Write Blocker
Dispositivo hardware o software que impide cualquier escritura en un medio de almacenamiento, garantizando que la evidencia digital no sea modificada durante el análisis forense.
¿Qué es un Write Blocker?
Un write blocker (bloqueador de escritura) es un dispositivo o software que impide cualquier operación de escritura en un medio de almacenamiento, permitiendo únicamente la lectura de datos. En el contexto del análisis forense digital, el write blocker es esencial para garantizar que la evidencia original no sea modificada durante el examen, preservando su integridad y valor probatorio.
Cuando un ordenador accede a un disco duro, el sistema operativo puede realizar escrituras automáticas: actualizar fechas de acceso, escribir archivos temporales, o modificar estructuras del sistema de archivos. Estas modificaciones, aunque mínimas, pueden invalidar la evidencia ante un tribunal al romper la cadena de custodia.
El write blocker actúa como barrera física o lógica, interceptando y bloqueando cualquier comando de escritura mientras permite el flujo normal de lectura de datos. Es un componente fundamental del kit de cualquier perito informático.
Principio forense fundamental
“Nunca trabajes directamente sobre la evidencia original”. El write blocker materializa este principio, haciendo técnicamente imposible modificar el disco de evidencia incluso por accidente o error del operador.
Tipos de Write Blocker
Write Blocker Hardware
Los bloqueadores hardware son dispositivos físicos que se interponen entre el disco de evidencia y el ordenador forense:
Características:
- Bloqueo a nivel eléctrico/de señal
- Independiente del sistema operativo
- No depende de software que pueda fallar
- Certificados por organismos oficiales (NIST)
- Precio: 200€ - 2.000€
Tipos de conectores:
| Tipo | Interfaces soportadas | Uso típico |
|---|---|---|
| USB Bridge | USB 2.0/3.0 a SATA/IDE | Discos externos, pendrives |
| SATA Bridge | SATA a SATA | Discos internos |
| IDE Bridge | IDE/PATA | Equipos antiguos |
| PCIe/NVMe | M.2 NVMe | SSDs modernos |
| Multifunción | Varios | Laboratorios profesionales |
Fabricantes reconocidos:
- Tableau (Guidance Software / OpenText)
- WiebeTech
- CRU
- Logicube
Write Blocker Software
Los bloqueadores software utilizan el sistema operativo para impedir escrituras:
Método en Linux (usado en CAINE):
# Activar modo solo lectura
sudo blockdev --setro /dev/sdb
# Verificar estado
blockdev --getro /dev/sdb
# Resultado: 1 = solo lectura
# Desactivar (si fuera necesario)
sudo blockdev --setrw /dev/sdbMétodo en Windows:
- Políticas de grupo para deshabilitar escritura en USB
- Herramientas como USB Write Blocker (software libre)
- Modificación del registro de Windows
Ventajas software:
- Coste cero o muy bajo
- No requiere hardware adicional
- Flexible y configurable
Desventajas software:
- Depende del correcto funcionamiento del SO
- Puede ser desactivado accidentalmente
- Menos aceptado en tribunales que hardware
Recomendación práctica
Para investigaciones judiciales críticas, usa siempre write blocker hardware certificado. Para análisis internos o preliminares, el software (CAINE, blockdev) es suficiente. Documenta siempre qué método utilizaste.
¿Por qué es necesario el Write Blocker?
Escrituras automáticas del sistema operativo
Cuando conectas un disco a un ordenador, el SO puede modificarlo automáticamente:
Windows:
- Actualiza la fecha de último acceso de archivos
- Escribe archivos temporales
- Modifica la MFT de NTFS
- Asigna letras de unidad (escribe en registro)
- Windows Defender puede escanear y marcar archivos
macOS:
- Crea carpetas .Spotlight-V100 (indexación)
- Genera .DS_Store en cada carpeta accedida
- Escribe .Trashes
- Actualiza timestamps
Linux (sin protección):
- Actualiza atime (tiempo de acceso)
- Puede escribir journal si monta ext4
Impacto en la evidencia
Una sola escritura puede:
- Cambiar hashes: El hash MD5/SHA256 del disco cambia
- Invalidar la prueba: La defensa puede argumentar manipulación
- Romper cadena de custodia: No se puede demostrar integridad
- Afectar timestamps: Altera líneas temporales de investigación
- Sobrescribir datos borrados: Destruye evidencia recuperable
Jurisprudencia relevante
En la SAP Barcelona 456/2019, se inadmitió evidencia digital porque “no se acreditó el uso de mecanismos de bloqueo de escritura durante la adquisición, no pudiendo garantizarse que los datos no fueron alterados”.
Uso correcto del Write Blocker Hardware
Preparación del entorno
- Apagar completamente el ordenador de evidencia
- Fotografiar el estado del equipo
- Documentar números de serie de discos
- Preparar el write blocker y cables necesarios
Conexión del dispositivo
- Conectar el disco de evidencia al puerto de ENTRADA del write blocker
- Conectar el puerto de SALIDA al ordenador forense
- Verificar indicadores LED del dispositivo:
- Verde: Solo lectura activo
- Rojo: Modo escritura (¡no usar!)
Verificación de protección
Antes de cualquier operación, confirmar el bloqueo:
# En Linux blockdev --getro /dev/sdb # Debe devolver: 1 # Intentar escribir (debe fallar) sudo touch /mnt/evidencia/test.txt # Error: Read-only file systemAdquisición de imagen
Con la protección verificada, proceder a crear imagen forense:
# Usando dc3dd con hash dc3dd if=/dev/sdb of=/casos/imagen.dd hash=sha256 log=adquisicion.logDocumentación
Registrar en el acta:
- Modelo y serie del write blocker
- Hora de conexión/desconexión
- Verificación de indicadores LED
- Resultado de pruebas de escritura
Write Blocker Software con CAINE Linux
CAINE Linux implementa protección por software a múltiples niveles:
Política de montaje
CAINE no monta automáticamente ningún disco. El usuario debe montar explícitamente y por defecto se monta en solo lectura.
Herramienta Mounter
El Mounter de CAINE proporciona control visual:
┌─────────────────────────────────────────────────────────────┐
│ CAINE Mounter │
├─────────────────────────────────────────────────────────────┤
│ Device │ Size │ Status │ Action │
├────────────┼────────┼─────────────────────┼────────────────┤
│ /dev/sda │ 500GB │ 🔒 Read-Only │ [Unmount] │
│ /dev/sdb │ 1TB │ 🔒 Read-Only │ [Unmount] │
│ /dev/sdc │ 32GB │ ○ Not mounted │ [Mount RO] │
└─────────────────────────────────────────────────────────────┘Bloqueo a nivel de kernel
# CAINE ejecuta automáticamente al detectar discos:
blockdev --setro /dev/sdX
# Verificar todos los discos
for disk in /dev/sd?; do
echo "$disk: $(blockdev --getro $disk)"
doneVerificación de integridad
Antes de cualquier operación forense en CAINE:
- Abrir Mounter
- Verificar que el disco de evidencia muestra 🔒 (candado cerrado)
- Si muestra 🔓 (candado abierto), no proceder hasta corregir
- Documentar el estado con captura de pantalla
Caso práctico: Adquisición con write blocker
Situación: Se requiere adquirir el disco duro de un servidor implicado en un caso de acceso no autorizado a datos personales. La evidencia se usará en procedimiento penal.
Proceso con write blocker hardware:
Preparación
- Write blocker: Tableau T35u SATA/USB
- Verificación visual: LED verde (RO) encendido
- Ordenador forense: Workstation con CAINE Linux
Extracción del disco
- Servidor apagado, fotografiado
- Disco extraído: Seagate Barracuda 2TB, S/N: WDX123456
- Documentación fotográfica del disco
Conexión protegida
Disco evidencia → [Tableau T35u] → Ordenador forense ↓ LED: 🟢 Verde (RO activo)Verificación doble
En CAINE, verificar que blockdev también reporta solo lectura:
blockdev --getro /dev/sdb # Resultado: 1 ✓Intento de escritura (prueba)
sudo dd if=/dev/zero of=/dev/sdb bs=512 count=1 # Resultado: dd: writing to '/dev/sdb': Operation not permittedLa escritura falla: protección confirmada.
Adquisición forense
Se utiliza Guymager para crear imagen E01:
- Formato: Expert Witness (.E01)
- Hash: MD5 + SHA256
- Verificación automática post-adquisición
Resultado
Adquisición completada: 2 horas 15 minutos Hash MD5: a1b2c3d4e5f6789... Hash SHA256: 9f8e7d6c5b4a321... Verificación: PASSED ✓ Archivos generados: servidor-001.E01 hasta servidor-001.E32Documentación
Acta de adquisición incluyendo:
- Modelo y serie del write blocker
- Fotografía del LED verde activo
- Resultado de prueba de escritura fallida
- Hashes finales
- Firma del perito
Resultado: La imagen forense fue admitida como prueba. El acusado cuestionó la integridad de la evidencia, pero el informe pericial documentó el uso de write blocker certificado y las pruebas de protección, desestimándose la impugnación.
