Cuando entramos al mundo de la informática forense, esta es una de las primeras preguntas que todos nos hacemos, ¿que es? y ¿cuál es la diferencia con un backup?
Podemos definir que una copia forense es el proceso de llevar a cabo una copia exacta de un medio de almacenamiento digital, el cual se realiza a bajo nivel, esto mediante la copia bit a bit de todos los datos, siendo el resultado un archivo o mulltiples archivos (fragmentados), del mismo tamaño que el medio de almacenamiento origen. Este quiere decir que el espacio «en blanco» o «vacio» también se copia, siendo este un punto diferenciador frente a un backup.
Cuando en un juicio se le pide a un perito llevar a cabo la copia forense o una empresa desea copiar un disco, memoria o una unidad en concreto, se lleva a cabo un proceso que genera una copia exacta al origen, esta copia se acompaña siempre con el algoritmo hash que se usó para calcular su integridad, dicho algoritmo puede ser SHA-224, SHA-256, SHA-384, SHA-512 PERO NUNCA MD5 O SHA-1
Las copias forenses suelen hacerse con alguno de los principales formatos, como son:
No, los backups tienen un propósito distinto, el cual es tener una copia de los archivos existentes en una carpeta o en una unidad de almacenamiento, una copia forense consiste en copiar de principio a fin del medio de almacenamiento. Por ello de entrada un backup y una copia forense tienen diferencias muy marcadas.
Por otra parte un clonado de disco es llevar a cabo una copia de un disco pero copiando las particiones que tiene el medio original.
Uun ejemplo práctio es tener un disco de una maquina Windows y copiar todos los archivos a otra unidad, esta segunda unidad al colocarla en una computadora jamás va a iniciar el sistema operativo, a nivel técnico existen particiones en el disco origen que no son visibles y sin ellas no se encuentran las instrucciones para la MBR que le permita al equipo arrancar con la carga de Windows, sin embargo un «clon de disco», si que permite copiar estar particiones, para tener un disco totalmente funcional e identico al origen, peeeeeeero no incluye la copia del espacio vacio, por lo que para fines forenses no se puede utilizar.
Un cuchillo me puede servir para desatorinllar, sin embargo un desarmador está hecho justamente para ello y es menos probable que dañe el tornillo.
En ese sentido hay algunas herramientas de backups o clonados de discos que permiten en funciones avanzadas hacer una copia integra de disco, es importante revisar cada una para emitir un comentario de la integridad en la misma, ya que en pruebas que hemos hecho han salido con diferencia de bytes con lo cual se entiende que no es 100% igual, por lo que si el caso es para un jucio, la recomendación es utilizar una herramienta gratuita o de paga destinada para ello.