Artículos / Informática forense

Integridad digital · Hashes

Hashes en informática forense: MD5, SHA-1 y SHA-256

Explicación práctica de qué demuestra un hash, qué no demuestra, por qué SHA-256 es preferible en reportes modernos y cómo integrarlo a la cadena de custodia.

Resumen

Un hash es una huella matemática de un archivo, imagen forense o conjunto de datos. Si el contenido cambia, el hash cambia. Por eso se usa para verificar integridad antes, durante y después del análisis.

Punto clave: el hash no dice quién creó un archivo ni si su contenido es verdadero. Dice si el objeto calculado es el mismo que fue calculado en otro momento.

Qué es un hash

La función hash transforma datos de cualquier tamaño en una salida fija. En peritaje se calcula sobre archivos, imágenes forenses, paquetes de evidencia, exportaciones o documentos. El resultado se registra en informes, anexos, bitácoras y formularios de custodia.

Dashboard CID Forense
Control de evidencia, reportes y trazabilidad técnica

MD5, SHA-1 y SHA-256

  • MD5: aparece en flujos heredados, pero tiene debilidades conocidas. Puede conservarse como compatibilidad, no como único soporte en casos sensibles.
  • SHA-1: fue muy usado, pero NIST lo deprecó y publicó planes de transición por riesgos de colisión.
  • SHA-256: pertenece a la familia SHA-2 y es una opción estándar y robusta para integridad en reportes actuales.

Cómo reportarlo

  1. Indicar algoritmo completo: por ejemplo, SHA-256.
  2. Copiar el valor completo, sin truncarlo en anexos.
  3. Registrar herramienta, versión, fecha, hora y operador.
  4. Calcular hash inicial y hash de verificación posterior.
  5. Relacionar el hash con un identificador de evidencia y cadena de custodia.

Referencias de interés

Ver presentaciónVolver a artículos