Banner de Borrado seguro y recuperación en Windows

Análisis Forense Informático,Ciberseguridad,Formación

Borrado seguro y recuperación de ficheros en Windows

25 Feb , 2022  

Cómo realizar un borrado seguro de ficheros Windows y cómo recuperar después los ficheros borrados.

Por el contrario, si hemos eliminado accidentalmente un fichero, o bien estamos realizando un análisis forense de un equipo y queremos tratar de recuperar los ficheros que hayan podido ser eliminados debemos utilizar un Software de recuperación de ficheros.

Persistencia de datos

Cuando queremos borrar los ficheros de un ordenador, si no utilizamos herramientas específicas de borrado seguro, corremos el riesgo de mantener un residuo de los datos eliminados.

Del mismo modo que si tenemos un folio y lo introducimos en un destructor de papel alguien podría reconstruir el contenido del folio si tiene acceso a las tiras y las coloca en el orden correcto, cuando eliminamos un fichero en nuestro equipo (bien sea Windows, Linux o Mac) los datos siguen permaneciendo en los sectores del disco duro hasta que nueva información los sobrescriban.

Esta información solo es válida para discos duros mecánicos y unidades en estado sólido sin la orden TRIM habilitada. TRIM es una orden solo disponible en los SSD que ordena al medio eliminar automáticamente los ficheros para ganar rendimiento, prolongando la vida útil de los SSD al no utilizar energía para almacenar datos que no deberían existir, pero también provoca que los datos sean irrecuperables de forma inmediata.

Caso práctico – Entorno

Entorno Windows 11 del caso práctico
Captura de la configuración en VirtualBox de la máquina en la que se desarrolla el caso práctico

Para esta práctica se ha utilizado como entorno una máquina virtual Windows 11 en la que se han añadido una serie de disco portátiles en los que se almacenarán ficheros que después se eliminarán utilizando diferentes herramientas:

Una vez se haya procesado el borrado de ficheros trataremos de recuperarlos utilizando las siguientes herramientas:

Herramientas de borrado seguro

Eraser

Captura de pantalla de la configuración de Eraser
Configuración de Eraser con los métodos de borrado elegibles

Eraser es una utilidad gratuita desarrollada por Heidi Computers Limited para Windows que permite borrar los ficheros de forma segura, habilitando además configurar diferentes patrones de borrado.

Por defecto utiliza el método Gutmann para realizar el borrado seguro de los ficheros, realizando 35 pasadas en las que se escriben datos aleatorios, lo que hace prácticamente imposible recuperar su contenido posteriormente, aunque dispone de gran variedad de métodos de borrado para elegir.

File Shredder

Captura de pantalla de la configuración de File Shredder
Configuración de File Shredder con los métodos de borrado elegibles

File Shredder es una utilidad gratuita, liberada bajo licencia GNU/GPL para Windows que permite borrar los ficheros de forma segura, habilitando además configurar diferentes patrones de borrado, aunque no tantas como ofrece Eraser.

Por defecto utiliza el método DoD 5220-22.M para realizar el borrado seguro de los ficheros, realizando 3 pasadas en las que se escriben primero unos y se verifica la escritura, después ceros y se verifica la escritura, y finalmente un datos aleatorios y se verifica la escritura.

Este método fue desarrollado por los Estados Unidos dentro de su programa de seguridad industrial.

Permadelete

Captura de pantalla de la configuración de Permadelete
Configuración de Permadelete con el número de pasadas elegibles

Permadelete es una utilidad gratuita, liberada bajo licencia MIT para Windows que permite borrar los ficheros de forma segura.

Por defecto realizan una única escritura escritura de datos aleatorios sobre el contenido del fichero, ya que consideran que es suficiente, y que varias pasadas de sobreescritura, además de aumentar enormemente los tiempos de borrado, podrían ser perjudiciales para la unidad.

Podemos aumentar el número de pasadas de escritura de datos aleatorios si lo deseamos, hasta un límite de 10 pasadas.

SDelete

SDelete es una utilidad de Sysinternals que realiza el borrado seguro de ficheros desde el intérprete de comandos utilizando el método DoD 5220-22.M que también utiliza por defecto File Shredder.

En la página de información de SDelete nos informan de que la aplicación borra de forma segura los contenidos de los ficheros, pero no los nombres de éstos, como veremos más adelante.

Herramientas de recuperación

Disk Drill

Captura de pantalla de Disk Drill para Windows
Vista de Disk Drill para Windows

Esta herramienta, desarrollada por Clever Files, es más conocida en los entornos Mac OS X, donde es considerada como una de las mejores para recuperar ficheros eliminados.

Tiene un sistema gratuito con una limitación de ficheros inferiores a 500MB, una versión PRO de pago que limita a un único usuario que puede hacer uso de la licencia y activarla hasta en tres equipos y una versión Enterprise limitada a diez usuarios y un número ilimitado de activaciones. Ambas versiones de pago pueden conseguirse con actualizaciones de por vida con un pago adicional.

Ofrece la posibilidad de recuperar ficheros en directorios, particiones, o incluso discos enteros.

EaseUs Data Recovery Wizard

Captura de pantalla de Data Recovery Wizard para Windows
Vista de Data Recovery Wizard para Windows

Data Recovery Wizard es una aplicación desarrollada por EaseUs principalmente para Windows, aunque también dispone de versión para Mac OS X.

Tiene un sistema gratuito con una limitación de recuperación de 2GB de datos, un plan Pro que limita a un único usuario y equipo y ofrece un sistema de asistencia para recuperación remota, y una versión Technician para múltiples equipos. Se pueden realizar compras de los planes de por vida o con un método de suscripción mensual y anual.

Al igual que Disk Drill ofrece la posibilidad de recuperar ficheros en directorios, particiones, o incluso discos enteros.

MiniTool Power Data Recovery

Captura de pantalla de Power Data Recovery para Windows
Vista de Power Data Recovery para Windows

Power Data Recovery es un software desarrollado por MiniTool para Windows.

Al igual que las anteriores opciones, dispone de un modo gratuito con una limitación de recuperación de 1GB de datos en el que no podemos cargar los resultados de análisis anteriores y un plan personal que habilita todas las opciones hasta en tres equipos en función de la licencia que escojamos (existen suscripciones mensuales, anuales y una licencia perpetua).

Permite crear una unidad portátil de rescate con la que poder arrancar el equipo y recuperar ficheros de un sistema operativo dañado, recuperar ficheros en directorios, particiones y discos.

Kickass Undelete

Captura de pantalla de Kickass Undelete para Windows
Vista de Kickass Undelete para Windows

Kickass Undelete es una aplicación gratuita de código abierto con licencia GNU/GPL para Windows.

Al ser gratuito y de código abierto no tiene funcionalidades limitadas, pero el sistema no permite realizar búsquedas a nivel de directorio, solo examina particiones completas en busca de ficheros eliminados.

Recuva

Captura de pantalla de Recuva
Vista de Recuva

Recuva es un programa desarrollado por Piriform para Windows.

Dispone de un modo gratuito en el que están restringidas las actualizaciones automáticas, el soporte para unidades virtuales y la asistencia técnica, y también dispone de una licencia de pago en modo de suscripción anual que añade las características anteriormente citadas.

Borrado seguro y recuperación en vídeo

Conclusiones finales

Como hemos visto en el vídeo, el desempeño general de las aplicaciones de borrado seguro es bueno, incluso realizando una sola pasada de escritura de datos. También se ha corroborado la posibilidad de recuperar ficheros que no hayan sido debidamente eliminados.

Sin embargo, es muy importante tener en cuenta que los nombres de fichero se pueden recuperar correctamente aunque hayamos borrado el fichero, lo que podría revelar información crucial durante un análisis forense.

El desempeño general del software de recuperación ha sido variable, saliendo ganador en esta comparativa el software de EaseUs. En cualquier caso, hay que tener en cuenta que cada escenario es variables y es posible que otras aplicaciones muestren un mejor comportamiento en otro momento. Si tenemos la posibilidad de utilizar varias aplicaciones de recuperación con imágenes clonadas de los datos aumentaremos las posibilidades de éxito.

Contenido adicional

Análisis Forense Informático

, , , , , , , , , , ,


One Response

  1. […] Borrado seguro y recuperación de ficheros en Windows […]

Deja un comentario

A %d blogueros les gusta esto: