En Forense Digital es necesario entender como las computadoras almacenan los archivos. Las computadoras almacenan los datos en espacios definidos llamados “sectores”. Se puede pensar en los sectores como el contenedor más pequeño en una computadora utilizado para almacenar información. Cada sector almacena hasta 512 bytes de datos, pudiendo almacenar menos, pero no más.

Mientras un sector es el contenedor más pequeño, el sistema operativo de una computadora únicamente almacena datos como “clusters”. Suponiendo alguien ha grabado un archivo comprometedor en un dispositivo de almacenamiento de nombre “evidencia.doc”. Si este tiene un conveniente tamaño de 1024 bytes, el archivo ocupará el espacio de dos sectores separados.

El archivo de nombre “evidencia.doc” luego es eliminado de la computadora, siendo enviado hacia la papelera de reciclaje. Pero también se procede a vaciar la papelera de reciclaje. Se podría pensar el archivo ha sido eliminado completamente, pero esto no es así, pues el archivo aún reside en los dos sectores donde inicialmente fue almacenado.

Dos días después, alguien graba otro archivo de nombre “nuevo.doc” en el dispositivo de almacenamiento, el cual tiene un tamaño de únicamente 768 bytes, es decir únicamente los primeros 768 bytes del archivo original se sobrescribieron. Mediante un rápido calculo matemático, existen 256 bytes correspondiendo al espacio residual o holgura. Este espacio es la diferencia entre el espacio asignado y el espacio actualmente utilizado.

Del espacio residual o de holgura se pueden recuperar fragmentos de archivos previos. Aunque esto podría no ser útil, se debe utilizar el condicional “podría”. Pues podría ser parte de un documento incriminante, como un archivo de hoja de calculo, correo electrónico o fotografía. Estos fragmentos podrían contener lo suficiente de un mensaje de correo electrónico para identificar al remitente o dirección IP del remitente. Una fotografía parcial de una victima podría enlazarla con un sospechoso. El espacio residual o de holgura no puede ser accedido por el usuario normal o el sistema operativo. Como tal, esta evidencia existente es desconocida para un sospechoso.

Fuentes:

http://forensicswiki.org/wiki/Slack
http://myharddrivedied.com/presentations-resources