Metadatos: datos incrustados en la información pueden delatarnos

Ayer hablabamos de Metadatos en ElReservado, Diario Digital Fundado por Fernando Rueda y que versa fundamentalmente sobre servicios de inteligencia. El artículo íntegro se encuentra en la siguiente URL:
http://www.elreservado.es/news/view/220-noticias-espias/1131-metadatos-datos-incrustados-en-la-informacion-pueden-delatarnos

A continuación reproducimos el texto del mismo:
La información es uno de los activos más importantes de una entidad. Las causas de esta afirmación son múltiples: la pérdida, sustracción o fuga de información hacia entidades competidoras les proporciona una clara desventaja, por no hablar de las pérdidas económicas. Casos hay cientos, por nombrar uno haremos referencia a la reciente batalla legal por espionaje industrial entre las multinacionales Nokia y Apple [1]. De lo que no cabe duda es de que tener la información adecuada de la competencia es tan inmoral como lucrativo para el beneficio propio.
¿Cómo se guarda la información? Desde hace ya varias décadas el cambio tecnológico nos lleva cada vez más hacia los soportes digitales. Desde el punto de vista de la protección de la información esto cambia el paradigma: la información sensible puede estar en un servidor en un sótano custodiado por fuertes medidas físicas de seguridad (guardias, accesos biométricos, etc) y sin embargo es posible acceder a la misma desde la otra punta del mundo a través de un hilo telefónico.
En la siguiente serie de artículos repasaremos algunas de las técnicas utilizadas actualmente para obtener información sensible desde el punto de vista de un atacante externo que no dispone, a priori, de contactos dentro de las entidades objetivo. Veremos cómo es posible obtener multitud de informaciones que no deberían ser accesibles, repasaremos también, algunos casos relacionados que han salido a la luz pública.
Comenzaremos con los Metadatos. Los metadatos son datos que hablan de datos [2]. Por ejemplo en un libro los datos referentes a su fecha y lugar de impresión, ISBN, etc. En el mundo electrónico los metadatos son información incrustada, por ejemplo en ficheros ofimáticos o imágenes, que aportan información acerca de los propios ficheros. Como veremos a continuación estos datos pueden ser inofensivos si bien en algunos casos pueden constituir una información muy valiosa.
Pongamos un ejemplo para verlo con claridad, descargamos de la web del CNI un documento pdf titulado “La inteligencia como respuesta a los nuevos retos de seguridad” [3]. Este documento es un simple pdf (portable document format), pero contiene más información de la que podemos ver abriéndolo con un visor de pdfs [3]. Utilizando herramientas públicamente disponibles podemos extraer dicha información, en este ejemplo utilizaremos unas herramientas denominadas Exiftool [5], que muestra la siguiente metainformación sobre el fichero:
File Name : ev_113.pdf
Directory : .
File Size : 85 kB
File Modification Date/Time : 2011:04:07 12:25:30+02:00
File Permissions : rw-rw-r–
File Type : PDF
MIME Type : application/pdf
PDF Version : 1.6
Linearized : No
Tagged PDF : Yes
XMP Toolkit : Adobe XMP Core 4.0-c316 44.253921, Sun Oct 01 2006 17:14:39
Metadata Date : 2008:12:30 10:19:19+01:00
Format : application/pdf
Document ID : uuid:3efef69a-98de-4f18-bace-7676164f5cb8
Instance ID : uuid:a8953cc0-3ab1-4992-87e0-ba823d9f14c2
Page Count : 19
Language : ES
Create Date : 2007:09:13 18:28:17Z
Producer : Acrobat Distiller 4.0 for Windows
Modify Date : 2008:12:30 10:19:19+01:00

Muchos de los campos son autoexplicativos, la información más significativa en este caso son las herramientas software utilizadas para la creación de este documento (Acrobat Distiller 4.0 for Windows) y las fechas de creación (2007:09:13 18:28:17Z) y de modificación (2008:12:30 10:19:19+01:00). En algunos documentos los datos pueden ser más jugosos, incluyendo usuarios del sistema operativo, rutas internas hacia las impresoras, versionado software utilizado por la entidad o los datos cruciales que veremos en dos casos prácticos.
El caso Tony Blair y las armas de destrucción masiva

En el 2003 el ejecutivo de Tony Blair publicó un documento en el contexto de la Guerra de Irak y la supuesta existencia de armas de destrucción masiva [6]. El fichero en cuestión contenía multitud de metadatos en los que se podía comprobar la multitud de revisiones [7] que dicho documento había recibido por parte de miembros de su gabinete (con nombres y apellidos), quedando en evidencia la manipulación del mismo.
Utilización de metadatos para capturar pederastas

El 18 de mayo del 2009 saltó la noticia de que un pederasta había sido detenido en Guipúzcoa [8]. La investigación en este caso tuvo mucho que ver con los metadatos de las fotografías que el pederasta colgaba en Internet. Muchas cámaras de fotos, incluidas las de los modernos teléfonos móviles, incrustan metadatos en las mismas, algunos de ellos son de vital importancia en estas investigaciones, estamos hablando de coordenadas GPS en las que se toma la fotografía, versión y modelo del dispositivo, etc.
Buscando documentos

La manera más sencilla de acceder a documentos es a través de los propios buscadores. Por ejemplo en Google podemos afinar la búsqueda para que nos muestre solo determinados documentos. Imaginemos que queremos listar los documentos de Word con extensión .doc que ha indexado el motor de búsqueda en la página web del Ministerio de Defensa (mde.es), sería tan simple como introducir el siguiente texto en el campo de búsqueda:

inurl:mde.es filetype:doc

A fecha del 7 de abril del 2011 podemos apreciar que aparecen 167 resultados/documentos.
Hay varias herramientas automáticas públicas destinadas a recopilar metadatos en documentos disponibles en Internet. Además de la ya mencionada Exiftool [5] una de las más utilizadas es la FOCA [8]. Existen igualmente multitud de herramientas para eliminar metadatos de los ficheros, desde el propio Microsoft Office 2007 [10] es posible eliminar metadatos haciendo click en “Menú Office -> Preparar -> Inspeccionar Documento”.
Como conclusión, hay que prestar atención a este tipo de fugas de datos, ya que en algunos casos esta información puede ser muy perjudicial para la entidad que los expone. Y lo más peligroso es que en la mayoría de los casos las entidades no son conscientes de ello.
Referencias:

[1] Nokia vuelve a denunciar a Apple: http://www.suite101.net/content/nokia-vuelve-a-denunciar-a-apple
[2] Wikipedia: http://es.wikipedia.org/wiki/Metadato
[3] La inteligencia como respuesta a los nuevos retos de seguridad: http://www.cni.es/comun/recursos/descargas/ev_113.pdf
[4] Acrobat Reader: http://get.adobe.com/es/reader/
[5] Exiftool: http://www.sno.phy.queensu.ca/~phil/exiftool/
[6] Documento Tony Blair: http://www.computerbytesman.com/privacy/blair.doc
[7] Microsoft Word bytes Tony Blair in the butt: http://www.computerbytesman.com/privacy/blair.htm
[8] Detenido un pederasta por colgar fotos de amigos de sus hijos en internet: http://www.abc.es/20090518/nacional-sucesos/detenido-pederasta-colgar-fotos-20090518.html
[9] FOCA: http://www.informatica64.com/foca/
[10] Microsoft Office: http://office.microsoft.com/es-es/
Informa: Daniel Medianero, dmedianero@buguroo.com