La remanencia de datos es la representación residual de datos digitales que permanece incluso después de que se han intentado eliminar o borrar los datos. Este residuo puede ser el resultado de que los datos se dejen intactos mediante una operación de eliminación de archivos nominal , por el reformateo de los medios de almacenamiento que no eliminan los datos escritos previamente en los medios, o por las propiedades físicas de los medios de almacenamiento que permiten recuperar los datos escritos previamente. La remanencia de datos puede hacer posible la divulgación inadvertida de información confidencial si los medios de almacenamiento se liberan en un entorno no controlado ( por ejemplo , se tiran a la papelera o se pierden).
Se han desarrollado diversas técnicas para contrarrestar la remanencia de datos. Estas técnicas se clasifican como limpieza, depuración/desinfección o destrucción. Los métodos específicos incluyen la sobrescritura, la desmagnetización, el cifrado y la destrucción de medios.
La aplicación eficaz de contramedidas puede complicarse por varios factores, incluidos medios inaccesibles, medios que no se pueden borrar de manera efectiva, sistemas de almacenamiento avanzados que mantienen historiales de datos durante todo el ciclo de vida de los datos y la persistencia de datos en una memoria que generalmente se considera volátil.
Existen varios estándares para la eliminación segura de datos y la eliminación de la remanencia de datos.
Muchos sistemas operativos , administradores de archivos y otros programas ofrecen una función que permite que un archivo no se elimine inmediatamente cuando el usuario solicita esa acción, sino que se mueve a un área de almacenamiento (es decir, la "papelera"), lo que facilita que el usuario deshaga un error. De manera similar, muchos productos de software crean automáticamente copias de seguridad de los archivos que se están editando, para permitir que el usuario restaure la versión original o se recupere de un posible fallo ( función de guardado automático ).
Incluso cuando no se proporciona una función explícita de retención de archivos eliminados o cuando el usuario no la utiliza, los sistemas operativos no eliminan realmente el contenido de un archivo cuando se elimina a menos que sean conscientes de que se requieren comandos de borrado explícitos, como en una unidad de estado sólido . (En tales casos, el sistema operativo emitirá el comando Serial ATA TRIM o el comando SCSI UNMAP para informar a la unidad que ya no debe mantener los datos eliminados). En su lugar, simplemente eliminan la entrada del archivo del directorio del sistema de archivos porque esto requiere menos trabajo y, por lo tanto, es más rápido, y el contenido del archivo (los datos reales) permanece en el medio de almacenamiento . Los datos permanecerán allí hasta que el sistema operativo reutilice el espacio para nuevos datos. En algunos sistemas, también se dejan suficientes metadatos del sistema de archivos para permitir una fácil recuperación mediante software de utilidad comúnmente disponible . Incluso cuando la recuperación se ha vuelto imposible, los datos, hasta que se hayan sobrescrito, pueden leerse mediante un software que lee sectores del disco directamente. La informática forense a menudo emplea dicho software.
De la misma manera, es poco probable que al formatear , volver a particionar o volver a crear una imagen de un sistema se escriba en todas las áreas del disco, aunque todo ello hará que el disco aparezca vacío o, en el caso de volver a crear una imagen, vacío excepto por los archivos presentes en la imagen, para la mayoría del software.
Por último, incluso cuando se sobrescribe el medio de almacenamiento, las propiedades físicas del medio pueden permitir la recuperación del contenido anterior. Sin embargo, en la mayoría de los casos, esta recuperación no es posible simplemente leyendo desde el dispositivo de almacenamiento de la manera habitual, sino que requiere el uso de técnicas de laboratorio, como desmontar el dispositivo y acceder/leer directamente desde sus componentes.
§ Las complicaciones que aparecen a continuación ofrecen explicaciones más detalladas sobre las causas de la remanencia de datos.
