← Volver al blog

Construir una línea de tiempo forense a partir del $MFT

· 2 min de lectura

Una línea de tiempo forense responde a una sola pregunta: ¿qué pasó en esta máquina, y en qué orden? En NTFS, el $MFT es la fuente única más densa para responder. Cada archivo y carpeta del volumen genera entre cuatro y ocho eventos con timestamp — y todos están en un único archivo.

Qué te da cada registro

Cada entrada MFT tiene dos atributos portadores de timestamps:

  • $STANDARD_INFORMATION (SI) — creación, modificación, acceso, modificación MFT
  • $FILE_NAME (FN) — creación, modificación, acceso, modificación MFT

Cada timestamp puede convertirse en su propio evento de línea de tiempo. Un solo archivo produce hasta ocho filas: «SI creado», «FN creado», «SI modificado», etc. Recorrer todo el MFT y emitir una fila por timestamp da, en una pasada, una «supertimeline» de cada evento de archivo que el volumen recuerda.

Cómo darle formato

El formato canónico es mactime — una fila por evento, ordenada por timestamp:

2026-05-15T10:23:01Z|FILE|allocated|/Users/alice/notes.txt|SI created
2026-05-15T10:23:01Z|FILE|allocated|/Users/alice/notes.txt|FN created
2026-05-15T10:24:18Z|FILE|allocated|/Users/alice/notes.txt|SI modified

Seis columnas — timestamp, tipo, estado, ruta, atributo, evento — y la línea de tiempo queda lista para grep y visualización.

Cruzar fuentes para entender el contexto

El $MFT solo te dice cuándo cambiaron los archivos. No dice por qué. Crúzalo con:

  • $UsnJrnl para la secuencia de operaciones del sistema de archivos
  • $LogFile para el detalle a nivel transacción en los segundos previos a un crash
  • archivos Prefetch (.pf) como evidencia de ejecución de programas
  • los logs de transacciones del Registro para los cambios de configuración

Una línea de tiempo que fusiona estas fuentes a menudo permite reconstruir la sesión de un atacante minuto a minuto, incluso si algún log fue borrado.

Detectar anomalías rápidamente

Una vez ordenada la línea de tiempo, las anomalías saltan a la vista:

  • una ráfaga de modificaciones a las 3 de la madrugada seguidas de borrado — montaje clásico de un ransomware;
  • un archivo de sistema que llevaba mucho sin tocarse con timestamp de modificación reciente — posible inyección de persistencia;
  • cientos de archivos con la misma segunda de creación — huella de instalador o despliegue masivo.

El MFT no interpreta esto; solo lo muestra. Interpretar es trabajo del analista.

Artículos relacionados

Recursos externos