Los datos latentes, también conocidos como datos ambientales, son la información en el almacenamiento de la computadora a la que no se hace referencia en las tablas de asignación de archivos y, por lo general, no se puede ver a través del sistema operativo (SO) o aplicaciones estándar.
Los datos latentes se encuentran en el contenido de información restante combinado en la computadora de los archivos eliminados en el espacio no asignado, archivos de intercambio, archivos de cola de impresión, volcados de memoria, espacio libre de archivos existentes y caché temporal.
Los datos latentes se utilizan en la recuperación de archivos perdidos debido a errores del usuario, operaciones imprevistas del programa o actividad maliciosa como ransomware. Esta información oculta también se utiliza en la informática forense para recuperar archivos que se han eliminado. En cualquier caso, se requiere un software especial.
Comprender cómo permanecen los datos latentes en un disco duro requiere cierto conocimiento sobre cómo se almacena la información en las computadoras que tienen unidades de disco duro. Dichas computadoras almacenan datos magnéticamente a través de cabezales de lectura / escritura en una unidad sellada en un disco metálico circular o en una pila de discos llamados platos. Cada plato se compone de secciones definidas lógicamente llamadas sectores y divididas en grupos.
De forma predeterminada, la mayoría de los clústeres de sistemas operativos están configurados para contener no más de 512 bytes de datos. Si un archivo de texto de 400 bytes se guarda en el disco, un clúster de 512 bytes tendrá 112 bytes de espacio adicional. Cuando el disco duro de la computadora es nuevo, el espacio en un clúster que no se usa está en blanco, pero eso cambia con el uso. Cuando se elimina un archivo, el sistema operativo no borra el archivo, solo hace que el clúster que ocupaba el archivo esté disponible para reasignación. Lo que en realidad se elimina es una referencia al archivo en un registro similar a una tabla de contenido del disco duro: la tabla de archivos. Si se asigna un archivo nuevo de solo 200 bytes al sector original, el espacio de holgura del clúster ahora contendrá 200 bytes, algunos de los cuales podrían ser datos sobrantes del primer archivo además de los 112 bytes de espacio extra originales.
Esos datos sobrantes en el espacio de inactividad pueden proporcionar a los investigadores pistas sobre los usos anteriores de la computadora en cuestión, así como pistas para futuras consultas. Puede tener archivos pequeños disponibles para la recuperación de datos, así como fragmentos de archivos más grandes que abarcan varios clústeres. Esto también se aplica al archivo de intercambio que utiliza un sistema operativo para la memoria virtual que, por lo general, solo es accesible para el sistema operativo.
Para recuperar datos latentes de una computadora, no se debe usar la unidad en la que se encuentra. De hecho, si se trata de la unidad del sistema operativo, debe evitar incluso arrancar la computadora, porque por cada archivo nuevo o cambio en un archivo, se pueden perder datos latentes. En el simple hecho de arrancar una computadora, con la mayoría de los sistemas operativos se cambian cientos de archivos. Se dice que las herramientas de las organizaciones gubernamentales pueden leer incluso rastros de archivos sobrescritos.