ISO/IEC 27037:2012 Nueva norma para la Recopilacin

de Evidencias.
La actuacin de campo de la recopilacin de las evidencias es un actividad
extremamente delicada y compleja. La vala legal y tcnica de las evidencias en la
mayora de ocasiones depende del proceso realizado en la recopilacin y
preservacin de las mismas.
La norma ISO/IEC 27037:2012 Information technology Security techniques
Guidelines for identification, collection, acquisition and preservation of digital
evidence viene a renovar a las ya antiguas directrices RFC 3227 estando las
recomendaciones de la ISO 27037 ms dirigidas a dispositivos actuales y estn ms
de acorde con el estado de la tcnica actual.
Esta norma ISO 27037 est claramente orientada al procedimiento de la actuacin
pericial en el escenario de la recogida, identificacin y secuestro de la evidencia
digital, no entra en
la fase de Anlisis de la evidencia.
Las tipologas de dispositivos y entornos tratados en la norma son los siguientes:
Equipos y medios de almacenamiento y dispositivos perifricos.
Sistemas crticos (alta exigencia de disponibilidad).
Ordenadores y dispositivos conectados en red.
Dispositivos mviles.
Sistema de circuito cerrado de televisin digital.
Los principios bsicos en los que se basa la norma son:
Aplicacin de Mtodos
La evidencia digital debe ser adquirida del modo menos intrusivo posible tratando

de preservar la originalidad de la prueba y en la medida de lo posible obteniendo

copias de respaldo.
Proceso Auditable
Los procedimientos seguidos y la documentacin generada deben haber sido
validados y contrastados por las buenas prcticas profesionales. Se debe
proporcionar trazas y evidencias de lo realizado y sus resultados.

Proceso Reproducible
Los mtodos y procedimientos aplicados deben de ser reproducibles, verificables y
argumentables al nivel de comprensin de los entendidos en la materia, quienes
puedan dar validez y respaldo a las actuaciones realizadas.
Proceso Defendible
Las herramientas utilizadas deben de ser mencionadas y stas deben de haber sido
validadas y contrastadas en su uso para el fin en el cual se utilizan en la actuacin.
Para cada tipologa de dispositivo la norma divide la actuacin o su tratamiento en
tres procesos diferenciados como modelo genrico de tratamiento de las
evidencias:
La identificacin
Es el proceso de la identificacin de la evidencia y consiste en localizar e identificar
las potenciales informaciones o elementos de prueba en sus dos posibles estados, el
fsico y el lgico segn sea el caso de cada evidencia.
La recoleccin y/o adquisicin
Este proceso se define como la recoleccin de los dispositivos y la documentacin
(incautacin y secuestro de los mismos) que puedan contener la evidencia que se
desea recopilar o bien la adquisicin y copia de la informacin existente en los
dispositivos.
La conservacin/preservacin
La evidencia ha de ser preservada para garantizar su utilidad, es decir, su
originalidad para que a posteriori pueda ser sta admisible como elemento de
prueba original e ntegra, por lo tanto, las acciones de este proceso estn
claramente dirigidas a conservar la Cadena de Custodia, la integridad y la
originalidad de la prueba.
Nota: En mi libro Peritaje Informtico y Tecnolgico podris encontrar la norma
desarrollada y comentada en castellano.
Enlace a la norma:
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=44381

A R TI CU L O 2 1 1 B I S 1 A L 7 D E L C DI G O P E NA L
F E DE RA L RE L A TI V O A L A C CE S O I L CI TO A S I S TE MA S
Y E Q UI P O S DE I NF O R M TI CA
18 junio, 2015

-Artculo 211 bis 1 al 7 del cdigo penal federal relativo al acceso ilcito a sistemas y
equipos de informtica

Bis 1: al que sin autorizacin modifique, destruya o provoque perdida de informacin

contenida en sistemas protegidos por algn mecanismo de seguridad se le impondrn de 6
meses a 2 aos de prisin y de 100 a 300 dias de multa
Bis 2: al que sin autorizacin modifique , destruya o provoque perdida de informacin
contenida en sistemas o equipos de informtica del estado , protegidos por algn
mecanismo de seguridad se le impondrn de uno a cuatro aos de prisin y de 200 a 600
dias de multa
Bis 3: al que estando autorizado para acceder a sistemas y equipos de informtica del
estado, indebidamente modifique , destruya o provoque perdida de informacin que
contengan, se le impondrn de 2 a 8 aos de prisin y de 300 a 900 dias de multa
Bis 4: al que sin autorizacin modifique, destruya o provoque perdida de informacin
contenidaen sistemas o equipos de seguridad, se le impondrn de 6 meses a 4 aos de
prisin y de 100 a 300 dias de multa
Bis 5: al que estando autorizado para acceder a sistemas y equipos de informtica de las
instituciones que integran el sistema financiero, indebidamente copie informacin que
contengan, se le impondrn de 3 meses a 2 aos de prisin y de 100 a 300 dias de multa
Bis 6: para los efectos de los artculos bis 4 y bis 5 anteriores, se entiende por instituciones
que integran el sistema financiero, las sealadas en el articulo 400 bis de este cdigo.
Bis 7: las penas previstas es este captulo se aumentaran hasta en una mitad cuando la
informacin obtenida se utilice en provecho o ajeno.