En informática , la recuperación de datos es un proceso de recuperación de datos eliminados, inaccesibles, perdidos, corruptos, dañados o formateados del almacenamiento secundario , medios o archivos extraíbles , cuando no se puede acceder a los datos almacenados en ellos de la forma habitual. [1] Los datos se recuperan con mayor frecuencia de medios de almacenamiento como unidades de disco duro (HDD) internas o externas, unidades de estado sólido (SSD), unidades flash USB , cintas magnéticas , CD , DVD , subsistemas RAID y otros dispositivos electrónicos. . Es posible que se requiera recuperación debido a daños físicos en los dispositivos de almacenamiento o daños lógicos en el sistema de archivos que impiden que el sistema operativo (SO) host lo monte . [2]
Las fallas lógicas ocurren cuando los dispositivos de disco duro funcionan pero el usuario o el sistema operativo automatizado no pueden recuperar ni acceder a los datos almacenados en ellos. Pueden ocurrir fallas lógicas debido a corrupción del chip de ingeniería, particiones perdidas, fallas del firmware o fallas durante el formateo/reinstalación. [3] [4]
La recuperación de datos puede ser un desafío muy simple o técnico. Es por esto que existen empresas de software específicas especializadas en este campo. [5]
Los escenarios de recuperación de datos más comunes implican una falla del sistema operativo, mal funcionamiento de un dispositivo de almacenamiento, falla lógica de los dispositivos de almacenamiento, daño o eliminación accidental, etc. (generalmente, en un sistema de una sola unidad, una sola partición y un solo sistema operativo). en cuyo caso el objetivo final es simplemente copiar todos los archivos importantes del medio dañado a otra unidad nueva. Esto se puede lograr usando un Live CD o DVD arrancando directamente desde una ROM o una unidad USB en lugar de la unidad dañada en cuestión. Muchos Live CD o DVD proporcionan un medio para montar la unidad del sistema y las unidades de respaldo o medios extraíbles, y para mover los archivos desde la unidad del sistema al medio de respaldo con un administrador de archivos o software de creación de discos ópticos . Estos casos a menudo pueden mitigarse particionando el disco y almacenando constantemente archivos de datos valiosos (o copias de ellos) en una partición diferente a la de los archivos reemplazables del sistema operativo.
Otro escenario implica una falla a nivel de unidad, como un sistema de archivos o una partición de unidad comprometida, o una falla en la unidad de disco duro . En cualquiera de estos casos, los datos no se leen fácilmente desde los dispositivos multimedia. Dependiendo de la situación, las soluciones implican reparar el sistema de archivos lógico, la tabla de particiones o el registro de arranque maestro , o actualizar el firmware o técnicas de recuperación de unidades que van desde la recuperación de datos corruptos basada en software hasta la recuperación de servicios dañados basada en hardware y software. áreas (también conocido como "firmware" de la unidad de disco duro), hasta el reemplazo de hardware en una unidad físicamente dañada que permite la extracción de datos a una nueva unidad. Si es necesaria una recuperación de la unidad, la propia unidad generalmente ha fallado permanentemente y la atención se centra más bien en una recuperación única, salvando todos los datos que se puedan leer.
En un tercer escenario, los usuarios han " eliminado " accidentalmente archivos de un medio de almacenamiento. Normalmente, el contenido de los archivos eliminados no se elimina inmediatamente del disco físico; en su lugar, se eliminan las referencias a ellos en la estructura del directorio y, a partir de entonces, el espacio que ocupan los datos eliminados queda disponible para sobrescribirlos posteriormente. En la mente de los usuarios finales , los archivos eliminados no se pueden descubrir a través de un administrador de archivos estándar, pero técnicamente los datos eliminados todavía existen en el disco físico. Mientras tanto, el contenido del archivo original permanece, a menudo varios fragmentos desconectados , y puede ser recuperable si no se sobrescribe con otros archivos de datos.
El término "recuperación de datos" también se utiliza en el contexto de aplicaciones forenses o de espionaje , donde se recuperan datos que han sido cifrados , ocultos o eliminados, en lugar de dañados. A veces, los datos presentes en la computadora se cifran u ocultan debido a razones como ataques de virus que solo pueden ser recuperados por algunos expertos forenses en informática.
Una amplia variedad de fallas pueden causar daños físicos a los medios de almacenamiento, que pueden ser el resultado de errores humanos y desastres naturales. A los CD-ROM se les puede raspar el sustrato metálico o la capa de tinte; los discos duros pueden sufrir multitud de fallos mecánicos, como caídas de cabezales , fallos de PCB y fallos de motores; las cintas pueden simplemente romperse.
El daño físico a un disco duro, incluso en los casos en que se haya producido un accidente de cabeza, no significa necesariamente que habrá una pérdida permanente de datos. Las técnicas empleadas por muchas empresas profesionales de recuperación de datos normalmente pueden recuperar la mayoría, si no todos, los datos que se perdieron cuando ocurrió la falla.
Por supuesto, existen excepciones a esto, como casos en los que pueden haberse producido daños graves en los platos del disco duro. Sin embargo, si se puede reparar el disco duro y crear una imagen completa o un clon, entonces la estructura lógica del archivo se puede reconstruir en la mayoría de los casos.
La mayoría de los daños físicos no pueden ser reparados por los usuarios finales. Por ejemplo, abrir una unidad de disco duro en un entorno normal puede permitir que el polvo en suspensión se deposite en el plato y quede atrapado entre el plato y el cabezal de lectura/escritura . Durante el funcionamiento normal, los cabezales de lectura/escritura flotan de 3 a 6 nanómetros por encima de la superficie del plato, y las partículas de polvo promedio que se encuentran en un ambiente normal suelen tener alrededor de 30.000 nanómetros de diámetro. [6] Cuando estas partículas de polvo quedan atrapadas entre los cabezales de lectura/escritura y el plato, pueden provocar nuevos bloqueos del cabezal que dañan aún más el plato y, por lo tanto, comprometen el proceso de recuperación. Además, los usuarios finales generalmente no cuentan con el hardware o la experiencia técnica necesaria para realizar estas reparaciones. En consecuencia, a menudo se contrata a empresas de recuperación de datos para recuperar datos importantes y las más acreditadas utilizan salas blancas libres de polvo y estática de clase 100 . [7]
La recuperación de datos de hardware físicamente dañado puede implicar múltiples técnicas. Algunos daños se pueden reparar reemplazando piezas del disco duro. Esto por sí solo puede hacer que el disco sea utilizable, pero aún así puede haber daños lógicos. Se utiliza un procedimiento especializado de creación de imágenes de disco para recuperar cada bit legible de la superficie. Una vez que esta imagen se adquiere y se guarda en un medio confiable, la imagen se puede analizar de manera segura para detectar daños lógicos y posiblemente permitirá reconstruir gran parte del sistema de archivos original.
Un error común es pensar que una placa de circuito impreso (PCB) dañada puede simplemente reemplazarse durante los procedimientos de recuperación por una PCB idéntica de una unidad en buen estado. Si bien esto puede funcionar en circunstancias excepcionales en unidades de disco duro fabricadas antes de 2003, no funcionará en unidades más nuevas. Las placas electrónicas de las unidades modernas generalmente contienen datos de adaptación específicos de la unidad (generalmente un mapa de sectores defectuosos y parámetros de ajuste) y otra información necesaria para acceder correctamente a los datos de la unidad. Las placas de reemplazo a menudo necesitan esta información para recuperar todos los datos de manera efectiva. Es posible que sea necesario reprogramar la placa de reemplazo. Algunos fabricantes (Seagate, por ejemplo) almacenan esta información en un chip EEPROM en serie , que se puede quitar y transferir a la placa de reemplazo. [8] [9]
Cada unidad de disco duro tiene lo que se llama un área del sistema o área de servicio ; Esta parte de la unidad, a la que el usuario final no puede acceder directamente, generalmente contiene el firmware de la unidad y datos adaptables que ayudan a que la unidad funcione dentro de los parámetros normales. [10] Una función del área del sistema es registrar sectores defectuosos dentro de la unidad; esencialmente diciéndole a la unidad dónde puede y dónde no puede escribir datos.
Las listas de sectores también se almacenan en varios chips conectados a la PCB y son exclusivas de cada unidad de disco duro. Si los datos de la PCB no coinciden con los almacenados en el plato, la unidad no se calibrará correctamente. [11] En la mayoría de los casos, los cabezales de la unidad harán clic porque no pueden encontrar los datos que coincidan con los almacenados en la PCB.
El término "daño lógico" se refiere a situaciones en las que el error no es un problema de hardware y requiere soluciones a nivel de software.
En algunos casos, los datos de una unidad de disco duro pueden resultar ilegibles debido a daños en la tabla de particiones o al sistema de archivos , o a errores (intermitentes) de los medios. En la mayoría de estos casos, al menos una parte de los datos originales se puede recuperar reparando la tabla de particiones o el sistema de archivos dañado utilizando un software de recuperación de datos especializado como Testdisk ; El software como ddrescue puede generar imágenes de medios a pesar de los errores intermitentes y generar imágenes de datos sin procesar cuando hay daños en la tabla de particiones o en el sistema de archivos. Este tipo de recuperación de datos puede ser realizado por personas sin experiencia en hardware de unidades, ya que no requiere equipo físico especial ni acceso a platos.
A veces los datos se pueden recuperar utilizando métodos y herramientas relativamente simples; [12] Los casos más graves pueden requerir la intervención de expertos, especialmente si partes de los expedientes son irrecuperables. El tallado de datos es la recuperación de partes de archivos dañados utilizando el conocimiento de su estructura.
Después de que los datos se han sobrescrito físicamente en una unidad de disco duro, generalmente se supone que ya no es posible recuperar los datos anteriores. En 1996, Peter Gutmann , un científico informático, presentó un artículo que sugería que los datos sobrescritos podrían recuperarse mediante el uso de microscopía de fuerza magnética . [13] En 2001, presentó otro artículo sobre un tema similar. [14] Para protegerse contra este tipo de recuperación de datos, Gutmann y Colin Plumb diseñaron un método de limpieza de datos irreversible, conocido como método Gutmann y utilizado por varios paquetes de software de limpieza de discos.
Siguieron críticas sustanciales, principalmente relacionadas con la falta de ejemplos concretos de recuperación de cantidades significativas de datos sobrescritos. [15] Aunque la teoría de Gutmann puede ser correcta, no hay evidencia práctica de que los datos sobrescritos se puedan recuperar, mientras que las investigaciones han demostrado que respaldan que los datos sobrescritos no se pueden recuperar. [ especificar ] [16] [17] [18]
Las unidades de estado sólido (SSD) sobrescriben los datos de forma diferente a las unidades de disco duro (HDD), lo que hace que al menos algunos de sus datos sean más fáciles de recuperar. La mayoría de los SSD utilizan memoria flash para almacenar datos en páginas y bloques, a los que se hace referencia mediante direcciones de bloques lógicos (LBA) que son administradas por la capa de traducción flash (FTL). Cuando el FTL modifica un sector, escribe los nuevos datos en otra ubicación y actualiza el mapa para que los nuevos datos aparezcan en el LBA objetivo. Esto deja los datos previos a la modificación en su lugar, posiblemente con muchas generaciones, y recuperables mediante un software de recuperación de datos.
A veces, los datos presentes en las unidades físicas (disco duro interno/externo, Pen Drive , etc.) se pierden, eliminan y formatean debido a circunstancias como ataque de virus, eliminación accidental o uso accidental de MAYÚS+SUPR. En estos casos, se utiliza un software de recuperación de datos para recuperar/restaurar los archivos de datos.
En la lista de fallos lógicos de los discos duros, un sector lógico defectuoso es el fallo más común que provoca que los datos no sean legibles. A veces es posible evitar la detección de errores incluso en el software, y quizás con lecturas y análisis estadísticos repetidos recuperar al menos algunos de los datos almacenados subyacentes. A veces, el conocimiento previo de los datos almacenados y de los códigos de detección y corrección de errores puede utilizarse para recuperar incluso datos erróneos. Sin embargo, si la unidad física subyacente está bastante degradada, al menos se debe reemplazar el hardware que rodea los datos, o incluso podría ser necesario aplicar técnicas de laboratorio al medio de grabación físico. Cada uno de los enfoques es cada vez más caro y, como tal, cada vez menos buscado.
Con el tiempo, si el medio de almacenamiento físico final se ha alterado lo suficiente, la recuperación no será posible por ningún medio; la información se ha perdido irreversiblemente.
Los expertos en recuperación no siempre necesitan tener acceso físico al hardware dañado. Cuando los datos perdidos pueden recuperarse mediante técnicas de software, a menudo pueden realizar la recuperación utilizando software de acceso remoto a través de Internet, LAN u otra conexión a la ubicación física del medio dañado. En esencia, el proceso no es diferente de lo que el usuario final podría realizar por sí mismo. [19]
La recuperación remota requiere una conexión estable con un ancho de banda adecuado. Sin embargo, no es aplicable cuando se requiere acceso al hardware, como en casos de daño físico.
Por lo general, hay cuatro fases cuando se trata de una recuperación de datos exitosa, aunque eso puede variar según el tipo de corrupción y recuperación de datos requerida. [20]
El sistema operativo Windows se puede reinstalar en una computadora que ya tenga licencia para ello. La reinstalación se puede realizar descargando el sistema operativo o utilizando un "disco de restauración" proporcionado por el fabricante de la computadora. Eric Lundgren fue multado y sentenciado a una prisión federal de EE. UU. en abril de 2018 por producir 28.000 discos de restauración y tener la intención de distribuirlos por unos 25 centavos cada uno para comodidad de los talleres de reparación de computadoras. [21]
La recuperación de datos no siempre se puede realizar en un sistema en ejecución. Como resultado, un disco de arranque , Live CD , Live USB o cualquier otro tipo de distribución en vivo contiene un sistema operativo mínimo.