Pontificia Universidad Javeriana. Ariza, Ruíz. Análisis de Metadatos.

Análisis de Metadatos en Archivos Office y Adobe

Ariza D, Andrea., Ruíz C, Juan Camilo.
{a-ariza, jc.ruiz}@javeriana.edu.co
Pontificia Universidad Javeriana

 simplemente no es de dominio público. A

Resumen— Los metadatos en todo tipo de datos o continuación se explica el porque se puede
registros electrónicos principalmente nos muestran datos del presentar esta situación.
origen e historia de cada registro almacenando datos como
fecha de creación, nombre de los autores y las fechas en que
fueron modificados entre otros. Pero la falta de información Una característica de los registros electrónicos
acerca de dichos metadatos hace que algunos usuarios revelen es que en ellos se incluyen los metadatos, tema
información sensible inconscientemente, por eso es necesario principal en el desarrollo de este artículo.
conocer sus estructuras y el tipo de acciones que se pueden
tomar para minimizar el riesgo de revelar este tipo de
información. Los metadatos se encuentran ocultos en un
documento, y comprenden amplia información
Índice de Términos— Metadatos, archivos, cabeceras, acerca de la creación de un archivo, incluido el
documentos, firmas, documentos MS Office , PDF. MAC (las fechas en que el archivo fue Modificado,
Accedido, y Creado), la última fecha de impresión,
si se elimina, cuando fue eliminado y por quién.
Además los metadatos también puede revelar la
I. INTRODUCCIÓN ubicación de un archivo en una máquina o en algún
HOY EN DÍA, LA GRAN MAYORÍA DE LAS lugar específico en la red, el equipo en el que fue
ACTIVIDADES COMERCIALES, NEGOCIOS Y creado, el nombre de la persona que ha guardado el
TRANSACCIONES ORGANIZACIONALES, SON último documento, el número de revisiones
EFECTIVAS GRACIAS AL USO DE LOS SISTEMAS DE realizadas, así como cualquier documento de
INFORMACIÓN QUE FUNCIONAN A TRAVÉS DE UNA identificación o propiedades del documento, entre
RED. Negocios y registros contables son preparados, otro tipo de información almacenada en el mismo
revisados, auditados, y almacenados de forma de forma oculta.
electrónica, información comúnmente llamada
información almacenada electrónicamente (ESI por En el desarrollo de este artículo veremos la
sus siglas en inglés: Electronically Stored importancia del análisis de los metadatos en
Information). Microsoft Office, principalmente en documentos
Word, Excel, y PowerPoint, y Adobe,
Se estima que del 94% a 99% de todos los principalmente en documentos PDF, en la
documentos de las organizaciones son creados y Informática forense y como puede contribuir este
mantenidos en forma electrónica y la mayoría nunca análisis a revelar información importante, que se
se transformó en copia impresa [11]. Lo cual indica puede considerar como evidencia en un caso dado.
que el transporte de los documentos se hace
digitalmente entre personas u organizaciones, II. ¿QUÉ SON LOS METADATOS?
quienes no saben que además del contenido
explícito del documento, pueden estar revelando Una definición utilizada con frecuencia nos dice
información sensible o información que que los metadatos son "datos sobre datos", en
general, un objeto que describe o dice algo sobre
Este artículo fue realizado en el desarrollo del curso Introducción a la otro objeto de información [1]. Principalmente el
Informática Forense durante el segundo semestre de 2008 bajo la supervisión término metadato se empezó a masificar con el uso
de Jeimy J. cano, Ph.D

PUJ - 2008
Pontificia Universidad Javeriana. Ariza, Ruíz. Análisis de Metadatos. 2

de la tecnología digital, pero éste data desde mucho últimos diez autores del documento, si se uso un
tiempo atrás. El ejemplo mas común se presenta en paquete macro para la creación del documento o un
una biblioteca, donde se utilizan fichas que sistema de gestión de documentos como repositorio,
especifican autores, títulos, casas editoriales y entre otros [7].
lugares para buscar libros. De esta forma podemos
afirmar que los metadatos son datos que describen Los metadatos pueden dividirse en dos categorías:
datos.
De manera más formal podríamos decir que un  Metadatos de aplicación
metadato es un dato que se encarga de mantener un
registro sobre el significado, contexto o propósito Son aquellos que son creados
de un objeto informativo, para descubrir, entender, automáticamente por una aplicación y están
extraer y administrar dicho objeto [1]. Dicho incrustados en todos los archivos que son
registro generalmente es de menor tamaño que los creados o modificados con ese software.
datos que describe, y maneja un formato corto ya
establecido, de forma tal que describen colecciones
de objetos y también los procesos en los que están  Sistemas de Metadatos
involucrados, describiendo cada uno de los eventos,
Los sistemas operativos que controlan
sus componentes y cada una de las restricciones que
máquinas individuales, servidores y otros
se les aplican.
dispositivos, crean sistemas de metadatos, los
cuales fijan una tabla de asignación de
En los documentos digitales, los metadatos van
campos de archivo (nombre de archivo,
más allá que el contenido impreso del mismo. Estos
creación, extensión, y el uso) a todos los
contienen todos los datos en el sistema de archivos
archivos almacenados en el sistema de forma
que describen el diseño y atributos de los archivos y
tal que el sistema operativo puede identificar
los directorios regulares. Incluyendo, no solo
y localizar cualquier archivo. Los sistemas de
atributos de tiempo, el control de acceso a la
metadatos residen en el sistema de registro del
información, el tamaño, sino también información
sistema o el servidor utilizado para acceder y
sobre cómo encontrar y reunir un archivo o
almacenar ese archivo.
directorio en el sistema de archivos. Esta última
información que se obtiene, contiene enlaces a Aplicaciones como Word, Excel y PowerPoint,
bloques de datos, o incluso a todos los bloques automáticamente generan docenas de campos
utilizados como nodos internos de búsqueda de (tipos) de metadatos de aplicación para cada uno de
estructuras de datos tales como árboles-B. los archivos que crean. Los campos de los
metadatos de aplicación y sistemas de metadatos
Los metadatos en un documento digital son creados y actualizados para Word, Excel y
principalmente son automáticamente añadidos PowerPoint cada vez que un archivo es creado,
cuando el archivo es creado y después almacenado abierto, o utilizado, así como la información
y/o cuando se abre el archivo y se edita. Por opcional sobre los cambios o las versiones de que
ejemplo cuando un documento es creado, se asocia un usuario puede intencionalmente añadir al
la fecha de creación y el nombre del autor, como archivo. El software de Adobe Acrobat crea
metadatos del mismo. Por otro lado cuando el metadatos con información detallada sobre la ruta
documento se imprime se añaden etiquetas de del documento, que puede proporcionar
fechas de impresión. Otro tipo de metadatos que información para el análisis forense sobre archivos
también se asocian a un documento son, que tipo de PDF [6].
plantilla se utilizó para crear el documento y el
autor de la plantilla, información con el nombre y
ruta donde el archivo fue almacenado por los

PUJ - 2008
Pontificia Universidad Javeriana. Ariza, Ruíz. Análisis de Metadatos. 3

III. RELEVANCIA DE LOS METADATOS EN LA  Rutas del documento en el sistema de

INFORMÁTICA FORENSE archivos del sistema operativo.
Para explicar la relevancia de los Metadatos en la
informática forense, ilustraremos con un ejemplo  Información sobre el hardware del sistema
que se explica a continuación: donde se compuso el documento.

Vamos considerar en primer lugar un escenario  Nombres de impresoras.

realista con documentos de Word.
 Los encabezados de correo electrónico o la
 María envía un memorando de misión crítica información del servidor web.
escrito en Word a Juan, quién está en otra
organización, por ejemplo, un cliente de la  El texto que se ha eliminado del documento
organización de María. en algún momento antes de ser almacenado.

