Análisis de Metadatos en Archivos Office y Adobe
Ariza D, Andrea., Ruíz C, Juan Camilo.
{a-ariza, jc.ruiz}@javeriana.edu.co
Pontificia Universidad Javeriana

Resumen— Los metadatos en todo tipo de datos o
registros electrónicos principalmente nos muestran datos del
origen e historia de cada registro almacenando datos como
fecha de creación, nombre de los autores y las fechas en que
fueron modificados entre otros. Pero la falta de información
acerca de dichos metadatos hace que algunos usuarios revelen
información sensible inconscientemente, por eso es necesario
conocer sus estructuras y el tipo de acciones que se pueden
tomar para minimizar el riesgo de revelar este tipo de
información.
Índice de Términos— Metadatos, archivos, cabeceras,
documentos, firmas, documentos MS Office , PDF.
I.INTRODUCCIÓN
HOY EN DÍA, LA GRAN MAYORÍA DE
ACTIVIDADES COMERCIALES, NEGOCIOS
TRANSACCIONES ORGANIZACIONALES,
EFECTIVAS GRACIAS AL USO DE LOS SISTEMAS DE
INFORMACIÓN QUE FUNCIONAN A TRAVÉS DE UNA
RED. Negocios y registros contables son preparados,
revisados, auditados, y almacenados de forma
electrónica, información comúnmente llamada
información almacenada electrónicamente (ESI por
sus siglas en inglés: Electronically Stored
Information).
Se estima que del 94% a 99% de todos los
documentos de las organizaciones son creados y
mantenidos en forma electrónica y la mayoría nunca
se transformó en copia impresa [11]. Lo cual indica
que el transporte de los documentos se hace
digitalmente entre personas u organizaciones,
quienes no saben que además del contenido
explícito del documento, pueden estar revelando
información sensible o información que
simplemente no es de dominio público. A

Este artículo fue realizado en el desarrollo del curso Introducción a la
Informática Forense durante el segundo semestre de 2008 bajo la supervisión
de Jeimy J. cano, Ph.D
continuación se explica el porque se puede
presentar esta situación.
Una característica de los registros electrónicos
es que en ellos se incluyen los metadatos, tema
principal en el desarrollo de este artículo.
Los metadatos se encuentran ocultos en un
documento, y comprenden amplia información
acerca de la creación de un archivo, incluido el
MAC (las fechas en que el archivo fue Modificado,
Accedido, y Creado), la última fecha de impresión,
si se elimina, cuando fue eliminado y por quién.
Además los metadatos también puede revelar la
ubicación de un archivo en una máquina o en algún
lugar específico en la red, el equipo en el que fue
LAS creado, el nombre de la persona que ha guardado el
Y último documento, el número de revisiones
SON realizadas, así como cualquier documento de
identificación o propiedades del documento, entre
otro tipo de información almacenada en el mismo
de forma oculta.
En el desarrollo de este artículo veremos la
importancia del análisis de los metadatos en
Microsoft Office, principalmente en documentos
Word, Excel, y PowerPoint, y Adobe,
principalmente en documentos PDF, en la
Informática forense y como puede contribuir este
análisis a revelar información importante, que se
puede considerar como evidencia en un caso dado.
II. ¿QUÉ SON LOS METADATOS?
Una definición utilizada con frecuencia nos dice
que los metadatos son "datos sobre datos", en
general, un objeto que describe o dice algo sobre
otro objeto de información [1]. Principalmente el
término metadato se empezó a masificar con el uso
de la tecnología digital, pero éste data desde mucho
tiempo atrás. El ejemplo mas común se presenta en
una biblioteca, donde se utilizan fichas que
especifican autores, títulos, casas editoriales y
lugares para buscar libros. De esta forma podemos
afirmar que los metadatos son datos que describen
datos.
De manera más formal podríamos decir que un
metadato es un dato que se encarga de mantener un
registro sobre el significado, contexto o propósito
de un objeto informativo, para descubrir, entender,
extraer y administrar dicho objeto [1]. Dicho
registro generalmente es de menor tamaño que los
datos que describe, y maneja un formato corto ya
establecido, de forma tal que describen colecciones
de objetos y también los procesos en los que están
involucrados, describiendo cada uno de los eventos,
sus componentes y cada una de las restricciones que
se les aplican.
En los documentos digitales, los metadatos van
más allá que el contenido impreso del mismo. Estos
contienen todos los datos en el sistema de archivos
que describen el diseño y atributos de los archivos y
los directorios regulares. Incluyendo, no solo
atributos de tiempo, el control de acceso a la
información, el tamaño, sino también información
sobre cómo encontrar y reunir un archivo o
directorio en el sistema de archivos. Esta última
información que se obtiene, contiene enlaces a
bloques de datos, o incluso a todos los bloques
utilizados como nodos internos de búsqueda de
estructuras de datos tales como árboles-B.
Los metadatos en un documento digital
principalmente son automáticamente añadidos
cuando el archivo es creado y después almacenado
y/o cuando se abre el archivo y se edita. Por
ejemplo cuando un documento es creado, se asocia
la fecha de creación y el nombre del autor, como
metadatos del mismo. Por otro lado cuando el
documento se imprime se añaden etiquetas de
fechas de impresión. Otro tipo de metadatos que
también se asocian a un documento son, que tipo de
plantilla se utilizó para crear el documento y el
autor de la plantilla, información con el nombre y
ruta donde el archivo fue almacenado por los
últimos diez autores del documento, si se uso un
paquete macro para la creación del documento o un
sistema de gestión de documentos como repositorio,
entre otros [7].
Los metadatos pueden dividirse en dos categorías:
 Metadatos de aplicación
Son aquellos que son creados
automáticamente por una aplicación y están
incrustados en todos los archivos que son
creados o modificados con ese software.
 Sistemas de Metadatos
Los sistemas operativos que controlan
máquinas individuales, servidores y otros
dispositivos, crean sistemas de metadatos, los
