¿Te has parado a pensar cuanta información oculta se encuentra dentro de los documentos e imágenes digitales?
Existe mucha información oculta dentro de los documentos y archivos que nos encontramos por Internet. Extraer y analizar esta información nos puede dar pistas muy interesantes para nuestra investigación.
Hoy vamos a hablar de los metadatos: qué son, para qué sirven, dónde se encuentran y qué herramienta podemos usar para extraerlos y analizarlos.
Los Metadatos son datos que están inyectados de manera oculta en cualquier archivo que se genere en un equipo informático bajo cualquier software que edite o modifique ese archivo.
Los casos más comunes de metadatos los podemos encontrar en archivos de Power Point, Word, Excel, PDF, imágenes, etc. Esta inyección de información oculta nos ayuda en tareas de indexación de archivos.
En términos informáticos, hemos visto que podemos definir los metadatos como datos ocultos que hay almacenados en un fichero. Estos datos ocultos tienen como finalidad definir de manera más extensa las características de un fichero.
Un archivo de Word puede contener información adicional en forma de metadatos que no se ve, como por ejemplo:
- Título del documento
- Asunto
- Autor
- Cargo del autor
- Descripción
- Autor de la descripción
- Palabras clave
- Estado de copyright
- Aviso de copyright
- URL de la información sobre copyright, etc.
¿Te das cuenta del potencial que tiene toda esta información?
El uso de los metadatos más frecuente es el de mejorar la velocidad y rendimiento de las búsquedas, pues los buscadores pueden buscar previamente en los metadatos antes de hacerlo en todo el contenido del fichero.
Usando información adicional los resultados son más precisos y el usuario se ahorra filtraciones manuales complementarias.
A continuación te muestro algunos ejemplos:
-Fotografías digitales: la mayoría de nosotros tenemos un smartphone con el que tomamos fotografías. Lo que la mayoría de nosotros no sabemos es que, a la vez que estamos capturando imágenes, nuestro dispositivo está guardando información adicional en forma de metadatos en cada uno de los archivos de imagen como, por ejemplo: fecha, hora, diafragma, velocidad, uso de flash, modo de captura, geoposicionamiento, etc.
-Archivos MP3: los metadatos son toda aquella información extra como: título de la canción, álbum, año, autor, carátula, género, etc.
podemos definir los metadatos como datos ocultos que hay almacenados en un fichero
Toda esta información oculta en los metadatos nos permitirá obtener nombres de servidores internos de la organización, nombres de cuentas de usuarios, quién modificó un documento, cuándo lo modificó, desde dónde, qué software se utiliza en una organización, versiones, etc.
Como puedes observar, cuando nos encontramos realizando una investigación informática, los metadatos aportan información muy valiosa a la investigación, siendo en algunas ocasiones decisivos a la hora de resolver el caso en el que se está trabajando.
¿Cómo podemos extraer y analizar todos estos datos?
Te lo cuento a continuación…
| POST INVITADO |
Hoy tengo el placer de presentarte a Rosario Tíscar Mata (Twitter: @xaryti), ingeniera técnica en informática de sistemas, perito informático y CEO de Ciberforensic.
Tras varios años de esfuerzo y trabajo como perito informático, actualmente compagina el trabajo de peritaje con el de profesora, impartiendo formación sobre investigación y análisis forense informático a varios sectores de las Fuerzas y Cuerpos de Seguridad del Estado.
En este artículo nos va a enseñar a utilizar la herramienta creada por Elevenpaths denominada “FOCA” para encontrar metadatos e información oculta en los documentos.
Te dejo con ella.
Índice de contenido
FOCA
“FOCA (Fingerprinting Organizations with Collected Archives) es una herramienta utilizada principalmente para encontrar metadatos e información oculta en los documentos que examina. Estos documentos pueden estar en páginas web, y con FOCA se pueden descargar y analizar.
Los documentos que es capaz de analizar son muy variados, siendo los más comunes los archivos de Microsoft Office, Open Office, o ficheros PDF, aunque también analiza ficheros de Adobe InDesign, o svg por ejemplo.
Estos documentos se buscan utilizando tres posibles buscadores que son Google, Bing y DuckDuckGo. La suma de los tres buscadores hace que se consigan un gran número de documentos. También existe la posibilidad de añadir ficheros locales para extraer la información EXIF de archivos gráficos, y antes incluso de descargar el fichero se ha realizado un análisis completo de la información descubierta a través de la URL.
Con todos los datos extraídos de todos los ficheros, FOCA va a unir la información, tratando de reconocer qué documentos han sido creados desde el mismo equipo, y qué servidores y clientes se pueden inferir de ellos.”
Fuente oficial: https://bit.ly/1txbOLQ
Podemos descargar esta herramienta desde la web oficial, donde nos ofrece dos opciones de descarga. Yo he elegido para el tutorial la versión menos pesada, que es la disponible desde el enlace que te muestro en la siguiente imagen:
Una vez descargado y descomprimido el archivo .zip, accedemos a la carpeta “bin” y pulsamos doble clic sobre el fichero “FOCA.exe”.
Extraer metadatos de un archivo
La herramienta FOCA nos ofrece un entorno bastante intuitivo y es muy fácil de usar.
Lo primero que vemos al abrir Foca es la siguiente interfaz gráfica:
Lo que queremos hacer es extraer los metadatos de un archivo.
1- Marcamos la opción Metadata del árbol de la izquierda.
2- Seguidamente, seleccionamos el archivo al que queremos extraer los metadatos y lo arrastramos hasta el panel central.
Obtendremos la siguiente vista:
3- Hacemos clic con el botón derecho del ratón sobre el archivo que hemos arrastrado y pulsamos Extract All Matada (extraer todos los metadatos).
4. Una vez que FOCA ha extraído los metadatos del archivo, podemos verlos desplegando la opción Metadata del árbol de la izquierda.
El panel de la derecha nos muestra todos los metadatos obtenidos clasificados por categorías.
En el siguiente ejemplo podemos ver la marca de la cámara con la que se tomó la imagen, la resolución, fecha, hora, etc.
Como se puede observar en el ejemplo, FOCA muestra los metadatos de manera ordenada en forma de listado.
Como contrapunto, si queremos investigar los metadatos de las imágenes de las redes sociales, la cosa no es tan fácil. Las redes sociales, como por ejemplo, Facebook, Instagram o Twitter, realizan un barrido de los metadatos de las fotografías que suben sus usuarios. El motivo principal de este barrido es proteger la privacidad de los usuarios.
Extraer metadatos de una Web
Además de extraer los metadatos de un archivo, FOCA también nos ofrece la opción de obtener todos los archivos que una empresa o entidad tiene en Internet. Además, para agilizar el proceso, tenemos la posibilidad de descargar todos los archivos juntos.
Veamos con un ejemplo cómo sacarle el máximo partido a esta herramienta.
1- Lo primero que tenemos que hacer es crear un proyecto nuevo.
Pulsamos el botón Project y seleccionamos New Project.
Introducimos el nombre de nuestro proyecto en Project Name y el dominio de la web de la que queremos extraer los archivos en Domain website.
En este ejemplo vamos a hacer la extracción de metadatos de la página web elmundo.es. Una vez introducidos los datos le damos a crear proyecto, Create.
2- En el árbol de la izquierda seleccionamos la opción Metadata. Posteriormente, nos fijamos en la esquina superior derecha, donde podemos observar los buscadores Google, Bing y Exalead, es decir, esos son los buscadores que FOCA va a utilizar para analizar los archivos del dominio.
Las siguientes opciones son las extensiones de los archivos. Podemos buscar un solo tipo de archivo o todos los que FOCA nos ofrece. En este ejemplo los dejaremos todos marcados. A continuación pulsamos el botón Search All para comenzar la búsqueda.
