Seguridad

Hash Criptográfico

Función matemática que genera una cadena única de caracteres (huella digital) a partir de cualquier conjunto de datos, permitiendo verificar que no han sido alterados.

4 min de lectura

¿Qué es un Hash Criptográfico?

Un hash criptográfico es el resultado de aplicar una función matemática a cualquier conjunto de datos (un archivo, un disco duro, un texto) para obtener una cadena de caracteres de longitud fija que actúa como su huella digital única.

Analogía Simple

Piensa en el hash como la huella dactilar de un archivo. Así como cada persona tiene una huella única, cada archivo tiene un hash único. Si alguien modifica el archivo (aunque sea un solo carácter), la “huella” cambia completamente.

Propiedades Fundamentales

Un hash criptográfico válido debe cumplir estas propiedades:

PropiedadDescripción
DeterministaEl mismo input siempre produce el mismo output
RápidoSe calcula en milisegundos incluso para archivos grandes
Efecto avalanchaUn cambio mínimo produce un hash completamente diferente
UnidireccionalImposible reconstruir el archivo original desde el hash
Resistente a colisionesPrácticamente imposible encontrar dos archivos con el mismo hash

Algoritmos de Hash Más Utilizados

SHA-256 (Secure Hash Algorithm)

Recomendado para Forense

SHA-256 es el estándar actual para análisis forense digital. Genera un hash de 256 bits (64 caracteres hexadecimales) y no tiene vulnerabilidades conocidas.

Ejemplo de hash SHA-256:

a3f2b8c9d4e5f6a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5

MD5 (Message Digest 5)

Uso Limitado

MD5 genera hashes de 128 bits (32 caracteres). Aunque es más rápido, tiene vulnerabilidades de colisión conocidas desde 2004. Se acepta como complemento, pero nunca como único método de verificación en contextos judiciales.

Ejemplo de hash MD5:

d41d8cd98f00b204e9800998ecf8427e

SHA-1 (Obsoleto)

SHA-1 está desaconsejado desde 2017 cuando Google demostró una colisión práctica. No debe usarse en nuevos análisis forenses.

Uso en Análisis Forense Digital

  1. Adquisición: Inmediatamente después de crear una imagen forense, se calcula su hash SHA-256. Este es el “hash original” que se documenta en la cadena de custodia.

  2. Verificación pre-análisis: Antes de comenzar cualquier análisis, se recalcula el hash y se compara con el original para confirmar que la copia no ha sido alterada.

  3. Verificación post-análisis: Al finalizar, se verifica nuevamente que la imagen forense mantiene su integridad.

  4. Documentación: Todos los hashes se incluyen en el informe pericial como prueba de integridad.

Comandos Prácticos

hash-linux.sh
bash
# Calcular SHA-256
sha256sum archivo.dd
# Resultado: a3f2b8c9... archivo.dd

# Calcular MD5 (complementario)
md5sum archivo.dd

# Verificar hash desde archivo
sha256sum -c hashes.txt
hash-windows.ps1
powershell
# Calcular SHA-256
Get-FileHash -Algorithm SHA256 archivo.dd

# Calcular MD5
Get-FileHash -Algorithm MD5 archivo.dd

# Comparar hashes
(Get-FileHash archivo.dd).Hash -eq "HASH_ESPERADO"

Ejemplo Práctico: Verificación de Integridad

Escenario

Un perito recibe un disco duro para analizar en un caso de fraude. El disco fue incautado hace 3 meses y ha pasado por varias manos.

Proceso de Verificación

  1. Hash original documentado (día de la incautación):

    SHA-256: 7f83b1657ff1fc53b92dc18148a1d65dfc2d4b1fa3d677284addd200126d9069

  2. Hash actual (antes del análisis):

    SHA-256: 7f83b1657ff1fc53b92dc18148a1d65dfc2d4b1fa3d677284addd200126d9069

  3. Resultado: ✅ Los hashes coinciden. La evidencia no ha sido alterada en 3 meses.

Si los hashes no coinciden

Si el hash actual difiere del original, la evidencia ha sido modificada (intencionalmente o por error). El perito debe documentar esta discrepancia y la evidencia puede ser impugnada en juicio.

Limitaciones y Consideraciones

Colisiones

Una colisión ocurre cuando dos archivos diferentes producen el mismo hash. Aunque teóricamente posible, con SHA-256 la probabilidad es astronómicamente baja (1 entre 2^256).

Hash no prueba contenido

Importante

El hash solo prueba que un archivo no ha cambiado. No prueba qué contiene el archivo ni quién lo creó. Para eso se necesitan otros análisis forenses.

Rendimiento

Para discos muy grandes (varios TB), calcular SHA-256 puede tardar horas. Herramientas forenses profesionales optimizan este proceso.

Herramientas Forenses con Soporte de Hash

HerramientaAlgoritmos SoportadosVerificación Automática
FTK ImagerMD5, SHA-1, SHA-256Sí, durante adquisición
EnCaseMD5, SHA-1, SHA-256, SHA-512Sí, con logging
AutopsyMD5, SHA-256Sí, integrado
dc3ddMD5, SHA-256Sí, en tiempo real

En España, los tribunales aceptan el hash criptográfico como prueba de integridad siempre que:

  1. Se haya calculado inmediatamente tras la adquisición
  2. Se utilice un algoritmo reconocido (preferiblemente SHA-256)
  3. Esté documentado en la cadena de custodia
  4. Se pueda reproducir la verificación en cualquier momento

Relación con Otros Conceptos

  • Cadena de Custodia: El hash es el mecanismo técnico que respalda la cadena de custodia
  • Imagen Forense: Toda imagen forense debe tener su hash documentado
  • Firma Digital: Utiliza hashes como parte del proceso de firma

Conclusión

El hash criptográfico es la piedra angular técnica de la integridad en análisis forense digital. Sin hashes verificables, cualquier evidencia digital puede ser cuestionada. Un perito competente siempre documenta y verifica hashes en cada etapa del proceso.

Última actualización: 3 de enero de 2025
Categoría: Seguridad
Código: HCR-001

Preguntas Frecuentes

¿Qué es un hash en informática forense?

Un hash es una cadena única de caracteres generada por una función matemática que actúa como 'huella digital' de un archivo o disco. Si cambia un solo bit del original, el hash será completamente diferente.

¿Por qué se usa SHA-256 en lugar de MD5?

SHA-256 es más seguro porque no tiene vulnerabilidades conocidas de colisión, mientras que MD5 puede generar el mismo hash para archivos diferentes (colisión), lo que compromete su fiabilidad en contextos legales.

¿Cómo se verifica la integridad con hash?

Se calcula el hash del archivo original y se guarda. Posteriormente, se recalcula el hash y se compara. Si ambos coinciden exactamente, el archivo no ha sido modificado.

Términos Relacionados

SHA-256

Algoritmo criptográfico que genera una huella digital única de 256 bits para cualquier archivo, utilizado como estándar para verificar la integridad de evidencias digitales.

Cadena de Custodia

Procedimiento documentado que garantiza la integridad, autenticidad y trazabilidad de la evidencia digital desde su recolección hasta su presentación en juicio.

Integridad de la Evidencia

Garantía de que una evidencia digital no ha sido alterada, modificada o corrompida desde su recolección hasta su presentación en juicio.

Imagen Forense

Copia exacta bit a bit de un dispositivo de almacenamiento que preserva toda la información original, incluyendo archivos borrados y espacio no asignado, para su análisis forense.

¿Necesitas un peritaje forense?

Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.

Solicitar Consulta Gratuita