Arquitectura de soberanía digital: BOA3 aplicada al monitoreo forense autónomo (Guardián Nivel 1)

Serie: Seguridad SPCiencia 2026 — evidencia empírica Guardián Nivel 1
Investigación: Severo Peguero (investigador principal, SPCiencia)
Orquestación técnica: Cursor (IA)
Validación conceptual: sesión colaborativa con Gemini (IA)
Fecha: 13 de junio de 2026
Estado: ✅ PAPER CIENTÍFICO — PUBLICADO WEB [EDITORIAL]
Manuscrito laboratorio: docs/papers_cientificos/PAPER_ARQUITECTURA_SOBERANIA_DIGITAL_BOA3_GUARDIAN_FORENSE_2026-06-13.md
Certificación: docs/implementacion_seguridad/evidencia/custodia/MANIFIESTO_GUARDIAN_PAPER_BOA3_2026-06-13.json Etiquetas: [PAPER][EVIDENCIA][BOA3][GUARDIAN][SOBERANIA][FIM][SPCIENCIA]

Gloria a Dios

"El simple cree toda palabra; mas el avisado mira bien sus pasos." (Proverbios 14:15)

Resumen ejecutivo

Este documento presenta la primera evidencia empírica reproducible del Guardián Nivel 1 — un sistema de detección y monitoreo forense de archivos desplegado en staging M3 (macOS) — y articula su marco teórico bajo la Base Orientadora de la Acción (BOA3) de la línea pedagógica Talizina–Peguero.

A diferencia de un antivirus basado en firmas de malware conocido, el Guardián opera bajo confianza cero sobre el estado de los datos: registra cada cambio en rutas sensibles con timestamp, ruta, hash SHA-256, tipo de evento y contexto de usuario, en un manifiesto append-only verificable. Entre el 12 y el 13 de junio de 2026 se completó la Validación de Capacidad Técnica (VCT) en ventana de 24 horas (actas Vol. 5–7): persistencia del proceso ante sleep, integridad del Testigo, detección de modificaciones con cambio de hash, y calibración de tres zonas (Desktop, Documents, Downloads).

Se propone una transición híbrida (Fase 1.5): mientras continúa la Calibración de Inteligencia de siete días para distinguir ruido estructural de señal humana, el sistema incorporará leyes de gobernanza declaradas en YAML — la BOA3 del agente — primero en modo shadow (alerta auditable sin bloqueo), antes de activar intervención en Fase 2. La investigación combina implementación e investigación simultánea: cada hallazgo queda sellado en actas numeradas, habilitando reproducibilidad y soberanía digital del investigador principal.

1. Marco metodológico

1.1 BOA3 como arquitectura, no como metáfora

En la psicología de la actividad, la BOA es el esquema que orienta la acción correcta de un sujeto. Trasladado a sistemas autónomos de seguridad, la BOA3 del Guardián no reside en pesos opacos de un modelo, sino en artefactos legibles:

Artefacto	Función BOA
`guardian_rules.yaml`	Qué observar (rutas, fase, baseline)
`REGLAS_GOBERNANZA.yaml`	Qué evaluar y cómo responder (leyes)
Actas Vol. 1–N	Memoria decisional y evidencia reproducible
Manifiesto JSONL	Verdad operativa verificable (Testigo)

Esta caja blanca cumple el requisito epistemológico de la serie modular SPCiencia: la gobernanza es auditable; no hay reglas ocultas.

1.2 Dos tiempos de aprendizaje

Durante el despliegue emergieron dos expectativas temporales que este trabajo separa formalmente:

Validación de Capacidad Técnica (~24 h) responde: ¿el sistema vive, registra, biopsia con hash, reanuda tras stop y sobrevive al ciclo de energía del equipo? La respuesta, documentada en siete volúmenes de archivo histórico, es afirmativa.

Calibración de Inteligencia (días 2–7 del baseline) responde: ¿qué es normal en el entorno del investigador? Sin esta fase, activar bloqueos generaría falsos positivos — por ejemplo, el 85 % del ruido detectado en Desktop proviene de entornos virtuales Python y carpetas de backup dentro del propio escritorio, actividad legítima pero estadísticamente intensa.

1.3 Diseño experimental

Variable	Valor
Host staging	Mac M3, macOS 14.1, arm64
Guardian home	`~/spciencia/guardian/`
Rutas sensibles	Documents, Desktop, Downloads
Fase	1 — observación; contención desactivada
Baseline	7 días, modo aprendizaje
Evidencia	Manifiesto append-only + SHA sidecar

El Sensor (watchdog/FSEvents) detecta cambios; el Testigo persiste eventos con integridad criptográfica. No se confunde el sello SHA operativo del manifiesto con la certificación de vídeo del laboratorio Hunyuan — vías separadas por diseño.

2. Observación y caso empírico

2.1 Despliegue y blindaje (Vol. 1–4)

La instalación en M3 siguió protocolo de No Interferencia: dry-run de 60 minutos, auditoría biopsia con cinco parámetros del Acta de Salud (timestamp, filepath, hash, evento, user_context), y Kill Switch operativo. Un post-reboot inicial reveló muerte del PID por permisos TCC; la concesión de Acceso completo al disco a Python.app y un ciclo ordenado stop/resume estabilizaron el proceso (PID 8379).

2.2 Validación forense (Vol. 5–6)

Se demostró que el Guardián no solo detecta existencia de archivos sino identidad digital: al modificar PRUEBA_ESCRITORIO.txt, el manifiesto registró sensor_modified con hash distinto al baseline (7896afae… → 708ebd89…), coherente con SHA-256 en disco.

2.3 Primera noche y reporte 24 h (Vol. 7)

En ~22,8 horas el manifiesto acumuló 2.450 entradas. El proceso sobrevivió al sleep del Mac sin guardian_stop espurio — evidencia de resiliencia ante el ciclo de energía dominante en uso real (frente al reboot completo, reservado para validación de LaunchAgent cuando el IP lo decida).

El análisis de lagunas temporales identificó pausas de 5,1 h y 10,4 h interpretadas como inactividad nocturna, no corrupción del Testigo. La clasificación heurística reveló que el 85,2 % de eventos sensor en Desktop corresponden a site-packages dentro de backups en el escritorio — ruido estructural, no intrusión.

2.4 Calibración de rutas (Vol. 7b)

Pruebas PRUEBA_DOCUMENTS.txt y PRUEBA_DOWNLOADS.txt confirmaron paridad forense en las tres rutas acordadas.

3. Análisis

3.1 De sensor a agente: la escalera de gobernanza

La Fase 1 demuestra observabilidad de integridad (principios FIM — File Integrity Monitoring). La contribución teórica de este trabajo es mostrar cómo pasar a gobernanza autorregulada sin romper la estabilidad ganada:

Nivel	Modo	Descripción
0	Registro	Solo manifiesto — Fase 1 actual
1	Shadow	Alertas `[ALERTA]` audibles en logs separados; sin bloqueo — Fase 1.5
2	Intervención	Cuarentena, evidencia segura — Fase 2
3	Contención	Bloqueo activo; Kill Switch siempre disponible

Las tres primeras leyes BOA3 propuestas ilustran la progresión:

Zona Sagrada — proteger evidencia/ del propio Guardián (inmutabilidad de la cadena de custodia).
Horario operativo — marcar actividad en horas atípicas (complemento al análisis de gaps).
Perímetro Downloads — hash inmediato y etiqueta PENDIENTE_REVISION para ejecutables entrantes.

Estas leyes son skills declarativas: el investigador principal las escribe, las revisa y las versiona — internalización externa de la regla, en vocabulario galperiano.

3.2 Soberanía digital y reproducibilidad

El proyecto DSVC (Dynamic Truth Systems) exige que la verdad operativa sea conservada y verificable. El Guardián materializa este postulado en capa de host: el IP no confía ciegamente en el SO; mantiene un Testigo independiente que rinde cuentas bit a bit. La línea VCA-I abordó la verdad conservada en agentes conversacionales; aquí la conservamos en archivos del host.

La reproducibilidad científica no depende de una demo en vídeo sino de una secuencia de actas (Vol. 1 → 7) que cualquier replicador puede seguir en hardware equivalente — incluyendo permisos TCC documentados.

3.3 Investigación e implementación simultáneas

Lo que el IP denomina «investigación fabulosa» es, metodológicamente, auto-observación del sistema en construcción: la herramienta genera los datos que validan la teoría que la guía. Cierra un bucle compatible con la TGSP (Teoría General de Sistemas-Peguero): bidireccionalidad entre observación y acción sobre el entorno.

4. Límites

Staging M3, no i7: la evidencia no sustituye la réplica en banco de prueba i7 exigida por el checklist comercial.
Autostart formal pendiente: LaunchAgent registrado; validación post-reboot (Vol. 8) pospuesta por decisión IP — no invalida VCT, pero no cierra el criterio B5 del checklist.
Gobernanza en diseño: REGLAS_GOBERNANZA.yaml y governance_engine no están en código caliente aún — este paper describe el marco y la evidencia Fase 1, no la Fase 1.5 implementada.
Ruido no filtrado en runtime: la clasificación noise: true es heurística documental; el Sensor sigue registrando todo — coherente con integridad, exigente para dashboards futuros.
Generalización: un Mac de desarrollo con backups en Desktop no representa todos los perfiles de usuario; la calibración de siete días mitiga pero no elimina esta limitación.

