Muchas veces eliminamos archivos o particiones en un disco y creemos que una vez que vaciamos la papelera de reciclaje, ya perdimos para siempre esos archivos. Pero, ¿sabemos qué es lo que pasa realmente cuando borramos un archivo? La realidad es que con solo vaciar la papelera no alcanza.
La información que vamos guardando en medios digitales queda en los diferentes bloques que poseen, para guardar estas pequeñas porciones de información. Entonces, ¿qué pasa cuando vacías por completo la papelera de reciclaje? Para comprender esto, pensemos en tomar un libro cualquiera, arrancar sus páginas índices y romperlas.
En verdad, la información del libro sigue estando, aunque tal vez ahora que no tenemos índice, no sabemos en qué parte se encuentra exactamente cada cosa. Pero basta con tomarse el tiempo necesario para mirar hoja por hoja, y encontrar todo el contenido con herramientas como Autopsy.
Un medio de almacenamiento digital funciona de igual forma: cuando hacemos el borrado de información “normal”, el que todo el mundo conoce, desde la papelera, en realidad lo que estamos haciendo es des-indexar el contenido del disco o medio de almacenamiento que sea.
Esto significa que eliminando la información de esta forma, las herramientas de análisis forense podrán analizar cada bloque de información en el disco (equivalente a cada página del libro). Por ende, con esperar un buen rato, dependiendo de la capacidad de almacenamiento, la herramienta será capaz de recuperar casi toda la información que creíamos eliminada. Esto muchas veces es implementado por ciberdelincuentes para robar información de sus víctimas con el fin de encontrar archivos importantes.
Por otro lado, ya hemos visto con anterioridad que fácilmente pueden recuperarse archivos eliminados con herramientas como Photo Rec, por ejemplo, de uso libre y gratuito.
Adentrándonos en el borrado seguro
Existe otro método de eliminación de la información conocido como borrado seguro. Cuando se borran los archivos o información, en los sectores donde se encuentran guardados en el disco se reemplaza la información por 0. Esto quiere decir que los bloques de almacenamiento que posean el valor 0 no tienen información guardada allí.
El sistema operativo Linux cuenta con una herramienta por defecto en casi todas las distribuciones que se llama shred. Para ver las opciones de ejecución de la herramienta podemos ejecutar el comando en consola:
Shred –help
Aquí listamos las opciones para ejecutar la herramienta:
• f: force. cambia los permisos del archivo si fuera necesario
• n: número de veces a sobrescribir el archivo o partición (3 veces por defecto). Cuanto mayor sea este número, más difícil será su recuperación
• u: trunca y elimina el archivo después de sobrescribirlo
• v: verbose o verborragico, muestra el progreso en pantalla
• z: zero, sobreescribe 0 para evitar dejar rastro
Veamos en el siguiente ejemplo cómo ejecutar el comando para borrar un archivo:
Con este comando se ejecuta la herramienta, borrando 10 veces el archivo (letra n), luego de el borrado del archivo sobrescribirlo (letra u), muestra el progreso del borrado en pantalla (letra v) y sobre escribe con 0 para evitar dejar rastros (letra z), todo esto seguido del archivo a eliminar, en este caso un documento de texto.
Una vez ejecutado, el comando se verá más o menos así:
También podemos eliminar particiones completas de forma segura con este comando:
shred -vu /dev/sdb1 (/dev/sdb1 es la unidad, pero podemos cambiarla)
Como podrán ver, realmente no es muy difícil ejecutar esta herramienta, por lo que será de utilidad si van a regalar o vender su computadora, disco rígido, dispositivo USB o cualquier equipo donde guarden información. En esos casos, el borrado seguro será lo primero en lo que deberían pensar.
Esta buena práctica debería ir acompañada por la de cifrar toda la información que se considere importante en el equipo, ya que si de todas formas se consigue recuperar por otro medio, esta va a estar protegida por una contraseña. Si quieren más información pueden acceder a nuestra Guía de Cifrado que les explicará en detalle los beneficios de esta técnica y cómo implementarla.
Por otro lado muchas personas e inclusive muchas empresas, se deshacen de las computadoras en desuso, por lo que sí están pensando en vender o regalar un equipo, asegúrense de hacer un borrado seguro del disco completo y luego reinstalar el sistema operativo. De lo contrario, podrían ser víctimas de una fuga de información.