Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INTRODUCCIÓN
Desde que inventaron los ordenadores, la raza humana ha avanzado mucho en cuanto a la conservación
de los datos en objetos físicos, moviéndose hacia la posibilidad de tenerlo todo disponible lo antes
posible y a golpe de clic mediante los dispositivos informáticos, como portátiles y, aún más
recientemente, los dispositivos móviles. Este paso hacia el almacenamiento en línea tiene cosas a favor
y en contra; por ejemplo, en la mayoría de los casos, si los datos se perdieran y/o se destruyeran, es
posible recuperar la información, a diferencia de los datos conservados en los dispositivos físicos sin
posibilidad de reparación. En el siguiente informe se detallará el funcionamiento de tres herramientas
para recuperar información perdida en un dispositivo.
Tarea 3
Desarrollo
4. Elaborar un informe detallado sobre las acciones a realizar para la recuperación de datos ante
un desastre ocurrido en un disco duro, memoria USB o disco óptico. Se debe anexar el
funcionamiento mínimo de tres (3) de los siguientes aplicativos sugeridos: Recuva, TestDisk and
PhotoRec, Pandora Recovery, MiniTool Power Data Recovery, R-Linux, Glary Undelete,
Undelete 360 y HDD Regenerator.
Software de recuperación de datos: Las pérdidas de datos más comunes y cómo prevenirlas
Desde que inventaron los ordenadores, la raza humana ha avanzado mucho en cuanto a la conservación
de los datos en objetos físicos, moviéndose hacia la posibilidad de tenerlo todo disponible lo antes
posible y a golpe de clic mediante los dispositivos informáticos, como portátiles y, aún más
recientemente, los dispositivos móviles. Este paso hacia el almacenamiento en línea tiene cosas a favor
y en contra; por ejemplo, en la mayoría de los casos, si los datos se perdieran y/o se destruyeran, es
posible recuperar la información, a diferencia de los datos conservados en los dispositivos físicos sin
posibilidad de reparación.
Sin embargo, a diferencia de los datos físicos, hay muchas más amenazas a la integridad de la
información digital y es más fácil perder los datos en línea, de manera que conocer y ser conscientes de
estos riegos es la mejor manera para que la opción en línea sea la más segura de ambos métodos. En
este artículo discutiremos las causas más comunes y principales de la pérdida de datos y cómo
prevenirlas, así como revisar los principales pasos a seguir en caso de que suceda lo peor y sea
necesario recuperar los datos eliminados.
Tarea 3
Las causas más comunes de pérdida de datos:
Usuarios:
La causa principal de la pérdida de los datos son los propios usuarios. Un reciente estudio en más de
400 profesionales de la IT ha mostrado que casi una pérdida de datos de cada 4 ha sido a causa
directamente por la acción del hombre con los datos. Esta interacción puede ser la eliminación o la
sobreescritura de los archivos o programas, la pérdida de datos guardados externamente – en CD o
dispositivos USB – y daños accidentales como verter líquido encima de los ordenadores o dejar caer un
ordenador portátil o dañar un disco duro. Todo esto lleva a que los usuarios pierdan sus datos y a la
incapacidad de recuperar los datos de sus máquinas. Aunque poco se puede hacer contra daños
accidentales, formar a los usuarios sobre cómo asegurarse que la información no se elimina o
sobrescribe es la mejor manera de mantener segura la información vital.
Hardware dañado:
El 21%, o poco más de 1 de cada 5, de los accidentes relacionados con la pérdida de datos se deben a
un daño del hardware del ordenador de los usuarios. El disco duro es la pieza más frágil utilizada en
informática y es una de las piezas que se rompe con más regularidad, causando la pérdida de los datos
almacenados en su interior. En algunos casos, es posible recuperar los datos de un disco duro roto,
aunque no se garantiza que funcione y puede llegar a constar cientos, si no miles de euros debido a que
es necesario ponerse en contacto con un servicio profesional para la recuperación de los datos. El coste
para reemplazar el hardware viejo puede ser en sí mismo la causa de la pérdida de los datos para las
empresas debido a que sus máquinas podrían romperse debido a la edad antes de cambiarse.