cuales fijan una tabla de asignación de
campos de archivo (nombre de archivo,
creación, extensión, y el uso) a todos los
archivos almacenados en el sistema de forma
tal que el sistema operativo puede identificar
y localizar cualquier archivo. Los sistemas de
metadatos residen en el sistema de registro del
sistema o el servidor utilizado para acceder y
almacenar ese archivo.
Aplicaciones como Word, Excel y PowerPoint,
automáticamente generan docenas de campos
(tipos) de metadatos de aplicación para cada uno de
los archivos que crean. Los campos de los
metadatos de aplicación y sistemas de metadatos
son creados y actualizados para Word, Excel y
PowerPoint cada vez que un archivo es creado,
abierto, o utilizado, así como la información
opcional sobre los cambios o las versiones de que
un usuario puede intencionalmente añadir al
archivo. El software de Adobe Acrobat crea
metadatos con información detallada sobre la ruta
del documento, que puede proporcionar
información para el análisis forense sobre archivos
PDF [6].
III. RELEVANCIA DE LOS METADATOS EN LA
INFORMÁTICA FORENSE
Para explicar la relevancia de los Metadatos en la
informática forense, ilustraremos con un ejemplo
que se explica a continuación:
Vamos considerar en primer lugar un escenario
realista con documentos de Word.
 María envía un memorando de misión crítica
escrito en Word a Juan, quién está en otra
organización, por ejemplo, un cliente de la
organización de María.
 Alicia la supervisora de Juan, pide a Juan el
informe semanal de la organización.
 A Juan, le gustó el formato del memorando de
María, por lo cual simplemente lo copia, borra
el texto y digita los informes.
 Juan envía el informe a Alicia
 Alicia publica el informe en la red externa [3].
Este caso muestra cómo simples acciones
cotidianas pueden inadvertidamente colocar datos
sensibles en el dominio público. Muchos usuarios
de Word y de otros programas similares, suelen
comportarse como Juan, por lo que este tipo de
información puede caer en manos de abusadores
que utilizan la información con el fin de estafar o
generar información a partir de ella.
Otro caso que se puede presentar es ocultamiento
de información dentro de este tipo de documentos.
Algunos datos comunes en el ocultamiento de
información son:
 Nombres y nombres de usuario del creador
del documento y sus colaboradores.
 Información organizacional de los usuarios.
 Texto específico para el programa, versión y
formato de documento.
 Rutas del documento en el sistema de
archivos del sistema operativo.
 Información sobre el hardware del sistema
donde se compuso el documento.
 Nombres de impresoras.
 Los encabezados de correo electrónico o la
información del servidor web.
 El texto que se ha eliminado del documento
en algún momento antes de ser almacenado.
 Texto completamente ajeno al documento
original, que está presente debido a un error
en el programa que generó el documento, o
información que se oculta y no es visible [11].
El análisis forense provee una base de evidencia
que se obtiene mediante la identificación del
proceso de captura, uso, almacenamiento, y
transmisión de datos. Los metadatos pueden ayudar
a identificar los medios humanos y sistema de
acciones en los sistemas de información, se pueden
utilizar para investigar y comprobar el fraude, los
abusos, errores, o fallos en el sistema, y puede
ayudar a establecer elementos tales como la
causalidad, el calendario, y el grado de
conocimiento de todos los que están en un caso
dado. Se debe tener en cuenta que cuando se realiza
la investigación de algún incidente y
específicamente en análisis de los metadatos de los
archivos, la persona investigada está en el derecho
de no revelar este tipo de información, ya que puede
comprometer datos sensibles e información
privilegiada de la organización, por lo cual se deben
llevar a cabo los procedimientos legales adecuados
para acceder a ellos.
IV. METADATOS MODIFICABLES POR USUARIOS
EN DOCUMENTOS MSOFFICE Y ADOBE PDF
A continuación mostraremos los metadatos
modificables por los usuarios, en los diferentes
documentos, indicando que tipo de información se
puede revelar o no con el consentimiento del autor
del mismo.
Microsoft indica que los siguientes metadatos
pueden ser almacenados en documentos creados en 1. Abrir Archivo, Propiedades
todas las versiones de Word, Excel y PowerPoint:

 Nombre y las iníciales (de la persona que creó

el archivo)

 Nombre de la organización

 Nombre del equipo

 Nombre de la unidad de disco duro local o

servidor de red dónde ha guardado el
documento

 El nombre y el tipo de impresora que Ilustración 1. Propiedades Archivos Office

imprimió el documento Imagen tomada por Andrea Ariza Díaz

 Otras propiedades de los archivos y resumen
de la información
 Partes de objetos OLE no visibles
 Los nombres de los autores anteriores del
documento
2. Una vez abierta la ventana de propiedades se
puede navegar por ella viendo, datos
generales, resumen, estadísticas, contenido, y
un campo para personalizar, y así información
de creación de archivos, modificaciones entre
otras.

 Revisiones del documento, incluido el texto

eliminado que ya no es visible en la pantalla

 Versiones del documento

 Información sobre cualquier modelo o

plantilla utilizado al crear el archivo

 Texto oculto y observaciones [2].

Aunque algunos metadatos pueden ser fácilmente

vistos en el programa que ha generado el archivo,
en la mayoría de los casos los metadatos ocultos
normalmente sólo pueden ser vistos utilizando un
editor de archivos binarios. Sin embargo, a veces
Ilustración 2. Propiedades Archivos Office
los metadatos ocultos pueden ser visibles cuando
Imagen tomada por Andrea Ariza Díaz
estos se abren con otro tipo de editores, diferentes a
los programas que generan ese tipo de documento. Las propiedades del archivo representan solo una
parte de los metadatos almacenada en los
A continuación mostramos una manera de ver los documentos. Otro tipo de metadatos que se añaden
metadatos con el programa que generó el archivo, al documento son mediante las opciones de Campo,
en este caso Word: Control de Cambios y Versiones.
3. Las opciones de campo permiten ver la
cantidad de tiempo empleada para editar el
documento por parte de los usuarios. Entre
otras opciones como autor del documento y
fechas de creación.
Ilustración 3. Opción Campo en MSOffice [7].
4. La opción de control de cambios está presente
en casi todos los programas, y permite ver y
almacenar los cambios que se hicieron en la
realización del documento, a pesar que en el
documento final estos no sean visibles.
Ilustración 4. Control de Cambios MSOffice
Imagen tomada por Andrea Ariza Díaz
5. Otro tipo de metadato que es añadido por el
usuario es la opción de Versiones que permite
almacenar todos los cambios realizados al
documento, el autor de los cambios, y las
fechas de modificación. Este tipo de
información reside en el mismo archivo.
Ilustración 5. Opcion Versiones MSOffice [7]
Cuando un archivo es transmitido a través de una
red, es necesario saber que es lo que tiene el archivo
y tener precauciones removiendo cualquier tipo de
dato confidencial. Pero generalmente los usuarios
piensan que al tener un archivo Microsoft Office, y
convertirlo en formato PDF este nuevo archivo no
contendrá información que revele datos del la
persona que lo creó o modificó. Pensamiento
equivocado, ya que los archivos en formato PDF
también contienen metadatos que revelan
información.
Para evitar esto, un usuario de Adobe Acrobat
puede añadir opciones adicionales de seguridad.
Indicando el tipo de información que van a
desplegar los metadatos del archivo:
1. En la barra de herramientas seleccione Adobe
PDF, Cambiar Opciones de Conversión [7].
Ilustración 6. Opciones en Adobe Acrobat PDF [7]
 V. ESPECIFICACIÓN AVANZADA DE LOS
ARCHIVOS PDF Y MSOFFICE
A continuación describiremos como esta
estructurado un archivo PDF, como es la
organización y tipo de objetos que este gestiona
para acceso rápido y actualizaciones que sean
realizadas. Normalmente un archivo PDF consta de
cuatro elementos:

1. Cabecera
Que es la parte que identifica la versión de la
especificación PDF que el archivo conforma.

2. Cuerpo
El cual contiene los objetos que forman el
contenido del archivo.

3. Referencia Cruzada
Contiene información acerca de los objetos
indirectos en el archivo

4. Trailer
Contiene una tabla con la localización de la
referencia cruzada y objetos especiales que
Ilustración 8. Estructura de un archivo PDF actualizado
están dentro del cuerpo. [14]

Esta es la estructura inicial, pero a medida que se

realizan actualizaciones sobre el archivo se
adicionan nuevos elementos al final del archivo
(cuerpo, referencia cruzada y tráiler) como se
muestra en las siguientes ilustraciones.
A. Cabecera
La cabecera es la primera línea del archivo PDF
que identifica la versión de la especificación del
archivo, indica la firma (25 50 44 46). Si la
versión es 1.5 la línea sería así:

%PDF-1.5

Esta versión puede ser anulada en caso que se

haga una actualización, el nuevo valor será
almacenado en la entrada raíz del Trailer.

