¿Se pueden recuperar archivos borrados de un disco duro?

En la mayoría de casos, sí. Cuando un archivo se elimina, el sistema operativo solo marca el espacio como disponible, pero los datos permanecen en el disco hasta que se sobrescriben. En discos HDD, la recuperación es viable semanas o meses después. En SSD, el comando TRIM puede borrar los datos en minutos.

¿Cuál es la diferencia entre recuperación de datos comercial y forense?

La recuperación comercial busca rescatar los datos del usuario sin preocuparse de la cadena de custodia. La recuperación forense sigue protocolos estrictos (ISO 27037, imagen bit a bit, verificación de hashes) para que los datos recuperados sean admisibles como prueba judicial.

¿Se pueden recuperar datos de un SSD con TRIM activado?

Es muy difícil. El comando TRIM ordena al SSD borrar físicamente los bloques marcados como libres, eliminando los datos de forma irreversible. Sin embargo, algunos controladores SSD implementan TRIM de forma diferida, lo que deja una ventana temporal de recuperación si se actúa con rapidez.

¿Cuánto cuesta un servicio de recuperación de datos forense?

El coste varía según la complejidad: desde 300-600 EUR para recuperaciones por software en discos sin daño físico, hasta 1.500-4.000 EUR para recuperaciones en cámara limpia con daño mecánico. Si se requiere informe pericial con validez judicial, el coste incluye la documentación de cadena de custodia.

Recuperación de Datos Forense y Comercial | Glosario

¿Qué es la recuperación de datos?

La recuperación de datos es el conjunto de técnicas y procedimientos destinados a rescatar información digital que se ha vuelto inaccesible por eliminación (accidental o intencionada), daño físico del medio de almacenamiento, corrupción del sistema de archivos o fallos de hardware. Es una de las disciplinas fundamentales tanto de la informática forense como de los servicios de soporte técnico.

La importancia de la recuperación de datos en el ámbito forense es enorme. Según un estudio de Ontrack (una de las principales empresas del sector), en más del 70% de los casos de análisis forense digital se requiere alguna forma de recuperación de datos eliminados. En procedimientos judiciales, los archivos borrados deliberadamente pueden contener la evidencia más relevante precisamente porque alguien intentó destruirla.

Desde el punto de vista técnico, la recuperación de datos se fundamenta en un principio clave: cuando un sistema operativo “elimina” un archivo, en la mayoría de casos no borra los datos reales del disco, sino que simplemente actualiza la tabla del sistema de archivos para marcar ese espacio como disponible. Los datos permanecen físicamente en el medio de almacenamiento hasta que nuevos datos los sobrescriben. Esta ventana de oportunidad es la que aprovechan las técnicas de recuperación forense.

El factor tiempo es crítico

Cada segundo que un dispositivo permanece encendido después de la eliminación de datos reduce las posibilidades de recuperación. El sistema operativo, aplicaciones en segundo plano y servicios de indexación pueden sobrescribir los datos eliminados en cualquier momento. En SSD con TRIM activado, la destrucción puede ser casi instantánea.

Cómo funciona la eliminación de datos

Para entender la recuperación, es imprescindible comprender qué ocurre cuando se borran datos en diferentes sistemas de archivos y medios de almacenamiento.

Eliminación en sistemas de archivos

Sistema de archivos	Qué ocurre al eliminar	Recuperabilidad
NTFS (Windows)	Entrada en $MFT se marca como libre; datos intactos en clusters	Alta (mientras no se sobrescriba)
ext4 (Linux)	Inodo desvinculado del directorio; bloques marcados como libres	Media-Alta (ext4 borra punteros de inodo)
APFS (macOS)	Entrada de directorio eliminada; bloques devueltos al pool	Media (APFS + SSD = TRIM rápido)
FAT32 (USB, SD)	Primer carácter del nombre se sustituye por 0xE5; clusters libres	Alta (sin TRIM, estructura simple)
exFAT	Similar a FAT32, entrada de directorio marcada	Alta en medios sin TRIM

