
Protección de sistemas SCADA en el sector de hidrocarburos: cómo blindar las infraestructuras críticas frente a las ciberamenazas
2 de julio de 2026La evidencia digital en ciberseguridad es toda información y datos de valor almacenados, recibidos o transmitidos por un dispositivo electrónico capaz de demostrar un hecho durante un incidente, una auditoría o un proceso legal. Garantizar su validez exige mantener una cadena de custodia estricta, aplicar normativas como la ISO/IEC 27037 y diseñar arquitecturas de seguridad que aseguren la inalterabilidad de los datos desde su origen.
Prácticamente toda la actividad de una organización deja hoy un rastro digital. Cada autenticación, cada acceso a una aplicación corporativa, modificación sobre una base de datos, cada sesión de administración remota o interacción con un sistema industrial genera información que, en determinadas circunstancias, puede convertirse en una prueba legal y técnica determinante.
Hace apenas unos años, la evidencia digital era un concepto reservado a los laboratorios de informática forense, a las fuerzas y cuerpos de seguridad o a los tribunales, ligado casi en exclusiva a investigaciones penales o litigios por delitos tecnológicos. En el entorno corporativo, esa realidad ha cambiado por completo.
Los ciberataques son cada vez más sofisticados, la regulación europea exige una capacidad creciente de auditoría y los incidentes deben investigarse con rapidez para minimizar su impacto operativo y reputacional. En este contexto, la pregunta ya no es si una empresa dispone de registros de actividad o logs, sino si esos registros pueden utilizarse como una evidencia digital íntegra, verificable y jurídicamente válida.
Un simple log puede indicar que un usuario inició sesión en un servidor. Una evidencia digital correctamente preservada permite demostrar quién era realmente ese usuario, desde qué dispositivo accedió, qué acciones concretas realizó, durante cuánto tiempo permaneció conectado y probar, sin margen de duda, que no existió ninguna modificación posterior sobre la información registrada. Esta capacidad de reconstrucción objetiva convierte la evidencia digital en uno de los activos más valiosos de una estrategia moderna de ciberseguridad y compliance.
De la informática forense a la gobernanza corporativa
La digitalización ha ampliado el concepto tradicional de evidencia forense. Hoy, prácticamente cualquier sistema conectado genera información susceptible de convertirse en prueba técnica o judicial: los registros de autenticación del directorio activo, las sesiones abiertas por administradores de sistemas, las operaciones sobre aplicaciones críticas, las transferencias de información sensible, los accesos de proveedores externos o la actividad correlacionada por un SIEM (Security Information and Event Management).
Sin embargo, conservar información no equivale a preservar evidencia. La diferencia está en la confianza y la inalterabilidad. Para que una evidencia resulte útil en una auditoría o un litigio, debe poder acreditarse que procede realmente del sistema que dice haberla generado, que no ha sido modificada desde su creación y que existe una trazabilidad completa sobre quién ha tenido acceso a ella durante todo su ciclo de vida.
El impacto de los marcos regulatorios en la evidencia digital
La evolución normativa ha trasladado la carga de la prueba a las propias empresas. Ya no basta con tener políticas de seguridad documentadas: es obligatorio demostrar, con datos inmutables, qué ha ocurrido.
| Normativa / Marco | Impacto en la gestión de evidencias digitales |
| ISO/IEC 27037 | Estándar internacional de referencia. Define las directrices para identificar, recopilar, adquirir y preservar evidencias digitales, asegurando su admisibilidad legal. |
| Directiva NIS2 | Obliga a entidades esenciales e importantes en Europa a notificar incidentes en plazos estrictos (24/72 horas) y a demostrar la trazabilidad de la brecha mediante evidencias técnicas. |
| DORA (sector financiero) | Exige a las entidades financieras una resiliencia operativa digital demostrable, incluida la capacidad de auditar y reconstruir incidentes mediante registros inalterables. |
| Esquema Nacional de Seguridad (ENS) | En España, establece requisitos categóricos sobre el registro de actividad de los usuarios y la protección de las trazas de auditoría frente a manipulaciones. |
| RGPD / GDPR | Requiere que las organizaciones demuestren proactivamente (principio de accountability) cómo protegen los datos y qué alcance exacto ha tenido cualquier fuga de información. |
La evidencia digital deja así de ser una herramienta exclusiva de los equipos de respuesta a incidentes (DFIR) para convertirse en un componente esencial del gobierno corporativo y la gestión de riesgos.
