Sleuth Kit
Colección de herramientas forenses de línea de comandos para analizar sistemas de archivos y volúmenes de disco, base sobre la que se construye Autopsy.
¿Qué es The Sleuth Kit?
The Sleuth Kit (TSK) es una colección de herramientas forenses de línea de comandos para analizar volúmenes de disco y sistemas de archivos. Creado por Brian Carrier, es el framework sobre el que se construye Autopsy, la interfaz gráfica forense más utilizada del mundo.
TSK permite a peritos informáticos y analistas forenses examinar imágenes forenses a bajo nivel, accediendo directamente a estructuras del sistema de archivos, metadatos y datos borrados sin depender de una interfaz gráfica.
Origen del nombre
El nombre “Sleuth Kit” proviene de “sleuth” (detective/investigador en inglés). Originalmente se llamaba TASK (The @stake Sleuth Kit), desarrollado cuando Brian Carrier trabajaba en @stake.
Arquitectura de Sleuth Kit
Capas de análisis
TSK organiza el análisis forense en capas, cada una con herramientas específicas:
| Capa | Prefijo | Función |
|---|---|---|
| Volumen | mm* | Análisis de particiones y esquemas de volumen |
| Sistema de archivos | fs* | Estructuras del sistema de archivos |
| Nombres de archivo | f* | Directorio y nombres de archivo |
| Metadatos | i* | Inodos y metadatos de archivos |
| Datos | blk* | Bloques de datos y contenido |
Herramientas principales
mmls: Lista particiones y esquemas de volumen en una imagen
mmls imagen.ddfsstat: Muestra detalles del sistema de archivos
fsstat -o 2048 imagen.ddfls: Lista archivos y directorios (incluyendo borrados)
fls -r -o 2048 imagen.ddicat: Extrae contenido de un archivo por su inodo
icat -o 2048 imagen.dd 12345 > archivo_recuperado.docistat: Muestra metadatos de un inodo específico
istat -o 2048 imagen.dd 12345blkcat: Extrae bloques de datos específicos
blkcat -o 2048 imagen.dd 1000
Sistemas de archivos soportados
TSK soporta los sistemas de archivos más comunes:
Windows
- NTFS: Sistema estándar Windows moderno
- FAT12/16/32: Sistemas legacy y USB
- exFAT: USB y tarjetas SD grandes
macOS
- HFS+: Mac OS X hasta High Sierra
- APFS: macOS High Sierra en adelante
Linux/Unix
- Ext2/3/4: Sistemas Linux estándar
- UFS1/2: FreeBSD, Solaris
Otros
- ISO 9660: CDs y DVDs
- YAFFS2: Dispositivos Android
Limitación APFS
El soporte de APFS en Sleuth Kit es limitado. Para análisis forense completo de macOS modernos, pueden requerirse herramientas adicionales especializadas.
Caso práctico: Recuperación de archivos borrados con TSK
Situación: Se necesita recuperar documentos eliminados de una imagen forense de un disco NTFS.
Proceso con Sleuth Kit:
# 1. Identificar particiones
mmls evidence.dd
# Output: DOS Partition Table
# 000: ----- 0000000000 0000002047 Meta
# 001: 00:00 0000002048 0976773119 NTFS (0x07)
# 2. Listar archivos borrados (asterisco = borrado)
fls -r -d -o 2048 evidence.dd | grep "^\*"
# * r/r 12345: Documents/contrato_confidencial.docx
# * r/r 12346: Documents/precios_competencia.xlsx
# 3. Ver metadatos del archivo borrado
istat -o 2048 evidence.dd 12345
# Muestra fechas, tamaño, clusters asignados
# 4. Recuperar el archivo
icat -o 2048 evidence.dd 12345 > contrato_recuperado.docxResultado: Los archivos eliminados se recuperaron exitosamente porque sus clusters no habían sido sobrescritos.
Timeline con Sleuth Kit
TSK incluye herramientas para crear líneas temporales de actividad:
# Crear bodyfile con todos los metadatos temporales
fls -r -m "/" -o 2048 evidence.dd > bodyfile.txt
# Convertir a timeline ordenado
mactime -b bodyfile.txt -d > timeline.csvEl formato bodyfile es compatible con muchas herramientas de análisis, permitiendo correlacionar actividad con fechas específicas de una investigación.
Integración con otras herramientas
Autopsy
Autopsy utiliza TSK internamente para todas las operaciones de sistema de archivos. Cuando Autopsy lista archivos o extrae contenido, ejecuta comandos TSK en segundo plano.
Scripting y automatización
La naturaleza de línea de comandos de TSK permite:
#!/bin/bash
# Script para extraer todos los documentos Office borrados
fls -r -d -o 2048 $1 | grep -E "\.(doc|xls|ppt)" | while read line; do
inode=$(echo $line | awk '{print $2}' | tr -d ':')
name=$(echo $line | awk '{print $3}')
icat -o 2048 $1 $inode > "recovered_$name"
doneInstalación de Sleuth Kit
Linux (Debian/Ubuntu)
sudo apt install sleuthkitmacOS (Homebrew)
brew install sleuthkitWindows
Incluido con la instalación de Autopsy, o disponible como binarios independientes.
Relación con otros conceptos
- Autopsy: Interfaz gráfica que utiliza TSK
- Imagen forense: Formato de entrada para análisis con TSK
- NTFS forense: Uno de los sistemas de archivos analizables
- Timeline forense: Funcionalidad proporcionada por mactime
Conclusión
The Sleuth Kit es el motor que impulsa gran parte del análisis forense digital moderno. Aunque Autopsy ofrece una interfaz más accesible, conocer las herramientas TSK permite a los peritos realizar análisis más precisos, automatizar tareas repetitivas y comprender exactamente qué operaciones se realizan sobre la evidencia.
Para análisis forense profesional, dominar tanto Autopsy como las herramientas de línea de comandos de TSK proporciona la flexibilidad necesaria para abordar cualquier investigación digital.
Última actualización: Enero 2026 Categoría: Herramientas Código: HER-011
Preguntas Frecuentes
¿Cuál es la diferencia entre Sleuth Kit y Autopsy?
Sleuth Kit es un conjunto de herramientas de línea de comandos para análisis forense. Autopsy es una interfaz gráfica que utiliza Sleuth Kit internamente, facilitando su uso sin necesidad de conocer comandos.
¿Qué sistemas de archivos soporta Sleuth Kit?
Sleuth Kit soporta NTFS, FAT12/16/32, exFAT, HFS+, APFS, Ext2/3/4, UFS1/2, ISO 9660 y YAFFS2, cubriendo prácticamente todos los sistemas de archivos comunes en ordenadores y dispositivos móviles.
¿Es necesario saber usar Sleuth Kit si uso Autopsy?
No es imprescindible, pero conocer las herramientas de Sleuth Kit permite realizar análisis más específicos, automatizar tareas mediante scripts y comprender mejor qué hace Autopsy internamente.
Términos Relacionados
Autopsy
Plataforma de análisis forense digital de código abierto que permite investigar discos duros, recuperar archivos borrados y analizar evidencia digital mediante una interfaz gráfica intuitiva.
Imagen Forense
Copia exacta bit a bit de un dispositivo de almacenamiento que preserva toda la información original, incluyendo archivos borrados y espacio no asignado, para su análisis forense.
File Carving
Técnica forense que permite recuperar archivos eliminados o fragmentados buscando firmas de archivo (headers y footers) en el espacio no asignado del disco, sin depender del sistema de archivos.
Análisis Forense Digital
Proceso científico de identificación, preservación, análisis y presentación de evidencia digital en procedimientos legales.
NTFS Forense
Técnicas de análisis forense aplicadas al sistema de archivos NTFS (New Technology File System) de Windows, incluyendo recuperación de archivos borrados, análisis de metadatos, y extracción de artefactos ocultos.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita