La posibilidad de recuperar información borrada de una unidad de almacenamiento es una cuestión que se pone sobre la mesa en el entorno de un peritaje informático. En este artículo vamos a ver cuál es la realidad y de qué depende que el perito informático pueda o no recuperar la información perdida.

El escenario

Para entender mejor de qué depende la recuperabilidad de un archivo borrado, hay que entender cómo maneja el sistema operativo la información eliminada por el usuario. Cada sistema se comporta de un modo distinto. Nos centraremos aquí en el sistema operativo Windows por ser el que con mayor frecuencia se encuentra el perito informático cuando tiene que examinar un ordenador objeto de análisis en su pericial.

Tenemos que pensar en el disco duro (o en cualquier otro soporte de almacenamiento electrónico) como si fuese un libro que contiene un índice de capítulos y los capítulos en sí. Windows organiza el soporte de almacenamiento de un modo muy similar. Existe un lugar que contiene una relación completa de los archivos y carpetas que contiene nuestro disco. En los sistemas NTFS, ese lugar se llama $MFT (Master File Table - Tabla Maestra de Archivos). Lo más curioso es que la propia $MFT es también un archivo. Lo que contiene el resto del disco, es el interior de los archivos. Es decir, la información que hay dentro de cada uno de ellos. Gracias a este tipo de organización, Windows puede acceder rápidamente a cualquier archivo o carpeta simplemente leyendo la $MFT. Sin necesidad de dar saltos por todo el disco hasta llegar a un elemento concreto, tal y como sucedía en sistemas de archivos antiguos y menos eficientes como FAT.

¿Cómo funciona el borrado?

Cuando el usuario del ordenador borra un archivo, lo que hace Windows son fundamentalmente dos cosas:

• Marcar el archivo en la $MFT como eliminado. Esto implica que cuando abramos la carpeta en la que se encontraba el archivo y Windows recorra la $MFT para mostrarnos el contenido de esta, pasará por alto el archivo eliminado al comprobar que existe una marca que lo identifica como tal. Como el usuario lo ha eliminado, el archivo ya no se mostrará al abrir la carpeta que lo contiene.
• Por otro lado, el espacio que ocupa el contenido del archivo en el disco es marcado como disponible.

Si prestamos atención al segundo punto, veremos que la información no se borra, sino que permanece inalterada. Al menos, de momento. 

 

¿Cómo se recupera un archivo borrado?

 

A tenor de lo que hemos visto hasta ahora, podemos considerar que la "magia" de recuperar un archivo no es tal, sino que depende de si la información borrada aún sigue ahí. Así que la "magia" es más bien una suerte de "ilusionismo".

¿Y de qué depende que la información siga ahí cuando queremos recuperarla? Ya hemos visto que Windows no borra nada aunque se lo pidamos. Pero ojo, porque sí que marca el espacio que la información ocupa en el disco como "disponible". Esto significa que cualquier otro archivo que pida espacio para guardar contenido, es susceptible de sobrescribir el contenido eliminado. Si esto llega a ocurrir, habremos perdido definitivamente la información borrada. Ni tan siquiera el perito informático más avezado podrá recuperar la información borrada si ha llegado a ser sobrescrita. Da lo mismo toda la literatura que leáis en Internet en sentido contrario. Ya abordaremos más adelante este tema tan controvertido.

La recuperación de un archivo borrado por parte del perito informático pasa por la utilización de una herramienta específica. Existen docenas de programas que tienen capacidad de recuperar información. Algunos de pago y otros gratuitos. El objeto de este artículo no es promocionar ninguna herramienta, por lo que dejo esa labor para el lector.

El perito informático utiliza herramientas especializadas que aúnan diferentes capacidades, como el tratamiento de imágenes generadas con dispositivos de clonación. Se trata de programas muy caros, aunque no por ello son necesariamente más efectivos a la hora de recuperar un archivo eliminado. A grandes rasgos, el programa de recuperación realizará un recorrido por la $MFT y detectará aquellos archivos que han sido marcados por Windows como "eliminados". Además, comprobará si el área del disco ocupada por el contenido del archivo borrado está aún "disponible". Ya que de otro modo, la información original habrá sido sobrescrita por contenido nuevo y la recuperación no será viable. En el caso de que el área de datos del archivo siga libre, el programa procederá a su restauración.

 

Hay que tener en cuenta dos factores muy importantes a la hora de recuperar un archivo:

 

• Nunca instalar el programa de recuperación en el propio disco duro que contiene la información borrada
• Nunca recuperar los archivos eliminados en el propio disco en el que fueron borrados

Ya hemos dicho antes que cualquier nuevo archivo que pida espacio en disco para ser almacenado, es susceptible de sobrescribir la información que estamos tratando de recuperar. Por lo tanto, es evidente que debemos evitar a toda costa escribir información nueva en el disco antes de recuperar los datos que nos interesa. La instalación del programa de recuperación cuenta como información nueva y como potencial elemento de sobrescritura de los archivos eliminados. Así que hay que evitarla a toda costa. Si os estáis preguntando cómo recuperar algo del disco "C:" sin instalar la aplicación de recuperación en Windows, la respuesta pasa por:

• O bien sacar físicamente el disco "C:" de vuestro ordenador y recuperarlo desde otro equipo en el que previamente hayáis instalado el programa de recuperación
• O bien arrancar el equipo con un pen drive de autoarranque tipo HIRENS Boot que además contenga el programa de recuperación

 

Lo anterior también aplica a la hora de depositar la información recuperada. La recuperación de un archivo borrado genera un nuevo fichero con el contenido del eliminado. Por tanto, pensad que si estamos intentando recuperar una gran cantidad de archivos y lo hacemos sobre el propio disco del que han sido eliminados, puede que los primeros elementos recuperados vayan sobrescribiendo los que aún faltan por recuperar.

 

Juan Martos Luque

Perito Informático