La persistencia de datos se refiere a los datos residuales que quedan de un archivo
luego de que se han hecho intentos para eliminarlo o borrarlo. Estos residuos pueden ser causados por el proceso de eliminación llevado por el sistema operativo que deja los datos intactos, por el formateo de medios de almacenamiento que no elimina los datos previamente existentes en el medios, o debido a las características físicas del medio de almacenamiento que permiten recuperar datos previamente escritos.
La persistencia de datos puede permitir la recuperación de la información y la puede
dejar expuesta si no se hace un correcto manejo del dispositivo y se libera en un entorno no controlado, por ejemplo si se pierde, se arroja a la basura o se deja en manos de terceros.
Muchos sistemas operativos, gestores de archivos y otro software proporcionan
métodos de borrado en los que un archivo no se elimina inmediatamente cuando el usuario solicita esa acción. En su lugar, el archivo se mueve a un área de almacenamiento temporal, denominado usualmente “Papelera de reciclaje”, lo que facilita al usuario deshacer un error.
Del mismo modo, muchos productos de software crean automáticamente copias de
seguridad de los archivos que se están editando, para permitir al usuario restaurar la versión original o recuperarse de un posible fallo, característica denominada usualmente “Autosave” (“Autoguardado”).
Incluso cuando no se proporciona un recurso de retención temporal de archivos
borrados o cuando el usuario no lo utiliza, los sistemas operativos no eliminan realmente el contenido de un archivo cuando se elimina, a menos que se utilicen conscientemente herramientas de borrado seguro. En su lugar, simplemente eliminan la entrada del archivo del directorio del sistema de archivos porque es más rápido y requiere menos trabajo, y el contenido del archivo permanece en el medio de almacenamiento hasta que el sistema operativo reutilice el espacio para guardar nuevos datos. En algunos sistemas, por diversos motivos también se dejan atrás suficientes metadatos del sistema de archivos como para permitir una fácil recuperación de archivos mediante utilidades de software. Incluso cuando la recuperación es imposible, los datos, hasta que se han sobrescrito, pueden ser leídos por un software que lea los sectores del disco directamente. La informática forense emplea a menudo tal software.
Importancia de los datos persistentes
Sobrescritura: Un método comúnmente utilizado para contrarrestar la
persistencia de datos es sobrescribir los medios de almacenamiento con nuevos datos. Debido a que este método puede implementarse a menudo exclusivamente en base a software, y puede ser capaz de seleccionar selectivamente sólo una parte del medio, es una opción popular y de bajo costo para algunas aplicaciones. La sobrescritura es generalmente un método aceptable de borrar, siempre y cuando el soporte sea escribible y no esté dañado. La técnica de sobrescritura más simple escribe los mismos datos en todas partes, a menudo sólo un patrón de ceros o unos. Como mínimo, esto evitará que los datos sean recuperados simplemente leyendo de nuevo los medios usando funciones estándar del sistema. Para contrarrestar técnicas de recuperación de datos más avanzadas, se han desarrollado patrones de sobrescrita específicos aleatorios o con múltiples pasadas, destinados a erradicar cualquier traza de firmas.
Desmagnetización: es la eliminación o reducción del campo magnético de un
disco o unidad, utilizando un dispositivo denominado desmagnetizador, diseñado para el medio que se va a borrar. Aplicada a medios magnéticos, la desmagnetización puede purgar todo un medio de forma rápida y eficaz. La desmagnetización a menudo hace que los discos duros no funcionen, ya que borra el formato de bajo nivel que sólo se realiza en la fábrica durante la fabricación. En algunos casos, es posible devolver la unidad a un estado funcional haciéndola reparar en el fabricante. Sin embargo, algunos desmagnetizadores utilizan un pulso magnético tan fuerte que incluso el motor que gira los platos puede ser destruido en el proceso de desmagnetización, y el arreglo puede no ser rentable
Encriptación: El cifrado de datos al almacenarlos puede mitigar las
preocupaciones sobre la persistencia de datos. Si la clave de cifrado es fuerte y está cuidadosamente controlada, el cifrado puede conseguir de manera efectiva que cualquier información almacenada en el medio sea irrecuperable. Si la clave está almacenada en el medio, puede resultar más fácil o más rápido sobrescribir sólo la clave, frente a sobrescribir todo el disco. El cifrado se puede hacer archivo por archivo, o en el disco entero.
Destrucción física: La destrucción física de los medios de almacenamiento es la
forma más segura de contrarrestar la persistencia de datos. Sin embargo, el proceso es generalmente largo, engorroso y puede requerir métodos extremadamente complejos, ya que incluso un fragmento pequeño del medio puede contener grandes cantidades de datos. Las técnicas específicas de destrucción incluyen deshacer físicamente el medio (por ejemplo, por trituración), alterar químicamente el medio (por ejemplo, mediante incineración o exposición a productos químicos cáusticos o corrosivos) o exponer el medio a campos electromagnéticos que exceden en gran medida las especificaciones (por ejemplo, corriente eléctrica de alto voltaje o radiación de microondas de alta amplitud), entre otros.
Característica de los datos persistentes
Compensación (Clearing): Consiste en remover del dispositivo de
almacenamiento los datos sensibles, de una forma que resulte imposible recuperarlos con las herramientas ofrecidas por el sistema operativo o con un software de recuperación de datos. Sin embargo los datos son recuperables con técnicas realizadas en laboratorios especializados.
Purga (Purging): También conocida como higienización (Sanitizing), la purga
consiste en remover los datos sensibles da tal forma que no sean recuperables bajo ninguna técnica conocida. La purga se hace de una forma proporcional a la importancia de los datos, normalmente este proceso se hace antes de desechar a la basura un dispositivo de almacenamiento o cuando se traslada a otra computadora. Para lograr la purga se usan técnicas como la sobrescritura, que consiste en sobrescribir varias veces el espacio del que se quieren remover los datos persistentes.
Destrucción (Destruction): Consiste en la destrucción física del medio de
almacenamiento, utilizando técnicas de destrucción como la trituración, la incineración y la aplicación de cargas eléctricas por encima de las que resiste el medio. Este es el método más drástico y el más seguro si se hace correctamente, ya que de lo contrario puede dejar datos recuperables mediante métodos de laboratorio