CID Forense JURIDICA Group
Hashes MD5, SHA-1 y SHA-256 Huella matematica para verificar integridad
Volver a articulos A

Presentación técnica

Hashes MD5, SHA-1 y SHA-256

Huella matemática para verificar integridad. Material para capacitación, litigio y explicación pericial.

01 / 30

Concepto

Qué es un hash

Una función hash convierte datos de cualquier tamaño en una huella de longitud fija.

02 / 30

Puntos clave síntesis
EntradaArchivo o datos.
AlgoritmoMD5/SHA-1/SHA-256.
SalidaDigest hexadecimal.
ComparaciónCoincide o no coincide.

Integridad

Qué demuestra

Demuestra que el objeto calculado coincide con el objeto calculado en otro momento.

03 / 30

Puntos clave síntesis
EntradaArchivo o datos.
AlgoritmoMD5/SHA-1/SHA-256.
SalidaDigest hexadecimal.
ComparaciónCoincide o no coincide.

Límite

Qué no demuestra

No prueba autoría, verdad del contenido ni licitud de obtención.

04 / 30

Puntos clave síntesis
EntradaArchivo o datos.
AlgoritmoMD5/SHA-1/SHA-256.
SalidaDigest hexadecimal.
ComparaciónCoincide o no coincide.

Avalancha

Un bit cambia todo

Una mínima alteración produce un valor completamente diferente.

05 / 30

Puntos clave síntesis
EntradaArchivo o datos.
AlgoritmoMD5/SHA-1/SHA-256.
SalidaDigest hexadecimal.
ComparaciónCoincide o no coincide.

Uso forense

Dónde se aplica

Archivos, imágenes forenses, paquetes, exportaciones, reportes y anexos.

06 / 30

Puntos clave síntesis
EntradaArchivo o datos.
AlgoritmoMD5/SHA-1/SHA-256.
SalidaDigest hexadecimal.
ComparaciónCoincide o no coincide.

Visual

Control de integridad

El hash se integra con la plataforma, el expediente, el informe y la cadena de custodia.

07 / 30

Visual plataforma
Control de integridad

MD5

Uso histórico

MD5 aparece en herramientas y reportes antiguos. Puede servir para compatibilidad, pero no debe ser el único soporte en casos sensibles.

08 / 30

Puntos clave síntesis
128 bitsSalida corta.
HistóricoMuy difundido.
RiesgoColisiones conocidas.
UsoApoyo, no único.

SHA-1

Algoritmo de transición

SHA-1 fue usado ampliamente, pero NIST lo deprecó para usos que requieren resistencia a colisiones.

09 / 30

Puntos clave síntesis
160 bitsSalida intermedia.
LegadoAparece en reportes.
RiesgoNo recomendado.
TransiciónPreferir SHA-256.

SHA-256

Opción recomendada

SHA-256 pertenece a SHA-2 y ofrece una base robusta para reportes periciales modernos.

10 / 30

Puntos clave síntesis
256 bitsSalida de 64 hex.
RobustoUso actual.
ClaroFácil de explicar.
InformePrincipal recomendado.

Comparativo

MD5, SHA-1 y SHA-256

El algoritmo elegido debe justificarse según riesgo, compatibilidad y estándar del caso.

11 / 30

Comparativo criterios
Legado
  • MD5
  • SHA-1
  • Compatibilidad
  • Mayor discusión
Actual
  • SHA-256
  • SHA-512
  • Menor riesgo
  • Mejor soporte

Reporte

Campos mínimos

El informe debe registrar algoritmo, valor completo, herramienta, versión, fecha, operador y evidencia asociada.

12 / 30

Secuencia proceso
1Identificar evidencia
2Calcular hash inicial
3Registrar herramienta y operador
4Verificar hash final

Cadena

Relación con custodia

El hash complementa la cadena de custodia porque permite verificar contenido, pero no reemplaza la documentación de transferencias.

13 / 30

Puntos clave síntesis
CustodiaQuién y cuándo.
HashQué contenido.
InformeCómo se calculó.
AnexoValor completo.

Imagen forense

Hash de adquisición

En imágenes bit a bit, el hash del original y la copia ayuda a demostrar que la adquisición produjo una réplica verificable.

14 / 30

Secuencia proceso
1Preparar medio
2Usar método controlado
3Calcular hash origen/copia
4Comparar y documentar

Archivos

Hash de documentos

Para archivos individuales, el hash permite detectar cambios en PDF, imágenes, videos, exportaciones y anexos.

15 / 30

Puntos clave síntesis
PDFDocumentos.
JPG/PNGImágenes.
MP4Videos.
ZIPPaquetes.

