Evidencia Digital en Entornos Cloud Native: procedimientos forenses para arquitecturas distribuidas
Digital Evidence in Cloud Native Environments: Forensic Procedures for Distributed Architectures
Torres Ponce, Mariano Enrique
Evidencia digital
Cloud native
Informática forense
Gobernanza de Internet
Derecho de la informática
Digital evidence
Cloud native
Digital forensics
Internet governance
Computer law
Cyberspace law
International law
Contextualización: La tecnología brinda nuevas soluciones y los profesionales deben adaptarse a estos cambios para poder hacer su trabajo eficientemente. El conocimiento adquirido se va volviendo obsoleto y nos presenta nuevos escenarios a resolver. La prueba digital cambia cuando los sistemas no están centralizados y son autosuficientes, sino que funcionan con contenedores que duran segundos y servicios repartidos por distintos países. Por esto podemos afirmar que recolectar evidencia digital se vuelve un desafío. Para entender cómo abordarlo, revisamos decenas de artículos recientes en Scopus, Web of Science e IEEE Xplore. Con ese material armamos una taxonomía de artefactos probatorios, ordenados por capa de infraestructura y duración. Propusimos métodos de captura que priorizan logs en JSON, trazas con OpenTelemetry y snapshots versionados en Git. El objetivo no es repetir manuales, sino mostrar qué conviene documentar, cuándo y con qué nivel de detalle. Combinamos teoría con herramientas prácticas, vinculando los artefactos al modelo de servicio (IaaS, PaaS o SaaS) y a marcos como el Reglamento DORA en Europa o el NIST 800-207 en EE.UU. También diseñamos una matriz que reparte responsabilidades entre cliente y proveedor, e incluimos una plantilla de informe pericial adaptada a sistemas distribuidos. El aporte central: criterios claros y herramientas útiles para auditar incidentes sin depender de infraestructuras persistentes. Cerramos con una mirada a lo que viene: automatización forense con IA en la nube y los dilemas éticos que plantea.
Contextualization: Technology continuously generates new solutions, and professionals must adapt in order to perform their work efficiently. Acquired knowledge quickly becomes obsolete, giving rise to novel scenarios that demand new approaches. Digital evidence is transformed when systems are no longer centralized and persistent but instead rely on ephemeral containers and services distributed across multiple jurisdictions. Collecting such evidence therefore emerges as a significant challenge. To explore how this challenge can be addressed, we reviewed dozens of recent articles indexed in Scopus, Web of Science, and IEEE Xplore. Based on this material, we developed a taxonomy of evidentiary artifacts, organized by infrastructure layer and temporal persistence. We propose capture methods that prioritize JSON logs, OpenTelemetry traces, and versioned snapshots in Git. The aim is not to replicate procedural manuals but to highlight what should be documented, when, and with what degree of detail. We combine theoretical foundations with practical tools, linking artifacts to service models (IaaS, PaaS, SaaS) and to regulatory frameworks such as the DORA Regulation in Europe or NIST 800-207 in the United States. We also introduce a responsibility matrix between client and provider and include a forensic report template adapted to distributed systems. The central contribution is to provide clear criteria and practical tools for auditing incidents without relying on persistent infrastructures. We conclude by examining future perspectives, including forensic automation with cloud-based AI and the ethical dilemmas it raises.
Técnica Administrativa ISSN 1666-1680
2025-10-15
Research article
htm
240402
www.cyta.com.ar/ta/article.php?id=240402
es
TI
TI
La transición a arquitecturas cloud native —basadas en contenedores efímeros, microservicios y despliegues automatizados— vuelve frágil la obtención de evidencia digital, que pasa a estar distribuida entre logs, métricas y trazas; esto obliga a repensar la observabilidad, la sincronización temporal y la cadena de custodia con anclaje en marcos como DORA y NIST 800-207.
Las prácticas y herramientas forenses clásicas suponen soportes persistentes e infraestructuras centralizadas; faltan procedimientos operativos y formatos interoperables que preserven origen, contexto y cronología en entornos multi-proveedor y multi-jurisdicción, además de cláusulas contractuales que aseguren retención y exportabilidad probatoria sin romper el contexto.
El trabajo busca ofrecer criterios y herramientas prácticas para la investigación de incidentes en entornos cloud native, mediante la construcción de una taxonomía de artefactos probatorios, el desarrollo de métodos de captura centrados en logs JSON, trazas OpenTelemetry y snapshots versionados, y la elaboración de una matriz de responsabilidades entre cliente y proveedor junto con una plantilla de informe pericial alineada a estándares y marcos regulatorios.
Revisión de literatura científica (Scopus, Web of Science, IEEE Xplore); síntesis en una taxonomía por capa y vida útil; mapeo a modelos de servicio IaaS/PaaS/SaaS y a estándares; diseño de procedimientos de identificación, preservación, recolección y análisis para entornos efímeros; elaboración de checklist, matriz y plantilla pericial.
Se obtuvo una taxonomía mínima de fuentes probatorias —logs estructurados, trazas distribuidas, métricas, artefactos de infraestructura como código y eventos de API/webhooks— junto con métodos de captura y requisitos de metadatos, sellado temporal e integridad. Se adaptaron procedimientos para entornos efímeros que priorizan la captura "en ejecución", el congelamiento del estado al declarar el incidente, la preservación de artefactos volátiles y la sincronización temporal auditable. Además, se desarrollaron instrumentos prácticos —matriz de responsabilidades en la nube, checklist de investigación y plantilla de informe pericial— alineados con estándares ISO/IEC 27037/27041/27042/27043 y marcos regulatorios como DORA, NIS2 y NIST. Finalmente, se identificaron tensiones operativas recurrentes entre privacidad y preservación, dependencia de terceros y costos de retención, así como desafíos jurisdiccionales en despliegues multi-región.
Los criterios clásicos no alcanzan en cloud native; investigar exige pensar en tiempo, automatización y portabilidad, con telemetría que conserve origen, secuencia y relaciones entre eventos, y con soporte legal-contractual explícito para retención y exportación. Se propone validar el enfoque con casos reales y fomentar una coordinación sostenida entre técnicos, peritos y reguladores para convertir principios en procedimientos auditables y replicables.