ISO 27037
Norma internacional que proporciona directrices para la identificación, recopilación, adquisición y preservación de evidencia digital, estableciendo el estándar metodológico para investigaciones forenses digitales.
¿Qué es la ISO 27037?
La ISO/IEC 27037:2012 es una norma internacional que proporciona directrices para las actividades específicas relacionadas con el manejo de evidencia digital potencial. Publicada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), establece los principios fundamentales para la identificación, recopilación, adquisición y preservación de evidencia digital.
La norma forma parte de la familia ISO/IEC 27000 de estándares de seguridad de la información, pero se centra específicamente en el tratamiento forense de la evidencia digital de manera que mantenga su integridad y autenticidad para su uso posterior en procedimientos legales.
ISO 27037 es reconocida internacionalmente como la referencia metodológica para investigaciones forenses digitales, y su aplicación refuerza significativamente la credibilidad de la evidencia ante tribunales.
Complemento a otras normas
ISO 27037 se complementa con:
- ISO 27041: Directrices para la garantía de idoneidad e adecuación de métodos de investigación
- ISO 27042: Directrices para el análisis e interpretación de evidencia digital
- ISO 27043: Principios y procesos de investigación de incidentes
- ISO 27050: Descubrimiento electrónico (eDiscovery)
Principios fundamentales
La ISO 27037 establece tres principios básicos que deben guiar todo el proceso de manejo de evidencia digital:
1. Relevancia
La evidencia debe ser relevante para el caso:
- Relacionada directamente con los hechos investigados
- Útil para probar o refutar hipótesis
- Proporcional al objetivo de la investigación
2. Confiabilidad
Los procesos utilizados deben ser reproducibles y verificables:
- Metodología documentada y repetible
- Herramientas validadas y reconocidas
- Resultados que otro profesional podría obtener
3. Suficiencia
La evidencia recopilada debe ser completa:
- Cantidad adecuada para sostener los hallazgos
- Contexto suficiente para su interpretación
- Sin omisiones que puedan afectar las conclusiones
Roles definidos por la norma
DEFR (Digital Evidence First Responder)
Primer interviniente en la escena que puede manejar evidencia digital:
Responsabilidades:
- Asegurar la escena
- Identificar evidencia digital potencial
- Documentar el estado inicial
- Preservar la integridad de la evidencia
- Transferir a especialistas si es necesario
Competencias requeridas:
- Conocimiento básico de dispositivos digitales
- Procedimientos de preservación de evidencia
- Documentación fotográfica y escrita
- Conciencia de volatilidad de datos
DES (Digital Evidence Specialist)
Profesional con competencias avanzadas en evidencia digital:
Responsabilidades:
- Adquisición técnica de evidencia
- Preservación de datos volátiles
- Aplicación de procedimientos especializados
- Asesoramiento a DEFR y laboratorio
Competencias requeridas:
- Conocimiento profundo de sistemas operativos
- Manejo de herramientas forenses
- Técnicas de adquisición avanzadas
- Comprensión de sistemas de archivos
Laboratorio Forense
Instalación con capacidades de análisis:
Requisitos:
- Entorno controlado y seguro
- Herramientas validadas
- Procedimientos documentados
- Personal cualificado
- Gestión de calidad
Fases del proceso forense según ISO 27037
Fase 1: Identificación
Reconocimiento de potenciales fuentes de evidencia digital:
Evaluar la escena
- Identificar todos los dispositivos digitales
- Determinar estado (encendido/apagado)
- Evaluar conexiones de red
Priorizar fuentes
- Datos volátiles (RAM, conexiones activas)
- Dispositivos de almacenamiento
- Medios extraíbles
- Servicios en la nube
Documentar hallazgos
- Fotografías del entorno
- Lista de dispositivos identificados
- Estado de cada dispositivo
- Observaciones relevantes
Fase 2: Recopilación
Proceso de asegurar los dispositivos físicos:
Asegurar la escena
- Controlar acceso al área
- Evitar interferencias
Documentar estado inicial
- Fotografiar conexiones
- Anotar indicadores de pantalla
- Registrar hora del sistema
Recoger dispositivos
- Usar guantes antiestáticos
- Etiquetar cada elemento
- Empaquetar adecuadamente
- Sellar contenedores
Iniciar documentación de custodia
- Fecha y hora de recopilación
- Persona responsable
- Descripción del elemento
- Estado del dispositivo
Fase 3: Adquisición
Creación de copias forenses de los datos:
Preparar entorno
- Verificar herramientas forenses
- Conectar write blocker
- Preparar medio de destino
Adquirir datos volátiles (si el sistema está encendido)
- Volcado de memoria RAM
- Conexiones de red activas
- Procesos en ejecución
- Usuarios conectados
Adquirir datos no volátiles
- Crear imagen forense bit a bit
- Calcular hashes (MD5, SHA-256)
- Verificar integridad de la copia
Documentar proceso
- Herramientas utilizadas
- Configuración aplicada
- Hashes obtenidos
- Verificaciones realizadas
Fase 4: Preservación
Mantenimiento de la integridad a largo plazo:
Almacenamiento seguro
- Ubicación con control de acceso
- Condiciones ambientales adecuadas
- Protección contra campos electromagnéticos
Documentación continua
- Registro de accesos
- Transferencias de custodia
- Verificaciones periódicas de integridad
Copias de respaldo
- Al menos dos copias de la imagen
- Almacenamiento en ubicaciones diferentes
- Verificación de hashes en cada copia
Cadena de custodia
- Registro ininterrumpido
- Firmas de cada transferencia
- Sellado de evidencia física
Documentación requerida
La ISO 27037 especifica documentación mínima necesaria:
Documentación de la escena
| Elemento | Contenido |
|---|---|
| Fecha y hora | Llegada, acciones, salida |
| Ubicación | Dirección, zona específica |
| Personal | Identidad de intervinientes |
| Estado dispositivos | Encendido/apagado, indicadores |
| Conexiones | Cables, redes, periféricos |
| Fotografías | Panorámicas, detalle de conexiones |
| Observaciones | Cualquier anomalía |
Documentación de adquisición
| Elemento | Contenido |
|---|---|
| Dispositivo origen | Marca, modelo, número de serie |
| Método adquisición | Herramienta, configuración |
| Formato imagen | E01, DD, AFF, etc. |
| Hashes calculados | MD5, SHA-1, SHA-256 |
| Verificación | Resultado de comprobación |
| Técnico responsable | Identificación y firma |
| Fecha y hora | Inicio y fin del proceso |
Formulario de cadena de custodia
┌─────────────────────────────────────────────────────────────────┐
│ CADENA DE CUSTODIA │
├─────────────────────────────────────────────────────────────────┤
│ Caso nº: ____________ Evidencia nº: ____________ │
│ │
│ Descripción: ______________________________________________ │
│ │
│ ─────────────────────────────────────────────────────────────── │
│ Fecha/Hora │ De (nombre/cargo) │ A (nombre/cargo) │ Propósito │
│ ─────────────────────────────────────────────────────────────── │
│ __________ │ _________________ │ ________________ │ _________ │
│ │ Firma: │ Firma: │ │
│ ─────────────────────────────────────────────────────────────── │
│ __________ │ _________________ │ ________________ │ _________ │
│ │ Firma: │ Firma: │ │
└─────────────────────────────────────────────────────────────────┘Aplicación en España
Marco legal
Aunque la ISO 27037 no es legalmente obligatoria en España, su aplicación:
- Demuestra diligencia profesional
- Refuerza la admisibilidad de la evidencia
- Proporciona defensa ante impugnaciones
- Cumple con expectativas de tribunales
Jurisprudencia relevante
La STS 300/2015 estableció que:
“La evidencia digital tiene pleno valor probatorio cuando se garantiza su autenticidad e integridad mediante técnicas forenses reconocidas.”
Seguir ISO 27037 cumple con este requisito de “técnicas forenses reconocidas”.
Adaptación al contexto español
La aplicación de ISO 27037 en España debe considerar:
Ley de Enjuiciamiento Criminal (LECrim)
- Requisitos de intervención judicial
- Garantías procesales
Ley Orgánica de Protección de Datos (LOPD/RGPD)
- Tratamiento de datos personales
- Limitación de finalidad
Ley de Enjuiciamiento Civil (LEC)
- Requisitos de prueba pericial
- Admisibilidad de documentos electrónicos
Caso práctico: Aplicación de ISO 27037
Situación: Una empresa detecta acceso no autorizado a su servidor de bases de datos. Se contrata a un perito informático para investigar.
Aplicación de ISO 27037:
Identificación (Fase 1)
El perito identifica:
- Servidor afectado (Dell PowerEdge, 4 discos RAID)
- Estación de trabajo del administrador
- Router con logs de acceso
- Backups en NAS
Documentación:
- Fotografías del CPD
- Lista de dispositivos con números de serie
- Estado del servidor (encendido, servicios activos)
Recopilación (Fase 2)
Se decide adquirir en caliente (servidor en producción):
- No se apaga el servidor
- Se aísla de la red (cable desconectado)
- Se documenta el estado antes de aislar
Adquisición (Fase 3)
Datos volátiles:
# Memoria RAM sudo lime-mem /casos/servidor-ram.lime # Conexiones de red (antes de desconectar) netstat -anp > conexiones.txt # Procesos activos ps auxf > procesos.txtDatos no volátiles:
- Imagen E01 de cada disco del RAID
- Imagen del NAS de backups
- Exportación de logs del router
Hashes calculados y verificados para cada imagen.
Preservación (Fase 4)
- Imágenes almacenadas en NAS forense con control de acceso
- Copia de respaldo en disco externo cifrado
- Cadena de custodia iniciada
Documentación del proceso
Informe de adquisición incluyendo:
- Referencia a ISO 27037 como metodología
- Detalle de cada fase
- Justificación de decisiones (ej: por qué adquisición en caliente)
- Hashes de todas las imágenes
- Cadena de custodia firmada
Resultado: El informe pericial cita cumplimiento de ISO 27037. Cuando la defensa cuestiona la metodología, el perito demuestra que siguió estándares internacionales, y el tribunal acepta la evidencia.
Herramientas compatibles con ISO 27037
Adquisición
| Herramienta | Cumplimiento ISO 27037 |
|---|---|
| Guymager | Hash múltiple, metadatos, verificación |
| FTK Imager | Hash, verificación, documentación |
| dc3dd | Hash integrado, logging |
Análisis
Documentación
- Formularios de cadena de custodia
- Software de gestión de casos
- Sistemas de control de evidencia
Relación con otros conceptos
- Cadena de custodia: ISO 27037 define cómo mantenerla
- Imagen forense: Fase de adquisición de la norma
- Write Blocker: Herramienta recomendada por la norma
- Perito informático: Rol de DES según la norma
- Formato E01: Cumple requisitos de documentación
Conclusión
La ISO 27037 proporciona el marco metodológico de referencia para el manejo de evidencia digital. Aunque no es legalmente obligatoria, su aplicación demuestra profesionalidad, refuerza la credibilidad de la evidencia y proporciona protección ante impugnaciones.
Para el perito informático, conocer y aplicar ISO 27037 no es solo buena práctica, sino una ventaja competitiva que diferencia el trabajo profesional del amateur.
Última actualización: Enero 2026 Categoría: Legal Código: CDC-008
Preguntas Frecuentes
¿Es obligatorio seguir la ISO 27037 en España?
No es legalmente obligatoria, pero es el estándar de referencia reconocido por tribunales. Seguir la ISO 27037 demuestra buenas prácticas profesionales y refuerza la validez de la evidencia. Un informe que cite cumplimiento de esta norma tiene mayor credibilidad.
¿Quién puede aplicar la ISO 27037?
Cualquier profesional involucrado en manejo de evidencia digital: peritos informáticos, fuerzas de seguridad, departamentos de IT corporativos, auditores de seguridad. La norma no exige certificación específica, pero sí competencia demostrable.
¿Qué relación tiene con la cadena de custodia?
La ISO 27037 establece los principios y procedimientos que garantizan la cadena de custodia. Define qué documentar, cómo preservar la integridad, y qué controles aplicar en cada fase del manejo de evidencia digital.
Términos Relacionados
Cadena de Custodia
Procedimiento documentado que garantiza la integridad, autenticidad y trazabilidad de la evidencia digital desde su recolección hasta su presentación en juicio.
Imagen Forense
Copia exacta bit a bit de un dispositivo de almacenamiento que preserva toda la información original, incluyendo archivos borrados y espacio no asignado, para su análisis forense.
Perito Informático
Profesional experto en tecnología que analiza evidencias digitales y elabora informes periciales con validez legal para procedimientos judiciales.
Análisis Forense Digital
Proceso científico de identificación, preservación, análisis y presentación de evidencia digital en procedimientos legales.
Write Blocker
Dispositivo hardware o software que impide cualquier escritura en un medio de almacenamiento, garantizando que la evidencia digital no sea modificada durante el análisis forense.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita