Custodio de evidencias digitales en 21 días

La media tarde es una hora peligrosa para la investigación de incidentes porque muchas evidencias digitales ya existen, pero todavía no están protegidas. Cámaras, controles de acceso, registros de sensores, fotografías, mensajes operativos y órdenes de trabajo pueden desaparecer por sobrescritura, limpieza automática o edición informal antes de que alguien los trate como evidencia.

El custodio de evidencias digitales no reemplaza al investigador ni al líder de SST. Su valor está en cerrar la brecha entre el evento y la memoria técnica del sistema, dado que ISO 45001 exige investigar incidentes y tomar acciones para controlar la no conformidad, mientras normas como la Resolución 0312 de 2019 en Colombia, la NOM-030-STPS-2009 en México y la Ley 29783 de Perú presionan a que la gestión de SST deje rastros verificables. La tesis es directa: en 21 días, este rol debe convertir archivos dispersos en una cadena de evidencia defendible.

Qué debe entender el custodio antes de empezar

El primer error es creer que la evidencia digital es solo video. En una operación industrial, el video suele mostrar el desenlace, aunque las señales anteriores viven en otros sistemas, como el permiso de trabajo, la orden de mantenimiento, el registro de bloqueo, el cambio de turno, la alarma del proceso o la conversación del supervisor que autorizó una desviación temporal.

ISO 45001:2018 no pide una colección perfecta de archivos, sino un proceso capaz de aprender de incidentes, no conformidades y acciones correctivas. Esa diferencia importa porque un archivo sin contexto puede distraer más de lo que ayuda. Una captura de pantalla de una cámara, por ejemplo, pierde fuerza si no se sabe quién la extrajo, a qué hora, desde qué sistema y con qué criterio de conservación.

Andreza Araújo, en *Sorte ou Capacidade*, sostiene que el accidente rara vez se explica por azar aislado. Cuando se aplica esa idea a evidencias digitales, la tarea del custodio deja de ser administrativa y pasa a ser analítica, ya que debe proteger información que permita reconstruir condiciones latentes, decisiones previas y barreras degradadas.

Antes de tocar archivos, el custodio necesita acordar 4 límites con el líder de investigación: qué sistemas entran en alcance, quién autoriza extracción, cuál es el plazo de retención y qué versión será considerada copia maestra. Si esos límites no se fijan en la primera conversación, la evidencia queda expuesta a discusiones posteriores sobre autenticidad.

Primera semana para congelar lo que se puede perder

Durante los primeros 7 días, la prioridad no es interpretar, sino preservar. Un custodio nuevo debe levantar una lista de fuentes digitales por criticidad, empezando por las que se sobrescriben con mayor velocidad. En muchas plantas, los sistemas de video conservan material por 7, 15 o 30 días, mientras registros de acceso y bitácoras de mantenimiento pueden quedar disponibles por más tiempo. Ese mapa de caducidad define la urgencia real.

La preservación debe conectarse con la escena física. Si el equipo de investigación aún no domina ese paso, conviene revisar el enfoque de preservación de evidencias en la primera hora, porque la evidencia digital solo explica una parte del evento cuando se separa de fotografías, entrevistas y condiciones del lugar.

El custodio debe crear una matriz simple con 5 columnas: fuente, responsable del sistema, plazo de retención, formato exportable y riesgo de alteración. Esta matriz evita que la media tarde se desperdicie buscando quién tiene la contraseña del circuito cerrado o quién puede descargar el registro del PLC.

La trampa frecuente aparece cuando alguien envía el video por mensajería interna y el equipo lo trata como evidencia oficial. Ese archivo puede servir para orientación inicial, aunque no debería reemplazar la extracción original desde el sistema, con fecha, hora, usuario y ruta de almacenamiento registradas.

Días 8 a 21 para crear cadena de custodia

Entre los días 8 y 21, el custodio debe pasar de rescatar archivos a gobernarlos. La cadena de custodia digital necesita responder 6 preguntas sin ambigüedad: qué se extrajo, de dónde salió, quién lo extrajo, cuándo lo hizo, dónde quedó almacenado y quién accedió después. Si una sola respuesta depende de memoria verbal, el sistema todavía no está maduro.

En proyectos apoyados por Andreza Araújo en más de 250 empresas, una dificultad se repite con distintos nombres: la organización confunde velocidad de cierre con calidad de aprendizaje. Esa prisa empuja a capturar una imagen llamativa, cerrar una causa inmediata y avanzar hacia una acción correctiva débil, aun cuando la evidencia completa todavía no fue leída.

La cadena de custodia también protege al trabajador. James Reason mostró que los accidentes organizacionales nacen de fallas latentes y defensas degradadas, cuya reconstrucción exige más que señalar la última acción visible. Cuando el custodio preserva evidencias de contexto, reduce el riesgo de que la investigación derive hacia una explicación centrada solo en el operador.

Para ordenar la secuencia, el artículo sobre línea de tiempo del incidente es un complemento natural, porque ayuda a ubicar cada registro digital en una cronología común. Sin esa línea, el equipo puede mirar archivos correctos en el orden equivocado.

Mes 2 para separar evidencia de ruido

En el segundo mes, el custodio ya debería tener un repositorio estable, pero todavía puede fallar en la lectura. No todo archivo disponible merece entrar al análisis, dado que una investigación saturada de datos termina defendiendo hipótesis por volumen y no por relevancia. El criterio técnico debe ser trazable al evento, a una barrera, a una decisión o a una condición previa.

Una buena práctica consiste en clasificar la evidencia en 4 grupos: secuencia del evento, condición del equipo, comportamiento del sistema de gestión y decisiones de supervisión. Esta clasificación conversa mejor con ISO 45001 y con los estándares mínimos del SG-SST que una carpeta genérica llamada fotos y videos.

La NOM-030-STPS-2009 pide funciones preventivas y mecanismos de respuesta ante riesgos graves, mientras la Ley 29783 de Perú refuerza la prevención y participación. Aunque cada país tenga su propio lenguaje, el punto práctico converge en la misma exigencia: la organización debe demostrar que aprendió algo verificable y que no escondió el riesgo detrás de un archivo bonito.

Cuando haya hipótesis en competencia, el custodio debe ayudar a probarlas, no a decorarlas. El método descrito en validación de hipótesis de incidente evita que el video más dramático capture toda la atención y bloquee evidencias menos visibles, pero más decisivas.

Mes 3 para conectar evidencia con acciones correctivas

En el tercer mes, la pregunta cambia. El custodio ya no debe limitarse a conservar archivos, porque su trabajo empieza a influir en la calidad de las acciones correctivas. Una evidencia digital bien ordenada puede mostrar que la acción propuesta no ataca el punto donde la barrera falló, sino el punto donde el evento se hizo visible.

Este es el momento de comparar cada acción correctiva con el rastro que la justifica. Si una acción promete capacitar, el expediente debe mostrar que la brecha fue de conocimiento y no de autorización, presión de producción, diseño del puesto o mantenimiento pendiente. Si promete cambiar un procedimiento, la evidencia debe mostrar que el procedimiento vigente era insuficiente o impracticable.

Andreza Araújo advierte en *A Ilusão da Conformidade*, título portugués que puede leerse como la ilusión de la conformidad, que cumplir documentos no equivale a transformar cultura. En una investigación, esa advertencia se vuelve muy concreta cuando el expediente parece completo, aunque la decisión correctiva solo agrega otro control documental a un sistema que ya no estaba siendo usado.

El custodio debería trabajar cerca del responsable de verificación de eficacia de acciones correctivas, porque la evidencia inicial suele definir qué indicador será capaz de comprobar si el riesgo bajó de verdad. Una acción sin evidencia base termina midiendo actividad, no reducción de exposición.

Mes 4 en adelante para convertir el rol en rutina

A partir del cuarto mes, el rol debe dejar de depender de heroísmo individual. La organización necesita una rutina de custodia que funcione en turno nocturno, fin de semana, contratistas y operaciones remotas. Si solo una persona sabe extraer datos de cámaras o sistemas críticos, la investigación sigue siendo frágil.

El custodio puede construir una tabla de retención mínima para 8 fuentes habituales: CCTV, control de acceso, permisos de trabajo, sensores de proceso, LOTO, mantenimiento, comunicaciones operativas y reportes iniciales. Esa tabla no reemplaza la política de privacidad ni las leyes locales, pero obliga a la empresa a decidir antes del incidente cuánto tiempo necesita conservar información crítica para aprender.

Chile, a través de SUSESO y su marco preventivo, Argentina con la SRT y la Ley 19.587, Colombia con el SG-SST, México con sus NOM-STPS y Perú con la Ley 29783 comparten una expectativa práctica: el sistema de seguridad debe producir evidencia de gestión. La custodia digital ayuda a cumplir esa expectativa cuando se integra al proceso de investigación, no cuando aparece como reacción improvisada.

La rutina mensual debe incluir una prueba de recuperación. El custodio selecciona 1 incidente cerrado, busca 3 evidencias digitales clave y verifica si cualquier investigador autorizado puede encontrarlas en menos de 20 minutos. Si no puede, el problema no es tecnológico, sino de gobernanza.

Errores comunes que dañan la evidencia

El primer error es guardar todo sin criterio. La acumulación desordenada crea una ilusión de control y aumenta el riesgo de que el equipo pierda el archivo que realmente explica la degradación de una barrera. La evidencia útil no es la más abundante, sino la que conversa con la hipótesis y con la decisión correctiva.

El segundo error es permitir ediciones informales. Recortar videos, renombrar archivos sin estándar o mezclar copias originales con versiones anotadas vuelve vulnerable el expediente. El custodio debe separar copia maestra, copia de trabajo y material de presentación, ya que cada una cumple una función distinta.

El tercer error es cerrar la investigación antes de contrastar evidencia digital con testimonios. Las entrevistas pueden revelar presión, ambigüedad de instrucción o normalización de desvíos que el video nunca muestra. Por eso conviene conectar la custodia digital con el método de entrevista de testigos sin contaminar el relato.

El cuarto error es usar la evidencia para buscar culpables rápidos. James Reason ayuda a evitar ese atajo al separar actos activos de condiciones latentes. La evidencia digital debe ampliar el aprendizaje, no reducirlo a una imagen congelada de la última persona que tocó el equipo.

Recursos para profundizar el rol

El custodio que quiera crecer debe estudiar investigación, cultura y liderazgo operativo al mismo tiempo. *Safety Culture: From Theory to Practice* ofrece la base cultural para entender por qué una organización tolera ciertas desviaciones, mientras *Make The Difference: Be a Leader in Health & Safety* ayuda a traducir hallazgos técnicos en decisiones de liderazgo.

Para equipos que necesitan fortalecer este rol, la Escola da Segurança by Andreza Araújo puede ser un punto de partida, especialmente cuando la empresa quiere que supervisores, técnicos de SST y líderes de investigación hablen un mismo lenguaje. La capacitación funciona mejor cuando se conecta con expedientes reales, no con casos genéricos de aula.

El resultado esperado después de 21 días no es una investigación perfecta. Es una base mínima que permita decir, con evidencia verificable, qué se preservó, qué se perdió, qué se aprendió y qué decisión todavía necesita soporte. Cuando la media tarde llega y el equipo ya sabe dónde está cada registro crítico, la investigación gana tiempo sin sacrificar rigor.