La adquisición forense de discos duros es uno de los procesos más importantes dentro de la informática forense. Consiste en realizar una copia exacta, íntegra y verificable de un dispositivo de almacenamiento para su posterior análisis sin modificar la evidencia original. Este procedimiento es fundamental en investigaciones judiciales, incidentes de ciberseguridad, auditorías internas, fraudes informáticos y peritajes informáticos.
¿Qué es una adquisición forense?
Una adquisición forense es el proceso de copiar bit a bit un dispositivo de almacenamiento (disco duro, SSD, USB, tarjeta SD, etc.) generando una imagen forense sobre la que se realizará el análisis. El objetivo es preservar la evidencia digital original sin alterarla.
Principio fundamental de la informática forense:
Nunca trabajar sobre el original, siempre sobre una copia forense verificada mediante hashes.
Preservación de la evidencia digital
La preservación de la evidencia es el proceso más importante en informática forense. Si la evidencia se altera, puede perder su validez legal.
Cadena de custodia
La cadena de custodia documenta quién ha tenido acceso a la evidencia desde su incautación hasta su presentación en juicio.
- Persona que recoge la evidencia
- Fecha y hora
- Lugar
- Número de evidencia
- Número de serie del dispositivo
- Quién la transporta
- Quién la analiza
- Dónde se almacena
- Hashes de verificación
Preparativos antes de la adquisición forense
Antes de realizar una adquisición forense es necesario preparar correctamente el entorno y documentar el dispositivo.
Material necesario
- Bloqueadores de escritura (write blockers)
- Estación forense
- Discos de destino
- Software forense
- Adaptadores SATA/IDE/USB/NVMe
- Bolsas antiestáticas
- Etiquetas de evidencia
- Cámara de fotos
- Guantes
- Formularios de cadena de custodia
Documentación del dispositivo
- Marca
- Modelo
- Número de serie
- Capacidad
- Estado físico
- Fotografías del dispositivo
- Equipo del que se extrae
- Fecha y hora de intervención
Uso de Write Blockers
Un write blocker evita que el sistema operativo escriba en el disco original. Es obligatorio en adquisiciones forenses profesionales.
Si conectas un disco sin write blocker, el sistema operativo puede:
- Modificar timestamps
- Crear archivos ocultos
- Escribir logs
- Montar el sistema de archivos
- Alterar la evidencia
Proceso de adquisición forense paso a paso
- Documentar el dispositivo
- Etiquetar la evidencia
- Conectar mediante write blocker
- Verificar modo solo lectura
- Calcular hash inicial
- Realizar la adquisición forense
- Calcular hash de la imagen
- Comparar hashes
- Documentar el proceso
- Almacenar la evidencia original
- Trabajar sobre la imagen forense
Hashes en informática forense
Los hashes permiten verificar que la copia forense es idéntica al disco original.
| Hash | Uso |
|---|---|
| MD5 | Compatibilidad con herramientas forenses |
| SHA1 | Uso forense tradicional |
| SHA256 | Recomendado actualmente |
| SHA512 | Alta seguridad |
Tipos de adquisición forense
Adquisición física
Copia bit a bit de todo el disco incluyendo espacio libre, archivos borrados y particiones eliminadas.
Adquisición lógica
Solo copia archivos visibles del sistema.
Adquisición selectiva
Se copian solo archivos específicos como documentos, emails o logs.
Adquisición en vivo
Se realiza con el sistema encendido, normalmente cuando hay cifrado o servidores en producción.
Formatos de imagen forense
Formato RAW (dd)
- Copia bit a bit
- Sin compresión
- Compatible con todas las herramientas
- Ocupa más espacio
Formato E01
- Compresión
- Segmentación
- Metadatos
- Hashes integrados
- Muy usado en informática forense
Formato AFF
- Formato abierto
- Compresión
- Metadatos
- Hashes
Otros formatos forenses
- EX01
- L01
- AD1
- SMART
- DMG
- VMDK
- VHD
- VHDX
Herramientas de adquisición forense
Herramientas en Windows
- FTK Imager
- EnCase
- X-Ways Forensics
- Magnet Acquire
- OSForensics
Herramientas en Linux
- dd
- dc3dd
- dcfldd
- Guymager
- ewfacquire
Ejemplos de comandos de adquisición en Linux
dd if=/dev/sda of=/evidencias/disco.dd bs=4M conv=noerror,sync
dc3dd if=/dev/sda of=/evidencias/disco.dd hash=sha256 log=adquisicion.log
dcfldd if=/dev/sda of=/evidencias/disco.dd hash=sha256 hashlog=hash.txt
Buenas prácticas en adquisiciones forenses
- No trabajar sobre el disco original
- Usar write blocker
- Documentar todo el proceso
- Calcular hashes
- Mantener cadena de custodia
- Guardar logs de adquisición
- Realizar fotografías
- Trabajar siempre sobre copias
- Verificar hashes
- Almacenar la evidencia correctamente
Problemas comunes en adquisiciones forenses
Sectores dañados
Se recomienda usar herramientas como dc3dd, dcfldd o Guymager que permiten continuar la adquisición aunque existan errores.
Discos cifrados
En discos cifrados puede ser necesario realizar una adquisición en vivo o capturar la memoria RAM para obtener las claves.
SSD y TRIM
Los discos SSD pueden borrar automáticamente datos eliminados mediante TRIM, por lo que es recomendable realizar la adquisición lo antes posible.
Conclusión
La adquisición forense de discos duros es un proceso crítico dentro de la informática forense. La correcta preservación de la evidencia, el uso de write blockers, el cálculo de hashes y la documentación del proceso son fundamentales para garantizar la validez legal de la evidencia digital.
Preguntas frecuentes (FAQ)
¿Qué es una adquisición forense de disco duro?
Es el proceso de copiar bit a bit un disco duro para analizarlo sin modificar la evidencia original.
¿Qué hash se usa en informática forense?
Los más utilizados son MD5, SHA1, SHA256 y SHA512, siendo SHA256 el más recomendado actualmente.
¿Qué formato es mejor E01 o RAW?
E01 suele ser mejor porque permite compresión, metadatos, segmentación y hashes integrados.
¿Se puede analizar un disco sin hacer imagen forense?
No es recomendable porque se puede alterar la evidencia original.
¿Qué es la cadena de custodia digital?
Es el registro de quién ha tenido la evidencia desde su recogida hasta su presentación en juicio.
¿Qué herramientas se usan para adquisiciones forenses?
FTK Imager, EnCase, X-Ways, Guymager, dc3dd, dcfldd y dd.
Si quieres practicar sobre informática forense, puedes leer el artículo sobre CyberDefenders: la plataforma para aprender ciberseguridad Blue Team y SOC Analyst
