Computación forense

Almacenamiento de
discos duros de plato
(HDD) y discos de
estado sólido (SDD)

Kevin Eduardo Castillo | 2013-2461

21th September, 2017

Introducción:
En el mundo de la informática forense existen muchos factores que intervienen en esté y por eso
el analista puede tomar decisiones en base al caso presentado. Ya que existe un dicho en el cual
dice “cada contacto deja un rastro” quiere decir que la persona encargada de obtener la
información para poder encontrar al culpable del crimen pudiera dejar rastros en base a lo que
hizo.

La computación forense busca el rastreo constante de la información necesitada para comprobar

el culpable de cualquier delito. Sea informático o físico. Ya que esta es una herramienta
importante en el estudio de asuntos criminales.

Los temas a tratar en el presente informe son los siguientes:

1. Definición y comparación de almacenamiento de discos duros de plato y discos de

estado sólido.
2. Comparación entre estos.
3. Relevancia en la computación forense.

En torno al presente contenido se busca como objetivo específico el aprendizaje de estas

herramientas, su comportamiento, y cómo actúan estos en la computación forense.

1
Definición y Comparación de almacenamiento de discos
duros de plato y discos de estado sólido:
Definición:

Se entiende por disco duro a un dispositivo que permite el almacenamiento no volátil de

los datos de cualquier ordenador o bien, maquinaria que requiera de estos. Su objetivo
es la preservación constante de los datos almacenados en este por el usuario.

También puede entenderse cómo el dispositivo de almacenamiento de datos que

emplea un sistema de grabación magnética para almacenar archivos digitales. Se
compone de uno o más platos o discos rígidos, unidos por un mismo eje que gira a
gran velocidad dentro de una caja metálica sellada. Sobre cada plato, y en cada una de
sus caras, se sitúa un cabezal de lectura/escritura que flota sobre una delgada lámina
de aire generada por la rotación de los discos. Es memoria no volátil.

Características:

Definiendo las características comunes de cualquier disco duro tenemos las siguientes:
● Tiempo medio de acceso: tiempo medio que tarda la aguja en situarse en la
pista y el sector deseado; es la suma del Tiempo medio de búsqueda
(situarse en la pista), Tiempo de lectura/escritura y la Latencia media
(situarse en el sector).
● Tiempo medio de búsqueda: tiempo medio que tarda la aguja en situarse
en la pista deseada; es la mitad del tiempo empleado por la aguja en ir desde
la pista más periférica hasta la más central del disco.
● Tiempo de lectura/escritura: tiempo medio que tarda el disco en leer o
escribir nueva información: Depende de la cantidad de información que se
quiere leer o escribir, el tamaño de bloque, el número de cabezales, el tiempo
por vuelta y la cantidad de sectores por pista.
● Latencia media: tiempo medio que tarda la aguja en situarse en el sector
deseado; es la mitad del tiempo empleado en una rotación completa del
disco.
● Velocidad de rotación: Es la velocidad a la que gira el disco duro, más
exactamente, la velocidad a la que giran el/los platos del disco, que es donde
se almacenan magnéticamente los datos. La regla es: a mayor velocidad de
rotación, más alta será la transferencia de datos, pero también mayor será el
ruido y mayor será el calor generado por el disco duro. Se mide en número
revoluciones por minuto (RPM). No debe comprarse un disco duro IDE de
menos de 5400 RPM (ya hay discos IDE de 7200 RPM), a menos que te lo
den a un muy buen precio, ni un disco SCSI de menos de 7200 RPM (los hay

2
 de 10.000 RPM). Una velocidad de 5400 RPM permitirá una transferencia
entre 10MB y 16MB por segundo con los datos que están en la parte exterior
del cilindro o plato, algo menos en el interior.revoluciones por minuto de los
platos. A mayor velocidad de rotación, menor latencia media.
● Tasa de transferencia: velocidad a la que puede transferir la información a
la computadora una vez que la aguja está situada en la pista y sector
correctos. Puede ser velocidad sostenida o de pico.
Otras características son:
● Caché de pista: es una memoria tipo flash dentro del disco duro.
● Interfaz: medio de comunicación entre el disco duro y la computadora.
Puede ser IDE/ATA, SCSI, SATA, USB, Firewire, Serial Attached SCSI
● Landz: zona sobre las que aparcan las cabezas una vez se apaga la
computadora.
Funcionamiento mecánico:

Un disco duro suele tener:

● Platos, en donde se graban los datos.
● Cabezal de lectura/escritura.
● Motor, que hace girar los platos.
● Electroimán, que mueve el cabezal.
● Circuito electrónico de control, que incluye: interfaz con la computadora,
memoria caché.
● Bolsita desecante (gel de sílice), para evitar la humedad.
● Caja, que ha de proteger de la suciedad, motivo por el cual suele traer algún
filtro de aire.

3
Comparación entre estos:

La forma en la que se puede comparar estos discos es en base a la composición de los

mismos y al contexto donde van a ser aplicados, debido a esto tenemos lo siguiente:

1. Él HDD contiene platos, que es donde se graba la información mediante pistas de

almacenamiento girando a gran velocidad.
2. huso. Un husillo es una varilla en una máquina, alrededor de la cual gira otra
parte de la máquina. Un eje es una varilla apuntada que se utiliza cuando se
está haciendo girar la lana a mano. Usted gira la lana con el huso para
convertirlo en un hilo.
3. Tiene un cabezal en el cual graba la información en los platos magnéticos del
disco.
4. Contiene un brazo qué est unido al cabezal para hacer que esté se mueva de la
forma programada.
5. Tiene un axis qué le permite al brazo moverse en la posición correcta.
6. Finalmente esto está unido al actuador que recibe la energía eléctrica para hacer
que el brazo completo se mueva en el disco y grabar la información.

4
Su tamaño por lo general es más grande, aunque puede venir en tamaños más
pequeños en base a donde serán colocados.

Por otro lado tenemos los SDD con los siguientes elementos:

1. Contiene una memoria caché en el cual almacena los datos de forma

temporalizada antes de ser grabados.
2. Contiene una NAND (La memoria flash NAND es un tipo de tecnología de
almacenamiento no volátil que no requiere poder para retener datos. Un objetivo
importante del desarrollo flash NAND ha sido reducir el coste por bit y aumentar
la capacidad máxima de chip para que la memoria flash pueda competir con
dispositivos de almacenamiento magnético como discos duros).
3. Posee un controlador que es donde se toman todas las decisiones lógicas en el
disco duro para que esté cumpla con su funcionamiento.

5
Relevancia en la computación forense:
Lo que hace relevante ambos discos en la computación forense es el hecho de que sí se
conoce tanto la parte de hardware cómo de software, esto es de útil para el analista de
computación forense pueda hurtar la información y obtener lo que desea.

A través de estas herramientas se puede analizar toda la información de los discos

duros, tanto lo que se piensa que es no recuperable:
1. AccessData Forensic ToolKit (FTK):

Cierre rápidamente las pruebas relevantes, realice búsquedas más rápidas y

aumente drásticamente la velocidad de análisis con FTK®, la solución diseñada
específicamente para interoperar con dispositivos móviles y tecnología de e-
discovery. Potente y probado, FTK procesa e indexa los datos por adelantado,
eliminando el tiempo perdido esperando las búsquedas para ejecutarse. No
importa cuántas fuentes de datos diferentes se esté tratando o la cantidad de
datos que tiene que eliminar, FTK lo lleva allí más rápido y mejor que cualquier
otra cosa.

VELOCIDAD Y ESTABILIDAD INADECUADAS

FTK utiliza procesamiento distribuido y es la única solución forense que
aprovecha completamente los equipos multi-hilos / multi-core. Mientras que otras
herramientas forenses desperdician el potencial de las soluciones de hardware
modernas, FTK usa el 100 por ciento de sus recursos de hardware, ayudando a
los investigadores a encontrar pruebas relevantes más rápido.

BUSCAR MÁS RÁPIDO

Dado que la indexación se realiza de antemano, el filtrado y la búsqueda se
completan más eficientemente que con cualquier otra solución. Ya sea que esté
investigando o realizando la revisión de documentos, tiene un archivo de índice
compartido, eliminando la necesidad de recrear o duplicar archivos.

BASE DE DATOS DRIVEN

FTK se basa realmente en la base de datos, utilizando una base de datos de
casos compartidos. Todos los datos se almacenan de forma segura y
centralizada, permitiendo a sus equipos utilizar los mismos datos. Esto reduce el
costo y la complejidad de crear conjuntos de datos múltiples.

2. Guidance Software EnCase:

Está es una compañía de desarrollo de software y de seguridad múltiple en la
cual analizan todo contenido para fines de computación forense.

3. Kit Electrónico de Transferencia de datos:

6
Data recovery: Este Software te permite recuperar imágenes eliminadas
accidentalmente de una tarjeta de memoria, pero también ofrece, para aquellos
interesados en asegurarse de que un archivo se ha borrado para siempre,
eliminar ficheros sin dejar rastro alguno y sin necesidad de formatear el disco.

7
Conclusión:
La computación forense como tal busca resolver todo crimen o delito de cualquier índole, sea
físico o informático. Y él obtener el conocimiento de los principales recursos de almacenamiento
fomenta al analista a poder buscar la información donde quiera que se encuentre.

La computación forense se fomenta con la seguridad y el respaldo de la información, los cuáles

tienen sus estándares y protocolos por igual, sí estos son violados, ahí es cuando la computación
forense toma acción en el asunto, para determinar el perpetrador de hurtar dicha seguridad.

Los crímenes alrededor del mundo varían en torno a su complejidad, esto por lo general el
analista de computación forense tiene que tenerlo presente y saber qué información es la que
desea encontrar para poder determinar un valor de decisión ante el caso que se está
resolviendo.

Producto del pensamiento crítico, técnicas y conocimiento para obtener la información,

ingeniería social, entre otros factores, es cuando el analista forense puede ser capaz de lidiar
con este tipo de problemáticas, facilitando así la función de las entidades autorizadas a resolver
problemas criminales.