Este es un ejemplo cl\u00e1sico de los problemas que pueden causar los metadatos comprometidos. El gobierno de 2003 del Reino Unido sobre las supuestas armas de destrucci\u00f3n masiva de Irak. La versi\u00f3n .doc del informe conten\u00eda metadatos incrustados sobre los autores (o, m\u00e1s bien, sobre las personas que introdujeron los \u00faltimos 10 cambios). Esta informaci\u00f3n puso en duda la calidad, la autenticidad y la credibilidad del informe.<\/p>\n
De acuerdo con el art\u00edculo que seguidamente public\u00f3 la BBC<\/a>, como resultado del descubrimiento de los metadatos del archivo original, el gobierno opt\u00f3 por usar la versi\u00f3n .pdf del informe porque conten\u00eda menos metadatos.<\/p>\n En 2015, hubo otra revelaci\u00f3n relacionada con los metadatos que guardaba relaci\u00f3n con un cliente de Venable<\/a>, un bufete de abogados americano. Una compa\u00f1\u00eda cuyo vicepresidente acababa de dimitir contact\u00f3 con Venable. Poco despu\u00e9s de su salida, la firma perdi\u00f3 un contrato con una organizaci\u00f3n gubernamental frente a un competidor (un competidor que trabajaba con el ex vicepresidente).<\/p>\n La empresa acus\u00f3 al ex vicepresidente de mal uso de secretos empresariales afirmando que as\u00ed fue c\u00f3mo ganaron el contrato del gobierno. En su defensa, el demandado y su nueva firma proporcionaron como prueba una oferta comercial similar preparada para un gobierno extranjero. Aseguraron que se cre\u00f3 para otro cliente antes<\/i> de la puja en EE. UU. y, por ello, el ex vicepresidente no hab\u00eda violado el pacto de no competencia con el demandante.<\/p>\n Pero los demandados no pensaron que los metadatos de sus pruebas conten\u00edan un c\u00f3digo temporal anormal. El sistema de metadatos mostr\u00f3 que el archivo se guard\u00f3 por \u00faltima vez antes de su \u00faltima impresi\u00f3n, lo que, seg\u00fan afirm\u00f3 un experto, no puede suceder. El c\u00f3digo de tiempo de la \u00faltima impresi\u00f3n son metadatos de aplicaci\u00f3n y se guardan en el documento solo<\/i> cuando el archivo se guarda. Si un documento se imprime y no se guarda despu\u00e9s, la nueva fecha de impresi\u00f3n no se guardar\u00e1 en los metadatos.<\/p>\n Otra prueba de la falsificaci\u00f3n del documento fue su fecha de creaci\u00f3n en el servidor de la empresa. El documento se cre\u00f3 despu\u00e9s de que se presentara la demanda en el juzgado. Adem\u00e1s, se acus\u00f3 a la parte demandada de alterar la fecha de la \u00faltima edici\u00f3n en los archivos .olm (la extensi\u00f3n que utiliza Microsoft Outlook para archivos de Mac).<\/p>\n La prueba de los metadatos bast\u00f3 para que el tribunal fallara a favor de los demandantes. Los demandados tuvieron que pagarles 20 millones de d\u00f3lares y unos cuantos millones m\u00e1s en sanciones.<\/p>\n Los archivos de Microsoft Office ofrecen una herramienta configurada para recopilar informaci\u00f3n privada. Por ejemplo, las notas al pie pueden incluir informaci\u00f3n adicional cuyo prop\u00f3sito no es un uso p\u00fablico. El control de cambios integrado en Word tambi\u00e9n podr\u00eda usarse para espiar. Si eliges la opci\u00f3n \u201cmostrar final\u201d (o \u201cninguna revisi\u00f3n\u201d, o similar, seg\u00fan la versi\u00f3n de Word que uses), los cambios almacenados desaparecer\u00e1n de la pantalla, pero seguir\u00e1n en los archivos a la esperar de un lector observador.<\/p>\n Adem\u00e1s, hay notas en las diapositivas de Power Point, columnas ocultas en las hojas de Excel, etc.<\/p>\n Por \u00faltimo, los intentos de esconder la informaci\u00f3n sin saber c\u00f3mo hacerlo adecuadamente no suelen funcionar. Un buen ejemplo de ello lo es un documento legal<\/a> publicado en CBSLocal en referencia a un caso de los Estados Unidos contra Rod Blagojevic, ex gobernador de Illinois. Se trata de una moci\u00f3n de 2010 para que el tribunal emitiera una citaci\u00f3n a Barack Obama.<\/p>\n Algunas partes del texto est\u00e1n escondidas con cajas negras, Sin embargo, si se copia y pega el bloque de texto en un editor de textos, se puede leer por completo.<\/p>\n Las cajas negras en un PDF pueden ser \u00fatiles para esconder informaci\u00f3n cuando se imprime, pero esta medida se puede saltar en formato digital<\/p><\/div>\n Los datos de archivos externos incrustados en un documento son una historia totalmente diferente.<\/p>\n Para ense\u00f1aros un caso real, buscamos entre algunos documentos de p\u00e1ginas web .gov y seleccionamos para examinar el informe tributario del a\u00f1o financiero 2010 del Departamento Estadounidense de Educaci\u00f3n.