Eliminación en HDD vs SSD

La diferencia entre discos HDD (magnéticos) y SSD (memoria flash) es determinante para la recuperación:

Disco HDD (magnético):

Antes de eliminar:
  Sector 1000: [Datos del archivo A] ← Sistema de archivos apunta aquí
  Sector 1001: [Datos del archivo A]
  Sector 1002: [Datos del archivo A]

Después de eliminar:
  Sector 1000: [Datos del archivo A] ← Siguen ahí, pero marcados como "libres"
  Sector 1001: [Datos del archivo A] ← Recuperables con herramientas forenses
  Sector 1002: [Datos del archivo A] ← Hasta que se sobrescriban

Después de sobrescribir parcialmente:
  Sector 1000: [Datos del archivo B] ← Sobrescrito, irrecuperable
  Sector 1001: [Datos del archivo A] ← Aún recuperable
  Sector 1002: [Datos del archivo A] ← Aún recuperable

Disco SSD (memoria flash con TRIM):

Antes de eliminar:
  Bloque NAND 500: [Datos del archivo A]

Después de eliminar (con TRIM):
  SO envía comando TRIM al controlador SSD
  Controlador marca bloque para garbage collection
  Bloque NAND 500: [0x00000000] ← Borrado físicamente por el controlador
  → IRRECUPERABLE (datos destruidos a nivel hardware)

Tiempo entre eliminación y borrado físico:
  - SSD modernos: segundos a minutos
  - SSD antiguos: minutos a horas
  - SSD con TRIM deshabilitado: igual que HDD (recuperable)

TRIM y la recuperación forense

El comando TRIM es el mayor enemigo de la recuperación de datos en SSD. Cuando el sistema operativo notifica al SSD que ciertos bloques ya no están en uso, el controlador los borra físicamente para optimizar el rendimiento de escritura futura. A diferencia de un HDD, donde los datos eliminados persisten indefinidamente hasta la sobrescritura, en un SSD con TRIM los datos pueden desaparecer en cuestión de segundos.

Técnicas de recuperación de datos

1. Recuperación basada en sistema de archivos

La técnica más directa: aprovechar las estructuras internas del sistema de archivos que aún contienen referencias a los datos eliminados.

Sistema de archivos	Estructura aprovechable	Herramientas
NTFS	$MFT (Master File Table), $LogFile, $UsnJrnl	Autopsy, FTK, R-Studio
ext4	Journal, inodos huérfanos	extundelete, ext4magic
APFS	Container superblock, checkpoint data	Disk Drill, R-Studio for Mac
FAT32	Entradas de directorio con 0xE5	Recuva, PhotoRec

Ejemplo en NTFS: cuando se elimina un archivo, la entrada en la $MFT (Master File Table) no se destruye inmediatamente. Un perito forense puede recorrer la $MFT buscando entradas marcadas como libres que aún contengan los atributos del archivo: nombre, tamaño, ubicación en disco y timestamps.

2. File carving (tallado de archivos)

El file carving es la técnica estrella de la recuperación forense. Funciona independientemente del sistema de archivos, buscando patrones conocidos (firmas o “magic numbers”) directamente en el espacio no asignado del disco.

Firmas de archivo comunes:

Tipo de archivo    Header (inicio)          Footer (fin)
─────────────────────────────────────────────────────────
JPEG               FF D8 FF E0/E1           FF D9
PNG                89 50 4E 47              49 45 4E 44 AE 42 60 82
PDF                25 50 44 46              25 25 45 4F 46
ZIP                50 4B 03 04              50 4B 05 06
DOCX               50 4B 03 04              (es un ZIP)
SQLite             53 51 4C 69 74 65        ---
EXE (PE)           4D 5A                    ---
PST (Outlook)      21 42 44 4E              ---

Proceso de file carving:
1. Escanear espacio no asignado byte a byte
2. Identificar header conocido (ej: FF D8 FF para JPEG)
3. Leer datos hasta encontrar footer (FF D9) o tamaño máximo
4. Extraer bloque de datos como archivo recuperado
5. Validar integridad del archivo extraído

Herramientas de file carving:

Herramienta	Tipo	Formatos soportados	Uso principal
Scalpel	Open source	Configurable (200+)	Carving personalizado con reglas
PhotoRec	Open source	480+ formatos	Recuperación masiva multi-formato
Foremost	Open source	30+ formatos	Carving rápido en Linux
Autopsy	Open source	Integra PhotoRec + módulos propios	Suite forense completa
R-Studio	Comercial	300+ formatos	Recuperación profesional
X-Ways Forensics	Comercial	Análisis profundo	Carving avanzado con fragmentación

3. Recuperación por hardware (cámara limpia)

Cuando el medio de almacenamiento tiene daño físico, las técnicas de software no son suficientes. La recuperación en cámara limpia (entorno libre de partículas de polvo, clase ISO 5 o superior) permite intervenir directamente en los componentes internos del disco.

Tipos de daño físico y procedimientos:

Tipo de daño	Síntomas	Procedimiento en cámara limpia
Cabezales dañados (HDD)	Clics repetitivos, no detecta	Reemplazo de cabezales con donante compatible
Motor del eje (HDD)	No gira, vibra	Trasplante de platos a chasis donante
Platos rayados (HDD)	Sectores defectuosos masivos	Lectura con cabezales de precisión, omitiendo zonas dañadas
PCB quemada	No enciende, olor a quemado	Reemplazo de PCB compatible + chip BIOS original
Chip NAND dañado (SSD)	No detecta o errores masivos	Lectura directa de chips NAND con programador
Controlador SSD dañado	Detecta pero 0 GB	Bypass de controlador, lectura directa NAND

Nunca abrir un disco duro fuera de cámara limpia

Los platos de un disco HDD giran a 5.400-15.000 RPM con una separación cabezal-plato de apenas 3 nanómetros. Una sola partícula de polvo (10.000 nm) puede causar daño catastrófico en los platos. Los intentos de reparación casera destruyen la evidencia de forma irreversible.

4. Recuperación de RAID

Los sistemas RAID (Redundant Array of Independent Disks) presentan desafíos únicos porque los datos se distribuyen entre múltiples discos:

Nivel RAID	Distribución de datos	Recuperación tras fallo
RAID 0	Datos distribuidos sin redundancia	Un disco fallo = pérdida total (salvo carving individual)
RAID 1	Datos duplicados (espejo)	Recuperable del disco superviviente
RAID 5	Datos + paridad distribuida	Soporta 1 fallo; reconstrucción con N-1 discos
RAID 6	Datos + doble paridad	Soporta 2 fallos simultáneos
RAID 10	Espejo + distribución	Soporta 1 fallo por par de espejos

La recuperación de RAID requiere identificar: el orden de los discos, el tamaño de stripe, el algoritmo de paridad y la dirección de rotación. Herramientas como R-Studio, UFS Explorer y ReclaiMe permiten reconstruir arrays RAID a partir de discos individuales.

Recuperación forense vs recuperación comercial

Esta distinción es fundamental para entender cuándo se necesita un perito informático y cuándo basta con un servicio de recuperación estándar.

Aspecto	Recuperación comercial	Recuperación forense
Objetivo	Devolver datos al usuario	Obtener evidencia admisible en juicio
Cadena de custodia	No se documenta	Obligatoria y exhaustiva
Imagen forense previa	No se realiza	Siempre (imagen bit a bit)
Verificación de integridad	No se requiere	Hash SHA-256 obligatorio
Trabajo sobre original	Sí (habitual)	Nunca (solo sobre copia)
Informe	Factura + lista archivos	Informe pericial detallado
Coste típico	200-2.000 EUR	400-4.000 EUR
Normativa	Ley consumidores	ISO 27037, LECrim, LEC
Ratificación judicial	No aplica	Perito ratifica en juicio

Cuándo elegir recuperación forense

La recuperación forense es necesaria cuando los datos recuperados se van a utilizar como prueba en cualquier tipo de procedimiento: demanda laboral, divorcio, fraude, ciberdelito, competencia desleal. Si solo se necesitan recuperar fotos familiares de un disco roto, la recuperación comercial es suficiente.

Proceso de recuperación de datos forense paso a paso

Evaluación inicial y documentación
El perito recibe el medio de almacenamiento y documenta su estado: marca, modelo, número de serie, daños visibles, estado de conectores. Se fotografía el dispositivo y se redacta un acta de recepción que firma el solicitante.
Creación de imagen forense
Antes de cualquier intento de recuperación, se realiza una imagen forense (copia bit a bit) del medio original usando un bloqueador de escritura hardware. Se calcula el hash SHA-256 de la imagen y se compara con el hash del original para verificar la integridad.
```
Herramientas habituales:
- FTK Imager (Windows, gratuito)
- dd / dc3dd (Linux, open source)
- Guymager (Linux, open source)
- Tableau TX1 (bloqueador hardware)
```
Análisis del sistema de archivos
Se examina la estructura del sistema de archivos en la imagen forense: $MFT en NTFS, inodos en ext4, catálogo en APFS. Se identifican archivos eliminados cuyas entradas aún existen en las estructuras del sistema de archivos.
File carving del espacio no asignado
Se ejecutan herramientas de file carving sobre el espacio no asignado (unallocated space) de la imagen forense. Se buscan firmas de archivos conocidas y se extraen los archivos recuperados.
Reconstrucción y validación
Los archivos recuperados se validan: se comprueba que se abren correctamente, se verifica su integridad, se documentan los metadatos (timestamps, tamaño, ubicación en disco). Se calcula el hash de cada archivo recuperado para garantizar su integridad futura.
Elaboración del informe pericial
Se documenta todo el proceso: metodología utilizada, herramientas y versiones, resultados obtenidos, archivos recuperados con sus hashes, y las limitaciones encontradas. El informe debe ser reproducible por otro perito independiente.

Caso práctico: recuperación de datos en caso de despido improcedente

Nota: El siguiente caso está basado en patrones reales de investigaciones forenses. Los datos han sido modificados para proteger la confidencialidad, preservando los aspectos técnicos relevantes para fines educativos.

Escenario

Una empresa detecta que un empleado, antes de ser despedido, eliminó archivos del servidor compartido y formateó su portátil corporativo. La empresa sospecha que el empleado copió información confidencial (base de datos de clientes, ofertas comerciales) y destruyó la evidencia. Se solicita un peritaje para recuperar los archivos eliminados y determinar qué información se extrajo.

Análisis forense

Adquisición de evidencia
Se crean imágenes forenses del portátil formateado (SSD 512 GB, NTFS) y del volumen del servidor donde se eliminaron archivos (HDD 4 TB, RAID 5). Se verifican hashes SHA-256 de ambas imágenes.
Análisis del servidor (HDD, RAID 5)
Al ser un HDD sin TRIM, la recuperación es favorable. Se analizan las entradas eliminadas de la $MFT y se recuperan 847 archivos borrados: documentos Excel con listados de clientes, presentaciones con ofertas comerciales y correos exportados de Outlook. Los timestamps de eliminación coinciden con las dos horas previas a la entrega del equipo.
Análisis del portátil formateado (SSD)
El portátil fue formateado con “formateo rápido” de Windows. El formateo rápido solo recrea las estructuras del sistema de archivos sin sobrescribir datos. Sin embargo, al ser un SSD con TRIM activado, gran parte del espacio ya ha sido borrado por el controlador. Se recuperan parcialmente:
- Archivos del $MFT residual: nombres y timestamps de 2.340 archivos
- File carving: 156 archivos completos (PDFs, imágenes) en bloques que el TRIM aún no había procesado
- Prefetch files: evidencia de ejecución de un software de copia USB
Correlación de evidencia
Se cruzan los archivos recuperados del servidor (qué se borró) con los artefactos del portátil (qué se copió). Los archivos Prefetch demuestran que se ejecutó un software de sincronización USB dos horas antes del formateo. Los logs del servidor confirman accesos masivos al directorio de clientes desde la IP del portátil.
Informe pericial
Se documenta: archivos eliminados del servidor (recuperados íntegramente), evidencia de copia a USB (Prefetch + logs), y limitaciones de la recuperación del SSD (TRIM destruyó parte de la evidencia). El informe concluye que existe evidencia técnica consistente con la extracción deliberada de información confidencial y la posterior destrucción de evidencia.

Resultado

El informe pericial fue admitido como prueba en el procedimiento laboral. La recuperación de los archivos del servidor fue determinante para demostrar la sustracción de información. Las limitaciones del SSD con TRIM se documentaron como evidencia de técnica anti-forense involuntaria.

Marco legal en España

Normativa aplicable a la recuperación de datos forense

Norma	Relevancia
Art. 326 LEC	Documentos electrónicos como medio de prueba
Art. 384 LEC	Medios de reproducción de la palabra, imagen y sonido
Art. 588 septies LECrim	Registro de dispositivos de almacenamiento masivo
ISO 27037:2012	Directrices para la identificación, recogida, adquisición y preservación de evidencia digital
UNE 71506:2013	Metodología para el análisis forense de evidencias electrónicas (norma española)
Art. 197 CP	Delitos contra la intimidad (acceso no autorizado a datos)
RGPD (Art. 17)	Derecho de supresión vs obligación de conservación de evidencia

Garantías procesales

Para que los datos recuperados sean admisibles como prueba judicial en España:

Autorización legal: orden judicial para dispositivos de terceros, o consentimiento del propietario
Bloqueador de escritura: impide cualquier modificación del medio original durante la adquisición
Imagen verificada: copia bit a bit con hash SHA-256 que demuestre identidad con el original
Trabajo sobre copia: todo el análisis se realiza sobre la imagen, nunca sobre el original
Informe detallado: metodología, herramientas (nombre y versión), resultados y limitaciones
Disponibilidad para contrapericia: el medio original debe conservarse para que la otra parte pueda realizar su propio análisis

Sentencia relevante

La STS 300/2015 del Tribunal Supremo establece que la evidencia digital debe obtenerse respetando la cadena de custodia y mediante procedimientos técnicos que garanticen su integridad. La rotura de la cadena de custodia no invalida automáticamente la prueba, pero reduce significativamente su valor probatorio.

Desafíos actuales en la recuperación de datos

SSD y TRIM

Como se ha detallado, el comando TRIM en discos SSD es el mayor desafío actual. Estrategias para mitigarlo:

Actuar con máxima rapidez: desconectar el SSD de la alimentación lo antes posible
Buscar SSD sin TRIM: algunos modelos antiguos o con firmware personalizado no implementan TRIM
Analizar TRIM diferido: ciertos controladores retrasan la ejecución del TRIM, dejando ventana de recuperación
Examinar over-provisioning: el espacio reservado del SSD (7-28% de capacidad) puede contener datos residuales

Cifrado de disco completo

BitLocker (Windows), FileVault (macOS) y LUKS (Linux) cifran todo el contenido del disco. Sin la clave de cifrado, la recuperación de datos es prácticamente imposible. Estrategias:

Buscar claves de recuperación en Active Directory (BitLocker), cuenta iCloud (FileVault) o backups del usuario
Análisis de RAM si el dispositivo estaba encendido con el disco desbloqueado
Volcado de memoria de hibernación (hiberfil.sys puede contener claves)

Dispositivos móviles

Los smartphones modernos (Android 10+, iOS 14+) implementan cifrado basado en hardware por defecto. La recuperación de datos eliminados requiere herramientas especializadas como Cellebrite UFED y depende del modelo, versión de firmware y nivel de bloqueo del dispositivo.

