Los Metadatos: definición, riesgo y eliminación

Algunos de nuestros clientes nos han planteado sus dudas acerca de los metadatos. El objetivo de este artículo es intentar responder a estas dudas. Para ello, se comenzará describiendo qué son los metadatos y dónde podemos encontrarlos, en el contexto de un entorno corporativo. Posteriormente, se analizará de forma justificada el riesgo derivado de su fuga, caracterizando los factores que influyen directamente en él. Finalmente, con el objetivo de reducir el nivel de riesgo, se presentarán un conjunto de soluciones nativas y de terceros, que permiten eliminar los metadatos asociados a los archivos más comúnmente utilizados en este tipo de entornos.

¿Qué son y dónde se encuentran?
La palabra metadato significa “datos acerca de los datos”. En nuestro contexto, se refiere  a la información relativa a un documento, como por ejemplo: el autor, la fecha de creación/modificación, el programa editor, etc. Estos datos son de gran ayuda a la hora de gestionar documentos y sus procesos de elaboración colaborativa.

En un entorno corporativo, los metadatos se encuentran principalmente en los documentos ofimáticos. Actualmente, existe una gran variedad de formatos de estos tipos de documentos. Sin embargo, los formatos generalmente utilizados son los relativos a: los documentos escritos, ya sea en formato editable (.doc, .docx, .odt, etc.) o de impresión (.pdf), las hojas de cálculo (.xls, .xlsx, .ods, etc.) y las presentaciones (.ppt, .pptx, .odp, etc.).

A continuación se muestran los principales tipos de metadatos contenidos en los documentos ofimáticos:
  • Propiedades del documento: Autor, Título, Páginas, Palabras, Tiempo de edición, Fecha de creación, Fecha de la última modificación, etc.
  • Revisiones de la edición: Historial de versiones anteriores.
  • Propiedades técnicas: Impresora física o virtual (PDF), Aplicación editora y versión, etc.
Además de los documentos ofimáticos, en un entorno corporativo también pueden encontrarse otros archivos que contienen metadatos, como son las imágenes, que también se encuentran en diversos formatos (.jpg, .png, .bmp, .gif, etc.). 
A continuación se muestran los principales tipos de metadatos contenidos en las imágenes:
  • Propiedades de la imagen: Geolocalización, Artista, Título, Descripción, Orientación, Resolución, Fecha de creación, Fecha de modificación, etc.
  • Propiedades técnicas: Marca y modelo del dispositivo fotográfico, Aplicación editora y versión, etc. 
Únicamente se han citado los tipos de archivos más utilizados en un entorno corporativo. Sin embargo, es importante indicar que todos los archivos poseen un conjunto común de metadatos asociados. Además, en función de la tipología del archivo (documento, imagen, archivo de sonido, video, etc.), este posee un conjunto de metadatos adicional, específico de su tipo (como son las Propiedades del documento y las Propiedades de la imagen mencionadas anteriormente).

¿Supone un riesgo su fuga?
Generalmente, los metadatos no son considerados uno de los elementos principales a tener en cuenta en términos de Seguridad de la Información. Es cierto, que su propia existencia no implica directamente la existencia de vulnerabilidades en el entorno. Además, analizándolos de forma aislada, el riesgo derivado de su fuga puede llegar a ser poco relevante.
Sin embargo, el nivel de riesgo depende principalmente de los siguientes factores:
  1. El volumen de metadatos disponibles.
  2. La criticidad de la información que proporcionan acerca de las vulnerabilidades del entorno.
  3. El grado de relación existente entre ellos.
Supongamos que disponemos de los metadatos Autor y Aplicación editora y versión de un mismo documento. Por un lado, el metadato Autor nos proporciona información sobre la existencia de un usuario en el entorno. Por otro lado, el metadato Aplicación editora y versión nos proporciona información sobre la existencia de un software ubicado en un sistema que pertenece al entorno.
Llegados a este punto, podemos concluir que cada metadato nos proporciona una información única acerca del entorno, que no podríamos conocer si no dispusiéramos de él (Factor I)).

Como se ha indicado anteriormente, el metadato Autor nos proporciona información sobre la existencia de un usuario. Esta información podría permitirnos deducir su dirección de correo corporativo, en caso de existir una correspondencia entre el nombre del usuario y su alias de correo (generalmente coinciden). Esto proporcionaría a un atacante un punto de entrada al entorno, pudiendo intentar realizar un ataque de ingeniería social para lograr su objetivo. A su vez, el metadato Aplicación editora y versión nos proporciona información sobre la existencia de una aplicación. Esta información podría permitirnos deducir, a qué vulnerabilidades está expuesta la propia aplicación, a través de la búsqueda de sus vulnerabilidades conocidas. Esto permitiría a un atacante la posibilidad de explotar una vulnerabilidad de la aplicación para lograr su objetivo.

Trabajando sobre la hipótesis que la aplicación vulnerable es accesible indirectamente a través de Internet, y que la vulnerabilidad explotada por el atacante le permite lograr su objetivo (alterar información, tomar el control del sistema, etc.), podemos concluir que cada metadato nos proporciona información de criticidad diferente acerca de las vulnerabilidades del entorno. En este caso, la probabilidad de éxito (y por tanto la criticidad de la información asociada) de un ataque que intente explotar dicha vulnerabilidad conocida de la aplicación, es mayor que la de un ataque de ingeniería social (Factor II). Es importante indicar, que en caso que la aplicación no fuera accesible a través de Internet, o no permitiera al atacante lograr completamente su objetivo, la probabilidad de éxito de un ataque a la aplicación podría ser igual o menor que la probabilidad de un ataque de ingeniería social.
Por otro lado, sabemos que ambos metadatos pertenecen a un mismo documento. Gracias a esta relación, obtenemos más información relevante acerca de las vulnerabilidades del entorno. En este caso, sabemos que existe un usuario (Autor) y que él mismo ha utilizado una aplicación vulnerable (Aplicación y versión) para generar un documento. Esta nueva información, permitiría a un atacante encadenar ambos ataques. Es decir, realizar un ataque de ingeniería social, en este caso a través de un correo electrónico, con el objetivo de explotar una vulnerabilidad de la aplicación para lograr su objetivo, utilizando para ello un documento manipulado específicamente para ese fin. La probabilidad de éxito de este ataque combinación de los anteriores, es superior a la de cada ataque por separado (Factor III).

En definitiva, los metadatos pueden convertirse en una fuente de información crítica para un atacante. Todos estos datos pueden permitirle obtener una imagen bastante fiel del entorno de una organización (incluyendo usuarios, sistemas, dispositivos de red, etc.) y de las vulnerabilidades que pueden afectar a cada uno de sus componentes. Toda esta información puede ser utilizada para posteriormente realizar un ataque dirigido, con una probabilidad de éxito muy superior a la de un ataque no dirigido, al no disponer de dicha información.

