Herramientas

FTK Imager

Herramienta gratuita de AccessData (ahora Exterro) para crear imágenes forenses, verificar hashes y previsualizar evidencia digital, siendo una de las utilidades más utilizadas en Windows para adquisición forense.

8 min de lectura

¿Qué es FTK Imager?

FTK Imager es una herramienta gratuita de adquisición forense desarrollada por AccessData (ahora parte de Exterro). Aunque comparte nombre con la suite comercial FTK (Forensic Toolkit), FTK Imager es un producto independiente y completamente gratuito que se ha convertido en una de las utilidades más utilizadas para crear imágenes forenses en entornos Windows.

La herramienta permite crear imágenes en los formatos forenses más utilizados (E01, DD), verificar la integridad de imágenes existentes, previsualizar el contenido de discos y exportar archivos individuales. Todo esto sin coste de licencia, lo que la convierte en imprescindible en el toolkit de cualquier perito informático.

FTK Imager es especialmente popular en Windows, donde no existe una alternativa gráfica gratuita tan completa. En Linux, Guymager cumple un rol similar.

Gratuito no significa limitado

A pesar de ser gratuito, FTK Imager es una herramienta profesional completa para adquisición. No es una “versión demo” ni está artificialmente limitado. Incluye todas las funcionalidades de imaging que un perito necesita.

Características principales

Formatos de imagen soportados

FTK Imager puede crear y leer imágenes en múltiples formatos:

FormatoCrearLeerNotas
E01/Ex01Formato preferido forense
DD/RawCopia bit a bit simple
AFFSolo lectura
SMARTFormato propietario
AD1Formato lógico AccessData

Capacidades de adquisición

  • Discos físicos: Adquisición completa de HDDs, SSDs, NVMe
  • Volúmenes lógicos: Particiones individuales
  • Carpetas: Adquisición lógica de directorios
  • Imágenes de CD/DVD: Creación de ISOs forenses
  • Memoria RAM: Volcado de memoria volátil

Verificación de integridad

FTK Imager calcula y verifica hashes durante la adquisición:

  • MD5
  • SHA-1
  • SHA-256

Cada imagen incluye un archivo .txt con los hashes calculados para verificación posterior.

Previsualización de contenido

Sin necesidad de montar la imagen, FTK Imager permite:

  • Navegar la estructura de directorios
  • Previsualizar archivos (texto, imágenes, documentos)
  • Ver metadatos de archivos
  • Identificar archivos eliminados
  • Exportar archivos individuales

Montaje de imágenes

FTK Imager puede montar imágenes como unidades virtuales de Windows, permitiendo acceso con otras herramientas.

Tutorial: Crear imagen forense con FTK Imager

  1. Descargar e instalar

    Descargar FTK Imager desde el sitio oficial de Exterro (antes AccessData). La instalación es estándar de Windows.

  2. Conectar el disco de evidencia

    Conectar el disco mediante write blocker hardware. FTK Imager no incluye bloqueo de escritura por software.

  3. Iniciar FTK Imager

    Ejecutar como Administrador para acceso completo a dispositivos.

  4. Añadir fuente de evidencia

    File → Add Evidence Item…

    Opciones:

    • Physical Drive: Disco completo (recomendado)
    • Logical Drive: Una partición específica
    • Image File: Imagen existente
    • Contents of a Folder: Adquisición lógica

  5. Seleccionar dispositivo

    En la lista de discos físicos, identificar el disco de evidencia:

    • Verificar modelo y número de serie
    • Comprobar tamaño
    • Confirmar que es el dispositivo correcto

  6. Crear imagen

    File → Create Disk Image…

    O click derecho en el dispositivo → Export Disk Image…

  7. Configurar imagen

    Seleccionar tipo de imagen destino:

    • Raw (dd): Sin compresión, máxima compatibilidad
    • SMART: Compresión, segmentación
    • E01: Formato recomendado con metadatos

  8. Configurar metadatos (E01)

    Case Number:      CASO-2026-0001
Evidence Number:  HD-001
Unique Desc:      Disco duro Seagate 500GB, S/N: ABC123
Examiner:         Jonathan Izquierdo
Notes:            Adquisición para caso laboral

  9. Configurar opciones de imagen

    • Image Destination Folder: Ruta de destino
    • Image Filename: Nombre sin extensión
    • Image Fragment Size: 2048 MB (2 GB, estándar)
    • Compression: Recomendado para E01

  10. Verificación

    Activar:

    • ✅ Verify images after they are created
    • ✅ Create directory listing of all files

  11. Ejecutar adquisición

    Click en “Start” y esperar a que complete. FTK Imager muestra:

    • Progreso en porcentaje
    • Velocidad de transferencia
    • Tiempo estimado restante
    • Errores de lectura (si los hay)

  12. Verificar resultados

    Al finalizar, revisar el resumen:

    [Image created successfully]

Source:
MD5 Hash:    a1b2c3d4e5f6789...
SHA1 Hash:   9f8e7d6c5b4a321...

Image:
MD5 Hash:    a1b2c3d4e5f6789... (Match)
SHA1 Hash:   9f8e7d6c5b4a321... (Match)

Sectors read: 976,773,168
Bad sectors:  0

Caso práctico: Adquisición de USB sospechoso

Situación: Se encuentra una memoria USB en las instalaciones de una empresa que podría contener información sobre una filtración de datos. Se necesita adquirir su contenido para análisis.

Proceso con FTK Imager:

  1. Preparación

    • Write blocker USB: Tableau T8-R2
    • Ordenador forense con Windows 11
    • FTK Imager 4.7 instalado

  2. Conexión protegida

    USB → Write Blocker → PC Forense LED del bloqueador: verde (solo lectura)

  3. Identificación en FTK Imager

    File → Add Evidence Item → Physical Drive

    Dispositivo: \\.\PHYSICALDRIVE2

    • Kingston DataTraveler 100 G3
    • 32 GB
    • S/N: 408D5C165D90F…

  4. Creación de imagen E01

    File → Create Disk Image → Physical Drive

    Configuración:

    • Tipo: E01
    • Case: FILTRACION-2026-001
    • Evidence: USB-KINGSTON-001
    • Examiner: Perito Forense
    • Destino: D:\Casos\FILTRACION-2026\
    • Nombre: USB-KINGSTON-001
    • Fragmentos: 2 GB
    • Verificar: Sí

  5. Ejecución

    • Tiempo: 4 minutos (USB 3.0)
    • Velocidad: ~130 MB/s
    • Errores: 0

  6. Verificación automática

    Verification Results:
Computed MD5:  7a3b9c2d1e4f5678...
Stored MD5:    7a3b9c2d1e4f5678...
Result:        MATCH ✓

Computed SHA1: 1a2b3c4d5e6f7890...
Stored SHA1:   1a2b3c4d5e6f7890...
Result:        MATCH ✓

  7. Previsualización rápida

    Sin cerrar FTK Imager, expandir la imagen recién creada:

    • Carpeta “Confidencial” con 47 documentos PDF
    • Carpeta “Backup” con base de datos .mdb
    • Archivo passwords.xlsx en raíz

    Hallazgos preliminares documentados para informe.

Resultado: La imagen forense se creó y verificó correctamente. El análisis posterior con Autopsy confirmó la presencia de documentos confidenciales filtrados.

Funcionalidades adicionales

Volcado de memoria RAM

FTK Imager puede capturar la memoria volátil de un sistema en ejecución:

  1. File → Capture Memory…
  2. Seleccionar ruta de destino
  3. Nombre del archivo (.mem)
  4. ✅ Include pagefile (opcional, aumenta tamaño)
  5. Capture Memory

El archivo resultante puede analizarse con Volatility o herramientas de análisis de memoria.

Consideración sobre RAM

La captura de memoria modifica el estado del sistema (FTK Imager se carga en RAM). Esto debe documentarse. En algunos casos, es preferible usar herramientas como DumpIt que tienen menor footprint.

Montaje de imágenes

FTK Imager puede montar imágenes como unidades virtuales:

  1. File → Image Mounting…
  2. Seleccionar imagen (E01, DD, etc.)
  3. Configurar:
    • Mount Method: Logical Only / Physical & Logical
    • Mount Type: Drive Letter / Physical Drive
    • Access: Block Device (Read Only)
  4. Mount

La imagen aparece como unidad accesible en Windows (ej: E:).

Verificación de imágenes existentes

Para verificar integridad de una imagen:

  1. File → Add Evidence Item → Image File
  2. Seleccionar la imagen (.E01, etc.)
  3. Click derecho → Verify Drive/Image
  4. FTK Imager recalcula hashes y compara

Exportación de archivos

Para extraer archivos específicos de una imagen:

  1. Añadir imagen como evidencia
  2. Navegar al archivo deseado
  3. Click derecho → Export Files…
  4. Seleccionar destino

Limitaciones de FTK Imager

Solo Windows

FTK Imager solo funciona en Windows. Para Linux/macOS, usar Guymager o herramientas de línea de comandos.

No incluye write blocker

FTK Imager no bloquea escrituras por software. Es necesario:

  • Usar write blocker hardware, o
  • Configurar Windows para bloqueo de USB, o
  • Usar disco ya adquirido (no original)

Análisis limitado

FTK Imager permite previsualización básica, pero para análisis completo se necesita:

Sin capacidades de red

No permite adquisición remota ni análisis de tráfico de red.

Comparativa con alternativas

CaracterísticaFTK ImagerGuymagerdc3dd
SistemaWindowsLinuxLinux/Unix
InterfazGráficaGráficaCLI
PrecioGratuitoGratuitoGratuito
Formato E01
Formato DD
Write blocker❌ (pero CAINE sí)
PrevisualizaciónLimitada
Montaje imagen
Volcado RAM

Buenas prácticas con FTK Imager

  1. Siempre usar write blocker hardware al conectar evidencia original
  2. Verificar el disco correcto antes de iniciar adquisición
  3. Activar verificación automática para confirmar integridad
  4. Documentar metadatos completos en el diálogo de E01
  5. Guardar el archivo de log generado con la imagen
  6. Calcular hash adicional del archivo E01 como respaldo
  7. Probar montaje de la imagen para confirmar legibilidad

Descarga e instalación

FTK Imager se descarga gratuitamente desde el sitio de Exterro:

  1. Visitar exterro.com/ftk-imager
  2. Registrarse con email (requerido)
  3. Descargar instalador (.exe)
  4. Ejecutar instalación como Administrador
  5. No requiere reinicio
Versión portable

Existe una versión portable de FTK Imager que no requiere instalación. Útil para ejecutar desde USB en el sistema investigado (con precauciones).

Relación con otros conceptos

Conclusión

FTK Imager es una herramienta imprescindible para cualquier perito informático que trabaje en Windows. Su combinación de funcionalidades profesionales (adquisición E01, verificación de hash, previsualización, montaje) con coste cero la convierte en la primera opción para adquisición forense en este sistema operativo.

Aunque no reemplaza herramientas de análisis completo como Autopsy, FTK Imager cumple perfectamente su función de crear imágenes forenses válidas para cualquier procedimiento judicial.

Última actualización: Enero 2026 Categoría: Herramientas Código: HER-016

Preguntas Frecuentes

¿FTK Imager es realmente gratuito?

Sí, FTK Imager es completamente gratuito, incluso para uso comercial. AccessData (ahora Exterro) lo ofrece como herramienta independiente sin coste de licencia. La suite FTK completa sí es de pago.

¿Cuál es la diferencia entre FTK Imager y FTK?

FTK Imager es una herramienta gratuita centrada en adquisición de imágenes y previsualización básica. FTK (Forensic Toolkit) es la suite completa de análisis forense con coste de licencia (~3.000€/año) que incluye análisis profundo, indexación y reporting.

¿Puedo usar FTK Imager para análisis forense judicial?

Para adquisición de imágenes, sí. FTK Imager crea imágenes forenses válidas con hash verificable. Para análisis completo necesitarás herramientas adicionales como Autopsy, FTK o EnCase, pero la imagen creada con FTK Imager es perfectamente válida.

Términos Relacionados

Imagen Forense

Copia exacta bit a bit de un dispositivo de almacenamiento que preserva toda la información original, incluyendo archivos borrados y espacio no asignado, para su análisis forense.

Formato E01

Formato de imagen forense desarrollado por EnCase que almacena una copia bit a bit del disco junto con metadatos, hash de verificación y compresión, siendo el estándar más utilizado en investigaciones judiciales.

Formato DD

Formato de imagen forense sin compresión ni metadatos que copia bit a bit el contenido exacto de un disco, produciendo una réplica idéntica del medio original.

Guymager

Herramienta gráfica de código abierto para Linux que permite crear imágenes forenses de discos en formatos E01 y DD, con verificación de hash integrada y documentación del proceso de adquisición.

EnCase

Suite de software forense comercial desarrollada por Guidance Software (ahora OpenText) que permite adquisición, análisis y presentación de evidencia digital, siendo el estándar en fuerzas de seguridad y grandes corporaciones.

Write Blocker

Dispositivo hardware o software que impide cualquier escritura en un medio de almacenamiento, garantizando que la evidencia digital no sea modificada durante el análisis forense.

¿Necesitas un peritaje forense?

Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.

Solicitar Consulta Gratuita
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp