Recuperación de datos

El escenario más común de "recuperación de datos" involucra una falla en el sistema operativo (típicamente de un solo disco, una sola partición, un solo sistema operativo), en este caso el objetivo es simplemente copiar todos los archivos requeridos en otro disco. Esto se puede conseguir fácilmente con un Live CD, la mayoría de los cuales provéen un medio para acceder al sistema de archivos, obtener una copia de respaldo de los discos o dispositivos removibles, y luego mover los archivos desde el disco hacia el respaldo con un administrador de archivos o un programa para creación de discos ópticos. Estos casos pueden ser mitigados realizando particiones del disco y continuamente almacenando los archivos de información importante (o copias de ellos) en una partición diferente del de la de los archivos de sistema en el sistema operativo, los cuales son reemplazables. 

 

Otro escenario involucra una falla a nivel de disco, tal como un sistema de archivos o partición de disco que esté comprometido, o una falla en el disco duro. En cualquiera de estos casos, los datos no pueden ser fácilmente leídos. Dependiendo de la situación, las soluciones pueden estar entre reparar el sistema de archivos, la tabla de particiones o el registro maestro de cargado (MBR), o técnicas de recuperación del disco duro que van desde la recuperación basada en software de los datos corruptos a el reemplazo del hardware de un disco dañado físicamente. Si la recuperación del disco duro es necesaria, el disco de por sí típicamente ha fallado de manera permanente, y el propósito en vez de una recuperación de una sola vez, es el de rescatar cualquier dato que pueda ser leído.

En un tercer escenario, los archivos han sido "borrados" de un medio de almacenamiento. Típicamente, los archivos borrados no son realmente eliminados de inmediato; en vez de ello, las referencias a ellos en la estructura de directorios ha sido removida, y el espacio que éstos ocupan se hace disponible para su posterior sobre-escritura. En el transcurso de esto, el archivo original puede ser recuperado. Aunque hay cierta confusión acerca del término, la "recuperación de datos" puede también ser usada en el contexto de aplicaciones de informática forense o de espionaje.

Recuperación de datos después de un daño físico

Una amplia variedad de fallos pueden causar daño físico a un medio de almacenamiento. Los CD-ROM pueden tener rayado su sustrato metálico o su capa de tinte; los discos duros pueden sufrir varios y diferentes fallos mecánicos, tales como caídas y malfuncionamiento del motor, de la electrónica, de las cabezas o combinaciones de estos elementos; las cintas pueden simplemente romperse. Un daño físico siempre causa al menos alguna pérdida de datos, y en muchos casos las estructuras lógicas del sistema de archivos también se ven dañadas. Cualquier daño físico debe ser reparado antes de que los archivos puedan ser rescatados del medio dañado.

Los daños físicos no pueden ser reparados por usuarios finales. Por ejemplo, el destapar un disco duro en un ambiente normal puede llevar a que el polvo en el aire caiga sobre los platos del disco y este polvo quede atrapado entre el plato y el cabezal de lectura/escritura, causando nuevos daños en el cabezal que dañan aún más el plato y comprometiendo así el proceso de recuperación de datos. Además, los usuarios finales generalmente no tienen el hardware ni la experiencia técnica requerida para realizar dichas reparaciones, por este motivo se contratan compañías especializadas en recuperación de datos para rescatar datos importantes.

Técnicas de recuperación

La recuperación de datos en caso de daños físicos de los medios de almacenamiento puede involucrar múltiples técnicas. Algunos daños pueden ser reparados sustituyendo piezas o partes de un disco duro. Con sólo esto se puede lograr que el disco sea utilizable, pero puede que haya aún más daños físicos y/o lógicos. Un procedimiento especializado de lectura bit a bit es utilizado para recuperar cualquier bit legible de las superficies magnéticas de los discos duros. Una vez se obtiene una imagen del disco, esta se guarda en un medio confiable, de este modo la imagen puede ser analizada de forma segura buscando daños lógicos y posiblemente permitiendo que gran parte del sistema de archivos original pueda ser reconstruido.

Reparación de hardware

Algunos ejemplos de procedimientos de recuperación física son: Sustituir uno o varios circuitos impresos dañados y reemplazarlos con otros idénticos o compatibles. Existen técnicas de sustitución de componentes denominada "en vivo" (en algunos casos, para lo cual se lee y escribe dicho sistema desde la unidad dañada con varios discos en funcionamiento a la vez). Otros métodos se basan en sustituir los cabezales de lectura/escritura con piezas idénticas extraídas de otra unidad en buen estado. Otras técnicas son quitar los platos de un disco duro dañado e instalarlos en una unidad en buen estado, y usualmente una combinación de estos procedimientos. Algunas empresas dedicadas a la recuperación de datos tienen procedimientos que son de naturaleza altamente técnica, estas técnicas no son recomendables para personal no cualificado por la dificultad que conllevan estos procedimientos, en los cuales el más mínimo error es motivo de pérdida definitiva de la información contenida en un disco duro haciendo irreversible e irrecuperable definitivamente la información que se pretendía recuperar.

Hay que tener en cuenta que los procesos de recuperación de datos en muchos casos anulan la garantía del fabricante ya que en el proceso de recuperación de datos mucha veces se desprecintan las etiquetas de garantía de los discos, y suponen un uso de los mismos de un modo diferente a las especificaciones de uso del fabricante, también debemos tener en cuenta que las garantías de los fabricantes no incluyen la información contenida en nuestros discos duros u otros dispositivos, por lo que si nuestro disco duro falla y nuestra información es importante deberemos acudir a una empresa de recuperación de datos, obviando el uso de la garantía de los discos duros pues ésta sólo nos sustituirá nuestro disco duro, perdiendo definitivamente nuestros datos dentro contenidos.

Recuperación de daños lógicos

Datos sobreescritos

Cuando los datos han sido sobreescritos físicamente en un disco duro, se asume por lo general que los datos anteriores ya no se pueden recuperar. En 1996, el científico de computación Peter Gutmann  escribió un artículo en el que sugería que los datos sobreescritos podían ser recuperados por medio del uso de un microscopio de fuerza magnética.¹ En 2001, presentó otro artículo sobre un tema similar. Posteriormente hubo una considerable cantidad de crítica, que trataba principalmente sobre la falta de ejemplos concretos de cantidades significativoas de datos sobreescritos recuperados. Para protegerse contra este tipo de recuperación de datos, él y Colin Plumb diseñaron el Método Gutmann, el cual es usado en varios paquetes de software de borrado de discos.

Aunque la teoría de Gutmann pueda ser correcta, no existe evidencia práctica de que datos sobreescritos pueda ser recuperada. Por otra parte, hay buenas razones para creer de que esto no sea posible.

Las unidades de estado sólido (SSD por sus siglas en inglés) sobreescriben datos de forma distinta a las unidades de disco duro (HDD), lo cual hace que al menos algunos de sus datos sean fácilmente recuperables. Muchos SSDs usan memorias flash para almacenar datos en páginas y bloques, referenciados por direcciones lógicas de bloque (LBA) las cuales son manejadas por la capa de traducción de flash (FTL). Cuando la FTL modifica un sector, éste escribe los datos nuevos en otra ubicación y actualiza el mapa para que los nuevos datos aparezcan en el LBA objetivo. Esto deja a los datos viejos en su lugar, y que puedan ser recuperables por un software de recuperación de datos.

Particiones y sistemas de archivos corruptos, errores en medios

En algunos casos, los datos en un disco duro pueden ser no leíbles debido a daños en la tabla de particiones y en el sistema de archivos, o debido a errores (intermitentes) en el medio. En la mayoría de estos casos, al menos una porción de los datos originales pueden ser recuperados reparando la tabla de particiones o sistema de archivos dañado usando software especializado en recuperación de datos tal como Testdisk; software como dd rescue puede obtener imágenes de disco incluso con errores intermitentes, y cuando hay daños en la tabla de particiones o en el sistema de archivos. Este tipo de recuperación de datos puede ser realizado por usuarios finales experimentados, puesto que no requiere de ningún equipo físico especial. Sin embargo, casos más serios pueden todavía requerir de intervención experimentada.

Recuperación remota de datos

La recuperación de datos "remota" u "online" es aún otro método para restaurar datos perdidos o borrados. Es lo mismo que realizar recuperaciones con software regular, excepto que este tipo de recuperación es realizada a través de la Internet sin poseer físicamente la unidad o computador. El técnico de recuperación, ubicado en alguna parte, obtiene acceso a un computador de un usuario y completa la labor de recuperación remotamente. En este escenario, el usuario no tiene que viajar o enviar el medio físico a lugar alguno.

Aunque la recuperación remota de datos es útil y conveniente en muchos casos, todavía conserva algunos puntos que la hacen menos popular que los métodos clásicos de recuperación de datos. Primero que todo, requiere de una conexión de Internet estable de banda ancha para que pueda ser realizada correctamente, lo cual es carente en muchos países del tercer mundo. Por otra parte, no puede ser realizada en caso de daño físico a un medio, y para tales casos, tiene que realizarse la tradicional recuperación en el laboratorio.