Almacenamiento en la nube

Cada vez más datos se almacenan en servicios cloud (Google Drive, OneDrive, iCloud). La recuperación forense requiere:

Cooperación del proveedor (mediante orden judicial internacional)
Análisis de artefactos de sincronización local (bases de datos SQLite del cliente de sincronización)
Revisión de la papelera de reciclaje del servicio cloud (normalmente 30 días)

Herramientas de recuperación de datos

Herramienta	Tipo	Especialidad	Precio
R-Studio	Comercial	Recuperación multi-sistema, RAID	Desde 80 EUR
Autopsy	Open source	Suite forense con carving integrado	Gratuito
FTK Imager	Gratuito	Imagen forense + previsualización	Gratuito
PhotoRec	Open source	File carving masivo (480+ formatos)	Gratuito
TestDisk	Open source	Reparación de particiones y tablas	Gratuito
Recuva	Freemium	Recuperación básica Windows	Gratuito / 20 EUR
X-Ways Forensics	Comercial	Análisis forense avanzado	Desde 900 EUR
Magnet AXIOM	Comercial	Forense integral (disco + móvil + cloud)	Licencia anual
PC-3000	Comercial	Recuperación hardware (cámara limpia)	Desde 5.000 EUR

Relación con otros conceptos

Imagen forense: paso previo obligatorio antes de cualquier intento de recuperación con validez judicial
File carving: técnica específica de recuperación basada en firmas de archivo, independiente del sistema de archivos
TRIM SSD: comando que destruye datos eliminados de forma irreversible, principal obstáculo en SSD
Anti-forense: técnicas de destrucción deliberada de datos que dificultan o imposibilitan la recuperación
Extracción forense: proceso más amplio de obtención de datos que incluye la recuperación como una de sus fases
Hash criptográfico: mecanismo para verificar la integridad de los datos recuperados frente al original
Cadena de custodia: protocolo que garantiza la admisibilidad judicial de los datos recuperados

Conclusión

La recuperación de datos es una de las competencias más demandadas en informática forense. La capacidad de rescatar archivos eliminados puede ser determinante en investigaciones de fraude, competencia desleal, acoso laboral o ciberdelitos. Sin embargo, la evolución tecnológica plantea desafíos crecientes: los SSD con TRIM, el cifrado generalizado y el almacenamiento en la nube requieren que el perito informático mantenga sus conocimientos y herramientas permanentemente actualizados.

La diferencia entre una recuperación de datos exitosa y una evidencia perdida depende a menudo de dos factores: la rapidez de actuación (especialmente con SSD) y el rigor en el mantenimiento de la cadena de custodia digital.

Referencias y fuentes

NIST SP 800-86. (2006). “Guide to Integrating Forensic Techniques into Incident Response”. nist.gov - Metodología de recuperación de datos en respuesta a incidentes.
ISO 27037:2012. “Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence”. - Estándar internacional para adquisición y preservación de evidencia digital.
UNE 71506:2013. “Tecnologías de la Información — Metodología para el análisis forense de las evidencias electrónicas”. AENOR. - Norma española específica para análisis forense.
Casey, E. (2011). “Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet”. 3rd Edition, Academic Press. - Referencia académica en técnicas de file carving y recuperación forense.
Carrier, B. (2005). “File System Forensic Analysis”. Addison-Wesley. - Análisis detallado de la recuperación en NTFS, ext, FAT y UFS.
Ontrack. (2024). “Data Recovery Statistics and Trends”. ontrack.com - Estadísticas de recuperación de datos y tasas de éxito por tipo de medio.
Bell, G. & Boddington, R. (2010). “Solid State Drives: The Beginning of the End for Current Practice in Digital Forensic Recovery?”. Journal of Digital Forensics, Security and Law, Vol. 5(3). - Investigación sobre el impacto de SSD y TRIM en la recuperación forense.
Wei, M. et al. (2011). “Reliably Erasing Data From Flash-Based Solid State Drives”. USENIX FAST ‘11. - Estudio técnico sobre la eliminación de datos en SSD y sus implicaciones forenses.
Ley de Enjuiciamiento Criminal (LECrim). Art. 588 bis a 588 octies. - Marco legal para el registro de dispositivos electrónicos en España.
Ley de Enjuiciamiento Civil (LEC). Art. 326 y 384. - Admisibilidad de documentos electrónicos y medios de reproducción como prueba.

Última actualización: 10 de febrero de 2026 Categoría: Técnico Código: REC-001