Ilustración 9. Cabecera en archivo PDF

Imagen tomada por Andrea Ariza Díaz
Ilustración 7. Estructura inicial de un archivo PDF [14]
 B. El cuerpo
El cuerpo consiste de una secuencia de objetos
indirectos que representan el contenido del
documento.
C. Referencia Cruzada
La tabla de referencias cruzadas contiene
información que permite acceso aleatorio a los
objetos indirectos dentro del archivo, de forma tal
que el archivo no tiene que ser leído en su totalidad
para localizar un objeto en particular. La tabla
contiene una línea de entrada por cada objeto
indirecto, especificando la localización de ese
objeto dentro del cuerpo del archivo.
Ilustración 10. Referencia Cruzada de un archivo PDF
Imagen tomada por Andrea Ariza Díaz
D. Trailer
Permite que a una aplicación que lea el archivo
encuentre rápidamente la tabla de referencias
cruzadas y ciertos objetos especiales. Las
aplicaciones leen los PDF desde el fin, por lo tanto
en caso que se hayan realizado actualizaciones y la
versión se modifique, esta información se
encontrará aquí como anteriormente se mencionó.
La última línea del archivo sería así:
%%EOF
Las dos líneas anteriores al fin de archivo,
contienen las palabras claves startxref, y el byte de
desplazamiento del inicio del archivo hasta el inicio
de la palabra clave xref en la última sección de
referencia cruzada.
E. Algoritmo de Encriptación
El algoritmo de encriptación es conocido como
RC4, un flujo de cifrado simétrico: el mismo
algoritmo se utiliza tanto para el cifrado y el
descifrado, y el algoritmo no cambia la longitud de
los datos.
El cifrado de datos en un archivo PDF se basa en
el uso de una clave de cifrado calculada por el
manejador de seguridad. Diferentes manejadores de
seguridad pueden calcular la clave de cifrado en una
variedad de formas,
Independientemente de la forma en que la clave
sea calcula, su uso en la codificación de los datos es
siempre la misma. Debido a que el algoritmo RC4
es simétrico, la misma secuencia de pasos puede ser
utilizado tanto para cifrar como para descifrar los
datos [14].
Microsoft Office utiliza un Archivo Compuesto
para los tipos de documento Word, Excel y
PowerPoint.
Un archivo compuesto esta formado por un
número de flujos virtuales. Estos son colecciones de
datos que se comportan como una secuencia lineal,
aunque puede ser fragmentado. Los flujos virtuales
pueden ser los datos del usuario, o pueden ser las
estructuras de control utilizado para mantener el
archivo. Se debe tener en cuenta que el propio
archivo también puede ser considerado como un
flujo virtual. Las partes principales de este archivo
compuesto son:
1. Cabecera
La cabecera contiene información para la
instanciación del archivo. Su tamaño es de 512
bytes, es única y esta localizada al principio del
archivo en el desplazamiento cero.

Ilustración 11. Cabecera archivo MS Office
Imagen tomada por Andrea Ariza Díaz
Ilustración 12. Cabecera de un Archivo MS Office [15]
2. Sectores FAT
El FAT es el principal ente que asigna espacio
dentro de un archivo compuesto. Cada sector en
el archivo está representado dentro del FAT de
alguna manera, incluidos los sectores que están
sin asignar. La FAT es prácticamente un flujo
formado por uno o más sectores de grasa.
3. Sectores MiniFAT
Como el espacio de flujos es siempre asignado
en el sector de bloques, se considera que hay
desperdicio cuando se almacenan objetos mucho
más pequeños que los sectores (normalmente
512 bytes). Como una solución a este problema,
se introdujo el concepto de la MiniFat. El
MiniFAT es estructuralmente equivalente a la
FAT, pero se utiliza de una manera diferente.
4. Sectores DIF
Se utiliza para representar el almacenamiento de
la FAT. El DIF también está representado por una
variedad de sectores, y es encadenado por la
terminación de células en cada sector.
5. Sectores Directorio
El Directorio es una estructura utilizada para
contener flujo de información acerca de los
flujos en un archivo compuesto, así como para
mantener una estructura de árbol de contención.
Se trata de un flujo virtual compuesto de uno o
más sectores Directorio. El Directorio está
representado como un estándar de la cadena de
sectores dentro del FAT.
6. Sectores de Almacenamiento
Son simplemente colecciones de bytes
arbitrarios. Ellos son los bloques de flujos del
usuario, no se imponen restricciones sobre su
contenido, por lo cual se puede añadir
información u ocultar datos. Los sectores de
almacenamiento están representados como
cadenas en la FAT, y cada cadena de
almacenamiento (flujo) tendrá una única entrada
de directorio asociada a ella [15].
VI. ANÁLISIS DE METADATOS DE ARCHIVOS
PDF Y MSOFFICE
Una vez hemos conocido la especificación formal
de cada uno de estos archivos, podemos entrar en un
análisis detallado para una investigación dada.
Lo primero que se necesita es un editor
hexadecimal de archivos, que nos permita ver cada
uno de los documentos a analizar en su forma real.
Para este caso utilizamos WinHex.
WinHex es un editor hexadecimal que permite ver
datos que otros programas ocultan o simplemente
no son visibles como ya hemos explicado.
Posee un editor de disco y navegador del
directorio por FAT12, FAT16, FAT32, NTFS, editor
de RAM, una manera de editar la memoria virtual de
otros procesos, intérprete de datos que reconoce
hasta 20 tipos distintos de datos, edición de
estructuras de datos mediante plantillas, entre otras
funcionalidades. Permite también concatenar, partir,
unir, analizar y comparar archivos; además tiene
funciones de búsqueda y reemplazo, programación,
cifrado de 128 bits, sumas de verificación: CRC32,
digests (MD5, SHA-1, entre otros), borrado
irreversible de datos confidenciales/privados,
formatos de conversión (Binario, Hex ASCII, Intel
Hex y Motorola S), soporta juego de caracteres
ANSI ASCII, IBM ASCII, EBCDIC [16]. Ilustración 13. Firma de un Archivo MSOffice
Imagen tomada por Andrea Ariza Díaz
Con una herramienta como estas, el manejo que se
le puede dar a los documentos es infinito, y el
ocultar información para un atacante resulta fácil. A
continuación explicaremos solo dos métodos
(dentro de muchos que existen), que son muy
comunes en el manejo de documentos con un editor
hexadecimal.

A. Cambio de firma en un documento

Microsoft Office y en un documento Adobe PDF

Como ya conocemos el formato de ambos tipos de

documento, sabemos que abriendo cualquiera de
ellos en un editor hexadecimal, en su primera línea Ilustración 14. Modificación de la Firma de un Archivo
encontraremos la firma que los caracteriza. Muchas MSOffice
Imagen tomada por Andrea Ariza Díaz
veces los atacantes utilizan el método de cambiar o
borrar la firma, de forma tal que el archivo parezca
corrupto y no se pueda tener acceso a él. Razón por
la cual estos documentos se desechan, pero aún por
dentro pueden tener información sensible o que el
atacante puede usar para sus fines.

En la siguiente ilustración podemos ver la firma de

un documento Word de Microsoft Office (es igual
para Excel, y PowerPoint) D0 CF 11 E0 A1 B1 1A
E1. Simplemente con modificar estos bytes, el
archivo no se podrá abrir desde Word, como se
puede ver en las ilustraciones 14 y 15.
Ilustración 15. Archivo Corrupto MSOffice
Imagen tomada por Andrea Ariza Díaz

Este es un ejemplo de modificación de firmas,

pero como se dijo anteriormente es posible partir,
unir, concatenar documentos. Por lo cual ocultar
información dentro de ellos sin que se pueda notar,
es fácil para un atacante que conozca este tipo de
herramientas. De la misma forma esto se puede
hacer para un documento PDF como se muestra a
continuación.
La firma de un archivo PDF es de 4 bytes, a
diferencia de un documento de Microsoft Office que
es de 8 bytes, y es 25 50 44 46.
Ilustración 16. Firma de un Archivo PDF
Imagen tomada por Andrea Ariza Díaz
Ilustración 17. Modificación de la Firma de un Archivo
PDF
Imagen tomada por Andrea Ariza Díaz
Ilustración 18. Archivo Corrupto PDF
Imagen tomada por Andrea Ariza Díaz
B. Cambio de extensión en un documento
Microsoft Office y en un documento Adobe PDF
Otra forma de ocultar datos dentro de un
documento y hacerlo inservible a primera vista, es
cambiándole la extensión a los archivos. Este caso
lo puede ser aplicable para cualquier documento
como tal. Los atacantes suelen hacer este tipo de
modificaciones explicadas anteriormente para que
impedir el acceso a los documentos.
Si este es el caso, el procedimiento que se debe
seguir es analizar la estructura interna del archivo,
igualmente con un editor hexadecimal, y determinar
la firma para identificar qué tipo de documento es.
VII. CONCLUSIONES
Este artículo ha presentado como es la estructura
de los documentos Microsoft Office y Adobe PDF,
para el análisis de metadatos en una investigación
forense, o como explicación de una forma de
ataque. Para explicar cómo se puede hacer este
procedimiento se utilizó la herramienta WinHex.
Para una investigación forense, no hay una
metodología de análisis de metadatos para
documentos formal. Se realizó una aproximación al
análisis de ellos a partir de su estructura,
observando cómo en los documentos se puede
añadir u ocultar información y al mismo tiempo no
poder acceder a ellos normalmente. Básicamente
este análisis consiste en analizar la firma del
documento, la cual da el primer indicio para indicar
qué tipo de documento es.
Es importante para una investigación, además de
contar con las herramientas para la respuesta a
incidentes, herramientas para análisis de
documentos a un más bajo nivel, ya sea binario o
hexadecimal, y conocer la estructura de los
documentos para identificar el tipo de información
que se encuentra dentro de ellos.
REFERENCIAS
[1] Vásquez. Paulus. C., METADATOS: Introducción e
historia [Online]. Available:
http://www.dcc.uchile.cl/~cvasquez/introehistoria.pdf
[2] Pinnington. D., (2004). Beware the dangers of Metadata Pontificia Universidad Javeriana
[Online]. Available: www.lawpro.ca/magazinearchives 2008
[3] Simon Byers (2003). Scalable Exploitation of, and
Responses to Information Leakage Through Hidden
Data in Published Documents [Online]. Available:
http://www.user-agent.org/word_docs.pdf
[4] Payne Consulting Group. How much metadata are you
sharing? [Online]. Available:
http://www.payneconsulting.com/pub_books/articles/pdf/
HowMuchMetadataAreYouSharing.pdf
[5] Payne. D., Metadata are you protected. [Online].
Available:
http://www.payneconsulting.com/pub_books/articles/pdf/
HowMuchMetadataAreYouSharing.pdf
[6] Spafford. E., Buchholz. F., On the role of file system
metadata in digital forensics. [Online]. Available:
http://homes.cerias.purdue.edu/~florian/publications/meta
data_jdi.pdf
[7] Payne. D., Metadata What every attorney need to know.
[Online]. Available:
http://www.scribd.com/doc/2893980/ComplexDiscovery-
Considering-Metadata
[8] SNAC (2005). How much metada are you sharing.
[Online]. Available:
http://www.payneconsulting.com/pub_books/articles/pdf/
HowMuchMetadataAreYouSharing.pdf
[9] Metadata: What is it, and how do you deal with it?.
[Online]. Available:
http://www.hsskgroup.com/attachments/articles/57/Metad
ata%209%2030%2004%20Updated.pdf
[10] Farrar. R., Metadata Management in Microsoft Office:
How Firms Can Protect Themselves against
Unintentional Disclosure and Misuse of Metadata.
[Online]. Available:
http://www.abanet.org/genpractice/ereport/2006/may/met
adata.html
[11] Ruhnka. J., Forensic Implications of Metadata in
Electronic Files. [Online]. Available:
http://www.nysscpa.org/cpajournal/2008/608/essentials/p
68.htm
[12] (2008). File Signatures Table
http://www.garykessler.net/library/file_sigs.html
[13] Adobe systems Incorporated. (2008). PDF Reference.
[Online]. Available:
http://partners.adobe.com/public/developer/en/pdf/PDFRe
ference.pdf
[14] Microsoft Corporation. (2008). Windows Compound
Binary File Format Specification. [Online]. Available:
http://download.microsoft.com/download/0/B/E/0BE8BD
D7-E5E8-422A-ABFD-
4342ED7AD886/WindowsCompoundBinaryFileFormatS
pecification.pdf
[15] (2008). WinHex 15.1 Completo editor hexadecimal.
[Online]. Available: http://winhex.uptodown.com/

Realizado por:
Andrea Ariza Díaz
Juan Camilo Ruíz
Ingeniería de Sistemas