Este documento describe las 8 fases del análisis forense digital de acuerdo a la norma ISO/IEC 27037. La norma establece los principios de relevancia, confiabilidad y suficiencia para el manejo de evidencia digital. Las fases incluyen la planificación, adquisición en el lugar de los hechos, recepción en el laboratorio, análisis, preparación del informe y entrega de la evidencia digital al solicitante.

1. NORMA
ISO/IEC 27037
MANF Miriam Rosete
Fonseca

2. ANÁLISIS
FORENSE:
ISO/IEC 27037
Manejo de evidencia digital
Sistematización de la identificación,
recolección, adquisición y preservación de la
evidencia
Mantener integra la evidencia con
metodologías aceptables que contribuyan a
su admisibilidad en procesos legales.
La norma establece tres principios
fundamentales: relevancia, confiabilidad y
suficiencia

3. PRINCIPIOS BASE DE ISO/IEC 27037
Relevancia
• es una condición técnicamente jurídica, ie, contiene información de valor para ayudar a la
investigación del hecho y que hay una buena razón para que se haya adquirido.Aquello que
deje de cumplir con el requisito, es simplemente irrelevante
Confiabilidad
• La evidencia que se extrae es lo que deber ser y que, si un tercero sigue el mismo proceso,
deberá obtener resultados similares verificables y comprobables. todos los procesos
utilizados en el manejo de la potencial evidencia digital deben ser auditables y repetibles
Suficiencia
• se tienen los elementos suficientes para sustentar los hallazgos y verificar las afirmaciones
efectuadas sobre la situación investigada

4. FASE 1- PLANIFICACIÓN DE LA INTERVENCIÓN EN EL LUGAR DEL HECHO
Recepción del
requerimiento judicial de
la Fiscalía
Planeación de la
intervención primaria en
el lugar del hecho
Necesidades con las
características del hecho
delictivo
Determinar, fecha, hora,
personal técnico
necesario y recursos
tecnológicos
Las tareas de recolección
se realizan en el sitio o en
un laboratorio
Seguir el Principio de
Completitud = Mayor
Información = Mejor
investigación, equivalente
al principio de Suficiencia

5. FASE 1-
PLANIFICACIÓN DE
LA INTERVENCIÓN
EN EL LUGAR DEL
HECHO
• Actividades por realizar:
• Definir objetos de interés y posibles fuentes de información digital a recolectar
en la intervención primaria del hecho.
• Elaborar un plan de acción que se seguirá durante la intervención en el lugar
del hecho
• Consideraciones en la preparación del plan:
• Dispositivos que vinculen al sujeto con la escena del crimen y la víctima.
• Priorizar dispositivos que den apoyo a las situaciones por probar.
• Adoptar las medidas necesarias para evitar potenciales pérdidas de información
almacenada en los dispositivos.
• Definir procedimientos sobre los dispositivos que sean respetados como
prácticas aceptadas para realizar una investigación de manera sistemática e
imparcial

6. FASE 2-.INTERVECIÓN EN EL LUGAR DEL HECHO
La entrada es lo obtenido en la fase 1, y el resultado es el
conjunto de elementos incautados con documentos que
respaldan las acciones efectuadas, considerando las siguientes
actividades:
• 2.1 Asegurar la escena del crimen.
• 2.2 Identificar los objetos de interés que se encuentran en la escena del
crimen
• 2.3 Documentar los elementos incautados.

7. FASE 2-.INTERVECIÓN EN EL LUGAR DEL HECHO
2.1 Asegurar la escena
del crimen.Asegurar que
nadie ni nada altere la
escena a investigar
• Identificar la escena y establecer un perímetro de
seguridad.
• Restringir el acceso de personas y equipos informatizados
en el perímetro trazado.
• Impedir el uso de dispositivos con tecnología inalámbrica.
• Preservar las huellas mediante la utilización de guantes
látex

8. FASE 2-.INTERVECIÓN EN EL LUGAR DEL HECHO
2.2 Identificar los objetos de interés que se encuentran en la escena del crimen
• Verificar el estado del dispositivo : encendido o apagado
• Encendido: se requiere mantener la batería cargada y sin manipular, evitando tocar la pantalla
táctil. Además, realizar los procedimientos adecuados para aislar al dispositivo de la red
(cubriéndolo con varias capas de papel aluminio, colocarlo en una Jaula Faraday, encender un
inhibidor de señal en cercanía del dispositivo o configurar el dispositivo en Modo de Avión).
Luego, apagarlo.
• Apagado: mantener de ese modo para ser trabajado en el laboratorio con las herramientas
específicas, y de esta manera evitar la sobreescritura.
• Apagado el dispositivo extraer batería (en su caso9), y memorias externas. Embalar en un
mismos sobre, instruyendo sobre la posición de la tarjeta SIM en caso de ser un celular.
• Considerar la solicitud del método de acceso cómo el pin, contraseña, patrón, huella dactilar,
entre otros, que utilizan los dispositivos incautados que constituyen el documento en la cadena
de custodia.

