Diferencia entre recuperación de datos e informática forense
En ambos casos se trata de recabar datos no accesibles de modo convencional o evidente. Por ejemplo a partir de un dispositivo de almacenamiento de datos con problemas de funcionamiento o bien de información no hallable utilizando los elementos administrativos del sistema de archivos disponibles.
En el caso de la recuperación de información el objetivo práctico es devolverle al usuario sus archivos para que los pueda seguir utilizando, para que pueda continuar sus tareas, por ejemplo sus documentos, planillas de cálculo, imágenes. No importa en última instancia cómo se perdieron los datos ni cómo se recuperarán. El objetivo principal es devolver los archivos al usuario.
En la informática forense la situación es más compleja porque entra en juego la posibilidad de que el mismo usuario de los datos o un tercero hayan efectuado maniobras dolosas de borrado, ocultamiento, tergiversación de los datos. El objetivo principal no es llegar a obtener archivos útiles para que un usuario continúe sus actividades con los mismos. A menudo ese fin no puede alcanzarse, sin embargo la técnica forense apunta a conseguir evidencias o fragmentos de datos que sirvan como prueba en una causa judicial o bien para una negociación extrajudicial. Al contrario de en el recupero de datos, aquí sí es crucial determinar cómo se perdieron los datos y las técnicas empleadas para la recuperación son más restrictivas. Desde el primer momento se debe conservar una cadena de custodia y generar códigos matemáticos de control que permitan a un tercero (generalmente otro perito asignado por el juez o las partes) reproducir nuestros hallazgos para constatar que estaban verdaderamente en el soporte de datos y no que fueron agregados (lo que coloquialmente se llama “plantar una prueba”). Una evidencia forense puede ser un archivo completo pero también datos fragmentarios. El objetivo puede ser demostrar un hecho, o constatar la ausencia de evidencia, no devolverle archivos utilizables al cliente.
El servicio de informática forense es una consultoría no ligada a resultados. Es decir, para el cliente, al menos en teoría, tendría que ser tan útil obtener la evidencia que precisa para su estrategia litigiosa como tener la certeza de que la misma no existe y así poder replantear los pasos a seguir.
Podemos imaginar el dominio de la informática forense y de la recuperación de datos como un diagrama de Venn compuesto por dos conjuntos con una intersección. La intersección es la zona más interesante: casos de informática forense que requieren acudir a las técnicas de la recuperación de datos y viceversa. Un ejemplo del primer caso puede ser información adulterada almacenada en un soporte con problemas de funcionamiento. Situación muy común cuando se intentó destruir los datos por medios físicos: ladrones golpeando una DVR -grabadora digital de video usada para la grabación de videos de seguridad. El segundo caso se da cuando en un trabajo de recuperación de datos hay un nivel de corrupción tal que debemos recurrir a técnicas forenses para conseguir recuperaciones aunque sea de parte de archivos. La unidad mínima en recuperación de datos suele ser el archivo. Las técnicas forenses nos permiten ir más allá y restaurar datos potencialmente relevantes cuando ya se agotaron los tentativos de recuperación a partir del sistema de archivos y de las signaturas características de archivos.
¿Se puede salvar toda la información de un disco dañado?
Es importante especificar qué información es prioritaria, de modo que si no se puede lograr una recuperación completa, nos concentremos sobre lo más importante. O, en caso de que se recupere el disco en forma completa, realicemos un control de calidad más estricto sobre los archivos solicitados.
Los límites de la recuperación de datos: por ejemplo, si un virus sobrescribió una FAT (tabla de ubicación de archivos) o una tabla de partición, nosotros tenemos la posibilidad de rescribir esta información para volver el disco a su estado original y así acceder a los archivos solicitados (ver nuestros artículos sobre sistema de archivos FAT al respecto).
En cambio, si se sobrescriben los contenidos de los archivos del usuario por un virus o un problema de hardware, en ese caso nadie puede rescribir esa información a partir de la nada. En CompExcellhemos desarrollado técnicas para recuperar información, incluso de medios magnéticos dañados, rayados o aterrizados parcialmente. Se recupera la información de las zonas no dañadas. No se puede recuperar información de zonas muy dañadas o información que fue sobrescrita. También hay limitaciones en las recuperaciones cuando faltan (o son inconsistentes) determinados elementos administrativos del sistema de archivos de cada sistema operativo en particular.
¿Dónde pondrán mi información una vez rescatada?
En algunos casos especiales, podemos entregar al cliente una imagen bit a bit del disco dañado volcada sobre otro disco bueno de capacidad igual o superior. Eso puede ser útil para ahorrar tiempo y costos en reinstalación de redes, seguridad, usuarios, etc. en redes. Esa solución también puede ahorrarnos el trabajo de interpretar un sistema de archivos propietario (y desconocido); por ejemplo, de máquinas de control industrial, simuladores de vuelo, etc.
Los datos también se pueden descargar de nuestro servidor FTP seguro. Empleamos encriptación punto a punto para preservar la confidencialidad de los datos de cada cliente.
¿El disco rígido se me devuelve operativo?
En caso de que el disco haya perdido información pero funcione, el cliente o su servicio técnico deben luego formatear el disco y probarlo. En CompExcellno realizamos estas tareas porque instruimos al cliente para que no efectúe alteraciones a un medio hasta que no se haya concluido el proceso de recuperación de información del modo más completo posible. Este proceso concluye cuando el usuario normalizó sus tareas con su computadora, cargada con los datos necesarios para su actividad.
¿Cuánto cuesta contratar un servicio de recuperación de información?
No es un buen criterio fijar una tarifa por gigabyte o por archivo, dado que, a veces, un par de correcciones lógicas o físicas pueden permitir acceder a muchos miles de archivos y, por el contrario, en ocasiones hay que dedicar largas horas para rearmar un par de archivos.
Estadísticamente un servicio de recuperación de información cuesta entre doscientos y seiscientos dólares aunque esto está subordinado a un estudio particular de cada caso.
¿Qué ocurre si luego de contratar una recuperación de información pierdo nuevamente la información antes de tenerla bien resguardada con un backup?
¿Mi empresa necesita recuperar información perdida muy confidencial o muy delicada. ¿Qué seguridad me da este servicio?
Por ejemplo, un negocio no se preocupará por sus programas sino por sus archivos de datos, en tanto que para un programador la situación será totalmente inversa, le interesarán los programas que hizo para sus clientes y no los archivos de datos. Se puede decir que para nosotros es todo “ceros y unos”; cada cliente en particular es el que otorga un valor a esos datos como para contratar este servicio. Desarrollamos con mayor amplitud el problema de la confidencialidad en nuestra zona de Notas de Divulgación.
Estoy absolutamente seguro de que el problema de mi disco no es electrónico. ¿Pueden ustedes intervenir sobre los medios magnéticos, motores y/o cabezales para recuperar la información?
¿Ofrecen servicio de reparación de discos rígidos, unidades de cintas, unidades de ZIPs, grabadoras de CDs, etc.?
Contáctenos para instrucciones adicionales si perdió información de un RAID o unidad de cinta