Plausibilidad y toma de decisiones bajo incertidumbre en informática forense
Guido Rosales 03/07/2026De este escenario surge la pregunta que ordena el presente trabajo: ¿cómo fundamentar técnicamente una decisión cuando todavía no existe suficiente evidencia para conocer el estado real del sistema?
Una propuesta metodológica para la intervención inicial sobre dispositivos electrónicos encendidos:
Plausibilidad y toma de decisiones bajo incertidumbre en informática forense
Una propuesta metodológica para la intervención inicial sobre dispositivos electrónicos encendidos: por qué la preservación de evidencia digital no se resuelve con reglas universales, sino con un razonamiento estructurado que empieza en la plausibilidad.
El incremento del cifrado por defecto, la computación en la nube, la sincronización automática, el acceso remoto y la ejecución local de inteligencia artificial ha elevado la complejidad de la preservación inicial de evidencia digital. Frente a un dispositivo encontrado encendido, la decisión de mantenerlo operativo o apagarlo constituye un dilema en el que ninguna alternativa garantiza la preservación completa de la evidencia. Se sostiene que este problema no se resuelve mediante reglas universales, sino mediante un proceso estructurado de análisis. Presentamos la plausibilidad como punto de partida del razonamiento, entendida como el conjunto de escenarios técnicamente posibles y coherentes con las evidencias inicialmente observadas, y la complementamos con criterios de impacto, reversibilidad, proporcionalidad y capacidades operativas del equipo investigador. Sobre esa base proponemos el modelo PIRCA (Plausibilidad, Impacto, Reversibilidad, Capacidades y Adecuación/Proporcionalidad), concebido como herramienta para el entrenamiento de equipos de respuesta y no como un procedimiento automático de actuación. Se concluye que la formación debería orientarse a desarrollar la capacidad de razonar y documentar decisiones en escenarios dinámicos y adversariales, antes que a memorizar protocolos.
The rise of default encryption, cloud computing, automatic synchronization, remote access, and locally executed artificial intelligence has increased the complexity of the initial preservation of digital evidence. When a device is found powered on, the decision to keep it running or to shut it down poses a dilemma in which no option guarantees complete preservation of the evidence. We argue that this problem cannot be solved through universal rules, but through a structured process of analysis. We introduce plausibility as the starting point of reasoning, understood as the set of scenarios that are technically possible and consistent with the initially observed evidence, and complement it with criteria of impact, reversibility, proportionality, and the operational capabilities of the investigative team. On this basis we propose the PIRCA model (Plausibility, Impact, Reversibility, Capabilities, and Adequacy/Proportionality), conceived as a tool for training response teams rather than as an automatic operating procedure. We conclude that training should aim to develop the capacity to reason and document decisions in dynamic and adversarial scenarios, rather than to memorize protocols.
Palabras clave: informática forense, evidencia digital, incertidumbre, plausibilidad, toma de decisiones, adquisición en vivo. · Keywords: digital forensics, digital evidence, uncertainty, plausibility, decision-making, live acquisition.
01Introducción
Durante años, la informática forense trabajó sobre un objeto relativamente estable: el disco duro apagado. El procedimiento canónico era claro, desconectar la alimentación, retirar el medio de almacenamiento y obtener una copia bit a bit para su posterior análisis. Ese mundo, ordenado y predecible, ha dejado de existir.
Debemos entender que hemos pasado del disco duro al ecosistema digital. Un dispositivo actual rara vez es una isla: sincroniza con la nube, mantiene sesiones remotas abiertas, cifra su almacenamiento de forma transparente para el usuario y, cada vez con mayor frecuencia, ejecuta procesos automatizados y modelos de inteligencia artificial de manera local. El cifrado, que antes era la excepción, hoy viene activado por defecto en buena parte de los sistemas operativos de escritorio y móviles.
Este cambio desplazó el eje de la disciplina. La atención, tradicionalmente puesta en el dato persistente en disco, se trasladó hacia el análisis en vivo (live forensics), es decir, la recolección de información sobre un sistema en funcionamiento. Notemos que este desplazamiento no es una moda técnica, sino una respuesta obligada: apagar un equipo cifrado puede volver inaccesible, de forma irreversible, todo aquello que segundos antes estaba a la vista.
