Cuando una empresa detecta una filtración de información, un acceso no autorizado, la eliminación deliberada de archivos o una posible conducta fraudulenta, la primera reacción suele ser revisar de inmediato el equipo involucrado. Sin embargo, abrir carpetas, encender una computadora apagada o ejecutar herramientas convencionales puede modificar precisamente los datos que se pretende conservar. Entendemos que la información digital es frágil. El sistema operativo actualiza registros, cambia marcas de tiempo y crea archivos temporales aun cuando el usuario no realiza una acción visible. Por ello, la informática forense no consiste simplemente en buscar archivos, sino en preservar, adquirir, verificar y analizar información mediante procedimientos reproducibles.
Para las PyMEs y los directores de operaciones, esta disciplina puede aplicarse ante incidentes de ciberseguridad, incumplimientos de políticas, auditorías o procedimientos judiciales. En todos esos escenarios, la utilidad de los hallazgos depende de que podamos explicar de dónde provienen, quién los manipuló y cómo comprobamos que no fueron alterados. Conozca más sobre nuestro servicio de búsqueda forense de archivos.
Clave: La evidencia digital debe tratarse como una cadena de custodia: cada paso debe documentarse para garantizar su integridad y trazabilidad ante una auditoría o un proceso legal.
Fundamentos jurídicos de la evidencia electrónica en México
En el ámbito penal mexicano, el artículo 227 del Código Nacional de Procedimientos Penales define la cadena de custodia como el sistema de control y registro aplicado a un indicio o evidencia desde su localización hasta que la autoridad competente determina su conclusión. La norma contempla la identidad y el estado original del elemento, las condiciones de recolección, preservación, empaque y traslado, los lugares y fechas de permanencia, así como las personas que tuvieron contacto con él.
En el entorno digital, esto significa que no basta con entregar una memoria USB que contenga archivos aparentemente relevantes. Debemos relacionarlos con el dispositivo de origen, documentar su recolección, identificar a cada responsable y conservar registros técnicos que permitan verificar su integridad. El artículo 228 aclara además que una alteración durante la cadena de custodia no provoca automáticamente la pérdida de valor probatorio, pero una documentación incompleta o una manipulación injustificada puede debilitar la confiabilidad del análisis.
Por esa razón, en Compuline recomendamos activar un protocolo antes de investigar. La dirección, el área jurídica, recursos humanos, seguridad de la información y el responsable técnico deben definir el objetivo, alcance y autoridad de la intervención. Si existe la posibilidad de una denuncia o litigio, conviene involucrar desde el inicio a especialistas jurídicos y periciales.
Recolección física sin alterar el dispositivo
La primera regla es observar y documentar antes de tocar. Debemos fotografiar el equipo, su pantalla, conexiones, accesorios y ubicación. También conviene registrar marca, modelo, número de serie, fecha, hora, persona que lo localizó y estado de encendido.
Si una computadora se encuentra apagada, no debemos encenderla para comprobar su contenido. El arranque modifica registros, monta sistemas de archivos y puede activar sincronizaciones. Si está encendida, tampoco debemos apagarla sin evaluación. La memoria RAM puede contener claves de cifrado, sesiones, conexiones y procesos activos que desaparecerían al cortar la energía. En teléfonos y dispositivos inalámbricos existe la posibilidad de bloqueo, borrado o modificación remota; las bolsas de Faraday ayudan a atenuar señales, pero no garantizan un aislamiento perfecto.
Después de documentar, el dispositivo debe identificarse, sellarse y embalarse conforme a su naturaleza. Cada entrega y recepción debe registrar fecha, hora, responsable, firma, propósito de la transferencia y condiciones del sello. Así, cada cambio de custodia queda integrado a la trazabilidad.
| Elemento de la cadena de custodia | Acciones recomendadas |
|---|---|
| Identificación | Marca, modelo, número de serie, estado de encendido. |
| Documentación visual | Fotografías del equipo, conexiones, ubicación y accesorios. |
| Sellado y embalaje | Protección física con sellos firmados, bolsas antiestáticas o Faraday según corresponda. |
| Registro de transferencias | Cada entrega debe incluir fecha, hora, responsable, firma y propósito. |
| Verificación de integridad | Cálculo de hashes al inicio y fin de cada etapa para garantizar que la evidencia no fue alterada. |
Fases de la adquisición forense de datos
La adquisición es el proceso mediante el cual obtenemos una copia técnicamente verificable sin trabajar directamente sobre el soporte original. Antes de iniciarla, el laboratorio debe preparar medios de destino limpios, herramientas verificadas, almacenamiento suficiente y formatos de registro. El procedimiento comienza con la identificación del dispositivo: un disco SATA, una unidad NVMe, un arreglo RAID, una memoria USB, un teléfono o una máquina virtual requieren interfaces y decisiones distintas.
Si una unidad presenta fallas, puede ser necesario estabilizar primero el hardware para evitar que nuevos intentos de lectura aceleren su deterioro. Desde nuestra experiencia en recuperación de datos, sabemos que un disco con fallas mecánicas o electrónicas no debe someterse a pruebas repetitivas con programas de uso general. La prioridad es preservar el medio y determinar si puede realizarse una adquisición controlada.
Imagen forense bit a bit y bloqueadores de escritura
Una copia convencional conserva archivos visibles, pero puede omitir información eliminada, espacio no asignado, datos residuales y estructuras del sistema de archivos. Cuando se requiere una preservación amplia, se crea una imagen forense bit a bit. Este método reproduce el contenido del medio e incluye, según la adquisición, archivos activos, datos eliminados todavía no sobrescritos, particiones y metadatos. El análisis posterior se efectúa sobre una copia de trabajo y no sobre el original.
Para impedir que la estación forense escriba en la unidad fuente se utiliza un bloqueador de escritura o write-blocker, que permite la lectura mientras rechaza comandos capaces de modificar el soporte. Debemos comprobar su compatibilidad y funcionamiento, además de registrar fabricante, modelo, herramienta de adquisición, configuración, horarios, errores de lectura y responsable. Una vez creada la imagen maestra, se conserva de forma segura y se genera una copia de trabajo.
Valores hash como huellas de integridad
Un valor hash es el resultado de aplicar una función matemática a un conjunto de datos. Si el contenido cambia, el resultado también debería hacerlo. Los hashes permiten comparar el soporte adquirido, la imagen maestra y las copias empleadas durante el análisis. En un procedimiento sólido, calculamos y registramos el hash durante la adquisición y lo verificamos al finalizar. Posteriormente, volvemos a calcularlo al transferir, duplicar o abrir la imagen en una nueva estación de trabajo.
La coincidencia no demuestra quién creó un archivo ni confirma que su contenido sea verdadero, pero permite demostrar que los conjuntos de datos comparados permanecen iguales desde el momento en que se generó la huella criptográfica. Aunque algunas herramientas todavía reportan MD5 o SHA-1, resulta prudente incorporar algoritmos de la familia SHA-2, como SHA-256, conforme a las recomendaciones del NIST.
Intervención de peritos y laboratorios especializados
La informática forense combina conocimientos de sistemas operativos, almacenamiento, redes, ciberseguridad y documentación jurídica. Recuperar archivos no equivale a emitir una conclusión pericial. Un dictamen debe explicar el método, justificar las herramientas, delimitar las condiciones de la evidencia y presentar resultados que puedan ser revisados por terceros.
En Compuline consideramos que la experiencia en hardware y recuperación de información es decisiva cuando el medio está averiado. Un disco abierto fuera de un entorno controlado, una unidad con componentes dañados o un arreglo RAID reconstruido mediante prueba y error puede sufrir alteraciones irreversibles. Por esta razón, antes de intervenir debemos distinguir entre reparación, recuperación operativa y adquisición forense.
Cuando un disco duro presenta daños físicos, la obtención de la imagen puede requerir equipos especializados, lectura controlada por sectores y procedimientos que prioricen las zonas más estables. En arreglos RAID, además, es necesario conservar la posición de cada unidad, el nivel, el tamaño de bloque y otros parámetros para la reconstrucción forense.
Preparación preventiva para una PyME
La preservación de evidencia no debe comenzar después de que ocurre el incidente. Una organización puede prepararse mediante un protocolo que indique quién debe recibir el reporte, quién está autorizado para aislar equipos y en qué momento debe solicitarse apoyo externo. También conviene mantener un inventario actualizado de computadoras, discos, servidores, teléfonos y dispositivos removibles, con registros de asignación que relacionen cada equipo con su usuario y ubicación.
La sincronización horaria es otro elemento relevante: si servidores, computadoras, cámaras y aplicaciones tienen horarios diferentes, la reconstrucción cronológica del incidente se vuelve más compleja. Asimismo, los respaldos de información deben almacenarse con controles de acceso y protección contra modificaciones. Finalmente, los contratos y políticas internas deben establecer reglas claras sobre el uso de equipos corporativos y la confidencialidad de la información.
Preservar antes de analizar
La informática forense convierte datos frágiles en evidencia técnicamente trazable. Para lograrlo, debemos preservar el estado del dispositivo, documentar cada contacto, adquirir la información con controles de escritura, verificarla mediante hashes y trabajar sobre copias. Recuperar busca devolver información utilizable; preservar evidencia exige, además, demostrar cómo fue obtenida y que se mantuvo íntegra.
Por ello, ante un incidente corporativo, la acción correcta no es explorar el equipo por cuenta propia. El primer paso consiste en contener el riesgo sin improvisar, conservar el dispositivo y solicitar una evaluación técnica que considere desde el inicio la posible relevancia jurídica de la información.
Conclusión
Un procedimiento forense sólido protege a la empresa frente a disputas legales y garantiza que la evidencia digital pueda ser utilizada en auditorías o tribunales. La clave está en actuar con método, documentar cada paso y nunca alterar el medio original.
Solicita un análisis forensePreguntas frecuentes sobre informática forense
¿Qué es la informática forense en el marco jurídico mexicano?
Es la disciplina técnica orientada a identificar, preservar, adquirir, examinar y analizar datos digitales mediante métodos reproducibles, con el propósito de mantener su integridad y trazabilidad para auditorías, investigaciones internas o procedimientos judiciales.
¿Cómo se asegura la cadena de custodia en un dispositivo digital?
Se documenta cada interacción desde la localización del equipo, incluyendo su estado, fotografías, embalaje, sellos, responsables, transferencias y almacenamiento. Durante la adquisición se emplean controles de solo lectura y valores hash para verificar que la imagen analizada coincide con la evidencia preservada.
¿Qué errores pueden comprometer la evidencia electrónica?
Encender un equipo encontrado apagado, apagar sin evaluación un sistema activo, explorar el disco original, omitir transferencias de custodia, romper sellos sin registro o adquirir datos sin controles de escritura. No toda irregularidad invalida automáticamente la evidencia, pero puede reducir su eficacia o credibilidad si impide demostrar su origen e integridad.




