Slack Space Forense
Espacio residual entre el final lógico de un archivo y el final del cluster o sector asignado en disco, que puede contener fragmentos de datos anteriores recuperables mediante técnicas forenses.
¿Qué es el slack space?
En una investigación forense de 2025 en España, el análisis del slack space de un único disco duro permitió recuperar fragmentos de una hoja de cálculo con movimientos financieros que el investigado había eliminado seis meses antes. Los datos residuales, invisibles para el sistema operativo y para el propio usuario, permanecían intactos en el espacio entre el final del archivo actual y el final del cluster asignado.
El slack space (espacio residual o espacio de holgura) es el área de disco que queda sin utilizar entre el final lógico de un archivo y el final del cluster o sector que el sistema de archivos le ha asignado. Este espacio puede contener datos de archivos previamente almacenados en esas mismas posiciones del disco, convirtiéndolo en una fuente de evidencia digital de alto valor forense.
¿Por qué existe el slack space?
Los sistemas de archivos asignan espacio en disco en bloques de tamaño fijo llamados clusters (habitualmente 4 KB en NTFS). Si un archivo ocupa 5 KB, el sistema le asigna 2 clusters (8 KB), quedando 3 KB de slack space. Esos 3 KB pueden contener datos residuales del archivo que previamente ocupaba ese segundo cluster.
Tipos de slack space
Diagrama de un cluster con slack space
┌─────────────────────── Cluster (4096 bytes) ──────────────────────┐
│ │
│ ┌──────────────────────┐ ┌──────────────┐ ┌───────────────────┐ │
│ │ Datos del archivo │ │ RAM Slack │ │ File Slack │ │
│ │ (contenido real) │ │ (padding) │ │ (datos previos) │ │
│ │ 2500 bytes │ │ 12 bytes │ │ 1584 bytes │ │
│ └──────────────────────┘ └──────────────┘ └───────────────────┘ │
│ ← Archivo real → ← Relleno → ← Datos residuales → │
└────────────────────────────────────────────────────────────────────┘1. RAM slack (sector slack)
El espacio entre el final del archivo y el final del sector (unidad mínima de lectura/escritura, típicamente 512 bytes).
| Característica | Detalle |
|---|---|
| Tamaño | 0-511 bytes por archivo |
| Contenido | Históricamente, datos de la RAM del sistema al momento de escritura. En sistemas modernos, generalmente se rellena con ceros |
| Valor forense | Bajo en sistemas modernos (Windows 7+); alto en sistemas legacy |
| Denominación alternativa | Sector slack |
En sistemas operativos antiguos (Windows 95/98/NT), el RAM slack era especialmente valioso porque contenía un fragmento literal de la memoria RAM del momento en que el archivo fue escrito, pudiendo incluir contraseñas, fragmentos de documentos abiertos o datos de sesión.
2. File slack (cluster slack)
El espacio entre el final del último sector utilizado por el archivo y el final del cluster asignado.
| Característica | Detalle |
|---|---|
| Tamaño | 0 bytes hasta (tamaño de cluster - 512) bytes |
| Contenido | Datos del archivo que previamente ocupaba esos sectores del cluster |
| Valor forense | Alto — puede contener fragmentos sustanciales de archivos anteriores |
| Persistencia | Los datos permanecen hasta que otro archivo los sobrescriba |
El file slack no se borra
Cuando un archivo se elimina y un nuevo archivo más pequeño ocupa parcialmente los mismos clusters, los datos residuales del archivo anterior permanecen en el file slack. El sistema operativo no los borra porque solo gestiona el espacio hasta el final lógico del archivo nuevo.
3. Drive slack (volume slack)
El espacio entre el final de la última partición y el final físico del disco.
| Característica | Detalle |
|---|---|
| Tamaño | Variable — puede ser de megabytes a gigabytes |
| Contenido | Datos de particiones anteriores, tablas de particiones eliminadas |
| Valor forense | Muy alto — puede contener sistemas de archivos completos de particiones eliminadas |
| Ubicación | Después de la última partición definida |
Comparativa de tipos de slack space
| Tipo | Ubicación | Tamaño típico | Contenido esperado | Dificultad de análisis |
|---|---|---|---|---|
| RAM slack | Dentro del último sector del archivo | 0-511 bytes | Ceros o datos de RAM (legacy) | Baja |
| File slack | Sectores sobrantes del cluster | 0-3.584 bytes (cluster 4 KB) | Fragmentos de archivos anteriores | Media |
| Drive slack | Después de la última partición | Megabytes a gigabytes | Particiones eliminadas, datos residuales | Alta |
Impacto del tamaño de cluster
El tamaño del cluster afecta directamente a la cantidad de slack space disponible:
| Tamaño cluster | Slack máximo por archivo | Slack en 10.000 archivos (estimado) |
|---|---|---|
| 512 bytes | 511 bytes | Hasta 4.9 MB |
| 4 KB (4.096) | 4.095 bytes | Hasta 39 MB |
| 8 KB (8.192) | 8.191 bytes | Hasta 78 MB |
| 16 KB (16.384) | 16.383 bytes | Hasta 156 MB |
| 32 KB (32.768) | 32.767 bytes | Hasta 312 MB |
| 64 KB (65.536) | 65.535 bytes | Hasta 624 MB |
Dato forense clave
Un disco con cluster de 64 KB y 50.000 archivos pequeños puede contener más de 3 GB de datos residuales en slack space. En volúmenes formateados con clusters grandes (habitual en discos externos FAT32), el slack space es una fuente masiva de evidencia.
Análisis forense del slack space
Herramientas especializadas
| Herramienta | Función | Plataforma | Licencia |
|---|---|---|---|
| EnCase Forensic | Extracción y análisis de slack space completo | Windows | Comercial |
| FTK (Forensic Toolkit) | Búsqueda de keywords en slack space, vista hex | Windows | Comercial |
| X-Ways Forensics | Análisis granular de clusters y slack space | Windows | Comercial |
| Autopsy/Sleuth Kit | Análisis de slack space con módulos de búsqueda | Multiplataforma | Open source |
| blkls (Sleuth Kit) | Extracción de slack space a archivo para análisis | Linux/macOS | Open source |
| dls (Sleuth Kit) | Extracción de data units no asignados | Linux/macOS | Open source |
Proceso de extracción y análisis
Adquisición de imagen forense
Antes de cualquier análisis, crear una imagen forense bit a bit del disco:
- Usar write blocker para evitar modificación accidental
- Crear imagen con dd, FTK Imager o EnCase
- Calcular y verificar hash SHA-256 de la imagen
- Toda operación posterior se realiza sobre la imagen, nunca sobre el disco original
Identificación de la estructura del sistema de archivos
Determinar parámetros clave:
# Con fsstat (Sleuth Kit) - analizar sistema de archivos fsstat imagen_forense.dd # Información relevante: # - Tipo de sistema de archivos (NTFS, FAT32, ext4) # - Tamaño de cluster/bloque # - Total de clusters # - Clusters asignados vs. libresExtracción del slack space
# Extraer file slack de todos los archivos con blkls blkls -s imagen_forense.dd > slack_space.raw # Extraer slack space de un archivo específico (inode 12345) icat -s imagen_forense.dd 12345 > archivo_slack.raw # Buscar strings en el slack space extraído strings -a slack_space.raw > slack_strings.txt strings -el slack_space.raw >> slack_strings.txt # UnicodeBúsqueda de evidencia
Aplicar búsquedas dirigidas según la investigación:
- Keywords: Nombres, direcciones, términos clave del caso
- Firmas de archivo: Headers de documentos, imágenes, bases de datos
- Patrones: Números de tarjeta, emails, URLs, direcciones IP
- File carving: Reconstruir archivos a partir de fragmentos en slack
Documentación y correlación
Para cada hallazgo en slack space:
- Identificar el cluster y archivo actual que contiene el slack
- Calcular la posición exacta (offset) del dato encontrado
- Correlacionar con timeline del sistema de archivos
- Documentar captura de pantalla del hallazgo en visor hexadecimal
- Registrar hash del fragmento para cadena de custodia
Slack space y técnicas anti-forense
Ocultación deliberada en slack space
Herramientas anti-forense pueden utilizar el slack space como canal de almacenamiento oculto:
| Herramienta | Función | Detección |
|---|---|---|
| bmap | Escribe datos en el slack space de archivos específicos | Comparar tamaño lógico vs. contenido real del cluster |
| slacker | Oculta archivos completos en slack space distribuido | Análisis de entropía del slack space |
| FragFS | Sistema de archivos oculto en fragmentos de slack space | Búsqueda de firmas de metadatos FragFS |
Técnicas de borrado de slack space
| Técnica | Método | Eficacia |
|---|---|---|
| Borrado seguro de espacio libre | Herramientas como sdelete, cipher /w | Alta — sobrescribe todo el espacio no asignado incluyendo slack |
| Desfragmentación | Reubica archivos, sobrescribiendo slack | Parcial — puede sobrescribir parte del slack |
| Reformateo completo | Formato con sobrescritura de clusters | Alta — pero lento y detectable |
| TRIM en SSD | El controlador del SSD elimina datos residuales | Muy alta — datos irrecuperables tras TRIM |
SSD y TRIM
En discos SSD con TRIM habilitado (habitual en todos los sistemas modernos), el controlador del disco elimina proactivamente los datos de bloques no utilizados. Esto reduce drásticamente el slack space recuperable. Los discos HDD tradicionales preservan mucho mejor los datos residuales para análisis forense.
Slack space en diferentes sistemas de archivos
| Sistema de archivos | Tamaño cluster típico | Particularidades del slack space |
|---|---|---|
| NTFS | 4 KB | Archivos menores a 700 bytes se almacenan dentro del MFT (resident), sin slack space de cluster |
| FAT32 | 4-32 KB | Clusters grandes = mucho slack space. No tiene archivos residentes |
| exFAT | 4-128 KB | Diseñado para USB/SD. Clusters muy grandes = slack space masivo |
| ext4 | 4 KB | Similar a NTFS. Soporta extents que pueden reducir fragmentación |
| APFS | Variable | Sistema copy-on-write. Comportamiento de slack space diferente |
| HFS+ | 4 KB | Mac OS. Slack space estándar, sin archivos residentes |
Caso especial: Archivos residentes en NTFS
En NTFS, los archivos muy pequeños (menos de 700 bytes aproximadamente) se almacenan directamente dentro del registro MFT (Master File Table), sin ocupar clusters independientes. Esto significa que:
- No generan file slack convencional
- Sus datos anteriores pueden persistir en el espacio libre del registro MFT
- Al crecer más allá del umbral, se mueven a clusters y comienzan a generar slack
Caso práctico: Recuperación de evidencia en slack space
Contexto: En una investigación por competencia desleal, un empleado que abandonó la empresa supuestamente copió documentos estratégicos antes de marcharse y luego formateó su portátil corporativo. La empresa recuperó el disco duro y solicitó un análisis pericial.
Caso ilustrativo
Este caso se basa en patrones documentados en investigaciones forenses corporativas de protección de secretos empresariales. Los detalles se han adaptado con fines educativos.
Adquisición forense
Se creó imagen bit a bit del disco HDD de 500 GB (no SSD, dato favorable para la recuperación) con write blocker hardware:
Disco: Seagate 500 GB HDD Sistema de archivos: NTFS (cluster 4 KB) Estado: Formateado rápido + Windows reinstalado Hash imagen: SHA-256: abc123...Análisis del espacio no asignado y slack space
El formateo rápido no había sobrescrito la mayoría del disco. Se extrajeron 247 GB de espacio no asignado y file slack para análisis:
# Extraer slack space completo blkls -s imagen.dd > slack_total.raw # 890 MB de slack space # Búsqueda de keywords relevantes strings -a slack_total.raw | grep -i "presupuesto\|cliente\|estrategia\|confidencial"Hallazgos en file slack
En el slack space de archivos del nuevo Windows instalado se encontraron:
Cluster 847.291 (asignado a ntdll.dll): File slack: Fragmento de "Presupuesto_Clientes_2025.xlsx" Contenido: 2.847 bytes con datos de 15 clientes y cifras Cluster 1.203.445 (asignado a explorer.exe): File slack: Fragmento de "Estrategia_Comercial_Q1-2026.docx" Contenido: 1.923 bytes con texto sobre plan de expansión Cluster 2.891.002 (asignado a desktop.ini): File slack: Cabecera de "Base_Datos_Proveedores.accdb" Contenido: 3.580 bytes con registros parcialesCorrelación temporal
Mediante análisis de la MFT residual (no sobrescrita por el formateo rápido), se determinó que los archivos originales fueron accedidos y copiados a USB dos días antes de la salida del empleado.
Informe pericial
El análisis del slack space proporcionó evidencia fragmentaria pero suficiente para demostrar:
- La existencia de los documentos confidenciales en el disco
- El contenido parcial de esos documentos (verificable por la empresa)
- La cronología de acceso previa a la salida del empleado
Resultado: Los fragmentos recuperados del slack space, aunque parciales, fueron suficientes para corroborar la existencia y naturaleza de los documentos confidenciales. Combinados con logs del servidor de archivos corporativo, constituyeron evidencia sólida en el procedimiento judicial.
Marco legal en España
Normativa aplicable al análisis de slack space
| Norma | Artículos | Aplicación |
|---|---|---|
| LECrim | Art. 478-479 | Prueba pericial: el perito puede analizar todo el contenido del disco, incluido slack space |
| LECrim | Art. 588 sexies a-c | Registro de dispositivos electrónicos bajo autorización judicial |
| Código Penal | Art. 197 | Protección del dato: el slack space puede contener datos personales de terceros |
| RGPD / LOPDGDD | Arts. 5, 32 | Minimización: analizar solo slack space relevante para la investigación |
| LEC | Art. 299.2, 384 | Medios de prueba: soportes que permiten archivar y reproducir datos |
Consideraciones probatorias
El slack space presenta desafíos probatorios específicos:
- Fragmentación: Los datos recuperados suelen ser parciales, lo que puede cuestionarse como evidencia incompleta
- Atribución: Los datos en slack space provienen de archivos anteriores — hay que demostrar quién y cuándo los creó
- Integridad: El proceso de adquisición forense debe garantizar que el slack space no ha sido modificado
- Cadena de custodia: Desde la incautación del disco hasta el análisis, cada paso debe documentarse
- Proporcionalidad: El análisis de slack space puede revelar datos personales no relacionados con la investigación — hay que aplicar minimización
Dato personal en slack space
El slack space puede contener datos personales de terceros (fragmentos de emails, contactos, historiales médicos). El perito debe informar al tribunal si encuentra datos sensibles no relacionados con la investigación y aplicar el principio de minimización del RGPD.