9. FASE 2-.INTERVECIÓN EN EL LUGAR DEL HECHO
2.3 Documentar
los elementos
incautados.
• Cada elemento recolectado debe ser correctamente embalado y
rotulado con los datos que los identifiquen
• Inviolabilidad de los cierres
• Con sello de la Fiscalía y con la firma del Fiscal de Instrucción y
testigos que dan fe del acto
• Acta denominada cadena de custodia, siendo el registro
minucioso del movimiento de la evidencia y las personas
responsables que tomaron contacto con ella

10. FASE 2-.INTERVECIÓN EN EL LUGAR DEL HECHO
2.3 Documentar
los elementos
incautados.
Descripción de cada elemento incautado, detallando marca, modelo, IMEI, SIM y
alguna característica que lo distinga (color, si tiene algún daño físico, etc.).
Lugar de recolección y el número o letra con que se identifica a la evidencia durante
el procedimiento en el lugar del hecho.
Los eslabones, que se corresponde con cada persona que tome contacto con la
evidencia. Se debe hacer constar nombre completo del interviniente, dependencia
a la cual pertenece, fecha y hora de recepción e integridad del embalaje (Ej.“sobre
cerrado, rotulado y firmado en sus cierres”).
Firmas, a través de la cual se manifiesta la voluntad de una persona, dando fe de las
actuaciones.

11. FASE 2-.INTERVECIÓN EN EL LUGAR DEL HECHO
• Inspeccionar el lugar para detectar todos los objetos de interés
para la investigación.
• Realizar el levantamiento de los objetos identificados utilizando
los medios adecuados al tipo de evidencia, esto es: colocarse
guantes, elementos de protección para evitar contaminación,
fotografiar dispositivos.
Para esta fase se
recomienda:
• Rotular cada elemento,disponiendo para ello de una zona despejada.
• Confeccionar el acta de incautado,consignando número de tarjeta SIM e
IMEI (identidad internacional de equipo móvil, por su sigla en inglés),
estado general del dispositivo y demás accesorios identificados (cables,
tarjetas de memoria, cargador, etc.).
• Almacenar adecuadamente el equipamiento recolectado.
• Iniciar la cadena de custodia.
Si fuera necesario solicitar al
Gabinete de Criminalística para
que registre la existencia de
huellas digitales o cualquier
otro elemento biológico acorde
sus procedimientos.

12. FASE 3-
.RECEPCIÓN
DEL OFICIO
SOBRE
SOLICITUD DE
PERICIA
• Es responsabilidad del Gabinete de Ciencias
Forenses recibir para la adquisición de la evidencia
los objetos de interés incautados y, asegurar la
conservación y su preservación

13. FASE 3-
.RECEPCIÓN
DEL OFICIO
SOBRE
SOLICITUD DE
PERICIA.
ASPECTOS POR
CONSIDERAR
• Disponer de un área de recepción – mesa de entrada del Gabinete de
Ciencias Forenses- que se encuentre separada del área de laboratorio donde
llevan a cabo la tarea técnica los peritos; logrando de esta manera evitar el
acceso no autorizado al laboratorio.
• Llevar un registro de los elementos ingresados al Gabinete.
• Disponer de un área designada para ubicar los elementos recibidos que
posteriormente serán asignados al perito responsable
• Verificar que los datos consignados en el rótulo del sobre (en el que se
encuentra el objeto recibido) se corresponda con lo especificado en la
cadena de custodia correspondiente.
• Chequear el estado del sobre (roto, abierto, etc.) y consignar en el espacio
de “observaciones” del eslabón correspondiente en la cadena de custodia.
• Completar un nuevo eslabón de la cadena de custodia con los datos del
responsable del área de recepción consignando firma, datos personales,
dependencia, fecha, hora y las observaciones que se consideren oportunas.
• Registrar los datos generados en esta etapa, por ejemplo, identificación del
número de ingreso (asignados por el responsable de la mesa de entrada del
Gabinete de Ciencias Forense), fecha de la pericia, perito designado,
prioridad asignada a la causa, entre otros.

14. FASE 3-
.RECEPCIÓN
DEL OFICIO
SOBRE
SOLICITUD
DE PERICIA.
ETAPAS DE
RECEPCIÓN
• 3.2 Ingresar oficio.
• Recepción de oficio judicial en la mesa de
entrada del Gabinete de Informática
Forense. Revisión del oficio, determinando si
lo solicitado es factible según el alcance de la
ciencia forense digital, es decir, la evidencia
es electrónica y no de otra manera – como el
ADN o las huellas dactilares
• Controlando: número de legajo que
identifique la causa, identificación de las
partes (imputados, denunciante, victima), el
delito en cuestión, identificación de los
elementos incautados que son remitidos,
puntos de interés, una breve reseña de la
causa y la firma de la autoridad competente

