¿Se pueden recuperar datos después de una pasada de ceros completa?

En un HDD moderno con grabación perpendicular, la recuperación después de una pasada de sobreescritura completa con ceros es prácticamente imposible con las técnicas forenses actuales. Los estudios científicos publicados (Wright et al., 2008) demuestran que la tasa de error al intentar reconstruir bits es superior al 50%, haciendo los datos indistinguibles de ruido aleatorio.

¿El método Gutmann de 35 pasadas es necesario hoy en día?

No. El propio Peter Gutmann aclaró que la mayoría de los 35 patrones de su método fueron diseñados para tecnologías de codificación magnética (MFM, RLL) que ya son obsoletas. Para discos modernos con codificación PRML/EPRML, una única pasada aleatoria bien ejecutada es equivalente en términos de protección práctica. Gutmann es innecesariamente lento para el hardware actual.

¿Los SSDs son más difíciles de recuperar que los HDDs?

Depende del escenario. Con TRIM activo (lo habitual en Windows 10/11 y macOS modernos), los datos borrados en un SSD son eliminados rápidamente por el controlador, reduciendo mucho las posibilidades de recuperación. Sin TRIM, o si el borrado fue muy reciente, la recuperación en SSDs puede ser viable. En general, actuá más rápido con un SSD que con un HDD si necesitas recuperación.

¿Qué diferencia hay entre borrar un fichero y sobreescribirlo?

Borrar un fichero (papelera, Supr, rm) sólo elimina la referencia en el sistema de ficheros: los datos siguen en el disco hasta que otro fichero los sobreescriba. Sobreescribir implica que nuevos datos se escriben en los mismos sectores físicos, destruyendo el contenido anterior. La recuperación es más probable en el primer caso y mucho menos probable en el segundo.

¿Qué es el ATA Secure Erase y por qué es el método recomendado para SSDs?

ATA Secure Erase es un comando estándar del protocolo ATA que ordena al controlador del SSD que borre internamente todas las celdas de memoria, incluyendo las zonas de over-provisioning inaccesibles al sistema operativo. Es el único método que garantiza el borrado completo de un SSD, ya que las pasadas de sobreescritura convencionales no alcanzan las zonas de reserva del controlador. En HDDs, una pasada de sobreescritura con datos aleatorios tiene eficacia equivalente.

¿Se pueden recuperar datos sobreescritos? Sobreescritura, DoD 5220.22-M y recuperación forense

Guías Técnicas 20/03/2026 7 min lectura Técnico Especialista

¿Se pueden recuperar datos sobreescritos? La verdad técnica sobre sobreescritura y borrado seguro

Es una de las preguntas que más recibimos, y la respuesta no es sencilla. Depende del tipo de disco (HDD o SSD), del método de sobreescritura utilizado, de cuántas pasadas se hicieron y, en el caso de los HDD modernos, de la densidad de grabación. En este artículo desmontamos mitos, explicamos la ciencia detrás de la recuperación de datos sobreescritos y establecemos cuándo es realista intentarlo y cuándo no.

Cómo funciona la sobreescritura en un disco duro HDD

En un disco duro magnético (HDD), los datos se almacenan como zonas de orientación magnética en el plato recubierto de óxido. Cuando el sistema escribe un nuevo dato sobre un sector que ya contenía información, la cabeza de escritura aplica un campo magnético que reorienta las partículas magnéticas del plato. El dato anterior queda sobreescrito.

La pregunta es: ¿queda algún residuo del dato anterior? En teoría, la señal magnética resultante en el plato no es una sobreescritura perfecta: el campo de escritura no es homogéneo en los bordes del track y pueden quedar residuos de señal magnética subumbral (por debajo del umbral de detección del cabezal estándar). Esto llevó al desarrollo de técnicas de borrado múltiple, como el estándar DoD 5220.22-M y el método Gutmann.

DoD 5220.22-M y Gutmann: ¿qué son realmente?

DoD 5220.22-M

El estándar del Departamento de Defensa de los EE. UU. en su versión clásica especifica 3 pasadas de sobreescritura:

Pasada 1: sobreescritura con un patrón fijo (ej. 0x00)
Pasada 2: sobreescritura con el complemento del patrón anterior (0xFF)
Pasada 3: sobreescritura con datos aleatorios y verificación

Versiones posteriores del estándar (ECE) añadieron hasta 7 pasadas. Es importante aclarar que el propio DoD, en sus versiones más recientes, ha retirado la especificación de múltiples pasadas para discos duros modernos, considerando que una única pasada de sobreescritura es suficiente para discos con densidad de grabación perpendicular.

