miércoles, 21 de julio de 2010

¿Realmente se borran los ficheros?

Todos sabemos que al borrar un archivo o directorio podemos hacerlo de dos maneras:
  1. Enviar el archivo a la papelera de reciclaje y en caso de borrado accidental tener la posibilidad de recuperación.
  2. Borrar el archivo permanentemente sin pasar por la papelera de reciclaje y no tener posibilidad de recuperación ante un borrado accidental.

Esto seguro que todos lo sabeis, pero lo que no todos sabeis es que por defecto, en la segunda opción, no se borran físicamente los archivos.

Básicamente el sistema operativo mantiene unas tablas de índices de archivos, que no son más que apuntadores al comienzo de la cabecera de cada archivo y cuando se da la orden de borrar, en realidad lo que se hace es borrar esos índices y marcar el sector como libre para su posterior utilización si así fuese necesario.

Debido a esto y como se intuye, es posible recuperar archivos que en un principio parecían estar borrados, de una manera facilísima.

Esto en derterminadas ocasiones puede ser una ventaja, pero en otras puede ser un inconveniente, de hecho un estudio denominado “A remembrance of data passed" realizado por el MIT (Massachusetts Institute of Technology), analiza un total de 158 unidades de disco duro adquiridas a través de la web de subastas de eBay, en tiendas informáticas, empresas e intercambios.

El informe destaca que:
  • El 74% de los discos contenían antiguos datos que se podían recuperar y leer. 
  • El 17% contenían sistemas operativos totalmente instalados y operativos con datos de usuario.
  • Un 57% de los discos habían sido formateados, pero todavía contenían datos antiguos recuperables. 
  • Sólo el 12% habían sido adecuadamente limpiados antes de ponerlos a la venta.
  • 29 de los 158 discos analizados no funcionaban.

Entre la información recuperada de estos discos encontraron:
  • Registros financieros empresariales.
  • Datos personales.
  • Información médica.
  • Cartas de amor. 
  • Gbytes de e-mail personales. 
  • Pornografía. 

Los archivos de registro de uno de los discos proporcionaron lo que parecía ser un total de 2.868 números de tarjetas de crédito y cuentas bancarias, fechas de transacciones y balances. Los que han realizado este estudio creen que quizá este disco proviniera de un cajero automático que nadie se había molestado en limpiar.

Esta situación puede llegar a ser problemática en algunos casos. Un usuario podría estar utilizando un disco de segunda mano formateado y aparentemente “limpio” sin saber que existen archivos de pornografía infantil “escondidos” pero recuperables con ciertas herramientas. 

La fuente de esta información la podréis ver completa en este enlace:


Por este motivo y sobre todo para que a mis más allegados no les inunde un alto grado de paranoia, en especial a "mi hermana", voy a comentar brevemente como se puede evitar esto haciendo uso de aplicaciones de terceros.
  • Para paltaformas recomiendo Eraser, que es una herramienta avanzada de seguridad que te permite eliminar completamente los datos sensibles de tu disco duro, sobreescribiendo varias veces con patrones cuidadosamente seleccionados. Es un software gratuito y su código fuente está liberado bajo GNU (General Public License).


Posiblemente es un próximo post veamos como recuperar ficheros haciendo uso de herramientas próximas a la informática forense.