos abreviados .................................................. .................................................... ............................. 4

5 Descripción general .................................. .................................................... ............................................. 6 Contexto
para recopilar pruebas digitales ................................................. .......................................... 6 5.1 5.2
Principios de la evidencia digital .................................................... .................................................... ........ 6 5.3
Requisitos para el manejo de evidencia digital .................................. ............................................. 6 5.3. 1.
General................................................ .................................................... .................................................. 6 5.3.2
Auditabilidad .............................................. .................................................... ............................................. 7 5.3.3
Repetibilidad . .................................................... .................................................... .................................... 7 5.3.4
Reproducibilidad ......... .................................................... .................................................... .......................... 7 5.3.5
Justificabilidad ...................... .................................................... .................................................... .......... 7 5.4
Procesos de manejo de evidencia digital ........................... .................................................... .......... 8 5.4.1 Descripción
general .................. .................................................... .................................................... .......... 8 5.4.2
†††††††
Identificación .............................. .................................................... .................................................... ........ 8 5.4.3
Recopilación .................................. .................................................... .................................................... ..... 9 5.4.4
Adquisición ........................................ .................................................... .................................................... 9 5.4.5
Conservación................................................ .................................................... .......................................... 10
6 Componentes clave de la identificación, recolección, adquisición y preservación de evidencia
digital ............................... .................................................... .................................................... ..... 10 Cadena
6.2 de custodia .............................................. .................................................... ..................................... 10 6.1
Precauciones en el lugar del incidente .... .................................................... .......................................... 11 6.2.1
Generalidades.. .................................................... .................................................... .......................................... 11
6.2.2 Personal .. .................................................... .................................................... ...................................... 11 6.2.3
Evidencia digital potencial ..... .................................................... .................................................... ........... 12 6.3
Funciones y responsabilidades ...................................... .................................................... ....................... 12 6.4
Competencia ........................ .................................................... .................................................... ............ 13 6.5
Tenga un cuidado razonable .................................. .................................................... ...................................... 13 6.6
Documentación ......... .................................................... .................................................... .................. 14 6.7
Resumen ......................... .................................................... .................................................... ................... 14 6.7.1
Generalidades........................... .................................................... .................................................... ................... 14
6.7.2 Evidencia digital específica ........................ .................................................... .................................. 14 6.7.3
Específico del personal .... .................................................... .................................................... ..................... 15 6.7.4
Incidencias en tiempo real ..................... .................................................... .................................................... .. 15
6.7.5 Otra información informativa ....................................... .................................................... .................. 15 6.8
Priorización de la recolección y adquisición ........................... .................................................... ................ 16
Preservación de evidencia digital potencial ............................... .................................................... ...... 17 6.9
6.9.1 Resumen ...................................... .................................................... .................................................... .... 17
6.9.2 Conservación de posibles pruebas digitales .................................. .................................................... .... 17 6.9.3
Empaquetado de dispositivos digitales y evidencia digital potencial ............................... ...................... 17 6.9.4
Transporte de evidencia digital potencial .................. .................................................... .................... 18
7 Instancias de identificación, recolección, adquisición y preservación .................................. 19 Computadoras,
periféricos dispositivos y soportes de almacenamiento digital ............................................. .......... 19 7.1
7.1.1 Identificación .................................. .................................................... .................................................... 19 7.1.2
Recolección ............................................... .................................................... ............................................. 21

© ISO/IEC 2012 – Todos los derechos reservados iii

ISO/CEI 27037:2012(E)

7.1.3 Adquisición .............................................. .................................................... ..........................................25 7.1.4

Conservación ... .................................................... .................................................... ..........................29 7.2 Dispositivos en
red ............. .................................................... .................................................... ...........29 7.2.1
Identificación ...................................... .................................................... .................................................... .29 7.2.2 Recolección, adquisición y
conservación ........................................... .............................................31 7.3 Recopilación de CCTV , adquisición y
conservación ............................................... .............................33

Anexo A (informativo) DEFR habilidades básicas y descripción de competencias ....................................... .............35

Anexo B (informativo) Requisitos mínimos de documentación para el traslado de pruebas ..................37

Bibliografía .................................................. .................................................... ..........................................................38

†††††††

IV © ISO/IEC 2012 – Todos los derechos reservados

ISO/CEI 27037:2012(E)

Prefacio

ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman el sistema
especializado para la normalización mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el
desarrollo de Normas Internacionales a través de comités técnicos establecidos por la organización respectiva para tratar
campos particulares de actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras
organizaciones internacionales, gubernamentales y no gubernamentales, en coordinación con ISO e IEC, también participan
en el trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, ISO/IEC
JTC 1.

Las Normas Internacionales se redactan de acuerdo con las reglas dadas en las Directivas ISO/IEC, Parte 2.

La tarea principal del comité técnico conjunto es preparar Normas Internacionales. Los proyectos de Normas Internacionales
adoptados por el comité técnico conjunto se distribuyen a los organismos nacionales para su votación. La publicación como
norma internacional requiere la aprobación de al menos el 75 % de los organismos nacionales con derecho a voto.

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan ser objeto de derechos
de patente. ISO e IEC no serán responsables de identificar ninguno o todos los derechos de patente.

ISO/IEC 27037 fue preparado por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de la información, Subcomité SC
27, Técnicas de seguridad de TI.

†††††††

© ISO/IEC 2012 – Todos los derechos reservados v

ISO/CEI 27037:2012(E)

Introducción
Esta Norma Internacional proporciona pautas para actividades específicas en el manejo de evidencia digital potencial; estos procesos
son: identificación, recolección, adquisición y preservación de evidencia digital potencial. Estos procesos son necesarios en una
investigación diseñada para mantener la integridad de la evidencia digital, una metodología aceptable para obtener evidencia digital
que contribuirá a su admisibilidad en acciones legales y disciplinarias, así como en otras instancias requeridas. Esta Norma Internacional
también proporciona pautas generales para la recopilación de evidencia no digital que puede ser útil en la etapa de análisis de la
evidencia digital potencial.

Esta Norma Internacional pretende brindar orientación a las personas responsables de la identificación, recopilación, adquisición y
preservación de evidencia digital potencial. Estas personas incluyen Primeros respondedores de evidencia digital (DEFR), Especialistas
en evidencia digital (DES), especialistas en respuesta a incidentes y gerentes de laboratorios forenses. Esta Norma Internacional
garantiza que las personas responsables gestionen la evidencia digital potencial de formas prácticas que sean aceptables en todo el
mundo, con el objetivo de facilitar la investigación que involucre dispositivos digitales y evidencia digital de manera sistemática e
imparcial, preservando su integridad y autenticidad.

Esta Norma Internacional también pretende informar a los responsables de la toma de decisiones que necesitan determinar la fiabilidad
de la evidencia digital que se les presenta. Es aplicable a organizaciones que necesitan proteger, analizar y presentar evidencia digital
potencial. Es relevante para los organismos de formulación de políticas que crean y evalúan procedimientos relacionados con la
evidencia digital, a menudo como parte de un cuerpo de evidencia más grande.

†††††††

La evidencia digital potencial a la que se hace referencia en esta Norma Internacional puede provenir de diferentes tipos de dispositivos
digitales, redes, bases de datos, etc. Se refiere a datos que ya están en formato digital. Esta Norma Internacional no intenta cubrir la
conversión de datos analógicos a formato digital.

Debido a la fragilidad de la evidencia digital, es necesario llevar a cabo una metodología aceptable para asegurar la integridad y
autenticidad de la evidencia digital potencial. Esta Norma Internacional no exige el uso de herramientas o métodos particulares. Los
componentes clave que brindan credibilidad en la investigación son la metodología aplicada durante el proceso y las personas
calificadas para realizar las tareas especificadas en la metodología. Esta Norma Internacional no aborda la metodología para
procedimientos legales, procedimientos disciplinarios y otras acciones relacionadas en el manejo de evidencia digital potencial que está
fuera del alcance de la identificación, recopilación, adquisición y preservación.

La aplicación de esta Norma Internacional requiere el cumplimiento de las leyes, normas y reglamentos nacionales. No debe reemplazar
los requisitos legales específicos de ninguna jurisdicción. En cambio, puede servir como una guía práctica para cualquier DEFR o DES
en investigaciones que involucren evidencia digital potencial. No se extiende al análisis de la evidencia digital y no reemplaza los
requisitos específicos de la jurisdicción relacionados con cuestiones como la admisibilidad, la ponderación probatoria, la relevancia y
otras limitaciones controladas judicialmente sobre el uso de la evidencia digital potencial en los tribunales de justicia. Esta Norma
Internacional puede ayudar a facilitar el posible intercambio de evidencia digital entre jurisdicciones. Para mantener la integridad de la
evidencia digital, los usuarios de esta Norma Internacional deben adaptar y modificar los procedimientos descritos en esta Norma
Internacional de acuerdo con los requisitos legales de evidencia de la jurisdicción específica.

Aunque esta Norma Internacional no incluye la preparación forense, la preparación forense adecuada puede respaldar en gran medida
el proceso de identificación, recopilación, adquisición y conservación de la evidencia digital. La preparación forense es el logro de un
nivel apropiado de capacidad por parte de una organización para poder identificar, recopilar, adquirir, preservar, proteger y analizar
evidencia digital. Mientras que los procesos y actividades descritos en esta Norma Internacional son esencialmente medidas reactivas
utilizadas para investigar un incidente después de que haya ocurrido, la preparación forense es un proceso proactivo de intentar
planificar tales eventos.

vi © ISO/IEC 2012 – Todos los derechos reservados

ISO/CEI 27037:2012(E)

Esta norma internacional complementa las normas ISO/IEC 27001 e ISO/IEC 27002 y, en particular, los requisitos de control relacionados
con la posible adquisición de evidencia digital al proporcionar una guía de implementación adicional. Además, esta Norma Internacional
tendrá aplicaciones en contextos independientes de ISO/IEC 27001 e ISO/IEC 27002. Esta Norma Internacional debe leerse junto con
otras normas relacionadas con la evidencia digital y la investigación de incidentes de seguridad de la información.

†††††††

© ISO/IEC 2012 – Todos los derechos reservados viii

†††††††

ESTÁNDAR INTERNACIONAL ISO/CEI 27037:2012(E)

Tecnología de la información. Técnicas de seguridad. Directrices para

la identificación, recopilación, adquisición y conservación de pruebas
digitales.

1 Alcance
Esta Norma Internacional proporciona pautas para actividades específicas en el manejo de evidencia digital, que son la identificación,
recopilación, adquisición y preservación de evidencia digital que puede tener valor probatorio. Esta Norma Internacional brinda orientación
a las personas con respecto a situaciones comunes encontradas a lo largo del proceso de manejo de evidencia digital y ayuda a las
organizaciones en sus procedimientos disciplinarios y en facilitar el intercambio de evidencia digital potencial entre jurisdicciones.

Esta norma internacional brinda orientación para los siguientes dispositivos y/o funciones que se utilizan en diversas circunstancias:

Medios de almacenamiento digital utilizados en computadoras estándar como discos duros, disquetes, discos ópticos y magnetoópticos,
dispositivos de datos con funciones similares,

†††††††

Teléfonos móviles, asistentes digitales personales (PDA), dispositivos electrónicos personales (PED), tarjetas de memoria,

Sistemas de navegación móvil,

Cámaras fotográficas y de video digitales (incluyendo CCTV),

Ordenador estándar con conexiones de red,

Redes basadas en TCP/IP y otros protocolos digitales, y

Dispositivos con funciones similares a las anteriores.

NOTA 1 La lista anterior de dispositivos es una lista indicativa y no exhaustiva.

NOTA 2 Las circunstancias incluyen los dispositivos anteriores que existen en varias formas. Por ejemplo, un sistema de automóvil puede incluir un sistema
de navegación móvil, almacenamiento de datos y un sistema sensorial.

2 Referencia normativa

Los siguientes documentos referenciados son indispensables para la aplicación de este documento. Para las referencias con fecha, sólo
se aplica la edición citada. Para las referencias sin fecha, se aplica la última edición del documento de referencia (incluidas las
modificaciones).

ISO/TR 15801, Gestión de documentos. Información almacenada electrónicamente. Recomendaciones para la confianza y la fiabilidad.

ISO/IEC 17020, Evaluación de la conformidad. Requisitos para el funcionamiento de varios tipos de organismos que realizan la inspección.

ISO/IEC 17025:2005, Requisitos generales para la competencia de los laboratorios de ensayo y calibración

© ISO/IEC 2012 – Todos los derechos reservados 1

ISO/CEI 27037:2012(E)

ISO/IEC 27000, Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la información. Visión
general y vocabulario.

3 Términos y definiciones

A los efectos de este documento, se aplican los términos y definiciones de ISO/IEC 27000, ISO/IEC 17020, ISO/IEC 17025 e ISO/TR
15801, así como los siguientes.

3.1
proceso de
adquisición de crear una copia de datos dentro de un conjunto definido

NOTA El producto de una adquisición es una posible copia de evidencia digital.

3.2
área de espacio
asignada en medios digitales, incluida la memoria principal, que se utiliza para el almacenamiento de datos, incluidos los metadatos

3.3
proceso de
recopilación de elementos físicos que contienen evidencia digital potencial

3.4
dispositivo digital
equipo electrónico utilizado para procesar o almacenar datos digitales

†††††††
3.5
información o datos
de evidencia digital , almacenados o transmitidos en forma binaria en los que se puede confiar como evidencia

3.6
copia de evidencia digital
copia de la evidencia digital que se ha producido para mantener la confiabilidad de la evidencia al incluir tanto la evidencia digital como
los medios de verificación donde el método de verificación puede estar integrado o ser independiente de las herramientas utilizadas para
realizar la verificación

3.7
Primera respuesta de evidencia digital DEFR
persona
autorizada, capacitada y calificada para actuar primero en la escena de un incidente en la recopilación y adquisición de evidencia digital
con la responsabilidad de manejar esa evidencia

NOTA La autoridad, la capacitación y la calificación son los requisitos esperados necesarios para producir evidencia digital
confiable, pero las circunstancias individuales pueden hacer que una persona no cumpla con los tres requisitos. En este caso,
se deben considerar la ley local, la política de la organización y las circunstancias individuales.

3.8
Especialista en pruebas digitales

Persona DES que puede llevar a cabo las tareas de un DEFR y tiene conocimientos especializados, habilidades y capacidades para
manejar una amplia gama de cuestiones técnicas.

NOTA Un DES puede tener habilidades de nicho adicionales, por ejemplo, adquisición de redes, adquisición de RAM, software
de sistema operativo o conocimiento de Mainframe.

2 © ISO/IEC 2012 – Todos los derechos reservados

ISO/CEI 27037:2012(E)

3.9
dispositivo de soporte de
almacenamiento digital en el que se pueden grabar datos digitales

[Adaptado de ISO/IEC 10027:1990]

3.10
instalación de conservación de pruebas
entorno seguro o un lugar donde se almacenan las pruebas recogidas o adquiridas

NOTA Una instalación de conservación de evidencia no debe estar expuesta a campos magnéticos, polvo, vibración, humedad o cualquier otro
elemento ambiental (como temperatura o humedad extremas) que pueda dañar la evidencia digital potencial dentro de la instalación.

3.11
valor hash
cadena de bits que es la salida de una función hash

[ISO/CEI 101181:2000]

3.12
proceso de
identificación que involucra la búsqueda, reconocimiento y documentación de evidencia digital potencial

3.13

proceso de
creación de imágenes para crear una copia bit a bit de un medio de almacenamiento digital

NOTA La copia bit a bit también se denomina copia física.

†††††††

EJEMPLO Al crear una imagen de un disco duro, el DEFR también copiaría los datos que se han eliminado.

3.14
dispositivo
periférico conectado a un dispositivo digital para ampliar su funcionalidad

3.15
proceso de
preservación para mantener y salvaguardar la integridad y/o condición original de la potencial evidencia digital

3.16
propiedad de
confiabilidad del comportamiento y los resultados esperados consistentes

[ISO/CEI 27000:2009]

3.17
propiedad de
repetibilidad de un proceso realizado para obtener los mismos resultados de prueba en el mismo entorno de prueba (misma computadora, disco duro,
modo de operación, etc.)

3.18
propiedad de
reproducibilidad de un proceso para obtener los mismos resultados de prueba en un entorno de prueba diferente (computadora diferente, disco duro,
operador, etc.)

3.19
expolio acto
de hacer o permitir cambios a la evidencia digital potencial que disminuye su valor probatorio

© ISO/IEC 2012 – Todos los derechos reservados 3

ISO/CEI 27037:2012(E)

3.20
hora del sistema
hora generada por el reloj del sistema y utilizada por el sistema operativo, no la hora calculada por el sistema operativo

3.21
alteración acto
de realizar o permitir deliberadamente cambios en la evidencia digital (es decir, expoliación intencionada o intencionada)

3.22
parámetro de
variante de tiempo de sello de tiempo que denota un punto en el tiempo con respecto a una referencia de tiempo común

[ISO/CEI 117701:1996]

3.23
área de espacio no
asignada en medios digitales, incluida la memoria primaria, que no ha sido asignada por el sistema operativo y que está disponible para el
almacenamiento de datos, incluidos los metadatos

3.24
confirmación
de validación, mediante la provisión de pruebas objetivas, de que se han cumplido los requisitos para un uso o aplicación específicos
previstos

[ISO/CEI 27004:2009]

3.25
función de verificación
†††††††

función que se utiliza para verificar que dos conjuntos de datos son idénticos

NOTA 1 Dos conjuntos de datos no idénticos no deben producir una coincidencia idéntica a partir de una función de verificación.

NOTA 2 Las funciones de verificación se implementan comúnmente usando funciones hash como MD5, SHA1, etc., pero se pueden usar otros
métodos.

3.26
datos volátiles
datos que son especialmente propensos a cambiar y se pueden modificar fácilmente

NOTA Un cambio puede ser desconectar la alimentación o pasar a través de un campo magnético. Los datos volátiles también incluyen datos que
cambian a medida que cambia el estado del sistema. Los ejemplos incluyen datos almacenados en RAM y direcciones IP dinámicas.

4 Términos abreviados
AVI Intercalado de audio y video

circuito cerrado de televisión Circuito cerrado de televisión

CD Disco compacto

ADN Ácido desoxirribonucleico

DESFR Primera respuesta de evidencia digital

DES Especialista en Evidencia Digital

DVD Vídeo digital/disco versátil

4 © ISO/IEC 2012 – Todos los derechos reservados

ISO/CEI 27037:2012(E)

ESN Número de serie electrónico

GPS Sistema de Posicionamiento Global

G/M Sistema Global de Comunicación Móvil

IMEI La Identidad de Equipo Movil Internationacional

IP protocolo de Internet

ISIRT Equipo de respuesta a incidentes de seguridad de la información

LAN Red de área local

MD5 Algoritmo de resumen de mensajes 5

MP3 Capa 3 de audio MPEG

MPEG Grupo de expertos en imágenes en movimiento

NAS Almacenamiento conectado a la red

PDA Asistente personal digital

DEP Dispositivo electrónico personal

ALFILER Número de identificación personal

†††††††

PUK Clave de desbloqueo de PIN

REDADA Matriz redundante de discos independientes

RAM Memoria de acceso aleatorio

rfid Identificación de frecuencia de radio

SAN Red de área de almacenamiento

SHA Algoritmo hash seguro

tarjeta SIM
Módulo de Identidad del Suscriptor

USB Bus serie universal

UPS Fuente de poder ininterrumpible

USIM Módulo de identidad de suscriptor universal

ultravioleta Ultravioleta

Wifi Fidelidad inalámbrica

© ISO/IEC 2012 – Todos los derechos reservados 5

ISO/CEI 27037:2012(E)

5 Resumen

5.1 Contexto para recopilar evidencia digital

La evidencia digital puede requerirse para su uso en varios escenarios distintos, cada uno de los cuales tiene un equilibrio diferente entre los
impulsores de la calidad de la evidencia, la puntualidad del análisis, la restauración del servicio y el costo de la recopilación de evidencia digital.
Por lo tanto, las organizaciones deberán tener un proceso de priorización que identifique las necesidades y equilibre la calidad de las pruebas, la
puntualidad y la restauración del servicio antes de asignar los recursos del DEFR. Un proceso de priorización implica llevar a cabo una evaluación
del material disponible para determinar el posible valor probatorio y el orden en que se debe recopilar, adquirir o conservar la evidencia digital
potencial. La priorización se lleva a cabo para minimizar el riesgo de que se estropeen las posibles pruebas digitales y maximizar el valor probatorio
de las posibles pruebas digitales recopiladas.

5.2 Principios de la evidencia digital

En la mayoría de las jurisdicciones y organizaciones, la evidencia digital se rige por tres principios fundamentales: relevancia, confiabilidad y
suficiencia. Estos tres principios son importantes para todas las investigaciones, no solo para que las pruebas digitales sean admisibles en los
tribunales. La evidencia digital es relevante cuando se trata de probar o refutar un elemento del caso específico que se investiga. Aunque la
definición detallada de “confiable” varía entre jurisdicciones, el significado general del principio, “garantizar que la evidencia digital sea lo que
pretende ser”, está ampliamente aceptado. No siempre es necesario que el DEFR recopile todos los datos o haga una copia completa de la
evidencia digital original. En muchas jurisdicciones, el concepto de suficiencia significa que el DEFR necesita recopilar suficiente evidencia digital
potencial para permitir que los elementos del asunto se examinen o investiguen adecuadamente. Comprender este concepto es importante para
que el DEFR priorice el esfuerzo adecuadamente cuando el tiempo o el costo son una preocupación.

NOTA El DEFR debe asegurarse de que la recopilación de evidencia digital potencial esté de acuerdo con las leyes y
†††††††

regulaciones jurisdiccionales locales, según lo requieran las circunstancias específicas.

Todos los procesos que utilizarán el DEFR y DES deben haber sido validados antes de su uso. Si la validación se lleva a cabo externamente, el
DEFR o DES debe verificar que la validación sea adecuada para su uso específico de los procesos y el entorno y las circunstancias en las que se
van a utilizar los procesos. El DEFR o DES también debe:

a) documentar todas las acciones;

b) determinar y aplicar un método para establecer la precisión y confiabilidad del potencial digital
copia de prueba comparada con la fuente original; y

c) reconocer que el acto de preservación de la evidencia digital potencial no siempre puede ser no intrusivo.

5.3 Requisitos para el manejo de evidencia digital

5.3.1 Generalidades

Los principios establecidos en la cláusula 5.2 anterior pueden cumplirse de la siguiente manera:

Relevancia: Debe ser posible demostrar que el material adquirido es relevante para la investigación, es decir, que contiene información valiosa
para ayudar en la investigación del incidente en particular y que existe una buena razón para haberlo adquirido. A través de la auditoría y la
justificación, el DEFR debe poder describir los procedimientos seguidos y explicar cómo se tomó la decisión de adquirir cada artículo.

Confiabilidad: todos los procesos utilizados en el manejo de evidencia digital potencial deben ser auditables y repetibles.
Los resultados de aplicar tales procesos deben ser reproducibles.

Suficiencia: El DEFR debería haber tenido en cuenta que se ha recopilado suficiente material para permitir que se lleve a cabo una investigación
adecuada. El DEFR debe ser capaz, a través de la auditoría y la justificación, de

6 © ISO/IEC 2012 – Todos los derechos reservados

ISO/CEI 27037:2012(E)

dar una indicación de cuánto material, en total, se consideró y los procedimientos utilizados para decidir cuánto y qué material
adquirir.

NOTA Los materiales pueden recopilarse a través de actividades de adquisición y/o recolección.

Hay cuatro aspectos clave en el manejo de evidencia digital: auditabilidad, justificabilidad y repetibilidad o reproducibilidad
dependiendo de circunstancias particulares.

5.3.2 Auditabilidad

Debe ser posible que un asesor independiente u otras partes interesadas autorizadas evalúen las actividades realizadas por un
DEFR y DES. Esto será posible mediante la documentación adecuada de todas las acciones realizadas. El DEFR y el DES deberían
poder justificar el proceso de toma de decisiones al seleccionar un curso de acción dado. Los procesos realizados por un DEFR y
DES deben estar disponibles para una evaluación independiente para determinar si se siguió un método, técnica o procedimiento
científico apropiado.

5.3.3 Repetibilidad

La repetibilidad se establece cuando se producen los mismos resultados de prueba bajo las siguientes condiciones:

 Utilizando el mismo procedimiento y método de medición;

 Utilizando los mismos instrumentos y bajo las mismas condiciones; y

 Puede repetirse en cualquier momento después de la prueba original.

Un DEFR debidamente capacitado y experimentado debe poder llevar a cabo todos los procesos descritos en la documentación y
llegar a los mismos resultados, sin orientación ni interpretación. El DEFR debe ser consciente de que puede haber circunstancias en
†††††††

las que no sea posible repetir la prueba, por ejemplo, cuando se ha copiado y vuelto a utilizar un disco duro original, o cuando un
elemento implica memoria volátil. En este caso, el DEFR debe asegurar que el proceso de adquisición sea confiable. Para lograr la
repetibilidad, se debe implementar el control de calidad y la documentación del proceso.

5.3.4 Reproducibilidad

La reproducibilidad se establece cuando los mismos resultados de prueba se producen bajo las siguientes condiciones:

 Usando el mismo método de medición;

 Usando diferentes instrumentos y bajo diferentes condiciones; y

 Puede reproducirse en cualquier momento después de la prueba original.

Las necesidades de reproducir los resultados varían según las jurisdicciones y las circunstancias, por lo que el DEFR o la persona
que realiza la reproducción deberán estar informados sobre las condiciones aplicables.

5.3.5 Justificabilidad

El DEFR debe poder justificar todas las acciones y métodos utilizados en el manejo de la evidencia digital potencial.
La justificación se puede lograr demostrando que la decisión fue la mejor opción para obtener toda la evidencia digital potencial. Otro
DEFR o DES también podría demostrar esto reproduciendo o validando con éxito las acciones y métodos utilizados.

Es en el mejor interés de la organización individual emplear un DEFR o DES que posea habilidades y competencias básicas como
se describe en el Anexo A de esta Norma Internacional. Esto asegurará que se sigan los procesos y procedimientos correctos
cuando se manipule evidencia digital potencial para asegurar la eventual preservación de evidencia digital que pueda tener valor
probatorio. Esto también asegurará que las organizaciones puedan utilizar la

© ISO/IEC 2012 – Todos los derechos reservados 7

ISO/CEI 27037:2012(E)

evidencia digital potencial, por ejemplo, en sus procedimientos disciplinarios o para facilitar el intercambio de evidencia digital potencial
entre jurisdicciones.

NOTA La competencia descrita en el Anexo A se limita a la función DEFR que está alineada con el rol de DES como se
define en la Cláusula 3.8.

5.4 Procesos de manejo de evidencia digital

5.4.1 Resumen

Aunque el proceso completo de manejo de evidencia digital incluye otras actividades (es decir, presentación, eliminación, etc.), el alcance
de esta Norma Internacional se relaciona solo con el proceso de manejo inicial que consiste en la identificación, recolección, adquisición y
preservación de evidencia digital potencial.

La evidencia digital puede ser de naturaleza frágil. Puede ser alterado, manipulado o destruido a través de un manejo o examen inadecuado.
Los manipuladores de pruebas digitales deben ser competentes para identificar y gestionar los riesgos y las consecuencias de los posibles
cursos de acción al tratar con pruebas digitales. Si no se manejan los dispositivos digitales de manera adecuada, la posible evidencia digital
contenida en esos dispositivos digitales puede quedar inutilizable.

El DEFR y DES deben seguir procedimientos documentados para garantizar que se mantenga la integridad y confiabilidad de la evidencia
digital potencial. Los procedimientos deben incluir pautas de manejo para fuentes de evidencia digital potencial y deben incluir los siguientes
principios fundamentales:

Minimice el manejo del dispositivo digital original o la evidencia digital potencial;

Dar cuenta de cualquier cambio y documentar las acciones realizadas (en la medida en que un experto pueda formar una
†††††††

opinión sobre la fiabilidad);

Cumplir con las reglas locales de evidencia; y

El DEFR y DES no deben tomar acciones más allá de su competencia.

Al cumplir con los principios y requisitos fundamentales del manejo de evidencia digital potencial, la evidencia debe ser preservada.
Específicamente en el caso de que se hicieran cambios inevitables, todas las acciones y razones deben documentarse. Cada proceso del
manejo de evidencia digital, es decir, identificación, recolección, adquisición y preservación, se discute con más detalle en las cláusulas
siguientes.

5.4.2 Identificación

La evidencia digital se representa en forma física y lógica. La forma física incluye la representación de datos dentro de un dispositivo
tangible. La forma lógica de la evidencia digital potencial se refiere a la representación virtual de datos dentro de un dispositivo.

El proceso de identificación implica la búsqueda, el reconocimiento y la documentación de posibles pruebas digitales.

El proceso de identificación debe identificar los medios de almacenamiento digital y los dispositivos de procesamiento que pueden contener
evidencia digital potencial relevante para el incidente. Este proceso también incluye una actividad para priorizar la recopilación de evidencia
en función de su volatilidad. Se debe identificar la volatilidad de los datos para garantizar el orden correcto de los procesos de recopilación
y adquisición para minimizar el daño a la evidencia digital potencial y obtener la mejor evidencia. Además, el proceso debe identificar la
posibilidad de evidencia digital potencial oculta. El DEFR y DES deben ser conscientes de que no todos los tipos de medios de
almacenamiento digital se pueden identificar y ubicar fácilmente, por ejemplo, computación en la nube, NAS y SAN; todos agregan un
componente virtual al proceso de identificación.

El DEFR debe llevar a cabo sistemáticamente una búsqueda exhaustiva de elementos que puedan contener evidencia digital potencial. Los
diferentes tipos de dispositivos digitales que pueden contener evidencia digital potencial pueden pasarse por alto fácilmente (por ejemplo,
debido a su pequeño tamaño), disfrazarse o mezclarse con otro material irrelevante.

8 © ISO/IEC 2012 – Todos los derechos reservados

ISO/CEI 27037:2012(E)

Las cláusulas 6.1 y 6.6 brindan más información sobre los aspectos de la cadena de custodia, empaque y etiquetado de la
identificación de evidencia digital. La cláusula 7 especifica las pautas relevantes para instancias específicas de
identificación, recolección, adquisición y preservación de evidencia digital.

5.4.3 Colección

Una vez que se identifican los dispositivos digitales que pueden contener evidencia digital potencial, el DEFR y el DES
deben decidir si recopilar o adquirir durante el siguiente proceso. Hay una serie de factores de decisión para esto, que se
analizan con más detalle en la Cláusula 7. La decisión debe basarse en las circunstancias.

La recopilación es un proceso en el proceso de manejo de evidencia digital donde los dispositivos que pueden contener
evidencia digital potencial se retiran de su ubicación original a un laboratorio u otro entorno controlado para su posterior
adquisición y análisis. Los dispositivos que contienen evidencia digital potencial pueden estar en uno de dos estados:
cuando el sistema está encendido o cuando el sistema está apagado. Se requieren diferentes enfoques y herramientas,
según el estado del dispositivo. Los procedimientos locales pueden aplicarse a los enfoques y herramientas utilizados para
el proceso de recopilación.

Este proceso incluye la documentación de todo el enfoque, así como el embalaje de estos dispositivos antes del transporte.
Es importante que DEFR y DES recopilen cualquier material que pueda estar relacionado con la posible información digital
(por ejemplo, papel con contraseñas anotadas, soportes y conectores de alimentación para dispositivos de sistemas
integrados). La evidencia digital potencial puede perderse o dañarse si no se aplica un cuidado razonable. El DEFR y el
DES deben adoptar el mejor método de recolección posible según la situación, el costo y el tiempo, y documentar la
decisión de usar un método en particular.

NOTA 1 No siempre se recomienda la eliminación de los medios de almacenamiento digital y el DEFR debe asegurarse de que sea
competente para eliminar los medios de almacenamiento y reconocer cuándo es apropiado y está permitido hacerlo.

NOTA 2 Los detalles sobre los dispositivos digitales no recopilados deben documentarse con la justificación de su exclusión, de acuerdo
con los requisitos de la jurisdicción aplicable.
†††††††

5.4.4 Adquisición

El proceso de adquisición implica producir una copia de evidencia digital (por ejemplo, disco duro completo, partición,
archivos seleccionados) y documentar los métodos utilizados y las actividades realizadas. El DEFR debe adoptar un
método de adquisición adecuado en función de la situación, el costo y el tiempo, y documentar la decisión de usar un
método o herramienta en particular de manera adecuada.

Los métodos utilizados para adquirir evidencia digital potencial deben estar claramente documentados en detalle y, en la
medida de lo posible, ser reproducibles o verificables por un DEFR competente. Un DEFR o DES debe adquirir la evidencia
digital potencial de la manera menos intrusiva para evitar introducir cambios cuando sea posible. Al llevar a cabo este
proceso, el DEFR debe considerar el método más apropiado a utilizar. Si el proceso da como resultado una alteración
inevitable de los datos digitales, las actividades realizadas deben documentarse para dar cuenta de los cambios en los
datos.

El método de adquisición utilizado debe producir una copia de evidencia digital de la evidencia digital potencial o
dispositivos digitales que pueden contener evidencia digital potencial. Tanto la fuente original como la copia de la evidencia
digital deben verificarse con una función de verificación comprobada (exacta comprobada en ese momento) que sea
aceptable para la persona que usará la evidencia. La fuente original y cada copia de evidencia digital deben producir el
mismo resultado de la función de verificación.

En circunstancias en las que no se puede realizar el proceso de verificación, por ejemplo, al adquirir un sistema en
funcionamiento, la copia original contiene sectores de error o el período de tiempo de adquisición es limitado. En tales
casos, el DEFR debe utilizar el mejor método posible disponible y ser capaz de justificar y defender la selección del
método. Si la imagen no se puede verificar, entonces esto debe documentarse y justificarse. Si es necesario, el método
de adquisición utilizado debe ser capaz de obtener el espacio asignado y no asignado.

NOTA 1 Cuando el proceso de verificación no se puede realizar en la fuente completa debido a errores en la fuente, se puede usar la
verificación utilizando aquellas partes de la fuente que se pueden leer de manera confiable.

© ISO/IEC 2012 – Todos los derechos reservados 9

ISO/CEI 27037:2012(E)

Puede haber instancias en las que no sea factible o permisible crear una copia de evidencia digital de una fuente de
evidencia, como cuando la fuente es demasiado grande. En estos casos, un DEFR puede realizar una adquisición
lógica, que apunta solo a tipos de datos, directorios o ubicaciones específicos. Esto generalmente ocurre a nivel de
archivo y partición. Durante la adquisición lógica, los archivos activos y el espacio asignado no basado en archivos en
los medios de almacenamiento digital pueden copiarse; Es posible que no se copien los archivos eliminados y el
espacio no asignado, según el método utilizado. Otros casos en los que este método puede ser útil son cuando se trata
de sistemas de misión crítica que no se pueden apagar.

NOTA 2 Algunas jurisdicciones pueden requerir un tratamiento especial para los datos; por ejemplo, sellarlo en presencia del titular
de los datos. El sellado debe realizarse de acuerdo con los requisitos locales (legislativos y de procedimiento).

5.4.5 Conservación

La evidencia digital potencial debe conservarse para garantizar su utilidad en la investigación. Es importante
proteger la integridad de la evidencia. El proceso de preservación implica la salvaguardia de la evidencia digital
potencial y los dispositivos digitales que pueden contener evidencia digital potencial contra la manipulación o el
despojo. El proceso de preservación debe iniciarse y mantenerse a lo largo de los procesos de manejo de evidencia
digital, a partir de la identificación de los dispositivos digitales que contienen evidencia digital potencial.

En el mejor de los casos, no debería haber alteración de los datos en sí ni de los metadatos asociados con ellos
(por ejemplo, sellos de fecha y hora). El DEFR debe poder demostrar que la evidencia no se ha modificado desde
que se recopiló o adquirió, o proporcionar la justificación y las acciones documentadas si se realizaron cambios
inevitables.

NOTA En algunos casos, la confidencialidad de la evidencia digital potencial es un requisito, ya sea un requisito comercial o un
requisito legal (p. ej., privacidad). La posible evidencia digital debe conservarse de manera que garantice la confidencialidad de los
datos.

†††††††

6 Componentes clave de la identificación, recolección, adquisición y preservación de

evidencia digital

6.1 Cadena de custodia

En cualquier investigación, el DEFR debe poder dar cuenta de todos los datos y dispositivos adquiridos en el
momento en que se encuentran bajo la custodia del DEFR. El registro de cadena de custodia es un documento que
identifica la cronología del movimiento y manejo de la evidencia digital potencial. Debe instituirse desde el proceso
de cobro o adquisición. Por lo general, esto se logrará rastreando el historial del artículo desde el momento en que
fue identificado, recolectado o adquirido por el equipo de investigación hasta el estado y la ubicación actuales.

El registro de la cadena de custodia es un documento o una serie de documentos relacionados que detallan la cadena
de custodia y registra quién fue responsable del manejo de la evidencia digital potencial, ya sea en forma de datos
digitales u otros formatos (como notas en papel). El propósito de mantener un registro de cadena de custodia es permitir
la identificación del acceso y el movimiento de evidencia digital potencial en cualquier momento dado. El registro de la
cadena de custodia en sí mismo puede comprender más de un documento, por ejemplo, para posibles pruebas digitales
debe haber un documento contemporáneo que registre la adquisición de datos digitales en un dispositivo en particular,
el movimiento de ese dispositivo y la documentación que registre extractos o copias posteriores de posibles datos
digitales. evidencia para análisis u otros propósitos. El registro de la cadena de custodia debe contener como mínimo la
siguiente información:

Identificador de evidencia único;

Quién accedió a la evidencia y la hora y el lugar en que tuvo lugar;

Quién registró la entrada y la salida de las pruebas del centro de conservación de pruebas y cuándo sucedió;

Por qué se verificaron las pruebas (cuál es el caso y el propósito) y la autoridad pertinente, si corresponde;
y

10 © ISO/IEC 2012 – Todos los derechos reservados

ISO/CEI 27037:2012(E)

Cualquier cambio inevitable en la evidencia digital potencial, así como el nombre del individuo
responsable por tanto y la justificación de la introducción del cambio.

La cadena de custodia debe mantenerse a lo largo de la vida útil de las pruebas y conservarse durante un cierto período de tiempo
después del final de la vida útil de las pruebas; este período de tiempo se puede establecer de acuerdo con las jurisdicciones locales
de recopilación y aplicación de pruebas. Debe establecerse desde el momento en que se adquieren los dispositivos digitales y/o las
posibles pruebas digitales y no debe verse comprometida.

NOTA Algunas jurisdicciones pueden tener requisitos especiales con respecto a la cadena de custodia. El DEFR debe cumplir con esos
requisitos.

6.2 Precauciones en el lugar del incidente

6.2.1 Generalidades

El DEFR debe realizar actividades para asegurar y proteger la ubicación de la posible evidencia digital tan pronto como llegue al
sitio. Las actividades deben apoyar lo siguiente, sujeto a la ley local:

Asegure y tome el control del área que contiene los dispositivos;

Determinar quién es el responsable de la ubicación;

Asegúrese de que las personas se alejen de los dispositivos y fuentes de alimentación;

Documente a cualquier persona que tenga acceso al lugar y a cualquier persona que pueda tener una razón para estar involucrada
en la escena del incidente;

Si el dispositivo está ENCENDIDO no lo apague y si el dispositivo está APAGADO no lo encienda;

†††††††

Si es posible, documente (por ejemplo, boceto, fotografía o video) la escena, todos los componentes y cables en su posición
original. Si no hay una cámara y/o cámara de video disponible, dibuje un croquis del sistema y etiquete los puertos y cables
para que el sistema pueda ser validado y reconstruido en una fecha posterior; y

Si está permitido, busque en las áreas elementos como notas adhesivas, diarios, papeles, computadoras portátiles o manuales de
hardware y software con detalles cruciales sobre los dispositivos, como contraseñas y PIN.

NOTA 1 Algunas jurisdicciones pueden tener requisitos especiales para la admisión de fotografías y pruebas en video. El DEFR debe
cumplir con esos requisitos.

NOTA 2 Los DEFR deben ser conscientes de que la evidencia digital potencial puede no estar siempre en ubicaciones obvias, como
almacenamiento distribuido o virtualizado.

El DEFR primero debe conocer todos los riesgos involucrados en la realización de todos los procesos durante la investigación.
Se debe considerar la protección del personal y la posible evidencia digital en la escena del incidente.

6.2.2 Personal

Es importante realizar una evaluación de riesgos con respecto a la seguridad del personal antes de comenzar el proceso, ya que la
seguridad del personal involucrado en el proceso es vital. Los temas a considerar en la evaluación de riesgos para el personal
incluyen, entre otros, los siguientes:

¿Estarán presentes las personas investigadas? Si están presentes, ¿tienen una propensión a la violencia?

¿A qué hora del día se realizará la operación?

¿Se puede aislar la escena del incidente de los transeúntes?

¿Hay armas en el área?

© ISO/IEC 2012 – Todos los derechos reservados 11

ISO/CEI 27037:2012(E)

¿Existe algún peligro físico para las personas presentes?

¿Se ha configurado algo en las inmediaciones, incluido el dispositivo, para causar daño físico si
manejado de manera inapropiada, por ejemplo, trampa oculta?

¿Tiene el material a recolectar alguna probabilidad de causar daño psicológico u ofensa?

¿Se puede considerar insegura la escena del incidente?

¿El área circundante tiene un impacto en el riesgo potencial?

6.2.3 Evidencia digital potencial

El DEFR debe tener cuidado al utilizar una herramienta específica para recopilar o adquirir evidencia digital potencial. No calcular los
riesgos antes de actuar puede conducir a la pérdida de parte o la totalidad de la evidencia digital potencial debido a la tecnología
aplicada durante la recopilación o adquisición. Deben evaluarse los riesgos para reducir la exposición a reclamaciones por daños y
perjuicios.

La evaluación de riesgos implica la evaluación sistemática de los riesgos y el impacto potencial que pueden tener en la investigación
de evidencia digital. Los aspectos a considerar durante la evaluación de riesgos para la evidencia digital potencial incluyen, entre otros,
los siguientes:

¿Qué tipo de métodos de recolección/adquisición se aplicarán?

¿Cuál es el equipo que se puede necesitar en el sitio?

¿Cuál es el nivel de volatilidad de los datos y la información relacionada con la evidencia digital potencial?
†††††††

¿Es posible el acceso remoto a cualquier dispositivo digital y representa una amenaza para la integridad probatoria?

¿Qué sucede si se dañan los datos o el equipo?

¿Es posible que los datos se hayan visto comprometidos?

¿Es posible que el dispositivo digital se haya configurado para destruir (por ejemplo, usando una bomba lógica), estropear u ofuscar
datos si se apagan o se accede a ellos de forma no controlada?

6.3 Funciones y responsabilidades

El papel del DEFR involucra la identificación, recolección, adquisición y preservación de evidencia digital potencial en la escena del
incidente. Incluye la elaboración de un informe de cobranza y adquisición, pero no necesariamente el informe de análisis. El papel del
DEFR también implica garantizar la integridad y la autenticidad de las posibles pruebas digitales. En el desempeño de su función, el
DEFR debe tener la experiencia, las habilidades y los conocimientos adecuados en el manejo de evidencia digital potencial. Esto es
crucial porque la evidencia digital potencial puede estropearse fácilmente.

El DEFR también podría requerir asistencia del personal de soporte técnico en áreas relacionadas. El papel de un DES consiste en
brindar apoyo técnico al DEFR para identificar, recopilar, adquirir y preservar evidencia digital potencial en la escena del incidente. El
DES brinda experiencia especializada al DEFR. La matriz de competencias para el DEFR (ver Anexo A) sirve como guía para identificar
sus niveles de competencia relevantes.

NOTA En el contexto del manejo de incidentes donde existe un ISIRT, los roles de un DEFR y/o DES como miembro del
equipo ISIRT se analizan en ISO/IEC 27035:2011.

12 © ISO/IEC 2012 – Todos los derechos reservados

ISO/CEI 27037:2012(E)

6.4 Competencia

El DEFR y/o DES deben tener las competencias técnicas y legales relevantes (por ejemplo, las del Anexo A) y deben poder demostrar que están
debidamente capacitados y tienen suficiente comprensión técnica y legal para manejar la evidencia digital potencial de manera adecuada. Esto incluye
una comprensión de los procesos y métodos apropiados para el manejo de fuentes potenciales de evidencia digital. Una capacitación adecuada
permitirá a los DEFR manejar dispositivos digitales que contengan evidencia digital potencial. Tener el mejor conjunto de herramientas no garantizará la
calidad de la evidencia digital si el DEFR no es competente para realizar las tareas.

Algunas jurisdicciones han prescrito cómo los DEFR deben establecer sus calificaciones. Es responsabilidad de los DEFR asegurarse de que estén
debidamente informados sobre cómo hacerlo en las jurisdicciones pertinentes. Cuando sea necesario, el DEFR y/o DES deben poder demostrar que
son competentes para manejar evidencia digital potencial utilizando las herramientas y métodos seleccionados para realizar las tareas. También se
requiere que los DEFR puedan proporcionar evidencia de su competencia continua.

Algunos de los requisitos previos para el DEFR son los siguientes:

Deben estar debidamente y adecuadamente capacitados para manejar dispositivos digitales en el contexto de investigaciones.
actividades;

Deben demostrar y mantener sus habilidades y competencias ante las autoridades correspondientes en el
área relevante de manejo de evidencia digital potencial; y

Es responsabilidad de la(s) persona(s) y del empleador asegurarse de que estén debidamente capacitados y
habilidades y competencias mantenidas.

NOTA La competencia de un DEFR puede variar de una jurisdicción a otra.

†††††††

6.5 Tenga un cuidado razonable

Evite cualquier acción que pueda conducir al despojo de evidencia digital potencial almacenada en dispositivos digitales debido a acciones intencionales
o no intencionales. Por ejemplo, la exposición a campos magnéticos puede estropear las posibles pruebas digitales contenidas en los medios de
almacenamiento magnético. El DEFR no debe acceder a dispositivos digitales, como realizar un volcado de memoria desde un dispositivo digital en
vivo, a menos que tenga la competencia requerida y con el uso de procesos confiables y validados.

Hay algunas circunstancias en las que no es práctico recopilar o adquirir evidencia digital potencial. El DEFR debe considerar las siguientes
circunstancias, pero no se limita solo a estas:

Si no existe un derecho o autorización legal para recoger el dispositivo digital;

Si existe la obligación de utilizar otros métodos (por ejemplo, para evitar la interrupción de un negocio);

Si el DEFR quiere capturar el método de operación de un sospechoso durante el abuso de un sistema;

Si la recolección o adquisición se hiciera en forma encubierta, si la jurisdicción lo considera legal;

Si se trata de un dispositivo digital de misión crítica que no puede tolerar ningún tiempo de inactividad;

Si el tamaño físico del dispositivo digital es demasiado grande, como un servidor en un centro de datos o un sistema RAID;

Si se trata de un dispositivo digital crítico para la seguridad que pondría en peligro la vida si se detuviera; y

Si es un dispositivo digital que también da servicio a personas inocentes.

© ISO/IEC 2012 – Todos los derechos reservados 13

ISO/CEI 27037:2012(E)

6.6 Documentación

La documentación es crítica cuando se manejan dispositivos digitales que pueden contener evidencia digital potencial. El DEFR debe
adherirse a los siguientes puntos durante la documentación:

Cada actividad realizada debe ser documentada. Esto es para asegurar que no se hayan omitido detalles durante los procesos de
identificación, recolección, adquisición y preservación. También puede ser útil en una investigación transfronteriza en la que la
posible evidencia digital recopilada de otra parte del mundo se pueda rastrear en consecuencia.

El DEFR debe ser sensible a la configuración de fecha y hora si los dispositivos digitales están encendidos. Compare la configuración
de la hora con una fuente de tiempo confiable, como una hora que esté sincronizada con una fuente de tiempo confiable y rastreable.
Estos ajustes de tiempo deben documentarse y anotarse si hay alguna diferencia. Algunos sistemas requieren mucha interacción
del usuario para obtener la configuración de fecha y hora. El DEFR debe tener cuidado de no modificar el sistema. Solo el personal
debidamente capacitado debe recuperar estos ajustes.

El DEFR debe documentar cualquier cosa visible en la pantalla del dispositivo digital: programas y procesos activos, así como los
nombres de los documentos abiertos. Esta documentación debe incluir una descripción de lo que es visible, ya que algunos
programas maliciosos pueden hacerse pasar por software conocido.

Cualquier movimiento de los dispositivos digitales debe documentarse de acuerdo con los requisitos locales.

Documentar todos los identificadores únicos de los dispositivos digitales y las partes asociadas, como números de serie y
marcas únicas.

En el Anexo B se muestran ejemplos de un conjunto mínimo de documentación para el intercambio entre jurisdicciones de posibles
pruebas digitales.
†††††††

NOTA Consulte la cláusula de gestión de documentos y la cláusula de gestión de registros de ISO/IEC 17025:2005 para obtener más
información sobre la documentación.

6.7 Información

6.7.1 Generalidades

Es esencial que el DEFR y el DES sean informados adecuadamente por la autoridad pertinente antes de realizar sus tareas, respetando
las leyes y restricciones de confidencialidad (es decir, la necesidad de saber). Es importante tener una sesión informativa formal para
comprender el incidente, qué esperar y qué no esperar durante la investigación, y un recordatorio contra la manipulación o el despojo de
pruebas. La sesión informativa debe ser suficiente para que los miembros estén bien preparados en el desempeño de sus funciones y
responsabilidades; asegurando así la extracción de toda la evidencia digital potencial relevante.

6.7.2 Evidencia digital específica

Se necesita una sesión informativa que se centre explícitamente en la orientación específica de la evidencia digital para informar a los
DEFR sobre los detalles relacionados con la investigación. Durante la sesión informativa, el DEFR y el DES deben recibir la información
pertinente y las instrucciones detalladas relacionadas con las posibles pruebas digitales que se recopilarán o adquirirán. Esto puede incluir:

Tipo de incidente (si se conoce);

Fecha y hora del incidente (si se conoce);

Plan de investigación (recolección y/o adquisición, actividad de red conocida, requerimiento de datos volátiles conocidos,
etc.);

Considere dónde y cómo se almacena/transporta la evidencia digital potencial después de la recolección o adquisición;

14 © ISO/IEC 2012 – Todos los derechos reservados

ISO/CEI 27037:2012(E)

Herramientas específicas necesarias para adquirir la evidencia digital potencial;

Evidencia digital potencial relacionada con tipos específicos de investigación;

Equipos y manuales relacionados con dispositivos digitales;

Recordar a los miembros del equipo que apaguen cualquier función de Bluetooth o WiFi en sus teléfonos/computadoras para que no
interactúen sin darse cuenta con los dispositivos digitales, a excepción de los teléfonos/computadoras que se usan para detectar
las conexiones.

Importancia de la documentación a lo largo de la investigación; y

Factores legales o de otro tipo aplicables que pueden prohibir la recopilación de cualquier dispositivo y posible evidencia digital
ellos contienen

Esta sesión informativa específica puede formar parte de la sesión informativa general tal como se describe en la cláusula 6.7.1.

6.7.3 Específico del personal

Se necesita una sesión informativa que se centre explícitamente en la orientación específica del personal para informar a los DEFR
sobre aspectos relacionados con las partes involucradas en la investigación. Durante la sesión informativa, el equipo de investigación
recibirá instrucciones relacionadas con el personal. Esto puede incluir:

Asignaciones, roles y responsabilidades de los miembros del equipo de investigación en la escena del incidente;

Si se espera que otras autoridades (personal médico, investigadores forenses biológicos, etc.)
involucrado en la investigación;

Exigir a los miembros del equipo que no acepten asistencia técnica de personas no autorizadas; y

Exigir a los miembros del equipo que sigan estrictamente el procedimiento para minimizar el riesgo de estropear la evidencia digital
potencial, como evitar el uso de herramientas o materiales que puedan producir o emitir electricidad estática o un campo magnético,
ya que estos pueden dañar o destruir la evidencia digital potencial.

Esta sesión informativa específica puede formar parte de la sesión informativa general tal como se describe en la cláusula 6.7.1.

6.7.4 Incidentes en tiempo real

Es muy deseable que la investigación de un incidente se planifique con anticipación, pero hay circunstancias (p. ej., cuando se está
†††††† desarrollando un incidente y se responde en tiempo real) en las que puede que no haya sido posible una planificación completa. En
estas situaciones, se debe informar al equipo sobre las estrategias y tácticas iniciales para la investigación y se le debe permitir
desarrollar nuevas estrategias y tácticas en respuesta a las condiciones prevalecientes.
La información sobre el incidente, a medida que se desarrolla, debe compartirse entre el equipo lo más rápido posible para garantizar
† que las decisiones sobre las acciones a tomar se puedan tomar de manera eficiente y teniendo debidamente en cuenta la necesidad de
justificación.

6.7.5 Otra información informativa

Además de la evidencia digital y el personal, otra información importante que se debe informar a los equipos de investigación incluye:

Designación del área bajo investigación, incluyendo el nombre de la organización, dirección y un

mapa de ubicación (si está disponible);

Mandato de investigación;

Detalles de las órdenes de allanamiento y otras autoridades aplicables a la investigación, incluidos los límites de la
búsqueda y captura;

© ISO/IEC 2012 – Todos los derechos reservados 15

ISO/CEI 27037:2012(E)

Aspectos e implicaciones legales;

Plazo de investigación;

Se necesitaba llevar el equipo al lugar del incidente para la investigación;

Información logística; y

Posible conflicto de intereses.

El DEFR debe evitar situaciones en las que se puedan hacer acusaciones de parcialidad inherente. Un ejemplo de sesgo
inherente es cuando un DEFR copia una computadora y no otra (que luego resulta que contiene evidencia exculpatoria) en
base a una percepción formada por el informe.

6.8 Priorización de la recopilación y adquisición

Al priorizar la recopilación o adquisición de evidencia digital potencial, es imperativo que el DEFR comprenda la razón por la
cual se recopila o adquiere la evidencia digital potencial. Como principio general, el DEFR debe intentar maximizar la cantidad
de datos preservados por las acciones de recopilación y adquisición. Sin embargo, puede ser necesario priorizar elementos
por volatilidad y/o relevancia/valor probatorio potencial. Los elementos de gran relevancia/potencial valor probatorio son
aquellos que tienen más probabilidades de contener datos relacionados directamente con el incidente que se investiga.

La priorización por volatilidad sólo es aplicable si las circunstancias específicas del caso que se investiga así lo requieren. La
evidencia digital potencial se puede dividir en dos categorías: volátil y no volátil. Los datos volátiles pueden destruirse
fácilmente o perderse para siempre si no se aplica el debido cuidado para proteger los datos. Por ejemplo, quitar la fuente de
alimentación de un dispositivo digital puede provocar la pérdida de datos volátiles. Los datos no volátiles permanecen en los
†††††††

medios incluso si se retira la fuente de alimentación. Dado que algunos tipos de evidencia digital pueden tener una vida útil
corta, la evidencia digital potencial puede alterarse o estropearse fácilmente. Cuando no esté claro si los dispositivos digitales
contienen evidencia digital potencial, o qué elementos son más relevantes que otros, puede ser necesario examinarlos antes
de recopilarlos mediante un proceso para determinar la prioridad. Los dispositivos digitales que se considerarán para la
recolección incluyen, pero no se limitan a; Equipos informáticos y medios de almacenamiento digital, sistemas CCTV, PEDs,
sistemas automotrices, sistemas de control y electrónica improvisada. Adquiera primero la evidencia digital potencial más
volátil, como RAM, espacio de intercambio, procesos en ejecución, etc. El DEFR debe poseer un conocimiento sólido para
priorizar según la volatilidad.

Tras la identificación, el DEFR debe:

Priorizar la evidencia digital potencial que se perdería para siempre si se desconecta la fuente de alimentación; y

Tome medidas rápidas para recopilar y adquirir estos datos con métodos validados.

NOTA 1 Algunos datos volátiles pueden cambiar debido a factores que incluyen, entre otros, la ubicación, la hora y los cambios en los dispositivos
digitales circundantes; asegúrese de que dichos datos se conserven antes de mover el dispositivo.

NOTA 2 Los dispositivos digitales que contienen evidencia digital potencial pueden ser una fuente de evidencia física (por ejemplo, huellas
dactilares, ADN, etc.). Los DEFR deben tener cuidado de no estropear dicha evidencia y coordinarse con los recopiladores de evidencia relevantes
antes de continuar con las siguientes actividades.

NOTA 3 Cuando se sospecha de cifrado o malware, es deseable examinar los datos volátiles.

En estas circunstancias, el tiempo puede ser un factor limitante durante una investigación. En estos casos, se debe dar
preferencia a la evidencia digital potencial identificada como relevante para el incidente específico.

dieciséis © ISO/IEC 2012 – Todos los derechos reservados

ISO/CEI 27037:2012(E)

6.9 Preservación de evidencia digital potencial

6.9.1 Resumen

Al preservar la evidencia digital potencial adquirida y los dispositivos digitales recopilados durante el empaque, es importante asegurar
estos elementos de una manera que elimine el espolio o la manipulación. El deterioro puede deberse a la degradación magnética, la
degradación eléctrica, el calor, la exposición a la humedad alta o baja, así como a los golpes y las vibraciones. La manipulación
puede resultar de un acto de hacer o permitir cambios intencionalmente en la evidencia digital potencial. Por lo tanto, es crucial
proteger la evidencia digital potencial lo mejor posible y utilizar los datos originales lo menos posible. Es importante que el DEFR esté
familiarizado con los requisitos de embalaje específicos de la jurisdicción correspondiente.

6.9.2 Preservación de evidencia digital potencial

Todos los dispositivos digitales recopilados y las posibles pruebas digitales adquiridas deben protegerse en la medida de lo posible
contra pérdida, manipulación o espolio. La actividad más importante en el proceso de preservación es mantener la integridad y
autenticidad de la posible evidencia digital y su cadena de custodia.

Los dispositivos digitales recopilados y las posibles pruebas digitales adquiridas deben almacenarse en una instalación de
conservación de pruebas que aplique controles de seguridad física, como sistemas de control de acceso, sistemas de vigilancia o
sistemas de detección de intrusos u otro entorno controlado para la conservación de pruebas digitales.
Los principales objetivos de la seguridad física son proteger y prevenir pérdidas, daños y manipulaciones, así como permitir la
auditabilidad.

Los dispositivos digitales recolectados deben envolverse o colocarse en un embalaje apropiado adecuado a la naturaleza del
dispositivo para evitar la contaminación de los dispositivos digitales antes de transportarlos a otras ubicaciones. Se puede utilizar un
embalaje resistente a los golpes para evitar daños físicos a los componentes de los dispositivos.
†††††††

El DEFR debe considerar la sensibilidad del dispositivo digital a la electricidad estática. Si esto es un problema, el dispositivo debe
guardarse en una bolsa antiestática.

Las unidades del sistema principal y las computadoras portátiles deben asegurarse en un contenedor apropiado para evitar
manipulación o espolio de la evidencia digital potencial que pueda residir en él.

NOTA El uso de una bolsa de Faraday u otro embalaje protegido contra radiofrecuencia puede aumentar el agotamiento de la batería del teléfono
móvil. Esto puede requerir el suministro de energía auxiliar al dispositivo mientras está dentro de la bolsa, si los recursos lo permiten.

6.9.3 Empaquetado de dispositivos digitales y evidencia digital potencial

6.9.3.1 Actividades de línea de base: empaquetado de evidencia digital potencial

Las actividades de referencia deben llevarse a cabo a menos que exista una buena razón para no hacerlo. Esto también se puede
referir como las acciones mínimas a tomar. Durante el envasado, el DEFR debe tener en cuenta y abordar las siguientes actividades
de referencia:

No toque la cinta magnética, sino más bien tome las cintas por sus cajas protectoras o áreas que se sabe que no contienen datos
(por ejemplo, los bordes de los discos ópticos). Esto solo debe hacerse si el DEFR usa guantes sin pelusa.

NOTA Las áreas específicas de los medios de almacenamiento que se sabe que no contienen datos dependen del tipo de medio. Es
responsabilidad del DEFR conocer la tecnología actual y estar familiarizado con el manejo de medios de almacenamiento.

Para garantizar una identificación correcta, el DEFR debe etiquetar todas las posibles pruebas digitales. Algunas jurisdicciones
tienen requisitos específicos con respecto al formato de etiquetado del material probatorio. El DEFR debe estar familiarizado y
cumplir con los requisitos aplicables en el asunto en cuestión. El DEFR debe etiquetar todas las posibles pruebas digitales, los
dispositivos digitales recopilados y cualquier pieza de hardware asociada con los dispositivos con etiquetas de evidencia de
manipulación. La etiqueta no debe colocarse directamente sobre las partes mecánicas del dispositivo digital y no debe cubrir ni
ocultar información de identificación importante. todo el potencial

© ISO/IEC 2012 – Todos los derechos reservados 17

ISO/CEI 27037:2012(E)

la evidencia digital en los dispositivos recopilados debe adquirirse y almacenarse de manera que garantice la integridad de la evidencia.

Cuando sea posible, los dispositivos digitales con aberturas y componentes móviles deben sellarse con etiquetas de seguridad que sean
apropiadas para los dispositivos, y el DEFR debe firmar en el sello.

Los dispositivos que están conectados a baterías con datos volátiles deben revisarse regularmente para garantizar que los dispositivos
siempre tengan suficiente suministro de energía.

Identifique y asegure los dispositivos digitales en un contenedor adecuado para la naturaleza del dispositivo contra la
amenazas potenciales.

Las computadoras y los dispositivos digitales deben empaquetarse de tal manera que se eviten daños por golpes,
vibración, gran altitud, calor y exposición a radiofrecuencia durante el transporte.

Los medios de almacenamiento magnético deben almacenarse en envases que sean magnéticamente inertes, antiestáticos y libres de
partículas

Los dispositivos digitales también pueden contener evidencia latente, traza o biológica. Como tal, se deben realizar actividades apropiadas
para preservar la evidencia digital potencial. Las imágenes de evidencia digital se deben realizar después de que se lleven a cabo los
procesos de recopilación de evidencia biológica, latente o latente en los dispositivos. Sin embargo, la decisión de priorizar la recolección
de evidencia debe evaluarse minuciosamente para preservar la evidencia.

6.9.3.2 Actividades adicionales: empaquetado de evidencia digital potencial

Las actividades adicionales se refieren a actividades que se recomienda encarecidamente llevar a cabo. Durante el envasado, el DEFR debe
señalar y abordar las siguientes actividades adicionales, cuando corresponda:
†††††††

Use guantes sin pelusa y asegúrese de que las manos estén limpias y secas.

Proteja los dispositivos digitales de la influencia de fuentes electromagnéticas (por ejemplo, radios policiales, altavoces, máquinas de rayos
X). El entorno del embalaje debe estar libre de electricidad estática.

El ambiente de empaque debe estar libre de polvo, grasa y contaminantes químicos que promuevan la oxidación.
deterioro y condensación de humedad en la capa magnética.

Minimice la posibilidad de impresión (la transferencia de una señal de un bucle de cinta a un bucle adyacente), que puede ocurrir cuando las
cintas se almacenan durante largos períodos sin uso activo, lo que da como resultado una calidad de señal deficiente.

Cuando sea necesario, las áreas de empaque deben estar libres de luz ultravioleta. Los rayos UV pueden causar la degradación del ADN o
dañar algunos tipos de medios. El DEFR debe considerar si los rayos UV representan un riesgo para la evidencia digital potencial antes
de seleccionar un área de empaque.

Los dispositivos digitales deben estar fuertemente protegidos contra choques térmicos.

6.9.4 Transporte de evidencia digital potencial

El DEFR debe preservar los dispositivos digitales recopilados y la evidencia digital potencial adquirida durante el transporte. La evidencia digital
potencial no debe dejarse desatendida durante el proceso de transporte. El DEFR debe mantener la cadena de custodia durante todo el proceso
de transporte para evitar posibles manipulaciones o expoliaciones, y mantener la integridad y autenticidad de los dispositivos digitales y la
posible evidencia digital. Si la evidencia digital potencial no es transportada por el DEFR o el DES, se recomienda que se use el cifrado.

NOTA El DEFR debe asegurarse de que la recopilación de información confidencial o personal se realice de acuerdo con las leyes y
regulaciones jurisdiccionales locales sobre protección de datos.

18 © ISO/IEC 2012 – Todos los derechos reservados

ISO/CEI 27037:2012(E)

Durante el embalaje y el transporte, el DEFR debe ser consciente de la posible presencia de descargas electrostáticas que pueden
dañar el valor probatorio de las posibles pruebas digitales. El DEFR debe asegurarse de que las computadoras y los dispositivos
digitales estén empaquetados de forma segura durante el transporte para evitar daños por golpes y vibraciones.

El proceso de transporte debe permitir un entorno propicio y controlado. El nivel de humedad, humedad y temperatura debe ser
adecuado para los dispositivos digitales. Evite mantener evidencia digital potencial y dispositivos digitales en el vehículo de
transporte durante períodos prolongados y evite que estén en presencia de UV.

En algunas jurisdicciones, cuando las circunstancias no lo permiten, el DEFR no puede acompañar la evidencia. En tales casos, se
pueden utilizar mecanismos de envío apropiados y autorizados para garantizar la seguridad adecuada de las pruebas durante el
transporte. Los documentos de transporte y verificación de la integridad del paquete deben formar parte de la cadena de custodia.

7 Instancias de identificación, recolección, adquisición y conservación

7.1 Computadoras, dispositivos periféricos y medios de almacenamiento digital

7.1.1 Identificación

7.1.1.1 Búsqueda y documentación del lugar del incidente físico

En el contexto de esta cláusula, las computadoras se consideran dispositivos digitales independientes que reciben, procesan y
almacenan datos y producen resultados. Estos dispositivos informáticos no están conectados a una red, pero pueden estar
†††††††
conectados a dispositivos periféricos como impresoras, escáneres, cámaras web, reproductores de MP3, sistemas GPS, dispositivos
RFID, etc. Un dispositivo digital que tiene una interfaz de red, pero que no está conectado en el momento de la recopilación o
adquisición, debe considerarse (para los fines de esta Norma Internacional) como una computadora independiente.
Cuando se encuentra una computadora con una interfaz de red, pero no se encuentra una conexión obvia, se deben realizar
actividades para identificar los dispositivos a los que se pudo haber conectado en el pasado reciente.

Por lo general, las escenas de incidentes contendrán varios tipos de medios de almacenamiento digital. Los medios de
almacenamiento digital se utilizan para almacenar datos de dispositivos digitales y varían en capacidad de memoria. Los ejemplos
de medios de almacenamiento digital incluyen, entre otros, discos duros portátiles externos, unidades flash, CD, DVD, discos Blu
ray, disquetes, cintas magnéticas y tarjetas de memoria.

Antes de que se pueda realizar cualquier adquisición o recopilación, se deben considerar los aspectos de seguridad de las posibles
pruebas digitales. Estos aspectos se describen en las cláusulas 6.2.1 y 6.2.2. Sin embargo, el DEFR debe tener cuidado de
asegurarse de que un dispositivo aparentemente independiente no se haya conectado recientemente a una red.
Cuando se sospeche que un dispositivo aparentemente independiente se ha desconectado recientemente, se debe considerar
tratarlo como un dispositivo en red para garantizar que otras partes de la red se manejen correctamente. El DEFR debe tener en
cuenta y abordar al menos lo siguiente:

El DEFR debe documentar el tipo y la marca de cualquier dispositivo digital utilizado e identificar todas las computadoras y
dispositivos periféricos que puedan necesitar adquirirse o recolectarse durante esta etapa inicial. Siempre que sea posible, se
deben documentar los números de serie, los números de licencia y otras marcas de identificación (incluidos los daños físicos).

En la etapa de identificación, el estado de las computadoras y dispositivos periféricos debe permanecer como está. Si las
computadoras o los dispositivos periféricos están apagados, no los encienda. Si las computadoras o los dispositivos periféricos
están encendidos, el DEFR no debe apagarlos, ya que de lo contrario podría estropear la evidencia digital potencial.

Si las computadoras están encendidas, el DEFR debe fotografiar o hacer un documento escrito de lo que se muestra en las
pantallas. Cualquier documento escrito debe incluir una descripción de lo que es realmente visible (por ejemplo, posiciones
aproximadas de las ventanas, títulos y contenidos).

© ISO/IEC 2012 – Todos los derechos reservados 19

ISO/CEI 27037:2012(E)

Un dispositivo que tiene baterías que pueden agotarse debe cargarse para garantizar que la información no se pierda. El DEFR necesita
identificar y recopilar posibles cargadores de baterías y cables durante esta fase.

El DEFR también debe considerar el uso de un detector de señales inalámbricas para detectar e identificar señales inalámbricas de
dispositivos inalámbricos que pueden estar ocultos. Puede haber casos en los que no se utilice un detector de señal inalámbrico
debido a limitaciones de tiempo y costo, y el DEFR debe documentarlo. Si se encuentra algún dispositivo en red, el DEFR debe
continuar con el proceso de manejo de evidencia como se describe en la cláusula 7.2.2.2 de este documento. Cuando se utilice el
escaneo activo (es decir, transmisión y/o sondeo) para dispositivos de red, los dispositivos de escaneo deben apagarse hasta que se
haya determinado una evaluación de las posibilidades del dispositivo para interactuar con otros dispositivos en la escena. Los
miembros del equipo deben recordar que ciertos dispositivos en la escena pueden detectar la presencia de dispositivos de escaneo
activo y el uso de escaneo activo puede desencadenar acciones que pueden estropear evidencia digital potencial y puede, en
circunstancias extremas, resultar en la activación de trampas ocultas.

NOTA 1 En algunas jurisdicciones, está permitido encender dispositivos digitales en una escena para determinar su relevancia para la
investigación si hay muchos dispositivos digitales presentes. Esto se hace teniendo en cuenta el tiempo de procesamiento y el costo en el
que se puede incurrir si se adquieren dispositivos digitales no relevantes. Si se enciende un dispositivo para evaluación en la escena, el
DEFR debe asegurarse de que se mantengan notas completas de las acciones tomadas durante el proceso.

NOTA 2 Al preservar el estado de energía del dispositivo digital, se deben considerar los resultados de la volatilidad y el proceso de
priorización relevante. Si se toma la decisión de que la información más crítica es la información no volátil en el disco, es posible que se
fotografíe la pantalla de la consola de ese sistema en ejecución y se desconecte el enchufe de alimentación. Si la información volátil en la
memoria es relevante, entonces es fundamental dejar el sistema encendido para permitir su adquisición.

7.1.1.2 Recopilación de pruebas no digitales

El DEFR debe considerar la recopilación de evidencia no digital. Para permitir esto, el líder del equipo debe identificar a las personas
responsables de las instalaciones en la escena. Esta persona puede proporcionar información y documentación adicional, como
†††††††

contraseñas para los dispositivos digitales y otros detalles relevantes.

El DEFR necesita documentar el nombre y la designación de esta persona.

El DEFR también puede necesitar recopilar algunas pruebas hablando con personas que pueden tener información útil o relevante sobre
las posibles pruebas digitales o dispositivos digitales que se recopilarán. Todas las respuestas deben documentarse con precisión. Estas
personas pueden incluir el administrador del sistema, el propietario del dispositivo y los usuarios de la computadora y los dispositivos
periféricos. Durante esta recopilación de evidencia verbal, el DEFR puede solicitar información como la configuración del sistema y la
contraseña de administrador/raíz. Esta información adicional puede ser útil en la etapa de análisis de la evidencia digital potencial. Estas
conversaciones deben documentarse para garantizar que los detalles sean precisos y que la declaración documentada no se pueda
cambiar.
El DEFR debe estar familiarizado con los requisitos jurisdiccionales relevantes para la recopilación de evidencia no digital.

