Artículos / Informática forense

Integridad digital · Hashes

Hashes en informática forense: MD5, SHA-1 y SHA-256

Explicación práctica de qué demuestra un hash, qué no demuestra, por qué SHA-256 es preferible en reportes modernos y cómo integrarlo a la cadena de custodia.

Resumen

Un hash es una huella matemática de un archivo, imagen forense o conjunto de datos. Si el contenido cambia, el hash cambia. Por eso se usa para verificar integridad antes, durante y después del análisis.

Punto clave: el hash no dice quién creó un archivo ni si su contenido es verdadero. Dice si el objeto calculado es el mismo que fue calculado en otro momento.

Qué es un hash

La función hash transforma datos de cualquier tamaño en una salida fija. En peritaje se calcula sobre archivos, imágenes forenses, paquetes de evidencia, exportaciones o documentos. El resultado se registra en informes, anexos, bitácoras y formularios de custodia.

Dashboard CID Forense
Control de evidencia, reportes y trazabilidad técnica

MD5, SHA-1 y SHA-256

  • MD5: aparece en flujos heredados, pero tiene debilidades conocidas. Puede conservarse como compatibilidad, no como único soporte en casos sensibles.
  • SHA-1: fue muy usado, pero NIST lo deprecó y publicó planes de transición por riesgos de colisión.
  • SHA-256: pertenece a la familia SHA-2 y es una opción estándar y robusta para integridad en reportes actuales.

Colisiones y alcance probatorio

Una colisión ocurre cuando dos entradas distintas producen el mismo valor hash. En informática forense esto no significa que todo hash sea inútil; significa que el algoritmo elegido y el contexto de uso importan. MD5 y SHA-1 tienen debilidades criptográficas conocidas y no deben presentarse como único mecanismo de integridad en evidencia crítica. SHA-256 ofrece una resistencia mucho mayor frente a colisiones prácticas y es preferible para reportes modernos, imágenes forenses, paquetes de evidencia y anexos de preservación.

El hash tampoco resuelve por sí solo autenticidad, autoría o licitud. Si un archivo fue alterado antes de la primera adquisición, el hash solo preservará esa versión ya alterada. Por eso debe interpretarse junto con cadena de custodia, fuente, fecha de recolección, bitácora del operador, condiciones de almacenamiento y método de adquisición. Técnicamente, el hash prueba igualdad binaria entre dos objetos calculados bajo el mismo algoritmo; probatoriamente, ayuda a sostener integridad desde un punto de control documentado.

  • Integridad: confirma que el flujo de bits no cambió desde el cálculo registrado.
  • Identificación: permite referirse a un objeto digital de manera unívoca dentro del expediente.
  • Repetibilidad: permite que otra parte recalcule el valor con herramienta independiente.
  • Límite: no demuestra contenido verdadero, autor humano, contexto completo ni ausencia de manipulación previa.

Cómo reportarlo

  1. Indicar algoritmo completo: por ejemplo, SHA-256.
  2. Copiar el valor completo, sin truncarlo en anexos.
  3. Registrar herramienta, versión, fecha, hora y operador.
  4. Calcular hash inicial y hash de verificación posterior.
  5. Relacionar el hash con un identificador de evidencia y cadena de custodia.

Validación técnica y control de calidad

La validación debe contemplar al menos dos momentos: hash de adquisición y hash de verificación. En una imagen forense, el primer cálculo se realiza al momento de crear o recibir la imagen; el segundo se ejecuta antes del análisis, antes de transferencias relevantes o antes de entregar resultados. Si ambos coinciden, existe soporte técnico para afirmar que el objeto examinado conserva integridad respecto del objeto adquirido.

En informes complejos puede convenir registrar múltiples algoritmos, por ejemplo SHA-256 como principal y MD5 solo por compatibilidad con herramientas heredadas. También debe documentarse si el hash corresponde a un archivo individual, a una imagen completa, a un contenedor comprimido, a un reporte exportado o a un conjunto de evidencias. Esa precisión evita confusiones: el hash de un archivo ZIP no identifica automáticamente cada archivo interno si estos no fueron inventariados y calculados por separado.

  1. Usar herramientas confiables y registrar versión, sistema operativo y operador.
  2. Guardar valores completos en anexos, sin capturas parciales ni transcripciones incompletas.
  3. Relacionar cada hash con código de evidencia, nombre lógico, tamaño en bytes y ubicación de resguardo.
  4. Recalcular después de copias, movimientos, compresión o entrega a terceros.
  5. Explicar cualquier discrepancia y suspender conclusiones de integridad si el valor no coincide.

Referencias de interés

Ver presentaciónVolver a artículos