Geoetiquetas: una nueva amenaza para la seguridad
Se acerca la festividad de los Reyes Magos. Es posible que entre sus regalos se encuentre un maravilloso smartphone (telefono inteligente) con cámara, Wi-Fi, Global Positioning System (GPS en adelante), Blutooth, Internet, etc. Incluso es posible que
no necesite esperar la llegada de Sus Majestades, y que ya esté disfrutando uno de estos dispositivos desde hace tiempo, utilizando su camara de fotos de vez en cuando. En este caso, le interesa especialmente este boletín. En otro caso seguramente le parezca muy curioso lo que nos van a contar.
Al hacer una fotografía con algunos de estos teléfonos de tecnología GPS y guardarla en el dispositivo, no solo se almacena la imagen a inmortalizar sino que ésta contiene datos adicionales llamados metadatos(ver más abajo) que pueden pasar desapercibidos para el usuario, pero que también se almacenan. En el caso concreto de las "geotags" o "geoetiquetas" se almacenan las coordenadas (Longitud y Latitud) del lugar donde se realizó la fotografía, por lo que cualquiera con acceso a
la imagen puede conocer con exactitud el lugar fotografiado. Este dato puede que de forma aislada no sea importante, pero ¿se imagina que podría pasar si esa foto se publicara en alguna rede social, o en cualquier página Web de acceso público? Para ilustrar las consecuencias, se pondrá un ejemplo real:
Adam Savage, presentador del programa de ciencias "MythBusters" del
"Discovery Channel" se le ocurrió la idea de publicar una fotografía en Twitter donde aparecía su coche aparcado frente a su casa. La marca de su coche, era lo de menos. La imagen contenía una geoetiqueta con la longitud y latitud del punto donde fue obtenida, con lo cual reveló públicamente donde vivía. La imagen, iba acompañada con un texto que decía "Ahora me voy a trabajar". Desde ese momento cualquiera de sus
"seguidores" que tuviera intención de hacerle una visita, sabía donde ir. Y si algún ladrón se encontraba entre los seguidores, el texto explicativo daría pistas de en qué momento acudir.
Con este ejemplo se quiere poner de manifiesto el potencial peligro de las geoetiquetas, e informar a todos los usuarios de teléfonos inteligentes sobre la existencia de éstas. Si bien, utilizadas de manera consciente y apropiada pueden resultar muy útiles, el desconocer su existencia puede implicar graves riesgos de seguridad.... y esta vez no solo para la seguridad lógica, sino también para la seguridad física.Los dispositivos que las utilizan, ofrecen la posibilidad de
deshabilitar el "geoetiquetado" por lo que le invitamos a que se tenga en cuenta esta opción, y si lo cree conveniente las deshabilite.
-----------------------------------------------------------------------------------
Datos ocultos en ficheros
¿Utiliza usted a diario Microsoft Word? ¿y Excel? ¿quizá PowerPoint o cualquier otra herramienta incluida en el paquete Microsoft Office? Si su respuesta es afirmativa, entonces le interesa especialmente este Boletín.
En él vamos a tratar sobre la información oculta que se encuentra en estos
ficheros y se distribuye inconscientemente cuando creamos o modificamos documentos y los distribuimos.
Muchas aplicaciones, entre las que se encuentra Microsoft Office, almacenan metadatos junto con los documentos, ya sean ficheros de texto, audio, vídeo, bases de datos, presentaciones, hojas de cálculo, o de otro tipo.
Los Metadatos son información relativa a un documento y adicional a éste, que ofrecen datos de utilidad en un entorno colaborativo. Pero, ¿qué información concreta se almacena en estos metadatos? La información depende de la versión de la aplicación de que se trate: Microsoft Office 2007 almacena mayor número de características que Office 2000 o cualquier otra versión anterior. Las versiones actuales de Office almacenan entre otros los siguientes tipos de metadatos:
Propiedades del Software: tales como nombre de usuario, iniciales, organización. Por defecto, si no se indica otro parámetro, el campo "nombre" es el identificador de cuenta de usuario del sistema. Si no se modifica, en los metadatos se encontrará por tanto el nombre de cuenta con el que el usuario ha entrado en el sistema.
Propiedades del Documento: tales como creador del documento, descripción, palabras claves, comentarios, etc.
Metadatos Ocultos: se trata de datos que se almacenan de forma oculta dentro de los ficheros y que son utilizados por el paquete Office internamente. Entre ellos pueden encontrarse el autor del fichero, fecha de creación, número de revisiones realizadas, último usuario en modificar el documento, última vez que se imprimió el documento, nombre de la impresora donde se imprime, ruta completa donde se almacenó el documento, sistema operativo, tiempo total de trabajo con el documento, etc.
Toda esta información permitirá obtener nombres de servidores internos de la organización, nombres de cuentas de usuarios, quién modificó un documento, cuándo lo modificó, desde dónde, qué software se utiliza en una organización, versiones, etc. Como ejemplo de lo sensible que puede resultar esta información, tomaremos de ejemplo el Gabinete de Tony Blair, que en 2003 publicó en un fichero Word información relativa a la infraestructura militar de Irak. Investigando los metadatos del documento, se descubrió que el fichero había sido editado por cuatro civiles de los que aparecieron sus nombres, rutas donde editaron el fichero e impresoras utilizadas. Finalmente se descubrió que el documento había sido plagiado de una antigua tesis de la primera Guerra de Irak, de más de quince años de
antigüedad. Esto puso en duda la veracidad de la información al "reutilizar" documentos oficiales antiguos, y por tanto la capacidad del Gobierno Británico.
¿Qué podemos hacer para evitar esta situación? Es esencial "limpiar" los
metadatos de cualquier documento que se cree o modifique, sobretodo si este va a ser publicado. Microsoft dispone de un complemento/herramienta para Office de fácil instalación llamada "Eliminar Datos Ocultos". Una vez instalado, permite desde el menu "Archivo->Eliminar Datos Ocultos" limpiar de metadatos los ficheros Office.
