Los datos EXIF de la evidencia digital
November 09, 2022 | 7 minutes read
Los datos EXIF, cuyas siglas significan Archivo de Imágenes Intercambiables, son un tipo de metadato. Como ya mencionamos en nuestro artículo sobre los metadatos, estos son una especie de tarjeta de biblioteca que categoriza datos específicos sobre la evidencia digital y ayuda a la autenticación e identificación de su origen. Los datos EXIF son metadatos específicos de las fotografías y las secuencias de video y proporcionan un nivel de detalle adicional que ayuda a confirmar ciertos aspectos de la evidencia digital. Sin embargo, como todo lo que está hecho por el hombre, estos datos son susceptibles a ser manipulados. En este artículo nos referiremos a los pro y los contra de los datos EXIF y cómo usted puede utilizarlos para mejorar su trabajo.
¿Qué información contienen los datos EXIF?
Los datos EXIF de las cámaras digitales y de las aplicaciones para cámaras (por ejemplo, las utilizadas en los teléfonos móviles) incluyen el modelo de la cámara, el número de serie, el ajuste de la exposición, la fecha y la hora en que se tomó la imagen, las coordenadas y el identificador del GPS, la latitud y la longitud, la altitud, la marca de tiempo del GPS, una descripción de la imagen e información sobre el software y el autor del material. En el caso de las cámaras de video, existen categorías de datos capturados adicionales como: la apertura, la exposición, la sensibilidad a la luz, el balance de blancos, y si se utilizó un modo de escena y la etiqueta dada a dicho modo.
Hay algunas partes de los datos EXIF que pueden ser manipuladas por el usuario, por lo que no pueden considerarse absolutamente fiables. Como la descripción de la imagen, la fecha y la hora, el autor y, en algunos casos, la marca de tiempo del GPS pueden cambiarse a través de los ajustes mucho antes de que se tomen las fotografías, esto conduce a resultados de datos sesgados tras un examen inicial. También hay usuarios que saben cómo eliminar los datos EXIF antes de difundir las fotografías o los videos, de modo que cuando se analiza el archivo, aparecen muchos espacios en blanco. Además, hay algunos modelos de dispositivos que requieren una configuración completa por parte del usuario antes de su utilización y si el usuario no realiza dichos pasos, el dispositivo puede seguir utilizándose con fines fotográficos, pero los campos de datos quedan en blanco.
Muchas de estas consideraciones están cambiando con el tiempo y la necesidad de una configuración completa antes de usar un dispositivo se está convirtiendo en una rareza. Además, las funcionalidades de eliminación general de los metadatos escasean porque ha habido problemas con la infracción de los derechos de autor por parte de los fotógrafos y en ciertas oportunidades la responsabilidad ha recaído indirectamente en el fabricante del dispositivo. Las empresas se han tomado en serio esta situación y han encontrado la manera de reducir su exposición a las demandas que las acusan de apoyar a los ladrones de propiedad intelectual. Pero esto no significa que todas las manipulaciones de datos han desaparecido. Por eso debemos asegurarnos de que al analizar los datos EXIF, nos mantenemos al tanto de las tendencias y los signos de manipulación, para garantizar que la información obtenida nos ponga sobre la pista del delito y su perpetrador.
¿Qué nos dicen estos datos?
La información de los datos EXIF puede ser muy útil para localizar la procedencia de la evidencia. Las funcionalidades GPS mencionadas crean datos geoetiquetados y en los últimos años ha habido un temor a gran escala de que algunas personas malintencionadas utilicen los datos geoetiquetados para acosar a usuarios desprevenidos de las redes sociales. De hecho, ha habido varios casos de violencia muy publicitados atribuidos al uso de estos datos. Muchos de los servicios que se han creado desde entonces, como Instagram y Pinterest, intentan eliminar esos datos e impiden la descarga de las imágenes que los usuarios publican. Sin embargo, algunos de dichos datos aún pueden recuperarse al inspeccionar los elementos de la página web en la que se publicaron las imágenes. Esto puede resultar útil para las fuerzas del orden. Los servicios de terceros, como los mencionados anteriormente, cuando escanean las imágenes que se les envían para cargarlas, conservan los datos de las etiquetas geográficas. De ser necesario, se les puede citar judicialmente con el objetivo de recuperar todos los datos asociados a una imagen. Sin embargo, aunque eso puede ser necesario para la formalidad del caso, se puede perfectamente inspeccionar los datos de la página web, descubrir el lugar donde se tomó una foto en particular y ver si esa ubicación puede utilizarse para exonerar a un sospechoso o confirmar su participación en un crimen.
Cuando se trata de recuperar dispositivos, no tenemos una página web que inspeccionar. Pero sí tenemos el dispositivo y conocer su funcionalidad puede ayudarnos a reconstruir lo que nos dicen los datos. Digamos, por ejemplo, que se ha recuperado una cámara digital de un fotógrafo de una agencia de modelos que se cree que tiene fotografías que podrían probar su ubicación durante un delito. Al analizar las pruebas se puede ver que las fotografías tienen datos GPS que no coinciden con el lugar donde se produjo el delito. Sin embargo, las localizaciones contenidas en las fotografías parecen coincidir con la zona del crimen. En este punto es necesario analizar el dispositivo para confirmar si ha habido manipulación de su funcionalidad GPS. Ya que probablemente la haya. Aunque este no es nuestro mejor escenario en lo relativo a los datos geoetiquetados, ciertamente muestra lo preciso que es el análisis de dichos datos y cuán útil resulta para desarrollar teorías de comportamiento criminal. Sin embargo, también vemos como se nos presentan elementos de premeditación que no teníamos que considerar en el pasado.
En una investigación con gran cantidad de datos digitales, como la pornografía infantil, se pueden recuperar decenas de miles de imágenes. En estas situaciones, el procesamiento de los datos con antelación tiende a olvidarse. Sin embargo, esta información es útil para los investigadores, ya que cada foto puede proporcionar datos EXIF que localizan el lugar en el que fue tomada. Esto puede conducir a la identificación de las víctimas, que pudieran ser menores fugados o desaparecidos. Descubrir esta pista es una gran victoria para todos nosotros.
Al examinar los datos EXIF se puede encontrar que algunas fotos tienen una etiqueta de propietario adjunta. Esto puede ser útil, ya que identifica al propietario de la fotografía o de la cámara. Pero tenga cuidado con esta información, ya que puede ser que el dispositivo haya sido robado y por lo tanto, habría un cargo adicional involucrado en la investigación. Este es otro ejemplo de cómo los datos EXIF ayudan a la resolución de los casos.
Es importante tener en cuenta que intentar revisar estos datos en la escena del crimen no es una buena práctica. Siempre hay que recuperar primero el o los dispositivos y luego revisarlos con sus respectivos datos en un entorno controlado. Los sistemas avanzados de gestión de evidencia digital tienen la capacidad de extraer automáticamente los datos EXIF de los archivos y almacenarlos en el sistema de gestión de pruebas digitales. Estos datos son entonces organizados, categorizados y pueden localizarse con facilidad. Compruebe si su sistema de gestión de pruebas digitales tiene la capacidad de importar datos EXIF automáticamente y aprenda a utilizar esta herramienta en sus investigaciones.
Conclusiones
Los datos EXIF de la evidencia digital actúan como una segunda capa de datos que puede utilizarse para obtener información exacta sobre un delito o para eliminar sospechosos. Aunque pueden ser manipulados, estas manipulaciones se descubren con facilidad y sirven como prueba adicional de los casos. Especialmente si usted se dedica a la investigación, debe conocer cómo los datos EXIF pueden ayudarle.
Cuídese por ahí.