Cadena de Custodia y Hash

 

Duración estimada de lectura: 5-7 minutos.

Introducción

¡Hola! Bienvenido o bienvenida a la cuarta clase del curso "Aprendiendo Informática Forense en 10 Minutos al Día". En esta lección, profundizaremos en dos conceptos fundamentales que están directamente relacionados con la copia forense que vimos en la clase anterior: la Cadena de Custodia y el Hash.

Relación con la clase anterior: La copia forense que realizaste no sirve de nada en un contexto legal si no puedes demostrar su integridad y autenticidad. Ahí es donde entran en juego la cadena de custodia y el hash.

Parte 1: La Cadena de Custodia

¿Qué es y por qué es crucial?

La informática forense no existe en el vacío; se desarrolla dentro de un contexto judicial o criminalístico. La Cadena de Custodia es el procedimiento legal que documenta el recorrido de una evidencia digital desde que se encuentra hasta que se presenta en un juicio.

Su objetivo principal es otorgar Valor Probatorio a la evidencia. Esto significa que, cuando presentes tu evidencia digital (como una copia forense) en un caso, el juez y las partes involucradas puedan confiar en que:

  • No ha sido alterada.

  • Es auténtica.

  • Se ha manejado de forma segura y controlada.

Sin una cadena de custodia bien documentada, la evidencia puede ser considerada inadmisible en un tribunal.

¿Cómo se documenta?

La cadena de custodia se registra típicamente en un formulario. Aunque puede variar según el país o la institución, suele contener la siguiente información clave:

  • Código del documento y del caso.

  • Fecha.

  • Dispositivo de origen (teléfono, tablet, computadora).

  • Datos del dispositivo (marca, modelo, sistema operativo, capacidad).

  • Descripción de la evidencia (número de serie, tipo de medio).

  • Registro de responsables: Un listado de todas las personas que han tenido la evidencia bajo su custodia, con sus firmas y fechas. Esto asegura la trazabilidad total.

Conclusión clave: La cadena de custodia convierte una simple copia de datos en una prueba legalmente sólida.

Parte 2: El Hash - El Guardián de la Integridad

¿Qué es un Hash?

El Hash es el mecanismo técnico que permite demostrar que la evidencia no ha sido modificada durante todo el proceso de la cadena de custodia.

Es el resultado de un cálculo matemático (algoritmo) aplicado a un conjunto de datos (como tu archivo de copia forense). Este resultado es una cadena de caracteres alfanuméricos única, como una "huella digital" del archivo.

Características principales de un Hash:

  • Único: Cualquier cambio mínimo en el archivo original (un solo bit) genera un hash completamente diferente.

  • Determinista: El mismo archivo, procesado con el mismo algoritmo, siempre producirá el mismo hash.

  • Irreversible: No se puede recrear el archivo original a partir de su hash.

¿Cómo se usa en Informática Forense?

El proceso es simple y poderoso:

  1. Paso 1 (Creación): En el momento de crear la copia forense, se calcula su hash inicial (por ejemplo, usando el algoritmo MD5 o SHA-256).

  2. Paso 2 (Almacenamiento): Este hash se registra en la cadena de custodia.

  3. Paso 3 (Verificación): En cualquier momento (durante el análisis, antes del juicio), se vuelve a calcular el hash de la copia forense.

  4. Paso 4 (Comparación): Si el hash calculado coincide exactamente con el hash inicial registrado, se demuestra que la evidencia no ha sido alterada. Si hay la más mínima diferencia, la evidencia ha sido comprometida.

Demostración Práctica con QuickHash GUI

Para trabajar con hashes, usaremos un software gratuito y multiplataforma llamado QuickHash GUI.

  1. Descarga e Instalación:

    • Ve a la página oficial de QuickHash y descarga la versión para tu sistema operativo (Windows, Mac o Linux).

    • ¡Consejo de Seguridad! La propia página te proporciona el hash esperado del archivo de descarga. Si calculas el hash del archivo descargado y no coincide, ¡no lo instales! Podrías ser víctima de un ataque "Man-in-the-Middle".

  2. Uso del Programa:

    • Abre QuickHash GUI.

    • Selecciona la pestaña "File" (Archivo).

    • Haz clic en "Browse" (Examinar) y selecciona tu archivo de copia forense (generalmente con extensión .dd o .E01).

    • El programa calculará automáticamente varios hashes usando algoritmos como MD5, SHA-1, SHA-256, etc.

  3. Interpretación de Resultados:

    • Anota el hash (por ejemplo, el SHA-256) en tu formulario de cadena de custodia.

    • Cuando necesites verificar la evidencia, repite el proceso. Si los hashes son idénticos, tu evidencia es válida.

Analogía: El hash es como el sello de seguridad de un producto. Si al comprarlo el sello está roto, sabes que alguien más lo ha manipulado.

Conclusión y Resumen

En esta clase has aprendido que:

  1. La Cadena de Custodia es el procedimiento legal que documenta el manejo de la evidencia para darle valor en un juicio.

  2. El Hash es la herramienta técnica que garantiza la integridad de la evidencia, demostrando que no ha sido alterada desde su recolección.

  3. Ambas trabajan en conjunto: la cadena de custodia registra el "quién, cuándo y dónde", mientras que el hash prueba el "qué no ha cambiado".

¡Felicidades! Con estos conceptos, estás construyendo una base sólida en informática forense.

¿Te ha gustado? Si este tutorial te fue útil, no olvides suscribirte al canal para más contenido diario sobre tecnología, seguridad informática y desarrollo. ¡Deja un comentario diciendo "Llegué hasta aquí" para saber que estás siguiendo el curso y apoyar la creación de más clases!

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más