Teléfono de RecuperaTusDatos900 899 002
Correo electrónico de RecuperaTusDatos info@recuperatusdatos.es
📞 Te llamamos
recuperación de datos
ES

Borrado Seguro de Datos: Cómo Destruir Información de Forma Definitiva y Cumplir el RGPD

Resumen del artículo

Formatear un disco no borra los datos de verdad. Métodos certificados (DoD, Gutmann, DBAN), diferencias para SSD, cómo cumplir el RGPD al dar de baja equipos y qué debe incluir un certificado de destrucción.

Prevención 22/04/2025 9 min lectura Sergio Martínez
Compartir:

Formatear un disco duro no borra los datos: solo elimina las referencias del sistema de ficheros mientras los bits permanecen intactos y recuperables con herramientas comunes. Para destruir información de forma definitiva hay que aplicar métodos certificados —sobreescritura con estándares DoD o NIST, desmagnetización o destrucción física— y documentarlo con un certificado de destrucción. El RGPD obliga a las organizaciones a garantizar que los datos personales no puedan recuperarse al dar de baja equipos, bajo pena de sanciones de hasta 20 millones de euros o el 4 % del volumen de negocio global.

Datos clave — Borrado seguro de datos y RGPD

  • Aplicación: Empresas y particulares que dan de baja, venden o reciclan equipos con datos personales o confidenciales
  • Normativa: RGPD / GDPR (Reglamento UE 2016/679), ENS (Esquema Nacional de Seguridad), ISO 27001
  • Métodos principales: Sobreescritura (DoD 5220.22-M, Gutmann, NIST 800-88), desmagnetización (degaussing), destrucción física (trituración, perforación, fusión)
  • Certificado: Sí — documento de destrucción con número de serie, método aplicado, fecha y empresa responsable
  • Cuándo es obligatorio: Cualquier baja de equipo que haya almacenado datos personales o información confidencial

¿Por qué formatear no es suficiente?

Cuando ejecutas un "formato rápido" en Windows o macOS, el sistema operativo no toca los datos almacenados. Simplemente reescribe la tabla de asignación de ficheros (FAT, NTFS o APFS), marcando el espacio como "disponible". Los sectores con datos permanecen intactos hasta que son sobreescritos por archivos nuevos, lo que puede no ocurrir nunca si el disco se retira inmediatamente.

Incluso el "formato completo" (full format) —que en versiones modernas de Windows sí escribe ceros en cada sector— es insuficiente en muchos contextos porque:

  • No se documenta ni certifica, por lo que no es válido como evidencia de destrucción ante una auditoría del RGPD
  • En SSDs y NVMe, el sistema operativo no tiene acceso directo a todas las celdas de memoria debido al wear leveling y las celdas de reserva
  • No deja trazabilidad por número de serie de dispositivo, método o fecha

Herramientas de recuperación como Recuva, PhotoRec o R-Studio pueden extraer miles de archivos de un disco "formateado" en pocos minutos. Un disco que contiene historiales médicos, datos bancarios o información de empleados vendido en segunda mano sin borrado seguro puede generar una brecha de datos RGPD que costaría muy caro a cualquier organización.

Métodos de borrado seguro

Sobreescritura (overwriting)

Consiste en escribir patrones de datos sobre cada sector del dispositivo, haciendo que la información original sea ininteligible. Los principales estándares son:

  • DoD 5220.22-M (Departamento de Defensa de EE.UU.): 3 pasadas — una de ceros, otra de unos, una tercera con un patrón pseudoaleatorio, verificación final. Es el estándar más reconocido internacionalmente y aceptado en auditorías de seguridad.
  • Método Gutmann (35 pasadas): Desarrollado por Peter Gutmann en 1996 para discos magnéticos antiguos. Aplica 35 patrones de sobreescritura diferentes para eliminar vestigios magnéticos residuales. En discos modernos (post-2001) con densidades de grabación muy altas, 3-7 pasadas tienen el mismo efecto práctico; las 35 pasadas son innecesarias pero siguen siendo el estándar más exhaustivo reconocido.
  • NIST 800-88 (National Institute of Standards and Technology): La guía más moderna, distingue entre Clear (sobreescritura simple, contra recuperación por software), Purge (contra recuperación por laboratorio) y Destroy (destrucción física irreversible). Es el estándar de referencia para administraciones públicas y empresas que trabajan con datos sensibles en Estados Unidos y la UE.

Desmagnetización (degaussing)

Un degausser es un dispositivo que genera un campo electromagnético de alta intensidad (varios miles de Oersteds) que destruye la orientación magnética de los dominios en los platos del disco, borrando todos los datos de forma instantánea e irreversible. El degaussing también inutiliza el firmware del disco, haciéndolo inservible como dispositivo de almacenamiento.

Es muy eficaz para HDDs y cintas magnéticas, pero completamente inútil en SSDs y NVMe (que almacenan información en celdas de carga eléctrica, no en campos magnéticos).

Destrucción física

El método más definitivo e irrefutable. Las principales técnicas son:

  • Trituración industrial (shredding): Las trituradoras de discos reducen el dispositivo a partículas de 6-20 mm o menos. Es el método recomendado por la NSA/CSS para medios clasificados. Apta para HDDs, SSDs, pendrives, tarjetas de memoria y placas de circuito.
  • Perforación (punzonado): Un punzón hidráulico perfora los platos del HDD o los chips del SSD. Rápida y eficaz, aunque menos exhaustiva que la trituración —los fragmentos entre perforaciones pueden conservar datos recuperables en laboratorios muy especializados.
  • Fusión / incineración: Temperatura superior a 1.500 °C destruye cualquier sustrato. Reservada para medios con clasificación de seguridad máxima; la gestión de residuos es más compleja.

Tabla comparativa de métodos

Método Eficacia HDD Eficacia SSD Dispositivo reutilizable Certificable
Formato rápido No No No
Sobreescritura DoD 5220.22-M Alta Parcial*
Gutmann (35 pasadas) Muy alta Parcial*
NIST 800-88 Purge Muy alta Alta (con ATA SE)
Degaussing Máxima Nula No (inutiliza el disco)
Trituración industrial Máxima Máxima No
Perforación / punzonado Alta Alta No

* En SSDs, la sobreescritura convencional no alcanza las celdas de reserva del wear leveling. Ver sección específica sobre SSDs.

Herramientas gratuitas de borrado seguro

Para entornos domésticos o PYMES que necesitan borrar discos antes de reciclarlos sin necesidad de certificación formal, existen varias herramientas fiables:

  • DBAN (Darik's Boot and Nuke): La herramienta de referencia desde hace décadas. Arranca desde USB o CD de forma independiente del sistema operativo, soporta DoD 5220.22-M, Gutmann y otros estándares. Gratuita para uso personal. No genera informes automáticos ni soporta SSDs nativamente.
  • Eraser (Windows): Integración con Windows Explorer, permite programar borrados de ficheros, carpetas o espacio libre. Soporta múltiples estándares incluyendo Gutmann y DoD. Ideal para borrar archivos concretos sin destruir el disco completo.
  • Secure Eraser (Windows): Interfaz gráfica sencilla, soporta los principales estándares, incluye informes en PDF. Versión gratuita con funciones básicas suficientes para la mayoría de necesidades domésticas.
  • nwipe (Linux): Fork de DBAN para sistemas en ejecución. Muy usado en entornos de administración de sistemas Linux. Soporte completo de NIST 800-88 y generación de logs. Viene preinstalado en distribuciones como ShredOS (sucesor espiritual de DBAN).
Nota importante: Las herramientas gratuitas son válidas para uso personal o como primera capa de protección, pero no generan certificados de destrucción válidos para auditorías RGPD. Para cumplimiento normativo empresarial, es necesario un servicio certificado con documentación formal.

SSDs y NVMe: por qué la sobreescritura convencional no funciona igual

Los SSDs y unidades NVMe tienen una arquitectura interna radicalmente diferente a los HDDs. El wear leveling (nivelación de desgaste) distribuye las escrituras entre todas las celdas de memoria para evitar que unas pocas se agoten antes que las demás. Como consecuencia directa, cuando el sistema operativo escribe en el "sector 100" del SSD, el controlador puede almacenar físicamente esos datos en cualquier celda disponible, marcando las celdas anteriores como "a sobreescribir en el futuro".

Esto tiene dos implicaciones críticas para el borrado seguro:

  1. Celdas de reserva inaccesibles (over-provisioning): Los SSDs reservan entre el 7 y el 28 % de su capacidad como espacio de reserva que el sistema operativo no ve ni puede escribir. Datos que llegaron a esas celdas de reserva quedan fuera del alcance de cualquier herramienta de sobreescritura convencional.
  2. Páginas marcadas como inválidas: Cuando el firmware del SSD "mueve" datos durante el wear leveling, las páginas originales se marcan como inválidas pero no se borran inmediatamente. Un laboratorio especializado con acceso al chip NAND puede leer esas páginas directamente.

Métodos recomendados para SSDs

  • ATA Secure Erase (SE): Comando del estándar ATA que ordena al controlador del SSD borrar internamente todas las celdas, incluyendo las de reserva. Es la solución más eficaz para SSDs SATA. Herramientas: hdparm en Linux, Samsung Magician, SanDisk SSD Dashboard. Importante: muchos fabricantes "congelan" el comando SE en el firmware de placa base — hay que ejecutarlo desde un entorno de arranque externo.
  • NVMe Secure Erase / Format NVMe: El equivalente para unidades NVMe. Se ejecuta con nvme format desde Linux o con las herramientas del fabricante.
  • Cifrado + formato (Cryptographic Erase): Si el SSD tiene cifrado AES por hardware habilitado (TCG Opal, eDrive), basta con destruir la clave de cifrado y reformatear. Sin la clave, los datos son matemáticamente irrecuperables aunque las celdas NAND contengan información. Es el método recomendado por NIST 800-88 para SSDs modernos.
  • Destrucción física: Para datos de máxima sensibilidad, la trituración industrial es la única garantía total. Un SSD triturado a partículas de 6 mm hace imposible cualquier recuperación.

RGPD y responsabilidad legal: qué dice el Reglamento

El Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679) establece en su artículo 5.1.e el principio de "limitación del plazo de conservación" y en el artículo 5.1.f la "integridad y confidencialidad": los datos personales deben tratarse de forma que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito.

El artículo 25 (Protección de datos desde el diseño y por defecto) y el artículo 32 (Seguridad del tratamiento) obligan a los responsables del tratamiento a implementar medidas técnicas apropiadas para garantizar la destrucción segura cuando los datos ya no son necesarios.

¿Quién es responsable?

El responsable del tratamiento (la empresa u organización que decide los fines y medios del tratamiento) es quien responde ante la AEPD (Agencia Española de Protección de Datos). Si un equipo de tu empresa contenía datos de clientes, empleados o pacientes y lo vendiste o reciclaste sin borrado seguro verificable, tú eres el responsable de esa posible brecha.

Si delegas el borrado en un proveedor externo, este actúa como encargado del tratamiento y debes firmar un contrato de encargo de tratamiento (artículo 28 RGPD) que incluya los medios y métodos de destrucción. El certificado de destrucción que emite el proveedor es la evidencia documental de cumplimiento.

¿Qué pasa si hay una brecha?

Si un disco dado de baja sin borrado seguro acaba generando un acceso no autorizado a datos personales, el responsable debe:

  • Notificarlo a la AEPD en un plazo máximo de 72 horas (artículo 33)
  • Notificar a los afectados si la brecha supone un alto riesgo para sus derechos (artículo 34)
  • Enfrentarse a sanciones de hasta 20 millones de euros o el 4 % del volumen de negocio global anual (artículo 83)

El ENS (Esquema Nacional de Seguridad, aplicable a entidades públicas y sus proveedores) impone requisitos aún más estrictos en su medida mp.si.5: borrado y destrucción de soportes debe realizarse de forma que no sea posible recuperar la información, con registro de las actuaciones.

Certificado de destrucción de datos: qué debe incluir

El certificado de destrucción es el documento que prueba que los datos fueron destruidos de forma segura y conforme a la normativa. Es esencial para auditorías RGPD, ISO 27001 y ENS. Debe incluir:

  • Identificación del dispositivo: Número de serie, marca, modelo, tipo de soporte (HDD/SSD/USB/cinta) y capacidad
  • Método de destrucción aplicado: Sobreescritura con el estándar utilizado (número de pasadas), degaussing o destrucción física (método específico)
  • Fecha y hora de ejecución del proceso
  • Resultado de la verificación: Confirmación de que el proceso completó sin errores en todos los sectores
  • Datos de la empresa responsable del borrado: razón social, CIF, número de inscripción en el registro de empresas de reciclaje de RAEE si aplica
  • Firma digital o manuscrita del técnico responsable
  • Número único de certificado para trazabilidad

Conserva estos certificados durante al menos 5 años (plazo de prescripción de infracciones graves del RGPD en España según la LOPDGDD). En caso de auditoría, son la prueba documental de que cumpliste con la obligación de destrucción segura.

Casos típicos: cuándo y cómo actuar

Empresa que renueva su flota de portátiles

Una empresa de 50 empleados que cambia portátiles cada 4 años gestiona ~50 equipos con datos de empleados, clientes, contratos y correos. Opciones:

  • Si los portátiles se van a reutilizar internamente: sobreescritura DoD 5220.22-M + registro por número de serie
  • Si se venden o donan: servicio de borrado certificado con emisión de certificados individuales por equipo
  • Si los discos son SSDs con cifrado hardware: Cryptographic Erase + certificado
  • Si los datos son de alta sensibilidad: destrucción física (trituración) + certificado con fotos del proceso

Hospital o clínica con equipos médicos

Los datos de salud son categoría especial bajo el artículo 9 RGPD, con sanciones más severas. Las estaciones de trabajo de radiología, TAC o RMN pueden contener miles de imágenes DICOM con datos de pacientes. La destrucción física con trituración certificada a partículas de 6 mm es el estándar mínimo recomendado. Cualquier otro método requiere validación específica y registro detallado.

Particular que vende su PC de segunda mano

Aunque el RGPD no aplica a personas físicas en uso doméstico (artículo 2.2.c), vender un PC con datos personales sin borrado seguro puede generar responsabilidad civil o penal (revelación de secretos, artículo 197 CP). La recomendación práctica: ejecutar DBAN o nwipe con al menos 3 pasadas antes de cualquier venta, donación o entrega en punto limpio. Para SSDs, usar la herramienta del fabricante para ATA Secure Erase.

Servicio de borrado certificado de RecuperaTusDatos

En RecuperaTusDatos ofrecemos servicio profesional de borrado seguro y destrucción certificada para empresas y particulares. El servicio incluye:

  • Diagnóstico y clasificación previa de los dispositivos
  • Aplicación del método más adecuado según el tipo de soporte y nivel de sensibilidad de los datos
  • Emisión de certificado de destrucción individual por número de serie, válido para auditorías RGPD, ENS e ISO 27001
  • Informe de cumplimiento normativo con referencia al Reglamento aplicado
  • Gestión de residuos RAEE conforme a la normativa vigente

Si manejas datos sensibles de clientes, empleados o pacientes y necesitas dar de baja equipos con total garantía legal, solicita presupuesto sin compromiso. También puedes ver nuestros servicios de recuperación de datos en discos duros si tu necesidad es la contraria: recuperar información de un dispositivo dañado.

¿Necesitas borrado seguro certificado? Llámanos al 900 899 002 (gratuito) o solicita presupuesto online. Emitimos certificado de destrucción por número de serie, válido para auditorías RGPD.

Para saber más sobre cómo proteger tus datos antes de que ocurra un incidente, consulta nuestra guía completa sobre copias de seguridad y la regla 3-2-1. Y si tu disco ya está fallando y temes perder datos antes de poder hacer una copia, lee sobre sectores defectuosos y cómo actuar a tiempo.

Preguntas frecuentes

No. El formato rápido solo elimina las referencias del sistema de ficheros —los datos siguen físicamente en el disco y son recuperables con herramientas gratuitas como Recuva o PhotoRec en pocos minutos. Incluso el formato completo (full format) no es suficiente en SSDs ni deja trazabilidad certificable. Para destruir datos de forma definitiva es necesario aplicar métodos de sobreescritura certificada (DoD 5220.22-M, NIST 800-88), degaussing o destrucción física según el tipo de soporte.

Para discos duros modernos (post-2001), la evidencia empírica y el NIST 800-88 indican que una sola pasada de sobreescritura con datos aleatorios es suficiente para hacer irrecuperable la información, incluso en laboratorio. El estándar DoD 5220.22-M usa 3 pasadas, que es el mínimo ampliamente aceptado para fines de cumplimiento normativo. El método Gutmann de 35 pasadas fue diseñado para tecnologías de disco de los años 90 con grabación de baja densidad; en discos actuales ofrece la misma protección práctica que 3-7 pasadas, pero es el más reconocido en contextos de máxima exigencia. Para SSDs, el número de pasadas es irrelevante por la arquitectura de wear leveling —deben usarse ATA Secure Erase o Cryptographic Erase.

La sobreescritura convencional (DBAN, DoD) no funciona correctamente en SSDs debido al wear leveling y las celdas de reserva. Los métodos recomendados son: (1) ATA Secure Erase para SSDs SATA — comando que el controlador ejecuta internamente borrando todas las celdas incluyendo las de reserva; usa hdparm en Linux o la herramienta del fabricante (Samsung Magician, SanDisk Dashboard). (2) NVMe Format para unidades NVMe — comando nvme format desde Linux. (3) Cryptographic Erase si el SSD tiene cifrado AES por hardware (TCG Opal): destruir la clave hace los datos matemáticamente irrecuperables. (4) Destrucción física para datos de máxima sensibilidad: es la única garantía absoluta.

Es un documento formal que acredita que los datos de un dispositivo específico han sido destruidos de forma segura. Debe incluir el número de serie del dispositivo, marca y modelo, método de destrucción aplicado (sobreescritura con estándar concreto, degaussing o destrucción física), fecha y hora del proceso, resultado de verificación, datos de la empresa responsable y número único de certificado. Es la evidencia documental exigible en auditorías de cumplimiento RGPD, ENS e ISO 27001. Sin certificado, no puedes demostrar ante la AEPD que destruiste los datos correctamente.

Sí, si eres responsable del tratamiento de datos personales. Los artículos 5.1.f y 32 del RGPD obligan a garantizar la seguridad de los datos, incluyendo su destrucción segura cuando ya no son necesarios o cuando el soporte se da de baja. El principio de "limitación del plazo de conservación" (art. 5.1.e) implica que los datos no deben mantenerse más tiempo del necesario, y deben destruirse de forma que no puedan recuperarse. El incumplimiento puede resultar en sanciones de hasta 20 millones de euros o el 4 % del volumen de negocio global anual. Los particulares en uso estrictamente doméstico están exentos (art. 2.2.c), aunque tienen responsabilidad civil y potencialmente penal si los datos llegan a terceros no autorizados.

En la práctica, no. Aunque a nivel teórico se han propuesto técnicas de microscopía de fuerza magnética (MFM) para detectar vestigios magnéticos residuales, ningún laboratorio del mundo ha demostrado recuperar datos legibles de un disco moderno sobreescrito con incluso una sola pasada aleatoria. El NIST 800-88 establece explícitamente que una sola sobreescritura es suficiente para discos ATA modernos. La teoría de que se necesitan 35 pasadas (Gutmann) se basaba en tecnologías de disco de la década de 1990 con codificación diferente. Tras DoD 5220.22-M correctamente aplicado en un HDD moderno, la recuperación comercial es imposible.

La sobreescritura escribe patrones de datos encima de la información existente, sector por sector, utilizando el propio controlador del disco. El disco sigue siendo funcional tras el proceso. El degaussing aplica un campo electromagnético de alta intensidad que destruye físicamente la alineación magnética de todos los dominios del disco, incluyendo el firmware del controlador: el disco queda completamente inutilizable como dispositivo de almacenamiento. El degaussing es más rápido (segundos frente a horas para un disco de 4 TB) y más absoluto para HDDs, pero no funciona en absoluto en SSDs, NVMe, pendrives ni tarjetas de memoria (que no usan almacenamiento magnético). La sobreescritura, por el contrario, funciona en cualquier tipo de soporte aunque con limitaciones en SSDs.

Sí. Ofrecemos servicio profesional de borrado seguro y destrucción certificada para empresas y particulares. Aplicamos el método más adecuado según el tipo de soporte (sobreescritura DoD/NIST para HDDs, ATA Secure Erase o destrucción física para SSDs) y emitimos certificado de destrucción individual por número de serie, válido para auditorías RGPD, ENS e ISO 27001. Solicita presupuesto sin compromiso o llámanos al 900 899 002.

¿Necesitas recuperar datos?

Nuestro equipo técnico puede ayudarte. Diagnóstico gratuito en 4 horas, sin compromiso.

  • Precio: Desde 250€ + IVA — sin recuperación, sin coste
  • Plazo: 4–12 días laborables (urgente: 24–48 h)
  • Teléfono: 900 899 002
  • Certificación: ISO 9001 e ISO 27001 (AENOR)

Escrito por

Sergio Martínez

Técnico Especialista en HDD/SSD — RecuperaTusDatos

Técnico especialista en recuperación de datos de discos duros HDD, SSD NVMe y firmware. Más de 8 años trabajando con PC-3000 UDMA y DeepSpar Disk Imager para casos de fallo mecánico, electrónico y de firmware.

PC-3000 UDMA DeepSpar ISO 9001
Publicado: 22/04/2025 9 min de lectura

Servicio disponible en toda España — Recogida gratuita en 24h

Barcelona
Madrid
Valencia
Sevilla
Bilbao
Zaragoza
Málaga
Alicante
Murcia
Palma
Córdoba
Vigo

Recibe consejos y alertas de recuperación de datos

Guías prácticas, novedades y consejos para proteger tus datos. Sin spam.

Entérate de todo lo nuevo

Técnica Ingeniería y Robótica Aplicada S.L. como responsable del tratamiento tratará tus datos con la finalidad de dar respuesta a tu consulta o petición. Puedes acceder, rectificar y suprimir tus datos, así como ejercer otros derechos consultando la información adicional y detallada sobre protección de datos en nuestra Política de Privacidad.

Prometemos enviarte sólo información interesante.

Diagnóstico gratuito 900 899 002 WhatsApp WhatsApp
Llamar Te llamamos Diagnóstico

¿Necesitas recuperar datos?

Diagnóstico 100% gratuito y sin compromiso.
Si no recuperamos tus datos, no cobramos.

Solicitar diagnóstico gratuito