ISO/IEC 27037.

ISO 27037 es la norma de informática forense para identificar, recopilar, adquirir y preservar evidencia digital. Es la referencia que utiliza un equipo forense interno, un CERT o un consultor de apoyo en litigios para mantener la cadena de custodia íntegra. Trátela como el protocolo con el que auditores y abogados compararán sus actuaciones tras un incidente.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

La perspectiva de Cyber Academy

ISO 27037 es la norma de informática forense para identificar, recopilar, adquirir y preservar evidencia digital. Es la referencia que utiliza un equipo forense interno, un CERT o un consultor de apoyo en litigios para mantener la cadena de custodia íntegra. Trátela como el protocolo con el que auditores y abogados compararán sus actuaciones tras un incidente.

Qué regula la norma ISO/IEC 27037

La ISO/IEC 27037 es la directriz internacional para la primera fase, la más frágil, de cualquier investigación digital: hacerse con la evidencia sin destruirla. Se enmarca dentro de la familia más amplia ISO/IEC 27000, junto a la ISO/IEC 27001, pero mientras la 27001 indica cómo gestionar un sistema de gestión, la 27037 indica a sus intervinientes exactamente cómo manipular un servidor en funcionamiento, un portátil incautado, un teléfono o una cuenta en la nube para que lo capturado pueda después resistir el escrutinio. Cubre cuatro actividades en secuencia: identificar la evidencia digital potencial, recolectar los dispositivos físicos, adquirir los datos de ellos y preservar tanto los dispositivos como las copias hasta la entrega.

La norma introduce dos roles a los que los profesionales recurren constantemente. El Digital Evidence First Responder (DEFR) es la persona presente en la escena que decide qué incautar y cómo. El Digital Evidence Specialist (DES) posee la competencia técnica más profunda para tratar los casos delicados, como los sistemas en vivo, los volúmenes cifrados o el hardware inusual. Se espera de ambos que documenten cada decisión, porque el valor de la evidencia digital descansa menos en los bytes en sí mismos que en si puede probar que no fueron alterados.

La cadena de custodia y los principios que la sustentan

La 27037 se apoya en un puñado de principios que reaparecen en todo método forense creíble. La evidencia adquirida debe ser pertinente, fiable y suficiente. Las acciones realizadas sobre el original deben mantenerse en el mínimo necesario y estar plenamente justificadas. Cualquier persona competente debe poder repetir el proceso y llegar al mismo resultado, razón por la cual las herramientas de imagen, los bloqueadores de escritura y los hashes de verificación importan tanto. El hilo que lo une todo es la cadena de custodia: un registro continuo y documentado de quién tuvo la evidencia, qué hizo con ella y cuándo, desde el momento de la recolección hasta su presentación.

  • Identificación: reconocer lo que podría constituir evidencia, desde discos y teléfonos hasta memoria volátil y capturas de red.
  • Recolección: retirar los dispositivos de la escena, con el orden de volatilidad decidiendo qué se captura primero.
  • Adquisición: producir una copia verificable, normalmente una imagen forense validada mediante un hash criptográfico.
  • Preservación: proteger el original y las copias frente a toda alteración, pérdida o contaminación.

Dónde encaja en la respuesta a incidentes y en la familia más amplia

En la práctica, la 27037 es el puente entre detectar un incidente y poder hacer algo útil con los artefactos después. Un SOC interno que toma una imagen de disco de la manera equivocada, o que borra la memoria volátil al reiniciar un host comprometido, puede detectar a un atacante a la perfección y aun así acabar con una evidencia en la que ningún tribunal o regulador confiará. Por eso se lee junto a las orientaciones de gestión de incidentes de la ISO/IEC 27035 y los controles del Anexo A de la ISO/IEC 27001. La disciplina es la misma tanto si el objetivo es una acción penal, un conflicto laboral, una reclamación de seguro o, sencillamente, un informe interno que resista la impugnación.

Para los profesionales, la conclusión es procedimental, no teórica. Decida de antemano quiénes son sus DEFR y DES, dóteles de herramientas validadas, redacte el formulario de cadena de custodia antes de necesitarlo y ensaye el orden de volatilidad para que nadie reinicie la única máquina que importaba. Cuando una investigación sale mal, casi nunca es el análisis lo que falla. Es la primera hora, justamente la hora sobre la que está escrita la 27037.

Frequently asked questions

01¿Puede mi organización certificarse en la ISO/IEC 27037?

No. Es una norma de directrices para la manipulación de la evidencia digital, no una norma de requisitos, de modo que no hay nada contra lo que certificarse. La adopta como el método que siguen sus intervinientes y el referente con el que se juzga su tratamiento.

02¿Cuál es la diferencia entre un DEFR y un DES?

El Digital Evidence First Responder es la persona en la escena que identifica y recolecta la evidencia. El Digital Evidence Specialist posee una experiencia técnica más profunda para los casos más difíciles, como los sistemas en vivo, el cifrado o el hardware inusual. Ambos deben documentar sus acciones.

03¿Cómo se relaciona la ISO/IEC 27037 con la ISO/IEC 27041, 27042 y 27043?

La 27037 cubre la identificación, recolección, adquisición y preservación de la evidencia. La 27041 aborda el aseguramiento y la validación de métodos, la 27042 cubre el análisis y la interpretación, y la 27043 enmarca el conjunto del proceso de investigación. Están diseñadas para usarse juntas.

04¿Por qué importa tanto la cadena de custodia?

El valor probatorio de los datos digitales depende de probar que no fueron alterados tras la recolección. Un registro continuo y documentado de quién manipuló la evidencia y qué hizo con ella es lo que permite que un abogado, un auditor o un regulador confíe en ella.

05¿La ISO/IEC 27037 se aplica solo a los casos penales?

No. La misma disciplina de manipulación se aplica a las investigaciones internas, los conflictos laborales, las reclamaciones de seguro y los asuntos regulatorios. Cualquier situación en la que su tratamiento de la evidencia pudiera impugnarse después se beneficia de ella.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.