Qué son los metadatos
Podemos encontrar metadatos en prácticamente cualquier fichero digital: documentos de texto, hojas de cálculo, fotografías, vídeos, audios y canciones, etc…
En el caso de documentos ofimáticos, los metadatos pueden almacenar información de quién lo creó, quién lo modificó, quien realizó el último acceso al documento y las fechas correspondientes, tiempo que ha tardado en editarse el documento, dispositivo o software utilizado para la creación del documento, o compañía y departamento al que pertenece.
La principal razón para crear metadatos es facilitar la búsqueda de información relevante utilizando diversos criterios de búsqueda. Los metadatos pueden ayudar a organizar los documentos electrónicos, facilitar la interoperabilidad entre organizaciones, proveer la identificación digital y dar soporte a la gestión del ciclo de vida de los documentos.
Los metadatos normalmente se encuentran ocultos y no son visibles usando la configuración estándar de la aplicación con la que estemos trabajando sobre el archivo. Para visualizarlos es necesario establecer una configuración específica o incluso utilizar un software específico para revelar esos datos ocultos.
En el caso de los documentos ofimáticos, además de los metadatos, también puede existir otro tipo de información oculta en el propio contenido del documento, como por ejemplo texto y objetos formateados como invisibles, datos fuera del área de visión del documento, o información relativa a comentarios y cambios de revisión e identidad de quién realizó cada uno de ellos. Esto normalmente se conoce como Información oculta o Datos ocultos y puesto que no es visible a simple vista, el usuario puede no ser consciente de su existencia y supone igualmente un riesgo en caso de que el documento sea distribuido a personal ajeno a la organización.
Por lo tanto, y dado que el canal de difusión de los archivos de información es cada vez mayor, las personas y las organizaciones deben establecer medidas para proteger su información privada y confidencial. Parte de esas medidas de protección exigen procedimientos y herramientas de revisión y limpieza de documentos y archivos, para minimizar el riesgo de que información sensible se revele a través de metadatos o datos ocultos.
Metadatos en Documento ofimáticos y PDF
Este tipo de documentos, contienen metadatos embebidos a través de las propiedades del documento. Estos metadatos contienen información como: título, asunto, comentarios, etiquetas, autor, fechas de creación y modificación, fecha de impresión, último usuario que modificó el documento, tiempo de edición, estadísticas, etc.
Los metadatos en las propiedades de los documentos pueden ser estándar (metadatos prefijados por el programa) cumplimentados por el programa de forma automática, o de forma manual por el usuario o la organización. También pueden ser metadatos personalizados, que son tipos específicos de metadatos que el usuario o la organización crean y cumplimentan.
Estos documentos, además de contener metadatos en sus propiedades, pueden llevar asociados metadatos más específicos en diversos formatos (XMP, RDF, etc.), bien embebidos en el documento, bien separados de él (por ejemplo, en ficheros aparte que se denominan “sidecar files”).
Riesgos y Amenazas
Los metadatos son una fuente de riesgo, ya que pueden contener información sensible que no debe revelarse a personal ajeno a la organización. Por ello, es necesario que las organizaciones y los usuarios sean conscientes del riesgo que supone la fuga de esta información sensible, como datos de clientes, propiedad intelectual, detalles financieros o cualquier otra información que dar a conocer resulte un inconveniente para la organización.
La siguiente figura muestra un ejemplo del impacto que podría causar el exponer cierta información almacenada en los metadatos de un documento.
Figura 1.- Ejemplo de un documento que revela información sensible a través de los metadatos de las propiedades del documento.
Como vemos en la figura, las implicaciones y la severidad del riesgo, varía dependiendo del tipo de información que pueda ser desvelada o deducida. En el mejor de los casos, sólo dañará la reputación de la organización (por ejemplo, en caso de que el cliente deduzca que ha recibido un documento cuyo contenido ha sido copiado de otro). En el peor de los casos, podría conducir a invalidar contratos, pleitos, sanciones o causar serios perjuicios a la organización.
La ingeniería social utiliza multitud de métodos y técnicas, y los metadatos y datos ocultos, son un medio muy útil para estos fines, ya que de forma relativamente sencilla se puede extraer gran cantidad de información valiosa sobre la organización para utilizar en posteriores ataques.
La ingeniería social en el contexto de la seguridad de la información, se puede definir como el arte de averiguar información sensible y/o manipular a los individuos para realizar ciertas acciones, que resulten en una brecha en la seguridad de la organización.
En el caso de los documentos ofimáticos y PDF, los metadatos y datos ocultos pueden contener información como: nombre, iniciales o incluso nombre de usuario (username) que ha creado o modificado el documento, nombre del ordenador, su sistema operativo y el programa que ha creado el documento, direcciones de correo electrónico, etc. De esta manera, podrían utilizarse estos datos para realizar diferentes acciones:
- A través de los nombres de empleado y complementando con la búsqueda en redes sociales (por ejemplo, LinkedIn), se puede obtener todo un listado de empleados de la organización, sus cargos, e incluso sus correos electrónicos, lo cual puede servir para ataques de phishing.
- A través del sistema operativo y las aplicaciones que utilizan los ordenadores, se puede conocer el entorno tecnológico de la organización y realizar ataques dirigidos más efectivos.
- A través de los nombres de usuario (usernames), se puede deducir la convención de nombres empleada en la organización y componer direcciones de correo para ataques de phishing o intentar ataques de fuerza bruta.
A continuación, se incluye una tabla con algunos metadatos y datos ocultos que pueden estar presentes en los documentos y sus riesgos asociados.
El uso de las herramientas automáticas de inspección y borrado de metadatos puede reportar grandes beneficios a la organización:
- Reducción del riesgo, al depurar los metadatos de los documentos de forma automática antes de que puedan ser distribuidos fuera de la organización evitando costes financieros o daño en la reputación.
- Incremento de la seguridad, ya que previenen de revelar información privada o sensible.
- Ahorro de tiempo, ya que al ser automáticas evitan repetir las actividades que supone depurar de forma manual los documentos.
- Cumplimiento de normativas y regulaciones y cumplimiento de la Política de Gestión Documental de la organización.
MetaClean ofrece distintas soluciones automáticas para el procesamiento automático de Metadatos, tanto para Servidores Web y Servidores de Ficheros como para clientes de correo electrónico (Outlook).
MetaClean Sync detecta en tiempo real cuando se ha creado o modificado un fichero y le aplicará la política de metadatos establecida.
Se ejecuta como un servicio en segundo plano para monitorizar automáticamente las unidades de disco seleccionadas sobre los tipos de ficheros especificados (Microsoft Word, Excel, PDF, etc.), y todo esto de forma transparente y sin intervención por parte del usuario.
MetaClean Sync se posiciona como la solución integral para evitar la fuga de información sensible que se produce al compartir documentos, pues todos los ficheros serán sanitizados antes de que estos sean compartidos por cualquiera de los medios disponibles (email, redes sociales, Servidores WEB/FTP, etc.).
REFERENCIAS