Casos reales: por qué la evidencia decide el desenlace de un incidente
La importancia de preservar correctamente las evidencias digitales no pertenece al terreno de la teoría. Los incidentes más relevantes a nivel mundial demuestran que la capacidad de reconstruir con precisión un ciberataque marca la diferencia entre la supervivencia corporativa y una crisis devastadora.

SolarWinds: cuando la evidencia histórica es la única defensa
Uno de los ejemplos más reveladores es el ataque a la cadena de suministro de SolarWinds, descubierto a finales de 2020. En este ataque de estado-nación, atribuido al grupo APT29, los atacantes comprometieron el software de monitorización Orion e introdujeron el código malicioso Sunburst, que afectó a miles de organizaciones, agencias federales de EE. UU. y multinacionales tecnológicas.
Más allá de la sofisticación del ataque inicial, el caso reveló algo alarmante: los atacantes operaron de forma sigilosa en las redes de las víctimas durante más de nueve meses sin ser detectados, falsificando tokens SAML y moviéndose lateralmente por entornos cloud como Microsoft 365.
La capacidad de investigar este incidente masivo dependió por completo de la calidad de la evidencia digital histórica. Solo las organizaciones que habían implementado arquitecturas capaces de preservar registros de actividad, eventos de red, telemetría de endpoints y logs de autenticación a largo plazo, con su integridad y cadena de custodia intactas, pudieron reconstruir el movimiento lateral de los atacantes. Las empresas que sobrescribían sus registros cada 30 días quedaron completamente ciegas, incapaces de determinar qué correos habían sido leídos o qué datos habían sido exfiltrados.
SolarWinds demuestra que una evidencia correctamente preservada no solo sirve para la contención inmediata: es vital para investigar amenazas persistentes avanzadas (APT) que operan en la sombra durante largos periodos.
Hospital Clínic de Barcelona: recuperación crítica basada en datos
A nivel nacional, un caso paradigmático fue el ataque de ransomware que sufrió el Hospital Clínic de Barcelona el 5 de marzo de 2023. El grupo criminal RansomHouse sustrajo cerca de 4,5 TB de datos de pacientes, profesionales y proveedores, bloqueó el acceso a sistemas críticos, urgencias, laboratorio, farmacia, y forzó la paralización de múltiples servicios asistenciales.
El proceso de contención y recuperación exigió un despliegue técnico sin precedentes. La recopilación, el aislamiento y el análisis de evidencias digitales fueron esenciales para comprender los vectores de entrada, identificar los servidores comprometidos y priorizar la restauración segura de la actividad clínica sin riesgo de reinfección.
Ambos incidentes dejan un aprendizaje fundamental: el objetivo inicial ante una brecha es contener el ataque y recuperar la operativa, pero la gestión real del incidente empieza después. La organización necesita reconstruir con precisión la anatomía del ataque, y esa reconstrucción pericial solo es posible cuando la evidencia digital ha sido protegida desde el primer segundo.
La cadena de custodia digital: el pilar de la validez legal
¿Qué es la cadena de custodia digital?
En ciberseguridad, la cadena de custodia digital es el procedimiento técnico y documental que garantiza que una prueba electrónica no ha sido alterada, sustituida ni destruida desde el momento de su recolección hasta su presentación en una auditoría o un juicio.
Existe la idea extendida de que una evidencia pierde validez únicamente cuando un ciberdelincuente consigue modificarla activamente, por ejemplo, borrando logs. Sin embargo, en las auditorías de ciberseguridad se comprueba que la mayoría de las evidencias se invalidan mucho antes, por deficiencias en la propia arquitectura TI de la organización. Es habitual encontrar empresas que:
- Almacenan sus registros en servidores donde los mismos administradores que generan los eventos conservan permisos de modificación o borrado (conflicto de interés).
- Distribuyen los logs entre múltiples silos sin mecanismos criptográficos que aseguren su inmutabilidad.
- Permiten accesos privilegiados mediante cuentas compartidas, por ejemplo, admin o root, rompiendo el principio de no repudio.
En estos escenarios, cuando la empresa intenta aportar esa información en un proceso legal o regulatorio, resulta imposible certificar que no fue manipulada. La evidencia deja de inspirar confianza porque el propio diseño del sistema permite la duda razonable.
