Peritaciones basadas en las fechas de un fichero

La peritación de las fechas de los ficheros consiste en sacar y certificarlos metadatos contenidos en los propios ficheros y que indican los diferentes tipos de fechas que hay:

La fecha de creación de un fichero es cuando se crea en ese sistema de ficheros y varía si copiamos un archivo por ejemplo, del disco duro al pendrive

La fecha de modificación es cuando se ha cambiado algo dentro del fichero y no varía si se copia a otro dispositivo, carpeta o disco

La fecha de último acceso es cuando hemos abierto ese fichero sin haber realizado cambios

En este ejemplo de la imagen, se trata de un fichero de Excel:

¿Qué comprueba un Perito informático?

El perito informático comprueba los metadatos de un fichero, que son las propiedades internas que tiene el propio fichero y que lo hacen único. Estos datos pueden desaparecer o ser cambiados por un sistema externo si se produce una copia no forense del fichero hacia el disco duro de un ordenador o hacia una memoria USB.

De los metadatos de un fichero se puede extraer la fecha de creación del mismo, la fecha de su última modificación, la fecha de su última lectura, así como las coordenadas geográficas en las que fue tomada una fotografía, el tipo de dispositivo con el que fue grabado un fichero de audio o de vídeo, etc.

Además se comprueba el código hash.

El hash o funciones de resumen, son algoritmos que se crean a partir de una entrada (ya sea un texto, una contraseña o un archivo, por ejemplo) una salida alfanumérica de longitud normalmente fija que representa un resumen de toda la información que se le ha dado (es decir, a partir de los datos de la entrada crea una cadena que solo puede volverse a crear con esos mismos datos).

Estas funciones no tienen el mismo propósito que la criptografía simétrica y asimétrica, tiene varios cometidos, entre ellos está asegurar que no se ha modificado un archivo en una transmisión, hacer ilegible una contraseña o firmar digitalmente un documento.

Sabiendo que se puede generar cualquier resumen a partir de cualquier dato nos podemos preguntar si se podrían repetir estos resúmenes (hash) y la respuesta es que teóricamente si, podría haber colisiones, ya que no es fácil tener una función hash perfecta (que consiga que no se repita la respuesta), pero esto no supone un problema, ya que si se consiguieran (con un buen algoritmo) dos hash iguales los contenidos serían totalmente distintos.