¿Qué sucede con los archivos que elimino de un teléfono inteligente? ¿Existe la posibilidad de recuperarlos después de un restablecimiento de fábrica completo? ¿Y cuándo finalmente escribirán una herramienta de datos para mi teléfono inteligente? Con la proliferación masiva de teléfonos inteligentes, cada semana recibimos más y más de estas preguntas. Por eso decidimos escribir el artículo definitivo para (esperemos) responder la mayoría de estas preguntas.
Contenido
- Los smartphones son diferentes
- Recuperación de datos de iPhone: Una leyenda urbana
- Recuperación de datos de BlackBerry: Un mito
- Recuperación de datos de Android: ¡Estamos avanzando!
- Windows Phone 8 y 8.1: Mitad y mitad
Los smartphones son diferentes
Si estás utilizando un smartphone, es posible que ya sepas que existen varios ecosistemas de plataformas principales. Android y Apple iOS comparten la mayor parte del pastel, Microsoft Windows Phone compite ansiosamente por un lugar bajo el sol, mientras que BlackBerry intenta sobrevivir con su sistema operativo BlackBerry OS.
Decir que estas plataformas manejan los datos eliminados de manera diferente no dice nada. Android e iOS están literalmente en los polos opuestos cuando se trata de eliminar (y recuperar) información. En este artículo, revisaremos cómo estas plataformas tan diferentes eliminan la información, si se puede recuperar o no, y qué se puede hacer exactamente para recuperar datos importantes si los necesitas.
Comencemos con Apple iOS.
Recuperación de datos de iPhone: Una leyenda urbana
Voy a ser breve. Lo diré directamente: recuperar información eliminada de los teléfonos inteligentes y tabletas de Apple (iPhones y iPads) no es técnicamente posible. Incluso si lo desbloqueas. Incluso en teoría. La aplicación de la ley no puede hacer esto incluso si utilizan un kit forense de $10,000. Apple en sí misma no puede hacer esto, incluso si se le proporciona el dispositivo y el código de acceso. Si borras un archivo de un teléfono inteligente de Apple, se ha ido para siempre. Si haces un restablecimiento de fábrica, no hay absolutamente ninguna manera para que nadie, incluido el FBI, pueda recuperar esa información. ¿Por qué es así?
La respuesta está en la encriptación. A partir de iOS 5, todos los dispositivos de Apple emplean encriptación segura de disco completo. Sin embargo, hay un truco. Cada bloque de datos en el disco utiliza una clave de desencriptación única. Apple implementó la encriptación de disco completo para que solo conserve las claves de desencriptación de los bloques de datos ocupados (asignados) y descarte inmediatamente las claves de los bloques de datos no asignados (liberados) que pertenecen a archivos eliminados. Los datos reales (encriptados) aún pueden estar allí, pero no hay absolutamente ninguna manera posible de desencriptarlos, ya que Apple utiliza una encriptación extremadamente fuerte.
Como resultado, si desbloqueaste tu iPhone y viste esa herramienta de «recuperación de datos» en Cydia, ten en cuenta que es falsa. Los archivos eliminados no se pueden recuperar, y cualquier herramienta o servicio que ofrezca recuperación de datos de iPhone es una estafa (solo estamos hablando de archivos eliminados aquí; existen servicios legítimos que pueden extraer el contenido de un iPhone, incluidos todos los datos del usuario excepto los archivos eliminados).
Los teléfonos inteligentes y tabletas de Apple nunca utilizaron tarjetas SD, por lo que no hay posibilidad de sacar una tarjeta y leer su contenido.
Sin embargo, iOS tiene una función maravillosa y realmente conveniente llamada «copia de seguridad en iCloud». Gracias a esta función, tu teléfono inteligente puede hacer automáticamente una copia de seguridad de todo su contenido (incluidas tus aplicaciones y todos sus datos, escritorios, imágenes, música y videos) en la nube todos los días, cada vez que cargues tu iPhone en casa. (Bueno, una forma técnicamente correcta de decirlo sería «diariamente una vez que tu iPhone esté conectado a un cargador, bloqueado y esté dentro del alcance de una red Wi-Fi conocida». En otras palabras, todos los días que lo cargues en casa). La nube guarda tres copias de seguridad de todos los archivos almacenados en tu iPhone, por lo que tienes tiempo para cambiar de opinión, restablecer tu teléfono y restaurarlo desde la última copia de seguridad. Una vez que lo hagas, todos los archivos que solías tener en tu iPhone se restaurarán automáticamente desde la copia de seguridad.
Existen herramientas en el mercado que pueden descargar esas copias de seguridad a tu computadora (por ejemplo, Elcomsoft Phone Breaker); sin embargo, estas son utilizadas principalmente por la policía y, como tal, tienen un precio correspondiente. Así que tu mejor opción es guardar todo de tu iPhone en tu computadora con iTunes (incluso puedes hacer una copia de seguridad completa sin conexión por si acaso), restablecer tu dispositivo y recuperarlo desde iCloud. Solo asegúrate de no «cargar tu iPhone en un estado bloqueado dentro del alcance de una red Wi-Fi conocida», o podría generar una nueva copia de seguridad en iCloud, sobrescribiendo la copia anterior.
Recuperación de datos de BlackBerry: Un mito
Los teléfonos inteligentes BlackBerry fueron diseñados con un propósito en mente: ser seguros. Desde el principio, los BlackBerry emplearon cifrado de disco completo. En general, los BlackBerry no se pueden hacer jailbreak. Incluso extraer una imagen en bruto descifrada de un dispositivo BlackBerry no es técnicamente posible en este momento (un chip-off del teléfono puede leer datos del chip de memoria flash, pero toda la información estará encriptada de forma segura y no se puede descifrar). Sin embargo, incluso si alguien lograra extraer una imagen, no podrían descifrarla. El modelo de seguridad de BlackBerry es posiblemente incluso más estricto que el de Apple, por lo que no hay posibilidad de recuperar archivos eliminados de un teléfono inteligente BlackBerry (a menos que se hayan guardado en una tarjeta SD, que se puede extraer y recuperar como de costumbre).
Recuperación de datos de Android: ¡Estamos avanzando!
Como dijimos, Android es prácticamente lo opuesto a iOS en muchos aspectos. En primer lugar, muchos dispositivos Android permiten utilizar tarjetas micro SD como almacenamiento secundario. Es fácil configurar el teléfono para almacenar imágenes y videos en una tarjeta SD en lugar de la memoria principal. Si has eliminado un archivo de una tarjeta SD, simplemente retira esa tarjeta, insértala en un lector de tarjetas USB conectado a tu computadora y utiliza RS Photo Recovery para recuperar imágenes o RS Partition Recovery para recuperar todo tipo de datos de esa tarjeta de memoria. Es así de fácil.
Sin embargo, si los archivos que eliminaste estaban almacenados en la memoria principal del teléfono, su recuperación se vuelve más complicada. Con muy pocas excepciones, los teléfonos inteligentes Android no utilizan encriptación de disco completo de forma predeterminada (puedes activarla en la configuración, pero con la excepción de los dispositivos Nexus, pocos fabricantes establecen esa opción como predeterminada).
Como resultado, cuando eliminas un archivo de un teléfono inteligente Android, su contenido puede seguir siendo recuperable, al menos por un tiempo. Si logras hacer una imagen de tu teléfono inteligente Android rápidamente, o tienes un dispositivo rooteado y utilizas una herramienta de recuperación de datos para teléfonos rooteados, es posible que puedas recuperar los datos… o tal vez no.
Veamos qué sucede con la información cuando eliminas un archivo de un dispositivo Android.
Todos los teléfonos inteligentes y tabletas Android bastante recientes lanzados desde Android 2.3 Gingerbread utilizan memoria flash eMMC para su almacenamiento permanente. A diferencia de las «simples» chips de memoria flash, las eMMC son una combinación de memoria flash NAND y un controlador de almacenamiento integrado. Ese controlador de almacenamiento es responsable de toda la lectura y escritura, así como de mantener la memoria flash en buen estado.
Sin entrar en demasiados detalles técnicos, la memoria flash tiene varias propiedades únicas. En primer lugar, solo puedes escribir nuevos datos en una celda de memoria flash vacía. En otras palabras, las celdas de memoria flash deben ser borradas antes de que puedan aceptar nuevos datos. En segundo lugar, la memoria flash NAND es mucho más lenta para borrar celdas que para escribir información, lo que hizo que los fabricantes de memoria flash implementaran algoritmos inteligentes de recolección de basura para borrar celdas vacías en segundo plano mientras asignan direcciones lógicas a celdas ya vacías que contienen datos eliminados. Por último, las celdas de memoria flash tienen un número limitado de escrituras que pueden soportar; el trabajo del controlador incorporado es nivelar el desgaste de manera equitativa entre las celdas de memoria flash (lo que puede requerir mover información existente de una celda a otra, borrar y reutilizar una celda de memoria que solía contener datos válidos).
Todos esos algoritmos inteligentes hacen que la recuperación sea complicada. Lo que hace que la recuperación sea incierta es el hecho de que cada módulo eMMC tiene más almacenamiento físico en comparación con la capacidad de almacenamiento anunciada. En otras palabras, hay ciertas celdas que no tienen direcciones lógicas asignadas. Esos bloques NO son accesibles para ningún programa o aplicación de recuperación de datos. NO formarán parte de una imagen en bruto si haces una copia o respaldo de su contenido. Estas áreas no serán visibles incluso en el momento de la adquisición mediante JTAG o chip-off, simplemente porque las solicitudes de JTAG y chip-off aún se pasan a través del controlador.
Entonces, una vez más, ¿qué sucede cuando eliminas un archivo? El sistema operativo realiza un cambio en el sistema de archivos, liberando sectores que ya no se utilizan. Al mismo tiempo, el sistema operativo enviará un comando «trim» al controlador eMMC para indicar que ciertos bloques lógicos ya no se utilizan. El controlador eMMC recibe ese comando y asigna a esos bloques el estado de «no importa». Hasta ahora, todo parece bastante sencillo.
La parte interesante ocurre a continuación. Para asegurarse de que el sistema pueda escribir nuevos datos en el bloque físico recién liberado, el controlador eMMC puede remapear la dirección lógica a un bloque físico diferente (vacío). Como resultado, si eres el sistema operativo, «verás» que los sectores que acabas de liberar están repentinamente vacíos, incluso si sabes que en realidad vaciarlos (borrarlos) lleva mucho tiempo.
Entonces, ¿a dónde van los bloques que contienen datos eliminados? Se remapean a otras direcciones lógicas o (más probablemente) se empujan fuera del espacio direccionable hacia el área de sobreaprovisionamiento, donde se borrarán en segundo plano cuando el microcontrolador no esté ocupado haciendo otras cosas, como atender solicitudes de lectura y escritura.
Si todo eso fue un poco demasiado técnico, simplemente puedo decir que en Android (a diferencia de Apple iOS) los archivos eliminados pueden ser recuperables, al menos por un tiempo. Muchos teléfonos Android recortarán las particiones durante el apagado, por lo que si actúas rápidamente, es posible que puedas recuperar ese archivo eliminado después de todo.
¿Qué se necesita exactamente para la recuperación de datos de Android? En primer lugar, necesitarás un dispositivo rooteado. Sin acceso root, una herramienta de recuperación de datos no podrá leer el almacenamiento del teléfono a un nivel lo suficientemente bajo como para poder recuperar archivos. También necesitarás una herramienta de recuperación de datos para dispositivos rooteados (no puedo recomendar ninguna herramienta específica, pero he visto algunas en Google Play Store). Por último, deberás insertar una tarjeta SD, una unidad flash OGS o simplemente conectar el dispositivo a tu computadora, ya que la herramienta de recuperación de datos no debe guardar los archivos que se están recuperando en el mismo almacenamiento del que se están recuperando (o podría sobrescribir datos que pertenecen a otros archivos esperando ser recuperados).
Muchos clientes preguntan si lanzaremos una herramienta de recuperación de datos para Android. No tenemos planes de hacerlo y no tenemos nada en desarrollo. La razón es simple: el mercado para esto es extremadamente pequeño. Hay MUY pocos dispositivos Android rooteados. Hacer root en las últimas versiones de Android es extremadamente difícil y rara vez posible. Simplemente acostúmbrate a hacer copias de seguridad regulares de tu dispositivo, activa la carga en la nube para tu Carrete de la cámara y nunca necesitarás una herramienta de recuperación de datos en primer lugar.
Windows Phone 8 y 8.1: Mitad y mitad
Windows Phone es un sistema operativo para smartphones relativamente nuevo. Es un sistema bien equilibrado que ha tomado prestado mucho tanto de Android como de iOS. Tiene muchas cosas en común con iOS (incluyendo el espacio de datos de aplicaciones privadas y la ausencia de residuos al desinstalar una aplicación) mientras ofrece acceso a archivos compartidos (por ejemplo, música, videos o libros electrónicos que no es necesario importar a una aplicación específica para usarlos, solo con esa aplicación). Windows Phone generalmente no permite la instalación de aplicaciones desde fuentes distintas a la Tienda de Windows (a menos que esté desbloqueado por el desarrollador).
A diferencia de los smartphones iOS, los dispositivos Windows Phone pueden ser desbloqueados por el desarrollador de forma gratuita para instalar aplicaciones no firmadas. Sin embargo, a diferencia de Android, las aplicaciones no tendrán acceso a nivel administrativo ya que los dispositivos Windows Phone no pueden ser rooteados o jailbreakeados.
Como resultado, no es posible tener (o escribir) una aplicación para recuperar archivos eliminados. Una aplicación así no funcionaría debido a los privilegios insuficientes y a la falta de API para acceder al disco a un nivel lo suficientemente bajo.
Teóricamente, un Windows Phone puede ser extraído mediante adquisición JTAG o chip-off. Luego podrías ejecutar una herramienta de recuperación de datos como RS Partition Recovery en la imagen extraída. Dado que Windows Phone es un sistema operativo basado en Windows, utiliza NTFS como su sistema de archivos, por lo que las herramientas estándar de recuperación de datos funcionarían en las imágenes extraídas. Sin embargo, debes tener en cuenta que muchos de los mismos problemas específicos de eMMC que discutimos en las secciones de Android también se aplicarán a los dispositivos Windows Phone, lo que hace que la recuperación sea posible pero no garantizada.
Es importante destacar que muchos smartphones Windows Phone (con algunas excepciones) admiten tarjetas micro SD. Windows Phone permite no solo almacenar música y guardar fotos y videos en tarjetas SD, sino que también admite la instalación de aplicaciones en tarjetas SD. Como resultado, y especialmente si estás utilizando un dispositivo de nivel básico con capacidad de almacenamiento principal limitada, simplemente puedes sacar la tarjeta SD, conectarla a tu computadora mediante un lector de tarjetas y recuperar archivos eliminados de la tarjeta SD. Puedes utilizar RS Photo Recovery para recuperar imágenes o RS File Recovery para recuperar todo tipo de datos.