Metadatos y Privacidad

Metadatos
Logo de FOCA

Contenidos

– Definición de metadatos
– Qué son los Metadatos. Definición.
– Metadatos y riesgos para la privacidad
– Metadatos y peligros para la confidencialidad de datos
– Metadatos, Privacidad y habitos de compra
– ¿Qué son los Thumbnails?
– Metadatos: Datos ocultos en ficheros
– Metadatos y Drones: ladrones de los datos de tu smartphone
– Prevención
– Herramientas
– Recomendaciones sobre Metadatos al publicar / compartir
– Estándar para música y vídeos: ID3, AjpdSoft Modificar ID3 MP3
– Estándares para imágenes: Exif, IPTC, XMP
– Cámara de fotos y ficheros EXIF
– Análisis Forense de metadatos: Ejemplos ejemplares

Tags: metadatos, análisis forense, confidencialidad, privacidad, exif
RelacionadosAnálisis Forense y Peritaje InformáticoPrivacidad, Protección de Datos, Derecho al olvido y Navegación PrivadaDLP: Data Loss Prevention, Prevención de la pérdida de datosSeguridad lógica y FísicaBiometría , Protección Básica Empresarial

Qué son los Metadatos. Definición.

Los Metadatos (Meta= más allá) y (dato= porción de información) son datos que están inyectados de forma relativamente oculta como parte de una información añadida a cualquier archivo que se genere en un equipo informático bajo cualquier software que edite o escriba ese archivo.

Tal es el caso más común de los Metadatos propios que acompañan un archivo Porwer Point, los archivos de Word, los de Excel, los famosos PDF, las fotos, etc. Esta inyección de información relativamente oculta no es totalmente maliciosa por si misma ya que los Metadatos ayudan por ejemplo en tareas de indexación de los archivos, o en la definición de su titulo, o en su efeméride (Cuando fue creado) y ese es su aspecto positivo, pero indirectamente en su aspecto negativo pueden revelar de forma intencionada más información de la que debieran sobre tu persona, el equipo informático que usas, o la gente para la que trabajas.

Debido a la gran diversidad y volumen de las fuentes y recursos en Internet, se hizo necesario establecer un mecanismo para etiquetar,catalogar, describir y clasificar los recursos presentes en la World Wide Web con el fin de facilitar la posterior búsqueda y recuperación de la información. Este mecanismo los constituyen los llamados metadatos.

Un metadato no es más que un dato estructurado sobre la información, o sea, información sobre información, o de forma más simple, datos sobre datos. Los metadatos en el contexto de la Web, son datos que se pueden guardar, intercambiar y procesar por medio del ordenador y que están estructurados de tal forma que permiten ayudar a la identificación, descripción clasificación y localización del contenido de un documento o recurso web y que, por tanto, también sirven para su recuperación.

El concepto de metadatados -datos sobre datos- se puede entender en un sentido amplio o en un sentido más estricto. Por ejemplo, en un sentido amplio, si entendemos que metadatos es un término que se utiliza para describir datos que ofrecen el tipo y la clase de la información, esto es, son datos acerca de datos, podemos considerar que el catálogo de una biblioteca o un repertorio bibliográfico son tipos de metadatos. Estos tipos de metadatos emplean, fundamentalmente, reglas de catalogación y formatos para transmitir la información, como los formatos MARC.

Metadatos, Privacidad y Delitos TelemáticosAsí considerados, cada ficha catalográfica es un conjunto de metadatos de un libro o bien de un autor y los metadatos proporcionan una información básica sobre las obras de un autor y lo relacionan con otras obras del mismo autor u otras obras de similar contenido.

De la misma forma, los registros de una base de datos llevada a cabo para indizar o hacer un resumen documental, podrían también considerarse como metadatos.

Sin embargo, si acotamos la definición de metadatos dándole un sentido más estricto, los metadatos sólo serían posibles en un contexto digital y en red ya que sólo dentro de este contexto se pueden utilizar los metadatos con la función que les caracteriza, que es la de la localización, identificación y descripción de recursos, legibles e interpretables por máquina.

La definición que dan Berners-Lee y el World Wide Web Consortium (W3C) enMetadata Architecture es esclarecedora para entender el concepto de metadatos en este estricto sentido: “Los metadatos son información inteligible para el ordenador sobre recursos Web u otras cosas”.

Existen distintos modelos de metadatos, cada uno de ellos con distintos esquemas de descripción. En los distintos modelos, cada objeto se describe por medio de una serie de atributos y el valor de estos atributos es el que puede servir para recuperar la información.

Dependiendo de la clase de metadatos puede existir: información sobre elementos de datos o atributos, información sobre la estructura de los datos, información sobre un aspecto concreto, etc. De forma general, podemos encontrar metadatos referidos a:

• el contenido (concepto)
• aspectos formales (tipo, tamaño, fecha, lengua, etc.)
• información del copyright
• información de la autentificación del documento o recurso
• información sobre el contexto (calidad, condiciones o características de acceso, uso, etc.)

Los metadatos pueden ser almacenados dentro de una base de datos con una referencia al documento completo o ser incluidos en un encabezado dentro del propio texto. En el contexto de la Web, los metadatos se forman y almacenan para que puedan ser leídos por losmotores de búsqueda.

Las grandes ventajas del uso de metadatos radican en que se usa el mismo contenido del documento como un recurso de datos y que los metadatos valen también para recursos que no tienen únicamente la morfología de texto, sino para cualquier tipo de morfologías tales como vídeo, audio o imágenes.

Las aplicaciones del uso de metadatos son muy amplias y van desde la recuperación de información, pasando por la descripción ycatalogación de documentos, su uso por parte de robots y agentes de software, comercio electrónico, firmas digitales, derechos de propiedad intelectual; valoración, evaluación y clasificación de contenidos; trabajos bibliométricos e informétricos de todo tipo, etc.

Metadatos, Privacidad y Delitos TelemáticosExisten múltiples iniciativas para describir recursos electrónicos mediante metadatos normalizando y estandarizando las estructuras y arquitecturas de las recursos de Internet, el ejemplo más significativo, conocido y utilizado dentro del campo de la biblioteconomía y la documentación es el Dublin Core, creado por las iniciativas de las asociaciones de bibliotecarios norteamericanos, y en concreto por la Online Computer Library Center (OCLC), pero existen otros muchos que van desde los más estructurados y con un nivel más rico de descripción, hasta metadatos menos estructurados y con un nivel mucho menos detallado.

Los metadatos en informática son datos adicionales almacenados en un fichero. Estos datos suelen definir más en profundidad algunas características de un fichero. Por ejemplo, un pdf de Acrobat contiene la información propia (imágenes y texto) y puede contener información adicional que no se ve directamente en forma de metadatos como: título del documento, asunto, autor, cargo del autor, descripción, autor de la descripción, palabras clave, estado de copyright, aviso de copyright, URL de la información sobre copyright, etc.

El uso de los metadatos más frecuente es para mejorar la velocidad y rendimiento de las búsquedas, pues los buscadores pueden buscar previamente en los metadatos antes de hacerlo en todo el contenido del fichero. Usando informaciones adicionales los resultados son más precisos, y el usuario se ahorra filtraciones manuales complementarias.

Otro de los usos de los metadatos es facilitar el flujo de trabajo convirtiendo datos automáticamente de un formato a otro. Para eso es necesario que los metadatos describan el contenido y la estructura de los datos.

Algunos metadatos hacen posible una compresión de datos más eficaz. Por ejemplo, si en un vídeo el software sabe distinguir el primer plano del fondo puede usar algoritmos de compresión diferentes y así mejorar la cuota de compresión.

Relacionados:
Metadatos en ficheros de MS Office
Metadata Injection, una pesadilla para la anonymidad

Metadatos y riesgos para la privacidad

Un ejemplo destacable de los riesgos que pueden suponer los metadatos para la privacidad de los internautas es la web I know where your cat lives demuestra cómo los metadatos de nuestras fotografías online pueden ser utilizados para localizarnos geográficamente, con un margen de error inferior a 8 metros.

Si en alguna ocasión te has dejado llevar por la fiebre felina y has colgado una foto de tu minino en Instagram o Flickr, es probable que Owen Mundy sepa dónde vives y estés geolocalizado en el mapa de su web: I know where your cat lives (‘Sé donde vive tu gato’). Este profesor de Arte de la Universidad de Florida ha mapeado cerca de un millón de gatos, simplemente utilizando las coordenadas geográficas incluidas en los metadatos de las fotografías colgadas en los perfiles de los usuarios de estas aplicaciones –21.015 de esos gatos están en España.

No se trata, ni mucho menos, de una obsesión personal de Mundy por estos entrañables animalitos –”ni siquiera soy una persona de gatos” confiesa— su objetivo es despertar un debate público en torno a la privacidad online y la utilización que corporaciones y gobiernos hacen de los metadatos que como usuarios de redes sociales y aplicaciones revelamos sin ser, muchas veces, conscientes de ello.

Así que en poco menos de un año, Mundy construyó su propio servidor backend, uno capaz de alojar un fenómeno viral como el que esperaba que fuera su experimento gatuno, y con ayuda del superordenador de la Universidad Politécnica de Florida –un ordenador de alto rendimiento, alta capacidad y velocidad—, ponía en órbita este proyecto, a mitad de camino entre el arte digital y la concienciación social, con un irremediable toque kitsch. Tan solo en los primeros tres meses online, tuvo más de 500.000 visitas únicas y cada una de ellas visualizando una media de 50 fotos de gatos.

Redes Sociales: la gran fuente de metadatos

Owen Mundy llevaba más de un año publicando fotos de su hija en su perfil de Instagram, cuando cayó en la cuenta de que la aplicación había estado geolocalizando cada una de sus imágenes en un mapa. Parece espeluznante, pero el hecho es que no se da ningún consentimiento a la aplicación para hacer eso. Owen empezó a examinar la API de Instagram y se dió cuenta de que se puede acceder a los datos de cualquier persona a través de las coordenadas geográficas de prácticamente cualquier imagen o etiqueta.

Las API –en español IPA, Interfaz de Programación de Aplicaciones—permiten a los desarrolladores crear aplicaciones adicionales vinculadas a la aplicación original. “Facebook, Google, Twitter, Instagram y todas las demás, tienen una API que hace que otras aplicaciones, por tanto, otra gente, dependa de ellas, creando así una cultura de dependencia”, explica Mundy. “Por otro lado, la API también protege el acceso a todos los datos de sus usuarios, de modo que yo como desarrollador no puedo acceder a todos los datos de un usuario sino a aquellos a los que Instagram, por ejemplo, me deja acceder”.

Metadatos. Ciber-seguridad GITS Informatica.comPara su proyecto Mundy se conectó a la API de la aplicación y realizó una sencilla búsqueda, “simplemente como tú harías en el buscador de Google”, incluyendo todas las imágenes etiquetadas con la palabra “cat” (gato) pero sólo las que tuviesen coordenadas de geolocalización asociadas. Encontró 13 millones de resultados.

Lo más probable es que la mayoría de esos dueños de gatitos no tuviesen la más mínima idea de estar revelando esa información por el simple hecho de compartir una foto en su perfil social.

Lo que sucede es que cada vez que tomamos una fotografía con una cámara digital, especialmente la de nuestro smartphone, ésta registra cierta información que queda incrustada en el archivo de la imagen. Estos metadatos recogidos en la especificación “EXIF” incluyen información como la fecha y hora de la toma, la configuración de la cámara y también, si así lo permitimos, nuestras coordenadas geográficas. Cuando subimos una instantánea a una aplicación como Instagram o Flickr, las dos fuentes de imágenes utilizadas principalmente en este proyecto, todos esos metadatos son registrados y almacenados junto a la fotografía en una base de datos.

Parte de la información de esa base de datos, como explica Mundy, es totalmente pública por lo que para elaborar su proyecto no ha violado ninguna cláusula de privacidad. Según las condiciones de uso de Instagram, simplemente está obligado a eliminar de su web los datos de aquellos usuarios que así lo soliciten. Es decir, cualquier persona, empresa privada o institución puede disponer y utilizar estos datos privados de una persona en un espacio público sin violar las normas de la aplicación online.

“Aunque parezca irónico yo no pretendo violar la privacidad de nadie. Mi aplicación está diseñada para detectar automáticamente cuando alguien cambia los ajustes de privacidad de sus fotografías o las elimina, el software hace que esa imagen no sea visible más y la sustituye por una silueta de un gato”, dejando constancia del cambio.

Los gatos destapan los riesgos de la privacidad en la red

Apenas un par de semanas después de su lanzamiento, I know where your cat lives se volvió viral en Estados Unidos, situando en los principales medios de comunicación del país (y fuera de sus fronteras) el debate sobre la privacidad online y el uso público de la información personal por terceros.

“Cuando descargas una aplicación tienes que negociar tus condiciones de privacidad porque, al menos en Estados Unidos, por defecto se establece la protección más baja. Y ese es el verdadero problema, que por defecto estás cediendo todos tus datos, y la mayoría de la gente no es consciente de cuanta información está dando”, denuncia Mundy. “No se puede asumir que estas empresas cuidan de nuestra privacidad, porque es su forma de hacer dinero. Con nuestros datos”.

Qué dice la Legislación

Si bien la normativa de la Unión Europea en materia de geolocalización para dispositivos móviles adoptada en mayo 2011, establece que “por defecto los servicios de localización deben estar en OFF y deben ser los usuarios quienes consientan el cambio a ON para aplicaciones especificas”; ello no implica que cuando aceptamos las condiciones de uso de determinadas aplicaciones nuestra privacidad quede a salvo. Aunque primero nos pregunten, estamos concediendo de igual forma potestad a los administradores para que tengan acceso y disponibilidad de nuestros datos y material compartido en dicha aplicación.

Hasta el momento más de 40.000 fotografías han sido sustituidas en la web de I know where your cat lives por una silueta felina, lo que significa que más de 40.000 personas han cambiado los ajustes de privacidad en su aplicación. Y ese es precisamente el éxito del proyecto para su creador. “Para mí el resultado más importante es que la gente hable de ello. No se trata de gatos, es una conversación sobre poder y en concreto el poder de los software. Y de cómo corporaciones, empresas y gobierno utilizan algo tan valioso como tus datos”, destaca.

Autovigilancia en las redes sociales

I know where your cat lives no es el primer proyecto de Mundy, desde hace años ha desarrollado numerosos trabajos relacionados con el militarismo y la privacidad de datos –fuertemente influenciado por su pasado como fotógrafo en la armada de los Estados Unidos. En los noventa, Mundy pasó una temporada participando en misiones de vigilancia aérea en puntos calientes de Asia, como China y Corea del Norte.

Metadatos. Ciber-seguridad GITS InformáticaPor aquel entonces, toda esa documentación se realizaba de forma analógica, “con maquinas que tenían que mover dos personas”. “Y volvíamos con una cantidad ingente de imágenes, millones en casa misión, que había que descargar, revelar y analizar y enviar a los servicios de inteligencia” recuerda.

Una década más tarde, durante su etapa en San Diego, comenzó a reflexionar sobre el uso de las imágenes con fines militares, y poco a poco el tema evolucionó hacia las cuestiones de vigilancia de forma más amplia.

En 2009, Mundy se trasladó a Berlín para investigar la historia de la vigilancia militar vinculada a la capital alemana durante la guerra fría, en su análisis traza un paralelismo entre la capacidad de espionaje sobre la ciudadanía de la Stasi (el entonces Ministerio Estatal de Seguridad de la RDA) durante este periodo y el volumen de información recopilado hoy en día por la red social diseñada por Mark Zuckerberg.

El resultado fue una aplicación para Facebook: Give me my data (Dame mis datos) que permitía a los usuarios exportar la información vertida en la red social en diversos formatos (CSV, XML, JSON) para reutilizarla en otros archivos, visualizaciones o cualquier otro formato narrativo. Hasta entonces, esa información solo podía extraerse dentro de las limitaciones de la propia interfaz.

Seis meses después de que su aplicación fuera reseñada en The New York Times, Facebook implementó unas herramientas propias para la exportación de datos de sus usuarios.

En lo que se refiere a su experimento felino, “cualquier usuario de una red social puede arreglárselas para sacar los metadatos de la API en apenas veinte minutos“, comenta Mundy. “Lo realmente interesante es que Instagram, al igual que Facebook o Google, quieren que les des la mayor cantidad de metadatos posible y hacerlos públicos porque cuantos más datos tengan más posibilidades tienen de crear vínculos, no solo contigo, el usuario, sino con todos los demás usuarios que traigas y todos los otros usuarios que ni siquiera conoces pero que van a consultar tus datos”.

Ésta es precisamente la diferencia clave que el autor del proyecto apunta con respecto a las laborales de espionaje de la antigua Stasi, o las que él mismo solía realizar para el Ministerio de Defensa de Estados Unidos: “Ahora, en vez de tener a dos tipos siguiéndome y anotando todo lo que hago en un cuaderno, lo estoy haciendo yo mismo, publicando actualizaciones en mi perfil a los ojos de todo el mundo. Puede decirse que me estoy vigilando a mí mismo”.

Según explica este experto en subvertir aplicaciones y redes sociales, Facebook cuenta con un gran equipo de ingenieros en software que buscan y recopilan datos de los usuarios, crean estadísticas demográficas y los venden a diferentes compañías sin su permiso o conocimiento.

“Y todo esto lo hacen con la finalidad de influir en su comportamiento”, apunta. ¿Quién no se ha quedado un poco trastocado al ver que el mismo anuncio donde pinchó en Facebook, le persigue por otras páginas al seguir navegando? Es la publicidad personalizada, tal y como recalca Mundy, “no se trata simplemente de rellenar espacio visual con publicidad sino de controlar dónde hacemos clic y dónde ponemos nuestro dinero. Y lo mismo ocurre con los gobiernos, lo utilizan para controlar nuestros comportamientos, alerta.

“Y esto a lo que me refiero cuando hablo de la utilidad del proyecto y a que se hable de este tema; no es que se resuelva el problema de la privacidad, pero al menos se puede ver que crea un hábito en el usuario. Y con suerte un cambio cultural, porque la responsabilidad de esta problemática es 50 por ciento del software, 50 por ciento del usuario”, concluye Mundy –quien se encuentra inmerso en los próximos pasos del proyecto, entre los que se encuentra el lanzamiento de la web en otros diez idiomas y un libro sobre el proyecto. Eso sí, “con muchas fotos de adorables gatitos”.

(Fuente: http://www.eldiario.es/turing/big_data/)

Metadatos y peligros para la confidencialidad de los datos

Tras mostrar las posibilidades de los metadatos en los distintos tipos de ficheros que permiten albergarlos queda claro que pueden ser muy útiles para catalogar ficheros de forma automática y para una mejor y más rápida búsqueda de información.

Pero también queda claro que los metadatos pueden ser peligrosos para la confidencialidad de los datos, imaginemos, por ejemplo, que hemos realizado una fotografía muy personal con una cámara digital, una vez descargada esta foto en el PC, la retocamos con algún software de retoque fotográfico para quitar la parte que no queremos mostrar, la subimos a algún sitio público o la enviamos a algunos amigos.

Si el software de retoque no es muy bueno, habrá dejado la miniatura (thumbnail) de la imagen original sin retocar, con lo cual cualquiera, usando una software como AjpdSoft Extraer y eliminar miniatura JPG podrá ver la imagen original.

(Relacionada: Metadatos, Privacidad y Ciberespionaje gubernamental)

Metadatos, Privacidad y habitos de compra

Metadatos, Privacidad y habitos de compra. Ciber-Seguridad GITS InformáticaCuatro gestos tan triviales como pagar el billete de metro, la comida del mediodía, las zapatillas en una tienda deportiva o las entradas al cine permiten identificar a casi cualquier persona.

Aunque no se sepa el nombre o el número de cuenta, un estudio con datos de compra de 1,1 millones de personas revela la identidad en más del 90% de los casos. Es el poder de los metadatos y el big data.

Cuando estalló el caso Snowden, en Estados Unidos se produjo un gran escándalo con uno de los programas de espionaje de la NSA que recopilaba millones de llamadas telefónicas.

Las autoridades estadounidenses aclararon enseguida que no espiaban el contenido de las conversaciones en sí, sino metadatos como quién llamaba a quién, a qué hora o durante cuánto tiempo. Google o Facebook también los usan para mejorar sus servicios u ofrecer publicidad más personalizada.

En principio, la agregación de este tipo de datos de forma anónima en grandes bases no plantearía una gran amenaza a la privacidad de las personas. Esa presunción se ha demostrado ahora falsa.

Un grupo de investigadores del Media Lab del Instituto Tecnológico de Massachusetts (MIT) ha diseñado un par de algoritmos matemáticos que permiten identificar a una persona basándose en sus hábitos de compra. Consiguieron que un gran banco de un país de la OCDE (por razones obvias, no dicen ni qué banco ni qué país) les dejara aplicar sus algoritmos a una base de datos con las transacciones de pagos electrónicos de 1,1 millones de clientes en unas 10.000 tiendas durante los meses de enero y marzo de 2014.

“Con un promedio de cuatro transacciones, el día y la tienda, basta para identificar de forma exclusiva a las personas en el 90% de los casos”, dice el investigador del MIT y coautor de la investigación, Yves-Alexandre de Montjoye. “La lógica que subyace en esto reside en que muchas personas compran algo en una determinada tienda (Mango, por ejemplo) un día determinado (pongamos, ayer). Sin embargo, solo algunas de ellas también comprarán en determinado H&M ese mismo día. Y aún menos irán a comer al día siguiente en la misma zona. En cuanto sepas cuatro lugares o tiendas y días, el 90% de las veces hay una y solo una persona en toda la base de datos que compra algo en cuatro lugares en esos cuatro días”, explica.

De los archivos del banco usados para el estudio, los investigadores solo disponían del día (renunciaron a registrar la hora, lo que habría afinado aún más sus resultados) y el comercio donde se realizó la compra. Como es lógico, cada transacción lleva también un identificador de usuario en forma de una combinación alfanumérica de 8 dígitos, que permite a la entidad pasar el cobro al que hizo la compra. A ellos les sirvió para confirmar sus porcentajes de acierto.

