ISO/IEC 27037:2012 NUEVA NORMA PARA LA

RECOPILACIN DE EVIDENCIAS
La actuacin de campo de la recopilacin de las evidencias
es una actividad extremamente delicada y compleja. La
vala legal y tcnica de las evidencias en la mayora de
ocasiones depende del proceso realizado en la recopilacin
y preservacin de las mismas.

ISO/ IEC 27037:2012 proporciona directrices para

actividades especficas en el manejo de evidencia
digital, que son identificacin, recogida, adquisicin y
conservacin de evidencia digital potencial que puede
ser de valor evidencial.
Proporciona gua a individuos con respecto a situaciones
comunes encontradas por todas partes del proceso de
manejo de evidencia digital y ayuda organizaciones en
sus procedimientos disciplinarios y al facilitar la
divisa de evidencia digital potencial entre
jurisdicciones.
ISO/ IEC 27037:2012 da gua para los dispositivos
siguientes y circunstancias:

A los soportes de almacenamiento digitales

utilizados en ordenadores estndares les gustan
discos duros, disquetes, discos pticos y magneto
pticos, dispositivos de datos con funciones
parecidas
Telfonos mviles, Ayudantes Personales (PDAs) de
Digital, Electrnicos Dispositivos Personales
(PEDs), tarjetas de memoria
Sistemas de navegacin mviles
Digital tranquilo y cmaras de vdeo que (incluyen
CCTV )
Ordenador estndar con conexiones de red
Redes basadas en TCP/IP y otros protocolos digitales
y
Dispositivos con funciones parecidas como encima.

La lista citada de dispositivos es una lista indicativa

y no exhaustivo.
LA NORMA ISO/IEC 27037:2012 Information technology
Security techniques Guidelines for identification,
collection, acquisition and preservation of digital
evidence viene a renovar a las ya antiguas directrices
RFC 3227 estando las recomendaciones de la ISO 27037 ms
dirigidas a dispositivos actuales y estn ms de acorde
con el estado de la tcnica actual.

Esta norma ISO 27037 est claramente orientada al

procedimiento de la actuacin pericial en el escenario de
la recogida, identificacin y secuestro de la evidencia
digital, no entra en la fase de Anlisis de la evidencia.

Las tipologas de dispositivos y entornos tratados en la

norma son los siguientes:

Equipos y medios de almacenamiento y

dispositivos perifricos.
Sistemas crticos (alta exigencia de
disponibilidad).
Ordenadores y dispositivos conectados en red.
Dispositivos mviles.
Sistema de circuito cerrado de televisin
digital.

LOS PRINCIPIOS BSICOS EN LOS QUE SE BASA LA NORMA SON:

APLICACIN DE MTODOS
La evidencia digital debe ser adquirida del modo menos
intrusivo posible tratando de preservar la originalidad
de la prueba y en la medida de lo posible obteniendo copias
de respaldo.

PROCESO AUDITABLE
Los procedimientos seguidos
deben haber sido validados y
prcticas profesionales. Se
evidencias de lo realizado y
y la documentacin generada
contrastados por las buenas
debe proporcionar trazas y
sus resultados.
PROCESO REPRODUCIBLE
Los mtodos y procedimientos aplicados deben de ser
reproducibles, verificables y argumentables al nivel de
comprensin de los entendidos en la materia, quienes
puedan dar validez y respaldo a las actuaciones
realizadas.

PROCESO DEFENDIBLE
Las herramientas utilizadas deben de ser mencionadas y
stas deben de haber sido validadas y contrastadas en su
uso para el fin en el cual se utilizan en la actuacin.

Para cada tipologa de dispositivo la norma divide la

actuacin o su tratamiento en tres procesos diferenciados
como modelo genrico de tratamiento de las evidencias:

LA IDENTIFICACIN
Es el proceso de la identificacin de la evidencia y
consiste en localizar e identificar las potenciales
informaciones o elementos de prueba en sus dos posibles
estados, el fsico y el lgico segn sea el caso de cada
evidencia.

LA RECOLECCIN Y/O ADQUISICIN

Este proceso se define como la recoleccin de los
dispositivos y la documentacin (incautacin y secuestro
de los mismos) que puedan contener la evidencia que se
desea recopilar o bien la adquisicin y copia de la
informacin existente en los dispositivos.

LA CONSERVACIN/PRESERVACIN
La evidencia ha de ser preservada para garantizar su
utilidad, es decir, su originalidad para que a posteriori
pueda ser sta admisible como elemento de prueba original
e ntegra, por lo tanto, las acciones de este proceso
estn claramente dirigidas a conservar la Cadena de
Custodia, la integridad y la originalidad de la prueba.