InicioBase de conocimientos › Destruir SSD: por qué el borrado no funciona
Soportes

Destruir SSD: por qué la reescritura no funciona

· 7 min de lectura · DeSnipperaar

Todo administrador de IT conoce el reflejo: un portátil sale de la flota, así que arrancas DBAN o una herramienta similar y sobrescribes el disco tres veces. Durante décadas esa fue la regla de oro. En un SSD moderno esa regla ya no funciona. La capa física bajo un SSD funciona de forma fundamentalmente distinta a la de un HDD magnético, y una reescritura que en un HDD era excelente en un SSD es una apuesta. Este artículo explica por qué, y cuál es la única solución fiable.

Para quien lo lee: administradores de IT, DPO, compradores que por fin quieren entender por qué su procedimiento de borrado no cumple el artículo 32 del RGPD.

Cómo almacena datos un SSD

Un SSD contiene chips de memoria NAND flash, divididos en blocks y pages. Los datos se escriben por page (normalmente 4 o 16 KB) pero solo pueden borrarse por block (a menudo 256 KB o más). El sistema operativo no habla directamente con esos blocks. Entre el SO y la NAND está la Flash Translation Layer (FTL), que traduce direcciones lógicas a ubicaciones físicas. La FTL decide por sí misma dónde acaban los datos, no el SO.

Eso es esencial. Cuando Windows, macOS o Linux dice «escribe en el sector X», la FTL puede dirigir esa escritura a una celda NAND completamente distinta, por ejemplo para repartir el desgaste.

Wear levelling: el repartidor del desgaste

Las celdas NAND se desgastan. Cada escritura daña la celda, y tras unos pocos miles a cien mil ciclos la celda queda inutilizada. Para evitar que se golpee siempre el mismo punto, el controlador rota las escrituras por toda la memoria. Si escribes en la dirección lógica de sector 0, los datos pueden acabar en la celda física 12345. La siguiente vez en la celda 67890.

Consecuencia: si «sobrescribes con ceros» todo el disco, no sabes si has alcanzado de verdad todos los datos antiguos. Las celdas físicas más antiguas pueden seguir conteniendo contenido anterior que ya no es direccionable lógicamente, pero que con acceso directo al chip sí sigue siendo legible.

Celdas de reserva y over-provisioning

Por encima del wear levelling, cada SSD mantiene una reserva: celdas que el SO nunca llega a ver, destinadas a sustituir celdas estropeadas (remapping) y a mantener el rendimiento de escritura (over-provisioning). Un SSD de 512 GB suele tener entre un 10 y un 30 por ciento de espacio extra oculto. A esas celdas de reserva no puedes acceder ni sobrescribirlas con ningún comando del SO. Pueden contener datos antiguos que con acceso al chip siguen siendo recuperables.

Un SSD con 512 GB de capacidad lleva en realidad de 620 GB a 640 GB de NAND dentro. Todo el espacio que el SO no ve puede retener datos antiguos que los programas de borrado nunca alcanzan.

TRIM: ayuda, pero no garantiza nada

TRIM es un comando que el SO envía para decirle al SSD que un block ya no está en uso. El controlador puede entonces borrar ese block internamente en un momento adecuado. Eso parece una solución, pero:

  • TRIM es un «aviso» al controlador, no una garantía. Cuándo borra de verdad lo decide el firmware.
  • No todos los SSD admiten TRIM determinista (en el que los datos leídos tras TRIM son con seguridad 0).
  • TRIM no alcanza las celdas de reserva.
  • Con RAID, cifrado o un sistema operativo más antiguo, TRIM puede estar desactivado o limitado.

ATA Secure Erase: mejor pero no infalible

El comando ATA Secure Erase deja que el propio controlador del SSD borre todas las celdas, incluidas en muchos casos las celdas de reserva. Eso es bastante más fiable que la reescritura a nivel del SO. Investigadores de la UCSD demostraron ya en 2011 (el paper «Reliably Erasing Data from Flash-Based Solid State Drives») que una parte de los SSD probados dejaban, pese a todo, restos de datos tras un Secure Erase. Errores de fabricante, problemas de firmware y fallos de implementación hacen que nunca tengas una seguridad del 100 por cien.

Por eso NIST 800-88 clasifica el Secure Erase en SSD bajo Purge, con la salvedad de que el éxito depende del fabricante y el modelo. Aceptable para perfiles de bajo riesgo. Insuficiente para las categorías sensibles del RGPD.

Self-encrypting drives: borrado rápido mediante crypto-erase

Los SSD modernos admiten a menudo cifrado OPAL o TCG. Todos los datos están cifrados con una Data Encryption Key (DEK). Quien elimina la DEK deja todos los datos ilegibles. Esto se llama crypto-erase y se completa en segundos. Potente, siempre que:

  • El cifrado haya estado siempre activo (no activado solo después).
  • La gestión de claves esté en orden.
  • El firmware no haya introducido puertas traseras.
  • El propio cifrado sea bastante fuerte (AES-256 como mínimo).

Para un riesgo alto, la destrucción física sigue siendo la opción segura. El crypto-erase es teóricamente rompible si alguna vez se encuentra una debilidad en el cifrado.

¿Stock de SSD fuera de circulación? Destruye físicamente.

Trituramos SSD a DIN 66399 E-4 o superior en tu ubicación. Ningún portátil sale intacto de tu edificio. Certificado por número de serie.

Solicita un presupuesto

¿Qué prescribe la DIN 66399?

La serie E de la DIN 66399 rige para los soportes electrónicos como los SSD, las memorias USB y las tarjetas de memoria.

  • E-2: partículas hasta 2000 mm². Insuficiente para datos personales.
  • E-3: partículas hasta 160 mm². Clase 1.
  • E-4: partículas hasta 30 mm². El umbral mínimo para datos personales habituales.
  • E-5: partículas hasta 10 mm². Categorías especiales y financiero.
  • E-6: partículas hasta 1 mm². Datos muy sensibles.
  • E-7: partículas hasta 0,5 mm². Administración pública y alto secreto.

Para la mayoría de las organizaciones sujetas al RGPD, E-4 es el estándar. Para sanidad, financiero y abogacía eliges E-5. Lee también nuestro artículo sobre los niveles P de la DIN 66399 para la parte de papel de la misma norma.

Diferencia con USB y SD

Las memorias USB, las tarjetas SD y las microSD usan la misma tecnología NAND, a menudo con controladores más sencillos. Muchas memorias baratas no tienen wear levelling y dan un soporte deficiente de TRIM, lo que hace el borrado aún menos fiable. La conclusión es la misma: destruir. Consulta también nuestro artículo sobre eliminar memorias USB y tarjetas de memoria de forma segura.

En resumen

  1. La reescritura por software en SSD no alcanza toda la NAND por el wear levelling.
  2. Las celdas de reserva quedan fuera del alcance de cualquier comando del SO.
  3. ATA Secure Erase es mejor pero no infalible.
  4. El crypto-erase solo funciona si el cifrado estuvo activo desde el primer día.
  5. Para los datos sensibles del RGPD, la destrucción física (E-4 o superior) es la única opción fiable.

¿Un lote de SSD de devolución de leasing o de fin de vida útil? Llámanos o solicita un presupuesto en desnipperaar.nl. Trituradora móvil, certificado por número de serie, sin recargo de combustible.