Método Gutmann (35 pasadas)

El método Gutmann, publicado por Peter Gutmann en 1996, propone 35 pasadas de sobreescritura con patrones diseñados específicamente para los tipos de codificación magnética de los discos de la época. El propio Gutmann aclaró posteriormente que la mayoría de sus patrones sólo son relevantes para tecnologías de grabación ya obsoletas (MFM, RLL), y que para discos modernos con codificación PRML/EPRML bastan unas pocas pasadas aleatorias.

En la práctica, aplicar Gutmann en 35 pasadas a un disco de 4 TB moderno tarda más de 100 horas y ofrece una protección marginal sobre una única pasada aleatoria bien ejecutada.

¿Pueden recuperarse datos después de una sobreescritura? La postura científica actual

La respuesta honesta es: después de una única pasada de sobreescritura completa en un HDD moderno, la recuperación práctica de datos es extremadamente improbable. Los estudios de Craig Wright et al. (2008) demostraron que incluso con microscopio de fuerza magnética (MFM), la recuperación de datos en discos con grabación perpendicular después de una sola pasada de ceros era prácticamente inviable: la tasa de error al intentar reconstruir bits individuales superaba el 50%, haciendo que los datos recuperados fueran indistinguibles del ruido aleatorio.

La idea de que las agencias de inteligencia disponen de tecnología para recuperar datos después de múltiples pasadas es un mito moderno sin respaldo emperico publicado. Los laboratorios forenses de referencia (NIST, DFRWS) no han publicado evidencia de recuperación exitosa en discos con sobreescritura completa posterior a 2005.

Cuándo sí es posible una recuperación parcial

Existen situaciones concretas en las que la recuperación después de una sobreescritura parcial o incompleta es posible:

1. Sobreescritura incompleta (el sistema falló a mitad)

Si el proceso de borrado fue interrumpido (corte de luz, fallo del software, disco extraído durante el proceso), solo una parte del disco habrá sido sobreescrita. Los sectores que no llegaron a ser sobreescritos pueden recuperarse con técnicas estándar de recuperación de datos.

2. Borrado de ficheros a nivel de sistema de ficheros (sin sobreescritura)

Este es el caso más común. Cuando un usuario "borra" un fichero en Windows, macOS o Linux sin usar herramientas de borrado seguro, el sistema no sobreescribe los datos: simplemente marca el espacio como disponible. El contenido del fichero permanece intacto en los sectores del disco hasta que otro fichero ocupe ese espacio. Esto es lo que permite la recuperación de datos en la gran mayoría de casos de borrado accidental.

3. Borrado de partición o formateo rápido

El "formateo rápido" (Quick Format) de Windows solo reescribe las estructuras del sistema de ficheros (tabla de particiones, MFT o FAT), pero no toca los datos. Un formateo completo (Full Format) en versiones modernas de Windows sí realiza una pasada de ceros sobre todo el disco, haciendo la recuperación prácticamente imposible.

4. Sobreescritura de ficheros individuales (no de todo el disco)

Si solo se ha sobreescrito un fichero específico (por ejemplo, al guardar una nueva versión de un documento sobre el mismo nombre), los fragmentos anteriores pueden aún existir en el disco si el fichero anterior ocupaba más bloques que el nuevo. También pueden existir copias en el espacio de slack (fragmentos de datos al final de un clúster) o en áreas temporales del sistema.

SSDs: la sobreescritura es fundamentalmente diferente

En los discos de estado sólido (SSD), la arquitectura de almacenamiento es radicalmente diferente y tiene implicaciones importantes tanto para el borrado seguro como para la recuperación:

Wear leveling: El controlador del SSD distribuye las escrituras por todas las celdas para alargar su vida útil. Esto significa que cuando sobreescribes un bloque lógico, el controlador puede escribir los nuevos datos en una celda física diferente, dejando los datos originales en la celda anterior como "basura" hasta que el garbage collector los elimine.
Over-provisioning: Los SSDs tienen capacidad de almacenamiento física superior a la capacidad anunciada. En esta zona de over-provisioning pueden residir datos antiguos inaccesibles por medios convencionales.
TRIM: Si el SSD recibe comandos TRIM (en sistemas operativos modernos con controladores adecuados), los bloques liberados son marcados para borrado y el controlador los puede limpiar internamente antes de que sean sobreescritos. Esto reduce significativamente las posibilidades de recuperación en SSDs con TRIM activo.

