Si es usuario de Word y redacta contratos, presupuestos, informes, o cualquier otro tipo de documento con información sensible, debe ser consciente que quién tenga acceso al archivo en formato Word podrá acceder a información adicional, como por ejemplo el histórico de cambios que se han realizado en el mismo. Imaginemos por un momento que utiliza un documento Word como maestro que modifica y adapta para enviar nuevos presupuestos o contratos. ¿Sabía que sus clientes o trabajadores pueden acceder a los datos que había anteriormente en el documento?.
El gobierno británico acaba de dar buena cuenta de ello tras verse forzado a la comparecencia en la cámara de los comunes de Alastair Campbell, director de comunicación y mano derecha de Tony Blair, para dar más datos de cuatro empleados cuyos nombres aparecían ocultos como autores del informe ya conocido como «dodgy dossier». Este expediente fue publicado en febrero de 2003 como fruto del trabajo de la inteligencia británica donde se evidenciaba la existencia en Irak de armas de destrucción masiva. Poco tiempo después se demostró que el informe era en realidad un plagio que contenía copias literales de una antigua tesis de un estudiante californiano de apenas 13 años de edad.
Un estudio llevado a cabo en abril de 2003 por Simon Byers, del laboratorio de investigación de AT&T en los EE.UU., ha evidenciado que gran parte de los documentos Microsoft Word publicados en Internet contienen información sensible oculta. Desde nombres, direcciones de e-mail, nombres de documentos relacionados, números de la seguridad social, trayectorias de las unidades y carpetas donde estaba almacenado el documento, etc.
La metodología de Byers consistió en recolectar 100.000 documentos Word desde Internet de forma aleatoria, realizando búsquedas en el web por palabras claves. Posteriormente los trató con utilidades gratuitas como «antiword» o «catdoc» que permiten acceder a la información de los documentos en texto plano. Más de la mitad de los documentos mantenían entre 10 y 50 palabras ocultas, un tercio de los mismos entre 50 y 500, y el 10% escondían más de 500 palabras en su interior.
La recomendación para aquellas organizaciones o usuarios que no quieran correr el riesgo de ver filtrada información sensible en sus documentos es tajante: dejar de utilizar Microsoft Word.
Aunque el reciente incidente protagonizado por el gobierno británico ha fijado de nuevo la atención sobre estas «funcionalidades» de la familia Microsoft Office, la realidad es que Hispasec ya dio buena cuenta de ello en 1999. Recomiendo la lectura de dos artículos de nuestro compañero Jesús Cea donde se explicaban los entresijos de los GUIDs y Metadata en los documentos Microsoft Office, consejos para evitar sus efectos, y como estos datos ocultos permitieron identificar al autor del gusano «Melissa» (gusano de macro escrito en Word).
Más información:
31/08/1999 – Los GUIDs y los MetaData en los documentos Microsoft Office (I)
http://www.hispasec.com/unaaldia/308
01/09/1999 – Los GUIDs y los MetaData en los documentos Microsoft Office (II)
http://www.hispasec.com/unaaldia/309
Scalable Exploitation of, and Responses to Information Leakage Through Hidden Data in Published Documents
http://www.user-agent.org/word_docs.pdf
antiword
http://www.winfield.demon.nl
catdoc
http://www.45.free.net/~vitus/ice/catdoc/
Online document search reveals secrets
http://www.newscientist.com/news/news.jsp?id=ns99994057
The hidden dangers of documents
http://news.bbc.co.uk/1/hi/technology/3154479.stm
Blair’s «Dodgy Dossier»
http://slate.msn.com/id/2084872/
Bernardo Quintero
bernardo@hispasec.com
Noticias Hispasec