7.1.1.3 Proceso de toma de decisiones para la recolección o adquisición

Al decidir recolectar un dispositivo digital o adquirir evidencia digital potencial, se deben considerar varios factores que incluyen, entre
otros, los siguientes:

la volatilidad de la evidencia digital potencial que se discutió en las cláusulas 5.4.2 y 6.8,

existencia de cifrado de disco completo o volúmenes cifrados donde la frase de contraseña o las claves pueden residir como volátiles
datos en RAM, en tokens externos, tarjetas inteligentes, otros dispositivos o medios,

criticidad del sistema que se discutió en las cláusulas 5.4.4, 7.2.1.2 y 7.1.3.4,

requisitos legales de una jurisdicción, y

recursos tales como tamaño de almacenamiento requerido, disponibilidad de personal, limitaciones de tiempo.

La Figura 1 ilustra la descripción general del proceso de toma de decisiones para realizar una recolección o adquisición.

20 © ISO/IEC 2012 – Todos los derechos reservados

ISO/CEI 27037:2012(E)

Dispositivo digital

Si la decisión es hacer ¿Factores a Si la decisión es hacer

recopilación tener en
una adquisición
cuenta para
cobrar o
adquirir? –
Subcláusula 5.4

¿Dispositivo ¿Dispositivo
digital encendido? digital encendido?
Sí No Sí No

Colección de dispositivo Colección de dispositivo Adquisición de dispositivo Adquisición de dispositivo

digital encendido Subcláusula digital apagado – Subcláusula digital encendido Subcláusula digital apagado Subcláusula
7.1.2.1 (Figura 2) 7.1.2.2 (Figura 3) 7.1.3.1 (Figura 4) 7.1.3.2 (Figura 5)

Figura 1: Pautas para la toma de decisiones sobre la recopilación o adquisición de evidencia digital potencial

7.1.2 Colección

7.1.2.1 Dispositivos digitales encendidos

†††††††

7.1.2.1.1 Resumen

El DEFR puede seguir una serie de pautas para la recopilación cuando el dispositivo digital está encendido. No todas las pautas
son ideales y apropiadas para cualquier caso; algunas pautas solo son relevantes para casos específicos.
En consecuencia, las directrices pueden clasificarse como de referencia o adicionales. Las actividades de referencia deben
aplicarse en todas las circunstancias, mientras que las actividades adicionales deben aplicarse cuando sea relevante y aplicable,
según el dispositivo o las circunstancias únicas. La Figura 2 ilustra la línea de base y las actividades adicionales aplicables a la
recolección de dispositivos digitales encendidos.

© ISO/IEC 2012 – Todos los derechos reservados 21

ISO/CEI 27037:2012(E)

Etiquete, desconecte y asegure todos los

Ir a cables y puertos del dispositivo, y coloque
Comenzar
Figura 4 cinta adhesiva sobre el interruptor de alimentación
Sí

Realizar un apagado
¿Se normal del sistema
Sí ¿Medios No
requieren
datos volátiles
adicionales involucrados?
o en vivo del dispositivo?

No
No

¿Son Actividad adicional

estables los datos

almacenados en el dispositivo? es
Maneje los medios
decir, no se corromperá ni se
perderá por una adicionales de acuerdo
Entrada desde pérdida de energía abrupta con las

Figura 4 pautas específicas de los medios

Sí Retire la(s) fuente(s)

de alimentación directamente
del dispositivo, ya sea la
Detener
batería principal o ambas
Actividades de referencia

Figura 2: Directrices para la recopilación de dispositivos digitales encendidos

†††††††

NOTA Todas estas actividades deben realizarse de acuerdo con las leyes y reglamentos de la jurisdicción local.

Es responsabilidad del DEFR conocer la tecnología actual y estar familiarizado con las pautas de manejo de medios de
almacenamiento.

7.1.2.1.2 Actividades de referencia: recopilación de dispositivos digitales encendidos

El DEFR debe seguir las siguientes actividades de referencia en todos los casos que involucren evidencia digital potencial. Estas
pautas se aplican cuando el DEFR ha decidido que se debe recolectar un dispositivo digital encendido:

Considere una adquisición de los datos volátiles y el estado actual del dispositivo digital antes de apagar el sistema. Las claves
de cifrado y otros datos cruciales pueden residir en la memoria activa o en la memoria inactiva que aún no se ha borrado.
Considere la adquisición lógica cuando se sospeche del cifrado. Cuando este sea el caso, tenga en cuenta que el sistema
operativo del host en vivo puede no ser confiable, por lo tanto, considere el uso de herramientas confiables y validadas
apropiadas.

La configuración del dispositivo digital puede determinar si el DEFR debe apagar el dispositivo a través de procedimientos
administrativos normales, o si el enchufe del dispositivo debe desconectarse de la toma de corriente. El DEFR puede
necesitar consultar con un DES para determinar el mejor enfoque dadas las circunstancias específicas. Si se toma la
decisión de desconectar el enchufe, el DEFR debe quitar el cable de alimentación quitando primero el extremo conectado al
dispositivo digital y no el extremo conectado al enchufe.
Tenga en cuenta que un dispositivo conectado a un UPS puede tener datos alterados si se quita el cable de alimentación de
la pared y no el dispositivo.

NOTA 1 Si se desconecta la energía de un dispositivo digital encendido, cualquier evidencia digital potencial almacenada en volúmenes
cifrados será inaccesible, a menos que se obtenga la clave de descifrado. También se podrían perder datos en vivo potencialmente valiosos,
lo que daría lugar a reclamaciones por daños o la pérdida de vidas humanas, como datos corporativos o dispositivos digitales que controlan
equipos médicos. Como tal, el DEFR debe garantizar que se recopilen datos volátiles antes de desconectar la fuente de alimentación.

22 © ISO/IEC 2012 – Todos los derechos reservados

ISO/CEI 27037:2012(E)

NOTA 2 Hay dispositivos de hardware que permiten desconectar el dispositivo encendido de la red eléctrica y transferirlo a un SAI portátil sin
interrumpir la alimentación del dispositivo. También hay movimientos del mouse que se pueden usar para evitar que se active el protector de
pantalla. Ambos dispositivos proporcionan herramientas útiles cuando se trata de un dispositivo encendido donde el cifrado puede estar activo.
Cuando se recolecta un dispositivo encendido de manera que se mantiene la energía, el embalaje y el transporte de un sistema en funcionamiento
deben abordar los problemas asociados con la provisión de refrigeración, protección contra golpes mecánicos, etc.

Etiquete, desconecte y asegure todos los cables del dispositivo digital y etiquete los puertos para que el sistema pueda
reconstruirse en una etapa posterior.

Coloque cinta adhesiva sobre el interruptor de alimentación si es necesario para evitar que cambie de estado. Considere si el
el estado del interruptor ha sido debidamente documentado antes de encintarlo o moverlo.

7.1.2.1.3 Actividades adicionales: recopilación de dispositivos digitales encendidos

Las siguientes son actividades adicionales que son relevantes dependiendo de la configuración del dispositivo digital específico.

Si es una computadora portátil, asegúrese de que se adquieran los datos volátiles antes de retirar la batería. El DEFR debe quitar primero
la batería de la fuente de alimentación principal, en lugar de presionar el botón de encendido de la computadora portátil para apagarla.
El DEFR también debe tomar nota si hay un adaptador de corriente presente y, si lo está, quitar el adaptador de corriente después de
quitar la batería.

NOTA 1 La acción de presionar el botón de encendido en un dispositivo digital puede configurarse para iniciar un script que puede alterar o
eliminar información del sistema antes de apagarlo o para alertar a los sistemas conectados de que ha ocurrido un evento inesperado para que
puedan borrar datos. de valor probatorio antes de que sean identificados. También se puede configurar para activar un dispositivo destinado a
causar daño físico al DEFR ya otras personas presentes.

Coloque la cinta sobre la ranura del disquete, si está presente.

†††††††

Asegúrese de que las bandejas de la unidad de CD o DVD estén retraídas en su lugar; tenga en cuenta si estas bandejas de unidades
están vacías, contienen discos o no están seleccionadas; y tape la ranura de la unidad para evitar que se abra.

NOTA 2 Si se deja algún medio de arranque, la próxima vez que se encienda la máquina, podría arrancar desde ese medio en lugar de desde
el disco duro (o la unidad flash de herramientas forenses), según la configuración del BIOS de la computadora.

El DEFR debe llevar a cabo la recopilación de evidencia no digital de acuerdo con las leyes procesales para garantizar que cualquier evidencia
sea admisible.

7.1.2.2 Dispositivos digitales apagados

7.1.2.2.1 Resumen

El DEFR puede seguir una serie de pautas para la recopilación cuando el dispositivo digital está apagado. No todas las actividades contenidas
en estas directrices son relevantes en todas las circunstancias. Por lo tanto, debe hacerse una distinción entre las actividades que se aplican
en todos los casos (actividades de referencia) y las que pueden aplicarse solo en algunos casos (actividades adicionales). La Figura 3 ilustra
la línea de base y las actividades adicionales aplicables a la recolección de dispositivos digitales apagados.

© ISO/IEC 2012 – Todos los derechos reservados 23

ISO/CEI 27037:2012(E)

¿El
No
dispositivo Retire la(s) fuente(s) de energía
Comenzar
depende de la directamente del dispositivo
fuente de la batería?

Sí
Etiquete, desconecte y asegure todos los ¿Medios No
cables y puertos del dispositivo, y coloque
cinta adhesiva sobre el interruptor de alimentación adicionales involucrados?

Actividades adicionales

Sí
Retire la fuente de alimentación y
la batería

Retire la unidad de disco duro (si las

condiciones de la escena lo permiten) Manejar medios adicionales
de acuerdo con las pautas
específicas de los medios
Etiquete la unidad de disco duro y
documente todos los detalles

Detener

Actividades de referencia

†††††††
Figura 3: Pautas para la recopilación de dispositivos digitales apagados

Es responsabilidad del DEFR conocer la tecnología actual y estar familiarizado con las pautas de manejo de medios de almacenamiento.

7.1.2.2.2 Actividades de línea de base: recolección de dispositivos digitales apagados

Las siguientes son las actividades de referencia recomendadas para la recopilación cuando el dispositivo digital está apagado:

Retire el cable de alimentación quitando primero el extremo conectado al dispositivo digital y no el extremo
que está conectado al enchufe.

Desconecte y asegure todos los cables de los dispositivos digitales y etiquete los puertos para que el sistema pueda reconstruirse en
una etapa posterior.

NOTA En la mayoría de los casos, el medio de almacenamiento no debe retirarse del dispositivo digital hasta que vaya a adquirirse, ya que
al retirarlo aumenta el riesgo de dañarlo o confundirlo con otro medio de almacenamiento. Se deben desarrollar y seguir procedimientos
locales con respecto a la necesidad de eliminar los medios de almacenamiento de los dispositivos digitales.

7.1.2.2.3 Actividades adicionales: recolección de dispositivos digitales apagados

Las siguientes son actividades adicionales que son relevantes para la recopilación de dispositivos digitales apagados, según la
configuración del dispositivo digital específico:

Primero, asegúrese de que la computadora portátil esté realmente apagada, ya que algunas pueden estar en modo de espera. Tenga
en cuenta que algunas computadoras portátiles se pueden encender abriendo la tapa. Luego proceda a retirar la batería de la
fuente de alimentación principal de la computadora portátil.

ISO/CEI 27037:2012(E)

Si las condiciones de campo requieren que se extraiga el disco duro, el DEFR debe tener cuidado de conectar a tierra el dispositivo digital
para evitar que la electricidad estática dañe el disco duro. De lo contrario, el disco duro no debe retirarse en el campo. Etiquete el disco
duro como disco sospechoso y documente todos los detalles, como la marca, el nombre del modelo, el número de serie y el tamaño del
disco duro.

Coloque la cinta sobre la ranura del disquete, si está presente.

Asegúrese de que las bandejas de la unidad de CD o DVD estén retraídas en su lugar; tenga en cuenta si estas bandejas de unidades
están vacías, contienen discos o no están marcadas; y tape la ranura de la unidad para evitar que se abra.

NOTA Si se deja algún medio de arranque, la próxima vez que se encienda la máquina, podría arrancar desde ese medio en lugar de desde el
disco duro (o la unidad flash de herramientas forenses), según la configuración del BIOS de la computadora.

7.1.3 Adquisición

7.1.3.1 Dispositivos digitales encendidos

7.1.3.1.1 Resumen

Existen tres escenarios en los que puede ser necesario realizar la adquisición: cuando los dispositivos digitales están encendidos, cuando los
dispositivos digitales están apagados y cuando los dispositivos digitales están encendidos pero no pueden apagarse (como los dispositivos
digitales de misión crítica). En todos estos escenarios, se requiere que el DEFR haga una copia de evidencia digital precisa de los medios de
almacenamiento de los dispositivos digitales que se sospecha que contienen evidencia digital potencial.

Si no se puede obtener una imagen, se pueden adquirir copias precisas de archivos específicos que se sospeche que contienen evidencia
digital potencial. Idealmente, se deben producir tanto una copia maestra verificada como copias de trabajo. La copia maestra no debe utilizarse
de nuevo a menos que sea necesario para verificar el contenido de la copia de trabajo o producir una copia de trabajo de reemplazo después
†††††††

de que se dañe la primera copia de trabajo.

El DEFR puede seguir una serie de pautas para la adquisición cuando se encuentra que el dispositivo digital está encendido.
No todas las pautas son ideales y apropiadas para todos los casos; algunas pautas solo son relevantes para casos específicos.
En consecuencia, las directrices pueden clasificarse como de referencia o adicionales. Se debe considerar la posibilidad de que un sistema
encendido pueda entrar en el modo de protector de pantalla o bloquearse automáticamente y que haya implicaciones para cualquier esfuerzo
realizado para evitarlo. Por ejemplo, el uso de un mousejiggler requerirá una entrada de clave USB en el registro y lo más probable es que
se realicen modificaciones para cualquier acción realizada. El uso de métodos confiables debería minimizar las implicaciones de tales
acciones. La figura 4 ilustra las actividades adicionales y de referencia aplicables a la adquisición de dispositivos digitales encendidos.

ISO/CEI 27037:2012(E)

Comenzar Realice la adquisición en vivo de datos no

volátiles desde un dispositivo en funcionamiento

Sí
Sí
No ¿Se
¿Se requieren ¿Se No
Sellar los datos adquiridos
datos en vivo requieren datos requiere no
(si los hay)
del dispositivo? volátiles del dispositivo? volátil del dispositivo?

Realice una inspección del

No Sí
disco utilizando las utilidades
de detección criptográfica Puede el
Sí No
sistema ser
incautado?

Sí
Realice la adquisición en vivo
¿Está en uso el
de datos volátiles
cifrado?
Ir a Detener

No Figura 2

Actividades adicionales

Actividades de referencia

†††††††

Figura 4: Directrices para la adquisición de un dispositivo digital encendido

7.1.3.1.2 Actividades de referencia: adquisición de dispositivos digitales encendidos

Las siguientes son las actividades de referencia que debe seguir el DEFR en todos los casos que involucren la posible adquisición
de evidencia digital en dispositivos digitales encendidos:

Primero, considere adquirir la evidencia digital potencial que, de otro modo, podría perderse si se apaga el dispositivo digital.
Esto también se conoce como datos volátiles, como datos almacenados en RAM, procesos en ejecución, conexiones de red y
configuraciones de fecha/hora. En circunstancias en las que sea necesario adquirir datos no volátiles de dispositivos que
todavía están en funcionamiento, se debe considerar realizar una adquisición en un sistema encendido.

Es necesario realizar una adquisición en vivo para adquirir datos en vivo de dispositivos que todavía están en funcionamiento. La
adquisición en vivo de datos volátiles en la RAM puede permitir la recuperación de información valiosa, como el estado de la
red, la aplicación descifrada y las contraseñas. La adquisición en vivo se puede realizar en la consola o de forma remota a
través de la red. Los procesos son diferentes y requieren el uso de diferentes conjuntos de herramientas.

El DEFR nunca debe confiar en los programas de los sistemas. Por esta razón, se recomiendan herramientas confiables
obtenidas por DEFR (binarios estáticos) siempre que sea posible. El DEFR debe ser competente para usar herramientas
validadas y ser competente para dar cuenta de los efectos que dichas herramientas pueden tener en el sistema (p. ej.,
desplazamiento de evidencia digital potencial, contenido de la memoria que se borra cuando se carga el software, etc.). Todas
las acciones realizadas y los cambios resultantes realizados en la evidencia digital potencial deben documentarse y
comprenderse. Si no es posible determinar el efecto probable de la introducción de herramientas en el sistema o los cambios
resultantes no pueden determinarse con certeza, esto también debe documentarse.

Al adquirir datos volátiles, el DEFR debe adoptar el uso de un contenedor de archivos lógicos cuando sea posible y documentar
su valor hash una vez que contenga los archivos de datos volátiles. Cuando esto no sea posible, se debe usar un contenedor
como un archivo ZIP y luego este archivo se debe codificar y documentar el valor. El

ISO/CEI 27037:2012(E)

Los contenedores de archivos resultantes deben almacenarse en un medio de almacenamiento digital que haya sido preparado para este
propósito, es decir, formateado.

Ejecute el proceso de generación de imágenes en el almacenamiento no volátil activo mediante una herramienta de generación
de imágenes validada. La copia de prueba digital resultante debe almacenarse en un medio de almacenamiento digital que
se haya preparado para este fin. Si bien es preferible utilizar un nuevo medio de almacenamiento digital, el uso de copias
de pruebas digitales de procesos validados garantiza la integridad de los datos cuando se reconstruyen. Por lo tanto,
bastará con un medio de almacenamiento digital que haya sido desinfectado. Si la imagen debe almacenarse en un
contenedor de archivos lógicos, el DEFR debe garantizar que la imagen no se corrompa ni se dañe.

NOTA En situaciones en las que el dispositivo está bloqueado, el acceso físico se puede realizar a través de otros medios que tengan habilitado
el acceso directo a la memoria, por ejemplo, la interfaz Firewire.

7.1.3.1.3 Actividades adicionales: adquisición de dispositivos digitales encendidos

Las siguientes son actividades adicionales que son relevantes para la adquisición de dispositivos digitales encendidos, según la
configuración del dispositivo digital específico:

Considere la posibilidad de adquirir datos volátiles en la RAM cuando se sospeche del uso de cifrado. Primero verifique si este
puede ser el caso inspeccionando el disco sin procesar o usando alguna utilidad de detección criptográfica. Cuando este
sea el caso, tenga en cuenta que el sistema operativo del host en vivo puede no ser confiable y considere el uso de
herramientas confiables y validadas apropiadas.

Utilice una fuente de tiempo confiable y documente el tiempo de cada acción realizada.

Puede ser apropiado asociar el DEFR con la evidencia digital potencial adquirida, usando
firmas, biometría y fotografía.
†††††††

NOTA La acción de presionar el botón de encendido en un dispositivo digital puede configurarse para iniciar una secuencia de comandos que
puede alterar la información y/o eliminar información del sistema antes de apagarlo o para alertar a los sistemas conectados de que ocurrió un
evento inesperado para que puedan borrar datos de valor probatorio antes de que sean identificados. También se puede configurar para activar
un dispositivo destinado a causar daño físico al DEFR ya otras personas presentes.

7.1.3.2 Dispositivos digitales apagados

7.1.3.2.1 Resumen

Es más fácil manejar un dispositivo digital apagado en comparación con un dispositivo digital encendido porque no hay necesidad
de adquirir los datos volátiles. La Figura 5 ilustra actividades que son aplicables a la adquisición de dispositivos digitales
apagados.

Comenzar
Detener

Eliminar almacenamiento
Preparar disco de destino Realización de imágenes del
del dispositivo (si Sellar el disco de destino
disco de almacenamiento
aún no se eliminó)

Figura 5: Directrices para la adquisición de un dispositivo digital apagado

ISO/CEI 27037:2012(E)

7.1.3.2.2 Adquisición de dispositivo digital apagado

Las siguientes son las actividades para la adquisición cuando se descubre que el dispositivo digital está apagado:

Asegúrese de que el dispositivo esté efectivamente apagado.

Si corresponde, elimine el almacenamiento del dispositivo digital apagado si aún no lo ha hecho. Etiquete el almacenamiento como almacenamiento
sospechoso y documente todos los detalles, como la marca, el nombre del modelo, el número de serie y el tamaño del almacenamiento.

Ejecute el proceso de creación de imágenes utilizando una herramienta de creación de imágenes validada para crear una copia de prueba digital del
disco sospechoso.

NOTA En la mayoría de los casos, el medio de almacenamiento no debe retirarse del dispositivo digital hasta que vaya a adquirirse,
ya que al retirarlo aumenta el riesgo de daño o de confundirlo con otro medio de almacenamiento. Se deben desarrollar y seguir
procedimientos locales con respecto a la necesidad de retirar discos duros.

7.1.3.3 Dispositivos digitales de misión crítica

En algunos casos, los dispositivos digitales no se pueden apagar debido a la naturaleza crítica de los sistemas. Estos sistemas, como servidores en
centros de datos que también podrían estar dando servicio a clientes inocentes, sistemas de vigilancia, sistemas médicos y muchos otros, pueden
verse gravemente afectados si se interrumpen o apagan.
Se debe tener especial cuidado al tratar con tales sistemas.

Cuando el dispositivo digital no se pueda apagar, realice una adquisición en vivo y/o parcial, como se describe en las cláusulas 7.1.3.1.2 y 7.1.3.4.

†††††††
7.1.3.4 Adquisición parcial

La adquisición parcial puede realizarse por varias razones, tales como:

el almacenamiento del sistema es demasiado grande para ser adquirido (por ejemplo, servidor de base de datos);

un sistema es demasiado crítico para apagarlo;

cuando solo los datos seleccionados que se van a adquirir contienen otros datos irrelevantes dentro del mismo sistema; o

cuando esté limitado por una autoridad legal, como una orden de allanamiento, que limite el alcance de la adquisición.

Cuando se ha tomado la decisión de realizar una adquisición parcial, las actividades para la adquisición deben incluir, entre otras, las siguientes:

Identificar carpeta(s), archivo(s) o cualquier opción relevante del sistema propietario disponible para adquirir los datos deseados,

Realizar la adquisición lógica de los datos identificados.

7.1.3.5 Medios de almacenamiento digital

Se pueden encontrar varios tipos de medios de almacenamiento digital en la escena de un incidente. Por lo general, estos son el tipo de datos menos
volátiles y pueden tener la prioridad más baja durante la recopilación y adquisición. Esto no quiere decir que no sean importantes porque en muchos
casos, los medios de almacenamiento digital externo contienen la evidencia que buscan los analistas. El DEFR debe garantizar lo siguiente:

Verifique y documente la ubicación (p. ej. bahía de unidad, cable y conector, ranura USB, etc.), marca, modelo y
número de serie (si corresponde) de cada medio de almacenamiento digital encontrado.

Decidir si recopilar los medios de almacenamiento digital identificados o realizar una adquisición in situ; la decisión debe basarse en la naturaleza
del incidente y los recursos disponibles. Para realizar la adquisición in situ de los medios de almacenamiento digital (principalmente el disco
duro), consulte la Figura 4.

ISO/CEI 27037:2012(E)

Si el DEFR decide y se le permite recopilar medios de almacenamiento digital, los medios recopilados deben envolverse o colocarse
en un embalaje adecuado.

Etiquete todos los medios de almacenamiento digital y cualquier parte asociada con ellos. Las etiquetas de evidencia no deben
colocarse directamente sobre las partes mecánicas de los medios digitales, ni deben cubrir u ocultar información importante como
el número de serie, el número de modelo y el número de pieza. Todos los medios recopilados deben adquirirse y almacenarse de
manera que se garantice la integridad de los medios recopilados. Cuando sea posible, la evidencia debe sellarse con sellos de
seguridad y el DEFR o el personal a cargo debe firmar en la etiqueta.

Los medios de almacenamiento digital recopilados deben almacenarse en un entorno adecuado para la conservación de datos.

Diferentes medios de almacenamiento digital tienen diferentes capacidades de retención de datos. El DEFR debe conocer el período
de tiempo máximo aceptable especificado por la jurisdicción correspondiente, con respecto a las capacidades de retención de
datos de los medios de almacenamiento digital.

7.1.4 Conservación

Una vez que se completa el proceso de adquisición, el DEFR debe sellar los datos adquiridos mediante funciones de verificación o
firmas digitales para determinar que las copias de las pruebas digitales son equivalentes a los originales. Además, los aspectos de
seguridad requieren controles que apliquen los principios de preservación de la confidencialidad, integridad y disponibilidad de la
potencial evidencia digital. Para proteger contra el despojo, los aspectos ambientales deben abordarse con las medidas apropiadas. El
DEFR debe garantizar lo siguiente:

Utilice una función de verificación adecuada para demostrar que los archivos copiados son equivalentes a los
originales

Puede ser apropiado asociar el DEFR con la evidencia digital potencial adquirida, usando
†††††††

firmas, biometría y fotografía.

Todos los dispositivos digitales que se recopilaron deben conservarse adecuadamente. Diferentes tipos de dispositivos digitales pueden
requerir diferentes métodos de conservación. La evidencia digital potencial debe conservarse a lo largo de su vida útil, que puede variar
según las jurisdicciones y la política de la organización.

NOTA Como alternativa al sellado de los datos adquiridos con funciones de verificación o firmas digitales, el DEFR también puede
utilizar características biométricas. La biometría utiliza características físicas y de comportamiento para determinar la identidad de un
individuo. Al adjuntar una característica biométrica a la evidencia adquirida, puede garantizar que la evidencia no pueda ser
manipulada sin comprometer la característica biométrica.

7.2 Dispositivos en red

7.2.1 Identificación

7.2.1.1 Resumen

En el contexto de esta cláusula, los dispositivos de red se consideran computadoras u otros dispositivos digitales que están conectados
a una red en modo alámbrico o inalámbrico. Estos dispositivos en red pueden incluir mainframes, servidores, computadoras de
escritorio, puntos de acceso, conmutadores, concentradores, enrutadores, dispositivos móviles, PDA, PED, dispositivos Bluetooth,
sistemas de CCTV y muchos más. Tenga en cuenta que si los dispositivos digitales están conectados en red, es difícil determinar
dónde se almacena la posible evidencia digital que se busca. Los datos podrían estar ubicados en cualquier lugar de la red.

La identificación de un dispositivo digital incluye componentes tales como logotipos del fabricante, números de serie, soportes y
adaptadores de corriente. El DEFR puede considerar los siguientes aspectos como medio de identificación:

Características del dispositivo: la marca y el fabricante de un dispositivo digital a veces se pueden identificar por su
características observables, particularmente si existen elementos de diseño únicos.

ISO/CEI 27037:2012(E)

Interfaz del dispositivo: el conector de alimentación suele ser específico de un fabricante y una ayuda fiable para
identificación.

Etiqueta del dispositivo: para dispositivos móviles apagados, la información obtenida dentro de la cavidad de la batería puede
ser reveladora, especialmente cuando se combina con una base de datos adecuada. Por ejemplo, el IMEI es un número de
15 dígitos que indica el fabricante, el tipo de modelo y el país de aprobación de los dispositivos GSM; el ESN es un identificador
único de 32 bits documentado en un chip seguro en un teléfono móvil por el fabricante: los primeros 8 a 14 bits identifican al
fabricante y los bits restantes identifican el número de serie asignado.

Búsqueda inversa: en el caso de los teléfonos móviles, si se conoce el número de teléfono del teléfono, se puede utilizar una
búsqueda inversa para identificar al operador de red.

Debido al pequeño tamaño general de los dispositivos móviles, el DEFR debe tener especial cuidado para identificar todos los tipos
de dispositivos móviles que puedan ser relevantes para el caso. El DEFR debe asegurar la escena del incidente sospechoso y
asegurarse de que ninguna persona retire el móvil o cualquier otro dispositivo digital de la escena. Los dispositivos digitales que
pueden contener evidencia digital deben protegerse contra el acceso no autorizado.

NOTA En algunos casos, la comunicación no debe interrumpirse. Informar a las personas autorizadas sobre posibles problemas
(p. ej., no advertir a personas desconocidas sobre el dispositivo de apagado).

7.2.1.2 Búsqueda y documentación del lugar del incidente físico

Antes de que se pueda realizar cualquier adquisición o recopilación, la escena del incidente debe documentarse de manera visual,
ya sea fotografiando, filmando o dibujando la escena tal como apareció al ingresar. La elección del método de documentación debe
equilibrarse con las circunstancias, el costo, el tiempo, los recursos disponibles y las prioridades.
El DEFR debe documentar todos los demás artículos en la escena que puedan contener materiales potencialmente relevantes,
como notas garabateadas, notas adhesivas, diarios, etc.
†††††††

El DEFR debe documentar el tipo, la marca, el modelo y los números de serie de cualquier dispositivo digital utilizado e identificar
todos los dispositivos digitales que puedan necesitar adquirirse o recolectarse durante esta etapa inicial. Todos los dispositivos
móviles y sus elementos asociados, como tarjetas de memoria, tarjetas SIM, cargadores y soportes encontrados en la escena,
sus números de serie asociados y cualquier característica de identificación deben documentarse y recopilarse, si es necesario.
También intente encontrar el embalaje original de los teléfonos móviles; estos pueden contener notas con códigos PIN y PUK.

Si el dispositivo está conectado a la red, el DEFR debe identificar los servicios prestados por los dispositivos para comprender
las dependencias y determinar la criticidad de los dispositivos dentro de la red antes de decidir desconectar el dispositivo de
la red. Esto es importante si los dispositivos cumplen funciones de misión crítica que no pueden tolerar ningún tiempo de
inactividad o para evitar la destrucción de evidencia digital potencial.
Sin embargo, si parece haber amenazas continuas basadas en la red para los dispositivos, es posible que el DEFR deba
decidir desconectar el dispositivo de la red para proteger la evidencia digital potencial.

Si el dispositivo conectado a la red es un sistema de CCTV, el DEFR debe anotar la cantidad de cámaras conectadas al sistema,
así como también cuáles de estas cámaras están funcionando activamente. El DEFR también debe anotar la marca, el modelo
y la configuración básica del sistema, como la configuración de visualización, la configuración de registro actual y la ubicación
de almacenamiento, de modo que si se deben realizar cambios para facilitar el proceso de recopilación y adquisición, entonces
es posible devolver el sistema a su estado original.

En la medida de lo posible, el estado de los dispositivos digitales debe permanecer como está. Generalmente, si los dispositivos
digitales están apagados, el DEFR no debe encenderlos y si están encendidos, el DEFR no debe apagarlos. Esto puede evitar
el espolio innecesario de posibles pruebas digitales. Un dispositivo que tiene baterías que pueden agotarse debe cargarse
para garantizar que la información no se pierda. El DEFR necesita identificar medios y cables de carga potenciales durante
esta fase. Si se va a transportar y examinar un dispositivo en una fecha futura indeterminada, puede ser apropiado apagarlo
para minimizar el potencial de daño a los datos contenidos en el dispositivo.

El DEFR también debe considerar el uso de un detector de señal inalámbrica para detectar e identificar una señal inalámbrica
de dispositivos inalámbricos que pueden estar ocultos. Puede haber casos en los que no se utilice el detector de señales
inalámbricas debido a limitaciones de tiempo y costo, y el DEFR debe documentar esto.

ISO/CEI 27037:2012(E)

7.2.2 Recolección, adquisición y conservación

7.2.2.1 Resumen

El DEFR debe decidir si recolectar o adquirir la evidencia digital potencial de los dispositivos digitales.
La elección debe equilibrarse con las circunstancias, el costo, el tiempo, los recursos disponibles y las prioridades.

Si el DEFR decide desconectar los dispositivos, el proceso para recolectar o adquirir la evidencia digital potencial seguirá como se
describe en la cláusula 5.4. En caso de que los dispositivos no se puedan desconectar de la red debido a la criticidad de su función o la
probabilidad de destrucción de evidencia digital potencial, el DEFR debe realizar una adquisición en vivo mientras los dispositivos
permanecen conectados a la red.

NOTA Es fundamental contar con procedimientos estándar sólidos que empleen herramientas validadas, junto con una buena documentación
y un DEFR capacitado y con experiencia.

La recopilación y adquisición de evidencia digital potencial de dispositivos móviles en red son complicadas porque pueden existir en
múltiples estados y modos de interacción, como Bluetooth, radiofrecuencia, pantalla táctil e infrarrojos. Además, los diferentes fabricantes
de dispositivos móviles utilizan diferentes tipos de sistemas operativos, lo que requiere diferentes métodos de adquisición de pruebas.
También existe una amplia gama de tarjetas de memoria que se utilizan con dispositivos móviles, y quitar estas tarjetas de memoria de
los dispositivos móviles encendidos puede interferir con los procesos en ejecución.

Por lo general, los dispositivos móviles, como las PDA y los teléfonos móviles, deben estar encendidos para adquirir posibles pruebas
digitales. Estos dispositivos pueden alterar continuamente su entorno operativo mientras están encendidos, por ejemplo, el temporizador
del reloj se puede actualizar. El problema asociado es que dos copias de evidencia digital del mismo dispositivo pueden no pasar las
funciones de verificación estándar, como el hashing. En esta situación, las funciones de verificación alternativas que identifiquen áreas en
común y/o diferencias pueden ser más apropiadas.
†††††††

Es importante que el DEFR no introduzca dispositivos WiFi o Bluetooth en la escena que puedan cambiar la información de
emparejamiento en posibles dispositivos probatorios. Esto es particularmente importante si el investigador necesita saber qué dispositivos
se han conectado.

Si el DEFR decidió seguir un proceso de adquisición, los dispositivos de red deben mantenerse en funcionamiento para un análisis más
detallado para determinar los otros dispositivos conectados a los dispositivos de red. El DEFR debe considerar la posibilidad de sabotaje
por parte del sospechoso a través de una conexión de red activa y decidir monitorear el sistema o desconectarlo.

7.2.2.2 Directrices para la recopilación de dispositivos en red

En algunas circunstancias, puede ser apropiado dejar los dispositivos en red conectados para que su actividad pueda ser monitoreada y
documentada por un DEFR y/o DES con la autoridad apropiada. Cuando esto no sea necesario, los dispositivos deben recogerse como
se describe a continuación:

El DEFR debe aislar el dispositivo de la red, cuando esté seguro de que esta acción no sobrescribirá ningún dato relevante y no se
producirá un mal funcionamiento en los sistemas importantes (como los sistemas de gestión de instalaciones en hospitales). Esto
se puede hacer desconectando las conexiones de red por cable al sistema telefónico o al puerto de red, o desactivando la conexión
al punto de acceso inalámbrico.

Antes de desconectar las redes cableadas, el DEFR debe rastrear las conexiones a los dispositivos digitales y etiquetar los puertos
para la futura reconstrucción de toda la red. Un dispositivo puede tener más de un método de comunicación. Por ejemplo, una
computadora puede tener LAN cableadas, un módem inalámbrico y tarjetas de telefonía móvil. Los PED también se pueden conectar
a la red a través de WiFi, conexiones Bluetooth o conexiones de red de telefonía móvil. El DEFR debe intentar identificar todos los
métodos de comunicación y realizar las actividades apropiadas para proteger contra la destrucción de evidencia digital potencial.

Tenga en cuenta que la desconexión de la alimentación de los dispositivos en red en este punto puede destruir datos volátiles, como
procesos en ejecución, conexiones de red y datos almacenados en la memoria. El sistema operativo host puede no ser confiable y
reportar información falsa. El DEFR debe capturar esta información utilizando

ISO/CEI 27037:2012(E)

métodos verificados antes de desconectar la alimentación de los dispositivos. Una vez que el DEFR esté seguro de que no se
perderá evidencia digital potencial como resultado, se pueden eliminar las conexiones de los dispositivos digitales.

Si la recopilación tiene prioridad sobre la adquisición y se sabe que el dispositivo contiene memoria volátil,
el dispositivo debe estar continuamente conectado a una fuente de alimentación.

Si el dispositivo móvil está apagado, empaque, selle y etiquete cuidadosamente el dispositivo. Esto es para evitar cualquier operación
accidental o deliberada de las teclas o botones. Como precaución, DEFR también debe considerar el uso de Faraday o cajas
blindadas.

En algunas circunstancias, los dispositivos móviles deben apagarse durante la recopilación para evitar que se modifiquen los datos.
Esto puede suceder a través de conexiones entrantes y salientes o comandos que pueden causar la destrucción de evidencia digital
potencial.

Posteriormente, cada dispositivo digital puede tratarse como si fuera un dispositivo independiente (consulte la cláusula 7.1) hasta que
se examine. Durante el examen, debe considerarse como un dispositivo en red.

NOTA Es posible implementar una forma de red utilizando dispositivos de almacenamiento extraíbles como medio de transmisión. El DEFR debe considerar si los
dispositivos que se recopilan pueden haber sido utilizados de esta manera y buscar información sobre los otros dispositivos en dicha red de zapatillas.

7.2.2.3 Directrices para la adquisición de dispositivos en red

En la situación en la que los dispositivos están conectados a una red, existe la posibilidad de que los dispositivos estén conectados a más
de una (1) red física y/o virtual. Por ejemplo, un dispositivo que parece tener una (1) conexión de red física visible puede, de hecho, estar
ejecutando una red privada virtual (VPN) y una máquina virtual con más de una (1) dirección IP. Como tal, antes de desconectar el
dispositivo de la red, el DEFR debe realizar una adquisición lógica de datos relacionados con la conexión de red lógica (p. ej., conectividad
†††††††
a Internet). Los datos relacionados incluyen, entre otros, la configuración de IP y las tablas de enrutamiento.

Para que un dispositivo de red deba estar continuamente encendido, se debe evitar que el dispositivo interactúe con la red de radio
inalámbrica, incluidos los dispositivos habilitados para GPS. El DEFR debe utilizar métodos permitidos por la legislación local para aislar
las señales de radio. Sin embargo, se debe tener cuidado para asegurarse de que el dispositivo tenga una fuente de alimentación
adecuada, ya que los métodos de aislamiento pueden hacer que use energía adicional en un intento de conectarse a una red.
Los métodos de aislamiento pueden incluir, entre otros, los siguientes:

Usar un dispositivo de interferencia que pueda bloquear la transmisión mediante la creación de una fuerte interferencia cuando el
dispositivo emite señales en el mismo rango de frecuencia que usan los dispositivos móviles.

NOTA 1 El uso de dispositivos de interferencia puede violar los requisitos legales en algunas jurisdicciones.

NOTA 2 El uso de dispositivos de interferencia puede afectar negativamente el comportamiento de los dispositivos electrónicos, como los equipos médicos.

Usar un área de trabajo blindada para realizar exámenes de manera segura en una ubicación fija. El blindaje se puede hacer para toda
el área de trabajo o mediante la instalación de una carpa de Faraday que permita la portabilidad. Sin embargo, introducir cables en
la tienda es problemático, ya que sin el aislamiento adecuado pueden comportarse como una antena, anulando el propósito de la
tienda. El espacio de trabajo también puede ser muy restrictivo.

Usar un área de trabajo blindada para realizar exámenes de manera segura en una ubicación fija. Se puede utilizar un espacio de
trabajo o contenedor blindado de radiofrecuencia (una jaula de Faraday) para evitar las conexiones a la red.

NOTA 3 Todos los métodos para bloquear el acceso inalámbrico a las redes deben validarse para su uso en las frecuencias apropiadas. Esta validación
debe extenderse a los cables que pasan a través del blindaje.

Usar una (U)SIM sustituta que imite la identidad del dispositivo original e impida el acceso a la red por parte del dispositivo. Estas
tarjetas pueden engañar al dispositivo para que las acepte como la (U)SIM original y permitir que los exámenes se realicen de
manera segura en cualquier lugar. La (U)SIM debe validarse para el dispositivo y la red antes de su uso.

ISO/CEI 27037:2012(E)

Deshabilite los servicios de red acordando con el proveedor de servicios móviles e identifique los detalles de los servicios que se
deshabilitarán (por ejemplo, el identificador del equipo, el identificador del suscriptor o el número de teléfono). Sin embargo, dicha
información no siempre está disponible cuando el proceso de coordinación y confirmación puede generar demoras.

El DEFR puede realizar una adquisición en vivo del dispositivo móvil antes de retirar la batería (por ejemplo, para acceder a la tarjeta SIM).
Esto se puede hacer para evitar la pérdida de información potencialmente importante en la memoria RAM del teléfono o para acelerar el
proceso de examen (por ejemplo, cuando se cree que el dispositivo puede estar protegido por un PIN y/o PUK que tomaría una cantidad
significativa de tiempo). tiempo de obtención).

NOTA 4 El DEFR debe garantizar que la recopilación y adquisición de evidencia digital potencial esté de acuerdo con las leyes y
regulaciones jurisdiccionales locales, según lo requieran las circunstancias específicas.

7.2.2.4 Directrices para la conservación de dispositivos en red

Debido a la naturaleza de los dispositivos digitales y la evidencia digital potencial, las pautas para la preservación de dispositivos en red son
similares a las de la preservación de computadoras, dispositivos periféricos y medios de almacenamiento digital. Consulte la cláusula 7.1.4
para obtener instrucciones detalladas sobre la conservación del dispositivo.

7.3 Recopilación, adquisición y conservación de CCTV

El DEFR debe entender que el enfoque para extraer secuencias de video de un sistema DVR CCTV integrado o basado en computadora es
diferente de la extracción de evidencia digital convencional de una computadora.
A continuación se presentan pautas específicas para la adquisición de evidencia digital potencial de los sistemas de CCTV:

Antes de que comience el proceso de adquisición, el DEFR primero debe determinar si el sistema documentó la secuencia de video de
interés. Posteriormente, el DEFR debe determinar el marco de tiempo de las secuencias de video requeridas y comparar el tiempo del
sistema con el tiempo correcto y anotar cualquier compensación. El DEFR también debe determinar qué cámaras se requieren y si se
†††††††

pueden adquirir por separado. El DEFR debe anotar la marca y el modelo del sistema. Esta información puede ser necesaria para
obtener el software de reproducción correcto.

El DEFR debe adquirir todas las grabaciones de cámara relevantes durante el tiempo de interés para preservar información de investigación
adicional que pueda desarrollarse más adelante. El DEFR debe anotar todas las cámaras conectadas a un sistema de CCTV y
determinar si están grabando activamente o no.

El DEFR debe determinar el tamaño de almacenamiento del sistema de CCTV, así como cuándo el sistema está programado para sobrescribir
la información de video. Esta información le permitirá al DEFR saber cuánto tiempo se retendrá la secuencia de video en el sistema antes de
que se pierda. Se deben tomar medidas para garantizar que la evidencia no se modifique. Para la evidencia de video digital, la protección
contra escritura debe estar en su lugar.

Hay algunas opciones que el DEFR puede elegir para adquirir evidencia digital potencial de CCTV
sistemas:

1) Adquiera los archivos de video escribiéndolos en un CD/DVD/disco Bluray, pero esto puede no ser práctico si el
El archivo de video es demasiado grande.

2) Adquiera los archivos de video escribiéndolos en un medio de almacenamiento externo.

3) Adquirir los archivos de video a través de una conexión de red. Esto puede estar disponible si el sistema de CCTV está equipado
con un puerto de red.

4) Use la función de exportación del sistema de CCTV a otros formatos de archivo (generalmente MPEG o AVI), que es una versión
comprimida del video. Esto solo debe usarse como último recurso, ya que la recompresión altera los datos originales y siempre
elimina los detalles de la imagen. No se recomienda basarse en datos recomprimidos para el examen si los datos originales
existen y están disponibles para el análisis.

NOTA 1 La calidad del metraje de video exportado puede no ser tan buena como el metraje original.

ISO/CEI 27037:2012(E)

5) Cuando no sea posible adquirir directamente una copia de prueba digital de los archivos en el dispositivo de grabación, el DEFR o
DES debe intentar adquirir una copia analógica de la salida analógica presente en el dispositivo de grabación original utilizando
un dispositivo de grabación analógico adecuado.

Al completar la adquisición, se debe verificar el archivo adquirido para confirmar que se ha adquirido el archivo correcto o la parte
correcta del archivo. El archivo también debe verificarse con el software del reproductor (para formatos de archivo de dispositivos
digitales) para su reproducción en otros sistemas; la mayoría de los sistemas de CCTV son propietarios y los archivos no
necesariamente se pueden reproducir con otro software del reproductor. El software de reproducción correcto puede estar disponible
para su descarga desde el sistema de CCTV al mismo tiempo que los datos.

El medio de almacenamiento digital que contiene el archivo adquirido debe tratarse como la copia maestra de evidencia digital. Si el
archivo se descargó en una computadora portátil o en una tarjeta de memoria/dispositivo USB, se debe hacer una copia maestra
permanente de estos lo antes posible.

Posteriormente, el DEFR debe reiniciar el sistema de CCTV si estaba apagado. Esto debe hacerse en
la presencia de la persona autorizada.

En circunstancias en las que no sea práctico realizar la adquisición en la escena, el DEFR puede tener que decidir recolectar los medios
de almacenamiento digital. Un método rápido es reemplazar el disco duro del sistema de CCTV con un disco duro en blanco o clonado. Sin
embargo, el DEFR debe evaluar varios riesgos antes de usar este método, como la compatibilidad del nuevo disco duro con el sistema y la
compatibilidad del disco duro extraído con otros sistemas para su examen.

NOTA 2 Algunos sistemas tienen un disco duro extraíble en un carrito, pero este disco duro puede requerir el hardware del sistema para
la reproducción.

Si ninguno de los métodos anteriores es posible, entonces todo el sistema de CCTV debe retirarse de la escena y el proceso de adquisición
debe llevarse a cabo nuevamente en el laboratorio forense. Este es el último recurso del DEFR y suponiendo que sea físicamente posible
hacerlo porque algunos sistemas de CCTV son extremadamente grandes y complejos. Nuevamente, el DEFR debe evaluar los riesgos de
†††††††

implicaciones legales y seguros antes de la remoción.

Debido a la naturaleza de los dispositivos digitales y la evidencia digital potencial, las pautas para la preservación de los sistemas de CCTV
son similares a las de la preservación de computadoras, dispositivos periféricos y medios de almacenamiento digital. Consulte la cláusula
7.1.4 para obtener orientación sobre la conservación del sistema CCTV.

ISO/CEI 27037:2012(E)

Anexo A
(informativo)

DEFR habilidades básicas y descripción de la competencia

Tabla A.1 — Ejemplos de descripciones de competencias

Descripciones Descripciones de competencias

Sin habilidades básicas
de habilidades básicas
conciencia (1) conocimiento (2) Habilidad (3)

1 Caracterizar el Usuario general de Registros y Análisis especial;

Identificación dispositivo digital, TI y administración en configuración del sistema/ interpretación de
de evidencia digital los componentes, múltiples tipos de aplicación; registros para la detección
la información que dispositivos de TI y identificación de de intrusos en la
pueda ayudar dispositivos de red; registros de identificación de otros
en la investigación y procedimientos aplicaciones y sistemas afectados
las leyes pertinentes de investigación sistemas, incluidos (algunas jurisdicciones
para el manejo de en la escena del registros de correo requieren la confirmación de
posibles pruebas crimen; determinación electrónico, la evidencia presente antes
digitales y delitos del estado del registros web, de la recopilación);
informáticos. dispositivo; valor de registros de acceso, identificar las contraseñas
Identificar los la información archivos de requeridas para los
requisitos de probatoria; contraseña, archivos dispositivos
herramientas para información y sysconfig, información respectivos antes de la
†††††††

la recopilación y dispositivos de IP del host; funcionalidad recopilación; identificar el

adquisición de datos relacionados con el análisis forense de redes.
y dependencia del diagrama de red y
y dispositivos y la evaluación de riesgos. dispositivo; capacidad los mecanismos de control
para comprender el impacto ende
evidencia
acceso volátil y no volátil.
para comprender
las dependencias; vincular
direcciones IP y direcciones MAC para l

2 Requerimientos de Seguridad general Formular y ejecutar Optimización del

Recolección de la recopilación de procesos de cobranza; proceso de cobranza;
de evidencia digital herramientas e datos; principios y Recolectar evidencia; documentar pruebas que
implementación de diseño de generar documentos de no se pueden
empaque de herramientas básicas; prueba; adquirir debido a
evidencia digital, determinar el mejor cadena de custodia de diversas limitaciones;
protección contra método de recolección para evidencia; control de calidad recopilar contraseñas,
amenazas preservar del proceso de claves, dongles y otra
ambientales. Las la máxima recolección de evidencia; información necesaria
áreas cubiertas incluyen información
información entrevistar al sospechoso. para realizar análisis en
garantía. relevante al el laboratorio.
incidente.

3 Aplicar los Comprender la Saber determinar Capacidad para realizar

Adquisición requisitos de información los requisitos de la adquisición de medios
de evidencia digital adquisición de disponible en dispositivos almacenamiento; de almacenamiento
evidencia digitales, ejecutar el digital, incluidos
digital potencial bases de datos, procedimiento RAID, bases de datos,
en forma lógica, documentos de adquisición de dispositivos y
asegurando generados por el imágenes (por ejemplo, dispositivos miniaturizados;
repetibilidad, sistema, datos adquisición parcial comprender las
auditabilidad, generados por el usuario y datos volátiles;
y total de medios dependencias y el
reproducibilidad y Estructuras de archivos de impacto en los diferentes métodos de a
defensa. Las áreas del sistema almacenamiento
cubiertas son Unix y Windows y digital); adquisición realizada en un sistema encendido,

ISO/CEI 27037:2012(E)

Descripciones Descripciones de competencias

Sin habilidades básicas
de habilidades básicas
Conciencia (1) Conocimiento (2) Habilidad (3)

adquisición adquisición
realizada en un electrodomésticos; realizada en un
sistema conocimiento del sistema apagado;
encendido, impacto en los datos volátiles.
generación
adquisición de valor hash.
realizada en un
sistema
apagado y
análisis forense de red.

4 Aplicar y evaluar los Comprender Knowhow en la Aplicar medidas para

Preservación requisitos para la los requisitos y generación de asegurar la
de evidencia digital preservación de la procedimientos documentos de evidencia digital, en forma
evidencia digital para el mantenimiento auditoría de evidencia; de dispositivos grandes
potencial, de la cadena de definir parámetros a dispositivos portátiles
comprender custodia frente para miniaturizados;
los factores y a los requisitos documentos; procedimiento
parámetros legales; impacto aseguramiento de la para documentar los
que influyen en ambiental como seguridad de la detalles de las pruebas.
su precisión. Las humedad, información, amenazas,
áreas cubiertas temperatura y golpes vulnerabilidad y controles para la evidencia digital.
son metodología, hacia el dispositivo
mantenimiento de la digital; comprender
cadena de custodia, las opciones
††††††† manejo de dispositivos de embalaje, los
informáticos y requisitos de
manejo de medios transporte
de almacenamiento digital. y almacenamiento.

Cuadro A.2 — Definición de competencias

1 Conciencia Reconocer, identificar preguntar cuando se necesita ayuda

2 Conocimiento Adquirido a través de capacitación formal o trabajo en equipo. Contribuir, participar hacer con
ayuda

Experiencia comprobada de habilidades a través de la aplicación en el entorno de trabajo. Funciona sin

3
supervisión. Aplicar, demostrar hacer sin ayuda.

NOTA La competencia de un DEFR puede variar de una jurisdicción a otra.

ISO/CEI 27037:2012(E)

Anexo B
(informativo)

Requisitos mínimos de documentación para la transferencia de pruebas

El DEFR debe ser responsable de los datos adquiridos y los dispositivos digitales en todo momento mientras estén bajo su custodia.
Para mantener este control, el DEFR debe estar debidamente autorizado, capacitado y calificado.
Sin embargo, dado que la ley local es un factor determinante en la capacidad de un DEFR para cumplir con los tres requisitos
esperados, la competencia de un DEFR puede variar de una jurisdicción a otra. Como resultado, es posible que los requisitos de
documentación para la transferencia de evidencia digital entre jurisdicciones no sean iguales en diferentes jurisdicciones.

En consecuencia, se debe especificar un conjunto mínimo de requisitos de documentación para facilitar el intercambio entre
jurisdicciones de posibles pruebas digitales. Estos requisitos de documentación deben considerarse con los puntos de documentación
mencionados en la cláusula 6.6. Dado que esta Norma Internacional no reemplaza los requisitos legales específicos de ninguna
jurisdicción, sirve como una guía práctica para la transferencia de evidencia digital potencial a través de fronteras jurisdiccionales.

La documentación mínima a comunicar es:

 el nombre y la dirección de la autoridad pertinente;  una

declaración de la autorización, formación y cualificación del DEFR;  el propósito del
examen;  qué acciones se llevaron a cabo;
quién hizo qué y cuándo;  la cadena de
custodia correspondiente a la
†††††††

investigación específica;  una lista descriptiva de posibles pruebas digitales

y medios de almacenamiento digital recopilados y adquiridos; e  información sobre cualquier examen, prueba o investigación
utilizada para crear la copia de prueba

Los requisitos específicos de la jurisdicción pueden incluir lo siguiente:

 si la evidencia se considera una opinión pericial, el reconocimiento del Testigo experto pertinente
Código de conducta; y 
una orden judicial que especifique qué documentación debe transferirse y el motivo de la
transferir.

ISO/CEI 27037:2012(E)

Bibliografía

[1] ILAC–G19:2002. Directrices para laboratorios de ciencias forenses. Disponible en: www.ilac.org/documents/
g19_2002.pdf

[2] IOCE, G8 propuso principios para los procedimientos relacionados con la evidencia digital. Disponible
de: http://ioce.org/core.php?ID=5

[3] ISO/IEC 15489:2001, Información y documentación — Gestión de registros

[4] ISO/IEC 17024:2003, Evaluación de la conformidad. Requisitos generales para los organismos que operan
certificación de personas

[5] ISO/IEC 17043:2010, Evaluación de la conformidad. Requisitos generales para los ensayos de aptitud.

[6] ISO/IEC 27001, Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la
información. Requisitos.

[7] ISO/IEC 27002, Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la
información. Código de prácticas para la gestión de la seguridad de la información.

[8] ISO/IEC 247601, Tecnología de la información. Técnicas de seguridad. Un marco para la identidad.
gestión — Parte 1: Terminología y conceptos

[9] ISO/IEC 27031:2010, Tecnología de la información. Técnicas de seguridad. Directrices para las TIC.
preparación para la continuidad del negocio
†††††††

[10] ISO/IEC 27035:2011, Tecnología de la información. Técnicas de seguridad. Gestión de incidentes de seguridad
de la información.