Hay un cuarto metadato que parecería irrelevante pero, en realidad, da pistas extra para identificar a las personas. Se trata del importe de la compra. Los autores del estudio, publicado en Science, agruparon los importes en intervalos. No necesitaron el precio exacto para ampliar las posibilidades de volver a identificar al comprador.

“Analizamos también qué pasaba si sabemos el precio aproximado de lo que has comprado. Por ejemplo, unos 30 dólares en Mango, 20 en H&M, 7 para la comida… Esto, en la práctica, hace a las personas incluso más únicas. Aquí, con solo tres puntos (tiendas, día y precio) tienes un 94% de posibilidades de volver a identificar a un individuo”, comenta el investigador francés.

Es la paradoja de este tiempo. Las bases con inmensas cantidades de datos anonimizados sirven para mostrar la unicidad del ser humano. Como dice de Montjoye, no se trata tanto de la predictibilidad de los humanos, “si no más sobre cómo nuestra conducta (y nuestros patrones de compra) nos hacen únicos en comparación con los demás”.

Metadatos, Privacidad y habitos de compra. Ciber-Seguridad GITS Informática

Las mujeres y los ricos, más identificables

Los autores del estudio también investigaron el efecto del género o el nivel de ingresos en la probabilidad de la reidentificación. Aunque las mujeres solo eran el 24% de la muestra analizada, comprobaron que ellas son, de promedio, 1,2 veces más identificables. El mismo fenómeno sucede con el nivel de ingresos. Los compradores con mayor promedio de gasto tienen 1,7 veces más probabilidades de ser identificados.

El objetivo del estudio no era explicar por qué las compras permiten identificar a las personas, pero los investigadores jugaron con un par de posibles variables para explicar estas diferencias. Vieron que la forma en la que uno reparte el tiempo entre las distintas tiendas era el mejor predictor para saber si el comprador era mujer o de altos ingresos. Estos dos grupos muestran un patrón de mayor diversidad a la hora de comprar que los hombres o las personas de menores ingresos.

Metadatos, Privacidad y Delitos TelemáticosAunque los científicos del MIT sostienen que habrá que hacer más estudios en otros ámbitos, ellos apuestan por que los datos de navegación en internet, los movimientos bancarios o los datos de transporte y movilidad también tienen un alto grado de unicidad y permitirían de forma inequívoca distinguir a una persona de otra.

En un país como España, donde según las estadísticas del Banco de España hay casi 70 millones de tarjetas de crédito y débito con las que se hacen operaciones de unos 100.000 millones de euros, la sola idea de se pueda identificar a alguien por el uso que hace de su tarjeta, espanta.

Por fortuna, los autores del estudio tuvieron que firmar un acuerdo de confidencialidad con el banco para poder hurgar en su base de datos, que se suponen a buen recaudo. Pero, como concluyen en su trabajo, el problema fundamental que revela esta investigación es que las leyes sobre privacidad descansan sobre una premisa que ellos han demostrado que no es cierta. Por muy dura que sea la norma, esta solo es aplicable a los datos personales, es decir, aquellos que permiten identificar a un individuo. Los más obvios son su nombre, su cara, su dirección o su teléfono. Pero, ¿qué pasa con los metadatos como la compra de unas zapatillas en una tienda determinada?

“Los metadatos pueden ser datos personales y muchas veces lo son”, recuerda el director de la Agencia Española de Protección de Datos, José Luis Rodríguez. “Para que no sean datos personales tienen que ser anónimos, con una disociación irreversible”, añade. Si, como en esta investigación, se puede hacer el camino inverso desde los metadatos a la identidad de la persona, entonces sí se le aplicaría la legislación sobre privacidad. Para Rodríguez, el problema de fondo es que “en la medida en que existe cada vez más información disponible, se debilita la anonimización porque hay más posibilidades de combinar y, por lo tanto, de identificar o individualizar a la persona”.

Tecnología y privacidad, condenados a entenderse

La revista Science incluye hoy un especial sobre las conflictivas relaciones entre la tecnología y privacidad. A lo largo de una serie de artículos se repasan nuevas amenazas como el reconocimiento facial o las cada vez más retorcidas maneras que encuentran empresas y gobiernos para aprovecharse de los datos de los ciudadanos. También aparece un revelador artículo sobre el derecho al olvido.

La investigadora del Instituto Tecnológico de Worcester Susan Landau mantiene en uno de los artículos que las personas han perdido la capacidad de proteger sus datos personales y su privacidad. Apoyadas en la facilidad que tienen las máquinas para establecer conexiones entre los datos, las empresas y gobiernos tienen cada vez más fácil recopilar grandes cantidades de información y sacarle provecho. Menciona, por ejemplo, una vieja investigación suya que demostró que un internauta medio necesitaría 244 horas para leerse todas las políticas de privacidad que hay en las páginas que se visitan. Para ella, los viejos métodos para proteger la privacidad ya no sirven.

El director de la AEPD, José Luis Rodríguez, no cree que haya que tirar todo a la basura y renunciar al derecho a la privacidad porque sea cada vez más complicado ejercerlo. “Mantener una esfera de privacidad es imprescindible para el desarrollo de la persona”, recuerda.

En lo que sí está de acuerdo es en que los riesgos son cada vez mayores. Por eso, coincide con Landau en que, además de una legislación firme, hacen falta soluciones tecnológicas que protejan los datos personales. “No es admisible que la tecnología evolucione solo por el lado de la recopilación de los datos, debería ir pareja con sistemas que los protejan”, dice.

En otro de los trabajos, se revisa el impacto que está teniendo el llamado derecho al olvido, tras la resolución de la Justicia europea sobre un caso español. En el artículo, el profesor de la Universidad de Georgetown, Abraham Newman, desmonta dos mitos en los que se apoyan quienes critican la mera existencia del derecho al olvido en internet.

Por un lado, niega que la desindexación de información personal de los buscadores dañe a la libertad de expresión y el derecho a la información. Al fin y al cabo, la información no se borra, solo se oculta de los ojos de Google. Por el otro, rechaza, como ha sostenido Google, que el trabajo de eliminar unos miles de enlaces pueda dañar la salud económica de la compañía.

Y da un dato: En los primeros cinco meses de aplicación de la resolución judicial, el buscador ha revisado 180.000 peticiones de retirada, aceptando el 40%. Mientras, en un solo mes, el de diciembre pasado, tuvo que atender peticiones de retirada de nueve millones de enlaces por posible infracción de derechos de autor.

(Fuente: El País)

¿Qué son los Thumbnail?

Son imágenes en miniatura, generalmente alojadas en dispositivos moviles como smartphone, tabletas, cámaras digitales, etc., pero también en ordenadores convencionales (generados por los propios sistemas operativos) en sus sistemas de archivos y carpetas.

Metadatos, Privacidad y Delitos Telemáticos


Son muy habitualmente utilizados en el diseño web por razones de espacio en las páginas y por ahorrar transferencia y mejorar el tiempo de carga. Generalmente, cuando se usan imágenes en miniatura, existe la posibilidad de hacer clic en la imagen para aumentarla a un tamaño más grande. Al mostrar la imagen en un tamaño más reducido, se ahorra transferencia porque no se transfiere la imagen grande, a no ser que el usuario lo solicite. A menor transferencia de información, la página carga más rápido y el visitante ha de esperar un menor tiempo antes de poder visualizar los contenidos.

También suelen ser utilizados por informáticos forenses (investigaciones policiales), ciberespías o hackers, dado que aunque ya no exista el fichero original al que representan, sin embargo, el fichero en miniatura sí sigue existiendo aunque se haya borrado su original. Suponen una fuente para investigaciones posteriores de pruebas forenses y/o diversos ciberdelitos.

Metadatos: Datos ocultos en ficheros

Un metadato sería algo así como la información estandarizada (contenido, calidad, condición y otras características) de los documentos digitales y no digitales.

Muchos expertos nos dirán que son “datos de datos” que significa que es la información de algo.

Los metadatos no siempre vendrán adjuntos o adheridos al objeto o archivo, sino que pueden estar en otro lugar o en ambos a la vez.
No todos los usuarios de Word saben que los documentos generados con esta aplicación crean unos datos ocultos denominados metadatos donde se esconden múltiples datos que pueden ser recuperados por medio de diversas herramientas.

Estos datos pueden ser sensiblemente importantes y comprometedores dependiendo del contenido del documento y de quien lo emite. Sin duda esa información será mas sensible si el documento se edita en las oficinas de Hacienda, que este post que ahora mismo estamos editando.

Dentro de la información que se encuentra en los metadatos podemos encontrar: Titulo del documento, autor, compañía, palabras claves, asunto, comentarios, plantilla utilizada, aplicación utilizada, fecha y hora de creación del documento, ultima fecha y hora que se salvo el documento, persona que realizo la ultima edición del documento, numero de paginas del documento, numero de palabras del documento, numero de caracteres del documento, numero de revisiones que ha tenido el documento, total tiempo de edición, etc.

Muchas aplicaciones, entre las que se encuentra Microsoft Office, almacenan metadatos junto con los documentos, ya sean ficheros de texto, audio, vídeo, bases de datos, presentaciones, hojas de cálculo, o de otro tipo. Los Metadatos son información relativa a un documento y adicional a éste, que ofrecen datos de utilidad en un entorno colaborativo.

Pero, ¿qué información concreta se almacena en estos metadatos? La información depende de la versión de la aplicación de que se trate: Microsoft Office 2007 almacena mayor número de características que Office 2000 o cualquier otra versión anterior. Las versiones actuales de Office almacenan entre otros los siguientes tipos de metadatos:

– Propiedades del Software: tales como nombre de usuario, iniciales, organización. Por defecto, si no se indica otro parámetro, el campo “nombre” es el identificador de cuenta de usuario del sistema. Si no se modifica, en los metadatos se encontrará por tanto el nombre de cuenta con el que el usuario ha entrado en el sistema.

– Propiedades del Documento: tales como creador del documento, descripción, palabras claves, comentarios, etc.

– Metadatos Ocultos: se trata de datos que se almacenan de forma oculta dentro de los ficheros y que son utilizados por el paquete Office internamente.

Entre ellos pueden encontrarse el autor del fichero, fecha de creación, número de revisiones realizadas, último usuario en modificar el documento, última vez que se imprimió el documento, nombre de la impresora donde se imprime, ruta completa donde se almacenó el documento, sistema operativo, tiempo total de trabajo con el documento, etc.

Toda esta información permitirá obtener nombres de servidores internos de la organización, nombres de cuentas de usuarios, quién modificó un documento, cuándo lo modificó, desde dónde, qué software se utiliza en una organización, versiones, etc.

Como ejemplo de lo sensible que puede resultar esta información, tomaremos de ejemplo el Gabinete de Tony Blair, que en 2003 publicó en un fichero Word información relativa a la infraestructura militar de Irak. Investigando los metadatos del documento, se descubrió que el fichero había sido editado por cuatro civiles de los que aparecieron sus nombres, rutas donde editaron el fichero e impresoras utilizadas.

Finalmente se descubrió que el documento había sido plagiado de una antigua tesis de la primera Guerra de Irak, de más de quince años de antigüedad. Esto puso en duda la veracidad de la información al “reutilizar” documentos oficiales antiguos, y por tanto la capacidad del Gobierno Británico.

¿Qué podemos hacer para evitar esta situación? Es esencial “limpiar” los metadatos de cualquier documento que se cree o modifique, sobretodo si este va a ser publicado. Microsoft dispone de un complemento/herramienta para Office de fácil instalación llamada “Eliminar Datos Ocultos”. Una vez instalado, permite desde el menu “Archivo->Eliminar Datos Ocultos” limpiar de metadatos los ficheros Office.

Metadatos, Privacidad y Delitos Telemáticos_Metadatos, Privacidad y Delitos Telemáticos

Exif original y final

Metadatos y Drones: ladrones de datos de tu smartphone

Hackers desarrollaron un drone que puede robar contenidos de tu teléfono inteligente —desde datos de tu ubicación hasta tu contraseña de Amazon— y lo están probando en los cielos de Londres. Los resultados de la investigación serán presentados la próxima semana en la conferencia de seguridad cibernética Black Hat Asia que se llevará a cabo en Singapur.

El drone, conocido como Snoopy, cuenta con una tecnología que busca dispositivos móviles con wi-fi encendido.

Snoopy se aprovecha de una función dentro de los smartphones y tabletas: cuando estos intentan conectarse a internet, buscan redes a las cuales han accedido en el pasado.

“De manera muy ruidosa, el teléfono gritará el nombre de cada red a la cual se ha conectado”, dijo el investigador de seguridad de Sensepost, Glenn Wilkinson. “Estarán gritando: ‘Starbucks, ¿estás ahí?… wi-fi gratis de McDonalds, ¿estás ahí?”.

Metadatos, Privacidad y Delitos TelemáticosAhí es cuando este drone podrá entrar en acción (y ser peor que la caricatura): podrá devolver una señal pretendiendo ser una red a la cual te has conectado en el pasado.

Dispositivos a 60 centímetros de distancia pueden conectarse con el drone, creyendo que es una red confiable de wi-fi. Cuando los teléfonos inteligentes se conecten conSnoopy, éste interceptará todo lo que envíe y reciba.

“Tu teléfono se conecta conmigo y puedo ver todo tu tráfico”, dijo Wilkinson.

Eso incluye los sitios que visites, información de tarjetas de crédito guardada, datos de ubicación, usuarios y contraseñas. Cada teléfono tiene un número de identificación o dirección MAC, lo cual es usado por el drone para conectarse.

Los nombres de las redes que los teléfonos visiten también pueden ser reveladores. “He visto que alguien buscando la red corporativa de Bank X”, explicó Wilkinson. “Ahora sabemos que esa persona trabaja en ese banco”.

CNNMoney llevó a Snoopy a dar un paseo por Londres un sábado de marzo por la tarde y Wilkinson pudo mostrarnos lo que él creía eran las casas de varias personas que habían caminado bajo su drone. En menos de una hora de vuelo, obtuvo los nombres de las redes y coordenadas de GPS de unos 150 dispositivos móviles.

También pudo obtener nombres de usuarios y contraseñas de cuentas de Amazon, PayPal y Yahoo creadas para propósitos de este reporte, para que pudiéramos verificarlo sin robar información de transeúntes.

La recolección de metadatos, identificaciones de dispositivos y nombres de redes probablemente no es ilegal, de acuerdo con la Electronic Frontier Foundation. Interceptar nombres de usuarios, contraseñas e información de tarjetas de crédito con la intención de usarlos sí violaría leyes de robo de identidad y espionaje.

Wilkinson, quien desarrolló la tecnología junto a Daniel Cuthbert en los laboratorios de Sensepost Research, dice que él es un hacker ético. El propósito de su investigación es crear consciencia sobre la vulnerabilidad de los datos en dispositivos inteligentes.

Instalar la tecnología en drones genera una amenaza poderosa porque los drones son móviles y a menudo están fuera de la vista de los peatones.

