Autopsy
Plataforma de análisis forense digital de código abierto que permite investigar discos duros, recuperar archivos borrados y analizar evidencia digital mediante una interfaz gráfica intuitiva.
¿Qué es Autopsy?
Autopsy es la plataforma de análisis forense digital de código abierto más utilizada en el mundo. Desarrollada por Basis Technology y respaldada por el Departamento de Seguridad Nacional de Estados Unidos (DHS), funciona como interfaz gráfica de The Sleuth Kit, proporcionando a peritos informáticos, fuerzas de seguridad y profesionales de ciberseguridad una herramienta potente y accesible para investigar evidencia digital.
La herramienta permite analizar imágenes forenses de discos duros, SSDs, memorias USB y dispositivos móviles Android, recuperando archivos borrados, analizando el historial de navegación, extrayendo comunicaciones y generando líneas temporales de actividad del sistema.
Dato clave
Autopsy es utilizado por más de 50.000 profesionales en todo el mundo, incluyendo el FBI, fuerzas policiales europeas y peritos judiciales. Su naturaleza open-source permite auditar el código fuente, lo que refuerza su credibilidad ante tribunales.
Historia y desarrollo de Autopsy
Autopsy fue creado originalmente por Brian Carrier en 2003 como interfaz web para The Sleuth Kit. En 2010, Basis Technology asumió el desarrollo, reescribiendo completamente la herramienta como aplicación de escritorio Java con una arquitectura modular que permite extender sus capacidades mediante plugins.
Versiones principales
| Versión | Año | Características principales |
|---|---|---|
| Autopsy 1.x | 2003-2006 | Interfaz web básica |
| Autopsy 2.x | 2006-2012 | Interfaz web mejorada |
| Autopsy 3.x | 2012-2018 | Reescritura Java, módulos |
| Autopsy 4.x | 2018-presente | Multi-usuario, Android, timeline avanzado |
Características principales de Autopsy
Análisis de imágenes de disco
Autopsy soporta los formatos de imagen forense más utilizados:
- E01/Ex01: Expert Witness Format (EnCase)
- DD/Raw: Imagen bit a bit sin compresión
- VHD/VHDX: Discos virtuales Hyper-V
- VMDK: Discos virtuales VMware
- AFF4: Advanced Forensic Format
Módulos de análisis (Ingest Modules)
Al añadir una fuente de datos, Autopsy ejecuta automáticamente módulos de análisis:
Recent Activity: Extrae historial de navegación, descargas, dispositivos USB conectados y actividad reciente del usuario
Hash Lookup: Compara archivos contra bases de datos de hashes conocidos (NSRL para software legítimo, bases de malware)
File Type Identification: Identifica el tipo real de archivo por su cabecera, detectando archivos con extensión falsificada
Keyword Search: Indexa todo el contenido para permitir búsquedas por palabras clave
Email Parser: Extrae correos de archivos PST (Outlook), MBOX y EML
Embedded File Extractor: Extrae archivos incrustados en ZIPs, documentos Office y PDFs
Picture Analyzer: Analiza metadatos EXIF de imágenes y detecta contenido relevante
File Carving
Autopsy incluye capacidades de file carving para recuperar archivos eliminados:
- Deleted Files: Archivos borrados pero aún referenciados en el sistema de archivos
- Carved Files: Archivos recuperados del espacio no asignado por su firma (header/footer)
- Unallocated Space: Análisis de sectores no asignados a ningún archivo
Limitación técnica
La recuperación mediante file carving depende de que el espacio no haya sido sobrescrito. En SSDs con TRIM activado, la recuperación de archivos borrados es muy limitada o imposible.
Timeline Analysis
El módulo de timeline permite visualizar cronológicamente toda la actividad del sistema:
- Creación, modificación y acceso a archivos
- Actividad de navegación web
- Conexión de dispositivos USB
- Instalación de programas
- Eventos del sistema
Esta funcionalidad es especialmente útil para reconstruir la secuencia de acciones de un usuario en una investigación.
Caso práctico: Investigación de fuga de información empresarial
Situación: Una empresa detecta que documentos confidenciales han aparecido en manos de un competidor. Se sospecha de un empleado que dimitió recientemente.
Análisis con Autopsy:
- Adquisición: Se crea imagen forense del ordenador del ex-empleado
- Recent Activity: Se detectan múltiples conexiones de memorias USB en las semanas previas a la dimisión
- File Type Analysis: Se identifican archivos PDF y Excel accedidos frecuentemente
- Timeline: Se correlaciona el acceso a documentos confidenciales con las fechas de conexión USB
- Keyword Search: Se encuentran búsquedas de “borrar historial” y “eliminar rastros”
- Email Parser: Se localizan correos enviados a dirección personal con adjuntos sospechosos
Resultado: El timeline demuestra que el empleado copió sistemáticamente documentos a USB durante un mes, intentó borrar evidencias y se envió archivos a su correo personal. El informe pericial basado en Autopsy fue admitido como prueba.
Comparativa con herramientas comerciales
| Característica | Autopsy | EnCase | FTK |
|---|---|---|---|
| Precio | Gratuito | +5.000€/año | +3.000€/año |
| Código abierto | ✅ Sí | ❌ No | ❌ No |
| Multiplataforma | ✅ Win/Mac/Linux | ❌ Solo Windows | ❌ Solo Windows |
| Timeline | ✅ Incluido | ✅ Incluido | ✅ Incluido |
| File Carving | ✅ Incluido | ✅ Incluido | ✅ Incluido |
| Soporte oficial | Comunidad | ✅ Comercial | ✅ Comercial |
| Aceptación judicial | ✅ Sí | ✅ Sí | ✅ Sí |
Limitaciones de Autopsy
No sustituye al perito
Autopsy es una herramienta, no un perito. Sus resultados requieren:
- Interpretación experta de los hallazgos
- Documentación de cadena de custodia
- Informe pericial estructurado
- Ratificación en juicio si es necesario
Casos que superan sus capacidades
- Cifrado sin clave: BitLocker, FileVault, VeraCrypt
- Dispositivos móviles bloqueados: Requiere Cellebrite, GrayKey
- Análisis de memoria RAM: Requiere Volatility u otras herramientas
- Anti-forense avanzado: Técnicas de anti-forense pueden dificultar el análisis
Instalación y requisitos
Requisitos del sistema
- Sistema operativo: Windows 10/11, macOS, Linux
- RAM: 8 GB mínimo (16 GB recomendado)
- Disco: 10 GB para instalación + espacio para casos
- Java: Incluido en instalador Windows
Proceso de instalación
Descargar desde autopsy.com
Ejecutar instalador y seguir asistente
Configurar memoria en
autopsy.confsi es necesarioCrear primer caso con File → New Case
Marco legal en España
Autopsy es plenamente válido para análisis forense en procedimientos judiciales españoles, siempre que:
- Se documente la versión utilizada
- Se garantice la cadena de custodia
- El análisis lo realice o supervise un perito cualificado
- Se siga la metodología ISO 27037
La naturaleza open-source de Autopsy permite que cualquier parte audite el código fuente, lo que refuerza la transparencia metodológica ante tribunales.
Relación con otros conceptos
- Sleuth Kit: Framework de herramientas en línea de comandos sobre el que se construye Autopsy
- Imagen forense: Formato de entrada principal para análisis en Autopsy
- File carving: Técnica de recuperación implementada en Autopsy
- Formato E01: Uno de los formatos de imagen soportados
- Timeline forense: Funcionalidad clave para reconstruir actividad
Recursos adicionales
Conclusión
Autopsy representa la democratización del análisis forense digital, ofreciendo capacidades profesionales sin coste de licencia. Su adopción por fuerzas de seguridad y peritos de todo el mundo, combinada con su naturaleza open-source, la convierte en una herramienta de referencia para investigaciones digitales.
Sin embargo, la herramienta por sí sola no garantiza resultados válidos judicialmente. Se requiere un perito informático que aplique metodología forense rigurosa, documente adecuadamente el proceso y pueda defender los hallazgos ante un tribunal.
Última actualización: Enero 2026 Categoría: Herramientas Código: HER-010
Preguntas Frecuentes
¿Autopsy es gratuito?
Sí, Autopsy es completamente gratuito y de código abierto. Está desarrollado por Basis Technology con apoyo del Departamento de Seguridad Nacional de EE.UU. y puede descargarse desde autopsy.com sin coste alguno.
¿Los tribunales españoles aceptan evidencia analizada con Autopsy?
Sí, los tribunales españoles aceptan evidencia analizada con Autopsy siempre que esté respaldada por un informe pericial que documente la metodología y garantice la cadena de custodia. La herramienta está reconocida internacionalmente.
¿Qué diferencia hay entre Autopsy y EnCase?
Autopsy es gratuito y de código abierto, mientras que EnCase cuesta más de 5.000€/año. Ambos tienen capacidades similares de análisis, pero EnCase incluye soporte comercial. Para la mayoría de casos forenses, Autopsy es suficiente.
¿Autopsy puede recuperar archivos borrados?
Sí, Autopsy incluye funcionalidades de file carving que permiten recuperar archivos eliminados incluso cuando el sistema de archivos ya no los referencia, siempre que el espacio no haya sido sobrescrito.
Términos Relacionados
Sleuth Kit
Colección de herramientas forenses de línea de comandos para analizar sistemas de archivos y volúmenes de disco, base sobre la que se construye Autopsy.
Imagen Forense
Copia exacta bit a bit de un dispositivo de almacenamiento que preserva toda la información original, incluyendo archivos borrados y espacio no asignado, para su análisis forense.
File Carving
Técnica forense que permite recuperar archivos eliminados o fragmentados buscando firmas de archivo (headers y footers) en el espacio no asignado del disco, sin depender del sistema de archivos.
Timeline Forense
Representación ordenada cronológicamente de todos los eventos relevantes extraídos de sistemas digitales, permitiendo reconstruir qué ocurrió, cuándo y en qué secuencia.
Análisis Forense Digital
Proceso científico de identificación, preservación, análisis y presentación de evidencia digital en procedimientos legales.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita