Cadena de custodia

También conocido como: CoC, Custodia de evidencia

Registro cronológico y documentado de cada persona, ubicación y acción que afecta una evidencia desde su incautación hasta su disposición final.

La cadena de custodia (CoC) preserva la integridad y admisibilidad de la evidencia digital y física. Cada transferencia se registra con marcas de tiempo, identificadores (número de caso, ID de evidencia, hashes) y firmas; los objetos se conservan en envases a prueba de manipulación dentro de instalaciones con control de acceso. Las buenas prácticas siguen ISO/IEC 27037, NIST SP 800-86 y guías ACPO/SWGDE: adquisición con bloqueadores de escritura, hashes criptográficos (SHA-256) antes y después de la copia y mantenimiento de copias de trabajo. Una cadena rota — entradas faltantes, hashes incongruentes, envases sin sello — puede hacer la evidencia inadmisible y arruinar litigios, reclamaciones o investigaciones regulatorias.

Ejemplos

Formulario de CoC firmado que sigue un portátil incautado desde la adquisición hasta su presentación en juicio.
Registro de hashes SHA-256 que demuestra que una imagen de disco no fue alterada entre la recolección y el análisis.

Cadena de custodia

Ejemplos

Términos relacionados

Informática forense

Evidence Acquisition

Preservation of Evidence

Imagen forense

Bloqueador de escritura

DFIR (Análisis forense y respuesta a incidentes)

Definición

Ejemplos

Términos relacionados

Informática forense

Evidence Acquisition

Preservation of Evidence

Imagen forense

Bloqueador de escritura

DFIR (Análisis forense y respuesta a incidentes)