SHA256 vs SHA1 + MD5 en adquisiciones forenses: entre la práctica heredada y la medición real
Introducción
En distintos ámbitos periciales e investigativos todavía se escucha un argumento operativo recurrente:
“No usamos SHA256 porque implica mucho más tiempo que SHA1 + MD5.”
La afirmación suele aparecer cuando se cuestiona la continuidad del uso de algoritmos criptográficos que presentan debilidades conocidas, en lugar de emplear SHA256 como estándar único en adquisiciones forenses.
Frente a ese argumento, decidí realizar una prueba empírica simple para medir el impacto temporal real en un escenario de adquisición forense habitual.
Metodología resumida
Se realizaron adquisiciones en formato E01 (~99 GB) bajo condiciones controladas:
- Compresión máxima
- Segmentación de 2 GB
- Limpieza de caché entre ejecuciones
- Mismos dispositivos origen y destino
- Dos escenarios:
- MD5 + SHA1
- SHA256
- La prueba se ejecutó en:
- Un entorno de arquitectura moderna multi-core, con hardware de reciente aparición.
- Un entorno anterior de menor capacidad, con hardware de más de 10 años de antigüedad.
Resultados
Entorno moderno
| Escenario | Tiempo total | Velocidad |
|---|---|---|
| MD5 + SHA1 | 17m 21s | 93 MiB/s |
| SHA256 | 17m 17s | 93 MiB/s |
Entorno anterior
| Escenario | Tiempo total | Velocidad |
|---|---|---|
| MD5 + SHA1 | 54m 49s | 28 MiB/s |
| SHA256 | 54m 37s | 29 MiB/s |
Diferencia observada: < 0,5 %
Análisis
En ambos entornos la diferencia fue inferior al medio punto porcentual.
Los datos indican que el tiempo total de adquisición estuvo determinado principalmente por:
- Velocidad del medio origen
- Velocidad del medio destino
- Bus de transferencia
- Nivel de compresión
Es decir, no por el algoritmo de hash utilizado.
En hardware actual, el cálculo de SHA256 no representa un cuello de botella relevante en una adquisición forense estándar.
¿Prejuicio técnico?
Cuando una diferencia medida es inferior al 0,5 %, resulta difícil sostener que el uso de SHA256 implique “mucho más tiempo” en términos operativos.
En muchos casos, la continuidad de ciertas prácticas puede estar vinculada a la inercia técnica, a experiencias históricas con implementaciones menos eficientes o a la prudencia natural que existe frente a cambios en procesos críticos.
El riesgo percibido de modificar procedimientos consolidados bajo presión temporal también puede influir.
Sin embargo, en este escenario concreto, el algoritmo no parece ser el factor determinante.
La implementación y la infraestructura sí podrían tener un impacto mucho más significativo.
Reflexión final
En procesos forenses o de investigación digital, las decisiones técnicas deberían apoyarse en mediciones concretas y no en suposiciones históricas.
La resistencia al cambio organizacional —e incluso personal— es un fenómeno atendible y comprensible. Pero cuando la diferencia real observada es marginal, la discusión merece revisarse con datos sobre la mesa.