La computación distribuida agrava el cuadro. La evidencia ya no reside en un único contenedor bajo control físico del investigador, sino que se reparte entre memoria volátil, servicios en la nube, máquinas virtuales y contenedores efímeros. Consecuentemente, la certeza inicial que ofrecía el disco apagado ha sido reemplazada por una incertidumbre estructural.
De este escenario surge la pregunta que ordena el presente trabajo: ¿cómo fundamentar técnicamente una decisión cuando todavía no existe suficiente evidencia para conocer el estado real del sistema?
02El problema de la incertidumbre
Analicemos la naturaleza del problema. Toda escena digital representa un sistema parcialmente observable: el investigador percibe manifestaciones externas (una pantalla encendida, un cursor que responde, un icono de red activo), pero no tiene acceso directo al estado interno completo de la máquina en ese instante.
Tomemos el caso que atraviesa todo el artículo: un computador encontrado encendido. Lo que se observa es una fracción mínima de lo que ocurre. Lo desconocido puede incluir un acceso remoto en curso, malware residente en memoria, procesos automatizados programados para ejecutarse ante determinados eventos, sincronización con servicios en la nube, cifrado completo del volumen, máquinas virtuales o contenedores en ejecución, e incluso un modelo de inteligencia artificial operando localmente.
Pensemos en la situación como la de un médico de urgencias ante un paciente inconsciente que no puede relatar su historia. El profesional no dispone del diagnóstico, solo de signos vitales y de un tiempo limitado para decidir. Cada minuto de deliberación tiene un costo, y cada intervención cierra puertas a otras. La escena digital encendida impone esa misma tensión: se decide con información incompleta y con consecuencias que no siempre son reversibles.
P1.Toda escena digital constituye un sistema parcialmente observable, por lo que la decisión inicial se adopta siempre bajo incertidumbre irreductible.
En ese sentido, pretender un protocolo universal que dicte "siempre apagar" o "nunca apagar" equivale a negar la naturaleza del problema. La incertidumbre no es un defecto del procedimiento que pueda corregirse con más reglas: es inherente a la escena.
03La plausibilidad como fundamento del análisis
Si no se dispone de certeza, ¿sobre qué se razona? Aquí introducimos la plausibilidad como fundamento, adaptando el concepto al dominio forense y no tomándolo únicamente en su acepción filosófica. La literatura de sensemaking ya ha señalado que, en entornos de alta incertidumbre, las personas expertas construyen sentido evaluando la plausibilidad de las explicaciones antes que su probabilidad estadística (Klein, Jalaeian, Hoffman y Mueller, 2023).
Proponemos la siguiente definición operativa. La plausibilidad corresponde al conjunto de escenarios técnicamente posibles y coherentes con las evidencias inicialmente observadas, cuya ocurrencia aún no ha sido demostrada pero cuya consideración resulta necesaria para reducir el riesgo de pérdida irreversible de evidencia.
Conviene diferenciar con precisión cuatro niveles que suelen confundirse en la práctica:
| Nivel | Criterio y ejemplo en la escena encendida |
|---|---|
| Posibilidad | Lo que no viola ninguna ley física o lógica. Ejemplo: "el equipo podría contener datos comprometedores". Casi todo es posible, por lo que este nivel no orienta la decisión. |
| Plausibilidad | Lo posible que además es coherente con lo observado. Ejemplo: "hay un icono de disco cifrado y una sesión activa, luego es plausible que las claves residan en memoria". Orienta la decisión sin exigir prueba. |
| Probabilidad | La frecuencia estimada de ocurrencia, que requiere datos aún no disponibles en la fase inicial. Ejemplo: "seis de cada diez equipos de este tipo ejecutan sincronización cloud". Rara vez se puede calcular en el sitio. |
| Confirmación | El escenario demostrado mediante evidencia. Ejemplo: "el volcado de memoria contiene la clave de descifrado". Llega tarde para la decisión inicial. |
P2.La plausibilidad, y no la probabilidad, es el criterio operativo pertinente en la fase inicial, por cuanto no se dispone aún de la evidencia necesaria para estimar frecuencias.
Recalcando la idea central: el investigador no necesita probar que un escenario ocurre para tomarlo en cuenta. Le basta con que sea plausible y con que ignorarlo implique un riesgo de pérdida irreversible.
04Caso de estudio: apagar o no apagar
Situémonos en el dilema clásico. El equipo está encendido y el investigador debe decidir. Desarrollemos las hipótesis plausibles que conviven en ese instante, sin que ninguna esté demostrada.
Existe la posibilidad de una conexión remota activa, mediante la cual un tercero podría alterar o destruir información a distancia. Existe la posibilidad de un mecanismo de destrucción automática, configurado para borrar datos ante un apagado o una desconexión de red. El equipo podría tener BitLocker u otro cifrado de volumen activo, en cuyo caso las claves de descifrado podrían encontrarse únicamente en la memoria RAM (Ligh, Case, Levy y Walters, 2014). La memoria podría alojar malware sin archivo (fileless), que no deja rastro en disco y desaparece al perder energía.
De manera complementaria, existen reservorios parciales del estado. El archivo de paginación (pagefile) puede conservar fragmentos de memoria. El archivo de hibernación (hiberfil) podría contener una imagen parcial de la RAM. Y, por supuesto, cabe la hipótesis de que no exista ninguna amenaza activa y el equipo sea un simple testigo pasivo.
Debemos entender lo esencial de este cuadro: todas estas hipótesis son compatibles entre sí y ninguna está demostrada al momento de decidir. El investigador no elige entre certezas, sino que apuesta entre escenarios plausibles. Apagar protege frente a la destrucción remota, pero puede sacrificar de forma definitiva claves en memoria y un sistema cifrado. Mantener encendido preserva el estado, pero deja abierta la ventana a una alteración remota o automatizada.
En ese sentido, el caso no se resuelve con una regla, sino con un juicio informado sobre qué escenarios plausibles pesan más en este contexto específico y qué se pierde de forma irreversible en cada rama de la decisión.
05La paradoja de la evidencia digital
Llegamos a lo que consideramos uno de los aportes originales del artículo. La evidencia digital no es solamente información: es también contexto. Y ambos no se preservan de la misma manera.
Proponemos distinguir dos naturalezas. Por un lado, los datos persistentes, que residen en almacenamiento no volátil (archivos, registros, bases de datos) y sobreviven al apagado. Por otro, el estado computacional, que existe solo mientras el sistema funciona: memoria RAM, procesos en ejecución, conexiones de red establecidas, tokens de sesión, claves criptográficas cargadas y el conjunto de relaciones vivas entre todos ellos.
Una analogía ayuda a fijar la idea. Los datos persistentes son como una fotografía: capturan un instante y permanecen. El estado computacional es como una conversación en curso: existe mientras sucede, y al interrumpirla no se pierde solo lo dicho, sino el hilo, el tono y el sentido de lo que estaba ocurriendo. Podemos recuperar la fotografía después; la conversación, una vez cortada, no vuelve.
P3.El apagado preserva los datos persistentes pero destruye el estado computacional, de manera que la pérdida de contexto es, con frecuencia, mayor que la pérdida de información.
Notemos la consecuencia forense. Un disco cifrado apagado puede conservar intactos todos sus datos y, sin embargo, ser inútil como evidencia si la clave que residía en memoria se perdió al cortar la energía. La información sigue ahí; el contexto que la hacía accesible, no. Precisamente por ello, el orden de volatilidad establecido en la práctica de recolección (Brezinski y Killalea, 2002) prioriza capturar primero lo más efímero, y por ello mismo la norma ISO/IEC 27037:2012 sitúa la preservación como una actividad crítica desde el primer contacto con la evidencia.
Consecuentemente, la pregunta operativa no es únicamente "¿qué información perdemos al apagar?", sino "¿qué contexto, hoy accesible, volveremos irrecuperable?".
06Propuesta metodológica: el modelo PIRCA
Sobre las secciones anteriores construimos una herramienta de razonamiento. La denominamos modelo PIRCA, por sus cinco dimensiones: Plausibilidad, Impacto, Reversibilidad, Capacidades y Adecuación/Proporcionalidad. No se trata de un algoritmo que entregue una respuesta, sino de un marco que ordena las preguntas correctas antes de decidir.
¿Qué escenarios son técnicamente coherentes con lo que observo? Es el punto de partida, según lo desarrollado. Ejemplo: una sesión abierta y un disco cifrado hacen plausible que las claves estén en memoria.
¿Qué se pierde en cada alternativa, medido en valor probatorio? Aquí distinguimos entre pérdida de información y pérdida de contexto. Ejemplo: apagar puede tener alto impacto si inutiliza un volumen cifrado.
¿Qué decisiones admiten vuelta atrás y cuáles no? El apagado de un sistema cifrado sin la captura previa de la memoria es, típicamente, irreversible. Este criterio pesa de forma especial: ante la duda, se prefiere posponer lo irreversible.
¿Cuenta el equipo con el personal entrenado, el software adecuado y la autorización legal para ejecutar una adquisición en vivo? De nada sirve decidir capturar la RAM si no se dispone de la herramienta ni de la competencia para hacerlo sin contaminar la evidencia (ISO/IEC 27042:2015).
¿Es la medida adoptada justificable frente al caso, sus fines y el marco jurídico? Una adquisición intrusiva puede ser técnicamente posible pero desproporcionada respecto de la gravedad del hecho investigado.
Debemos entender que las cinco dimensiones no se aplican en secuencia rígida, sino que se sopesan en conjunto. La plausibilidad abre las hipótesis; el impacto y la reversibilidad las jerarquizan por lo que está en juego; las capacidades filtran lo ejecutable; y la adecuación somete todo al examen de justificación técnica y jurídica.
07Entrenar el razonamiento, no automatizar la decisión
Insistimos en un punto que consideramos decisivo. Un modelo como PIRCA corre el riesgo de degradarse en un protocolo rígido si se aplica de forma mecánica. Su valor no está en producir decisiones automáticas, sino en preparar el criterio de quien decide.
Un checklist no toma decisiones; prepara al investigador para reconocer escenarios plausibles y justificar técnicamente la decisión adoptada.
La distinción no es menor. La literatura de decisión naturalista muestra que los profesionales experimentados, bajo presión de tiempo, no comparan exhaustivamente todas las opciones, sino que reconocen patrones a partir de su experiencia y actúan sobre la primera alternativa razonable que identifican (Klein, 1998). Consecuentemente, el entrenamiento eficaz no consiste en entregar una lista de pasos, sino en exponer al equipo a suficientes escenarios como para que ese reconocimiento sea rápido, acertado y, sobre todo, documentable.
P4.La formación eficaz de equipos de respuesta debe orientarse a desarrollar el criterio para reconocer escenarios plausibles y documentar decisiones, no a memorizar protocolos.
Tomemos en cuenta la implicación práctica: el mismo checklist que en manos entrenadas es una ayuda de memoria, en manos no entrenadas se vuelve una coartada para no pensar. El instrumento no reemplaza el juicio; lo estructura.
08Propuesta de checklist para entrenamiento
Presentamos, en coherencia con lo anterior, un checklist de carácter educativo y no operativo. Su función es guiar la deliberación durante la formación, organizado por las dimensiones de PIRCA. No pretende dictar la acción, sino asegurar que ninguna pregunta relevante quede sin formular.
- ¿El equipo está encendido y responde?
- ¿Existe conectividad de red activa?
- ¿Hay usuarios autenticados con sesión abierta?
- ¿Se observan dispositivos externos conectados?
- ¿Existen indicios de cifrado de volumen?
- ¿Existen indicios de acceso remoto en curso?
- ¿Existen procesos automatizados o programados?
- ¿Existe sincronización con servicios en la nube?
- ¿Qué información y qué contexto se perderían al apagar?
- ¿Qué se pondría en riesgo al mantener el equipo en funcionamiento?
- ¿Cuáles de las decisiones en juego son irreversibles?
- ¿Es posible capturar el estado volátil antes de cualquier acción irreversible?
- ¿Se dispone de personal entrenado para una adquisición en vivo?
- ¿Se dispone del software forense adecuado?
- ¿Se cuenta con la autorización legal correspondiente?
- ¿La medida adoptada es justificable frente a la gravedad del caso y al marco jurídico?
El apagado de un sistema cifrado sin la captura previa del estado volátil es, típicamente, una decisión irreversible: la información puede permanecer intacta en disco y, aun así, quedar inaccesible al perderse la clave que residía en memoria.
09Discusión
El enfoque propuesto se sitúa en la intersección de varias disciplinas. De la informática forense toma el marco normativo de manejo de evidencia (ISO/IEC 27037:2012; ISO/IEC 27042:2015; NIST SP 800-86; Casey, 2011). De la gestión del riesgo hereda el vocabulario de impacto, probabilidad, reversibilidad y proporcionalidad, hoy sistematizado en marcos como ISO 31000:2018. De la teoría de decisiones, y en particular de la decisión naturalista (Klein, 1998), recoge la idea de que el criterio experto opera por reconocimiento de patrones y no por cálculo exhaustivo.
Ahora bien, conviene introducir un matiz que le da personalidad al planteamiento. La plausibilidad, tal como la usamos, no evalúa únicamente escenarios técnicos; evalúa también escenarios adversariales. La pregunta no se agota en "¿qué puede ocurrir?", sino que avanza hacia "¿qué haría un adversario racional en este contexto?".
La diferencia es significativa. Un análisis puramente técnico se pregunta por fallos y estados posibles del sistema. Un análisis adversarial asume que, del otro lado, puede existir una voluntad que anticipa la intervención del investigador y prepara el terreno en su contra: mecanismos de borrado ante desconexión, señuelos, o dependencia deliberada de claves en memoria para que el apagado destruya la evidencia. En ese sentido, la escena digital encendida no es solo un sistema parcialmente observable, sino, potencialmente, un sistema diseñado para engañar a quien la observa.
De igual manera, este encuadre conecta con una línea más amplia de innovación adversarial, en la que la anticipación del comportamiento del oponente es tan importante como el dominio de la técnica. Consecuentemente, formar equipos de respuesta implica entrenarlos no solo en herramientas, sino en la sospecha metódica de que la escena pudo ser preparada.
10Conclusiones
La preservación inicial de evidencia digital no debe entenderse como la aplicación automática de procedimientos, sino como un proceso de razonamiento estructurado bajo incertidumbre. La plausibilidad permite construir hipótesis iniciales cuando aún no hay certeza; la proporcionalidad, el impacto, la reversibilidad y las capacidades operativas permiten transformar esas hipótesis en decisiones justificables técnica y jurídicamente.
El modelo PIRCA se ofrece en esa clave, como un ordenador de preguntas y no como un dictador de respuestas. Su utilidad depende de que se lo emplee para entrenar criterio, no para sustituirlo.
En consecuencia, el objetivo principal de la formación de equipos de respuesta no debería limitarse a enseñar protocolos, sino a desarrollar la capacidad de razonar y documentar decisiones en escenarios dinámicos y adversariales. Esperamos que, en el corto plazo, la incorporación de este tipo de razonamiento en los programas de capacitación fortalezca tanto la calidad técnica de las intervenciones como su defensa posterior ante estrados, donde una decisión bien documentada vale tanto como una decisión bien tomada.
Orientar la formación de equipos de respuesta al desarrollo del criterio y a la documentación justificada de decisiones, por encima de la memorización de protocolos. El modelo PIRCA y su checklist deben usarse como material de entrenamiento del razonamiento, no como una lista operativa de aplicación automática.
—Referencias
Brezinski, D., y Killalea, T. (2002). Guidelines for evidence collection and archiving (RFC 3227). Internet Engineering Task Force.
Casey, E. (2011). Digital evidence and computer crime: Forensic science, computers and the Internet (3.ª ed.). Academic Press.
Daubert v. Merrell Dow Pharmaceuticals, Inc., 509 U.S. 579 (1993).
International Organization for Standardization. (2012). Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence (ISO/IEC 27037:2012).
International Organization for Standardization. (2015). Information technology — Security techniques — Guidelines for the analysis and interpretation of digital evidence (ISO/IEC 27042:2015).
International Organization for Standardization. (2015). Information technology — Security techniques — Incident investigation principles and processes (ISO/IEC 27043:2015).
International Organization for Standardization. (2018). Risk management — Guidelines (ISO 31000:2018).
Kent, K., Chevalier, S., Grance, T., y Dang, H. (2006). Guide to integrating forensic techniques into incident response (NIST SP 800-86). National Institute of Standards and Technology.
Klein, G. A. (1998). Sources of power: How people make decisions. MIT Press.
Klein, G., Jalaeian, M., Hoffman, R. R., y Mueller, S. T. (2023). The plausibility transition model for sensemaking. Frontiers in Psychology, 14, 1160132.
Ligh, M. H., Case, A., Levy, J., y Walters, A. (2014). The art of memory forensics: Detecting malware and threats in Windows, Linux, and Mac memory. Wiley.