Certificaciones y estándares
NIST (National Institute of Standards and Technology)
NIST publica especificaciones técnicas para write blockers:
- NIST SP 800-101: Directrices para examen forense de dispositivos
- Computer Forensics Tool Testing (CFTT): Programa de certificación
Los write blockers certificados NIST han pasado pruebas que verifican:
- Bloqueo efectivo de comandos de escritura
- Transparencia en operaciones de lectura
- Funcionamiento con diversos sistemas de archivos
ISO 27037
La norma ISO 27037 establece:
“Se deben utilizar herramientas y técnicas validadas para asegurar que la evidencia digital no sea alterada. Los dispositivos de bloqueo de escritura son un mecanismo reconocido para este propósito.”
Implicaciones legales en España
Aunque no existe legislación específica sobre write blockers, los tribunales españoles:
- Esperan que el perito utilice medidas de protección
- Valoran positivamente el uso de hardware certificado
- Pueden cuestionar evidencia adquirida sin protección
Comparativa: Hardware vs Software
| Aspecto | Write Blocker Hardware | Write Blocker Software |
|---|---|---|
| Coste | 200€ - 2.000€ | Gratuito (Linux) |
| Fiabilidad | Muy alta | Alta |
| Certificación NIST | Disponible | No aplicable |
| Aceptación judicial | Máxima | Buena |
| Riesgo de fallo | Muy bajo | Bajo (si se usa correctamente) |
| Dependencia de SO | Ninguna | Total |
| Versatilidad | Interfaces específicas | Universal |
| Documentación | LED físicos + logs | Solo logs |
Cuándo usar cada tipo
Write Blocker Hardware:
- Casos penales graves
- Evidencia de alto valor
- Cuando la defensa es agresiva
- Laboratorios forenses profesionales
- Requisito del cliente
Write Blocker Software:
- Investigaciones internas
- Análisis preliminar
- Presupuesto limitado
- Casos civiles de menor cuantía
- Formación y práctica
Relación con otros conceptos
- Cadena de custodia: El write blocker garantiza la no modificación
- Imagen forense: Se crea desde un disco protegido por write blocker
- CAINE Linux: Implementa write blocker por software
- Guymager: Se usa junto con write blocker para adquisición
- ISO 27037: Estándar que recomienda uso de write blockers
Conclusión
El write blocker es un componente no negociable del toolkit forense profesional. Ya sea en forma de dispositivo hardware certificado o mediante software en distribuciones especializadas como CAINE, su función es garantizar que la evidencia digital permanezca inalterada durante el análisis.
Para el perito informático, el write blocker no es solo una herramienta técnica, sino una salvaguarda legal que protege tanto la integridad de la evidencia como la credibilidad profesional ante tribunales.
Última actualización: Enero 2026 Categoría: Herramientas Código: HER-014
Preguntas Frecuentes
¿Es obligatorio usar write blocker en análisis forense?
Aunque no es un requisito legal explícito en España, el uso de write blocker es una práctica estándar reconocida internacionalmente (ISO 27037) y esperada por los tribunales. Sin él, la defensa puede impugnar la evidencia alegando posible contaminación.
¿Qué diferencia hay entre write blocker hardware y software?
El hardware es un dispositivo físico que se interpone entre el disco y el ordenador, bloqueando señales de escritura a nivel eléctrico. El software usa el sistema operativo para bloquear comandos de escritura. El hardware es más seguro pero más caro.
¿Puedo usar Linux en modo solo lectura como write blocker?
Sí, distribuciones como CAINE Linux montan discos en solo lectura por defecto. Combinado con el comando blockdev --setro, proporciona protección efectiva. Sin embargo, para máxima seguridad en casos críticos, se recomienda write blocker hardware.
Términos Relacionados
Cadena de Custodia
Procedimiento documentado que garantiza la integridad, autenticidad y trazabilidad de la evidencia digital desde su recolección hasta su presentación en juicio.
Imagen Forense
Copia exacta bit a bit de un dispositivo de almacenamiento que preserva toda la información original, incluyendo archivos borrados y espacio no asignado, para su análisis forense.
CAINE Linux
Distribución Linux italiana especializada en análisis forense digital que arranca en modo solo lectura, incluye herramientas forenses preinstaladas y está diseñada para garantizar la integridad de la evidencia.
Guymager
Herramienta gráfica de código abierto para Linux que permite crear imágenes forenses de discos en formatos E01 y DD, con verificación de hash integrada y documentación del proceso de adquisición.
ISO 27037
Norma internacional que proporciona directrices para la identificación, recopilación, adquisición y preservación de evidencia digital, estableciendo el estándar metodológico para investigaciones forenses digitales.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita