Recuperar versiones y archivos borrados en Linux: guía avanzada

Si llevas un tiempo trabajando con Linux, tarde o temprano te toparás con la situación de haber modificado o borrado un archivo importante por error. Un comando mal escrito, una redirección con un simple «>» donde debería ir «>>», una actualización que sale rana… y de repente ese documento crítico, esas fotos, o la configuración del sistema dejan de estar donde deberían.

Lo primero que hay que dejar claro es que en Linux no existe una varita mágica que permita recuperar todas las versiones históricas de un fichero salvo que tú mismo hayas montado un sistema de copias de seguridad o snapshots (por ejemplo, con LVM, Btrfs, ZFS, etc.). Aun así, hay muchas técnicas y herramientas forenses que te dan una oportunidad, a veces mínima, de rescatar datos borrados o sobreescritos. La clave está en entender qué es posible, qué no lo es, y cómo actuar rápido para no empeorar la situación.

Por qué es casi imposible recuperar todas las versiones de un archivo en Linux

Cuando hablamos de recuperar «todas las versiones» de un archivo modificado en un sistema Linux/Unix clásico (con ext2/3/4, ReiserFS, etc.), entramos directamente en ciencia ficción si no hay copias previas. El motivo está en cómo el sistema de archivos gestiona los inodos y el contenido de los ficheros.

En sistemas como ext2, ext3 o ext4, un archivo se identifica por su inodo más el nombre de fichero. El inodo contiene metadatos (permisos, fechas, tamaño, punteros a bloques de datos, etc.). Cuando editas un archivo, por ejemplo de «a» a «A_modificado», el número de inodo suele seguir siendo el mismo: se actualizan sus datos y ya está. No se crea un inodo nuevo por cada versión.

Esto implica que no quedan «versiones antiguas» del mismo fichero flotando por el disco con un inodo distinto que puedas ir cazando. En la práctica, solo podrías rescatar fragmentos o estados anteriores si, por cómo se han reescrito los bloques, han quedado restos sin sobrescribir que alguna herramienta forense logre identificar y reconstruir.

Se suele comentar que existen uno o dos sistemas de ficheros (no muy usados en el escritorio) donde el número de inodo puede cambiar al reescribir el archivo, pero desde luego no es el caso de ext2/3/4 ni ReiserFS, que son los habituales en la mayoría de distribuciones clásicas.

Por todo eso, cuando alguien pregunta si se pueden recuperar todas las versiones de un archivo que ha ido modificando a lo largo del tiempo sin copias de seguridad, la respuesta realista es que las probabilidades se acercan peligrosamente al 0,0…1%. Sin snapshots ni backups previos, lo único que queda son intentos forenses muy limitados.

Snapshots, LVM y buenas prácticas de particionado

Una cosa es no poder hacer milagros a posteriori y otra distinta es no preparar el sistema para minimizar desastres. Aquí entran en juego el particionado razonable y tecnologías como LVM con snapshots.

Las instalaciones modernas de muchas distribuciones (CentOS, openSUSE, Ubuntu, etc.) suelen sugerir dos casillas casi mágicas durante el particionado: usar /home en una partición independiente y utilizar un sistema de ficheros gestionado por LVM. Si aceptas esas sugerencias, ya estás un paso por delante en materia de recuperación.

Tener /home por separado te permite reinstalar o actualizar el sistema sin tocar tus datos personales. Y LVM añade un extra muy poderoso: snapshots de volumen. Los snapshots son fotos del estado del sistema de ficheros en un momento dado, a partir de las cuales puedes volver atrás o al menos montar esa instantánea y copiar datos que hayas roto después.

Mucha gente considera LVM algo «de servidor» o demasiado avanzado para el portátil de casa, pero en realidad es de las mejores decisiones para ahorrarte sustos, junto con separar la raíz del /home. Eso sí, en equipos muy sencillos o portátiles donde buscas lo mínimo posible, puedes vivir sin LVM, pero pierdes esta capacidad de snapshots instantáneos.

Resumiendo: si quieres tener realmente «versiones» de tus archivos, la vía seria pasa por usar snapshots (LVM, Btrfs, ZFS) o un sistema de copias de seguridad automatizado, no confiar en recuperar algo que el sistema nunca ha guardado como versión anterior.

Cómo funciona la eliminación de archivos en Linux y qué posibilidades de recuperación hay

Existe la idea generalizada de que, al borrar un archivo, este desaparece del disco de inmediato. En realidad, en la mayoría de sistemas de ficheros, el contenido físico sigue ahí hasta que otros datos reutilizan ese espacio.

Al borrar un fichero, el sistema lo que hace es marcar sus bloques como libres en las estructuras internas (tablas de inodos, MFT en NTFS, etc.). El archivo ya no aparece en listados de directorios, pero los datos pueden seguir intactos un tiempo. Cuanto menos movimiento de escritura haya en la unidad después de borrar, más opciones tendrás de recuperar algo.

En Linux, el comportamiento concreto depende del sistema de ficheros: Ext2/3/4, XFS, JFS, ReiserFS, UFS, Btrfs, además de FAT32/exFAT en dispositivos extraíbles. Algunos sistemas se comportan mejor que otros de cara a la recuperación: por ejemplo, XFS y Btrfs suelen ofrecer resultados razonablemente buenos, mientras que en Ext2/3/4 la fragmentación y la forma de gestionar los bloques complican bastante las cosas.

Hay un caso especialmente puñetero: las unidades SSD con TRIM activado. Si borras un archivo en un SSD y el TRIM entra en juego, el firmware del disco puede borrar físicamente esos bloques casi de inmediato. En esa situación, la recuperación suele estar fuera de juego, o muy, muy limitada.

Otro punto a tener en cuenta es el modo en que se borra: si lo haces por la interfaz gráfica, normalmente pasa primero por la Papelera y tienes una salida rápida. Pero si lo haces con rm desde la terminal, no hay vuelta atrás sencilla, no existe una papelera integrada en ese flujo.

Errores típicos que provocan pérdida de datos en Linux

Más allá del típico «he vaciado la papelera sin mirar», en Linux hay dos grandes clásicos de pérdida masiva de datos: abusar de la línea de comandos sin cuidado y la sobreescritura accidental.

En la terminal, una sola línea mal copiada puede ser desastrosa. Hay «trucos» circulando por Internet que prometen limpiar el sistema y en realidad ejecutan rm -rf sobre rutas críticas. Cuando eres nuevo en Linux, conviene desconfiar de cualquier comando que no entiendas a la perfección, sobre todo si incluye comodines, pipes raros o rutas absolutas.

La otra trampa frecuente es redirigir la salida de un comando con el operador equivocado: «>» sobreescribe, «>>» añade al final. Usar «>» sobre un archivo existente puede vaciarlo en cero coma, perdiendo configuraciones, scripts o documentos en un segundo por un simple despiste al teclear.

A esto se suman los fallos de hardware (discos moribundos, memorias USB corruptas, sectores dañados), errores en particionado con herramientas tipo fdisk o gparted, reinstalaciones mal planteadas, e incluso actualizaciones de sistema que fallan. Muchos usuarios comentan que en algunas distros las actualizaciones entre versiones mayores son una lotería: en máquinas personales, saltar de una LTS a otra o de una 12.04 a 12.10, por ejemplo, puede dejar cosas rotas; en cambio, distribuciones más conservadoras como CentOS suelen ofrecer saltos de versión más estables.

Por eso es vital no sólo tener copias, sino también instalar el sistema con cabeza: /home separado, si puede ser con LVM, y siempre con un plan B para volver atrás ante una actualización problemática.

Recuperación forense con Foremost: file carving desde la terminal

Una de las herramientas clásicas para recuperar archivos borrados en Linux es Foremost, un programa de análisis forense que se basa en el llamado file carving. Se diseñó originalmente para uso militar (AFOSI) y más tarde se liberó como software público.

La idea que hay detrás es sencilla de entender: cuando se pierden los metadatos (inodos, entradas en tablas, etc.), aún puedes intentar localizar archivos por su estructura interna característica. Muchos tipos de ficheros empiezan (y a veces terminan) con una cabecera o patrón en hexadecimal muy concreto. Por ejemplo, muchos GIF comienzan con los bytes 47 49 46 38 39 61, que corresponden a «GIF89a».

Foremost recorre la unidad buscando esos patrones y, cuando encuentra uno, asume que ahí empieza un archivo de ese tipo. A partir de ese punto, intenta leer hasta que detecta la marca de fin correspondiente o alcanza el tamaño máximo definido para ese formato. Luego vuelca ese contenido en un directorio de salida, sin restaurar el nombre original ni la ruta, pero al menos recuperando los datos.

Por defecto, Foremost es capaz de trabajar con una gran cantidad de formatos: imágenes (jpg, gif, png, bmp, tiff), vídeo (avi, mp4, mov, mpg, wmv, asf), audio (wav, wma, mp3, riff), documentos (doc, docx, xls, xlsx, ppt, pptx, pdf, txt, html), ejecutables (exe), archivos comprimidos (zip, rar, rpm) y muchos más. También puede configurarse para centrarse sólo en ciertos tipos mediante la opción -t.

Lo interesante es que el archivo de configuración /etc/foremost.conf permite añadir firmas para nuevos tipos de fichero, como los documentos de LibreOffice u OpenOffice (.odt, .ods, .odp, etc.) o los datos de Thunderbird (.msf), especificando patrones de cabecera y un tamaño máximo aproximado.

Instalación y uso básico de Foremost

Foremost suele estar presente en los repositorios de casi todas las distribuciones, así que la instalación se reduce a un comando del estilo sudo apt install foremost (en Debian, Ubuntu y derivadas) o el equivalente en tu distro.

Su funcionamiento básico se resume en:

• Elegir un directorio de salida donde se guardarán los archivos recuperados.
• Identificar la unidad o partición que quieres escanear (por ejemplo, /dev/sdb1 para una memoria USB).
• Ejecutar Foremost indicando tipos de archivo (-t), dispositivo de entrada (-i) y directorio de salida (-o).

Supón que has borrado fotos y PDFs de un pendrive y quieres recuperarlo todo. Podrías crear antes una carpeta de trabajo, por ejemplo en tu Escritorio:

mkdir /home/usuario/Escritorio/Recuperacion

Luego, detectas el nombre del dispositivo con:

sudo fdisk -l

y ves que tu USB es /dev/sdb1. Entonces puedes lanzar:

sudo foremost -t all -i /dev/sdb1 -o /home/usuario/Escritorio/Recuperacion

Foremost escaneará todo el dispositivo, clasificará los resultados por extensión en subcarpetas dentro de Recuperacion y, al terminar, tendrás un buen montón de ficheros renombrados pero potencialmente útiles: .jpg en su carpeta, .pdf en la suya, .doc, .xls, .ppt, etc.

Consejos importantes al usar Foremost

Para maximizar las posibilidades de éxito, hay una serie de recomendaciones clave al usar Foremost o herramientas similares:

• No escribas nada en la misma partición de la que quieres recuperar datos. Guarda los archivos recuperados siempre en otra unidad, un disco externo o una USB distinta.
• Actúa lo antes posible tras borrar el archivo. Cada minuto que pasa y cada escritura que hace el sistema aumentan la probabilidad de que se sobrescriban los bloques que te interesan.
• Si el archivo es extremadamente importante, apaga la máquina y trabaja desde otro sistema, conectando el disco como secundario o arrancando con un LiveCD/LiveUSB, incluso creando una imagen con dd y trabajando sobre esa imagen para no tocar el disco original.
• Foremost puede operar sobre imágenes creadas con dd, Safeback, EnCase y otras. Crear una imagen y operar sobre ella es la forma más prudente de hacer análisis forense.

Una vez que Foremost haya terminado, el directorio de salida será propiedad de root (porque has ejecutado con sudo). Para poder abrirlo sin problemas desde tu usuario, conviene cambiar el propietario de forma recursiva, por ejemplo:

sudo chown -R usuario /home/usuario/Escritorio/Recuperacion

Dentro verás carpetas por extensión. Si, por ejemplo, buscabas una presentación de PowerPoint, entrarás en la carpeta ppt y podrás ir abriendo archivos hasta dar con el tuyo. Es habitual que Foremost recupere más cosas de las que esperabas, incluidos ficheros que borraste hace tiempo o que estaban en el dispositivo antes de tu uso.

Alternativas a Foremost y otras herramientas de recuperación en Linux

Aunque Foremost es muy popular por ser potente y sencillo de manejar, el ecosistema Linux ofrece muchas más herramientas para intentar recuperar datos, tanto en modo texto como con interfaces gráficas o incluso distribuciones completas orientadas al rescate.

Entre las alternativas de línea de comandos clásicas tienes Scalpel, PhotoRec, Autopsy, extundelete o magicrescue, que aplican ideas similares (file carving, análisis de estructuras de sistema de ficheros, etc.). Algunas requieren tocar ficheros de configuración para definir qué tipos de archivo buscar, algo más farragoso que el simple -t de Foremost.

Además, existen soluciones más integrales que van desde interfaces gráficas para herramientas de bajo nivel hasta sistemas Live completos cargados de utilidades de rescate. Algunas son gratuitas, otras de pago, pero todas comparten la idea básica: no escribir en el disco dañado y escanear en profundidad cualquier rastro aprovechable.

GNU DDRescue-GUI: interfaz gráfica para GNU DDRescue

GNU DDRescue es una herramienta potentísima pensada para copiar datos desde dispositivos dañados (discos duros con sectores defectuosos, CDs rayados, etc.) hacia otra unidad, priorizando siempre la copia de las zonas todavía legibles y dejando los sectores problemáticos para más tarde.

A diferencia de un dd «a pelo», DDRescue no escribe ceros por defecto en los huecos donde encuentra errores ni trunca el fichero de salida: va dejando huecos y los rellena poco a poco en sucesivas pasadas, lo que permite exprimir al máximo varias copias defectuosas del mismo medio y fusionar la información válida de todas ellas en una sola imagen final.

El problema para muchos usuarios es que DDRescue se maneja desde la terminal. Para hacerlo más amigable existe GNU DDRescue-GUI, una interfaz gráfica que simplifica la selección de origen, destino, parámetros de copia, etc. A nivel funcional, hace lo mismo que la herramienta original, pero sin obligarte a recordar toda la sintaxis.

La interfaz no es precisamente un prodigio de diseño moderno, pero es mucho más cómoda que lidiar con comandos largos cuando estás bajo presión intentando salvar datos de un disco que se está muriendo.

Redo Rescue: copias de seguridad y restauración sencilla

Redo Rescue es una solución en formato ISO que arrancas desde un CD o USB y que te permite tanto clonar y restaurar sistemas completos como recuperar datos de particiones.

Está pensada para usuarios poco experimentados: su interfaz es muy sencilla y viene con herramientas integradas (editor de texto, navegador, gestor de archivos, terminal). Internamente usa Partclone para clonar particiones, lo que facilita hacer copias completas de un sistema antes de meterte en cambios delicados.

Para quienes sólo quieren «algo que funcione» sin enredar con comandos, Redo Rescue es una opción muy interesante: arrancas, eliges qué quieres clonar o restaurar y listo. Lo que no ofrece es un control muy fino de detalles de particionado, algo que los usuarios avanzados echarán en falta.

TestDisk y PhotoRec: pareja clásica para línea de comandos

TestDisk es una herramienta de código abierto muy conocida para recuperar particiones perdidas, reparar tablas de particiones dañadas, reconstruir el MBR, corregir problemas de arranque, etc. Se maneja en modo texto, pero su interfaz es semigrafica y bastante intuitiva, por lo que incluso usuarios no expertos pueden seguir los menús con cierta comodidad.

PhotoRec, que suele distribuirse junto con TestDisk, se centra en la recuperación de archivos individuales (sobre todo fotos y contenido multimedia, pero en realidad muchos otros tipos). Ignora el sistema de ficheros y se limita a buscar patrones de cabecera y pie en los datos brutos del disco, por lo que puede funcionar incluso cuando el sistema de archivos está completamente destrozado o se ha formateado.

El gran «pero» de PhotoRec es que no cuenta con interfaz gráfica nativa; todo va por terminal. A cambio, ofrece un nivel de profundidad que a menudo compensa el esfuerzo, especialmente para usuarios avanzados que necesitan rascar hasta el último byte posible de tarjetas SD, pendrives o discos dañados.

SystemRescueCD y Knoppix: distribuciones Live para rescate

Cuando el problema no es sólo un archivo borrado, sino que el sistema ni siquiera arranca o la partición está seriamente tocada, lo más práctico suele ser recurrir a una distribución Live orientada al rescate.

SystemRescueCD es precisamente eso: un medio de arranque (CD/USB) con un conjunto muy amplio de herramientas para reparar sistemas Linux, gestionar particiones (con GParted y utilidades de bajo nivel), comprobar y reparar sistemas de archivos, y trabajar con copias de seguridad gracias a FSArchiver, entre otros.

Soporta los sistemas de archivos más habituales (Ext4, XFS, Btrfs, VFAT, NTFS, incluso sistemas de archivos de red como Samba o NFS). Es una caja de herramientas muy completa, pero está orientada a usuarios con cierto nivel: no es un «siguiente, siguiente, finalizar», sino un entorno para administradores que ya saben lo que tocan.

Knoppix, por su parte, es una distribución Live generalista, pero incluye gran cantidad de utilidades de recuperación de datos. Su objetivo principal no es ser tu sistema de escritorio diario, sino darte un entorno arrancable desde USB o CD con el que acceder a discos dañados o sistemas que no levantan, y desde ahí usar las herramientas incluidas para intentar recuperar archivos.

El principal requisito para sacarle partido a Knoppix es tener cierta soltura con Linux: las herramientas están ahí, muchas son gratuitas y potentes, pero no son de «clic mágico». Necesitas saber qué haces para no agravar el problema.

R-Linux, Mondo Rescue y Rescuezilla: soluciones con interfaz gráfica

R-Linux es una herramienta gratuita de recuperación de datos para sistemas de archivos Ext2/Ext3/Ext4. Permite rescatar archivos borrados por fallos de sistema, cortes de luz, ataques de malware, formateos accidentales e incluso cambios en la estructura de particiones, siempre que los datos no hayan sido sobrescritos.

Destaca porque ofrece una interfaz gráfica bastante completa y permite guardar los archivos recuperados en prácticamente cualquier disco accesible desde el sistema, incluyendo unidades de red. También puede buscar diferentes «versiones» de un mismo archivo borrado en función de su tamaño, nombre, extensión o tipo reconocido, lo que ayuda a afinar la búsqueda.

La gran limitación es que no puede recuperar datos a través de la red ni reconstruir RAIDs. Para eso, su hermano mayor R-Studio (de pago) sí entra en juego, pero R-Linux cubre muy bien escenarios domésticos y de pequeña oficina.

Mondo Rescue, por otro lado, es una solución para Linux y FreeBSD que se centra en copias de seguridad completas y recuperación de sistemas. Admite RAID, LVM, XFS, VFAT, JFS, Ext2/3, etc., y permite crear copias en CD, DVD o USB, reorganizar particiones antes de restaurar y modificar ficheros clave como /etc/lilo.conf o /etc/fstab durante el proceso.

Su interfaz puede parecer algo antigua, pero es relativamente sencilla de usar incluso si no eres un gurú de Linux. Es una buena opción para planificar restauraciones completas de sistemas tras desastres gordos (discos cambiados, particiones rotas, etc.).

Finalmente, Rescuezilla es una herramienta de código abierto muy orientada al usuario medio. Funciona desde un USB de arranque y permite clonar discos duros mediante imágenes, recuperar particiones y acceder a los datos de esas imágenes para extraer sólo lo que te interesa.

Su interfaz es bastante amigable y no exige conocimientos avanzados, lo que la hace ideal para quienes sólo quieren recuperar archivos y no pelearse con líneas de comandos. A cambio, consume más recursos de lo que cabría esperar en algunos equipos modestos y, de momento, no soporta arquitecturas ARM como los Apple Silicon.

Software comercial: UFS Explorer Standard Recovery

Además de todas las soluciones gratuitas, existe software comercial específico para entornos Linux y sistemas de ficheros típicos de este ecosistema. Un ejemplo es UFS Explorer Standard Recovery, capaz de trabajar con Ext2/3/4, XFS, JFS, ReiserFS, UFS, Btrfs, FAT32/exFAT, etc., y con volúmenes simples, LVM, mdadm y conjuntos distribuidos.

La filosofía es la misma: desmontar la partición o, mejor aún, conectar el disco a otra máquina en modo sólo lectura, escanearlo con el programa, previsualizar los archivos encontrados y guardarlos en otro soporte distinto. Para sistemas donde no se puede sacar el disco (por ejemplo, si los datos están en /root y no puedes desmontar), ofrecen incluso un CD de emergencia que arranca el equipo y permite hacer la recuperación desde fuera del sistema instalado.

Estas soluciones de pago suelen destacar por ofrecer interfaces pulidas, asistentes y funciones avanzadas de filtrado, pero en esencia hacen lo mismo que muchas herramientas gratuitas combinadas: escanear, listar y copiar aquello que aún no ha sido sobrescrito.

Qué herramienta elegir según tu nivel y tu problema

A la hora de decidir con qué herramienta atacar un desastre de datos en Linux, conviene valorar dos cosas: tu experiencia real con el sistema y el tipo de problema que tienes entre manos.

Si eres novato o no te sientes cómodo con la terminal, lo más sensato es optar por soluciones con interfaz gráfica y, si hace falta, arrancables desde USB: Redo Rescue, GNU DDRescue-GUI, Rescuezilla o R-Linux son candidatas muy razonables. Te llevarán de la mano y reducirán la probabilidad de liarla aún más.

Si ya tienes algo más de experiencia, herramientas de línea de comandos como TestDisk, PhotoRec, Foremost o Scalpel te darán más control y potencialmente mejores resultados en casos complejos, a cambio de exigir más cuidado y paciencia.

Cuando el desastre afecta al sistema entero (no arranca, particiones desaparecidas, etc.), una distribución Live especializada como SystemRescueCD o Knoppix te brinda un entorno completo desde el que trabajar sin tocar el disco dañado al arrancar.

Y si estás en un entorno profesional o los datos tienen un valor económico claro, quizá tenga sentido considerar soluciones comerciales como UFS Explorer Standard Recovery o directamente acudir a un servicio de recuperación profesional para no empeorar el estado del dispositivo.

En cualquier caso, por mucho que estas herramientas puedan ayudarte a salvar el día, lo realmente importante es asumir que recuperar todas las versiones de un archivo modificado en Linux sin backups es prácticamente imposible. Lo que sí está en tu mano es diseñar desde ya una estrategia sensata: particiones separadas, LVM o sistemas con snapshots, copias de seguridad periódicas y un poco de respeto a la línea de comandos. Con esa base, el día que algo falle tus probabilidades de salir airoso serán infinitamente mejores que confiar en milagros forenses de última hora.