Caso práctico de peritaje informático: análisis forense mediante bloqueo de escritura de un disco duro

Cuando un perito informático se enfrenta al análisis de un disco duro para la realización de un peritaje informático, se deben tomar importantes precauciones. La primera de ellas es clonar el disco duro para no utilizar directamente el original, obteniendo mediante la clonadora el código hash correspondiente para cada disco (original y copia), después de la aplicación del algoritmo de hash implementado por la clonadora. La segunda precaución es no analizar el disco duro clonado conectándolo directamente al ordenador personal, sino a través de una bloqueadora de escritura. Una bloqueadora de escritura es una herramienta fundamental para el perito informático, ya que permite analizar un disco duro en modo de bloqueo de escritura, es decir, sin tener que preocuparse de que algún sector del disco pueda ser escrito accidentalmente, por lo que se mantiene la cadena de custodia durante el análisis forense del disco duro. Así pues, una vez analizado el disco duro habiendo utilizado el bloqueador de escritura, el código devuelto por el algoritmo de hash debe ser el mismo que antes de la realización del análisis.

 

En primer lugar, es necesario obtener el código hash del disco duro que se va a utilizar para realizar la prueba. Para ello, es necesario conectar a una clonadora el mencionado disco duro (el del ejemplo, con capacidad de un terabyte e interfaz SATA), para posteriormente ejecutar el algoritmo que devuelve dicho código. Para la prueba, se utilizará la clonadora Tableau TD2u (perteneciente al laboratorio de informática forense de este perito informático), que devolverá el código del algoritmo de hash SHA-1 para el disco duro utilizado. Como se puede observar en la fotografía adjunta, el código hash devuelto para el disco origen es 57615B9731C839086796C28B4113786669C4292D, tras realizar una clonación forense desde un disco duro origen a un disco duro destino (el utilizado como ejemplo para el análisis). En este caso de ejemplo, el disco duro origen y destino son de la misma marca y modelo, por tanto, devuelven el mismo hash, algo que no ocurre si la marca y el modelo no coinciden. Esta característica evitará, para realizar la prueba, el cálculo del código hash del disco destino, ya que es el mismo que el del origen.

codigo-hash-clonacion

 

Tras la conexión del disco duro a la bloqueadora de escritura y la posterior activación de ésta, es necesario seleccionar, bien el modo de lectura y escritura, bien el modo de sólo lectura, poniendo sumo cuidado en seleccionar este último para no escribir accidentalmente en el disco duro. A continuación, se ilustra mediante una fotografía el procedimiento de conexión del disco duro a una bloqueadora de escritura WiebeTech ComboDock V5, también perteneciente al laboratorio de informática forense de este perito informático, así como su posterior conexión, a través del bloqueador de escritura, a un ordenador personal mediante interfaz USB, al objeto de proceder a su análisis.

conexion-disco-sata-con-bloqueadora

Una vez se ha seleccionado en la bloqueadora de escritura el modo de sólo lectura y se ha conectado la misma al ordenador, el sistema operativo detecta y monta automáticamente las distintas particiones que componen el disco duro, lo cual se puede observar en la siguiente captura de pantalla. El sistema operativo utilizado es Microsoft Windows, pero también se podría utilizar cualquier distribución de Linux, ya que existen drivers compatibles con Linux para las bloqueadoras de escritura más importantes del mercado.

 

En este momento, es necesario acceder a una de las particiones del disco. En la siguiente captura de pantalla se puede comprobar que en el directorio raíz de la partición etiquetada por Windows como “Nuevo vol (G:)”, existe un directorio y ningún fichero.

captura-pantalla-original

Para comprobar la efectividad del bloqueo de escritura, se copiará un fichero cualquiera en el directorio raíz de la partición seleccionada, tal y como se muestra en la siguiente captura de pantalla (nótese que se podría copiar el fichero en cualquier subdirectorio de cualquiera de las particiones). En este punto del proceso, cuando realmente se esté en un análisis forense real, es cuando el perito informático debe usar las herramientas de software de análisis forense que estime más convenientes para cada caso, al objeto, bien de analizar la información que contiene el disco, bien de obtener ficheros borrados, bien de obtener información oculta, etc.

captura-pantalla-fichero-copiado

 

Posteriormente, se procede a desmontar la bloqueadora de escritura del sistema operativo. Para realizar esta operación, lo más seguro y conveniente es utilizar la herramienta de desmontado de volúmenes de Windows.

Una vez la bloqueadora de escritura ha sido desmontada, es necesario volver a montarla al objeto de comprobar que el fichero no se ha copiado en la raíz de la partición “Nuevo vol (G:)”. Como se puede observar en la siguiente captura de pantalla, efectivamente, el fichero no aparece copiado en la mencionada partición.

captura-pantalla-segunda-conexion

 

Finalmente, es necesario volver a obtener el código hash del disco duro para comprobar que la bloqueadora de escritura ha impedido la escritura en el mismo. Para ello, es necesario volver a conectar el disco duro a la clonadora y, tal y como se aprecia en la siguiente fotografía, el código hash SHA-1 obtenido es 57615B9731C839086796C28B4113786669C4292D, es decir, el mismo que se obtuvo al principio.

codigo-hash-despues-conexion

 

Cuando se realiza un peritaje informático en el que es necesario el análisis de un disco duro o de cualquier otro tipo de almacenamiento físico (memorias USB, tarjeas SD y sus variantes, etc.), es fundamental realizarlo sobre una copia clónica de la prueba y, además, usando una bloqueadora de escritura sobre dicha copia, al objeto de no alterar ni contaminar la prueba que está siendo analizada, así como de mantener la cadena de custodia sobre la misma en todo momento. Asimismo, todo el proceso explicado en el presente artículo, debe ser descrito e ilustrado por el perito informático en el informe pericial informático que se realice en cada caso, para dejar claro al lector del informe que los procedimientos han sido seguidos escrupulosamente, incluso cuando haya sido necesaria la presencia de un notario para la realización de parte del peritaje informático, como el clonado del disco duro.