Agujeros de seguridad de sitios Web

viernes, 28 de junio de 2013

 
Cada vez que descargamos documentos ofimáticos de sitios web podemos comprobar dos cosas. Una, que realmente se descarga el archivo que queremos, y otra es ver determinada información sensible del propio archivo, que con básicos conocimientos podremos sacar a la luz: su fecha de creación, autor, modificaciones del documento, programa con el que se hizo, sistema, etc. Algo así como la etiqueta identificativa de cualquier producto comercial donde podemos encontrar sus ingredientes, fabricante, caducidad,  etc.
Imagen 1: Metadatos genéricos de un documento
Es posible que estos metadatos, sean banales para la mayoría de los usuarios pero son muy interesantes y atractivos para los curiosos, pudiendo llegar a causarnos un grave perjuicio si esa fuera su intención.

¿Es realmente necesario que los documentos lleven esta información implícita?
 En toda creación de documentos va asociada una determinada información que no está visible directamente a ojos del usuario, ya que como es lógico, se está más pendiente de lo que está creando, que de los metadatos que el equipo pueda ir alojando en el archivo. Estos metadatos se alojan internamente en los archivos de manera automática, y cada vez que el archivo sufre algún cambio, los metadatos se actualizan con la nueva información. Otra cosa a tener en cuenta es que no todas las aplicaciones añaden los mismos metadatos. Un archivo de fotos no lleva los mismos metadatos que un documento word.

Poder llegar a ver si nuestros documentos llevan o no metadatos es tarea fácil con herramientas sencillas, en el mercado hay varias que nos permitirán poder acceder a la información sensible de nuestros documentos y comprobar cuanta información estamos regalando al mundo en el momento de enviar estos archivos por la web o correo electrónico.

¿Qué pueden hacer con nuestros metadatos? La fuga de información es mejor prevenirla de antemano. Si sabemos que los archivos no saldrán nunca de nuestro servidor web no tendríamos por qué preocuparnos, pero si estos archivos viajan por la red, los metadatos viajaran con ellos. Enviar archivos propios a otros equipos conllevará a una probable fuga de información, si no se remedia antes. Un usuario malintencionado podría utilizar esta información con fines perjudiciales y esto es mejor prevenirlo.

 ¿Cómo podemos evitar esta fuga de información en nuestros sitios web?
Lo ideal sería poder ofrecer cualquier documento ofimático de los repositorios, limpios de metadatos, manteniendo así la confidencialidad de la información que llevan incrustada. Para solucionarlo existen herramientas en el mercado que ya pueden eliminar esta información de manera definitiva y segura. Pero atención, si protegemos los documentos mediante contraseña no podremos limpiarlos de metadatos, esto hay que tenerlo en cuenta, será necesario desproteger el documento antes de limpiarlo y poderlo enviar.

Evitar situaciones comprometidas es factible con la tecnología que nos rodea, simplemente debemos prestarle un poco de atención a estos pequeños grandes detalles que también son  importantes.


No hay comentarios:

Publicar un comentario