Las investigaciones forenses muchas veces giran en torno a una sola pregunta: ¿este archivo estuvo alguna vez en este ordenador? No «¿está en el disco ahora?» — eso es dir. La versión difícil es: ¿podemos demostrar que estaba en disco ayer, la semana pasada, el año pasado? En volúmenes NTFS, el $MFT suele ser la respuesta más fuerte.
Qué sobrevive a un borrado
Cuando se elimina un archivo en NTFS, el bit «en uso» de su registro MFT se apaga, pero el resto del registro se queda. Ese registro lleva:
- el nombre completo (en
$FILE_NAME); - la referencia al directorio padre;
- cuatro timestamps (creación, modificación, acceso, modificación MFT) — por duplicado, en SI y FN;
- los tamaños lógico y físico;
- para archivos pequeños, todo el contenido (
$DATAresidente); - para los grandes, el runlist de clusters que contenían los datos.
Cada uno es evidencia directa. Un registro MFT eliminado con $FILE_NAME = plan-secreto.docx, directorio padre \Users\bob\Documents y SI-creación 2024-11-03T14:02:11Z demuestra que un archivo con ese nombre existió en ese directorio ese día, independientemente de lo que dir muestre hoy.
La fuerza probatoria
Tres propiedades hacen que los registros MFT sean evidencia forense sólida:
- Los escribe NTFS mismo. No son editables por el usuario con herramientas normales de Windows. Para alegar que fueron plantados habría que falsificar el
$MFTentero — una tarea descomunal. - Ocho timestamps se controlan entre sí. La manipulación suele dejar marca: SI cambiado pero FN intacto es la firma del timestomping.
$UsnJrnly$LogFilecorroboran. Si el$MFTdice que un archivo se creó a las T, el journal de cambios debería registrar el evento a la misma hora. Las discrepancias son, en sí, evidencia.
Lo que el $MFT no prueba por sí solo
El $MFT prueba que el archivo existió en un directorio determinado en un instante determinado. No prueba:
- quién lo creó o accedió a él — eso requiere los Security event logs;
- qué programa lo produjo — Prefetch y ShimCache ayudan aquí;
- qué contenía, para archivos grandes — salvo que se recuperen los clusters;
- si un usuario llegó a abrirlo — Jump Lists y archivos LNK son más útiles.
Una respuesta completa suele combinar el $MFT con los artefactos circundantes. Pero el $MFT es la piedra angular — sin él, las demás piezas no tienen a qué anclarse.