Nyce 27037 2015

NYCE
NORMA MEXICANA
NMX-I-27037-NYCE-2015
TECNOLOGÍAS DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD

- DIRECTRICES PARA LA IDENTIFICACIÓN, RECOPILACIÓN,
ADQUISICIÓN Y PRESERVACIÓN DE LA EVIDENCIA DIGITAL
INFORMATION TECHNOLOGY - SECURITY TECHNIQUES - GUIDEUNES FOR

IDENTIFICATION, COLLECTION, ACQUISITION, ANO PRESERVATION OF DIGITAL
EVIDENCE
NMX-I-27037-NYCE-2015
PREFACIO
1. Esta Norma Mexicana fue elaborada en el seno del Subcomité de

Seguridad de TI de NYCE, con la participación de las siguientes
Instituciones y Empre,sas:
- ARGUZ DIGITALlZ~.CIÓN S.A. DE C.V.
- AUREN IBEROANERICA, S. DE R.L. DE C.V.
- INSTITUTO POLlTECNICO NACIONAL
- LEX INFORMÁTICA ABOGADOS, S.C
- MANCERA S.C. (EY MÉXICO)
- NET ANO COMPUTER SERVICES MÉXICO, S.A. DE C.V.
- NIELSEN
- NORMALIZACiÓN Y CERTifiCACiÓN ELECTRÓNICA S.C.
- SERVICIOS DE VALOR DE TI
2. Por otra parte, también fue aprobado por las instituciones y empresas que
a continuación se señalan y que conforman el Comité Técnico de
Normalización Nacional de Electrónica V Tecnologías de la Información V
comunlcectén de NYCE.
- ADVANCE WIRE&WIRELESS LABORATORIOS
- ASOCIACiÓN ~IEXICANA DE EMPRESAS DEL RAMO DE INSTALACIONES PARA

LA CONSTRUCCiÓN, A.C.
- ASOCIACiÓN MEXICANA DE INTERNET, A.C.
- ASOCIACiÓN NACIONAL DE INSTITUCIONES DE EDUCACiÓN EN INFORMÁTICA.
- ASOCIACiÓN NACIONAL DE TELECOMUNICACIONES.
- ASOCIACiÓN DE PERMISIONARIOS, OPERADORES y PROVEEDORES DE LA

INDUSTRIA DEL ENTRETENIMIENTO Y JUEGO DE APUESTA EN MÉXICO. A.C.
- AUREN IBEROAMERICA S. DE R.L. DE C.V.
- BEST PRACTICES GURUS, S.A. DE C.V.
- CÁMARA NACIONAL DE LA INDUSTRIA ELECTRÓNICA, DE

TELECOMUNICACIONES Y TECNOLOGÍAS DE LA INFORI~ACIÓN.
- CÁMARA NACIONAL DE MANUFACTUR!IS ELÉCTRICAS.
- COLEGIO DE INGENIEROS EN CO~IUNICACIONES y ELECTRÓNICA.

NMX-I-27037-NYCE-2015
- COMISIÓN NACIONAL PARA EL USO EFICIENTE DE LA ENERGÍA.
- DIRECCIÓN GENERAL DE NORMAS.
- ERICSSON TELECOM, S.A. DE C.V.
- GRUPO ADO.
- INSTITUTO POLITÉCNICO NACIONAL
- INSTITUTO MEXICANO DE NORMALIZACIÓN y CERTIFICACIÓN, j'C,
- INNOVACIONES TELEMÁTICAS, S.A. DE C.V.
- INTELI, S.C.
- INTERNATIONAL CHAMBER OF COMMERCE.
- LEGRAN O S.A. DE C.V.
- ORGANISMO NACIONAL DE NORMALIZACIÓN y CERTIFICACIÓN DE UI

CONSTRUCCIÓN y EDIFICACIÓN, S.C.
- PROCURADURÍA FEDERAL DEL CONSUMIDOR.
- REDIT.
- SIEr~ON.
- TELEMATICA INNOVO CONTINUO, S.A DE C.V.
- UNIVERSIDAD AUTÓNOMA ~IETROPOLlTANA.
- UNIVERSIDAD IBEROA~IERICANA.
- UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO.
3. "La entrada en vigor de esta norma mexicana será 60 días después de la

publicación de su Declaratoria de Vigencia en el Diario Oficial de la
Federación".
4. La declaratoria de vigencia de esta Norma Mexicana se publicó en el Diario

Oficial de la Federaci6n el: 25 de febrero de 2016.
NMX-I-27037-NYCE-2015
ÍNDICE DEL CONTENIDO
Paginas
o Introducción 1
1 Objetivo y cam po de aplicación
2 Referenc.ias 3
3 Términos y definiciones 4
4 Abreviaturas 7
5 Información general 8
6 Componentes clave para la identificación, recolección, adquisición y 15

preservación de la evidencia digital
7 Instancias de identificación, recolección, adquisición y preservación 26
8 Bibliografía 46
9 Concordancia con normas internacionales 47
Apéndice A 48
(Informativo)
Competencias básicas y descripción de competencias del DEFR
Apéndice 6 51
(Informativo)
Requisitos mínimos de documentación para la transferencia de
evidencia
Apéndice e 52
(Informativo)
Normas que complementan a esta Norma Mexicana
NORMA MEXICANA
NMX-I-27037-NYCE-2015
TECNOLOGÍAS DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD

- DIRECTRICES PARA LA IDENTIFICACIÓN, RECOPILACIÓN,
ADQUISICIÓN Y PRESERVACIÓN DE LA EVIDENCIA DIGITAL
INFORMATION TECI:lNOLOGY - SECURIT,Y TECHNIQUES - GUIDELINES FOR

IDENTIFICATION, COLLECTION, ACQUISITION, ANO PRESERVATION PF DIGITAL
EVIDENCE
o INTRODUCCIÓN
Esta Norma Mexicana proporciona las directrices para actividades específicas en el
manejo de evidencia digital potencial, estos procesos son; identificación, recopilación,
adquisición y preservación de la evidencia digital potencial.
Estos procesos son requeridos en una investigación diseñada para mantener la

integridad de la evidencia digital - una metodología aceptable en la obtención de la
evidencia digital que contribuya a su admisibilidad en acciones legales y disciplinarias,
así como en otros casos requeridos. Esta Norma "'exicana también proporciona
directrices generales para la obtención de evidencia no-digital que pueda ser útil en la
etapa de análisis de una evidencia digital potencial.
Esta Norma ~1exicana tiene la intención de proporcionar orientación a aquellos

individuos responsables de la identificación, recopilación, consolidación y preservación
de la evidencia digital potencial. Estos individuos incluyen analistas de evidencia digital
de pronta respuesta par sus siglas en ingfés (Digital Evidence first Responders DEfRs),
especialistas de evidencia digital por sus siglas en inglés (Digital Evidence Specialists
DESs), especialistas de respuesta a incidentes y administradores de laboratorios
forenses. Esta Norma Mexicana se asegura que las personas responsables administren
la evidencia digital potencial de una manera práctica que sea aceptable en todo el
mundo, con el objetivo de facilitar la investiqación que involucra a los dispositivos
digitales y la evidencia digital de una manera sistemática e imparcial, preservando su
integridad y autenticidad.
Esta Nonna Mexicana también pretende informar a Quie-ne-s toman las decisiones, Que
necesitan determinar la fiabilidad de la evidencia digital que se les presenta. Es
aplicable a organizaciones necesitadas de proteger, analizar y presentar evidencia
digital potencial. Es relevante la presencia de organismos creadores de políticas que
creen y evalúen los procedimientos relacionados a la evidencia digital, a menudo como
perte de un organismo de mayor evidencia.
La evidencia digital potencial referida en esta Ncrma Mexicana puede estar disponible
desde diferentes tipos de dispositivos digitales, ..ede.s, bases de datos, etc. Se refiere a
datos que ya se encuentran en un formato digital. Esta Norma Mexicana no pretende.
cubrir la conversión de datos analógicos en un formato digital.
NMX-I-27037-NYCE-2015
2/52
Debido a fa fragilidad de la evidencia digital, e-s necesario llevar a cabo una

metodología aceptable para asegurar la integridad y autenticidad de la evidencia digital
potencial. Esta Norma Mexicana no exige el uso de métodos o herramientas
particulares. los componentes clave que proveen credibilidad en la investigación son la
metodología aplicada durante el proceso y los individuos calificados en el desempeño
de las tareas especificadas en la metodología. Esta Norma fl.1exicana no refiere alguna
metodología para procedimientos legales o disciplinarios, corno tampoco a alguna
acción relacionada con el manejo de evidencia digital potencial que se encuentre fuera
del alcance de la identificación, recopilación, adquisición y preservación.
La aplicación de esta Norma Mexicana requiere el cumplimiento de-Ieyes nacionales,

reqlas y regulaciones y no debe de reemplazar requisitos legales específicos de
ninguna jurisdicción, En cambio, puede servie.como una guia práctica para cualquier
analista de evidencia digital de pronta respuesta (DEFR) o el especialista de evidencia
digital (DES) en investigaciones que incluyan evidencia digital potencial. Este no se
extiende al análisis de evidencia digital y no reemplaza requisitos específicos de
jurisdicción pertenecientes a asuntos corno admisibilidad, ponderación de la evidencia,
relevancia y otras limitaciones controladas en el uso de evidencia digital potencial en
alguna corte, Esta Norma Mexicana puede ser útil en la facilitación del intercambio de
evidencia digital potencial entre diferentes jurisdicciones. Con el fin de mantener la
integridad de la evidencia digital, se requiere que los usuarios de e-sta Norma Mexicana
requieren adoptar y enmendar los procedim ientos descritos en esta Norma Mexicana
de acuerdo a los requisitos para evidencia de la jurisdicción legal específica.
Aunque esta Norma Mexicana no incluye preparación forense, una preparación forense
adecuada debe incluir la identificación, recopilación, adquisición y preservación de la
evidencia digital. La preparación forense es el logro de un nivel adecuado de capacidad
de una organización con la finalidad de que sea capaz de identificar, recopilar, adquirir,
preservar proteger y analizar la evidencia digital. Considerando que los procesos y
actividades descritos en esta Norma Mexicana son e-sencialmente medidas de reacción
usadas para investigar un incidente después de que ocurrió, la preparación forense es
un proceso proactivo de tratar de planificar este tipo de eventos.
Esta Norma Mexicana complementa la NMX+Z89-NYCE, NMX-I-27001-NYCE y la NMX-

1-27002-NYCE, y en particular a los requisitos concernientes a fa adquisición de
evidencia digital potencial mediante el suministro de directrices de implementación
adicionales. Además, esta Norma Mexicana tiene aplicación e-n contextos
independientes de la NMX-I-27001-NYCE y la NMX+27002-NYCE. Esta Norma
Mexicana se debe leer en conjunto con otras normas relacionadas con evidencia digital
y la investigación de incidentes de segu ridad de la información.
1 OBJETIVO Y CAMPO DE APLICACIÓN

Esta Ncrrna Mexicana provee las directrices para actividades especificas en el manejo
de evidencia digital, que son identificación, recopilación, adquisición y preservación de
la evidencia digital que pueda contener un valor como evidencia. Esta Norma Mexicana
proporciona orientación a las personas, con respecto a las situaciones comunes
encontradas a lo largo de los procesos de manejo de la evidencia digital y asiste a las
organizaciones en sus procedimientos disciplinarios y facilita el intercambio de
evidencia digital potencial entre jurisdicciones.
NMX-I-27037-NYCE-2015
3/52
Esta Norma Mexicana proporciona orientación para los siguiente.s dispositivos y/o
funciones que son usados en diversas circunstancias:
Medios de almacenamiento digital usado en computadoras esténdar, como

discos duros, disquetes, discos ópticos y magneto-ópticos, dispositivos de datos
con funciones similares;
Teléfonos móviles, Asistentes Digitales Personales por sus siglas en inglés

(PDAs), Dispositivos Electrónicos Personales por sus siglas en inglés (PEDs),
tarjetas de memoria;
Sistemas de navegación móvil;
Cámaras digitales y de video (incluyendo CCTV)¡
Computadoras estándar con conexione-s de red;
Redes basada-s en Te?/I? y otros protocolos digitales; y
Dispositivos con alguna función similar a las descritas en esta lista.
NOTAS:
1) La lista anteñorde dispositivos es una lista indicativa y no exhaustiva.
2) Las circunstancias incluyen que los dispositivos mencionados anteñol1"(lente existan en varias
formas. Por ejemplo, un sistema automotriz puede incluir un sistema de navegación móvil. un
almacenamiento de datos y un sistema sensorial.
2 REFERENCIAS
Para la correcta aplicación de esta Norma f\1exicana se requiere consultar las siguientes
Normas Mexicanas vigentes o las Que las sustituyan:
NMX-EC-17020-IMNC-2014 Evaluación de la conforrnidad - Requisitos

para el funcionamiento de diferentes tipos
de unidades (organismos) que realizan la
verificación (inspección)
NMX-EC-1702S-IMNC-:006 Evaluación de la conforrnidad - Requisitos

generale.s para la competencia de los
laboratorios de ensayo y de- calibración
NMX-I-289-NYCE- 2013 Tecnologias de la información

fvletodología de análisis forense de datos y
guias de- ejecución
NMX-I-27000-NYCE-20 14 Tecnologias de la información - Técnicas

de seguridad - Sistemas de Gestión de la
Seguridad de la Información (SGSI) -
Fundamentos y vocabulario
NMX-I-2700 l-NYCE-ZO 15 Tecnología de la información - Técnicas

NMX-I-27037-NYCE-2015
4/52
de seguridad - sistemas de Gestión de la

Seguridad de la Información - Requisitos.
NMX-I-27002-NYCE-20 15 Tecnología de la información - Técnicas

de segulidad - Código de buenas prácticas
para la gestión de la seguridad de la
información
3 TÉRMINOS Y DEFINICIONES
Para los propósitos de esta Norma Mexicana se aplican las definiciones de la NMX-EC-
17020-IMNC, NMX-EC-17025-IMNC y la NMX-I-Z7000-NYCE, edemas de las siguientes:
Adquisición
Proceso de creación de una copia de datos dentro de un conjunto definido.
NOTA: El producto de una adquisición es una copia de la evidencia digital potencial.
Analista de evidencia digital de pronta respuesta o Digital

Evidence First Responder (DEFR) por sus siglas en inglés
Individuo autorizado, ca pacitado y calificado para ser el primero en actuar, ante un

incidente, en la realización de la recopilación y adquisición de la evidencia digital con fa
responsabilidad del manejo de la evidencia.
NOTA: La autorización. la formación y la calificación son requisitos esperados y necesarios pera producir
evidencia digital ccnñabte, sin embargo algunas ctrccnseancies individuales pueden d.erivar en un
individuo que no -cumpla con estas carecterisricas, En este caso. la legislaciOn local. la política
organizacional y las circunstancias individuales deben ser consideradas.
3.3 Cadena de custodia
Sistema de control y registro que se aplica al indicio, evidencia digital o elemento

material probatorio, desde su localización, descubrimiento o aportación, en el lugar de
intervención, hasta que Se ordene su conclusión
Confiabilidad
Propiedad consistente de resultados y comportamientos intencionados, véase la NMX-

I-Z7000-NYCE.
Copia de evidencia digital
Copia de la evidencia digital que ha sido producida para mantener la confiabilidad de la

evidencia incluyendo tanto la evidencia digital y los medios de verificación, donde el
método de verificación de la evidencia puede estar embebido en las herramientas para
la verificación o independiente a ellas.
Creación de imágenes
Proceso de creación de una copia bit a bit de un medio de almacenamiento digital.

