Habitualmente manejamos en nuestros dispositivos mucha información. Información almacenada en documentos y archivos, y que terminan, cuando su uso ya ha finalizado, en la papelera de reciclaje.
La mayoría se quedan ahí, en una suerte de purgatorio. En tierra de nadie, esperando que o bien el usuario acabe salvándolos, o le de a vaciar la papelera, desapareciendo de la faz de la tierra.
O eso es lo que creemos, ¿verdad?
¿Cómo funciona la gestión de archivos de un sistema operativo “comercial”?
Y digo comercial porque no todos los sistemas operativos gestionan la información de la misma manera (no todos, de hecho, están diseñados para manejar archivos), pero sí hay unas pautas que han dictado la forma en la que los sistemas operativos convencionales (los que usamos en nuestro día a día) lo hacen.
Básicamente, para un sistema operativo como Windows, OS X, Linux, Android o iOS, un archivo no es más que un conjunto de bytes que el sistema debe procesar como una unidad lógica. Son datos almacenados que deben ser procesados en conjunto, que ocupan un espacio específico en la memoria, y que para su lectura, el sistema debe contar con un programa específico.
- Cuando nosotros enviamos un archivo a la papelera, a nivel interno no ocurre absolutamente nada. Simplemente el documento deja de estar indexado en la carpeta donde antes estaba, y pasa a estar indexado en la carpeta de la papelera.
- Cuando nosotros vaciamos la papelera, a nivel de procesamiento de bloques de datos sigue sin ocurrir nada. Sencillamente se desindexa de la lista que tenga cada sistema operativo para saber dónde está un archivo en cada momento, y marcará como disponible ese espacio. Pero los bloques de datos siguen estando en el mismo sitio hasta que se lleve a cabo esa sobre-escritura, que podría ocurrir con el siguiente archivo que creemos o modifiquemos, o no llegar a ocurrir nunca. Siguen ocupando un espacio específico (aunque este esté disponible), y podrían ser recuperados con las herramientas oportunas.
Esto es crítico a la hora de eliminar datos que realmente deben ser eliminados, y no solo desindexados. Piense por un momento toda la información que puede manejar una organización (una administración pública, o una empresa), o ese momento en el que un usuario como usted o como yo cambia de dispositivo, poniendo a la venta el anterior, o incluso abandonándolo a su suerte en el cubo de basura de debajo de casa.
Aunque hayamos eliminado los documentos que teníamos en él, si no hemos realizado un borrado en profundidad, el disco duro seguirá manteniendo los bytes de cada archivo, y alguien con los conocimientos (o como veremos, con las herramientas oportunas) tan solo tendrá que recuperarlos.
Poniendo a prueba la recuperación de elementos borrados
Para probar este hecho, he enviado a la papelera el documento Privado1.avi. Un vídeo en el que quizás aparezco realizando algo que no debe ser de conocimiento público. Un archivo que quiero de verdad eliminar.
Lo envío a la papelera y le doy a vaciar. El documento ya no es visible por mi sistema de archivos, pero en realidad sigue existiendo.
Y tan solo he necesitado instalar un programa para recuperar archivos eliminados (EN), decirle el tipo de archivo que se trata (aunque podría no haberlo especificado, para que me mostrase todos), y esperar un par de minutos. ¿El resultado?
El programa se llama Data Recovery Wizard (EN), está disponible tanto para OSX, como para Windows, Android e iOS, y cuenta con varias versiones, aunque con la gratuita, si únicamente necesita recuperar documentos de menos de 2GBs de peso, es más que suficiente.
Privado1.avi había sido eliminado vaciando la papelera, y por tanto, a la herramienta no le ha costado mucho recuperar el archivo.
Ahora quiero subir el nivel, y con Privado2.avi, la eliminación la he realizado mediante una herramienta más compleja (en mi caso, Permanent Eraser (EN), aunque hay alternativas para Windows como Eraser (EN) o Linux con Wipe (EN)), que asegura una eliminación siguiendo el método Gutmann (35 sobreescrituras, más borrado de archivos temporales de la carpeta contenedora).
Era de esperar que con ello la herramienta fuera incapaz de encontrar el archivo, ¡pero voilà!
La verdad es que no sé si la herramienta de recuperación es muy buena, o el Permanent Eraser no ha cumplido su cometido. También es verdad que lo había pasado justo después del borrado, y quizás, al seguir en la misma sesión y no haber cambiado nada, por muchas sobreescrituras en cero que le haya metido Eraser, la herramienta puede recuperarlo.
Por ello, decidí apagar el sistema, y aprovechar de paso para actualizar a una versión nueva.
Después de la instalación posterior y el reinicio, ya no me fue posible recuperar el archivo, incluso mediante una búsqueda en profundidad. Lo cual me tranquiliza, todo sea dicho.
Sobre la seguridad y la privacidad de los datos almacenados en archivos “eliminados”
En fin, que espero le sirva para entender que resulta muy, muy complicado eliminar un archivo de un sistema. Data Recovery Wizard es gratuito, dirigido a usuarios sin conocimientos, y fue capaz de recuperar documentos que supuestamente habían sido eliminados vía borrado Gutmann. Pero hay herramientas mucho más completas, dirigidas al ámbito forense, que son capaces incluso de reconstruir y hacer visible parte de los documentos eliminados.
De ahí la importancia de cifrar los discos duros, puesto que entonces, aunque hubiera podido recuperar igualmente el documento, sin la clave oportuna me hubiera sido imposible abrirlo. Hace tiempo cifrar los discos duros era un proceso laborioso, y se saldaba con una bajada considerable de rendimiento en el día a día. Actualmente ya no hay ese problema (al menos no es “tangible” para el usuario), y con ello tenemos una herramienta pasiva que podría evitar exponer datos privados nuestros a un tercero. Evitar que una campaña OSINT, o un doxing, tengan otra vía más para ponernos en peligro.
Y si está justo en el caso contrario (ha eliminado por error un archivo y quiere recuperarlo), recuerde que en esto el tiempo juega en su contra. Data Recovery Wizard es capaz de recuperar archivos siempre y cuando se encuentren completos, cosa que puede no ocurrir si por casualidad parte del espacio ocupado por el antiguo archivo ya ha sido sobreescrito con otro.
Las copias de seguridad son aquí nuestros mejores amigos. Y si están en diferentes localizaciones, mejor (a un incendio de la oficina o de nuestro hogar no está libre nadie). Incluso valorar entre acceso físico y acceso vía nube, entre seguridad y privacidad de los datos.
Todo sea por minimizar el riesgo a una exposición de datos, o a la pérdida, sea causal o accidental, de información crítica para nuestro desempeño personal y profesional.
________
Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.
Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Laverdad es que ami me preocupa mas los telefonos q los ordenadore. NUNCA y repito NUNCA venderia un otdenador mio o de l empresa de segunda mano. O me lo quedo como reliquia (tengo uno cpn pantalla verde) o lo destruyo. Y mira q tampoco soy nadie importante y no se van ha hacer ricos comigo. Pero todos tenemos videos haciendo algo q no debiamos ..Me gustaria ver el tuyo jajaja . Pero telefonos si que se podria dar el caso. Y la informacion ahi es aun peor.: bancos, cuentas , facebook, google i la peor la de Battlenet, si me quitan esa no podria vivir jeje.
Yo pienso. Formateo , vuelvo a llenar el telefono de aplicaciones full memory y vuelvo a formatear. Asi estaria a salvo?
Hombre, si en verdad pudieras hacer un wipe completo, volver a instalar Android y rellenar entera la memoria (más que con aplicaciones, quizás mejor con archivos, que pueden pesar más y no te van a pedir cuenta para instalarse), podríamos decir que sí. Pero ten en cuenta que no vas a poder rellenarla entera. Siempre quedará algún fichero de configuración de antes, o espacio que no ha sido sobreescrito.
Pero vamos, que justo tiene que coincidir que ese espacio tiene ese vídeo que no quieres que nadie obtenga jajaja.
En móviles, por cierto, también hay aplicaciones de borrado completo, al igual que sistemas de recuperación forense. Pero lo que comentas sería la mejor estrategia.
Gracias Pablo. Buen artículo.
¿Que herramienta/s recomiendas para hacer el cifrado del disco duró?
Depende de en qué sistema operativo estés. Si usas Windows, tienes BitLocker, que viene con el sistema operativo, y se encarga de hacerlo todo él para que el sistema siga pudiendo arrancar al inicio. En OS X tienes FileVault, que viene a ser el BitLocker de Mac.
Las versiones actuales de iOS, WP y Android también lo ofrecen vía Ajustes de Seguridad (dependiendo de la versión, está en un u otro lado).
En definitiva, que primero yo lo intentaría con las propias herramientas del sistema. Si por lo que sea no son suficientes (o no están disponibles), ya veríamos alternativas externas. Saludos, y muchas gracias!