Existen tres niveles comúnmente reconocidos para eliminar datos remanentes:
La limpieza consiste en eliminar datos confidenciales de los dispositivos de almacenamiento de forma que se garantice que no se podrán reconstruir utilizando las funciones normales del sistema o las utilidades de recuperación de archivos o datos. Los datos aún pueden recuperarse, pero no sin técnicas especiales de laboratorio. [1]
La limpieza es, por lo general, una protección administrativa contra la divulgación accidental dentro de una organización. Por ejemplo, antes de reutilizar un disco duro dentro de una organización, se puede limpiar su contenido para evitar su divulgación accidental al siguiente usuario.
La purga o desinfección es la reescritura física de datos confidenciales de un sistema o dispositivo de almacenamiento realizada con la intención específica de hacer que los datos sean irrecuperables en el futuro. [2] La purga, proporcional a la sensibilidad de los datos, generalmente se realiza antes de liberar medios fuera de control, como antes de descartar medios viejos o mover medios a una computadora con diferentes requisitos de seguridad.
Los medios de almacenamiento se vuelven inutilizables para los equipos convencionales. La eficacia de la destrucción de los medios varía según el medio y el método. Según la densidad de grabación de los medios y/o la técnica de destrucción, esto puede dejar datos recuperables mediante métodos de laboratorio. Por el contrario, la destrucción mediante técnicas adecuadas es el método más seguro para evitar la recuperación.
Un método común utilizado para contrarrestar la remanencia de datos es sobrescribir el medio de almacenamiento con datos nuevos. Esto se suele denominar borrar o destruir un disco o archivo, por analogía con los métodos comunes de destrucción de medios impresos , aunque el mecanismo no guarda ninguna similitud con estos. Debido a que este método a menudo se puede implementar solo en software y puede ser capaz de apuntar selectivamente solo a una parte del medio, es una opción popular y de bajo costo para algunas aplicaciones. La sobrescritura es generalmente un método aceptable de limpieza, siempre que el medio sea escribible y no esté dañado.
La técnica de sobrescritura más simple escribe los mismos datos en todas partes, a menudo solo un patrón de todos ceros. Como mínimo, esto evitará que los datos se recuperen simplemente leyendo nuevamente desde el medio utilizando las funciones estándar del sistema.
En un intento de contrarrestar las técnicas de recuperación de datos más avanzadas, a menudo se han prescrito patrones de sobrescritura específicos y múltiples pasadas. Estos pueden ser patrones genéricos destinados a erradicar cualquier rastro de firma; un ejemplo es el patrón de siete pasadas 0xF6 , 0x00 , 0xFF , <byte aleatorio> , 0x00 , 0xFF , <byte aleatorio> , a veces atribuido erróneamente a la norma estadounidense DOD 5220.22-M .
Uno de los problemas que presenta la sobrescritura es que algunas áreas del disco pueden resultar inaccesibles debido a la degradación del medio u otros errores. La sobrescritura por software también puede ser problemática en entornos de alta seguridad, que requieren controles más estrictos sobre la combinación de datos que los que puede proporcionar el software en uso. El uso de tecnologías de almacenamiento avanzadas también puede hacer que la sobrescritura basada en archivos sea ineficaz (consulte la discusión relacionada a continuación en ).
Existen máquinas y software especializados capaces de realizar sobrescrituras. El software puede ser, en ocasiones, un sistema operativo independiente diseñado específicamente para la destrucción de datos. También existen máquinas diseñadas específicamente para borrar discos duros según las especificaciones DOD 5220.22-M del Departamento de Defensa. [3]
A mediados de los años 1990, Peter Gutmann investigó la recuperación de datos de medios que habían sido sobrescritos. Sugirió que la microscopía de fuerza magnética podría ser capaz de recuperar dichos datos y desarrolló patrones específicos para tecnologías de unidades específicas, diseñados para contrarrestar este problema. [4] Estos patrones se conocen como el método Gutmann .
Daniel Feenberg, economista de la Oficina Nacional de Investigación Económica , una entidad privada , afirma que las posibilidades de recuperar datos sobrescritos de un disco duro moderno son una "leyenda urbana". [5] También señala el " espacio de 18 + 1 ⁄ 2 minutos " que Rose Mary Woods creó en una cinta de Richard Nixon hablando del robo de Watergate . La información borrada en el espacio no se ha recuperado, y Feenberg afirma que hacerlo sería una tarea fácil en comparación con la recuperación de una señal digital moderna de alta densidad.
A partir de noviembre de 2007, el Departamento de Defensa de los Estados Unidos considera aceptable la sobrescritura para limpiar medios magnéticos dentro de la misma zona de seguridad, pero no como método de desinfección. Para este último método, sólo se acepta la desmagnetización o la destrucción física. [6]
Por otra parte, según la publicación especial NIST 800-88 Rev. 1 de 2014 (p. 7): “En el caso de los dispositivos de almacenamiento que contienen medios magnéticos , una única pasada de sobrescritura con un patrón fijo, como ceros binarios, suele dificultar la recuperación de los datos, incluso si se aplican técnicas de laboratorio de última generación para intentar recuperar los datos”. [7] Un análisis de Wright et al. sobre las técnicas de recuperación, incluida la microscopía de fuerza magnética, también concluye que un único borrado es todo lo que se necesita para las unidades modernas. Señalan que el largo tiempo necesario para múltiples borrados “ha creado una situación en la que muchas organizaciones ignoran el problema [por completo], lo que da lugar a fugas y pérdidas de datos”. [8]
La desmagnetización es la eliminación o reducción de un campo magnético de un disco o unidad mediante un dispositivo llamado desmagnetizador, que ha sido diseñado para el medio que se va a borrar. Aplicada a los medios magnéticos , la desmagnetización puede purgar un elemento de medio completo de forma rápida y eficaz.
La desmagnetización suele dejar los discos duros inoperativos, ya que borra el formateo de bajo nivel que solo se realiza en la fábrica durante la fabricación. En algunos casos, es posible devolver la unidad a un estado funcional llevándola a reparar al fabricante. Sin embargo, algunos desmagnetizadores modernos utilizan un pulso magnético tan fuerte que el motor que hace girar los platos puede destruirse en el proceso de desmagnetización y el mantenimiento puede no resultar rentable. Las cintas de ordenador desmagnetizadas, como las DLT, por lo general se pueden reformatear y reutilizar con hardware de consumo estándar.
En algunos entornos de alta seguridad, puede ser necesario utilizar un desmagnetizador que haya sido aprobado para esa tarea. Por ejemplo, en jurisdicciones militares y del gobierno de los EE. UU ., puede ser necesario utilizar un desmagnetizador de la "Lista de productos evaluados" de la NSA . [9]
El cifrado de datos antes de almacenarlos en el medio puede mitigar las preocupaciones sobre la remanencia de los datos. Si la clave de descifrado es segura y se controla cuidadosamente, puede hacer que los datos del medio sean irrecuperables. Incluso si la clave está almacenada en el medio, puede resultar más fácil o más rápido sobrescribir solo la clave, en lugar de todo el disco. Este proceso se denomina criptodescifrado .
El cifrado se puede realizar archivo por archivo o en todo el disco . Los ataques de arranque en frío son uno de los pocos métodos posibles para subvertir un método de cifrado de disco completo , ya que no existe la posibilidad de almacenar la clave de texto sin formato en una sección no cifrada del medio. Consulte la sección Complicaciones: Datos en RAM para obtener más información.
Otros ataques de canal lateral (como los keyloggers , la adquisición de una nota escrita que contiene la clave de descifrado o el criptoanálisis con manguera de goma ) pueden ofrecer mayores posibilidades de éxito, pero no dependen de debilidades en el método criptográfico empleado. Por lo tanto, su relevancia para este artículo es menor.
La destrucción completa del medio de almacenamiento subyacente es la forma más segura de contrarrestar la remanencia de datos. Sin embargo, el proceso suele llevar mucho tiempo, es engorroso y puede requerir métodos extremadamente minuciosos, ya que incluso un pequeño fragmento del medio puede contener grandes cantidades de datos.
Las técnicas de destrucción específicas incluyen:
Los medios de almacenamiento pueden tener áreas que se vuelven inaccesibles por medios normales. Por ejemplo, los discos magnéticos pueden desarrollar nuevos sectores defectuosos después de que se hayan escrito los datos, y las cintas requieren espacios entre registros. Los discos duros modernos a menudo presentan una reasignación de sectores o pistas marginales, automatizada de una manera que el sistema operativo no necesitaría trabajar con ella. El problema es especialmente significativo en las unidades de estado sólido (SSD) que dependen de tablas de bloques defectuosos reubicadas relativamente grandes. Los intentos de contrarrestar la remanencia de datos mediante la sobrescritura pueden no tener éxito en tales situaciones, ya que los restos de datos pueden persistir en esas áreas nominalmente inaccesibles.
Los sistemas de almacenamiento de datos con funciones más sofisticadas pueden hacer que la sobrescritura sea ineficaz, especialmente en función de cada archivo. Por ejemplo, los sistemas de archivos con registro en diario aumentan la integridad de los datos al registrar las operaciones de escritura en varias ubicaciones y aplicar una semántica similar a la de las transacciones ; en dichos sistemas, los restos de datos pueden existir en ubicaciones "fuera" de la ubicación de almacenamiento de archivos nominal. Algunos sistemas de archivos también implementan la copia en escritura o el control de revisión integrado , con la intención de que la escritura en un archivo nunca sobrescriba los datos en el lugar. Además, las tecnologías como RAID y las técnicas antifragmentación pueden dar como resultado que los datos de los archivos se escriban en varias ubicaciones, ya sea por diseño (para tolerancia a fallas ) o como restos de datos.
La nivelación del desgaste también puede evitar el borrado de datos, reubicando los bloques entre el momento en que se escribieron originalmente y el momento en que se sobrescribieron. Por este motivo, algunos protocolos de seguridad diseñados para sistemas operativos u otro software que cuenten con nivelación automática del desgaste recomiendan realizar un borrado del espacio libre de una unidad determinada y luego copiar muchos archivos "basura" pequeños y fácilmente identificables o archivos que contengan otros datos no confidenciales para llenar la mayor parte posible de esa unidad, dejando solo la cantidad de espacio libre necesaria para el funcionamiento satisfactorio del hardware y el software del sistema. A medida que aumentan las demandas de almacenamiento y del sistema, los archivos de "datos basura" se pueden eliminar según sea necesario para liberar espacio; incluso si la eliminación de archivos de "datos basura" no es segura, su falta de confidencialidad inicial reduce casi a cero las consecuencias de la recuperación de los datos remanentes de ellos. [ cita requerida ]
Como los medios ópticos no son magnéticos, no se borran con la desmagnetización convencional. Los medios ópticos de una sola escritura ( CD-R , DVD-R , etc.) tampoco se pueden purgar mediante sobrescritura. Los medios ópticos regrabables, como CD-RW y DVD-RW , pueden ser receptivos a la sobrescritura. Los métodos para higienizar con éxito los discos ópticos incluyen la deslaminación o abrasión de la capa de datos metálica, la trituración, la incineración, la formación de arcos eléctricos destructivos (como por exposición a energía de microondas) y la inmersión en un disolvente de policarbonato (por ejemplo, acetona ).
Una investigación del Centro de Investigación y Grabación Magnética de la Universidad de California en San Diego ha descubierto problemas inherentes al borrado de datos almacenados en unidades de estado sólido (SSD). Los investigadores descubrieron tres problemas con el almacenamiento de archivos en SSD: [10]
En primer lugar, los comandos integrados son eficaces, pero a veces los fabricantes los implementan de forma incorrecta. En segundo lugar, sobrescribir todo el espacio de direcciones visible de un SSD dos veces suele ser suficiente, aunque no siempre, para desinfectar el disco. En tercer lugar, ninguna de las técnicas existentes orientadas a discos duros para la desinfección de archivos individuales es eficaz en los SSD. [10] : 1
Las unidades de estado sólido, que se basan en flash, se diferencian de las unidades de disco duro en dos formas: primero, en la forma en que se almacenan los datos; y segundo, en la forma en que se utilizan los algoritmos para gestionar y acceder a esos datos. Estas diferencias se pueden explotar para recuperar datos borrados previamente. Los SSD mantienen una capa de indirección entre las direcciones lógicas utilizadas por los sistemas informáticos para acceder a los datos y las direcciones internas que identifican el almacenamiento físico. Esta capa de indirección oculta las interfaces de medios idiosincrásicas y mejora el rendimiento, la fiabilidad y la vida útil de los SSD (consulte nivelación de desgaste ), pero también puede producir copias de los datos que son invisibles para el usuario y que un atacante sofisticado podría recuperar. Para desinfectar discos enteros, se ha comprobado que los comandos de desinfección integrados en el hardware de los SSD son eficaces cuando se implementan correctamente, y se ha comprobado que las técnicas de solo software para desinfectar discos enteros funcionan la mayoría de las veces, pero no todas. [10] : sección 5 En las pruebas, ninguna de las técnicas de software fue eficaz para desinfectar archivos individuales. Entre ellos se incluyen algoritmos bien conocidos como el método Gutmann , US DoD 5220.22-M , RCMP TSSIT OPS-II, Schneier 7 Pass y Secure Empty Trash en macOS (una función incluida en las versiones OS X 10.3-10.9). [10] : sección 5
La función TRIM de muchos dispositivos SSD, si se implementa correctamente, borrará los datos después de borrarlos [11] [ cita requerida ] , pero el proceso puede llevar algún tiempo, normalmente varios minutos. Muchos sistemas operativos antiguos no admiten esta función y no todas las combinaciones de unidades y sistemas operativos funcionan. [12]
Se ha observado la remanencia de datos en la memoria de acceso aleatorio estática (SRAM), que normalmente se considera volátil ( es decir , el contenido se degrada con la pérdida de energía externa). En un estudio, se observó retención de datos incluso a temperatura ambiente. [13]
También se ha observado remanencia de datos en la memoria dinámica de acceso aleatorio (DRAM). Los chips DRAM modernos tienen un módulo de autoactualización incorporado, ya que no solo requieren una fuente de alimentación para retener los datos, sino que también deben actualizarse periódicamente para evitar que su contenido de datos se desvanezca de los condensadores en sus circuitos integrados. Un estudio encontró remanencia de datos en DRAM con retención de datos de segundos a minutos a temperatura ambiente y "una semana completa sin actualización cuando se enfría con nitrógeno líquido". [14] Los autores del estudio pudieron usar un ataque de arranque en frío para recuperar claves criptográficas para varios sistemas populares de cifrado de disco completo , incluidos Microsoft BitLocker , Apple FileVault , dm-crypt para Linux y TrueCrypt . [14] : 12
A pesar de cierta degradación de la memoria, los autores del estudio descrito anteriormente pudieron aprovechar la redundancia en la forma en que se almacenan las claves después de que se han expandido para un uso eficiente, como en la programación de claves . Los autores recomiendan que las computadoras se apaguen, en lugar de dejarlas en un estado de " suspensión ", cuando no estén bajo el control físico del propietario. En algunos casos, como ciertos modos del programa de software BitLocker, los autores recomiendan que se use una contraseña de arranque o una clave en un dispositivo USB extraíble. [14] : 12 TRESOR es un parche de kernel para Linux específicamente diseñado para prevenir ataques de arranque en frío en RAM al garantizar que las claves de cifrado no sean accesibles desde el espacio del usuario y se almacenen en la CPU en lugar de en la RAM del sistema siempre que sea posible. Las versiones más nuevas del software de cifrado de disco VeraCrypt pueden cifrar claves y contraseñas en RAM en Windows de 64 bits. [15]
{{cite book}}: Mantenimiento de CS1: otros ( enlace ){{cite journal}}: Requiere citar revista |journal=( ayuda ){{cite journal}}: Requiere citar revista |journal=( ayuda ){{cite journal}}: Requiere citar revista |journal=( ayuda ){{cite journal}}: Requiere citar revista |journal=( ayuda ){{cite journal}}: Requiere citar revista |journal=( ayuda ){{cite journal}}: Requiere citar revista |journal=( ayuda ){{cite journal}}: Requiere citar revista |journal=( ayuda )