← Volver al blog

Cómo recuperar archivos eliminados de NTFS usando la MFT

· 5 min de lectura

Respuesta corta: los archivos eliminados en NTFS suelen poder recuperarse hasta que se reutiliza la posición de su registro MFT y se sobrescriben sus clústeres de datos. Para los archivos pequeños, el contenido suele residir dentro del propio registro MFT y sobrevive incluso cuando los clústeres han desaparecido. El flujo de trabajo fiable es: deja de usar el volumen, créale una imagen y luego o bien reproduce la MFT con un parser forense, o haz carving del disco buscando firmas FILE.

Por qué la eliminación no borra

Cuando Windows elimina un archivo de un volumen NTFS, ocurren tres cosas y una no:

  1. La bandera in-use del registro MFT del archivo se borra.
  2. Los clústeres que contenían los datos del archivo se marcan como libres en $Bitmap.
  3. La entrada de índice del directorio padre se elimina.

Lo que no ocurre: nada sobrescribe realmente el registro ni los clústeres. Simplemente se marcan como disponibles para la siguiente asignación. Mientras nada más los reclame, el archivo es recuperable. Véase qué sobrevive cuando eliminas un archivo en NTFS para el detalle campo por campo.

Paso 1: deja de escribir en el volumen

Cada escritura que hagas en el volumen arriesga reutilizar la posición del registro eliminado o sus clústeres de datos. Si el archivo importa:

  • Detén la aplicación que lo tocó.
  • Si el archivo vivía en el disco del sistema y este sigue funcionando, el propio SO está escribiendo constantemente. Apágalo o arranca desde un medio externo.
  • Para un disco externo, desmóntalo de inmediato.

Paso 2: crea una imagen del disco

Trabaja sobre una copia, nunca sobre el original. Las opciones estándar:

  • FTK Imager — gratuito, GUI, produce imágenes .dd o .E01. Calcula el hash de la fuente durante la lectura.
  • dd en Linux/macOS — copia bit a bit. dd if=/dev/sdX of=disk.img bs=4M conv=noerror,sync status=progress.
  • ddrescue — más lento, pero tolera errores de lectura en discos defectuosos.

Calcula el hash de la imagen (SHA-256) inmediatamente después de la adquisición. Todos los pasos posteriores trabajan sobre la imagen.

Paso 3: recupera con uno de tres enfoques

Reproducción de la MFT — analiza $MFT (extráela de la imagen o léela in situ) con una herramienta que liste los registros eliminados. El nombre del archivo eliminado, sus marcas de tiempo y (para archivos pequeños) sus datos son recuperables desde el propio registro.

  • MFTECmd lista los registros eliminados y etiqueta los datos residentes.
  • El parser navegador de este sitio filtra las entradas eliminadas con un clic y permite exportar sus metadatos a CSV.

Herramientas de recuperación conscientes del sistema de archivos — leen el sistema de archivos vivo (o una imagen) y presentan los archivos eliminados para su restauración selectiva:

  • R-Studio — comercial, la elección del analista para NTFS. Gestiona daños complejos.
  • TestDisk + PhotoRec — gratuito, maduro, bueno para daños de partición y carving por firmas.
  • Recuva — nivel doméstico pero correcto para recuperar un archivo en un solo disco.

Carving por firmas — cuando la MFT ha desaparecido, scalpel, foremost o PhotoRec escanean la imagen cruda en busca de firmas de archivo conocidas (JPEG FF D8 FF, PNG 89 50 4E 47, ZIP 50 4B 03 04, etc.) y reconstruyen lo que encuentran. Los archivos carved pierden su nombre y sus marcas de tiempo — vivían en la MFT — pero los bytes en sí vuelven.

Qué es realmente irrecuperable

  • Clústeres sobrescritos. Los HDD modernos no ofrecen ningún camino realista para recuperar datos sobrescritos una sola vez. La famosa «recuperación por magnetismo remanente» de la antigua literatura forense no se aplica a los discos fabricados esta década.
  • Bloques SSD reclamados por TRIM. Una vez que el controlador del SSD ha hecho TRIM a un bloque, la flash subyacente se pone a cero durante la recolección de basura. El dato se ha perdido, y rápido.
  • Volúmenes cifrados sin la clave. Los volúmenes NTFS cifrados con BitLocker, VeraCrypt o LUKS son irrecuperables sin la clave de recuperación — el texto claro nunca tocó el disco.

Cuándo la recuperación por MFT es la única opción

Si el archivo era un pequeño archivo de texto, una pequeña configuración JSON o un pequeño script, los datos eran probablemente residentes — almacenados en línea dentro del registro MFT en lugar de en clústeres separados. Aunque $Bitmap haya sido sobrescrito decenas de veces, los bytes residentes siguen en el registro hasta que se reutilice la posición. Véase datos residentes.

Para estos archivos, el parser navegador suele ser el camino más rápido: suelta la $MFT que exportaste, filtra por entradas eliminadas, busca registros con $DATA residente y copia los bytes de vuelta.

Preguntas frecuentes

¿Cuánto tiempo permanecen recuperables los archivos eliminados en NTFS?

Hasta que se reutilice la posición de la MFT y se sobrescriban los clústeres de datos. En un sistema activo son horas. En un sistema en reposo pueden ser meses. No hay un temporizador fijo.

¿Vaciar la Papelera de reciclaje dificulta la recuperación?

No. La Papelera de reciclaje es solo una carpeta oculta ($Recycle.Bin) en cada volumen. «Vaciarla» elimina los archivos del modo normal — se aplican las mismas técnicas de recuperación.

¿Puedo recuperar archivos eliminados con del /F o Mayús+Suprimir?

Sí — saltan la Papelera pero eliminan del mismo modo. El registro MFT sigue ahí hasta que se reutilice.

¿Puedo recuperar archivos de un disco NTFS formateado?

El formato rápido solo reescribe el sector de arranque y una $MFT nueva. La mayoría de los antiguos clústeres de datos están intactos, igual que muchos de los registros MFT previos (NTFS reutiliza el mismo desplazamiento inicial). El carving por firmas recupera mucho. El formato completo pone el volumen a cero — esos datos están perdidos.

Artículos relacionados

Recursos externos