Generalidades sobre recuperación de archivos

He recibido recientes preguntas y he visto recientes vídeos sobre recuperación de ficheros para usuarios de Apple. Sigo regularmente el canal de Apple5x1 que hablan sobre todo de temas relacionados con dispositivos móviles. Pero de cuando en cuando también ponen tutoriales para el Apple Macintosh y su sistema OS X.

Hace poco salió en su canal un vídeo que podéis ver desde este enlace:

Unos días mas tarde me hicieron preguntas sobre cómo recuperar ficheros en una unidad que no se montaba en el sistema y que parecía que había sigo codificada (encriptada).

La verdad es que tengo experiencia cero sobre este tema con el OS X. Siempre he visto de lejos la opción sobre seguridad de datos que tiene el OS X con la opción de FileVault. Puede ser porque la mayoría de mis datos no son tan vitales para realizar esta operación y porque con ello hace que también se vuelva un poco mas lento el ordenador.

Lo que si he aprendido en todo este tiempo es que parece ser que la última versión de OS X 10.11 El Capitan tiene opciones de seguridad adicionales, y que si uno no mira lo que hace puede acabar con todos sus datos perdidos.

En general, si algo funciona, mejor no cambiarlo. Otra cosa es que cambien tus condiciones para salvaguardar datos.

Antes de empezar a recuperar

Antes de poder recuperar cualquier archivo en una unidad de Mac debes detener la encriptación. Casi todos los textos que me he leído recientemente sobre: “gracias a tal programa recuperé mis datos” añaden esa nota importante. Así que hay que devolver la unidad a su estado original sin codificar.

Para el resto de sistemas operativos (Windows, Distribuciones Linux, etc) deberemos hacer lo propio. Aunque no he usado tampoco ningún sistema en este sentido, tendréis que mirar la opciones de ayuda de cada uno de ellos.

Una vez que tengamos la unidad sin codificar, entonces podemos intentar recuperar datos en ella.

¿Qué hace que un fichero se pueda recuperar?

Los datos dentro de las unidades de almacenamiento se guardan mas o menos de la siguiente forma:

“Los conceptos que vamos a aprender aquí están a un nivel principiante, para que todos podamos entenderlo de la forma mas sencilla. Para aprender de forma mas avanzada, por favor diríjase a otro texto. Gracias.” :mrgreen:

La unidad de almacenamiento tiene una superficie desde donde escribir los datos, y esta se divide en:

  • El grueso de la superficie: donde se depositan éstos
  • La cabecera: que digamos es una especie de biblioteca de dónde esta cada uno y algunas características sobre éstos (tamaño, espacio que ocupa, fecha, lugar donde se encuentra y algunos otros atributos de fichero.

Cuando borramos un archivo en el ordenador (por ejemplo, lo arrastramos a la Papelera y le damos a vaciar), el archivo “parece desaparecer”, pero en realidad lo que hemos hecho es borrar la ficha en la cabecera que hace que el fichero esté localizable. Los datos siguen están ahí, pero la bibliotecaria de la cabecera dice que no encuentra el archivo porque no tiene ficha asociada a éste. En realidad el contenido está perdido en la zona “vacía” que está disponible para ser re-utilizada.

Esa zona disponible es la que se usará cuando haya que volver a guardar datos. Pero como muchas unidades son grandes, estos datos “perdidos” podrían estar ahí mucho tiempo sin tocarse.

¿Qué hacen los programas para recuperar?

Suelen buscar por la superficie del espacio vacío cualquier rastra de datos ordenados. Generalmente muchos de estos programas tienen las cabeceras de los archivos  (no confundir con la cabecera del disco), que dice al ordenador que tipo de archivo es. Estas cabeceras tienen una ordenación similar que describe cómo esta creado y que características tiene en concreto.

Si el programa encuentra esas cabecera, localiza que hay un archivo con determinada forma y que podría ser recuperado. A efectos prácticos es como si le dijéramos a la bibliotecaria que vuelva a catalogar un contenido con los datos que vemos al “leer unas una parte” de ese contenido.

En una unidad de almacenamiento no solamente se guarda un tipo de archivo, sino que hay muchísimos tipos de contenidos de diferentes formatos.

La mayoría de los programas con opciones avanzadas de búsqueda de archivos borrados, suelen tener las descripciones de las cabeceras de éstos. A mayor cantidad de tipos de archivos a buscar, y mayor tamaño de la unidad a escanear, mas tiempo consumido para realizar este proceso, pues tiene que hacer varias pasadas aplicando lo que va encontrando. Una descripción del proceso básico seria:

  • Bloque tal, he encontrado unos datos ordenados.
  • No se lo que es. tengo estas muestras para probar:
    • Cabecera JPG… no se parece.
    • Cabecera MOV… no se parece.
    • Cabecera PDF… no se parece.
    • Cabacera HTML… no se parece.
    • y así con todas las muestras que tenga el programa.

Este proceso lo repite con cada dato ordenador de cabecera que encuentra por la superficie vacía de la unidad.

¿Qué hace que unos archivos podamos recuperar y otros no?

Los bloques “vacíos” que están disponibles para volver a utilizar son los que dicen si podemos o no recuperar un contenido.

Por lo general, cuando la unidad tiene que guardar un nuevo contenido, busca un bloque lo suficientemente grande para albergarlo. Pero a veces, si la unidad esta con bloques muy fragmentados (saltos en los bloques vacíos) lo guarda donde puede.

Si en ese lugar “vacío” hay una cabecera o datos contiguos a la cabecera de un fichero borrado, este se podrá perderse completamente o en parte. Lo que daría como resultado que se pueda recuperar entero, un fragmento o sea totalmente irrecuperable, dependiendo de la cantidad de datos “vacíos” que queden intactos.

¿Por qué algunas unidades de almacenamiento van siendo cada vez mas lentas?

Esto es debido a la fragmentación de los datos y cómo los lee el ordenador.

Cuando se empieza a utilizar una unidad, todos los datos que guardamos en ella están escritos correlativamente, de tal modo que la lectura es directa.

Solo cuando vamos moviendo, cambiando, borrando y añadiendo mas datos, los bloques que van dejando son como pequeños saltos vacíos en la secuencia de espacio reutilizable.

La mecánica de muchas unidades hace que tenga que estas posicionándose la lectura de un lado a otro. Esto hace que la lectura secuencial sea imposible.

Con el tiempo estos bloques tanto de datos como vacíos para reutilizar están por toda la superficie, lo que dificulta la velocidad de lectura y escritura.

En estos sistemas una opción para recuperar la velocidad de dicha unidad de almacenamiento es reorganizar todo el contenido para que la lectura vuelva a ser secuencial y el espacio vuelva a estar disponible en un mismo bloque. Por desgracia como el sistema antes descrito se volverá a hacer lo mismo y tendremos que volver periódicamente a “desfragmentar” para conseguir un acceso óptimo a dichos datos.

Con determinados tipos de unidades y mecánicas de almacenamiento actuales junto al tipo de formato que se emplee para albergar todo el contenido, se compensan los problemas que se han descrito antes y evita que pase esto. Por eso hay algunas unidades que sufren este problema y otras que no se aprecia bajo rendimiento.

¿Qué es un borrado seguro?

Es una forma de conseguir que los datos de la zona reutilizable no se puedan recuperar.

Un borrado seguro se emplea para destruir sistemáticamente para que no pueda recuperar ningun dato en esa unidad de almacenamiento.

El sistema que emplea es muy simple: Si se borra de forma simple y se puede recuperar, lo que hace el borrado seguro es sobreescribir todos los bloques de la superficie muchas veces para que no puedas encontrar dato alguno.

Hay programas que consiguen borrar selectivamente un dato en concreto (solamente borran el lugar donde estaba guardado) y otros que borran completamente la unidad (borran todos los bloques).

¿El formateo no hace eso?

No. El formateado de una unidad por lo general solo borra la cabecera y aplica el formato a la nueva unidad de almacenamiento. pero con muchos programas con esas opciones avanzadas de búsqueda raw o “en bruto” aun podrían recuperar parte de los datos que haya guardados y perdidos en ese “espacio vacío”.

¿Si formateo una unidad que fue encriptada podré recuperar los datos?

Como ya he dicho mas arriba (en el apartado antes de empezar…), para poder “recuperar” algún dato es necesario saber que tipo de archivos o contenido estamos recuperando. Por lo tanto es necesario desactivar la encriptación.

La encriptación lo que hace es que no se pueda saber que tipo de datos hay a no ser que se proporcione la clave con la que han sido codificados esos datos. Sin esa clave el programa de recuperación no sabrá que datos hay porque sus muestras genéricas no concuerdan con las que ve.

Cuando formateas una unidad encriptada tanto los datos como el encriptado desaparecen. Primero porque te cargas la cabecera donde alberga la clave que dice “que si coincide la llave podrás acceder a los datos codificados”. Sin esa cabecera, por mucho que tengas la llave para recuperar los datos (la clave) no podrás recuperar nada, ya que no tienes ninguna cerradura.

¿Pero hay gente que ha recuperado datos encriptados?

Hay muchos tipos de codificación que se han dejado de usar porque se ha descubierto como acceder a ellos. Generalmente si han descodificado éstos datos puede ser debido a que hayan empleado un sistema para poder romper dicha codificación al tratarse de sistemas de encriptación antiguos.

Cuanto mas complicado sea el sistema de codificación mas difícil será romper esa seguridad y extraer esos datos.

Generalmente cuando esto ocurre, son sustituidos por otros de mejores prestaciones. Si esos sistemas aun son muy complicados se considerarán los mas seguros del momento.

Existen por el mundo grupos de expertos y retos mundiales para romper las seguridades de las codificaciones mas modernas. Esos retos permiten probar la seguridad de las codificaciones y saber si podrán ser rotas con el tiempo junto con las nuevas tecnologías que salen.

A medida que va pasando el tiempo, muchos de esos sistemas van cayendo y son sustituidos por otros que evitan esos fallos de los anteriores.

Primeros pasos de Programas de recuperación de archivos

Muchos de nosotros no le damos importancia a este problema hasta que nos ocurre con datos que consideramos importantes. Estos programas y su utilización deberíamos saber utilizarlos alguna vez antes de enfrentarnos al problema mas grande que nos surja.

Si no lo ha hecho nunca:

  1. Considera que los datos estan perdidos.
  2. A partir de aquí solo puedes mejorar.

En muchos sistemas operativos, los programas de recuperación de datos con opciones avanzadas son de pago. Hay algunos mas simples que pueden recuperar cosas de forma sencilla. Pero los mas importantes o mas conocidos suelen ser caros.

Por lo general tienen pocas opciones de uso, y las esperas para recuperar datos duran mucho tiempo. Ten paciencia. Si el dato es importante sabrás esperar tiempo.

Cuando detectes que tienes que recuperar datos: Intenta no grabar nada dentro del disco. Esto podría hacer que pierdas definitivamnete la posibilidad de recuperar algo.

Si no sabes o no te atreves a utilizar los programas por ti mismo, lo mejor que puedes hacer es acudir a una empresa de recuperación de datos. Dependiendo del problema puede salir bastante cara la recuperación de los datos. Estas personas se dedican profesionalmente a recuperar, por lo tanto extremaran las precauciones en cada acción. Por norma general, las empresas de recuperación de datos clonan el disco para poder trabajar con éste y tus datos originales no se tocan. Así pueden realizar todo tipo de operaciones sensibles con la seguridad de que no sufrirá tu unidad de almacenamiento. Eso reduce sistemáticamente los fallos y aumenta la cantidad de recuperación de estos.

Si realizamos nosotros la operación de recuperado, tenemos la probabilidad de que seamos los que podamos romper los datos. Si lo realiza alguien como nosotros o que sepa un poco mas pero no sea profesional, también le puede ocurrir esto.

Como hay tal cantidad de programas para muchos sistemas operativos y ordenadores, no voy a poneros aquí una lista de los mejores o mas usuales, ya que este texto es solo para principiantes y con conceptos básicos.

¿Qué proceso deberímos seguir?

A grandes rasgos y con la mayor seguridad posible.

  • Clonar el disco con un copiador de datos en bruto.
    • Para ello necesitaremos tener una undiad identica en tamaño y modelo a la que estemos utilizando.
  • Usar el disco clonado para el proceso de recuperación.
    • El disco original solo se usará como fuente de datos para clonar el disco. No lo tocaremos hasta que no se haya recuperado lo que pretendemos.
    • SI el disco clonado tiene una encriptación, quitarsela, solo así podremos recuperar algo.
    • Utilizaremos tantos programas como podamos acceder a ellos.
    • Deberiamos probar con los mas sencillos e ir aumentando las prestaciones y el tipo de escaneo.
  • Debemos tener otra unidad (no importa el tamaño ni modelo) para poder recuperar esos datos.
    • Lo que leamos de la unidad clonada se pasará a una nueva unidad sin problemas.
  • Cuando este todo el proceso realizado y hayamos recuperado lo que pretendiamos podremos volver a utilizar las unidades con el problema.
    • Esto son la unidad original y la clonada
    • Solo tenemos que formatearlas convenientemente.
    • Despues podremos reutilizarlas.

Un dato importante a la hora de recuperar archivos borrados. La mayor parte de lo recuperado ha perdido el nombre que tenía. Muchos programas recuperar el contenido, pero no pueden recuperar el nombre del archivo origianl. Asi que los datos recuperados quedaran organizados por tipos de ficheros, y cada nombre de archivo tendrá un numero que va aumentando con la cantidad de archivos.

En pocas ocasiones podremos recuperar los nomrbes de ficheros.

Pero esta es la realidad del usuario medio

Por lo general, el proceso descrito en el apartado anterior, no lo seguimos. En su lugar empleamos este:

  • Escaneamos la unidad original,
  • Tardamos horas o días en hacerlo.
  • Nos ponemos nerviosos entre medias.
  • Hacemos cosas con el ordenador mientras realizamos el proceso de recuperación.
  • Solo tenemos una unidad (la del sistema operativo) para volcar los datos de la que tiene el problema.
  • A menudo esa unidad no tiene todo el tamaño que precisamos.
  • Ni siquiera disponemo de las herramientas para recuperar datos convenientemente.

Con todas estas premisas, es bastante dificil que se pueda recuperar algo.

ATENCIÓN: Puedes opinar sin meter Correo electrónico o Web.


Deja un comentario

Tu dirección de correo electrónico no será publicada.

*

code

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.