15. FASE 3-
.RECEPCIÓN
DEL OFICIO
SOBRE
SOLICITUD DE
PERICIA.
ETAPAS DE
RECEPCIÓN
• 3.3.1 Asignar prioridad a la causa.
• A partir del oficio, el responsable de la mesa de entrada del Gabinete de
Ciencias Forense evalúa la prioridad de la causa para determinar la urgencia de
la pericia y organizar las actividades involucradas en la pericia
• 3.3.2 Designar Perito a la causa. Acuerdo de Fecha de inicio
• Los métodos y herramientas pertinentes que se utilizaran en la etapa de
Adquisición para el atender el pedido.
• La disponibilidad del personal para llevar a cabo las actividades de pericia.
• Comunica al Fiscal de la causa “perito asignado, lugar, fecha y hora del inicio de
la pericia” para su notificación a las partes, con al menos 3 días de
anticipación[10].
• Reserva el uso de los equipos forenses necesarios según los elementos
remitidos para la pericia (por ejemplo, módulo de extracción de datos UFED).

16. FASE 4-.ELABORACIÓN DEL PLAN DE TRABAJO PERICIAL
El perito asignado cuenta con un espacio ordenado para la elaboración del trabajo pericial, cuyas actividades son:
• Recabar información sobre el objeto de la investigación, para comprender los objetivos que se pretende alcanzar con
la labor pericial en el marco de la investigación penal preparatoria.
• Informarse sobre los tiempos procesales a fin de establecer una prioridad para el caso.
• Sugerir la solicitud de determinadas pruebas o informes como, por ejemplo: reportes a empresas telefónicas, de
proveedores de servicios de internet, método de seguridad de acceso (contraseña, pin o patrón de bloqueo).
• Establecer las herramientas técnicas y el equipamiento necesario para realizar la Adquisición y el Análisis de la
evidencia digital

17. FASE 5-
.ADQUISICIÓN
Realización de la copia forense del dispositivo,
incluyendo las tarjetas externas y las
actividades son:
5.1 Apertura del sobre
• Abre el sobre, crea un acta, consignando la discordancia en
la cadena de custodia, especificando marca, modelo, no. de
serie, IMEI, color, incluyendo las memorias externas.
• Se toma fotografía de cada elemento, verificando su estado
5.2 Completar el plan de trabajo pericial
• Especifica las tecnologías Forenses con las que se cuenta

18. FASE 5-
.ADQUISICIÓN
5.3 REALIZAR LA
COPIA FORENSE
Corroborar que el dispositivo se encuentra aislado
de toda red. Se puede emplear el clonado de la
tarjeta SIM o colocarlo en Modo Avión y desactivar
el WiFi, Bluetooth y otras conexiones de red para
evitar el intento de conexión de terceros.
Verificar el hash de la imagen forense para autenticar
y preservar la integridad de los datos.
Comprobar que los datos obtenidos tengan el
formato apropiado, fechas y horas consistentes y que
se pudo extraer toda la información

19. FASE 6-.
ANÁLISIS DE LA
EVIDENCIA
DIGITAL
Con la copia forense se seleccionan y analizan los
elementos relevantes según los puntos de pericia,
considerándolos como potencial evidencia digital
y las actividades son:
• Extraer la información de las imágenes
forenses, seleccionando la potencial evidencia
digital (archivos eliminados, comprimidos,
protegidos o encriptados, metadatos,
información de configuración, etc.)
• Analizar el contenido de los datos extraídos
• Analizar las relaciones entre los distintos
elementos extraídos.
• Proponer hipótesis y sugerir otras diligencias o
pericias que se consideren útiles para la causa
• Realizar el análisis con una mirada integral,
considerando el conjunto de dispositivos
vinculados al caso

20. FASE 7-.PREPARACIÓN DEL INFORME O DICTAMEN
PERICIAL
Documentando lo realizado durante todas las fases
del proceso, fundamentando todas las acciones, los
métodos, técnicas y herramientas utilizadas. A partir
del resultado de las fases previas, se elabora el
documento respondiendo a los puntos de pericia,
haciendo referencia a la evidencia digital detallada.
Fundamentando todas las acciones realizadas, los
métodos, técnicas y herramientas utilizadas.

21. FASE 8-.
REMISIÓN DE
LOS
ELEMENTOS
PERITADOS Y
ENTREGA DEL
DICTAMEN
Finalizada la pericia, el documento del dictamen o el informe y los
elementos probatorios se remiten al solicitante, resguardando el
material para garantizar su integridad y autenticidad hasta el final del
proceso. Las actividades son:
Elaborar un acta de remisión, detallando los elementos que se
entregarán y la persona que queda a su resguardo
Generar un nuevo eslabón en la cadena de custodia con los datos de la
persona a la cual se le entregan los dispositivos peritados.
Remitir los elementos incautados conjuntamente con el dictamen al
organismo solicitante.
Definir el resguardo de las copias forenses y los documentos generados
en cada fase, según las políticas establecidas por la autoridad
competente (en función de los recursos de almacenamiento
disponibles, relevancia del caso y otros criterios internos).