Técnicas esenciales para preservar la evidencia
Para que una cadena de custodia sea sólida, los sistemas deben incorporar controles desde el diseño (security by design):
- Hashing criptográfico. Generar firmas únicas (como SHA-256) de los archivos de registro en el momento de su creación, para detectar cualquier alteración futura.
- Sellado de tiempo y sincronización NTP. Organismos como el NIST consideran crítico que todos los sistemas utilicen la misma fuente de tiempo. Si un atacante entra a las 02:17 y el firewall tiene cinco minutos de desfase respecto al controlador de dominio, la reconstrucción temporal de los hechos queda invalidada.
- Almacenamiento WORM (Write Once, Read Many). Enviar las trazas de auditoría críticas a sistemas de almacenamiento inmutables, donde los datos pueden leerse pero no reescribirse ni borrarse antes de su periodo de retención legal.
Arquitectura Zero Trust y gestión de identidades: el origen de la prueba
La evolución de las tácticas de los cibercriminales muestra que la mayoría de las intrusiones iniciales ya no explotan vulnerabilidades de software (zero-days), sino que comprometen identidades legítimas: credenciales robadas, fatiga de MFA o accesos de terceros mal gestionados. Esto cambia el paradigma de la evidencia: cada autenticación constituye el primer eslabón de la futura cadena de custodia.
La identidad como evidencia contextual
Durante años, las empresas confiaron en los registros de auditoría tradicionales. Son necesarios, pero insuficientes: un log indica un inicio de sesión; otro, un comando ejecutado; otro, una consulta SQL. Es información fragmentada.
Las arquitecturas modernas buscan la evidencia contextual. Tecnologías como XDR (Extended Detection and Response) y SIEM correlacionan estos silos para construir una historia continua. Pero para que esa historia tenga peso probatorio pleno, es vital integrar la gestión de identidades avanzada:
- PAM (Privileged Access Management). Históricamente, el control central del PAM ha sido la bóveda de credenciales: la contraseña se guarda cifrada y se inyecta en la sesión sin que el usuario la vea. Los modelos más recientes evolucionan hacia el acceso efímero o sin bóveda (Zero Standing Privilege), donde no existe una credencial permanente que proteger, sino un permiso que se concede y se revoca en el momento exacto de uso. En ambos casos, el elemento común, y lo relevante para la evidencia digital, es la intermediación de la sesión: todo acceso privilegiado pasa por un punto de control único, vinculado a una identidad concreta y no a una cuenta compartida.
- Las plataformas más completas, además, graban la sesión íntegra, metadatos y, en muchos casos, vídeo, generando un paquete de evidencia forense mucho más sólido que un simple registro de acceso. Esta capacidad de grabación no está garantizada en todas las soluciones del mercado y conviene verificarla si la evidencia de sesión es un requisito de cumplimiento.
- ITDR (Identity Threat Detection and Response). Mientras PAM controla el acceso, ITDR audita el comportamiento: detecta si una identidad eleva privilegios de forma anómala o realiza un movimiento lateral. Estas plataformas añaden el “por qué” a la evidencia, señalando el momento en que una identidad legítima empieza a comportarse como un atacante.
Zero Trust: cada validación genera un rastro auditable
El modelo Zero Trust, nunca confíes, verifica siempre, aporta un valor incalculable a la informática forense corporativa. Al exigir verificar no solo la contraseña, sino la postura de seguridad del dispositivo, la ubicación geográfica y el riesgo en tiempo real, genera un volumen de metadatos enorme. Ante un ciberataque, la organización no solo demuestra quién entró, sino qué políticas de seguridad evaluó el sistema, en ese milisegundo concreto, para autorizar la conexión.
El enfoque de Cosmikal: trazabilidad integral desde el diseño
La evidencia útil no se improvisa durante la crisis: se diseña en la fase de arquitectura. Esperar a que ocurra un incidente para activar a los equipos forenses es una estrategia fallida en el actual panorama de amenazas.
Como fabricante español de tecnología de ciberseguridad, en Cosmikal entendemos que la trazabilidad y la preservación de la evidencia digital no deben ser tareas reactivas ni complementos añadidos, sino características inherentes a la infraestructura operativa.
