Por qué el cifrado protege la confidencialidad de los datos, pero convierte cada recuperación en una operación de precisión.
Hay llamadas que se repiten en el laboratorio con una regularidad casi estadística. Esta llegó un lunes por la mañana:
«Quería liberar espacio en un disco y borré la partición equivocada. Dentro estaba todo cifrado con BitLocker. ¿Se puede hacer algo?»
La respuesta corta es, sí. La respuesta completa es más interesante, porque este caso reúne dos de los grandes protagonistas de la informática doméstica y profesional actual, el error humano, tan antiguo como los propios ordenadores, y el cifrado de disco, que Windows 11 ha convertido en compañero silencioso de millones de usuarios que ni siquiera saben que lo tienen activado.
Borrar una partición no borra los datos
Conviene empezar por deshacer un malentendido. Cuando se elimina una partición, el sistema operativo no destruye la información, simplemente borra la entrada del índice que le decía dónde empezaba y dónde terminaba ese volumen. Es como arrancar la ficha de un libro del catálogo de una biblioteca. El libro sigue en su estantería; lo que ha desaparecido es la referencia que permitía encontrarlo.
En un volumen sin cifrar, esa recuperación es un procedimiento relativamente bien conocido. Pero cuando el volumen está protegido con BitLocker, el escenario cambia. Ya no buscamos un sistema de archivos reconocible, con sus carpetas y sus nombres, buscamos un contenedor cifrado cuyo contenido, visto en crudo, es indistinguible del ruido aleatorio. Un océano de datos sin un solo punto de referencia... salvo uno.
Una firma que sobrevive al borrado
Todo volumen BitLocker comienza con una cabecera propia que sustituye al sector de arranque convencional. Y esa cabecera contiene una firma característica —los ingenieros de Microsoft la bautizaron como -FVE-FS-, por Full Volume Encryption— que actúa como una huella dactilar. El borrado de la partición no la toca: sigue exactamente donde siempre estuvo, esperando a que alguien sepa buscarla.
Ese fue el primer paso del caso. Con el disco clonado en un entorno forense —nunca se trabaja sobre el original—, lanzamos una búsqueda por firmas sobre la superficie completa de la unidad, casi tres terabytes leídos sector a sector. Entre los restos del formato de fábrica del disco y estructuras antiguas de sistemas de archivos anteriores, apareció lo que buscábamos, la cabecera BitLocker intacta, con sus punteros a las tres copias de metadatos que el sistema mantiene por seguridad.
Quedaba una segunda confirmación, y la proporcionó un testigo inesperado. Las tablas de particiones modernas guardan una copia de respaldo al final del disco, y esa copia conservaba todavía la entrada de la partición eliminada, su inicio y su final exactos, coincidentes con la posición de la cabecera encontrada. Dos fuentes independientes señalando el mismo punto. En recuperación de datos, esa redundancia de evidencias es lo que separa una hipótesis de una certeza.
Reconstruir sin escribir
Con las coordenadas verificadas, el siguiente paso fue reconstruir la partición de forma virtual, definirla en el entorno de trabajo del laboratorio sin escribir un solo byte en el disco del cliente. Es un principio que repetimos desde hace décadas y que no admite excepciones, cada escritura sobre un soporte comprometido reduce las posibilidades de recuperación. La partición volvió a existir, pero solo en nuestra mesa de trabajo.
Y entonces llegó el momento decisivo, el que ninguna herramienta ni ninguna experiencia pueden sortear, el descifrado. BitLocker emplea cifrado AES, un estándar que, correctamente implementado, no se puede romper. Sin la contraseña del volumen o sin la clave de recuperación de 48 dígitos que Windows genera al activarlo, la información es matemáticamente inaccesible. Para cualquiera. También para nosotros.
El cliente conservaba su clave de recuperación vinculada a su cuenta de Microsoft. Con ella, el volumen se abrió, el sistema de archivos apareció íntegro y la verificación posterior confirmó lo que esperábamos, la información estaba completa y en perfecto estado. El libro seguía en su estantería.
Las dos lecciones del caso
La primera es tranquilizadora, un borrado accidental, incluso sobre un volumen cifrado, rara vez es el final de la historia. La información suele seguir ahí. Lo que la pone en riesgo, como tantas veces, es lo que se hace después, crear una partición nueva, formatear, escribir datos encima o dejar que una herramienta automática «repare» el disco. Ante un borrado accidental, la recomendación cabe en una línea, detenga el uso de la unidad y no escriba nada en ella.
La segunda es una advertencia que el tiempo hará cada vez más relevante, guarde su clave de recuperación de BitLocker. Windows la genera al activar el cifrado —a menudo sin que el usuario sea consciente— y la asocia a la cuenta de Microsoft, donde puede consultarse en cualquier momento. Verifique hoy que la suya está accesible. Porque el cifrado no distingue entre un atacante y su legítimo propietario, sin la clave, la mejor recuperación técnica del mundo termina ante una puerta que nadie puede abrir.