9-HASH para la cadena de custodia

¿Qué es una Función Hash en este contexto?

Imagina una máquina mágica que funciona así:

  • Le metes cualquier archivo (una foto, un video, un documento, un correo).

  • La máquina procesa ese archivo y escupe una cadena de texto única y fija, por ejemplo: a3f8d9c1b5e7...

  • Esta cadena se llama "Hash", "digest" o "huella digital".

Características CRUCIALES del Hash:

  1. Único: Dos archivos diferentes (aunque sea por un solo pixel o una coma) producirán Hashes completamente distintos.

  2. Determinista: El mismo archivo, procesado con la misma función (ej: SHA-256), siempre producirá el mismo Hash.

  3. Irreversible: Con solo el Hash, es imposible recrear o adivinar el archivo original.

  4. Sensible al más mínimo cambio: Si alteras el archivo original aunque sea un bit, el Hash cambiará de forma radical e impredecible.

Funciones Hash comunes: MD5, SHA-1, SHA-256 (este último es el estándar más seguro hoy en día).

2. La Cadena de Custodia (Recordatorio)

Es el registro cronológico de todas las personas que han tenido posesión de una evidencia digital (un disco duro, un teléfono, un archivo), desde su recolección hasta su presentación en un juicio. Su objetivo es demostrar que la evidencia no ha sido alterada.

3. ¿Cómo se Integra el HASH en la Cadena de Custodia?

El Hash es la pieza tecnológica fundamental que hace que la cadena de custodia sea fiable. Aquí te explico el proceso:

Fase 1: Recolección y Creación de la "Línea Base"

  1. Recolección: Un perito recoge la evidencia (ej: un disco duro).

  2. Creación de una Imagen Forense: Hace una copia bit-a-bit exacta del disco. NO se trabaja con el original.

  3. Cálculo del Hash Inicial: Se le aplica una función Hash (ej: SHA-256) a la imagen forense recién creada.

  4. Registro: Este Hash inicial se anota en el formulario de cadena de custodia. Este es el "Hash de Referencia" o "huella digital original".

Ejemplo: Hash de la imagen "DiscoDuro_Evidencia_A.img" = a3f8d9c1b5e7...

Fase 2: Transferencias y Análisis

  1. Cada vez que la evidencia cambia de manos (del perito A al perito B, o se envía a un laboratorio), se registra en el formulario.

  2. Antes de iniciar cualquier análisis, el nuevo custodio (Perito B) calcula de nuevo el Hash de la imagen forense.

  3. Verificación: Compara el Hash que acaba de calcular con el Hash de Referencia anotado en la cadena de custodia.

¿Qué pasa aquí?

  • Si los Hashes son IDÉNTICOS: ✅ La evidencia no ha sido alterada desde su recolección. La integridad está probada.

  • Si los Hashes son DIFERENTES: ❌ La evidencia ha sido modificada, corrompida o manipulada. Su valor probatorio queda en entredicho.

Fase 3: Presentación en el Juicio

Cuando se presenta la evidencia en la corte, el fiscal o abogado puede:

  1. Mostrar la cadena de custodia con el Hash de Referencia.

  2. Calcular el Hash de la imagen forense que se va a presentar en ese mismo momento.

  3. Demostrar ante el juez que ambos Hashes son idénticos.

Esto prueba de manera irrefutable que la evidencia que se está mostrando es exactamente la misma que se recogió al principio, y que no ha sido manipulada durante todo el proceso.

Analogía Sencilla

Piensa en la evidencia como una carta sellada dentro de un sobre transparente.

  • El Hash es un sello de cera único e imposible de falsificar en el exterior del sobre.

  • Cada persona que recibe la carta puede ver el sello (calcular el Hash).

  • Si el sello está intacto (el Hash coincide), saben que nadie ha leído o alterado la carta.

  • Si el sello está roto (el Hash no coincide), saben que la evidencia ha sido comprometida.

Resumen de los Beneficios del HASH

  • Integridad: Garantiza que la evidencia no ha cambiado.

  • Autenticidad: Vincula la evidencia con su origen.

  • No Repudio: Nadie puede argumentar que la evidencia fue alterada mientras estaba bajo su custodia, si el Hash verifica correctamente.

  • Automatización: El proceso de verificación es rápido y puede ser automatizado con software forense.

En resumen, el Hash es el guardián digital que convierte a la cadena de custodia de un simple papelito firmado en un sistema robusto y tecnológicamente probado para la admisibilidad de evidencias digitales en un juicio

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más