El avance tecnológico cambió la forma en que vivimos, nos comunicamos, y también la forma en que se cometen delitos. En un mundo donde la intervención digital está presente en todo momento, la informática forense se ha convertido en una pieza clave dentro de las investigaciones judiciales.
Su tarea consiste en localizar, adquirir, preservar y analizar datos electrónicos que puedan transformarse en evidencia válida ante un tribunal. Pero para lograrlo, no basta con conocimiento técnico: es indispensable aplicar métodos rigurosos y herramientas confiables que garanticen la integridad de la información.
En este contexto se inscribe el trabajo de Gian Luca Giovanetti D’ignoti, quien en su tesina “Herramientas Digitales Forenses: una comparativa en un entorno Windows” evaluó tres de los programas más utilizados por peritos digitales: EnCase Forensics, The Forensic Toolkit (FTK) y Autopsy. Su estudio se centró en determinar el desempeño, las ventajas y las limitaciones de cada uno dentro del sistema operativo Windows.
Cuando una investigación se traslada al plano digital, la primera regla es conservar la integridad de la evidencia. Cualquier modificación, incluso mínima, puede invalidarla. Por eso se recurre a procedimientos específicos, como la creación de imágenes forenses —copias exactas del contenido de un dispositivo— y la verificación mediante códigos HASH, que aseguran que los datos no hayan sido alterados.
Argentina cuenta con un marco legal sólido que regula este tipo de procedimientos: la Ley de Delitos Informáticos (N.º 26.388), la Ley de Protección de Datos Personales (N.º 25.326), la Ley de Firma Digital (N.º 25.506) y el Convenio de Budapest sobre Ciberdelito, entre otras normativas. A esto se suman los protocolos del Ministerio de Seguridad, como la Resolución 232/2023, que define pautas claras para la recolección, preservación y análisis de la evidencia digital. En ese marco, las herramientas que el perito elige para trabajar no son un simple recurso técnico: pueden marcar la diferencia entre una prueba válida y una evidencia descartada.
Desarrollado por OpenText, EnCase es considerado una de las plataformas más completas para la informática forense profesional. Permite capturar información desde discos duros, memorias y unidades externas, generando imágenes en distintos formatos seguros como .E01, .Ex01 o .Lx01.
Su potencia radica en la precisión con la que gestiona la evidencia: cada copia puede verificarse con algoritmos MD5 o SHA-1, asegurando que no haya alteraciones. Además, su sistema de búsqueda por índice, etiquetas o datos sin procesar le otorga una versatilidad notable para filtrar información relevante dentro de grandes volúmenes de datos.
Otra ventaja es la posibilidad de generar informes estructurados y visuales, pensados para el ámbito judicial, que facilitan la exposición de resultados. Sin embargo, su mayor limitación es el alto costo de licencia, que restringe su acceso a organismos públicos o laboratorios forenses bien financiados.
El software FTK, de la empresa Exterro, se caracteriza por su velocidad de procesamiento y estabilidad en el manejo de grandes bases de datos. A diferencia de EnCase, FTK adopta una estructura modular, compuesta por distintas herramientas que pueden usarse de forma independiente.
Entre ellas destaca FTK Imager, una utilidad gratuita que permite realizar imágenes forenses compatibles con múltiples formatos (.E01, .AD1, .RAW, .001). La herramienta genera códigos MD5, SHA-1 o SHA-256, ofreciendo opciones de verificación más robustas que EnCase.
Su motor de búsqueda ofrece dos modos: el Index Search, que acelera la localización de archivos mediante la creación de un índice, y el Live Search, que analiza bit a bit los datos, siendo más minucioso aunque más lento.
Uno de los puntos más destacados de FTK es su data carving personalizable, que permite al perito definir qué tipos de archivos recuperar y bajo qué parámetros, lo que representa una ventaja en investigaciones que requieren rapidez y precisión.
Autopsy, creado por Sleuth Kit Labs, representa la filosofía opuesta: es gratuito, de código abierto y constantemente actualizado por su comunidad de desarrolladores. Pese a ello, no se queda atrás en cuanto a funcionalidades.
El programa permite analizar discos, particiones o archivos virtuales, generar imágenes forenses en formatos .E01, .RAW o .001, y calcular códigos MD5 o SHA-256 para validar la información.
Su módulo de búsqueda de palabras clave se apoya en la tecnología de indexación Apache Solr, lo que agiliza el filtrado de datos, mientras que el PhotoRec Carver Module posibilita la recuperación de archivos eliminados, incluso en distintos formatos multimedia.
Entre sus ventajas más valoradas están la transparencia, la adaptabilidad y la posibilidad de auditar el código, lo que genera confianza en su uso académico y pericial. Su principal desventaja: carece de soporte técnico oficial y garantía, lo que exige mayor pericia del usuario para evitar errores de manipulación.
En términos prácticos, EnCase destaca por su entorno profesional cerrado y su documentación detallada; FTK sobresale por su rendimiento y flexibilidad; y Autopsy ofrece una alternativa libre y eficaz, especialmente útil para formación, investigación o laboratorios con recursos limitados.
A nivel técnico, las tres herramientas comparten la capacidad de crear imágenes forenses y verificar la integridad de los datos, pero difieren en su enfoque operativo:
- EnCase prioriza la fiabilidad institucional y la presentación jurídica.
- FTK apuesta por la velocidad, personalización y análisis masivo de datos.
- Autopsy privilegia la accesibilidad, la transparencia y la innovación colaborativa.
En definitiva, el valor de cada herramienta dependerá del tipo de caso, los recursos disponibles y la experiencia del perito.
| Característica | EnCase Forensics | The Forensic Toolkit (FTK) | Autopsy |
| Licencia | Paga | Paga (Imager gratuito) | Gratuita y de código abierto |
| Formatos de imagen | .E01, .Ex01, .RAW, .Lx01 | .E01, .RAW, .AD1, .001 | .E01, .RAW, .001 |
| Tipos de hash | MD5, SHA-1 | MD5, SHA-1, SHA-256 | MD5, SHA-256 |
| Recuperación de archivos | Por encabezados predefinidos | Personalizable | Por firmas específicas |
| Búsquedas | Por índice, etiquetas o datos sin procesar | Por índice o en vivo | Con indexado Solr o en línea |
El análisis realizado demuestra que no existe una herramienta única o perfecta. Cada una responde a distintas necesidades y contextos: desde laboratorios estatales con software licenciado hasta peritos independientes que optan por opciones de código abierto.
Lo verdaderamente decisivo es el criterio del profesional, su conocimiento de los procedimientos y su compromiso con la preservación de la evidencia. Sin ese componente humano, ninguna herramienta —por sofisticada que sea— puede garantizar la validez de un resultado pericial.La informática forense no solo exige dominio técnico, sino también ética, método y capacidad de adaptación a un entorno digital que cambia a diario. Porque, en última instancia, cada bit puede ser la clave para reconstruir la verdad.
Por Mundo Forense — Basado en la tesina de Gian Luca Giovanetti D’ignoti (2024)