Firmas hash y cadena de custodia 3


 Peritaje informático: Como perito informático, hoy les voy a hablar sobre firmas hash y cadena de custodia y por qué son fundamentales para preservar las evidencias digitales.

Firmas hash y cadena de custodia

Firmas hash y cadena de custodia de evidencias digitales

La firma hash crea una cadena de firma en base al contenido de un grupo de bits, de tamaño uniforme (dependiendo del algoritmo utilizado), sin tomar en cuenta la cantidad de bits sobre la que se aplica el algoritmo. Este numero tiene una dependencia del contenido evaluado por el algoritmo permitiendo que si se realice un cambio en los datos, el numero HASH cambiara.

La firma hash es el resultado de aplicar una función criptográfica a un conjunto dado de bits. La firma tiene una dependencia del contenido evaluado por la función criptográfica, por lo que si se realizase un cambio en los datos, la firma hash sería distinta. Esto es muy útil en informática forense para establecer la cadena de custodia de una evidencia digital. Las firmas hash más utilizadas son:

  • SHA-1
  • SHA-256
  • SHA-512

La cadena de custodia de la prueba se define como el procedimiento controlado que se aplica a las evidencias digitales relacionadas con un posible delito, desde su localización y extracción hasta su valoración por el perito informático colegiado encargado de su análisis y que tiene como fin evitar alteraciones, sustituciones, contaminaciones o destrucciones, certificando su autenticidad.

Papel de la firma hash en la cadena de custodia

Al intervenir una evidencia digital, el procedimiento habitual consiste en obtener la firma hash del fichero o disco duro intervenido, realizar una copia de la evidencia mediante los diversos métodos conocidos, obtener la firma hash de la copia de la evidencia y cotejarla con la original. Si ambas firmas digitales coinciden, la cadena de custodia queda preservada y el perito informático colegiado podrá comenzar a estudiar la copia de la evidencia digital intervenida.

¿Son infalibles las firmas hash?

Sí lo son, pero con un matiz. Existen ataques contra las firmas hash basados en la pura fuerza bruta que, debido al crecimiento exponencial de la capacidad de proceso de los ordenadores, terminan por dejar obsoletas las funciones hash más antiguas. Así mismo, al aumentar la capacidad de procesamiento también aumenta la longitud de las firmas, lo que las hace más seguras.

¿Se puede preservar la cadena de custodia sin firmas hash?

Definitivamente no. Es imprescindible obtener las firmas hash tanto del archivo digital estudiado como del soporte que la contiene.

Por todo ello, querido lector, es imprescindible contar con un perito informático colegiado para intervenir correctamente las evidencias digitales, ya que de no preservarse la cadena de custodia todas las pruebas quedarían invalidadas y no tendríamos caso.

¿Qué te ha parecido la información?
Comparte esto:

mm

Acerca de Pedro De La Torre

Soy perito informático judicial colegiado, legalmente habilitado para actuar ante los tribunales de Justicia, conferenciante y ponente habitual en jornadas sobre peritaje informático, ciberseguridad y tecnologías de la información. Consultor especializado en estrategia digital y seguridad de la información.


Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

nueve − 4 =

3 ideas sobre “Firmas hash y cadena de custodia