In: otros, pruebas periciales

Metadata

Los metadatos, o «datos sobre datos», ofrecen información sobre los orígenes, la creación, la modificación y el acceso a los documentos. Los metadatos pueden provenir tanto del sistema de archivos como ser parte de un archivo. Puede utilizar esta información para reconstruir el historial del documento y rastrear el uso hasta cierto punto.

Los metadatos del sistema de archivos normalmente incluyen marcas de tiempo que indican momentos clave en el ciclo de vida de un documento:

  • Marca de tiempo de creación: Marca cuándo se guardó el documento por primera vez en un medio de almacenamiento, lo que puede diferir de su fecha de autoría original.
  • Marca de tiempo de modificación: Registra la última vez que se modificó el contenido del documento.
  • Marca de tiempo de acceso: Muestra la última vez que se abrió o interactuó con el documento.

Para ver las marcas de tiempo de cualquier archivo en Windows, puede revisar la pestaña General en sus propiedades:

Extraccion de metadatos para investigaciones informáticas

Metadatos de archivos en propiedades de imagen de Windows

Además de los metadatos del sistema de archivos, los documentos y los medios integrados pueden contener metadatos de formato específico, tales como:

  • Autor: La persona que creó el documento.
  • Aplicación: El software utilizado para crear o editar el documento.
  • Datos personalizados: La información adicional específica del formato de archivo, como los datos EXIF para imágenes, puede incluir etiquetas geográficas, configuraciones de la cámara y otros detalles.

Los investigadores forenses pueden aprovechar los metadatos para:

  • Reconstruir el historial del documento: Al analizar y correlacionar el sistema de archivos y las marcas de tiempo específicas de los archivos, pueden determinar cuándo se creó, modificó o accedió a un documento, lo que ayuda a establecer su origen e historia.
  • Uso de seguimiento: Las marcas de tiempo de acceso, ya sea incrustadas en el documento o grabadas por el sistema de archivos, pueden indicar cuándo se abrió o interactuó con el documento por última vez. Si bien es posible que los metadatos de acceso no siempre proporcionen detalles específicos del usuario, corroborarlos con otras fuentes de datos (, como registros de usuario o actividad de red), puede ayudar a revelar cuándo un documento fue revisado o comprometido.

Los metadatos del documento revelan detalles sobre la autoría, la edición y los patrones de uso que pueden ayudar a los investigadores a reconstruir el historial de un documento, detectar manipulaciones y vincular la actividad del usuario.

Tenga en cuenta que los metadatos pueden manipularse y, en el caso de metadatos específicos de un archivo, borrarse por completo, lo que requiere que examine otros artefactos relacionados para verificar la autenticidad y descubrir evidencia adicional. Un ejemplo de dicha evidencia corroborativa es la presencia de Archivos LNK almacenado en la carpeta ~AppData\Microsoft\Windows\Recent.

Deja una respuesta

error: Content is protected !!
× ¿Cómo puedo ayudarte?