A veces pasa -ya sea en una forense informática, o porque nos hace falta- que tenemos que recuperar ficheros borrados de Outlook. Normalmente, te dirán que utilices la herramienta nativa de Office «ScanPst», o que compres algún programa para recuperar esos correos que ya no existen siquiera en la carpeta de «elementos eliminados».

ScanPst permite «reparar» ficheros de Outlook dañados, pero también nos va a ser útil para nuestro propósito de hoy, sin necesidad de gastar dinero; pero claro, esta herramienta solo repara, por lo que -si nuestro fichero no está dañado- no hará la función que debe hacer para nuestros intereses.

Vamos, por tanto, a explicar una forma muy sencilla (desconocida por muchos, creo yo) de recuperar esos mails de Outlook que -por la razón que sea- se han eliminado y ahora es preciso recuperar.

Como sabéis, Outlook guarda los correos electrónicos en un fichero con extensión «.PST» (normalmente se llama «outlook.pst») o «.OST» si se trata de una cuenta de Microsoft Exchange. Para saber cómo se llama vuestro fichero de almacén de correos y en qué carpeta se encuentra (que esa es otra) tan solo debemos abrir nuestro Outlook e ir al menú «Archivo» pulsar sobre el botón «Configuración de la Cuenta» y -en la nueva ventana que se nos abre- pulsar sobre la solapa «Archivos de datos». Ahí aparecerán los nombres de nuestros almacenes de correos, así como la ubicación de éstos.

Una vez ahí, basta con pulsar en el botón «Abrir la ubicación de archivos» y se nos abrirá una ventana nueva, ya con el fichero «.PST» del que vamos a recuperar los mails eliminados, a la vista. Eso sí: antes de empezar con la operación, deberemos cerrar nuestro Outlook, pues mientras éste esté abierto, los ficheros de almacén estarán bloqueados. Ya cerrado nuestro programa, tan solo nos quedará la carpeta recién abierta en la que están ubicados los archivos con los que vamos a trabajar.

Por supuesto -esto es realmente importante- lo primero que tenemos que hacer nada más cerrar nuestro gestor de correo, será duplicar el fichero «.PST»; por ejemplo, con los comandos «Ctrl+C» y «Ctrl+V». En el caso de que nuestro fichero se llamara «Outlook.PST» esta secuencia de comandos generará un nuevo fichero idéntico llamado «Outlook – Copia.PST». Ya podemos empezar con nuestro experimento. ¡Ojo! con la copia recién creada.

El siguiente paso será abrir ese fichero «Outlook – Copia.PST» con nuestro programa de lectura hexadecimal gratuito «HxD«, o con el que más cómodos os sintáis trabajando. Al abrirlo, os aparecerá algo parecido a ésto…

Para quienes no lo sepáis, los cuatro primeros códigos hexadecimales (21 42 44 4E) indican el tipo de archivo que es. En nuestro fichero, esta cabecera indica (incluso en el caso de que éste careciera de extensión) que estamos ante un fichero de Outlook de Office. Podéis ver más tipos de cabeceras, aquí. Como ya imaginaréis, no debemos modificar estos bloques de código. Por el contrario, lo que haremos será modificar los 13 siguientes, empezando desde la columna «07»

Lo que haremos será rellenar todas las columnas seleccionadas, con ceros. Debería quedaros algo así…

Finalmente grabamos el nuevo fichero y ya lo tendremos todo listo para empezar a recuperar nuestros mails borrados -ahora sí- con la utilidad «ScanPst».

Recordad que -como siempre ocurre en informática- todo es infinitamente diferente, dependiendo de si es cero, o es uno.

José Aurelio García

Auditor y Perito Informático-Perito en Piratería Industrial e Intelectual-Informático Forense

Co-Director del Título Propio «Derecho Tecnológico e Informática Forense», impartido por la UnEx dtif.unex.es

Profesor en el «Máster de Abogacía Digital», impartido por la USAL

Profesor en el «Grado en Ciencias Policiales», impartido por la USAL para Policía Nacional. 

Socio Fundador Asociación Nacional de Ciberseguridad y Pericia Tecnológica – ANCITE

Prueba Electrónica – El Blog de Auditores y Peritos Informáticos

[email protected]