 Alicia la supervisora de Juan, pide a Juan el  Texto completamente ajeno al documento

informe semanal de la organización. original, que está presente debido a un error
en el programa que generó el documento, o
 A Juan, le gustó el formato del memorando de información que se oculta y no es visible [11].
María, por lo cual simplemente lo copia, borra
el texto y digita los informes. El análisis forense provee una base de evidencia
que se obtiene mediante la identificación del
 Juan envía el informe a Alicia proceso de captura, uso, almacenamiento, y
transmisión de datos. Los metadatos pueden ayudar
 Alicia publica el informe en la red externa [3]. a identificar los medios humanos y sistema de
acciones en los sistemas de información, se pueden
Este caso muestra cómo simples acciones utilizar para investigar y comprobar el fraude, los
cotidianas pueden inadvertidamente colocar datos abusos, errores, o fallos en el sistema, y puede
sensibles en el dominio público. Muchos usuarios ayudar a establecer elementos tales como la
de Word y de otros programas similares, suelen causalidad, el calendario, y el grado de
comportarse como Juan, por lo que este tipo de conocimiento de todos los que están en un caso
información puede caer en manos de abusadores dado. Se debe tener en cuenta que cuando se realiza
que utilizan la información con el fin de estafar o la investigación de algún incidente y
generar información a partir de ella. específicamente en análisis de los metadatos de los
archivos, la persona investigada está en el derecho
Otro caso que se puede presentar es ocultamiento de no revelar este tipo de información, ya que puede
de información dentro de este tipo de documentos. comprometer datos sensibles e información
Algunos datos comunes en el ocultamiento de privilegiada de la organización, por lo cual se deben
información son: llevar a cabo los procedimientos legales adecuados
para acceder a ellos.
 Nombres y nombres de usuario del creador
del documento y sus colaboradores.
IV. METADATOS MODIFICABLES POR USUARIOS EN
 Información organizacional de los usuarios. DOCUMENTOS MSOFFICE Y ADOBE PDF

 Texto específico para el programa, versión y A continuación mostraremos los metadatos

formato de documento. modificables por los usuarios, en los diferentes
documentos, indicando que tipo de información se

PUJ - 2008
Pontificia Universidad Javeriana. Ariza, Ruíz. Análisis de Metadatos. 4

puede revelar o no con el consentimiento del autor

del mismo. A continuación mostramos una manera de ver los
metadatos con el programa que generó el archivo,
Microsoft indica que los siguientes metadatos en este caso Word:
pueden ser almacenados en documentos creados en
todas las versiones de Word, Excel y PowerPoint: 1. Abrir Archivo, Propiedades

 Nombre y las iníciales (de la persona que creó

el archivo)

 Nombre de la organización

 Nombre del equipo

 Nombre de la unidad de disco duro local o

servidor de red dónde ha guardado el
documento

 El nombre y el tipo de impresora que

imprimió el documento Ilustración 1. Propiedades Archivos Office
Imagen tomada por Andrea Ariza Díaz
 Otras propiedades de los archivos y resumen
de la información 2. Una vez abierta la ventana de propiedades se
puede navegar por ella viendo, datos
 Partes de objetos OLE no visibles generales, resumen, estadísticas, contenido, y
un campo para personalizar, y así información
 Los nombres de los autores anteriores del de creación de archivos, modificaciones entre
documento otras.

 Revisiones del documento, incluido el texto

eliminado que ya no es visible en la pantalla

 Versiones del documento

 Información sobre cualquier modelo o

plantilla utilizado al crear el archivo

 Texto oculto y observaciones [2].

Aunque algunos metadatos pueden ser fácilmente

vistos en el programa que ha generado el archivo,
en la mayoría de los casos los metadatos ocultos
normalmente sólo pueden ser vistos utilizando un
editor de archivos binarios. Sin embargo, a veces
los metadatos ocultos pueden ser visibles cuando
Ilustración 2. Propiedades Archivos Office
estos se abren con otro tipo de editores, diferentes a Imagen tomada por Andrea Ariza Díaz
los programas que generan ese tipo de documento.

PUJ - 2008
Pontificia Universidad Javeriana. Ariza, Ruíz. Análisis de Metadatos. 5

Las propiedades del archivo representan solo una almacenar todos los cambios realizados al
parte de los metadatos almacenada en los documento, el autor de los cambios, y las
documentos. Otro tipo de metadatos que se añaden fechas de modificación. Este tipo de
al documento son mediante las opciones de Campo, información reside en el mismo archivo.
Control de Cambios y Versiones.

3. Las opciones de campo permiten ver la

cantidad de tiempo empleada para editar el
documento por parte de los usuarios. Entre
otras opciones como autor del documento y
fechas de creación.

Ilustración 5. Opcion Versiones MSOffice [7]

Cuando un archivo es transmitido a través de una

red, es necesario saber que es lo que tiene el archivo
y tener precauciones removiendo cualquier tipo de
dato confidencial. Pero generalmente los usuarios
piensan que al tener un archivo Microsoft Office, y
convertirlo en formato PDF este nuevo archivo no
Ilustración 3. Opción Campo en MSOffice [7].
contendrá información que revele datos del la
persona que lo creó o modificó. Pensamiento
4. La opción de control de cambios está presente equivocado, ya que los archivos en formato PDF
en casi todos los programas, y permite ver y también contienen metadatos que revelan
almacenar los cambios que se hicieron en la información.
realización del documento, a pesar que en el
documento final estos no sean visibles. Para evitar esto, un usuario de Adobe Acrobat
puede añadir opciones adicionales de seguridad.
Indicando el tipo de información que van a
desplegar los metadatos del archivo:

1. En la barra de herramientas seleccione Adobe

PDF, Cambiar Opciones de Conversión [7].

Ilustración 4. Control de Cambios MSOffice

Imagen tomada por Andrea Ariza Díaz

5. Otro tipo de metadato que es añadido por el

usuario es la opción de Versiones que permite

PUJ - 2008
Pontificia Universidad Javeriana. Ariza, Ruíz. Análisis de Metadatos. 6

Ilustración 6. Opciones en Adobe Acrobat PDF [7]

V. ESPECIFICACIÓN AVANZADA DE LOS ARCHIVOS Ilustración 7. Estructura inicial de un archivo PDF [14]
PDF Y MSOFFICE
A continuación describiremos como esta
estructurado un archivo PDF, como es la
organización y tipo de objetos que este gestiona
para acceso rápido y actualizaciones que sean
realizadas. Normalmente un archivo PDF consta de
cuatro elementos:

1. Cabecera
Que es la parte que identifica la versión de la
especificación PDF que el archivo conforma.

2. Cuerpo
El cual contiene los objetos que forman el
contenido del archivo.

3. Referencia Cruzada
Contiene información acerca de los objetos
indirectos en el archivo

4. Trailer
Contiene una tabla con la localización de la
referencia cruzada y objetos especiales que
están dentro del cuerpo.
Ilustración 8. Estructura de un archivo PDF actualizado
[14]
Esta es la estructura inicial, pero a medida que se
realizan actualizaciones sobre el archivo se
A. Cabecera
adicionan nuevos elementos al final del archivo
(cuerpo, referencia cruzada y tráiler) como se La cabecera es la primera línea del archivo PDF
muestra en las siguientes ilustraciones. que identifica la versión de la especificación del
archivo, indica la firma (25 50 44 46). Si la
versión es 1.5 la línea sería así:

PUJ - 2008
Pontificia Universidad Javeriana. Ariza, Ruíz. Análisis de Metadatos. 7

%PDF-1.5 D. Trailer
Permite que a una aplicación que lea el archivo
Esta versión puede ser anulada en caso que se
encuentre rápidamente la tabla de referencias
haga una actualización, el nuevo valor será
cruzadas y ciertos objetos especiales. Las
almacenado en la entrada raíz del Trailer.
aplicaciones leen los PDF desde el fin, por lo tanto
en caso que se hayan realizado actualizaciones y la
versión se modifique, esta información se
encontrará aquí como anteriormente se mencionó.
La última línea del archivo sería así:

%%EOF

Ilustración 9. Cabecera en archivo PDF

Las dos líneas anteriores al fin de archivo,
Imagen tomada por Andrea Ariza Díaz contienen las palabras claves startxref, y el byte de
desplazamiento del inicio del archivo hasta el inicio
B. El cuerpo de la palabra clave xref en la última sección de
referencia cruzada.
El cuerpo consiste de una secuencia de objetos
indirectos que representan el contenido del
documento. E. Algoritmo de Encriptación
El algoritmo de encriptación es conocido como
C. Referencia Cruzada RC4, un flujo de cifrado simétrico: el mismo
algoritmo se utiliza tanto para el cifrado y el
La tabla de referencias cruzadas contiene descifrado, y el algoritmo no cambia la longitud de
información que permite acceso aleatorio a los los datos.
objetos indirectos dentro del archivo, de forma tal
que el archivo no tiene que ser leído en su totalidad El cifrado de datos en un archivo PDF se basa en
para localizar un objeto en particular. La tabla el uso de una clave de cifrado calculada por el
contiene una línea de entrada por cada objeto manejador de seguridad. Diferentes manejadores de
indirecto, especificando la localización de ese seguridad pueden calcular la clave de cifrado en una
objeto dentro del cuerpo del archivo. variedad de formas,

Independientemente de la forma en que la clave

sea calcula, su uso en la codificación de los datos es
siempre la misma. Debido a que el algoritmo RC4
es simétrico, la misma secuencia de pasos puede ser
utilizado tanto para cifrar como para descifrar los
datos [14].

Microsoft Office utiliza un Archivo Compuesto

para los tipos de documento Word, Excel y
PowerPoint.
Un archivo compuesto esta formado por un
número de flujos virtuales. Estos son colecciones de
datos que se comportan como una secuencia lineal,
aunque puede ser fragmentado. Los flujos virtuales
pueden ser los datos del usuario, o pueden ser las
Ilustración 10. Referencia Cruzada de un archivo PDF estructuras de control utilizado para mantener el
Imagen tomada por Andrea Ariza Díaz

PUJ - 2008
Pontificia Universidad Javeriana. Ariza, Ruíz. Análisis de Metadatos. 8

archivo. Se debe tener en cuenta que el propio sin asignar. La FAT es prácticamente un flujo
archivo también puede ser considerado como un formado por uno o más sectores de grasa.
flujo virtual. Las partes principales de este archivo
compuesto son: 3. Sectores MiniFAT
Como el espacio de flujos es siempre asignado
1. Cabecera en el sector de bloques, se considera que hay
La cabecera contiene información para la desperdicio cuando se almacenan objetos mucho
instanciación del archivo. Su tamaño es de 512 más pequeños que los sectores (normalmente
bytes, es única y esta localizada al principio del 512 bytes). Como una solución a este problema,
archivo en el desplazamiento cero. se introdujo el concepto de la MiniFat. El
MiniFAT es estructuralmente equivalente a la
FAT, pero se utiliza de una manera diferente.

4. Sectores DIF
Se utiliza para representar el almacenamiento de
la FAT. El DIF también está representado por
una variedad de sectores, y es encadenado por la
terminación de células en cada sector.

5. Sectores Directorio
El Directorio es una estructura utilizada para
contener flujo de información acerca de los
flujos en un archivo compuesto, así como para
mantener una estructura de árbol de contención.
Se trata de un flujo virtual compuesto de uno o
más sectores Directorio. El Directorio está
representado como un estándar de la cadena de
sectores dentro del FAT.
Ilustración 11. Cabecera archivo MS Office
Imagen tomada por Andrea Ariza Díaz
6. Sectores de Almacenamiento
Son simplemente colecciones de bytes
arbitrarios. Ellos son los bloques de flujos del
usuario, no se imponen restricciones sobre su
contenido, por lo cual se puede añadir
información u ocultar datos. Los sectores de
almacenamiento están representados como
cadenas en la FAT, y cada cadena de
almacenamiento (flujo) tendrá una única entrada
de directorio asociada a ella [15].

VI. ANÁLISIS DE METADATOS DE ARCHIVOS PDF Y

MSOFFICE
Ilustración 12. Cabecera de un Archivo MS Office [15]
Una vez hemos conocido la especificación formal
2. Sectores FAT de cada uno de estos archivos, podemos entrar en un
El FAT es el principal ente que asigna espacio análisis detallado para una investigación dada.
dentro de un archivo compuesto. Cada sector en
el archivo está representado dentro del FAT de Lo primero que se necesita es un editor
alguna manera, incluidos los sectores que están hexadecimal de archivos, que nos permita ver cada

PUJ - 2008
Pontificia Universidad Javeriana. Ariza, Ruíz. Análisis de Metadatos. 9

uno de los documentos a analizar en su forma real. archivo no se podrá abrir desde Word, como se
Para este caso utilizamos WinHex. puede ver en las ilustraciones 14 y 15.

WinHex es un editor hexadecimal que permite ver

datos que otros programas ocultan o simplemente
no son visibles como ya hemos explicado.

Posee un editor de disco y navegador del

directorio por FAT12, FAT16, FAT32, NTFS, editor
de RAM, una manera de editar la memoria virtual de
otros procesos, intérprete de datos que reconoce
hasta 20 tipos distintos de datos, edición de
estructuras de datos mediante plantillas, entre otras
funcionalidades. Permite también concatenar, partir,
unir, analizar y comparar archivos; además tiene Ilustración 13. Firma de un Archivo MSOffice
funciones de búsqueda y reemplazo, programación, Imagen tomada por Andrea Ariza Díaz
cifrado de 128 bits, sumas de verificación: CRC32,
digests (MD5, SHA-1, entre otros), borrado
irreversible de datos confidenciales/privados,
formatos de conversión (Binario, Hex ASCII, Intel
Hex y Motorola S), soporta juego de caracteres
ANSI ASCII, IBM ASCII, EBCDIC [16].

Con una herramienta como estas, el manejo que se

le puede dar a los documentos es infinito, y el
ocultar información para un atacante resulta fácil. A
continuación explicaremos solo dos métodos
(dentro de muchos que existen), que son muy
comunes en el manejo de documentos con un editor
hexadecimal.
Ilustración 14. Modificación de la Firma de un Archivo
MSOffice
A. Cambio de firma en un documento Microsoft Imagen tomada por Andrea Ariza Díaz
Office y en un documento Adobe PDF

Como ya conocemos el formato de ambos tipos de

documento, sabemos que abriendo cualquiera de
ellos en un editor hexadecimal, en su primera línea
encontraremos la firma que los caracteriza. Muchas
veces los atacantes utilizan el método de cambiar o
borrar la firma, de forma tal que el archivo parezca
corrupto y no se pueda tener acceso a él. Razón por
la cual estos documentos se desechan, pero aún por
dentro pueden tener información sensible o que el
atacante puede usar para sus fines.
Ilustración 15. Archivo Corrupto MSOffice
En la siguiente ilustración podemos ver la firma de Imagen tomada por Andrea Ariza Díaz
un documento Word de Microsoft Office (es igual
para Excel, y PowerPoint) D0 CF 11 E0 A1 B1 1A
E1. Simplemente con modificar estos bytes, el

PUJ - 2008
Pontificia Universidad Javeriana. Ariza, Ruíz. Análisis de Metadatos. 10

Este es un ejemplo de modificación de firmas, Imagen tomada por Andrea Ariza Díaz
pero como se dijo anteriormente es posible partir,
unir, concatenar documentos. Por lo cual ocultar
información dentro de ellos sin que se pueda notar, B. Cambio de extensión en un documento
es fácil para un atacante que conozca este tipo de Microsoft Office y en un documento Adobe PDF
herramientas. De la misma forma esto se puede
hacer para un documento PDF como se muestra a Otra forma de ocultar datos dentro de un
continuación. documento y hacerlo inservible a primera vista, es
cambiándole la extensión a los archivos. Este caso
La firma de un archivo PDF es de 4 bytes, a lo puede ser aplicable para cualquier documento
diferencia de un documento de Microsoft Office que como tal. Los atacantes suelen hacer este tipo de
es de 8 bytes, y es 25 50 44 46. modificaciones explicadas anteriormente para que
impedir el acceso a los documentos.

Si este es el caso, el procedimiento que se debe

seguir es analizar la estructura interna del archivo,
igualmente con un editor hexadecimal, y determinar
la firma para identificar qué tipo de documento es.

VII. CONCLUSIONES
Este artículo ha presentado como es la estructura
de los documentos Microsoft Office y Adobe PDF,
para el análisis de metadatos en una investigación
Ilustración 16. Firma de un Archivo PDF
Imagen tomada por Andrea Ariza Díaz
forense, o como explicación de una forma de
ataque. Para explicar cómo se puede hacer este
procedimiento se utilizó la herramienta WinHex.

Para una investigación forense, no hay una

metodología de análisis de metadatos para
documentos formal. Se realizó una aproximación al
análisis de ellos a partir de su estructura,
observando cómo en los documentos se puede
añadir u ocultar información y al mismo tiempo no
poder acceder a ellos normalmente. Básicamente
este análisis consiste en analizar la firma del
documento, la cual da el primer indicio para indicar
Ilustración 17. Modificación de la Firma de un Archivo
qué tipo de documento es.
PDF
Imagen tomada por Andrea Ariza Díaz
Es importante para una investigación, además de
contar con las herramientas para la respuesta a
incidentes, herramientas para análisis de
documentos a un más bajo nivel, ya sea binario o
hexadecimal, y conocer la estructura de los
documentos para identificar el tipo de información
que se encuentra dentro de ellos.

Ilustración 18. Archivo Corrupto PDF

PUJ - 2008
Pontificia Universidad Javeriana. Ariza, Ruíz. Análisis de Metadatos. 11

REFERENCIAS
Realizado por:
[1] Vásquez. Paulus. C., METADATOS: Introducción e Andrea Ariza Díaz
historia [Online]. Available: Juan Camilo Ruíz
http://www.dcc.uchile.cl/~cvasquez/introehistoria.pdf Ingeniería de Sistemas
[2] Pinnington. D., (2004). Beware the dangers of Metadata Pontificia Universidad Javeriana
[Online]. Available: www.lawpro.ca/magazinearchives 2008
[3] Simon Byers (2003). Scalable Exploitation of, and
Responses to Information Leakage Through Hidden
Data in Published Documents [Online]. Available:
http://www.user-agent.org/word_docs.pdf
[4] Payne Consulting Group. How much metadata are you
sharing? [Online]. Available:
http://www.payneconsulting.com/pub_books/articles/pdf/
HowMuchMetadataAreYouSharing.pdf
[5] Payne. D., Metadata are you protected. [Online].
Available:
http://www.payneconsulting.com/pub_books/articles/pdf/
HowMuchMetadataAreYouSharing.pdf
[6] Spafford. E., Buchholz. F., On the role of file system
metadata in digital forensics. [Online]. Available:
http://homes.cerias.purdue.edu/~florian/publications/meta
data_jdi.pdf
[7] Payne. D., Metadata What every attorney need to know.
[Online]. Available:
http://www.scribd.com/doc/2893980/ComplexDiscovery-
Considering-Metadata
[8] SNAC (2005). How much metada are you sharing.
[Online]. Available:
http://www.payneconsulting.com/pub_books/articles/pdf/
HowMuchMetadataAreYouSharing.pdf
[9] Metadata: What is it, and how do you deal with it?.
[Online]. Available:
http://www.hsskgroup.com/attachments/articles/57/Metad
ata%209%2030%2004%20Updated.pdf
[10] Farrar. R., Metadata Management in Microsoft Office:
How Firms Can Protect Themselves against
Unintentional Disclosure and Misuse of Metadata.
[Online]. Available:
http://www.abanet.org/genpractice/ereport/2006/may/met
adata.html
[11] Ruhnka. J., Forensic Implications of Metadata in
Electronic Files. [Online]. Available:
http://www.nysscpa.org/cpajournal/2008/608/essentials/p
68.htm
[12] (2008). File Signatures Table
http://www.garykessler.net/library/file_sigs.html
[13] Adobe systems Incorporated. (2008). PDF Reference.
[Online]. Available:
http://partners.adobe.com/public/developer/en/pdf/PDFRe
ference.pdf
[14] Microsoft Corporation. (2008). Windows Compound
Binary File Format Specification. [Online]. Available:
http://download.microsoft.com/download/0/B/E/0BE8BD
D7-E5E8-422A-ABFD-
4342ED7AD886/WindowsCompoundBinaryFileFormatS
pecification.pdf
[15] (2008). WinHex 15.1 Completo editor hexadecimal.
[Online]. Available: http://winhex.uptodown.com/

PUJ - 2008