La versión de su navegador no está debidamente actualizada. Le recomendamos actualizarla a la versión más reciente.

Como extraer y recuperar evidencias digitales.

Publicado 20/04/2020

La prueba o evidencia digital, tiene una gran importancia en el proceso jurídico. Ya sea para un tema civil, laboral, penal o mercantil…A raíz de ésta, podemos empezar a realizar una hipótesis y al final, comprendemos lo que ha sucedido realmente. Gracias a las pruebas, podemos evidenciar un hecho delictivo o no, que nos lleve hasta la posesión de la verdad. Pero para ello, deberemos pasar un procedimiento para obtener esa prueba. Todos los peritos judiciales informáticos deben conocer este proceso de metodología. El cual es exigido por nuestras leyes para garantizar que sólo obtendremos la verdad de lo sucedido. Para el derecho, la evidencia digital o electrónica es una certeza perceptible.

Está evidencia debe ser manifiesta, evidente u obvia y clara, que nadie pueda refutarla. De ahí, que a veces se oiga a muchos juristas, que ni los testimonios o declaraciones, dejan tan claro un hecho como una prueba. La evidencia es imparcial, no va en contra de nadie y solo evidencia un hecho claro de un suceso acontecido. Mostrando lo que pasó y como ocurrió; e incluso, señalando al responsable o responsables. Vamos a nalizar algunas de las más significativas.

Metadatos (del griego μετα, meta, «después de» y latín datum, «lo que se da», «dato»), literalmente «sobre datos», son datos que describen otros datos. Los metadatos son datos que caracterizan a un fichero que contiene ciertos tipos de datos, de modo que a través de  los metadatos podemos conocer características de un fichero como el autor, revisiones del documento, etc. Los metadatos pueden tener varias aplicaciones como:

  • En informática forense: Para demostrar en un juicio que unos archivos de imágenes pertenecen a una determinada cámara de fotos.
  • En ataques a sistemas o servidores web: Atreves de los metadatos podemos obtener los nombres de posibles usuarios, sistema operativo, nombres de red… para después realizar un ataque de fuerza bruta.

En el análisis forense telemático, la extracción de los metadatos es una disciplina que se emplea frecuentemente en procesos judiciales. En determinados eventos criminales, una carpeta, archivo, imagen, mensaje, correo… son evidencias digitales y/o telemáticas que incriminen o eximan a un acusado en la comisión de un delito, y por tanto, es importante analiza los metadatos que contenga el dispositivo para poder obtener de ellas evidencias suficientes que sustenten una acusación o una defensa ante un juez.

Los metadatos, es la información insertada en los archivos por el software de edición o creación de los mismos, estés metadatos contienen información acerca de la creación del archivo como: nombre de autor, autores anteriores, nombre de compañía, cantidad de veces que el documento fue modificado, fecha de creación…Los metadatos contienen toda la información del archivo, fecha, hora, autor, geoposicion, modificación del archivo…

En fotografías digitales, la cámara captura las imágenes y va guardando en forma de metadatos, información de cómo fue tomada la fotografía: fecha, hora, diafragma, velocidad, uso de flash, modo de captura, entre otros datos, uno de ellos próximo a llegar: geoposicionamiento satelital.

De esto nos podemos dar cuenta fácilmente cuando subimos las fotografías a un servicio de almacenamiento web, como Flickr, si quieres haz la prueba y verifica los metadatos fotográficos de muchas imágenes y podrás darte cuenta que el "dato" es la imagen y el resto son los "metadatos", es decir, la información sobre la fotografía.

En una canción en formato MP3, el "dato" es el sonido que estamos acostumbrados a escuchar, y los metadatos es toda aquella información extra, como título de la obra, álbum, año, autor, carátula, género, etc. Windows Media Player (y otros reproductores) muestra los metadatos de una canción, entre ellos la carátula del disco que estamos escuchando.

Por supuesto, las páginas web no podrían ser ajenas a este esquema y tienen datos (que es lo que normalmente un usuario visualiza) pero también metadatos (que desafortunadamente no es tan visible, aunque a la larga tan importante como los datos). En las páginas web los datos se ven por un usuario normal. Los metadatos están de cierta forma ocultos en el código fuente.

Si enfocamos la obtención de metadatos al mundo de la fotografía digital, podemos en algunos casos obtener incluso la geolocalización de la obtención de la imagen en concreto. Para ello utilizaremos la herramienta exif (que simplemente accede a los datos del formato Exif).

Queda clara la importancia de mantener en la fotografía únicamente información que deseamos que sea pública, para evitar que circule información “oculta” a primera vista y que no deseamos ofrecer.

Herramientas como Metagoofil o la Foca están enfocadas a la obtención de los metadatos, lo que puede ser el primer paso de un análisis más exhaustivo, que dé pie a posteriores etapas en un proceso de investigación técnica.

Como no puede ser de otra manera, la recomendación es eliminar aquellos metadatos innecesarios que impliquen información privada que en cierta manera

nos hace vulnerables, ya sea por dar a conocer nombres de usuarios, o ubicaciones de objetos a través de imágenes.

La información básica de imagen suele ser la fecha de toma de la imagen, el fabricante de la cámara y el modelo de cámara utilizado. Esta información se puede deducir mediante la invocación de las propiedades de una imagen. Cualquier sistema operativo lo permite (en Windows, por ejemplo, haciendo botón derecho ­‐­‐ > propiedades sobre una imagen). Nosotros vamos a ver dos procesos automatizables para evitar tener que extraer los datos imagen a imagen, y que además, permiten extraer mucha más información.

También veremos como cuando se toma una fotografía, existen muchos más datos que se graban en ella, y que pueden resolver el grado de culpabilidad de un acusado. A veces, la fecha, el fabricante y el modelo no bastan, y quizás sea necesario deducir, por ejemplo, si dos imágenes han sido tomadas con la misma cámara o no. Un análisis de metadatos puede proporcionarnos esta información.

Para la extracción de metadatos de archivos existen numerosos métodos. Unos son más sencillos de interpretar y otros producen resultados más complejos.

A la hora de realizar una pericial informática, uno de los primeros pasos a dar es la recopilación de la mayor cantidad de información “útil” del objeto de la pericia, lo que en el ámbito de la seguridad denominamos como “information gathering”. Dentro de esta fase, podemos incluir el análisis de metadatos obtenidos a partir de ficheros contenedores como pueden ser de tipo pdf, odt, jpg, etc…

En cuanto a las herramientas de extracción de metadatos, y aunque hay en Internet múltiples recursos al respecto: RDFMetadata, Benubird PDF, Mi TeC Exe Explorer, Format Factory Portable, EMS My SQL Manager.. y el que más utilizo el de nuestro socio la Foca Forense, cuyo funcionamiento es muy sencillo.

Por nombrar algunas de estas herramientas de adquisición de metadatos útiles están:

  • Hachoir­metadata, es una de las mas completas soporta 32 formatos distintos de archivos, y está disponible para: Debian, Mandriva, Gentoo, Arch y FreeBSD.
  • ExifTool, la mejor herramienta para extraer metadatos de imágenes ya que puede trabajar con EXIF e IPTC (estándares utilizados por cámara de fotos para intercambiar ficheros de imágenes con compresión JPEG). Además reconoce metadatos insertados por cámaras: Canon, Casio, FujiFilm, HP, JVC/Victor, Kodak, Leaf, Minolta/Konica­‐Minolta, Nikon, Olympus/Epson, Panasonic/Leica, Pentax/Asahi, Ricoh, Sanyo, Sigma/Foveon y Sony. Disponible para Windows, Mac OSX y en modulo Perl lo que permite utilizarla en Linux.
  • Metagoofil, diseñada para extraer archivos: pdf, doc, xls y ppt de un sitio web a través de google, y analizar los metadatos de los archivos. Para obtener información y realizar un ataque o un test de intrusión. Esta escrita en python.
  • Pinpoint Metaviewer, permite a los usuarios extraer rápidamente meta datos del sistema de archivos, meta datos OLE contenidos en Microsoft Office y valores "hash". Destaca que puede obtener antiguos usurarios, en el caso de que fuera varias veces modificado por diferentes personas.
  • FOCA 3.2 Free es una herramienta para la realización de procesos de fingerprinting e information gathering en trabajos de auditoría web. La versión Free realiza búsqueda de servidores, dominios, URLs y documentos publicados, así como el descubrimiento de versiones de software en servidores y clientes. FOCA se hizo famosa por la extracción de metadatos en documentos públicos, pero hoy en día es mucho más que eso. Para el análisis de metadatos en ficheros ofimáticos puedes utilizar una versión online de la FOCA. Gracias a esta herramienta, podemos extraer en primer lugar los datos para obtener la información contenida en los metadatos de un fichero. De esta manera podemos obtener información como nombres de usuarios,        nombres    de    equipos,   rutas    del    equipo   donde   se    ha creado/modificado un fichero, etc.

Podemos observar los datos que podemos obtener de un fichero “.doc” que no ha sido previamente “limpiado”, entre los cuales cabe destacar rutas de unidades de red, nombres de usuarios, nombre del registrador de la aplicación, aplicación con la que está creado el documento y su versión, etc.

Es muy importante y debemos de prestar mucha atención a los metadatos, sobre todo si el documento va a ser públicamente accesible.

Compártenos en tus redes

Directiva de cookies

Este sitio utiliza cookies para el almacenamiento de información en su equipo.

¿Lo acepta?