Master File Table (MFT): el pilar oculto de NTFS, pieza clave en seguridad y análisis forense

  • La MFT es el registro central de cada archivo y directorio en volúmenes NTFS, almacenando nombres, rutas, metadatos y permisos.
  • Es esencial en procesos de análisis forense y ciberseguridad porque conserva información incluso tras la eliminación de archivos o ataques antiforenses.
  • Herramientas como Velociraptor y The Sleuth Kit permiten extraer y analizar la MFT a nivel profesional, facilitando reconstrucciones temporales y análisis de incidentes.

Master file table mft

La Master File Table (MFT) es uno de esos conceptos que suelen pasar desapercibidos para la mayoría de usuarios, pero resulta fundamental para comprender el funcionamiento de Windows y, por extensión, del sistema de archivos NTFS. Detrás de cada archivo que creas, mueves o eliminas, la MFT está trabajando como un auténtico ‘libro de registro’, almacenando información vital, no solo para el funcionamiento normal del sistema operativo, sino también para la seguridad, la recuperación de datos y el análisis forense. En este artículo desgranamos a fondo qué es realmente la MFT, cómo funciona internamente, para qué sirve en entornos domésticos y profesionales, por qué representa una pieza clave en ciberseguridad y análisis forense digital, y de qué maneras puedes interactuar o analizarla si tienes curiosidad o una necesidad profesional.

No importa si te dedicas a la administración de sistemas, te apasiona la informática forense o simplemente tienes interés por saber qué ocurre «bajo el capó» de Windows, entender la MFT es clave. Este artículo recopila toda la información relevante aportada por las principales fuentes del sector, ofreciendo una visión profunda y actualizada para cualquier persona interesada en conocer el corazón del sistema de archivos NTFS.

¿Qué es realmente la Master File Table (MFT)?

El Master File Table, conocido por sus siglas MFT, es el elemento central del sistema de archivos NTFS de Windows. En términos sencillos, la MFT es una especie de tabla maestra que registra información crucial sobre cada archivo y directorio almacenado en una partición NTFS. Cada vez que guardas un archivo, lo modificas, lo eliminas o cambias permisos, la MFT mantiene un registro fiel de estos eventos, almacenando diferentes atributos e identificadores únicos para cada uno.

En la práctica, la MFT funciona como el índice maestro del volumen: si lo comparamos con una guía telefónica o las «páginas amarillas», podríamos decir que contiene los datos identificativos y los metadatos de todos los archivos y carpetas, tanto existentes como eliminados recientemente. La información que almacena abarca nombres y rutas, fechas de creación y modificación, permisos, atributos del archivo, hasta datos de seguridad como las listas de control de acceso. Es, en definitiva, la memoria estructurada de toda la actividad que ocurre sobre los archivos de un disco NTFS.

¿Cómo está estructurada la MFT?

La arquitectura de la MFT es uno de sus aspectos más interesantes. No se trata simplemente de una lista de nombres de archivos: cada elemento (o entrada) en la MFT es un registro fijo, generalmente de 1024 bytes, conocido como registro MFT. Cada uno de estos registros corresponde a un archivo o carpeta y contiene una serie de atributos estructurados, los cuales pueden ser tan variados como:

  • Nombre del archivo y ruta completa ($FILE_NAME).
  • Tiempos o timestamps de creación, acceso, modificación y cambio (MACB, atributo $STANDARD_INFORMATION).
  • Tamaño del archivo y localización física de sus fragmentos en disco ($DATA).
  • Permisos y control de acceso ($SECURITY_DESCRIPTOR).
  • Atributos especiales como puntos de reanálisis, flujos alternativos de datos, identificadores de objeto únicos, entre otros ($REPARSE_POINT, $OBJECT_ID, $EA).

Además, cada registro está identificado de forma única mediante un File Reference Number (FRN), lo que facilita su rastreo aunque se elimine o renombre el archivo correspondiente. Incluso, muchos de estos registros pueden seguir almacenando información tras la eliminación de los archivos originales, siendo una mina de oro para el análisis forense o la recuperación de datos.

Funcionamiento básico: crecimiento y reutilización

La MFT crece dinámicamente a medida que se añaden nuevos archivos al volumen NTFS. El sistema reserva una «zona MFT» para conseguir que los registros estén físicamente contiguos en disco y minimizar la fragmentación. Cuando un archivo se elimina, su entrada en la MFT suele marcarse como libre y puede ser reutilizada, pero el registro en sí mismo no se borra inmediatamente, lo que puede posibilitar la recuperación o el análisis de archivos borrados en tareas de forense digital.

El espacio reservado para la MFT, conocido como zona MFT, tiene su propio tratamiento especial por parte de Windows: primero se asigna espacio fuera de esta zona, y solo cuando es estrictamente necesario se comienza a usar el reservado para la MFT. Esta gestión ayuda a evitar una fragmentación excesiva, que podría afectar al rendimiento tanto del sistema como de las tareas de análisis forense o de recuperación.

Importancia y aplicaciones de la MFT

La MFT es clave no solo en el funcionamiento cotidiano del sistema de archivos, sino también para la recuperación de datos y la investigación de incidentes de seguridad informática. Al conservar información histórica sobre los archivos y su actividad, es posible reconstruir escenarios de infección por malware, secuencias de ejecución sospechosa o simplemente recuperar archivos eliminados por accidente.

Diversas plataformas, como Velociraptor (web oficial), han situado el análisis de la MFT en el centro de las operaciones modernas de Digital Forensics and Incident Response (DFIR). Mediante el análisis adecuado de la MFT, no solo se identifican archivos desaparecidos, sino también técnicas de ocultación maliciosa como el «timestomping» (modificación de marcas de tiempo), o el uso de streams alternativos para eludir la vigilancia.

Principales registros y archivos del sistema en la MFT

En la tabla, los primeros registros son especiales y están reservados para el propio sistema operativo:

  • El primer registro suele contener el descriptor de la MFT, es decir, metadatos sobre la propia tabla.
  • El segundo almacena una copia de respaldo de ese descriptor.
  • El tercero suele estar asociado al archivo de registro (LogFile) que monitoriza las transacciones y actividades en el volumen.
  • El cuarto y siguientes corresponden al núcleo del sistema, y a partir de ahí a los archivos y carpetas reales del usuario.

Además, cada uno de estos registros puede contener varios atributos agrupados, y si no hay espacio suficiente en un registro, NTFS creará segmentos adicionales referenciados mediante una lista de atributos, lo que posibilita una escalabilidad máxima y un uso eficiente del espacio.

Qué es Microsoft Sysinternals Suite y para qué sirve

Campos y atributos clave de la MFT para análisis de seguridad

Desde la perspectiva de la seguridad informática y concretamente del análisis forense, la MFT es esencial porque mantiene una «huella digital» incluso de actividades que han intentado ser ocultadas. Los atributos más relevantes para analizar lo que ha ocurrido en un sistema son:

  • $STANDARD_INFORMATION: Incluye las principales marcas de tiempo (MACB), atributos del archivo y banderas de estado.
  • $FILE_NAME: Guarda el nombre, la estructura jerárquica (relación con su directorio padre) y un segundo conjunto de timestamps (clave para el «timestomping«).
  • $DATA: Indica dónde están almacenados los datos reales del archivo o si se mantienen «residentes» dentro del propio registro.
  • $SECURITY_DESCRIPTOR: Ofrece información sobre listas de control de acceso y permisos.
  • Atributos avanzados como $OBJECT_ID, $REPARSE_POINT y $EA también pueden ser usados para detectar técnicas de persistencia o manipulación.

La correlación entre distintos atributos y registros permite detectar acciones sospechosas, como renombrados masivos de archivos o borrados selectivos antes de actividades maliciosas.

Herramientas y métodos para acceder y analizar la MFT

Existen múltiples herramientas tanto comerciales como de código abierto para examinar la MFT. Algunas de las más populares incluyen:

  • MFTECmd.exe
  • AnalyzeMFT.py (Python)
  • FTK Imager
  • Autopsy
  • X-Ways Forensics
  • Sistemas de automatización y correlación como
  • The Sleuth Kit (TSK), mediante comandos como icat \\.\C: 0 > E:\destino\$MFT para extraer la MFT de un disco en vivo

La MFT suele ubicarse en el archivo oculto C:\$MFT de cada partición NTFS. Extraer su contenido requiere permisos elevados y el uso de herramientas que leen a bajo nivel, ya que el sistema operativo protege estos ficheros para evitar su manipulación accidental.

Todo lo que debes saber sobre los logs: definición, usos y claves para su gestión en informática

Aplicaciones prácticas y casos de uso avanzados

El potencial forense de la MFT es enorme y se extiende mucho más allá de la simple recuperación de archivos borrados:

  • Reconstrucción temporal precisa: Los múltiples timestamps por registro permiten reconstruir líneas de tiempo fiables sobre descargas, ejecuciones o borrados.
  • Identificación de malware eliminado: Aunque un atacante borre sus herramientas, las huellas suelen mantenerse en la MFT hasta su sobrescritura física.
  • Análisis anti-forense: La comparación entre la MFT y otros artefactos como el USN Journal, $LogFile, Prefetch, Amcache o ShimCache permite detectar borrados selectivos, renombrados masivos o manipulaciones intencionadas.
  • Búsqueda y threat hunting a escala: Las herramientas como Velociraptor facilitan analizar la MFT en cientos o miles de sistemas, identificando patrones y movimientos laterales en la red.

El análisis avanzado de la MFT ayuda a responder preguntas como ‘¿Cuándo apareció por primera vez un archivo malicioso?’, ‘¿Qué host fue inicialmente infectado?’, o ‘¿Qué archivos fueron modificados justo antes de un incidente crítico?’

Visualización y ejemplo de una MFT

En bruto, la MFT es un archivo binario que requiere software especializado para interpretarlo en modo legible. La visualización habitual consiste en obtener una tabla extensa donde se puede ver información sobre nombres, rutas, timestamps y permisos. Manipularla sin el conocimiento adecuado puede corromper los datos o hacerlos inaccesibles, por lo que solo debe ser utilizada por expertos o bajo supervisión profesional.

Consideraciones y limitaciones

A pesar del valor de la información almacenada, hay que tener presente que:

  • Las entradas liberadas pueden ser sobrescritas rápidamente conforme se crean nuevos archivos.
  • No es una base de datos cronológica completa, sino un reflejo del estado actual y registros históricos hasta que los datos sean reutilizados.
  • El tamaño y la fragmentación condicionan la facilidad de recuperación de datos eliminados.

Su fiabilidad y profundidad la convierten en uno de los principales artefactos para informáticos forenses y expertos en seguridad.

La MFT como memoria histórica del sistema

Más allá de su función técnica, la MFT puede considerarse la memoria objetiva y coherente del sistema NTFS. Gracias a su diseño, ni formateos superficiales ni eliminaciones sencillas logran eliminar completamente la información que contiene, lo cual la hace muy útil en procesos judiciales, investigaciones internas y cumplimiento normativo.

Para quienes trabajan en administración, seguridad o análisis forense digital, dominar la MFT y su análisis es una destreza esencial. Herramientas como Microsoft Sysinternals Suite, y otros recursos facilitan ampliamente este trabajo, pero ningún programa puede sustituir la experiencia y el criterio del analista.

Deja un comentario