La consecuencia práctica es doble: el borrado seguro en SSDs es más complejo (las pasadas de sobreescritura convencionales no garantizan el borrado en las zonas de over-provisioning), pero también la recuperación es más difícil, porque el TRIM puede haber eliminado los datos antes de que se solicitara la recuperación.

Técnicas forenses para recuperación después de sobreescritura parcial

Caríng de ficheros (file carving)

El file carving es una técnica que busca firmas de cabecera y pie de fichero (magic bytes) en los datos crudos del disco, independientemente de si existe una entrada en el sistema de ficheros que los referencie. Si los sectores que contenían un JPEG, PDF o ZIP no han sido sobreescritos, el carving puede recuperar el fichero aunque su entrada en el directorio haya sido eliminada.

Análisis de espacio de slack y espacio no asignado

El espacio de slack (slack space) son los bytes entre el final real de un fichero y el final del último clúster que ocupa. En este espacio pueden quedar fragmentos de datos de ficheros anteriores. Las herramientas forenses (EnCase, FTK, Autopsy) analizan sistemáticamente estas zonas.

Análisis de journaling del sistema de ficheros

Los sistemas de ficheros con journaling (NTFS, ext4, APFS, Btrfs) mantienen un registro de transacciones recientes. En algunos casos, el journal puede contener metadatos de ficheros recientemente borrados o incluso fragmentos de su contenido, incluso después de una sobreescritura parcial.

Tabla resumen: probabilidad de recuperación según escenario

Escenario	HDD	SSD (con TRIM)	SSD (sin TRIM)
Borrado papelera / rm sin seguro	Alta (80-95%)	Baja-media (20-50%)	Alta (70-90%)
Formateo rápido	Alta (75-90%)	Baja (10-30%)	Media (40-70%)
Formateo completo (1 pasada ceros)	Muy baja (1-3%)	Muy baja	Muy baja
Sobreescritura incompleta (interrumpida)	Media-alta (50-80%)	Media (30-60%)	Media-alta
DoD 5220.22-M (3 pasadas completas)	Prácticamente nula	Prácticamente nula	Prácticamente nula
ATA Secure Erase en SSD	N/A	Nula	Nula

Si crees que tus datos son recuperables —borrado accidental, formateo rápido, sobreescritura interrumpida— no sigas usando el disco. Cada nueva escritura reduce las probabilidades. Contáctanos para un diagnóstico gratuito.

Solicitar diagnóstico gratuito

Te puede interesar

¿Necesitas recuperar datos?

Nuestro equipo técnico puede ayudarte. Diagnóstico gratuito en 4 horas, sin compromiso.

Precio: Desde 250€ + IVA — sin recuperación, sin coste
Plazo: 4–12 días laborables (urgente: 24–48 h)
Teléfono: 900 899 002
Certificación: ISO 9001 e ISO 27001 (AENOR)

Solicitar diagnóstico gratuito WhatsApp

¿Buscas servicio en tu ciudad?

Recogida gratuita a domicilio en toda España · Diagnóstico en 4 horas · Sin recuperación, sin coste

📍 Barcelona 📍 Madrid 📍 Valencia 📍 Sevilla 📍 Bilbao 📍 Zaragoza 📍 Málaga 📍 Alicante 📍 Murcia 📍 Palma 📍 Vigo 📍 Córdoba

Escrito por

Técnico Especialista

Técnico en Recuperación de Datos — RecuperaTusDatos

Técnico certificado con más de 12 años de experiencia en recuperación de datos de discos duros, SSD, RAID, memorias flash y dispositivos móviles. Laboratorio propio con sala limpia ISO Clase 5, sin intermediarios.

ISO 9001 ISO 27001 Certificado

Publicado: 20/03/2026 7 min de lectura

Recibe consejos y alertas de recuperación de datos

Guías prácticas, novedades y consejos para proteger tus datos. Sin spam.