Metadatos de pruebas digitales
November 18, 2024 | 10 minutes read
El término metadatos se ha ido arrastrando desde los círculos tecnológicos hasta la seguridad pública en los últimos 15 años. La razón es el énfasis que se pone en la tecnología y las pruebas digitales para capturar a los delincuentes. Entre el uso de las herramientas digitales por parte de las agencias y el uso de la tecnología por parte de los delincuentes, los metadatos desempeñan un papel importante como prueba de culpabilidad o inocencia ante un tribunal. Pero para los no iniciados, el término sigue pareciendo una tontería. Hoy pretendemos ofrecer una comprensión básica de los metadatos de pruebas digitales. Pero para asegurarnos de que empezamos de la forma más confusa posible, vamos a mostrarte la definición estándar de metadatos.
Definición de metadatos
Conjunto de datos que describen y dan información sobre otros datos.
Es como si la gente a la que se le ocurrió la idea de los metadatos intentáramos confundir al público a propósito. Pero una forma de hacerse una idea de lo que son los metadatos es considerar una ficha de biblioteca del Sistema Decimal Dewey. Cada ficha representa el título de un libro y contiene información categórica sobre el mismo: autor, género, año de publicación, editorial, ubicación del libro en la biblioteca, etc. La diferencia clave es que, mientras que podemos consultar físicamente una ficha de catálogo de biblioteca con relativa facilidad, los metadatos están ocultos en el archivo electrónico correspondiente. Se requiere cierta habilidad técnica para recuperar metadatos, pero es extremadamente fácil de conseguir. Continuaremos explicando las pruebas digitales, tal y como las conoce el sistema judicial de Estados Unidos:
Tipos básicos de pruebas digitales
Los tribunales estadounidenses definen las pruebas digitales en tres categorías:
- Pruebas digitales creadas por una máquina
- Pruebas digitales creadas por un ser humano
- Pruebas digitales recuperadas
Pruebas digitales basadas en máquinas
Con este tipo de pruebas, se trata de pruebas que han sido creadas únicamente por una máquina, ya sea un ordenador, un teléfono móvil, una televisión inteligente, una cámara, etcétera. Cualquiera que sea el dispositivo, produce evidencia digital por sí mismo, que es única para el propio dispositivo. La prueba de este tipo de pruebas ante un tribunal es sencilla, ya que sólo hay que demostrar que el dispositivo funcionaba correctamente en el momento en que produjo las pruebas. La dificultad estriba en vincular esa producción de datos a un ser humano. Esencialmente, poner a una persona delante del dispositivo, tecleando o manipulando. Pero una vez que se ha establecido la actividad, y se ha vinculado a la persona con ella, suele ser muy fácil establecer lo que ha hecho con el análisis de los metadatos, que sirven para múltiples propósitos de explicar qué se hizo, cómo se hizo y con qué dispositivo.
Pruebas digitales creadas por el ser humano
La terminología puede parecer redundante si nos fijamos en nuestra explicación anterior de las pruebas digitales creadas a máquina. Sin embargo, lo que este término está reconociendo es el trabajo de una persona que descubre las pruebas digitales después de los hechos. Puede tratarse de un cónyuge, un vecino, incluso un desconocido, o un profesional capacitado, muy probablemente con formación en informática. Por algún medio establecido, estas personas han creado la base de una denuncia relativa a un delito cometido por una persona a través de medios digitales, y desde entonces nos han facilitado ese material. Es importante tener en cuenta que los tribunales sólo reconocerán esta información como prueba si es presentada por la persona durante el procedimiento, o aceptada por el tribunal en virtud de la excepción de testimonio de oídas.
Pruebas digitales recuperadas
Esta es probablemente nuestra definición más fácil de entender, es decir, las pruebas que recuperamos, o que recuperan nuestros técnicos profesionales. Volviendo a nuestras pruebas digitales creadas por humanos, los requisitos para presentar estas pruebas son dos. Uno, se necesita el testigo que pueda dar fe de que estas pruebas están relacionadas con el sospechoso, y nuestro personal tiene que ser capaz de testificar sobre la validez de esas pruebas, incluidos los métodos de recogida. Por supuesto, si el escenario implica un dispositivo personal del sospechoso, y tenemos la capacidad de poner el dispositivo y su uso en manos del sospechoso sin la corroboración de un tercero, eso también funciona, hay muchos casos recientes en los que eso ha sucedido, particularmente con teléfonos móviles, ya que muchas agencias han invertido en su propio personal para recuperar datos inmediatamente de teléfonos móviles en posesión de sospechosos. Ejemplos de metadatos Una de las formas más comunes de pruebas digitales que se introducen en los tribunales es el correo electrónico. Los correos electrónicos combinan dos tipos de pruebas digitales: las basadas en máquinas y las creadas por humanos. Las cabeceras de un correo electrónico son códigos de máquina, mientras que las líneas de texto son de creación humana. Cuando se combinan estos dos conjuntos de datos, ayuda a formar una imagen no sólo de lo que se comunicó, sino de dónde se originó, ya que las partes basadas en la máquina del correo electrónico en código son únicas para el dispositivo del que provienen. La mayoría de la gente no lo sabe, pero un verdadero encabezado de correo electrónico contiene tantos datos de hecho, que por lo general, un simple comando para desocultarlo revelará todo sobre el correo electrónico, incluyendo de dónde se originó, hasta una dirección IP. Eso puede ser útil si el correo electrónico se origina en un dominio único. Pero, en muchos casos, el uso de un proveedor de servicios como Gmail significa que la dirección IP simplemente se remontará a uno de los sitios de la red compartida de Google. En esos casos, consultar el nombre del servidor desde el que se originó el correo electrónico puede ayudar a determinar qué tipo de servicio se utilizó para enviarlo. Una forma de encontrar el nombre del servidor en la cabecera es localizar una sección llamada “Message-ID”. Tendrá un código numérico único adjunto, que representa el correo electrónico específico que está viendo, en relación con todos los correos electrónicos enviados para ese servidor. La siguiente parte de esa línea de lenguaje tendrá un símbolo @, seguido del nombre del servidor. Por ejemplo, una estructura general podría parecerse a “wx258128d.serverhost.local” y eso es lo que podemos utilizar para saber de dónde procede el correo electrónico. Podemos utilizar ese nombre de servidor para averiguar de dónde procede, como un proveedor externo de productos empresariales de Microsoft, como Outlook, o una empresa que aloja directamente a clientes empresariales. Hay muchos más escenarios que podrían descubrirse, pero la cuestión es que esta versión más básica de los metadatos, que no requiere una orden de registro, puede utilizarse para limitar la localización de sospechosos y la información de identificación. No necesariamente resolverá el crimen o quién lo cometió. Pero si estos metadatos pueden darnos tanta información, ¿imaginamos lo que pueden darnos aún más metadatos? Y lo mejor de los metadatos es que se utilizan para autenticar. Así, si algo va mal con los datos en sí, un experto capacitado puede señalarlo de inmediato, pero también puede decir qué está dañado y qué no, lo que significa que no todo está necesariamente perdido en esos casos.
