15. Firma hash en Windows


El tema de la firma digital es bastante sencillo, pero tiene sus particularidades. Muchos forenses llegan a utilizar firmas que son obsoletas, lo que puede invalidar un proceso judicial o una investigación. Estas firmas simplemente no se pueden utilizar, no son válidas.

Herramientas y algoritmos comunes

Existen herramientas para calcular firmas hash, una muy conocida es HashCalc, una herramienta gratuita que por defecto genera el hash SHA-1. Este es uno de los algoritmos existentes para calcular firmas, al igual que MD5. Sin embargo, como forenses, no podemos utilizar ni MD5 ni SHA-1. ¿Por qué? Porque son algoritmos que presentan colisiones.

¿Qué son las colisiones?

Significa que dos archivos totalmente distintos pueden tener la misma firma digital. Google fue una de las empresas que encontró esta vulnerabilidad, demostrando metodologías para lograr que dos archivos diferentes tengan la misma firma hash. Incluso existen páginas web donde puedes subir archivos y descargar dos archivos diferentes con la misma firma MD5 o SHA-1.

Por ejemplo, si descargas dos PDFs, uno azul y otro rojo, claramente son distintos, pero su firma hash será idéntica. Esto significa técnicamente que, según el hash, serían el mismo archivo, aunque visualmente sean diferentes.

Ejemplo práctico de modificación de archivos

Imaginemos que guardo una imagen en el escritorio y calculo su firma hash. Luego, utilizando una herramienta hexadecimal como HxD, modifico un solo byte en el archivo (por ejemplo, cambiando un 0 por un 1). Este cambio es imperceptible a simple vista, pero al recalcular la firma hash, esta cambia por completo.

Esto demuestra que el hash es una cadena de caracteres que identifica un archivo de manera única. Sin embargo, con SHA-1, aunque la probabilidad de colisión es remota, existe. Por lo tanto, no es válida en un proceso judicial.

Implicaciones en un juicio

Si en un juicio se presenta una evidencia firmada con SHA-1, surge una duda razonable: ¿cómo sabemos que la evidencia no fue modificada por alguna de las partes involucradas? Esta posibilidad invalida su uso en contextos legales.

¿Qué algoritmos debemos utilizar?

Para un caso judicial, debemos utilizar algoritmos que no presenten colisiones, como los de la familia SHA-2SHA-256 o SHA-512. Estos son considerados seguros y válidos. Incluso SHA-224 y SHA-384 son aceptables, pero nunca MD5 ni SHA-1.

Al calcular la firma de un archivo con SHA-256, obtenemos un hash más largo, lo que aumenta la seguridad y reduce la probabilidad de colisión.

Aplicación en copias forenses

Si realizas una copia forense de un disco duro y calculas su hash, todos los archivos dentro de esa copia quedan firmados digitalmente. No es necesario firmar cada archivo por separado, a menos que sea específicamente requerido.

Herramientas recomendadas

Además de herramientas gratuitas como HashCalc, existen opciones comerciales como OS Forenses, que también permiten calcular hashes. Sin embargo, el proceso es el mismo: se trata de aplicar un algoritmo de hash. No es necesario invertir en herramientas costosas si una gratuita cumple con el objetivo.

Recomendaciones finales

  • SHA-256 es más que suficiente para la mayoría de los casos.

  • SHA-512 también es válido, pero el tiempo de cálculo es mayor debido al tamaño del hash.

  • La escritura del hash (mayúsculas o minúsculas) no afecta su validez, ya que los valores hexadecimales son los mismos.

En resumen, como forenses, debemos utilizar algoritmos seguros y actualizados para garantizar la integridad de las evidencias en un proceso legal.

Espero que este post sea de utilidad. Si necesitas ajustes adicionales, no dudes en avisarme.

Comentarios

Publicar un comentario

Entradas más populares de este blog

7. Procesos de la Informática Forense

Imagen
  Course: Informática Forense | Udemy  Más Allá del Crimen: Descifrando la Evidencia Digital con los Procesos de la Informática Forense Cuando imaginamos una escena del crimen, pensamos en cinta amarilla, huellas dactilares y pruebas físicas. Pero en el mundo digital actual, la escena del crimen suele ser un disco duro, un servidor en la nube o un teléfono móvil. Aquí es donde entra en juego la  Informática Forense , la disciplina científica que se encarga de identificar, preservar, analizar y presentar evidencia digital de manera válida en un proceso legal. No se trata solo de "recuperar archivos borrados". Es un proceso meticuloso, riguroso y ético, diseñado para garantizar que la evidencia digital sea irrefutable en un juicio. Las 5 Fases Clave del Proceso Forense Digital Para que la evidencia sea admisible, los peritos forenses siguen un protocolo estricto. Te lo resumimos en 5 fases fundamentales: 1. Identificación y Colección 🗂️ ¿Qué se hace?  Se determina dón...
Leer más

1-Qué es un Perito y Cuál es su Función

https://docs.google.com/presentation/d/e/2PACX-1vQtpxAPqQlnanjR0bcCdXBRaMFb056yGNJ7xcXi7DNkbvZN-sdBXtl5SCihNwNCvlzGFqwkjNmJNchT/pub?start=false&loop=false&delayms=3000 Tutorial: ¿Qué es un Perito y Cuál es su Función? Objetivo del Tutorial: Comprender de manera clara y sencilla el concepto de "perito", su función principal y su importancia en el ámbito legal, especialmente para profesionales de áreas técnicas como la informática. Paso 1: Introducción al Concepto Instrucciones: Reconoce el Contexto:   Si eres abogado, el término "perito" te es familiar. Si eres de un área técnica (como informática, ingeniería, etc.), puede que el término sea nuevo o poco claro. Define la Idea Central:   Un perito es, en esencia, un   especialista   o   experto   en un campo específico. Ejemplo Práctico: Piensa en un problema complejo de informática forense (por ejemplo, determinar si un correo electrónico fue alterado). Un juez, que no es experto en tecnología, neces...
Leer más

8. Etapa de Identificación

Imagen
    ¡PRIMER PASO EN LA INVESTIGACIÓN FORENSE! 🔍 Acabamos de subir un nuevo avance de la clase y es crucial:  La etapa de identificación y preservación de evidencias. En esta fase, nosotros como analistas llegamos al lugar de los hechos y debemos responder rápidamente: ➡  ¿Cuáles son los dispositivos? ➡  ¿Qué medios de almacenamiento tenemos? ➡  ¿Qué evidencia será clave para la investigación? Encontraremos una gran variedad de fuentes de información: ✅ Discos duros ✅ Unidades USB ✅ Computadoras y laptops ✅ Teléfonos móviles ✅ Y más... 🛠  Otro punto clave: la entrevista con el administrador del sistema. Algunas preguntas esenciales que debemos hacer: ¿Actualiza el sistema operativo regularmente? ¿Con qué frecuencia realiza actualizaciones del firewall? ¿Ha habido otros administradores antes? ⚠  Como forenses, antes de empezar, debemos considerar: ¿Tenemos autorización?  → Un contrato que nos permita acceder a equipos y correos. ¿Qué dice la ...
Leer más