Módulo 2: Técnicas de Borrado y Destrucción

# El Fin del Ciclo de Vida y la Remanencia

1.1 El Concepto de Remanencia de Datos

La Remanencia de Datos es la representación residual, física o magnética, de datos que permanecen en un medio de almacenamiento incluso después de haber intentado eliminarlos mediante comandos estándar del sistema operativo. En ciberseguridad, esto constituye una vulnerabilidad de alto impacto: el hecho de que un usuario no pueda ver un archivo en su explorador de carpetas no significa que los bits hayan desaparecido de la estructura física del plato del disco o de las celdas lógicas de memoria.

¿Por qué sucede a nivel de sistema de archivos? Cuando un sistema operativo ejecuta una instrucción de borrado, por razones de eficiencia, no sobreescribe los gigabytes de información. En su lugar, elimina el "puntero" en la Master File Table (MFT). El sistema marca los clústeres como "espacio no asignado", pero la cadena binaria original permanece intacta hasta que otro archivo la sobreescriba.

1.2 Riesgos Asociados a la Remanencia

Recuperación Forense

Herramientas de Data Carving como Autopsy o EnCase escanean el espacio no asignado (slack space) e ignoran el sistema de archivos para reconstruir bases de datos desde los sectores crudos del disco desechado.

Fuga de Información

El hardware no sanitizado expone propiedad intelectual, llaves criptográficas (Private Keys), credenciales y datos de clientes, convirtiendo un desecho electrónico en una brecha masiva.

Responsabilidad Legal

Normativas como GDPR (Derecho al Olvido) o la LFPDPPP exigen la destrucción irreversible. Fallar en demostrar que el dato fue destruido conlleva multas multimillonarias.

# Borrado Seguro (Lógico)

El borrado seguro (Sanitización) utiliza métodos de software avanzados para alterar la estructura de los datos, asegurando que su recuperación sea matemáticamente y físicamente imposible mediante técnicas forenses estándar.

2.1 Métodos de Sobreescritura (Para Medios Magnéticos - HDD)

En los discos duros mecánicos, para eliminar la histéresis magnética, se aplican algoritmos de sobreescritura sistemática:

Método Peter Gutmann (35 Pasadas): Diseñado en 1996, este algoritmo dicta 35 patrones de sobreescritura específicos basados en las tecnologías de codificación MFM y RLL. Sigue siendo el estándar académico dorado para la mitigación extrema de la persistencia magnética.

Estándar DoD 5220.22-M: Desarrollado por el Departamento de Defensa de EE.UU., prescribe 3 pasadas fundamentales: primero escribir ceros (0x00), luego escribir el complemento (unos, 0xFF), y finalmente escribir un carácter pseudoaleatorio. Incluye una fase de verificación final.

2.2 Sanitización en Discos de Estado Sólido (SSD) y NVMe

Aplicar algoritmos como Gutmann en un SSD es ineficiente y destructivo. Los SSD utilizan un controlador que emplea Wear Leveling (Nivelación de Desgaste), escribiendo los "ceros" en celdas nuevas y ocultando las originales. Por tanto, la sobreescritura tradicional no garantiza el borrado.

ATA Secure Erase

Es un comando de bajo nivel enviado directamente al firmware del disco duro. Ordena al controlador aplicar un pico de voltaje simultáneo a todos los transistores de puerta flotante del disco, liberando los electrones y devolviendo todas las celdas a su estado original de fábrica (vacías).

Crypto Erase (Borrado Criptográfico)

La mayoría de los discos modernos (SED) cifran los datos por defecto en hardware. El comando Crypto Erase destruye la Llave de Cifrado de Medios (MEK) almacenada en el chip TPM. Al perder la llave, el 100% de los datos del disco se convierten matemáticamente en ruido indescifrable.

# Destrucción Física y Estándares

Cuando el medio de almacenamiento llega al final de su vida útil, sufre daño físico que impide comandos lógicos, o la sensibilidad de los datos es catalogada como "Top Secret", la destrucción por software es insuficiente y se debe recurrir a la destrucción del hardware mismo.

3.1 Desmagnetización (Degaussing)

Este método es exclusivo para medios magnéticos (HDD, cintas LTO). El dispositivo se introduce en un equipo que genera un campo magnético masivo que desorganiza completamente los dominios magnéticos de los platos, dejándolo físicamente inutilizable. Nota crucial: El Degaussing no tiene efecto sobre memorias Flash, USBs o SSDs, ya que almacenan carga eléctrica.

3.2 Métodos de Destrucción Mecánica

A. Trituración (Shredding): Máquinas industriales con torque masivo reducen el dispositivo a partículas pequeñas. La partícula resultante debe ser menor a 2mm² para garantizar que ningún chip NAND sobreviva.

B. Pulverización / Perforación: Prensas hidráulicas atraviesan físicamente los platos del disco, deformando la estructura para evitar que puedan ser leídos en una sala limpia (Cleanroom).

C. Incineración: Reducción del material en hornos a temperaturas superiores a los 1,000 °C. Es el método más radical y definitivo.

3.3 Estándares Internacionales: NIST SP 800-88 Rev 1

La guía NIST SP 800-88 clasifica la higienización de medios en tres categorías:

Clear (Borrado simple): Comandos de software lógicos (sobreescritura de 1 pasada) para ataques básicos.
Purge (Purga técnica): Técnicas de estado sólido (Degaussing, ATA Erase, Crypto-Erase) que resisten técnicas forenses avanzadas.
Destroy (Destrucción física): Desintegración o trituración del soporte. El dispositivo nunca volverá a usarse.

/ Laboratorios Interactivos

Actividad 1: Motor de Sobreescritura (DoD 5220.22-M)

Comprende cómo un algoritmo de sobreescritura altera la remanencia. Genera datos aleatorios en el "disco" y luego ejecuta el algoritmo DoD de 3 pasadas. Observa cómo la probabilidad de recuperación desciende a cero.

Probabilidad de Recuperación Forense: 100%

Actividad 2: Desafío Crypto-Erase

Descubre la eficiencia del borrado criptográfico. Cifra un mensaje; mientras exista la llave, el dato es recuperable. Si destruyes la llave (Crypto-Shredding), el dato se pierde en milisegundos sin importar dónde esté físicamente.

Mensaje Confidencial a almacenar:

Estado del Disco (Cifrado):

(Disco Vacío)

Llave de Cifrado en chip TPM:

NULL

Actividad 3: Auditor de Hardware

Arrastra el dispositivo de hardware hacia el método de destrucción certificado correspondiente según el NIST. Cuidado: aplicar el método equivocado dejará remanencia.

1. Dispositivos (Arrastrar)

Disco Mecánico (HDD)

Unidad de Estado Sólido (SSD)

Cinta Magnética (LTO)

2. Métodos de Destrucción (Soltar aquí)

Degaussing (Desmagnetizador)

Crypto / ATA Erase (Sanitización Lógica)

Técnicas de Borrado y Destrucción de Datos