Skip to content
Ciberseguridad

El Estándar ISO/IEC 27037 y la Evidencia Digital

22 de febrero de 2026
El Estándar ISO/IEC 27037 y la Evidencia Digital

Comparte esta entrada:

Compartir en WhatsApp Compartir en Telegram Compartir en LinkedIn Compartir en Pinterest
imagen 1
El Estándar ISO/IEC 27037 y la Evidencia Digital 3

El Estándar ISO/IEC 27037: Marcos Normativos, Metodologías El Estándar ISO/IEC 27037en la Ciberseguridad Global

Raymond Orta Martínez, Abogado, Perito en Inform{atica Forense

Introducción al Ecosistema de la Evidencia Digital y la Génesis del Estándar

En el entorno globalizado, hiperconectado y tecnológicamente dependiente de la actualidad, el cibercrimen y los incidentes críticos de seguridad de la información han trascendido las fronteras jurisdiccionales tradicionales. Este fenómeno ha creado un ecosistema legal y técnico donde la evidencia digital se erige frecuentemente como el único hilo conductor objetivo entre un actor de amenazas, un vector de ataque y un acto ilícito consumado.1 La volatilidad intrínseca de los datos informáticos, sumada a la complejidad técnica de las infraestructuras de red modernas, exige un enfoque metodológico riguroso, inmutable y estandarizado para la gestión probatoria. En respuesta directa a esta necesidad crítica de las agencias de aplicación de la ley, los sistemas judiciales y las corporaciones multinacionales, la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), operando bajo la supervisión técnica y directiva del comité conjunto ISO/IEC JTC1/SC 27, promulgaron en el año 2012 el estándar ISO/IEC 27037.2

Este documento normativo fundamental, cuyo título oficial se traduce como «Tecnología de la información – Técnicas de seguridad – Directrices para la identificación, recolección, adquisición y preservación de evidencia digital», establece las pautas universales para las actividades específicas en el manejo inicial de datos que puedan tener un valor probatorio determinante.1 Confirmado y ratificado como plenamente vigente y actualizado en revisiones sistemáticas posteriores, incluyendo su validación en 2018 y su adopción por entidades nacionales como AENOR en España (UNE-EN ISO/IEC 27037:2016), el estándar ha cimentado las bases de la disciplina forense digital moderna.2

El propósito axiomático del estándar ISO/IEC 27037 es garantizar la confiabilidad, credibilidad e integridad absoluta de la evidencia digital, facilitando de este modo su admisibilidad sin fricciones en procedimientos legales complejos, acciones disciplinarias corporativas internas y procesos de arbitraje internacional.1 A diferencia de la evidencia física tradicional, que a menudo presenta un estado de inercia y permanencia, la evidencia digital —definida formalmente en el estándar como información o datos almacenados o transmitidos en forma binaria en los que se puede confiar como prueba procesal 5— es excepcionalmente frágil y susceptible a la alteración, ya sea por negligencia, dolo o el simple funcionamiento subyacente de un sistema operativo. Una simple alteración en el estado de energía de un dispositivo, o una interacción técnica no documentada por parte de un operador no cualificado, puede destruir metadatos vitales o datos volátiles residentes en la memoria de acceso aleatorio (RAM), invalidando potencialmente la totalidad de una investigación y comprometiendo la cadena de custodia.2

La relevancia estratégica de este estándar se magnifica exponencialmente en el contexto del derecho cibernético internacional y la cooperación policial transfronteriza. Dado que los delitos informáticos se ejecutan cada vez más a través de múltiples jurisdicciones soberanas, involucrando víctimas en un continente y servidores de comando y control en otro, el ISO/IEC 27037 proporciona un lenguaje técnico común y un marco metodológico universal. Esta estandarización facilita el intercambio fluido de evidencia digital entre agencias como Europol e Interpol, asegurando que los requisitos analíticos y los procedimientos de incautación sean consistentes, auditables y legalmente defendibles ante cualquier tribunal del mundo.1 Al armonizar estas prácticas a nivel global, el estándar asiste no solo a los profesionales forenses y equipos de respuesta a incidentes (ISIRT), sino también a los legisladores, abogados especializados en cibercrimen, jueces y magistrados que deben determinar la fiabilidad científica de la evidencia tecnológica que se somete a su escrutinio.5

El alcance del documento es vasto e inclusivo, abarcando una multiplicidad de fuentes potenciales de evidencia. Las directrices están diseñadas para aplicarse a la identificación y recolección de datos provenientes de dispositivos digitales estándar, teléfonos móviles (GSM), asistentes digitales personales (PDA), sistemas de posicionamiento global (GPS), infraestructuras de circuito cerrado de televisión (CCTV), redes de área local (LAN), sistemas de almacenamiento conectado en red (NAS) y diversos medios ópticos (CD, DVD).1 Esta amplitud asegura que los principios de preservación forense sean agnósticos respecto al hardware subyacente, centrando el rigor científico en el tratamiento del dato binario en sí mismo.

Principios Epistemológicos y Operativos en la Gestión de Evidencias Digitales

La robustez inexpugnable del estándar ISO/IEC 27037 no reside únicamente en sus prescripciones técnicas de bajo nivel, sino en los principios filosóficos y operativos que rigen todas y cada una de las interacciones humanas y sistémicas con la evidencia digital. Estos principios dogmáticos son fundamentales para prevenir la expoliación o contaminación de la prueba y garantizar que el proceso investigativo, en su totalidad, pueda resistir el escrutinio técnico más hostil durante los contraperitajes en tribunales de justicia.2

El cumplimiento de estos principios asegura que la evidencia sea considerada «forensicamente sólida» (forensically sound), un término que, en jurisdicciones de alta exigencia como los tribunales de los Estados Unidos bajo la jurisprudencia del estándar Daubert (1993), certifica que la metodología utilizada no alteró los datos residentes en el medio de almacenamiento y que el proceso científico subyacente es empíricamente válido y aceptado por la comunidad experta.12

Para estructurar la comprensión de estos mandatos metodológicos, la siguiente tabla detalla los cuatro pilares fundamentales exigidos por el estándar para el tratamiento de la evidencia:

Principio OperativoDefinición Estructural y Alcance Metodológico según ISO/IEC 27037Implicaciones Prácticas y Legales en Investigaciones Forenses
AuditabilidadLa capacidad inherente del proceso para ser examinado, evaluado y controlado de manera independiente por un tercero cualificado.2Requiere el mantenimiento de una Cadena de Custodia (CoC) ininterrumpida, documentando quién manejó la evidencia, cuándo y cómo. Sin auditabilidad, la procedencia del dato es nula y la prueba es inadmisible en corte.
JustificabilidadLa obligación técnica y ética de documentar y respaldar con razonamiento científico cada decisión y método empleado durante el manejo de la evidencia.2Si un investigador decide realizar una adquisición en vivo (alterando el sistema) en lugar de una adquisición estática, debe justificar documentalmente que el valor de los datos volátiles superaba el riesgo de la alteración metodológica.
RepetibilidadLa garantía científica de que la aplicación del mismo método, sobre la misma evidencia, por el mismo experto y bajo idénticas condiciones, producirá los mismos resultados.2Valida la consistencia de las herramientas y los procedimientos de software empleados en el laboratorio forense inicial, asegurando que no existan variables ocultas o errores aleatorios que afecten la extracción de los datos.
ReproducibilidadEl estándar más alto de validación científica, exigiendo que un experto diferente, utilizando herramientas distintas en un entorno diferente, obtenga los mismos resultados al analizar una copia fiel de la evidencia.2Es el núcleo de la refutabilidad en juicios orales. Permite a los peritos de la defensa replicar el análisis de la fiscalía; si los resultados divergen, la fiabilidad de la metodología original queda científicamente desacreditada.

La convergencia de estos cuatro principios dicta todas las acciones subsecuentes en el ciclo de vida de la evidencia. Por ejemplo, la auditabilidad impone requisitos rigurosos sobre la sincronización temporal. El estándar estipula que todas las acciones deben ser documentadas y correlacionadas con una fuente de tiempo confiable y trazable.5 Cualquier desviación entre el reloj de la placa base (BIOS/UEFI) del dispositivo sospechoso y la hora universal coordinada (UTC) debe ser registrada antes de cualquier intervención, ya que la reconstrucción de la línea de tiempo del cibercrimen (timeline analysis) depende críticamente de la exactitud de los sellos de tiempo de los sistemas de archivos y registros operativos.5

Arquitectura del Personal Forense: Roles y Competencias Estructurales

El estándar ISO/IEC 27037 establece una dicotomía sumamente clara y funcional en los roles operativos de los profesionales involucrados en la respuesta a incidentes y el manejo de evidencias, reconociendo que no todas las intervenciones sobre el terreno requieren el mismo nivel de profundidad técnica. Esta segregación de responsabilidades optimiza la asignación de recursos corporativos y gubernamentales, al tiempo que minimiza drásticamente los riesgos de manipulación inexperta de los datos.2 El estándar define dos perfiles principales, cuyas competencias operativas definen el flujo de la investigación preliminar.

El Primer Respondiente de Evidencia Digital (DEFR)

El Digital Evidence First Responder (DEFR), o Primer Respondiente de Evidencia Digital, es conceptualizado como el individuo formalmente autorizado, capacitado y calificado para actuar en primera instancia en la escena física o lógica de un incidente de seguridad.2 Operando bajo la premisa metodológica de un «paramédico digital», el DEFR asume la responsabilidad primordial de la identificación inicial, la recolección física y la adquisición preliminar de la evidencia, así como el resguardo primario del perímetro de actuación.2

Las responsabilidades críticas del DEFR son multifacéticas y requieren una toma de decisiones bajo extrema presión. Su primera labor es el triaje y aseguramiento de la escena, donde debe detectar todos los posibles portadores de evidencia (desde computadoras portátiles hasta discos compactos y enrutadores perimetrales) y proteger el entorno para evitar alteraciones intencionales por parte de sospechosos presentes o modificaciones accidentales.2

Una responsabilidad vital del DEFR es la gestión de los datos volátiles y el aislamiento de la red. Al enfrentarse a un sistema en ejecución, el DEFR debe tomar decisiones críticas en fracciones de segundo: si desconecta la fuente de alimentación para realizar una incautación física tradicional, destruirá irremediablemente los datos de la memoria RAM, los procesos activos y las conexiones de red en curso.2 Por lo tanto, el DEFR debe estar capacitado para priorizar la recolección de esta información volátil antes de proceder a la desconexión.2 Simultáneamente, debe ejecutar la desconexión inmediata de las interfaces de comunicación externa para prevenir que un atacante remoto ejecute comandos de borrado seguro (kill switches) o que los dispositivos móviles reciban señales que alteren su estado.2

Además, el DEFR asume el peso de la documentación primaria. El estándar le exige registrar, tanto textual como fotográficamente, todo lo visible en la pantalla del dispositivo digital, incluyendo programas activos, nombres de documentos abiertos y mensajes del sistema, teniendo siempre en cuenta que el software malicioso avanzado puede enmascararse tras procesos legítimos del sistema operativo.5 También debe documentar todos los identificadores únicos, como números de serie, direcciones MAC y códigos IMEI.5

El Especialista en Evidencia Digital (DES)

El Digital Evidence Specialist (DES), o Especialista en Evidencia Digital, engloba de manera inherente todas las competencias fundacionales del DEFR, pero se distingue por incorporar un conocimiento técnico profundo y habilidades analíticas avanzadas para resolver problemas de alta complejidad técnica que superan la capacitación de primera respuesta.5 Mientras que el mandato del DEFR es estabilizar, documentar y recolectar, el DES interviene en escenarios que requieren una destreza forense de nicho y una manipulación lógica meticulosa.2

El alcance operativo del DES incluye la ejecución de adquisiciones extremadamente complejas, tales como la reconstrucción y extracción de datos de arquitecturas RAID corporativas, la preservación lógica en entornos de computación en la nube altamente distribuidos, la intervención en mainframes institucionales o la extracción segura desde dispositivos de almacenamiento de red integrados (NAS).5 En escenarios de operaciones en vivo, el DES es el responsable de realizar análisis de memoria (RAM) de alto nivel y diseccionar en tiempo real sistemas comprometidos por código polimórfico evasivo o troyanos residentes en memoria que no dejan huellas en el disco duro físico.1

Otra área de dominio exclusivo del DES es la superación y mitigación de mecanismos de cifrado. Cuando los DEFRs recolectan dispositivos que presentan sistemas de cifrado de disco completo (Full Disk Encryption) o protecciones biométricas e implementaciones de hardware seguro, el DES emplea técnicas especializadas de recuperación de claves y descifrado para acceder a la información sin corromper el contenedor criptográfico.2 Finalmente, recae sobre el DES la inmensa responsabilidad técnica de crear copias lógicas o físicas que sean matemáticamente exactas a la fuente original, garantizando la inmutabilidad total mediante el uso de bloqueadores de escritura (write blockers) por hardware y generando los resúmenes hash (como MD5 o SHA) que validan legalmente la copia ante el tribunal.2

Protocolos de Sesiones de Información (Briefing)

Un componente esencial de la metodología del ISO/IEC 27037, frecuentemente ignorado en marcos menos formales, es la fase de «Briefing» o sesión de información. El estándar, en su cláusula 6.7, estipula que es un requisito procedimental fundamental que tanto los DEFRs como los DESs reciban una sesión de información detallada por parte de la autoridad pertinente antes de iniciar cualquier ejecución de tareas operativas en la escena.5 Esta sesión debe equilibrar la provisión de contexto investigativo con las leyes de confidencialidad y el principio de necesidad de conocimiento (need-to-know basis).5

El objetivo de esta sesión formal es garantizar que el personal forense comprenda la naturaleza exacta del incidente, lo que se espera encontrar (y lo que no se espera) durante la investigación, y reiterar las advertencias críticas contra la manipulación indebida de pruebas.5 Una sesión de información específica sobre evidencia digital prepara mental y operativamente a los DEFRs para identificar los artefactos tecnológicos precisos que podrían ser cruciales para la resolución del caso, evitando la recolección indiscriminada de hardware irrelevante y asegurando la extracción de todos los datos pertinentes.5

El Modelo Analítico ICAP: Las Cuatro Fases Fundamentales

El marco rector de investigación delineado por el estándar ISO/IEC 27037 para el tratamiento inicial de la evidencia se estructura en cuatro macro-fases secuenciales, sistemáticas e iterativas. Este modelo, frecuentemente referido en la academia y la industria mediante el acrónimo ICAP (Identification, Collection, Acquisition, Preservation), constituye el eje vertebral de la logística forense.4

La estructuración rigurosa de estas fases tiene como objetivo primordial facilitar las investigaciones que involucran dispositivos tecnológicos de una manera imparcial y globalmente aceptable, informando directamente a los tomadores de decisiones judiciales y corporativos sobre la confiabilidad inquebrantable de la prueba presentada.5

Fase del Modelo ICAPDescripción Operativa y Desafíos TécnicosRol Principal Asignado
1. IdentificaciónLa búsqueda metodológica y el reconocimiento de toda la evidencia física y lógica que sea legalmente relevante para el caso, seguida de su exhaustiva documentación contextual e individual.3 Involucra el mapeo de arquitecturas de red y la detección de dispositivos ocultos, periféricos IoT o almacenamiento remoto en la nube.11DEFR (Apoyado por DES en entornos complejos)
2. RecolecciónEl proceso altamente controlado de reunir físicamente los elementos que contienen evidencia potencial.5 Exige técnicas para retirar los datos o dispositivos del lugar del incidente alterando mínimamente su estado físico y lógico, incluyendo el uso de bolsas de Faraday para dispositivos móviles y la iniciación formal de los registros de Cadena de Custodia.2DEFR
3. AdquisiciónEl proceso de extracción de datos lógicos para crear una «copia de evidencia digital potencial».5 Debe realizarse sin comprometer la integridad de la fuente, produciendo clones físicos (bit a bit) o adquisiciones lógicas, validadas matemáticamente mediante algoritmos de resumen criptográfico (hashing) para asegurar que la copia extraída es indubitadamente idéntica al medio original.3DES (O DEFR cualificado con bloqueadores de escritura)
4. PreservaciónEl mantenimiento logístico y criptográfico de la evidencia en instalaciones altamente seguras (cold storage) para evitar el deterioro magnético, la degradación de datos y el acceso no autorizado.5 Involucra la protección ininterrumpida de los datos extraídos contra cualquier tipo de modificación, garantizando que el estado original capturado permanezca repetible y disponible para contrainterrogatorios futuros.3Custodios de Laboratorio / DES

El Principio del Orden de Volatilidad (Order of Volatility)

Un concepto técnico que rige de manera transversal las fases de Identificación y Recolección es el «Orden de Volatilidad».3 El estándar ISO/IEC 27037 categoriza la evidencia en dos espectros: volátil y no volátil.5 Los datos volátiles, como los registros de enrutamiento temporal, la caché ARP, y los procesos en ejecución en la memoria principal (RAM), tienen una vida útil que depende estrictamente del suministro de energía continua.5 Por el contrario, los datos no volátiles (archivos almacenados en discos duros, memorias flash o el espacio asignado en medios digitales) mantienen su persistencia incluso tras un corte eléctrico.5

La directriz normativa obliga a los investigadores a priorizar la captura metodológica de la evidencia basándose estrictamente en su nivel de volatilidad.3 Si un equipo de respuesta a incidentes ignora este orden y procede a incautar físicamente un servidor desenchufando su fuente de poder, se habrá incurrido en una negligencia metodológica grave, causando la pérdida irrecuperable de artefactos volátiles que podrían contener las claves de cifrado del atacante, las direcciones IP de exfiltración de red o las firmas de malware residente en memoria. El DEFR debe evaluar si las circunstancias específicas del caso investigado justifican la priorización por volatilidad y actuar en consecuencia, documentando meticulosamente esta decisión.5

Además, durante la fase de Adquisición, la norma distingue claramente los espacios de almacenamiento. La creación de una imagen forense no se limita a copiar los archivos visibles por el sistema operativo. El concepto de «espacio asignado» (allocated space) abarca las áreas del medio digital, incluida la memoria primaria, que están en uso activo para el almacenamiento de datos y metadatos.5 Sin embargo, la adquisición física bit a bit captura también el espacio no asignado y el «slack space», áreas críticas donde la evidencia eliminada, fragmentada u oculta puede ser recuperada durante las fases analíticas posteriores.

Paradigmas Metodológicos: Adquisición Estática frente a Adquisición en Vivo

Una de las contribuciones técnicas más valiosas y pragmáticas del ISO/IEC 27037 es el reconocimiento formal, la categorización y la estandarización de dos enfoques de adquisición diametralmente opuestos, pero igualmente necesarios, que reflejan las realidades ineludibles de la infraestructura computacional contemporánea.1 Los abogados especializados en cibercrimen, los peritos y los magistrados deben comprender profundamente las implicaciones de estas dos formas metodológicas para evaluar de manera competente si se siguieron los procedimientos adecuados basándose en el tipo de sistema intervenido.1

Adquisición Estática («Dead Acquisition» o «Static Acquisition»)

La adquisición estática representa el enfoque y el estándar de oro tradicional de la informática forense clásica.3 En este paradigma, el sistema informático o dispositivo de almacenamiento es extraído físicamente del entorno operativo. Tras su recolección y transporte a un entorno de laboratorio estéril, la evidencia electrónica es procesada mediante la creación de imágenes exactas (bit-stream images) de los soportes no volátiles.3

Este proceso se ejecuta exclusivamente sobre sistemas que están apagados o que no se encuentran en ejecución activa.19 La principal ventaja empírica y legal de la adquisición estática radica en que las herramientas de clonación se interconectan mediante dispositivos físicos conocidos como bloqueadores de escritura (write blockers), los cuales interceptan y rechazan cualquier comando de modificación de datos dirigido al disco original. En consecuencia, la evidencia original permanece absolutamente inalterada, cumpliendo de manera prístina y sin controversias con los principios metodológicos más estrictos de admisibilidad legal.3

Adquisición en Vivo («Live Acquisition»)

A pesar de la preferencia jurisprudencial por los métodos estáticos, la evolución tecnológica y las tácticas avanzadas de cibercrimen han creado un ecosistema donde la adquisición estática no solo es tácticamente inviable en múltiples escenarios, sino operativamente indeseable.3 El estándar ISO 27037 reconoce formalmente dos variantes operativas en este entorno: el análisis en vivo de sistemas que no pueden ser copiados o volcados en imágenes, y el análisis de sistemas que sí pueden ser clonados mientras operan.1

Existen escenarios críticos donde la adquisición en vivo se convierte en un imperativo ineludible:

  1. Infraestructuras Críticas y Sistemas de Alta Disponibilidad: Ciertos sistemas operativos vinculados a infraestructuras de control industrial (ICS/SCADA), servidores de bases de datos financieras en tiempo real, o sistemas médicos de soporte vital no pueden ser apagados bajo ninguna circunstancia, ya que su detención provocaría la interrupción de servicios críticos para la sociedad o pérdidas económicas catastróficas.3 En estos casos, el perito debe recolectar la evidencia volátil y no volátil directamente desde los sistemas en ejecución, asumiendo y documentando que este proceso puede ralentizar los servicios o interferir levemente en sus funciones normales.3
  2. Captura de Evidencia Cifrada y Evasiva: En investigaciones que involucran comunicaciones por mensajería instantánea cifrada, redes complejas, intrusiones en curso, contenedores de almacenamiento bajo cifrado militar, o ataques perpetrados mediante código polimórfico y malware «fileless» residente en RAM, un apagado del sistema garantiza la destrucción absoluta y permanente de la evidencia probatoria.1