NMX-I-27037-NYCE-2015
5/52
NOTA: La copia bit a bit, también es conocida como una copia física.
Ejemplo - Al creer la imagen de un disco duro. el OEFR también copia los datos que han sido
eliminados.
3.7 Dispositivo digital
Equipo electrónico usado para procesar o almacenar datos digitales.
3.8 Espacio asignado
Área en el medio digital, incluyendo la memoria principal, -que es usada para el

almacenamiento de datos, incluyendo metedetos,
3.9 Espacio no asignado
Área en el medio digital, incluyendo la memoria prirrcipat, que no ha sido designado

por el sistema operativo, y Que está disponible pera el almacenamiento de datos,
incluyendo metadatos.
3.10 Especialista en evidencia digital o Digital Evidente Specialists

(DES) por sus siglas en inglés
Individuo que pue-de llevar a cabo las tareas de un OEFR y Que tiene conocimiento
especializado, así como las habilidades y capacidades para manejar una amplia gama
de asuntos técnicos.
NOTA: Un DES puede tener un nicho de hebíbdedes .edklcnales, por ejemplo. conocimiento en redes.
memorias RAM.en el software del sistema operativo o conocimiento de servidores.
3.11 Evidenc,ia digital
Término genérico empleado para referirse a información o datos, almacenados o

transmitidos en forma binaria, (en el ámbito procesal se le refiere como indicios y en
esta norma se utilizaran los términos como sinónimos.
NOTA: Se entiende por recopilar üuntar en compendio recolectar; unir diversas evidencias digrtales).
3.12 Expoliación
Acto de hacer o permitir cambio (s) a la evidencia digital pot-encial Que disminuye su
valor como evidencia.
3.13 Facilidad de preservación de la evidencia
Ambiente seguro o lugar en el Que la evidencia recolectada o adquirida es almacenada.
NOTA: Una facilidad de preservecén de evidencia no debe de estar expuesta a campos magnéticos. polvo.
vibración. humedad o cualquier otro elemento ambiental (como puede ser una temperatura extrema
o humedad} que puedan dañar la evidencia digital potenóal dentro de la facilidad.
3.14 Función de verificación
Función usada para verificar Que dos conjuntos de datos son idénticos.
NMX-I-27037-NYCE-2015
6/52
NOTAS:
1) Dos conjuntos de datos no-idénticos no pueden producir una igualacion de una función de
verificación;
2) las funciones de verificación son comúnmente implementadas usando funciones hash como MOS,
SHA1, eee., pero se pueden usar otros métodos.
3.15 Identificación
Proceso que incluye la búsqueda, reconocimiento y documentación de la evidencia

digital potencial.
3.16 Información volátil
Infonnación que está especialmente propensa a cambiar y que puede ser fácilmente
modificada.
NOTA: Un cambio puede ser el corte de energía eléctrica o la exposición de la informaoon a través de un
campo magnético. la Intcrrnaclén volátil también incluye información que cambia cuando el estado
del sistema cambia. Algunos ejemplos incluyen la memoria almacenada en RAMy las direcciones IP
dinémkes.
3.17 Manipulación
Acto de hacer o permitir cambios deliberadamente a la evidencia digital (por ejemplo:

expoliación intencional o deliberada).
3.18 Marca de tiempo
Parámetro variable que denota un punto en el tiempo con respecto al tiempo de

referencia común, véase la norma que se indica en el inciso C.3 del apéndice C.
3.19 Medio de almacenamiento digital
Dispositivo en el cual se puede almacenar información digital, véase la norma que se

indica en el inciso C.l del apéndice C.
3.20 Periférico
Dispositivo adjunto a un dispositivo digital con el fin de expandir su funcionalidad.
3.21 Preservación
Proceso de mantene-r y salvaguardar la integridad de los elementos físicos que

contienen fa potencial evidencia digital.
3.22 Recopilación
Proceso de recolección de los elementos físicos que contienen evidencia digital

potencial.
NMX-I-27037-NYCE-2015
7/52
3.23 Repetibilidad
Propiedad de un proceso llevado a obtener los mismos resultados bajo el mismo

ambiente de experime-ntación (misma computadora, disco duro, modo de operación,
etc.).
3.24 Reproducibilidad
Propiedad de que un proceso llevado a obtener los mismos resultados bajo diferente
ambiente de experimentación (diferente computadora, disco duro, modo de operación,
etc.).
3.25 Tiempo de sistema
Tiempo generado por el reloj del sistema y usado por el sistema operativo, no es el
tiempo estimado por el sistema operativo.
3.26 Validaci6n
Confirmación, a través de la presentación de pruebas objetivas, que han cumplido los

requisitos para un uso o aplicaci6n especifica prevista, véase la norma que se indica en
el inciso C.4 del apéndice C.
3.27 Valor hash
Cadena de bits que es la salida de una función hash, véase la nonna que se indica en
el inciso C.~ del apéndice C.
4 ABREVIATURAS
AVI Intercambio de audio - video.
CCTV Circuito Cerrado de Televisión.
CO Disco Compacto.
ONA Ácido Descxirribonucleicc.
OEFR Analista de evidencia digital de pronta respuesta.
DES Especialista de evidencia digital.
OVO Disco versátil I Video digital.
ESN Número serial electrónico,
GPS Sistema de posicionamiento global.
GSM Sistema global para cornuniceciones móviles.
H~EI Identidad internacional de equipos móviles.

NMX-I-27037-NYCE-2015
8/52
IP Protocolo de Internet.
ISIRT Equipo de respuesta a incidentes de seguridad de la información.
LAN Red de área local.
MDS f'-lensaje - ,o..lgoritmo de diseño S.
MP3 MPEG Audio nivel 3.
~IPEG Grupo de e-xper-tos de imágenes en movimiento.
NAS Alrnacenemiento adjunto a Ia.red.
PDA Asistente personal digital.
PED Dispositivo personal electrónico.
PIN Número de identificaci6n personal.
PUK Llave para desbloqueo del PIN.
RAID Arreqlo redundante de discos independientes.
RAM Memoria de acceso aleatorio.
RFID Identificación por rad iofrecuencia.
SAN Red de área de almacenamiento.
SHA Algoritmo seguro Hash.
SIM Módulo de identificación del SUSCJ;ptor.
USB Canal serie universal.
UPS Abastecimiento de energía ininterrumpida.
USIM 5IM Universal.
UV Ultravioleta.
Wi-Fi Fidelidad Inalámbrica.
s Información general
5.1 Contexto para la recopilación de evidencia digital
La evidencia digital puede ser requerida para su uso en un sin número de escenarios,
cada uno de los cuales tiene un equilibrio diferente entre los impulsores de la calidad
de la evidencia, la puntualidad del análisis, la restauración del servicio y el costo de la
recopilación de la evidencia digital. Por ello es necesario que las organizaciones,
NMX-I-27037-NYCE-2015
9/52
tengan un prOCeSO de pnonzecron que identifique las necesidades y el balance de la

calidad de la evidencia, la puntualidad en los servicios de restauración antes de los
recursos multitarea DEfR. Un proceso priorizado implica llevar a cabo una evaluación
del rneteriel disponible, con el fin de determinar el posible valor de la evidencia y e,1
orden en el cual fa evidencia digital potencial debe ser recopilada, adquirida o
preservada. La priorización se lleva a cabo para minimizar el riesgo de que la evidencia
digital potencial pueda ser alterada, y por otro lado, se busca maximizar el valor de la
evidencia digital potencial recopilada.
5.2 Principios de la evidencia digital
En la mayoría de. las jurisdiccione-s y organizaciones, la evidencia digital está regida por
tres principios fundamentales: relevancia, confiabilldad y suficiencia. Estos tres
principios son importantes en todas las investigaciones, no sólo en aquellas en las que
la evidencia digital es aprobada en una corte. La evidencia digital es relevante cuando
va encaminada a aprobar o desaprobar un elemento del caso específico, inve.stigado. A
pesar de la detallada definición de "confiabilidad", e-sta puede variar entre las
diferentes jurisdicciones, el significado general del principio, "asegurar la evidencia
digital es lo que se pretende" está ampliamente sostenida. No siempre es necesario
que el DEFR recopile todos los -datos o haga copias completas de la evidencia digital
original. En muchas jurisdicciones, el concepto de suficiencia signifiGa que el DEFR
necesita recopilar suficiente evidencia dig_ital potencial que permita a los elementos
relacionados ser adecuadamente examinados o investigados. la comprensión de este
concepto es importante para el DEFR con la finalidad de priorizar el esfuerzo
adecuadamente cuando el tiempo o el costo es una preocupación.
NOTA: El OEfR debe asegurar que la reccpüacén de evidencia digital potencial es concordante con las
leyes y regulaciones de la jurisdicción local, como es requerido por las circunstancias especificas.
Todos los procesos usados por el DEFR y el DES se recomienda Que hayan sido
validados ante-s de .su+uso. Si la validación se lleva a cabo externamente, se
recomienda que el DEFR o el DES verifiquen que la validación e·s apropiada para su uso
específico en los procesos y en ambientes y circunstancias en los cuales los procesos
son aplicados. Es conveniente que el DEfR o el DES también:
a) Documenten todas las acciones;
b} Determinen y apliquen un método para establecer la precisión y la confiabilidad

de la copia de la evidencia digital potencial comparada con la fuente original; y
c) Reconocer que el acto de preservación de la evidencia digital potencial 00

siempre puede ser no-intrusive,
5.3 Requisitos para el manejo de la evidencia digital
5.3.1 Generalidade,s
Los principios e-stablecidos en el inciso 5.2 pueden ser satisfechos de la siguiente

manera:
Relevancia: Se recomienda de ser posible demostrar que el material adquirido

es relevante a la investigación - es decir, que contiene información de valor
para la investigación de un incidente en particular y existe una buena razón
NMX-I-27037-NYCE-2015
lO/52
para haberla adquirido. t-1ediante la auditoría y la justificación se recomienda

que el OEfR sea capaz de describir los procedimientos seguidos y explicar cómo
se decidió adquirir cada lino de los elementos;
Confiabilidad: se recomienda que todos los procesos usados en el manejo de la

evidencia digital potencial sean auditables y repetibles. Los resultados de la
aplicación de estos procesos debe ser repetible;
Suficiencia: Se recomienda que el DEFR haya tenido en cuenta que se ha

recopilado el suficiente material para permitir que se lleve a cabo una
investigación adecuada. Se recomienda que el OEfR sea cepaz.. a través de la
auditoria y la justificación, dar una indicación de cuanto material en total, fue
considerado en los procedimientos usados.para decidir la--cantidad y el tipo de
material adquirido.
NOTA: los materiales deben ser reunidos mediante las actividades de adquisición y/o recopilación.
Hay cuatro aspectos principales en el manejo de evidencia digital: capacidad de que

sea auditeble, capacidad de que sea justificable, repetible o reproducible, dependiendo
de las circunstancias particulares.
5.3.2 Capacidad de que sea auditable
Se recomienda que xsee posible para un asesor independiente, o para otras partes
interesadas acreditadas, evaluar las actividades realizadas por un DEfR y un DES. Esto
hace posible la apropiada documentación de todas las acciones' tomadas. Es
conveniente que el DEFR y el DES sean capaces de justificar el proceso de toma de
decisiones en la selección de un determinado curso de acción. los procesos realizados
por el DEFR y el OES deben de estar disponibles para la evaluación independiente para
determinar si se siguió un apropiado método científico, técnica o u,\pfocedimiento.
5.3.3 Repetibilidad
La repetibilidad se establece cuando los resultados de la misma- prueba son producidos

bajo las siguientes condiciones:
Usando el mismo procedimiento de medición y método;
Usando los mismos instrumentos bajo las mismas condiciones; y
Se pueden repetir en cualquier momento después de la prueba original.
Se recomienda que un DEFR este adecuadamente capacitado y experimentado y sea

capaz de llevar a cabo todos los procesos descritos en la documentación y llegar a los
mismos resultados, sin orientación o interpretación. Se recomienda que el DEFR esté
consciente de que pueden existir circunstancias donde no es posible repetir la prueba,
por ejemplo, cuando un disco duro original ha sido copiado y vuelto a usar, o cuando
un artlculo involucra memoria volátil. En este caso, es conveniente que el DEFR
asegure que el proceso de adquisición es confiable. Para alcanzar la repetibilidad, el
control de calidad y la documentación del proceso es conveniente que se realicen en el
lugar.
NMX-I-27037-NYCE-2015
11/52
5.3.4 Reproducibilidad
La reproducibilidad se da cuando los mismos resultado.s de una prueba se dan bajo las
sig uientes condicione-s:
Usando el mismo método de medición;
Usando diferentes instrurnentos y bajo diferentes condiciones; y
Puede ser reproducido en cualquier momento posterior a la prueba original.
Las necesidades de reproducir los resultados varían de acuerdo a las jurisdicciones y

circunstancias, es conveniente que el OEFR o el individuo que esté llevando a cabo la
reproducción, este irnformado acerca de las condiciones aplicables.
5.3.5 Capacidad de que sea justificable
Es conveniente que el DEFR sea capaz de justificar todas las acciones y métodos
usados en el manejo de la evidencia digital potencial. La justificación puede ser
alcanzada mediante la demostración de que la decisión fue la mejor elección para
obtener la evidencia digital potencial. Otro DEFR o DES también puede demostrar esto
mediante la reproducción exitosa o la validación de las acciones y métodos usados.
Es parte del interés de la organización contar con un DEFR o OES que- posea
competencias básicas tal (On10 se describe en el apéndice ...~" de esta Norma
Mexicana. Esto asegura que los procedimientos y proce-sos seguidos sean los correctos
en el manejo de la evidencia digital potencial para asegurar la eventual preservación
de. la evidencia digital que pueda tener un valor probatorio. Esto también asegura que
las organizaciones son capaces de usar la evidencia digital potencial, por ejemplo, en
los procedimientos disciplinarios o en la facilitac,ión del intercambio de evidencia digital
potencial entre jurisdicciones.
NOTA: La competencia descrita en el apéndice "A" se limita a la función del DEFR. fa cual está alineada con
el rol del DES como se define en el inciso 3.10.
5.4 Procesos de manejo de evidencia digital
5.4.1 Generalidades
A pesar de que el proceso completo del manejo de (a evidencia digital incluye otras
actividades (por ejemplo, presentación, disposición, etc.), el alcance de esta Norma
Mexicana se refiere únicamente al proceso inicial del manejo de la evidencia, que
consiste en (a identificación, recopilación, adquisición y preservación de la evidencia
digital potencial.
La evidencia digital puede ser frágil por naturaleza. Puede ser alterada, manipulada o
destruida por un manejo o examinación inapropiados. Es conveniente que los
manipuladores de la evidencia digital sean competentes en la identificación y el manejo
de riesgos y consecuencias de los potenciales cursos de acción cuando trabajan con
evidencia digital. Una talla en el manejo de dispositivos de evidencia digital de una
manera inapropiada, puede generar que la evidencia digital contenida en estos
dispositivos sean inutilizebles,
NMX-I-27037-NYCE-2015
12/52
Es conveniente Que el DEFR y el DES sigan los procedimientos documentados para

asegurar que la integridad y confiabilidad de la evidencia digital potencial se mantiene.
Se recomienda que los procedimientos incluyan las guías de manejo para fuentes de
evidencia digital potencial e incluir los siguientes principios fundamenteles:
Minimizar el manejo de la evidencia digital original o la evidencia digital

potencial;
Dar cuenta de cualquier cambio y documentar tas acciones tornadas (en la

medida de que un experto puede dar una opinión de oonfiabilidad);
Cumplir con (as reglas locales de evidencia; y
Se recomienda que el DEFR y DES no tomen acciones más allá de su

competencia.
Al cumplir con los principios y requisitos fundamentales en el manejo de la evidencia

digital potencial, se recomienda que la evidencia se conserve. Específicamente en el
caso donde se realizan cambios inevitables, todas las accione-s y motivos necesitan
estar documentados. Cada proceso en el manejo de la evidencia digital, por ejemplo,
la identificación, recopilación, adquisición y preservación, es discutido en mayor detalle
en los incisos siguientes.
5.4.2 Identificaci6n
La evidencia digital e-s representada de forma fisica y lógica. La forma física incluye la
representación de datos dentro de un dispositivo tangible. La forma lógica de la
evidencia dig ital potencial hace referencia a la representación virtual de los datos en
un dispositivo.
El proceso de identificación involucra la búsqueda, reconccimiento y documentación de

la evidencia digital potencial. Es recomendable que el proceso de identificación
identifique el medio de almacenamiento digital y los dispositivos de procesamiento que
puedan contener evidencia digital potencial relevante al incidente. Este. proceso
también induye una actividad para priorizar la correcta recolección de la evidencia
basada en su volatilidad. Se recomienda que la volatilidad de la información sea
identificada para asegurar el orden correcto de los procesos de recolección y
adquisición con la finalidad de minimizar el daño a la evidencia digital potencial y
obtener la mejor evidencia. Además, el proceso debe identificar la posibilidad de la
evidencia digital potencial oculta. Se recomienda que el OEFR y el DES tengan en
cuenta que no todos los tipos de almacenamiento digital pueden ser fácilmente-
identificados y localizados, por ejemplo, el computo en la nube, (cloud computing), NAS
y SAN, todos ellos agregan un componente virtual al proceso de identificación.
Se recomienda que el OEFR lleve a cabo sistemáticamente una búsqueda exhaustiva

de artículos que contengan evidencia digital potencial. Los diferentes tipos de
dispositivos digitales que pueden contener evidencia digital potencial pueden pasar
inadvertidos (por ejemplo, por su pequeño tamaño), estar disfrazados o mezclados
entre otros mateliales irrelevantes.
Los incisos 6.1 y 6.6 proporcionan información sobre la cadena de custodia, aspectos
de empaquetamiento o embalaje y etiquetado de la identificación de la evidencia
NMX-I-27037-NYCE-2015
13/52
digital. El capitulo 7 proporciona información sobre instancias de identificación,

recolección, adquisición y preservación de evidencia digital.
5.4.3 Recolecci6n
Una vez que se identifican los dispositivos digitales que pueden contener evidencia
digital, se recomienda que- el DEFR y el DES decidan si la evidencia es recolectada o
adqu-irida en el siguiente proceso. Existen diversos ractores de decisión para esto,
estos factores se discuten en el capítulo 7. Se recomienda que fa decisión se base en
las circunstancias del incidente.
La recolección es un proceso e-n el manejo de la evidencia digital donde los dispositivos

que pueden tener evidencia digital potencial son removidos de-su ubicación original, y
trasladados a un laboratorio u otro lugar de ambiente controlado para su posterior
adquisición y análisis. los dispositivos que contengan evidencia digital potencial
pueden encontrarse en uno de dos estados: cuando el -sistema e-stá encendido y
cuando el sistema está apagado. Se requiere de diferentes aproximaciones y
herramientas, dependiendo del estado del dispositivo. Los procedimientos locales
pueden solicitar aproximaciones y herramientas usadas para el proceso de recolección.
Este proceso incluye la documentación completa de la aproximación, así como del

empaquetamiento o embalaje de estos dispositivos antes de la trensportación. Es
importante para el OEF.R y el DES recopilar cualquier material relacionado con la
información digital potencial (por ejemplo, papeles con passwords escritos,
adaptadores y conectores de alimentación para dispositivos integliados). la evidencia
digital potencial puede perderse o dañarse si no hay un cuidado razonable aplicado. Se
recomienda que el DEFR y DES adopten el mejor método de recolección basándose en
la situación, costo y tie-mpo, es conveniente que se documente la decisión del uso de
un método particular.
NOTAS:
1) El remover un medio de almacenamiento digital no siempre es recomendable, se sugiere que el

