SEGURIDAD INFORMÁTICA – 2º SMR – I.E.S.

Al-Ándalus (Almería)

Práctica: Borrado seguro de discos y recuperación de archivos

borrados.
1. Borrado seguro de discos con CCleaner para Windows.
“CCleaner, probablemente la utilidad de limpieza y optimización de
Windows más famosa en la actualidad, ofrece una herramienta llamada
Drive Wiper para borrar de forma segura el espacio libre en su disco
duro. Ejecute CCleaner, vaya a Herramientas> Limpiador de unidades,
seleccione "Solo espacio libre" para borrar, luego el método de
sobrescritura y finalmente la unidad que desea borrar.

CCleaner tiene 4 técnicas de limpieza que son: 1 pase, 3 pases (DoD),

7 pases (NSA) y 35 pases (Gutmann). Cuantos más pases selecciones,
menores serán las posibilidades de recuperación y más tiempo llevará
borrar.”

• Instalar y ejecutar el programa CCleaner en un equipo o máquina virtual Windows igual o

posterior a Windows XP.
• Limpieza personalizada. Realizar una limpieza “personalizada” pulsando en “Custom
Clean”, marcando todas las casillas que se puedan de las pestañas “Windows” y
“Applications”, para eliminar el mayor rastro posible de los historiales de las aplicaciones y del
sistema operativo. (No marcar la casilla “Wipe Free Space”). Ejecutamos la limpieza mediante
“Analyze” y después “Run Cleaner”.
• Limpieza del registro de Windows: CCleaner puede limpiar el registro de Windows de
entradas de registro inválidas, entradas repetidas, etc… redundando esto en la mejora del
rendimiento del equipo. Para ello se selecciona Registry -> Scan for Issues -> Fix selected
issues. El programa pregunta si se desea hacer una copia de seguridad del registro del sistema
sin optimizar, a lo que contestamos que sí e indicamos la ubicación de dicho archivo de
registro.
• Borrado seguro de la zona no usada del disco duro: Pulsamos en Tools -> Drive Wiper.
Elegimos que solamente borre de forma segura el espacio libre del disco duro (Wipe ->Free
Space Only) y elegimos el algoritmo de borrado seguro “Advanced Overwrite (3 passes)”.
Finalmente, pulsamos en Wipe.
• Buscar en Internet qué es el algoritmo de Peter Gutmann. ¿Qué datos se escriben en el disco
duro en cada una de las 35 pasadas?
2. Borrado seguro de los datos recuperables un disco con Moo0 Disk Wiper
o Instalar y ejecutar el programa.
o Ejecutar un borrado lo más completo posible del espacio libre de una unidad de
almacenamiento.
o ¿Qué elementos permite borrar de forma segura este programa?

I.E.S. Al-Ándalus. Finca Santa Isabel, s/n – 04008 ALMERÍA –  950 15 69 36 – Fax 950 15 69 42
E-mail: iesalandalus@iesalandalus.org 1
 SEGURIDAD INFORMÁTICA – 2º SMR – I.E.S. Al-Ándalus (Almería)

3. Borrado seguro de la información de carácter personal.

o Consultar el documento Guía sobre borrado seguro de la información.pdf y responder a
las siguientes preguntas:
• Ejemplos de malas prácticas de destrucción de información personal.
• Enumera los tres métodos de destrucción de la información.
• ¿Qué técnicas existen para la destrucción física de dispositivos de
almacenamiento?
• ¿Qué ventajas e inconvenientes tiene la técnica de sobre-escritura para la
destrucción de información personal?
• ¿Qué significa que la técnica de sobre-escritura garantiza la cadena de
custodia?
4. Recuperación de archivos borrados en Linux con Foremost.
Quien más quien menos ha tenido un despiste y ha borrado lo que no
debía. Podemos encontrar la solución a este inconveniente. Para ello
hablamos de la herramienta Foremost, una herramienta forense
especializada en la recuperación de información borrada.

Sin duda Foremost nos puede ser de gran ayuda, como herramienta de
línea de comandos, que nos permite recuperar información de discos
duros, dispositivos externos, como USB o tarjetas SD.

La herramienta fue desarrollada originalmente por el gobierno de los

Estados Unidos, tal y como indica en su página de man. Aún así esta
liberada utilizando una licencia de software libre.

Su diseño está inspirado en un programa llamado CarvThis, original de

MS-DOS, escrito en el Laboratorio Forense de Informática de Defensa en
el año 1999.

La herramienta hace uso de una técnica llamada data mining, que

recupera los elementos utilizando sus encabezados, pies de página y
escritura interno de estos, lo que permite recuperar un largo lista de
formatos, que por defecto son:

jpg, gif, png, bmp, avi, tiff, mp4, exe, mpg, wav, asf, wma, mp3,
fws, riff, wmv, mov, pdf, ole, doc, docx, xls, xlsx. ppt, pptx, zip,
rar, html, cpp, java, art,pst, ost, dbx, idx, mbx, wpc, pgp, txt,
rpm, dat, etc.

Foremost intenta recuperar los datos borrados aplicando una técnica

llamada file carving. La técnica del file carving consiste en
recuperar archivos y datos del disco duro sin disponer de la serie de
metadatos que hemos borrado de la tabla maestra de archivos (MFT).

