¿Se puede recuperar la información borrada?

 

La posibilidad de recuperar información borrada de una unidad de almacenamiento es una cuestión que se pone sobre la mesa en el entorno de un peritaje informático. En este artículo vamos a ver cuál es la realidad y de qué depende que el perito informático pueda o no recuperar la información perdida.

El escenario

Para entender mejor de qué depende la recuperabilidad de un archivo borrado, hay que entender cómo maneja el sistema operativo la información eliminada por el usuario. Cada sistema se comporta de un modo distinto. Nos centraremos aquí en el sistema operativo Windows por ser el que con mayor frecuencia se encuentra el perito informático cuando tiene que examinar un ordenador objeto de análisis en su pericial.

Tenemos que pensar en el disco duro (o en cualquier otro soporte de almacenamiento electrónico) como si fuese un libro que contiene un índice de capítulos y los capítulos en sí. Windows organiza el soporte de almacenamiento de un modo muy similar. Existe un lugar que contiene una relación completa de los archivos y carpetas que contiene nuestro disco. En los sistemas NTFS, ese lugar se llama $MFT (Master File Table - Tabla Maestra de Archivos). Lo más curioso es que la propia $MFT es también un archivo. Lo que contiene el resto del disco, es el interior de los archivos. Es decir, la información que hay dentro de cada uno de ellos. Gracias a este tipo de organización, Windows puede acceder rápidamente a cualquier archivo o carpeta simplemente leyendo la $MFT. Sin necesidad de dar saltos por todo el disco hasta llegar a un elemento concreto, tal y como sucedía en sistemas de archivos antiguos y menos eficientes como FAT.

¿Cómo funciona el borrado?

Cuando el usuario del ordenador borra un archivo, lo que hace Windows son fundamentalmente dos cosas:

  • Marcar el archivo en la $MFT como eliminado. Esto implica que cuando abramos la carpeta en la que se encontraba el archivo y Windows recorra la $MFT para mostrarnos el contenido de esta, pasará por alto el archivo eliminado al comprobar que existe una marca que lo identifica como tal. Como el usuario lo ha eliminado, el archivo ya no se mostrará al abrir la carpeta que lo contiene.
  • Por otro lado, el espacio que ocupa el contenido del archivo en el disco es marcado como disponible.


Si prestamos atención al segundo punto, veremos que la información no se borra, sino que permanece inalterada. Al menos, de momento. 

 

¿Cómo se recupera un archivo borrado?

 


A tenor de lo que hemos visto hasta ahora, podemos considerar que la "magia" de recuperar un archivo no es tal, sino que depende de si la información borrada aún sigue ahí. Así que la "magia" es más bien una suerte de "ilusionismo".

¿Y de qué depende que la información siga ahí cuando queremos recuperarla? Ya hemos visto que Windows no borra nada aunque se lo pidamos. Pero ojo, porque sí que marca el espacio que la información ocupa en el disco como "disponible". Esto significa que cualquier otro archivo que pida espacio para guardar contenido, es susceptible de sobrescribir el contenido eliminado. Si esto llega a ocurrir, habremos perdido definitivamente la información borrada. Ni tan siquiera el perito informático más avezado podrá recuperar la información borrada si ha llegado a ser sobrescrita. Da lo mismo toda la literatura que leáis en Internet en sentido contrario. Ya abordaremos más adelante este tema tan controvertido.

La recuperación de un archivo borrado por parte del perito informático pasa por la utilización de una herramienta específica. Existen docenas de programas que tienen capacidad de recuperar información. Algunos de pago y otros gratuitos. El objeto de este artículo no es promocionar ninguna herramienta, por lo que dejo esa labor para el lector.

El perito informático utiliza herramientas especializadas que aúnan diferentes capacidades, como el tratamiento de imágenes generadas con dispositivos de clonación. Se trata de programas muy caros, aunque no por ello son necesariamente más efectivos a la hora de recuperar un archivo eliminado. A grandes rasgos, el programa de recuperación realizará un recorrido por la $MFT y detectará aquellos archivos que han sido marcados por Windows como "eliminados". Además, comprobará si el área del disco ocupada por el contenido del archivo borrado está aún "disponible". Ya que de otro modo, la información original habrá sido sobrescrita por contenido nuevo y la recuperación no será viable. En el caso de que el área de datos del archivo siga libre, el programa procederá a su restauración.

 

Hay que tener en cuenta dos factores muy importantes a la hora de recuperar un archivo:

 

  • Nunca instalar el programa de recuperación en el propio disco duro que contiene la información borrada
  • Nunca recuperar los archivos eliminados en el propio disco en el que fueron borrados


Ya hemos dicho antes que cualquier nuevo archivo que pida espacio en disco para ser almacenado, es susceptible de sobrescribir la información que estamos tratando de recuperar. Por lo tanto, es evidente que debemos evitar a toda costa escribir información nueva en el disco antes de recuperar los datos que nos interesa. La instalación del programa de recuperación cuenta como información nueva y como potencial elemento de sobrescritura de los archivos eliminados. Así que hay que evitarla a toda costa. Si os estáis preguntando cómo recuperar algo del disco "C:" sin instalar la aplicación de recuperación en Windows, la respuesta pasa por:

  • O bien sacar físicamente el disco "C:" de vuestro ordenador y recuperarlo desde otro equipo en el que previamente hayáis instalado el programa de recuperación
  • O bien arrancar el equipo con un pen drive de autoarranque tipo HIRENS Boot que además contenga el programa de recuperación

 

Lo anterior también aplica a la hora de depositar la información recuperada. La recuperación de un archivo borrado genera un nuevo fichero con el contenido del eliminado. Por tanto, pensad que si estamos intentando recuperar una gran cantidad de archivos y lo hacemos sobre el propio disco del que han sido eliminados, puede que los primeros elementos recuperados vayan sobrescribiendo los que aún faltan por recuperar.

 

Juan Martos Luque

Perito Informático

 

 

 

Deep Web - Un nuevo reto para la informática forense

Recientemente he sido invitado como ponente a un evento destinado a las fuerzas de orden público internacionales y estoy preparando una charla sobre un tema candente, aunque desconocido al mismo tiempo: Se trata de la Deep Web o Internet profunda.

Para quien no esté familiarizado con el término, digamos que la Deep Web está formada por todos aquellos contenidos no indexados por los buscadores. Es decir, por todo aquello que no encontramos si lo buscamos en Google o en Yahoo. Puede que el lector se sorprenda al saber que se estima que dichos contenidos conforman entre el 80% y el 96% del total de Internet. Los contenidos de la Deep Web son de una tipología muy variada. En ocasiones se trata simplemente de documentos que se encuentran en un formato no indexable por los buscadores. Otras veces corresponden a web sites de uso restringido que pertenecen a empresas privadas o son de uso militar. Pero quizá la parte más inquietante de la Deep Web es la que comprende todo tipo de contenidos ilegales.

Algunas herramientas como el navegador Tor garantizan el total anonimato en el uso de Internet. Y no me estoy refiriendo a una navegación en modo incógnito que no deja rastros de nuestro devenir por la web en el ordenador utilizado. Los navegadores como Tor van mucho más allá. Utilizan una tecnología conocida como "onion routing" o "enrutamiento (encaminamiento) de cebolla". En un lenguaje más cercano, diríamos que cada vez que un usuario se conecta a una página de Internet utilizando Tor, lo hace desde una IP diferente. Es decir, que su identidad digital cambia constantemente. Lo que en la práctica hace imposible saber desde dónde se conecta dicho usuario. Pero no sólo el usuario permanece en el anonimato. También los contenidos lo están. En resumen, los usuarios de sistemas basados en "onion routing" se conectan a sitios de Internet sin que se sepa quién está conectado y desde dónde, ni dónde se aloja la página a la que se conecta. Es una especie de cita a ciegas entre usuarios y contenidos.

