Clonado forense de discos duros


Clonado forense de discos duros

Como perito informático colegiado, hoy les comentaré por qué es tan importante realizar el clonado forense de discos duros correctamente en un proceso de peritaje informático forense.

Clonado forense de discos duros

Por qué clonar discos duros

El clonado forense de discos duros se realiza a fin de certificar y mantener la cadena de custodia de las evidencias digitales contenidas en el dispositivo. Ello es fundamental en cualquier proceso judicial, ya que de no hacerse correctamente, los elementos probatorios quedarían invalidados.

Es deber del perito informático certificar la cadena de custodia, esto es, que las evidencias permanecen inalteradas desde el momento en que son intervenidas, pudiendo certificar su originalidad en cualquier momento posterior a la intervención.

En qué consiste el clonado forense de un disco duro

El clonado forense de discos duros consiste en copiar todo el contenido de un disco duro, bit a bit, en otro dispositivo de almacenamiento o fichero de imagen obteniendo la firma hash de los bits leídos durante el proceso. Con ello se obtiene una copia exacta a bajo nivel de todo el contenido del disco duro además de certificar su contenido con una firma hash.

Qué es la firma hash de un disco duro

La firma hash crea una cadena de firma en base a los bits leídos del disco duro, sin tomar en cuenta la cantidad de bits sobre la que se aplica el algoritmo. Este numero tiene una dependencia del contenido evaluado por el algoritmo permitiendo que si se produjera un cambio en los datos, el numero HASH cambiara.

Por ello la firma hash permite certificar que el contenido del disco duro no se alterado durante la intervención del perito informático ni con posterioridad por ninguna otra persona.

El proceso de clonado forense del disco duro

El laboratorio de clonado:

laboratorio forense informatico

Como comenté en un artículo anterior sobre cómo montar un laboratorio forense para clonar discos duros, vamos a usar un laboratorio de clonado de discos duros consistente en:

  • PC ACER Revo One RL 85, pensado originalmente como centro multimedia, con procesador Intel Core i3 4005, 4GB de RAM y 2 puertos USB 3.0
  • Base de conexión Startech SDOCK K4U33, USB3.0 con 4 bahías SATA alcanzando hasta 6GB por segundo de velocidad de transmisión.
  • Caine Linux.

Es vital contar con un laboratorio de clonado potente, ya que de lo contrario podríamos tardar días en el clonado de un disco duro de 1 Terabyte o mayor.

Arrancar Caine Linux:

Procederemos a arrancar nuestro laboratorio de clonado y a abrir nuestra distribución Caine Linux. En la parte inferior del escritorio veremos un disco duro en verde. Ello significa que las unidades de disco se van a conectar en modo de sólo lectura. Es fundamental que nos aseguremos de ello antes de conectar el disco duro, ya que de lo contrario podríamos alterar el contenido del disco duro e invalidar la prueba.

Identificar el dispositivo original y el que contendrá los datos clonados:

Documentaremos para cada disco marca, modelo y número de serie antes de proceder a conectarlos. Como es lógico, el disco duro destinatario de la copia deberá tener igual o mayor capacidad de almacenamiento que el disco duro a clonar.

Conexión de los discos duros en modo “solo lectura”:

Como he comentado antes, es vital conectar los discos duros impidiendo su modificación por parte del sistema operativo o de cualquier aplicación. Éste es el principal error cometido por un perito informático inexperto, y conlleva la invalidez de la prueba.

La aplicación GUYMAGER:

guymager peritaje informatico

Procederemos a abrir la aplicación GUYMAGER de nuestro Caine. GUYMAGER nos permite realizar una copia bit a bit de un disco duro, seleccionar el disco duro de destino, obtener las firmas Hash y verificar la integridad de la copia realizada. Además, GUYMAGER generará un fichero con la información de los discos duros intervenidos, fecha y hora de la operación y las firmas hash obtenidas. A su vez, es buena práctica que el perito informático obtenga la firma hash del fichero generado por GUYMAGER para certificar su autenticidad.

Y por último, el perito informático deberá tener paciencia:

El laboratorio forense que he comentado puede clonar simultáneamente 3 discsos duros de 1 Terabyte en algo menos de 4 horas. Aunque esto pueda parecer mucho, de no contar con un PC suficientemente potente, y sobre todo con puertos USB 3.0, podría tardar hasta 18 horas en clonar un sólo disco.

Por ello, querido lector, ármese de paciencia.

Ya he clonado el disco duro, ¿ahora qué?

Una vez clonado el disco duro, deberá precintar el dispositivo original y realizar el estudio pericial sólo en el disco duro clonado. A partir de ahí deberá intervenir las evidencias digitales contenidas en él y documentarlas, pero eso ya es materia de un próximo artículo.

¡Cuente con un perito informático colegiado o se arriesga a que invalide las evidencias digitales!

¿Qué te ha parecido la información?
Comparte esto:

mm

Acerca de Pedro De La Torre

Soy perito informático judicial colegiado, legalmente habilitado para actuar ante los tribunales de Justicia, conferenciante y ponente habitual en jornadas sobre peritaje informático, ciberseguridad y tecnologías de la información. Consultor especializado en estrategia digital y seguridad de la información.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

5 × 2 =