La ejecución de adquisiciones en vivo conlleva un desafío dogmático severo: la paradoja del observador. Cualquier herramienta de software utilizada para volcar la RAM (como Belkasoft RAM Capturer, DumpIt o WinPMEM) o para registrar conexiones de red en tiempo real (como Wireshark o TCPView) debe, por necesidad inherente, cargarse en la memoria del sistema objetivo, interactuando activamente con el procesador y el sistema de archivos de la máquina investigada.18 Esto altera irrefutablemente el estado lógico original del dispositivo.16

Para que la prueba obtenida bajo estas condiciones sea admitida en un tribunal penal o corporativo, el ISO/IEC 27037 exige que el especialista (DES) justifique exhaustivamente la desviación del método estático, documentando la huella de memoria (memory footprint) exacta de la herramienta empleada y demostrando científicamente que la alteración causada por el procedimiento fue mínima, predecible, sistemática y no comprometió la esencia de los datos recolectados.3

El Ecosistema ISO/IEC 27000 para Investigaciones Forenses Digitales

Para aprehender plenamente el alcance, las capacidades y las limitaciones estructurales del ISO/IEC 27037, es imperativo analizarlo no como una entidad aislada, sino como un componente altamente especializado dentro de la vasta constelación de normas de seguridad de la familia ISO/IEC 27000 (27K).2 El comité técnico redactó el 27037 de manera modular; deliberadamente se abstuvo de incluir pautas para la fase de análisis profundo en laboratorio o la redacción de informes periciales, dejando estas disciplinas a normativas complementarias estrechamente acopladas.3

La siguiente tabla desglosa la interdependencia sistémica del conjunto de estándares diseñados para gobernar un incidente de seguridad desde su concepción corporativa hasta su resolución judicial:

Estándar InternacionalTítulo y Enfoque TemáticoRelación Jerárquica e Integración con el ISO/IEC 27037
ISO/IEC 27035Gestión de Incidentes de Seguridad de la Información.2Proporciona el marco maestro organizativo. Define cómo planificar, preparar y responder operativamente ante vulnerabilidades o ataques.21 El ISO 27037 actúa como el subconjunto procedimental táctico ejecutado cuando un incidente escalado requiere la recolección de pruebas de grado judicial.2
ISO/IEC 27037Directrices para Identificación, Recolección, Adquisición y Preservación.1El núcleo táctico de primera respuesta. Goberna exclusivamente las cuatro fases iniciales (ICAP), dictando cómo los DEFR y DES deben asegurar la escena física y la fidelidad de los datos iniciales antes de que el laboratorio forense tome el control de los mismos.3
ISO/IEC 27041Orientación sobre la garantía de idoneidad y adecuación de métodos de investigación.3El componente validador. Es de aplicación crítica antes y durante una investigación para asegurar que los métodos empleados por los investigadores bajo la directriz 27037 son metodológicamente robustos, probadamente apropiados y aptos para su propósito analítico específico frente a cortes judiciales.17
ISO/IEC 27042Directrices para el análisis y la interpretación de evidencia digital.3El sucesor lógico. Retoma el proceso exactamente donde el 27037 lo concluye (en el laboratorio). Cubre el uso riguroso de herramientas forenses (ej. FTK, EnCase), el filtrado iterativo de datos, el cruce de evidencias y la construcción intelectual de las conclusiones interpretativas.3
ISO/IEC 27043Principios y procesos de investigación de incidentes.12El modelo conceptual globalizado. Proporciona el Harmonized Digital Forensic Investigation Process (HDFIP), un modelo teórico integral y armonizado que agrupa todas las actividades desde la preparación pre-incidente hasta la clausura investigativa, integrando todas las normativas citadas.12

Un concepto dogmático esencial que unifica este ecosistema, y que se aborda explícitamente a través de la conjunción del ISO 27037 y el ISO 27041, es la distinción metodológica crucial entre los términos Verificación y Validación, los cuales suelen ser malinterpretados erróneamente en contextos legales.25

La Verificación, en términos de la norma, es el proceso simplificado de demostrar que una herramienta informática (un bloqueador de escritura o un software de extracción de memoria) cumple con las especificaciones técnicas publicadas por su fabricante; en resumen, atestiguar que el producto «hace exactamente lo que dice en su embalaje» ante diversas condiciones de límite o error de código.25 Este es un proceso que los proveedores de herramientas manejan excelentemente.

Sin embargo, en el contexto de la investigación criminal, los tribunales exigen la Validación. La validación es el proceso probatorio mucho más abstracto mediante el cual un perito forense demuestra que el método o conjunto de procedimientos que ha estructurado —a menudo combinando múltiples herramientas forenses e incluso herramientas de administración de sistemas «no forenses» convencionales— es objetivamente apto para el propósito analítico de resolver un problema particular y complejo, y es capaz de generar resultados libres de sesgos y con tasas de error calculables frente al caso concreto.20 La validación es lo que legitima una investigación 27037 end-to-end (de extremo a extremo).

Análisis Comparativo Internacional: ISO/IEC 27037 frente a NIST SP 800-86

Dentro del foro internacional del desarrollo metodológico, el estándar europeo-global ISO/IEC 27037 es frecuentemente comparado y contrastado por la academia y las unidades de delitos informáticos con la Publicación Especial 800-86 (Guide to Integrating Forensic Techniques into Incident Response) del Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST).27

Aunque ambos persiguen la excelencia en la recolección de pruebas, abordan el problema desde perspectivas filosóficas radicalmente distintas. Un examen profundo revela sus discrepancias estructurales, alcances y limitaciones 27:

Dimensión AnalíticaParadigma ISO/IEC 27037Paradigma NIST SP 800-86
Orientación y Audiencia PrincipalPosee un enfoque de macro-procesos corporativos y legales, ampliamente adoptado por industrias multinacionales y diseñado primariamente como el marco facilitador del intercambio logístico y legal de evidencias entre agencias de diferentes países y jurisdicciones civiles.1Posee una dominancia notable en los círculos académicos, contratistas de defensa y agencias federales de los Estados Unidos, centrándose profundamente en los mecanismos de ingeniería forense a bajo nivel.27
Arquitectura DocumentalOrientación hacia la estandarización procedimental logística, enfatizando los roles jerárquicos estructurados (DEFR vs DES), requisitos rigurosos de Cadena de Custodia interjurisdiccional y la justificación metodológica global.5Orientación estrictamente técnica centrada en la arquitectura de los sistemas, proporcionando manuales de instrucción sumamente detallados para la extracción de artefactos operativos, análisis de sistemas operativos y tipología de redes.19
Tratamiento de la Adquisición en VivoOfrece un marco filosófico robusto y flexible sobre la volatilidad, advirtiendo sobre la alteración ineludible del estado del sistema durante las adquisiciones en vivo y exigiendo documentar rigurosamente la huella operativa del investigador.3Sus directrices metodológicas han sido objeto de análisis académico al proponer metodologías para apagar equipos empleando las funciones propias del sistema operativo, lo que desencadena la ejecución no deseada de procesos del sistema y de escritura en disco, reduciendo drásticamente la esencia prístina de la evidencia recolectada.19

Frente a estas divergencias inherentes, la literatura científica contemporánea aboga fuertemente por un modelo de arquitectura híbrida. Investigadores y profesionales forenses avanzados sugieren que, para estructurar un reporte forense inatacable, las instituciones deberían emplear la estricta terminología de Cadena de Custodia, el triaje logístico de roles y la justificación procedimental global dictada por el ISO 27037, superponiéndola con las instrucciones técnicas de ingeniería de bajo nivel para la extracción efectiva de datos provistas por las directrices del NIST SP 800-86.27 Esta hibridación empodera a los equipos de respuesta para tomar decisiones logísticamente sólidas que se sustentan en una ejecución técnica insuperable, cerrando las brechas normativas de ambos modelos.

Trascendencia Legal, Jurisdiccional e Internacional

El impacto final de la norma ISO/IEC 27037 no se mide en la precisión de las copias bit a bit dentro de los muros de un laboratorio, sino en el foro confrontacional de los estrados judiciales. La evidencia digital debe cumplir invariablemente con las leyes nacionales sobre admisibilidad procesal, que rigen la manera en que un indicio se convierte en una prueba incriminatoria legalmente vinculante.

En el contexto de la cooperación penal internacional, las discrepancias en los métodos de recolección de pruebas han sido históricamente el resquicio legal preferido por los abogados defensores (cyber lawyers) para solicitar la nulidad probatoria. Un abogado hábil en derecho cibernético, familiarizado de forma exhaustiva con el ISO 27037, escrutará agresivamente si los peritos evaluaron correctamente el tipo de sistema (por ejemplo, al discriminar entre formas de adquisición en vivo de dispositivos cifrados) o si la Cadena de Custodia careció de auditabilidad independiente.1

Para contrarrestar la invalidación, instituciones intergubernamentales como Europol e Interpol integran consistentemente las directrices del ISO/IEC 27037 en sus prácticas operativas recomendadas y manuales técnicos policiales.9 Proyectos de investigación avalados por la Comisión Europea, como el Proyecto CORDIS, han establecido explícitamente que ante la histórica falta de estándares concretos sobre los procedimientos para intercambiar evidencia electrónica en investigaciones antiterroristas transfronterizas (afectadas masivamente por directivas locales dispares de protección de datos), la familia de estándares ISO (junto con el modelo ICAP del 27037 y el modelo HDFIP del 27043) representa el único punto de referencia universalmente testado y aceptado en el campo de la informática forense en el contexto de los Estados Miembros de la UE.2

Asimismo, las metodologías estandarizadas refuerzan el cumplimiento de directrices nacionales como el Código de Procedimiento Penal de Grecia (que exige informes especiales de incautación que garanticen la reproducibilidad) o las Reglas de Conteo del Ministerio del Interior del Reino Unido (HOCR), proporcionando niveles de transparencia investigativa innegables.2 Al garantizar la coherencia forense integral, el estándar actúa de facto como un puente jurídico que facilita los tratados de asistencia legal mutua (MLAT).1

Implementación Corporativa de la «Preparación Forense» (Forensic Readiness)

Más allá de su evidente aplicabilidad en las esferas policiales y judiciales gubernamentales, la influencia transformadora de la norma ha reconfigurado fundamentalmente la gestión del riesgo cibernético dentro de la empresa privada, institucionalizando el paradigma de la «Preparación Forense» (Forensic Readiness).2

La preparación forense se define conceptualmente como la capacidad proactiva e institucional de una corporación para maximizar su potencial inherente de identificar, recolectar y preservar de manera segura la evidencia digital con un grado de fiabilidad legal absoluto, reduciendo simultáneamente el coste logístico y el impacto operativo de una investigación interna o regulatoria tras un ciberataque.2 En un ecosistema empresarial donde el robo de datos o la interrupción por ransomware son eventualidades estadísticas casi garantizadas, operar sin este marco equivale a una negligencia fiduciaria.34

Integración Estratégica en Planes de Respuesta a Incidentes (IRP)

Las organizaciones corporativas que operan en niveles de alta madurez de seguridad informática —como los Centros de Operaciones de Seguridad (SOC) y los Proveedores de Servicios de Seguridad Gestionada (MSSP) a nivel global— integran el marco ICAP del ISO/IEC 27037 directamente dentro de la arquitectura fundamental de sus Planes de Respuesta a Incidentes Cibernéticos (Cybersecurity Incident Response Plans – CIRP).23

Tomemos como ejemplo el caso de estudio de un importante proveedor europeo de servicios gestionados de seguridad, responsable de salvaguardar las infraestructuras operativas de docenas de corporaciones energéticas en la Comunidad de Estados Independientes (CEI) y Europa, operando sistemas críticos a través de múltiples husos horarios y jurisdicciones políticas dispares.35 En tales entornos hipercríticos, el equipo de respuesta no puede operar reactivamente. Durante las fases preparatorias de gobernanza (en alineación con ISO 27035 y el CSF 2.0 del NIST), las políticas organizacionales designan y capacitan al personal interno selecto para que adquiera las certificaciones y competencias metodológicas equivalentes al rol de DEFR establecido por el ISO 27037.23

Esta formación proactiva garantiza decisivamente que, ante el pánico inicial de una brecha en curso provocada por un grupo avanzado persistente (APT), los operadores de primera línea no caigan en la tentación de restablecer apresuradamente los servidores o limpiar los registros (logs) del sistema para restaurar el servicio rápidamente —lo cual constituiría la aniquilación de pruebas vitales—, sino que en su lugar procedan metodológicamente a preservar el entorno de manera controlada y escalable, allanando el camino investigativo para los especialistas DES externos y las autoridades reguladoras.2

Estudios de Casos Notorios: Target y Silk Road

El verdadero valor probatorio de la estricta disciplina forense estandarizada a nivel institucional se ilustra con nítida claridad en eventos de investigación a gran escala.

  • La Brecha de Datos de Target Corporation (2013): Durante uno de los compromisos corporativos más destructivos de la última década, donde los actores de amenazas exfiltraron subrepticiamente datos de tarjetas de crédito y registros de identificación personal de más de 70 millones de clientes globales, los investigadores forenses digitales externalizados tuvieron que desenredar retrospectivamente un ataque de intrincada complejidad.37 El vector de ataque inicial derivó de una campaña de phishing dirigida a un subcontratista externo de climatización (HVAC), permitiendo a los atacantes pivotar en la red corporativa e implementar una cepa de malware polimórfico especializado para terminales de punto de venta, conocido como «BlackPOS».37 El éxito contundente de la atribución cibernética (identificando subsecuentemente sospechosos transaccionando el lote de tarjetas robadas mediante el uso de Bitcoin en foros de la web profunda) fue posible única y exclusivamente debido a que los equipos ejecutaron las metodologías formales del ICAP dictadas por estándares análogos al ISO 27037. La preservación irrefutable de registros de tráfico de red masivos, combinada con la adquisición avanzada de memoria en vivo de terminales comprometidos y el aislamiento forense de muestras de código malicioso, permitió a la fiscalía establecer una cadena de causalidad forense irrompible y admitida ante un tribunal.37
  • Desmantelamiento de Silk Road y la Darknet: Las metodologías forenses normalizadas fueron igualmente indispensables durante el cierre de Silk Road, el infame mercado cibernético de contrabando que operó durante dos años.37 Tras localizar la infraestructura del servidor enrutado a través de la red Tor, el abordaje analítico no toleraba márgenes de error de procedencia de datos. La recolección cruzada y el análisis estático exhaustivo de terabytes de volúmenes de servidores cifrados, distribuidos geográficamente en entornos hostiles, requirió una sinergia metodológica perfecta entre agencias internacionales.37 El cumplimiento inherente con los principios de reproducibilidad del ISO 27037 garantizó la admisibilidad incuestionable de los discos duros clonados en Europa ante el estricto escrutinio del sistema de cortes federales de los Estados Unidos.

Desafíos Emergentes y Horizontes Tecnológicos Forenses

A pesar del indudable rigor arquitectónico, procedimental y jurídico que otorga el estándar internacional, la hiperaceleración tecnológica constante ha provocado la maduración de vectores computacionales que desafían activamente las asunciones estáticas de 2012, exigiendo reinterpretaciones creativas e investigaciones fronterizas para mantener la vigencia de la norma.3

Forense en Computación en la Nube (Cloud Forensics)

El estándar original ISO/IEC 27037 fue delineado cognitiva y procedimentalmente en torno a un paradigma de infraestructura física tangible (ordenadores personales, servidores empresariales tipo bastidor, dispositivos telefónicos GSM y unidades extraíbles), por lo que no fue redactado anticipando los profundos desafíos de la virtualización extrema inherente a la computación en la nube (Modelos IaaS, PaaS, SaaS).3

En los entornos elásticos de los centros de datos distribuidos, la recolección física del hardware (disco duro físico o servidor de chasis) y el control monopolístico del perímetro de red físico son nociones técnicamente irreales y legalmente inviables debido a las arquitecturas compartidas multiusuario (multitenancy) y la dispersión geográfica automatizada de los hipervisores.3 Un investigador forense que exija la incautación del servidor físico que aloja una instancia comprometida en Amazon Web Services paralizaría la operatividad de innumerables corporaciones ajenas a la investigación que comparten ese mismo soporte físico.

Para colmar esta imperiosa laguna dogmática, consorcios autorizados como el Grupo de Trabajo de Servicios y Marcos Forenses del NIST y la Cloud Security Alliance (CSA) publicaron documentación fundamental, destacando el documento «Mapping the Forensic Standard ISO/IEC 27037 to Cloud Computing».24 Esta ampliación normativa logra reinterpretar, sin corromper, la orientación pragmática del modelo ICAP para que, en un contexto cloud, en lugar de incautar componentes electrónicos tangibles, los DES procedan a adquirir instantáneas criptográficamente validadas de máquinas virtuales (VM snapshots), recojan terabytes de registros consolidados exportados y autenticados vía APIs por el Proveedor de Servicios en la Nube (CSP), y garanticen la fiabilidad metodológica apoyándose de lleno en controles de integridad lógicos (hashing multidimensional asíncrono) asumiendo por diseño que el control de la evidencia reside inicialmente en un tercero.24

El Muro del Cifrado y la Intervención de la Inteligencia Artificial (IA)

La estandarización omnipresente del cifrado de dispositivos por defecto en el ámbito de los consumidores, aunada a arquitecturas de contraseñas amparadas en silicio protegido (por ejemplo, Trusted Platform Modules – TPM o enclaves seguros), plantea formidables barreras técnicas, principalmente en las fases críticas de Recolección y Adquisición, desafiando la ortodoxia convencional.15 El estándar actual induce operativamente a los peritos de primera respuesta a priorizar indefectiblemente las metodologías de adquisición en vivo e hipervolátiles siempre y cuando se detecte un volumen de almacenamiento sospechosamente cifrado montado activamente y en uso, empujando los límites técnicos de los DEFR para extraer apresuradamente las escurridizas claves simétricas de descifrado almacenadas en texto plano en las celdas de la memoria RAM antes de realizar cualquier tipo de aislamiento o transporte.1

Simultáneamente, la inmanejable densidad volumétrica actual de los dispositivos comprometidos ha gestado un fenómeno adverso en la informática forense conocido como Big Data Forense. Para procesar este océano de evidencia adquirida bajo la norma ISO, las metodologías más sofisticadas de la disciplina están adoptando marcos de Inteligencia Artificial (IA) y automatización.15 Hoy en día, potentes modelos predictivos de aprendizaje automático actúan fundamentalmente como multiplicadores de fuerza (o agentes DES virtualizados de nivel junior), preclasificando heurísticamente, organizando, correlacionando patrones conductuales, destacando anomalías estructurales indetectables a simple vista y reduciendo astronómicamente el inmenso volumen de «ruido blanco» para que la pericia y el cerebro analítico humano se concentren en la extracción e interpretación fina de la intencionalidad delictiva.15

El Nexo Crítico entre Cadena de Custodia ISO y las Redes Blockchain

El vector investigativo académico y corporativo contemporáneo que genera el debate sistémico más acalorado para la actualización tecnológica del cumplimiento del ISO/IEC 27037 es la integración holística de los registros descentralizados (Distributed Ledger Technology / Blockchain) para gobernar unificadamente y blindar de manera inescrutable el concepto de Cadena de Custodia (CoC) y preservación inmutable del estado de la evidencia digital.15

Los enfoques convencionales manuales o documentales de la Cadena de Custodia son conceptualmente sólidos, pero logísticamente propensos y severamente vulnerables a una multiplicidad de errores humanos procedimentales, falsificaciones intencionadas u omisiones. Ante este panorama, el corpus académico ha conceptualizado y prototipado diversas arquitecturas de software experimentales basadas en redes como Ethereum o marcos de hiperlibro (Hyperledger Composer) —tales como B-CoC, Forensic-Chain, el gabinete digital B-DEC, o ForensiBlock—, los cuales abstraen y desmaterializan totalmente el proceso de cadena de custodia.39 Estas implementaciones inyectan cada interacción probatoria y resúmenes de hashing multidimensional directamente en un registro contable inmutable, asegurando, al menos en la teoría de la computación, que la rastreabilidad y procedencia forense quedan selladas criptográficamente y expuestas a una validación comunitaria imposible de alterar.39

A pesar del innegable atractivo tecnológico, un análisis académico meticuloso centrado específicamente en alinear estas innovaciones contra las estrictas estipulaciones legales del ISO 27037 desenmascara deficiencias estructurales, jurídicas y de estandarización tan profundas que inhabilitan, al día de hoy, su aplicación pericial generalizada:

  1. Disonancia Documental Completa (Correspondencia de Cláusulas): El 100% de las arquitecturas blockchain examinadas en literatura forense reciente fallan sistemáticamente en establecer, detallar o demostrar cualquier mapeo directo, trazable y verificable contra las cláusulas dogmáticas específicas y los requerimientos del estándar internacional ISO 27037. Son concebidas como plataformas abstractas, desvinculadas por completo de la sintaxis legal operativa en los laboratorios reales.39
  2. Incapacidad de Satisfacer Operativamente los Principios Nucleares: Ninguna plataforma descentralizada revisada logra exponer con claridad metodológica la manera inequívoca en la que integrará y garantizará los cuatro principios insalvables: la auditabilidad técnica e independiente de los propios resúmenes hashes almacenados en su red, la justificabilidad forense, ni tampoco abordan la intrincada mecánica probatoria de la repetibilidad computacional o la reproducibilidad, ignorándolos como conceptos ajenos al diseño del registro inmutable.39
  3. Vacío en la Admisibilidad Legal Internacional: Existe una laguna abismal y profundamente alarmante en la investigación y validación de la aplicabilidad judicial de estas herramientas.39 Las firmas criptográficas distribuidas encaran una tremenda reticencia y fricciones masivas de admisibilidad en los tribunales formales tradicionales, dado que las legislaciones penales de jurisdicciones soberanas carecen por completo de antecedentes jurisprudenciales robustos que puedan santificar o convalidar un mecanismo de consenso automático distribuido (blockchain) por encima de una deposición jurada y el registro certificado de un custodio humano tradicional bajo el amparo de la ISO 27037.39
  4. Desafíos Pragmáticos y de Arquitectura Ineludibles: Aproximadamente el 41% de las iniciativas e investigaciones propuestas fallan al no reconocer en lo absoluto la escalabilidad logística insostenible que se produciría al saturar la red con los exabytes producidos diariamente por corporaciones forenses, y un 33% carece integralmente del nivel de detalle arquitectónico necesario para permitir siquiera una eventual implementación piloto en escenarios periciales en el mundo real o agencias gubernamentales.39

Estas críticas estructurales reafirman severamente un postulado judicial inalienable: existe una brecha insalvable entre una mera innovación de software y la adopción de un rigor procedimental absoluto. Un estándar judicial como el ISO/IEC 27037 no se satisface con elegantes abstracciones matemáticas prometiendo inviolabilidad técnica; requiere, innegociablemente, procesos formales, certificables, metódicamente exhaustivos y empíricamente verificables ante cortes internacionales, donde una simple promesa criptográfica carente de escrutinio jurídico se desmorona ante los litigantes.

Conclusión y Consideraciones Periciales Finales

El estándar internacional ISO/IEC 27037:2012 representa indiscutiblemente la piedra angular y el cimiento dogmático insustituible sobre el cual descansa en su totalidad la arquitectura y práctica de la informática forense contemporánea. En un contexto operativo hostil, indudablemente caracterizado por la hiper-fugacidad intrínseca de los datos informáticos, la evolución desmedida de tácticas de ciberseguridad ofensiva, y una beligerancia corporativa y asimétrica constante en el ciberespacio, este cuerpo normativo transciende holgadamente su papel como una rudimentaria lista de verificación técnica para erigirse en la gramática legal fundamental e inapelable para procesar y comprender la evidencia digital global.1

A través de la concepción inamovible y estructuración científica de su proceso en cuatro fases procedimentales meticulosas y delimitadas —identificación inicial, recolección controlada, adquisición rigurosamente verificable y preservación perenne— y mediante la demarcación incisiva, especializada y profundamente jerárquica de competencias profesionales entre los respondientes de primera línea (DEFR) y la arquitectura de peritos especialistas (DES) 2, el marco metodológico facilita sistemáticamente un entorno logístico destinado exclusivamente a blindar y salvaguardar impoluta la «escena del crimen lógico». Esta normativa impone una doctrina inquebrantable que supedita todas y cada una de las resoluciones de ingeniería en el terreno a la satisfacción integral de los cuatro pilares irrevocables de auditabilidad profunda, justificabilidad documentada explícitamente, y la perfección matemática y científica inherente de la repetibilidad operativa y reproductibilidad forense 2, otorgando así las garantías dogmáticas máximas para que ninguna información vital sea refutada, devaluada o marginada probatoriamente debido a acusaciones de incompetencia técnica o desaseo en el manejo de la integridad del indicio.

Conforme la red mundial y los paradigmas tecnológicos perpetúan su mutación vertiginosa y logran desvanecer implacablemente los confines de los esquemas informáticos tradicionales bajo el manto inconmensurable y ubicuo de infraestructuras en la nube (Cloud architectures), repositorios ofuscados asíncronamente en celdas de memorias dinámicas de altísima velocidad o cifrados por defecto, el estándar ISO/IEC 27037 manifiesta asombrosamente su vigencia fundacional perenne y resiliencia procedimental.24 Lejos de ser un obsoleto vestigio del pasado tecnológico, su dogma subyacente de extrema parsimonia y estricta no alteración en el tratamiento primigenio de la evidencia de facto (y, ante el escenario ineludible de la intervención dictaminada por la adquisición en vivo, de una intrusión forense absolutamente trazable, meticulosamente detallada, justificada y minimizada de manera sistemática) subsiste y funciona admirablemente como un precepto directriz superior, y amalgama en simbiosis metodológica con corpus documentales contemporáneos ulteriores, notablemente las normas rectoras para la ponderación exhaustiva de veracidad y armonización táctico-investigativa integrales proporcionadas en sus sucesores doctrinarios el ISO 27042 y el integral marco HDFIP del ISO 27043.3

En última instancia, la internalización dogmática y operativización absoluta de este colosal marco procedimental por parte de Estados soberanos (mediante sus respectivas agencias nacionales y ministerios de normalización técnica), foros judiciales internacionales supranacionales, despachos jurídicos transnacionales y estructuras empresariales globales de inmenso calado (potenciado por arquitecturas MSSP corporativas), se instituye inequívocamente no solo como una muralla de contención defensiva y logística crucial que aplaca frontalmente los brutales reveses económicos y estructurales que acarrea invariablemente una falla crítica de seguridad –cimentando así la vital disciplina de Forensic Readiness 6– sino que actúa fehacientemente como el indispensable lenguaje franco, técnico y jurídicamente imparcial. Es a través del cumplimiento irrestricto y solemne de este estándar como los tribunales del mundo logran la prodigiosa y compleja labor de discernir, evaluar fidedignamente la verdad jurídica binaria, sancionar el acto criminal cibernético y emitir resoluciones plenamente vinculantes, dotando finalmente de ordenamiento probatorio, justicia palpable, legalidad rigurosa e inmunidad frente a escepticismos a la omnipresente dimensión digital e inmaterial que impera inexorablemente en la matriz social del convulso y tecnológicamente imbricado siglo XXI.

