Diferencia entre recuperación de datos e informática forense

En ambos casos se trata de recabar datos no accesibles de modo convencional o evidente. Por ejemplo a partir de un dispositivo de almacenamiento de datos con problemas de funcionamiento o bien de información no hallable utilizando los elementos administrativos del sistema de archivos disponibles.

En el caso de la recuperación de información el objetivo práctico es devolverle al usuario sus archivos para que los pueda seguir utilizando, para que pueda continuar sus tareas, por ejemplo sus documentos, planillas de cálculo, imágenes. No importa en última instancia cómo se perdieron los datos ni cómo se recuperarán. El objetivo principal es devolver los archivos al usuario.

En la informática forense la situación es más compleja porque entra en juego la posibilidad de que el mismo usuario de los datos o un tercero hayan efectuado maniobras dolosas de borrado, ocultamiento, tergiversación de los datos. El objetivo principal no es llegar a obtener archivos útiles para que un usuario continúe sus actividades con los mismos. A menudo ese fin no puede alcanzarse, sin embargo la técnica forense apunta a conseguir evidencias o fragmentos de datos que sirvan como prueba en una causa judicial o bien para una negociación extrajudicial. Al contrario de en el recupero de datos, aquí sí es crucial determinar cómo se perdieron los datos y las técnicas empleadas para la recuperación son más restrictivas. Desde el primer momento se debe conservar una cadena de custodia y generar códigos matemáticos de control que permitan a un tercero (generalmente otro perito asignado por el juez o las partes) reproducir nuestros hallazgos para constatar que estaban verdaderamente en el soporte de datos y no que fueron agregados (lo que coloquialmente se llama “plantar una prueba”). Una evidencia forense puede ser un archivo completo pero también datos fragmentarios. El objetivo puede ser demostrar un hecho, o constatar la ausencia de evidencia, no devolverle archivos utilizables al cliente.

El servicio de informática forense es una consultoría no ligada a resultados. Es decir, para el cliente, al menos en teoría, tendría que ser tan útil obtener la evidencia que precisa para su estrategia litigiosa como tener la certeza de que la misma no existe y así poder replantear los pasos a seguir.

Podemos imaginar el dominio de la informática forense y de la recuperación de datos como un diagrama de Venn compuesto por dos conjuntos con una intersección. La intersección es la zona más interesante: casos de informática forense que requieren acudir a las técnicas de la recuperación de datos y viceversa. Un ejemplo del primer caso puede ser información adulterada almacenada en un soporte con problemas de funcionamiento. Situación muy común cuando se intentó destruir los datos por medios físicos: ladrones golpeando una DVR -grabadora digital de video usada para la grabación de videos de seguridad. El segundo caso se da cuando en un trabajo de recuperación de datos hay un nivel de corrupción tal que debemos recurrir a técnicas forenses para conseguir recuperaciones aunque sea de parte de archivos. La unidad mínima en recuperación de datos suele ser el archivo. Las técnicas forenses nos permiten ir más allá y restaurar datos potencialmente relevantes cuando ya se agotaron los tentativos de recuperación a partir del sistema de archivos y de las signaturas características de archivos.