OEfR asegure de que son competentes de remover el medio y reconocer cuando es apropiado y
permitido hacerlo;
2) Se recomienda que los detalles en dispositivos digitales no recolectados sean documentados con
justificación para su exclusión, de acuerdo a Jos requisitos de la:juñsdícción aplicable.
5.4.4 Adquisición
El proceso de adquisición involucra el proceso de la fabricación de mínimo una copia de

la evidencia digital (por ejemplo, un disco duro completo, una partición o archivos
seleccionados) y la documentación de los métodos usados y las actividades realizadas.
Es conveniente que el OEFR adopte un método de adquisición adecuado basado en (a
situación, tiempo y dinero, así como documentar apropiadamente la decisión para el
uso de un método o herramienta particuler.
Se recomienda que los métodos usados para adquirir la evidencia digital potencial
estén documentados clarernente a detalle y, tan practico como sea posible, ser
reproducibles o verificables por un OEFR competente. Se recomienda que el DEFR o el
DES adquiera la evidencia digital potencial de. fa manera menos intrusiva posible, con
la finalidad de evitar la introducción de cambios. Se recomienda que en la ejecución de
este proceso, el DEFR considere el método más apropiado. Si el proceso resulta e·n una
NMX-I-27037-NYCE-2015
14/52
alteración de datos inevitable, se sugiere que las actividades realizadas estén

documentadas para tener en cuenta los cambios de la información.
Es recomendable que el método de adquisición usado produzca una copia de la

evidencia digital de la evidencia digital potencial o de los dispositivos digitales Que
puedan contener evidencia digital potencial. Se recomienda que tanto la fuente oliginal
y la copia de la evidencia digital sean verificados con una función de verificación
probada (probada adecuadamente en ese punto del tiempo) que es aceptable para el
individuo que usa la evidencia. La fuente original y cada copia de la evidencia digital
deben prod ucir la m isrna salida para la función de verificación.
En la-s circunstancias en las que e,1 proceso de verificación no se puede llevar a cabo,
por ejemplo, cuando se pretende la adquisición de un sistema que e-sta en ejecución, la
copia original contiene sectores erróneos o el periodo de tiempo para la adquisición es
limitado, se sugiere que- el DEFR use el mejor método posible disponible y sea capaz de
justificar y defender fa selección del método. Si e-s necesario, se recomienda que el
método de adquisición sea capaz de obtener los espacios asiqnados y no asignados.
NOTAS:
1) Cuando el proceso de verificación no se puede llevar a cabe en la fuente ccmpleea debido. a errores
en la fuenee, entonces se debe utilizar una verificaóon que pueda leer cerffiablemente estas partes
de la fuente.
Pueden existir instancias en las que no. es factible o permisible crear una copia. de la evidencia
digital de una fuente de evidencias, cerne cuando. la fuente es demasiado. larga. En estas instancias.
el DEFR lleva a cabe una adquisiciOn lógica, cvvcs objetives únicamente especifiquen les tipes de
datos, dfrececrics o lccaliaecícnes, Este por le general se lleva a cabo en un archive y nivel de
partición. Durante la adquisición lógica, les archivos activos y el espado asignado. no. basado en
archives en el medkl de almacenamiento digital se recomiende sean copiades. Otras instancias
dende este método. es útil puede ser cuando. se trata de sistemas de misión moca y no. se pueden
apagar.
2) Algunas jurisdicciones requieren tratamiento especial para la info.rmación, por ejemplo, sellar la
evidencia en presencia del dueño. de la Informecién. El sellado. debe hacerse de acuerdo a los
requisitos locales (procedimientos legislativos).
5.4.5 Preservación
Se recomienda que la evidencia digital potencial sea preservada para asegurar su

usabilidad en la investigación, es importante proteger la integ_ridad de la evidencia. El
proceso de preservación incluye el proce-so de salvaguardado de expoliación o
manipulación de la evidencia digital potencial y los dispositivos digitales que puede-n
contener evidencia digital potencial. Se sugiere que el proceso de preservación sea
iniciado y mantenido durante todos los procesos del manejo de la evidencia digital,
empezando por la identificación de los dispositivos digitale-s que pueden contener
evidencia digital potencial.
En el mejor de los casos, se sugiere que no exista expoliación de los datos en si o de

cualquier metadato asociado a la información (por ejemplo, estampas de tiempo y
fecha). Se recomienda que el DEFR sea capaz de demostrar que la evidencia no ha
sido modificada desde que fue recolectada o adquirida, o proveer las razones y las
acciones documentadas si fue inevitable realizar cambios.
NOTA: En algunes casos, la ccnñdencleñded de la evidencia digital potencial es un requísltc, ya sea un

requisito. del negocio e un requisito legal [por ejemplo, privacidad). Se recomiende que la evidencia
digital pctencíal sea preservada de tal manera que asegure la conñdencialidad de los dates.
NMX-I-27037-NYCE-2015
15/52
6 COMPONENTES CLAVE PARA LA IDENTIFICACIÓN,

RECOLECCIÓN, ADQUISICIÓN Y PRESERVACIÓN DE
LA EVIDENCIA DIGITAL
6.1 Cadena de custodia
En cualquier investigación es convenie-nte que el DEFR sea capaz de dar cuenta de toda
la información y dispositivos adquiridos en el tiempo que se encuentra en custodia del
DEFR. El registro de la cadena de custodia es un documento que identifica la
cronología del movimiento y el manejo de la evidencia digital potencial. Es conveniente
que sea instituido un proceso de recolección o adquisición. Esto se logra típicamente
mediante el trazado de la historia de cada elemento desde el momento en el que fue
identificado, recolectado o adquirido por el equipo de investigación, hasta su costado y
localización presentes.
El registro de la cadena de custodia es un documento o una sede de documentos

relacionados que detallan la identificaci6n, recolección, adquisición y preservación de
un dispositivo o evidencia digital y se registra quien fue el responsable del manejo de
la evidencia digital potencial, ya sea en forma digital o en otros formatos (corno puede
ser notas e-scritas). El propósito de mantener el registro de la cadena de custodia es
habilitar la identificadón de accesos o el movimiento de fa evidencia digital potencial
en cualquier punto en el tiempo. él registro de la cadena de custodia en sí puede
contener más de un documento, por ejemplo, para la evidencia digital potencial debe
existir un documento contemporáneo que registre la adquisición de los datos digitales
en un dispositivo particular, el movimiento de ese dispositivo y el registro de fa
documentación de la extracción subsecuente o copias de fa evidencia digital potencial
para el análisis u otros propósitos. El registro de la cadena de custodia debe contener
la siguiente información como mínimo:
Un identificador único de la evidencia;
Quién tuvo acceso a la evidencia, asi como el fugar y la fecha en que sucedió;
Quién verifico la entrade y salida de la evidencia de la facilidad de preservación

y cuándo sucedió;
Por qué fa evidencia fue retirada (con qué propósito y en qué) y la autoridad
relevante, si aplica;
Cualquier cembio inevitable a la evidencia digital potencial, así como el nombre

del individuo responsable, por lo tanto la justificación para la introducción del
cambio;
Lugar, tiempo y personas que participaron en la recolección;
características físicas y/o lógicas de la evidencia;
Breve descripción de los procesos efectuados durante la recolección.
Es conveniente que la cadena de custodia se mantenga durante todo el ciclo de vida de

la evidencia y preservarse por un periodo posterior al final del ciclo de vida de la
evidencia; este periodo de tiempo puede ser acordado con las jurisdicciones locales de
NMX-I-27037-NYCE-2015
16/52
la recolección y adquisición de la evidencia. Se recomienda sea establecida desde el

momento en el que el (los) dispositivo(s) digital(es) vIo la evidencia digital potencial
fueron adquiridos; y no deben ser comprometido.
NOTA: Algunas jurisdicciones pueden tener requlsucs especiales respecto a la cadena. de custodia. el DEfR
se debe adherir a esos requisitos.
6.2 Precauciones en el lugar del incidente
6.2.1 Generalidade,s
Se recomienda que el DEFR"'realice las actividades para ase-gurar y proteger el lugar de

la evidencia digital potencial tan pronto como llegue al sitio. Las actividades pueden
suponer lo siguiente, sujetándose a ras leyes locales:
Tomar control y asegurar el área que contiene los dispositivos;
Determinar quién es el individuo encargado del lugar¡
Asegurarse que los individuos se muevan lejos de los dispositivos y fuentes de.
alimentación;
Documentar a las personas que tengan acceso al lugar y a las personas que
tengan razones para estar involucrados en" la escena del incidente;
Si el dispositivo está encendido, no debe apaqerse; si esta apagado, no debe

encenderse;
Si es posible, documentar (por ejemplo, realizar un esquema, fotografía o

video) de la escena, todos los componentes y cables en su posición oriqinal. Si
no hay alguna cámara de fotografía o video disponible, dibujar un esquema del
sistema y etiquetar los puertos y cables de tal manera que el sistema pueda ser
validado y reconstruido posteriormente¡ y
Si es permitido, buscar artículos corno notas adheribles, diarios, papeles,

computadoras portétiles o hardware y manuales del software que contengan
detalles cruciales acerca de los dispositivos, como pueden ser passwords o
PINs.
NOTAS:
1) Algunas jurisdicciones pueden tener requisitos especiales para la admision de fotografías y

evidencia en video. El DEFRdebe adherirse a esos requisitos.
2) Los DEFRs necesitan estar al tanto de que la evidencia digital potencial no esté siempre en una
ubicación obvia. como en el caso de almacenamiento distribuido o virtual izado.
Es conveniente que el DEFR primero conozca los riesgos involucrados en la realización

de los procesos de investigación. Se recomienda dar consideraciones para la protección
del personal y de la evidencia digital potencial en la escena del incidente.
6.2.2 Personal
La realización de la evaluación de los riesgos en relación con la seguridad del personal

antes de comenzar el proceso es importante dado que la seguridad del personal
NMX-I-27037-NYCE-2015
17/52
involucrado en et proceso es vital. Los asuntos a ser considerados en la evaluación de

los riesgos para el personal incluyen, pero no están limitados a lo siguiente:
¿Es conveniente que estén presentes los individuos investigados? Si están

presentes, étienden a ser propensos a la violencia?;
¿En qué momento del día se- lleva a cabo la operación?;
¿Puede la escena del incidente aislarse de los espectadoresv:
¿Existen armas el~el área?;
¿Existe alguna amenaza física para los Individuos. presentes?;
¿Puede- algo en la cercanía, incluyendo el dispositivo, haber sido configurado

para causar daño físico si se maneja de una Inanera inapropiada (por ejemplo,
una trampa oculta)?;
¿El material recolectado puede provocar alguna ofensa o daño psicológico?;
¿Puede fa escena del incidente considerarse insegura?;
¿El áre-a que rodea la zona del incidente puede tener impacto en el riesgo
potencial?
6.2.3 Evidencia digital potencial
Se recomienda Que el DEFR sea cuidadoso cuando use una herramienta específica para
la recolección o adquisición de la evidencia digital potencial. El hecho de no calcular los
riesgos antes de actuar puede resultar en la pérdida de una parte o toda la evidencia
digital potencial debido a la tecnología aplicada durante la recolección o adquisición. Es
conveniente que- los riesgos sean evaluados para reducir exposiciones que puedan
provocar daños.
La evaluación de los riesqos incluye una evatuación sistemática de los riesgos y el

impacto potencial que pueda existir en la investigación de la evidencia digital. Los
aspectos a considerar durante el análisis de los riesgos para la evidencia digital
potencial incluyen, pero no están limitados, a los siguientes:
¿Qué tipo de métodos de recolección/adquisición se usan?;
¿Cuál es el equipo que se usa en el sitio?;
¿Cual es el nivel de volatilidad de los datos e información relacionados con la

evidencia digital potencial?;
¿Es posible el acceso remoto a alguno de los dispositivos digitales, esto implica
una amenaza a la inte-gridad de la evidencia?;
¿Qué pasa si los datos/equipos se dañan?;
¿La información pudo haber estado comprometida?;

NMX-I-27037-NYCE-2015
18/52
¿Pudo ¿t dispositivo digital estar programado para destruir (por ejemplo,

usando una bomba lógica), expoliar u ofuscar datos si se apaga o se accede de
una menera incontrolada?
6.3 Roles y responsabilidades
Los roles del DEFR incluyen la identificación, recolección, adquisición y preservación de

la evidencia digital potencial en la escena del incide-oteo Incluye el desarrollo de un
reporte de recolección y adquisición, pero no necesariamente el reporte del anélisis, El
rol del DEfR también incluye- el aseguramiento de la integridad y la autenticidad de la
evidencia digital potencial. En- el cumplimiento de su rol, es conveniente que el DEFR
tenga fa experiencia adecuada, habilidades y conocimientos. en el manejo de la
evidencia digital potencial. Esto es crucial porque la evidencia digital potencial puede
ser fácilmente expoliada.
El DEFR tam bién puede requerir la asistencia de soporte técnico del personal
especializado en éreas relacionadas. El rol de un DES incluye el abastecimiento del
soporte técnico al OEFR en la identificación, recolección, adquisición y preservación de
la evidencia digital potencial en la escena del incidente. El OES provee e-xperiencia
personalizada al OEFR. la matriz de competencias del DEFR {véase el apéndice "AH)
sirve como una guia para identifica-r su nivel para las competencias relevantes.
NOTA: En el contexto del manejo de incidentes donde el ISIRT des,empeña los roles del DEfR ylo CES
como miembros del equipo ISIRT se discuten en la norma que se indr· a en el inciso e.s del
apéndke e.
6.4 Competencias
Se recomienda que el DEFR y/o el DES tengan competencias técnicas y legales

relevantes (por ejemplo, aquellas del apéndice "AH) y ser capaces de demostrar que
estén propiamente capacitados y tienen el entendimiento técnico y legal suficiente
para manejar fa evidencia digital potencial apropiadamente. Esto incluye la
comprensión de los procesos y los métodos apropiados para el manejo de fuentes de
evidencia digital potenciales. la capacitación adecuada permite al DEFR manejar
dispositivos digitales que contengan la evidencia digital potencial. Contar con el mejor
conjunto de herramientas no garantiza la calidad de la evidencia digital si el OEfR no
es competente en el desarrollo de las tareas.
Algunas jurisdicciones se han prescrito corno, es conveniente que el DEFR establezca

sus calificacione-s. Es responsabilidad del DEfR asegurar que está propiamente
informado de cómo hacer esto en las jurisdicciones relevantes. Se recomienda que
cuando se requiera, el OEFR y/o el DES sean capaces de demostrar que son
competentes en el manejo de la evidencia digital mediante el uso de herramientas y
métodos seleccionados para llevar a cabo las tareas. También se requiere que el DEFR
sea capaz de proveer la evidencia de su competencia en curso.
Algunos pre-requisitos para un DEFR son los siguiente-s:
Es conveniente que esté propiamente y adecuadamente capacitado para el

manejo de dispositivos digitales en el contexto de las actividades de la
investigación;
NMX-I-27037-NYCE-2015
19/52
Es conveniente que demuestre y mantenga sus habilidades y competencias a

las autoridades apropiadas en el área relevante al manejo de evidencia digital
potencial; y
Es responsabilidad de los individuos y el empleador asegurar que el DEfR está

adecuadamente capacitado y que las habilidades y competencias se mantienen.
NOTA: Las competencias de un OEFRpueden variar de una jurisdicción a otra.
6.5 Debido cuidado
Evitar cualquier acción que pueda llevar a una expoliación de la evidencia digital
potencial almacenada en los dispositivos digitales debido a accicnes intencionales o no
intencionales. Por ejemplo, la exposición a campos magnéticos puede expoliar la
evidencia digital potencial contenida en un medio de almacenamiento magnético. Se
recomienda que el DEFR no acceda a los dispositivos digitales, como la realización de
un volcado de memoria de un dispositivo digital en vivo, a menos que tengan la
competencia requerida y con el uso de procesos confiables y validados.
Existen algunas circunstáncias en las .que es impráctico recopilar o adquirir evidencia

digital potencial. Es conveniente que el DEFR considere las siguientes circunstancias,
pero no se limite sólo a ellas:
Si no hay derecho o autorización legal para la recotección de fa evidencia

digital;
Si existe alguna obligación para usar otros métodos (por ejemplo, evitar la
interrupción del negocio);
Si el DEFR quiere capturar el método de operación sospechoso durante el abuso

de un sistema;
Se recomienda que la recolección o adquisición se lleve a cabo secretamente, si

e-s considerado por ra jurisdicción;
Si es un dispositivo digital de misión crítica y no se puede tolerar un tiempo de

inactividad;
Si el tamaño fisico del dispositivo digital es muy grande, como un servidor en

un centro de datos o un sistema RAID;
Si es un dispositivo digital de seguridad crítica que pueda causar peligro si es

detenido; y
Si es un dispositivo digital que también da servicio a partes inocentes.
6.6 Documentación
La dccumentación es critica cuando se manejan dispositivos digitales que pueden

contener evidencia digital potencial. Se recomienda que el DEFR se adhiera a los
siguientes puntos durante la documentación:
NMX-I-27037-NYCE-2015
20/52
Es conveniente que cada actividad realizada sea documentada. Para asegurar

que no se han pasado por alto detalles durante los procesos de identificación,
recolección, adquisición o preservación. También puede ser (Iti! en una
investigación transfronteriza donde la evidencia digital potencial es reunida en
otra parte del mundo puede ser rastreada adecuadamente;
Es conveniente que el DEFR sea cuidadoso de las configuraciones de tiempo y

fecha si los dispositivos digitales están encendidos. Comparar las
configuraciones de tiempo con una fuente confiable, como puede ser un tiempo
que está sincronizado con una fuente de tiempo confiable y trazable. Se
recomienda que estas configuraciones de tiempo estén documentadas y
resaltadas si hay alguna diferencia. Se recomienda Que el DEFR sea cuidadoso
de no modificar el sistema. Sólo el personal adecuadamente capacitado puede
recuperar estas configuraciones;
Es conveniente que el DEFR documente todo lo visible en la pantalla del

dispositivo digital, programas y proce-sos activos, asi como el nombre de- los
documentos abiertos. Se recomienda Que la docurnentación incluya la
descripción de lo que es visible, ya que algunos programas maliciosos pueden
enmascararse como software conocido;
Se recomienda Que cualquier movimiento de los dispositivos diqitales esté

documentado de acuerdo a los requisitos locales;
Documentar todos los identificadores únicos de los dispositivos digitales y las

partes asociadas, como números de serie y marcas únicas.
Ejemplos de un conjunto mínimo de docurnentos para un intercambio entre

jurisdicciones de evidencia digital potencial se muestran en el apéndice "S ".
NOTA: Véase el capítulo de control de documentos y manejo del registro de la NMX-EC-1702S-IMNCpara

mayor información sobre la documentación.
6.7 Instrucciones
6.7.1 Generalidades
Es esencial para el DEFR y el DES tener las instrucciones adecuadas por la autoridad
relevante antes de llevar a cabo sus tareas, en lo referente a la confidencialidad, leyes
y restricciones (por ejemplo, conocimiento básico necesario), Es importante tener una
sección de instrucciones formales para entender el incidente, qué se espera y que no
ocurra durante la investigación, y un recordatorio contra la manipulación y expoliación
de la evidencia. Es conveniente que las instrucciones sean suficientes para que los
miembros estén bien preparados en la realización de sus roles y responsabilidades,
asegurando la extracción de toda la evidencia digital potencial relevante.
6.7.2 Evidencia digital específica
Una sesión de instrucciones debe enfocarse explícitamente en la guia especifica de la

evidencia d igitaJ para informer a los OEfRs los detalles perteneciente-s a la
investigación. Durante la sesión de instrucciones, se recomienda que el DEFR y el DES
sean provistos de informacién relevante e instrucciones detalladas relacionadas con la
evidencia digital potencial Que sea recolectada o adquirida. É.stas pueden incluir:
NMX-I-27037-NYCE-2015
21/52
Tipo de incidente (si se conoce);
Fecha y tiempo del incidente (si se conoce);
Plan de investigación (recolección y/o adquisición, actividad en la red conocida,

requisitos de información volátil conocidos, etc.;
Considerar cuándo y cómo la evidencia potencial digital es

atrnecenade/transportada después de la recolección o adquisición;
Herramientas específicas necesarias para la adquisición de la evidencia digital
potencial;
Evidencia digital potencial relativa a tipos específicos de investigación;
Equipamiento y manuales relacionados con los dispositivos digitales;
Recordatorio a los miembros del equipo de apagar cualquier interfaz de

bluetooth o V'¡i-Fi en sus celulares/computadoras para que no actúen
inadvertidamente oon los dispositivos digitales, excepto para los
teléfonos/computadoras usados para detectar fas conexiones;
Importancia de la documentación a través de la investigación; y
Factores legales o de otro tipo que son aplicables y Que prohíban la recolección
de cualquier dispositivo digital o de la evidencia digital potencial que oontienen.
Esta sesión de instrucciones puede formar parte de la sección de instrucciones

generales como se describe en el inciso de instrucciones en su apartado de
generalidades.
6.7.3 Personal específico
Una sesión de. instrucciones debe enfocarse explícitamente en la guía del personal
específico para informar a los. DEFRs, cuátes 50n los aspectos pertenecientes a las
partes involucradas en la investigación. Durante la sesión de instrucciones, el equipo
investigador será provisto de las instrucciones relacionadas al personal específico.
Éstas pueden incluir:
- Asignaciones, roles y responsabilidades de los miembros del equipo de

investigación en fa escena del incidente;
- Si otras autoridades (personal médico, investigadores biológicos fore-nses, etc.}

esperan estar involucradas en la investigación;
- Solicitar a los miembros del equipo no aceptar asistencia técnica de individuos

no autorizados; y
- Solicitar a los miembros del equipo seguir el procedimiento estrictamente para

minimizar el riesgo de expoliación de fa evidencia digital potencial, así como
evitar el uso de cualquier herramienta o material que pueda producir o emitir
una carga estática o un campo magnético ya que- éstos puedes dañar o destruir
la evidencia digital potencial.
NMX-I-27037-NYCE-2015
22/52
Esta sesión de instrucciones especificas puede formar parte de la sesion general de

instrucciones. como se describe en la cléusula de instrucciones en el apa rtado general.
6.7.4 Incidente en tiempo real
Es deseable que- la investigación de un incidente sea planeada con anterioridad, sin

ernbarqo hay circunstancias (por ejemplo; cuando un incidente se desarrolla, y se
responde a este en tiempo real) donde la planeación completa no es posible. En estas
situaciones, el equipo debe, ser instruido en las tácticas y e-strategias iniciales para la
investiqación y se fe permite-desarrollar nuevas estrategias y prácticas en respuesta a
las condiciones prevalentes. La información acerca del incidente, como se desarrolla,
debe ser cornpartida entre el equipo tan rápido como sea posible, con el fin de
asegurar que las decisiones sobre las acciones a tomar se puedan hacer de manera
eficiente y teniendo debidamente en cuenta la necesidad de justificación.
6.7.5 otra información sobre instrucciones
Además de la evidencia digital y el personal, se pueden dar instrucciones para otra

información importante a los miembros del equipo de investigación, que puede ser:
Designación del área baje investig_ación, incluyendo el nombre de la

organización, dirección y una ubicación en el mapa (si está disponible);
Mandato de la investigación;
Detalles de las órdenes de registro y otras autoridades aplicables a la

investigación, incluyendo los límites de la búsqueda e incautación;
Aspectos regales e implicaciones;
Plazo de la investigación;
Equipo necesario para la investigación en la escena del incidente;
Información logística; y
Conflictos potenciales de interés.
Se recomienda que el OEfR evite situacione.s en las que las acusaciones de una
tendencia inherente puedan llevarse a cabo. Un ejemplo de tendencia inherente es
cuando un DEfR copia a una computadora y no otra (que posteriormente. es la que
contiene la evidencia exculpatoria) basada en la percepción formada en la sesión de
instrucciones.
6.8 Priorizaci6n de la recolecclón y adquisici6n
En la priorización de la recolección y adquisición de la evidencia digital potencial es

imperativo, para el DEFR, entender la razón por la que la evidencia digital potencial
está siendo recolectada o adquirida. corno un principio general, es conveniente que el
DEFR intente maximizar la cantidad de información preservada por las acciones de
recolección y adquisición. Sin ernbarqo, puede ser necesario priorizar algunos
elementos por la volatilidad y/o relevancia/potencial de su valor como evidencia. Los
NMX-I-27037-NYCE-2015
23/52
elementos de alto valor de relevancia/potencial respecto a su calidad como evidencia

son los más probables a contener información relacionada directamente con el
incidente bajo investigación.
La priorización por volatilidad únicamente e-s aplicable si las circunstancias específicas

del caso Que está siendo investiqado lo req uieren. La evidencia digital potencial puede
separarse en dos categorías: volátil y no volátil. la información volátil puede ser
fácilmente destruida y perdida para siempre si no se aplica el debido cuidado a la
protección de esta información. Por ejemplo, cortar la fuente de energía de un equipo
puede resultar en la pérdida de la información volátil. La información no volátil
permanece en el medio aun cuando la energía ha sido cortada. Oado que algunos tipos
de evidencia digital pueden tener un ciclo de vida COito, la evidencia digital puede ser
fácilmente alterada o expoliada. Cuando no es claro.si el dispositivo digital contiene la
evidencia digital potencial, o cueles elementos tienen rnevor relevancia que los demás,
puede ser necesario examinarlos antes de la recolección usando un proceso para
determinar su prioridad. Los dispositivos digitales a ser considerados para la
recolección incluyen, pero no estén limitados a; equipos de TI y medios de
almacenamiento digital, sistemas de CCTV, PEDs, sistemas automotrices, sistemas de
control y electrónicos improvisados. Se recomienda adquirir primero la mayor
evidencia digital potencial volátil como la RAM, el espacio de intercambio, los procesos
en ejecución, etc. Se 'recomienda que el DEfR posea un buen conocimiento para
priorizar de acuerdo a la volatilidad.
Antes de la identificación, es conveniente que el DEFR:
Priorizar la evidencia digital potencial que pueda ser perdida para sie-mpre si la
energía es removida; y
Tomar acciones rápidas para recopilar y adquirir este información con métodos
validados.
NOTAS:
1) Algunos datos volátiles pueden cambiar debido a factores que incluyen, pero no se limitan a la
ubícacién. tiempo y cambios del ambiente que rodea a los depcsmvcs, asegurar que la informadoo
sea preservada antes de mover el drspositivo;
2) Los dispositivos digitales que contienen la evidencia digital pueden ser una fuente de evidenda ñsica
(por ejemplo, huellas, AON, eic.). Los DEFRs necesitan tener cuidado de no expolia.' tal evidencia y
cccrdtnerse con otros recolectores de evidencia relevantes antes de proceder con las actividades
siguientes.
3) Cuando se sospecha de cifrado o rnefwere, es deseable examinar la informaoon volátil.
En estas circunstencias, el tiempo puede ser un factor limitante durante la

investigación. En estos casos, se recomienda de preferencia se asigne. a la evidencia
digital potencial Que ha sido determinada como relevante al incidente específico.
6.9 Preservación de la evidencia digital potencial
6.9.1 Información general
En la preservación de la evidencia digital potencial adquirida y los dispositivos digitales

recolectados durante el empaquetamiento o embalaje, e-s importante asegurar esto
artículos de una manera que se elimine la expoliación o alteración. La expoliación
NMX-I-27037-NYCE-2015
24/52
puede ser producto de una degradación magnética, degradación eléctrica, calor,

exposición a alta o baja humedad, así como el choque y vibración. La alteración puede
ser producto de hacer o permitir cambios intencionale-s a la evidencia digital potencial.
Por lo tanto es crucial proteger la evidencia digital potencial lo mejor posible, y usar la
información original lo menos posible. Es importante que el OEfR esté familiarizado
con los requisitos de empaquetamiento o embalaje específico a la jurisdicción
relevante.
6.9.2 Pre,servación de la evidencia digital potencial
Se recomienda proteger tanto....como-sea posible de pérdidas, alteración o expoliación a

todos los dispositivos digitales recolectados y a la evidencia digital potencial adquirida.
La actividad más importante en el proceso de preservación es mantener la integridad y
autentioidad de la evidencia digital potencial y su cadena de custodia.
Se recomienda que los dispositivos digitales recolectados y la evidencia digital

potencial adquirida sea almacenada en una instalaci-ón de preservación de la evidencia
que aplique controles de seguridad físicos como pueden ser sistemas de control de
acceso, sistemas de vigilancia o sistemas de detección de intrusos. o cualquier otro
ambiente controlado para la preservación de la evidencia digital. Los objetivos
principales de la seguridad física son mantener y evitar la pérdida, daño o alteración,
así como habilitar la capacidad de que sea auditable.
Es conveniente que los dispositivos digitales recolectados sean envueltos o colocados

en un empaquetamiento o embalaje apropiado que sea adecuado para que fa
naturaleza del dispositivo evite la contaminación de los dispositivos digitales antes de
su trensporte a otra ubicación. El empaquetam iento o embalaje resistente a choques
puede ser usado para evitar daños físicos a cualquier componente del dispositivo.
Es conveniente que el DEFR considere (a sensibilidad del dispositivo digital a la

electricidad estática. Si esto es una preocupación. se recomienda que el
dispositivo sea asegurado en una bolsa enti-estética,
Las unidad e-s centrales de los sistemas y computadoras portátiles necesitan

asegurarse en un contenedor apropiado para evitar alguna alteración o
expoliación de la evidencia digital potencial que puede residir en ella.
NOTA: El uso de una bolsa de Faraday, u otro empaque de blindaje de. radiofrecuencia puede aumentar el
drenado de la bareria de un teléfono móvil. Esto puede requerir el abastecimiento de una fuente de
alimentación para el dispositivo que reside en estos empaques.
6.9.3 Empaquetamiento o embalaje de dispositivos digitales y de evidencia

digital potencial
6.9.3.1 Actividades básicas: empaquetamiento o embalaje de la evidencia

digital potencial
Se recomienda que las actividades básicas se lleven a cabo, a menos que haya una
buena razón para no hacerte. Esto también puede refedrse como el mínimo de
actividades que se sugiere se realicen. Durante .el empaquetamiento o embalaje es
conveniente que el DEFR anote y lleve a cabo las siguientes actividades básicas:
NMX-I-27037-NYCE-2015
25/52
No tocar la cinta magnética, recoger las cintas por su estuche. protector o las
áre.as que se sabe que no contienen datos (por ejemplo, orilles de 105 discos
ópticos). Esto sólo puede hacerse si el DEFR tiene guantes libres de pelusa;
NOTA: las áreas específicas de medios de almacenamiento que se sabe que no contienen
información dependen del tipo de medio. Es la responsabilidad del DEFR conocer la
tecnología que se investiga y estar familiarizado con su manejo.
Para asegurar la correcta identificación, se recomienda Que el DEFR etiquete

toda la evidencia digital potencial. Algunas jurisdicciones tienen requisitos
específicos respecto al formato de etiquetado del material de evidencia. Es
conveniente que-el DEFR esté familiarizado con, y conforme al los requisitos
aplicables en el asunto. Es conveniente que el OEFR etiquete toda la evidencia
digital potencial, recopilar los dispositivos d¡g·itales y cualquier parte del
hardware asociada a los dispositivos con la etiqueta de la evidencia de
manipulaoión. Se sugiere que la etiqueta no se coloque en las partes mecánicas
del dispositivo digital y no debe cubrir u ocultar información de identificación
importante. Toda la evidencia digital potencial adquirida en los dispositivos
recolectados se recomienda almacenar de tal manera que se asegure (a
inteqridad de la evidencia;
Cuando -sea posible, los dispositivos digitales con eperturas y componentes

móvile-s se recomienda sean sellados con etiquetas de evidencia de
manipulaoión apropiada-s para los dispositivos; se sugiere que el DEFR firme
e-ste sello;
Se recomienda que los dispositivos adjuntos que traen baterías y contienen

información volátil se verifiquen ccn regularidad para asegurar que siempre
tengan energía suficiente¡
Identificar y asegurar los dispositivos digitales en un- contenedor adecuado para

que la naturaleza del dispositivo reduzca las posibles amenazas;
Se recomienda que las computadoras y los dispositivos digitales se empaqueten

de tal manera que se prevenga el daño pOI"choque, vibración, altitud elevada y
exposición a la radiofrecuencia durante la transportación:
Los medios de almacenamiento electrónico se recomienda sean almacenados en

empaques que son magnéticamente inertes, ante-estáticos y libres de
partículas.
Los dispositivos digitales también pueden contener evidencia latente, biológica o

huellas de evidencia. Como tal, las actividades propias necesitan llevarse a cabo para
preservar la evidencia digital potencial. La creación de imáge.nes de la evidencia digital
se sugiere se realicen después de que los procesos de recolección de fa evidencia
latente, digital o huellas de evidencia se hayan realizado en los dispositivos. Sin
embargo, la decisión de priori zar la recolección de la evidencia se recomienda sea
evaluada a fondo para preservar fa evidencia.
6.9.3.2 Actividade,s adicionales: empaquetamiento o embalaje de la

evidencia digital potencial
NMX-I-27037-NYCE-2015
26/52
Las actividades adicionales son aquellas actividades que se recomienda principalmente

se neven a cabo. Durante el empaquetamiento o embalaje, se recomienda que el DEFR
anote y realice las siguie-ntes actividades, cuando sean aplicables:
Utilizar guantes libres de pelusa para asegurar que las manos están limpias y
secas,
Prote.ger los dispositivos digitales de la influencia de fuentes electromag néticas

(por ejemplo radios de policía, altavoces, máquinas de rayos X). Es conveniente
que el ambiente del empaquetamiento o embalaje este libre de estática;
Se recomienda que- el ambiente del empaquetamiento o embalaje esté libre de

polvo, grasa y contaminantes químicos que promuevan _Ja deterioración por
oxidación y la condensación de humedad en las capas maqnéticas:
Minin1izar la posibilidad de print-through (la transferencia de señal dentro del

bucle de una cinta a un bucle adyacente), que puede ocurrir cuando las cintas
son almacenadas por largos periodos sin uso, resultando en una señal de poca
calidad;
Cuando sea necesario, se recomienda que el área de empaquetamiento o

embalaje esté libre de luz VV. la luz UV puede causar la degradación del ADN o
el almacenamiento de algunos medios. Es conveniente que el OEfR considere si
la luz UV posee un riesgo para la evidencia digital potencial antes de seleccionar
el área de empaquetamiento o embalaje.
Se recomienda que los dispositivos digitales estén fuertemente protegidos de un

choque térmico.
6.9.4 Transporte de la evidencia digital potencial
Se recomienda que el DEFR preserve los dispositivos digitales recolectados y la

evidencia digital potencial adquirida durante el transporte, Se sugiere que fa evidencia
digital potencial no se deje desatendida durante el proceso de transporteción. Se
reoomienda que el OEFR mantenga la cadena de custodia durante el proceso de.
trensportación para evitar una posible alteración o expoliación, y mantener la
integridad y autenticidad de ros dispositivos digitales y la evidencia digital potencial. Si
la evidencia digital potencial no es transportada por el DEFR o el DES, se recomienda
que se usen procesos de cifrado.
NOTA: Es conveniente que el DEFR asegure que la recolección de información sensible o personal está
permitida por las leyes y regulacjones sobre protección de datos de la jurisdicción local.
Durante el empaquetamiento o embalaje y transporte, el DEFR necesita estar

consciente de la posible presencia de de-scargas electrostáticas Que puedan dañar el
valor probatorio de la evidencia digital potencial. Es conveniente que el DEfR se
asegure que- las computadoras y dispositivos digitales están empacados de manera
segura durante su transportación para prevenir daños por choque y vibración.
Se recomienda que el proceso de transportación permita un entorno propicio y

controlado. Se recomienda que el nivel de humedad y temperatura sea adecuado para
los dispositivos digitales. Se sugiere evitar guardar la evidencia digital potencial y los
dispositivos digitales en el vehículo de trensportación por periodos prolongados y evitar
que estén en presencia de UV.
NMX-I-27037-NYCE-2015
27/52
En algunas jurisdicciones, cuando las circunstancias no lo permiten, el DEFR no es

capaz de acompañar la evidencia. En tales casos, el LISO de los mecanismos de
transporte apropiados y autorizados pueden ser utilizados para asegurar la seguridad
de la evidencia durante la transportación. Se recomienda que los documentos de la
trensportación y verificeción de la integridad de los paquetes sea parte de la cadena de
custodia.
7 INSTANCIAS DE IDENTIFICACIÓN, RECOLECCIÓN,

ADQUISICIÓN Y PRESERVACIÓN
7.1 Computadoras, dispositivos periféricos y medios de
almacenamiento digital
7.1.1.1 Búsqueda de la escena del incidente físico y documentación
En el contexto de esté inciso, las computadoras son consideradas corno dispositivos

digitales independientes que reciben, procesan y almacenan información, y producen
resultados. Estas cómputadores no están conectadas a una red, pero pueden e-star
conectadas a dispositivos periféricos corno impresoras, scanners, cámaras web,
reproductores de MP3_Jsistemas de GPS_,dispositivos RFIO y otros tipos. Un dispositivo
digital que tiene una interfaz de red, pero 00 esta conectado en el momento de la
recolección o adquisición, se sugiere que se considere (para el propósito de esta
Norma Mexicana) una computadora independiente. Cuando una computadora cuenta
con una interfaz de red, pero no hay una conexión obvia, se- sugiere realizar
actividades para identificar los dispositivos a los cuáles pudo estar conectada en el
pasado.
Usualmente las escenas de incidentes contienen varios tipos de medios de

elrnacenemiento digital. los medios de elrnacenamiento digital son usados para
guardar información de dispositivos digitales y varían e-n (a capacidad de memoria.
Algunos ejemplos de medios de almacenamiento digital incluyen, pero no están
limitados a discos duros externos portátiles, unidades flash, CD.s, OVOs, discos Blu-
Ray, disquetes, cintas magnétjcas y tarjetas de memoria.
Antes de que una recolección o adquisición puedan llevarse a cabo, los aspectos de
seguridad de la evidencia digital potencial necesitan ser considerados. E,stos aspectos
se describen e-n los incisos 6.2.1 y 6.2.2. Es conveniente que el DEFR cuide, sin
embarco, que se asegure que un equipo aparentemente independiente no haya estado
conectado recientemente a una red. Cuando se sospeche que un equipo independiente
ha sido desconectado reciente Inente de una red, se recomienda considerar como un
equipo de red para asegurar Que otras partes de la red se manejen correctamente" Se
sugiere que el OEFR anote y realice al menos lo siguiente:
NMX-I-27037-NYCE-2015
28/52
Se sugiere que e-I DEFR documente el tipo y marca de cualquier dispositivo

digital usado e identificar todas las computadoras y dispositivos periféricos que
sean necesario de ser adquiridos o recolectados en esta etapa inicial. Los
números de sede, números de licencia y otras marcas identificadoras
(incluyendo daños ñsicos) se recomienda sean documentados cuando sea
posible;
En la etapa de identificación, el estado de las computadoras y fos dispositivos

periféricos se recomienda permanezcan corno -se encuentran. Si las
com putadoras o dispositivos periféricos estén apagados, no hay que
encenderlos, si están encendidos se recomienda que eJ OEfR no los apague, ya
que provoca lía la expoliación de posible evidencia digital;
Si las computadoras están encendidas, se recomienda que el OEfR fotografíe o

haga un documento escrito con lo que- se despliega en las pantallas. Cualquier
documento escrito se recomienda incluya una descripción de lo que es
realmente visible (por ejemplo, la po-sición aproximada de las ventanas, títulos
y contenidos);
Un dispositivo que tiene baterias y que puede descargarse necesita ser

alimentado para asegurar que la información no sea perdida. El DEFR necesita
identificar V recopilar los posibles cargadores de baterías durante esta fase;
Es conveniente que el DEFR también considere, usando un detector de señales

inalámbticas. La detección e identificación de señales inalémbricas de
dispositivos inalámbricos que puedan estar ocultos. Pueden existir instancias en
las que el detector de señales inalámbricas no se use debido .a las limitaciones
de costo y tiempo; se sugiere que el DEFR documente esta situación. Si no se
encuentra ningún dispositivo de red, el OEFR debe continuar con el proceso de
manejo de evidencia descrito en el subinciso 7.2.2.2 de esta Norma t-1exicana.
Cuando existe un escaneo a'ctivo (por ejemplo broadcasting vio sondeo) de
dispositivos de red, los dispositivos que realizan esta operación es conveniente
que permanezcan apagados hasta que una evaluación de Que el dispositivo
interactúe con otros dispositivos en la escena se haya realizado. Los miembros
del equipo de investigación deben recordar que ciertos dispositivos en la escena
pueden detectar la presencia de un dispositivo de escaneo activo; esta situación
puede disparar acciones que expolien la evidencia digital potencial, y pueden,
en circunstancias extremas, resultar en la activación de trampas escondidas.
NOTAS:
1) En algunas jurisdicciones, es permisible encender los dispositivos digitales en la escena para

determinar su relevancia para la investigación si es que existen diversos dispositivos digitales. Esto
se realiza en consideración del tiempo y costo del prccesernienec que puede elevarse si se
adquieren dispositivos digitafes no relevantes. Si un dispositivo está encendido para su evaluación
en la escena, se recomienda que eJ DEFR se asegure que se tomen notas espedfices de que las
acciones se meowvlercn durante el procese.
2) En la preservación del estado original de la energía del dispositivo digital, los resultados de kls
procesos de priorización por vclanhded y relevancia se recomienda sean considerados. Si la decisión
e-fe-ctuadaes que fa información más importante es la no volátil de un disco, entonces el sistema en
ejecución es fotografiado y desconectado de la corriente eléctrica. Si la información volátil en la
memoria es relevante, entonces es crítico dejar el sistema encendido para permkir su adquisición.
7.1.1.2 Recopilación de la evidencia no digital

NMX-I-27037-NYCE-2015
29/52
Es conveniente que el DEFR considere la recopilación de la evidencia no digital. Para

permitir esto, se recomienda que el líder del equipo identifique a las personas
responsable-s de las instalaciones en el lugar. ésta persona puede ser capaz de
proporcionar la información y la documentación adicional, tales como contraseñas de
los dispositivos digitales y otros detalles rele-vantes. El OEFR necesita documentar el
nom bre y la designación de esta persona.
El DEfR también puede necesitar recopilar alguna evidencia al hablar con las personas
que puedan tener información útil o relevante acerca de la evidencia digital potencial o
dispositivos diqitales a ser recopilados. Cualquier respuesta se sugiere sea
documenteda con precisión. Estos individuos pueden incluir el administrador del
sistema, el propietario del dispositivo y los usuarios de las computadoras y los
dispositivos periféricos. Durante esta recopilación de pruebas verbales, el OEFR puede
solicitar información como lo es la configuración del sistema y la contraseña de
administrador / la contraseña del usuario root. Esta información adicional puede- ser
útil en la etapa de análisis de la evidencia digital potencial. Estas conversaciones se
suqiere sean documentadas para asegurar que los datos son precises y la declaración
documentada no se pueden cambiar. El DEFR necesita estar familiarizado con los
requisitos jurídicos releva ntes relativos a la recopilación de la evidencia ro digital.
7.1.1.3 La toma de decisiones del proceso para la recopilaci6n o adquisición
En la decisión de recoger un dispositivo digital u obtener evidencia digital potencial, se

recomienda se consideren varios factores, que incluyen pero no están limitados a lo
siguiente:
La volatilidad de la evidencia digital potencial que se mencionaron en los

subincisos 5.4.2 y 6.8;
Existencia de encriptación o cifrado de volúmenes de disco completo en el que

la frase de contraseña o las teclas pueden residir como datos volátiles en la
memora RAM, en fichas externas, tarjetas inteliqentes, otros dispositivos o
medios de comunicación;
Criticidad del sistema que se mencionó en los subincisos 5.4.4, 7.2.1.: y

7.1.3.4;
Los requisitos legales de jurisdicción; y
Recursos tales como el tamaño de almacenamiento necesario, la disponibilidad

del personal, fa falta de tiempo.
La figura 1 ilustra la visión general de la toma de decisiones en el proceso de

recopilación o adquisición.
NMX-I-27037-NYCE-2015
30/52
si lo ~::¡eQr.es. Si le de::iClÓrl 0::::

n~r recde:colI n"ter lIdqv¡si<:i¿.,
No so No
Reeo!I!«ion en el Recelo-xión en el AdIlIJ~dÓtl el'! Adqlli~+o611 <In

ef'ICerdido de 101; "~9,)do de Io~ ClrItond.cso dQ! ClIX'IIC1~O del
OISP08It!vC& dl!l¡tales CIsl)O;IiIIIlOS l,j'IIPOI"t>VQ ¿i!;ltol • di~~dtil'tldi~¡llIt
•
• sul.'il'lOSO 1,1.2.1 <1;11;11110:::- $l.ó,hoi:o :¡¡bind:o-; .1.3.1 !lYOoN):II) ¡.1.3.2
(FlglJl':I 1) 7.1.1.2 (Figllr,) J) (Fist,j"" 4) (Fií)lIfa S)
FIGURA 1.- Directrices para la toma de decisiones de recopilación y

adquisición de la evidencia digital potencial
7.1.2 Recopilación
7.1.2.1 Encendido de dispositivos digitale,s
7.1.2.1.1 Información general
El OEfR puede seguir las directrices para la recopilación cuando el dispositivo digital
esta encendido. No todas las directrices son ideales y apropiadas para todos los casos;
algunas directrices solo son relevantes para casos específicos. En consecuencia, fas
directrices pueden ser categorizadas COITIO un-a actividad básica o adicional. las
Actividades básicas pueden aplicarse en todas las "circunstancias. La figura 2 ilustra las
actividades básicas y -adicionales aplicables a encender los dispositivos digitales de
recopilación.
NMX-I-27037-NYCE-2015
31/52
1:1'
...._ •• "_a><'>.d.oO~
Y c> .. :I.II.~ tudo.
1". ~¡ •• Y p ... <t_ d. 1... ci..... ".III""'• .,
(010<:4' "NI O~ ~obre el !r(CO'>'UIXOI' (le
"timen!'I'Q"'"
--------.,
I:.,.,..jo el. b • ..,pe ....
lI¡j¡(¡)<'IdC'~cle .c:~o
~
L-_.,__ -',
(YI 4lrOl'ln«,s :-50~'" CO$
J
I- ,~~,
FIGURA 2.- Directrices para la recopilación del encendido en el dispositivo

digital
NOTA: Es conveniente que todas estas actividades sean de acuerdo con las leyes y regulaciones
jurisdiccionales locales.
Es responsabilidad del OEfR conocer la tecnología actual y estar falniliarizado con las
guías del manejo de medios de almacenamiento.
7.1.2.1.2 Actividades básicas: recopilación de dispositivos de encendido

digital
Las siguientes actividades básicas se recomienda sean seguidas por el DEFR en todos
los casos de evidencia digital potencial. Estas directrices se aplican cuando el DEFR ha
decidido que el dispositivo de encendido digital se debe recopilar:
Considerar la posibilidad de una recopilación de dispositivos digitales de datos

volátiles y en estado actual antes de encender el sistema. las claves de cifrado
y otros datos cruciales pueden residir en la memoria activa o inactiva en la
memoria que todavía no ha sido borrada. Considerar la posibilidad de
adquisición lógica cuando se sospecha de un cifrado. Cuando es este el caso,
tenga en cuenta que el sistema operativo de hospedaje (host) en vivo puede
ser poco fiable, así que considere el uso apropiado de herramientas fiables y
validadas¡
La configuración del dispositivo digital puede determinar si el DEfR necesita

apagar el dispositivo a través de los procedimientos administrativos normales, o
si el enchufe del aparato debe ser desconectado de la toma de corriente. El
DEFR puede necesitar consultar con un OES para determinar el mejor enfoque
dadas las circunstancias específicas. Si se toma la decisión de desconectarte, el
DEFR tiene que quitar el cable de alimentación retirando primero el extremo
unido al dispositivo digital y no al contrario. Tenga en cuenta que un dispositivo
conectado a un UPS puede haber alterado los datos si el cable de. alimentación
se retira de la pared y no del dispositivo;
NMX-I-27037-NYCE-2015
32/52
NOTAS:
1} Si la alimentación se retira de un dispositivo de encendido digital. cualquier evidencia digital

potencial almacenada en los volúmenes cifrados es inaccesible, a menos que se obtenga la
clave del deseif.'ado. Datos en tiempo real que pueden ser valiosos también pueden
perderse, dando tugar a reclamaciones por daños o pérdida de vidas humanas, como los
datos corporativos o dispositivos digitales que controlan equipos médicos. Como tal, el DEfR
debe garantizar que los datos volátiles se recogen antes de retirar la fuente de alimentación.
2} Hay dispositivos de hardware que permiten el encendido del dispositivo para desconectarse
de la red eléctrica y que son transferidos a UPS portátiles sin interrumpir la alimentación al
dispositivo. Hay ratones jigglers que pueden ser usados para prevenir que se active el
protector de pantalla. Ambos dispositivos proveen herramientas útiles cuando se trata de un
dispositivo de encendido cifr.ado que puede estar activado. OJan-do un dispositivo de
encendido se recoge de tal manera que se mantiene el poder, el embalaje' y el transporte de
un sistema en funcionamiento tienen que abordar les pro.bSemas asociados con el suministro
de .-efrigeración. prcteccén contra golpes mecánicos. etc.
Etiquetar, desconectar y asegurar todos los cables del dispositivo digital y

etiquetar los puertos para Que el sistema pueda ser reconstruido en una etapa
posterior;
Colocar cinta adhesiva sobre el interruptor de alimentación si es necesario para

evitar que el estado cambiante del interruptor. Considere si el estado del
interruptor ha sido debidamente documentada antes de la grabación o en
movimiento.
7.1.2.1.3 Actividades adicionales: Recopilación en equipos digitales

encendtdos
A continuación se presentan actividades adicionales que son relevantes en función de

la configuración específica del dispositivo digital.
Si es una computadora portátil, se aseguran los datos volátiles adquiridos antes

de retirar la batería. Se recomienda que el OEFR retire la batería principal, en
lugar de presionar el botón de encendido de la computadora portátil para
apagarla. Es conveniente que el DEFR tome nota si un adaptador de
alimentación está presente y si es así, retirar el adaptador de corriente de-spués
de haber retirado la batería;
NOTA: La acción de presionar el botón de encendido en un dispositivo digital puede ser

ccnñauredc pal-a iniciar una secuencia de comandos que puedan alterar la información o
eliminar información del sistema antes de apagar o avisar a los sistemas conectados que
ha ocurrido un evento inesperado para que puedan borrar datos de valor probatorios antes
de que sean identificados. También puede ser conñgurado pera ectíver un dispositivo
destinado a causar daño ñsico al OEfR y otros individuos presentes.
Coloque la cinta sobre la ranura del disco, si está presente,
Asegúrese de que las bandeja-s de la unidad de CD o DVO se retraen en su

lugar; tenga en cuenta si estas bandejas de discos están vacíes, o si contienen
discos, o esta bloqueada con cinta en la ranura de la unidad cerrada para evitar
que se abra.
NOTA: Si algún dispositivo de inido se deja cuando la maquina se vuelva a conectar, puede
errencer desde los medios de comunicación en lugar del dis-coduro (como una unidad flash
o herramientas de forense) dependiendo de la configuración BIOS de las computadoras.
NMX-I-27037-NYCE-2015
33/52
Es conveniente que el DEFR lleve a cabo la recopilación de la evidencia no digital de

acuerdo con las leyes para garantizar que toda la evidencia es admisible.
7.1.2.2 Apagado de dispositivos digitale.s
7.1.2.2.1 Generalidades
El OEFR puede seguir un número de directrices para la recopilación cuando el aparato

digital es apagado. No todas las actividades contenidas en estas directrices son
releva ntes en todas las circunstancias. Así, una distinción debe ser hecha entre las
actividades que se aplican el:t todos los casos (actividades de referencia) y las que sólo
pueden aplicarse en algunos casos (actividades adicionales). La figura 3 ilustra las
actividades básicas y adicionales aplicables a la 'ecopilación de los dispositivos
digitales apagados.
~¡:o:;:"';:.;;:":;;"::.'_..L._..,..._...,
I"'!IMO~II'~
¡¡:tlr;, n.:-:m:C!~ .;r:¡;i)'f
I);¡IIII¡~
.\t.oe,lc ""¡~lIcJe",$(OWI'O'I)\
UCQIlIII"_ .. <1-1 ,,,,,., lo
.......
¡ .."
"hn~., 1... ", ..:110'
UIIC'O~.I.u <l • .0 ........ <10.... n
,.c ,,+.-..e-me.c •• ~.df¡e~c
o. ",.¡j'6C
hlq<: 'OIUO" ... Oy
OO( ... mll (~tlOOOS- '0$
o;I.;e¡,' '"~
L. ~-----{~~r
FIGURA 3.- Directrices para la recopilación en el apagado del dispositivo

digital
Es responsabilidad del OEfR conocer la tecnología actual y estar familializado con las
guías del manejo de medios de almacenamiento.
7.1.2.2.2 Actividade,s básicas: Recopilación en dispositivos digitales apagados
A continuación se presentan las actividades de referencia recomendadas para la

recopilación cuando el dispositivo digital se encuentra apagado:
Retire el cable de alimentación retirándolo primero del extremo unido al

dispositivo digital y no con el que se encuentra unido a la torna de corriente;
Desconecte y asegure todos los cables de los dispositivos digitales y etiquete los
puertos para que el sistema pueda ser reconstruido en una etapa posterior;
NMX-I-27037-NYCE-2015
34/52
Coloque cinta adhesiva sobre el interruptor de alimentación si es necesario para

evitar el estado cambiante del interruptor. Considere si el estado del interruptor
ha sido debidamente documentado antes de la grabación o en movimiento.
NOTA: En la mayoría de los casos, es conveniente que &osmedios de almacenamiento no sean retirados del
dispositivo digital hasta que va a ser adquirido como la expulsión aumenta el riesgo de daño o
confusión con Otro medio de almacenamiento. Los procedimientos locales con respecto a tener que
quitar los medios de almacenamiento de dispositivos digitales deben desarrollarse y seguirse.
7.1.2.2.3 Actividades adicionales: Recopilación en equipos digitale,s apagados
A continuación se presentan las actividades adicionales que son relevantes para la

recopilación del dispositivo digital apagado, dependiendo de la configuración del
dispositivo digital específico:
En primer lugar, asegurarse de que la computadora portátil esta apagada, ya

que algunas pueden estar en modo de espera. Tenga en cuenta que algunas
computadoras portátiles se pueden encender abriendo la tapa. A continuación,
proceda a retirar la batería principal de la fuente de energía de la computadora
portétil;
Si las condiciones del lugar requieren que ef disco duro sea retirado, se
recomienda que el OEFR cuide la tierra del dispositivo digital para evitar que la
electricidad estática dañe el disco duro. De lo contrario, el disco duro no Se
debe quitar en el lugar. Etiquetar el disco duro como disco sospechoso y
documentar todos los detalles, como la marca, el nombre del modelo, el
número de serie y el tamaño del disco duro;
Coloque cinta sobre la ranura del disco, si está presente;
Asegúrese de que las bandejas de la......unidad de CD o OVO se retraen en su

lugar; tenga en cuenta si estas bandejas de discos están vacías, o si contienen
discos, o esta bloqueada con cinta en la ranura de la unidad cerrada para evitar
que se abra.
NOTA: Si algún dispositivo de inicio se deja cuando la máquina se vuelva a conectar, puede arrancar desde
los medios de comunicación en lugar del disco duro (como una unidad flash o herramientas de
forense) dependiendo de la configuración BIOS de las computadoras.
7.1.3 Adquisición
7.1.3.1 Encendido de dispositivos digitale,s
Existen tres escenarios en los cuales la adquisición puede necesitar estudio, cuando los
dispositivos digitales estén encendidos, cuando estén apagados y cuando están
encendidos pero no pueden ser apagados (tales como dispositivos digitales de misión
crítica). En todos estos escenarios, se requiere Que el DEFR haga una copia de la
evidencia digital precisa de los medios de almacenamiento de los dispositivos digitales
de los que se sospecha Que contienen evidencia digital potencial. Si no se puede
obtener una imagen, pueden Ser adquiridos de copias exactas de archivos específicos
sospechosos que contengan evidencia digital potencial. lo ideal es que sean
NMX-I-27037-NYCE-2015
35/52
producidas tanto una copia maestra verificada como copias de trabajo. La copia
maestra no se recomienda sea utilizada de nuevo a menos que sea necesario verificar
el contenido de fa copia de trabajo o producir una copia de trabajo de reemplazo
después de un daño a la primera copia de trabajo.
El DEFR puede seguir una serie de guias para la adquisición cuando el dispositivo
digital -se encuentra encendido. No todas las guías son ideales y apropiadas para todos
los casos; algunas guias son únicamente relevantes para casos específicos. Por lo que
las guias se pueden categorizar corno actividad básica o adicional. Se debe considerar
la posibilidad de que en el encendido del sistema pueda entrar en modo de protector
de pantalla o el bloqueo automático "'b que estas son consecuencias de cualquier
esfuerzo necesario para prevenirlos. Por ejemplo, el uso de un mouse-jiggler requiere
que un USB con clave de entrada al registro lleve a cabo modificaciones por cualquier
medida adoptada. Es conveniente que el uso de métodos fiables minimicen las
consecuencias de tales acciones. la figura 4 ilustra la actividad básica y adicional
aplicable al encendido en la adquisición del dispositivo digital.
...
,,
,
~::;!"!;I;.":; :'!:,!".:I:.-" ..
FIGURA 4.- Directrices para la adquisición de potencia de los dispositivos

digitales
7.1.3.1.2 Adividade,s básicas: Encendido en la adquisición del dispositivo

digital
Las siguientes son las actividades básicas que se deben seguir por el OEfR en todos los
casos de posible adquisición de evidencia digital en el encendido de dispositivos
digitales:
En primer lugar, considere la adquisición de la evidencia digital potencial que de

otra rnenera se pierde si el dispositivo digital está apagado. Esto también se
conoce corno datos volátiles tales como los datos almacenados en la memoria
RAM, los procesos en ejecución, conexiones de red y la configuración de fecha /
hora. En circunstancias en las que es necesario adquirir los datos no volétiles de
los dispositivos que sigan ejecutándose, la re.alización de una adquisición en
encendido en el sistema debe ser considerado;
NMX-I-27037-NYCE-2015
36/52
Para la realización de adquisición en vivo es necesario adquirir datos en tiempo

real desde dispositivos que aún se están ejecutando. La adquisición en vivo de
datos volátiles en la memoria RAfo.1puede permitir la recuperación de
información valiosa, como estado de la red, la aplicación descifrado y
contraseñas. La adquisición en vivo se puede realizar en la consola o
remotamente a través de la red. Lo-sprocesos son diferentes, y que requieren el
uso de un conjunto diferente de herramientas;
El DEFR nunca debe confiar en lo-s programas y en los sistemas. Por esta razón,
se recomienda siempre que sea posible usar herramientas de confianza
obtenidas por el DEFR (binarios estáticos). El DEFR debe ser competente para
utilizar herramientas validadas y ser competenteapara darse cuenta de los
efectos de tates herramientas que pueden tener en el sistema (por ejemplo, el
desplazamiento de la evidencia digital potencial, el contenido de la memoria de
paginación cuando el software se carga etc.), Todas las acciones realizadas y
los cambios resultantes hechos a la evidencia digital potencial deben ser
documentados y comprendidos. Si no es posible determinar el posible efecto de
la introducción de herramientas para el sistema o los cambios resultantes no se
puede determinar con certeza, esto también debe ser documental:lo;
Cuando en la adquisición de datos volátiles se recomienda que el DEFR adopte

el uso de un contenedor lógico de archivos donde sea posible y documente su
valor hash una vez que contiene el archivo de datos volátil (es). Donde esto no
es posible, se sugiere utilizar un contenedor tal como un archivo ZIP y entonces
este archivo hash debe tener un valor documentado. Los contenedores de
archivos resultantes deben ser almacenados en un medio de almacenamiento
digital Que ha sido preparado para este propósito, es decir, formateado;
Ejecutar el proceso de imagen en el almacenamiento no volátil en vivo usando

una herramienta de validación de imagen. la copia de la evidencia digital
resultante debe ser almacenada en un medio de almacenamiento digital que ha
sido preparado para este propósito. Si bien es preferible utilizar un nuevo medio
de almacenamiento digital, el uso de copias de evidencia digital de procesos
validados asegura la integridad de los datos cuando se reconstruya. Por Jo
tanto, un medio de almacenamiento digital que ha sido desinfectado es
suficiente. Si la imagen tiene que ser almacenada en un contenedor de archivo
lógico, se recomienda que el DEFR se asegure de que la imagen no puede ser
dañada.
NOTA: En situaciones donde el dispositivo está bloqueado el acceso fislcc puede serílevedc a cabo a través
de otros medios que tiene acceso directo a la memoña, por ejemplo la interfaz Firewire,
7.1.3.1.3 Actividades adicionales: Encendido en la adquisición del dispositivo

digital
A continuación se presentan las actividades adicionales que son relevantes para la

adquisición en el encendido del dispositivo digital, dependiendo de la configuración del
dispositivo digital específico:
Considerar la adquisición de datos volátiles en la RAt-1cuando se sospecha el

uso de encriptación. Primero hay que comprobar si este puede ser el caso de la
inspección del disco sin procesar o utilizar alguna utilidad de detección de
NMX-I-27037-NYCE-2015
37/52
criptoqraña. Cuando este es el caso, hay que tener en cuenta que el sistema
operativo host en vivo puede ser poco fiable y considerar el uso de
herram ientas fiables y validados adecuados;
Utilizar una fuente de tiempo fiable y documentar el tiempo de cada acción

realizada;
Puede ser apropiado asociar al OEFR con la evidencia digital potencial adquirida,
utilizando firmas digitales, biometría, fotografías o vídeo, entre otros;
Si no es posible remover el medio-de almacenamiento del dispositivo, valorar la

utilización de un sistema operativo virtual que nos permita realizar la imagen.
NOTA: La acción de presionar el botón de encendido de un dispositivo digital se puede configurar pare
iniciar una secuencia de comandos que puede alterar la información ylo eliminar la informa'Ción del
sistema antes de apagar o para akrtar a los sistemas conectados que han producido un evento
inesperado para que puedan borrar antes de que se identifican los datos de valor prcbatcric.
También puede ser configurado para activar un dispositivo destinado a causar daño ñsico a la DEFR
y otras personas presentes.
7.1.3.2 Apagado en aparatos digitales
Es fácil de manejar un dispositivo digital apagado en comparación con uno encendido,

porque no hay necesidad de adquirir los datos volátiles. La figura S ilustra las
actividades que- son aplicables a la adquisición de los dispositivos digitales apagado.s.
Parar
!\etif_" el alm<lC2rtilm;@(It P"ep:r"cldixo '$'111; r;1 CII~CO

del cli~,¡li",ob;.,,:,",.,o .de~,ino cI;;tlno
1:.:1 ~icbo:lim¡n:lclo¡
FIGURA 5.- Directrices para la adquisición de 10.5 dispositivos digitales

apagados
7.1.3.2.2 Adquisición del dispositivo digital apagado
A continuación se- presentan las actividades de adquisición cuando el dispositivo digital

va a apagarse:
Asegúrese de que el dispositivo está en efecto apagadoj
En su caso, retire el almacenamiento del dispositivo digital apagado si aún no se

quita. Etiquetar el almacenamiento como almacenamiento sospechoso y
NMX-I-27037-NYCE-2015
38/52
documentar todos los detalles, como la marca, el nombre del modelo, número
de sede y el tamaño del almacenamiento;
Ejecutar el proceso de formación de imágene-s mediante el uso de una
herramienta de imagen validado para crear una copia de la evidencia digital del
disco sospechoso.
NOTA: En la mayoría de kls casos, se sugiere que los medios de almacenamiento no sean removidos del
aparato digital hasta que sea adquirido o removido. esto incrementa el riesgo de daño o puede
ccnfundjrse con otro medio de almacenamiento. Deben ser desarrollados y seguidos prccedfmentos
locales relativos a la necesidad de eliminar los discos duros.
7.1.3.3 Mi_sión c_rítica en aparatos digitales
En algunos casos, el dispositivo digital no puede ser apagado-debido a la naturaleza

crítica de los sistemas. Estos sistemas tales como servidores en centros de datos que
también pueden dar servicio a clientes, sistemas de viqilencia, siste-mas médicos y
muchos otros que pueden ser afectados graven1ente si se interrumpen o se apagan. Se
debe tomar especia] cuidado cuando se trata de este tipo de sistemas,
Cuando el dispositivo dig.ital no se puede apagar, se realiza la adquisición en vivo y lo

parcial, como se explica en los subincisos 7.1.3.1.2 y 7.1.3.4.
7.1.3.4 Adquisición parcial
La adquisición parcial se puede realizar debido a varias razones, tales corno:
El almacenamiento del sistema es demasiado grande para ser adquirida (por

ejemplo, el servidor de, base de datos) r
Un sistema es demasiado crítico para ser apagado;
Cuando solamente se seleccionan datos para ser adquirida que contiene otros
datos irrelevantes dentro del mismo sistema¡ o
Cuando se está limitado por la autoridad Ie.gal, como una orden de allanamiento
que limita el alcance de la adquisición.
Cuando se ha tomado la decisión para hacer la adquisición parcial, se sugieren las

actividades de adquisición incluyan, pero no están limitedos a lo siguiente:
Identificar carpeta (s), archivo (s) o alguna propiedad relativa de las opciones
del sistema disponibles para adquirir los datos deseados;
Llevar a cabo la adquisición lógica en aquellos datos identificados.
7.1.3.5 Almacenamiento digital
Se pueden encontrar varios tipos de medios de. almacenamiento digital en una escena
del incidente. Por lo general, estos son del tipo menos volátil de datos y pueden ser la
prioridad más baja durante (a recolección y la adquisición. Esto no Quiere decir que no
sean importantes, porque en muchos casos, los medios de almacenamiento digital
externos contienen la evidencia que e-stán buscando los analistas. El DEFR necesita
asegurar lo siguiente:
NMX-I-27037-NYCE-2015
39/52
Comprobar y documentar la ubicación (por ejemplo, bahía de unidad, el cable y

el conector, la ranura USB, etc.), marca, modelo y número de serie (si lo hay)
de cada medio de almacenamiento digital encontrado;
Decidir si desea recopilar los medios de almacenamiento digital identificados o

realizar la adquisición en el lugar, se recomienda que la decisión se base en la
naturaleza del incidente y los recursos disponibles. Para llevar a cabo la
adquisición en el lugar de los medios de ahnacenamiento digital (disco duro,
principalmente}, consulte la figura 4j
Si el DEFR decide y es permitido recopilar el medio de almacenamiento digital,

se sugiere que la recolección del medio sea envuelta o colocada en un embalaje
adecuado;
Etiquete todos los medios de almacenamiento digital y las piezas asociadas con
ellos. Es conve-niente que las etiquetas de las evidencias no sean colocadas
directamente sobre las partes mecánicas de los medios digitales, ni cubran u
oculten información importante como el número de serie, número de modelo y
número de parte. Todos los medios recogidos deben ser adquiridos y
almacenados de forma que garanticen la integtidad de los medios recogidos. Es
conveniente cuando sea posible que la evidencia sea sellada con precintos de
seguridad y el DEFR o personal encargado debe firmar en la etiqueta;
Los medios de almacenamiento digital recolectados deben almacenarse en un

ambiente adecuado para la preservación de datos;
Diferentes medios de almacenamiento digital tienen diferentes capacidades de

retención de datos. El DEfR debe ser consciente del periodo de tiempo máximo
aceptable especificado por la jurisdicción correspondiente, por 10 que respecta a
las capacidedes de retención de datos de los medios de almacenamiento digital;
Dirección IP, dirección MAC, usuario de red entre otros.
7.1.4 Pre,servación
Una vez completado el proceso de adquisición, es conveniente que el DEFR selle los
datos adquiridos utilizando funciones de verificación o firmas digitales para determinar
que las copias en las pruebas digitales son equivalentes a fas oriqineles. Además, los
aspectos de seguridad requieren controles que apliquen los principios de la
preservación de la confidencialidad, integridad y disponibilidad de la evidencia digital
potencial. Con el fin de proteger contra la expoliación, se recomienda que los aspectos
ambientales 'Se aborden con medidas adecuadas. El DEFR necesita asegurar lo
siguiente:
Utilizar una función de verificación apropiada para proporcionar evidencia de

que los archivos copiados son equivalentes a los oriqineles;
Puede ser apropiado asociar al DEfR con la evidencia digital pote-ncial adquirida,
utilizando firmas digitales, biometría y la fotografía.
Todos los dispositivos digitales que se recogieron necesitan ser conservados

adecuadamente. Diferentes tipos de dispositivos digitale-s pueden requerir diferentes
métodos de conservación. La evidencia digital potencial necesita ser preservada a lo
NMX-I-27037-NYCE-2015
40/52
largo de su vida útil, que puede variar entre las distintas juri-sdicciones y la política de
la organización.
NOTA: Como una alternativa al sellado de los dates adquiridos con funciones de verificaoOo o firmas
digitales, el DEFR también puede usar las cereceerísnces biométricas. La biomerria utiliza
características ñskas y de comportamiento para determinar la identidad de un individuo.
Adjuntando una cerecterisrica biométrica para pruebas obtenidas, se puede asegurar que la
evidencia no puede ser alterada sin compromete.' la característica bicrnétrica.
7.2 Dispositivos en red
7.2.1.1 Generalidades
En el contexto de este subinciso, los dispositivos en red son considerados como

computadoras u otros dispositivos digitales que son conectados a la red ya sea de
modo de cable o inalámbrica. Estos dispositivos en red pueden incluir computadoras
centrales (mainframes}, servidores, computadoras de escritorio, puntos de acceso
(access point), conmutadores (switches), concentradores (hubs), enrutadores
(routers), dispositivos móviles, PDAs, PEDs, dispositivos bfuetooth, sistemas de circuito
cerrado de televisión y mucho más. Tenga en cuenta que para los dispositivos digitales
que están conectados en red, es dificil determinar donde se almacena la evidencia
digital potencial que se busca. Los datos pueden estar ubicados en cualquier lugar de
la red.
La identificación de un dispositivo digital incluye componentes tates como logotipos del

fabricante, números de serie, cunas y adaptadores de corriente, El DEFR puede
considerar los siguientes aspectos como un medio de identificación:
características del disJ?:ositivo: la marca y el fabricante de un dispositivo digital

a veces pueden ser identificados por sus características observables,
particularmente si existen elementos de diseño únicos;
Interfaz del dispositivo: el conector de alimentación es .a menudo especifico a

un fabricante y una ayuda fiable para la identificación;
Etiqueta del dispositivo: para los dispositivos móviles apagados, la información