5. Conclusiones

El Guardián Nivel 1 Fase 1 cumple la Validación de Capacidad Técnica: monitoreo forense con hash, Testigo íntegro y resiliencia ante sleep — evidenciado en actas Vol. 5–7.
La distinción 24 h (VCT) vs 7 días (CI) resuelve una ambigüedad metodológica sin contradecir decisiones previas del IP.
La BOA3 declarada en YAML es el puente pedagógico-tecnológico hacia un Guardián inteligente: leyes legibles, modo shadow primero, intervención después.
La transición híbrida Fase 1.5 permite avanzar en inteligencia (filtro de ruido, alertas) sin sacrificar la prudencia del baseline.
Este trabajo constituye el Modelo de Seguridad Peguero en su primera evidencia empírica publicable: implementación, teoría BOA3 y cadena de custodia convergen en un mismo hilo investigativo.

Anexo — Volúmenes de evidencia citados

Vol	Fecha	Contenido clave
5	2026-06-12	Funcionamiento PASS — 5 parámetros
6	2026-06-12	Hash delta PASS
7	2026-06-13	Reporte 24 h — 2.450 entradas, gaps, ruido
7b	2026-06-13	CAL Documents + Downloads PASS

Palabras clave: soberanía digital, BOA3, Guardián, FIM, manifiesto append-only, gobernanza híbrida, Calibración de Inteligencia

Certificación CAM (SHA-256)

Algoritmo: SHA-256 UTF-8 del cuerpo del documento (desde título hasta conclusiones; excluye esta sección).

Versión	SHA-256
Manuscrito laboratorio	`13e441b0cd9a488d7c4a426dd6fd45a506e04c1f98d7586b7f7aa0175cc596a8`
Web ES (cuerpo)	`5e4a67444e5ca5c7211d955c8d2e0950969aba68550c5f02c0c1711e4642aab8`
Web EN (cuerpo)	`a96850ef829abc4afa2d024113848b9ea3c3e3f9ce4cad1e22741c61280ad48f`
Web RU (cuerpo)	`b3c4b8fc01abc970c75a939b2cc1fb450326721015159c33711bd26a31e366cf`

Manifiesto: docs/implementacion_seguridad/evidencia/custodia/MANIFIESTO_GUARDIAN_PAPER_BOA3_2026-06-13.json

Verificación: comparar hash del cuerpo (sin esta sección) con la tabla.

Artifact	BOA function
`guardian_rules.yaml`	What to observe (paths, phase, baseline)
`REGLAS_GOBERNANZA.yaml`	What to evaluate and how to respond (laws)
Acts Vol. 1–N	Decisional memory and reproducible evidence
JSONL manifest	Verifiable operational truth (Witness)

Variable	Value
Staging host	Mac M3, macOS 14.1, arm64
Guardian home	`~/spciencia/guardian/`
Sensitive paths	Documents, Desktop, Downloads
Phase	1 — observation; containment disabled
Baseline	7 days, learning mode
Evidence	Append-only manifest + SHA sidecar

Level	Mode	Description
0	Recording	Manifest only — current Phase 1
1	Shadow	`[ALERT]` flags in separate logs; no blocking — Phase 1.5
2	Intervention	Quarantine, secure evidence — Phase 2
3	Containment	Active blocking; Kill Switch always available

Артефакт	Функция BOA
`guardian_rules.yaml`	Что наблюдать (пути, фаза, baseline)
`REGLAS_GOBERNANZA.yaml`	Что оценивать и как реагировать (законы)
Акты Vol. 1–N	Решенческая память и воспроизводимые доказательства
JSONL-манифест	Верифицируемая операционная истина (Свидетель)

Переменная	Значение
Staging-хост	Mac M3, macOS 14.1, arm64
Guardian home	`~/spciencia/guardian/`
Чувствительные пути	Documents, Desktop, Downloads
Фаза	1 — наблюдение; сдерживание отключено
Baseline	7 дней, режим обучения
Доказательства	Append-only манифест + SHA sidecar

Vol	Date	Key content
5	2026-06-12	Operation PASS — 5 parameters
6	2026-06-12	Hash delta PASS
7	2026-06-13	24 h report — 2,450 entries, gaps, noise
7b	2026-06-13	CAL Documents + Downloads PASS

Version	SHA-256
Laboratory manuscript	`13e441b0cd9a488d7c4a426dd6fd45a506e04c1f98d7586b7f7aa0175cc596a8`
Web ES (body)	`5e4a67444e5ca5c7211d955c8d2e0950969aba68550c5f02c0c1711e4642aab8`
Web EN (body)	`a96850ef829abc4afa2d024113848b9ea3c3e3f9ce4cad1e22741c61280ad48f`
Web RU (body)	`b3c4b8fc01abc970c75a939b2cc1fb450326721015159c33711bd26a31e366cf`

Уровень	Режим	Описание
0	Регистрация	Только манифест — текущая Фаза 1
1	Shadow	Флаги `[ALERT]` в отдельных логах; без блокировки — Фаза 1.5
2	Вмешательство	Карантин, защищённые доказательства — Фаза 2
3	Сдерживание	Активная блокировка; Kill Switch всегда доступен

Vol	Дата	Ключевое содержание
5	2026-06-12	Работа PASS — 5 параметров
6	2026-06-12	Hash delta PASS
7	2026-06-13	Отчёт 24 ч — 2 450 записей, gaps, шум
7b	2026-06-13	CAL Documents + Downloads PASS

Версия	SHA-256
Лабораторный манускрипт	`13e441b0cd9a488d7c4a426dd6fd45a506e04c1f98d7586b7f7aa0175cc596a8`
Web ES (тело)	`5e4a67444e5ca5c7211d955c8d2e0950969aba68550c5f02c0c1711e4642aab8`
Web EN (тело)	`a96850ef829abc4afa2d024113848b9ea3c3e3f9ce4cad1e22741c61280ad48f`
Web RU (тело)	`b3c4b8fc01abc970c75a939b2cc1fb450326721015159c33711bd26a31e366cf`

Arquitectura de soberanía digital: BOA3 aplicada al monitoreo forense autónomo (Guardián Nivel 1)

Gloria a Dios

Resumen ejecutivo

1. Marco metodológico

1.1 BOA3 como arquitectura, no como metáfora

1.2 Dos tiempos de aprendizaje

1.3 Diseño experimental

2. Observación y caso empírico

2.1 Despliegue y blindaje (Vol. 1–4)

2.2 Validación forense (Vol. 5–6)

2.3 Primera noche y reporte 24 h (Vol. 7)

2.4 Calibración de rutas (Vol. 7b)

3. Análisis

3.1 De sensor a agente: la escalera de gobernanza

3.2 Soberanía digital y reproducibilidad

3.3 Investigación e implementación simultáneas

4. Límites

5. Conclusiones

Anexo — Volúmenes de evidencia citados

Certificación CAM (SHA-256)

Arquitectura de soberanía digital: BOA3 aplicada al monitoreo forense autónomo (Guardián Nivel 1)

Gloria a Dios

Resumen ejecutivo

1. Marco metodológico

1.1 BOA3 como arquitectura, no como metáfora

1.2 Dos tiempos de aprendizaje

1.3 Diseño experimental

2. Observación y caso empírico

2.1 Despliegue y blindaje (Vol. 1–4)

2.2 Validación forense (Vol. 5–6)

2.3 Primera noche y reporte 24 h (Vol. 7)

2.4 Calibración de rutas (Vol. 7b)

3. Análisis

3.1 De sensor a agente: la escalera de gobernanza

3.2 Soberanía digital y reproducibilidad

3.3 Investigación e implementación simultáneas

4. Límites

5. Conclusiones

Anexo — Volúmenes de evidencia citados

Certificación CAM (SHA-256)

Architecture of Digital Sovereignty: BOA3 Applied to Autonomous Forensic Monitoring (Guardian Level 1)

Glory to God

Executive Summary

1. Methodological Framework

1.1 BOA3 as architecture, not metaphor

1.2 Two learning times

1.3 Experimental design

2. Observation and Empirical Case

2.1 Deployment and hardening (Vol. 1–4)

2.2 Forensic validation (Vol. 5–6)

2.3 First night and 24 h report (Vol. 7)

2.4 Path calibration (Vol. 7b)

3. Analysis

3.1 From sensor to agent: the governance ladder

3.2 Digital sovereignty and reproducibility

3.3 Simultaneous research and implementation

4. Limitations

5. Conclusions

Appendix — Cited evidence volumes

CAM Certification (SHA-256)

Архитектура цифрового суверенитета: BOA3 в автономном форензическом мониторинге (Страж Уровень 1)

Слава Богу

Резюме

1. Методологическая рамка

1.1 BOA3 как архитектура, а не метафора

1.2 Два времени обучения

1.3 Экспериментальный дизайн

2. Наблюдение и эмпирический случай

2.1 Развёртывание и укрепление (Vol. 1–4)

2.2 Форензическая валидация (Vol. 5–6)

2.3 Первая ночь и отчёт 24 ч (Vol. 7)

2.4 Калибровка путей (Vol. 7b)

3. Анализ

3.1 От сенсора к агенту: лестница управления

3.2 Цифровой суверенитет и воспроизводимость

3.3 Одновременные исследование и реализация

4. Ограничения

5. Заключения

Приложение — Цитируемые тома доказательств

Сертификация CAM (SHA-256)