La Fundación para la Privacidad (Privacy Foundation) ha hecho público un comunicado donde describe la posibilidad que tienen los documentos de Microsoft Office de permitir a sus autores seguir el rastro de los usuarios que los leen y las organizaciones por las que se transmite.
En el aviso de la Privacy Foundation se hace referencia a la posibilidad que tiene Microsoft Word, Excel y PowerPoint de incluir, lo que se da en llamar, «Web bugs» y que podríamos traducir como «Chivatos Web». Estos chivatos o espías permiten al autor del documento detectar y rastrear fugas de documentos confidenciales de una compañía, rastrear posibles infracciones del Copyright de informes y boletines, monitorizar la distribución de notas de prensa o vigilar el uso de texto propio cuando se copia de un documento a otro.
Estos rastreadores son posibles gracias a la capacidad de Microsoft Word para insertar en un documento un archivo de imagen localizado en un servidor web remoto, mediante la opci¢n de vincular la direcci¢n sin guardar el gr fico directamente en el documento. Como s¢lo se almacena la URL de la imagen en el documento y no la imagen real, Word debe recibir dicho gr fico del servidor web cada vez que se abre el archivo.
Esta caracter¡stica permite al servidor web identificar cuando y donde se abre el documento. El servidor almacena la direcci¢n IP y el nombre del ordenador que realiza la acci¢n, lo que puede incluir el nombre de la compa_¡a en caso de que el ordenador est’ en una empresa con un dominio en Internet representativo. Lo usual ser encontrarse con la direcci¢n del cortafuegos en el caso de las empresas, y con una IP din mica del ISP de los usuarios finales.
Para pasar desapercibido el esp¡a puede ser tan s¢lo una peque_a imagen de tan s¢lo un pixel (de tama_o 1×1) de color blanco. Pero segon el informe de esta fundaci¢n el problema puede ir m s lejos si estos esp¡as son capaces de leer y escribir cookies en el ordenador. Estas cookies podr n permitir al autor del documento identificar al lector con las visitas que haya realizado al sitio web del autor.
Este tipo de m’todos ya se usan en la actualidad por compa_¡as de publicidad para rastrear la efectividad de sus anuncios en p ginas web y mensajes e-mail. Y segon se advierte la problem tica no s¢lo se centra en Word, sino que puede emplearse de igual forma en documentos Excel y PowerPoint.
Este tipo de truco puede emplearse por una organizaci¢n para detectar si alguno de sus documentos confidenciales o de uso interno llegan a leerse fuera de la red corporativa. Al documento confidencial se le puede incluir un «web bug» que realice una petici¢n al servidor web de la propia empresa. En caso de que se observe una petici¢n al archivo chivato desde una IP externa a la organizaci¢n, se podr saber con toda seguridad que dicho documento se ha filtrado al exterior, con posibilidad de conocer si el documento ha llegado a la competencia o qui’n abre el texto confidencial.
Las posibilidades que ofrecen estos «web bugs» o chivatos son infinitas, pueden permitir el rastreo de cada uno de los documentos generados, para rastrear y seguir los movimientos de cada uno de los textos marcados de esta forma. Tambi’n se puede emplear para detectar el incumplimiento de cl usulas de Copyright y detectar cuantas y cuales de las cartas personales se copian y distribuyen a otros usuarios.
Si bien es cierto que todo lo que expone la Privacy Foundation es cierto, y puede llevarse a la pr ctica sin problemas, no creemos que sea motivo de alerta ni que exista ningon tipo de inter’s o intencionalidad por parte de Microsoft en llevar m s all las posibilidades de esta funcionalidad.
Este problema de privacidad no es exclusivo del paquete Office, son muchos los formatos que ya contemplan la posibilidad de vincular documentos de la Red, y pueden ser aprovechados con el mismo fin. Aun m s numerosos son los programas que aprovechan Internet para rastrear a los usuarios y recopilar informaci¢n adicional, por no mencionar la estela que dejamos mientras navegamos por las p ginas webs, o el seguimiento que llevan a cabo las cookies. Lejos de lo que pudiera parecer, Internet no es un buen medio para el anonimato, al menos por defecto.
Para los usuarios m s precavidos, pueden obtener un listado de los objetos enlazados a un documento Word en el meno Edici¢n, seleccionar V¡nculos, y se abrir una ventana donde visualizar las referencias. La opci¢n estar desactivada si el documento activo no posee v¡nculos.
Para crear un documento de prueba puede abrir un documento nuevo, meno Insertar, Imagen, desde Archivo, activar Vincular a archivo, desactivar Guardar con documento, y en nombre de archivo introducir la cadena «http://www.hispasec.com/logo.gif».
Si est conectado a Internet, observar como se inserta el logo de Hispasec en el documento. Ahor tendr activada la opci¢n V¡nculos del meno Edici¢n, y puede visualizar todos los par metros del enlace externo, de forma que es f cil detectar un documento que aproveche esta funcionalidad. Adem s, si se abre el documento sin estar conectado a Internet se produce un error, y en la ventana de aviso queda al descubierto la URL del v¡nculo que lo provoca.
Si decide guardar el documento y distribuirlo, cada vez que alguien lo abra, y est’ conectado a Internet, en el servidor web de Hispasec se registrar n datos como la direcci¢n IP del lector, o la fecha y la hora en que abri¢ el documento y descarg¢ la imagen, es decir, la informaci¢n m¡nima que se recopila cuando navegamos por cualquier p gina web de Internet. En cuanto a las cookies, podemos configurar desde el navegador si queremos o no aceptarlas por defecto.
Aprovechando el argumento que nos ocupa, vamos a recomendar el uso del formato .rtf (Rich Text Format) a la hora de guardar los documentos, en lugar de los famosos .doc (Microsoft Word), y que puede aplicarse, sin perdida de funcionalidad, en la mayor¡a de los documentos que manejamos a diario. Entre las ventajas encontramos:
– Por defecto no visualiza v¡nculos, evita los «Web bugs».
– No almacena macros, evita los virus de macro.
– Menor tama_o en comparaci¢n con el formato .doc.
– No es un formato exclusivo de Word, puede ser manejado por multitud de programas.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=675
M s informaci¢n:
Aviso de la Privacy Foundation
http://www.privacyfoundation.org/advisories/advWordBugs.html
09/04/2000 – Advert.dll, la dll de la pol’mica (I)
http://www.hispasec.com/unaaldia.asp?id=530
10/04/2000 – Advert.dll, la dll de la pol’mica (II)
http://www.hispasec.com/unaaldia.asp?id=531
15/4/1999 – Agujeros en los sistemas de navegaci¢n an¢nima
http://www.hispasec.com/unaaldia.asp?id=170
Antonio Ropero
antonior@hispasec.com
Bernardo Quintero
bernardo@hispasec.com
http://www.hispasec.com
