En la actualidad, una fotografía, un video, un audio o un documento digital pueden convertirse en elementos importantes dentro de una investigación, un proceso judicial o una controversia técnica. Sin embargo, muchas personas desconocen que estos archivos pueden contener información interna conocida como metadatos, y que su análisis debe realizarse con cuidado para evitar alterar la evidencia.

En el ámbito forense digital, no basta con abrir un archivo y revisar su contenido visible. Es necesario aplicar una metodología que permita preservar el archivo original, trabajar sobre copias verificadas y utilizar herramientas técnicas adecuadas para extraer información confiable. La finalidad de este artículo es orientar a la ciudadanía, abogados, estudiantes y profesionales sobre la importancia de trabajar correctamente con archivos digitales desde una perspectiva técnica y forense.

¿Por qué no se debe trabajar directamente sobre el archivo original?

Una de las reglas fundamentales en el análisis forense digital es no trabajar directamente sobre el archivo original. El archivo fuente debe conservarse intacto, en el mismo estado en que fue recibido, evitando abrirlo innecesariamente, editarlo, renombrarlo, convertirlo o procesarlo con programas que puedan modificar sus propiedades.

Cuando se trabaja directamente sobre el archivo original, existe el riesgo de alterar fechas del sistema, atributos del archivo, datos internos o incluso su estructura técnica. Aunque muchas de estas modificaciones pueden parecer pequeñas, en un contexto judicial pueden generar cuestionamientos sobre la integridad, autenticidad y trazabilidad de la evidencia.

Por esta razón, el procedimiento correcto consiste en preservar el archivo original y crear una copia de trabajo. Sobre esa copia se pueden realizar análisis de metadatos, visualización, revisión técnica, extracción de información o pruebas complementarias, sin comprometer la evidencia principal.

La importancia del hash para verificar la integridad digital

Para comprobar que una copia es idéntica al archivo original, se utiliza un valor conocido como hash. El hash funciona como una huella digital del archivo. Si el archivo cambia aunque sea mínimamente, el hash también cambia.

Uno de los algoritmos más utilizados para este propósito es SHA256, que permite generar un valor único del archivo analizado. En Windows, por ejemplo, se puede calcular el hash con la herramienta CertUtil mediante el siguiente comando:

certutil -hashfile "video_original.mp4" SHA256

Luego se calcula el hash de la copia de trabajo:

certutil -hashfile "copia_trabajo.mp4" SHA256

Si ambos valores coinciden, se puede sostener técnicamente que la copia corresponde de manera íntegra al archivo original al momento de la verificación. Este paso es esencial para documentar que el análisis se realizó sobre una reproducción fiel de la evidencia digital.

¿Qué son los metadatos?

Los metadatos son datos asociados a un archivo digital. En palabras sencillas, son “datos sobre el archivo”. No siempre se observan a simple vista, pero pueden contener información relevante sobre su origen, creación, modificación, dispositivo, software, ubicación, formato, resolución o proceso de codificación.

En una fotografía, los metadatos pueden revelar información como marca y modelo del dispositivo, fecha de captura, coordenadas GPS, resolución, orientación, software utilizado, apertura, ISO, velocidad de obturación y otros parámetros de cámara.

En un video, los metadatos pueden mostrar duración, resolución, códec de video, códec de audio, fotogramas por segundo, bitrate, número de pistas, fechas internas, software de codificación y estructura del contenedor multimedia.

Importancia de los metadatos en el análisis forense

En el ámbito forense, los metadatos pueden ayudar a reconstruir aspectos técnicos del archivo. Por ejemplo, pueden orientar sobre cuándo pudo haberse creado un archivo, con qué dispositivo pudo capturarse, si conserva ubicación GPS, si fue exportado por un software, si fue comprimido o si mantiene coherencia entre sus fechas internas.

También pueden servir para detectar alertas técnicas. Por ejemplo, si un video conserva una resolución inusual, si presenta ausencia de fechas internas, si aparece un software de edición, si fue recompreso por una aplicación o si las fechas del sistema no coinciden con las fechas internas del archivo.

Sin embargo, es importante aclarar que los metadatos no siempre prueban por sí solos una manipulación. La ausencia de metadatos no significa automáticamente falsificación. Muchas plataformas, como WhatsApp, Facebook, Instagram, TikTok, Telegram o editores de video, pueden eliminar, modificar o reemplazar metadatos durante procesos de envío, descarga, edición, exportación o recompresión.

Por esta razón, los metadatos deben interpretarse junto con otros elementos, como cadena de custodia, origen del archivo, hash, historial de transferencia, análisis visual o auditivo, comparación con el archivo original y revisión técnica del contenido.

Herramientas recomendadas para analizar metadatos

Para un análisis técnico y ordenado, se pueden utilizar herramientas especializadas que permiten extraer información del archivo sin depender únicamente de las propiedades visibles del sistema operativo. Entre las más utilizadas se encuentran ExifTool, FFprobe y CertUtil.

ExifTool

ExifTool es una herramienta muy útil para extraer metadatos de fotografías, videos, audios y documentos digitales. Permite identificar fechas internas, información del dispositivo, coordenadas GPS, software utilizado, dimensiones, parámetros técnicos y etiquetas ocultas o agrupadas dentro del archivo.

exiftool -a -u -g1 "archivo.mp4" > metadatos_exiftool.txt

También se puede exportar la información en formato JSON:

exiftool -json "archivo.mp4" > metadatos_exiftool.json

FFprobe

FFprobe forma parte de FFmpeg y es especialmente útil para analizar archivos multimedia, principalmente videos. Permite revisar datos como duración, resolución, códec de video, códec de audio, tasa de fotogramas, bitrate, número de pistas y estructura del contenedor.

ffprobe -v quiet -print_format json -show_format -show_streams "video.mp4" > metadatos_ffprobe.json

CertUtil

CertUtil es una herramienta disponible en Windows que permite calcular valores hash, como SHA256. Su uso es importante para verificar la integridad del archivo original y de la copia de trabajo.

certutil -hashfile "archivo.mp4" SHA256 > hash_SHA256.txt

Procedimiento técnico recomendado

Un procedimiento básico para trabajar con evidencia digital debe seguir una secuencia ordenada. Primero se recibe el archivo original y se registran sus datos generales, como nombre, tamaño, fecha de recepción y medio de entrega. Luego se calcula el hash del archivo original y se crea una copia de trabajo.

Después se calcula el hash de la copia y se verifica que coincida con el hash del original. Solo cuando se confirma que la copia es idéntica, se procede a realizar el análisis técnico de metadatos con herramientas como ExifTool y FFprobe.

1. Recibir y registrar el archivo original.
2. Conservar el archivo original sin modificarlo.
3. Calcular el hash SHA256 del archivo original.
4. Crear una copia de trabajo.
5. Calcular el hash SHA256 de la copia.
6. Verificar que ambos valores hash coincidan.
7. Analizar únicamente la copia de trabajo.
8. Extraer metadatos con ExifTool.
9. Extraer datos técnicos con FFprobe cuando se trate de videos.
10. Guardar los resultados en archivos separados.
11. Interpretar los hallazgos sin exceder el alcance técnico de la información disponible.

Estructura recomendada para organizar el análisis

Para mantener orden, trazabilidad y claridad, se recomienda organizar los archivos en carpetas separadas. Esto facilita la revisión posterior, la elaboración del informe y la explicación del procedimiento aplicado.

ANALISIS_FORENSE_DIGITAL
│
├── 01_ORIGINAL
│   └── archivo_original.mp4
│
├── 02_COPIA_TRABAJO
│   └── copia_trabajo.mp4
│
├── 03_HASH
│   ├── hash_original_SHA256.txt
│   └── hash_copia_SHA256.txt
│
├── 04_METADATOS
│   ├── metadatos_exiftool.txt
│   ├── metadatos_exiftool.json
│   └── metadatos_ffprobe.json
│
└── 05_INFORME
    └── observaciones_tecnicas.txt

Interpretación responsable de los resultados

Una parte fundamental del trabajo forense digital consiste en interpretar correctamente los resultados. No todo hallazgo técnico significa manipulación. Por ejemplo, la ausencia de GPS, la falta de fecha original, la presencia de un software de exportación o una resolución reducida pueden deberse a procesos normales de transferencia, mensajería, edición o compresión.

Por ello, una conclusión técnica responsable debe diferenciar entre lo que se puede afirmar, lo que solo se puede inferir y lo que requiere análisis complementario. Los metadatos pueden orientar una investigación, pero deben ser valorados junto con el contexto, la cadena de custodia, el origen del archivo y el contenido visible o audible.

Conclusión

Trabajar con copias verificadas mediante hash y analizar metadatos con herramientas especializadas es una práctica esencial en el ámbito forense digital. Este procedimiento protege el archivo original, fortalece la integridad del análisis y permite obtener información técnica útil para comprender el origen, estructura y posible tratamiento de un archivo digital.

La finalidad de este tipo de análisis no es generar conclusiones apresuradas, sino ayudar a las personas, abogados y profesionales a comprender técnicamente qué información puede aportar un archivo digital y cuáles son sus límites. Un análisis serio debe ser objetivo, verificable y prudente, especialmente cuando los resultados pueden ser utilizados dentro de un proceso judicial.

Desde una perspectiva pericial, la correcta preservación de la evidencia digital y el análisis responsable de sus metadatos contribuyen a una mejor valoración de la prueba, fortalecen la transparencia del procedimiento y permiten emitir criterios técnicos con mayor sustento.

¿Necesitas apoyo técnico o pericial?

Si necesitas orientación en análisis de metadatos, evidencia digital, metaperitaje, documentología, caligrafía forense, reconstrucción de accidentes de tránsito o revisión técnica de informes periciales, puedes contactarme para una asesoría profesional especializada.

Página web: www.byronvilema.com