3- Si hacemos clic con el botón derecho en cualquiera de los archivos y seleccionamos Dowload comenzará la descarga.
Para este ejemplo hemos descargado sólo 5 archivos de los 776 encontrados. Si observamos el listado, podemos ver que se han encontrado archivos con extensiones pdf, doc, xls, ppt, etc.
Una vez que se ha descargado el archivo, volvemos a hacer clic con el botón derecho sobre el mismo y seleccionamos Extract All Metadata para que FOCA comience a realizar la extracción de los metadatos de ese archivo.
4- En el árbol de la izquierda, debajo del apartado Metadata, aparecen dos subapartados: Documents y Metadata Summary.
- En el apartado Documents irán clasificándose todos los archivos descargados por su extensión. Si pulsamos sobre alguno de ellos podremos ver sus metadatos.
- En la parte de Metadata Summary, irán apareciendo todos los metadatos obtenidos en conjunto, como nombres de usuarios, impresoras, software, e-mail, sistemas operativos, número de revisiones, plantilla usada, etc.
5- Si hacemos clic derecho en Metadata, nos aparecen varias opciones, una de ellas es Export. De esta manera podemos exportar todos los datos obtenidos a un documento externo.
También aparece la opción Analyze. Si pulsamos en ella, FOCA comenzará a analizar todos los metadatos obtenidos. La finalidad de este proceso es crear un mapa de red con todos los metadatos recopilados. El resultado podemos verlo en el apartado Network.
En nuestro ejemplo vemos 2 clientes y 6 servidores, obteniendo así un mapa de red con todos ellos.
Como se muestra en la imagen, de esta manera obtenemos un mapa de red completamente estructurado, conociendo al detalle los usuarios y los servidores que lo forman. De esta manera y mediante el uso de FOCA se puede llegar a obtener toda esta información que podrá servir, por ejemplo, para probar el nivel de seguridad de cualquier empresa.
Sin duda, FOCA es una de las herramientas de extracción de metadatos que no puede faltar en nuestra colección de software para investigación informática.
Otras herramientas de extracción de metadatos
Para hacer un análisis más completo en cuanto a análisis de metadatos se refiere, lo mejor es utilizar varias herramientas ya que, de esta manera, podremos obtener la máxima información.
A continuación os dejo un listado de herramientas web gratuitas para extraer metadatos:
- Jeffrey’s Exif Viewer: es una de las mejores herramientas. Además, utiliza otros estándares para ver los metadatos de otro tipo de formatos.
- Metapicz: esta herramienta es limpia, rápida y suele dar bastante información.
- Exif Data: es una de las herramientas que presenta los datos de manera más completa. Podemos destacar su rapidez y que presenta los datos de un modo muy ordenado en forma de listado.
22 comentarios en «FOCA: herramienta para encontrar metadatos en documentos»
He intentado instalar este programa sin éxito, alguien que lo haya conseguido recientemente me puede decir cómo?
Buenas tardes, por favor alguien sabe el sitio web para descargar la versión liviana del analizador de metadatos FOCA….Gracias
Hola, para aquellos que buscan hacer un análisis de metadatos y no les funciona FOCA, pueden probar con la nueva herramienta Verics, que realiza el análisis de metadatos de un sitio web y resume en un informe las filtraciones de datos personales e información sensible. Más info: https://suments.com/es/verics-es/
hola, he tratado de instalar la herrramienta pero no he podido dao que me indica que necesito tener una conexion a una DB SQL, me podrias ayudar.
gracias
Hola Juan. Parece que ya no está disponible la versión que no necesita DB SQL. No he revisado la versión actual y no puedo ayudarte.
Hola Julian. tengo el mismo problema que Juan Alejandro. Estoy buscado alguna solución. Si encuentro, lo comparto.
