Objetivo del laboratorio

Fundamento teórico: El borrado seguro de datos es un requisito legal y de seguridad crítico. Según el Informe de Reutilización de Discos Duros 2024, el 43% de los discos duros usados adquiridos en mercados secundarios contienen datos recuperables. La norma ISO 27001 A.8.10 (Disposición de activos) exige que los activos de información sean eliminados de forma segura.

Este laboratorio implementa técnicas de borrado seguro siguiendo estándares internacionales (DoD 5220.22-M, NIST SP 800-88, Gutmann, Schneier).

¿Qué aprenderás? Diferencias entre borrado lógico y físico, uso de shred/wipe/dd, problemática de los SSD, destrucción física y verificación forense.

Requisitos y escenario

Escenario empresarial: Una empresa debe dar de baja 20 equipos con datos de clientes y secretos comerciales. Requisitos: certificado de destrucción, cumplimiento NIST 800-88, verificación post-borrado.
  • Sistema Linux (Ubuntu/Debian/Kali) - puede ser VM
  • Disco USB o imagen de disco para prácticas (mínimo 1 GB)
  • Privilegios de superusuario (sudo)
  • Herramientas: shred, wipe, dd, secure-delete
Instalación de herramientas forenses
$ sudo apt update && sudo apt install -y wipe secure-delete
$ dd if=/dev/urandom of=~/datos_borrado.bin bs=1M count=100
✓ Herramientas instaladas

Estándares internacionales de borrado

Teoría - Principales estándares:
  • DoD 5220.22-M (USA): 3-7 pasadas con verificación
  • NIST 800-88 Rev.1: Recomienda 1 pasada con verificación
  • Gutmann: 35 pasadas (para discos MFM/RLL antiguos)
  • Schneier: 7 pasadas
1

Matriz por nivel de sensibilidad

NivelMétodoEstándar
Datos personales básicos1 pase con zerosNIST 800-88
Datos financieros/confidenciales3-7 pasadasDoD 5220.22-M
Secretos comercialesDestrucción físicaNIST 800-88

Borrado seguro con shred

1

Comandos shred

shred - Ejemplos
$ echo "DATO_SECRETO=12345" > ~/secreto.txt
$ shred ~/secreto.txt # 3 pasadas por defecto
$ shred -n 7 -z -u -v ~/secreto.txt # 7 pasadas + cero + eliminar
$ find ~/datos_sensibles -type f -exec shred -n 3 -z -u {} \;
Limitación: En sistemas de archivos journaling (ext4, XFS), shred puede no sobrescribir todas las copias. Para datos ultra sensibles, use cifrado de disco completo o destrucción física.

Borrado avanzado con wipe

wipe - Ejemplos
$ wipe ~/archivo_secreto.txt # Borrado básico
$ wipe -D -r -v ~/directorio_sensible/ # DoD (7 pasadas) recursivo
$ wipe -Q 1 -D -r ~/datos_top_secret/ # Gutmann (35 pasadas)
$ wipe -c -R ~/archivos_confidenciales/* # Con confirmación

Borrado de dispositivos con dd

dd - Borrado de dispositivos
$ lsblk # Listar discos - ⚠️ Identificar correctamente
$ sudo dd if=/dev/zero of=/dev/sdX bs=4M status=progress # Borrar con ceros
$ sudo dd if=/dev/urandom of=/dev/sdX bs=4M status=progress # Borrar con datos aleatorios
⚠️ ADVERTENCIA: dd sin la ruta correcta puede destruir el sistema operativo. Siempre verifique 3 veces el dispositivo objetivo (/dev/sdX). ¡NO EJECUTE EN PRODUCCIÓN SIN RESPALDO!

HDD vs SSD y verificación de borrado

¿Por qué los SSD son diferentes? Los SSD usan wear leveling y TRIM, que reubican datos físicamente. Una sobrescritura con dd/shred puede no alcanzar las celdas originales.
1

ATA Secure Erase para SSD

Secure Erase
$ sudo hdparm -I /dev/sdX | grep -i "supported.*erase" # Verificar soporte
$ sudo hdparm --user-master u --security-set-pass p /dev/sdX # Establecer contraseña
$ sudo hdparm --user-master u --security-erase p /dev/sdX # Ejecutar Secure Erase
Verificación post-borrado
$ sudo hexdump -C /dev/sdX | head -100 # Inspección visual
$ sudo foremost -i /dev/sdX -o /tmp/recovery_test # Buscar firmas de archivos
$ sudo fdisk -l /dev/sdX # Verificar particiones
$ sudo sha256sum /dev/sdX > certificado_destruccion.txt # Generar certificado
¡Verificación completada! El certificado de destrucción es requerido por ISO 27001 A.8.10 y GDPR Artículo 17.

Resumen: Comandos esenciales

Cheatsheet - Borrado y Destrucción
╔═══════════════════════════════════════════════════════════════════════╗
║ BORRADO DE ARCHIVOS ║
╚═══════════════════════════════════════════════════════════════════════╝
$ shred -n 3 -z -u archivo.txt # 3 pasadas + cero + eliminar
$ wipe archivo.txt # Método Gutmann/DoD
╔═══════════════════════════════════════════════════════════════════════╗
║ BORRADO DE DIRECTORIOS ║
╚═══════════════════════════════════════════════════════════════════════╝
$ wipe -D -r /ruta # Borrado recursivo de directorio
$ srm -r -f -z /ruta # rm seguro recursivo
╔═══════════════════════════════════════════════════════════════════════╗
║ BORRADO DE DISCOS (HDD) ║
╚═══════════════════════════════════════════════════════════════════════╝
$ dd if=/dev/zero of=/dev/sdX bs=4M # NIST 800-88 (1 pasada)
$ wipe -Q 1 /dev/sdX # Método Gutmann (35 pasadas)
╔═══════════════════════════════════════════════════════════════════════╗
║ BORRADO DE SSD (SEGURIDAD) ║
╚═══════════════════════════════════════════════════════════════════════╝
$ sudo hdparm --user-master u --security-set-pass p /dev/sdX
$ sudo hdparm --user-master u --security-erase p /dev/sdX
╔═══════════════════════════════════════════════════════════════════════╗
║ VERIFICACIÓN Y CERTIFICACIÓN ║
╚═══════════════════════════════════════════════════════════════════════╝
$ hexdump -C /dev/sdX | head -50
$ sha256sum /dev/sdX > certificado.txt

¿Qué sigue?

Certificaciones relacionadas: CISSP (Dominio de Seguridad de Activos), CEH (Módulo de Antiforense), CHFI (Computer Hacking Forensic Investigator).

Antiforensia

Técnicas para evadir análisis forense

Análisis forense

Autopsia, The Sleuth Kit

Cifrado de disco

LUKS, BitLocker, FileVault

eDiscovery

Recuperación legal de evidencia

¡Laboratorio forense completado!

Has implementado técnicas de borrado seguro profesional: shred, wipe, dd, ATA Secure Erase, comprendiendo las diferencias críticas entre HDD y SSD. Sabes generar certificados de destrucción según NIST 800-88, DoD 5220.22-M, fundamentales para cumplir con ISO 27001 y GDPR.

Ver más tutoriales