Fundamentalmente los archivos son cadenas o secuencias de bits y bytes. La identificación de un archivo puede ser hecho de dos diferentes maneras. Las extensiones del archivo son lo más común. Los usuarios usualmente identifican el tipo de archivo por la extensión del archivo, si el sistema está configurado. Un sistema operativo puede ser configurado de tal manera la extensión del archivo sea ocultada. Las extensiones de los archivos son sufijos añadidos al final del nombre del archivo de computadora, indicando su formato. Entre los ejemplos a mencionar se incluyen “.docx” y “.pptx”, para las recientes versiones de Microsoft Word y PowerPoint respectivamente.

Para propósitos forenses, una extensión de archivo no es la manera más fiable para identificarlo. La extensión del archivo puede ser cambiada fácilmente, requiriendo sólo un clic del mouse y un par de pulsaciones del teclado.

En un sistema Windows simplemente se debe hacer clic derecho y seleccionar la opción “Renombrar”. Se procede a cambiar la extensión de un archivo “docx” a “jpg”.

Al cambiar la extensión del archivo y abrirlo, Windows presenta una advertencia la cual versa; “Si se cambia la extensión de un nombre de archivo, el archivo podría volverse inutilizable. ¿Estas seguro deseas cambiarlo?”.

¿Qué ocurre si se intenta abrir el archivo?. No ocurre nada, el archivo no abrirá hasta sea cambiado a su extensión original. En este caso el visor de fotos de Windows muestra un mensaje el cual versa; “El visor de fotos de Windows no puede abrir esta imagen porque el archivo al parecer está dañado, corrupta o es muy grande”.

Algunas personas intentarán aprovechar esta habilidad para cambiar la extensión de archivo, como una forma de camuflar datos, ocultándolos a simple vista. De manera forense, este enfoque no es efectivo. Las herramientas forenses identifican los archivos basado en la cabecera, no en la extensión dela archivo.

Con la ayuda de un sencillo editor hexadecimal se puede encontrar evidencia sobre el archivo “Informe.jpg” es un archivo en formato de Microsoft Office “Informe.docx”.

Muchas herramientas incluso separan los archivos cuyas cabeceras no coinciden con la extensión, haciéndolos fáciles de descubrir. Esta comparación es generalmente conocida como análisis de firmas de archivos.

Fuentes:

http://www.garykessler.net/library/file_sigs.html
http://forensicswiki.org/wiki/Word_Document_(DOCX)
http://forensicswiki.org/wiki/JPEG