Hola cómo estás? estoy buscando exactamente esto, necesito extraer los metadatos de muchísimas fotografías y hacerlo manual me demoraría muchos dias, este programa esta perfecto, pero yo uso MAC 🙁 recomiendas alguno que me funcione para este sistema. gracias!
Gracias Julián por tu artículo
De nada Luis, me alegra que te haya gustado
Hola,
he encontrado esta web para extraer los metadatos de multiples ficheros (imágenes en este caso). Además de extraer la información en un fichero *.csv también permite geolocalizar todas las imágenes. Lo mejor de todo es que es gratis hasta 1000 imágenes.
La web es:
http://www.metadato.org
Hola Juan Carlos, muchas gracias por la aportación, no conocía este servicio
Nunca había utilizado FOCA. Sí otros softwares de edición y eliminación de metadatos. La verdad es que, uséis el que uséis, tener ese control sobre datos tan delicados es clave.
Hola Luis. Totalmente de acuerdo.
FOCA está mas enfocado en la extracción de metadatos de archivos de forma masiva, ya sea online u offline
Hola, Julián. No soy experto informático pero he visto en Internet programas para cambiar los metadatos de un archivo. En mi caso, lo que me interesaría demostrar es que un archivo concreto de Word no ha sido manipulado de ninguna forma y, en concreto, probar que su fecha de última modificación es la que aparece en el archivo y no ha sido alterada. No sé si esto es posible demostrarlo con FOCA o de alguna otra forma. Gracias.
Hola Pascual
Los metadatos pueden ser modificados, no puedo decirte si existe forma de saber si los metadatos de un documento han sido manipulados, eso es más de forense. A ver si alguien puede ayudarte o si encuentras la solución la compartes por aquí, porque es interesante.
Me parece un post realmente interesante. Creo que esta herramienta podría ser útil para saber con qué persona contactar durante un proceso de due diligence en el que hace falta analizar los documentos suministrados y a veces es necesario aclarar ciertos aspectos y saber a dónde dirigirse puede ayudar a ahorrar tiempo y dinero.
Gracias, un saludo.
Hola Jesús, efectivamente con FOCA puedes extraer mucha información de documentos. A veces sorprende toda la información que se encuentra en un documento, tanto en los metadatos, como en el propio texto del documento
Excelente información, yo tengo puesta en mi equipo la Foca Pro y la Foca Open Source. Y hago pequeñas comparaciones de lo que encuentra una y otra. Quería preguntaros si sabéis si existe algun tipo de laboratorio que se pueda usar Foca.
Gracias por la Información.
Gracias Nacho.
¿Y has encontrado diferencias sustanciales entre una y otra en los resultados?
Desconozco si existen laboratorios para pruebas. A ver si alguien nos contesta con esa información porque es interesante.
Un saludo
Lo primero felicitarte por tu web y por tu contenido. Te descubrí hace poco y realmente es sorprendente el repositorio y técnicas que compartes con nosotros.
Me gustaría consultarte a ti o a otros lectores si es posible saltarse (por ejemplo con una VPN) los filtros que aplica Google y entiendo que otros buscadores en las búsquedas para datos personales dentro la Unión Europea en base a nueva Ley de Protección de Datos (https://policies.google.com/faq?hl=es). En muchas búsquedas te devuelve el mensaje: «Es posible que algunos resultados se hayan eliminado de acuerdo con la ley de protección de datos europea».
Saludos y gracias,
Hola Miguel, primero gracias por tu comentario y tus felicitaciones.
No tengo clara la respuesta a tu pregunta. Va a depender de si Google ha retirado el contenido por propia iniciativa a paises de la EU o lo ha hecho bajo petición de un tercero. Si es este segundo caso, el contenido lo habrá eliminado de su buscador, por lo que, imagino que dará igual tener VPN.
PD: por mantener un poco de orden en los comentarios, es conveniente que estos guarden relación con el artículo. Quizás este encajaría más en otros artículos que publiqué sobre Google
Excelente artículo!