Ensayo Resumen ISO 27037
ALEXIS MEJIA GIRALDO
Policía Nacional
Dirección Nacional De Escuelas
Escuela De Tecnologías De La Información Y Las Telecomunicaciones
Especialización en Informática Forense
Recolección y preservación de la Evidencia Digital
Docente FABIÁN GIOVANNI GONZÁLEZ ROBAYO
25 de agosto de 2022
ISO 27037 DE 2012
Ensayo - Resumen
La norma ISO 27037 de 2012 contiene lineamientos para el tratamiento de la evidencia digital
muy claros, los cuales están enfocados o contenidos en cuatro fases principales:
1.
2.
3.
4.
Identificación
Recolección
Adquisición
Preservación
Estas fases a su vez están encaminadas a conservar la integridad de la evidencia digital por
medio de procesos minuciosos que garantizan un resultado óptimo para aquellos usuarios
que sigan la metodología propuesta en la ISO 27037.
Específicamente, en este trabajo se hará referencia a tres temas puntuales de la norma, como
son:
a) Los componentes clave de identificación, recolección, la adquisición y la preservación
de evidencia digital
b) Las instancias de identificación, recolección, la adquisición y la preservación
c) Los requisitos mínimos de documentación para la transferencia de pruebas
Los componentes clave de identificación, recolección, la adquisición y la
preservación de evidencia digital
Este capítulo de la norma 27037 hace referencia a la cadena de custodia y al papel
fundamental de la misma en el tratamiento de incidentes con evidencia digital, estableciendo
parámetros específicos en el procesamiento de lugares de los hechos para incidentes
digitales.
Ahora bien, ¿qué es la cadena de custodia? De acuerdo a la definición dada por la Fiscalía
General de la Nación en el Manual del Sistema de Cadena de Custodia, “es un proceso
continuo y documentado aplicado a los EMP y EF, por parte de los servidores públicos y
particulares que con ocasión a sus funciones deban garantizar su autenticidad y capacidad
demostrativa, mientras que la autoridad competente ordena su disposición final.” (Fiscalía
General de la Nación, 2018:11).
Así pues, la cadena de custodia es una serie de documentos que se diligencian en el lugar de
los hechos con los datos de todas aquellas personas presentes en el mismo y que de una u
otra manera, tuvieron acceso o estuvieron en contacto con el lugar y las evidencias digitales;
de igual forma se relacionan y describen las evidencias, así como su posterior manejo una
vez se termina de procesar dicho lugar.
La cadena de custodia tiene por objeto la preservación de las evidencias digitales, así como
su óptimo manejo y preservación segura para su posterior análisis, consulta o debate
probatorio.
Por otro lado, dentro de los componentes clave de identificación, recolección, adquisición y
preservación de la evidencia digital, la ISO 27037 establece unas actividades a realizar en el
lugar de los hechos tendientes a asegurar y proteger la evidencia digital, para su posterior
recolección de forma segura y limpia.
Dentro de esas actividades tenemos:
✓ Tomar precauciones con el personal residente en el lugar de la diligencia, el cual debe
ser relacionado en documentos pertinentes, y ser apartado de los aparatos y cables,
logrando aislar el lugar.
✓ Tomar precauciones con los equipos o dispositivos encendidos o apagados a fin de
evitar pérdida o alteración de información valiosa.
✓ Planear la actividad a realizar estableciendo perfiles y funciones, prestando especial
atención a la seguridad personal.
✓ Evaluación de métodos de adquisición de evidencia.
✓ Documentación de personas, evidencias y a acciones realizadas.
✓ Captura de información que pueda perderse al eliminar fuentes de alimentación.
✓ Preservación de evidencia, medios de recolección, embalaje, transporte y
almacenamiento.
Las instancias de identificación, recolección, la adquisición y la preservación
Este aparte de la norma hace referencia a los dispositivos periféricos, su identificación y
tratamiento, en el proceso de obtención de la evidencia digital. De igual forma establece un
protocolo de manejo similar al de los equipos de cómputo, como son: no encender o no apagar
según su estado original y emplear un detector de señales inalámbricas, entre otras.
También se hace referencia a la recolección de información realizada a personas encargadas
de realizar mantenimiento, brindar soporte y realizar instalación de equipos, los cuales pueden
tener información de relevancia para el posterior análisis de la evidencia digital, como
contraseñas y configuración de sistema. Es de resaltar que todas las declaraciones deben
quedar documentadas en debida forma.
Así mismo, este capítulo realiza una mención especial, extensa y detallada en cuanto a la
recolección de evidencia proveniente de dispositivos digitales, y establece una línea base de
trabajo con dichos dispositivos, mencionando que es deber del funcionario encargado de
realizar la tarea, de realizar un estudio in situ e inmediato acerca de la mejor forma de realizar
la recolección de la información, pues si bien, existe una guía de actuación establecida, esta
no es aplicable a todos los casos por igual, dadas las características de los medios digitales
y el avance continuo de la tecnología, razón por la cual, el funcionario está en la obligación
de mantenerse en constante y progresiva actualización.
Los requisitos mínimos de documentación para la transferencia de pruebas
En cuanto a los requisitos para la transferencia de evidencia digital de una entidad a otra o de
un lugar a otro, que involucre diferentes jurisdicciones y el cambio de custodio, la norma
establece unos criterios a cumplir por los funcionarios encargados de la vigilancia de la
evidencia digital; sin embargo, la norma ISO 27037 es clara en cuanto a que cada país tiene
su propia legislación y que dicha norma no es de aplicación obligatoria si va en contravía de
los postulados legales de un estado, por el contrario, la norma proporciona una guía que
facilita el traslado de lugar de la evidencia digital, garantizando la continuidad de la cadena de
custodia, y el aseguramiento de dicha evidencia digital.
Como requisitos sugeridos por la ISO 27037, tenemos los siguientes:
✓ Identificación de la autoridad competente que proporciona la autorización para el
traslado de la evidencia digital, la cual debe contener los datos generales de Ley.
✓ Autorización escrita y firmada, dirigida al funcionario encargado de la custodia de la
evidencia digital.
✓ El propósito del examen a realizar a la evidencia digital y para lo cual se requiere su
traslado.
✓ Descripción de las actividades que se llevaron a cabo con la evidencia digital, así como
quien las realizó, qué realizó y cuando fueron realizadas.
✓ Diligenciamiento de la cadena de custodia.
✓ Listado de las pruebas digitales obtenidas como resultado de las actividades de
análisis, así como los medios digitales usados en el proceso.
✓ información detallada sobre los exámenes practicados a la evidencia digital.
Conclusiones
Finalmente, se puede afirmar que la ISO 27037 proporciona una guía completa acerca del
manejo de la evidencia digital, desde su hallazgo hasta su disposición final, proporcionando
elementos importantes que vinculan en todo momento al personal experto que participa en la
identificación, recolección, adquisición y preservación de la evidencia.
La ISO 27037 suministra las funciones específicas del personal experto y da las
recomendaciones necesarias para que los mismos eviten la interacción con la evidencia digital
original, imparte recomendaciones para documentar todo lo que se haga con la misma, y hace
claridad en cuanto a su manejo eficiente e inmediato, pero siempre observando, acatando y
respetando la legislación de cada país, sin extralimitarse en sus funciones.
Referencias y bibliografía
✓ Fiscalía General de la Nación (2018). Manual del sistema de cadena de custodia.
✓ ISO, Ginebra (2012). Estándar internacional ISO/IEC 27037.