En el tercer lugar del estudio, la corrupción de los datos se está convirtiendo en un gran problema para
las empresas, aunque también lo es para los usuarios, debido a que el ransomware, como Cryptolocker,
conlleva la corrupción de los datos y la imposibilidad de acceder a ellos sin pagar un rescate a la o las
personas que han difundido el virus. El 19& de las pérdidas de datos se causan por ransomware u otros
Tarea 3
virus. Esto está vinculado directamente a la sección de usuarios de este artículo porque la mejor manera
para que el ransomware se difunda es a través de correos electrónicos, por lo tanto, informar a los
usuarios sobre cómo evitarlos, y abrir sus archivos adjuntos maliciosos, es la mejor manera de
obstaculizar a aquellos que viven de estas acciones criminales.
Otro:
El 36% restante de los accidentes en los que se pierden los datos en una mezcla de robos, cortes
eléctricos y desastres ambientales – como incendios, explosiones, disturbios civiles, tornados y otras
tormentas – que dañan los centros de datos locales. Todos estos varían de grave si la pérdida de los
datos locales en las máquinas se debe al robo de las máquinas o a un corte eléctrico durante la
transferencia de los mismos, a vital si todos los datos se almacenaban en el lugar y se han destruido por
los daños de una tormenta.
Tarea 3
Arrancando el programa TestDisk
Para recuperar una partición perdida o reparar el sistema de archivos de: un disco duro, llave USB,
tarjeta inteligente, etc, necesita tener derechos suficientes para acceder al dispositivo físico.
Linux.png Bajo Unix/Linux/BSD, necesita ser Administrador (root) para ejecutar TestDisk (por
ejemplo: sudo testdisk-6.9/linux/testdisk_static)
Macosx.png Bajo MacOSX, Si usted no es Administrador (root), TestDisk (por ejemplo: ./testdisk-
6.9/darwin/TestDisk) se reiniciará después de la confirmación por su parte mediante "sudo".
Os2.png Bajo OS/2, TestDisk no controla unidades de disco físicas, sólo imágenes de disco. Perdón.
Para recuperar una partición desde una imagen de Media o reparar una imagen de archivo de sistema,
ejecuta
testdisk image.E01 para recuperar los archivos desde una imagen "Encase EWF"
Linux.png Macosx.png Para reparar, con TestDisk, un sistema de ficheros que no figura, ejecute
testdisk device, por ejemplo.
Tarea 3
testdisk /dev/mapper/truecrypt0 o testdisk /dev/loop0 para reparar los archivos NTFS o FAT32 del
sector de arranque de una partición TrueCrypt. El mismo método funciona con el sistema de archivos
cifrados con cryptsetup/dm-crypt/LUKS.
testdisk /dev/md0 para reparar archivos de sistema del inicio de un dispositivo RAID de Linux.
Recuperado de https://www.cgsecurity.org/wiki/File:Create_log.png
Seleccione Crear solamente si tiene una razón para añadir datos al registro o si se ejecuta TestDisk
desde un archivo media de solo lectura y debe crearse la imagen en otro lugar.
Tarea 3
Selección de disco
Todos los discos duros deben ser detectados y listados con su tamaño correcto por TestDisk:
Recuperado de https://www.cgsecurity.org/wiki/File:Select_disk_update.png
Use las teclas flecha arriba/abajo para seleccionar su disco duro con la/s partición/es perdida/s.
Macosx.png Si está disponible, use /dev/rdisk* en un dispositivo limpio en lugar de '/dev/disk* para
acelerar la transferencia de datos.
Tarea 3
Selección del tipo de la Tabla de particiones
Recuperado de https://www.cgsecurity.org/wiki/File:Partition_table_type.png
Seleccionar el tipo de Tabla de partición - normalmente el valor por defecto, del tipo de tabla de
particiones, es el correcto como auto detectá TestDisk. .
Tarea 3
Estado actual de la tabla de particiones
Recuperado de https://www.cgsecurity.org/wiki/File:Menus.png
Utilice el menú por defecto "Analyse" (Analizar), para comprobar la estructura de su partición actual y
buscar particiones perdidas.
Tarea 3
Ahora, se muestra la estructura de su partición actual. Examine las particiones desaparecidas y los
errores en la estructura actual de sus particiones.
Recuperado de https://www.cgsecurity.org/wiki/File:Analyse.png
La primera partición está repetida en la lista por que apunta a una partición dañada o con una tabla de
entrada de partición no válida.
Puntos de arranque NTFS no válidos en un sector de arranque NTFS defectuoso, por lo que esto es un
sistema de archivos dañado.
Sólo una partición lógica (etiqueta de partición 2) está disponible en la partición extendida. Una
partición lógica ha desaparecido.
Confirmar seleccionando Quick Search (Búsqueda Rápida) y presionar "Entrar" para continuar.
Tarea 3
Búsqueda Rápida de particiones
Confirme que está conforme y coincide (con su SO), el Sistema Operativo presentado, para la búsqueda
rápida de particiones creadas en la unidad seleccionada bajo dicho SO, para continuar.
quick search
Recuperado de https://www.cgsecurity.org/wiki/File:First_results.png
Seleccionar la partición (queda resaltada), y presione p para listar los archivos, (para volver a la
pantalla anterior, pulse q para Salir).
Todos los directorios y datos están correctamente listados. Presionar Entrar para continuar.
Tarea 3
¿Guardar la tabla de particiones o buscar más particiones?
Recuperado de https://www.cgsecurity.org/wiki/File:Search_menu.png
Cuando todas las particiones están disponibles y los datos correctamente listados, puede ir al menú
Escribir para guardar la estructura de la partición. El menú Extd Part le da la oportunidad de decidir si
la partición extendida usará todo el espacio disponible en disco o sólo el espacio (mínimo) requerido.
Ya que una partición, la primera, todavía falta, seleccionar el menú Deeper Search(Búsqueda
Profunda), (si no se realiza ya de forma automática), y Presionar Entrar para continuar.
Tarea 3
Una partición está todavía desaparecida: Búsqueda más profunda
Deeper Search puede también búscar en copias de seguridad del sector de inicio FAT32, copias de
seguridad de Superbloque de inicio NTFS, copias de seguridad de superbloque ext2/ext3 para detectar
más particiones, escaneará cada cilindro
La primera partición '"Partición 1"' fue encontrada usando la copia de seguridad del sector de arranque.
¡En la última línea de su pantalla, puede leer el mensaje “NTFS encontrado usando la copia de
seguridad del sector!." y el tamaño de su partición. La "partición 2" aparece dos veces con diferentes
tamaños.
Ambas particiones se enumeran con el estado D de borradas, porque se superponen una a la otra.
Recuperado de https://www.cgsecurity.org/wiki/File:Results_deeper_search.png
Tarea 3
Seleccione la primera partición Partición2 y presione p para listar sus datos.
Deje esta partición Partición2, con un sistema de archivos dañado, marcada como D(borrada).
Recuperado de https://www.cgsecurity.org/wiki/File:List_files.png
Tarea 3
¡Funciona, ha encontrado la partición correcta!
Utilice las flechas izquierda/derecha para desplazarse entre sus carpetas y ver sus archivos de más
verificaciones.
Nota: La lista de directorios FAT está limitada a 10 grupos (clusters) - algunos archivos pueden no
aparecer, pero esto no afecta a la recuperación.
El estado de disponibilidad para las particiones Primarias es: *(Iniciable), L(Lógica) y D(Suprimida).
Usando las teclas: Flecha izquierda/derecha, cambie el estado de la partición seleccionada a L(Lógica)
Tarea 3
Recuperación de la tabla de particiones
Nota: La partición extendida se establece automáticamente. TestDisk reconoce que está utilizando una
estructura diferente de partición.
Recuperado de https://www.cgsecurity.org/wiki/File:Menu_write.png
Tarea 3
Recuperar el Sector de Arranque NTFS
El Sector de Arranque de la primera partición llamado Partición 1 está aún dañado. Es hora de
arreglarlo. El estado del Sector de Arranque NTFS es malo y la copia de seguridad del Sector de
Arranque es válida. Los sectores de arranque no son idénticos.
Recuperado de https://www.cgsecurity.org/mw/images/Backup_bs.png
Para sobrescribir el Sector de Arranque con la Copia de Seguridad del sector de arranque, seleccione
Backup BS, y validar presionando Entrar, usar y para confirmar y después OK.
Más información acerca de la reparación de su Sector de Arranque en TestDisk elementos del menú. El
siguiente mensaje expuesto:
Tarea 3
Recuperado de https://www.cgsecurity.org/mw/images/After_backup_bs.png
Tarea 3
Recuperado de https://www.cgsecurity.org/mw/images/Reboot.png
Si no funciona o para otro sistema de archivos, utilice PhotoRec_ES, una marca basada en la utilidad
de recuperación de archivos
Tarea 3
Ejecutar el ejecutable de PhotoRec
Para recuperar archivos de un disco rígido, llave USB, Smart Card, cdrom, dvd..., se necesitan
permisos suficientes para acceder al dispositivo físico.
Os2.png en OS/2, PhotoRec no maneja discos físicos, solamente archivos de imagen, disculpas.
Tarea 3
Los usuarios forenses pueden usar el parámetro /log para crear un archivo de log que se llame
photorec.log; puede registrar la ubicación de los archivos recuperados por PhotoRec.
Recuperado de https://www.cgsecurity.org/wiki/PhotoRec_Paso_A_Paso
Los dispositivos disponibles son listados. Usar las flechas de arriba/abajo para seleccionar el disco que
contiene los archivos perdidos. Presionar Enter para continuar.
Macosx.png Si está disponible, usar el dispositivo RAW /dev/rdisk* en vez de /dev/disk* para una
transferencia de datos más rápida.
Tarea 3
Selección del tipo de tabla de particionamiento
Recuperado de https://www.cgsecurity.org/wiki/PhotoRec_Paso_A_Paso
Seleccionar el tipo de tabla de particionamiento, generalmente el valor por defecto es el correcto ya que
PhotoRec auto-detecta el tipo de tabla de partición.
Tarea 3
Selección de partición Origen
Recuperado de https://www.cgsecurity.org/wiki/PhotoRec_Paso_A_Paso
Seleccionar
Search luego de elegir la partición que contiene los archivos perdidos para comenzar con la
recuperación,
Options para modificar las opciones, File Opt para modificar la lista de archivos recuperados por
PhotoRec.
Tarea 3
Opciones de PhotoRec
Recuperado de https://www.cgsecurity.org/wiki/PhotoRec_Paso_A_Paso
Paranoid Por defecto, los archivos recuperados son verificados y los inválidos, rechazados.
Habilitar bruteforce si se quieren recuperar más archivos JPEG fragmentados, teniendo en cuenta que
esta opción tiene un alto impacto en el rendimiento del CPU.
Allow partial last cylinder modifica como es determinada la geometría del disco, solamente discos no
particionados deberían verse afectados.
La opción expert mode permite al usuario forzar el tamaño de bloques y el desplazamiento (offset).
Tarea 3
Habilitar Keep corrupted files para conservar los archivos, incluso cuando son inválidos para permitir
el uso de otras herramientas sobre estos datos.
Habilitar Low memory si su sistema no tiene suficiente memoria y se cuelga mientras se realiza el
proceso de recuperación. Puede ser requerido para sistemas de archivos grandes y muy fragmentados.
No use esta opción a no ser que sea absolutamente necesario.
Recuperado de https://www.cgsecurity.org/wiki/PhotoRec_Paso_A_Paso
Tarea 3
Habilitar o deshabilitar la recuperación de ciertos tipos de archivos, ej.
* tif Tag Image File Format and some raw file formats (pef/nef/dcr/sr2/cr2
Tipo de Filesystem
Recuperado de https://www.cgsecurity.org/wiki/PhotoRec_Paso_A_Paso
Una vez que la partición ha sido seleccionada y validada con Search, PhotoRec necesita saber cómo los
bloques de datos son distribuídos. Al menos que se use ext2/ext3, seleccionar Other.
Tarea 3
Surcar la partición ó el espacio no atribuido solamente
Recuperado de https://www.cgsecurity.org/wiki/PhotoRec_Paso_A_Paso
PhotoRec puede buscar archivos de toda la partición (útil si la partición esta severamente dañada) ó
solamente del espacio no atribuído (unallocated) (Disponible para ext2/ext3, FAT12/FAT6/FAT32 y
NTFS). Con esta opción solamente los archivos eliminados son recuperados.
Tarea 3
Seleccionar donde se deben escribir los archivos recuperados
Recuperado de https://www.cgsecurity.org/wiki/PhotoRec_Paso_A_Paso
Tarea 3
Recuperación en progreso
Recuperado de https://www.cgsecurity.org/wiki/File:PhotoRec_running.png
La cantidad de archivos recuperados es actualizada en tiempo real.
Durante la primera pasada, PhotoRec busca los primeros 10 archivos para determinar el tamaño de los
bloques.
Durante la siguiente pasada, los archivos son recuperados incluyendo algunos archivos fragmentados.
Los archivos recuperados son escritos en los sub directorios recup_dir.1, recup_dir.2... . Es posible
acceder los archivos incluso si la recuperación no terminó.
Tarea 3
La recuperación está completa
Recuperado de https://www.cgsecurity.org/wiki/File:PhotoRec_end.png
After Using PhotoRec: Algunas ideas para ordenar los archivos recuperados o arreglar los
dañados.Win.png Puede que haya deshabilitado su protección en tiempo real del antivirus mientras se
llevaba a cabo la recuperación para acelerar el proceso, pero es recomendable escanear los archivos
recuperados antes de abrirlos, PhotoRec puede haber recuperado un archivo infectado.
Tarea 3
Restaura tus datos perdidos usando Disk Drill
Recuperado De https://www.pandorarecovery.com/images/upload/landings/recover-deleted-
files/step1RecoverDeletedFiles.jpg
Tarea 3
2. Seleccione el tipo de unidad y recuperación
Ubique la unidad desde la que desea restaurar los datos eliminados en la lista de unidades
disponibles. Para comenzar a escanear sin ninguna opción avanzada, haga clic en "Recuperar",
Disk Drill comenzará a buscar datos eliminados de su unidad con el mejor método de escaneo
disponible. Puede hacer clic en la "Flecha" al lado de la unidad para consultar manualmente el
dispositivo con Quick Scan (más rápido) o Deep Scan (exhaustivo).
Recuperado de https://www.pandorarecovery.com/images/upload/landings/recover-deleted-
files/step2RecoverDeletedFiles.png
Tarea 3
3. Recupere sus archivos borrados
Continúe recuperando archivos borrados. Todos los datos disponibles para volver a publicarse
aparecerán en "Archivos encontrados" en el panel de recuperación de archivos. Puede hacer clic
con el botón derecho en los archivos individualmente para restaurarlos o puede marcar los que
desee y usar el botón Recuperar en la parte superior de la pantalla. También deberá seleccionar
el destino donde almacenará los archivos recuperados en la parte superior de la pantalla.
Recuperado de https://www.pandorarecovery.com/images/upload/landings/recover-deleted-
files/step3RecoverDeletedFiles.jpg
Tarea 3
CONCLUSIONES
Basados en algoritmos muy rápidos y eficientes, los programas buscan y recuperará archivos que hayan
sido eliminados como resultado de un accidente, un virus o fallas de software y computadora.
pueden recuperar archivos borrados de los discos duros de las computadoras, unidades USB / USB y
tarjetas de memoria, las tarjetas de memoria utilizadas en cámaras, teléfonos inteligentes y otros
dispositivos, pen drives, y más. los programas admiten la recuperación de archivos y la recuperación de
carpetas.
Tarea 3
BIBLIOGRÁFIA
Data Recovery Software and how to prevent data loss. (2016, 5 mayo). Recuperado 18 noviembre,
2019, de https://www.iperiusbackup.net/en/data-recovery-software-most-common-data-loss-causes-
and-how-to-prevent-them/
MiniTool Data Recovery Software for Windows & Mac. (s.f.). Recuperado 18 noviembre, 2019, de
https://www.minitool.com/data-recovery-software/?irgwc=1
Glary Undelete - Powerful and Free Data Recovery Tool to Recover Files | Glarysoft. (s.f.).
Recuperado 18 noviembre, 2019, de https://www.glarysoft.com/glary-undelete/?__c=1
Recover Deleted Files for FREE. Undelete. Recover Files. File Recovery.. (s.f.). Recuperado 18
noviembre, 2019, de http://www.undelete360.com/
Tarea 3