Saltar al contenido

Borrado seguro de discos SSD y HDD ¿cuántas pasadas son necesarias?

Borrado seguro de discos - cuántas pasadas son necesarias

Esta información te interesará, sin importar si eres un particular que busca eliminar datos de un disco de forma definitiva o si trabajas en el departamento de informática o seguridad de una empresa, donde hay que cumplir una serie de regulaciones sobre datos personales y soportes electrónicos.

Si hay algo que tendemos a olvidar cuando nos deshacemos de un medio de almacenamiento mecánico o o digital, es que debemos sanitizar o purgar dicho medio, para que terceras partes no puedan realizar dumpster diving. Es decir, rebuscar en nuestra basura.

Los discos duros (mecánicos) almacenan la información en platos cargados magnéticamente que, incluso tras años de reposo, seguirán manteniendo intacta la información.

Por supuesto, es importante tener en cuenta este tipo de recomendaciones si tratamos con información confidencial o privada y debemos respetar una serie de directivas como RGPD y normativas regulatorias como PCI, HIPAA, etc. Te recomiendo leer el siguiente artículo introductorio de INCIBE.

Procesos de borrado seguro en HDD

Los procesos de eliminación definitiva de datos en discos llevan existiendo más de 20 años a día de hoy, siendo regulados por organismos tanto en EEUU como en otros países. Una de las más conocidas es NIST 800-88 que contempla dos procedimientos diferentes para alcanzar el objetivo:

  1. Borrado: impide recuperación de los datos mediante software
  2. Purgado: impide recuperación de los datos en laboratorio

Los procesos de borrado seguro implican normalmente sobreescribir el HDD. Los procesos de purgado con requerimientos de seguridad más elevados pueden variar pero normalmente implican técnicas de sobreescritura, combinadas con ejecución de comandos internos del disco (borraod basado en firmware).

El proceso de degaussing o desmagnetización de un disco, así como la destrucción física de medios, a pesar de acabar con la usabilidad de los mismos, pero podrían quedar fragmentos legibles de información.

Tanto un método como otro forman parte de un proceso que se conoce como sanitizar un disco. Huelga decir que un proceso de sanitización que se precie debe contar con fases adicionales: verificación y certificación (opcional)

Evolución de los procedimientos de sanitización de discos

Comienzos de los 90

El método de las 3 pasadas fue publicado en los primeros manuales operativos para gestión de la información y sanitización de discos, siendo el primero de ellos el U.S. Department of Defense (DoD) National Industrial Security Program Operating Manual.

Este método establecía que los discos rígidos y magnéticos debían ser purgados escribiendo “un carácter, su complementario y un carácter aleatorio”. Hablamos del conocido método DoD 5220-M, que llega hasta nuestros días.

Comienzos de los 90

El método de las 3 pasadas fue publicado en los primeros manuales operativos para gestión de la información y sanitización de discos, siendo el primero de ellos el U.S. Department of Defense (DoD) National Industrial Security Program Operating Manual.

Este método establecía que los discos rígidos y magnéticos debían ser purgados escribiendo “un carácter, su complementario y un carácter aleatorio”. Hablamos del conocido método DoD 5220-M, que llega hasta nuestros días.

Mediados/finales de los 90

En 1996 el científico Peter Gutmann publicó un estudio que dejó preocupada a la comunidad. Dicho método obtuvo su propio nombre: Gutmann.

Ciertas pruebas demostraban que en laboratorio podría conseguirse, con ayuda de herramientas sofisticadas como microscopios de fuerza magnética, acceder a los datos después de sobreescribirlos con los estándares de la época.

Conviene matizar que el método Gutmann, que consistía en 35 pasadas de borrado de diferente clase, solo era necesaria para hardware algo anticuado que utilizaba técnicas de codificación de linea MFM/RLL.

Una vez llegaron los discos basados en tecnología PRML (finales de la década de 1990) el método de borrado Gutmann pasó a considerarse obsoleto e innecesario.

En aquella época conviene destacar la proposición de otro experto -el gurú de la ciberseguridad Bruce Schneier– en un libro escrito por él. Las 7 pasadas de Schneider implicaban lanzar lo siguiente a la superficie del disco:

  • Una pasada usando 1
  • Una pasada usando 0
  • Pasadas 3 – 7 utilizando caracteres estáticos o aleatorios

Año 2000

En este año concreto se produce el lanzamiento de varios manuales operativos de tratamiento de datos digitales, donde todos los países coinciden en la necesidad de más de 3 pasadas de borrado.

Un ejemplo lo tenemos en la agencia de seguridad alemana (BSI) con su método VSITR de 7 pasadas de sobrescritura. Pronto se ponen de moda en Europa métodos que comprenden de 4 a 7 fases de eliminación.

2006 hasta nuestros días

En 2006, la normativa NIST 800-88 que el gobierno de los EEUU mantiene en vigor establece que 1 pasada es suficiente para eliminar los datos de manera irrecuperable. Dicha normativa contempla el método DoD 5220.22-M.

Por otro lado, el NIST o National Institute of Standards and Technology publica también en 2006 su documento Guidelines for Media Sanitization, donde se cita entre otras cosas:

[…] para discos ATA fabricados después de 2001 (mayores de 15 GB) limpiar el disco mediante sobreescritura simple es apropiado para proteger el medio[…]

Guidelines for media sanitization, NIST (2006)

En 2014, cuando el NIST revisa su normativa para actualizarla, esta consideración se mantiene intacta.

Para elementos de almacenamiento magnético, una escritura completa con un patrón fijo -como unos y ceros- normalmente imposibilita la recuperación de los datos incluso en laboratorio y con técnicas de recuperación avanzadas.

NIST 800-88, Rev.1

Por supuesto, se advierte sobre la importancia de tratar igualmente las areas no visibles del disco (sobre-aprovisionamiento, slack space, etcétera).

Podríamos decir que no es una afirmación taxativa, sino que el NIST deja a discreción del encargado valorar y aplicar opcionalmente medidas “más duras”. Evidentemente depende del tipo de información contenida en los discos habrá una mayor o menor tolerancia al riesgo 🙂

Por ejemplo, para borrar discos de forma segura si son de tipo ATA o SCSI, el patrón de borrado debería ser de al menos una pasada de escritura simple con un valor fijo, como múltiples ceros. Pero podría opcionalmente usarse alguna pasada adicional con otro patrón, o usando un único patrón pero de mayor complejidad.

Estándares de borrado seguro de información a nivel europeo

H

Por mencionar otra normativa importante, el Centro de Ciberseguridad Nacional de Reino Unido (HMG Infosec Standard 5) define actualmente 2 métodos: uno de ellos con una pasada de sobreescritura, siendo el otro de 3 pasadas completas.

Este último método de 3 pasadas de borrado, denominado CESG CPA-Higher Level, es casi idéntico al propuesto en 1996 por el DoD 5220.22-M. La salvedad es que en este se requiere verificación tras cada paso.

Es importante destacar que, en 2012, los estándares alemanes del BSI (GS) se hicieron públicos. En ellos se establece la necesidad de combinar 2 pasadas escritura de datos aleatorios con borrado de datos via firmware.

También podríamos destacar la normativa NATO (7 pasadas). Es empleada por la OTAN.

Borrado seguro de discos SSD ¿Es lo mismo?

Dado que los discos de estado sólido -conocidos como SSD o SOlid State Disk- se han popularizado enormemente en los últimos años, la pregunta es muy relevante. La respuesta abreviada es NO, rotundamente no es lo mismo.

Los SSD están disponibles en múltiples formatos: el clásico SATA, otro notablemente más rápido conocido como PCIe y el cada vez más popular NVMe (tipo flash) que es el tipo más moderno.

Riesgos para la destrucción de datos en SSD

La sanitización de discos de estado sólido plantea nuevos retos que antes no existían. Ahora, si tenemos en cuenta los diferentes métodos existentes para destruir datos de forma segura, podemos establecer lo siguiente:

  • Degauss: el degaussing o desmagnetización es un método antiguo, fiable y probado que altera los campos magnéticos de los HDD, SCSI, DVD, etcétera. Sin embargo no suele ser eficaz frente a SSD o memorias NAND/flash debido a que almacena los datos en IC o circuitos integrados, en lugar de en un soporte magnético.
  • Cripto-borrado: el cifrado de unidades completas comienza utilizarse de forma reseñable como método de borrado. Digamos que no se destruyen los datos, sino que se realiza sanitización del disco mediante un cifrado de todo el contenido, tras lo cual se sustituyen las claves de cifrado. El “problema” de este método es que no está estandarizado entre fabricantes y que los usuarios pueden afectar a la calidad del cifrado, por tanto al borrado criptográfico satisfactorio durante la generación de claves.
destruccion segura de datos en discos
Tipos de destrucción apropiados según soporte digital (no incluye SSD)
  • Destrucción física: este método es también probado y eficaz, en algunos casos la respuesta más obvia. Hablamos de rayas superficies de disco, perforar o golpear soportes, incluso incinerar. Sin embargo, lo normal es que los SSD no sean destruidos completamente usando los medios típicos. Las máquinas habituales fallan al destruir los chips de memoria de discos de estado sólido con gran densidad de datos. En estos casos, la información podría ser leída directamente de los IC, sin importar si el disco ha sido destruido.
  • Borrado seguro de archivos: este conocido método se basa en eliminar o sobreescribir archivos, carpetas o particiones enteras, así como el espacio libre en disco. En discos tradicionales funciona bien, sin embargo la tecnología de un SSD está diseñada para repartir inadvertidamente la carga de escritura entre los sectores (wear leveling). En general, si queremos realizar un borrado y quedarnos tranquilos no podemos confiar en la mayoría de herramientas pre-instaladas, ya que no son 100% fiables. Algunos inconvenientes técnicos como los freeze locks en la BIOS pueden llegar a producir fallos en la ejecución de borrado seguro mediante firmware.

Los bloqueos de BIOS o freeze locks que afectan normalmente a los SSD impiden que se eliminen definitivamente los datos, siendo necesario reconectar los discos en caliente.

Los propios fabricantes de discos, en ocasiones, publican sus propias herramientas de administración y a veces permiten restablecer el soporte de forma segura, como te cuento en la guía sobre optimización de SSD.

Conclusiones

En general, cuando nos dispongamos a deshacernos de los datos de un disco óptico o magnético tendremos menos problemas que en el caso de uno de estado sólido.

Para eliminar eficazmente los datos de un SSD, sobre todo en corporaciones, deberemos fijarnos en aspectos como la compatibilidad con marcas/modelos, si el proceso de borrado está patentado, si se previenen los BIOS freeze locks. Además, debería poder ofrecernos un informe inequívoco que certifique la destrucción de los datos.

Más información: CCN-CERT

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A %d blogueros les gusta esto: