Cómo borrar discos duros con shred en Linux

Este artículo explica cuándo y cómo usar la utilidad shred para sobrescribir archivos, particiones y discos enteros en Linux. Incluye ejemplos de comandos, advertencias sobre sistemas de archivos modernos, alternativas cuando shred no es efectivo y listas de verificación (checklists) para distintos roles.

Sobre la aplicación shred en Linux

shred puede sobrescribir archivos y también particiones y discos enteros. Si miras la página del manual de shred verás una advertencia importante. Aquí la transcribo en forma traducida:

PRECAUCIÓN: Tenga en cuenta que shred se basa en una suposición muy importante: que el sistema de archivos sobrescribe los datos en su lugar. Esta es la forma tradicional de funcionar, pero muchos sistemas de archivos modernos no cumplen esta suposición. Los siguientes son ejemplos de sistemas en los que shred no es efectivo, o no está garantizado que sea efectivo en todos los modos:

* sistemas de archivos log-estructurados o con diario, como los que se suministran con AIX y Solaris (y JFS, ReiserFS, XFS, Ext3, etc.)

* sistemas de archivos que escriben datos redundantes y continúan incluso si algunas escrituras fallan, como sistemas basados en RAID

* sistemas de archivos que hacen snapshots (instantáneas)

* sistemas de archivos que almacenan en caché en ubicaciones temporales, como clientes NFS versión 3

* sistemas de archivos comprimidos

En el caso de ext3, la advertencia anterior se aplica (y shred es de efectividad limitada) solo en el modo data=journal, que registra los datos además de los metadatos. En los modos data=ordered (predeterminado) y data=writeback, shred funciona normalmente. Los modos de journaling de ext3 pueden cambiarse añadiendo la opción data=something a las opciones de montaje en /etc/fstab, según la documentación del comando mount.

Nota importante: estas consideraciones afectan sobre todo al borrado de archivos a nivel de sistema de archivos. En esta guía nos centramos en usar shred sobre particiones o discos completos, que es el caso más habitual cuando queremos destruir datos antes de vender o reciclar un disco.

Requisitos y precauciones

• Si vas a borrar la partición del sistema, arranca desde un sistema “live” (por ejemplo, Ubuntu Live-CD, Knoppix, la herramienta rescue del proveedor). No puedes sobrescribir el disco montado en uso.
• Asegúrate de identificar correctamente el dispositivo (por ejemplo /dev/sda, /dev/sdb, /dev/md1). Un error aquí borra datos irreversiblemente.
• Ten presente que shred puede tardar mucho según el tamaño del disco y el número de pasadas.
• Considera la política de retención de datos y requisitos legales (por ejemplo, GDPR) antes de destruir información de terceros.

Instalación y comprobación

Comprueba si shred está disponible:

which shred

Si no está instalado en Debian/Ubuntu/Knoppix:

apt-get install coreutils

shred forma parte de coreutils en muchas distribuciones.

Uso básico de shred en particiones y discos

Para sobrescribir la partición /dev/sda5 diez veces, usa:

shred -vfz -n 10 /dev/sda5

Explicación de las opciones comunes:

• -v: mostrar progreso
• -f: forzar cambios de permisos si es necesario para permitir escritura
• -z: realizar una pasada final con ceros para ocultar que se ha usado shred
• -n N: sobrescribir N veces en lugar del valor por defecto (3)

Ejemplos:

shred -vfz -n 10 /dev/md1    # para una partición RAID
shred -vfz -n 10 /dev/sda    # para un disco entero

Tiempo estimado: depende del tamaño y velocidad del disco y del número de pasadas. Para discos grandes (varios TB) y muchas pasadas, puede durar horas o días.

Cuándo shred no es efectivo

• Sistemas de archivos copy-on-write (p. ej. Btrfs, ZFS) y journaled en ciertos modos: las escrituras pueden ir a ubicaciones diferentes, dejando copias antiguas intactas.
• Discos con wear leveling (p. ej. SSD, eMMC, tarjetas SD): la lógica interna del dispositivo mueve bloques y puede dejar datos recuperables en celdas no sobrescritas.
• Discos cifrados: si están correctamente cifrados y la clave se destruye, el enfoque correcto es eliminar la clave; sobrescribir el disco tiene menos sentido.

Consejo: para SSD y otros medios con wear leveling utiliza los comandos ATA Secure Erase o herramientas del fabricante (hdparm, nvme-cli) o cifrado previo con gestión de claves.

Alternativas y enfoques complementarios

• dd con /dev/zero o /dev/urandom: permite escribir secuencias en bruto, pero comparte limitaciones sobre sistemas montados y dispositivos con wear leveling.
• ATA Secure Erase: instrucción firmware para discos ATA que suele restablecer el drive a fábrica (adecuado para muchos SSD y HDD modernos).
• nvme sanitize: comando para dispositivos NVMe.
• Degaussing o destrucción física: cuando los datos son extremadamente sensibles, la destrucción física (triturado, caída de platos) es la opción más segura.
• cifrado completo previo: cifrar desde el inicio y destruir la clave cuando termine la vida útil del disco.

Mini-playbook: pasos recomendados antes de vender o reciclar

1. Identificar el dispositivo correcto con herramientas como lsblk, fdisk -l o blkid.
2. Hacer copia de seguridad de los datos que necesites.
3. Arrancar desde un live USB si vas a borrar la partición del sistema.
4. Ejecutar shred (o ATA Secure Erase para SSD) según el caso.
5. Verificar el resultado montando el disco o probando con hexdump/head: no deben mostrarse datos útiles.
6. Registrar el procedimiento y resultados (fecha, método, comandos) para auditoría.

Comandos útiles para identificación:

lsblk -o NAME,SIZE,FSTYPE,MOUNTPOINT
sudo fdisk -l

Comprobación rápida tras shred:

hexdump -C -n 512 /dev/sda | head

Criterios de aceptación

• Para borrado de disco por software: al menos una pasada con ceros tras múltiples pasadas aleatorias y verificación visual de ausencia de datos legibles.
• Para medios sensibles y SSD: se prefiere ATA Secure Erase o destrucción física.
• Documentación: registro del dispositivo, método, parámetros usados y fecha.

Listas de verificación según rol

• Vendedor particular:

  • Hacer copia de seguridad.
  • Ejecutar shred sobre el disco o partición completa.
  • Verificar y documentar.

• Administrador de sistemas:

  • Programar ventana de mantenimiento.
  • Usar live system para discos de sistema.
  • Preferir ATA Secure Erase para SSD y documentar hashes/actuaciones.

• Responsable de cumplimiento (compliance):

  • Confirmar requisitos legales de retención y destrucción.
  • Revisar registro de auditoría.

Riesgos y mitigaciones

• Riesgo: borrar el dispositivo incorrecto. Mitigación: confirmar con lsblk/fdisk y usar etiquetas UUID.
• Riesgo: shred no elimina copias en snapshots o en sistemas remotos. Mitigación: eliminar snapshots y verificar backups remotos.
• Riesgo: SSD con wear leveling. Mitigación: usar Secure Erase o destruir físicamente.

Glosario rápido (1 línea cada término)

• shred: utilidad que sobrescribe archivos/discos para dificultar la recuperación.
• ATA Secure Erase: comando de firmware para restaurar discos ATA a estado de fábrica.
• Wear leveling: técnica de SSD que reparte escrituras y complica el borrado en sitio.

Notas de privacidad y cumplimiento

Si los datos contienen información personal, verifica obligaciones legales (por ejemplo, plazos de retención y métodos aceptados de destrucción) antes de eliminar definitivamente la información.

Resumen

shred es una herramienta útil para sobrescribir particiones y discos en entornos donde las escrituras en sitio son efectivas (HDD tradicionales y algunos modos de ext3). Para sistemas modernos (COW, SSD, snapshots) evalúa alternativas como ATA Secure Erase, cifrado y destrucción física. Sigue el playbook y las listas de verificación para minimizar riesgos y documentar el proceso.

Importante: siempre valida el dispositivo objetivo y considera el criterio de sensibilidad de los datos antes de elegir el método.