Los efímeros metadatos pueden causar serios problemas
Llamando al Capitán Obvio… venga, Capitán Obvio: ¿Cuál es la amenaza informática que trae más peligro para las grandes y pequeñas empresas, los gobiernos y los usuarios individuales?
La respuesta es, por supuesto, la filtración de información. Ahora: ¿Qué filtraciones de información son las más difíciles de prevenir? Y la respuesta es las que los usuarios desconocen.
Hoy vamos a hablar de algo que muchas personas no saben o no piensan: los metadatos (la información sobre un archivo, que no la información que se muestra en un archivo). Los metadatos pueden hacer que un documento digital normal y corriente se convierta en información comprometedora.
Los metadatos de un documento
Empecemos nuestro artículo con algo de teoría. Las leyes americanas definen tres categorías de metadatos:
- Los metadatos de aplicación los añade la aplicación utilizada para crear el documento. Este tipo de metadatos contiene las ediciones que realiza el usuario, incluidos el historial de cambios y los comentarios.
- Los metadatos del sistema incluyen el nombre del autor, el nombre del archivo, tamaño, cambios, etc.
- Los metadatos incrustados pueden ser las fórmulas de las celdas de Excel, los hipervínculos y los archivos asociados. Los metadatos Exif de archivos gráficos también pertenecen a esta categoría.
Este es un ejemplo clásico de los problemas que pueden causar los metadatos comprometidos. El gobierno de 2003 del Reino Unido sobre las supuestas armas de destrucción masiva de Irak. La versión .doc del informe contenía metadatos incrustados sobre los autores (o, más bien, sobre las personas que introdujeron los últimos 10 cambios). Esta información puso en duda la calidad, la autenticidad y la credibilidad del informe.
De acuerdo con el artículo que seguidamente publicó la BBC, como resultado del descubrimiento de los metadatos del archivo original, el gobierno optó por usar la versión .pdf del informe porque contenía menos metadatos.
Un archivo (adulterado) de 20 millones de dólares
En 2015, hubo otra revelación relacionada con los metadatos que guardaba relación con un cliente de Venable, un bufete de abogados americano. Una compañía cuyo vicepresidente acababa de dimitir contactó con Venable. Poco después de su salida, la firma perdió un contrato con una organización gubernamental frente a un competidor (un competidor que trabajaba con el ex vicepresidente).
La empresa acusó al ex vicepresidente de mal uso de secretos empresariales afirmando que así fue cómo ganaron el contrato del gobierno. En su defensa, el demandado y su nueva firma proporcionaron como prueba una oferta comercial similar preparada para un gobierno extranjero. Aseguraron que se creó para otro cliente antes de la puja en EE. UU. y, por ello, el ex vicepresidente no había violado el pacto de no competencia con el demandante.
Pero los demandados no pensaron que los metadatos de sus pruebas contenían un código temporal anormal. El sistema de metadatos mostró que el archivo se guardó por última vez antes de su última impresión, lo que, según afirmó un experto, no puede suceder. El código de tiempo de la última impresión son metadatos de aplicación y se guardan en el documento solo cuando el archivo se guarda. Si un documento se imprime y no se guarda después, la nueva fecha de impresión no se guardará en los metadatos.
Otra prueba de la falsificación del documento fue su fecha de creación en el servidor de la empresa. El documento se creó después de que se presentara la demanda en el juzgado. Además, se acusó a la parte demandada de alterar la fecha de la última edición en los archivos .olm (la extensión que utiliza Microsoft Outlook para archivos de Mac).
La prueba de los metadatos bastó para que el tribunal fallara a favor de los demandantes. Los demandados tuvieron que pagarles 20 millones de dólares y unos cuantos millones más en sanciones.
Archivos ocultos
Los archivos de Microsoft Office ofrecen una herramienta configurada para recopilar información privada. Por ejemplo, las notas al pie pueden incluir información adicional cuyo propósito no es un uso público. El control de cambios integrado en Word también podría usarse para espiar. Si eliges la opción “mostrar final” (o “ninguna revisión”, o similar, según la versión de Word que uses), los cambios almacenados desaparecerán de la pantalla, pero seguirán en los archivos a la esperar de un lector observador.
Además, hay notas en las diapositivas de Power Point, columnas ocultas en las hojas de Excel, etc.
Por último, los intentos de esconder la información sin saber cómo hacerlo adecuadamente no suelen funcionar. Un buen ejemplo de ello lo es un documento legal publicado en CBSLocal en referencia a un caso de los Estados Unidos contra Rod Blagojevic, ex gobernador de Illinois. Se trata de una moción de 2010 para que el tribunal emitiera una citación a Barack Obama.
Algunas partes del texto están escondidas con cajas negras, Sin embargo, si se copia y pega el bloque de texto en un editor de textos, se puede leer por completo.
Las cajas negras en un PDF pueden ser útiles para esconder información cuando se imprime, pero esta medida se puede saltar en formato digital
Archivos dentro de archivos
Los datos de archivos externos incrustados en un documento son una historia totalmente diferente.
Para enseñaros un caso real, buscamos entre algunos documentos de páginas web .gov y seleccionamos para examinar el informe tributario del año financiero 2010 del Departamento Estadounidense de Educación.
Descargamos el archivo y desactivamos la protección de solo lectura (la cual no requería contraseña). Aparentemente, hay un gráfico normal en la página 41. Seleccionamos “Cambiar datos” en el menú de contexto y, finalmente, se abrió un archivo fuente incrustado de Microsoft Excel que contenía todos los datos de origen.
Informe en un archivo Word que contiene un Excel con muchos datos de origen para este y algún que otro gráfico.
No es necesario decir que dichos archivos incrustados podrían contener cualquier cosa, como por ejemplo mucha información privada; quienquiera que publicara el documento debió de dar por hecho que dicha información era inaccesible.
Recolección de metadatos
El proceso de recopilar metadatos de un documento perteneciente a una organización de interés se puede automatizar con la ayuda de software como el de FOCA (Fingerprinting Organizations with Collected Archives), ElevenPaths.
FOCA puede encontrar y descargar formatos de archivos requeridos (por ejemplo, .docx y .pdf), analizar sus metadatos y descubrir muchas cosas sobre la organización, como el software utilizado en el servidor, los nombres de usuario, etc.
Debemos hacer una gran advertencia llegados a este punto: analizar webs con dichas herramientas, aunque solo sea con fines de investigación, podría molestar a los propietarios de las webs e, incluso, podrían calificarlo de ciberdelincuencia.
Curiosidades documentadas
Estas son un par de peculiaridades de los metadatos que no conocen todos los expertos en informática sobre el sistema de archivos NTFS que utiliza Windows.
Afirmación 1. Si borras un archivo de una carpeta e inmediatamente guardas un archivo nuevo con el mismo nombre en la misma carpeta, la fecha de creación será la misma que la del archivo que has borrado.
Afirmación 2. Además de otros metadatos, NTFS mantiene la fecha del último acceso al archivo. No obstante, si abres el archivo y compruebas la fecha del último acceso en las propiedades, la fecha es la misma.
Pensarás que estas curiosidades son solo errores, pero son, en realidad, características documentadas. En el primer caso, hablamos de túneles, requeridos para permitir la compatibilidad de software. Por defecto, este efecto tiene una duración de 15 segundos en los que el nuevo archivo recibe la fecha de creación asociada al archivo anterior (se puede cambiar el intervalo en la configuración del sistema o desactivarlo por completo en el registro). De hecho, en mi caso, el intervalo por defecto basta para que me tope con los túneles un par de veces por semana mientras hago mi trabajo.
El segundo caso también está documentado: desde Windows 7, y en favor del rendimiento, Microsoft desactivó el guardado automatizado de la fecha de último acceso. Se puede activar en el registro. Sin embargo, una vez activado, no se puede revertir el proceso para corregir el problema; el sistema de archivos no mantiene las fechas correctas (como comprobó un editor de disco de bajo nivel).
Esperamos que los expertos en informática forense estén al tanto de estas peculiaridades.
Por cierto, los metadatos pueden ser alterados mediante aplicaciones por defecto del SO o aplicaciones nativas, además de con software especial. Lo que significa que no se puede confiar en los metadatos como prueba en un juicio a no ser que vayan acompañados de documentación adicional, como de servicios de correo o registros de servidores.
Metadatos: Seguridad
Una característica integrada de Microsoft Office llamada Inspector de documento (en Word 2016, Archivo → Información → Inspeccionar documento) muestra al usuario los datos que contiene un archivo. En cierta medida, esta información se puede borrar a petición (aunque no la información incrustada, como la del documento del Departamento de Educación que hemos citado antes). Los usuarios deberían tener cuidado cuando inserten gráficos y diagramas.
Adobe Acrobat es capaz de eliminar los metadatos de los archivos de forma parecida.
En cualquier caso, los sistemas de seguridad deberían gestionar la prevención del filtrado de datos. Por ejemplo, nosotros disponemos de un módulo DLP (Prevención de la pérdida de datos por sus siglas en inglés) en Kaspersky Total Security for Business, Kaspersky Security for mail servers y Kaspersky Security para plataformas de colaboración. Estos productos pueden filtrar metadatos confidenciales, como los cambios de registro, los comentarios y los objetos incrustados.
Por supuesto, el método ideal (la lectura imposible) para prevenir por completo la filtración de información es contar con una plantilla responsable, informada y bien capacitada.
Fuente: https://blog.kaspersky.com.mx/
Fecha de consulta: 15 marzo 2017