<\/p>\n Descargamos el archivo y desactivamos la protecci\u00f3n de solo lectura (la cual no requer\u00eda contrase\u00f1a). Aparentemente, hay un gr\u00e1fico normal en la p\u00e1gina 41. Seleccionamos \u201cCambiar datos\u201d en el men\u00fa de contexto y, finalmente, se abri\u00f3 un archivo fuente incrustado de Microsoft Excel que conten\u00eda todos los datos de origen.<\/p>\n Informe en un archivo Word que contiene un Excel con muchos datos de origen para este y alg\u00fan que otro<\/em> gr\u00e1fico.<\/p><\/div>\n \u00a0<\/p>\n No es necesario decir que dichos archivos incrustados podr\u00edan contener cualquier cosa, como por ejemplo mucha informaci\u00f3n privada; quienquiera que publicara el documento debi\u00f3 de dar por hecho que dicha informaci\u00f3n era inaccesible.<\/p>\n El proceso de recopilar metadatos de un documento perteneciente a una organizaci\u00f3n de inter\u00e9s se puede automatizar con la ayuda de software<\/i> como el de FOCA (Fingerprinting Organizations with Collected Archives), ElevenPaths.<\/p>\n FOCA puede encontrar y descargar formatos de archivos requeridos (por ejemplo, .docx y .pdf), analizar sus metadatos y descubrir muchas cosas sobre la organizaci\u00f3n, como el software<\/i> utilizado en el servidor, los nombres de usuario, etc.<\/p>\n Debemos hacer una gran advertencia llegados a este punto: analizar webs con dichas herramientas, aunque solo sea con fines de investigaci\u00f3n, podr\u00eda molestar a los propietarios de las webs e, incluso, podr\u00edan calificarlo de ciberdelincuencia.<\/p>\n Estas son un par de peculiaridades de los metadatos que no conocen todos los expertos en inform\u00e1tica sobre el sistema de archivos NTFS que utiliza Windows.<\/p>\n Afirmaci\u00f3n 1.<\/b> Si borras un archivo de una carpeta e inmediatamente guardas un archivo nuevo con el mismo nombre en la misma carpeta, la fecha de creaci\u00f3n ser\u00e1 la misma que la del archivo que has borrado.<\/p>\n Afirmaci\u00f3n 2.<\/b> Adem\u00e1s de otros metadatos, NTFS mantiene la fecha del \u00faltimo acceso al archivo. No obstante, si abres el archivo y compruebas la fecha del \u00faltimo acceso en las propiedades, la fecha es la misma.<\/p>\n Pensar\u00e1s que estas curiosidades son solo errores, pero son, en realidad, caracter\u00edsticas documentadas. En el primer caso, hablamos de t\u00faneles<\/a>, requeridos para permitir la compatibilidad de software<\/i>. Por defecto, este efecto tiene una duraci\u00f3n de 15 segundos en los que el nuevo archivo recibe la fecha de creaci\u00f3n asociada al archivo anterior (se puede cambiar el intervalo en la configuraci\u00f3n del sistema o desactivarlo por completo en el registro). De hecho, en mi caso, el intervalo por defecto basta para que me tope con los t\u00faneles un par de veces por semana mientras hago mi trabajo.<\/p>\n El segundo caso tambi\u00e9n est\u00e1 documentado: desde Windows 7, y en favor del rendimiento, Microsoft desactiv\u00f3 el guardado automatizado de la fecha de \u00faltimo acceso. Se puede activar en el registro<\/a>. Sin embargo, una vez activado, no se puede revertir el proceso para corregir el problema; el sistema de archivos no mantiene las fechas correctas (como comprob\u00f3 un editor de disco de bajo nivel).<\/p>\n Esperamos que los expertos en inform\u00e1tica forense est\u00e9n al tanto de estas peculiaridades.<\/p>\n Por cierto, los metadatos pueden ser alterados mediante aplicaciones por defecto del SO o aplicaciones nativas, adem\u00e1s de con software<\/i> especial. Lo que significa que no se puede confiar en los metadatos como prueba en un juicio a no ser que vayan acompa\u00f1ados de documentaci\u00f3n adicional, como de servicios de correo o registros de servidores.<\/p>\n Una caracter\u00edstica integrada de Microsoft Office llamada Inspector de documento (en Word 2016, Archivo \u2192 Informaci\u00f3n \u2192 Inspeccionar documento) muestra al usuario los datos que contiene un archivo. En cierta medida, esta informaci\u00f3n se puede borrar a petici\u00f3n (aunque no la informaci\u00f3n incrustada, como la del documento del Departamento de Educaci\u00f3n que hemos citado antes). Los usuarios deber\u00edan tener cuidado cuando inserten gr\u00e1ficos y diagramas.<\/p>\nUn archivo (adulterado) de 20 millones de d\u00f3lares<\/h3>\n
Archivos ocultos<\/h3>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2017\/03\/05195557\/office-docs-metadata-1.png\")
<\/h3>\n
Archivos dentro de archivos<\/h3>\n
![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2017\/03\/05195557\/office-docs-metadata-2.png\")
Recolecci\u00f3n de metadatos<\/h3>\n
Curiosidades documentadas<\/h3>\n
Metadatos: Seguridad<\/h2>\n