Lorenzo Martínez, ingeniero y perito informático forense colegiado y director de Securízame, abrió el primer día de jornadas STIC 2025 celebradas en Madrid el pasado 18 de noviembre con una charla sobre la Master File Table (MFT) y sus usos en seguridad informática.

Su ponencia, enmarcada dentro de la RootedCON, fue de carácter técnico, aunque intentaremos a continuación realizar una explicación sencilla de carácter divulgativo.

La Master File Table (MFT o tabla maestra de archivos) es un archivo que se genera en cualquier sistema de archivos NTFS y que recopila información sobre cada archivo de un volumen de sistema de archivos. En otras palabras, es un archivo que guarda datos sobre todos los archivos en un sistema; datos como el tamaño, marca de fecha y hora, permisos y contenido de datos del archivo.

Tal y como recoge la plataforma de aprendizaje de Microsoft:

“A medida que los archivos se agregan a un volumen del sistema de archivos NTFS, se agregan más entradas a la MFT y la MFT aumenta de tamaño. Cuando los archivos se eliminan de un volumen del sistema de archivos NTFS, sus entradas de la MFT se marcan como liberadas y se pueden reutilizar”.

En su taller, Martínez nos explica que esta MFT que podemos encontrar, por ejemplo, en un sistema operativo Windows (no así en macOS o Linux ya que estos SO usan otros sistemas de ficheros), es un recurso esencial a tener en cuenta a la hora de realizar el análisis de un incidente de seguridad informática.

El experto compara esta MFT con las páginas amarillas, viniendo a decir que es un registro detallado de todos los archivos presentes y usados en un sistema y con el que podemos saber, por ejemplo, cuándo es la última vez que se abrió o editó un archivo de texto, cuándo se ejecutó un programa, etcétera.

Así, la MFT es uno de los llamados “artifacts de sistema de ficheros”, y junto con los elementos volátiles del sistema, constituye la información más relevante que debemos extraer cuando realizamos un análisis forense, asegurándonos de preservar la integridad de los datos mientras la máquina siga operativa.

Información útil de la MFT

Transformando la MFT en una sencilla tabla de Excel, Martínez mostró en pantalla cómo podemos analizar este archivo y cuáles son los campos clave a examinar; aquellos con mayor valor desde el punto de vista de un análisis de seguridad. Estos son:

🖥️ 1. Filename

El nombre del archivo tal cual aparece en el atributo correspondiente.

🖥️ 2. Full Path

La ruta completa donde está ubicado el archivo o directorio.

🖥️ 3. Atributo $SI (Standard Information)

Incluye timestamps clásicos (creación, modificación, acceso…).

🖥️ 4. Atributo $FN (Filename Attribute)

Incluye:

• Otro set de timestamps ($I30).

• Metadatos específicos asociados al nombre del archivo.

🖥️ 5. Atributos del archivo

Indica propiedades como:

• Deleted (flag In Use)

• Directory

• ADS (Alternate Data Streams)

• Read-only

• Hidden

• System

• (otros flags típicos de NTFS)

Cómo acceder a la MFT

Para extraer esta MFT, Martínez nos mostró un comando que podamos tirar con el programa de código abierto The Sleuth Kit.

icat \\.\C: 0 > E:\destino\$MFT

Podemos desgranar dicho comando de esta manera:

• icat → herramienta de Sleuth Kit que permite extraer un archivo directamente desde el sistema de ficheros bruto.

• \\.\C: → accede al dispositivo físico que representa la unidad C:.

• 0 → número de inode o MFT entry que corresponde al archivo $MFT dentro del NTFS (siempre la entrada 0).

• > E:\destino$MFT → redirige la salida del archivo extraído hacia un fichero en la unidad de destino que tú elijas.

Lo que podemos hacer con este comando para The Sleuth Kit es leer la entrada 0 (la MFT) directamente del disco, y guardarla como un fichero separado en otra unidad para analizarla.

Así, si hemos detectado una posible intrusión en un PC, usando la MFT podremos revisar fechas de modificación o acceso a determinados archivos, que han podido ser afectados por el malware o actor malicioso en cuestión.

Puedes encontrar más info sobre la MFT en este glosario de Lenovo.