viernes, febrero 21, 2014

Los metadatos del documento de Interviú en el caso Noos

Esta semana la noticia en el mundo de los metadatos vino de la revista Interviú que publicó un extenso artículo en el que explica cómo un documento apuntaría a que la estrategia de defensa de la infanta lo diseñó el propio fiscal anticorrupción, algo un poco insólito. Dejando a parte la parte más mediática, mi objetivo era intentar seguir la pista y ver los documentos, pero os prometo que no me ha sido fácil. No obstante, os dejo aquí la explicación de la noticia por si os pudiera venir bien.

Figura 1: El artículo en la revista Interviú

El documento confidencial

El origen de todo el caso parte de un documento de 5 páginas en formato electrónico al que habría tenido acceso la revista Interviú y en el que se explica la estrategia a seguir en la defensa de la infanta. Ese documento no lo he encontrado por ningún lado, pero hemos de suponer que es correcto. De él  solo tenemos esta captura que he intentado maximizar todo lo posible.

Figura 2: El documento confidencial que no ha sido publicado

En él, supuestamente se podría ver que el autor del mismo era pha y que había sido modificado a posteriori por otro usuario que atendía al nombre de maesteban. A partir de ese momento el artículo de Interviú intenta localizar estos dos usuarios en otros documentos del Caso Noos.

El usuario 'pha'

Llamándose Pedro Horrach Arrom el fiscal anticorrupción de Baleares, no parece muy complicado asumir que ese usuario corresponde a su persona. Encontrar un documento del fiscal con este usuario no es complicado, aunque tampoco fácil ya que la fuente original remitía a ABC.ES pero allí no lo he encontrado con facilidad. No obstante, sí he localizado el documento que citan en en la web de El País. Usando FOCA Online con él se puede ver cómo el usuario es efectivamente pha.

Figura 3: El usuario pha en el documento de apelación que hay en El País

Sin embargo, una copia del mismo documento en formato PDF publicada en la web de RTVE da como resultado otros usuarios distintos, con la misma fecha de modificación pero solo con unos minutos después.

Figura 4: El mismo documento modificado unos minutos después.

El usuario 'maesteban'

El segundo de los usuarios que aparece está supuestamente en un documento que remite el fiscal Pedro Horrach al juez solicitando la comparecencia de los peritos de Hacienda. En el artículo de Interviú se hace referencia a un documento que he encontrado en El Mundo donde sí aparecen esos metadatos.

Figura 5: Los metadatos en el documento de El Mundo

Sin embargo, el mismo documento en  El País aparece con un usuario distinto al que dice Interviú y con una fecha de modificación posterior. 

Figura 6: Los metadatos en el documento de El País no corresponden con los de El Mundo

Reflexión final sobre la adquisición de los metadatos

Los metadatos pueden ser un buen indicio para sacar buenas conclusiones sobre relaciones personales o entre empresas, como hemos visto muchas veces en la lista de Análisis Forense de metadatos: Ejemplos ejemplares, pero en este caso he de decir que creo que falta la publicación del documento confidencial para poder contrastar toda esta información.

Si el documento confidencial hubiera sido publicado por los propios que generan el documento, quedarían expuestos con su propio documento tal y como le pasó a Tony Blair. Sin embargo, al ser este documento proporcionado por unas fuentes externas, alguien con no necesariamente muchos conocimientos podría haber manipulado el documento confidencial de 5 páginas para poner en él lo que hubieran querido y luego decir que es el original

Por desgracia, los metadatos se pueden manipular fácilmente, y es por ello que la manera de conseguirlos es fundamental a la hora de entender que tal modificación no hubiera tenido sentido. Para dejar claro esta apreciación, solo hay que ver el ejemplo del Caso Gurtel donde los peritos dijeron que las facturas que entregaron desde Gurtel eran falsas porque los metadatos decían que se habían creado con pocos minutos de separación.

¿Tendría sentido que los propios imputados manipularan los metadatos para auto-implicarse? No lo creo. Por el contrario, en este caso donde no se conoce muy bien la fuente del documento confidencial, la pregunta no queda tan claramente respondida.

Todo esto, queda muy lejos de querer convertirse en una opinión de defensa o ataque hacia cualquiera, es simplemente una apreciación técnica que como perito alguien debe hacerse en una situación en la que no se conoce muy bien el origen de la información. Es por ello que en el libro de Análisis Forense Digital, Juan Garrido deja muy claro que la adquisición de la información en un caso forense es clave para que sea útil o no lo que del análisis se obtenga.

Saludos Malignos!

5 comentarios:

  1. No veas con los datos de los datos...a ver si yega Pentesting con Foca...XD!e indagamos en profundidad sobre el tema,ya que se me escapan cientos de cosas, la cuales estoy seguro se exclareceran, me pillo el finde aing! :( y ya hasta el lunes, nanai de la china...Muchas gracias Master ;) y disculpen las faltas de ortografia, nadie es perfecto,
    Firma: Nadie

    ResponderEliminar
  2. De metadato a metadato y tiro por que me toca.

    ResponderEliminar
  3. La pregunta que se antoja necesaria es la siguiente, cómo un perito puede llegar a saber si los metadatos originales de un documento han sido alterados o no...
    ¿Hay alguna manera de saberlo y que se pueda argumentar en un juicio?

    ResponderEliminar
  4. Algún día la gente será consciente de la cantidad de información que añadimos sin querer. Muy buena la entrada, a ver que dice ahora el fiscal.

    ResponderEliminar
  5. La forma de asegurar de forma fehaciente que los metadatos de un documento electrónico no han sido alterados es a través del uso de firma electrónica. En el se realiza un hash del documento (en el incluídos los propios metadatos) y se firma con la clave privada. Para esto claro, hay que confiar en la cadena de certificación y la correspondiente Entidad Certificadora.

    ResponderEliminar