924 09 06 08

Recuperación de datos en discos duros para procesos judiciales

Forenlab Peritos Informáticos recuperación de datos · disco duro · forense

Recuperación de datos en discos duros para procesos judiciales

Cuando un disco duro o un SSD contiene información clave para un proceso judicial —archivos eliminados, particiones formateadas, datos cifrados o aparentemente perdidos— la recuperación no puede hacerse con cualquier herramienta comercial. Necesita un proceso forense que preserve la integridad de la evidencia y que el resultado sea defendible en sala. Esta guía explica las técnicas que aplica un perito informático, sus límites y qué diferencia una recuperación pericial de una recuperación comercial.

Por qué la recuperación de datos pericial es diferente

Un servicio comercial de recuperación de datos tiene un único objetivo: recuperar archivos. Si lo consigue, los entrega al cliente y termina su trabajo. La recuperación pericial añade tres requisitos críticos:

  1. Preservar la integridad del soporte original (cadena de custodia + clonado bit a bit).
  2. Documentar el procedimiento para que sea reproducible por un tercero.
  3. Establecer relaciones forenses: cuándo se borró el archivo, quién lo borró, si hubo intento de ocultación.

Sin estos tres requisitos, los datos recuperados pueden valer poco en juicio porque la parte contraria puede argumentar que fueron implantados o alterados durante el proceso de recuperación.

Cómo se recupera información borrada

Borrado lógico vs. borrado físico

Cuando un usuario “borra” un archivo:

  • Eliminar a Papelera: el archivo solo se mueve. Recuperación trivial.
  • Vaciar Papelera o Shift+Supr: el sistema marca el espacio como “disponible” pero los bytes siguen ahí hasta que otro archivo los sobrescriba. Recuperable mientras no se reescriba.
  • Formato rápido: borra la tabla de asignación pero no los datos. Recuperable en gran medida.
  • Formato lento (cero overwrite) o Secure Erase: sobreescribe todo el espacio. Imposible recuperar con métodos estándar.
  • Cifrado del disco con BitLocker / FileVault: si no hay clave, no hay recuperación.

Técnicas forenses

1. Análisis de la tabla de asignación (FAT, NTFS, APFS, EXT)

El perito examina la tabla y localiza entradas de archivos marcados como eliminados pero cuyos clusters no han sido reasignados. Recupera los archivos completos siempre que no haya overwrite.

2. File carving

Cuando la tabla está dañada o ha sido sobrescrita parcialmente, el perito busca firmas de archivo (cabeceras y pies binarios conocidos: JFIF para JPEG, %PDF para PDF, PK para ZIP/Office, etc.) en el espacio no asignado y reconstruye los ficheros byte a byte. Herramientas: PhotoRec, Scalpel, Foremost, Autopsy.

3. Recuperación de logs y artefactos del sistema

Aunque el archivo principal esté irrecuperable, el sistema operativo deja huellas de su existencia:

  • MFT (Master File Table) en NTFS: registros de archivos eliminados con metadatos.
  • $LogFile en NTFS: registro de transacciones recientes.
  • Shadow copies y puntos de restauración.
  • Prefetch: rastros de programas ejecutados.
  • Eventlog: eventos del sistema.
  • Thumbnails y miniaturas: imágenes en miniatura de fotos eliminadas.

4. Recuperación física (en cleanroom)

Si el disco tiene daños mecánicos (cabezales, motor, electrónica), se requiere abrir el disco en una sala blanca, sustituir piezas y leer los platos en un lector forense. Es la opción más cara (1.500-5.000€) pero a menudo viable.

Particularidades de los SSD

Los SSD son más difíciles de recuperar que los discos magnéticos por dos razones técnicas:

  1. TRIM: el sistema operativo informa al SSD de qué bloques están “libres”, y el SSD los borra físicamente para mantener rendimiento. Una vez ejecutado TRIM, los datos son irrecuperables.
  2. Wear leveling: el SSD distribuye las escrituras de forma no determinista, lo que impide reconstruir el orden cronológico de archivos.

A pesar de esto, en SSD con TRIM deshabilitado, controladores antiguos o con datos parcialmente sobreescritos, la recuperación pericial puede aún arrojar resultados valiosos.

Casos típicos de recuperación pericial

CasoQué se recuperaProbabilidad
Trabajador despedido borró archivos antes de irseDocumentos, emails, planosAlta
Empresa formateó un equipo tras incidenteDocumentos, logs de actividadAlta-Media
Disco con sospecha de manipulación de contabilidadVersiones anteriores de Excel/AccessMedia
Móvil con conversaciones de chantaje borradasWhatsApp, Telegram, SMSMedia
Cámara de vigilancia que ha grabado encimaFragmentos de vídeo previoMedia-Baja
Disco cifrado con BitLocker sin claveNadaNula
SSD con TRIM activo después de borradoNadaNula

Errores que matan la recuperación

  1. Seguir usando el equipo después del borrado. Cada nueva escritura puede sobrescribir los datos a recuperar. Apagar inmediatamente y entregar al perito.
  2. Reinstalar el sistema operativo. Sobrescribe la mayoría del disco con archivos del sistema. Recuperación drásticamente reducida.
  3. Usar herramientas comerciales sin cadena de custodia. Aunque los datos se recuperen, el proceso no es defendible en sala porque el original ha sido modificado.
  4. Confiar en “técnicos amigos”. La recuperación pericial requiere herramientas y metodología que no son las de un servicio técnico estándar.
  5. Esperar demasiado. Cuanto más se use el disco tras el incidente, menos se recupera.

Cómo se documenta el resultado en el informe pericial

Un informe pericial de recuperación de datos debe incluir, además de las conclusiones:

  • Estado físico inicial del disco (fotos, número de serie, capacidad, hashes).
  • Procedimiento de clonado (herramienta utilizada, duración, hashes resultantes).
  • Técnicas de recuperación aplicadas (carving, MFT, etc.) con configuración exacta.
  • Listado de archivos recuperados con sus metadatos: nombre original, tamaño, fechas (creación, modificación, acceso), ruta original cuando es recuperable.
  • Análisis temporal: cuándo se creó cada archivo, cuándo se eliminó (cuando hay datos para deducirlo).
  • Hashes de los archivos recuperados para integridad procesal.
  • Anexos: capturas de las herramientas, copia de los logs de ejecución.

Preguntas frecuentes

¿En cuánto tiempo se sabe si la recuperación es posible? Tras un análisis preliminar de 1-2 días, el perito puede dar una evaluación de viabilidad y un presupuesto cerrado. Si no es viable, se cobra solo el análisis preliminar.

¿Se puede recuperar de un disco quemado o inundado? Posiblemente, pero requiere recuperación física en sala blanca. La probabilidad y el coste varían mucho según los daños.

¿Cuánto tarda la recuperación completa? Entre 3 días (caso simple) y 4-6 semanas (recuperación física compleja).

¿Y si el archivo recuperado está corrupto? El perito intenta repararlo (especialmente con archivos Office, PDF, imágenes) o entrega los fragmentos legibles documentando que es una recuperación parcial.

¿La recuperación de datos garantiza el éxito en juicio? La recuperación aporta prueba, pero el éxito procesal depende también de los argumentos jurídicos y de cómo se defienda el informe en sala.

Conclusión

La recuperación de datos con valor pericial es un proceso técnico exigente que combina herramientas forenses, metodología documentada y cadena de custodia. Sin estos tres pilares, los datos recuperados pueden no servir en juicio. En Forenlab realizamos recuperación pericial sobre discos magnéticos, SSD, móviles y soportes de almacenamiento externo con informe defendible en sala. Contáctanos y te entregamos análisis de viabilidad y presupuesto cerrado.