Es muy importante entender como las computadoras visualizan el espacio sobre un dispositivo de almacenamiento. Generalmente hablando, un sistema de archivos categoriza todo el espacio de un dispositivo de almacenamiento de dos maneras. El espacio ya sea asignado o sin asignar; existen algunas excepciones, como el HPA (Host Protected Area). Poniéndolo de otra manera, ya sea el espacio está siendo utilizado o no lo esta. Windows no puede visualizar los datos en este espacio sin asignar. Para el sistema operativo, los archivos ubicados en el espacio sin asignar son esencialmente invisibles. Es importante sin embargo entender “no utilizado” no siempre implica “vacío”.

Persistencia de Datos

Los datos en el dispositivo de almacenamiento son persistentes. No es tan fácil deshacerse de ellos como se podría pensar. Los archivos borrados permanecerán hasta ser sobrescritos con más datos. La pregunta es; ¿Cuanto tiempo tomará esto?. La respuesta es “depende” (la cual es una de las respuestas más frecuentes en el forense digital). Con la masiva cantidad de espacio de almacenamiento disponible en los dispositivos de almacenamiento actuales, existen buenas probabilidades de los archivos nunca sean sobrescritos. Las fotografías tomadas en su niñez podrían permanecer en el dispositivo de almacenamiento por un largo, muy largo periodo de tiempo.

Recordar, el trabajo del sistema de archivos es mantener un rastro o pista de todos los archivos y el espacio de almacenamiento. El sistema de archivos mantiene las cosas bonitas y ordenadas. Se debe pensar en el sistema de archivos como en un índice al final de un libro. Cuando se busca por un tema en particular, se recorre el índice hasta encontrar el termino requerido. Este índice nos proporciona el número de página al cual ir. El sistema de archivos funciona básicamente de la misma manera. Utilizando nuevamente la analogía del libro, borrar un archivo quitaría la entrada desde el índice del libro. Sin embargo aunque el tema no será referenciado en el índice, la página y todo su contenido permanecerán en el libro, intacto y sin ser tocado.

Puede sorprender el conocer cuando se guarda un archivo, este no es necesariamente guardado en un lugar. De hecho, podría estar disperso en varios platos de un disco duro. Podría parecer extraño si se piensa en lo ordenado de las computadoras, pero este podría no ser el caso.

El trabajo del sistema de archivos es mantener una pista de estos clusters separados, así estos pueden ser nuevamente ensamblados la siguiente vez se abra el archivo. ¿Alguna vez se ha defragmentado un dispositivo de almacenamiento?. Esto simplemente mueve estas partes dispares tan cercanamente como sea posible. Moviéndolos cerca acelera las cosas para la computadora. Pero algunos individuos intentarán destruir datos utilizado este proceso.

Los archivos sobrescritos generalmente se consideran como irrecuperables. Pero no todo está perdido. Como muchas reglas en la vida, existen excepciones y esta es una de ellas. Es posible el nuevo archivos asignado hacia un espacio no lo necesite del todo. Si este es el caso, el archivo original podría únicamente ser parcialmente sobrescrito. La parte restante puede ser recuperada y podría contener información la cual pueda ser utilizada. Este espacio restante es llamado espacio “residual” o de holgura.

Fuentes:

https://en.wikipedia.org/wiki/Host_protected_area
https://en.wikipedia.org/wiki/Glossary_of_digital_forensics_terms