Si bien la mayoría de las funciones de este dispositivo causan temor, también pueden ser usadas para efectos de seguridad pública y aplicación de la ley. Durante disturbios, un drone podría sobrevolar para identificar a saqueadores, por ejemplo.

Los usuarios pueden protegerse apagando sus conexiones de wi-fi y activando la función para que los dispositivos pregunten cada vez que intenten conectarse a una red.

(Ver documento ampliado sobre Ciberguerra y Drones)

Prevención

Nadie está a salvo, un descuido curioso lo tuvo un hacker de la talla de Robert Hansen (a.k.a. RSnake), quien pese a su intento de ocultar los datos de contacto de Mike Shaver (Mozilla) en su famosa tarjeta “10 putos días”, olvidó eliminar de su foto los metadatos (ver antes y después de “limpiarla”), así como una imagen en miniatura (thumbnail) donde éstos seguían apareciendo en toda su plenitud…

Sigue los consejos de los sabios y elimina los metadatos de tus fotos antes de colgarlas en la Red o incluso de llevarlas al laboratorio para pasarlas a papel.

Un posible método -que sugiere en su weblog Giorgio Maone, creador de NoScript y descubridor del embarazoso y conocido incidente de RSnake – consiste en utilizar IrfanView, un freeware para Windows que se dice corre también en Linux bajo Wine (aunque no parece ser así en mi sistema).

Basta descargar el programa (1.1 MB) y su paquete de plugins (5.7 MB). Se carga el fichero de imagen a “limpiar” y se le aplica el filtro que aparece en Options -> JPEG Losless Operations -> Clean all APP Markers.

Como la operación no implica pérdidas, la calidad de la imagen es mejor que la obtenida mediante la opción de Photoshop “Save for the Web”, que también elimina thumbnails y otros metadatos.

Aunque me consta que existen profesionales del diseño que ni siquiera conocen este problema, apuesto a que hay lectores de Kriptópolis que pueden sugerir ideas y métodos aún mejores para ayudarnos a que nuestras imágenes no muestren nunca nada más de lo necesario.
Herramientas

Existen diversas herramientas para detectar y evitar estos metadatos, como por ejemplo:

– Metadata Analyzer: Este programa se encarga de comprobar los documentos de MS Office: Microsoft Word, Microsoft Excel y Microsoft PowerPoint en busca de este tipo de información. El programa analizará tus documentos y te informará de toda la información privada que encuentre.

– Doc Scrubber: Doc Scrubber es una pequeña aplicación que te permite ver la información que esta mas allá del texto escrito en un documento de Word, una información que en ocasiones no es bueno mostrar a terceras personas. Este tipo de información recibe normalmente el nombre de metadatos.

El programa es compatible con las versiones 97, 2000, XP y 2003 de Microsoft Word pero no es compatible con el nuevo formato de documento de Word 2007 la extensión docx. Aunque en PortalProgramas puede encontrar diversas herramientas que le permiten pasar el formato docx a formatos mas antiguos.

La aplicación elimina el GUID identificador, los comentarios, las palabras clave, fechas de guardado de impresión y de edición, historiales de revisión, etc. Además puedes exportar a formato de texto plano (txt) el resultado del análisis.

– Foca: Para saber los metadatos ocultos de documentos Office, OpenOffice, PDF, JPG y muchos más existe una herramienta presentada en varias conferencias internacionales como BlackHat EU y Defcon 17 el cual ayudará a obtener la información del documento que deseemos, el nombre de esta herramienta es FOCA (Fingerprinting Organizations whits Collected Archives) creado por Informática 64.

Además si se desea extraer información de un documento de alguna web nos generará mapas de red a partir de los metadatos mostrando una ruta de las infraestructuras de la red de la empresa.

– AjpdSoft Extraer y eliminar miniatura JPG: es una aplicación es una aplicación 100% open source, desarrollada en Borland Delphi 6, gratuita (freeware) que extrae la miniatura (thumbnail) de una imagen JPG ó JPEG, si la tiene.

Permite guardar la miniatura (thumbnail) de una imagen JPG en un fichero. Por seguridad y por preservar la privacidad, también por ahorrar espacio, es recomendable eliminar la miniatura (thumbnail) que algunas aplicaciones incluyen en los metadatos EXIF de los ficheros JPG o JPEG. AjpdSoft Extraer y eliminar miniatura JPG también permite eliminar esta miniatura.

Seleccionando el fichero de imagen JPG en “Fichero de imagen JPEG”, la aplicación mostrará la vista previa de la imagen (a la izquierda) y la vista previa de la miniatura de la imagen (si existe) a la derecha. Si existe miniatura en la imagen JPG, podremos eliminarla pulsando el botón “Eliminar miniatura”

Relacionados:
26/04/2014: Cómo eliminar metadatos con MAT, Metadata Anonymisation Toolkit

Metadatos, Privacidad y Delitos Telemáticos_ Metadatos, Privacidad y Delitos Telemáticos

Exif original y final

Recomendaciones sobre Metadatos al publicar / compartir

Siempre que vayamos a publicar o compartir ficheros que puedan contener metadatos (doc, xls, pdf, jpg, png, avi, mpeg, mp3, mp4, etc.) es muy recomendable verificar que los metadatos que contienen no son datos confidenciales. Para ello pueden usarse distintas aplicaciones:

– AjpdSoft Modificar ID3 MP3.
– AjpdSoft Extraer y eliminar miniatura JPG.
– AjpdSoft Leer metadatos PNG.

Por supuesto, existen aplicaciones profesionales en el mercado que permiten consultar y eliminar o modificar los metadatos de los ficheros.
Hay que tener mucha precaución con las fotos obtenidas con cámaras digitales, pues estas suelen incluer metadatos en los ficheros de imagen JPG obtenidos tales como el modelo de la cámara, la fecha de realización de la foto, la miniatura de la imagen original, etc.

También con los ficheros de tipo Word (doc, docx) o Excel (xls, xlsx) pues estas aplicaciones ofimáticas suelen guardar el autor del documento como un metadato sin que el usuario se percate de ello.

Por lo tanto, los metadatos bien usados pueden ser muy útiles para catalogar los ficheros pero con desconocimiento pueden ser muy peligrosos para nuestra confidencialidad.

Estándar para música y vídeos: ID3, AjpdSoft Modificar ID3 MP3

En algunos casos se han definido estándares para metadatos, como es el caso del ID3 que es usado para incluir metadatos (etiquetas) en un archivo contenedor audiovisual, tales como álbum, título o artista. Se utiliza principalmente en ficheros sonoros como MP3.

El etiquetado de ficheros audiovisuales es imprescindible para su catalogación. La clasificación mediante carpetas y nombres de fichero es insuficiente para grandes colecciones ya que solamente facilita un único criterio de búsqueda.

Mediante el etiquetado es posible organizar una colección mediante múltiples criterios. Permite una búsqueda más rápida y sencilla de aquellos archivos que se desean.

Estándares para imágenes: Exif, IPTC, XMP

A continuación indicamos algunos de los estándares más conocidos para guardar metadatos en las imágenes:

– Exif: Exchangeable image file format es una especificación para formatos de archivos de imagen usado por las cámaras digitales. Fue creado por la Japan Electronic Industry Development Association (JEIDA). La especificación usa los formatos de archivos existentes como JPEG, TIFF y RIFF, el formato de archivo de audio WAVE, a los que se agrega tags específicos de metadatos. No está soportado en JPEG 2000 o PNG.

– IPTC: es un estándar desarrollado en la década de 1970 por el Consejo de la Prensa Internacional de Telecomunicaciones. Fue desarrollado inicialmente como un estándar para el intercambio de información entre las organizaciones de noticias y ha evolucionado con el tiempo.

Alrededor de 1994, Adobe Photoshop “File Info” habilitó un formulario para que los usuarios pudieran insertar y editar los metadatos de IPTC en archivos de imagen digital. Posteriormente fue aprobado por las agencias de fotografía, convirtíéndose en un estándar válido para almacenar metadatos en ficheros de imágenes.

– XMP: es un nuevo estándar basado en XML, desarrollado por Adobe en 2001. Adobe trabaja con el IPTC para incorporar la antigua “encabezados IPTC” en el nuevo marco de XMP y en 2005 el “esquema básico de IPTC XMP” pliego de condiciones fue puesto en libertad. XMP es un código abierto, estándar público, por lo que es más fácil para los desarrolladores a adoptar la especificación en software de terceros. metadatos XMP se puede añadir a muchos tipos de archivos, pero para imágenes gráficas en general se almacenan en archivos JPEG y TIFF.

Relacionados:
Los peligros de los metadatos en las fotos

Cámara de fotos y ficheros EXIF

Información sensible en cámaras de fotos y fotos ocultas dentro de las propias fotos de las cámaras digitales.

Un hecho poco conocido, que es que algunas cámaras digitales añaden una foto «miniatura» (thumbnail) al archivo de las fotos originales como parte de los metadatos EXIF del fichero. A veces posteriores manipulaciones transforman la imagen principal, pero no la miniatura. Por ejemplo en la imagen de la derecha, la foto recortada del chico que sale al fondo es tal vez la que el autor ha manipulado y considera «la imagen principal»… pero en la miniatura del archivo se ve también a la chica de la derecha, procedente de la miniatura de la foto original.

Este efecto de «metadatos ocultos» que se arrastran de un sitio a otro por error es bien conocido en los ambientes informáticos y a veces se da con los metadatos de otros programas como Word o los archivos PDF, entre otros. Pero puede ser especialmente problemático con las imágenes, dado que a veces se recortan o transforman precisamente para eliminar algo que no se quiere revelar.

Algunos hachers han publicado ilustrativas demostraciones de este efecto, creando una araña que baja fotos de Internet y descubre las miniaturas ocultas. La mayoría de las manipulaciones son ligeras, recortes, giros, etc. pero ha llegado a encontrar algun papel escaneado del FBI donde se veían «notas al margen» (aunque ilegibles) y algunas otras situaciones comprometidas de fotos personales.

Algunas cámaras de fotos digitales pueden revelar información sensible de la fotografía digital original. El estonio Tonu Samuel ha publicado en su página web un pequeño estudio sobre una característica poco conocida de algunas cámaras digitales.

Muchas cámaras digitales almacenan información adicional en cada fotografía. Estos datos son usados para clasificar la información y pueden estar divididos en campos como el tamaño de la fotografía, el dispositivo, la fecha, el espacio de colores…

Lo menos conocido es que además, algunas cámaras almacenan junto a la fotografía un thumbnail o miniatura de la fotografía original, que sobrevive intacta a futuros cambios del archivo.

De esta forma, podemos consultar los metadatos de una fotografía retocada y, si existe la miniatura, seremos capaces de ver la fotografía original, tal y como fue captada por el objetivo de la cámara en primera instancia.

Arreglo de colores, modificación de encuadres, eliminación de elementos no deseados… todo esto queda expuesto a través de la miniatura, lo que puede derivar en una clara revelación no intencionada de información que se ha querido ocultar de forma activa.

Para demostrarlo, Tonu Samuel ha creado un programa automatizado que busca fotografías en Internet con sus respectivos thumbnails o miniaturas, y las expone en su página para que observemos las diferencias.

La mayoría son cambios inapreciables pero entre las fotografías cazadas, por ejemplo, se encuentra una fotografía a un documento censurado. En su miniatura se observa el documento (un manuscrito) sin censurar, pero resulta demasiado pequeño para ser legible. La fotografía está alojada en el servidor del FBI.

Los metadatos son “datos sobre los datos” que incluyen muchos dispositivos y que los fabricantes justifican alegando que su inclusión mejora la edición, el visionado, el archivado y la recuperación de documentos.

Metadatos, Privacidad y Delitos Telemáticos_Metadatos, Privacidad y Delitos Telemáticos

Exif original y final

En este caso, estas mini fotos reveladoras incluidas en las propias fotos retocadas, son posibles gracias al estándar Exchangeable Image File (EXIF) creado por la Japan Electronic Industry Development Association (JEIDA) y que se encarga de añadir los datos adicionales al archivo de imagen. Existe una gran cantidad de software capaz de leer estos metadatos en las fotografías digitales.

No es la primera vez que los metadatos en documentos ponen en aprietos la intimidad de usuarios y credibilidad de organizaciones más o menos importantes.

En febrero de 2006 Brian Krebs entrevistó a un controlador de redes Bots conocido sólo por su apodo 0×80.

Obviamente, el delincuente no quería revelar su identidad. Sin embargo, a través de algunas sutiles pistas en la entrevista publicada y sobre todo, una supuesta fotografía de 0x80 que ilustraba el texto, casi lo localizan. Un avispado visitante de Slashdot descargó la fotografía y comprobó sus metadatos. Entre ellos figuraba el pueblo de Roland de sólo unos miles de habitantes.

Este dato acompañado de las pistas e investigaciones de otros lectores de Slashdot, hacía sencillo el descubrir a un presunto “0x80”. Luego se barajó la posibilidad de que los datos fueran falsos o antiguos, pero eso no resta interés a lo que podría haber sido un imperdonable descuido para un supuesto experto que cometía un importante delito con el que, a sus 21 años, se gana la vida.

Quizás un suceso más conocido relacionado con lo metadatos ocurrió en agosto de 2003, donde el equipo de gobierno de Tony Blair y un documento escrito en Microsoft Word fueron los protagonistas.

Se descubrió que Alastair Campbell, director de estrategias y comunicaciones del gobierno de Blair, podría haber plagiado un documento referente a la guerra de Irak hecho público a través la página oficial de gobierno británico en febrero de 2003 titulado “Iraq – Its Infrastructure of Concealment, Deception and Intimidation”. En el documento se suponía a Saddam Hussein la tenencia de armas de destrucción masiva.

Esto, a la poste, resultó pura invención, pero lo realmente sorprendente fue que, indagando en los bytes del infundado documento, se encontraron los nombres ocultos de cuatro civiles que habían trabajado en él, que lo habían modificado o editado, haciendo tambalear la veracidad de la supuesta fuente del documento.

En él se podían observar, a través de datos almacenados por Microsoft Word, todas las rutas de sistemas Windows donde había sido editado el documento, en qué impresoras se había impreso y los nombres del usuario del sistema que lo había hecho. Atando cabos y adjudicando los nombres de usuario a personas reales, finalmente se descubrió que el archivo había sido plagiado a partir una antigua tesis de hace más de quince años (coincidente con la primera guerra de Irak).

El episodio hizo dudar de la capacidad del gobierno de Blair, haciendo que el señor Campbell tuviese que dar muchas explicaciones sobre la “reutilización” de documentos oficiales. Poco después, todo el gabinete se pasó al formato PDF para publicar documentos en su web.

Si realmente se necesita cierta privacidad, y teniendo en cuenta que son incluidos de forma automática, los metadatos pueden suponer un verdadero problema. Sólo conocer de su existencia y un poco de edición y precaución antes de hacer público un archivo puede impedir que con una fotografía o documento, estemos diciendo, inconscientemente, mucho más de lo que contamos.

Análisis Forense de metadatos: Ejemplos ejemplares

Uno de los capítulos del libro de Análisis Forense en Windows se centra en la evaluación y análisis de cada uno de los tipos de archivos que aparezcan en la franja temporal de interés en el caso.

Para ello, tras generar el Time-Line de documentos modificados, creados, borrados, impresos, etcétera, es necesario pararse a evaluar qué información puede extraerse de cada uno de ellos. Esa fue la motivación principal que llevó a crear la Forensic FOCA y a generar un time-line dinámico generado sólo con los metadatos descubiertos en un fichero.

Para ilustrar la importancia de los metadatos en un caso forense, recolectaron una serie de incidentes de todo tipo en los que los metadatos son parte protagonista de la historia, y los usaron para impartir charlas sobre Análisis Forense de Metadatos en el Curso de Peritaje Informático de la ANTPJI.

Ejemplo 1: Las declaraciones de renta de D. Mariano Rajoy
Tras el escándalo de los papeles del ex-contable del PP, Luis Barcenas, en los que supuestamente D. Mariano Rajoy recibió sobres con dinero B, el presidente del gobierno anunció la publicación de sus declaraciones de Renta y Patrimonio. Cuando fueron publicadas estas no estaban limpias de metadatos y en alguna se mostraban modificaciones un par de horas antes de publicarse.
– Metadatos en la declaración de la renta de D. Mariano Rajoy

Ejemplo 2: La trama Gurtel y las facturas falsas en Excel de Orange Market
La Unidad de Delitos Económicos y Fiscales (UDEF) que investiga la trama Gurtel, acreditó que 200.000 € en tres facturas hechas en Excel eran falsas porque, a pesar de tener meses de distancia entre unas y otras, en los metadatos todas se pudo ver que habían sido creadas con con una diferencia de 3 minutos entre ellas.
– La financiación ilegal de Francisco Camps y los metadatos en el caso Gurtel

Ejemplo 3: El programa electoral del PP
Se publicó en PDF. El análisis de los metadatos mostraba un título del que se había copiado el documento y que los datos de la persona que había publicado el documento. Un becario de las FAES.
– El programa electoral del PP para salir de la crisis lo publica un becario

Ejemplo 4: El dato del déficit en la Comunidad de Madrid
Desde la Comunidad de Madrid se aseguró que se comunicó el dato de déficit de la Comunidad el viernes, “en cuanto fue definitivo”. Sin embargo los metadatos reflejaban que el documento se creó 4 días antes.
– La Comunidad de Madrid conocía la desviación del déficit cuatro días antes de anunciarlo

Ejemplo 5: La ministra de la SGAE
Desde Security By Default analizaron los documentos de la sociedad DAMA, donde trabajaba la ministra Sinde. En los documentos se pudo leer que el propietario de las licencias era la SGAE, lo que dejaba a las claras la relación entre Dama y SGAE.
– La ministra de la SGAE

Ejemplo 6: La piratería de software en una empresa
Analizando los metadatos de los documentos se pueden sacar versiones de software utilizadas internamente. Si la compañía no tiene esas licencias puede ser un escándalo. Se revisó con FOCA el software de la SGAE.
– ¿Cuánto pagará la SGAE por su Software?

Ejemplo 7: El pliego de condiciones del ayuntamiento de Leganés
Un pliego de condiciones de un concurso fue adjudicado a una empresa. Cuando se analizaron los metadatos del documento que recogía las condiciones del concurso se pudo comprobar que el creador del mismo pertenecía a la empresa que ganó el concurso.
– Pillados: El pliego de condiciones lo redacta la empresa adjudicataria

Ejemplo 8: El pliego de condiciones del Plan de Movilidad del Valle de Egüés
Más de lo mismo. El pliego de condiciones había sido escrito por personal de la empresa adjudicataria del mismo, y un documento en Word guardó estos datos en la creación.
– Dudas sobre el proceso de adjudicación del Plan de Movilidad del Valle de Egüés

Ejemplo 9: El hacker anonymous
El caso de Alex Tapanaris saltó a las noticias. En pleno momento de popularidad de anonymous, una de las notas de prensa de AnonOps mostraba en los metadatos un nombre Alex Tapanaris. Ese nombre apuntaba a un diseñador gráfico, del que analizando los metadatos de su web se podía leer un nickname t4pan. De ahí, a dar con su persona y acabar detenido fue cuestión de poco tiempo.
– ¿Tapaqué?
– Designer arrested over anonymous press release

Ejemplo 10: La foto del alijo de Maria
No eran muchas bolsas, pero que apareciera una foto con droga en la que se publicaba la ubicación GPS de donde se estaba guardando fue muy gracioso.
– Priceless: Detener a un contrabandista por foto de iPhone

Ejemplo 11: El escote de la novia del hacker
Caso similar con una fotografía de la novia de un defacer en Facebook que contenía información GPS de dónde se había tomado, y llevó al FBI a detenerlo.
– Hacker detenido gracias a foto de los pechos de su novia

Ejemplo 12: El asesinato como suicidio
Este no es un caso real, sino una prueba de concepto que se usa para recalcar la resolución de un asesinato mirando las fechas de modificación de un documento. Si la nota de suicidio está modificada después de la hora de la muerte es, por lo menos, sospechoso.
– Caso real 3: Tiempos MAC resuelven un asesinato

Ejemplo 13: La operación Aurora y las cadenas de texto en el malware
Los analistas de malware buscan siempre los metadatos y las cadenas en los binarios. Esa información puede llevar, como cuenta Mikko Hypponen a detener a un criminal en rusia por su matrícula, o conocer que Google estaba bajo un APT con nombre propio: Operación Aurora. Por supuesto, las cadenas de texto que aparecieron en Stuxnet dieron mucho que hablar a la hora de determinar el origen del ataque.
– Aurora Operation

Ejemplo 14: El ataque dirigido por pendrive
Uno de los usos clásicos de FOCA es el de pintar un mapa interno de la organización para conocer el software que usa cada empleado, con qué servidores trabaja y plantear un ataque dirigido. Hay que tener en cuenta que el Pentagono reconoció un ataque mediante pendrive como uno de los peores.
– Como enfocar un ataque de malware dirigido

Ejemplo 15: El ataque dirigido con ingenio
Que los metadatos dan mucha información del personal interno de la organización es conocido y clave para preparar ataques de ingeniería social. En este caso, conocer quién crea un documento PDF podría ser utilizado para engañar al webmaster y colar un PDF con malware como una nueva versión del documento.
– Cómo meter una webshell con ingenio y metadatos

Ejemplo 16: Seguir los pasos de personas por los metadatos de sus fotografías
Las redes sociales permiten publicar fotografías desde dispositivos móviles. Estos últimos vienen incorporados con un GPS y en las fotos quedan guardados. Usando programas como FOCA o Creepy es posible seguir los movimientos de personas desde los datos de sus redes sociales.
– Creppy Data
– Cómo localizar a usuarios de flickr y Twitter a través de sus fotos
– Follow and meet Steve Wozniak

Anuncios

Acerca de Ciberseguridad GITS Informática

Asesoría para Padres y Adolescentes, Educadores, Empresarios y Trabajadores, Administraciones Públicas y Privadas, Asesoría, Seminarios, Docencia y Divulgación en materia de Ciberseguridad, Delitos Informáticos y Privacidad del Internauta.
Esta entrada fue publicada en Privacidad y etiquetada , , , , . Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s