Verificacion forense de hash
¿Qué es Verificacion forense de hash?
Verificacion forense de hashPractica de calcular y comparar hashes criptograficos (tipicamente MD5 y SHA-256) de las imagenes forenses y los soportes originales para demostrar la integridad de la evidencia.
La verificacion forense de hash es la practica fundamental de calcular hashes criptograficos como MD5, SHA-1 y SHA-256 sobre la evidencia digital y compararlos en cada paso para demostrar que no ha sido alterada. Durante la adquisicion, los bloqueadores de escritura por hardware o software y herramientas como FTK Imager, Guymager o 'dd' calculan un hash del soporte original y de la imagen resultante; ambos deben coincidir. El rehasheo en la estacion de trabajo y en cada transferencia o restauracion queda documentado en la cadena de custodia. Estandares como NIST SP 800-86, las buenas practicas de SWGDE e ISO/IEC 27037 exigen doble hash (MD5 + SHA-256) porque MD5 ya no es resistente a colisiones. Conjuntos como NIST NSRL ayudan ademas a filtrar archivos conocidos buenos.
● Ejemplos
- 01
Registrar 'Adquisicion MD5 = ...; SHA-256 = ...' en el formulario de cadena de custodia y verificar coincidencia tras cada restauracion.
- 02
Rehashear una imagen E01 con 'ewfverify' antes de iniciar el analisis para demostrar que no ha sido manipulada.
● Preguntas frecuentes
¿Qué es Verificacion forense de hash?
Practica de calcular y comparar hashes criptograficos (tipicamente MD5 y SHA-256) de las imagenes forenses y los soportes originales para demostrar la integridad de la evidencia. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Verificacion forense de hash?
Practica de calcular y comparar hashes criptograficos (tipicamente MD5 y SHA-256) de las imagenes forenses y los soportes originales para demostrar la integridad de la evidencia.
¿Cómo defenderse de Verificacion forense de hash?
Las defensas contra Verificacion forense de hash combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Verificacion forense de hash?
Nombres alternativos comunes: Hash de evidencia, Verificacion de hash de imagen, Hashing forense.