---
title: "Caso de uso · Peritaje informático forense DFIR · PerizIAl"
description: "PerizIAl es la plataforma de referencia para peritos informáticos forenses (DFIR): respuesta a incidentes corporativos, análisis post-breach, investigación de fraude BEC, ransomware, exfiltración de datos y notificación RGPD 72 horas. Cadena de custodia compatible ISO/IEC 27037, validador anti-alucinación y dictamen PAdES."
canonical: https://perizial.com/casos-de-uso/peritaje-informatico-forense
servicio_relacionado: https://perizial.com/peritos/servicio/perito-informatico-forense
---

# Peritaje informático forense (DFIR) con cadena de custodia ISO 27037

> La plataforma más completa para peritos informáticos forenses en España: respuesta a incidentes, análisis post-breach, fraude BEC, ransomware y notificación RGPD 72 horas con cadena de custodia ISO/IEC 27037 y validador anti-alucinación.

Un perito informático forense responde a incidentes con plazos críticos: la notificación RGPD a la AEPD debe llegar en 72 horas desde la detección, el análisis post-breach debe identificar el vector de entrada y la extensión del compromiso antes de que el adversario vuelva, y el dictamen pericial debe sostener la prueba en eventual procedimiento judicial.

## Flujo paso a paso en PerizIAl

1. **1. Activación del incidente y registro inicial** — Apertura del expediente DFIR con datos del incidente (cliente afectado, fecha y hora de detección, indicadores reportados, sistemas potencialmente comprometidos, criticidad). Inicio de la cadena de custodia con timestamp inmutable.
2. **2. Adquisición forense en caliente y en frío** — Bunker con hash MD5+SHA-256 calculado al subir cada evidencia: imagen forense del endpoint comprometido (write-blocker, FTK Imager), dump de memoria volátil, exportación de logs SIEM/EDR, capturas de tráfico de red, ficheros de configuración. Metadatos de adquisición preservados (responsable, método, herramienta, hash original).
3. **3. Análisis post-breach con asistencia IA** — Asistente IA para correlación de eventos en logs, búsqueda de patrones de movimiento lateral, identificación de IOCs (IPs C2, hashes de malware, dominios DGA, técnicas MITRE ATT&CK). Toda salida IA queda marcada como hipótesis hasta validación del perito.
4. **4. Validador anti-alucinación pre-dictamen** — Antes de cerrar el dictamen, el validador analiza el texto y detecta IPs, hashes (MD5/SHA-1/SHA-256), IMEIs, CVEs y referencias a NVD sin respaldo documental en el bunker de evidencias. Cualquier referencia técnica sin trazabilidad se marca para revisión manual o se reformula como indicio.
5. **5. Notificación RGPD 72 horas a la AEPD** — Plantilla específica de informe de incidente RGPD que cumple los requisitos de notificación a la AEPD (art. 33 RGPD): descripción del incidente, naturaleza de los datos afectados, categorías y número estimado de interesados, medidas adoptadas. Exportable en el formato del modelo de la AEPD.
6. **6. Dictamen pericial PAdES + acta de devolución** — Dictamen pericial estructurado en 7 fases con firma PAdES y sello TSA cualificado. Cadena de custodia exportable como PDF firmado independiente para presentar como prueba documental separada. Acta de devolución de evidencias firmada por el responsable receptor.
7. **7. Soporte a ratificación judicial** — Si el incidente deriva en procedimiento judicial (acusación contra ex-empleado, demanda contra proveedor, denuncia penal por intrusión), preparación de ratificación con IA: lectura del dictamen propio y eventual contra-pericial, batería de preguntas previsibles por bloques con respuesta preparada.

## Caso real

**Caso real: ataque ransomware en SaaS con notificación RGPD 72h y dictamen pericial**

Situación inicial: Un proveedor SaaS B2B sufre ataque de ransomware con cifrado de bases de datos de 12.000 clientes corporativos. El CISO contrata peritaje DFIR externo. Plazo RGPD: 72 horas desde la detección para notificar a la AEPD.

Resultado con PerizIAl: El perito DFIR despliega en Perizial: bunker con 47 evidencias (imágenes de endpoints, dump de memoria, logs EDR, capturas de tráfico C2), análisis post-breach que identifica el vector (phishing dirigido a sysadmin con ejecución de loader, escalada de privilegios vía CVE-2024 verificada en NVD, movimiento lateral, despliegue de ransomware tras 48 h dwell time), notificación RGPD a la AEPD en 67 horas y dictamen PAdES con cadena de custodia ISO/IEC 27037. La AEPD archivó el expediente sancionador al verificar que el responsable había adoptado medidas razonables y notificado en plazo.

## Beneficios verificables

- Cadena de custodia ISO/IEC 27037 defendible en juicio
- Validador anti-alucinación previene errores técnicos en dictámenes
- Plantilla de notificación RGPD 72 horas conforme a AEPD
- Asistente IA para correlación de eventos y búsqueda de IOCs
- Preparación de ratificación con IA estructurada por bloques

## Preguntas frecuentes

### ¿La cadena de custodia es compatible con la jurisprudencia española y ISO/IEC 27037?

Sí. La cadena de custodia digital con hash dual (MD5 + SHA-256), timestamp y firma PAdES + sello TSA cualificado supera los requisitos exigidos por la ISO/IEC 27037:2012 (Guidelines for identification, collection, acquisition and preservation of digital evidence) y por la jurisprudencia española sobre prueba digital. Exportable como PDF firmado independiente del dictamen para presentar como prueba documental separada.

### ¿Funciona para investigación de fraude BEC (Business Email Compromise)?

Sí. El bunker preserva cabeceras de correo originales (sender, return-path, received), evidencias de spoofing (SPF/DKIM/DMARC fail), análisis de URLs maliciosas, registros de transferencias bancarias afectadas y comunicaciones internas relevantes. El dictamen pericial con cadena de custodia respalda eventual procedimiento civil (recuperación de fondos) o penal (denuncia por estafa).

### ¿Las evidencias se adquieren con herramientas externas (Cellebrite, FTK Imager, X-Ways)?

Sí. Las evidencias adquiridas con herramientas externas (write-blocker hardware, Cellebrite UFED, FTK Imager, X-Ways Forensics) se cargan en el bunker con su hash original. Perizial recalcula el hash al subirlas y lo coteja con el declarado. Si coincide, queda registrado el match en la cadena de custodia. Si no coincide, alerta de discrepancia para revisión manual. La integridad documental de la prueba se mantiene end-to-end.

## También se busca

- peritaje informático forense DFIR
- ISO 27037 cadena custodia digital
- BEC fraud investigación pericial
- ransomware análisis forense
- RGPD 72 horas AEPD notificación

## Enlaces

- Página HTML del caso de uso: https://perizial.com/casos-de-uso/peritaje-informatico-forense
- Software dedicado: https://perizial.com/peritos/servicio/perito-informatico-forense
- Hub de casos de uso: https://perizial.com/casos-de-uso
- Planes y precios: https://perizial.com/planes
- Respaldo ADISPO: https://perizial.com/colaboradores/adispo