obtenida desde el interior de la cavidad de la betería puede ser reveladora,
sobre todo cuando se combina con una base de datos adecuada. Por ejemplo, el
IMEI es un numero de 15 dígitos que indica el fabricante, el tipo de modelo, yel
país de homologación de dispositivos GSM; el ESN es un identificador único de
32 bits documentado en un chip seguro en un teléfono móvil por .el fabricante -
los primeros 8-14 identifican el fabricante y los bits restantes identifican el
número de serie a.signado j
Búsqueda inversa: en el caso de los teléfonos móviles, si se conoce el numero

de teléfono, una búsqueda inversa se puede utilizar para identificar el operador
de red;
Identificación del equipo en la red: dirección ¡P, dirección MAC, usuario de red
entre otros.
NMX-I-27037-NYCE-2015
41/52
Debido al pequeño tamaño en general de 105 dispositivos móvile-s, el DEFR tiene que
tener un cuidado especial para identificar todo tipo de dispositivos móviles Que puedan
ser relevantes para el caso. El OEFR nece-sita asegurar la escena del incidente
sospechado y asegurarse de que no hay personas Que eliminen cualquier dispositivo
móvil o digital de la escena. Los dispositivos digitales Que pueden contener evidencia
digital deben estar protegidos contra el acceso no autorizado.
NOTA: En algunos casos, la comunicación no debe ser interrumpida. Informar a las persones autorizadas
acerca de los posibles problemas (por ejemplo, por no advertir a los individuos desconocidos sobre
el dispositivo de parada}.
7.2.1.2 Búsqueda en la escena del incidente físico y documentaGión
Antes de cualquier adquisición o recolección se puede hacer, la escena del incidente, se

recomienda se documente de manera visual ya sea fotografía, video o dibujar la
escena tal como apareció en la entrada. La elección del método de documentar
necesita equilibrarse con las circunstancias, el costo, el tiempo, los recursos
disponible-s y las prioridades. Se recomienda que el DEFR documente todos los demás
elementos en la escena que pueden contener materiales potencialmente relevantes,
tales como notas garabateadas, notas adhesivas, diarios, etc.
Se recomienda que el DEFR documente el tipo, marca, modelo y número de

serie de los dispositivos d;gitales utilizados e identificar todos los dispositivos
digitales que, pueden necesitar ser adquiridos o recogidos durante esta etapa
inicial. Todos los teléfonos celulares y sus elementos asociados, tales corno
tarjetas de memoria, tarjetas SIt-1, cargadores y medios encontrados e-o la
escena, si es necesario, se recomienda que sea documentada y recogidos sus
números de serie asociados y cualquier señal de identidad. Además, trate de
encontrar el empaquetado original de los teléfonos móviles¡ estos pueden
contener notas con los códigos ?IN y PUK¡
Si el dispositivo está conectado en re-d, se recomienda que el DEFR identifique

los servicios prestados por los dispositivos para entender las dependencias y
para determinar la criticidad de los dispositivos dentro de la red antes de decidir
desconectar el dispositivo de la red. Esto es importante si los dispositivos están
sirviendo funciones de misión crítica que no pueden tolerar la inactividad o para
evitar la de-strucción de pruebas digitales potenciales. Sin embargo, si hay
amenazas basadas en la red en curso a los dispositivos el OEfR puede decidir
desconectar el aparato de la red para proteger la evidencia digital potencial¡
Si el dispositivo de red es un sistema de circuito cen·ado de televisión, se

sugiere que el OEFR tenga en cuenta el número de cámaras cone-ctadas al
sistema, así oomo cuáles de estas cémares están funcionando ectivemente. Es
conveniente que el DEfR también tenga en cuenta la marca, el modelo y la
configuraci6n básica del sistema, tales como la configuración de la pantalla,
ajustes de grabación actuale-s y la ubicación de almacenamiento de modo que si
los cambios se tienen Que hacer para facilitar el proceso de recolección y la
adquisición, es entonces posible devolver el sistema a su estado original;
Es conveniente que el DEFR también considere el uso de un detector de señal

inalámbdca para detectar e identificar una señal inalámbrica desde dispositivos
inelérnbricos que. pueden estar ocultos. Puede haber casos en Jos que el
detector de señal inalámbrica no se utiliza debido a las limitaciones de costos y
de tiempo, se recomienda que el DEFR documente esto;
NMX-I-27037-NYCE-2015
42/52
7.2.2 Recolección, adquisición y preservación
7.2.2.1 Generalidades
El DEFR necesita decidir si desea recopilar o adquirir la evidencia digital potencial de

los dispositivos digitales. Se sugiere que la elección sea equilibrada con las
circunstancias, el costo, el tiempo, los recursos disponible-s y las prioridades.
Si el DEFR decide desconectar los dispositivos, el proceso para recoger o adquirir la

evidencia digital potencial seguirá tal como Se describe en el inciso 5.4. En el caso de
que los dispositivos no puedan ser desconectados de la red debido a la criticidad de su
función o fa probabilidad de destrucción de la evidencia digital potencial, se
recomienda que el DEFR lleve a cabo la adquisición en vivo mientras los dispositivos
permanecen conectados a la red.
NOTA: Es fundamental contar con procedimientos sólidos, normas que empleen herramientas validadas,
junto con una buena documentación V un DEFR capacitado y con e:-:periencia.
La recolección y adquisición de la evidencia digital potencial desde dispositivos móviles

conectados en red son complicadas porque pueden existir en múltiples estados y
tales como bluetooth,
modos de interacción, radio frecuencia
r pantalla táctil, e
infrarrojo. Además, los diferentes fabricante-s de dispositivos móviles utilizan diferentes
tipos de sistemas operativos, que requieren diferentes métodos de adquisición de la
evidencia. También hay una amplia gama de tarjetas de memoria Que son utilizadas
con los dispositivos móviles, y fa eliminación de estas tarjetas de memoria de
conmutación de los dispositivos móviles pueden interferir con los procesos en
ejecución.
Generahnente, los dispositivos móviles como PDAs y los teléfonos móv)les tienen que
estar encendidos para adquirir la evidencia digital potencial. Estos dispositivos pueden
alterar continuame-nte su entorno operativo, mientras que encendido, por ejemplo, el
tem porizador del reloj puede ser actualizado. El problema asociado es que dos copias
de evidencia digital del mismo dispositivo no pueden pasar funciones de verificación
estándar, tales como hash. En esta situación, puede ser más apropiado funciones
alternativas de verificación que identifican áreas de convergencia y / o difere-ncia.
Es importante que el DEFR no introduzca dispositivos Wi-Fi o bluetooth en la e-scena

que pueda cambiar la información de emparejamiento de posibles dispositivos
probatorios. Esto es perticularmente importante si el investiqador necesita saber qué
dispositivos se han conectado.
Si el OEfR decide seguir con un proceso de adquisición, se recomienda que los

dispositivos de red se mantengan corriendo para su posterior análisis para determinar
los otros dispositivos conectados a los dispositivos de red. Se sugiere que el DEFR
considere la posibilidad de sabotaje por el sospechoso a través de una conexión de red
activa y decidir ya sea vigilar el sistema o desconectarlo.
7.2.2.2 Directrices para la recolección del dispositivo en red
En algunas circunstancias, puede ser apropiado dejar los dispositivos de red

conectados de modo que su actividad pueda ser supervisada y documentada por un
NMX-I-27037-NYCE-2015
43/52
DEFR Y I o un DES con la autoridad apropiada. Cuando esto no es necesario, los

dispositivos deben ser recogidos como se describe a continuación:
Es conveniente que el DEFR aislé el dispositivo de la red, cuando este seguro de

que no hay datos relevantes estos son reemplazados por esta acción y lo que se
produce en el mal funcionamiento en Jos sistemas importantes (tales como la
instalación de gestión de. los sistemas en los hospitales). Esto se puede hacer
desconectando las conexiones de red con cable en el sistema telefónico o de
red, o deshabilitando la conexión al punto de acceso inalámbrico;
Antes de desconectar las redes de .cable, se recomienda que el DEFR trace las
conexiones con los dispositivos digitales y etiq uete tos puertos para la futura
reconstrucción de toda la red. Un dispositivo puede tener más de un método de
comunicaciones. Por ejemplo, un equipo puede tener cableados LAN. un módem
inalérnbricc y tarjetas de telefonía móvil. los PEOs tembién se pueden conectar
a la red a través de V/i-fi, conexione-s bluetooth o conexiones de red de
telefonía móvil. Se recomienda que el OEfR trate de identificar todos los
métodos de comunicación y lleve a cabo actividades apropiada-s contra la
de-strucción de la evidencia digital potencial;
Se debe de tener en cuenta que el retiro de energía de los dispositivos

conectados en red en este punto puede destruir los datos volátiles tales como
los procesos en ejecución, conexiones de red y los datos almacenados en la
memoria. El sistema operativo huésped puede ser poco fiable y reportar
información falsa. Es conveniente que e,l DEFR capture esta información usando
métodos confiable-s y comprobados antes de retirar la alimentación de los
dispositivos. los dispositivos digitales pueden ser quitados o desconectados una
vez que el DEFR e-stá seguro de que no hay evidencia digital potencial que se
pierda como resultado;
Si la recolección tiene prioridad sobre la adquisición y se sabe que el dispositivo

contiene una memoria volátil, se sugiere que el dispositivo este conectado
ccntinuamente a una fuente de alimentación;
Si el dispositivo móvil está apagado, empaquete cuidadosamente, selle y

etiquete el dispositivo. Esto es para evitar el uso accidental o deliberado de las
teclas o botones. Como precaución, se recomienda que el DEFR también
considere el uso de la caja de Faraday o cajas blindadas;
En algunas circunstancias, los dispositivos móviles de-ben estar apagados

durante la recolección de datos para evitar que sean cambiados. Esto puede
ocurri r a travé-s de conexión o comandos salientes y entrantes que pueden
causar la destrucción de la evidencia digital potencial;
Posterionnente, cada dispositivo digital puede ser tratado como si fuera un

dispositivo independiente (véase el inciso 7.1} hasta que se examina. Durante
el examen, se debe considerar como un dispositivo de red.
NOTA: Es posible implementar una fOl'ma de red mediante dispositivos de almacenamiento extraibles como
los medios de transmisión. Es conveniente que el DEFR considere si los dispositivos que están
recog;dos pueden haber sido utilizados de esta manera y buscar informacjÓo acerca de los otros
dispositivos en un sneekernet.
7.2.2.3 Directrices para la adquisición del dispositivo en red

NMX-I-27037-NYCE-2015
44/52
En la situación e-o la que los dispositivos están conectados a una red, hay una
posibilidad de que los dispositivos estén conectados en más de una (1) red fisico y I o
virtual. Por ejemplo, un dispositivo que parece haber uno (1) visible en conexión de
red física puede de hecho e-star en marcha en una Red Privada Virtual (VPN) y la
máquina virtual con más de una (1) dirección IP. Como tal, antes de desconectar el
dispositivo de fa red, se recomiende que el DEFR lleve a cabo (a adquisición lógica de
los datos relacionados con la conexión de red lógica, (por ejemplo, la conectividad de
Internet). Los datos relacionados incluyen, pero no se limitan a las tablas de
configuración y de en rutamiento IP.
Para un dispositivo de red requiere ser alimentado continuamente, es conveniente que

el dispositivo impida interactuar con la red de radio inalámbrica que incluye
dispositivos GPS habilitados. Se recomienda que el OEFR utilice métodos permitidos
por la ley local para aislar las señales de radio. Se debe tener cuidado, sin embargo,
para asegurar que el dispositivo tiene una fuente de alimentación adecuada, corno
métodos de aislerniento, el cual pueden causar que se utilice energía adicional en un
intento de ponerse en contacto con una red. los métodos de aislamiento pueden
incluir, pero no se limitan a, los siguientes:
El uso de un dispositivo de bloqueo que- sea capaz de bloquear la transmisión a

través de la creación de una fuerte Interferencia cuando el dispositivo emite
señales en el mismo intervalo de frecuencia que los dispositivos móviles
utilizan;
NOTAS:
1) El uso de dispositivos de interferencia puede violar les requisitos legales en algunas

juñsdicciones.
2) El uso de dispositivos de Interferencia puede afectar negativamente el comportamiento de los
dispositivos electrónicos, como equipo-s médicos.
El uso de un área de trabajo blindada para realizar exámenes de forma sequra

en un lugar fijo. El Blindaje puede hacerse para toda el área de trabajo o
mediante la creación de una tienda de campaña de Faraday que permite la
portabilidad. la alimentación de cables en la tienda -es problemático, sin
embargo, sin el aislamiento adecuado pueden comportarse como una antena,
derrotar el propósito de la tienda de campaña. El espacio de trabajo también
puede ser muy restrictivo;
El uso de un área de trabajo blindada para realizar exámenes de forma sequra

en un lugar fijo. Una frecuencia de radio de espacio de trabajo protegido o
contenedor (una caja de Faraday) se recomienda utilizar para evitar conexiones
a la red;
NOTA: Todos los métodos de bloqueo del acceso inalámbrico a redes debe ser validada para su
uso en las frecuencias apropiadas. Se recomienda que esta validación se extienda a los
cables que pasan por el blindaje.
El uso de un sustituto (U) SIM que imita la identidad del dispositivo original ¿-
impide el aoceso a la red por el dispositivo. Estas tarjetas son capaces de
engañar al dispositivo a aceptarlos como el original (U) SIM y permitir que los
exámenes se lleven a cabo de manera seg ura en cualquier lugar. Se
NMX-I-27037-NYCE-2015
45/52
recomienda que la (U) SItvl sea validada para el dispositivo y la red antes de su
USO;
Desactivar los servicios de red de fa organización mediante la comparua de

telefonía celular y la identificación de los detalles sobre los servicios que se
desactivan (por ejemplo, el identificador del equipo, identificador del suscriptor,
o número de teléfono). Sin embargo, esta información no siempre está
disponible en el proceso de coordinación y confirmación puede causar demora.
El DEFR puede nevar a cabo la adquisición en vivo del dispositivo móvil antes de retirar
la batería (por ejemplo, para acceder a la tarjeta 31M). Esto se puede hacer con el fin
de evitar la pérdida de información potencial importante en la RAtVldel teléfono o para
acelerar el proceso de e-xamen (por ejemptoc.donde ae.cree. que...el dispositivo puede
estar protegido por un P1N y / o PUK que torne una cantidad significativa de tiempo
obtener).
NOTA: Es conveniente que el DEFR garantice que la recopilación y la adquisición de la evidencia digital
potencial es conforme con las leyes y regulaciones jurisdiccionales lcceles, según sea necesario de
acuerdo a las-circunstancias especificas.
7.2.2.4 Directrices para la preservación del dispositivo en red
Debido a la naturaleza de los dispositivos digitales y de fa evidencia digital potencial,

las directrices para la preservación de los dispositivos conectados e-n red es similar a la
preservación de las computadoras, los dispositivos, los periféricos y medios de
almacenamiento digital. Consulte el subinciso 7.1.4 de orientación detallada sobre la
preservación del dispositivo.
7.3 Recolección., adquisic,ión y preservación en el Circuito Cerrado de

Televisión (CCTV)
Es conveniente que el DEFR entienda el enfoque para extraer secuencias de vídeo de

un sistema de circuito cerrado (CeTV DVR), basado o incrustado es diferente de
extracción de, evidencia digital convencional desde una computadora. A continuación se
presentan guias especificas para la adquisición de evidencia digital potencial de
sistemas de circuito cerrado de televisión (CCTV}:
Ante-s de que comience el proceso de adquisición, se recomienda que el OEFR

primero determine si el sistema documento la secuencia del vídeo de interés.
Posteriormente, es conveniente que el DEFR determine el marco temporal de
las secuencias de vídeo requeridas y comparar la hora del sistema con la hora
correcta y tenga en cuenta cualquier desplazamiento. Se recomienda que el
DEFR también determine qué. cámaras se requieren y si pueden ser adquiridos
por separado. Es conveniente que el DEFR tenga en cuenta la composición del
sistema y el modelo. Esta infonnación puede ser necesaria con el fin de obtener
el software de reproducción correcto;
Se sugiere que el DEFR adquiera todas las grabaciones de las cámaras

pertinentes durante el tiempo de inte-rés para preservar la información de
investigación adicional Que pueda ser desarrollada más tarde. Es conveniente
que el DEFR tenga en cuenta todas las cérnaras conectadas a un sistema de
NMX-I-27037-NYCE-2015
46/52
circuito cerrado de televisión (CCTV) y determinar si se e-stán registrando de

forma activa o no la grabación;
Se sugiere que el OEfR determine el tamaño de almecenamientc del sistema de

circuito cerrado de televisión (CCTV), así corno cuando el sistema está proqremado
para sobrescribir la información del vídeo. Esta información permite al DEFR saber
cuanto tiempo se mantiene la secuencia del video en el sistema antes de que se
pierda. Se deben tomar medidas para asegurar que la evidencia no se cambia. Para las
evidencias digitales de video, la protección contra escritura tiene que estar en su lugar.
Hay algunas opciones que el DEFR puede optar para adquirir la evidencia digital
potencial de los sistemas de CCTV:
1) Adquirir los archivos de video escribiéndolos en CD I OVO I disco Blu-Ray,

esto puede-no ser práctico si el archivo de video es demasiado grande;
2) Adquirir los archivos de vídeo e-scribiéndolos en un medio de almacenerniento

externo¡
3) Adquirir los archivos de video a través de una conexión de red. Esto puede
estar disponible si el sistema de circuito cerrado de televisión (CCTV) está
equipado con un puerto de red;
4) Utilice la función de exportación del sistema de circuito cerrado de televisión

(CCTV) a otros formatos de archivo (generaln1ente MPEG o AVI), que es una
versión comprimida de las secuencias de vídeo. Se recomienda que esto sólo
se utilice como último recurso, ya que la recompresión altera los datos
originales y siempre elimina detalles de la imagen. No se recomienda basarse
en los datos que se vuelven a recomprirnir para su examen si existen los
datos originales y está disponible para el análisis;
NOTA: la calidad de las imágenes de vídeo exportado puede no ser tan bueno como el
material del archivo original.
S) Cuando no sea posible adquirir directamente una copia de la evidencia digital

de los archivos en e.l dispositivo de grabación, se sugiere que el DEFR o OES
trate de adquirir una copia anal6gica de la salida analógica presente en el
dispositivo de grabación oJiginal usando un dispositivo de grabación
analógico adecuado.
Al término de la adquisición, se recomienda que el archivo adquirido sea

evaluado para confinnar que el archivo es correcto o la parte correcta del
archivo ha sido adquirido. Se sugiere que el archivo también sea revisado con el
software de reproducción (para formatos de archivo de dispositivo digitales) por
su capacidad de otros sistemas la mayoria de los sistemas de CCTV son
propiedad exclusiva y los archivos no se reproducirán necesariamente utilizando
otro software de reproducción. El software de reproducción correcto puede estar
disponible para su descarga desde el sistema de circuito cerrado de televisión
(CCTV) al mismo tiempo que los datos.
Los medios de almacenamiento digital que contienen el archivo adquirido se

sugiere sean tratados corno la copia de la evidencia digital maestre. Si el
archivo se ha descargado en un ordenador portátil o un dispositivo de tarjeta I
NMX-I-27037-NYCE-2015
47/52
memoria USB, una copia maestra permanente debe hacerse a partir de estos
tan pronto como sea posible¡
Posteriormente, se sugiere que el DEFR reinicie el sistema de circuito cerrado de

televisión (CCTV) si estaba apagado. Es conve-niente- hacerlo en presencia de la
persona autorizeda.
En circunstancias donde no e-s práctico llevar a cabo la adquisición en el lugar, el DEFR

puede decidir recoger el dispositivo de almacenamiento digital. Un método rápido es
reemplazando el disco duro del siste-ma de circuito cerrado de televisión (CCTV) con un
disco duro en blanco o clonado. Sin embargo, se recomienda que-el DEFR evalúe varios
rie-sgos ante-s de. utilizar este método, COO"lO la compatibilidad de la nueva unidad de
disco duro con el sistema y la compatibilidacLdel disco duro retirado con otros sistemas
para el examen.
NOTA: Algunos sistemas tienen un disco duro extraible en un caddy, pero este disco duro puede requerir
hardware del sistema para 'SU reproducción.
Si ninguno de los métodos anteriores es posible, entonces se recomienda que todo el

sistema de circuito cerrado de televisión (CCTV) sea removido de la escena y el
proceso de adquisición Se sugiere se lleve a cabo de nuevo en el taboratorio forense.
Este es el último recurso del DEFR y asumiendo que es físicamente posible hacerte
debido a que algunos sistemas de CCTV son extremadamente grandes y complejos.
Además se recomienda que el DEFR e-valúe tos riesgos para las implicaciones legales
antes de la eliminación segura.
Debido a la naturaleza de los dispositivos digitales y de la evidencia digital potencial,

las directrices para la conservación de los sistemas de circuito cerradc de televisión
(CCTV) es similar a la preservación de las computadoras, de dispositivos, de periféricos
y medios de almacenamiento digital. Consulte el subinciso 7.1.4 para obtener
orientación sobre la preservaci-ón' del sistema CCT\t;-
8 BIBLIOGRAFÍA
forensic Science Society Academic Accredifation Standards & CPD •. A.vailable from:
http://v.'\'/w .forensic-sdence-societv.ora. uk
Guidelines for evidence collection and archiving. Available from:

http://w\./v~.¡etf.orQ/rfc/lfc3.227 .txt
ISO/lEC 15489:2001 lnformation and documentation - Records management.
ISO/lEC 17024:2012 Conformity assessrnent - General requirernents for bodies

operating certification of persons.
• ISO/lEC 17043:2010 Conformity essessment General requirernents for

proficiency testing.
- ISO/lEC 24760-1:2011 Information technology - Security techniques - A

frernework for identitv management - Palt 1: Terminology
and concepts,
NMX-I-27037-NYCE-2015
48/52
. ISO/lEC 27031:2011 Information technology Security techniques

Guidelines for information and communication technology
readiness for business continuity.
• ISO/lEC 27037:2012 Information technology - Security techniques - Guidelines

for identification, collection, acquisition, and preservation
of digital evidence.
9 CONCORDANCIA CON NORMAS INTERNACIONALES
Esta norma coincide totelmente con la Norma Internacional:
ISO/lEC 27037::012 Information technology - Security techniques - Guideline-s

for identification, coUection, acquisition, and preservation
of digital evidence.
NMX-I-27037-NYCE-2015
48/52
APÉNDICE A
{Informativo}
COMPETENCIAS BÁSICAS y DESCRIPCIÓN DE COMPETENCIAS DEL DEFR
TABLA A.l.- Ejenlplos de cornpetencías V descripciones
No COmpetencias Descripciones de Descripciones de las capacidades

básicas habilidades Competencia (l) Conocimiento (2) Habilidad (3)
básicas
Anáfisis especial;
registros de
interpretación para la
Registros y
ccnñqurectén del detección de
intrusiones en la
sistema / aplica don;
Caracterizar los Usuario general de n identificación de otros
identificación de
componentes de y administración en sistemas afectados
sistemas y
información de los múltiples tipos de (algunas jurtsdlcclcnes
aplicaciones
dispositivos digitales. dispositivos requieren ccnfirrnectén
incluyendo registros.
que pueda ayudar a la informáticos y de la evidencia
investigación dispositivos de corree electrónico, presente antes d. la
y las de red; web, los
registros
leyes pertinentes para procedimientos de reccleccíén}:
• 1 manejo registros d. acc.;?so. Identificar contraseñas
de l. Investigación en la
archivos d.
Identificación de la evidencia digital escef'la del crtrnen: requeridas por los
1 contraseñas. archivos
evidencia digital potencial y los delitos determinación del dispositivos
estado del dispositivo; de configuración del
informáticos. sistema respectivos anterior-es
información
Identifica" los vator d. la a l. recolección;
requisitos de IP del host; la
de las información funcionalidad del identificar el control
herramientas para la prcbetcrier análisis del diagrama de la red
forense dispositivo y la
1I .'ecole-cción____y
adquisición de datos y
fa
dispositivos
d. redes
capacidad de
y mecanismos d.
e dependencia acceso para
pera
dispositivos en la Información comprender las
comprender el
evaluación de ,'ies90s. relacionada. dependencias, las
impacto en la
direcciones ¡P de
evidencia volátil y no enlace y las
volátil.
direcciones MAC para
, \ I la confirmación
dtsccstñvo.
del
NMX-I-27037-NYCE-2015
49/52
TABLA A.l.- Continuación
Optimizadón del
Requisitos de la Formular y ejecutar el procese de
Seguridad general de proceso de reccleccléru
herramienta y la
la reccplleclén de recclecciéru reunir documentar la
epllcaclón del
datos; principios y e~ pruebas; generar evidencia de que no so¡¡
embalaje de la puede adquirir, debido
diseño de las documentos de
evidencia digital, la
Recolección de herramientas básicas; evidencia; cadena de a diversas
protección frente a las
2 evidencia digital amenazas determinar el mejor custodia de las limitaciones: recopilar
método de recolección pruebes¡ control de contraseñes, claves,
_1 ambientales, Las
áreas cubiertas para preservar la calidad del proceso de dongles. y otra
máxima información reccpílectén de información necesarios
incluyen la garantía
relevante al incidente, pruebas; entrevista para llevar a cabo el
de la infcrmeclón.
al sospechoso. análisis en el
laboratorio,
3 Adquisicion de la Aplicar los requisitos Comprender la Conocer l. forma de Capacidad para lleva.'
evidencia digital de adquisición de la información disponible determinar los e cabo l. adquisición
evidencia digital en sus dispositivos requisitos de de medios de
potencial en forma digitales, bases de almacenamiento; almacenamiento
lógica. garantizando datos. el slsterna ejecutar el digital. incluyendo
repetlbllldad, genel'a documentos. procedimiento de RAID. base de datos.
auditable reproducible generados por los adquisición de aplicaciones y
y defendible. las usuertcs de datos y imágenes (por dispositivos
áreas cubiertas son la datos volátiles; Unix y ejemplo. la mini.aturizados:
adquisición realizada Windo\'Is estructures edquistclén de medios entender las
en un sistema de archivos del de almacenamiento dependencias y el
encendido. la sistema y digital. parciales y impacto en diversos
adquisicion reelizade electrcdcméstíecs: totales); adquisición métodos de
en un sistema de conciencie del impacto reeltaeda en un edquisicién.
lapagado y análisis "en ló's datos volátiles. sistema potenda. la
forense de redes. adquisidón realizada
en un sistema
apagado; gene.'ación
de valor hash.
I \
, I
I
I
I
NMX-I-27037-NYCE-2015
SO/52
TABLA A.l.- Continuación
4 Preservación de Aplicar y evaluar los Entender los Saber cómo generar Aplicar medidas para
evidencia digital requisitos para la requisitos y documentos de asequrar la evidencia
preservación de la procedimientos para auditada pruebas; digital. en forma de
evidencia digital el mantenimiento de definir los perémetros grandes dispositivos a
potencial, ccrnprender la cadena de custodia para los documentos; dispositivos portátiles
los factores y en contra de los información de rniniaturiaedos r
perérnetrcs que requisitos legales; seguridad del procedimiento para
influyen en su impacto ambiental, aseguramiento. las documentar los
.:xactitud. Las áreas como la humedad, la amenazas, la detalles de la
cubiertas son la temperatura y el vulnerabilidad y los evidencia,
metodología. el C'tloque hada los controles de la
mantenimiento de la dispositivos digitales; evidencia digital.
cadena do: custodia, entender las opciones
manejo de de embalaje.
computadora y transporte y los
dispositivos de requisitos de
manejo de medios de almacenamiento.
almacenamiento
digital.
TABLA A.2.- Definición de competencia
1 se
Experiencia - Habilidad probada a través de la aplicación

en el entorno de trabajo. Funciona sin supervisión.
NOTA: La competencia de un DEFRpuede variar de una jurisdicción a otra.

NMX-I-27037-NYCE-2015
51/52
APÉNDICE B
(Informativo)
REQUISITOS MÍNIMOS DE DOCUMENTACIÓN PARA LA TRANSFERENCIA DE

EVIDENCIA
Se recom ienda que el OEFR sea responsable de los datos adquiridos y los dispositivos
digitales en todo momento mientras e-stán bajo su custodia. A fin de mantener este
control, el DEFR necesita ser debidamente autorizado, capacitado y calificado. Sin
embargo, dado que la ley local e·s un factor determinante en la capacidad de una DEFR
de adherirse a los tres requisitos previstos, la competencia de un OEfR puede variar de
una jurisdicción a otra. Como resultado, es posible que los requisitos de la
documentación para la transferencia de la evidencia digital jurisdiccional no sean
iguales en las diferentes jurisdicciones.
De acuerdo con ello, se necesitan especificar un conjunto de requisitos mínimos de

documentación para facilitar el intercambio entre- las jurisdicciones de evidencia digital
potencial. Estos requisitos de. documentación necesitan ser considerados con los
puntos de documentación mencionados en el inciso 6.6. Esta Norma t-1exicana no
reemplaza los requisitos legales específicos-de cualquier jurisdicción, sirve oomo una
guia práctica para la transferencia de la evidencia digital potencial a través de las
fronteras jurisdiccionales.
La documentación mínima para comunicer es:
El nombre y direcoión de la autolidad competente;
Una declaración de autorización, la formación y las cualificaciones del DEFR¡
El propósito del examen;
Que acciones se llevaron a cabo;
Quién hizo qué y cuándo;
La cadena de custodia relativa a la investigación especifica;
Listado descriptivo de la evidencia digital potencial y medios de elmecenemiento

digitales recolectados y adquiridos; e
Información relativa a exámenes, pruebas o investigaciones utilizadas para

crear la copia de las pruebas.
Los requisitos específicos de jurisdicción pueden incluir los siguientes:
Si la evidencia es c.onsiderada como un dictamen pericial, el reconocimiento del

Código de Conducta Testigo Pertinente; y
Una orden judicial que especifica qué documentación necesita ser transferida y
el motivo de la transferencia.
NMX-1-27037-NYCE-2015
52/52
APÉNDICE C
(Infcrrnativc)
NORMAS QUE COMPLEMENTAN A ESTA NORMA MEXICANA
En tanto no se elaboren las Normas M~xicanas, Se debe usar de manera supletoria las
siguientes normas:
c.i ISO ¡lEC 100:7:1990 Information technol09Y lnformation

Resource Oic:tionary System (IROS)
-irameY/ork.
C.Z ISO I lEC 10116-1::000 lnformation technology ... Security rechniques

-- Hash-functions .... P",'t 1: General.
C.3 ISO ¡lEC 11770-1::010 lnformation technology •• Seculity techniques

-- Key management -. P31't 1: rremework.
CA ISO I lEC :7004::009 lnformation technology .... Seculity techniques

Information $~ct.u;ty management
Measurement.
C.S ISO I lEC :7035::011 Information technology .... Security techniques

-- lnfonnation secunty incident management.

Nyce 27037 2015

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Nyce 27037 2015

Cargado por

Copyright:

Formatos disponibles

NYCE

TECNOLOGÍAS DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD

INFORMATION TECHNOLOGY - SECURITY TECHNIQUES - GUIDEUNES FOR

1. Esta Norma Mexicana fue elaborada en el seno del Subcomité de

- ARGUZ DIGITALlZ~.CIÓN S.A. DE C.V.

- AUREN IBEROANERICA, S. DE R.L. DE C.V.

- INSTITUTO POLlTECNICO NACIONAL

- LEX INFORMÁTICA ABOGADOS, S.C

- MANCERA S.C. (EY MÉXICO)

- NET ANO COMPUTER SERVICES MÉXICO, S.A. DE C.V.

- NORMALIZACiÓN Y CERTifiCACiÓN ELECTRÓNICA S.C.

- ADVANCE WIRE&WIRELESS LABORATORIOS

- ASOCIACiÓN ~IEXICANA DE EMPRESAS DEL RAMO DE INSTALACIONES PARA

- ASOCIACiÓN MEXICANA DE INTERNET, A.C.

- ASOCIACiÓN NACIONAL DE INSTITUCIONES DE EDUCACiÓN EN INFORMÁTICA.

- ASOCIACiÓN NACIONAL DE TELECOMUNICACIONES.

- ASOCIACiÓN DE PERMISIONARIOS, OPERADORES y PROVEEDORES DE LA

- AUREN IBEROAMERICA S. DE R.L. DE C.V.

- BEST PRACTICES GURUS, S.A. DE C.V.

- CÁMARA NACIONAL DE LA INDUSTRIA ELECTRÓNICA, DE

- CÁMARA NACIONAL DE MANUFACTUR!IS ELÉCTRICAS.

- COLEGIO DE INGENIEROS EN CO~IUNICACIONES y ELECTRÓNICA.

- COMISIÓN NACIONAL PARA EL USO EFICIENTE DE LA ENERGÍA.

- DIRECCIÓN GENERAL DE NORMAS.

- ERICSSON TELECOM, S.A. DE C.V.

- INSTITUTO POLITÉCNICO NACIONAL

- INSTITUTO MEXICANO DE NORMALIZACIÓN y CERTIFICACIÓN, j'C,

- INNOVACIONES TELEMÁTICAS, S.A. DE C.V.

- INTERNATIONAL CHAMBER OF COMMERCE.

- LEGRAN O S.A. DE C.V.

- ORGANISMO NACIONAL DE NORMALIZACIÓN y CERTIFICACIÓN DE UI

- PROCURADURÍA FEDERAL DEL CONSUMIDOR.

- TELEMATICA INNOVO CONTINUO, S.A DE C.V.

- UNIVERSIDAD AUTÓNOMA ~IETROPOLlTANA.

- UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO.

3. "La entrada en vigor de esta norma mexicana será 60 días después de la

4. La declaratoria de vigencia de esta Norma Mexicana se publicó en el Diario

ÍNDICE DEL CONTENIDO

1 Objetivo y cam po de aplicación

6 Componentes clave para la identificación, recolección, adquisición y 15

7 Instancias de identificación, recolección, adquisición y preservación 26

9 Concordancia con normas internacionales 47

TECNOLOGÍAS DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD

INFORMATION TECI:lNOLOGY - SECURIT,Y TECHNIQUES - GUIDELINES FOR

Estos procesos son requeridos en una investigación diseñada para mantener la

Esta Norma ~1exicana tiene la intención de proporcionar orientación a aquellos

Debido a fa fragilidad de la evidencia digital, e-s necesario llevar a cabo una

La aplicación de esta Norma Mexicana requiere el cumplimiento de-Ieyes nacionales,

Esta Norma Mexicana complementa la NMX+Z89-NYCE, NMX-I-27001-NYCE y la NMX-

1 OBJETIVO Y CAMPO DE APLICACIÓN

Medios de almacenamiento digital usado en computadoras esténdar, como

Teléfonos móviles, Asistentes Digitales Personales por sus siglas en inglés

Sistemas de navegación móvil;

Cámaras digitales y de video (incluyendo CCTV)¡

Computadoras estándar con conexione-s de red;

Redes basada-s en Te?/I? y otros protocolos digitales; y

Dispositivos con alguna función similar a las descritas en esta lista.

1) La lista anteñorde dispositivos es una lista indicativa y no exhaustiva.

NMX-EC-17020-IMNC-2014 Evaluación de la conforrnidad - Requisitos

NMX-EC-1702S-IMNC-:006 Evaluación de la conforrnidad - Requisitos

NMX-I-289-NYCE- 2013 Tecnologias de la información

NMX-I-27000-NYCE-20 14 Tecnologias de la información - Técnicas

NMX-I-2700 l-NYCE-ZO 15 Tecnología de la información - Técnicas