Revista SICES Primer Edición | Page 73

S I C E S
TABLA 2
Riesgos según los metadatos .
Metadatos
Versiones de sistemas operativos y programas
Consultas a bases de datos
Hipervínculos
Objetos incrustados
Nombre de usuario
Riesgos de los metadatos
Los metadatos contienen información útil , sin embargo , la exposición de forma inadecuada puede servir para debilitar la seguridad en una organización o comprometer la identidad de una persona natural . Un atacante puede revisar los metadatos dejados en archivos digitales y establecer cuál puede ser su estrategia para el ataque .
A continuación ( ver Tabla 2 ), se muestran algunos riesgos de seguridad , de acuerdo con los metadatos que pueden filtrarse , según ( Hidden Data : Metadata , 2014 ).
Riesgos
Es posible que un atacante utilice vulnerabilidades de seguridad pertenecientes a la versión específica de software , los cuales se denominan exploit .
En archivos de Excel se puede posibilitar a usuarios no autorizados que puedan consultar a una base de datos .
Dejan al descubierto rutas o datos de los objetos incrustados , incluso en documentos que han sido cifrados .
Se exponen los recursos de una red local , sometiendo a una organización a acceso de intrusión directo o mediante ingeniería social .
Representa una potencial violación de la privacidad .
Análisis forense
En los siguientes casos se exponen ataques suscitados o herramientas que utilizan alguna vulnerabilidad de los metadatos .
Microsoft Word pone en ridículo al Gobierno Británico
En el año 2003 , el Primer Ministro Británico Tony Blair presentó un informe , recibido de los servicios de inteligencia de Estados Unidos sobre la amenaza que podría presentar Irak , con relación a su supuesta tenencia de armas de destrucción masiva . Se manifestó que el documento no había sido modificado . Creado con Microsoft Office Word , se guardaron metadatos de forma oculta , pero visibles mediante un software específico . Los metadatos revelaron quiénes y cuando modificaron el documento dentro del Gobierno Británico , dejándolos en evidencia ( Molist , 2003 ).
Hacker identificado por fotografía
Entre 2011 y 2012 ocurrieron diversos ciberataques a sitios del gobierno estadounidense , donde se obtuvo bases de datos de la policía , las cuales revelaban identidades y direcciones de agentes policiales . El atacante utilizó como firma de su delito una fotografía de una mujer , en el que sostenía un cartel con mensajes alusivos a la intrusión . Investigadores del Buró Federal de Investigación ( FBI ) detectaron que dicha imagen contenía metadatos denominados « Formato de Archivo de Imagen Intercambiable » ( EXIF ), usado en las cámaras digitales . Estos metadatos contienen información sustancial , como ser : el tipo de cámara y su configuración al realizar la toma , fecha y hora de su creación y , en algunos casos , la ubicación geográfica donde se creó la fotografía . En este caso se estableció que la imagen fue tomada con un iPhone , en la ciudad de Melbourne , Australia . La dirección exacta ubicó a una mujer , rastreada a través de su perfil de Facebook que resultó ser la novia del atacante ( Bertrand , 2015 ).
Siguiendo a Steven Wozniak
Steven Wozniak , cofundador de Apple utilizó una aplicación llamada Foursquare , la cual localiza sitios de interés para el usuario por medio de la geolocalización . Además , posteaba dichos sitios en Twitter , la cual es otra red social . Al utilizar las publicaciones en Twitter como entrada de los datos para un software denominado Creepy Data , alguien pudo conocer a detalle los lugares y el momento en que fueron frecuentados por Wozniak . De esta manera se logró describir patrones de visita , esta información puede ser útil para acosadores ( Eleven Paths , 2011 ).
Sé dónde vive tu gato
Ya se ha establecido que una fotografía puede contener dentro de sus datos EXIF la ubicación GPS del lugar donde fue tomada . Debido a esto se han creado iniciativas para aprovechar esta situación . Para el caso existe un sitio web denominado iknowwhereyourcatlives . com , el cual se dedica a mostrar en
73