Flujo de datos alternativos en Windows 10

Los flujos de datos alternativos (Alternate Data Streams – ADS) en Windows son una característica muy poco conocida del sistema de ficheros NTFS usado en Windows y que permite guardar archivos ocultos dentro de un fichero o carpeta. Realmente los flujos de datos alternativos ofrecen interesantes opciones para esconder información en el ordenador y que sea difícil de encontrar. Lo más habitual es que sea el propio sistema operativo Windows o los diferentes programas (como por ejemplo los antivirus) los que añadan esta información adicional a los ficheros o directorios, que permanece oculta a la vista de los usuarios en todo momento. Los flujos de datos alternativos funcionan desde Windows XP (con algunas particularidades) hasta el más moderno Windows 10, pasando por Windows 7, Windows 8 y Windows 8.1.

Un flujo de datos alternativo (ADS – Alternate Data Stream) es una característica del sistema de ficheros NTFS que consiste en incluir metainformación en un fichero. Podríamos decir que son ficheros secundarios “ocultos” guardados dentro de otros ficheros pudiendo ser de cualquier tipo (de texto, imágenes, vídeos, PDFs, documentos de Office, etc.) y no son visibles directamente. El objetivo inicial es almacenar información extra acerca del fichero principal, pero esta técnica también fue muy usada para propagar virus de forma transparente para el usuario.

Si por ejemplo añades un flujo de datos alternativo con una cierta información o incluso con una imagen, un ejecutable, etc. a un fichero de un cierto tamaño, tras hacerlo, el archivo original constará como que sigue teniendo el mismo peso y que nada ha cambiado. Puede resultar abrumador, pero es así.

Otros sistemas de ficheros como HFS+ (sistema de ficheros de los ordenadores de Apple con macOS), ext3 (Linux), etc. también tienen características similares pero los flujos de datos alternativo en NTFS tienen muchas opciones y son la opción que más versatilidad ofrece.

Características a considerar:

• Una aplicación de escritorio solo leerá el flujo principal de un archivo. Es decir, mediante el explorador de Windows sólo se abrirá el fichero que pertenezca al flujo principal. Los flujos alternativos sólo se pueden ejecutar mediante consola de comandos o PowerShell.
• El flujo de los datos alternativos asociados a un archivo, por grandes que sean, no aumentan el tamaño del fichero original (ni su fecha y hora de creación o similares).
• Los flujos de datos alternativos están diseñados inicialmente para almacenar información y que esta quede escondida a los ojos del usuario, refriéndose a que es posible esconder un vídeo en un fichero de texto de pocos bytes y casi nadie sabrá que está ahí.
• Estos flujos de datos alternativos solo se conservan si el ordenador tiene el sistema de ficheros NTFS en el disco duro o discos extraíbles. Si por ejemplo lo copias a un USB o disco duro con otro sistema de ficheros como FAT o FAT32, etc. estos datos asociados se pierden. Lo mismo ocurre si comprimes un fichero en punto zip por ejemplo, no incluirá el flujo de datos alternativos, y lo más seguro es que aparezca un mensaje como este:

Como particularidad, mencionar que cuando descargamos un fichero de Internet, lleva asociado un flujo alternativo llamado “Zone.Identifier”, que indica la zona desde donde se ha descargado el fichero. Windows después utiliza dicho valor para abrir o ejecutar los ficheros. El significado de los valores es:

La finalidad de los flujos de datos alternativos es asociar ficheros o información que pueda ser confidencial, a ficheros de forma que queden ocultos a usuarios. Pero de la misma forma se puede usar esta técnica para alguna actividad maliciosa.