CiberinteligenciaMetadatos

Metadatos: tenlos en cuenta si quieres estar protegido

metadatos ID-intelligence

Bienvenidos al segundo post del blog de FCD-intelligence. En esta ocasión os hablamos de los metadatos y su importancia, tanto a nivel personal como empresarial.

Pero… ¿qué son los metadatos?

Los metadatos son datos que describen otros datos.  En otras palabras, es información “oculta” o no fácilmente visible, que se haya contenida, ya sea en redes telefónicas (como el caso de espionaje de la Agencia Nacional de Seguridad de los Estados Unidos – NSA, revelado por Edward Snowden, donde se filtraron millones de metadatos asociados a llamadas telefónicas, correos electrónicos, etc.) o en documentos, fotografías, etc.

 

¿Qué peligros conllevan los metadatos?

Ya sea a nivel personal o empresarial, los metadatos nos proporcionan gran cantidad de información que en muchas ocasiones no es recomendable exponer por motivos de privacidad. La mayoría de las veces ocurre por el desconocimiento de que esta información está siendo publicada.

Aunque nos centraremos en los metadatos a nivel empresarial, es necesario destacar que los metadatos nos pueden también afectar a nivel personal.

Un ejemplo de ello es al enviar una fotografía a través de un servicio de mensajería, correo electrónico o red social, donde puede aparecer reflejado datos como: fecha de la captura, dimensiones de la imagen, fabricante y modelo de la cámara o Smartphone, y sobre todo, las coordenadas GPS donde fue tomada esa fotografía, a lo que se conoce como geotagging.

Es importante tener ello en cuenta, ya que si no eliminamos esta información cualquier persona con acceso a esa fotografía, documento, etc., puede conocer esos datos y establecer patrones de comportamientos, por lo que es recomendable desactivar las opciones que existen en aplicaciones, redes sociales y ajustes en cámaras de Smartphones, que incluyan dicha información. Aunque, actualmente, la mayoría de redes sociales los elimina por defecto al subir la imagen, pero no está demás su revisión.

A nivel empresarial, dada nuestra experiencia, es ingente la cantidad de metadatos asociados a documentos que se haya en los sitios web de numerosas empresas y organismos, lo que puede derivar en un ataque de ingeniería social a través del estudio de los mismos.

Actualmente, existen en el mercado numerosas herramientas que nos permiten analizar y extraer todos los metadatos que se hayan en los documentos (con independencia de su formato) alojados en el sitio web de una empresa, para lo cual solo es necesario conocer el dominio de la misma.

El análisis de los metadatos a través de herramientas de information gathering o fingerprinting nos permite conocer: usuarios, rutas, impresoras, software, correos electrónicos, sistemas operativos, contraseñas, servidores, etc. Lo cual a nivel individual puede parecer inofensivo, pero a nivel global puede darnos pistas sobre un posible ataque hacia la entidad.

 

La clave de la concienciación

Si bien la norma ISO/IEC 27001 aconseja que se lleve a cabo un procedimiento de revisión de los metadatos antes de que sean publicados en los sitios web, y, por su parte, el Esquema Nacional de Seguridad (ENS), obliga a establecerlo de forma implícita, es necesario conocer, tanto por parte de empleados de una organización como a nivel de usuario, la importancia y peligros que pueden conllevar la publicación de metadatos. Por ello es conveniente la eliminación o limpieza de los mismos, lo cual puede realizarse de forma sencilla. Así como, es recomendable establecer un procedimiento para ello, de forma que sea todo lo más organizativo posible y que no suponga un problema de operatividad para los empleados.

 

Ejemplo de metadatos contenidos en un documento

Puede visualizarse fácilmente haciendo clic derecho sobre el documento en cuestión, botón de propiedades y detalles.

En este punto también tenemos la opción de eliminar parte de los metadatos asociados, seleccionado los que deseemos borrar, simplemente haciendo clic en: quitar propiedades e información personal.

metadatos ID-intelligence

metadatos ID-intelligence

 

Herramientas y recursos para extraer metadatos

FOCA (Fingerprinting Organizations with Collected Archives) es una herramienta de pentesting muy conocida, que entre otras funcionalidades nos da la posibilidad de eliminar metadatos, tanto a nivel local como a nivel corporativo, sin más que crear un proyecto asociado al dominio de la organización. Está desarrollada por ElevenPaths (la unidad de Ciberseguridad de Telefónica). Esta herramienta utiliza motores de búsqueda conocidos como Google, Bing y Exalead, para recoger todo tipo de documentos con diferentes formatos y poder extraer los metadatos asociados a los mismos.

El funcionamiento es muy sencillo. Se crea un proyecto, asociado al dominio a investigar. Seleccionamos los buscadores a emplear y las extensiones de archivo. Personalizamos la búsqueda si lo deseamos, y hacemos clic en “search” o en “search all”. Una vez obtenidos los documentos. Hacemos clic derecho sobre cualquiera de ellos, y botón “download all”. Una vez descargados, extraemos los metadatos, haciendo clic con el botón derecho y “extract all metadata”. En la columna de la izquierda podremos ver un desplegable con todos los metadatos obtenidos clasificados por categorías: users, folders, printers, software, emails, operating systems, passwords y servers.

metadatos ID-intelligence

 

Decir, además, que es posible el análisis también de archivos locales. Simplemente arrastrando el archivo y realizando el mismo proceso anterior, pero sin la búsqueda.

Además, es posible obtener un reporte de los resultados en formato informe. Tenéis más información y las tecnologías a instalar (Crystal Reports y Visual Studio) en el post de elladodelmal.com.

Aunque el objetivo de este post es el análisis de metadatos, FOCA también nos sirve para realizar descubrimiento de servidores, análisis de red, reconocimiento de tecnologías…  Además han lanzado un market de plugins para aumentar funcionalidades.

 

Otra herramienta similar, y es la que nosotros empleamos para el análisis de metadatos en local es ExifTool. Permite realizar la extracción y análisis de metadatos de gran cantidad de archivos (no solo EXIF). Incorpora, además, una interfaz gráfica (GUI), más amigable, en lugar de usar la consola de comandos. Será objeto de otro post, ya que conviene entrar de lleno en esta herramienta, que a su vez permite la edición y eliminación de metadatos.

 

Ejemplos de la información que pude extraerse tras el análisis de metadatos

Un ejemplo de la importancia y peligro de los metadatos que se envían en los correos electrónicos, puede verse de forma práctica a través del experimento llevado a cabo por integrantes del MIT: Immersion.

Solo tenemos que permitirle el acceso a nuestro correo (después podemos borrar todos los datos del sitio web), e Immersion, empleando solo tres tipos de metadatos de tus correos electrónicos (fecha y hora, emisor y destinatario), sin entrar al contenido, te proyecta un gráfico revelador acerca de lo que los metadatos dicen sobre ti.

metadatos ID-intelligence

 

Otro ejemplo gráfico podemos verlo con el geotagging (información geográfica en los metadatos de imágenes y vídeos) gracias al proyecto “sé dónde vive tu gato”: iknowwhereyourcatlives.com. Este proyecto se basa en la recopilación de imágenes de gatos que han sido publicadas en redes sociales y a través del geotagging los sitúa geográficamente sobre un mapa, lo que puede proporcionar el domicilio probable de cada uno de sus dueños.

metadatos ID-intelligence

metadatos ID-intelligence

 

Más casos de ejemplo de la importancia de los metadatos

 

Bueno y hasta aquí el post dedicado a los metadatos. Esperamos que hayáis comprendido la importancia de los mismos, y la necesidad de su limpieza o borrado.

Ya sabéis, si necesitáis un análisis de metadatos o que nos encargamos de realizar un proyecto de ciberinteligencia, no dudéis en contactar con nosotros. Somos tu empresa de ciberinteligencia en Andalucía.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *