Resumen

Background: La transición a arquitecturas cloud native —basadas en contenedores efímeros, microservicios y despliegues automatizados— vuelve frágil la obtención de evidencia digital, que pasa a estar distribuida entre logs, métricas y trazas; esto obliga a repensar la observabilidad, la sincronización temporal y la cadena de custodia con anclaje en marcos como DORA y NIST 800-207.

Gap: Las prácticas y herramientas forenses clásicas suponen soportes persistentes e infraestructuras centralizadas; faltan procedimientos operativos y formatos interoperables que preserven origen, contexto y cronología en entornos multi-proveedor y multi-jurisdicción, además de cláusulas contractuales que aseguren retención y exportabilidad probatoria sin romper el contexto.

Purpose: El trabajo busca ofrecer criterios y herramientas prácticas para la investigación de incidentes en entornos cloud native, mediante la construcción de una taxonomía de artefactos probatorios, el desarrollo de métodos de captura centrados en logs JSON, trazas OpenTelemetry y snapshots versionados, y la elaboración de una matriz de responsabilidades entre cliente y proveedor junto con una plantilla de informe pericial alineada a estándares y marcos regulatorios.

Methodology: Revisión de literatura científica (Scopus, Web of Science, IEEE Xplore); síntesis en una taxonomía por capa y vida útil; mapeo a modelos de servicio IaaS/PaaS/SaaS y a estándares; diseño de procedimientos de identificación, preservación, recolección y análisis para entornos efímeros; elaboración de checklist, matriz y plantilla pericial.

Results: Se obtuvo una taxonomía mínima de fuentes probatorias —logs estructurados, trazas distribuidas, métricas, artefactos de infraestructura como código y eventos de API/webhooks— junto con métodos de captura y requisitos de metadatos, sellado temporal e integridad. Se adaptaron procedimientos para entornos efímeros que priorizan la captura "en ejecución", el congelamiento del estado al declarar el incidente, la preservación de artefactos volátiles y la sincronización temporal auditable. Además, se desarrollaron instrumentos prácticos —matriz de responsabilidades en la nube, checklist de investigación y plantilla de informe pericial— alineados con estándares ISO/IEC 27037/27041/27042/27043 y marcos regulatorios como DORA, NIS2 y NIST. Finalmente, se identificaron tensiones operativas recurrentes entre privacidad y preservación, dependencia de terceros y costos de retención, así como desafíos jurisdiccionales en despliegues multi-región.

Conclusion: Los criterios clásicos no alcanzan en cloud native; investigar exige pensar en tiempo, automatización y portabilidad, con telemetría que conserve origen, secuencia y relaciones entre eventos, y con soporte legal-contractual explícito para retención y exportación. Se propone validar el enfoque con casos reales y fomentar una coordinación sostenida entre técnicos, peritos y reguladores para convertir principios en procedimientos auditables y replicables.