Introducción
Bienvenido al mundo de la informática forense. Una parte fundamental de cualquier investigación es la correcta adquisición de evidencia digital. Este proceso implica la creación de una copia exacta, bit a bit, de un dispositivo de almacenamiento sin alterar los datos originales. Igualmente importante es garantizar la integridad de esa copia, demostrando que no ha sido manipulada desde su creación.
En este laboratorio, asumirá el rol de un analista forense junior. Aprenderá a utilizar herramientas estándar de línea de comandos de Linux para realizar dos de las tareas más fundamentales en informática forense: la adquisición de evidencia y la verificación de integridad. Utilizaremos el comando dd para crear una imagen de disco y sha256sum para generar un hash criptográfico, asegurando que nuestra evidencia sea sólida.
Crear una Imagen de Disco Simulada Usando dd
En este paso, creará una imagen forense a partir de un archivo de evidencia simulado. En informática forense, una "imagen" es una copia bit a bit de una unidad de origen. Utilizamos el comando dd, una utilidad potente y versátil para copiar y convertir datos. Es una herramienta estándar en forense porque puede crear una réplica exacta de un dispositivo de almacenamiento, preservando todos los datos, incluidos archivos eliminados y espacio residual (slack space).
Primero, naveguemos a nuestro directorio de caso y veamos el archivo de evidencia original que se ha preparado para usted.
cd ~/project/forensics_case
ls -lh
Debería ver un archivo llamado original_evidence.dd.
-rw-rw-r-- 1 labex labex 11M Aug 5 15:28 original_evidence.dd
Ahora, usemos dd para crear una imagen de este archivo. Nombraremos nuestra imagen evidence_image.img.
if=original_evidence.dd: Especifica el input file (archivo de entrada).of=evidence_image.img: Especifica el output file (archivo de salida).bs=4096: Establece el block size (tamaño de bloque) a 4096 bytes. Este es un tamaño de bloque común y puede afectar el rendimiento.
Ejecute el siguiente comando:
dd if=original_evidence.dd of=evidence_image.img bs=4096
El comando mostrará el número de registros de entrada y salida, y los bytes totales copiados.
2560+1 records in
2560+1 records out
10485809 bytes (10 MB, 10 MiB) copied, 0.0130138 s, 806 MB/s
Ahora, liste los archivos nuevamente para ver tanto el original como la imagen recién creada.
ls -lh
Verá que evidence_image.img tiene el mismo tamaño exacto que original_evidence.dd, lo cual es una buena primera señal de que nuestra copia fue exitosa.
-rw-rw-r-- 1 labex labex 11M Aug 5 15:43 evidence_image.img
-rw-rw-r-- 1 labex labex 11M Aug 5 15:28 original_evidence.dd
Calcular Hashes de Archivos Originales e Imagen
En este paso, verificará la integridad de la imagen forense que acaba de crear. Simplemente tener una copia no es suficiente; debemos poder demostrar que la copia es una réplica exacta y sin alterar del original. Hacemos esto calculando un hash criptográfico tanto para el archivo original como para la imagen.
Una función hash toma una entrada (en nuestro caso, el contenido del archivo) y produce una cadena de caracteres de tamaño fijo, que es el "hash". Incluso un pequeño cambio en el archivo de entrada resultará en un hash completamente diferente. Si el hash del archivo original y el hash del archivo de imagen coinciden, podemos estar seguros de que la copia es perfecta. Utilizaremos el comando sha256sum, que implementa el algoritmo de hash SHA-256.
Primero, calcule el hash SHA256 del archivo de evidencia original:
sha256sum original_evidence.dd
La salida será una cadena larga de caracteres (el hash) seguida del nombre del archivo.
55a290c58509790860da55a47256188865bdd8dd5cbf7cd5c4b95cb5264f109a original_evidence.dd
A continuación, calcule el hash del archivo de imagen que creó:
sha256sum evidence_image.img
55a290c58509790860da55a47256188865bdd8dd5cbf7cd5c4b95cb5264f109a evidence_image.img
Compare los dos hashes. Deben ser idénticos. Esta es la prueba matemática de que su evidence_image.img es una copia fiel y precisa de original_evidence.dd.
Para una documentación adecuada, es una buena práctica guardar estos hashes en un archivo de registro. Hagámoslo ahora.
sha256sum original_evidence.dd evidence_image.img > hashes.txt
Ahora, vea el contenido de su archivo de registro de hashes.
cat hashes.txt
55a290c58509790860da55a47256188865bdd8dd5cbf7cd5c4b95cb5264f109a original_evidence.dd
55a290c58509790860da55a47256188865bdd8dd5cbf7cd5c4b95cb5264f109a evidence_image.img
Este archivo hashes.txt es una pieza crucial de documentación para su caso.
Extraer Metadatos Básicos de Archivos como Sellos de Tiempo
En este paso, examinaremos los metadatos del archivo. Los metadatos son "datos sobre datos" y pueden proporcionar un contexto crucial en una investigación. Para los archivos, esto incluye información como la hora de creación, la hora de la última modificación y la hora del último acceso. A menudo se les conoce como tiempos MAC (Modificar, Acceder, Cambiar - Modify, Access, Change).
Utilizaremos el comando stat para ver esta información detallada. El comando stat muestra el estado de un archivo o sistema de archivos.
Primero, veamos los metadatos del archivo original_evidence.dd.
stat original_evidence.dd
La salida proporciona una gran cantidad de información, pero centrémonos en los sellos de tiempo (timestamps).
File: original_evidence.dd
Size: 10485809 Blocks: 20488 IO Block: 4096 regular file
Device: 7eh/126d Inode: 11210686 Links: 1
Access: (0664/-rw-rw-r--) Uid: ( 5000/ labex) Gid: ( 5000/ labex)
Access: 2025-08-05 15:43:57.680473291 +0800
Modify: 2025-08-05 15:28:59.196596566 +0800
Change: 2025-08-05 15:28:59.196596566 +0800
Birth: 2025-08-05 15:28:59.164595416 +0800
Ahora, hagamos lo mismo para nuestro evidence_image.img.
stat evidence_image.img
File: evidence_image.img
Size: 10485809 Blocks: 20488 IO Block: 4096 regular file
Device: 7eh/126d Inode: 11206338 Links: 1
Access: (0664/-rw-rw-r--) Uid: ( 5000/ labex) Gid: ( 5000/ labex)
Access: 2025-08-05 15:44:14.001048192 +0800
Modify: 2025-08-05 15:43:57.692473714 +0800
Change: 2025-08-05 15:43:57.692473714 +0800
Birth: 2025-08-05 15:43:57.680473291 +0800
Observe que, si bien el contenido del archivo es idéntico (como lo demuestra el hash), los metadatos no lo son. Los sellos de tiempo de evidence_image.img reflejan cuándo se creó la imagen, no cuándo se creó o modificó el archivo original. Este es un comportamiento esperado y es importante documentarlo. Muestra cuándo usted, el investigador, realizó la adquisición.
Generar un Registro de Cadena de Custodia para la Evidencia Adquirida
En este paso final, creará un registro simple de Cadena de Custodia. La Cadena de Custodia es uno de los documentos más críticos en forense. Es un registro cronológico que detalla la incautación, custodia, control, transferencia, análisis y disposición de la evidencia. Una cadena de custodia bien mantenida demuestra que la evidencia ha sido manejada adecuadamente y no ha sido manipulada.
Si bien un formulario de cadena de custodia real es más complejo, podemos crear un registro de texto básico para documentar nuestras acciones. Este registro debe incluir información clave sobre la evidencia y el proceso de adquisición.
Utilizaremos el comando echo para escribir información en un archivo llamado chain_of_custody.log. Necesitaremos recopilar algunas piezas de información:
- Número de Caso (Case Number): Un identificador único para la investigación. Usaremos
CASE-001. - Descripción del Artículo (Item Description): Qué es la evidencia.
- Fecha/Hora de Adquisición (Date/Time of Acquisition): Podemos obtener esto usando el comando
date. - Adquirido por (Acquired by): El analista que realizó la adquisición. Usaremos la salida del comando
whoami. - Hash SHA256 (SHA256 Hash): El hash de la imagen adquirida, que obtendremos de nuestro archivo
hashes.txt.
Creemos el registro. Usaremos echo con el operador > para crear el archivo y agregar la primera línea, y luego >> para añadir las líneas subsiguientes. Primero, obtengamos el hash de nuestro archivo de imagen.
IMAGE_HASH=$(grep 'evidence_image.img' hashes.txt | cut -d ' ' -f 1)
Ahora, creemos el archivo de registro con toda la información necesaria.
echo "--- CHAIN OF CUSTODY ---" > chain_of_custody.log
echo "Case Number: CASE-001" >> chain_of_custody.log
echo "------------------------" >> chain_of_custody.log
echo "Item ID: 1" >> chain_of_custody.log
echo "Description: Forensic image of original_evidence.dd" >> chain_of_custody.log
echo "Acquired By: $(whoami)" >> chain_of_custody.log
echo "Acquisition Date: $(date)" >> chain_of_custody.log
echo "SHA256 Hash: $IMAGE_HASH" >> chain_of_custody.log
echo "--- END OF LOG ---" >> chain_of_custody.log
Finalmente, muestre su registro de cadena de custodia completado.
cat chain_of_custody.log
Su salida debería parecerse a esto:
--- CHAIN OF CUSTODY ---
Case Number: CASE-001
------------------------
Item ID: 1
Description: Forensic image of original_evidence.dd
Acquired By: labex
Acquisition Date: Tue Aug 5 15:44:43 CST 2025
SHA256 Hash: 55a290c58509790860da55a47256188865bdd8dd5cbf7cd5c4b95cb5264f109a
--- END OF LOG ---
Ahora ha creado una pieza de documentación básica pero esencial que registra sus acciones y preserva la integridad de la evidencia.
Resumen
En este laboratorio, ha realizado con éxito los pasos fundamentales de adquisición de evidencia forense digital y verificación de integridad.
Ha aprendido a:
- Utilizar el comando
ddpara crear una imagen forense bit a bit de una fuente de datos. - Utilizar el comando
sha256sumpara calcular hashes criptográficos que demuestren que la imagen forense es una réplica exacta de la evidencia original. - Utilizar el comando
statpara examinar metadatos de archivos, como los sellos de tiempo (timestamps), que son cruciales para comprender el historial de un archivo. - Crear un registro básico de Cadena de Custodia para documentar el manejo de la evidencia, un requisito crítico para los procedimientos legales.
Estas habilidades son la base de una práctica forense digital sólida. Al garantizar que la evidencia se adquiere correctamente y se mantiene su integridad, sienta las bases para una investigación exitosa.
