Академический Документы
Профессиональный Документы
Культура Документы
continuación se explica el porque se puede
Resumen— Los metadatos en todo tipo de datos o presentar esta situación.
registros electrónicos principalmente nos muestran datos del
origen e historia de cada registro almacenando datos como
fecha de creación, nombre de los autores y las fechas en que Una característica de los registros electrónicos
fueron modificados entre otros. Pero la falta de información es que en ellos se incluyen los metadatos, tema
acerca de dichos metadatos hace que algunos usuarios revelen principal en el desarrollo de este artículo.
información sensible inconscientemente, por eso es necesario
conocer sus estructuras y el tipo de acciones que se pueden Los metadatos se encuentran ocultos en un
tomar para minimizar el riesgo de revelar este tipo de
información.
documento, y comprenden amplia información
acerca de la creación de un archivo, incluido el
Índice de Términos— Metadatos, archivos, cabeceras, MAC (las fechas en que el archivo fue Modificado,
documentos, firmas, documentos MS Office , PDF. Accedido, y Creado), la última fecha de impresión,
si se elimina, cuando fue eliminado y por quién.
Además los metadatos también puede revelar la
ubicación de un archivo en una máquina o en algún
I.INTRODUCCIÓN lugar específico en la red, el equipo en el que fue
HOY EN DÍA, LA GRAN MAYORÍA DE LAS creado, el nombre de la persona que ha guardado el
ACTIVIDADES COMERCIALES, NEGOCIOS Y último documento, el número de revisiones
TRANSACCIONES ORGANIZACIONALES, SON realizadas, así como cualquier documento de
EFECTIVAS GRACIAS AL USO DE LOS SISTEMAS DE identificación o propiedades del documento, entre
INFORMACIÓN QUE FUNCIONAN A TRAVÉS DE UNA otro tipo de información almacenada en el mismo
RED. Negocios y registros contables son preparados, de forma oculta.
revisados, auditados, y almacenados de forma
electrónica, información comúnmente llamada En el desarrollo de este artículo veremos la
información almacenada electrónicamente (ESI por importancia del análisis de los metadatos en
sus siglas en inglés: Electronically Stored Microsoft Office, principalmente en documentos
Information). Word, Excel, y PowerPoint, y Adobe,
principalmente en documentos PDF, en la
Se estima que del 94% a 99% de todos los Informática forense y como puede contribuir este
documentos de las organizaciones son creados y análisis a revelar información importante, que se
mantenidos en forma electrónica y la mayoría nunca puede considerar como evidencia en un caso dado.
se transformó en copia impresa [11]. Lo cual indica
que el transporte de los documentos se hace II. ¿QUÉ SON LOS METADATOS?
digitalmente entre personas u organizaciones,
quienes no saben que además del contenido Una definición utilizada con frecuencia nos dice
explícito del documento, pueden estar revelando que los metadatos son "datos sobre datos", en
información sensible o información que general, un objeto que describe o dice algo sobre
simplemente no es de dominio público. A otro objeto de información [1]. Principalmente el
término metadato se empezó a masificar con el uso
Este artículo fue realizado en el desarrollo del curso Introducción a la
Informática Forense durante el segundo semestre de 2008 bajo la supervisión de la tecnología digital, pero éste data desde mucho
de Jeimy J. cano, Ph.D
tiempo atrás. El ejemplo mas común se presenta en paquete macro para la creación del documento o un
una biblioteca, donde se utilizan fichas que sistema de gestión de documentos como repositorio,
especifican autores, títulos, casas editoriales y entre otros [7].
lugares para buscar libros. De esta forma podemos
afirmar que los metadatos son datos que describen Los metadatos pueden dividirse en dos categorías:
datos.
De manera más formal podríamos decir que un Metadatos de aplicación
metadato es un dato que se encarga de mantener un
registro sobre el significado, contexto o propósito Son aquellos que son creados
de un objeto informativo, para descubrir, entender, automáticamente por una aplicación y están
extraer y administrar dicho objeto [1]. Dicho incrustados en todos los archivos que son
registro generalmente es de menor tamaño que los creados o modificados con ese software.
datos que describe, y maneja un formato corto ya
establecido, de forma tal que describen colecciones
de objetos y también los procesos en los que están Sistemas de Metadatos
involucrados, describiendo cada uno de los eventos,
Los sistemas operativos que controlan
sus componentes y cada una de las restricciones que
máquinas individuales, servidores y otros
se les aplican.
dispositivos, crean sistemas de metadatos, los
cuales fijan una tabla de asignación de
En los documentos digitales, los metadatos van
campos de archivo (nombre de archivo,
más allá que el contenido impreso del mismo. Estos
creación, extensión, y el uso) a todos los
contienen todos los datos en el sistema de archivos
archivos almacenados en el sistema de forma
que describen el diseño y atributos de los archivos y
tal que el sistema operativo puede identificar
los directorios regulares. Incluyendo, no solo
y localizar cualquier archivo. Los sistemas de
atributos de tiempo, el control de acceso a la
metadatos residen en el sistema de registro del
información, el tamaño, sino también información
sistema o el servidor utilizado para acceder y
sobre cómo encontrar y reunir un archivo o
almacenar ese archivo.
