Llegamos a ustedes gracias a:



Reportajes y análisis

7 herramientas de recuperación de datos

Para todos los desastres de datos

Recuperación de datos

[28/01/2016] Los medios de almacenamiento son más confiables que nunca. Pero mientras que las fallas de unidad son menos frecuentes, las mejoras tecnológicas no hacen nada para protegerse de la causa número 1 de la pérdida de datos: el error humano. Es devastador perder la única copia que tiene de cualquier archivo -esa foto irremplazable o documento importante- todo porque formateó erróneamente la unidad equivocada o pulsó borrar demasiado rápido. Es aún más indignante cuando el único culpable es uno mismo.

La buena noticia es que las herramientas de recuperación de datos de unidades de disco, las unidades SSD, tarjetas SD, memorias USB, y cualquier otro tipo de medio, continúa creciendo en el poder, facilidad y versatilidad. La parte más difícil puede que no sea la propia recuperación, sino escoger entre todas las herramientas disponibles y averiguar cuál es la mejor para hacer frente a la catástrofe.

En este resumen, vamos a ver una gama de productos de software que puede utilizar para recuperar datos de medios dañados, medios reformateados, y las eliminaciones accidentales. Van desde utilidades gratuitas para los usuarios no técnicos, a los paquetes comerciales para las empresas, que incluyen herramientas para Windows, Mac y Linux, y abarcan una variedad de casos de uso, desde la recuperación simple para el usuario final (Recuva) a la recuperación como parte de un análisis general del sistema (Sleuth Kit/Autopsy) para la reconstrucción de los datos de las matrices RAID (Kroll Ontrack EasyRecovery Enterprise).

Cualquiera que sea la naturaleza de su desastre de datos en particular, lo más probable es que encuentre la herramienta que necesita aquí.

PhotoRec, de código abierto, es compatible con más de 400 formatos de archivo, por lo que es una buena primera línea de recuperación para los tipos de archivo más comunes.
PhotoRec
PhotoRec

Pocas herramientas de recuperación de datos son de utilidad inmediata y versátil como PhotoRec.

Siendo un proyecto de código abierto que funciona en Windows, Linux y Mac OS X (Intel y PowerPC Macs), PhotoRec utiliza firmas de archivos para detectar y recuperar archivos en más de 400 formatos de datos, con más añadidos todo el tiempo. Es incluso posible añadir firmas de datos personalizados -en caso de que esté tratando de recuperar los datos de los formatos de archivo de su propia creación.

PhotoRec es una buena alternativa gratuita de primera línea para la recuperación de tipos de archivos comunes. También es relativamente a prueba de tontos, y sus opciones más potentes no son molestas. Si todo lo que necesita es recuperar la mayor cantidad de datos de un medio de almacenamiento y cuenta con un bajo presupuesto, PhotoRec está hecho a la medida.

PhotoRec viene en dos versiones para cada plataforma, una versión de línea de comando/solo texto y una versión GUI. La herramienta GUI es más fácil de navegar, pero ambas ediciones se pueden automatizar a través de parámetros de línea de comandos. En ambos casos, el proceso de recuperación es guiado. El usuario simplemente escoge un volumen a recuperarse, un directorio para guardar los archivos recuperados, y si se recuperará del espacio no utilizado o de todo el volumen de la fuente. Elegir qué tipo de archivos a buscar es opcional.

PhotoRec es compatible con la mayoría de dispositivos o tipos de archivo como fuente. Los archivos soportados incluyen las imágenes de disco de máquina virtual y archivos de imagen almacenados en el formato Encase EWF de uso común en el trabajo digital forense. PhotoRec también puede recuperar datos de los teléfonos inteligentes, siempre que puedan ser usados como dispositivos USB de almacenamiento masivo.

Cada vez que PhotoRec encuentra datos que sean de un formato de archivo conocido, hace una mejor estimación de los constituyentes del expediente completo y escribe los resultados en una subcarpeta de la carpeta de destino. Algunas opciones están disponibles para una reconstrucción más agresiva de determinados formatos de archivo, como imágenes JPEG, pero en su mayor parte, los mejores resultados provienen de archivos que no están fragmentados. Sin embargo, no obtendrá los nombres de archivo originales; PhotoRec generará automáticamente nombres de archivo para los archivos recuperados.

PhotoRec también tiene una aplicación complementaria, TestDisk, para la recuperación de discos o particiones que se han perdido debido a daños o borrado accidental.

Sleuth Kit

Sleuth Kit, de Brian Carrier, es un paquete de análisis forense digital de código abierto libre -una colección de herramientas para el análisis de discos, tanto en unidades físicas como en imágenes de disco, y para recuperar datos de ellas. Según Carrier, Sleuth Kit es utilizado principalmente por "las fuerzas del orden, los militares y los examinadores corporativos para investigar lo que ocurrió en un equipo", por lo que es principalmente para la recuperación de actividad a lo largo de todo un sistema, en lugar de la recuperación de archivos específicos de un solo volumen. Para un uso más informal, es probablemente una exageración, pero es muy adecuado para averiguar qué datos podrían haberse perdido en un sistema -por ejemplo, debido a un incidente con la seguridad del sistema.

Sleuth Kit y varias otras herramientas de la misma línea están empaquetadas juntas en una aplicación GUI llamada Autopsy, también proporcionado por Carrier. Las herramientas incluidas vienen empaquetadas en forma de módulos, lo que permite que un desarrollador prospectivo ruede la suya, o vuelva a empaquetar una herramienta existente como módulo. Tanto Python como Java se admiten como lenguajes de desarrollo del módulo, con las herramientas escritas en dichos idiomas o envueltos con ellos.

Autopsy envuelve Sleuth Kit en una interfaz gráfica de usuario, e incluye varias otras herramientas útiles tanto para análisis forense digital y para recuperación de datos.
Autopsy

PhotoRec, discutido anteriormente, es uno de los módulos incluidos, por lo que Autopsy es una forma práctica de hacer uso de él en conjunto con otras herramientas. Otros componentes incluyen el módulo Actividad reciente, que extrae datos de historiales de navegadores Web, busca cualquier programa que se haya instalado más recientemente, y examina la sección del Registro a través de la herramienta RegRipper. Otro módulo analiza el correo electrónico en formatos comunes como PST o MBOX de Thunderbird. Otro módulo examina los tipos de archivos que se encuentran frecuentemente en los teléfonos Android.

Una vez que se conecte a un volumen o al archivo de imagen y empiece el análisis, los resultados comienzan a aparecer casi inmediatamente en la interfaz gráfica de usuario de Autopsy. Si está realizando una operación de recuperación en un volumen grande y desea iniciar el análisis de los resultados lo más rápido posible, ésta es una gran bendición.

La mayor parte de las mejores características en Autopsy ayudan a hacer la reconstrucción de los acontecimientos que tuvieron lugar en un sistema. La característica de la línea de tiempo, por ejemplo, coteja los resultados de varios módulos basados en cuando se llevaron a cabo, y pueden ser filtrados basados en un rango de tiempo o evento determinado. Autopsy también permite la colaboración de varios usuarios sobre los casos; sin embargo, requiere que múltiples piezas de terceros -PostgreSQL, Solr, ActiveMQ- se instalen y configuren.

Kroll Ontrack EasyRecovery Enterprise

Con una interfaz de asistente guiado y flujo de trabajo sencillo, Kroll Ontrack EasyRecovery Enterprise, está diseñado para la extracción rápida de los datos de volúmenes, sobre todo arreglos RAID que requieren reconstrucción.

EasyRecovery puede realizar las operaciones de recuperación de discos duros convencionales, dispositivos de memoria USB, medios ópticos, dispositivos móviles, imágenes de disco de VMware, y discos de formaciones RAID que funcionan mal. Además de ser capaz de explorar un volumen y recuperar archivos de él (suprimidos o no), EasyRecovery puede borrar unidades, analizar los medios en busca de errores o detalles de uso, y llevar a cabo funciones de imagen de disco, tales como la copia de los contenidos de las unidades o escribir datos de un disco a un archivo de imagen. La función de recuperación remota proporciona una forma integrada para que una instancia de EasyRecovery sea controlada a distancia por otra instancia del programa, siempre y cuando los dos casos puedan hablar entre sí a través de una red mediante el puerto 5900 (el protocolo VNC).

Kroll Ontrack EasyRecovery Enterprise es una herramienta de recuperación de tipo industrial, con la capacidad de resucitar los datos de las matrices RAID dañadas.
Kroll Ontrack EasyRecovery

La recuperación de archivos eliminados funciona de dos maneras: o bien mediante la realización de recuperaciones simples (comprobando los registros de directorio NTFS), o escaneando el espacio libre en un volumen y tratando de reconstruir los archivos en el volumen basado en la heurística. Los archivos descubiertos pueden ser inspeccionados directamente en el disco a través de un sistema incorporado en una herramienta de visualización hexadecimal ASCII Unicode binaria, una manera conveniente de ver rápidamente si los archivos en cuestión son lo que está buscando.

Desafortunadamente, si está escaneando un volumen entero, no puede salvar o examinar los archivos a medida que aparecen en los resultados de la exploración. Tiene que esperar hasta que toda la exploración termine antes de determinar si algo útil ha aparecido, a diferencia de Autopsy o PhotoRec. Asimismo, no parece ser posible añadir firmas de archivo personalizadas para la aplicación (como con PhotoRec), por lo que está limitado a los tipos de archivos que están atados con el programa. Los pocos controles que existen son ajustes menores, como elegir concatenar secuencias de video rotas durante el proceso de recuperación. Puede ver los mensajes de registro generados por la exploración a medida que aparecen, aunque son un tanto crípticas.

Un ganador real para los usuarios empresariales es la herramienta de recuperación de matriz RAID, en gran parte debido a que no se limita a la recuperación de solo uno o dos tipos de RAID o JBOD. Incluye soporte para una gran cantidad de software y hardware RAID 0 y RAID 5: HP / Compaq, Adaptec, IAM, Silicon Image, Promise, y así sucesivamente. También se incluye una función de reconstrucción automática, que supuestamente puede escanear los discos y hacer una conjetura en cuanto a cómo se armó la matriz.

EasyRecovery también puede recuperar datos de un número de clientes de correo electrónico: Outlook, Outlook Express, Eudora, Mozilla, Becky, y Windows Live Mail. Una desventaja de la herramienta de recuperación de correo electrónico es que no utiliza el mismo flujo de trabajo que el resto del programa. Tiene que abrir una interfaz independiente para que, a través de un botón de la barra de herramientas, seleccione una carpeta donde se sabe que residen los archivos de correo. Navegar por archivos PST de Outlook con unos pocos gigabytes de datos demostró ser extremadamente lento; a veces tomaba un minuto o dos para ver la lista de mensajes en una carpeta determinada del PST, y la herramienta a menudo mostró varias copias de carpetas. De acuerdo con el soporte técnico de Kroll Ontrack, el programa asume que los archivos PST en cuestión están dañados, y por lo tanto muestra las versiones anteriores que aún puedan existir en las carpetas. El equipo dijo que la velocidad de recuperación de correo electrónico se abordará en una futura versión.

EasyRecovery no es barato. Tendrá que pagar 79 dólares por la edición Home, 149 dólares por la edición Professional o 499 dólares por la edición Enterprise que se ha revisado aquí. Afortunadamente, todas las ediciones del programa tienen una prueba gratuita. La versión de prueba no permite la recuperación real de datos, pero le permite ver lo que se puede recuperar. EasyRecovery está disponible para Windows y Mac.

Recuva

Creado por el mismo equipo que le dio al mundo la excelente utilidad CCleaner, Recuva, proporciona una herramienta de recuperación de archivos para Windows que es tan sencilla y fácil de trabajar como CCleaner.

Por defecto, Recuva dispara un modo de asistente, por lo que es fácil realizar trabajos de recuperación. Usted escoge un tipo de archivo (o "todos los archivos"); señala una unidad específica, dispositivo o ubicación de archivo común (como la Papelera de reciclaje), y elige si desea realizar un análisis rápido o uno profundo. Recuva escavará en los medios seleccionados y le presentará una lista de posibles archivos de recuperación. Es incluso posible escanear instantáneas (snapshots) de las unidades, aunque no se puede escanear imágenes de disco a menos que estén montadas y disponibles a través de una letra de unidad. (La unidad tiene que ser montada como una unidad local para ser susceptible de ser analizada.)

Recuva es una herramienta de recuperación rápida y flexible para Windows. Se puede ejecutar en un modo fácil, basada en asistente o en un modo avanzado para revelar más detalles.
Recuva

Como muchos de los otros programas en este artículo, Recuva no le permite consultar libremente los resultados mientras la exploración está en curso; tiene que esperar a que la exploración finalice. La ventaja es que Recuva escanea rápidamente. Incluso en el modo de "análisis profundo", donde se explora en busca de una variedad más amplia de tipos de archivo, en tan solo un minuto, 50 segundos para escanear una unidad flash extraíble de 16GB, en contraposición a los 10 o más minutos necesarios en otros productos. (PhotoRec fue igualmente rápido).

Una vez que la exploración termina, obtendrá una lista de archivos con sus lugares de origen, fecha de última modificación, e información general acerca de la salud del archivo. Los archivos están codificados por color de acuerdo a la forma en que son recuperables. Si un archivo ha sido sobrescrito por otro, Recuva le hará saber.

Si desea más detalles sobre el trabajo de recuperación, puede cambiar al modo avanzado. Allí, puede buscar archivos por nombre o contenidos, inspeccionar datos de cabecera en el archivo, o guardar la lista de archivos candidatos como texto sin formato. También puede optar por ejecutar el modo avanzado de forma predeterminada cuando se inicia el programa. Guardar los archivos es tan fácil como hacer clic derecho sobre ellos en la lista y seleccionar la opción Recuperar. Una función de borrado seguro le permite destruir los datos no cubiertos, en caso de que esté verificando un elemento que debería ser borrado.

La mayor limitación de Recuva es que las firmas de archivos parecen estar fuertemente atadas en el programa. Si desea buscar un formato personalizado u otro archivo que no está en la lista de Recuva, necesitará usar PhotoRec o una aplicación que permita las firmas de archivos personalizados. Es más, fue difícil averiguar exactamente qué tipos de archivo son compatibles con la aplicación. El sitio web de Piriform no parece enumerar qué archivos reconoce Recuva, aunque apareció una nota en el foro del producto, que proporcionaba una manera de descubrir los tipos de archivo admitidos en el modo avanzado.

Recuva viene en una edición gratuita sin ningún soporte, así como versiones profesionales y de negocios a 24,95 dólares que ofrecen soporte pagado. No parece haber ninguna restricción de licencias a las empresas que utilizan la versión gratuita, ni tampoco parece que hay funciones faltantes o incompletas. Una edición portátil del programa (también disponible gratis) se puede colocar en una unidad USB y ejecutar sin necesidad de ser instalada en el equipo de destino -una forma práctica de ejecutar el programa en entornos con varias máquinas.

SystemRescueCd

Existen decenas de CDs de rescate basados en Linux con herramientas de recuperación de archivos, pero muchos de ellos ya no están actualizados, requieren demasiadas líneas de comandos para ser realmente útiles, o ambos. SystemRescueCd, es un CD de rescate Linux (o memoria USB) que logra un buen equilibrio entre estar completo y ser utilizable. Además, encontrará abundante documentación, en el sitio web de SystemRescueCd, aunque está orientado para los expertos que no tienen miedo de Linux o la línea de comandos.

SystemRescueCd es mejor para recuperar datos de sistemas que no arrancan o cuando usted no quiere correr el riesgo de contaminar los datos. Al arrancar el sistema operativo, los sistemas de archivos en la máquina en cuestión no se montan automáticamente, para evitar que se cambien inadvertidamente. Se pueden leer a partir de muchas de las herramientas a bordo, pero no se pueden escribir. Si está tratando de copiar datos de un sistema de este tipo, tendrá que montar manualmente la unidad donde desea que los archivos sean guardados.

SystemRescueCd es una distribución de Linux diseñada para la recuperación de datos, la agrupación de una serie de herramientas de código abierto para la inspección y reparación de discos, y el rescate de los archivos de los sistemas Linux y Windows.
SystemRescueCd

SystemRescueCd proporciona una gran cantidad de herramientas de código abierto para inspeccionar, copiar y guardar datos desde una unidad o sistema dañado. PhotoRec es una de ellas, y aunque solo está disponible en su versión en modo texto, sigue siendo útil y poderoso si no es tan fácil de usar como la edición GUI. Naturalmente, la velocidad de la recuperación de datos depende enteramente del programa utilizado en particular.

Otro buen don de SystemRescueCd es que todo el sistema, incluidas las herramientas, se mantienen al día con las actuales construcciones de todo. (La versión que revisé, de fecha 29 de octubre del 2015, fue sustituida el 1 de enero.)

El mayor inconveniente de SystemRescueCd es que no hay absolutamente ninguna guía para el usuario. Si no sabe cómo actuar en un sistema Linux, es mejor que aprenda antes de intentar realizar cualquier tipo de trabajo de recuperación con esta herramienta. SystemRescueCd le permite usar un escritorio gráfico con muchas herramientas comunes disponibles desde un menú en cascada, pero eso no es sustituto de un mago o un menú de inicio de opciones de recuperación comunes. AVG Rescue, otro CD de rescate creado por los creadores de la suite de antivirus AVG, ofrece exactamente este tipo de orientación al usuario, pero muchas de sus herramientas están fuera de fecha, por lo que es difícil de recomendar.

CardRecovery

Como su nombre lo indica, CardRecovery para Windows se centra en la recuperación de datos desde tarjetas de memoria utilizadas en cámaras, con algunas características específicas para el funcionamiento de la recuperación. Un programa hermano, CardRescue, trae las mismas capacidades para Mac OS X.

Al igual que Recuva, CardRecovery comienza con una interfaz de asistente, de la que usted elige los medios desde donde se recuperará y el directorio de destino para escribir los archivos recuperados. Si se está recuperando datos de una tarjeta que se utilizó en un modelo específico de cámara digital (Canon, Sony, Nikon, Pentax, etc.), puede especificar la marca para refinar la búsqueda.

CardRecovery se especializa en la resurrección de las fotos perdidas, así como algunos archivos de audio y video, desde los medios de la cámara.
CardRecovery

La limitación más importante del programa es que solo escanea tipos de archivo comunes que se encuentran en los medios de la cámara, sobre todo JPEG, TIFF y formatos RAW. Puede escanear buscando algunos formatos de audio y video. Pero si está tratando de recuperar cualquier otro tipo de archivo, otro programa está a la orden. Tenga en cuenta también que las tarjetas deben ser montados y puestas a disposición a través de una letra de unidad; no se puede escanear un archivo de imagen de volumen o un recurso compartido de red.

El escaneo de una unidad de 15GB tomó aproximadamente 15 minutos, pero CardRecovery le da la opción de hacer una pausa a mitad de la exploración para recuperar cualquier archivo ya descubierto por la búsqueda. Cualquier dato adicional de propiedad disponibles con los archivos, tales como datos EXIF grabadas por la cámara, también se pueden previsualizar.

El programa proporciona una lista navegable de miniaturas de los archivos que se pueden recuperar, lo que permite identificar un archivo de imagen en particular por la vista. Una molestia menor con esa característica: puede navegar solo por seis imágenes a la vez. Tenga en cuenta también que algunos archivos de películas recuperadas no pueden reproducirse cuando se recuperan; los creadores de CardRecovery sugieren una serie de aplicaciones de terceros para ayudar a reparar esos archivos.

Si quiere saber si CardRecovery puede salvarle el pellejo o no sin tener que gastar dinero en él, la versión de evaluación del programa encuentra los archivos y le permite una vista previa de ellos, pero no permite que los guarde. Para eso, una copia con licencia de CardRecovery cuesta solo 39,95 dólares.

Remo Recover

Disponible para Windows y Mac, Remo Recover, viene en tres ediciones. La edición básica se encarga de la recuperación de la mayoría de los tipos comunes de archivos, mientras que la edición de medios añade soporte para los diversos tipos de medios tales como archivos de cámara RAW. La edición Pro es para la recuperación de unidades enteras que hayan sufrido daños o hayan sido particionadas o reformateadas. Alrededor de 280 tipos de archivo son compatibles con las ediciones Media y Pro. Al iniciar el programa, se le ofrece la opción de la edición que desea ejecutar. Si no tiene una clave de licencia para esa edición especial, podrá ver los archivos que se pueden recuperar, pero no se le permite restaurarlos.

Remo Recover combina la recuperación de archivos de propósito general para Windows o Mac con soporte para hasta algunos medios esotéricos de cámara.
Remo Recover

La recuperación de archivos estándar puede buscar los archivos recientemente eliminados, donde las entradas de directorio están todavía presentes, y los archivos en el espacio libre de un disco, donde el programa intenta hacer coincidir los datos contra las firmas de archivos. La búsqueda por entradas de directorio se selecciona por defecto porque Remo Recover puede obtener resultados muy rápidamente de esa manera.

La búsqueda por firma de archivo es lenta, y no hay nada de retroalimentación durante la búsqueda para decirle si algo ha aparecido. En el lado positivo, cuando haya terminado de escanear una unidad determinada, puede guardar el estado de la sesión de recuperación. Esto le permite volver a los resultados de una exploración y continuar la restauración de archivos, sin tener que volver a escanear toda la unidad. Dudo que el programa sea capaz de hacer cualquier cosa si el contenido de la unidad cambia entre las sesiones de recuperación, así que tenga cuidado.

Al igual que CardRecovery, Remo Recover tiene la capacidad de escanear tipos específicos de imagen RAW utilizados en cámaras digitales, incluyendo las relativamente exóticas de gama alta como Leica. Debo señalar que PhotoRec afirma ser capaz de buscar muchos de estos formatos también, aunque no todos ellos. Los formatos para Hasselblad y Ricoh, por ejemplo, cuentan con el apoyo de Remo Recover, pero no en PhotoRec. Para aquellos que utilizan uno de esos dispositivos, esto podría inclinar la balanza a favor de Remo Recover.

Las herramientas de edición Pro, recuperación de la partición y "deformateo de la unidad, permiten escanear una unidad en bruto, incluso sin una letra de unidad adjunta, para recuperar datos de ella. Las unidades completas se pueden reflejar en un archivo con la edición Pro, por lo que es posible llevar a cabo operaciones de recuperación sin necesidad de los medios originales. Tenga en cuenta que escribir un archivo de imagen tarda mucho tiempo -por lo general, sobre el tiempo que se necesita para explorar los medios en el primer lugar. Pero si está copiando la imagen desde una unidad que la lee lentamente hacia un disco duro local o SSD, buscar la imagen será mucho más rápido.

Las ediciones de vista previa gratuitas de Remo Recover le permiten una vista previa de los datos recuperables, pero no guardarlos. Las ediciones Básica, Media y Pro para Windows cuestan 39,97, 49,97 y 99,97 dólares, respectivamente. Los precios de las versiones de Mac son 59,94, 69,94 y 179,94 dólares.

Ahora lo ve

¿Qué herramienta de recuperación es para usted? PhotoRec y su compañero TestDisk han estado constantemente entre las aplicaciones más útiles, flexibles y de bajo costo para la recuperación de datos. Ellos no tienen la amplitud de opciones de algunas de las otras aplicaciones que se examinan aquí, pero es casi imposible que les vaya mal con ellas como un primer paso.

Sleuth Kit/Autopsy es más que una caja de herramientas completa, y por esa razón podría ser intimidante para trabajar, sobre todo si lo que necesita hacer es recuperar un archivo en particular. Pero para aquellos que necesitan la caja de herramientas completa, es una gran manera de tener una sin ningún costo inicial. SystemRescueCd también despliega un gran número de herramientas en un solo paquete, pero es estrictamente para expertos. Aquellos que le temen a la la línea de comandos no deben siquiera pensar en usarlo.

Kroll Ontrack EasyRecovery Enterprise destaca por su función de recuperación de RAID, y se recomienda para aquellos que necesitan esa capacidad. Para aquellos que no, muchas de sus otras características pueden encontrarlas en otros programas, como Remo Recover.

Remo Recover destaca por hacer que guardar los archivos de imágenes fuera de los medios sea fácil, y por tener algunos tipos de archivos de cámara bastante exóticos como parte de su base de datos. CardRecovery soporta un número de esos tipos de archivos; sin embargo, su escaneo lento y la interfaz ligeramente torpe trabajan le juegan en contra.

Por último, Recuva cuenta con buenas características en un solo programa: lectura rápida y una interfaz cómoda y detalles útiles sobre lo que es recuperable y lo que no lo es. Debe estar en la caja de herramientas de cada usuario de Windows.

Serdar Yegulalp, InfoWorld (EE.UU.)