[11] Normas de acreditación académica y CPD de la Sociedad de Ciencias Forenses. Disponible en: http://
www.forensicsciencesociety.org.uk

[12] Directrices para la recopilación y archivo de pruebas. Disponible en: http://www.ietf.org/rfc/rfc3227.txt

†††††††

ISO/CEI 27037:2012(E)

†††††††

ICS 035.040
Precio basado en 38 páginas

††††††

Génova, 6 [email protected] Teléfono: 902 102

28004 MADRIDEspaña www.aenor.es 201 Fax: 913 104 032

19/04/2023; Este documento ha sido adquirido por: UNIVERSIDAD INTERNACIONAL DE LA RIOJA a través de la suscripción
AENORmás. Para uso en red interna se requiere autorización previa de AENOR.

También podría gustarte

ISO 71505-1.evidencias Electronicas
Aún no hay calificaciones
ISO 71505-1.evidencias Electronicas
10 páginas
UNE 71506 - Metodología para El Analisis Forense de Evidencia Electronica
Aún no hay calificaciones
UNE 71506 - Metodología para El Analisis Forense de Evidencia Electronica
24 páginas
ISO IEC 27037-2012 Es
Aún no hay calificaciones
ISO IEC 27037-2012 Es
48 páginas
Iso 27042
Aún no hay calificaciones
Iso 27042
9 páginas
Jurisprudencia sobre Libertad Condicional
Aún no hay calificaciones
Jurisprudencia sobre Libertad Condicional
133 páginas
Apuntes de Derecho Penal II Parte General Oscar Rodriguez Kennedy, Myriam Rodriguez Kennedy
Aún no hay calificaciones
Apuntes de Derecho Penal II Parte General Oscar Rodriguez Kennedy, Myriam Rodriguez Kennedy
543 páginas
Módulos de Derecho Penal: Parte General
Aún no hay calificaciones
Módulos de Derecho Penal: Parte General
136 páginas
Indemnizaciones y Art. 17 D.S. 024 MTC
Aún no hay calificaciones
Indemnizaciones y Art. 17 D.S. 024 MTC
36 páginas
Análisis del Delito de Defraudación Tributaria
Aún no hay calificaciones
Análisis del Delito de Defraudación Tributaria
699 páginas
Proyecto de Ley Agente Encubierto Digital
Aún no hay calificaciones
Proyecto de Ley Agente Encubierto Digital
6 páginas
Guía de Estudio: Derecho Penal General
Aún no hay calificaciones
Guía de Estudio: Derecho Penal General
44 páginas
4 - Legislacion
Aún no hay calificaciones
4 - Legislacion
45 páginas
Filosofía del Castigo Penal
Aún no hay calificaciones
Filosofía del Castigo Penal
3 páginas
Delitos Aeronáuticos y su Regulación
100% (1)
Delitos Aeronáuticos y su Regulación
26 páginas
Manual de Informática Forense - GCJ
Aún no hay calificaciones
Manual de Informática Forense - GCJ
24 páginas
Tratado Constitutivo de La Comunidad Europea Del Carbón y Del Acero
Aún no hay calificaciones
Tratado Constitutivo de La Comunidad Europea Del Carbón y Del Acero
6 páginas
Elementos Subjetivos en Delitos Penales
100% (1)
Elementos Subjetivos en Delitos Penales
2 páginas
Desalojo y Otras Acciones - Enrique Aron Kopansky
Aún no hay calificaciones
Desalojo y Otras Acciones - Enrique Aron Kopansky
21 páginas
Ley 26.425: Unificación Previsional
100% (6)
Ley 26.425: Unificación Previsional
508 páginas
Guía para Prueba Digital Judicial
Aún no hay calificaciones
Guía para Prueba Digital Judicial
116 páginas
Jurisprudencia Hondureña Sobre Coautor Por Codominio Funcional Del Hecho
Aún no hay calificaciones
Jurisprudencia Hondureña Sobre Coautor Por Codominio Funcional Del Hecho
14 páginas
Tratados sobre Trata de Personas en Argentina
Aún no hay calificaciones
Tratados sobre Trata de Personas en Argentina
46 páginas
Sarrabayrouse, Facundo, Análisis Jurídico Penal de Las Triangulaciones en El Comercio Internacional
Aún no hay calificaciones
Sarrabayrouse, Facundo, Análisis Jurídico Penal de Las Triangulaciones en El Comercio Internacional
22 páginas
Luzón Peña - Imputación Objetiva
Aún no hay calificaciones
Luzón Peña - Imputación Objetiva
45 páginas
DDJJ/ PLANILLA para COMERCIO - OBRAS PRIVAS Y USO DE SUELO MUNICIPALIDAD DE CORDOBA
Aún no hay calificaciones
DDJJ/ PLANILLA para COMERCIO - OBRAS PRIVAS Y USO DE SUELO MUNICIPALIDAD DE CORDOBA
2 páginas
Protocolo de Evidencia Digital en Ciberdelitos
Aún no hay calificaciones
Protocolo de Evidencia Digital en Ciberdelitos
33 páginas
Guía de Secuestro de Evidencia Digital
Aún no hay calificaciones
Guía de Secuestro de Evidencia Digital
18 páginas
Acuerdo de Escazú y Derecho Ambiental
Aún no hay calificaciones
Acuerdo de Escazú y Derecho Ambiental
6 páginas
Jean Manuel Vallejo - Cuestiones D° Penal
Aún no hay calificaciones
Jean Manuel Vallejo - Cuestiones D° Penal
125 páginas
Codigo Procesal Penal Federal - Tomo 2 - La Rosa - Villanueva
Aún no hay calificaciones
Codigo Procesal Penal Federal - Tomo 2 - La Rosa - Villanueva
481 páginas
Legítima Defensa y Derecho Penal del Enemigo
Aún no hay calificaciones
Legítima Defensa y Derecho Penal del Enemigo
38 páginas
El Dilema de La Modernizacion en El Campo Laboral
Aún no hay calificaciones
El Dilema de La Modernizacion en El Campo Laboral
116 páginas
Introducción a la Criminalística
Aún no hay calificaciones
Introducción a la Criminalística
9 páginas
Modificaciones del Código Penal en Ciberdelitos
Aún no hay calificaciones
Modificaciones del Código Penal en Ciberdelitos
25 páginas
Seguridad Documental: Escritura y Firma
Aún no hay calificaciones
Seguridad Documental: Escritura y Firma
499 páginas
Examen Trabajo Práctico 1 Derecho Penal
Aún no hay calificaciones
Examen Trabajo Práctico 1 Derecho Penal
9 páginas
Manual de Procedimientos Cadena de Custodia
Aún no hay calificaciones
Manual de Procedimientos Cadena de Custodia
150 páginas
Delación y Arrepentidos en Argentina
100% (1)
Delación y Arrepentidos en Argentina
21 páginas
Vazquez Posada
100% (1)
Vazquez Posada
517 páginas
Codigo Penal Ley 26683
Aún no hay calificaciones
Codigo Penal Ley 26683
16 páginas
Desalojo por Ocupación Precaria en Lima
Aún no hay calificaciones
Desalojo por Ocupación Precaria en Lima
166 páginas
Delitos Informáticos y Legislación Argentina
Aún no hay calificaciones
Delitos Informáticos y Legislación Argentina
37 páginas
Guia para La Admisibilidad de Evidencia Digital
Aún no hay calificaciones
Guia para La Admisibilidad de Evidencia Digital
124 páginas
Curso de Derecho Penal Económico 2011-2012
Aún no hay calificaciones
Curso de Derecho Penal Económico 2011-2012
12 páginas
Principios y Garantías en el Proceso Penal
100% (3)
Principios y Garantías en el Proceso Penal
32 páginas
Objeto y tema de la prueba judicial
Aún no hay calificaciones
Objeto y tema de la prueba judicial
24 páginas
Axiomas Del Derecho
Aún no hay calificaciones
Axiomas Del Derecho
6 páginas
Doctrina. Regulación Fintech en Argentina
100% (1)
Doctrina. Regulación Fintech en Argentina
8 páginas
Resumen Bazterrica
100% (1)
Resumen Bazterrica
1 página
Derecho Procesal Penal 6 - Binder Alberto M
Aún no hay calificaciones
Derecho Procesal Penal 6 - Binder Alberto M
790 páginas
Ley 7819 de San Juan
Aún no hay calificaciones
Ley 7819 de San Juan
46 páginas
Nuevo Código Procesal Civil 2022
Aún no hay calificaciones
Nuevo Código Procesal Civil 2022
125 páginas
Documento - Alimentos y Criptoactivos
Aún no hay calificaciones
Documento - Alimentos y Criptoactivos
9 páginas
Norma Iso-Iec 27037 de 2012
Aún no hay calificaciones
Norma Iso-Iec 27037 de 2012
52 páginas
1 La Norma ISO-IEC 27037 - 2012 Analisis de Contenido
Aún no hay calificaciones
1 La Norma ISO-IEC 27037 - 2012 Analisis de Contenido
1 página
Iram-Iso-Iec 27037 2022
Aún no hay calificaciones
Iram-Iso-Iec 27037 2022
57 páginas
Iso 27037
Aún no hay calificaciones
Iso 27037
3 páginas
(Ex) Une-En Iso (Iec 27001 2023 (A1 2024
100% (1)
(Ex) Une-En Iso (Iec 27001 2023 (A1 2024
4 páginas
Nte Inen Iso Iec 27018
100% (1)
Nte Inen Iso Iec 27018
11 páginas
Planificación de Capacidad en Producción
Aún no hay calificaciones
Planificación de Capacidad en Producción
6 páginas
Instalación de Sistema Operativo Paso A Paso
Aún no hay calificaciones
Instalación de Sistema Operativo Paso A Paso
18 páginas
DV 5950
Aún no hay calificaciones
DV 5950
375 páginas
Inscripción Universidad Técnica Manabí S1-2024
Aún no hay calificaciones
Inscripción Universidad Técnica Manabí S1-2024
1 página
Amazon: Compras y Servicios en Línea
Aún no hay calificaciones
Amazon: Compras y Servicios en Línea
3 páginas
Informe sobre Servicio Tecnológico MINEDU
Aún no hay calificaciones
Informe sobre Servicio Tecnológico MINEDU
30 páginas
Evaluación de Protocolo de Seguridad Informática
Aún no hay calificaciones
Evaluación de Protocolo de Seguridad Informática
2 páginas
Preguntas Frecuentes GeoVictoria Webinar
Aún no hay calificaciones
Preguntas Frecuentes GeoVictoria Webinar
27 páginas
Mantenimiento Correctivo de Impresoras Matriz de Punto
Aún no hay calificaciones
Mantenimiento Correctivo de Impresoras Matriz de Punto
16 páginas
Como Desencriptar Ehi
0% (1)
Como Desencriptar Ehi
5 páginas
Guía Práctica de Arquitectura de Computadores
Aún no hay calificaciones
Guía Práctica de Arquitectura de Computadores
20 páginas
Proceso de Ciberseguridad: Guía Metodológica para Su Implementación
Aún no hay calificaciones
Proceso de Ciberseguridad: Guía Metodológica para Su Implementación
11 páginas
Implementación de Scrum en Software
Aún no hay calificaciones
Implementación de Scrum en Software
10 páginas
PDF. Acceso A Datos. Tema 2
Aún no hay calificaciones
PDF. Acceso A Datos. Tema 2
13 páginas
Análisis de Quejas en Digital GrownUP
Aún no hay calificaciones
Análisis de Quejas en Digital GrownUP
4 páginas
Texto Argumentativo Sobre Las Redes Sociales
Aún no hay calificaciones
Texto Argumentativo Sobre Las Redes Sociales
2 páginas
PAQUETES 1 CONTABLES Y TRIBUTARIOS 1ro CONTABILIDAD
Aún no hay calificaciones
PAQUETES 1 CONTABLES Y TRIBUTARIOS 1ro CONTABILIDAD
2 páginas
Actividad 4 - Informaticad
Aún no hay calificaciones
Actividad 4 - Informaticad
9 páginas
Guía de Estudio para La Certificación de Lenovo Data Center
Aún no hay calificaciones
Guía de Estudio para La Certificación de Lenovo Data Center
2 páginas
Reingeniería del Sistema de Archivo Clínico
Aún no hay calificaciones
Reingeniería del Sistema de Archivo Clínico
17 páginas
Instrucciones para Excel: Actividades Básicas
0% (1)
Instrucciones para Excel: Actividades Básicas
31 páginas
Listas de Chequeo para Validación GA4
Aún no hay calificaciones
Listas de Chequeo para Validación GA4
6 páginas
Manual Acceso VPN Anyconnect
Aún no hay calificaciones
Manual Acceso VPN Anyconnect
40 páginas
Ataques A Aplicaciones y Servicios
Aún no hay calificaciones
Ataques A Aplicaciones y Servicios
4 páginas
Solucionario de Examen Sustitutorio
Aún no hay calificaciones
Solucionario de Examen Sustitutorio
9 páginas
Entregable 2
Aún no hay calificaciones
Entregable 2
15 páginas
Curso Configuración IEDs con PCM600
Aún no hay calificaciones
Curso Configuración IEDs con PCM600
1 página
BASICO Uso de Driver L298N para Motores DC y Paso A Paso Con Arduino
Aún no hay calificaciones
BASICO Uso de Driver L298N para Motores DC y Paso A Paso Con Arduino
4 páginas
Crucigrama Temático de Windows
50% (10)
Crucigrama Temático de Windows
11 páginas
Cuestionario de Ofimática 3
Aún no hay calificaciones
Cuestionario de Ofimática 3
7 páginas

Iso 27037

Cargado por

Iso 27037

Cargado por

Machine Translated by Google

norma UNE­EN ISO/IEC 27037:2016

TÍTULO Tecnología de la información. Técnicas de seguridad.

TÍTULO INGLÉS Tecnologías de la información ­ Técnicas de seguridad ­ Directrices para la identificación,

Este documento está disponible en los idiomas oficiales de CEN/CENELEC/ETSI.

2016. Derechos de reproducción reservados a los Miembros de CEN.

ESTÁNDAR EUROPEO EN ISO/CEI 27037

Tecnología de la información ­ Técnicas de seguridad ­

Esta norma europea fue aprobada por el CEN el 19 de junio de 2016.

COMITÉ EUROPEO DE NORMALIZACIÓN

Centro de Gestión CEN­CENELEC: Avenue Marnix 17, B­1000 Bruselas

EN ISO/IEC 27037:2016 (E)

Prólogo europeo ................................................. .................................................... .................................................... ... 3

EN ISO/IEC 27037:2016 (E)

Prólogo .................................................. .................................................... .................................................... ........ v

Introducción ................................................. .................................................... .................................................... .vi

4 Términos abreviados .................................................. .................................................... ............................. 4

© ISO/IEC 2012 – Todos los derechos reservados iii

7.1.3 Adquisición .............................................. .................................................... ..........................................25 7.1.4

Anexo A (informativo) DEFR habilidades básicas y descripción de competencias ....................................... .............35

Anexo B (informativo) Requisitos mínimos de documentación para el traslado de pruebas ..................37

Bibliografía .................................................. .................................................... ..........................................................38

IV © ISO/IEC 2012 – Todos los derechos reservados

© ISO/IEC 2012 – Todos los derechos reservados v

vi © ISO/IEC 2012 – Todos los derechos reservados

© ISO/IEC 2012 – Todos los derechos reservados viii

ESTÁNDAR INTERNACIONAL ISO/CEI 27037:2012(E)

Tecnología de la información. Técnicas de seguridad. Directrices para

Sistemas de navegación móvil,

Cámaras fotográficas y de video digitales (incluyendo CCTV),

Ordenador estándar con conexiones de red,

Redes basadas en TCP/IP y otros protocolos digitales, y

Dispositivos con funciones similares a las anteriores.

NOTA 1 La lista anterior de dispositivos es una lista indicativa y no exhaustiva.

© ISO/IEC 2012 – Todos los derechos reservados 1

NOTA El producto de una adquisición es una posible copia de evidencia digital.

2 © ISO/IEC 2012 – Todos los derechos reservados

[Adaptado de ISO/IEC 10027:1990]

NOTA La copia bit a bit también se denomina copia física.

© ISO/IEC 2012 – Todos los derechos reservados 3

circuito cerrado de televisión Circuito cerrado de televisión

ADN Ácido desoxirribonucleico

DESFR Primera respuesta de evidencia digital

DES Especialista en Evidencia Digital

DVD Vídeo digital/disco versátil

4 © ISO/IEC 2012 – Todos los derechos reservados

ESN Número de serie electrónico

GPS Sistema de Posicionamiento Global

G/M Sistema Global de Comunicación Móvil

IMEI La Identidad de Equipo Movil Internationacional

ISIRT Equipo de respuesta a incidentes de seguridad de la información

LAN Red de área local

MD5 Algoritmo de resumen de mensajes 5

MP3 Capa 3 de audio MPEG

MPEG Grupo de expertos en imágenes en movimiento

NAS Almacenamiento conectado a la red

PDA Asistente personal digital

DEP Dispositivo electrónico personal

ALFILER Número de identificación personal

PUK Clave de desbloqueo de PIN

REDADA Matriz redundante de discos independientes

RAM Memoria de acceso aleatorio

rfid Identificación de frecuencia de radio

SAN Red de área de almacenamiento

SHA Algoritmo hash seguro

USB Bus serie universal

UPS Fuente de poder ininterrumpible

USIM Módulo de identidad de suscriptor universal

Wifi Fidelidad inalámbrica

© ISO/IEC 2012 – Todos los derechos reservados 5

5.1 Contexto para recopilar evidencia digital

5.2 Principios de la evidencia digital

regulaciones jurisdiccionales locales, según lo requieran las circunstancias específicas.

a) documentar todas las acciones;

5.3 Requisitos para el manejo de evidencia digital

6 © ISO/IEC 2012 – Todos los derechos reservados

norma UNEEN ISO/IEC 27037:2016

TÍTULO INGLÉS Tecnologías de la información Técnicas de seguridad Directrices para la identificación,

Tecnología de la información Técnicas de seguridad

Centro de Gestión CENCENELEC: Avenue Marnix 17, B1000 Bruselas