directorio en el sistema de archivos. Esta última
información que se obtiene, contiene enlaces a Aplicaciones como Word, Excel y PowerPoint,
bloques de datos, o incluso a todos los bloques automáticamente generan docenas de campos
utilizados como nodos internos de búsqueda de (tipos) de metadatos de aplicación para cada uno de
estructuras de datos tales como árboles-B. los archivos que crean. Los campos de los
metadatos de aplicación y sistemas de metadatos
Los metadatos en un documento digital son creados y actualizados para Word, Excel y
principalmente son automáticamente añadidos PowerPoint cada vez que un archivo es creado,
cuando el archivo es creado y después almacenado abierto, o utilizado, así como la información
y/o cuando se abre el archivo y se edita. Por opcional sobre los cambios o las versiones de que
ejemplo cuando un documento es creado, se asocia un usuario puede intencionalmente añadir al
la fecha de creación y el nombre del autor, como archivo. El software de Adobe Acrobat crea
metadatos del mismo. Por otro lado cuando el metadatos con información detallada sobre la ruta
documento se imprime se añaden etiquetas de del documento, que puede proporcionar
fechas de impresión. Otro tipo de metadatos que información para el análisis forense sobre archivos
también se asocian a un documento son, que tipo de PDF [6].
plantilla se utilizó para crear el documento y el
autor de la plantilla, información con el nombre y III. RELEVANCIA DE LOS METADATOS EN LA
ruta donde el archivo fue almacenado por los INFORMÁTICA FORENSE
últimos diez autores del documento, si se uso un Para explicar la relevancia de los Metadatos en la
informática forense, ilustraremos con un ejemplo donde se compuso el documento.
que se explica a continuación:
Nombres de impresoras.
Vamos considerar en primer lugar un escenario
realista con documentos de Word. Los encabezados de correo electrónico o la
información del servidor web.
María envía un memorando de misión crítica
escrito en Word a Juan, quién está en otra El texto que se ha eliminado del documento
organización, por ejemplo, un cliente de la en algún momento antes de ser almacenado.
organización de María.
Texto completamente ajeno al documento
Alicia la supervisora de Juan, pide a Juan el original, que está presente debido a un error
informe semanal de la organización. en el programa que generó el documento, o
información que se oculta y no es visible [11].
A Juan, le gustó el formato del memorando de
María, por lo cual simplemente lo copia, borra El análisis forense provee una base de evidencia
el texto y digita los informes. que se obtiene mediante la identificación del
proceso de captura, uso, almacenamiento, y
Juan envía el informe a Alicia transmisión de datos. Los metadatos pueden ayudar
a identificar los medios humanos y sistema de
Alicia publica el informe en la red externa [3]. acciones en los sistemas de información, se pueden
utilizar para investigar y comprobar el fraude, los
Este caso muestra cómo simples acciones abusos, errores, o fallos en el sistema, y puede
cotidianas pueden inadvertidamente colocar datos ayudar a establecer elementos tales como la
sensibles en el dominio público. Muchos usuarios causalidad, el calendario, y el grado de
de Word y de otros programas similares, suelen conocimiento de todos los que están en un caso
comportarse como Juan, por lo que este tipo de dado. Se debe tener en cuenta que cuando se realiza
información puede caer en manos de abusadores la investigación de algún incidente y
que utilizan la información con el fin de estafar o específicamente en análisis de los metadatos de los
generar información a partir de ella. archivos, la persona investigada está en el derecho
de no revelar este tipo de información, ya que puede
Otro caso que se puede presentar es ocultamiento comprometer datos sensibles e información
de información dentro de este tipo de documentos. privilegiada de la organización, por lo cual se deben
Algunos datos comunes en el ocultamiento de llevar a cabo los procedimientos legales adecuados
información son: para acceder a ellos.
Nombre de la organización
Otras propiedades de los archivos y resumen 2. Una vez abierta la ventana de propiedades se
de la información puede navegar por ella viendo, datos
generales, resumen, estadísticas, contenido, y
Partes de objetos OLE no visibles un campo para personalizar, y así información
de creación de archivos, modificaciones entre
Los nombres de los autores anteriores del otras.
documento
1. Cabecera
Que es la parte que identifica la versión de la
especificación PDF que el archivo conforma.
2. Cuerpo
El cual contiene los objetos que forman el
contenido del archivo.
3. Referencia Cruzada
Contiene información acerca de los objetos
indirectos en el archivo
4. Trailer
Contiene una tabla con la localización de la
referencia cruzada y objetos especiales que
Ilustración 8. Estructura de un archivo PDF actualizado
están dentro del cuerpo. [14]
%PDF-1.5
%%EOF
4. Sectores DIF
Se utiliza para representar el almacenamiento de
la FAT. El DIF también está representado por una
variedad de sectores, y es encadenado por la
terminación de células en cada sector.
5. Sectores Directorio
El Directorio es una estructura utilizada para
contener flujo de información acerca de los
flujos en un archivo compuesto, así como para
mantener una estructura de árbol de contención.
Se trata de un flujo virtual compuesto de uno o
más sectores Directorio. El Directorio está
representado como un estándar de la cadena de
Ilustración 11. Cabecera archivo MS Office
Imagen tomada por Andrea Ariza Díaz
sectores dentro del FAT.
6. Sectores de Almacenamiento
Son simplemente colecciones de bytes
arbitrarios. Ellos son los bloques de flujos del
usuario, no se imponen restricciones sobre su
contenido, por lo cual se puede añadir
información u ocultar datos. Los sectores de
almacenamiento están representados como
cadenas en la FAT, y cada cadena de
almacenamiento (flujo) tendrá una única entrada
de directorio asociada a ella [15].
VII. CONCLUSIONES
Este artículo ha presentado como es la estructura
Ilustración 16. Firma de un Archivo PDF
Imagen tomada por Andrea Ariza Díaz
de los documentos Microsoft Office y Adobe PDF,
para el análisis de metadatos en una investigación
forense, o como explicación de una forma de
ataque. Para explicar cómo se puede hacer este
procedimiento se utilizó la herramienta WinHex.
Realizado por:
Andrea Ariza Díaz
Juan Camilo Ruíz
Ingeniería de Sistemas