Preservación de evidencias
¿Qué es Preservación de evidencias?
Preservación de evidenciasDisciplina forense que protege la evidencia digital frente a alteración, pérdida o contaminación para que siga siendo admisible y fiable durante la investigación.
La preservación garantiza que los datos identificados como relevantes mantengan su estado original desde la recolección hasta el tribunal. Los profesionales aíslan fuentes, detienen procesos destructivos, suspenden la rotación de registros, aplican retenciones legales y emplean bloqueadores de escritura al clonar almacenamiento. Cada elemento se hashea (MD5, SHA-256) en la adquisición y se reverifica posteriormente para demostrar integridad, mientras la cadena de custodia documenta manipuladores, ubicaciones y accesos. Las evidencias volátiles (RAM, caché ARP, conexiones activas) se capturan primero porque desaparecen al apagar. NIST SP 800-86, ISO/IEC 27037 y las guías ACPO codifican estos procedimientos.
● Ejemplos
- 01
Emitir una retención legal para detener la rotación de los logs de auditoría de buzones al iniciar una investigación interna.
- 02
Capturar la memoria volátil con WinPmem antes de apagar un servidor sospechoso de ransomware.
● Preguntas frecuentes
¿Qué es Preservación de evidencias?
Disciplina forense que protege la evidencia digital frente a alteración, pérdida o contaminación para que siga siendo admisible y fiable durante la investigación. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Preservación de evidencias?
Disciplina forense que protege la evidencia digital frente a alteración, pérdida o contaminación para que siga siendo admisible y fiable durante la investigación.
¿Cómo defenderse de Preservación de evidencias?
Las defensas contra Preservación de evidencias combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Preservación de evidencias?
Nombres alternativos comunes: Preservación probatoria, Preservación forense.