Errores

Errores frecuentes

Los errores más comunes son truncar hashes, omitir herramienta, mezclar algoritmos o no vincular el valor con un identificador de evidencia.

16 / 30

Comparativo criterios
Débil
  • Hash truncado
  • Sin fecha
  • Sin herramienta
  • Sin evidencia vinculada
Fuerte
  • Hash completo
  • Fecha/hora
  • Herramienta/versión
  • Código de evidencia

Colisiones

Cómo explicarlas

Una colisión ocurre cuando dos entradas distintas producen el mismo hash. Por eso se prefieren algoritmos actuales en casos sensibles.

17 / 30

Puntos clave síntesis
ConceptoDos entradas, un valor.
MD5Riesgo conocido.
SHA-1Deprecado.
SHA-256Preferible.

Validación

Comparación temporal

El hash inicial y el final deben coincidir si la evidencia se mantiene íntegra durante el proceso.

18 / 30

Secuencia proceso
1Hash inicial
2Resguardo o análisis
3Hash final
4Coincidencia documentada

Explicación

Lenguaje para tribunal

Use una explicación simple: el hash es como una huella digital del archivo; si el archivo cambia, la huella cambia.

19 / 30

Puntos clave síntesis
SimpleHuella digital.
PrecisoNo es cifrado.
LimitadoNo prueba verdad.
ÚtilPrueba integridad.

Herramientas

Versionamiento

La herramienta y versión importan porque permiten reproducir o auditar el cálculo.

20 / 30

Puntos clave síntesis
HerramientaNombre.
VersiónNúmero.
SistemaEntorno.
OperadorResponsable.

Anexos

No truncar valores

En tablas y anexos, el hash debe aparecer completo. Si se resume en el texto, el anexo debe conservar el valor íntegro.

21 / 30

Secuencia proceso
1Resumen ejecutivo
2Tabla de evidencias
3Anexo técnico
4Archivo de soporte

Estándares

Referencias técnicas

NIST ofrece guías sobre funciones hash y uso de MD5/SHA-1 en forense digital.

22 / 30

Referencias base

NIST Hash Functions

NIST IR 8387

NIST Digital Evidence Table

Caso práctico

Aplicación en expediente

Para cada evidencia digital, vincule hash, descripción, fuente, cadena de custodia y anexo técnico.

23 / 30

Puntos clave síntesis
CódigoID de evidencia.
DescripciónObjeto calculado.
HashValor completo.
AnexoSoporte verificable.

Caso práctico

Aplicación en expediente

Para cada evidencia digital, vincule hash, descripción, fuente, cadena de custodia y anexo técnico.

24 / 30

Puntos clave síntesis
CódigoID de evidencia.
DescripciónObjeto calculado.
HashValor completo.
AnexoSoporte verificable.

Caso práctico

Aplicación en expediente

Para cada evidencia digital, vincule hash, descripción, fuente, cadena de custodia y anexo técnico.

25 / 30

Puntos clave síntesis
CódigoID de evidencia.
DescripciónObjeto calculado.
HashValor completo.
AnexoSoporte verificable.

Caso práctico

Aplicación en expediente

Para cada evidencia digital, vincule hash, descripción, fuente, cadena de custodia y anexo técnico.

26 / 30

Puntos clave síntesis
CódigoID de evidencia.
DescripciónObjeto calculado.
HashValor completo.
AnexoSoporte verificable.

Caso práctico

Aplicación en expediente

Para cada evidencia digital, vincule hash, descripción, fuente, cadena de custodia y anexo técnico.

27 / 30

Puntos clave síntesis
CódigoID de evidencia.
DescripciónObjeto calculado.
HashValor completo.
AnexoSoporte verificable.

Caso práctico

Aplicación en expediente

Para cada evidencia digital, vincule hash, descripción, fuente, cadena de custodia y anexo técnico.

28 / 30

Puntos clave síntesis
CódigoID de evidencia.
DescripciónObjeto calculado.
HashValor completo.
AnexoSoporte verificable.

Caso práctico

Aplicación en expediente

Para cada evidencia digital, vincule hash, descripción, fuente, cadena de custodia y anexo técnico.

29 / 30

Puntos clave síntesis
CódigoID de evidencia.
DescripciónObjeto calculado.
HashValor completo.
AnexoSoporte verificable.

Cierre

Conclusión operativa

El hash es una herramienta de integridad poderosa cuando se usa con cadena de custodia, documentación técnica y explicación clara de sus límites.

30 / 30

Puntos clave síntesis
IntegridadObjeto no alterado.
TrazabilidadVinculado al expediente.
ClaridadExplicable.
LímiteNo prueba autoría.