Borrar archivos de forma segura con click derecho
This post was originally published on Tulpep Blog on March 26th, 2015.
Mientras trabajábamos en un banco en Colombia para la migración de sus computadores a Windows 7 desde Windows XP, les enseñamos como usar la herramienta Microsoft DaRT para soportar el nuevo sistema operativo. Les mostramos como, usando Microsoft DaRT, se pueden recuperar archivos incluso cuando hayan sido borrados de la papelera de reciclaje. El banco estaba preocupado acerca de la privacidad de sus archivos borrados cuando donaban computadores antiguos.
¿Por qué se pueden recuperar archivos borrados?
Un archivo en NTFS, el sistema de archivos de Windows, es representado por un registro en el MFT (Master File Table), un archivo especial donde se guarda un registro de todos los archivos en el disco. El MFT, es guardado dos veces por resiliencia y la ubicación de estos dos archivos especiales es grabada en el sector de arranque.
Cada registro en el MFT contiene el nombre del archivo, descriptores de seguridad, sus atributos y el contenido del archivo si este es muy pequeño (<512 bytes), o en la mayoría de casos, un apuntador al clúster del disco donde el archivo es realmente guardado.
En registro de archivos con apuntadores, cuando se borra el archivo, Windows elimina el registro en el MFT, pero el clúster del disco donde el archivo está almacenado continúa teniendo la información. Se hace de esta manera para obtener una operación extremadamente rápida en lugar de la escribir ceros lo cual causa una gran lentitud
Después de borrar el registro del MFT, Windows considera el clúster con la información como vacío, así que este, eventualmente será usado para almacenamiento de nueva información. Pero, si se actúas rápido, antes de que Windows reescriba el clúster, se puede recuperar la información borrada.
Existe gran cantidad de herramientas para recuperar información borrada como Recuva o Microsoft DaRT.
Lo anterior solo aplica para discos duros tradicionales, en discos de estado sólido (SSD) el borrado realmente pone ceros en los clúster de disco en una operación conocida como TRIM. Los archivos son inmediatamente eliminados.
¿Cómo asegurar la eliminación de archivos?
¿Desea borrar un archivo de forma definitiva? No hay problema, reescriba el clúster del disco donde la información está guardada. Haga esto, gran cantidad de veces (passes) para estar a salvo.
Esto suena bastante sencillo, pero archivos con atributos comprimidos o encriptados (EFS) podrían escribir en muchos lugares. Para manejar este tipo de archivos se puede usar el Windows defragmentation API para determinar con precisión que clúster en un disco están ocupados por información.
Mark Russinovich en Sysinternals creó una herramienta de línea de comando llamada SDelete que hace el trabajo por usted. Esta implementa el estándar de eliminación aprobado por el Departamento de Defensa de los Estados Unidos DOD 5220.22-M para darle la confianza que una vez elimine con SDelete, la información de su archivo se ha ido para siempre.
Después de descargarlo se usa de esta manera.
sdelete -s C:\Folder_To_Delete
SDelete GUI
SDelete es excelente, pero para un usuario sin conocimientos técnicos puede ser muy complicado. Por eso desarrollé esta simple herramienta para los ejecutivos de nuestro banco cliente. Esta herramienta agrega una nueva acción al menú contexto de Windows que llama a SDelete.
Como dice Softpedia: Después de que descargue esto, usted podrá ser capaz de eliminar archivos de su computador solo haciendo clic derecho y seleccionando la opción adecuada del menú contextual. De esta manera, puede beneficiarse de la función de borrado avanzado sin necesidad de aprender cómo utilizar los argumentos de la línea de comandos.
El código de fuente y el link está disponible en Github. Estoy disponible para cualquier issue o pull request. SDelete-Gui en Github