Preguntas relacionadas
¿Cuánto tiempo permanecen los datos en el slack space? En un disco HDD, los datos pueden persistir indefinidamente mientras no se sobrescriban con un nuevo archivo que ocupe exactamente esos sectores. En la práctica, en un disco con uso activo, los datos del slack space pueden permanecer semanas, meses o incluso años si el área del disco no se reutiliza. En SSDs con TRIM, la persistencia es mucho menor.
¿Se puede analizar el slack space de un disco cifrado con BitLocker? Solo si se tiene acceso a la clave de descifrado. El slack space está cifrado junto con el resto del volumen. Una vez descifrado (con la recovery key o contraseña), el análisis del slack space se realiza igual que en un disco no cifrado. Sin la clave, los datos del slack space son completamente inaccesibles.
¿El file carving y el análisis de slack space son lo mismo? No. El file carving busca archivos completos en el espacio no asignado del disco usando firmas de archivo (headers/footers). El análisis de slack space examina los fragmentos residuales dentro de clusters que están asignados a archivos actuales. Son técnicas complementarias: el file carving recupera archivos del espacio libre, el slack space recupera fragmentos del espacio “ocupado”.
Conclusión
El slack space es una de las fuentes de evidencia digital más infravaloradas en el análisis forense. Mientras que la atención suele centrarse en archivos visibles y espacio no asignado, los datos residuales en el espacio entre el final del archivo y el final del cluster pueden contener fragmentos determinantes para una investigación.
Para el perito informático forense, el dominio del análisis de slack space es una competencia diferencial. Permite recuperar evidencia que el usuario creía eliminada, detectar técnicas de ocultación deliberada y aportar hallazgos que otras metodologías de análisis no alcanzarían.
¿Necesitas recuperar datos eliminados o analizar slack space en una investigación? En Digital Perito realizamos análisis forense de disco a nivel de cluster con herramientas profesionales que examinan cada byte del medio de almacenamiento. Contacta con nosotros para una evaluación de tu caso.
Última actualización: Febrero 2026 Categoría: Análisis Forense Código: FOR-002
Preguntas Frecuentes
¿Qué tipo de datos se pueden encontrar en el slack space?
En el slack space se pueden encontrar fragmentos de archivos previamente almacenados en esos mismos clusters: textos de documentos, fragmentos de correos electrónicos, datos de bases de datos, imágenes parciales, contraseñas en texto plano y restos de archivos temporales que el usuario creía eliminados.
¿El slack space existe en discos SSD?
Sí, el slack space existe en SSDs porque es una consecuencia de la asignación por clusters del sistema de archivos. Sin embargo, la función TRIM de los SSDs puede eliminar los datos residuales del slack space al marcar bloques como libres, reduciendo significativamente las posibilidades de recuperación.
¿Se puede utilizar el slack space para ocultar datos intencionalmente?
Sí, herramientas anti-forense como bmap y slacker permiten escribir datos directamente en el slack space de archivos existentes, creando un canal de almacenamiento oculto que no aparece en el sistema de archivos. Es una técnica de esteganografía a nivel de disco que requiere herramientas especializadas para detectar.
Términos Relacionados
File Carving
Técnica forense que permite recuperar archivos eliminados o fragmentados buscando firmas de archivo (headers y footers) en el espacio no asignado del disco, sin depender del sistema de archivos.
NTFS Forense
Técnicas de análisis forense aplicadas al sistema de archivos NTFS (New Technology File System) de Windows, incluyendo recuperación de archivos borrados, análisis de metadatos, y extracción de artefactos ocultos.
Imagen Forense
Copia exacta bit a bit de un dispositivo de almacenamiento que preserva toda la información original, incluyendo archivos borrados y espacio no asignado, para su análisis forense.
Write Blocker
Dispositivo hardware o software que impide cualquier escritura en un medio de almacenamiento, garantizando que la evidencia digital no sea modificada durante el análisis forense.
Anti-Forense
Conjunto de técnicas, herramientas y procedimientos diseñados para impedir, dificultar o invalidar el análisis forense digital, incluyendo destrucción de datos, ocultación de información y manipulación de metadatos.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita