Home / Node / Los Metadatos en las webs de empresas

Los Metadatos en las webs de empresas

Posted on 11/26/2013, by Juan D. Peláez (INCIBE)
Meatadatos en la web

Los recientes casos de espionaje sacados a la luz por el ex analista de la NSA Edward Snowden, sobre los millones de metadatos que supuestamente han sido analizados fueron obtenidos de llamadas telefónicas, correos electrónicos, etc. Estos datos podrían hacer un retrato perfecto de la vida de muchas personas.

No solamente se puede espiar a través de las redes telefónicas, también se puede espiar la información oculta en documentos que publican empresas y organismos en sus páginas webs, y que muchas veces ellos mismos desconocen. Nos sorprenderíamos de la cantidad de información sensible que se puede extraer de una web.

Otros casos escandalosos sacados a la luz tras analizar metadatos, fueron las supuestas mentiras de Tony Blair en relación a la guerra de Iraq, o el simpático caso del la guía de instalación de Linux escrita en Word, incluso en el plano nacional los supuestos casos de documentos de partidos políticos, contabilidades y facturas de empresas, pliegos de contratación, que tras analizar sus metadatos supuestamente fueron elaborados en fechas inconsistentes, o por personas de empresas adjudicatarias, becarios, etc.

Estos casos revelan el creciente auge que está teniendo el análisis de metadatos por parte de grupos interesados para, entre otras finalidades, dañar la imagen pública de personas, empresa y organismos. Todo esto es lo que sale a la luz pública, pero a través de los metadatos también puede ser posible acceder a los sistemas informáticos de las organizaciones, con fines delictivos.

En el ámbito empresarial, estándares de seguridad como la norma ISO/IEC 27001 recomiendan establecer un proceso de revisión y aprobación antes de hacer públicamente accesible la información. Y de forma más específica, para la Administración Electrónica, el R.D. 3/2010 por el que se regula el ENS dispone, la obligatoriedad de establecer un procedimiento para la limpieza de todos los documentos publicados.

¿Qué podemos encontrar en los metadatos?

Lo más común que se puede encontrar analizando metadatos son nombres de empleados, nombres de cuentas de usuarios de sistemas informáticos, fechas de creación y modificación, coordenadas GPS de geolocalización en fotografías, versiones de software, rutas de directorios, e-mails, direcciones MAC de tarjetas de red, direcciones IPs, contraseñas, etc., que la propia empresa ha publicado y que en muchos casos incluso desconoce que están allí. Con toda esta información, se podría construir un mapa de red perfectamente estructurado con datos de servidores, clientes, usuarios, etc.

¿Dónde podemos encontrar los metadatos?

Principalmente analizando «los datos ocultos»: metadatos, que en muchas ocasiones vienen en ficheros (PDFs, DOCs, etc.) y que se publican en la web de la empresa. Para obtener esta información, estos ficheros, pueden analizarse con herramientas de fingerprinting e information gathering.

¿Por qué le interesan los metadatos a un atacante?

La primera “meta” de un atacante es acceder a los sistemas de su víctima. Para ello, la extracción y análisis de estos metadatos son una de las tareas previas de cualquier atacante que quiera acceder a los sistemas. Con ello se facilita entre otras, la tarea de descubrimiento de contraseñas (utilizando métodos como ataques de diccionario, de fuerza bruta,..), o para realizar ataques de ingeniería social, o incluso para, en base a las versiones de software detectadas saber que Exploit utilizar para la explotación de vulnerabilidades.

Por este motivo, se debe de tener mucha precaución a la hora de publicar en la página web corporativa, documentos con metadatos, que de manera individual aparentemente no representan un gran riesgo, pero que si se analizan de forma conjunta pueden representar una seria vulnerabilidad para los sistemas de la organización.

Un caso real – Prueba de Concepto

En la prueba de concepto realizada podemos ver la información extraída de una web mediante la herramienta FOCA. Esta herramienta automatiza las búsquedas de ficheros en Google, Bing y Exalead, para detectar varios tipos de documentos.

Ejemplo Metadatos con FOCA

Una vez descargados los documentos y extraídos los metadatos, la herramienta ha sido capaz de extraer más de 70 usuarios distintos.

Ejemplo de Metadatos extraídos con la Herramienta FOCA

Y tras analizar estos metadatos, la herramienta permite crear una estructura de servidores y equipos clientes asociándoles, el S.O., impresoras, Software instalado, etc. Esto permite a un atacante en pocas horas hacerse una idea de lo vulnerable que puede ser la organización.

Ejemplo de Metadatos extraídos con la Herramienta FOCA

¿Cómo se pueden proteger los empleados de una empresa?

En este sentido, la concienciación es fundamental. La principal recomendación para evitar que se publiquen en una página web documentos con metadatos que no quieren hacerse públicos, es su limpieza individual previa a la publicación de los ficheros. En función de cada tipo de fichero, Microsoft Office, adobe, etc., el responsable de cada fichero, puede realizar esta tarea mediante la visualización, y eliminación de metadatos que suelen encontrarse en la opción de “propiedades del documento”.

¿Qué tienen que hacer los administradores de la web de la empresa?

Para realizar la tarea de limpieza de metadatos de forma más organizada y global, es recomendable también establecer un procedimiento para limpiar los documentos que van a ser, o que están publicados en la web, apoyándose en herramientas de identificación y eliminación, por parte de los administradores del portal web corporativo.

Entre estas las herramientas a evaluar para esta tarea, por parte de los administradores web, se encuentran:

  • BatchPurifier: utilidad que detecta y elimina de una pasada la información oculta en documentos.
  • Exif Viewer: para visualizar metadatos de imágenes y fotografías.
  • FOCA: para encontrar y limpiar Metadatos e información oculta en documentos de Microsoft Office, Open Office y otros documentos (PDF, PS, EPS,…) sobre un directorio o url.
  • Libextractor: para extraer metadatos de cualquier tipo de archivo.
  • Metadata Analyzer: que permite analizar documentos Microsoft Office y Adobe pdf.
  • Microsoft Remove Hidden Data: para eliminar metadatos de Microsoft Office.

También es recomendable disponer de herramientas de seguridad bien configuradas, para detectar y frenar este tipo de accesos (Firewalls, IDS/IPS, etc.), estableciendo reglas para detectar y frenar que se produzcan escaneos de este tipo.

Si quieres mantener a salvo tus metadatos vigila los documentos que subes y que no te adelanten en la línea de meta.