En los últimos años, hemos visto una gran cantidad de herramientas comercializadas como soluciones de recuperación de datos. Sin embargo, al probar algunas de estas herramientas, descubrimos que no todas son adecuadas para el trabajo. El principal factor diferenciador es el tipo (o tipos) de algoritmos de recuperación de datos utilizados en estas herramientas. Pero primero, veamos qué sucede cuando Windows elimina un archivo.
Contenido
Por qué es posible recuperar archivos eliminados
En Windows (y en muchos otros sistemas operativos que no utilizan sistemas de archivos cifrados u otros contenedores seguros), eliminar un archivo no significa que su contenido real se sobrescriba (la excepción aquí serían las unidades SSD, que son un caso especial). En su lugar, Windows simplemente marca un registro del sistema de archivos perteneciente a ese archivo como «eliminado». Efectivamente, esto libera el espacio en disco que fue utilizado por el archivo eliminado, devolviéndolo al grupo de espacio libre. A partir de ahora, Windows puede reclamar – ¡y usar! – ese espacio para almacenar información perteneciente a cualquier otro archivo. Usar el espacio liberado para almacenar un archivo diferente sobrescribirá efectivamente el contenido original y hará imposible la recuperación posterior del archivo eliminado original.
Sin embargo, eso generalmente no ocurre de inmediato. Con discos duros grandes, Windows optimiza sus operaciones de escritura escribiendo nuevos datos en los fragmentos más grandes de espacio libre. Esto ayuda a evitar la fragmentación y permite que los archivos crezcan sin fragmentarse. Como resultado, el espacio en disco perteneciente a un archivo eliminado puede permanecer en el disco sin usar durante mucho tiempo. El contenido original del archivo eliminado estará disponible para su recuperación si utiliza la herramienta adecuada.
Recuperación usando el sistema de archivos
La forma en que la mayoría de las herramientas de recuperación de archivos y recuperación de archivos eliminados funcionan es escaneando el sistema de archivos en busca de registros que apunten a archivos eliminados. Al analizar estos registros, una herramienta de recuperación puede determinar qué bloques o sectores físicos en el disco pertenecen al archivo que ha sido eliminado, leer la información de esos bloques y guardar el archivo original.
O al menos así es como solían funcionar las herramientas de recuperación de datos. Hoy en día, tenemos la opción de usar otro algoritmo además de (o en lugar de) el sistema de archivos. Lea Cómo funciona el Data Carving para descubrir más.
