ESPECIAL |Análisis de metadatos en la contabilidad filtrada del PP |Lo que no te van a contar…

Para este ejercicio que formará parte de los ejemplos ejemplares de análisis forense de metadatos supondremos que todas son personas distintas – hasta que se demuestre lo contrario – y solo se hace un ejercicio de análisis de metadatos para ver qué sale. Por supuesto, para hacer esta tarea de análisis de más de 5GB de datos nada mejor que Forensic FOCA que para esto se creó.

Los ficheros comprimidos

Los documentos se publicaron en ficheros .ZIP comprimidos, en los que aparecían archivos de miniaturas Thumbs.db, lo que podría significar que se habían creado con un Windows XP o anteriores. En el último de ellos, relativo a la contabilidad de 2011 aparecía sin embargo, entre la compleja estructura de carpetas, un fichero .DS_Store, típico de sistemas operativos Mac OS X, lo que parece que se podría haber hecho desde varios ordenadores el empaquetado de los documentos. Así que hemos de suponer que la persona que los empaquetó, o era una con dos equipos distintos, o fueron dos personas distintas.

Figura 2: Thumbs.db en ZIP de año 1999
Los ficheros descomprimidos
Si se descomprimen los ficheros, aparecen más de 400 documentos en formato PDF. Todos ellos son copias escaneadas de documentos originales, pero tenemos la ventaja de que no han sido limpiados de metadatos, por lo que se puede extraer mucha información de ellos. Para analizarlos con Forensic FOCA se extraen todos y se arrastran a la herramienta. El resto se hace solo.

Figura 3: Lista de documentos publicados

Que aparezcan los ficheros comprimidos con archivos de miniaturas y los documentos PDF con metadatos podrían hacernos pensar que la persona que filtró los documentos en Internet o no es la misma que los escaneó y comprimió – y por tanto no le importa la info que de ahí se pueda extraer – o no tiene un perfil técnico alto, lo que haría pensar más en una filtración de alguien con acceso a los documentos en lugar de un ataque hacktivista.

Las rutas a carpetas
Si miramos al estructura de carpetas que aparecen, es curioso ver unidades como m: o t:, lo que significa que se está utilizando algún tipo de sistema de almacenamiento en red NAS para guardar todos los documentos mientras se escanean. Si hubiera que especular sobre el sistema, parece un scaner/digitalizados/multifunción que come documentos y genera los PDF, pero hay cosas que generan diferencias más adelante.

Figura 4: Rutas a carpetas encontradas en los documentos PDF
El software utilizado
Esta información sí que es relevante, pues además de software muy común como Adobe Acrobat o Adobe Distiler, aparecen versiones de software muy concretas, como EFI Cyclone o Developer Express Inc.
Figura 5: Software de creación de documentos PDF encontrado
La primera de ellas es especialmente llamativa, pues es software de impresión profesional que se usa en impresoras de gama alta utilizadas en centros de reprografía de documentos. La lista de equipos que incorporan estas librerías de EFI puede consultarse en la web del fabricante. Nitro PDF Professional tampoco es un software demasiado común, y la versión 6 es bastante antigua.
Las fechas de creación de los documentos
Tras analizar cuándo se crearon y modificaron los documentos, puede verse como se crean y modifican los ficheros PDF. Esto es algo típico de documentos creados página a página, es decir, se digitaliza la página 1 y se crea el documento, luego se digitaliza la página 2, y se modifica el documento PDF anterior.
Figura 6: Sección de fechas de creación y modificación de documentos
Las fechas de creación de estos documentos digitalizados comienzan a hacerse en serie a partir del 8 de Febrero de 2013 en adelante, lo que parece que se hizo a conciencia, ya que hay miles de páginas entre todos los documentos.

Figura 7: Algunos documentos creados el 7 y 8 de Julio
Los usuarios
No aparecen usuarios en casi ningún documento, pero hay 4 de ellos en los que sí. En uno de ellos aparece un genérico Administrador, pero en otros tres documentos aparece el nombre de un usuario MAGomezc.
Figura 8: Usuarios encontrados en documentos PDF
Este nombre, que parece algo similar a Miguel Ángel Gómez C., Marco Antonio Garmendia Crespo o cualquiera de ese estilo, aparece en tres documentos digitalizados en el año 2008, es decir, hace 5 años, pero que podría indicar a una persona concreta.
Figura 9: Un documento digitalizado por MAgomezc en el año 2008
Por supuesto, este metadato sólo dice que se escaneo desde un equipo en el año 2008 en el que el usuario que estaba trabajando con ese Adobe Acrobat PDF Maker 7.0 era MAgomezc.
Al final, serán los investigadores de este caso los que tendrán que casar software con equipos personales de personas o tiendas, modelos de impresoras/digitalizadoras con dueñas, y nombres de usuarios con personas, pero esa ya es labor policial y queda lejos de nuestro objetivo por ahora.
Anuncios

2 thoughts on “ESPECIAL |Análisis de metadatos en la contabilidad filtrada del PP |Lo que no te van a contar…

  1. CON LA TDT LAS CORPORACIONES Y ESTADOS ESTÁN HACIENDO UNA LABOR INFAME. LA TDT ESCANÉA TU HOGAR Y ELIGE VÍCTIMAS (SOBRE TODO NIÑOS Y ANCIANOS) PARA VOLVERLOS “MAJARAS” Y CONSEGUIR QUE HAGAN TODO TIPO DE LOCURAS O PARA QUE LOS MISMOS FAMILIARES LOS INGRESEN EN PSIQUIÁTRICOS O LOS MEDIQUEN. SI TU HIJO DICE COSAS RARAS DE LA TELE O LA ABUELA CREE QUE LOS PERSONAJES LE HABLAN DIRECTAMENTE A ELLA PUEDE SER QUE NO SEA EXCESO DE IMAGINACIÓN O DEMENCIA SENIL, PUEDE SER QUE ESTÉN INTENTANDO MANIPULARLOS, LA TECNOLOGÍA PARA HACERLO ES CADA VEZ MÁS SOFISTICADA Y FUERA DEL ALCANCE DE LA GENTE CORRIENTE. ES NECESARIO INVESTIGAR ANTES DE DESPRECIAR UNA INFORMACIÓN O SOMOS CARNE DE CAÑÓN.

    Me gusta

Comentarios:

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s