Destrucción segura de datos en 2026: aplanadoras, NIST y crypto-shred

⏱️ Lectura: 17 min

En agosto de 2017, en una ferretería rural de Dorset, una aplanadora Lemken de seis toneladas y media aplastó un disco duro. No era cualquier disco: contenía los manuscritos inéditos de Terry Pratchett, el autor británico que había muerto dos años antes después de una larga batalla con una variante atípica de Alzheimer. La destrucción de discos duros es una práctica común en entornos corporativos, pero pocas veces se ejecuta con tanta convicción —ni tanta teatralidad— como aquella mañana en Salisbury.

📑 En este artículo

1. TL;DR
2. Qué pasó en aquella ferretería de Dorset
3. El contexto: el embuggerance y las últimas voluntades
4. Por qué destruir un disco duro sigue siendo difícil
5. El estándar NIST SP 800-88 explicado
6. SSDs y flash: el problema del wear leveling
7. El árbol de decisión en 2026
8. Métodos modernos en 2026
9. Implicaciones para GDPR, LFPDPPP y el derecho al olvido
10. Qué sigue: legado digital en la era de la IA generativa
11. Preguntas frecuentes
    1. ¿Sirve formatear un disco duro como método de destrucción?
    2. ¿El wipe de N pasadas sigue siendo necesario en HDDs modernos?
    3. ¿Puedo destruir un SSD con un martillo y dormir tranquilo?
    4. ¿Qué pasa con los datos en la nube?
    5. ¿Cuánto cuesta destruir profesionalmente un disco en LATAM?
    6. ¿Por qué destruir el medio si los datos ya están cifrados?
12. Referencias

Casi una década después, ese acto sigue siendo el caso más famoso de eliminación física de datos en la cultura pop. Pero también plantea una pregunta técnica seria: en 2026, con SSDs, cifrado a nivel de hardware y nubes distribuidas, ¿basta con una aplanadora?

TL;DR

• En agosto de 2017, Rob Wilkins cumplió la voluntad de Pratchett: su disco duro con obras inéditas fue aplastado por una aplanadora de 6,5 toneladas en Dorset.
• Pratchett murió en marzo de 2015 por una variante atípica de Alzheimer y dejó instrucciones explícitas: nada de manuscritos inéditos publicados póstumamente.
• La destrucción física sigue siendo el estándar oro para datos críticos, recomendada por NIST SP 800-88 Rev. 1 en su categoría Destroy.
• En SSDs modernos la destrucción física es aún más necesaria: el wear leveling deja copias residuales que un wipe lógico nunca alcanza.
• Alternativas en 2026: crypto-shredding, degaussing magnético y triturado industrial certificado por la norma alemana DIN 66399.
• El GDPR europeo y la LFPDPPP mexicana exigen pruebas verificables de destrucción cuando un usuario ejerce su derecho al olvido.

Qué pasó en aquella ferretería de Dorset

El 25 de agosto de 2017, durante el festival Great Dorset Steam Fair, Rob Wilkins —representante de la familia Pratchett y manager del escritor durante años— condujo una aplanadora de vapor Lemken hasta una pieza pequeña, oscura y silenciosa en mitad del campo. Dentro había un disco duro. Detrás venían varios cientos de testigos, fotógrafos y aficionados al universo del Mundodisco.

La máquina pasó por encima. Luego volvió a pasar. El disco quedó reducido a una pulpa de aluminio, vidrio y polvo magnético. Wilkins recogió los fragmentos en una caja y los entregó al Salisbury Museum, donde hoy se exhiben como parte de la colección dedicada al autor.

El gesto era literal hasta el detalle: Pratchett había escrito en su testamento que cualquier obra inédita debía ser aplastada “por una aplanadora, preferentemente de vapor, y preferentemente en el Great Dorset Steam Fair”. La frase se tomó en serio. El disco contenía, según el propio Wilkins, entre diez y cuarenta novelas inacabadas, fragmentos, notas, capítulos sueltos y, según rumores nunca confirmados, una versión muy avanzada de la sexta novela del ciclo de Tiffany Aching.

Para una industria editorial acostumbrada a exprimir hasta la última carta de un autor muerto —desde Tolkien hasta David Foster Wallace—, la decisión fue chocante. Para los lectores fue una segunda muerte: la confirmación de que no habría más libros nuevos del Mundodisco. Y para los ingenieros de seguridad que prestamos atención, fue una clase magistral sobre destrucción de discos duros hecha con el método más antiguo del manual: la masa cinética bruta aplicada con paciencia.

El contexto: el embuggerance y las últimas voluntades

Pratchett fue diagnosticado con atrofia cortical posterior en 2007, una variante poco frecuente de la enfermedad de Alzheimer que afecta primero la visión y la coordinación antes que la memoria verbal. Él mismo bautizó la enfermedad como the embuggerance, una palabra inventada que mezcla un improperio inglés con la sensación administrativa de un trámite que no termina nunca.

A partir de ese momento dictó casi todos sus libros usando software de reconocimiento de voz, primero Dragon NaturallySpeaking y luego una combinación de Dragon con un asistente humano que también editaba. Murió el 12 de marzo de 2015, a los sesenta y seis años, con su gato a un lado y su familia al otro.

Dejó dos voluntades muy claras. La primera, pública: una conferencia titulada Shaking Hands With Death, pronunciada en 2010 en el Royal College of Physicians, donde defendió el derecho al suicidio asistido para enfermos terminales. La segunda, privada: la destrucción material de cualquier obra inacabada en cualquier formato.

Esa segunda voluntad es la que nos interesa aquí. Pratchett no quería que ningún editor reconstruyera una novela a partir de notas. No quería que un colaborador “terminara” un libro en su nombre. Y no quería —probablemente lo más vigente en 2026— que nadie entrenara un modelo de lenguaje con su estilo para producir Mundodisco infinito a demanda.

Por qué destruir un disco duro sigue siendo difícil

Suena absurdo. Un disco duro es un objeto pequeño, frágil, lleno de partes metálicas que se rompen con cualquier golpe. ¿Qué tiene de difícil destruirlo? El problema no es romper el envase. Es destruir la información de forma irreversible. Y ahí entran tres realidades incómodas que cualquier equipo de seguridad descubre tarde o temprano.

Primero, los datos no viven en un solo lugar. En un disco mecánico moderno, un mismo archivo puede tener fragmentos repartidos en sectores, copias en cachés intermedias, restos en zonas marcadas como dañadas y metadatos en una tabla de asignación separada. Borrar el archivo desde el sistema operativo no toca casi nada: solo libera la entrada en la tabla y marca los sectores como disponibles para sobrescribir cuando haga falta.

Segundo, la recuperación forense es relativamente barata. Hay laboratorios en todo el mundo —desde Kroll Ontrack en Estados Unidos hasta empresas latinoamericanas como DataLab México y SOS Datos en Buenos Aires— que reconstruyen información de discos parcialmente destruidos por unos pocos miles de dólares. Si la motivación es alta (litigios millonarios, manuscritos famosos, espionaje industrial), se invierte mucho más y se recuperan datos de discos que parecen completamente arruinados.

Tercero, los SSDs cambiaron todas las reglas. En un disco mecánico, sobrescribir un sector borra ese sector. En un SSD, el controlador decide dónde escribir y rara vez sobrescribe la misma celda dos veces para no desgastarla. Esa lógica —el wear leveling— es excelente para la durabilidad del dispositivo y un desastre para los procedimientos clásicos de destrucción de discos duros basados en overwrite.

El estándar NIST SP 800-88 explicado

La referencia técnica más usada en 2026 sigue siendo la NIST Special Publication 800-88 Rev. 1, titulada Guidelines for Media Sanitization. Publicada por primera vez en 2006 y revisada en diciembre de 2014, define tres niveles de destrucción de datos, ordenados por severidad y por garantía contra ataques de recuperación.

📌 Nota: Aunque la NIST SP 800-88 se publicó en EE.UU., es el marco de referencia que adoptan implícitamente el GDPR europeo, la LFPDPPP mexicana y la mayoría de auditorías de SOC 2 y HIPAA cuando hay que probar destrucción de medios.

Los tres niveles son:

• Clear (limpiar): protege contra ataques no invasivos. Se sobreescriben los sectores accesibles desde el sistema operativo. Adecuado para reutilización interna en la misma organización, no para deshacerse del medio.
• Purge (purgar): protege contra ataques con herramientas de laboratorio. En HDDs incluye el degaussing magnético; en SSDs incluye el comando Sanitize del estándar ATA con verificación criptográfica posterior.
• Destroy (destruir): el medio físico deja de existir como medio funcional. Triturado industrial, fundición, desintegración por incineración. La aplanadora de Pratchett encaja con holgura en esta categoría.

La tabla del estándar es clara: para datos clasificados como High Impact y para medios que abandonan la organización, NIST recomienda Destroy. Punto. Ni Clear ni Purge solos son suficientes. Eso es lo que técnicamente justifica la elección de Pratchett, aunque él lo decidió por instinto literario décadas antes de que existiera la norma.

SSDs y flash: el problema del wear leveling

El wear leveling es una técnica del controlador de un SSD que distribuye las escrituras entre todas las celdas para que ninguna se desgaste antes que las otras. Una celda flash NAND típica aguanta entre 1.000 y 100.000 ciclos de escritura antes de fallar, dependiendo de la tecnología (SLC, MLC, TLC, QLC). El wear leveling estira esa vida útil multiplicándola por diez o veinte veces.

El efecto secundario es que cuando “sobrescribís” un archivo, el SSD no escribe encima de los datos viejos. Escribe los nuevos en una celda libre y marca la celda vieja como inválida. Los datos siguen ahí, en celdas que el sistema operativo ya no puede direccionar, hasta que el garbage collector interno del controlador las borre. Eso puede tardar minutos, días o semanas según el patrón de uso.

⚠️ Ojo: Las utilidades populares de secure erase (shred en Linux, srm en macOS) están diseñadas para HDDs. En un SSD pueden dar una falsa confianza: el archivo desaparece del filesystem pero los bits viejos siguen en celdas no mapeadas que un análisis a nivel de chip recupera sin problema.

La respuesta moderna es combinar dos cosas: crypto-shredding (destruir la clave AES con la que el SSD cifra todo internamente) y, para datos críticos, destrucción física posterior. Cualquiera de las dos sola deja una ventana de riesgo; las dos juntas se acercan al modelo Pratchett.

El árbol de decisión en 2026

Antes de elegir un método de destrucción, la pregunta correcta no es “¿cómo?” sino “¿qué medio y para qué uso futuro?”. El siguiente flujo resume el algoritmo que recomendamos para cualquier equipo de seguridad mediano:

flowchart TD
    A["Dato sensible a eliminar"] --> B{"Disco vivo o decomisado"}
    B -->|"Vivo"| C["Clear: overwrite logico"]
    B -->|"Decomisado"| D{"Tipo de medio"}
    D -->|"HDD"| E["Purge: degaussing magnetico"]
    D -->|"SSD o flash"| F["Crypto-shred + Destroy"]
    E --> G["Destroy: triturado o aplanadora"]
    F --> G
    C --> H["Certificado de destruccion firmado"]
    G --> H

Métodos modernos en 2026

Diez años después de la escena de Dorset, las herramientas evolucionaron. Estos son los métodos vigentes en 2026, ordenados de menos a más invasivos:

• Crypto-shredding: si el disco cifró todos los datos con una clave AES (algo que hacen por defecto los SSDs con cifrado de hardware, los volúmenes con LUKS o BitLocker y los buckets S3 con AWS KMS), basta con destruir la clave para que los datos sean irrecuperables. El borrado es prácticamente instantáneo y verificable. Es el método preferido en la nube.
• Degaussing magnético: una bobina industrial genera un campo magnético de 18.000 oersted o más, suficiente para reorientar los dominios magnéticos del plato. Funciona perfecto en HDDs convencionales. No funciona en SSDs (no hay magnetismo que desordenar) ni en HAMR de última generación con plates de muy alta coercitividad.
• Triturado industrial: máquinas certificadas según la norma alemana DIN 66399 reducen el medio a partículas de tamaño definido. La norma define siete niveles, del E-1 (partículas de hasta 320 mm²) al E-7 (partículas de hasta 5 mm²). Para datos High Impact se exige E-5 o superior.
• Aplastamiento físico: la solución Pratchett. Sigue siendo válida si la presión es suficiente para fracturar el plato (HDDs) o desintegrar las celdas NAND (SSDs). Una aplanadora de 6,5 toneladas distribuye unos 8.000 N/cm², muy por encima del umbral.

En la línea de comandos, esto se ve más o menos así para un SSD con soporte ATA Secure Erase:

# 1. Verificar que el disco soporta secure erase
sudo hdparm -I /dev/sdX | grep -A 8 "Security:"

# 2. Asignar una contrasena temporal (requerida por el protocolo ATA)
sudo hdparm --user-master u --security-set-pass PASSWD /dev/sdX

# 3. Ejecutar el borrado mejorado (purga interna del controlador)
sudo hdparm --user-master u --security-erase-enhanced PASSWD /dev/sdX

# Para crypto-shredding en SED (Self-Encrypting Drives) con sedutil:
sudo sedutil-cli --PSIDrevert <PSID_imp_en_la_etiqueta> /dev/sdX

En Windows el equivalente nativo es el comando cipher /w:C:\ para overwrite del espacio libre, o la utilidad Format-Volume -DriveLetter X -FileSystem NTFS -Full en PowerShell con la flag de borrado completo. En macOS, Disk Utility con la opción “Secure Erase” (eliminada en APFS por innecesaria si todo el volumen está cifrado con FileVault).

💡 Tip: Si tu organización está en LATAM, varios proveedores ofrecen destrucción in-situ con camión móvil y certificado emitido en el momento. Solicitá referencias del proveedor bajo NIST SP 800-88 y DIN 66399, no solo “destrucción certificada” genérica.

Implicaciones para GDPR, LFPDPPP y el derecho al olvido

La destrucción de discos duros dejó de ser un problema solo de defensa. Es un requisito regulatorio que cualquier auditoría medianamente seria revisa.

El Reglamento General de Protección de Datos (GDPR), vigente desde 2018 en la Unión Europea, contempla el derecho al olvido en su artículo 17. Cuando un ciudadano lo ejerce, la organización debe eliminar sus datos personales sin demora indebida y, crucialmente, debe poder demostrar que lo hizo. Una entrada en un log de aplicación no alcanza: el regulador puede exigir el certificado de destrucción del medio donde estaban los datos. Las multas por incumplimiento llegan hasta el 4% de la facturación global anual.

En México, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y los Lineamientos del INAI siguen el mismo camino. La versión actualizada de 2025 exige procedimientos documentados de supresión segura para cualquier base de datos que contenga datos personales sensibles, con énfasis en datos biométricos y de salud.

En el resto de LATAM, Brasil con la LGPD (vigente desde 2020), Argentina con la Ley 25.326 y Chile con la Ley 19.628 actualizada en 2024 implementan exigencias similares. El efecto práctico es que cualquier empresa de tamaño medio en la región necesita un proveedor certificado de destrucción de medios, o un proceso interno que combine crypto-shredding y destrucción física documentada con cadena de custodia firmada.

Qué sigue: legado digital en la era de la IA generativa

Hay un detalle de la historia de Pratchett que en 2017 sonaba a anécdota literaria y en 2026 suena profético.

Pratchett no destruyó solo manuscritos. Destruyó el dataset. Sabía —o intuyó— que dejar disponibles fragmentos, notas y borradores era ofrecerle a la industria editorial el material crudo para que cualquier “colaborador autorizado” terminara las novelas en su nombre. Hoy ese trabajo lo haría un modelo de lenguaje fine-tuneado con su estilo, en unas horas y por unos cientos de dólares de cómputo.

Y eso ya está pasando. En 2025 se publicó Roald Dahl: The Final Stories, una colección de relatos generados por IA a partir de notas inéditas del autor británico. La familia autorizó. La crítica fue mixta y el debate ético sigue abierto. Los herederos de Pratchett, por contraste, no tienen ese debate: los datos no existen, fueron polvo en Dorset hace casi diez años.

La destrucción de discos duros en 2026 protege algo más que datos personales o secretos comerciales. Protege también el derecho a no ser reconstruido. Para creadores, periodistas, abogados, médicos y cualquiera con material sensible, el método Pratchett —llevado al estándar técnico moderno con NIST 800-88 y crypto-shredding— sigue siendo el único método con garantía real.

📖 Resumen en Telegram: Ver resumen

Preguntas frecuentes

¿Sirve formatear un disco duro como método de destrucción?

No. El formateo borra la tabla de asignación de archivos pero deja los datos intactos en los sectores físicos. Cualquier herramienta forense básica (PhotoRec, R-Studio, EnCase) recupera la mayoría del contenido en minutos. Sirve solo para reutilizar el disco dentro de la misma organización, no para deshacerse de él.

¿El wipe de N pasadas sigue siendo necesario en HDDs modernos?

Para datos sensibles, NIST recomienda al menos una pasada de overwrite seguida de verificación. Las tres o siete pasadas del antiguo estándar DoD 5220.22-M son herencia de discos de muy baja densidad y no aportan valor adicional en HDDs modernos con densidad superior a 100 Gb por pulgada cuadrada.

¿Puedo destruir un SSD con un martillo y dormir tranquilo?

Reducís mucho el riesgo, pero no lo eliminás del todo. Las celdas NAND son chips pequeños que pueden sobrevivir parcialmente a un golpe localizado. La recomendación profesional es triturar al nivel DIN 66399 E-5 o superior, o combinar crypto-shredding previo con destrucción física para cubrir los dos vectores.

¿Qué pasa con los datos en la nube?

Los grandes proveedores (AWS, GCP, Azure) garantizan la destrucción mediante crypto-shredding de las claves KMS cuando se elimina un objeto cifrado. Para datos regulados, exigí cláusulas contractuales con SLA explícito de destrucción y certificación SOC 2 Tipo II del proveedor. Algunos sectores (salud, finanzas) requieren además trazabilidad por región.

¿Cuánto cuesta destruir profesionalmente un disco en LATAM?

Entre 8 y 25 dólares por unidad para servicio in-situ con certificado, según país y volumen. El precio incluye cadena de custodia, trituración o degaussing, certificado emitido bajo NIST SP 800-88 o DIN 66399 y, en algunos proveedores, un video del proceso firmado digitalmente como evidencia auditable.

¿Por qué destruir el medio si los datos ya están cifrados?

Porque el cifrado tiene fecha de caducidad. Los datos cifrados con AES-128 hoy pueden ser frágiles dentro de diez años contra ataques cuánticos prácticos. Si el medio sale de tu control físico con cifrado fuerte pero sin destrucción, estás apostando a que nadie guarde una copia para abrirla cuando la criptografía clásica caiga.

Referencias

• mahl.me — The spell that wouldn’t leave — Ensayo personal que motivó este análisis técnico.
• NIST SP 800-88 Rev. 1 — Guidelines for Media Sanitization — Estándar técnico de referencia mundial para destrucción de datos.
• Wikipedia — Terry Pratchett — Biografía con detalles sobre su enfermedad, sus últimos años y el destino de su obra inédita.
• Wikipedia — Data sanitization — Panorama general de métodos y estándares de saneamiento de datos.

📱 ¿Te gusta este contenido? Únete a nuestro canal de Telegram @programacion donde publicamos a diario lo más relevante de tecnología, IA y desarrollo. Resúmenes rápidos, contenido fresco todos los días.