Verificacion forense de hash.

Practica de calcular y comparar hashes criptograficos (tipicamente MD5 y SHA-256) de las imagenes forenses y los soportes originales para demostrar la integridad de la evidencia. Pertenece a la categoría de Forense y respuesta en ciberseguridad.

Practica de calcular y comparar hashes criptograficos (tipicamente MD5 y SHA-256) de las imagenes forenses y los soportes originales para demostrar la integridad de la evidencia.

La verificacion forense de hash es la practica fundamental de calcular hashes criptograficos como MD5, SHA-1 y SHA-256 sobre la evidencia digital y compararlos en cada paso para demostrar que no ha sido alterada. Durante la adquisicion, los bloqueadores de escritura por hardware o software y herramientas como FTK Imager, Guymager o 'dd' calculan un hash del soporte original y de la imagen resultante; ambos deben coincidir. El rehasheo en la estacion de trabajo y en cada transferencia o restauracion queda documentado en la cadena de custodia. Estandares como NIST SP 800-86, las buenas practicas de SWGDE e ISO/IEC 27037 exigen doble hash (MD5 + SHA-256) porque MD5 ya no es resistente a colisiones. Conjuntos como NIST NSRL ayudan ademas a filtrar archivos conocidos buenos.

Las defensas contra Verificacion forense de hash combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

Nombres alternativos comunes: Hash de evidencia, Verificacion de hash de imagen, Hashing forense.