Para ello Foremost escaneará la totalidad de contenido de nuestro

dispositivo de almacenamiento intentando identificar si el contenido
escaneado contiene las estructuras hexadecimales típicas de inicio y
fin de un determinado tipo de archivo. En el momento que Foremost
localice una de estas estructuras (inicio-fin), extraerá la
información contenida entre el inicio y el fin recuperando así un
archivo que previamente habíamos borrado.

I.E.S. Al-Ándalus. Finca Santa Isabel, s/n – 04008 ALMERÍA –  950 15 69 36 – Fax 950 15 69 42
E-mail: iesalandalus@iesalandalus.org 2
 SEGURIDAD INFORMÁTICA – 2º SMR – I.E.S. Al-Ándalus (Almería)

o En la máquina virtual de Ubuntu 11 descargamos varios documentos .pdf de Internet

guardándolos en el Escritorio. Seguidamente, los borramos del Escritorio y de la
papelera de reciclaje (icono de la parte baja de la pantalla).
o Creamos una carpeta dentro de /home/administrador llamada restaurados,
escribiendo la siguiente línea de comandos con permisos de administrador:
# mkdir /home/administrador/restaurados

o Instalamos la aplicación Foremost con permisos de administrador en la terminal de

comandos, teniendo la máquina acceso a internet:
# apt-get install foremost

o Comprobamos cuál es la partición o punto de montaje del disco duro de la máquina

virtual Ubuntu, escribiendo:
# mount

o Ahora ejecutamos la orden de Foremost que restaurará los archivos de los documentos
pdf borrados del disco duro en la carpeta que hemos creado previamente:

# foremost -t pdf -i /dev/sda1 -o /home/administrador/restaurados

o Aquí, con la opción ‘t‘, hemos definido el tipo de archivo que debe restaurarse,
o La opción -i le dice que busque los archivos en la partición ‘/dev/sda1’. Podemos
verificar la partición con el comando ‘mount’, como hemos hecho antes.
o Tras la ejecución exitosa del comando, el archivo se restaurará en la carpeta que le
hemos indicado con la opción ‘o‘. Hay que tener en cuenta que el archivo restaurado
no tendrá el mismo nombre de archivo original ya que el nombre del archivo no se
almacena con el archivo. Por tanto, el nombre del archivo será diferente, pero los datos
internos del archivo deberían estar allí.
o Comprobamos que en la carpeta /home/administrador/restaurados ya nos aparecen
los archivos jpg que habíamos borrado y eliminado de la papelera. Para ello debemos
ejecutar el navegador de archivos con permisos de administrador, haciendo:
# sudo nautilus

o Capturar el informe que ha generado Foremost en un archivo de texto en la carpeta

/home/administrador/restaurados donde se especifican los archivos que se han
podido rescatar.
o Capturar el formato completo de una posible línea de comandos de Foremost,
utilizando la página de manual del programa, es decir, mediante:
# man foremost

I.E.S. Al-Ándalus. Finca Santa Isabel, s/n – 04008 ALMERÍA –  950 15 69 36 – Fax 950 15 69 42
E-mail: iesalandalus@iesalandalus.org 3
 SEGURIDAD INFORMÁTICA – 2º SMR – I.E.S. Al-Ándalus (Almería)

5. Recuperación de archivos borrados en Windows con Recuva.

Recuva es un programa de licencia gratuita, desarrollado por Piriform,
para Microsoft Windows. Es capaz de restaurar archivos que han sido
permanentemente borrados y que han sido marcados por el sistema
operativo como espacio libre. El programa también puede ser usado para
restaurar archivos borrados de memorias Flash/USB, tarjetas de memoria
o reproductores MP3.

Al igual que otros programas de recuperación de datos, Recuva trabaja

buscando archivos no referenciados, pero si el sistema operativo ha
escrito nuevos datos sobre un archivo borrado, la restauración del
archivo no será posible.
o Instalamos en la máquina real Windows 10 el programa Recuva
o Descargamos varios archivos .pdf en el Escritorio, los borramos y los eliminamos de la
papelera de reciclaje.
o Ejecutamos el programa Recuva, seleccionamos qué archivos recuperar con
“Documents”. Intentamos recuperar los archivos borrados de todo el disco duro
seleccionando “In a specific location” y especificamos la unidad C:. Pulsamos “Start”.
Si no obtenemos los archivos que queríamos recuperar repetimos el proceso indicando
en el último paso que permita una búsqueda en profundidad habilitando la casilla de
verificación “Enable Deep Scan”
o Los archivos que aparecen con el semáforo en verde se pueden restaurar sin
problema. Probaremos a restaurar uno de ellos pinchando sobre el archivo en
concreto, seleccionando Recover Highlighted y especificando dónde se va a guardar el
archivo recuperado (en el Escritorio, por ejemplo).

I.E.S. Al-Ándalus. Finca Santa Isabel, s/n – 04008 ALMERÍA –  950 15 69 36 – Fax 950 15 69 42
E-mail: iesalandalus@iesalandalus.org 4