TRIM SSD

¿Qué es TRIM?

TRIM es un comando del estándar ATA (DATA SET MANAGEMENT command) que permite al sistema operativo informar al SSD qué bloques de datos ya no están en uso. Cuando un archivo se borra, el sistema operativo envía el comando TRIM al SSD indicándole las direcciones LBA (Logical Block Address) que pueden ser liberadas.

A diferencia de los discos duros tradicionales (HDD), donde borrar un archivo solo elimina la referencia en el sistema de archivos pero los datos permanecen en el plato hasta ser sobrescritos, el SSD utiliza la información de TRIM para borrar físicamente esos bloques y prepararlos para nuevas escrituras.

Este comportamiento, diseñado para mantener el rendimiento del SSD, tiene consecuencias devastadoras para el análisis forense: los archivos eliminados se borran activamente, haciendo que técnicas como file carving sean inútiles en la mayoría de casos.

Funcionamiento técnico de TRIM

Sin TRIM: Comportamiento tradicional (HDD)

En un disco duro tradicional:

1. Archivo creado
   → Datos escritos en sectores físicos
   → Sistema de archivos registra ubicación

2. Archivo borrado
   → Sistema de archivos elimina referencia
   → Datos PERMANECEN en sectores (no se tocan)

3. Forense puede:
   → Leer sectores no asignados
   → Recuperar datos mediante file carving

Con TRIM: Comportamiento SSD

En un SSD con TRIM:

1. Archivo creado
   → Datos escritos en páginas NAND
   → Sistema de archivos registra ubicación

2. Archivo borrado
   → Sistema de archivos elimina referencia
   → SO envía comando TRIM con LBAs libres
   → SSD BORRA FÍSICAMENTE esas páginas

3. Forense encuentra:
   → Páginas vacías (ceros o patrón de borrado)
   → Sin datos recuperables

El problema del borrado en NAND

Los SSDs usan memoria NAND Flash que tiene una peculiaridad: no puede sobrescribir datos directamente. Debe:

1. Leer el bloque completo a caché
2. Borrar el bloque (todos los bits a 1)
3. Escribir los nuevos datos

Este proceso es lento y desgasta la memoria. TRIM permite al SSD borrar bloques por adelantado cuando están libres, optimizando escrituras futuras.

Garbage Collection

Además de TRIM, los SSDs implementan garbage collection interna:

• El controlador del SSD identifica bloques con datos inválidos
• Los consolida para liberar bloques completos
• Este proceso ocurre automáticamente, incluso sin comandos del SO

┌─────────────────────────────────────────────────┐
│          Bloque NAND (256 páginas)              │
├─────────────────────────────────────────────────┤
│ [Válido][Inválido][Válido][Inválido][Inválido]..│
│            ↓ Garbage Collection ↓               │
│ [Válido][Válido][Vacío][Vacío][Vacío]...        │
└─────────────────────────────────────────────────┘

Impacto en el análisis forense

Comparativa HDD vs SSD

Qué SÍ se puede analizar en SSDs

Aunque TRIM limita la recuperación, aún se puede analizar:

1. Archivos existentes: Todo lo que no ha sido borrado
2. Archivos en Papelera: Si no se vació
3. Shadow Copies/VSS: Si están habilitadas
4. Archivos temporales: Que no hayan sido limpiados
5. Metadatos del sistema de archivos: $MFT, $LogFile, etc.
6. Registros de Windows: Historial de actividad
7. Bases de datos de aplicaciones: SQLite de navegadores, etc.

Qué generalmente NO se puede recuperar

1. Archivos borrados permanentemente
2. Versiones anteriores de archivos modificados
3. Datos de particiones formateadas
4. Contenido de espacio no asignado

Escenarios forenses con SSDs

Escenario 1: SSD recién conectado

Situación: Se recibe un SSD para análisis que ha estado desconectado.

Consideración: El garbage collection no se ejecuta con el SSD apagado. Los datos que existían al desconectar pueden estar preservados.

Recomendación:

Escenario 2: Ordenador encendido con SSD

Situación: El sistema está funcionando con SSD como disco principal.

Consideración: TRIM y garbage collection están activos. Cada segundo que pasa puede destruir evidencia.

Recomendación:

Escenario 3: SSD formateado

Situación: Se investiga un SSD que fue formateado antes de entregarlo.

Consideración: El formato rápido en Windows envía TRIM a todo el disco. El SSD habrá borrado prácticamente todo.

Realidad:

# Análisis típico de SSD formateado con TRIM
strings imagen.dd | wc -l
# Resultado: Muy pocas cadenas legibles

hexdump -C imagen.dd | head -100
# Muestra: Mayoritariamente 00 00 00 00...

Resultado probable: Recuperación mínima o nula de datos anteriores al formato.

Verificar estado de TRIM

En Windows

# Verificar si TRIM está habilitado
fsutil behavior query DisableDeleteNotify

# Resultado:
# DisableDeleteNotify = 0  → TRIM ACTIVADO
# DisableDeleteNotify = 1  → TRIM desactivado

En Linux

# Verificar soporte TRIM
sudo hdparm -I /dev/sda | grep TRIM
# Data Set Management TRIM supported

# Verificar opciones de montaje
mount | grep discard
# /dev/sda1 on / type ext4 (rw,discard)
# discard = TRIM activado

En macOS

TRIM está siempre activado para SSDs internos de Apple y puede habilitarse para terceros:

# Verificar estado
system_profiler SPSerialATADataType | grep TRIM
# TRIM Support: Yes

Estrategias forenses para SSDs

1. Priorizar la adquisición inmediata

En casos con SSDs, la velocidad de adquisición es crítica:

• Cada minuto adicional puede significar más datos borrados
• No esperar a “investigación preliminar”
• Adquirir primero, analizar después

2. Usar write blockers apropiados

Los write blockers para SSD deben:

• Bloquear comandos TRIM además de escrituras
• Soportar protocolos NVMe si aplica
• Estar actualizados para SSDs modernos

3. Documentar limitaciones

El informe pericial debe indicar claramente:

“El dispositivo analizado es un SSD con TRIM activado. Debido a las características técnicas de esta tecnología, los archivos eliminados previamente no son recuperables mediante técnicas forenses convencionales. El análisis se limita a datos existentes en el momento de la adquisición.”

4. Buscar fuentes alternativas

Ante la limitación de SSDs, buscar evidencia en:

• Backups en la nube
• Dispositivos secundarios (HDDs externos)
• Servidores de correo
• Cuentas de almacenamiento cloud
• Dispositivos móviles
• Impresoras con memoria

5. Analizar metadatos del sistema de archivos

Aunque los datos estén borrados, los metadatos pueden revelar:

• $MFT de NTFS: Nombres y timestamps de archivos borrados
• $UsnJrnl: Historial de cambios del sistema de archivos
• Registros de Windows: Referencias a archivos
• Prefetch: Evidencia de ejecución de programas

Caso práctico: Investigación con SSD

Situación: Se investiga el portátil de un empleado que presuntamente borró documentos confidenciales antes de dimitir. El equipo tiene SSD NVMe de 512 GB.

Análisis:

Resultado: Aunque el SSD impidió recuperación directa, la combinación de análisis de metadatos y fuentes alternativas (nube) proporcionó la evidencia necesaria.

Relación con otros conceptos

• File Carving: Inefectivo en SSDs con TRIM
• Imagen forense: Sigue siendo necesaria aunque contenga menos datos
• Anti-forense: TRIM actúa efectivamente como borrado seguro
• Write Blocker: Debe bloquear TRIM además de escrituras
• BitLocker: Combinado con TRIM, doble barrera forense

Conclusión

TRIM representa un cambio fundamental en las expectativas de recuperación forense. Lo que antes era rutina en HDDs (recuperar archivos borrados) es ahora excepción en SSDs. El perito informático debe:

1. Comunicar claramente las limitaciones técnicas a clientes y tribunales
2. Priorizar velocidad de adquisición sobre todo lo demás
3. Diversificar fuentes de evidencia (no depender solo del disco)
4. Actualizar conocimientos sobre tecnologías SSD en evolución

La realidad es que TRIM, aunque diseñado para rendimiento, actúa como un sistema de borrado seguro incorporado que protege la privacidad pero dificulta las investigaciones legítimas.

Última actualización: Enero 2026 Categoría: Técnico Código: ANA-014