Endurance y Ranger redefinen el acceso a los activos críticos de la organización. En lugar de permitir conexiones directas de red, VPN tradicionales, hacia infraestructuras críticas, servidores o entornos OT/ICS, estas soluciones obligan a los usuarios internos y a los proveedores a interactuar a través de escritorios seguros y entornos completamente aislados.
Esta arquitectura de aislamiento persigue un doble objetivo:
- Reduce drásticamente la superficie de ataque, impidiendo la propagación de malware o ransomware desde el equipo de un proveedor hacia la red corporativa.
- Genera evidencias completas y contextualizadas por defecto. Al integrar en un mismo entorno las capacidades de IAM, PAM y DLP, cualquier acción realizada durante la sesión queda registrada, firmada y auditada.
Si un técnico de mantenimiento externo comete un error crítico, o realiza una acción maliciosa, sobre un sistema SCADA industrial, el equipo de respuesta (SOC/CSIRT) no tiene que invertir semanas descifrando logs inconexos: dispone de forma inmediata de una representación íntegra, visual y técnicamente inmutable de la sesión. Esto no solo acelera la contención: proporciona el respaldo necesario para depurar responsabilidades contractuales o legales.
Conclusión: la evidencia digital como activo estratégico
En la era de la hiperconectividad, los datos son valiosos, pero la capacidad de demostrar la verdad técnica es crítica. La evidencia digital en ciberseguridad ha trascendido las fronteras de los laboratorios forenses para consolidarse como un pilar innegociable de la confianza empresarial.
Incidentes globales como el de SolarWinds han enseñado que la resiliencia no se mide solo por la capacidad de bloquear un ataque, sino por la capacidad de investigarlo a fondo, comprender sus ramificaciones y demostrar diligencia debida ante reguladores, clientes y accionistas.
Garantizar la validez legal y técnica de los registros corporativos exige abandonar las arquitecturas heredadas y abrazar modelos como Zero Trust, donde la identidad verificada, la monitorización de sesiones y la cadena de custodia criptográfica operan de forma ininterrumpida. Preservar la evidencia digital es, hoy más que nunca, una capacidad estratégica fundamental para asegurar la supervivencia y la viabilidad legal de cualquier organización.
Preguntas frecuentes
¿Qué se considera una evidencia digital en un entorno corporativo?
Cualquier información electrónica capaz de probar un hecho relevante durante una investigación: logs de red, registros de bases de datos, trazas de autenticación (Active Directory/Entra ID), correos electrónicos, capturas de tráfico (PCAP), grabaciones de sesiones PAM y telemetría de sistemas EDR/XDR.
¿Cuáles son los requisitos para que una evidencia digital tenga validez legal ante un tribunal?
Para ser admisible, la prueba debe cumplir tres principios: autenticidad (demostrar que procede de la fuente que se afirma), integridad (probar mediante hashing que no ha sido alterada ni un solo bit) y cadena de custodia (un registro documentado e ininterrumpido de quién ha recopilado, almacenado y analizado la información).
¿Qué papel juega la norma ISO/IEC 27037 en la ciberseguridad?
Proporciona directrices globales para los primeros intervinientes en un incidente cibernético. Estandariza los métodos para identificar, recolectar, adquirir y preservar evidencias digitales, garantizando que los procedimientos técnicos utilizados no invaliden las pruebas en procesos judiciales transfronterizos.
¿Por qué las VPN tradicionales son un problema para la recolección de evidencias?
Otorgan acceso a nivel de red, lo que permite a un usuario, o a un atacante, interactuar directamente con múltiples sistemas. Esto fragmenta los registros de actividad por toda la infraestructura y dificulta la correlación de eventos y la creación de un hilo conductor claro durante un análisis forense.
¿Cómo ayuda el enfoque de Cosmikal a la investigación de incidentes?
Cosmikal centraliza el acceso crítico mediante entornos aislados, Endurance y Ranger, con capacidades integradas de IAM, PAM y DLP. En lugar de buscar pistas dispersas tras un ataque, el equipo de seguridad dispone de grabaciones de sesión íntegras, trazabilidad absoluta de la identidad y registros inmutables, lo que facilita investigaciones forenses rápidas y con respaldo legal.
¿Quieres saber cómo Endurance y Ranger pueden ayudarte a preservar evidencia digital irrefutable en tus entornos IT y OT? Contacta con nuestro equipo.




