Preguntas Frecuentes

Diferencia entre recuperación de datos e informática forense

En ambos casos se trata de recabar datos no accesibles de modo convencional o evidente. Por ejemplo a partir de un dispositivo de almacenamiento de datos con problemas de funcionamiento o bien de información no hallable utilizando los elementos administrativos del sistema de archivos disponibles.

En el caso de la recuperación de información el objetivo práctico es devolverle al usuario sus archivos para que los pueda seguir utilizando, para que pueda continuar sus tareas, por ejemplo sus documentos, planillas de cálculo, imágenes. No importa en última instancia cómo se perdieron los datos ni cómo se recuperarán. El objetivo principal es devolver los archivos al usuario.

En la informática forense la situación es más compleja porque entra en juego la posibilidad de que el mismo usuario de los datos o un tercero hayan efectuado maniobras dolosas de borrado, ocultamiento, tergiversación de los datos. El objetivo principal no es llegar a obtener archivos útiles para que un usuario continúe sus actividades con los mismos. A menudo ese fin no puede alcanzarse, sin embargo la técnica forense apunta a conseguir evidencias o fragmentos de datos que sirvan como prueba en una causa judicial o bien para una negociación extrajudicial. Al contrario de en el recupero de datos, aquí sí es crucial determinar cómo se perdieron los datos y las técnicas empleadas para la recuperación son más restrictivas. Desde el primer momento se debe conservar una cadena de custodia y generar códigos matemáticos de control que permitan a un tercero (generalmente otro perito asignado por el juez o las partes) reproducir nuestros hallazgos para constatar que estaban verdaderamente en el soporte de datos y no que fueron agregados (lo que coloquialmente se llama “plantar una prueba”). Una evidencia forense puede ser un archivo completo pero también datos fragmentarios. El objetivo puede ser demostrar un hecho, o constatar la ausencia de evidencia, no devolverle archivos utilizables al cliente.

El servicio de informática forense es una consultoría no ligada a resultados. Es decir, para el cliente, al menos en teoría, tendría que ser tan útil obtener la evidencia que precisa para su estrategia litigiosa como tener la certeza de que la misma no existe y así poder replantear los pasos a seguir.

Podemos imaginar el dominio de la informática forense y de la recuperación de datos como un diagrama de Venn compuesto por dos conjuntos con una intersección. La intersección es la zona más interesante: casos de informática forense que requieren acudir a las técnicas de la recuperación de datos y viceversa. Un ejemplo del primer caso puede ser información adulterada almacenada en un soporte con problemas de funcionamiento. Situación muy común cuando se intentó destruir los datos por medios físicos: ladrones golpeando una DVR -grabadora digital de video usada para la grabación de videos de seguridad. El segundo caso se da cuando en un trabajo de recuperación de datos hay un nivel de corrupción tal que debemos recurrir a técnicas forenses para conseguir recuperaciones aunque sea de parte de archivos. La unidad mínima en recuperación de datos suele ser el archivo. Las técnicas forenses nos permiten ir más allá y restaurar datos potencialmente relevantes cuando ya se agotaron los tentativos de recuperación a partir del sistema de archivos y de las signaturas características de archivos.

¿Se puede salvar toda la información de un disco dañado?

No se puede determinar de antemano si cierta información será recuperable hasta no hacer un diagnóstico específico de cada caso. Por este motivo, solicitamos que el usuario complete nuestro formulario para recuperación de información, a fin deremitirlo a nuestro laboratorio junto al medio de almacenamiento que sufrió pérdida de información.

Es importante especificar qué información es prioritaria, de modo que si no se puede lograr una recuperación completa, nos concentremos sobre lo más importante. O, en caso de que se recupere el disco en forma completa, realicemos un control de calidad más estricto sobre los archivos solicitados.

Los límites de la recuperación de datos: por ejemplo, si un virus sobrescribió una FAT (tabla de ubicación de archivos) o una tabla de partición, nosotros tenemos la posibilidad de rescribir esta información para volver el disco a su estado original y así acceder a los archivos solicitados (ver nuestros artículos sobre sistema de archivos FAT al respecto).

En cambio, si se sobrescriben los contenidos de los archivos del usuario por un virus o un problema de hardware, en ese caso nadie puede rescribir esa información a partir de la nada. En CompExcellhemos desarrollado técnicas para recuperar información, incluso de medios magnéticos dañados, rayados o aterrizados parcialmente. Se recupera la información de las zonas no dañadas. No se puede recuperar información de zonas muy dañadas o información que fue sobrescrita. También hay limitaciones en las recuperaciones cuando faltan (o son inconsistentes) determinados elementos administrativos del sistema de archivos de cada sistema operativo en particular.

¿Dónde pondrán mi información una vez rescatada?

Durante el trabajo de recuperación en el laboratorio a menudo trabajamos con otros discos auxiliares. Lo habitual es que entregemos los datos grabados en DVD si ocupan hasta 20 GB o transferidos a otro disco propiedad del cliente si supera dicha cifra.

En algunos casos especiales, podemos entregar al cliente una imagen bit a bit del disco dañado volcada sobre otro disco bueno de capacidad igual o superior. Eso puede ser útil para ahorrar tiempo y costos en reinstalación de redes, seguridad, usuarios, etc. en redes. Esa solución también puede ahorrarnos el trabajo de interpretar un sistema de archivos propietario (y desconocido); por ejemplo, de máquinas de control industrial, simuladores de vuelo, etc.

Los datos también se pueden descargar de nuestro servidor FTP seguro. Empleamos encriptación punto a punto para preservar la confidencialidad de los datos de cada cliente.

¿El disco rígido se me devuelve operativo?

No. Los discos se devuelven en el mismo estado en que los recibimos.

En caso de que el disco haya perdido información pero funcione, el cliente o su servicio técnico deben luego formatear el disco y probarlo. En CompExcellno realizamos estas tareas porque instruimos al cliente para que no efectúe alteraciones a un medio hasta que no se haya concluido el proceso de recuperación de información del modo más completo posible. Este proceso concluye cuando el usuario normalizó sus tareas con su computadora, cargada con los datos necesarios para su actividad.

¿Cuánto cuesta contratar un servicio de recuperación de información?

Si se entiende la variedad de problemas que nos plantean nuestros clientes (discos accidentalmente borrados, formateados o sobrescritos, volúmenes Novell degradados en equipos con desperfectos, discos golpeados o quemados, diskettes con su medio magnético dañado, RAIDs desconfigurados, etc.), se comprende que no pueden existir tarifas uniformes. Se trabaja sobre cada caso en particular y, por lo tanto, cada vez se hace una cotización y un diagnóstico. Al cliente se le anticipa la situación de la información, de modo que pueda decidir si contrata el trabajo.

No es un buen criterio fijar una tarifa por gigabyte o por archivo, dado que, a veces, un par de correcciones lógicas o físicas pueden permitir acceder a muchos miles de archivos y, por el contrario, en ocasiones hay que dedicar largas horas para rearmar un par de archivos.

Estadísticamente un servicio de recuperación de información cuesta entre doscientos y seiscientos dólares aunque esto está subordinado a un estudio particular de cada caso.

¿Qué ocurre si luego de contratar una recuperación de información pierdo nuevamente la información antes de tenerla bien resguardada con un backup?

CompExcell conserva una copia de la información rescatada por algunos días. De modo que, si existe algún problema, se puede recurrir a esa copia. Implementamos este servicio, debido a que, en muchos casos, se envían los CDs con información al interior del país y existe la posibilidad (hasta ahora nunca verificada, por suerte) de que el paquete se pierda. Por otra parte, tras este período prudencial, es nuestra obligación dar de baja nuestra copia de la información por motivos de protección de la confidencialidad de los clientes.

¿Mi empresa necesita recuperar información perdida muy confidencial o muy delicada. ¿Qué seguridad me da este servicio?

Desde 1988, CompExcell se dedica a la recuperación de datos. Hemos hecho trabajos para grandes empresas, bancos e instituciones financieras que nos han planteado esa inquietud. El flujo de trabajo que tenemos es tan importante que únicamente nos interesa rescatar la información valiosa para el cliente, sin importar lo que sea.

Por ejemplo, un negocio no se preocupará por sus programas sino por sus archivos de datos, en tanto que para un programador la situación será totalmente inversa, le interesarán los programas que hizo para sus clientes y no los archivos de datos. Se puede decir que para nosotros es todo “ceros y unos”; cada cliente en particular es el que otorga un valor a esos datos como para contratar este servicio. Desarrollamos con mayor amplitud el problema de la confidencialidad en nuestra zona de Notas de Divulgación.

Estoy absolutamente seguro de que el problema de mi disco no es electrónico. ¿Pueden ustedes intervenir sobre los medios magnéticos, motores y/o cabezales para recuperar la información?

Sí, podemos reemplazar partes internas a la burbuja de los medios magnéticos, a los efectos de acceder a la información grabada en los platos. A menudo, es necesario reemplazar piezas o circuitos internos a las burbujas.

¿Ofrecen servicio de reparación de discos rígidos, unidades de cintas, unidades de ZIPs, grabadoras de CDs, etc.?

No. Hemos reparado unidades de discos y otros dispositivos de almacenamiento hasta 1995. En aquel entonces, los costos relativos y la baja diversificación de los modelos de discos en el mercado, permitían realizar esta actividad de un modo rentable y conveniente para los clientes. Actualmente reparar un disco rígido sería a menudo más caro que el costo de uno nuevo, además no se podría ofrecer la garantía que ofrecen los fabricantes ni el dispositivo sería tan confiable como uno nuevo.

Si requiere nuestro servicio, complete el siguiente formulario y envíelo junto al disco, CPU, notebook o servidor. Debe enviarlo en una bolsa antiestática y bien embalado en una caja con goma espuma. Trabajaremos únicamente con su disco y preferimos que envíe sólo el disco, pero si tiene algún problema en extraerlo de la CPU (gabinete) puede enviarnos la CPU completa. Lo mismo si se trata de una notebook.

Contáctenos para instrucciones adicionales si perdió información de un RAID o unidad de cinta