Análisis interno de los archivos de la contabilidad del PP

Hoy os quiero dejar un artículo editado en elladodelmal Análisis de metadatos en la contabilidad filtrada del PP

Donde se realiza  un ejercicio técnico de revisión de documentos sobre los documentos de la contabilidad del PP filtrada estos días, aunque según comenta su autor Chema Alonso  un informe pericial podría sacar mucha más información.

Es cierto que con tal cantidad de documentos filtrados de PP, era imposible no pensar en analizar los metadatos de todos ellos para ver qué se podía extraer en global de todos ellos, pero descoce si fue la misma persona la que los escaneó, los empaquetó en ficheros .ZIP y la que los filtró en Internet.

Veamos qué sale del  pequeño análisis forense digital.

El cómputo forense, también llamado informática forensecomputación forenseanálisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.

Figura 1: Vídeo-Tutorial de Forensic FOCA
Para este ejercicio que formará parte de los ejemplos ejemplares de análisis forense de metadatossupondremos que todas son personas distintas – hasta que se demuestre lo contrario – y solo se hace un ejercicio de análisis de metadatos para ver qué sale. Por supuesto, para hacer esta tarea de análisis de más de 5GB de datos nada mejor que Forensic FOCA que para esto se creó.
Los ficheros comprimidos
Los documentos se publicaron en ficheros .ZIP comprimidos, en los que aparecían archivos de miniaturas Thumbs.db, lo que podría significar que se habían creado con un Windows XP o anteriores. En el último de ellos, relativo a la contabilidad de 2011 aparecía sin embargo, entre la compleja estructura de carpetas, un fichero .DS_Store, típico de sistemas operativos Mac OS X, lo que parece que se podría haber hecho desde varios ordenadores el empaquetado de los documentos. Así que hemos de suponer que la persona que los empaquetó, o era una con dos equipos distintos, o fueron dos personas distintas.

Thumbsdb
Figura 2: Thumbs.db en ZIP de año 1999
Los ficheros descomprimidos
Si se descomprimen los ficheros, aparecen más de 400 documentos en formato PDF. Todos ellos son copias escaneadas de documentos originales, pero tenemos la ventaja de que no han sido limpiados de metadatos, por lo que se puede extraer mucha información de ellos. Para analizarlos con Forensic FOCA se extraen todos y se arrastran a la herramienta. El resto se hace solo.

PP_Files
Figura 3: Lista de documentos publicados

Que aparezcan los ficheros comprimidos con archivos de miniaturas y los documentos PDF conmetadatos podrían hacernos pensar que la persona que filtró los documentos en Internet o no es la misma que los escaneó y comprimió – y por tanto no le importa la info que de ahí se pueda extraer – o no tiene un perfil técnico alto, lo que haría pensar más en una filtración de alguien con acceso a los documentos en lugar de un ataque hacktivista.

Las rutas a carpetas
Si miramos al estructura de carpetas que aparecen, es curioso ver unidades como m: o t:, lo que significa que se está utilizando algún tipo de sistema de almacenamiento en red NAS para guardar todos los documentos mientras se escanean. Si hubiera que especular sobre el sistema, parece un scaner/digitalizados/multifunción que come documentos y genera los PDF, pero hay cosas que generan diferencias más adelante.

PP_Folders
Figura 4: Rutas a carpetas encontradas en los documentos PDF
El software utilizado
Esta información sí que es relevante, pues además de software muy común como Adobe Acrobat oAdobe Distiler, aparecen versiones de software muy concretas, como EFI Cyclone o Developer Express Inc.
PP_Software
Figura 5: Software de creación de documentos PDF encontrado
La primera de ellas es especialmente llamativa, pues es software de impresión profesional que se usa en impresoras de gama alta utilizadas en centros de reprografía de documentos. La lista de equipos que incorporan estas librerías de EFI puede consultarse en la web del fabricante. Nitro PDF Professional tampoco es un software demasiado común, y la versión 6 es bastante antigua.
Las fechas de creación de los documentos
Tras analizar cuándo se crearon y modificaron los documentos, puede verse como se crean y modifican los ficheros PDF. Esto es algo típico de documentos creados página a página, es decir, se digitaliza la página 1 y se crea el documento, luego se digitaliza la página 2, y se modifica el documento PDF anterior.
PP_Fechas03
Figura 6: Sección de fechas de creación y modificación de documentos
Las fechas de creación de estos documentos digitalizados comienzan a hacerse en serie a partir del8 de Febrero de 2013 en adelante, lo que parece que se hizo a conciencia, ya que hay miles de páginas entre todos los documentos.

03
Figura 7: Algunos documentos creados el 7 y 8 de Julio
Los usuarios
No aparecen usuarios en casi ningún documento, pero hay 4 de ellos en los que sí. En uno de ellos aparece un genérico Administrador, pero en otros tres documentos aparece el nombre de un usuario MAGomezc.
pp02
Figura 8: Usuarios encontrados en documentos PDF
Este nombre, que parece algo similar a Miguel Ángel Gómez C., Marco Antonio Garmendia Crespo o cualquiera de ese estilo, aparece en tres documentos digitalizados en el año 2008, es decir, hace 5 años, pero que podría indicar a una persona concreta.
PP_USER
Figura 9: Un documento digitalizado por MAgomezc en el año 2008
Por supuesto, este metadato sólo dice que se escaneo desde un equipo en el año 2008 en el que el usuario que estaba trabajando con ese Adobe Acrobat PDF Maker 7.0 era MAgomezc.
Al final, serán los investigadores de este caso los que tendrán que casar software con equipos personales de personas o tiendas, modelos de impresoras/digitalizadoras con dueñas, y nombres de usuarios con personas, pero esa ya es labor policial y queda lejos de nuestro objetivo por ahora.

Valencia noticias Noticias de Valencia, Castellón y Alicante Periódico, prensa digital valenciano, Noticies en Valencià, noticias nacionales e internacionales.

HAZ UN DONATIVO: El periodismo independiente no se paga solo y la publicidad es solo de unos cuantos. Nadie nos dicta qué podemos publicar y qué no. Tampoco lo que tenemos que opinar o investigar. Es nuestro arma para acabar con la impunidad de los más poderosos.

Te necesitamos a ti también para seguir haciendo periodismo, libre e independiente. Las noticias son gratis, pero el periodismo no, ni para hacerlo ni para venderlo

Leave a Reply

Your email address will not be published.