Fuentes

  1. Understanding ISO/IEC 27037 for Digital Evidence Admissibility: A Cyber Lawyer’s Guide, accessed February 22, 2026, https://corpotechlegal.com/understanding-iso-iec-27037-for-digital-evidence-admissibility-a-cyber-lawyers-guide/
  2. (PDF) ISO 27037 Digital Evidence for DEFR – ResearchGate, accessed February 22, 2026, https://www.researchgate.net/publication/398247248_ISO_27037_Digital_Evidence_for_DEFR
  3. Cybercrime Module 4 Key Issues: Standards and best practices for digital forensics – Unodc, accessed February 22, 2026, https://www.unodc.org/e4j/es/cybercrime/module-4/key-issues/standards-and-best-practices-for-digital-forensics.html
  4. Guidelines for Identification, Collection, Acquisition, and Preservation of Digital Evidence, accessed February 22, 2026, https://www.unodc.org/e4j/data/_university_uni_/guidelines_for_identification_collection_acquisition_and_preservation_of_digital_evidence.html?lng=en&match=guidelines%20for%20identification
  5. international standard iso/iec 27037, accessed February 22, 2026, https://amnafzar.net/files/1/ISO%2027000/ISO%20IEC%2027037-2012.pdf
  6. UNE-EN ISO/IEC 27037:2016 | +500.000 normas en tu tienda AENOR, accessed February 22, 2026, https://tienda.aenor.com/norma-une-en-iso-iec-27037-2016-n0057481
  7. Iso 27037 | PDF | Comisión Electrotécnica Internacional | Red de computadoras – Scribd, accessed February 22, 2026, https://es.scribd.com/document/917573641/ISO-27037
  8. New ISO standard for digital evidence – MSAB, accessed February 22, 2026, https://www.msab.com/updates/new-iso-standard-for-digital-evidence/
  9. GUIDE FOR CRIMINAL JUSTICE STATISTICS ON CYBERCRIME AND ELECTRONIC EVIDENCE | Interpol, accessed February 22, 2026, https://www.interpol.int/content/download/15731/file/Guide%20for%20Criminal%20Justice%20Statistics%20on%20Cybercrime%20and%20Electronic%20Evidence.pdf
  10. European Informatics Data Exchange Framework for Courts and Evidence | FP7 – CORDIS, accessed February 22, 2026, https://cordis.europa.eu/project/id/608185/reporting
  11. Untitled – MPRJ, accessed February 22, 2026, https://www.mprj.mp.br/documents/20184/7499889/iso27037.pdf
  12. Testing and Evaluating The Harmonised Digital Forensic Investigation Process in Post Mortem Digital Investigation – Scholarly Commons, accessed February 22, 2026, https://commons.erau.edu/cgi/viewcontent.cgi?referer=&httpsredir=1&article=1289&context=adfsl
  13. ISO 27037 Electronic Evidence Management Guidelines, accessed February 22, 2026, http://foroevidenciaselectronicas.org/en/iso-27037-electronic-evidence-management-guidelines/
  14. Tratamiento de La Evidencia Digital Según ISO 27037 | PDF – Scribd, accessed February 22, 2026, https://es.scribd.com/document/413290223/Tratamiento-de-La-Evidencia-Digital-Segun-ISO-27037
  15. How Is Digital Evidence Preserved in Modern Investigations? – American Military University, accessed February 22, 2026, https://www.amu.apus.edu/area-of-study/criminal-justice/resources/how-is-digital-evidence-preserved/
  16. Cybercrime Module 6 Key Issues: Handling of Digital Evidence – Unodc, accessed February 22, 2026, https://www.unodc.org/cld/ar/education/tertiary/cybercrime/module-6/key-issues/handling-of-digital-evidence.html
  17. Investigative Model – n-gate ltd., accessed February 22, 2026, https://www.n-gate.net/guides/investigative-model
  18. Live vs Dead Acquisition in Digital Forensics – 4Geeks, accessed February 22, 2026, https://4geeks.com/lesson/live-vs-dead-acquisition-in-digital-forensics
  19. View of Digital Forensic Investigation for Non-Volatile Memory Architecture by Hybrid Evaluation Based on ISO/IEC 27037:2012 and NIST SP800-86 Framework – Journal UIR – Universitas Islam Riau, accessed February 22, 2026, https://journal.uir.ac.id/index.php/ITJRD/article/view/8968/3954
  20. Digital Investigation Techniques: A NIST Scientific Foundation Review, accessed February 22, 2026, https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8354.pdf
  21. Digital Evidences According to ISO/IEC 27035-2, ISO/IEC 27037, ISO/IEC 27041, ISO/IEC 27042 and ISO/IEC 27043 Standards – ResearchGate, accessed February 22, 2026, https://www.researchgate.net/publication/338068040_Digital_Evidences_According_to_ISOIEC_27035-2_ISOIEC_27037_ISOIEC_27041_ISOIEC_27042_and_ISOIEC_27043_Standards
  22. Standards and Best Practices in Digital and Multimedia Forensics – Wiley Monthly Title Update and Image Download Site, accessed February 22, 2026, https://catalogimages.wiley.com/images/db/pdf/9781118640500.excerpt.pdf
  23. Incident Response Management Case Study | Romano Security Consulting, accessed February 22, 2026, https://www.romanosecurityconsulting.com/case-studies/incident-management
  24. Cybercrime Module 4 Key Issues: Standards and best practices for digital forensics – unodc, accessed February 22, 2026, https://www.unodc.org/cld/en/education/tertiary/cybercrime/module-4/key-issues/standards-and-best-practices-for-digital-forensics.html
  25. Verification and validation – n-gate ltd., accessed February 22, 2026, https://www.n-gate.net/guides/verification-and-validation
  26. INTERNATIONAL STANDARD ISO/IEC 27043, accessed February 22, 2026, https://amnafzar.net/files/1/ISO%2027000/ISO%20IEC%2027043-2015.pdf
  27. Comparison Study of NIST SP 800-86 and ISO/IEC 27037 Standards as A Framework for Digital Forensic Evidence Analysis – Semantic Scholar, accessed February 22, 2026, https://www.semanticscholar.org/paper/Comparison-Study-of-NIST-SP-800-86-and-ISO-IEC-as-A-FFaizal-Luthfi/1649587dcfa18403bbd83312abeae8a518dd65b9
  28. What Is Cyber Forensics? Cybersecurity and Digital Analysis – Pandora FMS, accessed February 22, 2026, https://pandorafms.com/en/cibersecurity/what-is-cyber-forensics/
  29. Comparison Study of NIST SP 800-86 and ISO/IEC 27037 Standards as A Framework for Digital Forensic Evidence Analysis – ResearchGate, accessed February 22, 2026, https://www.researchgate.net/publication/382816264_Comparison_Study_of_NIST_SP_800-86_and_ISOIEC_27037_Standards_as_A_Framework_for_Digital_Forensic_Evidence_Analysis
  30. Comparison Study of NIST SP 800-86 and ISO/IEC 27037 Standards as A Framework for Digital Forensic Evidence Analysis, accessed February 22, 2026, https://journal-isi.org/index.php/isi/article/view/717
  31. Digital Forensic Investigation for Non-Volatile Memory Architecture by Hybrid Evaluation Based on ISO/IEC 27037:2012 and NIST SP – Journal UIR – Universitas Islam Riau, accessed February 22, 2026, https://journal.uir.ac.id/index.php/ITJRD/article/download/8968/3954/30643
  32. Digital Forensics Readiness Compliance for Cybersecurity Teams – Neumetric, accessed February 22, 2026, https://www.neumetric.com/digital-forensics-readiness-compliance-2416/
  33. Forensic Readiness: A Crucial Element of Cybersecurity | SISA, accessed February 22, 2026, https://www.sisainfosec.com/blogs/forensic-readiness-a-crucial-element-of-cybersecurity/
  34. How to Create a Cybersecurity Incident Response Plan That Works – Hyperproof, accessed February 22, 2026, https://hyperproof.io/resource/cybersecurity-incident-response-plan/
  35. 2023 Volume 5 Case Study Incident Response Automation Through IRP Implementation, accessed February 22, 2026, https://www.isaca.org/resources/isaca-journal/issues/2023/volume-5/case-study-incident-response-automation-through-irp-implementation
  36. Enhancing Traditional Reactive Digital Forensics to a Proactive Digital Forensics Standard Operating Procedure (P-DEFSOP): A Case Study of DEFSOP and ISO 27035 – MDPI, accessed February 22, 2026, https://www.mdpi.com/2076-3417/15/18/9922
  37. Case Studies: Successful Digital Forensic Investigations and Lessons Learned, accessed February 22, 2026, https://eclipseforensics.com/case-studies-successful-digital-forensic-investigations-and-lessons-learned/
  38. NIST Cloud Computing Forensic Science Challenges, accessed February 22, 2026, https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8006.pdf

Paper Title (use style: paper title) – UVaDOC Principal, accessed February 22, 2026, https://uvadoc.uva.es/bitstream/handle/10324/75759/CISTI_blockchain_sp.pdf

Comparte esta entrada:

Compartir en WhatsApp Compartir en Telegram Compartir en LinkedIn Compartir en Pinterest
Share This