Imágenes forenses de discos con fallos: ddrescue, PC-3000 y clonado sector a sector
La primera regla de la recuperación de datos es también la más importante: nunca trabajes directamente sobre el disco original averiado. Cada lectura fallida somete al actuador y a los platos a un estrés mecánico adicional. Cada segundo que el disco permanece encendido con una avería activa acerca el momento en que deja de responder completamente. La solución es crear una imagen forense lo antes posible y trabajar sobre ella. Este artículo explica cómo se hace correctamente.
¿Qué es una imagen forense de disco?
Una imagen forense es una copia bit a bit exacta de todo el contenido del disco: sector por sector, incluyendo sectores dañados, espacio no asignado y metadatos del sistema de ficheros. No es una copia de los ficheros visibles: es una réplica del dispositivo de almacenamiento completo, desde el sector 0 hasta el último LBA, que puede montarse como si fuera el disco original.
A diferencia de una copia de seguridad convencional, la imagen forense:
- Incluye ficheros borrados y espacio no asignado (fundamental para recuperación y forense)
- Preserva los metadatos del sistema de ficheros (fechas, permisos, atributos)
- Permite trabajar sobre una copia sin tocar el original
- Puede verificarse mediante hash MD5/SHA256 para garantizar la integridad
- Puede montarse en modo solo lectura para análisis forense sin alterar el original
Herramientas de imagen forense: panorama comparativo
GNU ddrescue
ddrescue es la herramienta open source más utilizada en recuperación de datos profesional para discos con sectores dañados. A diferencia de dd, ddrescue implementa un algoritmo inteligente de copia:
- Primera pasada (forward pass): copia los sectores que se leen sin error, saltando los sectores problemáticos rápidamente (sin reintentos).
- Segunda pasada (trimming): recorta los bordes de los bloques dañados para reducir el tamaño de las áreas de error.
- Tercera pasada (splitting): divide cada bloque de error por la mitad sucesivamente para aislar los sectores individuales fallidos.
- Cuarta pasada (retry): reintenta los sectores fallidos el número de veces configurado.
El uso del fichero de log (mapfile) es imprescindible: permite interrumpir y reanudar el proceso sin perder el progreso. Un ejemplo de comando básico:
ddrescue -d -r3 --log-rates /dev/sdb /mnt/imagen/disco.img /mnt/imagen/disco.mapDonde -d fuerza el acceso directo al dispositivo saltando la caché del sistema operativo, -r3 indica 3 reintentos por sector fallido y --log-rates registra las tasas de transferencia para monitorizar la degradación del disco durante el proceso.
dc3dd
dc3dd es un fork de dd desarrollado por el Defense Computer Forensics Lab (DCFL) del gobierno de EE.UU. Sus ventajas sobre dd convencional incluyen cálculo de hash en tiempo real durante la copia (MD5, SHA1, SHA256, SHA512), informe de progreso, fragmentación automática de la imagen de salida y registro detallado de errores. Es especialmente valorado en contextos donde la imagen va a utilizarse como evidencia en procedimientos judiciales.
dc3dd if=/dev/sdb hash=sha256 hlog=hash.log of=/mnt/imagen/disco.img log=errores.logPC-3000 Imager (ACE Laboratory)
El PC-3000 Imager es la herramienta comercial de referencia en laboratorios de recuperación de datos profesionales a nivel mundial. A diferencia de las herramientas software puras, trabaja a nivel de firmware del disco, lo que le permite:
- Acceder a zonas del disco inaccesibles desde el sistema operativo (DCO, HPA)
- Controlar el tiempoó de espera en sectores dañados con precisión de milisegundos para evitar que el disco entre en estado de pánico (BSY)
- Realizar la imagen con el disco en modo factory o mediante acceso directo por puerto serie al firmware
- Generar mapas de sectores dañados compatibles con PC-3000 DiskScan para recuperación asistida
- Trabajar con discos que el sistema operativo no reconoce en absoluto
El coste del equipo PC-3000 (varios miles de euros) hace que solo esté al alcance de laboratorios especializados, pero la diferencia en la tasa de éxito con discos en estado crítico es significativa.
Otras herramientas relevantes
| Herramienta | Tipo | Mejor para |
|---|---|---|
| FTK Imager (AccessData) | Comercial/gratis | Imagen con hash verificado, contexto forense judicial |
| Guymager | Open source | Imagen rápida multi-hilo en Linux, GUI amigable |
| R-Studio (Technician) | Comercial | Imagen + recuperación en un solo flujo |
| DeepSpar Disk Imager | Hardware especializado | Discos con fallos mecánicos severos, control de timeout |
| Atola TaskForce | Hardware forense | Imagen ultrarrápida, múltiples interfaces simultáneas |
Manejo de errores de lectura: estrategias avanzadas
Timeout por sector: el equilibrio crítico
Un disco con sectores deteriorados puede tardar de 30 a 120 segundos en responder a una solicitud de lectura de un solo sector fallido antes de devolver un error. Si el disco tiene miles de sectores en ese estado, el tiempo total de imagen puede dilatarse a días o semanas. La estrategia óptima es configurar timeouts agresivos (2–5 segundos por sector) en la primera pasada para obtener rápidamente todo lo que se puede leer, y dejar los reintentos extendidos para una segunda pasada sobre solo los sectores fallidos.
Temperatura y reposo
Los discos con fallos de cabezal a menudo funcionan mejor tras un período de reposo en frío. La dilatación térmica puede estabilizar temporalmente un cabezal desalineado. Técnicas como el cooling controlado (nunca congelador: la condensación destruye los platos) se combinan con sesiones de imagen cortas alternadas con períodos de reposo.
Orden de lectura no secuencial
En lugar de leer el disco de principio a fin, las herramientas avanzadas como ddrescue y PC-3000 Imager permiten leer primero las zonas probablemente más valiosas del disco (el comienzo del sistema de ficheros, la zona de directorios raíz) para maximizar los datos recuperados en el tiempo disponible antes de que el disco pueda fallar completamente.
Trabajo sobre la imagen: ventajas y flujo de trabajo
Una vez obtenida la imagen, el disco original puede apagarse y almacenarse en lugar seguro. Todo el trabajo de recuperación se realiza sobre la imagen, lo que ofrece ventajas fundamentales:
- Repetibilidad: cualquier análisis puede repetirse desde el mismo punto de partida.
- Paralelismo: varios técnicos pueden trabajar sobre copias de la imagen simultáneamente.
- Seguridad: una operación errónea no daña el original.
- Velocidad: las herramientas de análisis trabajan a la velocidad del SSD donde está la imagen, no a la velocidad limitada del disco original averiado.
La imagen en formato RAW (fichero .img) puede montarse directamente en Linux con losetup o mount -o loop,ro. Las herramientas forenses como Autopsy, X-Ways Forensics o R-Studio pueden analizar la imagen directamente. Los formatos de imagen forense con contenedor (E01 de EnCase, AFF4) añaden metadatos, segmentación y verificación de integridad integrada.
Cuando la imagen es incompleta
En discos muy dañados, la imagen resultante puede tener áreas extensas sin leer (marcadas como sectores no leídos o rellenados con ceros). En estos casos, las técnicas de recuperación sobre la imagen incluyen:
- Reconstrucción del sistema de ficheros: herramientas como TestDisk reconstruyen la tabla de particiones y el sistema de ficheros a partir de las estructuras intactas que quedan en la imagen.
- File carving: búsqueda de firmas de fichero (magic bytes) en el espacio de datos bruto. PhotoRec (a pesar del nombre, soporta cientos de formatos) o soluciones comerciales como Forensic Toolkit.
- Reconstrucción de bases de datos parciales: análisis de páginas de base de datos intactas dentro de la imagen para extraer registros individuales de SQL Server, MySQL, PostgreSQL u Oracle.
Lo primero que hacemos es crear una imagen forense para preservar el original. Contamos con PC-3000, ddrescue y hardware especializado para los discos más difíciles. Diagnóstico gratuito.
Solicitar diagnóstico gratuito
WhatsApp