Otro ejemplo habitual son las fotografías. Ya se trate de fotografías de la escena de un crimen, de pruebas encontradas en otro lugar o de fotografías de la víctima, todas ellas contienen metadatos y, como tales, necesitamos saber dónde están y qué podemos obtener de ellas. Por un lado, la mayoría de las cámaras que funcionan en los principales sistemas digitales modernos almacenan datos GPS del lugar donde se toma cada fotografía. Recientemente hemos realizado una prueba interna utilizando una muestra aleatoria de fotografías con sus correspondientes descripciones escritas extraídas de Internet. En un caso notable, encontramos una fotografía cuyo propietario afirmaba que era de una zona específica de Virginia. Observamos la fotografía y no coincidimos con su descripción. Descargamos la fotografía y revisamos los datos GPS que se encuentran en el conjunto de metadatos de la fotografía, y descubrimos que las coordenadas de la fotografía coincidían con una zona de California. Tal vez el propietario escribió la descripción para una foto diferente y colocó accidentalmente la foto de California por error. Pero la cuestión es que los metadatos de la fotografía nos contaban una historia exacta y distinta de la de la persona que la conservaba. Imagínese cómo ese tipo de información indiscutible puede ayudar en una investigación criminal. La fecha y la hora también se adjuntan a las fotografías, pero estos datos no nos parecen fiables, ya que la mayoría de las cámaras tienen ajustes en los que el usuario puede manipular la hora y la fecha reales. Es más difícil hacerlo con los teléfonos móviles, pero hay casos en los que ha ocurrido. El tamaño de archivo de la fotografía y el tipo de archivo también encajan en nuestra definición de metadatos, y luego está el Formato de Archivo de Imagen Intercambiable, o datos Exif. No tenemos suficiente espacio aquí para hablar de los datos Exif, lo dejaremos para otro artículo.
Un pirómano atrapado gracias a los metadatos
En diciembre de 2014, los detectives del Departamento de Policía de Filadelfia detuvieron a Leonard Monroe tras una serie de extraños intentos de incendio provocado, en los que se colocaron cócteles molotov entre las contrapuertas y las puertas principales de varias casas adosadas de East Coulter Street. Aunque el delito en sí es bastante inusual, la forma en que los detectives fueron capaces de armarlo nos permite echar un vistazo al futuro con metadatos. Monroe había desarrollado algún tipo de desavenencia con las mujeres que vivían en las respectivas casas, con las que tenía un hijo en común. Algo que no se sabe ahora, es por qué Monroe tuvo problemas domésticos con todas las mujeres al mismo tiempo, ni las probabilidades de que las mujeres vivieran todas en la misma calle. En cualquier caso, lo que se demostró utilizando metadatos, fue que Monroe se descargó una aplicación para su teléfono móvil que permite a un usuario enviar mensajes desde su teléfono con un número de teléfono diferente vinculado al mensaje, en lugar del número de origen asignado al teléfono móvil. Para las víctimas, especialmente las implicadas en peleas domésticas, esto puede ser extremadamente aterrador. Porque sus agresores pueden sentirse envalentonados para enviar amenazas, degradar o acosar de cualquier otro modo a sus víctimas. Los detectives de la PPD fueron muy listos a la hora de identificar la tecnología y cómo se registra su uso. Una vez identificado el operador, solicitaron los registros del número. Después, descubrieron que el número en cuestión estaba vinculado directamente al teléfono móvil de Monroe. Monroe está siendo juzgado, por lo que sólo se dispone de información superficial sobre su detención, pero si se tiene en cuenta cómo funcionan los metadatos y la información facilitada sobre cómo los detectives localizaron a Monroe y sus actividades a través de su teléfono móvil, se puede ver cómo los metadatos acaban contando la historia, aunque no lo haga el sospechoso. No hay que olvidar que Monroe es inocente hasta que se demuestre su culpabilidad.
Conclusiones
Ésta es una visión muy básica de los metadatos, y aunque los ejemplos que se dan son pocos, esperamos que esto introduzca el tema de los metadatos de una manera controlada y medida, para que puedas tomar este conocimiento y ampliarlo por tu cuenta. Lo que está claro es que los metadatos nos ayudan a aclarar cuestiones de investigación, pueden corroborar ciertos relatos de acciones y pueden utilizarse para localizar actividades sospechosas y la responsabilidad general de una acción determinada. Para sacar el máximo partido de los metadatos es necesario investigar, leer y aplicar esos conocimientos. Algunos sistemas de gestión de pruebas digitales extraen automáticamente los metadatos de todos los archivos digitales y facilitan su búsqueda al usuario. Cuanto más utilices los metadatos, más te darás cuenta de cómo pueden ayudar a tu organismo en su trabajo, incluso más allá de la autenticación, la identificación y la eliminación.
¡Que no te pase nada!