Recuperación de Datos Sobreescritos: ¿Es Posible?

La pregunta llega a diario a los laboratorios de recuperación: "¿He formateado el disco y copiado cosas encima, hay algo que hacer?" La respuesta honesta depende de varios factores críticos: el tipo de disco (HDD vs SSD), si la sobreescritura fue parcial o total, y si existen alternativas como copias en la nube, instantáneas del sistema o versiones anteriores de archivos.

El mito del método Gutmann y los discos modernos

En 1996, Peter Gutmann publicó un paper titulado "Secure Deletion of Data from Magnetic and Solid-State Memory" que propuso un método de 35 pasadas para borrar datos de forma segura. Este trabajo —riguroso para la tecnología de la época— se convirtió en el fundamento de una leyenda urbana que persiste hasta hoy: que los datos sobreescritos pueden recuperarse analizando la señal residual magnética con microscopios de fuerza magnética (MFM).

El propio Gutmann añadió en 2001 una coda a su paper original en la que aclaraba que el método de 35 pasadas era innecesario para la mayoría de discos modernos y que una única sobreescritura aleatoria era suficiente para discos fabricados después de mediados de los años 90.

¿Por qué? Los discos duros modernos utilizan densidades de grabación muy superiores a los de 1996. Las pistas son tan estrechas y las transiciones magnéticas tan pequeñas que la "señal residual" de datos anteriores es prácticamente indistinguible del ruido térmico. Ningún laboratorio del mundo ha demostrado pública y reproduciblemente la recuperación de datos sobreescritos una sola vez en discos fabricados después del año 2000.

Lo que dice el NIST: guía 800-88

El Instituto Nacional de Estándares y Tecnología de EE.UU. (NIST) publicó la guía NIST SP 800-88 "Guidelines for Media Sanitization", que es el estándar de referencia para el borrado seguro de datos en entornos gubernamentales y corporativos.

Las conclusiones clave del NIST 800-88 para discos duros modernos son:

• Una única pasada de sobreescritura es suficiente para hacer los datos irrecuperables con cualquier tecnología actual o previsiblemente futura.
• Para discos ATA (IDE/SATA), el comando Secure Erase del propio firmware del disco es el método preferido, ya que sobreescribe también los sectores reasignados que el sistema operativo no puede acceder.
• Para SSDs, el borrado seguro es más complejo debido al wear leveling y la compresión interna; el comando ATA Secure Erase Enhanced o el equivalente NVMe es el método correcto.
• Las múltiples pasadas (3, 7 o 35) no añaden seguridad práctica pero sí consumen tiempo y generan desgaste innecesario.

Cuándo los datos sobreescritos sí son recuperables

Aunque una sobreescritura completa es definitiva, hay escenarios en los que los datos "sobreescritos" pueden recuperarse total o parcialmente:

Sobreescritura parcial

Cuando un archivo grande es parcialmente sobreescrito, las secciones no sobreescritas pueden recuperarse. Esto ocurre con frecuencia cuando:

• Se formatea el disco y se copian algunos archivos nuevos: el espacio ocupado por los nuevos archivos destruye datos de los archivos viejos que estaban en esas posiciones, pero el resto puede estar intacto.
• Un archivo de vídeo o base de datos muy grande solo tiene sus primeros sectores sobreescritos, siendo recuperable el resto.
• Un formateo rápido (quick format) solo sobreescribe las estructuras de directorio y FAT/MFT, dejando intacto el área de datos.

Sectores reasignados (reallocated sectors)

Los discos duros reasignan automáticamente sectores defectuosos a una zona de repuesto interna. Si un sector fue reasignado antes de que el sistema operativo lo sobreescribiera, la copia original en el sector defectuoso puede persistir. Este es un vector de recuperación que herramientas forenses avanzadas (como PC-3000 con acceso a nivel de firmware) pueden explotar.

Instantáneas y copias en la nube

Muchos usuarios no son conscientes de las copias que existían antes de la sobreescritura:

• Shadow Copies de Windows (Versiones anteriores): Windows crea automáticamente instantáneas del volumen si el Historial de versiones está activado. Si el disco no fue formateado sino que los archivos fueron sobreescritos en su lugar, las versiones anteriores pueden estar disponibles.
• OneDrive, Google Drive, Dropbox: Estos servicios mantienen el historial de versiones de los archivos. Dependiendo del plan, el historial puede extenderse 30, 90 o 180 días hacia atrás.
• iCloud: Mantiene versiones anteriores de documentos durante 30 días en la papelera y versiones dentro de las propias apps de Apple (Pages, Numbers, etc.).
• Time Machine (macOS): Si el disco de backup no fue también sobreescrito, las versiones anteriores al sobreescritura pueden existir en el backup.

Sistemas de archivos con journaling

Los sistemas de archivos modernos (NTFS, ext4, APFS) mantienen un journal de transacciones. En algunos casos, el journal puede contener fragmentos de datos de operaciones anteriores a la sobreescritura. Esto es más probable para cambios recientes y no es una fuente fiable de recuperación, pero un análisis forense exhaustivo puede encontrar fragmentos útiles.

El caso especial de los SSD y la sobreescritura

Los SSD complican significativamente el análisis de sobreescritura por varias razones:

• Wear leveling: El controlador del SSD distribuye las escrituras por toda la memoria NAND para prolongar su vida útil. Cuando el sistema operativo sobreescribe un sector lógico, el controlador puede escribir los nuevos datos en celdas físicamente distintas, dejando los datos originales en las celdas viejas hasta que el proceso de recolección de basura (garbage collection) las borre.
• Garbage collection y TRIM: El comando TRIM, soportado por todos los SSD modernos y activado por defecto en Windows 7+, macOS y Linux, indica al SSD qué bloques contienen datos eliminados para que pueda borrarlos preventivamente. En SSDs con TRIM activo, los datos borrados pueden desaparecer físicamente en segundos o minutos.
• Compresión interna: Algunos controladores SSD (SandForce, por ejemplo) comprimen los datos antes de escribirlos. Esto hace que la relación entre dirección lógica y física sea aún más compleja.

La conclusión práctica: en un SSD con TRIM activo, los datos borrados son irrecuperables mucho más rápido que en un HDD. Una sobreescritura en SSD es definitiva casi instantáneamente.

Alternativas a la recuperación directa

Antes de concluir que los datos sobreescritos son irrecuperables, siempre conviene explorar estas alternativas:

1. Papelera de reciclaje y versiones anteriores: Aunque parezca obvio, muchos usuarios no han comprobado exhaustivamente la papelera o las versiones anteriores de archivos en su sistema.
2. Copias en servidores o servidores de correo: Si los archivos perdidos fueron enviados por email, la versión adjunta puede estar en el servidor de correo.
3. Copias en otros dispositivos: ¿Se abrió el archivo en otro ordenador, tablet o móvil? Puede haber una copia cacheada.
4. Servicios de backup empresarial: Veeam, Acronis, Barracuda u otros sistemas de backup corporativo pueden tener una instantánea previa a la sobreescritura.
5. Metadatos en documentos relacionados: Algunos documentos de Office incluyen versiones anteriores o referencias a archivos vinculados que pueden contener datos parciales.

Cuándo es definitivamente irrecuperable

Los datos sobreescritos son prácticamente irrecuperables cuando:

• El disco es un SSD con TRIM activo y han pasado más de unos minutos desde la sobreescritura.
• Se ha realizado un borrado seguro con ATA Secure Erase o herramientas equivalentes.
• Se han realizado múltiples pasadas de sobreescritura sobre todo el disco.
• El disco ha sido sometido a destrucción física (desmagnetización o triturado).

En estos escenarios, ningún laboratorio del mundo, independientemente de su equipamiento, puede recuperar los datos. Cualquier empresa que afirme lo contrario está mintiendo.

Recomendaciones si sus datos han sido sobreescritos

1. Deje de usar el disco inmediatamente. Cada nueva escritura puede destruir datos recuperables.
2. Consulte con un profesional antes de intentar nada. Las herramientas de recuperación sin licencia o mal usadas pueden agravar la situación.
3. Proporcione toda la información relevante: qué pasó exactamente, qué se sobreescribió, cuándo, qué sistema operativo, si hay backups parciales.
4. Verifique fuentes alternativas: nube, email, otros dispositivos, backups olvidados.

Te puede interesar

• › Recuperar datos de MacBook con SSD dañado o fallido [2026]
• › Disco duro con fallo de firmware: recuperar datos [2026]
• › Time Machine falló: recuperar datos cuando el backup no funciona
• › Pérdida de datos por overclocking: cuando el hardware falla por exceso de rendimiento