En un escenario como el descrito en el párrafo anterior, la maquinaria del crimen se ha puesto a trabajar para sacarle el mayor partido. ¡Y vaya si lo han conseguido! Actualmente existen auténticos catálogos del crimen accesibles desde la Deep Web. Algunos de los que enumeraré a continuación podrán sonar a guasa. Pero lamentablemente se trata de contenidos reales: venta de drogas a domicilio; asesinatos por encargo; compra y venta de órganos y personas; robos por encargo; y un larguísimo etc.

Si el lector ha encontrado este artículo de su interés, recomiendo encarecidamente el visionado de este vídeo que en apenas 5 minutos resume de forma gráfica lo que acabo de introducir.

 

Juan Martos Luque

Director General de IIN

Internet: ¿arma o herramienta?

El pasado 3 de Octubre se celebró en la Audiencia Provincial de Madrid un Juicio por agresión sexual en el que tuve la ocasión de participar como perito. Es posible que el lector se pregunte qué hace un perito informático en una Vista en la que se juzga un delito de esa categoría. La razón es que el agresor captaba a sus víctimas a través de las redes sociales. Y digo captaba porque el sujeto lleva ya dos años en prisión preventiva. El hombre, de 55 años de edad, creaba perfiles en los que se hacía pasar por adolescente. Así era como "les entraba" a las niñas, sus potenciales víctimas, de entre 11 y 14 años. Pero ahí no acaba todo. El tipo tenía múltiples perfiles en los que se hacía pasar por diferentes personajes: hombres, mujeres, supuestos adivinos, y un largo y estremecedor etcétera. Toda una maquinaria diseñada para ganarse la confianza de sus víctimas. Cuando lo conseguía, intimaba más y más con ellas, hasta que lograba que le enviasen imágenes comprometedoras, o incluso mantener relaciones sexuales con las niñas. Si con el tiempo alguna de las víctimas declinaba seguir enviándole imágenes o seguir citándose con él, el sujeto las extorsionaba hasta el punto de ponerlas, en algún caso, al borde del suicidio.

Ante un escenario como el descrito en el párrafo anterior y mientras esperaba en los pasillos a que llegase mi turno para declarar (momento que tardó 9 horas en llegar), me preocupaba un comentario que se repetía en boca de muchos de los allí congregados (policías, psiquiatras, abogados, etc). Se repetían las frases como "Desde que llegó Internet, hay mucha más delincuencia de este tipo", o "Esto de las redes sociales lo tenían que prohibir". También alguien apuntó: "Pues yo no compro nada en Internet ni de broma. Que creo que se hacen con tu tarjeta y te quitan hasta la camisa".

El redactor de esta entrada comprende la inquietud de las personas allí presentes e incluso hasta cierto punto suscribe algunos de los comentarios. Sin embargo no debemos olvidar que Internet, las redes sociales y la tecnología en general, son el resultado de miles de años de evolución. La tecnología bien utilizada es sin duda una herramienta de valor incalculable. Tenemos móviles capaces de transmitir nuestra posición exacta en caso de emergencia; podemos predecir la llegada de catástrofes naturales de manera bastante precisa; las personas pueden hablar entre sí a decenas de miles de kilómetros sin que les cueste un céntimo; tenemos acceso a cualquier información, por compleja y novedosa que sea prácticamente en segundos. En resumen, este artículo podría extenderse durante páginas y páginas enumerando cosas que ahora están a nuestro alcance y que no lo estaban hace tan sólo 20 años. Sin perjuicio de lo anterior, es evidente que cualquier herramienta puede ser al mismo tiempo utilizada como arma. De hecho, una buena parte de los avances tecnológicos que ahora utilizamos tiene su origen en la tecnología militar. Sin embargo esto no puede constituir un óbice para el progreso tecnológico. Sería como considerar que los vehículos a motor deben ser extinguidos ante la posibilidad de que alguien utilice su coche como arma y mate a alguien.

Para bien o para mal, la tecnología evoluciona cada vez más deprisa. Se podría decir que la tecnología se auto alimenta a base de sus propios logros. Es decir, cada nuevo avance tecnológico permite crear más tecnología y permite hacerlo más deprisa. Esto provoca en ocasiones que cuando aún no hemos terminado de asimilar algo nuevo, ya tenemos encima la siguiente versión. Cuando digo que no hemos asimilado un determinado avance, me refiero especialmente a que no hemos llegado a calcular cuáles son sus potenciales riesgos y el alcance de los mismos. De otro modo no no se explica el hecho de que a día de hoy haya un importante número de personas tratando de eliminar el rastro de desafortunadas fotografías que decidieron facilitarle a algún contacto "de confianza" en su red social favorita y que ahora por despecho han hecho circular públicamente para el resto de usuarios de la misma u otras redes. De hecho, me consta que se está convirtiendo en práctica habitual por parte de los departamentos de recursos humanos de las empresas buscar información en Internet sobre los candidatos que se presentan a cubrir un determinado puesto de trabajo.

Aún nos queda mucho camino por recorrer en esto de lo tecnológico. Recuerdo con nitidez cómo era el mundo hace tan sólo 20 años, y me da vértigo pensar en cómo será dentro de otros tantos. Por eso hemos de estar preparados y que la tecnología sea nuestro aliado, y no un arma con la que golpear o con la que nos golpeen. Para esto, nuestro principal aliado será siempre el mismo: el sentido común.

 

Juan Martos Luque

Director General de IIN

¿Brotes verdes en la persecución del ciberdelito?

Esta mañana ha aparecido en El Confidencial un artículo que me ha producido un tímido sentimiento de esperanza en lo profesional. Según parece, el CNP adopta medidas adicionales para la persecución del ciberdelito. Como se trata de un tema que vivo muy de cerca, puedo afirmar que se trata inequívocamente de una asignatura pendiente para los Cuerpos y Fuerzas de Seguridad del Estado. Está bien por tanto que se adopten medidas tan relevantes en esta materia como la especialización de la BIT y la integración con otros cuerpos homólogos a nivel internacional. Aunque mucho me temo que mientras la Judicatura no progrese de manera paralela, seguiremos a la zaga de los delincuentes cibernéticos. Es necesario un cambio de mentalidad. El legislador ha de entender que realmente estamos en una nueva era en la que los delincuentes ya no necesitan abordar a sus víctimas con un arma en la mano. Ahora se puede robar desde miles de kilómetros de distancia; se puede extorsionar; se puede amenazar; se puede traficar. Y todo con garantía de total impunidad en la mayor parte de los casos. Los ciberdelincuentes juegan con la ventaja de que en Internet no hay fronteras, mientras que el mundo físico está plagado de ellas. Pero al final del día, la mayor parte de estos delincuentes, cíber o no cíber, se sirven de las mismas plataformas que el resto de los usuarios para la comisión de su delito. Fundamentalmente, redes sociales y grandes proveedores de servicios de correo electrónico. Es imprescindible que se abra un debate sobre los límites de la privacidad en Internet, en contraposición con la seguridad de las personas. Abiertamente, desde la legalidad. El anonimato es el amparo bajo el que quedan impunes todo tipo de delitos en Internet, y creo que habría que darle una vuelta.

Juan Martos Luque

Director General de IIN

IIN interviene en el caso Faisán

La Asociación Dignidad y Justicia ha requerido los servicios de IIN, a través del perito informático Juan Martos Luque, para la elaboración de un informe pericial sobre los datos obtenidos a partir de la radiobaliza instalada en el vehículo particular de Joseba Elosua, propietario del bar Faisán y cuya escucha puso de manifiesto en mayo de 2006 la existencia de un "chivatazo" presuntamente perpetrado por miembros del Cuerpo Nacional de Policía sobre una operación policial en curso. El informe redactado contradice las afirmaciones de la Defensa de los imputados, Enrique Pamiés y José María Ballesteros, cuyos peritos sostienen la teoría de que el dispositivo de balizamiento habría sido manipulado. El informe de IIN acredita de manera inequívoca que las conversaciones en las que Elosua le transmite a su yerno fueron obtenidas gracias al audio transmitido por el dispositivo de radiobalizamiento instalado en su vehículo particular el 4 de mayo de 2006. Juan Martos ratificó su informe el 18 de septiembre de 2013 en la Audiencia Nacional ante el Juez Alfonso Guevara. 

 

 

Acreditaciones

Contáctenos