Antes de comenzar a leer este artículo, quiero dejar claro que esto no
es más que un ejercicio técnico de revisión de documentos, y que un
informe pericial podría sacar mucha más información. Es cierto que con tal cantidad de documentos filtrados, era imposible no pensar en analizar los metadatos
de todos ellos para ver qué se podía extraer en global de todos ellos,
pero desconocemos si fue la misma persona la que los escaneó, los
empaquetó en ficheros .ZIP y la que los filtró en Internet. Vamos a hacer un pequeño análisis forense digital, a ver qué sale.
Figura 1: Vídeo-Tutorial de Forensic FOCA
Para este ejercicio que formará parte de los ejemplos ejemplares de análisis forense de metadatos
supondremos que todas son personas distintas - hasta que se demuestre
lo contrario - y solo se hace un ejercicio de análisis de metadatos para ver qué sale. Por supuesto, para hacer esta tarea de análisis de más de 5GB de datos nada mejor que Forensic FOCA que para esto se creó.
Los ficheros comprimidos
Los documentos se publicaron en ficheros .ZIP comprimidos, en los que aparecían archivos de miniaturas Thumbs.db, lo que podría significar que se habían creado con un Windows XP o anteriores. En el último de ellos, relativo a la contabilidad de 2011 aparecía sin embargo, entre la compleja estructura de carpetas, un fichero .DS_Store, típico de sistemas operativos Mac OS X,
lo que parece que se podría haber hecho desde varios ordenadores el
empaquetado de los documentos. Así que hemos de suponer que la persona
que los empaquetó, o era una con dos equipos distintos, o fueron dos
personas distintas.
 |
| Figura 2: Thumbs.db en ZIP de año 1999 |
Los ficheros descomprimidos
Si se descomprimen los ficheros, aparecen más de 400 documentos en formato PDF. Todos ellos son copias escaneadas de documentos originales, pero tenemos la ventaja de que no han sido limpiados de metadatos, por lo que se puede extraer mucha información de ellos. Para analizarlos con Forensic FOCA se extraen todos y se arrastran a la herramienta. El resto se hace solo.
Que aparezcan los ficheros comprimidos con archivos de miniaturas y los documentos PDF con metadatos podrían hacernos pensar que la persona que filtró los documentos en Internet o no es la misma que los escaneó y comprimió - y por tanto no le importa la info que de ahí se pueda extraer - o no tiene un perfil técnico alto, lo que haría pensar más en una filtración de alguien con acceso a los documentos en lugar de un ataque hacktivista.
 |
| Figura 3: Lista de documentos publicados |
Que aparezcan los ficheros comprimidos con archivos de miniaturas y los documentos PDF con metadatos podrían hacernos pensar que la persona que filtró los documentos en Internet o no es la misma que los escaneó y comprimió - y por tanto no le importa la info que de ahí se pueda extraer - o no tiene un perfil técnico alto, lo que haría pensar más en una filtración de alguien con acceso a los documentos en lugar de un ataque hacktivista.
Las rutas a carpetas
Si miramos al estructura de carpetas que aparecen, es curioso ver unidades como m: o t:, lo que significa que se está utilizando algún tipo de sistema de almacenamiento en red NAS
para guardar todos los documentos mientras se escanean. Si hubiera que
especular sobre el sistema, parece un scaner/digitalizados/multifunción
que come documentos y genera los PDF, pero hay cosas que generan diferencias más adelante.
 |
| Figura 4: Rutas a carpetas encontradas en los documentos PDF |
El software utilizado
Esta información sí que es relevante, pues además de software muy común como Adobe Acrobat o Adobe Distiler, aparecen versiones de software muy concretas, como EFI Cyclone o Developer Express Inc.
 |
| Figura 5: Software de creación de documentos PDF encontrado |
La primera de ellas es especialmente llamativa, pues es software de
impresión profesional que se usa en impresoras de gama alta utilizadas
en centros de reprografía de documentos. La lista de equipos que
incorporan estas librerías de EFI puede consultarse en la web del fabricante. Nitro PDF Professional tampoco es un software demasiado común, y la versión 6 es bastante antigua.
Las fechas de creación de los documentos
Tras analizar cuándo se crearon y modificaron los documentos, puede verse como se crean y modifican los ficheros PDF.
Esto es algo típico de documentos creados página a página, es decir, se
digitaliza la página 1 y se crea el documento, luego se digitaliza la
página 2, y se modifica el documento PDF anterior.
 |
| Figura 6: Sección de fechas de creación y modificación de documentos |
Las fechas de creación de estos documentos digitalizados comienzan a hacerse en serie a partir del 8 de Febrero de 2013 en adelante, lo que parece que se hizo a conciencia, ya que hay miles de páginas entre todos los documentos.
 |
| Figura 7: Algunos documentos creados el 7 y 8 de Julio |
Los usuarios
No aparecen usuarios en casi ningún documento, pero hay 4 de ellos en los que sí. En uno de ellos aparece un genérico Administrador, pero en otros tres documentos aparece el nombre de un usuario MAGomezc.
 |
| Figura 8: Usuarios encontrados en documentos PDF |
Este nombre, que parece algo similar a Miguel Ángel Gómez C., Marco Antonio Garmendia Crespo o cualquiera de ese estilo, aparece en tres documentos digitalizados en el año 2008, es decir, hace 5 años, pero que podría indicar a una persona concreta.
 |
| Figura 9: Un documento digitalizado por MAgomezc en el año 2008 |
Por supuesto, este metadato sólo dice que se escaneo desde un equipo en el año 2008 en el que el usuario que estaba trabajando con ese Adobe Acrobat PDF Maker 7.0 era MAgomezc.
Al final, serán los investigadores de este caso los que tendrán que
casar software con equipos personales de personas o tiendas, modelos de
impresoras/digitalizadoras con dueñas, y nombres de usuarios con
personas, pero esa ya es labor policial y queda lejos de nuestro
objetivo por ahora.
Saludos Malignos!
Fuente: Un informático en el lado del mal.
Fuente: Un informático en el lado del mal.