¿Cómo eliminarlos?
Esta es una de las cuestiones clave que nos plantean nuestros clientes. Actualmente, existe un conjunto amplio de herramientas que permiten eliminar los metadatos. Sin embargo, es importante indicar que no todas ellas son capaces de eliminar todos los metadatos asociados a los documentos. Además, no existe una solución que automatice completamente el proceso de eliminación de metadatos, siempre es necesario una implicación por parte del usuario, mayor o menor dependiendo de la solución empleada.
Podemos distinguir dos grupos de herramientas de eliminación de metadatos:
  • Herramientas nativas: Proporcionadas por los sistemas operativos y las plataformas de edición de documentos ofimáticos e imágenes.
  • Herramientas de terceros: Productos y servicios de empresas privadas y aplicaciones de código abierto.
Dentro de las Herramientas nativas, podemos encontrar las siguientes herramientas. Para cada una de ellas se indican los pasos necesarios para la eliminación de metadatos:
  • Windows: El sistema operativo dispone de una herramienta genérica que permite eliminar algunos metadatos asociados a los archivos. Para eliminar estos metadatos se deben realizar los siguientes pasos:
    • Acceder a las Propiedades del archivo.
    • Seleccionar la pestaña Detalles.
    • Hacer clic en Quitar propiedades e información personal.
    • Marcar la opción Crear una copia con todas las propiedades posibles quitadas.
    • Hacer clic en Aceptar.
  • Office: La plataforma Microsoft Office ha incorporado en sus últimas versiones la funcionalidad de eliminación de metadatos. A continuación, para cada versión se indican los pasos necesarios para utilizarla.
    • En las últimas versiones, la funcionalidad de eliminación de metadatos se llama “Inspección de documentos”. Es importante indicar, que el proceso es independientemente de la versión del formato y la versión de Office con las que se creó el documento. Para eliminar estos metadatos se deben realizar los siguientes pasos:
    • 2013:
      1. Acceder al menú Archivo y hacer clic en Información.
      2. En la sección Preparar para compartir, hacer clic en Comprobar si hay problemas.
      3. Hacer clic en Inspeccionar documento.
      4. Marcamos todas las zonas susceptibles de contener metadatos y hacemos clic en Inspeccionar.
      5. Para cada zona que deseemos eliminar sus metadatos, hacer clic en Quitar todos.
    • 2010:
      1. Acceder al menú Archivo.
      2. En la sección Preparar para compartir, hacer clic en Comprobar si hay problemas.
      3. Hacer clic en Inspeccionar documento.
      4. Marcamos todas las zonas susceptibles de contener metadatos y hacemos clic en Inspeccionar.
      5. Para cada zona que deseemos eliminar sus metadatos, hacer clic en Quitar todos.
    • 2007:
      1. Acceder al menú Archivo.
      2. En la sección Preparar, hacer clic en Inspeccionar documento.
      3. Marcamos todas las zonas susceptibles de contener metadatos y hacemos clic en Inspeccionar.
      4. Para cada zona que deseemos eliminar sus metadatos, hacer clic en Quitar todos.
    • 2003/XP: Para esta versión, existe un plugin que permite eliminar permanentemente los datos ocultos y de colaboración (como el control de cambios y los comentarios). Tras finalizar su instalación, para eliminar estos metadatos se deben realizar los siguientes pasos:
      1. Acceder al menú Archivo.
      2. Hacer clic en Remove Hidden Data.
    • Para versiones anteriores de Office, Microsoft ha publicado un conjunto de guías, con el objetivo de minimizar los metadatos almacenados en esos documentos:
  • OpenOffice: Esta plataforma también incorpora la funcionalidad de eliminación de metadatos. Para utilizarla y eliminar los metadatos asociados a estos tipos de documentos, se deben realizar los siguientes pasos:
    1. Acceder al menú Herramientas.
    2. Hacer clic en Opciones.
    3. En el árbol de la izquierda, seleccionar Seguridad.
    4. En el panel de la derecha, en el apartado Opciones de Seguridad y alertas, hacer clic en Opciones.
    5. En el nuevo menú abierto, marcar la opción Elimina la información personal al guardar.
    6. Hacer clic en Aceptar.
Sin embargo, tal y como se ha indicado anteriormente, algunas de las herramientas descritas no son capaces de eliminar todos los metadatos asociados a documentos e imágenes. Por ello, a continuación se indican algunas de las herramientas que se encuentran dentro del grupo de Herramientas de terceros, capaces de eliminar todos los metadatos:
  • OOMetaExtractor: Esta herramienta permite eliminar los siguientes metadatos, los cuales no pueden ser eliminados a través de la Herramienta nativa OpenOffice: Aplicación generadora del documento, Sistema operativo, Impresoras, Bases de datos y Rutas de plantillas.
  • ExifTool: Esta herramienta permite eliminar todos los metadatos asociados a una imagen (también llamados etiquetas de metadatos EXIF).
  • Metashield Protector: Esta suite de herramientas ofrece un conjunto de soluciones, algunas de ellas automatizadas y otras manuales, para la eliminación de metadatos en entornos corporativos. A continuación se describen las soluciones principales:
    • IIS/Sharepoint: Este módulo permite interceptar las peticiones de documentos de los usuarios de dichas plataformas, y limpiar sus metadatos antes de entregarlos.
    • File Servers: Este módulo permite monitorizar las carpetas ubicadas en este tipo de servidores, para eliminar los metadatos de los documentos contenidos en ellas inmediatamente después de su creación.
    • Clients: Este módulo se integra en el sistema operativo Windows. Permite de forma similar a la Herramienta nativa del sistema, eliminar todos los metadatos de un archivo (incluyendo los que no puede eliminar el propio sistema operativo).
Conclusiones 
Tras dar respuesta a las principales dudas acerca de los metadatos, es importante adoptar una postura frente a ellos. Conocer qué son los metadatos y dónde se encuentran, nos permitirá de ahora en adelante, identificar cuáles son las principales fuentes de metadatos y su diversa tipología, presentes en un entorno corporativo. Los resultados del análisis del riesgo derivado de su fuga, nos permitirán evaluar el riesgo de una forma más precisa y real, siendo más conscientes de los posibles impactos que pueden llegar a materializarse. Finalmente, conocer cuáles son y cómo pueden utilizarse las principales soluciones de eliminación de metadatos, nos permitirá definir un plan de tratamiento del riesgo efectivo y adecuado al entorno.

Autor: Carlos Antonio Sans
Departamento de Consultoría.

2 comentarios:

avi jut dijo...

Enhorabuena por tu artículo.
Nos será de gran ayuda.
Adrián Muñoz

Internet Security Auditors dijo...

Gracias Adrián! Nos alegra saberlo y poder ser de ayuda! ;)

Publicar un comentario en la entrada