Por qué formatear no es un proceso seguro para borrar datos ni cumple con la normativa

Formatear un disco duro o un dispositivo de almacenamiento no es lo mismo que eliminar los datos de forma segura. Cuando se realiza un formateo, lo que se borra es la tabla de asignación de archivos —es decir, el índice—, pero no el contenido real. La información permanece en el dispositivo hasta que es sobrescrita con nuevos datos.

Por ello, aunque el sistema operativo ya no "vea" los archivos, herramientas especializadas pueden recuperarlos con relativa facilidad. 

Esto representa un riesgo enorme, especialmente si los dispositivos contienen información confidencial, como datos personales, financieros o empresariales.

¿Qué métodos sí garantizan un borrado seguro y conforme a normativa?

A diferencia del formateo, el borrado seguro implica técnicas que aseguran que la información no pueda ser recuperada. Existen tres niveles según el estándar NIST SP 800-88:

• Clear (limpiar): eliminación lógica mediante sobrescritura sencilla.
• Purge (purgar): técnicas más avanzadas como el borrado criptográfico.
• Destroy (destruir): destrucción física del dispositivo.

Estas técnicas pueden aplicarse con herramientas específicas y deben estar documentadas. Además, muchas normativas exigen conservar un certificado de borrado que valide el proceso realizado.

¿Qué normas regulan el borrado seguro de información?

Actualmente existen múltiples normativas y estándares que exigen que el borrado de datos sea realizado de forma segura y verificable:

• NIST SP 800-88 en EE.UU., ampliamente adoptado por empresas y gobiernos.
• ISO/IEC 27040, que se enfoca en la seguridad del almacenamiento.
• DOD 5220.22-M, usado por el Departamento de Defensa de EE.UU.
• GDPR (Reglamento General de Protección de Datos) en Europa.
• LOPDGDD en España y LFPDPPP en México.

Todas estas normas coinciden en que el formateo simple no cumple con los requisitos mínimos para considerar que los datos han sido eliminados de forma segura.

¿Qué consecuencias puede tener un borrado inadecuado?

Los riesgos de no aplicar un borrado seguro son tanto legales como operativos:

• Multas por incumplimiento normativo (por ejemplo, GDPR o la LFPDPPP).
• Filtración de datos personales o sensibles.
• Daño reputacional frente a clientes, empleados y socios.
• Riesgo operativo, como el espionaje industrial o fraudes.

Un incidente de este tipo puede derivar en demandas legales o pérdidas económicas significativas.

¿Cómo se puede integrar el borrado seguro a una política de seguridad de la información?

El borrado seguro debe formar parte de una estrategia integral de seguridad de la información. Esto incluye:

1. Clasificación de la información: no todos los datos requieren el mismo nivel de protección.
2. Control de accesos: definir quién puede ver, modificar o eliminar cada tipo de información.
3. Auditorías y trazabilidad: conservar registros y certificados del proceso de eliminación.
4. Formación del personal: muchos fallos ocurren por desconocimiento o errores humanos.
5. Revisión normativa periódica: adaptar las prácticas a los cambios legales y tecnológicos.

Una forma efectiva de comenzar es entender bien los tipos y ejemplos de control de accesos en seguridad informática, ya que son fundamentales para proteger la información antes incluso de pensar en eliminarla.

También resulta clave conocer los requisitos de estándares como la norma ISO 9001 en gestión de calidad, que exigen trazabilidad y control en los procesos relacionados con los datos.

Finalmente, si tu organización está en México, deberías revisar las implicaciones de la normativa de protección de datos en México y el borrado de información, para asegurarte de cumplir tanto con la ley como con los mejores estándares internacionales.

Preguntas frecuentes

¿Formatear rápido es suficiente si voy a reutilizar un disco en casa?

Solo si es para uso personal. Aun así, es recomendable aplicar una sobrescritura.

¿Un restablecimiento de fábrica en un teléfono móvil borra todo?

No necesariamente. Muchos móviles conservan restos de información que pueden ser recuperados.

¿Qué pasa si elimino manualmente los archivos y vació la papelera?

Los datos no se eliminan realmente hasta ser sobrescritos. Pueden recuperarse con software especializado.

¿Qué software puedo usar para borrar discos de forma segura?

Herramientas como Blancco, DBAN o el borrado criptográfico integrado en algunos SSDs son opciones recomendadas.

¿Es obligatorio certificar el borrado seguro?

Depende de la normativa aplicable, pero cada vez más legislaciones lo exigen en sectores sensibles.

Adoptar prácticas de borrado seguro no es solo una cuestión técnica, sino también de responsabilidad legal y reputacional.

Síguenos en nuestras redes sociales